1
Do direito à reserva da intimidade da vida
privada aos regimes de protecção de dados
pessoais
Noções coincidentes ou complementares?
•O “right to privacy”: reserva de uma esfera privada e íntima,
pessoal e de segredo, protegida de interferência externa; um
direito absoluto ou relativo?
•A protecção legal de dados pessoais informatizados: conjunto
de princípios, direitos e garantias institucionais que regulam o
registo, o tratamento e a comunicação de informação relativa a
pessoas individuais.
2
A protecção jurídica de dados pessoais
No direito internacional e
europeu
No direito português
• A Convenção do Conselho
da Europa para a Protecção
dos Indivíduos face ao
Tratamento Automático de
Dados Pessoais- Convenção
108 (1981)
• As Directrizes da OCDE
sobre a Protecção da Vida
Privada e os Fluxos
Transfronteiras de Dados
Pessoais (1981)
• A directiva europeia
sobre protecção de dados
pessoais e livre
circulação da informação
(1995)
•A Constituição da
República Portuguesa
(art. 35º)
•A Lei nº 10/91, de 29
de Abril
•A Lei nº 67/98, de 25
de Outubro
3
A protecção jurídica de dados pessoais:
desenvolvimentos recentes
•A decisão-quadro 2008/977/JAI do Conselho, de
27 de Novembro de 2008, relativa à protecção
dos dados pessoais tratados no âmbito da
cooperação policial e judiciária em matéria
penal.
•A proposta de regulamento relativo à proteção
das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre
circulação desses dados (regulamento geral
sobre a proteção de dados), 25.1.2012
•A proposta de directiva sobre o tratamento de
dados pessoais no âmbito da actividade
policial e judiciária, 25.1.2012
4
A Convenção 108 do Conselho da Europa
(CCE)
• “O objectivo desta
Convenção é garantir, no
território de cada uma das • Fundamento: o art. 8º da
partes e para cada
Convenção Europeia dos
indivíduo o respeito dos
Direitos do Homem
seus direitos e liberdades
(reserva da intimidade da
fundamentais,
vida privada)
particularmente do direito à
intimidade da vida
privada” (art. 1º)
5
A protecção de dados pessoais:
quadro geral
• O conceito de “dados pessoais”
• O regime dos dados sensíveis
• Os princípios de tratamento de dados
(garantias funcionais)
• As garantias institucionais (comissões
de protecção de dados)
• Os direitos individuais
• Os fluxos transfronteiras de dados
6
Artigo 5º (CCE):
princípio da qualidade dos dados
• Os dados de carácter pessoal que sejam objecto de um
tratamento automatizado devem ser:
• a) Obtidos e tratados de forma leal e lícita;
• b) Registados para finalidades determinadas e legítimas, não
podendo ser utilizados de modo incompatível com essas
finalidades;
• c) Adequados, pertinentes e não excessivos em relação às
finalidades para as quais foram registados:
• d) Exactos e, se necessário, actualizados;
• e) Conservados de forma que permitam a identificação das
pessoas a que respeitam por um período que não exceda o
tempo necessário às finalidades determinantes do seu registo.
7
Artigo 6º (CCE): categorias de dados
“sensíveis”
• Os dados de carácter pessoal que revelem a origem
racial, as opiniões políticas, as convicções religiosas ou
outras, bem como os dados de carácter pessoal relativos à
saúde ou à vida sexual, só poderão ser objecto de
tratamento automatizado desde que o direito interno
preveja garantias adequadas. O mesmo vale para os
dados de carácter pessoal relativos a condenações
penais.
8
Artigo 8º (CCE): direitos dos indivíduos
Qualquer pessoa poderá:
a) Tomar conhecimento da existência de um ficheiro automatizado de dados
de carácter pessoal e das suas principais finalidades, bem como da
identidade e da residência habitual ou principal estabelecimento do
responsável pelo ficheiro;
b) Obter, a intervalos razoáveis e sem demoras ou despesas excessivas, a
confirmação da existência ou não no ficheiro automatizado de dados de
carácter pessoal que lhe digam respeito, bem como a comunicação desses
dados de forma inteligível;
c) Obter, conforme o caso, a rectificação ou a supressão desses dados, quando
tenham sido tratados com violação das disposições do direito interno que
apliquem os princípios básicos definidos nos artigos 5º e 6º da presente
Convenção;
d) Dispor de uma via de recurso se não for dado seguimento a um pedido de
confirmação ou conforme o caso, de comunicação, de rectificação ou de
supressão, tal como previsto na alíneas b) e c) deste artigo.
9
Artigo 9º (CCE): excepções e restrições
1- Não é admitida qualquer excepção às disposições dos artigos 5º, 6º e 8º
da presente Convenção salvo dentro dos limites estabelecidos neste artigo.
2- É possível derrogar as disposições dos artigos 5º, 6º e 8º da presente
Convenção quando tal derrogação, prevista pela lei da Parte, constitua
medida necessária numa sociedade democrática:
a) Para protecção da segurança do Estado, da segurança pública, dos
interesses monetários do Estado ou para repressão das infracções penais;
b) Para protecção do titular dos dados e dos direitos e liberdades de outrem.
3- Podem ser previstas por lei restrições ao exercício dos direitos referidos nas
alíneas b), c) e d) do artigo 8º relativamente aos ficheiros automatizados de
dados de carácter pessoal utilizados para fins de estatística ou de pesquisa
científica quando manifestamente não haja risco de atentado à vida
privada dos seus titulares.
10
Artigo 12º (CCE): fluxos transfronteiras de
dados pessoais
1- …
2- Uma Parte não poderá, com a exclusiva finalidade de protecção da vida
privada, proibir ou submeter a autorização especial os fluxos
transfronteiras de dados de carácter pessoal com destino ao território de
uma outra Parte.
3- Contudo, qualquer Parte terá a faculdade de introduzir derrogações às
disposições do nº 2:
a) Na medida em que a sua legislação preveja uma regulamentação
específica para certas categorias de dados de carácter pessoal ou de
ficheiros automatizados de dados de carácter pessoal, em virtude da
natureza desses dados ou ficheiros, salvo se a regulamentação da
outra Parte previr uma protecção equivalente;
b) Quando a transferência for efectuada a partir do seu território para o
território de um Estado não contratante, através do território de uma
outra Parte, a fim de evitar que essas transferências se subtraiam à
legislação da Parte referida no início deste número.
11
12
A directiva europeia 95/46/CE relativa à protecção das
pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados
• Fundamentos:
• assegurar um quadro mínimo de
princípios uniformes susceptível de
facilitar os fluxos transfronteiras de
dados no mercado interno.
• “Os Estados-Membros não podem
restringir ou proibir a livre circulação
de dados pessoais entre EM por
razões relativas à protecção do direito à
vida privada no que diz respeito ao
tratamento de dados pessoais.” (art. 1º,
nº 2).
• “a directiva, embora tenha
como objectivo principal
garantir a livre circulação de
dados pessoais, prevê... que os
Estados Membros
assegurarão... a protecção das
liberdades e direitos ..”
13
A directiva europeia 95/46/CE
“ (5) Considerando que a integração económica e social
resultante do estabelecimento e funcionamento do
mercado interno …irá necessariamente provocar um
aumento sensível dos fluxos transfronteiras de dados
pessoais entre todos os intervenientes, privados ou
públicos, na vida económica e social dos Estadosmembros; que o intercâmbio de dados pessoais entre
empresas estabelecidas em diferentes Estados-membros
tende a intensificar-se; que as administrações dos
Estados-membros são chamadas, por força do direito
comunitário, a colaborar e a trocar entre si dados pessoais
…, no âmbito do espaço sem fronteiras internas que o
mercado interno constitui…”
14
A directiva europeia 95/46/CE
“(14) Considerando que, tendo em conta a importância do
desenvolvimento que, no âmbito da sociedade de
informação, sofrem actualmente as técnicas de captação,
transmissão, manipulação, gravação, conservação ou
comunicação de dados de som e de imagem relativos às
pessoas singulares, há que aplicar a presente directiva ao
tratamento desses dados.”
15
A directiva europeia 95/46/CE
“(13) Considerando que as actividades referidas nos
títulos V e VI do Tratado da União Europeia, relativas à
segurança pública, à defesa, à segurança do Estado
ou às actividades do Estado no domínio penal, não
são abrangidas pelo âmbito de aplicação do direito
comunitário, sem prejuízo das obrigações que incumbem
aos Estados-membros nos termos do no 2 do artigo 56º e
dos artigos 57º e 100º A do Tratado …”
16
Definições
a)
«Dados pessoais», qualquer informação relativa a uma pessoa singular
identificada ou identificável («pessoa em causa»); é considerado
identificável todo aquele que possa ser identificado, directa ou
indirectamente, nomeadamente por referência a um número de
identificação ou a um ou mais elementos específicos da sua identidade
física, fisiológica, psíquica, económica, cultural ou social;
b)
b) «Tratamento de dados pessoais» («tratamento»), qualquer
operação ou conjunto de operações efectuadas sobre dados pessoais,
com ou sem meios automatizados, tais como a recolha, registo,
organização, conservação, adaptação ou alteração, recuperação,
consulta, utilização, comunicação por transmissão, difusão ou qualquer
outra forma de colocação à disposição, com comparação ou interconexão,
bem como o bloqueio, apagamento ou destruição;
17
Definições
c) «Ficheiro de dados pessoais» («ficheiro»), qualquer conjunto estruturado de
dados pessoais, acessível segundo critérios determinados, que seja
centralizado, descentralizado ou repartido de modo funcional ou geográfico;
d) «Responsável pelo tratamento», a pessoa singular ou colectiva, a
autoridade pública, o serviço ou qualquer outro organismo que,
individualmente ou em conjunto com outrem, determine as finalidades e os
meios de tratamento dos dados pessoais;
e) «Subcontratante», a pessoa singular ou colectiva, a autoridade pública, o
serviço ou qualquer outro organismo que trata os dados pessoais por conta do
responsável pelo tratamento;
18
Âmbito de aplicação (art. 3º)
1.A presente directiva aplica-se ao tratamento de dados pessoais por
meios total ou parcialmente automatizados, bem como ao tratamento
por meios não automatizados de dados pessoais contidos num ficheiro
ou a ele destinados.
2. A presente directiva não se aplica ao tratamento de dados pessoais:
- efectuado no exercício de actividades não sujeitas à aplicação do
direito comunitário, tais como as previstas nos títulos V e VI do Tratado
da União Europeia, e, em qualquer caso, ao tratamento de dados que
tenha como objecto a segurança pública, a defesa, a segurança do
Estado …, e as actividades do Estado no domínio do direito penal, efectuado por uma pessoa singular no exercício de actividades
exclusivamente pessoais ou domésticas.
19
Princípios de tratamento dos dados
pessoais(art. 6.º)
• Os princípios da lealdade e
licitude da recolha e
tratamento dos dados – os
dados devem ser recolhidos
junto da pessoa a que
respeitam, a qual deverá ser
esclarecida sobre a eventual
obrigatoriedade de
fornecimento de dados e
sobre a finalidade do
ficheiro.
• O princípio da qualidade dos
dados – adequação, pertinência e
proporcionalidade em relação aos
fins; exactidão; actualização e
conservação apenas durante o
tempo necessário.
• O princípio da finalidade –
proibição da utilização de dados
para fins diferentes dos que
presidiram à sua recolha.
20
Legitimidade do tratamento (art. 7º)
Os Estados-membros estabelecerão que o tratamento de dados
pessais só poderá ser efectuado se:
•
A pessoa em causa tiver dado de forma inequívoca o
seu consentimento; OU o tratamento for necessário para:
 a execução de um contrato no qual a pessoa em causa é parte
 cumprir uma obrigação legal à qual o responsável pelo
tratamento esteja sujeito
 a protecção de interesses vitais da pessoa em causa
 a execução de uma missão de interesse público ou o exercício
da autoridade
 prosseguir interesses legítimos do responsável pelo
tratamento ou do terceiro ou terceiros a quem os dados sejam
comunicados, desde que não prevaleçam os interesses ou os
direitos e liberdades fundamentais da pessoa em causa ...
21
Categorias especiais de dados (art. 8.º)
1. Os Estados-membros proibirão o tratamento de dados
pessoais que revelem a origem racial ou étnica, as
opiniões políticas, as convicções religiosas ou
filosóficas, a filiação sindical, bem como o
tratamento de dados relativos à saúde e à vida
sexual.
22
Excepções aos princípios de protecção
de dados sensíveis (art. 8.º)
2. O n.º 1 não se aplica quando:
a) A pessoa em causa tiver dado o seu consentimento
explícito para esse tratamento… OU
b) O tratamento for necessário para o cumprimento das
obrigações e dos direitos do responsável pelo
tratamento no domínio da legislação do trabalho, desde
que o mesmo seja autorizado por legislação nacional que
estabeleça garantias adequadas;
23
Excepções aos princípios de protecção
de dados sensíveis (art. 8.º) – cont.
c) O tratamento for necessário para proteger interesses vitais da pessoa em
causa ou de uma outra pessoa se a pessoa em causa estiver física ou
legalmente incapaz de dar o seu consentimento;
d) O tratamento for efectuado, no âmbito das suas actividades legítimas e com
as garantias adequadas, por uma fundação, uma associação ou qualquer outro
organismo sem fins lucrativos de carácter político, filosófico, religioso ou
sindical, …;
e) O tratamento disser respeito a dados manifestamente tornados públicos
pela pessoa em causa ou for necessário à declaração, ao exercício ou à
defesa de um direito num processo judicial.
3. O nº 1 não se aplica quando o tratamento dos dados for necessário para
efeitos de medicina preventiva, diagnóstico médico, prestação de cuidados
ou tratamentos médicos ou gestão de serviços da saúde e quando o
tratamento desses dados for efectuado por um profissional da saúde
obrigado ao segredo profissional
…
24
Direito à informação (art. 10.º)
… o responsável pelo tratamento ou o seu representante deve
fornecer à pessoa em causa junto da qual recolha dados que lhe
digam respeito, pelo menos, as seguintes informações…:
a) Identidade do responsável pelo tratamento e, eventualmente,
do seu representante;
b) Finalidades do tratamento a que os dados se destinam;
c) Outras informações, tais como:
- os destinatários ou categorias de destinatários dos dados,
- o carácter obrigatório ou facultativo da resposta, bem como as possíveis
consequências se não responder,
- a existência do direito de acesso aos dados …e do direito de os rectificar,
desde que sejam necessárias, tendo em conta as circunstâncias específicas
da recolha dos dados, para garantir à pessoa em causa um tratamento leal
dos mesmos.
25
Direito de acesso (art. 11.º)
Os Estados-membros garantirão às pessoas em causa o direito de obterem
do responsável pelo tratamento:
Livremente e sem restrições, com periodicidade razoável e sem demora ou
custos excessivos:
-a confirmação de terem ou não sido tratados dados que lhes digam respeito,
e informações pelo menos sobre os fins a que se destina esse tratamento, as
categorias de dados sobre que incide e os destinatários ou categorias de
destinatários a quem são comunicados os dados,
-a comunicação, sob forma inteligível, dos dados sujeitos a tratamento e de
quaisquer informações disponíveis sobre a origem dos dados,
-o conhecimento da lógica subjacente ao tratamento automatizado dos dados
que lhe digam respeito, pelo menos no que se refere às decisões
automatizadas referidas no nº 1 do artigo 15º;
26
Direito de oposição (art. 14.º)
Os Estados-membros reconhecerão à pessoa
em causa o direito de:
a)Pelo menos nos casos referidos nas alíneas e)
e f) do artigo 7º, se opor em qualquer altura, por
razões preponderantes e legítimas relacionadas
com a sua situação particular, a que os dados
que lhe digam respeito sejam objecto de
tratamento, salvo disposição em contrário do
direito nacional. …;
b)Se opor, a seu pedido e gratuitamente, ao
tratamento dos dados pessoais que lhe digam
respeito previsto pelo responsável pelo
tratamento para efeitos de mala directa; …
c)Os Estados-membros tomarão as medidas
necessárias para garantir que as pessoas em
causa tenham conhecimento do direito referido
no primeiro parágrafo da alínea b).
• O direito de oposição pode
ser interpretado como uma
forma de atenuar as
limitações dos direitos
individuais que resultam da
aceitação do
consentimento implícito em
diversas circunstâncias.
27
O regime dos dados sensíveis, em síntese
• As categorias indicadas na Directiva europeia
correspondem às da CCE, acrescidas dos dados
sobre filiação sindical.
• Mas, abre-se um vasto leque de excepções:
• Dados tratados para os fins próprios das
organizações;
• Dados médicos;
• Dados necessários a contrato de trabalho;
• Razões de interesse público.
28
O princípio do consentimento, em síntese
• A Directiva esvazia o princípio do
consentimento prévio do sujeito ao
admitir que esse consentimento pode ser
efectuado de modo implícito em várias
circunstâncias.
29
“A directiva acaba, ‘de maneira hipócrita
ou fraca’, por se ‘inclinar para o lado dos
interesses do mercado, pois poucas pessoas irão
defender os seus direitos perante o juiz’”
(Frayssinet, 2001).
30
Derrogações e restrições (art. 13.º)
1.
a)
b)
c)
d)
e)
f)
g)
Os Estados-membros podem tomar medidas legislativas destinadas a
restringir o alcance das obrigações e direitos referidos no nº 1 do artigo 6º,
no artigo 10º, no nº 1 do artigo 11º e nos artigos 12º e 21º, sempre que tal
restrição constitua uma medida necessária à protecção:
Da segurança do Estado;
Da defesa;
Da segurança pública;
Da prevenção, investigação, detecção e repressão de infracções penais e
de violações da deontologia das profissões regulamentadas;
De um interesse económico ou financeiro importante de um Estadomembro ou da União Europeia, incluindo nos domínios monetário,
orçamental ou fiscal;
De missões de controlo, de inspecção ou de regulamentação associadas,
ainda que ocasionalmente, ao exercício da autoridade pública, nos casos
referidos nas alíneas c), d) e e);
De pessoa em causa ou dos direitos e liberdades de outrem.
31
As garantias institucionais
• Os Estados-Membros deverão instituir autoridades de
controlo independentes com a missão de fiscalizarem
a aplicação da directiva no território dos EM (art.
28º).
• Os poderes das autoridades: inquérito; bloquear,
apagar ou destruir os dados; intervir em processos
judiciais; apreciar reclamações individuais; receber e
apreciar notificações de responsáveis por ficheiros.
32
O regime dos fluxos transfronteiras de
dados
• “Os Estados-Membros
estabelecerão que a
transferência para um
país terceiro de dados
pessoais ... só pode
realizar-se se ... o país
terceiro em questão
assegurar um nível de
protecção adequado” (art.
25º)
• A adequação será apreciada
em função de todas as
circunstâncias que rodeiem a
transferência. Deverão ser
tidas em conta a natureza dos
dados, a finalidade, a duração
do tratamento, os países
envolvidos, as regras legais,
bem como as regras
profissionais e de segurança
em vigor no país de destino.
(art. 25º, nº 2). (“semelhança
funcional”).
33
Tensões e negociações entre a UE e os EUA
• A Decisão do Conselho
• Os “Safe harbour
principles” do
Department of Commerce
dos EUA
2007/551/PESC/JAI, de 23 Julho de
2007, relativa à assinatura, em
nome da União Europeia, do
Acordo entre a União Europeia e os
Estados Unidos da América sobre a
transferência de dados contidos
nos registos de identificação dos
passageiros (PNR) pelas
transportadoras aéreas para o
Departamento da Segurança
Interna dos Estados Unidos e sobre
o tratamento dos dados em causa
pelo mesmo departamento (Acordo
PNR 2007)
34
Safe harbor principles
• Notice - Individuals must be informed that their data is being
•
•
•
•
•
•
collected and about how it will be used.
Choice - Individuals must have the ability to opt out of the collection
and forward transfer of the data to third parties.
Onward Transfer - Transfers of data to third parties may only occur
to other organizations that follow adequate data protection principles.
Security - Reasonable efforts must be made to prevent loss of
collected information.
Data Integrity - Data must be relevant and reliable for the purpose it
was collected for.
Access - Individuals must be able to access information held about
them, and correct or delete it if it is inaccurate.
Enforcement - There must be effective means of enforcing these
rules.
35
Discussão
Um regime que pressupõe um indivíduo/cidadão
consciente dos riscos, informado sobre os seus
direitos e activo na defesa destes.
Um regime que pressupõe a capacidade e a vontade
das autoridades de informar os
indivíduos/cidadãos e de os proteger contra maus
usos ou abusos dos dados pessoais.
Mas corresponderão estes
pressupostos à realidade
dos factos?
36
O Tratado de Lisboa: novas perspectivas
para a protecção dos dados pessoais?
• “Todas as pessoas têm direito à protecção de
dados de carácter pessoal que lhes digam
respeito”.
• Esses dados devem ser objecto de “um tratamento
leal para fins específicos e com o
consentimento da pessoa interessada ou com
outro fundamento legítimo previsto na lei”.
(art. 8º).
• O regulamento (CE) nº 45/2001, visando
proteger as pessoas físicas relativamente
ao tratamento de dados de carácter
pessoal pelas instituições e órgãos
comunitários.