Princípio geral e fundamentos de excepção

estatuárias do seu responsável, ou quando o titular dos dados tiver dado o seu consentimento expresso para esse tratamento, em ambos os casos com garantias de não discriminação e com as medidas de segurança previstas no artigo 15º”⁴⁰⁵.

De acordo com a leitura deste texto legal, um dos fundamentos da autorização do tratamento dos dados sensíveis será, à partida, a autorização da CNPD, desde que exista motivo de interesse público importante e o tratamento seja indispensável ao exercício das atribuições legais ou estatuárias do seu responsável. Note-se contudo, que esse fundamento não se encontra previsto na CRP (art. 35º, nº 3), que por seu lado, apenas alude à autorização legal e ao consentimento do titular, ou então, ao processamento de dados estatísticos não identificáveis.

Este último caso não sugere problemas, uma vez que a não identificação dos dados lhes retira a característica de dados pessoais. O que nos leva a concluir acerca da possibilidade do tratamento de dados sensíveis, desde que estes não sejam dados pessoais⁴⁰⁶. Há porém, autores que se manifestam no sentido da constitucionalidade duvidosa do nº 2, do art. 7º, da Lei da Protecção de Dados Pessoais, uma vez que a Constituição não se pronuncia acerca do fundamento da autorização da CNPD.

No sentido de ultrapassar esta dificuldade, CATARINA SARMENTO E CASTRO

defende que a leitura a fazer da norma prevista, deverá ser no sentido de que “a CNPD

apenas poderá autorizar o tratamento de dados sensíveis quando exista consentimento do titular dos dados”⁴⁰⁷, pois só uma leitura com este sentido estará em sintonia com a

CRP. Desta forma, não se pode conceber a actuação da CNPD de forma isolada, sem o consentimento do titular de dados. Assim, tal como evidencia a Autora supra mencionada, de forma clara e inequívoca, “são duas (lei ou consentimento) e não três, as fontes legitimadoras do tratamento de dados sensíveis”⁴⁰⁸, não constituindo a CNPD

uma fonte legitimadora.

Face à proibição, no que respeita ao tratamento de dados sensíveis, de certa forma cerrada, torna-se importante equacionar o tipo de consentimento a prestar pelo titular de dados. A Lei pronuncia-se acerca de um consentimento expresso, que a CNPD

405 Art. 7º, nº 2, da Lei nº 67/98.

406 Cf. MONIZ, Helena (1997), “Notas Sobre a Protecção de Dados Pessoais Perante a Informática (O Caso Especial dos Dados Pessoais Relativos à Saúde) ”, Revista Portuguesa de Ciência Criminal, Abril – Junho de 1997, Coimbra, p. 261.

407 CASTRO, Catarina Sarmento e (2005), p. 218. A CNPD para conceder a autorização do tratamento de dados sensíveis, exige assim, o consentimento expresso do titular de dados, caso contrário o tratamento de dados sensíveis não é legítimo. A título de exemplo, veja-se entre outras a “Autorização nº 478/2003”, disponível in http://www.cnpd.pt.

408 CASTRO, Catarina Sarmento e (2005), p. 219.

tem entendido como um consentimento escrito e, de acordo com o que é eticamente aceitável, pressupõe-se que seja consentimento informado, livre e esclarecido⁴⁰⁹. Aliás, a própria Lei da Protecção de Dados Pessoais, no seu art. 3º, alínea h) assim o exige, sublinhando que o consentimento do titular de dados deverá corresponder a “qualquer manifestação de vontade, livre, específica e informada, nos termos da qual o titular aceita que os seus dados pessoais sejam objecto de tratamento”.

Nesta linha, a CNPD sem constituir uma fonte legitimadora, surge como um órgão que deve controlar o fundamento do consentimento do titular de dados sensíveis, ou melhor, verificar as condições em que se processa o referido assentimento (assim designado por alguns autores), bem como avaliar a existência do importante e vincado interesse público e seguimento das atribuições legais e estatuárias do respectivo responsável⁴¹⁰.

O outro fundamento que legitima o tratamento de dados sensíveis é, de acordo com a aludida norma, a existência de uma autorização legal, ou como literalmente expresso “disposição legal”, pressupondo-se a exigência do já refido interesse público e a sua indispensabilidade ao exercício das atribuições legais ou estatuárias do responsável. Aquando da existência disposição legal e na esteira do que defendem alguns Autores, será dispensável o consentimento do titular, não constituindo este, condição para o tratamento. A este propósito, um Acórdão do Tribunal Central Administrativo refere que “sendo a disposição legal a conceder o tratamento, não vemos qual possa ser o espaço de liberdade reservado ao titular dos dados para negar o tratamento, nem sequer entendemos como se deposita nas suas mãos o poder de expressamente o consentir”⁴¹¹.

Não esqueçamos porém, que neste artigo está perfeitamente vincada a necessidade de garantias, como a da não discriminação e o cumprimento das medidas de segurança previstas no art. 15º. O que nos leva a concluir, que o consentimento per si dos titulares não é suficiente, se não forem adoptadas medidas de segurança efectivas que impeçam o acesso à informação a pessoas não autorizadas.

409 Vid. na matéria ANTUNES, Alexandra (1998), “Consentimento Informado”, in Ética em Cuidados de Saúde (coord.: Daniel Serrão, Rui Nunes), Porto: Porto Editora, pp. 13-28.

410 Cf. CASTRO, Catarina Sarmento e (2005), p. 221.

411 Acórdão do Tribunal Central Administrativo, de 24 de Janeiro de 2002, publ. in Cadernos de Justiça Administrativa, nº 39, Maio - Junho de 2003, p. 54.

A Lei da Protecção de Dados Pessoais estabelece ainda outras condições de excepção para o tratamento de dados sensíveis, expostas no nº 3, do art. 7º, excepções essas alheias às estabelecidas no nº 2, do mesmo artigo.

É então possível, de acordo com a alínea a), do nº 3, do art. 7º, o tratamento de dados sensíveis, quando o mesmo for “necessário para proteger interesses vitais do titular dos dados ou de uma outra pessoa e o titular dos dados estiver física ou legalmente incapaz de dar o seu consentimento”. É com o fundamento nesta alínea que actualmente se considera legítimo, o acesso a dados de saúde de uma pessoa falecida, com o objectivo de relacionar a sua doença com a sintomatologia apresentada por um familiar e, consequentemente estabelecer medidas de prevenção relativamente a doenças hereditárias ou genéticas⁴¹².

Na alínea b) do mesmo número e artigo, resulta igualmente, como facto excepcional para o tratamento de dados sensíveis a condição de “ser efectuado, com o consentimento do titular, por fundação, associação ou organismo sem fins lucrativos de carácter político, filosófico, religioso ou sindical, no âmbito das suas actividades legítimas, sob condição de o tratamento respeitar apenas aos membros desse organismo ou às pessoas que com ele mantenham contactos periódicos ligados às suas finalidades, e de os dados não serem comunicados a terceiros sem consentimento dos seus titulares”.

É então possível, de acordo com este pressuposto, os sindicatos procederem ao tratamento do dado sensível “filiação sindical” dos seus associados ou membros, desde que, com consentimento do titular da informação, não podendo os respectivos dados ser comunicados a terceiros sem o consentimento do mesmo.

Um outro fundamento de excepção está radicado na alínea c), do nº 3, do art. 7º, onde se encontra explicita a possibilidade de tratamento de dados sensíveis, quando estes disserem “respeito a dados manifestamente tornados públicos pelo seu titular, desde que se possa legitimamente deduzir das suas declarações o consentimento para o tratamento dos mesmos”.

Já na alínea d), a excepção fundamenta-se no facto de “ser necessário à declaração, exercício ou defesa de um direito em processo judicial e for efectuado exclusivamente com essa finalidade”⁴¹³. É o caso concreto, do acesso à informação de saúde de um titular falecido, na sequência de um processo judicial interposto por

412 Vid. infra “Acesso a informação por terceiros”, pp. 151-156.

413 Neste fundamento de excepção podemos encontrar a legitimidade para o tratamento de dados de videovigilância, para fins de segurança privada.

familiares, em que se pretende por exemplo, apurar responsabilidades em relação à prestação de cuidados⁴¹⁴.

Os fundamentos do nº 3 descritos e inscritos na lei, carecem contudo, segundo CATARINA SARMENTO E CASTRO da autorização da entidade administrativa e independente – a CNPD, que por seu turno, é responsável por verificar a presença dos referidos fundamentos de excepção e de acordo com as suas funções, emitir ou não a referida autorização⁴¹⁵. Note-se, que esta necessidade de autorização da Comissão relativa ao nº 3, não vem expressa na lei.

Realcemos ainda o facto da lei ser omissa, no que concerne ao nº 3, do art.7º, quanto à necessidade de se cumprirem as medidas de segurança especiais descritas no art. 15º. Porém, de uma forma geral, é também entendida essa necessidade nos casos descritos no nº 3.

1.4.3. O Tratamento de dados relativos à saúde, à vida sexual e dados