/ * I Código de Conduta
7. Os REQUISITOS DO CÓDIGO DE CONDUTA
7.4. RECLAMAÇÕES E REGULAÇÃO DE LITÍGIOS
7.5.1. Iniciativas no âmbito da política de privacidade
Considerando a relevância das iniciativas da OCDE e da legislação nacional e comunitária para lidar com esta questão da privacidade passa a expor-se o seu conteúdo.
OCDE
Relativamente a este assunto a OCDE definiu um conjunto de princípios no documento "Protection of Privacy and Transborder Flows of Personal Data" (OCDE, 1980). Estes definem o modo de manusear a informação de forma a proteger a privacidade dos dados. Esses princípios são:
• Limitação de Recolha: devem existir limites para a recolha de dados pessoais e tais dados devem ser obtidos por meios leais e justos e, quando apropriado, com o conhecimento ou consentimento do sujeito dos dados;
• Qualidade dos Dados: os dados pessoais devem ser exactos, completos, actualizados e especialmente relevantes para os fins para os quais serão usados;
• Especificação da finalidade: a finalidade com que os dados pessoais são recolhidos deve ser especificada previamente e o uso subsequente limitado ao preenchimento desses fins ou outros não incompatíveis com estes;
• Limitação de Uso: os dados pessoais não devem ser disponibilizados ou utilizados para outros fins diversos dos especificados de acordo com a finalidade atrás definida, excepto com o consentimento do sujeito dos dados ou pelas autoridades legais;
• Segurança: os dados pessoais devem ser protegidos por razões de segurança contra riscos de perda, acesso não autorizado, destruição, uso, modificação ou exposição dos dados;
• Abertura: deve existir uma política genérica de abertura relativamente a desenvolvimentos, práticas e políticas com respeito aos dados pessoais. Os meios devem ser disponibilizados para verificar a existência, a natureza dos dados pessoais e os propósitos do seu uso, assim como a identidade e localização do organismo que fiscaliza e controla o uso dos dados;
• Participação Individual, o indivíduo deve ter o direito a:
- Obter do organismo de controlo dos dados a confirmação da existência de dados relativos a si;
- Obter informação relativamente aos seus dados num prazo razoável e de uma forma que seja rapidamente inteligível; - Saber os motivos, se solicitou informação no âmbito do ponto
1 e 2 e esta lhe é negada e poder contestar tal negação;
- Contestar os seus dados. Se esta contestação é bem sucedida, ter os dados apagados, rectificados, completados ou emendados.
• Responsabilidade: o organismo de controlo dos dados deve ser responsável pelo compromisso com as medidas que dão exequibilidade aos princípios atrás mencionados.
Lei de Protecção de Dados Pessoais
A Lei da Protecção de Dados Pessoais, Lei n.° 67/98, de 26 de Outubro, transpõe para a ordem jurídica portuguesa a Directiva n.° 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares
no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados (Lei 67/98, 1998). O princípio geral desta legislação prende-se com o tratamento de dados pessoais que deve processar-se de forma transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos, liberdades e garantias fundamentais. Com base nas informações disponibilizadas pelo site da Comissão Nacional de Protecção de Dados - CNPD (CNPD, 2002) passa a expor-se os direitos dos titulares dos dados e das empresas que os manipulam.
Os direitos dos titulares são:
• Ser informado, no momento em que os seus dados são recolhidos: - Da finalidade do tratamento;
- Da identidade do responsável pelo tratamento dos dados; - Do(s) destinatário(s) dos dados;
- Do carácter obrigatório ou facultativo de fornecer os seus dados;
- Da existência das condições do direito de acesso e rectificação.
• Exigir que os seus dados sejam recolhidos de fornia lícita e leal; • Exigir que os dados a seu respeito sejam exactos e actuais, podendo
solicitar a sua correcção;
• Exigir que o seu nome e endereço sejam eliminados dos ficheiros de endereços utilizados pela mala directa (marketing/mailing);
• Impedir que os dados pessoais sejam utilizados para finalidade incompatível com aquela que determinou a recolha;
• Ser informado sobre a existência de tratamento de dados a seu respeito, bem como sobre a identidade e endereço do responsável; • Ter conhecimento e acesso às informações sobre si registadas. Em
caso de tratamento de dados relativos à segurança do Estado, à prevenção e investigação criminal, ou para fins exclusivamente jornalísticos ou de expressão artística e literária, o acesso é feito pela
saúde é comunicada à pessoa, por intermédio do médico por ela designado.
As obrigações das empresas que manipulam os dados são (CNPD, 2002):
• Legalizar junto da CNPD, previamente à sua constituição, os tratamentos de dados pessoais;
• Proceder ao tratamento de dados de forma lícita e leal, recolhendo apenas a informação necessária e pertinente à finalidade;
• Permitir ao titular dos dados o acesso e correcção das informações sobre si registadas, transmitindo-as, em linguagem clara e rigorosamente correspondente ao conteúdo do registo;
• Não utilizar os dados recolhidos para finalidade incompatível com a da recolha;
• Manter os dados exactos e, se necessário, actuais;
• Assegurar o consentimento expresso do titular dos dados sempre que tal for exigido;
• Garantir gratuitamente o direito de eliminação dos dados utilizados para a mala directa, quando requerida pelo titular;
• Ter sistemas de segurança que impeçam a consulta, modificação ou destruição dos dados por pessoa não autorizada a fazê-lo e que permitam detectar desvios de informação intencionais ou não;
" Respeitar o sigilo profissional em relação aos dados tratados;
• Interromper imediatamente o tratamento dos dados quando actuem em desconformidade com a lei e tenham recebido da entidade competente directriz nesse sentido;
• Não realizar interconexão de dados pessoais, salvo autorização legal ou autorização da CNPD;
Apesar destas obrigações as empresas estão isentas de notificar a CNPD quando procedem ao tratamento automatizado de dados com a finalidade exclusiva de facturação, gestão de contactos com clientes, fornecedores e prestadores de serviços.
Platform for Privacy Preferences - P3P
O projecto P3P (W3C, 1997) tem por objectivo sinalizar automaticamente as discrepâncias entre as práticas dos sites e as preferências dos utilizadores. O P3P cobre nove aspectos relacionados com a privacidade on-line, incluindo os cinco que dizem respeito à informação recolhida pelos sites: quem recolhe a informação, que informação é recolhida, com que objectivo ela é recolhida, que informação é partilhada com outros e quem são os recolectores de informação. Os quatro restantes tópicos explicam as políticas internas de privacidade do site: como podem os utilizadores alterar o modo como a sua informação é usada, como são resolvidos conflitos, qual a política de retenção de informação e onde é que as politicas podem ser encontradas para serem consultadas pelos utilizadores.
Este projecto não poderá garantir ou reforçar as queixas de privacidade feitas pelos sites da Internet. No entanto, a W3C declarou que as versões futuras do P3P incluirão assinaturas XML para permitir o não repudio de acordos entre os utilizadores e os sites. As versões futuras também poderão incluir um mecanismo para permitir às empresas negociar e transferir informação dos utilizadores para serviços a fornecer por terceiros. Apesar deste potencial, há quem afirme que o objectivo das tecnologias de privacidade é o de permitir que os utilizadores possam realizar as suas transacções anonimamente.
7.5.2. Normas do Código para a Privacidade