2014
Relatório Anual do GPDP 2014
III. Resumo dos casos investigados
Caso 1—Emissão de mensagens promocionais para telemóveis
Resumo do caso
Vários cidadãos apresentaram queixas contra a emissão de mensagens promocionais,
relativas a cursos de formação e outros, para telemóveis, pela sociedade A, X, Y e outras
entidades, através da App W.
Estes cidadãos duvidaram da legitimidade para emissão daquelas mensagens,
considerando que X, Y e sociedade A são suspeitos de violar disposições da Lei da
Protecção de Dados Pessoais porque continuaram a receber mensagens após se terem
oposto, as quais incluem a promoção de um curso, aberto por Y, destinado ao ensino de
emissão de mensagens aproveitando os dados pessoais de terceiros, portanto, os cidadãos
apresentaram queixa e denúncia.
Análise e conclusão
Segundo a resposta da Direcção dos Serviços B, X, Y e Z eram sócios da sociedade A
e posteriormente Y vendeu a sua quota a K.
Os queixosos suspeitaram que X, Y, a sociedade A e outras entidades emitiram
mensagens de promoção de cursos, não reunindo as condições de legitimidade. As
mensagens suspeitas foram emitidas pela App W a partir de números de telefone registados
no continente chinês e em Macau. Como o caso envolve utilizadores de números de telefone
registados no continente chinês, este Gabinete não tem competência para identificar estes
utilizadores. Quanto aos utilizadores dos números de telefone registados em Macau, a
maior parte deles não registou dados.
Após investigação, X reconheceu que foi ele emitir mensagens para os amigos a
partir do n.º de telefone V antes da fundação da sociedade A, em nome próprio. Embora
os queixosos afirmem que não conhecem X, este Gabinete não pode efectuar investigação
sobre relações privadas, nem obteve qualquer dado demonstrando que X tenha conseguido
números de telefone dos queixosos através de vias ilegais. Se se verificar a situação prevista
no n.o 2 do artigo 3.o da Lei da Protecção de Dados Pessoais, esta lei não é aplicável.
Y reconheceu também que encarregou um amigo de emitir mensagens de promoção de
um curso de formação na China Continental. No entanto, Y não guardou qualquer ficheiro
dos números de telefone nem emitiu pessoalmente as mensagens. Sendo um tratamento
155
2014
Relatório Anual do GPDP 2014
de dados por uma pessoa singular, o respectivo ficheiro, o local de emissão de mensagens
e de tratamento de dados situam-se na China Continental, pelo que o Gabinete não tem
competência para acompanhar o tratamento.
Alguns interessados referiram que, após se terem oposto, a entidade visada na queixa
continuou a emitir mensagens promocionais, violando o direito de oposição consagrado
pelo n.º 2 do artigo 12.o da Lei da Protecção de Dados Pessoais. Como não se pode provar
que as mensagens foram emitidas pela entidade referida e as mensagens vêm, pela App W,
de cada vez, de números de telefone diferentes, é difícil confirmar a natureza da entidade e
se as mensagens têm origem na mesma entidade, embora os conteúdos sejam semelhantes.
Assim, não se pode confirmar que foi violado o direito de oposição dos interessados.
Em relação à promoção de um curso, aberto por Y, destinado ao ensino de emissão
de mensagens aproveitando os dados pessoais de terceiros, Y referiu que ensinou nas aulas
apenas a técnica de obtenção de ficheiros de clientes de terceiros em cooperação com
outras pessoas. De facto, este Gabinete não pode confirmar o conteúdo do curso, e para
saber se a Lei da Protecção de Dados Pessoais foi violada, seria necessário analisar os
detalhes da cooperação, tais como o modo de cooperação e a sua operação em concreto.
Conforme as imagens de écran fornecidas pelos queixosos, as mensagens incluem
actividades, promoção de outras mercadorias e serviços da sociedade A, que são
evidentemente de natureza comercial. Como os utilizadores envolvidos poderão ter violado
a cláusula de utilização da App W: “Concorda que a sua utilização não é destinada a fins
comerciais”, este Gabinete estabeleceu com a sociedade C, dos EUA, que explora a App W,
um mecanismo de cooperação. Aquando de queixas futuras, as mensagens promocionais
em causa serão transferidas para a sociedade C para efeitos de acompanhamento.
Em resumo, não existe prova suficiente de que as entidades visadas nas queixas
violaram a Lei da Protecção de Dados Pessoais.
Resultado
Este Gabinete já informou os queixosos do resultado do tratamento e o caso foi
arquivado.
156
2014
Relatório Anual do GPDP 2014
Caso 2—Publicação de dados pessoais dos clientes no sítio de rede social
Resumo do caso
Um queixoso disse que tinha encomendado um produto à Loja A através do sítio
de rede social e a pessoa que o contactou foi Y. O queixoso informou Y do seu número
de telemóvel, mas acabou por não concluir a transacção, ou seja, desistiu da encomenda.
Em seguida, Y começou a telefonar e a enviar mensagens para o número de telemóvel do
queixoso, ameaçando que iria publicar os seus dados se este não respondesse. No mesmo
dia, o queixoso descobriu que o seu número de telefone, a sua foto e a captação de imagem
da página da sua conta no sítio tinham sido publicados na página da conta da Loja A no
mesmo sítio da Internet.
O queixoso cosidera que os actos da Loja A podem violar a Lei da Protecção de
Dados Pessoais, solicitando que o GPDP acompanhe o caso.
Análise e conclusão
O GPDP consultou o conteúdo da página da conta da Loja A no sítio. Além de publicar
os dados do queixoso acima mencionado, Y criou ainda um álbum intitulado “Exigência de
pedido de desculpa / Desistência da Encomenda” para publicar dados de outros clientes,
incluindo o nome, o número de telemóvel, a foto, a conta nesse sítio e a captação de
imagem da conversa, etc. As pessoas que não eram “amigos” da Loja A também podiam
ler o conteúdo da conta desta loja nesse sítio.
Com base nas publicações da Loja A no sítio, o GPDP descobriu que o número de
telemóvel do operador da Loja A era idêntico ao número de telemóvel de Y. Por isso, o
operador da loja é Y. Através da Loja A, Y realiza actividades comerciais e não actividades
exclusivamente pessoais ou domésticas. Como Y não restringe o acesso à sua conta, a
situação constitui comunicação sistemática ou difusão, não correspondendo ao art. 3.º n.º
2 da Lei da Protecção de Dados Pessoais.
O servidor desse sítio localiza-se no estrangeiro. Mesmo assim, segundo o conteúdo
publicado pela Loja A no mesmo sítio, a loja fica em Macau, ou seja, a Loja A é uma loja
online operando em Macau. O queixoso e Y são ambos utentes do referido sítio de rede
social em Macau e Y trata os dados do queixoso em Macau. Além disso, a situação envolve
tratamento automatizado de dados pessoais. De acordo com o artigo 4.º n.º 1 alínea 1) e o
artigo 3.º n.º 1 da Lei da Protecção de Dados Pessoais, o tratamento dos dados do presente
caso está sujeito às disposições desta Lei.
O GPDP consultou informações de registo comercial, mas não encontrou o registo
157
2014
Relatório Anual do GPDP 2014
comercial ou o registo do início de actividade da Loja A. Além disso, a Loja A não tem
uma morada de operação e é apenas uma loja virtual operada por Y na Internet. Y tem
poder decisório sobre o tratamento de dados pessoais dos clientes e é responsável pelo
tratamento previsto no art. 4.º n.º 1 alínea 5) da Lei da Protecção de Dados Pessoais.
O queixoso forneceu o seu número de telemóvel a Y para a compra do produto e para
uso de contacto. Por isso, Y possui o consentimento do titular dos dados e a condição de
legitimidade prevista no art. 6.º alínea 1) da Lei da Protecção de Dados Pessoais. Depois de
este desistir da encomenda, Y publicou os seus dados para o criticar. No entanto, isto não
é necessário para a finalidade de compra do produto ou de contacto. Por isso, a publicação
dos dados do queixoso não é compatível com as finalidades originais da recolha. Assim,
é preciso analisar de forma independente se a publicação dos dados tem a condição de
legitimidade.
No nosso entender, a publicação de dados do queixoso por Y nesse sítio não possui
as condições de legitimidade previstas no art. 6.º alíneas 2) a 4) da Lei da Protecção de
Dados Pessoais.
Além disso, o queixoso afirmou que tinha recebido a mensagem de Y, ameaçando
publicar os seus dados se ele não respondesse. No entanto, de acordo com o art. 6.º da
referida Lei, “o tratamento de dados pessoais só pode ser efectuado se o seu titular tiver
dado de forma inequívoca o seu consentimento ou se o tratamento for necessário para...”.
Nos termos do art. 4.º n.º 1 alínea 9) da mesma Lei, o consentimento do titular dos dados
refere-se a qualquer manifestação de vontade, livre, específica e informada, nos termos do
qual o titular aceita que os seus dados pessoais sejam objecto de tratamento. De acordo
com o Código Civil, o silêncio só vale como declaração negocial quando esse valor lhe
seja atribuído por lei, uso ou convenção. Por isso, o silêncio não corresponde ao requisito
de consentimento inequívoco do titular dos dados indicado no art. 6.º da Lei da Protecção
de Dados Pessoais. Em consequência, Y não tem condição de legitimidade relativa ao
consentimento inequívoco do titular dos dados.
Segundo as informações na conta da Loja A no referido sítio e outras informações
fornecidas por queixoso, este e Y não assinaram qualquer contrato sobre a publicação de
dados do cliente. Por isso, Y não tem a condição de legitimidade prevista no art. 6.º alínea
1) da Lei da Protecção de Dados Pessoais para publicar os dados dos clientes.
Y vende apenas produtos. Mesmo que o cliente desista da encomenda, Y só tem
direito de regresso. Porém, Y publicou dados dos clientes na conta da Loja A no sítio sem
restringir a permissão de acesso, fazendo com que todos os utentes do sítio pudessem
criticar os clientes e reencaminhar as publicações e fotos. Nesse caso, os clientes podem
ver os seus direitos de personalidade prejudicados e a reputação afectada. Por isso, não se
pode considerar que os interesses ou os direitos, liberdades e garantias do titular dos dados
158
2014
Relatório Anual do GPDP 2014
não prevaleçam sobre os interesses legítimos do responsável pelo tratamento. Portanto, Y
não tem a condição de legitimidade prevista no art. 6.º alínea 5) da Lei da Protecção de
Dados Pessoais.
Resumindo, a publicação dos dados dos clientes por Y não corresponde a nenhuma
condição de legitimidade prevista no art. 6.º da Lei da Protecção de Dados Pessoais.
Resultado
O GPDP tomou em consideração os seguintes factores: Além da publicação dos dados
de queixoso, Y criou ainda o álbum “Exigência de pedido de desculpa / Desistência da
Encomenda” para publicar dados de outros clientes, sem restringir a permissão de acesso.
Y publicou por várias vezes dados dos clientes e não cooperou com a investigação do
GPDP. De acordo com o art. 33.º n.º 2 da Lei da Protecção de Dados Pessoais, o GPDP
decidiu aplicar uma multa de MOP 12.000 a Y e exigiu que este eliminasse os dados dos
clientes publicados nesse sítio. O GPDP sugeriu que Y prestasse na conta da Loja A no
mesmo sítio as informações indicadas no art. 10.º n.º 1 da Lei da Protecção de Dados
Pessoais, a fim de garantir o direito de informação do titular dos dados.
Caso 3—Envelope com dados pessoais excessivos
Resumo do caso
Um queixoso recebeu a Revista T publicada pela Sociedade A. No entanto, no envelope
usado para o envio da revista, estava impresso o nome da Sociedade B. Além disso, no
envelope estavam escritos não só o seu nome, o seu local de trabalho e o endereço, como
também o seu número de telemóvel, o número de telefone do local de trabalho e o seu
endereço de e-mail. O queixoso ligou para o número de telefone constante na revista para
obter esclarecimentos e uma pessoa que alegou ser funcionário da Sociedade B atendeu a
chamada. No entanto, este funcionário não conseguiu explicar o assunto.
Este considera que as duas companhias colocaram dados pessoais excessivos no
envelope e duvida da legitimidade destas na obtenção dos seus dados pessoais, pelo que
solicitou ao GPDP que acompanhasse o caso.
Análise e conclusão
De acordo com o artigo 4.º n.º 1 alínea 1) e o artigo 3.º n.º 1 da Lei da Protecção de
Dados Pessoais, o tratamento dos dados do presente caso está sujeito às disposições desta
Lei.
159
2014
Relatório Anual do GPDP 2014
Segundo a resposta da Sociedade A e dos seus funcionários Y e Z, a Sociedade
A é uma sociedade financeira que presta serviços de logística e criou a Revista T com
vista a divulgar informações financeiras. Esta adjudicou à Sociedade C os trabalhos de
publicação, incluindo o design, a produção e o envio por correio, etc. As duas Sociedades
não celebraram qualquer contrato ou acordo de comissão.
Segundo o funcionário W da Sociedade C, esta é uma companhia de publicação
e produção e realiza o design, produção e envio por correio da Revista T por conta da
Sociedade A. De acordo com a Sociedade C, a lista de nomes dos destinatários a quem
são enviadas as revistas foi fornecida pela Sociedade A. Devido aos factores de custo e
de serviço, a Sociedade C encarregou a Organização D no interior da China de enviar as
Revistas T aos destinatários. A Sociedade A tem conhecimento disso e não se opôs.
Mais tarde, a Sociedade C negou a alegação anterior e afirmou que tinha obtido os
dados pessoais de queixoso através de contacto quotidiano e por via aberta, incluindo a
Internet. Segundo a Sociedade C, a Sociedade A é responsável apenas pela aprovação da
lista dos destinatários. A Sociedade C disse que pensara erradamente que nos documentos
electrónicos entregues à Organização D constavam apenas o nome e endereço dos
destinatários, acrescentando que não sabia que os documentos tinham campos ocultos
contendo outros dados pessoais dos destinatários.
A Sociedade C é filial da Sociedade B e a Sociedade B não participou no trabalho
envolvendo a Revista T. Para poupar custos, a Sociedade C optou por usar os envelopes
disponíveis onde se imprimia o nome da Sociedade B para enviar as revistas.
No nosso entender, a Sociedade A enviou as Revistas T aos destinatários com a
finalidade de divulgação e intercâmbio de informações financeiras. A Sociedade A é uma
editora. Quer no âmbito jurídico quer no prático, tem o poder de determinar os meios de
tratamento dos dados pessoais dos destinatários, inclusive determinar para quem envia as
revistas quando aprova a lista do nome dos destinatários e determinar ainda as formas de
envio por correio. Por isso, a Sociedade A é responsável pelo tratamento e deve assumir
as obrigações e responsabilidades atribuídas aos responsáveis pelo tratamento pela Lei
da Protecção de Dados Pessoais. A Sociedade C tratou dos trabalhos de publicação por
conta da Sociedade A. De acordo com o art. 15.º n.º 2 e n.º 3 e o art. 17.º da referida Lei,
salvo por força de obrigações legais, a Sociedade C obriga-se a tratar os dados pessoais
dos destinatários da Revista T conforme as instruções da Sociedade A e o tratamento é
considerado realizado pela própria Sociedade A. A Sociedade C encarregou a Organização
D de enviar as Revistas T por correio. Mas esta Organização não é responsável pelo
tratamento. Quanto à Sociedade B, como não há informações mostrando que esta tratou os
dados dos destinatários da Revista T, esta sociedade não está envolvida no presente caso.
Segundo o registo, o queixoso não é membro da referida Editora e não subscreveu
160
2014
Relatório Anual do GPDP 2014
a Revista T. De acordo com o queixoso, ele não deu consentimento à Sociedade A para
tratamento dos seus dados pessoais com base no envio da Revista T, nem celebrou qualquer
contrato com a mesma. Em relação a isso, a Sociedade A e a Sociedade C não ofereceram
provas em contrário. Por isso, suspeita-se que a Sociedade A tenha utilizado os seus dados
para enviar a Revista T sem respeitar as condições de legitimidade previstas no art. 6.º da
Lei da Protecção de Dados Pessoais. De acordo com o art. 33.º n.º 2 da mesma Lei, os actos
da Sociedade A constituem infracção administrativa.
Além disso, a Sociedade A não fiscalizou a sua subcontratante. Em consequência, a
Sociedade C entregou dados excessivos dos destinatários à Organização D para expedir as
revistas por correio, tendo aumentado o risco de fuga dos dados durante o envio. Isto não
corresponde às disposições relativas à segurança e confidencialidade estabelecidas no art.
15.º da Lei da Protecção de Dados Pessoais. Embora os actos não constituam infracção
administrativa, a Sociedade A deveria cumprir esta obrigação.
Através da Sociedade C, a Sociedade A entregou o trabalho de envio da Revista T à
Organização D, localizado fora de Macau, e transferiu dados pessoais dos destinatários para
um local fora do território da RAEM. Para isso, a Sociedade deveria respeitar os artigos
19.º e 20.º da Lei da Protecção de Dados Pessoais. Porém, a Sociedade A não observou
estas disposições. Nos termos do art. 33.º n.º 2 da referida Lei, os actos da Sociedade A
constituem infracção administrativa.
Em relação à origem dos dados pessoais do queixoso, a Sociedade C alegou ter obtido
esses dados por via aberta, incluindo a Internet. No entanto, o GPDP não conseguiu encontrar
dados pessoais relevantes do queixoso por via aberta. Segundo as informações existentes,
a Lista V disponibilizada por um sistema da Direcção E contém dados do queixoso e esses
dados são idênticos aos dados escritos no envelope que X recebeu. Segundo a Direcção E,
esta carregou a Lista V no sistema e o Jornal U, subordinado à Sociedade C, é utente deste
sistema, podendo ter acesso e consultar a referida lista. Mesmo assim, o GPDP considera
que não há provas suficientes de que a Sociedade C tenha usado os dados da referida lista
para enviar as revistas por correio e violado assim a Lei da Protecção de Dados Pessoais.
Com base nos fundamentos acima mencionados, o GPDP realizou audiência escrita à
Sociedade A, a qual não deu qualquer resposta.
Resumindo, a Sociedade A violou os artigos 6.º, 19.º e 20.º da Lei da Protecção de
Dados Pessoais e os actos desta constituem duas infracções administrativas.
Resultado
O GPDP tomou em consideração os seguintes factores: É a primeira vez que a
Sociedade A viola as disposições da Lei da Protecção de Dados Pessoais; O envio da
161
2014
Relatório Anual do GPDP 2014
Revista T tem como finalidade a divulgação e intercâmbio de informações financeiras e a
promoção do desenvolvimento do sector financeiro; A Sociedade A cooperou nos trabalhos
de investigação. De acordo com o art. 33.º n.º 2 e o art. 34.º n.º 2 da Lei da Protecção de
Dados Pessoais, o GPDP decidiu aplicar uma multa de MOP16.000 à Sociedade A. Além
disso, em conformidade com o art. 43.º alínea 1) da mesma Lei, o GPDP decidiu aplicar
a seguinte pena acessória: A Sociedade A deve apagar e destruir imediatamente todos os
dados pessoais obtidos sem observância do art. 6.º desta Lei.
O GPDP enviou um ofício à Sociedade C, lembrando-a de que a Lista V obtida
através da conta do sistema da Direcção E serve apenas para a finalidade de contacto com
departamentos relevantes.
Caso 4—Instalação de câmaras no vestiário, cacifos e balneário de clientes
Resumo do caso
Um queixoso descobriu que o vestiário de clientes da entidade A estava equipado
com câmaras, que podiam filmar a mudança de roupa dos clientes.
Este considera que a entidade A violou as disposições da Lei da Protecção de Dados
Pessoais.
Análise e conclusão
De acordo com o artigo 4.º n.º 1 alínea 1) e o artigo 3.º n.º 1 da Lei da Protecção de
Dados Pessoais, o tratamento dos dados do presente caso está sujeito às disposições da Lei
da Protecção de Dados Pessoais.
Segundo o responsável Y da entidade A, a instalação de câmaras de filmar tem como
finalidade proteger os bens dos clientes e da entidade. Após a investigação, o GPDP
descobriu que as imagens dos clientes capturadas pelas câmaras instaladas pela entidade
A no vestiário, cacifos e balneário eram claras e identificáveis. Além disso, as câmaras
captavam também as imagens da mudança de roupas dos clientes. O GPDP entende que os
referidos dados são dados sensíveis previstos no artigo 7.º da Lei da Protecção de Dados
Pessoais. Geralmente, o consentimento expresso dos titulares dos dados é a única condição
de legitimidade para a entidade A tratar os dados da vida privada dos clientes. Porém,
a entidade A não forneceu ao GPDP prova do consentimento expresso dos titulares dos
dados. Assim, a entidade A violou o artigo 7.º da Lei da Protecção de Dados Pessoais por
não possuir legitimidade. Segundo Y, os dados filmados pelo sistema de filmagem são
conservados cerca de um mês, pelo que os dados relevantes devem já ter sido eliminados.
162
2014
Relatório Anual do GPDP 2014
Além disso, de acordo com a investigação realizada, as câmaras instaladas pela
entidade A fora do vestiário, cacifos e balneário não captam dados da vida privada
dos clientes. Em geral, é legal e legítimo que as organizações instalem o sistema de
videovigilância com fundamento na finalidade de segurança, a fim de proteger os bens e
outros interesses legais do seu estabelecimento. Por isso, neste aspecto, a entidade A tem
a condição de legitimidade prevista no artigo 6.º alínea 5) da Lei da Protecção de Dados
Pessoais. O âmbito filmado pelas câmaras instaladas pela entidade A no referido local
também não é excessivo relativamente à finalidade de segurança, não violando o artigo 5.º
n.º 1 alínea 3) da Lei da Protecção de Dados Pessoais.
Em relação às medidas organizativas, as informações fornecidas pela entidade A não
são suficientes para analisar se a entidade A já tomou medidas organizativas adequadas
para proteger os dados pessoais. Quanto às medidas técnicas, os ecrãs do sistema de
videovigilância estão instalados no escritório do gerente-geral e só alguns gerentes
têm acesso a este escritório. Além disso, o gabinete do computador e o dispositivo de
armazenamento do sistema de videovigilância estão numa outra sala fechada e não há
informações mostrando que exista uma situação de revelação de dados pessoais. Por isso,
as actuais medidas técnicas tomadas pela entidade A não violaram o artigo 15.º da Lei da
Protecção de Dados Pessoais.
No que respeita ao direito de informação, a entidade A já colocou avisos em algumas
das áreas sujeitas a filmagem e não violou o artigo 10.º n.º 1 da Lei da Protecção de Dados
Pessoais.
Após a investigação, a entidade A realizou activamente trabalhos de melhoria
e de coordenação. Para além de desmontar as câmaras, a entidade A planeia também
elaborar especificações e regras sobre a operação do sistema de videovigilância no seu
estabelecimento.
Resumindo, a entidade A não tem legitimidade para tratar os dados sensíveis. Por
isso, a instalação de câmaras de filmar no vestiário, cacifos e balneário de clientes violou
o artigo 7.º da Lei da Protecção de Dados Pessoais.
Resultado
O GPDP tomou a decisão após consideração dos seguintes factores: 1) De acordo
com as exigências do GPDP, a entidade A já desmontou as câmaras no vestiário e
balneário de clientes, vai elaborar regras sobre a operação do sistema de videovigilância
no seu estabelecimento, e colocar os respectivos avisos, para que os clientes dêem o seu
consentimento acerca das regras; 2) É a primeira vez que se prova a violação da Lei da
Protecção de Dados Pessoais pela entidade A; 3) No processo de investigação, a entidade A
163
2014
Relatório Anual do GPDP 2014
teve uma boa atitude de cooperação. De acordo com o artigo 33.º n.º 2 da Lei da Protecção
de Dados Pessoais, o GPDP decidiu condenar a entidade A a pagar uma multa de MOP
8.000.
Caso 5—Dados fornecidos no pedido online de admissão foram impressos
em conjunto com os dados pessoais de outras pessoas
Resumo do caso
Segundo as informações fornecidas por um cidadão, este fez online o registo de
examinando no website da escola A. Depois de ter preenchido o formulário do pedido
de admissão, imprimiu os dados fornecidos. Porém, os dados de outros inscritos também
foram impressos.
O incidente envolve uma questão de segurança no tratamento de dados e suspeita-se
que haja violação da Lei da Protecção de Dados Pessoais. Assim, o GPDP instaurou por
sua iniciativa o processo para acompanhar o caso.
Análise e conclusão
De acordo com o artigo 4.º n.º 1 alínea 1) e o artigo 3.º n.º 1 da Lei da Protecção de
Dados Pessoais, o tratamento dos dados do presente caso está sujeito às disposições da Lei
da Protecção de Dados Pessoais.
Depois de receber a queixa, o GPDP exigiu imediatamente que a escola A suspendesse
o respectivo sistema de registo online e só pudesse voltar a utilizar o sistema depois de
resolver o problema e garantir que a fuga de dados pessoais não volte a ocorrer.
Segundo a resposta da escola A, a companhia B é o responsável pela exploração e
manutenção do respectivo sistema de registo online. O GPDP entende que a escola A
decidiu a forma online do registo de admissão e contratou uma companhia de informática
para realizar a exploração e manutenção. Além disso, o sistema de registo online e o
formulário do pedido em papel da escola A recolheram os mesmos dados, o que também
foi a decisão da escola A. Por isso, de acordo com o artigo 4.º n.º 1 alínea 5) da Lei
da Protecção de Dados Pessoais, a escola A é o responsável pelo tratamento. Embora a
companhia B tivesse tido certo poder decisório sobre as funções e a operação do sistema ao
explorar o sistema, esta fez o trabalho por conta da escola A, sendo por isso subcontratante
conforme definido no artigo 4.º n.º 1 alínea 6) da mesma Lei. De acordo com as informações
fornecidas pela escola A, as categorias de dados envolvidos no presente incidente de
revelação incluem: nome, religião, número do Bilhete de Identidade, telefone, e-mail e
164
2014
Relatório Anual do GPDP 2014
outros dados pessoais dos examinandos e dos seus pais, sendo que os dados relativos à
religião são dados sensíveis.
De acordo com o artigo 111.º e os artigos seguintes do Código Civil aprovado pelo
Decreto-Lei n.º 39/99/M, os examinandos que fazem pedido de admissão ao jardim infantil
são todos menores, cuja incapacidade é suprida pelo poder paternal. Os pais fornecem à
escola os dados pessoais dos filhos ao fazerem o pedido de admissão. Por isso, pode-se
considerar que a escola A trata os dados pessoais dos examinandos sob o consentimento
expresso dos titulares dos dados. Desde que com garantias de não discriminação e com as
medidas de segurança previstas no artigo 16.º da Lei da Protecção de Dados Pessoais, as
condições de legitimidade previstas no artigo 6.º e artigo 7.º n.º 2 alínea 3) são preenchidas.
Em relação à proporcionalidade da recolha dos dados, nos termos do artigo 10.º n.º
4 da Lei n.º 5/98/M (Liberdade de Religião e de Culto), “a inscrição em estabelecimentos
de ensino mantidos por confissões religiosas implica a presunção da aceitação do ensino
da religião e moral por elas adoptadas...”. A escola A é mantida por uma organização
religiosa. A menos que os pais que fazem o pedido de admissão pelos filhos se oponham
com base em motivos legítimos e sérios relativos à sua situação privada e que o motivo
de oposição seja procedente, a escola A pode tratar, conforme a lei e no âmbito legítimo
das suas actividades, os dados relativos à confissão religiosa dos requerentes, possuindo a
condição de legitimidade prevista no artigo 7.º n.º 3 alínea 2) da Lei da Protecção de Dados
Pessoais.
Além disso, de acordo com o artigo 32.º n.º 1 do Decreto-Lei n.º 38/93/M (Estatuto
das instituições educativas particulares), o funcionamento das instituições educativas
particulares obedece às normas legais e regulamentares aplicáveis e está sujeito à inspecção
pedagógica da DSEJ conforme as directivas da mesma. Além disso, em conformidade com
as “Recomendações às Escolas sobre a Inscrição e Matrícula dos Alunos no ano Lectivo
de 2013/2014 (versão actualizada)” elaboradas pela DSEJ, as escolas devem examinar
os originais dos documentos comprovativos relevantes durante a inscrição e matrícula,
a fim de verificar a idade dos alunos e a autorização de residência ou permanência em
Macau. Além disso, e ainda conforme a exigência da DSEJ, os alunos que fazem o pedido
de admissão precisam de fornecer às escolas cópias dos documentos de identidade dos
examinandos e dos seus pais, o certificado de saúde e o endereço.
Por isso, quanto à recolha dos referidos dados dos examinandos e dos seus pais pela
escola A através do sistema de registo online com a finalidade de inscrição e matrícula, não
existe violação manifesta do princípio da proporcionalidade consagrado no artigo 5.º n.º 1
alínea 3) da Lei da Protecção de Dados Pessoais.
Quanto à segurança de tratamento dos dados pessoais, como estão envolvidos dados
sensíveis, é preciso respeitar os artigos 15.º e 16.º da Lei da Protecção de Dados Pessoais.
165
2014
Relatório Anual do GPDP 2014
Segundo as informações fornecidas, o sistema de registo online da escola A exige que o
utilizador faça o registo antes de ter acesso ao sistema, preencher os dados do pedido e
imprimir. Isto implica que os pais só podem ter acesso ao sistema e fornecer ou alterar
os dados depois de o sistema identificar a sua qualidade como utilizador. Além disso,
o sistema de background do sistema de registo online é protegido pela senha de log-in
do administrador do sistema, com vista a prevenir que pessoas não autorizadas tenham
acesso, consultem, alterem, eliminem ou retirem os dados no sistema. Por isso, a escola A
já tomou certas medidas para garantir a segurança dos dados no sistema de registo online.
Segundo a análise técnica do GPDP, a presente fuga de dados foi causada devido
à sobrecarga do tráfego na rede e a um problema com o design do programa. Quanto à
sobrecarga do tráfego, a escola A, que operava há muitos anos, deveria ter antecipado a
necessidade de tratar grande quantidade de tráfego na rede pelo sistema do pedido online
de admissão antes de decidir utilizar este sistema, porque hoje em dia há grande procura
de vagas nos infantários. Em relação ao design do programa, a companhia B realizou
reparações depois do incidente. Acredita-se que o incidente poderia ter sido evitado, se a
companhia B considerasse plenamente os detalhes técnicos quando explorava o sistema.
Quanto à supervisão do subcontratante, a companhia B assinou uma declaração
de confidencialidade após o incidente, prometendo que, depois de oferecer à escola A a
solução do sistema de software, todos os seus trabalhadores manteriam o dever de sigilo
em relação ao conteúdo dos dados relevantes. Porém, isto é apenas uma supervisão quanto
à solução do sistema de software, não se podendo considerar que a escola A tenha dado
suficientes instruções ou supervisão ao seu subcontratante.
São muitas as categorias de dados envolvidos na fuga, incluindo os dados relativos
à confissão religiosa. No total, os dados de seis titulares foram consultados por cinco
utilizadores. Obviamente, na fase de exploração do sistema, a escola A negligenciou
a avaliação da quantidade de tráfego do sistema, e não estabeleceu regras e instruções
adequadas ao subcontratante, na fase do funcionamento do sistema, não realizou uma
supervisão adequada do subcontratante.
Por isso, a escola A não tomou medidas relevantes de segurança, para proteger os
dados sensíveis dos requerentes e dos seus pais, violando assim o artigo 16.º n.º 1 da Lei
da Protecção de Dados Pessoais.
Como a escola A foi suspeita de violar a Lei da Protecção de Dados Pessoais, poderia
ser condenada ao pagamento de multa. Em conformidade com o artigo 93.º do Código do
Procedimento Administrativo aprovado pelo Decreto-Lei n.º 57/99/M de 11 de Outubro, o
GPDP realizou a audiência à escola A quanto aos referidos actos.
Durante a audiência, a escola A não justificou os actos que alegadamente violaram a
166
2014
Relatório Anual do GPDP 2014
Lei da Protecção de Dados Pessoais e só indicou algumas medidas de melhoria. Por isso,
a escola A não ofereceu justificações adequadas e suficientes quanto à acusação do GPDP
sobre os seus actos violadores da Lei da Protecção de Dados Pessoais.
Resultado
A escola A não tomou medidas adequadas de segurança para proteger os dados
sensíveis dos examinandos e dos seus pais que fizeram o registo online, tendo violado o
artigo 16.º n.º 1 da Lei da Protecção de Dados Pessoais. O GPDP decidiu aplicar à escola
A uma multa de MOP 4.000, conforme o artigo 33.º n.º 1 da mesma Lei.
Caso 6—Envio de mensagens publicitárias para telemóvel
Resumo do caso
Muitos cidadãos receberam por telemóvel mensagens publicitárias enviadas pela
empresa A, incluindo cidadãos que não eram clientes da empresa A.
Estes cidadãos consideram que os actos da empresa A violaram a Lei da Protecção de
Dados Pessoais, pelo que apresentaram queixa e denúncia ao GPDP.
Análise e conclusão
De acordo com a empresa A, as mensagens em causa podem ter sido enviadas para os
seus clientes mas também para pessoas que não são clientes.
Segundo a empresa A, quanto aos clientes, esta empresa recolhe os dados dos clientes
através do formulário com a finalidade de publicidade. Os dados recolhidos incluem nome,
número do passaporte ou do Bilhete de Identidade, endereço e número de telefone, entre
outros. De acordo com o artigo 4.º n.º 1 alínea 1) e o artigo 3.º n.º 1 da Lei da Protecção
de Dados Pessoais, os dados relevantes são relativos a clientes identificados e são dados
pessoais dos clientes. O tratamento desses dados pela empresa A por meios automatizados
está sujeito às disposições da Lei da Protecção de Dados Pessoais.
Quanto às pessoas que não são clientes da referida empresa, a empresa A utiliza um
software informático para seleccionar aleatoriamente uma lista de números de telemóvel
que poderão existir em Macau. A seguir, a empresa realiza a filtragem dos números através
do aplicativo de mensagem instantânea do telemóvel, a fim de obter os números que
estão em uso, para posteriormente enviar as mensagens publicitárias. Em relação a isto,
a empresa A disse que não sabia a quem pertenciam os números e que não tinham outros
167
2014
Relatório Anual do GPDP 2014
dados de identificação. O GPDP entende que, como a empresa A já confirmou que os
números de telemóvel estavam a ser utilizados em Macau, não há repetição de números de
telemóvel no seu ficheiro. Isto faz com que os números de telemóvel na lista se distingam
dos outros utilizadores e constituam um indicador de identificação dos seus utilizadores.
Com estes números, pode-se identificar os respectivos titulares. Por isso, os números de
telemóvel das pessoas que não são clientes também são considerados dados pessoais dos
utilizadores. De acordo com os referidos artigos da Lei da Protecção de Dados Pessoais, o
tratamento automatizado pela empresa A dos números de telemóvel das pessoas que não
são clientes também está sujeito às disposições desta Lei.
A empresa A trata os dados relevantes com a finalidade de publicidade. As finalidades
e os meios de tratamento são todos individualmente decididos pela empresa A. Por isso,
a empresa A é o responsável previsto no artigo 4.º n.º 1 alínea 5) da Lei da Protecção de
Dados Pessoais.
Quanto ao envio de mensagens electrónicas comerciais, a fim de respeitar e garantir
os direitos dos titulares dos dados, a Lei da Protecção de Dados Pessoais adopta o
mecanismo de “OPT-IN”, ou seja, o envio é permitido com o consentimento dos titulares.
Segundo a empresa A, ao associarem-se à empresa, os clientes precisam de preencher um
formulário e os dados pessoais só serão recolhidos com o consentimento dos mesmos.
Se os clientes não quiserem receber qualquer mensagem publicitária, em princípio a
empresa A não vai recolher os seus dados. O GPDP entende que, com o consentimento
dos titulares dos dados, a empresa A tem a condição de legitimidade prevista no artigo
6.º da Lei da Protecção de Dados Pessoais para tratar os dados pessoais com finalidade
publicitária, incluindo a selecção e recolha, através do aplicativo de mensagem instantânea
do telemóvel, de números de telemóvel utilizados em Macau, assim como o envio de
mensagens publicitárias para os telemóveis.
No entanto, a selecção pela empresa A, através do aplicativo de mensagem instantânea
do telemóvel, de números de telemóvel que estão em uso em Macau, envolve dados das
pessoas que não são clientes. O aplicativo tem disposições proibindo que os utilizadores
recolham dados pessoais de outros utentes através do seu serviço (por exemplo o número de
telemóvel), inclusive para a finalidade publicitária de atrair clientes. Além disso, a empresa
A não estava ciente de que os números de telemóvel fossem dados pessoais, pelo que não
tinham notificado os utilizadores dos números de telemóvel ou consultado previamente
a vontade dos mesmos antes de enviar as mensagens publicitárias. Assim, a empresa A
não tem a condição de legitimidade prevista no artigo 6.º da Lei da Protecção de Dados
Pessoais por não ter obtido o consentimento expresso dos titulares dos dados.
Resumindo, a empresa A não tem condição de legitimidade para tratar os dados
pessoais das pessoas que não são os seus clientes. Os seus actos violaram a disposição no
artigo 6.º da Lei da Protecção de Dados Pessoais.
168
2014
Relatório Anual do GPDP 2014
Resultado
A empresa recolheu dados pessoais dos utilizadores de números de telemóvel que não
eram seus clientes sem obter primeiro o consentimento dos mesmos e enviou mensagens
publicitárias a estes números, tendo influenciado muitos titulares dos dados. Além disso,
o tratamento teve apenas o objectivo de publicidade e de trazer vantagens à empresa, sem
tomar em consideração a vontade dos titulares dos dados. Porém, é a primeira vez que se
confirma que a empresa A violou a Lei da Protecção de Dados Pessoais e esta empresa
cooperou activamente com a investigação do GPDP. Por isso, ao abrigo do artigo 33.º n.º
2 da Lei da Protecção de Dados Pessoais, o GPDP decidiu condenar a empresa A a uma
multa de MOP 20.000. De acordo com o artigo 43.º da mesma Lei, a empresa A obriga-se
a eliminar e destruir todos os números de telemóvel das pessoas que não são clientes,
seleccionados através do aplicativo de mensagem instantânea do telemóvel. Com base
no princípio da boa fé, o GPDP sugere que a empresa A não continue a recolher dados
pessoais através da forma acima referida.
Caso 7—Políticas da protecção da privacidade
requerem consentimento em bloco
Resumo do caso
Segundo um participante, quando comprava um bilhete de avião no sítio na Internet
da Companhia Aérea A, a página do sítio exibia os detalhes e cláusulas da transacção,
incluindo as políticas da protecção da privacidade. Na página havia um marcador de opção
perguntando se o cliente concordava com os detalhes e cláusulas da transacção. Se o
cliente não concordar, não pode continuar a aquisição do bilhete. Segundo as políticas da
protecção da privacidade, os dados pessoais dos clientes serão entregues à Companhia A,
suas sociedades associadas e/ou subcontratante(s), e utilizados para finalidades relativas a
“marketing e/ou prestação de produtos ou serviços da Companhia A”.
O participante entende que os clientes são impedidos de escolher se concordam que a
Companhia A use os seus dados pessoais para marketing, solicitando por isso que o GPDP
acompanhe o caso.
Análise e conclusão
De acordo com o artigo 4.º n.º 1 alínea 1) e o artigo 3.º n.º 1 da Lei da Protecção de
Dados Pessoais, o tratamento dos dados do presente caso está sujeito às disposições desta
Lei.
169
2014
Relatório Anual do GPDP 2014
Segundo a resposta da Companhia A, esta recolhe dados pessoais dos clientes que
compram online bilhetes de avião por causa da exigência dos departamentos governamentais
de diferentes países e regiões. Além disso, a recolha dos dados visa ainda evitar problemas
relacionados com a situação de uma grande quantidade de pessoas com o mesmo nome
embarcar num avião. A recolha do número do telefone e do endereço do e-mail tem como
finalidade melhorar a qualidade do serviço e contactar os clientes quando houver mudança
de voos. Na prática, a Companhia não vai utilizar os dados pessoais dos clientes para
actividades de marketing directo, nem vai entregar os dados a outros organismos para esta
finalidade. A palavra “marketing” nas políticas da protecção da privacidade não reflectiu a
intenção verdadeira da Companhia e foi alterada para “garantia da qualidade do serviço”.
O GPDP entende que os clientes que compram bilhetes de avião fornecem dados
pessoais à Companhia A para obter o serviço da mesma. Por isso, a Companhia A possui
a condição de legitimidade relativa ao consentimento inequívoco do titular dos dados
prevista no art. 6.º da Lei da Protecção de Dados Pessoais. No sistema de compra online
de bilhetes da Companhia A, é exibida a frase “Durante a reserva do bilhete, eu celebro
um contrato de transporte com a Companhia A”. Segundo o Código Comercial aprovado
pelo Decreto-Lei n.º 40/99/M, o contrato de transporte é aquele pelo qual alguém se obriga
a conduzir pessoas ou bens de um lugar para outro, mediante retribuição. Por isso, o
tratamento pela Companhia A dos dados pessoais dos clientes com base na execução do
contrato é dotado da condição de legitimidade estipulada no art. 6.º alínea 1) da Lei da
Protecção de Dados Pessoais.
Por outro lado, a Companhia A já alterou a expressão nas políticas da protecção
da privacidade. No entanto, de acordo com as disposições do Código Comercial, tanto
a finalidade de marketing como a finalidade de fiscalização e melhoria da qualidade do
serviço são diferentes da finalidade da prestação do serviço de transporte. Em geral, a
legitimidade para o tratamento de dados pessoais realizado por um organismo privado com
base na finalidade de marketing directo ou promoção decorre apenas do consentimento
do titular dos dados. Por isso, a Lei da Protecção de Dados Pessoais adopta o princípio
de OPT-IN (“consentimento prévio” ou “aceitação por opção”). Segundo o art. 4.º n.º
1 alínea 9) desta Lei, o consentimento do titular dos dados é qualquer manifestação de
vontade, livre, específica e informada, nos termos da qual o titular aceita que os seus dados
pessoais sejam objecto de tratamento. A manifestação de vontade livre significa que o
titular dos dados pode realmente fazer a escolha e, nesse caso, o consentimento é válido.
Por isso, a Companhia A deve separar estas actividades do resto das políticas da protecção
da privacidade e permitir que os clientes façam a escolha.
Além disso, a Companhia A é uma companhia prestadora de serviços aéreos. Com
base na garantia da segurança do transporte e na verificação da identidade dos passageiros,
esta Companhia tem a responsabilidade de assegurar que a identidade do cliente que
compra o bilhete de avião é a mesma identidade de quem embarca no avião, além de
170
2014
Relatório Anual do GPDP 2014
contactar os clientes quando houver mudança de voos. Por isso, a recolha pela Companhia
A dos referidos dados dos clientes que compram bilhetes pela Internet não viola o princípio
da proporcionalidade prevista no art. 5.º n.º 1 alínea 3) da Lei da Protecção de Dados
Pessoais.
Depois de a Companhia A realizar a alteração, as políticas da protecção da privacidade
ainda tinham o problema de obter o consentimento dos clientes em bloco, não garantindo
que os titulares dos dados pudessem dar o consentimento de forma livre. O GPDP contactou
de novo a Companhia A exigindo que melhorasse as políticas da protecção da privacidade.
Em seguida, a Companhia A realizou a melhoria.
Resumindo, não há informações mostrando que a Companhia A tenha violado a Lei
da Protecção de Dados Pessoais.
Resultado
O GPDP já notificou o resultado à Companhia A e ao participante. O caso está
arquivado.
Caso 8—Continuar a receber informações promocionais após oposição
Resumo do caso
Um queixoso disse que recebeu, muitas vezes, na sua caixa de email informações
promocionais emitidas pelo banco A após o fornecimento do endereço de email a este
banco para aceder ao serviço de banca online. Este pediu várias vezes ao banco A e
através de uma variedade de formas (incluindo telefone, email, preenchimento pessoal de
formulários no banco, etc.) para parar de enviar qualquer informação promocional fora dos
serviços bancários online, no entanto este continua a receber as mensagens.
O queixoso considerou que o acto do banco é suspeito de violar disposições da Lei da
Protecção de Dados Pessoais e apresentou queixa.
Análise e conclusão
Nos termos da alínea 1) do n.º 1 do artigo 4.º e do n.º1 do artigo 3.º da Lei da Protecção
de Dados Pessoais, o tratamento dos dados neste caso está sujeito à Lei da Protecção de
Dados Pessoais.
O banco A referiu que o queixoso começou a utilizar os serviços do cartão Y ao
171
2014
Relatório Anual do GPDP 2014
mesmo tempo que os serviços de banca online.
Na opinião deste Gabinete, o banco A trata os dados dos clientes a fim de prestar
serviços bancários e promover o consumo em determinadas lojas, sendo as finalidades e
maneiras do tratamento definidas pelo banco. Nos termos da alínea 5) do n.º 1 do artigo 4.º
da Lei da Protecção de Dados Pessoais, o banco A é a entidade responsável pelo tratamento.
O queixoso apresentou voluntariamente os seu dados pessoais ao banco para utilizar
serviços de banca online e do cartão Y, preencheu e assinou no livro de abertura de conta,
elaborado pelo banco, tomou conhecimento e concordou com as “Cláusulas dos serviços
gerais”. O banco A estabeleceu uma relação contratual com o queixoso, possuindo condição
de legitimidade definida na alínea 1) do artigo 6.º da Lei acima referida. Simultaneamente,
o banco possui também condição de legitimidade de consentimento de forma inequívoca
indicada no artigo 6.º da mesma Lei, com base na entrega voluntária dos seus dados
pessoais para conseguir os serviços online e do cartão Y.
No entanto, o banco A trata dados através da divulgação de mensagens promocionais
e, nesta área, a Lei da Protecção de Dados Pessoais adopta o princípio “OPT-IN”. Segundo
o artigo 6.º da Lei, o banco A deve conseguir o consentimento explícito dos titulares
dos dados, caso contrário, não possui condição de legitimidade. Conforme os dados
apresentados pelo banco, quando os clientes escolhem “Cláusulas dos serviços gerais”
e assinam no livro de abertura de conta, tal significa que concordam com todas as regras
e que não podem optar livremente por receber ou não informações promocionais. Neste
caso, o modo de conseguir o consentimento dos clientes não satisfaz suficientemente
a alínea 9) do n.º 1 do artigo 4.º da Lei referida. Tomando como referência o Parecer
5/2004 do Grupo de trabalho do Artigo 29.º para a Protecção de dados, deve inserir-se
no contrato uma opção independente, a fim de garantir que o consentimento do cliente é
expresso num ambiente livre. Portanto, o Gabinete exigiu que o banco A tomasse medidas
de melhoramento. Como existe o mesmo problema nos contratos celebrado pelo banco A
antes de ter tomado medidas de melhoramento, o Gabinete lembrou o banco que quando o
cliente tiver rejeitado receber informações promocionais, deve parar de emitir mensagens,
a fim de garantir o exercício do poder de oposição, evitando a ocorrência de eventos do
mesmo género.
De acordo com Personal Data (Privacy) Ordinance e pareceres 3/2003 e 5/2004 do
Grupo de trabalho do Artigo 29.º para a Protecção de dados, marketing directo refere-se
à divulgação de mercadorias, serviços e políticas a outrem. Assim, a finalidade de emitir
mensagens promocionais do banco A consiste em promover o consumo em determinadas
lojas, aumentando a utilização do cartão Y. Por isso, a emissão deste tipo de mensagem
constitui marketing directo e deve observar os termos sobre o direito de oposição relativos
a marketing directo e prospecção comercial no n.º 2 do artigo 12.º da mesma Lei. Em
conformidade com dados do banco A, o queixoso preencheu com letras minúsculas no
172
2014
Relatório Anual do GPDP 2014
boletim de dados dos clientes e no endereço de email do “Requerimento de cancelamento/
recuperação de receber mensagens de serviços bancárias”, no entanto, o banco A introduziu
no computador com letras maiúsculas; quando o queixoso apresentou a oposição, o banco
A escolheu letras minúsculas para introduzir no computador, o que levou a que o sistema
de computador continuasse a emitir mensagens, o que é obviamente um problema interno
do funcionamento do banco. Portanto, o banco A violou as disposições do n.º 2 do artigo
12.o da Lei da Protecção de Dados Pessoais.
Em resumo, o banco não respeitou o direito de oposição do queixoso, violou as
disposições do n.º 2 do artigo 12.º da Lei da Protecção de Dados Pessoais.
Resultado
O Gabinete considerou os seguintes factores: a) O banco A enviou várias vezes
informações promocionais após a apresentação de oposição do queixoso; b) Violou pela
primeira vez a Lei da Protecção de Dados Pessoais; 3) Não é violação dolosa; 4) O banco
A já tomou medidas para melhorar a situação; 5) O banco A colaborou com a investigação.
Portanto, o banco é punido com pena de multa de MOP 4.000, nos termos da alínea 1) do
artigo 33.º da Lei supracitada. O Gabinete exigiu ao banco A que proceda ao melhoramento.
Caso 9—Transferir relatórios do exame médico sem os lacrar
Resumo do caso
Segundo um queixoso, a Empresa A onde trabalha manda todos os anos os empregados
fazer exame médico na Empresa B. Depois do exame, a Empresa B entrega os relatórios
de saúde de todos os empregados à Empresa A e esta entrega-os aos titulares dos dados.
No passado, os relatórios estavam sempre lacrados ao serem entregues à Empresa A. No
entanto, desta vez os relatórios não foram lacrados. Assim, todas as pessoas que tinham
acesso aos relatórios (por exemplo a pessoa que entregou os relatórios de saúde à Empresa
A) podiam tomar conhecimento dos dados de saúde dos titulares dos dados. X considera
que isto viola as disposições da Lei da Protecção de Dados Pessoais e pede que o GPDP
acompanhe o caso.
Análise e conclusão
De acordo com o artigo 4.º n.º 1 alínea 1) e o artigo 3.º n.º 1 da Lei da Protecção de
Dados Pessoais, o tratamento dos dados do presente caso está sujeito às disposições desta
Lei.
173
2014
Relatório Anual do GPDP 2014
Segundo a resposta da Empresa B, esta realiza o exame médico anual aos empregados
da Empresa A por conta desta Empresa. Em relação ao procedimento do exame, o pessoal
da Empresa B verifica primeiro as informações e introduz os dados de cada empregado
no computador, a fim de gerar os números de admissão. Depois do exame, a Empresa
imprime os relatórios de saúde conforme os números de admissão, que são únicos para
cada empregado. Em seguida, o pessoal autorizado da Empresa B verifica o conteúdo
dos relatórios e aprova a emissão dos mesmos. Desta vez, para facilitar a verificação da
identidade e da quantidade de empregados da Empresa A que tinham feito o exame médico,
a Empresa B não lacrou separadamente os relatórios. Pelo contrário, colocou todos os
relatórios num saco e entregou-o à Empresa A. Depois do ocorrido, a Empresa B realizou
a revisão do processo interno de controlo de sigilo.
Segundo a resposta da Empresa A, os relatórios entregues pela Empresa B desta vez
não se encontravam lacrados. A Empresa A afirmou que o exame médico é um benefício
para os empregados. Depois de receber os relatórios de saúde, esta Empresa não regista
nem consulta o conteúdo dos relatórios por via manual ou informática. Em vez disso, a
Empresa A entrega directamente os relatórios aos empregados.
No nosso entender, embora a Empresa A tenha encarregado a Empresa B de fazer o
exame médico aos seus empregados, a Empresa A apenas assumiu as respectivas despesas,
mas não participou no tratamento dos dados, pois todo o processo do tratamento de dados
pessoais foi realizado pela Empresa B. Além disso, a Empresa A não é uma instituição de
saúde e não tem condições para participar no tratamento dos relatórios de saúde efectuado
pela Empresa B. Por isso, apenas a Empresa B tinha o poder decisório sobre as finalidades
e os meios do tratamento de dados pessoais dos examinados (empregados da Empresa A).
De acordo com o art. 4.º n.º 1 alínea 5) da Lei da Protecção de Dados Pessoais, a Empresa
B é responsável pelo tratamento dos dados de saúde dos examinados.
Se os empregados da Empresa A quiserem gozar do benefício da empresa e fazer o
exame médico realizado pela Empresa B, pode considerar-se que estes empregados dão
consentimento quanto ao tratamento dos seus dados de saúde pela Empresa B. Os dados
constantes no relatório de saúde são dados sensíveis. De acordo com o art. 6.º e o art. 7.º n.º
2 da Lei da Protecção de Dados Pessoais, desde que com garantias de não discriminação e
com as medidas de segurança previstas no artigo 16.º, a Empresa B tem legitimidade para
tratar os dados de saúde dos titulares dos dados depois de obter o consentimento expresso
dos examinados.
Desta vez, a Empresa B entregou em conjunto os relatórios de saúde à Empresa A. O
GPDP entende que os números de admissão são suficientes para identificar os titulares dos
dados. Mesmo que os relatórios sejam separadamente lacrados, é preciso apenas escrever
os números de admissão na capa dos relatórios para poder verificar a quantidade dos
relatórios e a identidade dos examinados. No passado, a Empresa B lacrava separadamente
174
2014
Relatório Anual do GPDP 2014
os relatórios e não teve dificuldade na verificação. Além disso, não há informações
mostrando que, desta vez, a Empresa B precisasse de alterar os meios de tratamento dos
relatórios por motivos especiais. Antes da apresentação da presente queixa, a Empresa B
não regulamentou rigorosamente o respectivo procedimento e alterou os meios originais
de tratamento sem motivo justo ou suficiente.
É facto que a lacragem dos relatórios de saúde pode reduzir o risco de fuga dos
dados. Além disso, o risco pode ser reduzido pela implementação de medidas adequadas
de segurança no âmbito sob controlo da Empresa B. O presente caso envolve todos os
empregados da Empresa A que fizeram o exame médico e as duas empresas não celebraram
qualquer acordo de sigilo. Quando os relatórios foram entregues à Empresa A, a Empresa
B deixou de poder controlar os mesmos e, no caso de extravio ou fuga dos dados, a
consequência seria muito grave. Por isso, suspeita-se que a Empresa B tenha violado o art.
16.º da Lei da Protecção de Dados Pessoais. Nos termos do art. 33.º n.º 1 da mesma Lei, os
actos podem constituir infracção administrativa e ficar sujeitos a multa. Por isso, o GPDP
realizou audiência escrita à Empresa B.
Durante a audiência escrita, a Empresa B explicou que antes do exame os empregados
da Empresa A tinham assinado o “Requerimento de Exame Médico”. Segundo a Empresa
B, a nona cláusula do “Acordo” anexado ao requerimento tinha o seguinte conteúdo: “...o
requerente pode consultar e receber o relatório da consulta ou o relatório do exame de
saúde”. A Empresa B considera que esta cláusula significa que a Empresa A foi autorizada
pelos examinados para receber e ler os relatórios de saúde. A Empresa B disse que, quer
subjectiva quer objectivamente, não tinha efectuado qualquer fuga de dados pessoais dos
empregados da Empresa A.
O GPDP entende que o “requerente” indicado na nona cláusula do acordo acima
mencionado se refere ao próprio examinado e não concorda com o entendimento
da Empresa B de que a Empresa A foi autorizada pelos examinados a receber e ler os
relatórios de saúde. Na verdade, a Empresa A foi responsável apenas pela distribuição dos
relatórios da Empresa B. De acordo com o art. 35.º da Lei da Protecção de Dados Pessoais,
o responsável que, por negligência, não tomou medidas de segurança para proteger dados
sensíveis também fica sujeito à punição. Como a Empresa B não ofereceu uma explicação
razoável e suficiente, o GPDP rejeitou todas as suas opiniões.
Resumindo, durante o tratamento de dados sensíveis, a Empresa B não tomou medidas
adequadas de segurança e fez com que o conteúdo dos relatórios de saúde pudesse ser lido
por pessoas não autorizadas, violando assim o art. 16.º da Lei da Protecção de Dados
Pessoais.
175
2014
Relatório Anual do GPDP 2014
Resultado
O GPDP tomou em consideração os seguintes factores: 1) Falta à Empresa B a
consciência de segurança dos dados; 2) O relatório de saúde contém dados sensíveis do
titular dos dados; 3) O caso envolve todos os empregados da Empresa A que fizeram o
exame médico; 4) A Empresa B já realizou medidas de melhoramento; 5) Foi a primeira
vez que a Empresa B violou a Lei da Protecção de Dados Pessoais. De acordo com o art.
33.º n.º 1 da referida Lei, o GPDP decidiu aplicar uma multa de MOP 4.000 à Empresa B.
Caso 10—Recebimento de mensagens de marketing depois da oposição
Resumo do caso
Segundo um queixoso, este não é cliente ou membro do Centro de Saúde A. No
entanto, recebia constantemente mensagens de marketing directo deste Centro. O queixoso
telefonou por várias vezes ao Centro de Saúde A para exercer o seu direito de oposição,
exigindo que o Centro deixasse de lhe enviar mensagens de marketing e eliminasse os seus
dados pessoais. Porém, continuou a receber as mensagens de marketing.
Ele considera que os actos do Centro de Saúde A podem violar a Lei da Protecção de
Dados Pessoais.
Análise e conclusão
De acordo com o artigo 4.º n.º 1 alínea 1) e o artigo 3.º n.º 1 da Lei da Protecção de
Dados Pessoais, o tratamento dos dados do presente caso está sujeito às disposições desta
Lei.
Depois da investigação, o GPDP descobriu que o queixoso era doente do Centro
de Saúde A e recebia mensagens de marketing emitidas em nome deste Centro. O utente
registado do número utilizado para o envio das mensagens é a Empresa B, titular da licença
do Centro de Saúde A.
O GPDP entende que o número de telefone registado pela Empresa B serve apenas
para que o Centro de Saúde A envie mensagens de marketing. A Empresa B não trata os
dados pessoais dos doentes, enquanto o Centro de Saúde A tem poder decisório sobre o
tratamento de dados pessoais dos doentes. Por isso, de acordo com o art. 4.º n.º 1 alínea 5)
da Lei da Protecção de Dados Pessoais, o Centro de Saúde A é responsável pelo tratamento.
Com base nas finalidades do registo da história médica e de contacto, o Centro de
176
2014
Relatório Anual do GPDP 2014
Saúde A tratava os dados pessoais fornecidos voluntariamente pelo queixoso, possuindo
por isso a condição de legitimidade relativa ao consentimento inequívoco do titular dos
dados prevista no art. 6.º da Lei da Protecção de Dados Pessoais. Além disso, o queixoso
era doente do Centro de Saúde A e este Centro prestava serviços médicos e tratava os seus
dados de saúde por sua livre vontade. Assim, o Centro de Saúde A tinha também a condição
de legitimidade prevista no art. 7.º n.º 2 alínea 3) da Lei da Protecção de Dados Pessoais.
Segundo as informações fornecidas pelo Centro de Saúde A, este começou a enviar
mensagens de marketing ao queixoso depois de obter o seu consentimento. Segundo
este Centro, caso os doentes (incluindo o referido queixoso) não concordem em receber
mensagens de marketing, o Centro registará o respectivo número de telefone numa
lista que contém nomes de pessoas que se recusam a receber chamadas e mensagens. O
queixoso alegou nunca ter recebido o serviço do Centro de Saúde A, o que não corresponde
à verdade verificada pelo GPDP. Por isso, actualmente não há informações suficientes
provando a autenticidade das alegações do queixoso, nem informações mostrando que o
Centro de Saúde A tenha enviado mensagens de marketing ao queixoso sem obter primeiro
o seu consentimento.
Além disso, o queixoso não tem provas de que tenha exercido junto do Centro de
Saúde A o direito de oposição previsto no art. 12.º da Lei da Protecção de Dados Pessoais.
Segundo o Centro A, o número de telemóvel do queixoso não está incluído na referida
lista de recusa de mensagens. Por isso, actualmente não há provas de que o queixoso tenha
exercido o direito de oposição ao Centro de Saúde A. Além disso, o Centro de Saúde A já
eliminou o número de telemóvel desse queixoso.
As finalidades de registar a história médica e de contactar os doentes são diferentes
da finalidade de marketing directo. O GPDP enviou um ofício ao Centro de Saúde A,
lembrando-o de que não pode forçar os doentes a aceitar o recebimento de mensagens de
marketing. Em vez disso, o Centro deve obter separadamente o consentimento dos doentes
quanto ao marketing directo. O GPDP exigiu ainda que o Centro de Saúde A melhorasse
as políticas relativas ao direito de oposição dos doentes. Se um doente expressar oposição
ao Centro de Saúde A quanto à finalidade de marketing directo, o Centro deve incluir
imediatamente este cliente na lista das pessoas que exerceram o direito de oposição e
deixar de tratar os seus dados pessoais com base na finalidade de marketing directo, em
vez de eliminar o número de telemóvel deste doente.
Resumindo, actualmente não há provas mostrando que o Centro de Saúde A tenha
violado as disposições da Lei da Protecção de Dados Pessoais.
177
2014
Relatório Anual do GPDP 2014
Resultado
O GPDP já notificou o resultado ao queixoso e ao Centro de Saúde A e lembrou este
Centro sobre os assuntos a ter presentes. O caso está arquivado.
Caso 11—Enviar por erro mensagens de promoção a pessoas que não são
membros da Associação
Resumo do caso
Segundo um queixoso X, ele não é membro da Associação A. Porém, recebe
constantemente mensagens enviadas pelo Centro B, subordinado à Associação A, usando
um único número de telefone. O conteúdo das mensagens é sobre a promoção dos cursos
e actividades do Centro B. X telefonou ao Centro B e até foi pessoalmente à instituição
exigindo que o Centro deixasse de lhe enviar mensagens de promoção. Porém, continua a
receber as mensagens.
X considera que a Associação pode estar a violar a Lei da Protecção de Dados
Pessoais, exigindo que o GPDP acompanhe o caso.
Análise e conclusão
De acordo com o artigo 4.º n.º 1 alínea 1) e o artigo 3.º n.º 1 da Lei da Protecção de
Dados Pessoais, o tratamento dos dados do presente caso está sujeito às disposições desta
Lei.
Segundo a resposta da Associação A, o que X disse sobre o assunto é verdade, pois
quando o funcionário do Centro inseriu os dados do Membro Y, introduziu erradamente
o número de telefone de X como se fosse dado de Y. Apesar da exigência de X quanto à
cessação do envio das mensagens de promoção, ele continuou a receber as mensagens de
promoção devido a erro de comunicação e a negligência do pessoal da Associação.
Segundo as informações existentes, a Associação A está devidamente registada e o
Centro B é um centro de serviço subordinado à Associação A, em vez de um órgão ou
associação independente. Por isso, a Associação A tem poder decisório sobre as finalidades
e os meios do tratamento, pelo Centro B, de dados pessoais dos membros. De acordo
com o art. 4.º n.º 1 alínea 5) da Lei da Protecção de Dados Pessoais, a Associação A é
responsável pelo tratamento.
Segundo o art. 5.º n.º 1 alínea 4) da referida Lei, os dados pessoais devem ser exactos
178
2014
Relatório Anual do GPDP 2014
e, se necessário, actualizados, devendo ser tomadas as medidas adequadas para assegurar
que sejam apagados ou rectificados os dados inexactos ou incompletos, tendo em conta
as finalidades para que foram recolhidos ou para que são tratados posteriormente. No
entanto, depois de receber a exigência de X, a Associação A não tomou medidas adequadas
para rectificar o seu ficheiro, fazendo com que X continuasse a receber as mensagens de
promoção. Por isso, a Associação A não cumpriu pontualmente o dever de protecção de
dados pessoais, imposto pela Lei da Protecção de Dados Pessoais aos responsáveis pelo
tratamento, violando o art. 5.º n.º 1 alínea 4) desta Lei.
Resumindo, a Associação A violou o art. 5.º n.º 1 alínea 4) da Lei da Protecção de
Dados Pessoais.
Resultado
O GPDP tomou em consideração os seguintes factores: Foi a primeira vez que a
Associação A violou as disposições da Lei da Protecção de Dados Pessoais; A Associação A
já melhorou o tratamento de dados pessoais dos membros conforme a exigência do GPDP;
A Associação A cooperou com o GPDP durante a investigação. De acordo com o art. 33.º
n.º 2 da referida Lei, o GPDP decidiu aplicar uma multa de MOP 4.000 à Associação
A. Segundo o art. 31.º desta Lei, o GPDP exigiu ainda que a Associação examinasse
cuidadosamente os dados no ficheiro dos membros, a fim de garantir a exactidão dos dados.
Caso 12—Recolha de dados pessoais com finalidade estatística
Resumo do caso
Segundo a creche A, o Instituto B enviou-lhe formulários intitulados “Ficheiro
Informático de Equipamentos Sociais”, exigindo que a creche A preenchesse os dados de
todos os trabalhadores, incluindo o nome e o salário. O Instituto B informou que a recolha
dos dados tinha como finalidade estatística dos salários dos trabalhadores.
A creche A considera que o Instituto B estava a recolher dados pessoais excessivos,
pelo que fez a denúncia junto ao GPDP.
Análise e conclusão
De acordo com o artigo 4.º n.º 1 alínea 1) e o artigo 3.º n.º 1 da Lei da Protecção de
Dados Pessoais, o tratamento dos dados do presente caso está sujeito às disposições da Lei
da Protecção de Dados Pessoais.
179
2014
Relatório Anual do GPDP 2014
De acordo com o Decreto-Lei n.º 90/88/M, as creches são equipamentos sociais e
o Instituto B tem competência para emitir licenças e realizar a fiscalização quanto aos
equipamentos sociais. Os equipamentos sociais, por sua vez, obrigam-se a entregar ao
Instituto B os mapas estatísticos dos utentes e a relação do pessoal existente relativos ao
período anual anterior. Segundo o Decreto-Lei n.º 24/99/M, compete ao Instituto B elaborar
e manter actualizada uma base de dados relativamente à situação dos equipamentos sociais.
Por isso, o GPDP entende que o Instituto B tem a condição de legitimidade prevista no
artigo 6.º alínea 4) da Lei da Protecção de Dados Pessoais ao recolher dados pessoais dos
trabalhadores de equipamentos sociais.
De acordo com o Instituto B, os formulários foram distribuídos aos equipamentos
não residenciais sujeitos à fiscalização do Instituto B, e a recolha dos dados relativos ao
salário tinha como finalidade principal elaborar e ajustar as políticas relacionadas com
o subsídio e a oferta e procura de recursos humanos. De acordo com o Decreto-Lei n.º
24/99/M e o Decreto-Lei n.º 90/88/M, o Instituto B recolhe os dados relativos ao salário
com a finalidade de fiscalizar a ajuda financeira às entidades privadas sociais que recebem
subsídios. O GPDP entende que a recolha, pelo Instituto B, dos dados relativos ao salário dos
trabalhadores dos equipamentos sociais é importante para o exercício das suas atribuições
e para a investigação do grau de subsídio e da importação de trabalhadores não residentes.
Além disso, como está envolvida a utilização do dinheiro público, é necessário realizar
uma apreciação rigorosa. Embora os referidos decretos-leis não tenham disposições sobre
as categorias de dados a serem recolhidos, o Instituto B obriga-se a considerar o princípio
de proporcionalidade previsto no artigo 5.º n.º 1 alínea 3) da Lei da Protecção de Dados
Pessoais. Em geral, quando envolvem a avaliação e o fim estatístico, a identidade do
trabalhador não é importante. Em vez disso, o cargo que o trabalhador ocupa é um factor
que vale a pena tomar em consideração. Os formulários são aplicáveis a equipamentos
sociais que recebem subsídio e também a equipamentos sociais que não o recebem. A
situação financeira dos equipamentos sociais sem subsídio é relativamente independente
e os salários dos trabalhadores fazem parte da sua política interna. Por isso, com vista
a obter o equilíbrio entre a consideração política e o princípio de proporcionalidade, o
Instituto B precisa apenas de recolher dados relativos ao salário e não dados pessoais dos
trabalhadores a quem correspondem os respectivos salários.
Além disso, no formulário o Instituto B pode exigir que os equipamentos sociais
preencham apenas a faixa etária dos trabalhadores, que pode servir com referência para
a recolha de dados relativos ao salário. O Instituto B pode ainda criar no formulário um
outro espaço para recolher o salário médio ou a mediana do salário dos trabalhadores
sem mencionar os nomes destes, a fim de equilibrar os interesses dos titulares dos dados
enquanto o Instituto B exerce as suas atribuições.
Resumindo, o Instituto B não violou as disposições da Lei da Protecção de Dados
Pessoais. No entanto, os formulários podem ser melhorados.
180
2014
Relatório Anual do GPDP 2014
Resultado
O caso está arquivado. O GPDP já notificou o resultado do caso ao Instituto B e à
creche A.
Caso 13—Publicação de dados pessoais de terceiros em sítio de rede social
Resumo do caso
Segundo um queixoso Z, X publicou sem o seu consentimento uma mensagem
onde constavam dados pessoais de Z (incluindo o nome em chinês de Z, o seu número
de telemóvel, o nome da conta individual de Z no sítio de rede social A e a foto) usando a
conta individual B, aberta e administrada por X no sítio de rede social A. A permissão de
acesso à mensagem foi definida como “aberta”. Z entende que os actos de X violaram a Lei
da Protecção de Dados Pessoais.
Análise e conclusão
Após investigação, o GPDP descobriu que a permissão de acesso à mensagem em
causa foi definida como “aberta”. Além disso, X assinalou vários amigos e deixou uma
mensagem pedindo que os amigos ajudassem a partilhar a publicação. Mais tarde, X
eliminou a mensagem.
De acordo com a Lei da Protecção de Dados Pessoais e o Parecer 5/2009 sobre as
redes sociais em linha do Grupo de Trabalho do Artigo 29.º para a Protecção dos Dados da
Comissão Europeia, só quando o utilizador restringe a permissão de acesso no sítio de rede
social e o tratamento não se destina a comunicação sistemática ou difusão, é que a situação
poderá corresponder ao tratamento de dados pessoais efectuado por pessoa singular no
exercício de actividades exclusivamente pessoais ou domésticas. Só nesse caso é que não
se aplica a Lei da Protecção de Dados Pessoais. O GPDP entende que X não realizou
qualquer restrição da permissão de acesso à referida mensagem e a divulgação teve como
finalidade uma difusão ampla. Por isso, X tinha a intenção de difusão aberta da mensagem,
pelo que a publicação não corresponde à referida situação em que a Lei da Protecção de
Dados Pessoais não se aplica. De acordo com o artigo 4.º n.º 1 alínea 1) e o artigo 3.º n.º
1 da Lei da Protecção de Dados Pessoais, o tratamento dos dados do presente caso está
sujeito às disposições desta Lei.
Segundo X, este divulgou a mensagem no sítio de rede social A a pedido de Y, um
amigo que ele não conhecia bem.
181
2014
Relatório Anual do GPDP 2014
Segundo o art. 4.º n.º 1 alínea 5) da Lei da Protecção de Dados Pessoais, o responsável
pelo tratamento refere-se à pessoa ou organismo que determine as finalidades e os meios
de tratamento dos dados pessoais. O GPDP entende que a conta individual B no sítio de
rede social A foi aberta e administrada por X. Por isso, X pode determinar as finalidades
e os meios de tratamento dos dados pessoais relevantes. Mesmo que X alegasse que tinha
divulgado a referida mensagem a pedido de Y e que os dados pessoais foram fornecidos por
Y, X ainda podia decidir se iria divulgar a mensagem, assim como a restrição da permissão
de acesso ao conteúdo. Por isso, X é responsável pelo tratamento dos dados em causa.
Para o tratamento de dados pessoais gerais, X obriga-se a preencher qualquer uma
das condições de legitimidade previstas no art. 6.º da Lei da Protecção de Dados Pessoais.
Segundo X, antes da publicação, ele não obteve o consentimento de Z, pelo que não
possuía a condição de legitimidade de “consentimento inequívoco do titular dos dados”
prevista no art. 6.º da referida Lei. Além disso, a publicação de dados pessoais de Z por X
no sítio de rede social A não constitui situação de necessidade para a execução de contrato
ou de diligências prévias à formação do contrato, prevista no art. 6.º alínea 1) da referida
Lei, nem a situação do cumprimento de obrigação legal indicada pelo art. 6.º alínea 2) ou
à situação de “protecção de interesses vitais do titular dos dados, se este estiver física ou
legalmente incapaz de dar o seu consentimento”, nos termos do art. 6.º alínea 3). Além
disso, X não é autoridade pública, não possuindo a condição de legitimidade indicada
na alínea 4) do mesmo artigo. Por conta de Y, X divulgou a mensagem através da conta
individual B do sítio de rede social A, exigindo que Z reembolsasse Y. Porém, X não é
credor e não tem qualquer “interesse legítimo”, não possuindo portanto a condição de
legitimidade prevista na alínea 5) do mesmo artigo.
Resumindo, X não tem condição de legitimidade para divulgar os dados pessoais de
Z através da conta individual B no sítio de rede social A, tendo violado o art. 6.º da Lei da
Protecção de Dados Pessoais.
Resultado
O GPDP tomou em consideração os seguintes factores: 1) X não restringiu qualquer
permissão de acesso quando divulgou dados de Z no sítio de rede social A. 2) Foi a primeira
vez que X violou a Lei da Protecção de Dados Pessoais. 3) X eliminou a mensagem pouco
tempo depois da publicação no sítio de rede social A. 4) Durante a investigação, não se
apurou que X tivesse divulgado a mensagem em outros sítios ou fóruns. 5) X cooperou
com o GPDP na investigação. De acordo com o art. 33.º n.º 2 da Lei da Protecção de Dados
Pessoais, o GPDP decidiu condenar X a uma multa de MOP 8.000.
182
2014
Relatório Anual do GPDP 2014
Caso 14—Circulação de um documento onde
constam dados pessoais dos estudantes
Resumo do caso
Este Gabinete recebeu uma denúncia do cidadão X, indicando que o responsável Y, do
curso Z que frequentava, mandou circular e verificar, entre os estudantes, um documento
contendo dados pessoais de todos os estudantes do curso, a fim de garantir a correcção
das informações a mencionar nos certificados de curso fossem correctas. O curso Z foi
organizado pela universidade A e pela escola secundária B. Apesar de a circulação ter sido
impedida por alguns estudantes, o documento somente foi recuperado depois de ser lido
por mais de três quartos dos estudantes.
X suspeitou que o tratamento em causa terá violado disposições da Lei da Protecção
de Dados Pessoais, pelo que o denunciou a este Gabinete.
Posteriormente, o Gabinete recebeu uma denúncia transferida dos serviços C sobre o
mesmo assunto, por isso o Gabinete acompanhou e investigou os casos em conjunto.
Análise e conclusão
Nos termos da alínea 1) do n.º 1 do artigo 4.º e do n.º 1 do artigo 3.º da Lei da
Protecção de Dados Pessoais, o tratamento dos dados deste caso está sujeito à Lei da
Protecção de Dados Pessoais.
O Gabinete considera que a universidade A é a entidade organizadora do curso, tem
poder decisório em relação à finalidade e maneira de tratamento de dados pessoais, o
certificado do curso é emitido pela universidade e a maior parte das disciplinas é leccionada
por professores da universidade; por outro lado, a escola secundária B é uma entidade
colaboradora, fornece local para inscrição e para dar aulas, é responsável pelo processo
de inscrição e por outros assuntos relacionados com o curso, manda também um professor
para leccionar uma disciplina, por isso, tanto A como B são entidades responsáveis pelo
tratamento, nos termos da alínea 5) do n.º 1 do artigo 4.º da Lei da Protecção de Dados
Pessoais.
Os estudantes apresentaram voluntariamente os dados pessoais, a pedido de A e B
para organizar o curso Z, correspondendo à disposição respeitante ao consentimento de
forma inequívoca do artigo 6.º da Lei supracitada. Além disso, qualquer pessoa pode saber
que o curso Z é organizado por A e B através do Boletim da Inscrição, os estudantes que
apresentaram dados pessoais para se inscrever no curso têm que aceitar os regulamentos
do Boletim, isto significa que existe uma relação de contrato, possuindo, ao mesmo tempo,
183
2014
Relatório Anual do GPDP 2014
condição de legitimidade prevista na alínea 1) do artigo 6.º da Lei supracitada.
Segundo o ofício de resposta da escola B, o Boletim de Inscrição e o Formulário de
Inscrição, aos participantes é exigido que forneçam dados como o nome em chinês e em
língua estrangeira, sexo, data de nascimento, tipo e número de documento de identificação,
endereço, entidade onde trabalha, número de telefone de contacto, endereço de e-mail etc.
Em geral, com base nas finalidades de organização do curso, de verificação dos dados
dos estudantes e de emissão de certificado, o pedido de fornecimento de dados não viola
o princípio de proporcionalidade definido na alínea 3) do n.o 1 do artigo 5.º da Lei acima
referida. Por outro lado, a escola B disse que pediu aos estudantes que verificassem os dados
porque o documento em causa era uma cópia, podia não ser clara. Após a investigação
do Gabinete, concluiu-se que o formulário podia ser preenchido à mão com lapsos de
escrita ou letras ilegíveis. A universidade A e a escola B também têm direito de definir
regulamentos na área de ensino, sem violar o princípio de proporcionalidade.
Além disso, conforme os dados fornecidos pela escola B e a declaração constante
no Boletim de Inscrição – “Os dados no boletim têm apenas finalidade de arquivo”, por
isso, o tratamento de dados da universidade A e da escola B não se desvia da finalidade de
recolha de dados, correspondendo às disposições da alínea 2) do n.º 1 do artigo 5.º da Lei
da Protecção de Dados Pessoais.
O Gabinete tomou conhecimento que Y mandou circular um documento com dados
pessoais dos estudantes numa aula para os verificar e, perante a oposição de alguns
estudantes, mandou verificar os dados individualmente, tapando os dados das outras
pessoas com um papel. A maneira de circulação do documento possibilita a alteração,
divulgação e consulta de dados dos outros estudantes por pessoa não autorizada, violando
o artigo 15.º da Lei acima referida. Este Gabinete exige que a escola B tome adequadas
medidas técnicas e orgânicas para garantir a segurança dos dados, e que assine um acordo
de colaboração com a universidade A para clarificar os diferentes trabalhos no tratamento
de dados, evitando disputas do mesmo género. Caso X tenha sido prejudicado pelo acto
acima referido, poderá intentar uma acção civil de indemnização ao tribunal contra a
entidade responsável, nos termos do artigo 14.º da Lei da Protecção de Dados Pessoais.
O Gabinete toma conhecimento que Y recuperou o documento em causa após a
apresentação de oposição por alguns estudantes. De acordo com os dados existentes, não
se constata violação do direito de oposição do titular de dados, nos termos da alínea 1) do
artigo 12.º da Lei da Protecção de Dados Pessoais.
Em resumo, o tratamento de dados em causa pela universidade A e pela escola B
revela insuficiência nas medidas de segurança, devendo ser melhorado.
184
2014
Relatório Anual do GPDP 2014
Resultado
O resultado do tratamento foi comunicado a X e à escola B. O Gabinete exigiu que a
escola B tomasse medidas adequadas e informasse o assunto à universidade A. O caso foi
arquivado.
Caso 15—Carregar por erro fotos dos clientes na Internet
Resumo do caso
X e Y tiraram fotos pessoais durante a gravidez da mulher na Companhia A. Mais
tarde, descobriram que a Companhia A tinha publicado as fotos dos dois na página da
Companhia na rede social B sem ter restringido a permissão de acesso. X e Y telefonaram
por várias vezes para a Companhia A, mas ninguém atendeu as chamadas. Além disso, X e
Y enviaram várias mensagens privadas à Companhia A através da rede social B, exigindo
a eliminação imediata das fotos. Porém, não receberam qualquer resposta.
X e Y nunca deram o consentimento à Companhia A para publicação das suas fotos no
sítio B. O contrato, o recibo e a página do sítio B também não contêm cláusulas indicando
que as fotos dos clientes serão publicadas.
X e Y consideram que os actos da Companhia A podem violar a Lei da Protecção
de Dados Pessoais e apresentaram queixa ao GPDP, pedindo que o GPDP exija que a
Companhia A elimine as fotos.
Análise e conclusão
De acordo com o artigo 4.º n.º 1 alínea 1) e o artigo 3.º n.º 1 da Lei da Protecção de
Dados Pessoais, o tratamento dos dados do presente caso está sujeito às disposições desta
Lei.
Segundo o art. 7.º n.º 1 da referida Lei, as fotos são relativas à vida privada de X e Y
e são dados sensíveis.
Segundo a resposta da Companhia A, no dia seguinte a ter visto a mensagem privada
na página do sítio B, o empregado da Companhia eliminou as fotos conforme a exigência
de X e Y.
No nosso entender, a Companhia A tirou fotos de X e Y e publicou as fotos destes na
rede social B, na página administrada por esta Companhia. Por isso, a Companhia A tinha
185
2014
Relatório Anual do GPDP 2014
poder decisório em relação às finalidades e aos meios do tratamento dos dados de X e Y.
Nos termos do art. 4.º n.º 1 alínea 5) da Lei da Protecção de Dados Pessoais, a Companhia
A é responsável pelo tratamento dos dados relevantes.
A Companhia A é uma empresa comercial e a publicação das fotos de X e Y tem
como finalidade a actividade promocional. Obviamente, esta Companhia não possuía
as condições de legitimidade previstas no art. 6.º alíneas 2) a 4) da Lei da Protecção de
Dados Pessoais. A Companhia A admitiu que não tinha obtido o consentimento de X e Y
antes de publicar as suas fotos e que a publicação das fotos não se baseava no contrato
celebrado com X e Y, pelo que não tinha o “consentimento inequívoco” e a condição
de legitimidade estipulada no art. 6.º alínea 1) da referida Lei. Além disso, os interesses
comerciais da Companhia A não prevalecem sobre os interesses legítimos de X e Y, pelo
que a Companhia não possuía a condição de legitimidade prevista no art. 6.º alínea 5) da
referida Lei. Assim, a Companhia A não tinha qualquer condição de legitimidade prevista
no art. 6.º da Lei da Protecção de Dados Pessoais. Além disso, de acordo com o art. 7.º da
mesma Lei, a Companhia só podia tratar dados sensíveis de X e Y depois de obter o seu
consentimento expresso. Deste modo, a Companhia A também não possuía condição de
legitimidade para publicar dados sensíveis de X e Y.
Nos termos do art. 21.º n.º 1 da referida Lei, o responsável pelo tratamento obriga-se
a notificar o GPDP do tratamento de dados pessoais por meios automatizados. Depois da
advertência do GPDP, a Companhia apresentou ao GPDP o requerimento de notificação
relevante.
Resumindo, a Companhia A tratou dados pessoais (incluindo dados sensíveis) sem
observar os artigos 6.º e 7.º da Lei da Protecção de Dados Pessoais.
Resultado
O GPDP tomou em consideração os seguintes factores: 1) A página da Companhia
A na rede social B é aberta e todas as pessoas que têm acesso a esta página podem ver o
respectivo conteúdo e deixar comentários, o que afecta a vida de X e Y; 2) A Companhia
A eliminou imediatamente as fotos depois de tomar conhecimento de que as mesmas
tinham sido carregadas por erro na Internet; 3) A presente queixa é um caso individual; 4)
A Companhia não praticou de forma dolosa os actos ilegais; 5) Foi a primeira vez que a
Companhia A violou a Lei da Protecção de Dados Pessoais; 6) Durante a investigação, a
Companhia cooperou com o GPDP e admitiu que tinha violado a lei. Devido à violação do
artigo 7.º da Lei da Protecção de Dados Pessoais, que requer penas mais severas, o GPDP
decidiu condenar a Companhia A a uma multa de MOP 8.000, nos termos do art. 33.º n.º 2
da Lei da Protecção de Dados Pessoais.
186
2014
Relatório Anual do GPDP 2014
Caso 16—Instalação de câmaras de filmagem no perímetro da escola
Resumo do caso
Um queixoso X disse que a Escola A tinha instalado várias câmaras de filmagem
no perímetro da escola e que quase toda a lente e o corpo dessas câmaras se estendia à
via pública. Assim, as pessoas que passam são filmadas pelas câmaras, o que preocupa
X e outros cidadãos. Além disso, X afirmou que não via avisos de filmagem que a Escola
deveria ter colocado nas áreas próximas às câmaras.
X entende que os actos da Escola podem violar a Lei da Protecção de Dados Pessoais
e apresentou queixa ao GPDP.
Análise e conclusão
De acordo com o artigo 4.º n.º 1 alínea 1) e o artigo 3.º n.º 1 da Lei da Protecção de
Dados Pessoais, o tratamento dos dados do presente caso está sujeito às disposições desta
Lei.
A Escola A instalou as câmaras de filmagem no perímetro da escola com a finalidade
de garantir a segurança dos alunos e dos bens da escola. A Escola tem o poder decisório
em relação às finalidades e aos meios do tratamento dos dados filmados, pelo que é
responsável pelo tratamento nos termos do art. 4.º n.º 1 alínea 5) da Lei da Protecção de
Dados Pessoais. As finalidades acima referidas são legais, legítimas e de boa fé e, nesse
caso, os interesses pessoais dos titulares dos dados não prevalecem sobre os interesses
legítimos da Escola. Por isso, a Escola possui a condição de legitimidade prevista no art.
6.º alínea 5) da mesma Lei.
No entanto, a Escola A deve observar ainda o princípio da proporcionalidade,
consagrado no art. 5.º n.º 1 alínea 3) da Lei da Protecção de Dados Pessoais. Na avaliação
concreta da adequação da interferência e do grau mínimo da videovigilância, o número
de câmaras, o local de instalação e o âmbito filmado são todos factores a considerar. Após
investigação, o GPDP entende que o perímetro da Escola A é grande e é separado da via
pública principalmente por uma parede ou por rede de arame. Além disso, a Escola adopta
um desenho de espaço aberto e há árvores altas em algumas zonas perto da parede da
Escola, o que implica um nível relativamente alto de risco de segurança. Além disso, cada
câmara tem um âmbito específico de vigilância e basicamente não existe sobreposição de
âmbitos filmados. Por isso, o número de câmaras instaladas pela Escola no perímetro é
aceitável. Quanto ao local de instalação, as câmaras mantêm uma certa distância do chão
e filmam o local fixo com focagem fixa, sem gravação sincronizada de som. Quanto ao
âmbito abrangido, algumas câmaras filmam a via pública, o passeio e outros edifícios,
187
2014
Relatório Anual do GPDP 2014
sendo que algumas áreas sob filmagem são sobrepostas. Depois da advertência do GPDP, a
Escola reduziu o âmbito abrangido pelas câmaras e desmontou três câmaras. Actualmente
já não existe a situação de âmbito excessivo de filmagem.
A Escola A colocou apenas avisos breves nas instalações da escola para prestar
informações aos titulares dos dados. Como a área é relativamente grande, a Escola deve
colocar uma quantidade adequada de avisos de filmagem nos lugares de destaque dentro
do âmbito adequado de videovigilância efectuada pelas câmaras, além de elaborar políticas
para o tratamento dos dados filmados, a fim de observar os artigos 10.º e 11.º da Lei da
Protecção de Dados Pessoais. Depois da advertência do GPDP, a Escola colocou uma
certa quantidade de avisos de filmagem no perímetro da escola. Com base no conteúdo
dos avisos e os lugares de afixação, as pessoas que passam podem perceber que a Escola
A é responsável pelo tratamento e deduzir que a instalação é necessária para a finalidade
de segurança. Para evitar mal-entendidos, a Escola deve explicar claramente a finalidade
da instalação. Por isso, pode escrever “com base na finalidade de segurança” nos avisos. A
Escola deve ainda elaborar a Declaração da Recolha de Dados Pessoais ou políticas para
tratamento de dados pessoais para consulta dos titulares dos dados. Os funcionários da
Escola devem observar estas políticas.
Embora a Escola tenha tomado algumas medidas de segurança para garantir
a segurança dos dados filmados, colocou num local acessível ao público os ecrãs que
exibiam imagens captadas pelas câmaras. As janelas e a porta deste local são de vidro e
o equipamento do sistema de filmagem não se encontrava num local trancado, pelo que
existia o risco de fuga dos dados. Depois da advertência do GPDP, a Escola tratou os
problemas do risco de segurança no âmbito de medidas técnicas, a fim de observar o art.
15.º da Lei da Protecção de Dados Pessoais.
Resumindo, a instalação de câmaras pela Escola A no perímetro não constituiu
infracção administrativa. Porém, existe margem para melhoramento.
Por outro lado, a Escola A deve apresentar o mais rápido possível o requerimento de
notificação de tratamento dos dados pessoais ao GPDP, nos termos do art. 21.º da referida
Lei.
Resultado
Após as advertências do GPDP, a Escola A fez as melhorias. O caso está arquivado.
188
2014
Relatório Anual do GPDP 2014
Caso 17—Acesso aos dados de outros candidatos
no sistema de inscrição online
Resumo do caso
Um cidadão apresentou uma queixa sobre o sistema de inscrição online da Escola
A. Através do sistema, o queixoso inscreveu o seu filho no ensino infantil da Escola.
No entanto, após a submissão dos dados no sistema, podiam ser consultados os dados
pertencentes a outros candidatos.
O queixoso considerou que o sistema informático em causa não tinha medidas
adequadas para proteger os dados pessoais dos candidatos, causando assim fuga das
respectivas informações. Por isso, pediu a intervenção do GPDP.
Análise e conclusão
Nos termos da alínea 1) do n.º 1 do artigo 4.º e do n.º 1 do artigo 3.º da Lei da Protecção
de Dados Pessoais, o tratamento dos dados pessoais referidos neste caso é regulado pela
mesma Lei.
Após a recepção da queixa, o GPDP exigiu, imediatamente, à Escola A, que informasse
os interessados sobre a situação, bem como que corrigisse o sistema informático, a fim de
impedir fugas de dados pessoais.
A Escola A, por sua vez, enviou ao GPDP uma carta, na qual respondeu o seguinte:
os dados pessoais recolhidos pelo sistema de inscrição online, incluíram o nome, a data
de nascimento, a fotocópia do documento de identificação, o n.º de telefone, o endereço,
a escolaridade, as capacidades especiais e a origem étnica do candidato; o nome, o n.º de
telefone, a entidade patronal e a profissão dos pais do candidato. Quanto ao formulário de
inscrição em papel, em vez da recolha dos dados da origem étnica do candidato, recolhiam-se
informações de saúde. A Escola A confirmou que, em relação a este processo de inscrição
no ensino infantil, foram revelados os dados de, pelo menos, 3 utentes da conta da Internet.
Segundo as indicações da Escola A, para inscrever os filhos na Escola A, os pais
deviam entregar à escola os seus próprios dados pessoais. Neste sentido, na opinião deste
Gabinete, tendo o consentimento expresso do titular dos dados, a Escola A reunia as
condições de legitimidade previstas pelo artigo 6.º da Lei n.º 8/2005 para tratar os dados
pessoais dos pais.
Por outro lado, por força dos artigos 111.º e seguintes do Código Civil, aprovado
pelo Decreto-Lei n.º 39/99/M, os candidatos ao ensino infantil são menores. Uma vez
189
2014
Relatório Anual do GPDP 2014
que os menores não têm capacidade para o exercício de direitos, a sua incapacidade é
suprida pelo poder paternal. Portanto, em relação ao facto de os pais apresentaram, por sua
iniciativa, os dados pessoais dos seus filhos à escola para fazer a respectiva inscrição, tal
pode ser considerado como consentimento e autorização expressa pelo titular dos dados.
Então, quanto ao tratamento de dados de candidatos, no caso de garantir o cumprimento do
princípio de não discriminação e das medidas especiais de segurança previstas pelo artigo
16.º da Lei n.º 8/2005, a Escola A reuniria as condições de legitimidade previstas pelo
artigo 6.º e pela alínea 3) do n.º 2 do artigo 7.º da mesma Lei.
Em relação à questão da proporcionalidade da recolha de dados, nos termos do n.º
1 do artigo 32.º do Decreto-Lei n.º 38/93/M, o funcionamento das instituições educativas
particulares obedece às normas legais e regulamentares aplicáveis, bem como às directivas
da Direcção dos Serviços de Educação e Juventude (DSEJ) e está sujeito à sua inspecção
pedagógica. De acordo com as “Orientações para escolas sobre a admissão de estudantes”
(versão revista no ano lectivo 2014/2015), elaboradas pela DSEJ, na realização de
trabalhos relativos à admissão, deve apresentar-se o original do documento de identificação
de candidato, com o objectivo de verificar a sua idade e a situação de residência ou
permanência em Macau. Para além disso, segundo as indicações dos serviços competentes,
os candidatos devem entregar à escola a fotocópia dos documentos de identificação (do
candidato e dos seus pais), o atestado médico-sanitário e o endereço. Por isso, analisando o
facto de que a Escola A recolheu os dados pessoais e informações de contacto do candidato
e dos seus pais no âmbito dos trabalhos de admissão de estudantes, não se verificou violação
do princípio da proporcionalidade, plasmado na alínea 3) do n.º 1 do artigo 5.º da Lei da
Protecção de Dados Pessoais.
A par disso, segundo as Orientações emitidas pela DSEJ, na realização de entrevistas
de admissão, as escolas devem observar os candidatos sob diversas perspectivas.
Assim, para realizar melhor as entrevistas com os candidatos, a Escola A recolheu a
escolaridade, as capacidades especiais dos candidatos, a fim de conhecer antecipadamente
o desenvolvimento e processo evolutivo deles. Portanto, não se verificou violação do
princípio da proporcionalidade nesta matéria.
Segundo a resposta da Escola A, no livro de termos e processo de estudantes que tem
sido utilizado ao longo de várias décadas, regista-se a origem étnica dos alunos. No caso
de esta informação ser fornecida, de forma voluntária, pelos pais aquando da inscrição no
ensino infantil, a Escola evita fazer perguntas que eventualmente ofendam os candidatos
e os seus pais durante a entrevista. Nos termos das Orientações elaboradas pela DSEJ,
na realização de entrevistas de admissão, as escolas não podem pôr em risco a segurança
e a saúde física e mental dos alunos. Assim, na opinião deste Gabinete, considerando as
necessidades da escola (ou seja, conhecer antecipadamente os dados de origem étnica dos
candidatos), isso pode ajudar a realizar melhor as entrevistas de admissão, evitando fazer
perguntas inadequadas aos pais e crianças. A par disso, a Escola A demonstrou igualmente
190
2014
Relatório Anual do GPDP 2014
que presta muita atenção no que se refere aos sentimentos dos candidatos e dos seus pais.
Portanto, a recolha dos respectivos dados não violou o princípio da proporcionalidade.
No entanto, é de referir que os dados de origem étnica já têm um papel insignificante na
sociedade actual da RAEM e, no formulário de inscrição em papel, não se recolhem os
mesmos dados. Entretanto, os dados de origem étnica são dados sensíveis e as medidas
da sua conservação devem satisfazer as disposições do artigo 16.º da Lei da Protecção
de Dados Pessoais. Com base nisso, o GPDP recomendou à Escola A que considerasse a
necessidade da recolha de dados de origem étnica dos candidatos.
Na resposta da Escola A, as categorias da recolha de dados eram diferentes no sistema
de inscrição online e no formulário de inscrição em papel e nem todos os campos de dados
eram de preenchimento obrigatório. Em relação à resposta, com base num critério de boas
práticas, o GPDP recomendou à Escola A o seguinte: uniformizar o sistema de inscrição
online e o formulário de inscrição em papel quanto aos dados recolhidos; indicar se os
campos de dados são de preenchimento obrigatório ou facultativo e as consequências de
não apresentar os respectivos dados; apresentar a declaração de recolha de dados pessoais
e fornecer as informações previstas pelo n.º 1 do artigo 10.º da Lei n.º 8/2005; e, no sistema
de inscrição online, apresentar um aviso aos utentes sobre o risco de os seus dados poderem
ser vistos e utilizados por terceiros não autorizados.
Segundo a Escola A, na fase de desenvolvimento do sistema de inscrição online,
não houve uma consideração global das categorias dos dados tratados (ou seja, dados
sensíveis); nem se realizou um cálculo do volume de utilização do sistema; nem foram
avaliados os riscos a assumir e as condições de segurança necessárias. Na fase de utilização
do mesmo sistema, sem garantir o funcionamento normal mas com a previsão da existência
de vários utentes, a Escola A insistiu na sua actualização e isso causou uma anomalia no
sistema. Pelo exposto, a Escola A não conseguiu garantir a conservação adequada dos
dados sensíveis recolhidos pelo sistema informático, permitindo a fuga das respectivas
informações. Assim, violou o n.º 1 do artigo 16.º da Lei n.º 8/2005, o que constitui uma
infracção administrativa punível. Portanto, o GPDP exigiu à Escola A uma audiência
escrita, mas a Escola A não deu qualquer resposta.
Neste sentido, uma vez que a Escola A não adoptou medidas de segurança adequadas
para proteger dados sensíveis, violou o n.º 1 do artigo 16.º da Lei da Protecção de Dados
Pessoais.
Resultado
Considerando os seguintes factos: 1) O caso envolveu mais do que um titular dos
dados e várias categorias de dados; 2) Após o conhecimento de fuga de dados, a Escola
A suspendeu o funcionamento do sistema de inscrição online; 3) Foi a primeira vez que
191
2014
Relatório Anual do GPDP 2014
a Escola A violou a Lei n.º 8/2005; 4) No decorrer da investigação, a Escola prestou
colaboração a este Gabinete; o GPDP decidiu a aplicação de multa de MOP 4.000 à Escola
A, nos termos do n.º 1 do artigo 33.º da mesma Lei e advertiu-a para o cumprimento da Lei
da Protecção de Dados Pessoais.
Caso 18—Extracto mensal da conta de cartão de crédito anexado ao extracto
de outra pessoa
Resumo do caso
Um queixoso X apresentou uma queixa, indicando que recebeu do banco A dois
extractos da conta de crédito do mês corrente (com a mesma data), contendo um deles
um extracto de duas páginas da conta de X, com os dizeres “PAGE 01” e “PAGE 02” na
frente da folha, outro continha somente uma página de extracto da conta de X, com os
dizeres “PAGE 02” na frente da folha e anexava-se um extracto de duas páginas de Y, com
os dizeres “PAGE 01” e “PAGE 02” na frente da folha. O extracto da conta contém dados
pessoais como nome, endereço, número de cartão de crédito etc. Quando X telefonou ao
banco A para apresentar queixa, um empregado disse que o banco tratava as cartas para os
clientes conforme um mecanismo estabelecido, exigindo a X que devolvesse o extracto da
conta de Y ao banco.
X considerou que o banco não tomou medidas de segurança adequadas, sendo
suspeito de violar disposições da Lei da Protecção de Dados Pessoais, pelo que pediu
acompanhamento deste caso ao Gabinete.
Análise e conclusão
Nos termos da alínea 1) do n.º 1 do artigo 4.º e do n.º1 do artigo 3.º da Lei da Protecção
de Dados Pessoais, o tratamento dos dados neste caso está sujeito à Lei da Protecção de
Dados Pessoais.
Na opinião do GPDP, o banco A trata dados pessoais gerais com a permissão explícita
dos titulares dos dados, possuindo condições de legitimidade previstas no artigo 6.º da
Lei supracitada, porque X e Y preencheram e apresentaram voluntariamente propostas
de adesão ao cartão de crédito ao banco A e ofereceram dados pessoais necessários para
a devida avaliação. Além disso, as cláusulas estipuladas na proposta de adesão ao cartão
de crédito precisam de ser confirmadas através da assinatura do titular do cartão. É visível
que caso o banco emite cartão de crédito e consegue a permissão do titular do cartão, existe
uma relação de colaboração entre as duas partes. O banco trata dados pessoais dos titulares
dos dados com fundamento na prestação de serviço de crédito, correspondente à condição
192
2014
Relatório Anual do GPDP 2014
de legitimidade da alínea 1) do artigo 6.º da Lei acima referida.
De acordo com a “Declaração de recolha de dados pessoais” e os “Termos e condições
gerais—serviços do banco”, documentos publicados no website do banco, a emissão de
extracto da conta ao titular do cartão visa notificar as transacções e o pagamento atempado,
actividades directamente relacionadas com o banco, não transcende a área de serviços de
crédito, prestados pelo banco aos titulares, correspondendo aos princípios de tratamento
definidos nas alíneas 2) e 3) do n.º 1 do artigo 5.º da Lei da Protecção de Dados Pessoais.
O extracto da conta apresentado por X mostra que cada extracto contém dados do seu
titular. Daqui pode presumir-se que o problema de aparecimento de dois extractos da conta
dos dois titulares no mesmo envelope deve ter acontecido depois da impressão e antes
do fecho do envelope. Por isso, é um problema de insuficiência de medidas de segurança
tomadas pelo banco para o envio de extracto da conta aos clientes.
Em virtude de que o extracto contém informações de cartão de crédito e transacções
do titular, o documento é muito importante e confidencial e, nos termos do artigo 15.o da
Lei da Protecção de Dados Pessoais, o banco A deve adoptar um sistema com segurança
adequada, evitando o acesso aos dados de crédito por pessoas não autorizadas. No entanto,
a confusão de envio de extractos é resultante apenas do problema do funcionamento
interno do sistema do extracto da conta, não se revelando qualquer circunstância ou factor
inimputável, de modo que o tratamento do banco A não corresponde ao artigo 15.o da Lei
da Protecção de Dados Pessoais.
Quanto a medidas correctivas, o banco A referiu que o caso de fuga de dados já foi
notificado a Y, e foi substituído o número de cartão de crédito de Y, tendo Y aceitado e
expressado compreensão. Quanto a X, o banco também pretende substituir o cartão de
crédito. Além disso, o banco adicionou um código de barras com função de identificação
automática no novo sistema dos extractos mensais da conta, a fim de evitar incidentes
semelhantes.
Em resumo, o tratamento do banco A em causa não respeitou o artigo 15.o da Lei da
Protecção de Dados Pessoais e, embora não seja infracção administrativa, o banco tem
obrigação de tomar medidas de segurança adequadas para proteger as informações dos
clientes.
Resultado
O caso foi arquivado e o resultado do tratamento foi comunicado a X e ao banco A.
Além disso, como o caso envolve também a competência da Autoridade Monetária de
Macau, foi enviado ofício para informar a Autoridade Monetária.
193