Uma apreciação crítica

A 4.ª Revisão Constitucional, de 1997, respondeu a duas exigências que se assumiam como imperativos: a transposição da Diretiva 95/46/CE – que foi cumprida pela Lei de Proteção de Dados Pessoais – e a adaptação das normas às atuais realidades, que exigiam uma maior flexibilização de procedimentos, sem negligenciar os direitos à privacidade e à proteção de dados dos seus titulares.

Contudo, é de reconhecer que, apesar de todas as inegáveis melhorias265_{, no nosso}

entendimento, o art. 35.º da C.R.P. continua desequilibrado266_.

A verdade é que, como já mencionámos, ao operar-se a 4.ª Revisão Constitucional, de 1997, não se ajustou correspondentemente a epígrafe do art. 35.º da C.R.P., que assim ostenta hoje uma redação mais acanhada do que a do teor preceptivo dessa regra. Acresce o facto de o art. 35.º, n.º 7, da C.R.P. – introduzido na 4.ª Revisão Constitucional, de 1997, para garantir a conformidade do direito nacional com o direito da União Europeia – estender o âmbito do artigo para além

do definido na sua epígrafe atual, o que comprova a desadequação da mesma267_.

Além disso, a presente epígrafe centra-se no instrumento que permite o tratamento

dos dados pessoais e não tanto no tratamento de dados pessoais em si mesmo268_.

Ademais, a expressão «informática», prevista na C.R.P., é redutora e passa ao lado das redes de comunicações eletrónicas, instrumento fulcral na violação da reserva

262 _{De acordo com o D.A.R., II Série, VII Legislatura, IV Revisão Constitucional, n.º 78. [Consulta em 20 de fevereiro de 2019].} Disponível para consulta em: http://bit.ly/2VgHpEN. Pág. 68.

263 _{Ibidem, pág. 70. Neste sentido, ver LOPES, Joaquim de Seabra – O artigo…, op. cit., pág. 41.} 264 _{In verbis, LOPES, Joaquim de Seabra – O artigo…, op. cit., pág. 41.}

265 _{Neste sentido, ver GOUVEIA, Jorge Bacelar – Os Direitos Fundamentais…, op. cit., pág. 706, segundo o qual a Constituição} regulou o direito à proteção de dados em termos bastante detalhados.

266 _{De acordo com LOPES, Joaquim de Seabra – O artigo…, op. cit., pág. 46.}

267 _{Nestes termos, veja-se CALVÃO, Filipa Urbano – “O direito fundamental à proteção dos dados pessoais e a privacidade 40} anos depois”. In AA. VV. – Jornadas nos quarenta anos da Constituição da República Portuguesa – Impacto e Evolução. Porto, Portugal: Universidade Católica Editora, 2017. Pág. 97.

52

da vida privada e da proteção de dados, e que importa, consequentemente, que seja, expressamente e sem margem para dúvidas, abrangido pelo normativo da proteção de dados. Note-se, a este propósito, que o R.G.P.D. emprega, mais do que uma vez, a

expressão «novas tecnologias», e nunca o termo «informática»269_{. Assim, a}

propósito, a epígrafe desta norma considera-se, nos termos já referidos, hoje desatualizada e, neste sentido, é imperativa a reformulação da epígrafe deste artigo. Contudo, tudo indica que não foi vencida a «informaticofobia» inicial, refletida ainda na epígrafe e nas repetidas proibições, em vez de assertivamente se conferir ênfase à vertente positiva da proteção dos dados pessoais dos cidadãos, como o fazem, nos seus títulos, todos os instrumentos internacionais e europeus e as nossas próprias

leis270_{. É justo reconhecer que já se fez sentir, na 4.ª Revisão Constitucional, de 1997,}

uma tentativa de substituição da epígrafe, mas esta resistiu, o que não deixa de ser

reflexo da atitude conservadora «à cautela, não se mexe»271_.

Cumpre referir, neste contexto, que a consagração constitucional da

proteção de dados pessoais não tem um significado meramente formal272_{. Ela}

implica, desde logo, que o legislador ordinário não pode opor-se, ou sequer desconhecer, esse direito. E mais, ao regular a matéria da proteção de dados pessoais não lhe é lícito desrespeitar o cerne ou núcleo essencial desse direito, tal

como configurado pela lei fundamental273_{. Acresce que a inserção desta matéria nos}

«direitos, liberdades e garantias» reclama a aplicação do regime estipulado no art.

18.º da C.R.P. para este tipo de direitos fundamentais274_{. Assim, o preceituado art.}

35.º da C.R.P. é diretamente aplicável, sem necessidade da intermediação do legislador ordinário – salvo quando ele próprio a invoque –, é oponível às entidades públicas, às entidades privadas e aos particulares, e só pode ser restringido por

normas gerais que não atinjam o cerne dos direitos aí consagrados275_{. Contudo,}

como é usual, o R.G.P.D. consagra que “[…] é obrigatório em todos os seus elementos

e diretamente aplicável em todos os Estados-Membros”276_{. É de notar que a}

aplicação direta do R.G.P.D. não impede naturalmente a existência do art. 35.º da

269 _{Segundo LOPES, Joaquim de Seabra – O artigo…, op. cit., pág. 46.} 270 _{Ibidem, pág. 46.}

271 _{Ibidem, pág. 46.}

272 _{De acordo com SILVEIRA, Luís Lingnau da – “Configuração constitucional…”, op. cit., pág. 506.} 273 _{Ibidem, pág. 506.}

274 _{Ibidem, pág. 506.} 275 _{Ibidem, pág. 507.}

53

C.R.P. e da sua consequente aplicação direta, mas implica certamente que este seja

alterado por forma a não conflituar com o disposto no Regulamento277_.

A entrada em vigor do R.G.P.D., em 25 de maio de 2016, e sobretudo a obrigatoriedade da sua aplicação, a partir de 25 de maio de 2018, suscita reais

dificuldades face à atual redação do art. 35.º da C.R.P.278_{. Desde logo, a referência à}

lei em seis dos sete números do art. 35.º da C.R.P. não deveria certamente manter- se, a menos que se adicione o qualificativo «europeia» ou se substitua por «regulamento europeu», o que não será nem muito elegante para um texto constitucional, nem sequer possível em todos os casos. De qualquer forma, a expressão «nos termos das disposições legais aplicáveis» poderia talvez resolver

esta questão279_.

O art. 35.º, n.º 1, da C.R.P. enuncia um princípio, sem dúvida importante, mas

não se vê a razão por que este é detalhadamente explicitado280_{. Aliás, poder-se-ia}

reformular este artigo na parte relativa aos direitos de acesso, de retificação, de atualização e de informação – previstos nos arts. 13.º, 14.º, 15.º e 16.º do R.G.P.D. –, para enquadrar constitucionalmente outras dimensões jurídicas de tutela dos dados

pessoais, tais como, e.g., o direito ao apagamento de dados281_{, o direito de limitação}

do tratamento dos dados, o direito de oposição, o direito de portabilidade dos dados, o direito à não sujeição a decisões individuais automatizadas e o direito de informação quando ocorra uma violação de dados pessoais – também previstos nos

arts. 17.º, 18.º, 20.º, 21.º, 22.º e 34.º do R.G.P.D., respetivamente282_{. Na verdade,}

ainda que se possa concordar quanto à existência de exceções a estes direitos, havendo áreas onde dificilmente se poderão afirmar tais direitos – como, e.g., em registos públicos, em processos clínicos ou no âmbito de uma pendente investigação criminal –, o seu reconhecimento é cada vez mais essencial para se poder

salvaguardar a privacidade e a proteção de dados dos cidadãos283_{. Num tempo em}

que está vulgarizada a navegação na Internet, a consideração da extensão da informação que aí fica para sempre, através de memória digital, poderá justificar o

277 _{Ibidem, pág. 42.} 278 _{Ibidem, pág. 42.} 279 _{Ibidem, pág. 42.} 280 _{Ibidem, pág. 46.}

281 _{Comumente denominado «direito ao esquecimento».}

282 _{Em sentido análogo, veja-se CALVÃO, Filipa Urbano – “O direito fundamental...”, op. cit., págs. 97-98.} 283 _{Ibidem, pág. 98.}

54

reconhecimento da natureza fundamental a estes direitos, já reconhecidos no R.G.P.D.284_.

Para além disso, o art. 35.º, n.º 2, da C.R.P. remete para a lei, em bloco – i.e., sem nada detalhar –, outros princípios não menos importantes, olvidando qualquer referência aos princípios das garantias de segurança e da existência de um responsável pelo tratamento, nem curando de qualquer alusão a novas tecnologias, que, embora baseadas na informática, vão, na facilidade de devassa da vida privada, muito para além da utilização corrente do processamento de dados, como é o caso

das redes sociais e de outras tecnologias invasivas dos sistemas informáticos285_{. Por}

estas razões, consideramos que este artigo não se deve manter com a sua formulação atual.

Também o art. 35.º, n.º 3, da C.R.P.286 _{não deveria manter-se pois conflitua}

com o art. 9.º, n.º 1, do R.G.P.D.287_{, que tem o seguinte teor: “[é] proibido o}

tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa”.

Para além disso, cumpre referir a menção aos dados relativos à «vida privada» no art. 35.º, n.º 3, da C.R.P., ausente na categoria de dados sensíveis indicados no art. 8.º da Diretiva 95/46/CE e que tem suscitado críticas à solução

adotada pela ordem jurídica portuguesa nesta matéria288_{. O art. 35.º, n.º 3, da C.R.P.,}

proibindo o tratamento de certos dados sensíveis, terá naturalmente de sofrer as alterações decorrentes da entrada em vigor do R.G.P.D., abandonando a inclusão da

«vida privada»289 _{na categoria de dados sensíveis, uma vez que se trata de um}

conceito vago e impreciso, cujos limites são variáveis e dependentes do contexto em

284 _{Ibidem, pág. 98.}

285 _{Segundo LOPES, Joaquim de Seabra – O artigo..., op. cit., pág. 46.}

286 _{A saber: “[a] informática não pode ser utilizada para tratamento de dados referentes a convicções filosóficas ou políticas,} filiação partidária ou sindical, fé religiosa, vida privada e origem étnica, salvo mediante consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou para processamento de dados estatísticos não individualmente identificáveis”.

287 _{De acordo com LOPES, Joaquim de Seabra – O artigo..., op. cit., pág. 43.}

288 _{A este respeito, veja-se CANOTILHO, J. J. Gomes; MOREIRA, Vital – Constituição da República Portuguesa Anotada. 4.ª} Edição…, op. cit., pág. 555; e LOPES, Joaquim de Seabra – O artigo..., op. cit., págs. 46-47.

289 _{Sobre o conceito de «vida privada», ver CANOTILHO, J. J. Gomes; MOREIRA, Vital – Constituição da República Portuguesa}

55

que os dados são tratados e até da própria sensibilidade de cada pessoa seu titular290_.

Acresce que, como acontece em face de qualquer tipologia, coloca-se o

problema de saber se ela é taxativa, delimitativa ou exemplificativa291_{. Parece-nos}

que, neste caso, como defende JORGE BACELAR GOUVEIA292_{, nos devemos inclinar}

para a primeira qualificação293_{. Por um lado, e lidando apenas com o elemento literal}

de interpretação, a simples apresentação da tipologia desacompanhada de quaisquer outras referências de abertura aponta no sentido de se não pretender abarcar outros tipos de dados. Por outro lado, através de uma interpretação sistemática que conjugue os diferentes direitos consagrados no art. 35.º da C.R.P., verificamos que, a não ser assim, abrir-se-ia a porta à sua inutilização porquanto só têm razão de ser enquanto a atividade informática que visam limitar não se tornar completamente proibida, o que aconteceria pela inclusão progressiva de novos

dados pessoais na categoria de dados sensíveis294_{. Neste seguimento e no nosso}

entendimento, a intenção do legislador constitucional foi a de criar um numerus

clausus e consolidar, no ordenamento jurídico português, as categorias taxativas de

dados pessoais cujo tratamento é proibido, não só por serem suscetíveis de originar discriminação, mas também por se tratar de categorias de dados sensíveis. E, por isso, a densificação do amplo conceito «vida privada» é suscetível de gerar alguma controvérsia, visto que o seu conceito abarca vários aspetos da vida de cada pessoa seu titular.

Outra divergência entre o elenco de dados sensíveis constante da Diretiva 95/46/CE e o da C.R.P. parece resultar de naquela se mencionarem os dados de saúde, ao invés do que nesta sucede. Contudo, a verdade é que o Tribunal Constitucional (T.C.) aparentemente arredou esta divergência, ao afirmar, no seu

Acórdão n.º 355/97, de 7 de maio de l997, Processo n.º 182/97295_{, que os dados de}

saúde acabam por integrar a noção de «vida privada», mencionada no art. 35.º, n.º 3, da C.R.P. Porém, no nosso entendimento, seguindo a lógica de adaptação do texto

290 _{Neste sentido, veja-se LOPES, Joaquim de Seabra – O artigo..., op. cit., págs. 46-47. Em sentido contrário, cf. CALVÃO, Filipa} Urbano – “O direito fundamental...”, op. cit., págs. 99-100.

291 _{Cfr. refere GOUVEIA, Jorge Bacelar – Os Direitos Fundamentais…, op. cit., pág. 725.} 292 _{Ibidem, págs. 725-726.}

293 _{Em sentido contrário, vide SILVEIRA, Luís Lingnau, in O direito à protecção de dados…, op. cit., pág. 206, e in “Configuração} constitucional…”, op. cit., págs. 508-509.

294 _{Ver elenco bem extenso de GARCIA, Isabel Reis – Do Direito da informática a um anteprojecto de lei de protecção de dados}

pessoais. Separata da Revista da Ordem dos Advogados. Lisboa, Portugal. Ano 49, n.º III, dezembro de 1989. Pág. 1001.

56

constitucional ao direito da União Europeia, impor-se-á introduzir no art. 35.º, n.º 3, da C.R.P. as categorias de dados biométricos e de saúde entre os dados sujeitos à

regra da proibição de tratamento296_{, uma vez que se defende a retirada do amplo}

conceito «vida privada».

Assim, poderá justificar-se repensar as condições em que se exceciona a proibição de tratamento de certas categorias de dados pessoais, mas não eliminar a proibição constitucional do tratamento de tipos de dados suscetível de originar

discriminação297_{. Sem prejuízo de utilização de uma cláusula geral em vez de um}

elenco de tais categorias de dados, a opção inicial – de enunciar o tipo de dados cujo tratamento é suscetível de desencadear um resultado discriminatório para os seus

titulares – suscita algumas questões298_{, nomeadamente a necessidade de expressa}

previsão de todos os tipos de informação suscetíveis de causar discriminação. Não obstante estarmos cientes da regra do standard mínimo de proteção em toda a União Europeia – que não impede que as legislações nacionais dos Estados-Membros confiram um nível de proteção mais elevado –, todavia, ao contrário da Diretiva 95/46/CE – que, pela sua natureza, deixava margem aos Estados-Membros da União Europeia para adaptar o regime nela previsto ao respetivo quadro constitucional –, é discutível que o R.G.P.D. – que assenta numa assumida vontade de homogeneizar o regime de proteção de dados no espaço europeu – deixe margem aos Estados-Membros para reforçarem a proteção assegurada aos dados pessoais, integrando na categoria de dados sensíveis

informação de natureza distinta dos aí elencados299/300_{, de modo a reduzir o risco}

de possíveis situações de direitos em conflito.

Do mesmo modo, os casos de não aplicabilidade da proibição de tratamento de dados pessoais do art. 9.º, n.º 1, do R.G.P.D., previstos no art. 9.º, n.º 2, do R.G.P.D., são substancialmente diferentes dos previstos no art. 35.º, n.º 3, da C.R.P., que se limitam, como vimos, a “consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou para processamento de dados estatísticos não individualmente identificáveis”. Ora, o R.G.P.D. enuncia uma panóplia de casos

296 _{No mesmo sentido, ver CALVÃO, Filipa Urbano – “O direito fundamental...”, op. cit., pág. 100.} 297 _{Ibidem, pág. 98.}

298 _{Ibidem, pág. 98.}

299 _{De acordo com o Acórdão do T.J.U.E. (Segunda Secção), de 19 de outubro de 2016, Processo n.º 582/14, Patrick Breyer} contra República Federal da Alemanha. [Consulta em 20 de fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2GkZmZ7.

57

de não aplicabilidade, naturalmente com uma amplitude incomparavelmente maior. De resto, o art. 35.º, n.º 3, da C.R.P., como referimos anteriormente, já conflituava com as situações de não aplicabilidade da proibição de tratamento de dados

pessoais do art. 8.º, n.º 1, da Diretiva 95/46/CE, previstas no art. 8.º, n.os _{2, 3 e 4 da}

referida Diretiva301_.

O art. 35.º, n.º 4, da C.R.P. entra também em conflito com o R.G.P.D., porquanto o acesso aos dados pessoais de outrem é concebido numa formulação completamente diferente, no âmbito das medidas de segurança, matéria que o art. 35.º da C.R.P. passa em claro e que o R.G.P.D. consagra, no seu art. 17.º, n.º 2, que incumbe ao responsável pelo tratamento a implementação de medidas de segurança destinadas a proteger os dados pessoais contra, em especial, a divulgação, a difusão

ou o acesso não autorizados, ou a alteração de dados pessoais302_{. Para além disso, o}

preceito do atual art. 35.º, n.º 4, da C.R.P., proibindo o acesso a dados pessoais de terceiros, para além de confuso quanto ao conceito de «terceiro», é praticamente inócuo, tendo em conta a dificuldade gerada pela interpretação de quem pode ser

considerado «terceiro»303/304_.

De outra perspetiva ainda, o art. 35.º, n.º 4, da C.R.P. não exige a verificação de qualquer critério de necessidade de acesso aos dados. Por isso é que a sua

formulação, só por si, de nada serve, e seria praticamente inócuo305_{, no caso de}

situações recentemente mediatizadas de acesso indevido a dados de contribuintes ou de acessos similares em bases de dados do Estado, se tivéssemos de nos ater

apenas ao comando constitucional regulador do acesso a dados de terceiro306_.

301 _{Cf. LOPES, Joaquim de Seabra – O artigo..., op. cit., pág. 43.} 302 _{Ibidem, pág. 43.}

303 _{Ibidem, págs. 43 e 47.}

304 _{Se partirmos da noção processual de que é terceiro quem não é parte, exemplificaremos, atendo-nos apenas ao conteúdo} do preceito constitucional. Para o funcionário tributário que trata dados dos contribuintes, quem é terceiro? Todos os contribuintes ou nenhum? Para o funcionário do registo civil ou do registo predial que trata os dados dos cidadãos, quem é terceiro? Todos os cidadãos ou nenhum? Para o funcionário bancário, quem é terceiro? Todos os clientes do banco ou nenhum? Se, nestes casos a resposta for nenhum, o art. 35.º, n.º 4, da C.R.P. não impede a devassa da vida privada por estes funcionários. Uma outra situação mais complexa é a seguinte: no sistema informático de um hospital, o doente é terceiro para quem? Não certamente para o médico que o tratou numa situação específica. Mas cabe perguntar: sê-lo-á para o médico habitual do doente relativamente ao tratamento anterior? Para o médico de outra especialidade que trata apenas nessa outra especialidade? Para o médico que não trata esse doente, mas sim os seus familiares diretos e investiga problemas hereditários? Para um enfermeiro ou um técnico hospitalar em qualquer dessas situações? Para o médico investigador que pretende acompanhar os efeitos de determinado medicamento? Para o administrativo que efetua faturação a partir dos atos realizados e da medicação prescrita por qualquer um daqueles profissionais de saúde? Para o supervisor do administrativo que vai conferir a correção da fatura? Para o administrativo encarregado de elaborar estatísticas a partir dos registos dos doentes? Para o informático que é responsável pela manutenção do sistema, incluindo a correção de erros de qualquer natureza e pela recuperação de dados apagados por avaria do sistema? Ou, finalmente, para o administrativo que ajuda o médico, com parcos conhecimentos informáticos, a inserir ou a consultar dados? Para qual ou quais é o doente considerado «terceiro»? Está algum deles abrangido ou não pela proibição do art. 35.º, n.º 4, da C.R.P.? E com que base é que o doente pode ser considerado «terceiro» para qualquer deles? Ibidem, pág. 47.

305 _{Ibidem, págs. 43 e 47.} 306 _{Ibidem, pág. 47.}

58

Há, de facto, normas que teoricamente parecem fazer todo o sentido, mas quando os conceitos pecam por indefinição, acabam por criar mais dificuldades de

interpretação do que seria desejável307_{. Porém, entendemos que deve manter-se tal}

proibição como regra, mesmo que excecionada, uma vez que o livre acesso aos dados pessoais de terceiros seria uma negação ao direito à privacidade e ao direito à proteção de dados, pelo que a consagração constitucional da garantia de um acesso excecional ou, pelo menos, restrito, justificado em circunstâncias especialmente

delimitadas, afigura-se essencial308_.

Importa, ainda, referir que não consta do R.G.P.D. a proibição de atribuição de um número nacional único, inserta no art. 35.º, n.º 5, da C.R.P. – número nacional único usado, aliás, em mais do que um país da União Europeia, como é o caso da

democrática Suécia309 _{– e que esta proibição já foi objeto de algumas dúvidas, ainda}

que insuficientemente assertivas – não tendo sido sequer submetida a votação a sua

supressão –, na Comissão Eventual da 4.ª Revisão Constitucional, de 1997310_{. O facto}

de haver vários números em nada obsta ao respeito pela vida privada. De facto, o que pode permitir a devassa à vida privada é que um deles seja número universal, i.e., um número atribuído a todos os cidadãos, se não houver normas que definam corretamente o direito de acesso, acompanhadas de regras jurídicas e técnicas que

previnam e, se for o caso, sancionem o acesso indevido311_{. Tivessem os deputados}

constituintes conseguido acordar na substituição do totem constitucional do art. 35.º, n.º 5, da C.R.P., pela obrigatoriedade de consagração legal de regras muito específicas, jurídicas e técnicas, sobre as condições de legitimidade do acesso a dados pessoais de outrem, não teríamos certamente assistido à mediatização

recente dos acessos indevidos312_.

Também o art. 35.º, n.º 6, da C.R.P. não poderá ser mantido nos termos atuais, uma vez que os fluxos transfronteiras no interior da União Europeia não

307 _{Ibidem, págs. 47-48. Não é por acaso que tal norma não consta dos instrumentos internacionais ou europeus, de acordo} com LOPES, Joaquim de Seabra – O artigo..., op. cit., pág. 48. O que faz sentido, na opinião deste Autor, para evitar ou sancionar o acesso indevido a dados de outrem é a instituição de regras de segurança, como já acontecia na Convenção n.º 108 (mais concretamente, no seu art. 7.º), na Diretiva 95/46/CE (mais concretamente, no seu art. 17.º, n.º 1) e na própria Lei de Proteção de Dados Pessoais (mais concretamente, no seu art. 14.º, n.º 1) – que transpôs a Diretiva 95/46/CE no ordenamento jurídico português –, ao imporem a obrigatoriedade de adoção de medidas técnicas e organizativas adequadas para proteger os dados pessoais contra o acesso não autorizado.

308 _{Nestes termos, vide CALVÃO, Filipa Urbano – “O direito fundamental...”, op. cit., pág. 100.} 309 _{Cfr. LOPES, Joaquim de Seabra – O artigo..., op. cit., pág. 43.}

310 _{Segundo o D.A.R., II Série, VII Legislatura, IV Revisão Constitucional, n.º 78. [Consulta em 20 de fevereiro de 2019].}

No documento O regime sancionatório da proteção de dados pessoais: paradigma ou paradoxo? (páginas 65-75)