A protecção de dados pessoais

O artigo 35.º da CRP consagra, enquanto direito fundamental, a protecção dos cidadãos perante o tratamento de dados pessoais informatizados. A expressão

tratamento

“abrange não

apenas a individualização, fixação e recolha de dados, mas também a sua conexão, transmissão,

utilização e publicação”

dados

“está utilizada na Constituição no sentido que

hoje lhe empresta a ciência informática: representação convencional de informação, sob a forma

analógica ou digital, possibilitadora do seu tratamento automático (introdução, organização,

gestão e processamento de dados)”

A protecção constitucionalmente conferida relativamente ao tratamento informático de dados pessoais pode ser analisada em três direitos414:

a) O direito de acesso que as pessoas têm aos registos informáticos para conhecerem os respectivos dados pessoais que deles constam, podendo-os rectificar e completar;

b) O direito ao segredo relativamente aos responsáveis de ficheiros informáticos e a terceiros dos dados pessoais informatizados e direito à sua não interconexão;

c) O direito ao não tratamento informático de determinados tipos de dados pessoais (convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem étnica).

Na sua globalidade, este conjunto de direitos

“tende a densificar o moderno direito à

autodeterminação informacional, dando a cada pessoa o direito de controlar a informação

411 JOAQUIM FREITAS DA ROCHA, Lições de Procedimento…, pp. 370-371.

412 J. J. GOMES CANOTILHO e VITAL MOREIRA, ob. cit., p. 550.

413 Idem, ibidem.

disponível a seu respeito, impedindo-se que a pessoa se transforme em «simples objecto de

informações».”

Os elementos tutelados quer pelo segredo fiscal, quer pelo segredo bancário constam, em larguíssima medida, de ficheiros automatizados, de bases e de bancos de dados pessoais. Desse modo, importa concretizar quais as formas de protecção legalmente conferidas aos particulares e, nomeadamente, aos contribuintes, face ao tratamento automatizado dos seus dados pessoais quer pelas instituições de crédito, quer pela Administração fiscal.

A Lei n.º 67/98, de 26 de Outubro416 – Lei da Protecção de Dados Pessoais – transpôs

para a nossa ordem jurídica interna a Directiva n.º 95/46/CE do Parlamento Europeu e do Conselho417, sendo o instrumento jurídico nacional que pontifica nesta matéria.

O artigo 2.º da Lei n.º 67/98 estabelece, como princípio, que o tratamento de dados pessoais deve ser processado de forma transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos, liberdades e garantias fundamentais.

A densificação deste princípio surge no n.º 1 do artigo 5.º, segundo o qual os dados pessoais devem ser:

a) Tratados de forma lícita e com respeito pelo princípio da boa fé;

b) Recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essas finalidades;

c) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e posteriormente tratados;

d) Exactos e, se necessário, actualizados, devendo ser tomadas as medidas adequadas para assegurar que sejam apagados ou rectificados os dados inexactos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente;

415 Idem, ibidem.

416 De ora em diante designada “Lei n.º 67/98”.

417 Ver, supra, número 3.2.4. do ponto I deste Capítulo.

Na nossa ordem jurídica, importa ainda considerar a Convenção 108 do Conselho da Europa – Convenção para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal –, a qual entrou em vigor em Portugal em 1 de Janeiro de 1994.

151

e) Conservados de forma a permitir a identificação dos seus titulares apenas durante o período necessário para a prossecução das finalidades da recolha ou do tratamento posterior.

Por outro lado, o tratamento de dados pessoais apenas pode ser efectuado se o respectivo titular tiver dado, inequivocamente, o seu consentimento ou se o tratamento for necessário para uma das seguintes finalidades418:

a) Execução de contrato ou contratos em que o titular dos dados seja parte ou de diligências prévias à formação do contrato ou declaração da vontade negocial efectuadas a seu pedido;

b) Cumprimento de obrigação legal a que o responsável pelo tratamento esteja sujeito; c) Protecção de interesses vitais do titular dos dados, se este estiver física ou legalmente incapaz de dar o seu consentimento;

d) Execução de uma missão de interesse público ou no exercício de autoridade pública em que esteja investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados;

e) Prossecução de interesses legítimos do responsável pelo tratamento ou de terceiro a quem os dados sejam comunicados, desde que não devam prevalecer os interesses ou os direitos, liberdades e garantias do titular dos dados.

Como resulta do n.º 1 do artigo 7.º da Lei n.º 67/98, é proibido o tratamento de dados pessoais referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica, bem como o tratamento de dados relativos à saúde e à vida sexual, incluindo os dados genéticos. Isto sem prejuízo das situações previstas nos n.ºs 2 e 3 desse artigo, nas quais é permitido o tratamento dos referidos dados.

Relativamente à interconexão de dados pessoais, se esta não estiver prevista em qualquer disposição legal, fica sujeita a autorização da Comissão Nacional de Protecção de Dados a ser solicitada pelo responsável ou em conjunto pelos correspondentes responsáveis dos tratamentos419. No entanto, a interconexão de dados pessoais deve ser adequada à prossecução

418 Cfr. artigo 6.º da Lei n.º 67/98.

das finalidades legais ou estatutárias e de interesses legítimos dos responsáveis dos tratamentos, não implicar discriminação ou diminuição dos direitos, liberdades e garantias dos titulares dos dados, ser rodeada de adequadas medidas de segurança e ter em conta o tipo de dados objecto de interconexão420.

Sempre que os dados pessoais sejam recolhidos directamente do seu titular, o responsável pelo respectivo tratamento ou o seu representante deve prestar-lhe as seguintes informações421:

a) Identidade do responsável pelo tratamento e, se for caso disso, do seu representante; b) Finalidades do tratamento;

c) Outras informações, tais como:

(i) Os destinatários ou categorias de destinatários dos dados;

(ii) O carácter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não responder;

(iii) A existência e as condições do direito de acesso e de rectificação, desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir ao seu titular um tratamento leal dos mesmos.

Se os dados não forem recolhidos junto do seu titular o responsável pelo tratamento, ou o seu representante, deve prestar-lhe as referenciadas informações no momento do registo dos dados ou, se estiver prevista a comunicação a terceiros, o mais tardar aquando da primeira comunicação desses dados422. No caso de recolha de dados em redes abertas, o titular dos

dados deve ser informado de que os seus dados pessoais podem circular na rede sem condições de segurança, correndo o risco de serem vistos e utilizados por terceiros não autorizados423. 420 Cfr. artigo 9.º, n.º 2, da Lei n.º 67/98. 421 Cfr. artigo 10.º, n.º 1, da Lei n.º 67/98. 422 Cfr. artigo 10.º, n.º 3, da Lei n.º 67/98. 423 Cfr. artigo 10.º, n.º 4, da Lei n.º 67/98.

153

O titular dos dados tem, por outro lado, o direito de obter do responsável pelo tratamento, livremente e sem restrições, com periodicidade razoável e sem demoras ou custos excessivos424:

a) A confirmação de serem ou não tratados dados que lhe digam respeito, bem como informação sobre as finalidades desse tratamento, as categorias de dados sobre que incide e os destinatários ou categorias de destinatários a quem são comunicados os dados;

b) A comunicação, sob forma inteligível, dos seus dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem desses dados;

c) O conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe digam respeito;

d) A rectificação, o apagamento ou o bloqueio dos dados cujo tratamento não cumpra o disposto na presente lei, nomeadamente devido ao carácter incompleto ou inexacto desses dados;

e) A notificação aos terceiros a quem os dados tenham sido comunicados de qualquer rectificação, apagamento ou bloqueio, salvo se isso for comprovadamente impossível.

Nos termos do n.º 1 do artigo 17.º da Lei n.º 67/98, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções, os responsáveis do tratamento de dados pessoais, bem como as pessoas que, no exercício das suas funções, tenham conhecimento dos dados pessoais tratados.

Relativamente à transferência de dados pessoais, o artigo 18.º da Lei n.º 67/98 prevê que, sem prejuízo do disposto nos actos comunitários de natureza fiscal e aduaneira, é livre a circulação de dados pessoais entre os Estados-membros da União Europeia.

Por último, constituem crime as condutas consubstanciadas no não cumprimento de obrigações relativas à protecção de dados, no acesso indevido a dados pessoais, na viciação ou destruição de dados pessoais e na violação do dever de sigilo425.

424 Cfr. artigo 11.º, n.º 1, da Lei n.º 67/98.