CAPÍTULO III O CONSENTIMENTO COMO FUNDAMENTO PARA A UTILIZAÇÃO
3. Âmbito de aplicação do artigo 5.º, n.º 3, da Diretiva da Privacidade Eletrónica
3.2. Âmbito de aplicação territorial
O âmbito de aplicação da Diretiva da Privacidade Eletrónica é estabelecido no seu artigo 3.º, n.º 1, nos termos do qual o artigo 5.º, 3.º, é aplicável ao armazenamento de informações ou à possibilidade de acesso a informações armazenadas no equipamento terminal das pessoas em causa que utilizem redes públicas de comunicações na União Europeia.
Com vimos483, com a Diretiva dos Cidadãos, caiu o pressuposto de
aplicação do artigo 5.º, n.º 3 da Diretiva da Diretiva da Privacidade Eletrónica respeitante à utilização de redes de comunicações eletrónicas. A norma em causa é, agora, aplicável ao armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador, independentemente deste se processar com recuso a uma rede de comunicações eletrónicas ou a outros suportes externos.
Essencial para a determinação do âmbito de aplicação territorial do artigo 5.º, n.º 3, é a localização do equipamento terminal no território da União.
Sendo as informações em causa dados pessoais, aplica-se a Diretiva 95/46/CE quando o tratamento for efetuado no contexto das atividades de um estabelecimento do responsável pelo tratamento situado num Estado- Membro, ou quando o responsável pelo tratamento não esteja estabelecido no território da União e recorrera a meios, automatizados ou não, situados no seu território, para tratamento de dados pessoais (salvo se esses meios
forem apenas utilizados para o trânsito no território da União).484
483
Título 3.1.3. deste Capítulo III.
137
Vimos485 que para efeitos da Diretiva em análise, a noção de
“estabelecimento no território de um Estado-Membro” pressupõe o “exerc cio efetivo e real de uma atividade mediante uma instalação estável; que, para o efeito, a forma jurídica de tal estabelecimento, quer se trate de uma simples
sucursal ou de uma filial com personalidade jurídica, não é determinante”486
. Assim, quando o testemunho de conexão for utilizado no contexto das atividades de um estabelecimento do responsável no território de um Estado- Membro, aplica-se-lhe a legislação de proteção dos dados desse Estado- Membro. No caso de o responsável pelo tratamento estar estabelecido em mais do que um Estado-Membro, todos os estabelecimentos devem cumprir as obrigações decorrentes das legislações de cada um desses Estados.
Em relação aos casos em que o responsável pelo tratamento não está estabelecido no território da União Europeia, o Parlamento Europeu e o Conselho decidiram recorrer à relação física entre a ação e um sistema jurídico. Assim, a Diretiva da Proteção de Dados aplica-se quando o responsável pelo tratamento não estiver estabelecido no território da União, mas optar por “tratar dados pessoais para fins específicos e utilizar os meios,
automatizados ou não, situados no território de um Estado-Membro”487
. O considerando 20 da Diretiva 95/46/CE explica que "o facto de o tratamento de dados ser da responsabilidade de uma pessoa estabelecida num país terceiro não deve constituir obstáculo à proteção das pessoas assegurada pela presente diretiva; que, nesses casos, o tratamento deverá ser regido pela legislação do Estado-Membro onde se encontram os meios utilizados para o tratamento de dados em causa e que deverão oferecer-se garantias de que os direitos e as obrigações estabelecidos na presente diretiva serão efetivamente respeitados".
485
Artigo 4.º, n.º 1, alíneas a) e c), da Diretiva 95/46/CE, que já tivemos oportunidade de analisar sucintamente no Título 2.2. do Capítulo II.
486
Considerando 19, da Diretiva 95/46/CE.
487
GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Documento de trabalho sobre a determinação da aplicação internacional da legislação da UE em matéria de proteção de dados ao tratamento de dados pessoais na Internet efectuado por sites não-europeus (WP 56), de 30 de Maio de 2002, p. 7, disponível em
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp156_pt.pdf, última consulta em 30 de agosto de 2013.
138
O Grupo do Artigo 29.º para a Proteção de Dados faz notar que não é necessário que o indivíduo seja cidadão, esteja fisicamente presente, ou seja residente na União Europeia para que a Diretiva da Proteção de Dados se
aplique. A Diretiva “harmoniza as leis dos Estados-Membros relativas aos
direitos fundamentais concedidos a todos os seres humanos,
independentemente da sua nacionalidade” 488
. O que releva para efeitos de
aplicação das Diretiva489 é a localização dos meios utilizados para o
tratamento.490
Assim, quando estejam em causa dados pessoais tratados com recurso a meios localizados no território da União Europeia o responsável pelo tratamento deve cumprir com as obrigações decorrentes da Diretiva 95/46/CE, a menos que esses meios sejam utilizados para trânsito da informação no território da Comunidade. O Grupo do Artigo 29.º esclarece que “um caso típico em que os meios são utilizados apenas para trânsito são
as redes de telecomunicações (estruturas, cabos, etc.)491 que constituem
parte da Internet e pelas quais as comunicações da Internet circulam, desde
o ponto de envio até ao ponto de destino”492
.
Para concretizar o conceito de “meios”, o Grupo do Artigo 29.º recorre- se do dicionário de inglês Collins, que faz entender por "equipment" (meios) um conjunto de instrumentos ou dispositivos reunidos para um fim específico,
e esclarece que os computadores, terminais e servidores, são “meios” na
aceção do artigo 4.º, n.º 1, alínea c), da Diretiva 95/46/CE.493494
488
GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Documento de trabalho sobre a determinação ..., op. cit, p. 8.
489
Ou, em rigor, das legislações nacionais de transposição.
490
GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Documento de trabalho sobre a determinação ..., op. cit, pp. 7 e 8.
491 Entre nós, sobre as redes de telecomunicações, GONÇALVES, Pedro, Direito das Telecomunicações, Almedina,
Coimbra, 1999, pp. 133 e ss..
492
GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Documento de trabalho sobre a determinação ..., op. cit, p. 9.
493 GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Documento de trabalho sobre a determinação ...,
op. cit, p. 9.
494
Não era este, no entanto, entre nós, o entendimento da Comissão Nacional de Proteção de Dados, que através da deliberação n.º 28/2000 entendeu que “quando a lei fala no recurso a «meios situados em território português» deve entender-se que estão em causa, tão só, "meios próprios do responsável" ou, ainda, de um seu "representante", "prestador de serviços" ou de um "subcontratante" que atue em nome, sob a supervisão ou por conta do responsável. Não se pode aplicar a lei portuguesa quando o meio que serve de recolha de dados é um PC pertencente ao utilizador, titular dos dados, que os envia para um país terceiro e para utilização por empresa ou entidade não estabelecida em território onde a lei portuguesa não seja aplicável”. COMISSÃO NACIONAL DE
PROTEÇÃO DE DADOS, Relatório 2000, Parte II – Orientações da CNPD, 2000, disponível em
139 Por sua vez, o conceito de "recurso" (aos meios) pressupõe algum tipo de atividade levada a cabo pelo responsável pelo tratamento com intenção de proceder ao tratamento de dados pessoais. O responsável pelo tratamento
determina os dados que são tratados, os procedimentos e as finalidades.495
No caso dos testemunhos de conexão, o responsável pelo tratamento utiliza o computador (equipamento terminal) do utilizador, localizado no território de um Estado-Membro, para o tratamento de dados pessoais, determinando as informações abrangidas, os procedimentos e as finalidades.
Assim, para efeitos da utilização de testemunhos de conexão, o computador do utilizador representa um meio, na aceção do artigo 4.º, n.º 1, alínea c), da Diretiva 95/46/CE a que o responsável pelo tratamento recorre
para o tratamento de dados pessoais. 496