O novo quadro legislativo: a proposta de regulamento

O atual quadro jurídico continua a ser válido quando aos seus objetivos e princípios, porém, a Comissão conclui que a legislação atual da União Europeia não perfazem as necessidades atuais no que se refere a proteção dos dados pessoais. Diferente do caminho iniciado aquando da criação da Diretiva n.º 95/46/CE, de 24 de outubro de 1995 já não se trata de construir um mercado único, mas de assegurar a livre circulação da informação pessoal. “A

proposta de regulamento apresenta, porém, uma arquitectura que se orienta pelos interesses das empresas, particularmente das que não estão sediadas no território da União Europeia”300

.

O direito à proteção de dados pessoais, consagrado no artigo 8.ºda Carta dos Direitos Fundamentais, exige o mesmo nível de proteção dos dados em toda a União Europeia. A ausência de regras comuns entre os Estados-membros aumenta o risco de níveis diferentes de

298 _{Comissão Europeia – Proposta de regulamento do Parlamento Europeu e do Conselho. 2012/001 (COD). [Em}

linha] Bruxelas, 25/01/2012 [Consult. 08 Nov. 2014]. Disponível em http://ec.europa.eu/transparency/regdoc/rep/1/2012/PT/1-2012-11-PT-F1-1.Pdf.

299 _{Informação disponível no site do Parlamento Europeu [Em linha]. [Consult. 15 Dez. 2014] Disponível em}

http://www.europarl.europa.eu/aboutparliament/pt/displayFtu.html?ftuId=FTU_5.12.8.html

300

94

proteção, e consequentemente a circulação dos dados pessoais. O novo quadro legislativo visa harmonizar as transferências dos dados pessoais na União Europeia.

Não obstante a intenção de harmonização do quadro legislativo da proteção de dados, o regulamento prevê algumas situações que ainda faz depender da interpretação dos órgãos nacionais, sempre que não exista ato delegado aprovado, tais como 301:

a) A determinação dos critérios nos casos em que os interesses legítimos do responsável devem prevalecer sobre direitos fundamentais, incluindo os direitos das crianças, cf. artigo 6.º n.º 5302;

b) A definição concreta dos critérios, condições e garantias adequados aplicáveis ao tratamento dos dados vulgarmente designados como sensíveis, designadamente a origem racial ou étnica, opiniões politicas, convicções religiosas ou filosóficas, filiação sindical, informação genética, saúde, orientação sexual e condenações penais ou medidas de segurança conexas, bem como as suas derrogações, cf. artigo 9.º, n.º 3;

c) As condições em que podem ser exercidos os direitos de informação e de acesso, cf. artigo 14.º, n.º 7;

d) Os critérios e requisitos para o exercício do direito a ser esquecido e ao apagamento dos dados, cf. artigo 17.º, n.º 9;

e) A definição dos critérios relativos às obrigações do responsável pelo tratamento, cf. artigo 22.º, n.º 4, e do subcontratante, cf. artigo 26.º, n.º 5;

f) A definição dos critérios e requisitos aplicáveis à determinação da violação de dados, cf. 31.º, n.º 5;

g) A definição de critérios exigida para avaliações de impacto sobre a proteção de dados a realizar pelo responsável pelo tratamento ou pelo subcontratante, cf. 33.º, n.º 6;

h) Os critérios e requisitos aplicáveis à determinação do nível elevado de risco específico nos casos de autorização e consulta prévia, cf. artigo 34.º, n.º 8;

i) A definição concreta dos critérios às qualidades profissionais do delegado para a proteção de dados, cf. artigo 35.º, n.º 2;

j) As condições em que devem ser admitidas cláusulas em contratos de transferência de dados pessoais mediante regras vinculativas, cf. artigo 43.º, n.º 3 e,

k) A expansão de revelação dos dados de saúde em casos de interesses públicos no domínio da saúde pública, cf. artigo 81.º, n.º 3.

301 _{PINHEIRO, Alexandre de Sousa – op. cit., p. 15.} 302

95

Desta forma a finalidade do regulamento esvai-se no seu propósito, assim como o autor Alexandre Sousa Pinheiro acrescenta: “tanto quanto possível a matéria da proteção de dados deve estar contida no regulamento, permitindo-se aos Estados-membros e às autoridades nacionais participar na determinação concreta de soluções jurídicas (…) o excesso de delegação pode ser explicado pela maior facilidade em aprovar um ato delegado de alteração, do que em alterar um regulamento comunitário”303.

Em matéria de consentimento, a proposta de regulamento, apresenta menção expressa da necessidade de consentimento explícito como regra, considerando-se agora apenas válido o consentimento do titular de dados traduzido numa manifestação de vontade, livre, específica, informada e explícita, pela qual a pessoa em causa aceita, mediante uma declaração ou um ato positivo inequívoco, que os dados pessoais lhe dizem respeito sejam objeto de tratamento304. Incumbe ao responsável, pelo tratamento dos dados, o ónus de provar que o titular dos dados deu o seu consentimento livre e esclarecido e, por isso, devidamente informado quanto às vantagens, desvantagens e consequências, bem como as finalidades específicas dessa recolha e tratamento de dados. Se no contexto de uma declaração escrita que disser respeito a outra matéria, o consentimento deve ser apresentado de uma forma que se distinga dessa outra matéria305.

Entretanto a proposta de regulamento introduz, no seu artigo 4.º, novos conceitos e definições, para a legislação comunitária referente a proteção de dados, tais como titular dos dados, violação de dados pessoais, dados genéticos, dados biométricos, dados relativos à saúde, estabelecimento principal, representante, empresa, grupo de empresas, regras vinculativas para empresas, criança, e autoridade de controlo.

Em relação aos princípios, a proposta de regulamento, mantêm-se os previstos na Diretiva n.º 95/46/CE, no artigo 6.º, entretanto, o artigo 5.º acrescenta, na alínea f) que os dados devem ser tratados sob a autoridade e responsabilidade do responsável pelo tratamento de dados a com obrigação de verificar em cada operação a sua compatibilidade com o regulamento. É agora essencial a disponibilização de informação de forma clara, correta, acessível, simples e percetível, adaptada à pessoa em causa, ao titular dos dados. Exigem-se assim informações transparentes e compreensíveis. Consagra-se também o direito de

303 _{Idem – Ibidem}

304 _{Cf. artigo 4.º, e considerando 8 da Proposta de regulamento do Parlamento Europeu e do Conselho.}

Disponível em http://ec.europa.eu/transparency/regdoc/rep/1/2012/PT/1-2012-11-PT-F1-1.Pdf.

305

96

informação dos titulares dos dados quer relativamente aos destinatários dos mesmos, quer aos prazos de conservação de dados, sendo ainda exigível comunicação, por parte do responsável do tratamento de dados a cada destinatário do tratamento dos dados referente qualquer retificação ou apagamento efetuado306.

Em consonância com o princípio da não discriminação, a proposta de regulamento prevê, no seu artigo 9.º, n.º 1 e 2, uma proibição geral de tratamento de certas categorias de dados pessoais, isto é, de dados que revelem a origem racial, ou étnica, as opiniões politicas, as convicções religiosas ou filosóficas, a filiação sindical, bem como o tratamento de dados genéticos ou dados relativo à saúde ou à orientação sexual, ou a condenações penais ou medidas de segurança conexas, excluindo, todavia, a proibição mediante o preenchimento de certos requisitos que enumera.

O responsável pelo tratamento, na proposta de regulamento, tem a sua responsabilidade ampliada, de forma mais completa, pormenorizada, devendo disponibilizar ao titular de dados, nomeadamente a nível de identidade e contacto do responsável pelo tratamento dos dados, finalidades do tratamento de dado, período de conservação dos dados, direito de apresentar queixa, destinatários dos dados, bem como quaisquer informações para assegurar à pessoa em causa um tratamento leal. Além das informações disponibilizadas, quando os dados forem recolhidos junto do titular, deverá o responsável pelo tratamento informar o caráter facultativo ou obrigatório de disponibilizar os dados pessoais, e eventuais consequências no caso de não fornecimento destes. No caso de o titular não estar presente no ato da recolha, o responsável pelo tratamento deverá assegurar todas as informações prestadas aos titulares presentes no ato da recolha, sendo que estes ainda devem ser informados da origem dos dados pessoais307.

Outros direitos inovadores surgem na proposta de regulamento, tais como o direito ao esquecimento e ao apagamento dos dados, o direito a portabilidade dos dados que permite ao titular conhecer o exato conteúdo das informações que prestou, uma vez que lhe é facultado o direito de obter do responsável pelo tratamento dos dados uma cópia, dos dados sujeitos a tratamento sob um formato eletrónico e estruturado que lhe permita a sua utilização

306 _{TEIXEIRA, Maria Leonor da Silva – op. cit., 92; e Proposta de regulamento do Parlamento Europeu e do}

Conselho artigos 5.º a) f); 6.º, n.º 1; 11.ºe 12.º

307 _{“Dentro del mismo ha quedado reflejado que una de las principales novidades supone la inclusión de la}

privacidade por diseño, configurada como una obligación del responsable de tratamento pero de la que no cabe excluir al encargado del mismo”. VILLARINO, Jorge Marzo – La privacidad desde el diseño en la propuesta de reglamento europeo de protección de datos. Pamplona: Editorial Aranzadi, SA, p. 67.

97

posterior308. Tal mecanismo permite ao titular dos dados dispor dos seus dados, transferindo- os, se assim o entender, para outro sistema sem que o responsável pelo tratamento dos mesmos se possa opor. “É certo que, num mercado livre, economicista, concorrencial e em que quase tudo pode ser reconduzido a cifras monetárias sendo os dados pessoais um património valioso, o direito de portabilidade como está configurado, apenas assegura o exercício do direito de autodeterminação informativa do titular dos dados, permitindo-lhe a utilização posterior, mas não cuida de proteger o responsável pelo tratamento dos dados de potenciais abusos na utilização de dados que recolheu, tratou e organizou”309

.

Quanto ao tratamento dos dados pessoais, a proposta de regulamento, confere ao titular dos dados o direito de oposição, o que lhe permite que nas situações previstas no artigo 19.º impedir o tratamento dos seus dados pessoais. No entanto é conferido ao responsável pelo tratamento dos dados, por razões imperiosas e legítimas, que prevaleçam sobre os interesses ou direitos e liberdades fundamentais do titular dos dados, o poder de afastar unilateralmente o exercício do direito de oposição por parte do seu legítimo titular. Consequentemente deveria constar da proposta o conceito de “imperiosas e legítimas”, uma vez que essa decisão por parte do responsável pelo tratamento poderia colocar em risco o direito e liberdades fundamentais do titular310. Tais restrições, aos princípios relativos ao tratamento de dados pessoais, bem como aos direitos dos titulares dos dados prevê a possibilidade de limitação mediante disposições legislativas da União Europeia ou dos Estado-membros, exigindo-se ainda assim, o respeito pelo princípio da necessidade e proporcionalidade.

Nos casos de comercialização de dados o titular tem o direito de se opor ao tratamento de dados pessoais, sendo que deve ser explicitamente comunicado ao titular dos dados de forma compreensível, a faculdade de exercício do direito de oposição, devendo este manifestar um consentimento autónomo e independente no que respeita à concreta possibilidade de comercialização dos dados.

308 _{Proposta de regulamento do Parlamento Europeu e do Conselho artigo 18.º. Disponível em}

http://ec.europa.eu/transparency/regdoc/rep/1/2012/PT/1-2012-11-PT-F1-1.Pdf.

309 _{TEIXEIRA, Maria Leonor da Silva – op. cit., 98.} 310

“Parece-nos que estamos aqui perante uma cláusula em branco limitativa do exercício de um direito fundamental que deve ser concretizada por forma a permitir uma correta ponderação dos interesses subjacentes a razões imperiosas e legitimas que justifiquem o afastamento de uma vertente (o direito de oposição) do direito fundamental a autodeterminação informativa”. Idem – op. cit., 99.

98

No se refere as restrições, segundo o artigo 21.º, n.º1 da proposta de regulamento só podem ocorrer se forem necessária e proporcionais para assegurar os fins de ordem pública a seguir enunciados: “segurança pública; prevenção, investigação deteção e repressão de ilícitos penais; outros interesses públicos da União Europeia ou de um Estado-Membro, nomeadamente, um interesse económico ou financeiro importante da União ou de um Estado- Membro, incluindo nos domínios monetários, orçamental ou fiscal, bem como na proteção da estabilidade e integridade dos mercados; prevenção, investigação e deteção e repressão de violações da deontologia de profissões regulamentadas; controlo, inspeção ou regulamentação associada, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas a) b) c) d), para assegurar fins de ordem privada que consista na proteção do titular dos dados ou dos direitos e liberdade de outrem”311

.

Relativamente à segurança, na proposta de regulamento, salienta-se a exigência de medidas de especificidade técnica quer na recolha quer no tratamento dos dados que garantam a proteção dos direitos do titular dos dados. As obrigações que incumbem ao responsável pelo tratamento dos dados para assegurar e comprovar o cumprimento do tratamento, em conformidade com o regulamento, previsto no artigo 22.º. Ainda assim, deve-se ter em conta o respeito integral pelos princípios atinentes à proteção de dados, no qual apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento e que não são recolhidos ou conservados para além do mínimo necessário para essas finalidades “(…) esses mecanismos devem assegurar que, por defeito, os dados pessoais não sejam disponibilizados a um número indeterminado de pessoas singulares”312

.

De acordo com os conceitos de “privacy by design” e “privacy by defaut”, o cumprimento do quadro legal nesta matéria deve ser pensado inicialmente na escolha dos meios para proceder ao tratamento, que devem garantir, por defeito, que apenas são tratados dados para a finalidade em causa, que a recolha não é excessiva, e que o tempo de conservação está de acordo com a lei.

Nos casos em que o responsável pelo tratamento decida em conjunto com outros questões relacionadas com as condições, finalidades e o meio de tratamento de dados

311 _{“Subentende-se pois uma pretensão jus fundamental na medida em que sujeita as restrições aos princípios da}

necessidade e proporcionalidade e na ponderação do elenco das causas justificativas subsistem essencialmente razões de ordem pública que se prendem com a segurança dos Estados-Membros e da União Europeia, com o exercício da autoridade pública do ius puniendi dos Estados”. Idem – Ibidem.

312 _{Proposta de regulamento do Parlamento Europeu e do Conselho artigo 23.º, n.º 2. Disponível em}

99

pessoais, os responsáveis conjuntos pelo tratamento devem definir, por acordo as respetivas obrigações em conformidade com as disposições adotadas na proposta de regulamento313. Na ocorrência de violação o responsável pelo tratamento notifica a autoridade de controlo “no mais tardar 24 horas após ter tido conhecimento da mesma”, e logo após notifica o titular dos dados, sempre que afete negativamente a proteção dos dados ou a privacidade deste314. No entanto, a proposta de regulamento, surge com uma inovadora medida, intitulada como “avaliação de impacto sobre a proteção de dados e autorização prévia”, onde em todas as operações de tratamento que apresentem riscos específicos para os direitos e liberdades dos titulares de dados em virtude da sua natureza, do seu âmbito, ou da sua finalidade, deverá ser feito uma avaliação de impacto da operações de tratamento estabelecendo as situações em que são exigíveis autorização e consulta prévia ao tratamento dos dados, em conformidade com os artigos 33.º e 34.º da proposta de Regulamento. As avaliações de impacto constituem, na proposta de Regulamento, uma das obrigações dos responsáveis pelos tratamentos de dados.315

A Diretiva n.º 95/46/CE, de 24 de outubro estabelece uma obrigação geral de notificação do tratamento de dados pessoais às autoridades de controlo316. “Além desta obrigação originar encargos administrativos e financeiros, nem sempre contribuiu para uma melhoria da protecção dos dados pessoais. Por essa razão, tal obrigação geral deve ser suprimida e substituída por procedimentos e mecanismos eficazes dirigidos, em alternativa, para as operações de tratamento susceptíveis de apresentar riscos específicos para o direito e liberdades dos titulares dos dados, devido à sua natureza, âmbito ou finalidade”317

. Em conformidade com a proposta de regulamento, nesses casos, o responsável pelo tratamento ou o subcontratante deve proceder, previamente ao tratamento, a uma avaliação de impacto sobre a proteção de dados, que deve examinar, nomeadamente, as medidas e garantias, bem como

313 _{Proposta de regulamento do Parlamento Europeu e do Conselho artigo 24.º, 26.º e 30.º} 314 _{Proposta de regulamento do Parlamento Europeu e do Conselho artigos 31.º e 32.º.} 315

Proposta de regulamento do Parlamento Europeu e do Conselho artigo 22.º, n.º 2 alínea c). Disponível em http://ec.europa.eu/transparency/regdoc/rep/1/2012/PT/1-2012-11-PT-F1-1.Pdf.

316 _{Neste sentido o considerando 48 da Diretiva n.º 95/46/CE, de 24 de outubro expõe que “ a notificação à}

autoridade de controlo tem por objetivo assegurar a publicidade das finalidade e principais características do tratamento, a fim de permitir verificar a sua conformidade com as disposições nacionais tomadas nos termos da presente Diretiva”. Contudo o considerando 54 estabelece que “ todos os tratamento efetuados em sociedade, o número dos que apresentam tais riscos particulares deverá ser muito restrito; que os Estados-Membros devem estabelecer um controlo prévio á realização desses tratamentos e efetuar pela autoridade de controlo ou pelo encarregado da proteção dos dados em cooperação com essa autoridade; que, na sequência desse controlo prévio, a autoridade de controlo pode, de acordo com o direito nacional, dar um parecer ou autorizar o tratamento dos dados; que esse controlo pode igualmente ser efetuado durante os trabalhos de elaboração de uma medida baseada nessa medida legislativa, a qual defina a natureza do tratamento e especifique as garantias adequadas”.

317

100

os mecanismos previsto para assegurar a proteção dos dados pessoais. A obrigação de avaliação de impacto sobre a proteção de dados surge quando os dados a tratar tangem a esfera da vida privada dos seus titulares ou quando refere-se a pessoas especialmente vulneráveis em razão da idade, saúde, ou grupo em que se inserem e ao que diz respeito o n.º 2 do artigo 33.º318. Por consequência, tornam-se instrumentos fundamentais a avaliação de impacto sobre a proteção dos dados e a figura do delegado para a proteção de dados, esta última prevista na 4.ª secção da proposta de regulamento319. A realização de avaliações de impacto pelo próprio responsável envolve autoridades nacionais de proteção de dados, nos termos do artigo 34.º, n.º 2.

Portanto permanece a necessidade de autorização prévia nos casos previsto no artigo 34.º, n.º 1 obrigando o responsável pelo tratamento ou subcontratante a obter uma autorização da autoridade de controlo nacional antes de proceder ao tratamento dos dados pessoais, nos casos em que as garantias adequadas se encontrem previstas em cláusulas contratuais estabelecidas com o destinatário dos dados320. Nas situações em que a transferência estiver relacionada com atividades relativas a titulares de dados noutro Estado-membro, ou possam prejudicar substancialmente a livre circulação de dados pessoais na União Europeia, a autoridade de controlo aplica o mecanismo de controlo da coerência referido no artigo 57.º321.

No que concerne o âmbito de aplicação territorial, a proposta de regulamento, amplia a aplicação da proteção de dados abrangendo empresas não instaladas na União Europeia, fixando os critérios, condições e procedimento exigíveis para a validade de transferência de

318

Os tratamentos em causa, entre outros, são: a) quando estão em causa situações de profiling que possibilitam a definição de perfis reportados à situação financeira, localização, saúde, preferências pessoais ou comportamentais, situações relativas ao tratamento de dados; b) tratamento de dados com vista a adoção de decisões em grande escala relativas a pessoais específicas e respeitantes à orientação sexual, saúde, raça, etnia, investigações epidemiológicas, inquéritos relativos a doença mentais ou infeciosas; c) situações de controlo de zonas acessíveis ao público (videovigilância) em grande escala; d) tratamento de dados pessoais em sistemas de arquivo de grandes dimensões relativos a criança, tratamento para os quais é obrigatória a consulta da autoridade de controlo nos termos do artigo 34.º, n.º 2, alínea b). A avaliação deverá incluir, designadamente, para além da descrição das operações de tratamentos de dados a avaliação dos riscos no que respeita aos direitos e liberdades dos titulares dos dados, as medidas previstas para evitar tais riscos cf. artigo 33.º n.º3.

319 _{De acordo com o considerando 75 da proposta de Regulamento “sempre que o tratamento for efetuado no}

setor publico, ou se, no setor privado, for efetuado por uma empresa de grande dimensão, ou cujas atividades