Informações abrangidas

Ao contrário do que estabelece a norma geral vertida no artigo 3.º da Diretiva da Privacidade Eletrónica, a disposição que ora analisamos não se limita a ser aplicada ao tratamento de dados pessoais.

O n.º 3 do artigo 5.º, em questão, refere-se ao “armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador”.

O legislador comunitário abraçou o entendimento de que toda a informação contida no terminal de um utilizador faz parte da sua esfera

privada e, por isso, merece proteção463 – independentemente da sua

qualificação como dados pessoais.

O Grupo do Artigo 29.º, no seu parecer sobre publicidade

comportamental em linha, confirmou que “o artigo 5.º, n.º 3, é aplicável ao

armazenamento e/ou acesso a «informações», qualquer que seja o seu tipo. Não é um requisito para a aplicação desta disposição que estas informações

sejam dados pessoais na aceção da Diretiva 95/46/CE”464

.

Assim, a opção terminológica do n.º 3 do artigo 5.º visa estender o âmbito da previsão a todos os casos de armazenamento ao acesso a

informação armazenada no terminal de um utilizador ou assinante465. A

disposição não se aplica, portanto, apenas quando em causa estejam informações compreendidas no conceito de dados pessoais, mas sempre que haja armazenamento ou acesso a informações já armazenadas no terminal do utilizador, por tal representar uma imiscuição na sua esfera privada.

463

Considerando 24, da Diretiva 2002/58/CE.

464

GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 2/2010 sobre publicidade comportamental ... , cit., p-10.

465

KOSTA, Eleni, Consent in European... , op. cit., p. 297, e KOSTA, Eleni, Handling cookies within the european union: making the cookies crumble?, em “VIII Congreso Internet, Derecho y Política 2012 Retos y oportunidades del entretenimiento en l nea”, Barcelona, 2012, p. 403.

130

3.1.1.1. Aplicação da Diretiva 95/46/CE

A verdade é que a utilização de testemunhos de conexão frequentemente envolve o tratamento de dados pessoais.

Como vimos466, é considerado dado pessoal “qualquer informação

relativa a uma pessoa singular identificada ou identificável («pessoa em causa»)”, sendo que “é considerado identificável todo aquele que possa ser identificado, direta ou indiretamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua

identidade física, fisiológica, psíquica, económica, cultural ou social”467

.

No Parecer 1/2008 sobre questões de proteção de dados ligadas aos motores de pesquisa, adotado em 4 de Abril de 2008, o Grupo de Artigo 29.º confirmou que, na maioria dos casos, os testemunhos devem ser

considerados dados pessoais468.

“Se um testemunho contiver um identificador único do utilizador, esse

identificador constitui claramente 469 um dado pessoal. A utilização de

testemunhos persistentes ou de meios análogos com um identificador único do utilizador permite acompanhar os utilizadores de um determinado

computador mesmo que sejam utilizados endereços I.P. dinâmicos”470 471

.

466 _{Título 2.2. do Capítulo II.}

467 _{Artigo 2.º, alínea a), da Diretiva 95/46/CE.}

468

GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 1/2008 sobre questões de proteção de dados ligadas aos motores de pesquisa (WP 148), de 4 de Abril de 2008, disponível em

http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp148_pt.pdf#h2-6, última consulta em 30 de agosto de 2013.

469 _{Não somos, contudo, da opinião de que um testemunho que contenha um identificador único permita}

“claramente” identificar as pessoas em causa. A verdade é que pode ser instalado um testemunho com um identificado único num equipamento terminal a partir do qual várias pessoas, utilizando o mesmo navegador, acedam ao mesmo site. O número único permite identificar o navegador mas pode não permitir a identificação, ainda que indireta, de cada uma ou alguma das pessoas.

470

GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 1/2008 sobre questões de proteção ... , cit., p. 9.

471

O Tribunal de Justiça, através do Acórdão de 24 de novembro de 2011, considerou os endereços de IP dados pessoais. Acórdão do Tribunal de Justiça, Scarlet Extended SA contra Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), Processo C-70/10, de 24 de novembro de 2011.

131 Assim, é possível monitorizar os utilizadores e identificar as pessoas em

causa.472

Decorre do considerando 10 da Diretiva da Privacidade Eletrónica que “é aplicável a Diretiva 95/46/CE, especialmente no que se refere a todas as questões relacionadas com a proteção dos direitos e liberdades fundamentais não abrangidas especificamente pelas disposições da presente diretiva, incluindo as obrigações que incumbem à entidade que exerce o controlo e os direitos das pessoas singulares”.

Conforme confirmou o Grupo do Artigo 29.º, “trata-se de um caso de aplicação do critério da especialidade, segundo o qual a lei especial (lex

specialis) prevalece sobre a lei geral (lex generalis). Assim sendo, o artigo

5.º, n.º 3, da Diretiva da Privacidade Eletrónica, que diz respeito ao consentimento informado, será diretamente aplicável. A Diretiva 95/46/CE

será plenamente aplicável, excerto em relação às disposições

expressamente previstas na Diretiva da Privacidade Eletrónica, que correspondem essencialmente ao artigo 7.º da Diretiva 95/46/CE sobre os fundamentos legais do tratamento de dados. As restantes disposições da Diretiva 95/46/CE, incluindo os princípios relacionados com a qualidade dos dados, os direitos da pessoa em causa (tais como os direitos de acesso, apagamento e oposição), a confidencialidade e segurança do tratamento e as

transferências internacionais de dados, serão plenamente aplicáveis”473

.

Assim, sempre que as informações abrangidas por um testemunho de conexão sejam dados pessoais, além das regras estabelecidas no artigo 5.º, n.º 3 da Diretiva da Privacidade Eletrónica, são aplicáveis as disposições da

Diretiva 95/46/CE.474

472

O Grupo do Artigo 29.º chama, ainda, a atenção para o facto de que “outras situaç es que podem levar à

identificabilidade são as fusões, as perdas de dados e a crescente disponibilidade de dados pessoais na Internet em combinação com endereços IP”, GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 2/2010 sobre publicidade comportamental ... , cit., p. 10.

473

GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 2/2010 sobre publicidade comportamental ... , cit., p. 11.

474

Entre nós, sobre a aplicação da Lei n.º 67/98, de 26 de outubro, à utilização de testemunhos de conexão ver MENEZES LEITÃO, Luís Manuel Teles de, Os Testemunhos de ... , cit., pp. 767 e ss..

132

Desde logo, os responsáveis pelo tratamento, têm de respeitar os princípios relativos à qualidade dos dados, previstos no artigo 6.º da Diretiva 95/46/CE, bem como os direitos das pessoas em causa estabelecidos nos

artigos 12.º e 14.º 475.

O tratamento de dados pessoais sensíveis é, em princípio, proibido pelo artigo 8.º da Diretiva 95/46/CE. Para que através do mecanismo dos testemunho de conexão se possa proceder ao tratamentos desta categoria de dados, para além do consentimento obtido para o tratamento de dados em geral, a pessoa em causa tem de prestar o seu consentimento explícito, específico e prévio, conforme resulta do artigo 8.º, n.º 2, alínea a).

Nos termos do artigo 17.º da Diretiva 95/46/CE, os responsáveis pelo tratamento e os subcontratantes têm, ainda, a obrigação de aplicar medidas técnicas e organizativas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a divulgação não autorizada e outras formas de tratamento ilícito.

Os responsáveis pelo tratamento estão, igualmente, obrigados a notificar o tratamento de dados pessoais às autoridades responsáveis pela proteção de dados, se tal estiver previsto na legislação nacional, em conformidade com o artigo 18.º da Diretiva 95/46/CE.

No caso da transferência de dados para fora da UE, os responsáveis pelo tratamento devem observar o disposto nos artigos 25.º e 26.º da Diretiva 95/46/CE.