Iniciativas no âmbito da política de privacidade

Considerando a relevância das iniciativas da OCDE e da legislação nacional e comunitária para lidar com esta questão da privacidade passa a expor-se o seu conteúdo.

OCDE

Relativamente a este assunto a OCDE definiu um conjunto de princípios no documento "Protection of Privacy and Transborder Flows of Personal Data" (OCDE, 1980). Estes definem o modo de manusear a informação de forma a proteger a privacidade dos dados. Esses princípios são:

• Limitação de Recolha: devem existir limites para a recolha de dados pessoais e tais dados devem ser obtidos por meios leais e justos e, quando apropriado, com o conhecimento ou consentimento do sujeito dos dados;

• Qualidade dos Dados: os dados pessoais devem ser exactos, completos, actualizados e especialmente relevantes para os fins para os quais serão usados;

• Especificação da finalidade: a finalidade com que os dados pessoais são recolhidos deve ser especificada previamente e o uso subsequente limitado ao preenchimento desses fins ou outros não incompatíveis com estes;

• Limitação de Uso: os dados pessoais não devem ser disponibilizados ou utilizados para outros fins diversos dos especificados de acordo com a finalidade atrás definida, excepto com o consentimento do sujeito dos dados ou pelas autoridades legais;

• Segurança: os dados pessoais devem ser protegidos por razões de segurança contra riscos de perda, acesso não autorizado, destruição, uso, modificação ou exposição dos dados;

• Abertura: deve existir uma política genérica de abertura relativamente a desenvolvimentos, práticas e políticas com respeito aos dados pessoais. Os meios devem ser disponibilizados para verificar a existência, a natureza dos dados pessoais e os propósitos do seu uso, assim como a identidade e localização do organismo que fiscaliza e controla o uso dos dados;

• Participação Individual, o indivíduo deve ter o direito a:

- Obter do organismo de controlo dos dados a confirmação da existência de dados relativos a si;

- Obter informação relativamente aos seus dados num prazo razoável e de uma forma que seja rapidamente inteligível; - Saber os motivos, se solicitou informação no âmbito do ponto

1 e 2 e esta lhe é negada e poder contestar tal negação;

- Contestar os seus dados. Se esta contestação é bem sucedida, ter os dados apagados, rectificados, completados ou emendados.

• Responsabilidade: o organismo de controlo dos dados deve ser responsável pelo compromisso com as medidas que dão exequibilidade aos princípios atrás mencionados.

Lei de Protecção de Dados Pessoais

A Lei da Protecção de Dados Pessoais, Lei n.° 67/98, de 26 de Outubro, transpõe para a ordem jurídica portuguesa a Directiva n.° 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares

no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados (Lei 67/98, 1998). O princípio geral desta legislação prende-se com o tratamento de dados pessoais que deve processar-se de forma transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos, liberdades e garantias fundamentais. Com base nas informações disponibilizadas pelo site da Comissão Nacional de Protecção de Dados - CNPD (CNPD, 2002) passa a expor-se os direitos dos titulares dos dados e das empresas que os manipulam.

Os direitos dos titulares são:

• Ser informado, no momento em que os seus dados são recolhidos: - Da finalidade do tratamento;

- Da identidade do responsável pelo tratamento dos dados; - Do(s) destinatário(s) dos dados;

- Do carácter obrigatório ou facultativo de fornecer os seus dados;

- Da existência das condições do direito de acesso e rectificação.

• Exigir que os seus dados sejam recolhidos de fornia lícita e leal; • Exigir que os dados a seu respeito sejam exactos e actuais, podendo

solicitar a sua correcção;

• Exigir que o seu nome e endereço sejam eliminados dos ficheiros de endereços utilizados pela mala directa (marketing/mailing);

• Impedir que os dados pessoais sejam utilizados para finalidade incompatível com aquela que determinou a recolha;

• Ser informado sobre a existência de tratamento de dados a seu respeito, bem como sobre a identidade e endereço do responsável; • Ter conhecimento e acesso às informações sobre si registadas. Em

caso de tratamento de dados relativos à segurança do Estado, à prevenção e investigação criminal, ou para fins exclusivamente jornalísticos ou de expressão artística e literária, o acesso é feito pela

saúde é comunicada à pessoa, por intermédio do médico por ela designado.

As obrigações das empresas que manipulam os dados são (CNPD, 2002):

• Legalizar junto da CNPD, previamente à sua constituição, os tratamentos de dados pessoais;

• Proceder ao tratamento de dados de forma lícita e leal, recolhendo apenas a informação necessária e pertinente à finalidade;

• Permitir ao titular dos dados o acesso e correcção das informações sobre si registadas, transmitindo-as, em linguagem clara e rigorosamente correspondente ao conteúdo do registo;

• Não utilizar os dados recolhidos para finalidade incompatível com a da recolha;

• Manter os dados exactos e, se necessário, actuais;

• Assegurar o consentimento expresso do titular dos dados sempre que tal for exigido;

• Garantir gratuitamente o direito de eliminação dos dados utilizados para a mala directa, quando requerida pelo titular;

• Ter sistemas de segurança que impeçam a consulta, modificação ou destruição dos dados por pessoa não autorizada a fazê-lo e que permitam detectar desvios de informação intencionais ou não;

" Respeitar o sigilo profissional em relação aos dados tratados;

• Interromper imediatamente o tratamento dos dados quando actuem em desconformidade com a lei e tenham recebido da entidade competente directriz nesse sentido;

• Não realizar interconexão de dados pessoais, salvo autorização legal ou autorização da CNPD;

Apesar destas obrigações as empresas estão isentas de notificar a CNPD quando procedem ao tratamento automatizado de dados com a finalidade exclusiva de facturação, gestão de contactos com clientes, fornecedores e prestadores de serviços.

Platform for Privacy Preferences - P3P

O projecto P3P (W3C, 1997) tem por objectivo sinalizar automaticamente as discrepâncias entre as práticas dos sites e as preferências dos utilizadores. O P3P cobre nove aspectos relacionados com a privacidade on-line, incluindo os cinco que dizem respeito à informação recolhida pelos sites: quem recolhe a informação, que informação é recolhida, com que objectivo ela é recolhida, que informação é partilhada com outros e quem são os recolectores de informação. Os quatro restantes tópicos explicam as políticas internas de privacidade do site: como podem os utilizadores alterar o modo como a sua informação é usada, como são resolvidos conflitos, qual a política de retenção de informação e onde é que as politicas podem ser encontradas para serem consultadas pelos utilizadores.

Este projecto não poderá garantir ou reforçar as queixas de privacidade feitas pelos sites da Internet. No entanto, a W3C declarou que as versões futuras do P3P incluirão assinaturas XML para permitir o não repudio de acordos entre os utilizadores e os sites. As versões futuras também poderão incluir um mecanismo para permitir às empresas negociar e transferir informação dos utilizadores para serviços a fornecer por terceiros. Apesar deste potencial, há quem afirme que o objectivo das tecnologias de privacidade é o de permitir que os utilizadores possam realizar as suas transacções anonimamente.

7.5.2. Normas do Código para a Privacidade