O Consentimento como fundamento específico para tratamento de dados

países terceiros que não assegurem um nível de proteção adequado

Além de fundamento geral de licitude, o consentimento aparece ainda como um fundamento específico no caso do tratamento de dados pessoais

325

GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 15/2011 sobre a definição ... , cit., p. 9.

326 _{“Por principio, o consentimento não devia ser visto como uma derrogação aos outros princípios de proteção de}

dados, mas sim como uma salvaguarda. O consentimento é, antes de mais, um fundamento de licitude, não afastando a aplicação de outros princípios.”, GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 15/2011 sobre a definição ... , cit., p. 9.

91

sensíveis327 – em que o consentimento da pessoa em causa tem de ser

explícito328 – e no caso da transferência de dados para países terceiros que

não assegurem um nível de proteção considerado adequado pelo direito da

União329.

O tratamento de certas categorias específicas de dados – ou dados

pessoais sensíveis, como comummente são referidos – é, em princípio,

proibido.

Excecionalmente, o tratamento de dados pessoais sensíveis é permitido quando a pessoa em causa para tal dê o seu consentimento explícito. Esta é a única situação em que a Diretiva expressamente requer

que o consentimento prestado seja explícito330.

O consentimento é explícito quando é manifestado de forma expressa. Ou seja, no caso do tratamento de dados sensíveis, o consentimento da pessoa em causa não pode ser inferido de um ato tendente a expressar a sua manifestação de aceitação, sem mais. Deve, sim, resultar da resposta ativa à questão que lhe apresenta a oportunidade de dar ou não o seu acordo para um uso especial ou divulgação da informação pessoal que lhes diz respeito.

327

Sobre o consentimento enquanto fundamento específico para o tratamento de dados pessoais sensíveis na Lei n.º 67/98, de 26 de outubro, ver CASTRO, Catarina Sarmento e, Direito da Informática ... , op. cit., pp. 88 a 99 e pp. 215 a 222.

328 _{Artigo 8.º, n.º 2, alínea a), da Diretiva 95/46/CE.}

329 _{Artigo 26.º, n.º 1, alínea a), da Diretiva 95/46/CE.}

330

Como analisaremos melhor no Título 2.4. deste Capítulo II, a Proposta de Regulamento Geral de Proteção de Dados da Comissão Europeia introduz na definição de consentimento o requisito de que este tem de ser explícito. Assim, a ser aprovado o texto avançado, o consentimento explícito será exigido não só para o tratamento de dados pessoais sensíveis mas para todos os tratamentos de dados pessoais legitimados pelo consentimento da pessoa em causa. COMISSÃO EUROPEIA, Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção de dados), COM(2012) 11 final 2012/0011 (COD), disponível em

http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_pt.pdf, última consulta em 21 de outubro de 2013.

92

O consentimento explícito é prestado verbalmente ou por escrito, através de um ato pelo qual o titular expressa a sua opção de aceitar uma

forma de tratamento de dados pessoais que lhe dizem respeito331.

A Diretiva 95/46/CE prevê, no entanto, outras situações excecionais que podem legitimar o tratamento de certas categorias específicas de dados. Assim será quando o tratamento for necessário para o cumprimento das obrigações e dos direitos do responsável pelo tratamento no domínio da legislação do trabalho, desde que o mesmo seja autorizado por legislação

nacional que estabeleça garantias adequadas332; ou quando a pessoa em

causa se encontre física ou legalmente incapaz de prestar o seu consentimento e o tratamento for necessário para proteger interesses vitais

desta ou de uma outra pessoa333; ou quando o tratamento for efetuado por

uma fundação, uma associação ou qualquer outro organismo sem fins lucrativos de carácter político, filosófico, religioso ou sindical, no âmbito das suas atividades legítimas e com as garantias adequadas, na condição de o tratamento dizer unicamente respeito aos membros desse organismo ou às pessoas que com ele mantenham contactos periódicos ligados às suas finalidades, e de os dados não serem comunicados a terceiros sem o

consentimento das pessoas em causa334; ou o tratamento disser respeito a

dados manifestamente tornados públicos pela pessoa em causa ou for necessário à declaração, ao exercício ou à defesa de um direito num

processo judicial335. O tratamento de dados pessoais sensíveis é, ainda

possível quando for necessário para efeitos de medicina preventiva, diagnóstico médico, prestação de cuidados ou tratamentos médicos ou gestão de serviços da saúde e quando o tratamento desses dados for efetuado por um profissional da saúde obrigado ao segredo profissional pelo direito nacional ou por regras estabelecidas pelos organismos nacionais

331 _{“Num ambiente on-line, o consentimento explícito pode ser dado através de assinaturas eletrónicas ou digitais.}

Contudo, pode também ser dado clicando num botão, dependendo do contexto, enviando mensagens de correio electrónico de confirmação, clicando em ícones, etc.”, GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 15/2011 sobre a definição ... , cit., p. 29.

332

Artigo 8.º, n.º 2, alínea b), da Diretiva 95/46/CE.

333

Artigo 8.º, n.º 2, alínea c), da Diretiva 95/46/CE.

334

Artigo 8.º, n.º 2, alínea d), da Diretiva 95/46/CE.

93 competentes, ou por outra pessoa igualmente sujeita a uma obrigação de

segredo equivalente336.

As derrogações à proibição geral, podem, ainda, ser outras além das previstas na Diretiva. Aos Estados-membros é permitido estabelecer, por motivos de interesse público importante, outras derrogações através de disposições legislativas nacionais ou de decisões da autoridade de controlo,

desde que prestadas as garantias adequadas337.

É permitido, ainda, sob reserva das derrogações que poderão ser concedidas pelo Estado-membro com base em disposições nacionais que prevejam garantias específicas e adequadas, o tratamento de dados relativos a infrações, condenações penais ou medidas de segurança se efetuado sob o controlo das autoridades públicas ou se o direito nacional estabelecer garantias adequadas e específicas. O registo completo das condenações penais deve, no entanto, ser mantido sob o controlo das autoridades

públicas338.

O consentimento enquanto fundamento específico para a transferência de dados para países terceiros que não assegurem um nível de proteção

considerado adequado339 pelo direito da União tem de ser inequívoco340. O

alcance deste requisito é o mesmo que encontramos no artigo 7.º, alínea a), da Diretiva.

Os fundamentos alternativos ao consentimento que podem legitimar a transferência de dados para países que não assegurem um nível de proteção

adequado341 são semelhantes às condições que legitimam o tratamento de

dados pessoais342.

336 _{Artigo 8.º, n.º 3, da Diretiva 95/46/CE.}

337

Artigo 8.º, n.º 4, da Diretiva 95/46/CE.

338

Artigo 8.º, n.º 5, da Diretiva 95/46/CE.

339

A Comissão Europeia reconheceu que asseguram um nível de proteção adequado a Andorra, a Argentina, a Austrália, o Canadá, a Suíça, as Ilhas Faroé, Guernsey, o Estado de Israel, a Ilha de Man, Jersey, os Princípios da Privacidade em Porto Seguro (Safe Harbor) do Departamento de Comércio dos Estados Unidos, e a transferência de registo de nomes de passageiros aéreos para o Bureau of Customs and Border Protection dos Estados Unidos. Cf. COMISSÃO EUROPEIA, Commission decisions on the adequacy of the protection of personal data in third countries, disponível em http://ec.europa.eu/justice/data-protection/document/international- transfers/adequacy/index_en.htm, última consulta em 15 de outubro de 2013.

340

Artigo 26.º, n.º 1, alínea a), da Diretiva 95/46/CE.

341 _{“Em derrogação ao disposto no artigo 25º e sob reserva de disposições em contrário do seu direito nacional em}

casos específicos, os Estados-membros estabelecerão que a transferência de dados pessoais para um país terceiro que não assegure um nível de proteção adequado na acepção do nº 2 do artigo 25º poderá ter lugar desde que: a) A pessoa em causa tenha dado de forma inequívoca o seu consentimento à transferência; ou b) A transferência seja

94

A particularidade é que o consentimento – ou alguma das situações

alternativas sujeitas ao teste da necessidade – tem de se verificar em relação à transferência para o país terceiro que não assegurem um nível de proteção considerado adequado.

Assim, o consentimento prestado nos termos do artigo 7.º, alínea a), para o tratamento não legitima, por si só, a transferência. É necessário que além de uma condição legitimante do tratamento se verifique,

cumulativamente, uma condição legitimante para a transferência343. O

consentimento livre, específico, informado e inequívoco da pessoa em causa

é uma dessas condições344.

2.3. A Proteção da Privacidade no Sector das