PARECER N º 29 /2006 I) Introdução
Por decisão de Sua Excelência o Ministro da Administração Interna, transmitida por ofício da sua Chefe de Gabinete (nº 3571, de 21 de Agosto de 2006), foi solicitado parecer desta Comissão sobre o projecto de proposta de lei relativo à instituição do cartão do cidadão.
Posteriormente, foram recebidas duas novas versões do diploma, em 28 e 30 de Agosto.
O presente parecer cingir-se-á, como é natural, às questões de protecção de dados, abrangidas pela competência da CNPD.
E está obviamente condicionado, na sua extensão e profundidade, pelo curto prazo disponível para a sua elaboração e pela insuficiência de informações das especificidades técnicas.
Não deixa de se realçar que matérias desta índole, relativas a direitos fundamentais como a protecção de dados pessoais, e envolvendo inovações tecnológicas ainda em evolução, devem merecer cuidado estudo e ponderação.
II) Questões gerais
A) Possibilidade ou não de interconexão
O projecto em análise prevê ( artºs 2º e 16º) que o cartão do cidadão conterá a indicação dos números de identificação civil, de identificação fiscal, de utente dos serviços de saúde e da segurança social.
Trata-se de medida de evidente relevância prática que pretende trazer maior simplificação para a vida dos cidadãos.
Prescreve-se ( artº 16º) que a gestão destes números será feita com autonomia pelos serviços competentes no âmbito das áreas respectivas.
Esta situação não implica, só por si, a existência duma interconexão ou cruzamento de dados.
Mas é inegável que potencia o risco de se realizar esse tipo de operação - que pode permitir a feitura de perfis dos cidadãos, que podem afectar a sua privacidade.
O projecto não prevê a proibição de tal interconexão.
E a CNPD desconhece a existência de medidas técnicas que obstaculizem com suficiente segurança essa operação porque essas medidas também não se encontram previstas no projecto.
Considera-se, assim que a proposta de lei deve, por um lado, incluir norma que impeça a dita interconexão. E, por outro, caberá já neste diploma determinar-se que sejam estabelecidas garantias técnicas que obstem,
na prática, a esse cruzamento de dados.
B) Instituição ou não de número único do cidadão
A Constituição ( artº 35º, nº 5) proíbe, como é sabido, a criação dum número único do cidadão. Apreciada a discussão da norma constitucional em causa, afigura-se patente que se pretende,
primacialmente, obstar a que, através dum número único, se pudesse aceder a vários tratamentos de dados pessoais do cidadão, por forma a obter dele uma imagem integrada.
Parece ser evidente que os números de documento e de cartão previstos no artigo 17º não impedem o aparecimento dum número único.
De facto, afigura-se insuficiente a caracterização desses dados.
De todo o modo, parece que o número de documento poderá desempenhar esse papel – o de número único atribuído a um cidadão titular desse cartão.
Questão fundamental é, também, o saber-se se existe uma “chave primária” da base de dados criada para a emissão do Cartão do Cidadão. Se existir essa “chave primária” autónoma então poderá concluir-se que ela corresponde a um número único; Na eventualidade de não existir, a base de dados tem uma chave primária composta apenas por “chaves estrangeiras”. Isto é, quatro “chaves estrangeiras” que constituem uma combinação única capaz de ser a “chave primária” da base de dados, o que corresponderá também a um identificador único.
Em suma, o insuficiente esclarecimento da natureza do número em referência bem como a insuficiente descrição técnica não permitem recusar-lhe com segurança a índole de número único.
C) Controlo da CNPD
Entende-se que deve ser consagrada a intervenção da CNPD, enquanto garante da protecção de dados pessoais, em diversos aspectos do procedimento de criação do cartão do cidadão em que o projecto em análise a não prevê.
Trata-se, designadamente, dos seguintes: 1) Controlo de operações pela DGRN
A CNPD deve poder apreciar os critérios a utilizar pela DGRN na aplicação do artº 20º, nº 1, als . b ), c ), e) e f ).
A salvaguarda da segurança é crucial para a cabal protecção de dados pessoais. 2) Protocolos
cartão do cidadão devem, naturalmente, ser sujeitos a autorização prévia da CNPD. 3) Subcontratação
A CNPD deve ser informada da identidade dos subcontratantes que, nos termos do artº 35º, nº 3, colaborarão com a DGRN na preparação do cartão.
4) Regulamentação
Dada a importância das questões remetidas, no artº 63º, para sede de regulamentação, não abordadas na proposta de lei - modelos de cartão, elementos de segurança física que o compõem e requisitos técnicos e de segurança para captação da imagem facial e das impressões digitais -, as portarias correspondentes deverão ser submetidas expressamente a prévio parecer da CNPD.
D) Infracções
O teor do artº 49º - aliás integrado na Secção designada "Crimes" - parece implicar que toda e qualquer violação das normas nele referidas só é punível criminalmente.
Independentemente de ter sido ou não esse o objectivo do legislador, a verdade é que não é esse o sistema consagrado na Lei nº 67/98, para a qual se parece querer remeter.
Segundo o artº 43º da Lei nº 67/98, as violações aos deveres aí consignados só constituem crime se forem intencionais.
E, na economia da Lei nº 67/98, há que atender ainda à tipificação das contraordenações , nos respectivos artºs 37º e 38º.
Pareceria preferível - e, porventura, correspondente ao propósito do legislador - remeter pura e simplesmente o regime de infracções em matéria de protecção de dados para o sistema da Lei nº 67/98.
III) Aspectos específicos
1) Preâmbulo
No nº 5 do Preâmbulo fazem-se duas afirmações que se não afiguram exactas:
- por um lado, não é rigoroso dizer-se que não é criada nova base de dados temporariamente, assim sucede, enquanto a DGRN procede às operação de criação dos cartões;
- por outro, tão-pouco é correcto dizer que não se opera qualquer alteração no regime das bases de dados existentes: assim parece ocorrer, pelo menos, no tocante à base de dados de identificação civil.
2) Artº 5º - Proibição de retenção
Para além da proibição de retenção ou conservação do cartão, também seria ajustado vedar a sua reprodução, por fotocópia ou qualquer outro meio - salvo, claro, com o consentimento do titular.
Também teria cabimento - embora, reconhece-se, isso seja de difícil controlo - proibir a recolha de números constantes do cartão mas não correspondentes à finalidade pretendida com a sua exibição.
É aberta a possibilidade de recorrer à tecnologia por RFID o que poderá possibilitar o acesso indevido aos dados constantes no chip do cartão, ainda que encriptados. Ora, se por um lado se estabelece a proibição de retenção, por outro potencia-se a faculdade de, sem que o utilizador do cartão se aperceba, todos os elementos serem acedidos indevidamente.
3) Informação contida no circuito integrado - artº 8º
a) Não é evidente se o que se colhe são as impressões digitais enquanto tais, ou o respectivo " template ".
b) As als . c ) e d ) do nº 2 necessitariam de maior precisão, pois se apresentam demasiado vagas. 4) Assinatura - artº 12º
Seria mais acertado dizer "por assinatura entende-se, para efeitos deste diploma…". De facto, o teor da actual redacção não se ajusta à noção geral de assinatura. 5) Impressões digitais - artº 14º
Apenas deveriam ter acesso às impressões digitais as autoridades judiciárias e as entidades de polícia criminal.
Dada a multiplicidade de entidades policiais existentes, pode ser perigoso alargar demasiado o acesso às impressões digitais.
6) Indicações eventuais - artº 15º
Para além do princípio da igualdade, deveria relevar também aqui o da proporcionalidade - aliás principio geral básico em matéria de protecção de dados.
7) Imagem facial - artº 25º
Não é evidente se a imagem facial referida em 1.a) correspondente à fotografia ou à sua conversão em " template ".
8) Confirmação de elementos relativos a utentes de saúde - artº 29º
a) Não se apresenta ajustada a indicação do seguro de saúde - que o utente pode ter interesse (e tem direito) em não mencionar
b) Não é evidente a necessidade de recurso a todos os elementos referidos no nº 2 para identificação do utente do serviço de saúde.
9) Cancelamento - artº 33º
Seria importante garantir que a recepção de pedidos de cancelamento pudesse operar nas 24h do dia. 10) Base de dados do cartão - artº 37º
O teor dos nºs 1 e 2 do artº 37º parece revelar que - ao invés do afirmado no preâmbulo - acaba por existir uma base de dados relativa ao cartão do cidadão.
11) Sígilo - artº 40º
Não resulta clara a referência - por contraposição - aos "dados de acesso livre". Conviria especificar bem de que dados se trata .
IV) Conclusões
1) A CNPD não pode dar parecer favorável - na medida em que não se encontram devidamente esclarecidos e regulados os aspectos mencionados em II-A e B.
Não obstante:
2) O Projecto deve, nos termos já referidos, proibir expressamente a interconexão de dados pessoais.
3) Deve ser cabalmente esclarecida, sem deixar margens para quaisquer dúvidas, a inexistência de um número único que referencie o cidadão titular do cartão.
4) A CNPD põe especial ênfase na consideração dos aspectos mencionados em II-C e D e III - intervenção da Comissão e regime sancionatório em ordem a conseguir-se uma mais ajustada regulação
Lisboa, 06 de Setembro de 2006
Luís Lingnau da Silveira (Presidente, que relatou) Ana Roque
Carlos Campos Lobo Eduardo Campos Luís Barroso