O papel da Comissão Nacional de Protecção de Dados ( CNPD )

forma muito positiva para uma melhor protecção da informação de saúde. Muito embora, a nossa realidade evidencie na prática que ainda nos encontramos afastados do conceito internacionalmente aceite de paper-free hospital.

Assembleia da República, segundo o método da média mais alta de Hondt. Dois vogais são magistrados com mais de dez anos de carreira, sendo um judicial, designado pelo Conselho Superior de Magistratura e outro do Ministério Público, designado pelo Conselho Superior do Ministério Público. Os dois restantes são designados pelo Governo.

O mandato dos membros do CNPD é de cinco anos, cessando com a posse dos novos membros³⁸², podendo contudo, terminar por vontade individual de cada um dos elementos (renúncia), morte, impossibilidade física permanente ou com uma duração que se preveja ultrapassar a data do término do mandato e perda do mesmo. Ou seja, os membros da CNPD são inamovíveis, não podendo as suas funções terminar antes do fim do mandato exceptuando-se naturalmente, as situações já evidenciadas³⁸³. O mandato dos membros, de acordo com a nova Lei (Lei nº 43/2004, de 18 de Agosto³⁸⁴), deixou de ser renovável mais do que uma vez. Desta forma, com a aprovação da referida lei, é regulada a organização e funcionamento da CNPD, em aspectos como o funcionamento, o regime financeiro e os serviços de apoio. Quanto ao quadro de pessoal da Comissão, encontra-se regrado em Resolução da Assembleia da República nº59/2004³⁸⁵.

As atribuições e competências desta reconhecida entidade foram substancialmente reforçadas com a nova Lei da Protecção de Dados Pessoais e estão reconhecidas nos art.s 22º³⁸⁶ e 23º³⁸⁷ do aludido preceito legal.

382 Cf. art. 25º, nºs 1, 2 e 3, da Lei nº 67/98.

383 Cf. art.s 5º e 6º, da Lei nº 43/2004, de 18 de Agosto, sobre a Organização e Funcionamento da Comissão Nacional de Protecção de Dados, publ. in Diário da República – I Série-A, nº 194, p. 5252.

384 Art. 3º, da Lei nº 43/2004.

385 Resolução da Assembleia da República nº 59/2004, de 19 de Agosto de 2004, sobre o Quadro de Pessoal da Comissão Nacional de Protecção de Dados, publ. in Diário da República – I Série –A, nº 195, pp. 5394-5398.

386 De acordo com o referido art. a CNPD tem como atribuições:

“1 - a CNPD é autoridade nacional que tem como atribuição controlar e fiscalizar o cumprimento das disposições legais e regulamentares em matéria de protecção de dados pessoais, em rigoroso respeito pelos direitos do homem e pelas liberdades e garantias consagradas na Constituição e na lei;

2 - a CNPD deve ser consultada sobre quaisquer disposições legais, bem como sobre instrumentos jurídicos em preparação em instituições comunitárias ou internacionais, relativos ao tratamento de dados pessoais;

3 - a CNPD dispõe: a) de poderes de investigação e de inquérito, podendo aceder aos dados objecto de tratamento e recolher todas as informações necessárias ao desempenho das suas funções de controlo; b) de poderes de autoridade, designadamente o de ordenar o bloqueio, apagamento ou destruição dos dados, bem como o de proibir, temporária ou definitivamente, o tratamento de dados pessoais (…); c) do poder de emitir pareceres prévios ao tratamento de dados pessoais, assegurando a sua publicitação;

4 – em caso de reiterado não cumprimento das disposições legais em matéria de dados pessoais, a CNPD pode advertir ou censurar publicamente o responsável pelo tratamento (…);

5 – a CNPD tem legitimidade para intervir em processos judiciais no caso de violação das disposições da presente lei e deve denunciar ao Ministério Público as infracções penais de que tiver conhecimento, no exercício das suas funções e por causa delas, bem como praticar os actos cautelares necessários e urgentes para assegurar os meios de prova (…)”.

387No que concerne às competências instituídas pela lei, compete em especial à CNPD:

O elenco de atribuições e competências imputadas à CNPD pode, de forma sintética, ser qualificado em poderes de emissão de pareceres³⁸⁸, de decisão, regulamentar, de investigação e outros como funções de representação internacional, pedagógicas e de esclarecimento. É este o agrupamento efectuado e descrito por AMADEU GUERRA³⁸⁹, quando alude às atribuições e competências desta entidade administrativa.

Relembremos ainda que, com o reforço de poderes, a CNPD assume um papel necessariamente decisivo, preponderante e insubstituível no âmbito da protecção de dados pessoais, tendo as suas decisões força obrigatória, mas sendo no entanto, passíveis de reclamação e de recurso para o Tribunal Central Administrativo.

É pois desejável, senão um dever³⁹⁰, em matéria de protecção de dados pessoais e no mais rigoroso respeito pelos direitos do homem, liberdades e garantias

“1 – a) emitir parecer sobre disposições legais, bem como sobre instrumentos jurídicos em preparação em instituições comunitárias e internacionais, relativos ao tratamento de dados pessoais; b) autorizar ou registar, consoante os casos, os tratamentos de dados pessoais; c) autorizar excepcionalmente a utilização de dados pessoais para finalidades não determinantes da recolha, (…); d) autorizar, nos casos previstos no art. 9º, a interconexão de tratamentos automatizados de dados pessoais; e) autorizar a transferência de dados pessoais nos casos previstos no art. 20º; f) fixar o tempo de conservação dos dados pessoais em função da finalidade, (…); g) fazer assegurar o direito de acesso à informação, bem como o exercício do direito de rectificação e actualização; h) autorizar a fixação de custos ou de periodicidade para o exercício do direito de acesso, (…); i) dar seguimento ao pedido efectuado por qualquer pessoa, ou por associação que a represente, para protecção dos seus direitos e liberdades no que diz respeito ao tratamento de dados pessoais e informá-la do resultado; j) efectuar, a pedido de qualquer pessoa, a verificação de licitude de um tratamento de dados, sempre que esse tratamento esteja sujeito a restrições de acesso ou de informação, e informá-la da realização da verificação; k) apreciar as reclamações, queixas ou petições dos particulares; l) dispensar a execução de medidas de segurança, nos termos previstos no nº 2 do art. 15º, podendo emitir directivas para determinados sectores de actividade; m) assegurar a representação junto de instâncias comuns de controlo e em reuniões comunitárias e internacionais de entidades independentes de controlo da protecção de dados pessoais (…) exercer funções de representação e fiscalização no âmbito dos sistemas de Schengen e Europol, nos termos das disposições aplicáveis; n) deliberar sobre a aplicação de coimas; o) promover e apreciar códigos de conduta; p) promover a divulgação e esclarecimento dos direitos relativos à protecção de dados e dar publicidade periódica à sua actividade, nomeadamente através da publicação de um relatório anual; q) exercer outras competências legalmente previstas.

2 – no exercício das suas competências de emissão de directivas ou de apreciação de códigos de conduta, a CNPD deve promover a audição das associações de defesa dos interesses em causa;

3 – no exercício das suas funções, a CNPD profere decisões com força obrigatória, passíveis de reclamação e de recurso para o Tribunal Central Administrativo;

4 – a CNPD pode sugerir à Assembleia da República as providencias que entender úteis à prossecução das suas atribuições e ao exercício das suas competências”.

388 No âmbito desta competência destacamos a apreciação de códigos de conduta para o tratamento de dados pessoais, estes representam um importante instrumento de auto-regulação, que facilita o cumprimento das normas e promove uma maior transparência de práticas e procedimentos. A CNPD pronuncia-se em relação a códigos de conduta nas Deliberações nºs “60/ 98”e “7/99”, bem como no

“Parecer nº44/2003”, disponíveis in http://www.cnpd.pt.

389 GUERRA, Amadeu (2001), “A Lei de Protecção de Dados Pessoais”, Direito da Sociedade de Informação, Vol. II, Coimbra: Coimbra Editora, pp. 152-154 e Vid. na matéria CASTRO, Catarina Sarmento e (2005), pp. 323-337.

390 A matéria correspondente ao dever de colaboração encontra-se regulamentada no artigo 24º, da Lei nº 67/98, epigrafado “dever de colaboração”. A desobediência sem justa causa a este dever de colaboração é punida com a pena de desobediência qualificada, prevista no artigo 26º da referida lei.

consagradas, que as entidades públicas e privadas prestem a sua colaboração, nomeadamente através da disponibilização de informações solicitadas pela CNPD, por exemplo através do acesso ao sistema informático e ficheiros de dados pessoais.

Simultaneamente, os elementos da Comissão ou funcionários mandatados pela mesma, no exercício das suas funções, estarão sujeitos ao dever de sigilo profissional, imposto pelo artigo 17º da Lei da Protecção de Dados Pessoais.

No que concerne à actividade desta Entidade e de acordo com os últimos dados publicados pela Comissão, correspondentes aos anos de 2003 e 2004 (aos quais nos iremos aludir com mais ênfase), verificou-se um aumento da mesma, em particular no que diz respeito à actividade processual.

As notificações³⁹¹ à CNPD de tratamento de dados, seguindo a mesma tendência, tiveram um crescimento acentuado. Aliás, desde a entrada em funcionamento da Comissão, em 1994, até ao final de 2004 foram notificados no total quase 10 mil tratamentos de dados pessoais. De realçar que a área da saúde, bem como a da segurança com os sistemas de videovigilância, representam os campos de maior peso, no total das notificações sujeitas a controlo prévio nos últimos dois anos³⁹².

Em matéria de queixas apresentadas pelos cidadãos, verificou-se no ano de 2003 um aumento do número de processos, contrariamente ao ano de 2004, onde se constatou uma inversão da tendência de subida. As entidades financeiras motivam grande número de queixas, sobretudo devido à falta de actualização dos dados³⁹³. De igual modo, as queixas relativas às comunicações electrónicas não solicitadas para fins de marketing, bem como as relacionadas com o sector das telecomunicações evidenciam uma clara tendência de subida.

391 As notificações à CNPD de tratamento de dados pessoais são um imperativo legal, de acordo com o art.

27º, da Lei da Protecção de Dados Pessoais, devendo pois ser efectuadas pelos responsáveis pelo tratamento e ser prévias à realização do mesmo, incluindo-se aqui, nos termos da lei, a recolha de dados.

A notificação deverá ser efectivada através de um formulário próprio que será remetido à CNPD. Os referidos formulários encontram-se disponíveis na CNPD ou na sua página na Internet (http://www.cnpd.pt). É igualmente possível encontrar esclarecimentos acerca do preenchimento dos mesmos in GUERRA, Amadeu (2004), pp. 425-453.

392O sector da saúde é responsável, no ano de 2003, por cerca de 43 por cento do total de notificações feitas à Comissão, enquanto que no ano de 2004, é o sector dos serviços que tem mais preponderância com quase 20 por cento das notificações. Cf. COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS (2006), Relatório da Comissão Nacional de Protecção de Dados 2003-2004, Lisboa: Comissão Nacional de Protecção de dados, pp. 14-15, disponível, nomeadamente, in http://www.cnpd.pt

393 Os titulares de dados pessoais podem expor à CNPD situações em que lhes foi negado o direito ao exercício de acesso, rectificação e actualização da informação pelos responsáveis do tratamento dados, podendo esta entidade alertar os responsáveis para o cumprimento do seu dever ou aplicar sanções em caso de recusa. O exercício destes direitos pode também estar dependente da CNPD, nos casos em que o acesso aos dados pessoais se processa de forma indirecta (por exemplo, os dados constantes do sistema de informação de Schengen).

Relativamente aos pedidos de acesso (acesso aos dados do próprio ou de terceiros no âmbito da saúde, da informação policial, do recenseamento eleitoral, do sistema de informação de Schengen) – há a registar um decréscimo acentuado do número de solicitações em relação aos anos anteriores³⁹⁴.

O acesso a dados de saúde, dados particularmente relevantes no nosso trabalho, é dirigido em geral, por particulares, companhias de seguros, por forças policiais ou por tribunais. O maior número de casos surge das companhias de seguros que pretendem aceder aos dados de saúde de segurados falecidos, com o objectivo de tomarem decisões relativamente ao pagamento de prémios de seguro de vida. Não raras vezes, são os familiares da pessoa falecida a solicitar directamente a informação de saúde, para que as seguradoras procedam ao pagamento dos devidos prémios.

Dado o número elevado de pedidos dirigidos à Comissão, em anos anteriores, no que concerne ao acesso aos dados de saúde, a Entidade Independente procedeu à elaboração de uma deliberação geral, no ano de 2001 – Deliberação 51/2001³⁹⁵, na qual são apreciados os tipos de pedidos mais frequentes, sendo efectuadas orientações específicas para cada caso. Esta decisão foi difundida pelos estabelecimentos hospitalares de todo o país, uma vez que são estes os responsáveis pelo tratamento deste tipo de dados e a quem os interessados se dirigem primariamente para aceder aos mesmos. Deste modo, a Comissão pretendeu simplificar e agilizar a resposta a fornecer em cada caso, dotando as instituições hospitalares de habilitações necessárias, para que disponibilizem, ou não, as informações de saúde pretendidas, de acordo com a lei.

Naturalmente, que os casos mais específicos e que suscitem duvidas na aplicação das orientações gerais emitidas e na interpretação da lei são dirigidas à CNPD. O facto é que nos anos seguintes à emissão da deliberação, os pedidos de acesso a dados de saúde diminuíram³⁹⁶.

Relativamente às solicitações de acesso aos dados da Base de Dados do Recenseamento Eleitoral (BDRE), verificou-se um aumento em anos anteriores, particularmente em relação ao dado pessoal “morada”. À semelhança do procedimento efectuado relativamente ao pedido de acesso aos dados de saúde, a CNPD elaborou e

394 COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS (2006), pp. 15-16.

395 Vid. na matéria COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS (2001), “Deliberação 51/2001”, sobre acesso a dados de saúde, disponível in http://www.cnpd.pt/bin/decisoes/2001/htm/del/del051-01.htm.

396 Verificou-se especificamente um total de 197 solicitações de acesso a dados de saúde no ano de 2001 e de 109 pedidos no ano de 2002. Vid. na matéria COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS (2002), Relatório da Comissão Nacional de Protecção de Dados 2001-2002, disponível in http://www.cnpd.pt.

emitiu um parecer, em 2001, onde estabeleceu as condições de acesso aos dados de recenseamento eleitoral, no que diz respeito às situações mais comuns³⁹⁷.

Os pedidos de acesso ao Sistema de Informação de Schengen (SIS), em matéria de dados pessoais, são dirigidos à CNPD, que por seu turno, procede às diligências necessárias, respondendo então aos requerentes³⁹⁸.

A emissão de pareceres, sobre disposições legais e instrumentos jurídicos nacionais, comunitários e internacionais, relativos ao tratamento de dados pessoais é, como observado, uma das funções atribuídas à Comissão através da Lei da Protecção de Dados Pessoais (artigo 22º, nº 2 e artigo 23º, nº 1, alínea a)), sendo do conhecimento comum, através das publicações de relatórios da CNPD (tarefa igualmente da responsabilidade da Comissão), que a maioria dos pedidos de parecer surgem do Governo, através dos seus ministérios, com maior incidência do Ministério da Justiça, da Saúde, das Finanças e dos Negócios Estrangeiros.

De realçar ainda que as acções de fiscalização e de controlo da CNPD têm igualmente vindo a aumentar de forma significativa. Além das queixas apresentadas à Comissão, é também possível e desejável, que esta, por iniciativa própria, instaure processos de averiguação no âmbito das suas atribuições como entidade administrativa independente. As averiguações têm por base, na maioria dos casos e, de acordo com dados publicados, notícias veiculadas por órgãos de comunicação social, que suscitem questões relativas à protecção de dados. Outras podem resultar de alertas efectuados por cidadãos sem, no entanto, configurarem como queixas propriamente ditas³⁹⁹.

A actividade de fiscalização e auditoria ainda que dependa de recursos humanos é significativa para a Comissão. Assim, nos anos de 2001 e 2002, a CNPD realizou um total de fiscalizações, que correspondeu aproximadamente a cerca de metade do número total de acções de verificação e controlo efectuadas até então. No entanto, verificou-se

397 Vid. na matéria COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS (2001), “Parecer 22/2001”, sobre o acesso à BDRE, disponível in http://www.cnpd.pt/bin/decisoes/2001/htm/par/par022-01.htm

398 Em 2001, registaram-se 21 pedidos de acesso ao SIS, em 2002, um total de 59, em 2003 cerca de 36, enquanto que em 2004 entraram 21 pedidos. Cf. COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS (2002), Relatório da Comissão Nacional de Protecção de Dados 2001-2002, disponível in http://www.cnpd.pt. e COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS (2006), p. 16. Em Portugal, o direito de acesso, rectificação ou eliminação dos dados pessoais vigentes no SIS, é regulado pela Lei nº 2/94, de 19 de Fevereiro, que estabelece os mecanismos de controlo e fiscalização do Sistema de Informação de Schengen e é exercido através da CNPD. No site da Comissão podemos encontrar as minutas de acesso e de rectificação ou eliminação ao SIS, a dirigir ao Presidente da Comissão Nacional de Protecção de Dados. De notar, a indispensabilidade de anexo de cópia autenticada e legível do passaporte e, se for caso disso, cópia autenticada da autorização de residência.

399 Em 2001, a CNPD abriu 18 processos de averiguação, em 2002 cerca de 28, em 2003 um total de 40 e em 2004, foram abertas 35 averiguações. Cf. COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS (2006), p.

17.

uma diminuição do número de acções de fiscalização no biénio 2003-2004, em parte devido a uma redução do pessoal nesta área⁴⁰⁰.

Na sequência do disposto na lei, a Comissão tem também competências no domínio sancionatório, prevendo a prática de contra-ordenação punível com coima e crime. Como pena acessória de coima, estabelece a possibilidade da CNPD ordenar a proibição temporária ou definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados; a possibilidade de publicitação de sentença condenatória ou a advertência ou censura pública do responsável pelo tratamento de dados. As coimas e sanções acessórias são aplicadas pela referida entidade independente e as violações da lei consideradas crime, e são participadas pela Comissão ao Ministério Público⁴⁰¹.

As participações ao Ministério Público constituem um número reduzido (apenas uma, no último biénio), que é resultante do facto da Lei da Protecção de Dados estabelecer, além do crime, as contra-ordenações e outros mecanismos sancionatórios.

Mediante o exposto, que na verdade é indicador do aumento significativo da actividade da CNPD, facilmente se compreende a crescente preocupação da sociedade em geral, em relação à protecção de dados pessoais e consequentemente em relação à privacidade dos cidadãos.

No mesmo sentido, a CNPD já havia evidenciado que “a protecção de dados pessoais, sendo um campo ainda novo no panorama social, económico e jurídico português, começa a ser uma matéria incontornável para os responsáveis pelos tratamentos de dados, bem como para os cidadãos que dela ganharam uma nova consciência e uma maior percepção dos seus direitos, afinal constitucionalmente consagrados”⁴⁰².

400 Nos anos de 2001 e 2002 a CNPD realizou 434 fiscalizações, dessas 411 foram efectuadas no sector privado e 23 no público. Nos anos de 2003 e 2004, foram realizadas cerca de 300 fiscalizações.

401 No âmbito de processos de contra-ordenação, a CNPD aplicou em 2001, um total de 22 coimas de que resultou um valor aproximado de 52 mil euros. Em 2002 a Comissão arrecadou um valor bem superior, cerca de 435 mil euros, resultado da aplicação de 119 coimas. E, em 2003 e 2004 um montante na ordem dos 90 mil euros, resultado da aplicação de 150 coimas. Os valores das coimas são, no entanto, variáveis em função do tipo de infracção cometida. De acordo com informação disponível na Internet, as coimas aplicadas resultaram do incumprimento dos direitos de informação, rectificação, oposição ou eliminação de dados e da falta de notificação de tratamento de dados.Cf.COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS (2002), Relatório da Comissão Nacional de Protecção de Dados 2001-2002, disponível in http://www.cnpd.pt e COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS (2006), p. 18.

402 COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS (2002), “Relatório da Comissão Nacional de Protecção de Dados 2001-2002”, disponível in http://www.cnpd.pt.