E NQUADRAMENTO LEGAL : NOVO REGULAMENTO

Com a evolução tecnológica, qualquer indivíduo consegue aceder a dados pessoais de qualquer ser humano, possibilidades essas a serem frequentemente utilizadas de forma errada e abusiva. Neste sentido, e para garantir a segurança dos dados pessoais e o direito à reserva da vida privada, exigiu-se a evolução do Direito, ainda obsoleto.

“Dados pessoais são qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável”81

Em primeiro lugar, a CRP consagra constitucionalmente a proteção de dados pessoais, nos artigos 26.º e 35.º, prevendo como um “direito fundamental de cada cidadão o acesso aos respetivos dados informativos, bem como retificação, a atualização, e ao conhecimento da finalidade a que se destinam (…)”82.

Em segundo lugar, a Lei 43/2004 de 18 de agosto veio regular a Lei da Organização e Funcionamento da Comissão Nacional da Proteção de Dados, sendo que a Lei 32/2008 de 17 de julho “transpõe para a ordem jurídica interna a Diretiva nº 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações”.83 _{Em terceiro lugar, a Lei 67/98 de 26 de outubro, a Lei de Proteção de}

Dados Pessoais, “transpõe para a ordem jurídica portuguesa a Diretiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados”84_.

81 _{Conceito definido no art. 3.º, al. a) LPD (Lei de Proteção de Dados Pessoais, n.º 67/98, de 26 de outubro),} que transpõe para a nossa ordem jurídica a Diretiva nº 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

82 _{PEREIRA, Alexandre Libório Dias - Big data, e-health e «autodeterminação informativa» : a lei 67/98,} a jurisprudência e o regulamento 2016/679 (GDPR). Lex Medicinae – Revista Portuguesa de Direito da

Saúde [Em linha]. N.º 29 (2018), p. 3.

83 _{Vide LEI n.º 32/2008, de 17 de Julho : Conservação de dados gerados ou tratados no contexto oferta de} serviços de comunicações electrónicas. In PGDL : Procuradoria-Geral Distrital de Lisboa [Em linha]. Lisboa : PGDL, 2018.

Tendo em conta este progresso, e por se tratar de um problema transfronteiriço, surgiu a necessidade de existir uma uniformização e homogeneização das normas estabelecidas em todos os estados membros da União Europeia, emergindo assim o “Regulamento Geral da Proteção de Dados”. Este Regulamento prende-se com o reforço do direito fundamental à proteção de dados, como previsto na Carta dos Direitos Fundamentais da UE e no Tratado de Funcionamento da UE, contribuindo para progresso económico e social e consolidação e convergência, com a confiança necessária, das economias no mercado interno.85

O RGPD teve aplicação obrigatória a 25 de maio de 2018, revogando assim em Portugal, a Lei n.º 67/98, de 26 de outubro (que transpõe para a ordem jurídica Portuguesa a anterior Diretiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995). Importa clarificar que esta revogação não implica uma quebra entre os dois sistemas, mas sim uma extensão de deveres e definições da anterior Diretiva para o RGPD. Aplica-se assim a todas as pessoas singulares, independentemente da sua nacionalidade ou residência (Considerando 14), remetendo-se para as jurisdições nacionais a adequação do regulamento localmente.

Assim, segundo o artigo 3.º do RGPD, “o presente regulamento aplica-se ao tratamento86 de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União”. Quanto às empresas não estabelecidas na UE, a legislação alarga o seu alcance territorial. Desde que a sua atividade de tratamento de dados se prenda com a oferta de bens e serviços aos titulares de dados pessoais da UE, aplica-se o disposto no regulamento.

O artigo 4.º n.º1 altera e amplia o conceito de dados pessoais: “informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada

85 _{Considerando 1, 2 e 7.}

86 _{Também no regulamento, deparamo-nos com a definição de “Tratamento”, no Artigo 4.º, n.º 2:} “Tratamento, uma operação ou um conjunto de operações efetuadas sobre os dados pessoais ou sobre conjunto de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição”. A lei abrange assim tratamento de dados pessoais efetuados em território português ou dados pessoais situados no território português e com base em videovigilância (Art.º 4.º n.º 4).

Aplica-se assim a dados automatizados e não automatizados. Se se aplicasse apenas aos dados automatizados, deixar-se-ia uma abertura fácil de contornar as restrições do RGPD.

identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular”.

Após análise do Artigo 5.º, verificamos assim os princípios elencados pelo RGPD. Primeiramente, o princípio de “Responsabilidade”, através da criação da figura do Encarregado de Proteção de Dados87, e pelo facto do responsável pelo tratamento ter que responder por toda a implementação e conformidade com o Regulamento. Estabelece também o princípio da “Licitude, Lealdade e Transparência”, com um tratamento transparente, de forma lícita e legítima88_{, baseado no consentimento do titular dos dados.}

De seguida, estabelece o princípio da “Limitação de Finalidade”, em que os dados pessoais só poderão ser tratados para os fins determinados89, sendo que a legitimidade do tratamento de dados pessoais dependerá também da finalidade do tratamento. Outrossim, estabelece o princípio de “Minimização dos Dados”, sendo que os dados recolhidos devem ser os necessários, pertinentes e limitados relativamente às finalidades para os quais são tratados. O princípio da “Precisão e Exatidão” está também presente, com os dados pessoais exatos, e atualizados, sempre que imprescindível90, assim como, o princípio de “Limitação da Conservação”, em que os dados pessoais deverão ser conservados de forma a identificar as pessoas durante o período acordado e necessário e para os fins acordados91. Por último, dispomos do princípio de “Integridade e Confidencialidade”, sendo que deverá ser garantida a segurança dos dados pessoais contra o tratamento ilícito, bem como a sua integridade92. Analisando o Artigo 1.º detetamos a referência ao princípio da “Livre Circulação”, como base de existência do regulamento: proteger o tratamento de dados pessoais e a sua livre circulação.

O tratamento é lícito quando existe: (i) consentimento; (ii) a execução de um contrato ou diligências pré-contratuais (do qual o titular dos dados é parte); (iii)

87 _{Remissão para os artigos 77.º (para apresentação de reclamação), 82.º e 83.º RGPD} 88 _{Remissão para os artigos 6.º e 9.º}

89 _{Remissão para o Artigo 26.º. Considerando 39.} 90 _{Remissão para o Artigo 16.º}

91 _{A conservação por períodos mais longos que o necessário poderá ser importante desde que seja para fins} de interesse público ou investigação científica, sendo obrigatória a adoção de medidas adequadas que salvaguardam os direitos, liberdades e garantias do titular dos dados.

cumprimento de uma obrigação jurídica por parte do responsável pelo tratamento de dados; (iv) proteção dos interesses vitais do titular dos dados; (v) a prática de funções de interesse público ou a prática da autoridade pública responsável; (vi) os interesses legítimos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os direitos e liberdades fundamentais do titular cuja proteção dos dados pessoais se exige.93 Neste contexto, caso exista já uma relação pré-estabelecida com os clientes, é defensável o tratamento dos dados com base no interesse legítimo do responsável do tratamento. Assim, pela perspetiva comercial e organizacional, não será necessário requisitar o novo consentimento, não sendo este o meio de licitude mais adequado.

Engloba assim novos conceitos, com as seguintes mudanças e adaptações:

i. Necessária a existência de uma base legal e de uma finalidade específica e lícita para controlar e processar os dados pessoais (artigos 6.º e 7.º), incluindo o

consentimento9495 direto, específico e voluntário do titular dos dados, em

conformidade com as obrigações legais da entidade e dos deveres de informação (artigos 7.º e 8.º da Carta dos Direitos Fundamentais da UE):

a) Este lê-se como uma declaração ou um ato positivo inequívoco, aceite pelo titular dos dados a que estes sejam objeto de tratamento, de livre vontade, de forma informada e explícita (Art.º 4.º, al) 11));

ii. Condições aplicáveis ao consentimento de crianças: só com idade igual ou superior a dezasseis anos podem dar consentimento válido em relação aos serviços da sociedade da informação (Art.º 8.º, n.º 1, Considerando 38):

a) No entanto, o regulamento admite que os Estados-Membros definam a idade com que as crianças podem ter acesso aos serviços das TI, variando entre os 13 e os 16 anos.

iii. Condições especiais para o tratamento de categorias especiais de dados pessoais (Art.º 9.º, Considerando 51): “É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as

93 _{PEREIRA, Alexandre Libório Dias - Big data, e-health e «autodeterminação informativa»…, p. 8.} 94 _{Considerando 32}

95 _{Apesar do consentimento existir na anterior diretiva, com o Regulamento, veio a adquirir uma maior} dimensão, com um alargamento do seu conceito.

convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa”;

a) Os dados de saúde, incluindo dados genéticos (Art.º 4.º al) 13), Considerando 34), são considerados dados sensíveis;

b) O tratamento é proibido em princípio, exceto se existir: (i) consentimento explícito do titular ou caso os torne públicos; (ii) cumprimento de obrigações e direitos em matéria de legislação laboral, segurança social e proteção social com base no direito da União ou dos Estados-Membros por motivos de interesse público; (iii) defesa de direitos vitais do titular; (iv) tratamento realizado por fundação, associação ou organismo sem fins lucrativos, políticos, filosóficos, religiosos ou sindicais; (v) exercício ou defesa de um direito num processo judicial; (vi) efeitos de medicina preventiva ou do trabalho, diagnóstico médico, prestação de cuidados ou tratamentos de saúde de ação social, por força de um contrato com um profissional de saúde - sob reserva de sigilo profissional; (vii) interesse público para investigação científica ou histórica para fins estatísticos.

iv. Direito à informação, em que o responsável pelo tratamento de dados deve

obter informação transparente e de fácil acesso e fornecê-la de forma concisa, com linguagem clara e simples (Art.º 13.º);

v. Direito ao acesso, em que o titular pode solicitar ao responsável do

tratamento de dados a confirmação se os seus dados são objeto de tratamento de dados, assim como tem o direito de aceder às informações como a finalidade e a categoria dos dados pessoais em questão (Art.º 15.º);

vi. Direito de retificação, em que o titular pode solicitar a retificação dos seus

dados pessoais inexatos (Art.º16.º), sendo que lhe terá de ser comunicada a retificação, apagamento ou limitação por parte do responsável pelo tratamento, com o respetivo Direito à notificação (Art.º 19.º);

vii. Direito ao esquecimento96, em que um cidadão pode exigir a destruição permanente dos seus dados pessoais. No entanto, apenas quando se justifique um dos motivos enumerados nas alíneas do n.º 1 (Art.º 17.º): (i) deixaram de ser necessários para as finalidades que motivaram a recolha ou tratamento; (ii) o titular retira o consentimento que motiva o respetivo tratamento, e não exista outro fundamento jurídico; (iii) o titular exerce o direito de oposição nos termos do artigo 21.º, n.º 1 e/ou do n.º 2; (iv) os dados foram tratados ilicitamente; (v) tem que ser cumprida uma obrigação jurídica decorrente do Direito da União Europeia ou de um Estado-membro e (vi) os dados foram recolhidos no âmbito do artigo 8.º, n.º 1;

viii. Direito de oposição/limitação ao tratamento dos dados97_{, em que o}

cidadão pode exigir o não tratamento dos seus dados pessoais, mesmo ao nível de campanhas de marketing (Art.º 18.º/21.º). No caso da oposição, deve existir um equilíbrio entre os interesses do responsável pelo tratamento e do titular dos dados;

ix. Direito à portabilidade dos dados, em que os titulares podem exigir a

migração dos seus dados de uma empresa prestadora de serviços para outra, complementando o direito de acesso, em formato de leitura automática e uso corrente (Art.º 20.º):

a) “O novo direito à portabilidade dos dados visa dar mais poderes aos titulares dos dados em relação aos seus próprios dados pessoais, dado que viabiliza a sua capacidade para transferir, copiar ou transmitir facilmente dados pessoais de um ambiente informático para outro”98_,

96 _{Considerando 65.}

97 _{Para restringir/limitar o tratamento de dados pessoais pode-se recorrer a diversos métodos, como a} transferência temporária para outro sistema de tratamento, indisponibilização do acesso, retirada temporária da Web. Considerando 67.

98 _{GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Orientações sobre o direito à} portabilidade dos dados [Em linha]. Bruxelas : Comissão Europeia, 2017.

x. Direito de oposição à definição de perfis automatizados99/profiling100,

não ficando o titular dos dados sujeito a nenhuma decisão tomada com base no tratamento automatizado dos dados (Art.º 22.º, Considerando 71).

xi. Direito a ação administrativa e judicial contra os responsáveis pelo

tratamento dos dados, ou contra as decisões da autoridade de controlo, podendo os titulares invocar danos patrimoniais e morais (Art.º 78.º-79.º);

xii. Accountability, elencado com o Princípio da Responsabilidade (Art.º 5.º, n.º

2), com a introdução de novas premissas de tratamento de dados: “Privacy

by Design” e “Privacy by Default”, que se tratam de medidas de minimização

de impacto e de segurança nos produtos e serviços oferecidos, com a promoção de uma cultura de proteção de dados tanto na “conceção” como por “defeito”. Relativamente ao primeiro, significa que, em cada novo processo de negócios de serviços que utiliza dados pessoais, a organização deve tomar uma posição de proteção desde o início do seu decurso (e.g. pseudonimização; minimização do tratamento). Relativamente ao segundo, quando um cliente obtém um novo serviço ou produto, as informações serão apenas guardadas durante o tempo necessário. Ou seja, apenas serão tratados os dados pessoais relativos às finalidades específicas e previamente definidas (Art.º 25.º);

a) Pseudonimização, é uma técnica de reforço de privacidade, que vem definida no art.º 4.º al) 5) e permite substituir as características de identificação de dados com um pseudónimo, ou seja, em algo que não identifique o sujeito diretamente (Considerando 28);

99 _{Remissão para Artigo 4.º n.º 4º. Forma de tramento automático dos dados pessoais para avaliar aspetos} pessoais relacionados com o titular dos dados (e.g. interesses, situação económica, saúde, localização). 100 _{“Broadly speaking, profiling means gathering information about an individual (or group of individuals)} and evaluating their characteristics or behaviour patterns in order to place them into a certain category or group, in particular to analyse and/or make predictions about (…)”, in ARTICLE 29 DATA

PROTECTION WORKING PARTY - Guidelines on automated individual decision-making and profiling

for the purposes of regulation 2016/679 [Em linha]. Brussels : European Commission, 2018, p. 7.

“Recolha de informações sobre um individuo (ou grupo de indivíduos) por forma a avaliar as suas características ou padrões de comportamento para colocá-los em uma determinada categoria ou grupo, especialmente para analisar e / ou fazer previsões.”

xiii. Todas as atividades terão que ser devidamente registadas (Art.º 30.º), prevendo-se uma exceção a essa obrigação, quando uma empresa emprega menos de 250 colaboradores;

xiv. O responsável pelo tratamento de dados é o organismo que determina as finalidades e os meios do tratamento. É a entidade que controla os dados e pode recorrer a subcontratantes (Art.º 28.º). Uma vez que são equiparados aos responsáveis pelo tratamento, e tendo que prestar todas as informações e assistência necessárias ao mesmo, as obrigações dos responsáveis são aplicáveis aos subcontratantes (Considerando 95), com um princípio de responsabilidade solidária entre eles:

a) As responsabilidades do responsável e do subcontratante prendem-se com o dever de segurança de tratamento, dever de notificação de uma violação de dados pessoais à autoridade de controlo competente ou dever de comunicação da violação ao titular dos dados (Art.º 32.º-33.º),

b) Estes devem adotar orientações internas por forma a estar em conformidade e aplicar medidas que acompanhem os princípios de accountability, procedendo à DPIA (Art.º 35.º), à consulta prévia (Art.º 36.º, Considerando 94) e designando o DPO (Art.º 37.º): “Tais medidas podem incluir (…) transparência no que toca às funções e ao tratamento de dados pessoais, a possibilidade de o titular dos dados controlar o tratamento de dados e a possibilidade de o responsável pelo tratamento criar e melhorar medidas de segurança.” (Considerando 78);

xv. É obrigatória a comunicação dos responsáveis pelo tratamento de dados à Autoridade de Controlo Competente, de uma violação de dados101, até 72 horas após conhecimento do ataque (Direito de notificação em caso de violação de dados pessoais, Art.º 33.º-34.º). Apesar de não ser necessário avisar a autoridade supervisora e notificar o indivíduo se a violação de dados não representar um risco para os direitos e liberdades dos indivíduos (e.g.

101 _{Remissão para Art.º 4.º, n.º 12, “(…) uma violação da segurança que provoque, de modo acidental ou} ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.

discriminação, perdas financeiras, prejuízos para a reputação102). É necessária uma “justificação fundamentada” caso exista um atraso na comunicação.

xvi. Avaliação de Impacto sobre a Proteção de Dados (DPIA) é uma avaliação de risco, verificando o impacto das ameaças com a sua probabilidade de ocorrência, efetuando uma auditoria dos processos organizacionais, para a definição de estratégias de tratamento de dados pessoais. Esta é da responsabilidade do responsável do tratamento e existe a obrigação de a realizar quando o tratamento for “suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares”, quando existe tratamento automatizado (incluindo definição de perfis) ou de dados sensíveis, e em larga escala (Art. 35.º, Considerando 90). Inclui103_:

a) uma descrição do tratamento,

b) a necessidade e da proporcionalidade do tratamento,

c) os riscos para os direitos e liberdades das pessoas em causa,

d) as salvaguardas e medidas para proteger contra esses riscos;

xvii. Figura do Encarregado de Proteção de Dados (DPO)104, designado pelo responsável pelo tratamento e subcontratante, que deverá ter um forte conhecimento da legislação e das operações de tratamento de dados, sendo um pilar essencial nas empresas para o cumprimento no regulamento e na criação de garantias para as organizações (Art. 37.º-39.º). Este pode ser um colaborador da empresa ou contratado para o efeito. A nomeação é obrigatória para as autoridades públicas, e para atividades em que tenham o seu negócio central em tratamento de dados, que necessitam de

102 _{Considerando 75.}

103 _{O Grupo de Trabalho 29 recomenda que a avaliação tenha em conta os seguintes critérios: (i) o tipo de} violação; (ii) a natureza, sensibilidade e volume de dados pessoais; (iii) facilidade de identificação de indivíduos; (iv) gravidade das consequências para os indivíduos; (v) características especiais do indivíduo (e.g se é criança); (vi) características especiais do controlador de dados; (vii) o número de indivíduos afetados. Vide ARTICLE 29 DATA PROTECTION WORKING PARTY - Guidelines on Personal data

breach notification under Regulation 2016/679 [Em linha]. Brussels : European Commission, 2018, p. 24-

26.

104 _{Esta figura já havia sido identificada, ainda que a título facultativo, nos Arts.º 18.º, n.º 2 e 20.º, n.º 2, da} Diretiva 95/46/CE.

monitorização regular e sistemática dos indivíduos em larga escala (volume, âmbito geográfico alargado), ou em categorias especiais de dados (Considerando 97). O DPO tem um estatuto de independência e autonomia dentro da organização e (i) deve cooperar com a autoridade de controlo aplicável, com os titulares de dados; (ii) monitorizar as DPIA; (iii) informar e aconselhar o responsável pelo tratamento ou o subcontratante; (iv) controlar a conformidade com o regulamento (Art.º 39.º, n.º 1, b));

xviii. Extinção do mecanismo de autorização prévia pela Autoridade de Controlo, a Comissão Nacional de Proteção de Dados (Art.º 28.º, Lei n.º 67/98, 26 de outubro), por originar cargos administrativos e financeiros elevados, mas sem visibilidade em melhorias na proteção dos dados105_{. O}

seu papel passa pela fiscalização do cumprimento das regras do RGPD e pela promoção da sensibilização, compreensão e prevenção. Tem estatuto de independência (Art.º 52.º) e é responsável pela cooperação com as autoridades de controlo de proteção de dados dos outros Estados-Membros. Dever-se-ão ser-lhe dados recursos financeiros e humanos e instalações necessárias ao seu bom funcionamento106. O controlo financeiro a que cada autoridade de controlo está sujeita nos termos do direito nacional não deve afetar a sua independência107;

xix. Mecanismo de balcão único (“one-stop-shop”), para organizações que tenham delegações em mais do que um país na UE, permitindo concentrar uma única autoridade de controlo local para casos de tratamentos transfronteiriços de dados. Aqui, insere-se a Autoridade de Controlo Principal (Art.º 56.º), que tem como responsabilidade fundamental gerir a