CAPÍTULO II O QUADRO LEGISLATIVO EUROPEU DA PROTEÇÃO DE DADOS
2. O Quadro Legislativo Europeu da Proteção de Dados
2.2. A Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 04 de Outubro de
2.2.1. Os Princípios relativos à qualidade dos dados e os direitos da pessoa em causa
A Diretiva 95/46/CE consagra aqueles que são os princípios
fundamentais aplicáveis ao tratamento de dados pessoais.272
Os “princípios da proteção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada”, contidos na Diretiva da Proteção de Dados, “precisam e ampliam os princípios contidos na Convenção n.º 108, do Conselho da Europa, relativa à proteção das pessoas no que diz respeito ao
tratamento automatizado de dados pessoais”273
.
Os princípios aplicáveis ao tratamento de dados pessoais, implementam-se através da observância cumulativa, por um lado, das obrigações que impendem sobre os “responsáveis pelo tratamento de dados, em especial no que respeita à qualidade dos dados, à segurança técnica, à notificação à autoridade de controlo, às circunstâncias em que o tratamento
272
Sobre os princípios fundamentais para o tratamento de dados pessoais, ver CASTRO, Catarina Sarmento e, Direito da Informática ... , op. cit., pp. 229 a 237.
81
pode ser efetuado”274
, e, por outro, do respeito pelos “direitos das pessoas
cujos dados são tratados serem informadas sobre esse tratamento, poderem ter acesso aos dados, poderem solicitar a sua retificação e mesmo, em certas
circunstâncias, poderem opor-se ao tratamento” 275
.
A Diretiva reconhece, assim, um conjunto de direitos ao titular dos
dados276, que vêm aflorar o princípio geral da transparência277. Este princípio
impõe que o titular dos dados seja informado da recolha e tratamento daqueles, de modo que lhe permita ter completa consciência do processamento levado a cabo e dos seus fins.
Assim como o titular dos dados se apresenta transparente ao
responsável pelo tratamento – que passa a conhecer informações pessoais
daquele – não deve este poder, legitimamente, proceder a um tratamento de dados que se mostre opaco ao sujeito e, o impeça de posteriormente à
recolha exercer quaisquer direitos sobre os dados que lhe dizem respeito278.
Neste sentido, é consagrado o direito à informação do titular dos
dados279. Este concretiza-se no direito a ser informado sobre a finalidade da
recolha e do tratamento dos seus dados; sobre a eventual comunicação (transmissão) dos seus dados, sobre a identidade quer do responsável pelo tratamento, quer de eventuais destinatários dos seus dados e,
274 “These principles are implemented through obligations that data controllers should comply with in order to protect
the data they hold, reflecting both their interests and those of the data subjects.”, KOSTA, Eleni, DUMORTIER, Jos, GRAUX, Hans, TIRTEA, Rodica and IKONOMOU, Demosthenes, Study on data collection and storage in the EU,
ENISA – European Network and Information Security Agency, 23 de fevereiro de 2012, p. 7, disponível em
http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/data-collection, ultima consulta em 30 de maio de 2013.
275 Considerando 25 da Diretiva 95/46/CE.
276
Sobre os direitos dos titulares dos dados consagrados na Lei n.º 67/98, de 26 de outubro, ver CASTRO, Catarina Sarmento e, Direito da Informática ... , op. cit., pp. 239 a 262, e MARQUES, Garcia e MARTINS, Lourenço, Direito da Informática ... , op. cit., pp. 356 a 358.
277 O princípio geral da transparência não é, contudo, expressamente consagrado na Diretiva 95/46/CR. Apenas o
considerando 63, respeitante ao papel das autoridades de controlo, se refere expressamente à transparência do tratamento.
Sobre o princípio geral da transparência, entre nós expressamente consagrado no artigo 2.º da Lei n.º 67/98, de 26 de outubro, ver CASTRO, Catarina Sarmento e, Direito da Informática ... , op. cit., p. 229.
278 “(...) a transparência do tratamento de dados é igualmente uma condição de lealdade, que assume um valor em
si mesma também após a informação inicial ter sido prestada.”, GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 15/2011 sobre a definição de consentimento (WP 194), de 13 de julho de 2011, p. 11, disponível em http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion- recommendation/files/2012/wp194_pt.pdf, última consulta em 30 de agosto de 2013..
279
Sobre o direito de informação do titular dos dados na Lei n.º 67/98, de 26 de outubro, ver CASTRO, Catarina Sarmento e, Direito da Informática ... , op. cit., pp. 242 a 247.
82
eventualmente, dos representantes destes; e sobre as condições do tratamento dos dados.
O titular dos dados deve, ainda, ser informado do carácter obrigatório ou facultativo da resposta e possíveis consequências no caso de não
responder280.
O titular dos dados tem o direito de se opor ao tratamento281 e, não se
opondo, mantém sempre o direito de acesso aos mesmos282 – livre e sem
restrições, com periodicidade razoável e sem demora ou custos excessivos –; bem como o direito a exigir do responsável pelo tratamento a sua retificação
(e atualização), bloqueio e apagamento283284.
O direito ao apagamento, consagrado no artigo 12.º, alínea b), da
Diretiva 95/46/CE configura-se numa garantia do direito ao esquecimento285.
Finalmente, o titular dos dados tem o direito de não ficar sujeito a uma decisão que produza efeitos na sua esfera jurídica ou que a afete de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspetos da sua personalidade, como por exemplo a sua capacidade profissional, o seu crédito, confiança de
que é merecedora, comportamento286287; e o direito de obter do responsável
pelo tratamento a reparação pelo prejuízo sofrido devido ao tratamento ilícito de dados ou a qualquer outro ato incompatível com as disposições nacionais
de execução da Diretiva288.
Os direitos dos titulares dos dados têm de ser garantidos pelo responsável pelo tratamento. Sobre este impendem as obrigações de prestar
280
Artigo 10.º da Diretiva 95/46/CE.
281
Artigo 14.º da Diretiva 95/46/CE.
282
Artigo 12.º da Diretiva 95/46/CE.
283 Artigo 12.º, alínea b), da Diretiva 95/46/CE.
284 Sobre os direitos de acesso, retificação, atualização, bloqueio e apagamento do titular dos dados na Lei n.º
67/98, de 26 de outubro, ver CASTRO, Catarina Sarmento e, Direito da Informática ... , op. cit., pp. 247 a 257.
285
O direito ao esquecimento também se encontra presente na previsão que impõe que os dados devem ser conservados apenas pelo período necessário às finalidades do tratamento, em conformidade com a alínea e) do n.º 1 do artigo 6.º da Diretiva 95/46/CE. Neste sentido, CASTRO, Catarina Sarmento e, Direito da Informática ... , op. cit., pp. 239 e ss..
286
Artigo 15.º da Diretiva 95/46/CE.
287
Sobre o direito do titular dos dados de não ficar sujeito a uma decisão individual automatizada na Lei n.º 67/98, de 26 de outubro, ver CASTRO, Catarina Sarmento e, Direito da Informática ... , op. cit., pp. 261 e 262.
83
as informações289 ao titular dos dados e de garantir o exercício dos direitos
de acesso, retificação (e atualização), bloqueio e apagamento dos dados, livre e sem restrições, com periodicidade razoável e sem demora ou custos
excessivos290.
Além destas obrigações, outras resultam da aplicação da Diretiva para o responsável do tratamento.
A Diretiva estipula que o tratamento de dados pessoais só poderá ser tido como l cito se forem respeitados os chamados “princ pios relativos à qualidade dos dados” – que se traduzem nas condições gerais de licitude do
tratamento de dados pessoais – vertidos no seu artigo 6.º 291292
.
O responsável pelo tratamento de dados está obrigado a respeitar estes princípios, aquando de qualquer tratamento de dados pessoais.
Assim, e de acordo com a alínea a) do n.º 1 do artigo 6.º da Diretiva, os Estados-Membros devem estabelecer que os dados pessoais serão
“objeto de um tratamento leal e l cito”293
.
Como explica Catarina Sarmento e Castro294, a lealdade do tratamento
relaciona-se com o princípio geral da transparência que, como vimos, tem como afloramentos os direitos reconhecidos ao titular dos dados.
Por sua vez, a licitude do tratamento afere-se pela verificação do cumprimento das regras nacionais, comunitárias, europeias e internacionais,
a que o tratamento de dados em causa está sujeito295.
Da alínea b) do n.º 1 do artigo 6.º296 decorre o princípio da
finalidade297, que consagra que os Estados-Membros devem estabelecer que
289
Artigo 10.º da Diretiva 95/46/CE.
290 Artigo 12.º da Diretiva 95/46/CE.
291 Sobre os direitos de acesso, retificação e atualização do titular dos dados na Lei n.º 67/98, de 26 de outubro, ver
CASTRO, Catarina Sarmento e, Direito da Informática ... , op. cit., pp. 247 a 251.
292
Sobre os princípios fundamentais para o tratamento de dados pessoais consagrados na Lei n.º 67/98, ver CASTRO, Catarina Sarmento e, Direito da Informática ... , op. cit., pp. 229 a 237.
293
Artigo 6.º, n.º 1, alínea a), da Diretiva 95/46/CE.
294
CASTRO, Catarina Sarmento e, Direito da Informática ... , op. cit., p. 235.
295
CASTRO, Catarina Sarmento e, Direito da Informática ... , op. cit., p. 235.
296
Este artigo tem inspiração no artigo 5.º, n.º 1, alínea b) da Convenção n.º 108 do Conselho da Europa, que consagra que os dados de carácter pessoal que sejam objeto de um tratamento automatizado devem ser “registados para finalidades determinadas e legítimas, não podendo ser utilizados de modo incompat vel com essas finalidades”.
84
os dados pessoais serão “recolhidos para finalidades determinadas, explícitas e legítimas, e que não serão posteriormente tratados de forma
incompatível com essas finalidades”, ressalvando que
“o tratamento posterior para fins históricos, estatísticos ou científicos não é considerado incompatível desde que os Estados-Membros estabeleçam garantias adequadas”.
Assim, os dados pessoais em causa só podem ser utilizados para finalidade(s) determinada(s), e legítima(s). A(s) finalidade(s) têm de ser conhecidas antes do início da recolha dos dados, têm de estar claramente
determinadas e ser conhecidas do seu titular (“pessoa em causa”), e não
podem ser contrárias à lei.
Estes requisitos têm de ser preenchidos por todas as finalidades a que o tratamento se propuser, sob pena de ilicitude do tratamento. Os dados não podem ser tratados para finalidade distinta da definida na recolha, mas
apenas para finalidades “compat veis” com esta. 298
Cataria Sarmento e Castro ajuda-nos a perceber o que deve entender-
se por finalidade “compat vel”299
, esclarecendo que a finalidade do tratamento será compatível com a finalidade da recolha nos casos em que o titular dos dados (a “pessoa em causa”) pudesse antecipar que os dados poderiam ser tratados para aquela finalidade, ou quando o tratamento se mostre necessário para cumprimento de requisitos de proteção de dados resultantes
da Lei. Em todo o caso, é exigido um juízo de proporcionalidade300.
A utilização de dados para fins não determinados na recolha pode, no entanto, não ser considerado incompatível com as finalidades da recolha nos
297 Sobre o princípio da finalidade na Lei n.º 67/98, ver CASTRO, Catarina Sarmento e, Direito da Informática ... , op.
cit., pp. 229 a 235.
298
O artigo 6.º, n.º 4, da proposta de Regulamento Geral de Proteção de Dados introduz a possibilidade do tratamento posterior dos dados para fins incompatíveis, no caso de poder ser encontrado outro fundamento jurídico (com exceção do interesse
legítimo do responsável pelo tratamento). O Grupo do Artigo 29.º para a Proteção de Dados manifestou a sua preocupação em relação a esta norma, e “embora não ponha em causa a necessidade de deixar em aberto a possibilidade de os dados serem tratados posteriormente para outros fins”, “ considera que esta disposição é contrária ao princípio geral da limitação das finalidades que é um dos principais conceitos de proteção de dados na Europa”, GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 01/2012 sobre as propostas de reforma em matéria de proteção de dados (WP 191), de 23 de março de 2012, p. 12, disponível em
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
recommendation/files/2012/wp191_pt.pdf, última consulta em 30 de agosto de 2013.
299
CASTRO, Catarina Sarmento e, Direito da Informática ... , op. cit., p. 231.
85 termos da segunda parte da alínea b) do n.º 1 do artigo 6.º da Diretiva 95/46/CE, segundo o qual compete aos Estados-Membros estabelecer
garantias adequadas a essa exceção301.
Assim, do princípio da finalidade são indissociáveis os princípios da
adequação, pertinência e proporcionalidade302, consagrados no artigo 6.º, n.º
1, alínea c) da Diretiva 95/46/CE.
De acordo com estes princípios, os dados pessoais recolhidos têm de ser adequados às finalidades definidas, pertinentes em função delas e cingir- se ao estritamente necessário às mesmas.
Por sua vez, a alínea d) do n.º 1 do artigo 6.º da Diretiva 95/46/CE
remete-nos para os princípios da exatidão e atualização303 dos dados, que
impõe ao responsável pelo tratamento o dever de garantir os direitos de acesso e retificação do titular dos dados.
Os dados devem, ainda, ser conservados apenas pelo período necessário às finalidades do tratamento, em conformidade com a alínea e) do n.º 1 do artigo 6.º da Diretiva, que nos remete para o princípio da proporcionalidade da conservação dos dados.
O responsável pelo tratamento tem, ainda, as obrigações de garantir a
confidencialidade304 e a segurança do tratamento305, bem como de assegurar
que, quando ocorra uma transferência de dados para países exteriores à UE, esses países garantam um nível de proteção adequado.
Os princípios relativos à qualidade dos dados, assim como o direito à informação e o direito de acesso da pessoa em causa podem, porém, sofrer
301
Entre nós, o tratamento de dados pessoais para finalidades diferentes das definidas na recolha carece de autorização da Comissão Nacional de Proteção de Dados, nos termos do artigo 28.º da Lei 67/98, de 28 de outubro, que transpõe para a ordem jurídica portuguesa a Diretiva n.º 95/46/CE.
302
Sobre o princípio da adequação, pertinência e proporcionalidade na Lei n.º 67/98, ver CASTRO, Catarina Sarmento e, Direito da Informática ... , op. cit., pp. 236 e 237.
303
Sobre o princípio da exatidão e da atualização dos dados na Lei n.º 67/98, ver CASTRO, Catarina Sarmento e, Direito da Informática ... , op. cit., p. 237.
304
Artigo 16.º da Diretiva 95/46/CE.
86
derrogações e restrições a fim de salvaguardar a segurança do Estado, a defesa, a segurança pública, a repressão de infrações penais, um interesse económico ou financeiro importante de um Estado-Membro ou da UE, ou a
própria proteção da pessoa em causa ou de outrem306.
2.2.2. Os fundamentos de legitimidade do tratamento de dados