Proteção conferida aos dados pessoais: a autodeterminação informativa

A CRP foi o primeiro dispositivo legal a consagrar o direito à proteção de dados pessoais96 _{e tal direito, à autodeterminação informativa}97_{, resulta, desde logo, do direito}

à reserva da intimidade da vida privada. Trata-se de um direito que se circunscreve ao lado mais genérico da privacidade, ou seja, é, por assim dizer, mais amplo do que o conceito de intimidade. Como nos ensina TERESA COELHO MOREIRA98 _{este direito}

não se circunscreve “ao lado mais sagrado e irredutível de uma pessoa”, e caracteriza-se, no seu núcleo essencial, por ser um direito de informação, isto é, dos titulares dos dados pessoais conhecerem e controlarem todas as informações que lhe digam respeito. É sem mais, um direito de defesa para a preservação da identidade e de proteção contra o tratamento ilícito dos dados. Por estar consagrado na CRP, é um direito que goza de uma proteção especial, em relação aos demais, no sentido em que se encontra inserido nos denominados direitos, liberdades e garantias, que por serem assim designados e caraterizados são-lhes atribuídas determinadas qualidades e prerrogativas99_{. Atualmente}

encontramos este direito no art. 35º da CRP sob a epígrafe Utilização da informática. Somos de querer que o nome que lhe foi dado não carateriza a essencialidade do mesmo, uma vez que este direito não se refere apenas a dados informatizados, mas também a dados que não estão informatizados100 101_{. Da sua análise constatamos que o legislador}

não se limitou a fazer uma referência genérica, isto é, não se limitou apenas e só a cria-lo como também a concretizá-lo, densificando-o. Mas o que é e em que consiste este direito? De uma forma geral, encontramos a resposta no nº1 que refere “todos os cidadãos têm o direito de acesso aos dados que lhes digam respeito (…)”, da leitura do referido art.

96_{Para uma contextualização acerca do nascimento, desenvolvimento e conjetura atual do direito à} autodeterminação informativa, vd., Joaquim De Seabra LOPES, O artigo 35º da Constituição: Da génese à

atualidade e ao futuro previsível, in, Fórum de Protecção de Dados, nº2, 2016, semestral, Comissão Nacional de Proteção de Dados, pp. 13-49.

97_{Para Luís Filipe ANTUNES, A Privacidade no mundo conectado da internet das coisas, in Fórum de}

Protecção de Dados, ob. cit, pp. 52 “A autodeterminação informacional é a capacidade, ou o direito, que cada indivíduo tem de controlar a sua exposição na sociedade e, por esse meio, garantir a sua privacidade. É um direito intangível: o direito a permanecer isolado; o direito a permanecer anónimo; o direito a controlar com quem, quando, onde e como partilhar informação pessoal; essencialmente é um direito fundamental intrínseco ao ser humano.”

98_{Teresa Coelho MOREIRA, in A Privacidade dos Trabalhadores e as Novas Tecnologias de Informação e}

Comunicação: contributo para um estudo dos limites do poder de controlo electrónico do empregador, ob. cit, pp. 295.

99_{Vd., neste sentido o art. 17º e 18º da CRP.}

100_{A partir da revisão constitucional de 1997 passou a abranger também os dados não automatizados.} 101_{Como referem Gomes CANOTILHO, Vital MOREIRA, Constituição da República Portuguesa Anotada,} Almedina, 2014, pp. 550 “A epígrafe do artigo - «utilização da informática» - está longe de revelar o âmbito de proteção das normas ou segmentos nele contido.”

concluímos que este direito consiste essencialmente no direito de acesso aos dados pessoais pelos seus titulares e consequentemente na proteção dos mesmos perante um possível tratamento. Consideramos, a par com outros autores, que este é um direito constituído por vários direitos fundamentais. Na perspetiva de GOMES CANOTILHO e VITAL MOREIRA102 _{estamos “perante um conjunto de direitos fundamentais em matéria}

de defesa contra o tratamento informático de dados pessoais”. E de acordo com os mesmos autores a proteção acima referenciada desenvolve-se de acordo com três direitos. Em primeiro lugar, num direito de acesso a registos informáticos; Em segundo lugar, num

direito ao sigilo. E em terceiro lugar, num direito ao não tratamento de determinados

dados.

Dado que estamos a falar de um conjunto alargado de direitos que funcionam ao lado uns dos outros e ligados entre si existem autores que se referem ao direito de proteção de dados como sendo, como já referimos, um direito à autodeterminação informativa, que resulta do direito geral de privacidade. O direito geral de privacidade contém deste modo um direito à reserva sobre a intimidade da vida privada e um direito à informação sobre os dados que estão ou não acessíveis. Nas palavras de TERESA COELHO MOREIRA103

“com este novo direito fundamental toda a pessoa tem o direito de preservar a sua identidade, controlando a revelação e o uso dos dados que lhe dizem respeito e protegendo-se perante a capacidade ilimitada de arquivá-los, relacioná-los e transmiti-los (…). Considerando, ainda, a autora que a lei confere aos titulares um conjunto vasto de instrumentos que lhe permitem proteger esse direito.

Importa neste sentido proceder a uma análise, ainda que breve, sobre o direito em questão. O art. 35º nº1 da CRP pode ser dividido em vários direitos fundamentais. Seguiremos de perto a divisão apresentada por CATARINA SARMENTO E CASTRO104

ao considerar, que o normativo em análise consagra, em primeiro lugar, um direito de

acesso aos dados pessoais. Quanto a este ponto já fomos referindo que se prende essencialmente com a faculdade que é reconhecida aos cidadãos de terem acesso e obterem informações sobre dados pessoais que lhe digam respeito, quer junto de entidades públicas ou privadas. Em segundo lugar, prevê um direito de retificação ou

102_{Ibidem, pp. 551 e ss.}

103_{Teresa Coelho MOREIRA, in A Privacidade dos Trabalhadores e as Novas Tecnologias de Informação e}

Comunicação: contributo para um estudo dos limites do poder de controlo electrónico do empregador, ob.

cit, pp. 295.

104_{Catarina Sarmento E CASTRO, Direito da Informática, Privacidade e Dados Pessoais, ob. cit., pp 31 e} ss.

atualização desses dados, o que se revela essencial no sentido em que, por um lado os dados pessoais não são estáticos105 _{e por outro, o perigo da descontextualização é real e}

pode prejudicar de forma gravosa o seu titular. Em terceiro lugar, o direito à eliminação

dos dados que comporta duas finalidades: a eliminação de dados que estejam errados e/ou a eliminação de dados que, por força da lei, não podem ser alvo de qualquer tipo de tratamento. Por fim, a autora distingue um direito ao conhecimento das finalidades de tratamento, que se afigura, na nossa perspetiva, essencial, pois o direito à autodeterminação em geral não se prende só e apenas com o acesso aos dados, como também, e sobretudo, ao conhecimento das finalidades que se pretendem levar a cabo com o seu tratamento, sendo talvez a sua componente mais importante.

Por sua vez o nº 2 delega na lei ordinária um conjunto de tarefas de regulamentação, a definição de dados pessoais; as condições aplicáveis ao seu tratamento; as garantias de proteção; e ainda a criação de uma entidade administrativa dotada de independência que garanta essa proteção. Entre nós essa entidade é a CNPD, criada pela lei 67/98 de 26 de Outubro. Para além disso, o art. 35º elenca um conjunto de proibições relativas ao tratamento de dados. Essas proibições encontram-se estipuladas nos números 3,4 e 5 e dizem respeito à proibição de tratamento de dados considerados sensíveis; à proibição de acesso a dados pessoais de terceiros; e à proibição de atribuição de um numero nacional único aos cidadãos.

No ordenamento jurídico português é a lei 67/98 que dá vida ao art. 35º. E aí encontramos vários aspetos essenciais de regulamentação. Todavia, prevê-se com a aprovação do novo RGPD, diretamente aplicável no nosso ordenamento jurídico, que alguns aspetos de regulamentação sejam alterados. Deve, no entanto, dizer-se que o legislador português, no passado, não introduziu inovações passiveis de serem aqui salientadas ou alterações consideráveis face à diretiva 95/46/CE, adotando uma posição algo passiva na análise e regulamentação destas questões. Porém, tendo em conta a recente aprovação do novo RGPD prevê-se que o legislador assuma uma posição diferente e adapte a diretiva, nas questões que estão na sua disponibilidade, de uma forma mais intensa e inovadora.

105_{Os dados pessoais não são estáticos na medida em que podem ser “transportados” ou transmitidos em} diversos âmbitos e contextos.

Em termos de direito da UE, com a entrada em vigor do Tratado de Lisboa foi criada uma base jurídica única quanto a esta matéria, com a introdução do art.º 16 do TFUE que no seu nº 1 estabelece, “todas as pessoas têm direito à proteção dos dados de caracter pessoal que lhes digam respeito”, o referido tratado investiu a carta dos direitos fundamentais da UE de efeito jurídico vinculativo e nessa medida o art. 8º estabelece que “Todas as pessoas têm direito à protecção dos dados de carácter pessoal que lhes digam respeito”, é um direito fundamental para todos os estados-membro.

3.4 O tratamento de dados pessoais na Internet: o caso especial das redes