Introdução

O Governo através do Secretário de Estado da Justiça veio solicitar à Comissão Nacional de Protecção de Dados Pessoais Informatizados Parecer acerca da Proposta de lei de Protecção de Dados Pessoais. Esta solicitação acresce ao convite que havia sido dirigido à Comissão para colaborar no Grupo de Trabalho que procedeu ao estudo e desenvolvimento da nova lei.

Não constituindo objecto do Parecer as referências elogiosas, mas a análise da Proposta de lei, na óptica da entidade que tem tido nas suas competências a aplicação dos princípios consignados na lei nº10/91 de 29 de Abril, não pode a Comissão deixar de salientar o espírito de cooperação e participação institucional, estimulados pelo Governo que, juntamente com outras contribuições, não deixará, deseja-se, de ter resultados positivos no texto final.

A lei n.º 10/91, de 29 de Abril, há muito que não correspondia às novas exigências no tratamento da informação, com utilização dos meios informáticos. Como foi reconhecido pelo Governo vivia-se (e vive-se ainda) nos serviços públicos, uma situação de incumprimento formal da legislação de protecção de dados, quanto aos tratamentos de dados sensíveis. A lei revela-se, mesmo após algumas melhorias introduzidas pela lei n.º 28/94, de difícil aplicação nalgumas áreas. Mantêm-se regimes excepcionais que a Constituição não admite.

A Proposta de lei aparece agora por força da necessidade de transposição

da Directiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de Outubro de 1995, num novo quadro constitucional desenhado pelas alterações introduzidas no artigo 35º na 4ª Revisão da CRP.

Toma-se também o rumo traçado no Livre Verde para a Sociedade de Informação que inclui nas suas medidas de desenvolvimento a projecção de uma nova lei de protecção de dados pessoais (medida 8.1, no capítulo das implicações sociais da sociedade de Informação).

A lei de protecção de dados pessoais - qualquer lei, aliás - não deveria desconhecer a situação que a envolve, e prever, com alguma visão, o futuro próximo. A Directiva fruto de uma gestação própria de cerca de 14 anos, não acompanhou a evolução da sociedade de informação, pelo que é um diploma limitado, em determinadas áreas - que estão neste momento a ser objecto de estudo ou decisão na UE.

Ao preconizar a livre circulação de dados pessoais na União e ao harmonizar as legislações de todos os Estados-membros, a Directiva - e espera-se as leis nacionais - contribuirá, no mínimo, para um regime mais coerente na Europa.

A Proposta de lei - neste quadro de harmonização europeia, a que Portugal está obrigado - não deixa de constituir uma evolução positiva e mais um passo na consolidação dos direitos face à informática.

De acordo com a Proposta, a lei aplicar-se-á ao tratamento de dados pessoais por meios total ou parcialmente automatizados e aos não automatizados constantes de ficheiros manuais ou a eles destinados, excluindo-se da aplicação apenas o tratamento de dados pessoais efectuado por pessoa singular nas suas actividades exclusivamente pessoais ou domésticas (n.º s 1 e 2 do artigo 3º).

Deixam de estar excepcionados do regime da lei (como se encontravam na lei n.º 10/91, artigo 3º n.ºs 2 e 3) os tratamentos destinados exclusivamente a processamento de remunerações, mera gestão de serviços, facturação e fornecimentos, cobrança de quotizações de associados ou filiados. Tal inclusão não prejudica uma possível simplificação de procedimentos a decidir pela futura autoridade de controlo. Da mesma forma não ficam excepcionados os ficheiros do Sistema de Informação da República. Ficam resolvidos os problemas constitucionais gerados pelas excepções, aliás em consonância com o que já era questão consolidada na Comissão e na Procuradoria Geral da República de que a estes tratamentos eram plenamente aplicáveis os normativos constitucionais do artigo 35º ( Parecer n.º 32/96 da Comissão e Parecer da PGR n.º 23/95).

A Proposta segue o texto da Directiva nos mecanismos de determinação dos tratamentos abrangidos pela lei.

A plena aplicação da lei ao tratamento e difusão de sons e imagem, bem como aos fornecedores de acesso a redes informáticas estabelecidos em território português não aparece depois desenvolvida no texto da lei. É certo que os sons e as imagens na medida em que permitam a identificação da pessoa devem gozar de protecção idêntica a quaisquer outros dados. Por outro lado, não se terá pretendido estender a aplicação da lei aos meios de comunicação social, nem aos seus arquivos de som e imagem, pelo que carece de melhor explicitação a extensão da medida preconizada. Sem dúvida também que a nova lei de protecção de dados não pode esquecer os problemas suscitados pela videovigilância e outros meios mais sofisticados de vigilância pessoal, cuja regulação não deve ficar pelos dispositivos constitucionais, garantísticos e apeladores dos direitos e liberdades, mas nem sempre de fácil concretização procedimental.

O mesmo se diga da aplicação da lei aos fornecedores de acesso a redes. Trata-se de envolver os fornecedores de acessos a redes abertas (como é a Internet) e não todos os fornecedores, por exemplo de redes privadas. Atente-se ao novo direito consagrado na Constituição (ainda pouco divulgado) de a "todos" ser garantido o "livre acesso às redes informáticas de uso público" ( n.º 6 do artigo 35º).

Ambas as questões deveriam ser apuradas em sede de redacção final.

São plasmados, de acordo com a Directiva, os princípios fundamentais de tratamento de dados pessoais: tratamento leal e lícito, recolhidos para finalidades determinadas e utilização compatível, dados adequados, pertinentes e não excessivos, exactos e actuais, conservados em função das finalidades (artigo 4º), bem como a regra geral do consentimento inequívoco do titular como fundamento do tratamento nas condições do artigo 5º.

Nada há a acrescentar nesta matéria que segue de perto a Directiva (não a contrariando). Em resumo, torna-se mais coerente e transparente o processo que legitima o processamento de dados pessoais, melhorando-se significativamente o regime previsto na lei n.º 10/91.

Os dados sensíveis merecem atenção especial.

A lei n.º 10/91, de 29 de Abril, define como dados sensíveis os relativos a

convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada ou origem étnica, cujo tratamento informatizado era proibido (artigo 11º n.º 1 alínea a)) , bem como os que dizem respeito a condenações em processo criminal, suspeitas de actividades ilícitas, estado de saúde e situação patrimonial e financeira (que podem ser tratados com consentimento do titular ou autorização ou outros casos especiais – de interesse vital – artigo 11º n.º 1 alínea b) e 17º n.º 2). Os serviços públicos têm também um processo de legitimação diferente das entidades privadas, visto que estavam – e estão ainda – sujeitos ao formalismo da emissão de lei habilitadora. O regime caracteriza-se pela sua difícil aplicação e pela sua total desadequação à concretização dos direitos e às necessidades da administração.

A 4ª revisão Constitucional veio criar um novo regime, admitindo o tratamento dos dados até aqui insusceptíveis de informatização que constavam do n.º 1 alínea a) do citado artigo 11º, mediante o consentimento expresso do titular ou autorização legal com garantias de não discriminação ou para processamento de dados estatísticos não individualmente identificáveis (n.º 3 do artigo 35º).

Os serviços públicos passam a ter regime idêntico às entidades privadas, propondo-se ainda, de acordo com a Directiva, que possa existir fundamento para a recolha e tratamento destes dados quando:

• haja necessidade de protecção de interesse vital;
• seja efectuado por entidade sem fins lucrativos, fundação ou associação no âmbito das suas actividades, carecendo sempre de autorização a comunicação a terceiros;
• forem manifestamente tornados públicos;
• se revelarem necessários à defesa de um direito em processo.

Nos casos de tratamento de dados sensíveis no âmbito da segurança do Estado, da defesa, da segurança pública, da prevenção e investigação ou repressão de infracções penais, a Proposta, preconiza a emissão de lei ou decreto-lei, com prévio Parecer da Comissão.

O tratamento de dados relativos a actividades ilícitas, condenações penais, medidas de segurança, infracções ou contra-ordenações passa a ser autorizado pela Comissão, estipulando-se que os dados para fins de investigação criminal devem limitar-se à prevenção de um perigo concreto ou à prevenção de infracção penal determinada (de acordo com a Recomendação n.º R (87) 15 do Conselho da Europa relativa à utilização de dados pessoais no sector da polícia) .

O tratamento de dados de saúde, da vida sexual e genéticos para fins de medicina preventiva, de diagnóstico, de prestação de cuidados médicos ou de gestão de serviços de saúde – desde que o tratamento de dados seja efectuado por profissional de saúde ou pessoa equivalente, obrigados a sigilo profissional – fica apenas sujeito a notificação (e não autorização, como decorria da lei n.º 10/91), com adequadas medidas de segurança, que são especificadas, designadamente no n.º 3 do artigo 14º (separação lógica de dados de saúde de outros dados).

Como se pode analisar não é fácil fixar o regime aplicável aos dados sensíveis, sendo possível concluir que se facilitou o seu tratamento, com a legitimação do consentimento do titular.

A intervenção formal de várias entidades que podem autorizar ou legitimar o tratamento de dados sensíveis (Parlamento, Governo, Comissão) pode suscitar dificuldades face à inexistência de um quadro geral de critérios aplicáveis ( excepto quanto ao consentimento expresso, aos dados de saúde, nos termos previstos na Directiva, ao princípio da não discriminação, às seguranças, e aos dados para fins de investigação policial).

Propõe-se, designadamente, que se clarifiquem e fixem os dados que se consideram sensíveis ( que não se limitam ao artigo 6º, mas abrangem também os do artigo 7º).

Os Direitos dos Titulares dos Dados

O projecto de Proposta de lei na sua Secção II, segue o essencial da Directiva (conforme os seus artigos 10º,11º , 13º , e 15º).

Ressalta do articulado :

Direito de acesso

• o direito de obter do responsável do tratamento, livremente e sem restrições, com periodicidade razoável e sem demoras e custos excessivos a confirmação de serem ou não tratados dados que lhe respeitem, as categorias dos dados, os destinatários, os dados tratados e as indicações da origem, se disponível, o conhecimento da lógica, no que se refere a eventuais decisões automatizadas
• o direito de rectificar, apagar ou bloquear dados cujo tratamento seja ilegal face à lei, ou devido ao seu carácter inexacto, mesmo junto a terceiros a quem tenham sido comunicados os dados, excepto se tal for inviável por constituir um esforço desproporcionado.

No acesso indirecto

• nos casos de tratamentos relativos à segurança do estado, prevenção ou investigação criminal, nos dados relativos a finalidades estatísticas, históricas ou de investigação científica, para fins jornalísticos ou de expressão artística ou literária o acesso é efectivado pela autoridade de controlo ou pela autoridade nacional competente, que a lei designar;

• o acesso indirecto é ainda consagrado quanto aos dados de saúde e genéticos, sempre exercido por médico designado pelo titular.

• nos casos de tratamento cujo fundamento seja a execução de missão de interesse público ou no exercício de autoridade pública ou ainda na prossecução de interesses legítimos do responsável do tratamento ou de terceiro a quem os dados sejam comunicados, o titular poderá opor-se em qualquer altura por razões preponderantes e legítimas relacionadas com a sua situação particular podendo o tratamento deixar de incidir sobre esse dados, em caso justificados e salvo disposição legal em contrário;
• opor-se, a seu pedido e gratuitamente, a que os dados sejam utilizados para fins de marketing directo (mala directa) ou prospecção;
• opor-se, depois de informado, a que os seus dados sejam comunicados ou utilizados por terceiros para fins de mala directa.

Constituem também direitos:

- direito de não ficar sujeito a uma decisão que produza efeitos ou afecte de modo significativo a sua esfera jurídica tomada exclusivamente com base num tratamento de dados destinado a avaliar determinados aspectos da sua personalidade (capacidade profissional, crédito, confiança, comportamento).

Depois de desenvolvidos nos seus aspectos essenciais os direitos consignados na Proposta, importa fazer algumas considerações.

Ao contrário do que a sistematização proposta parece fazer crer, a Proposta é mais generosa quanto aos direitos.

É assim na consagração prática do princípio da auto-determinação informacional, consubstanciado no consentimento inequívoco para o tratamento de dados e para a definição das respectivas condições (no caso de comunicação), e no consentimento expresso para que determinados dados sensíveis possam ser recolhidos e tratados (convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada, origem racial ou étnica, dados de saúde, da vida sexual ou genéticos)- artigos 5º e 6º da Proposta. É-o igualmente nas garantias relativas à qualidade dos dados, que devem ser tratados de forma leal e lícita (n.º 1 alínea a) do artigo 4º da Proposta).

A Constituição da República no artigo 35º enquadra o regime de direitos na utilização da informática, ou melhor, na utilização e organização de dados pessoais:

• um pleno direito de acesso aos dados por parte do seu titular
• o direito à rectificação
• o direito à actualização
• o direito a conhecer a finalidade
• o direito à protecção de dados pessoais, designadamente com a intervenção de uma autoridade independente
• o direito do titular decidir expressamente o tratamento de dados pessoais sensíveis e relativos à vida privada
• o direito à não discriminação no tratamento de dados sensíveis, maxime nos casos de autorização legal
• o direito da não devassa de dados por parte de terceiros
• o direito à não atribuição de um número único
• o direito de acesso às redes informáticas de uso público
• o direito à protecção de dados pessoais nos casos de fluxos transfronteiras de dados
• o direito à protecção de dados constantes de ficheiros manuais

Ainda da Constituição ressaltam : os direitos de inviolabilidade da correspondência, nas telecomunicações e noutros meios de comunicação, excepto nos casos previstos na lei, em matéria penal (artigo 34º n.º 4), bem como garantias efectivas contra a utilização abusiva de informações relativas às pessoas e às famílias (artigo 26 n.º 2).

A lógica da Directiva que a Proposta acompanha não compreende ou não desenvolve, em toda a sua dimensão, a amplitude constitucional de direitos. Merece a mesma tutela constitucional a correspondência enviada por carta pelos Correios, pela empresa de entregas rápidas ou o envio de um e-mail. No último caso, e excepto em redes privadas ou securizadas por encriptamento, não existem garantias de que o correio não seja lido.

Como se reconhece na justificação que acompanha a Proposta, a Directiva, apesar de aprovada no ano de 1995, em plena era da informação, não optou por razões da sua gestação por desenvolver o tratamento de dados pessoais em redes abertas, como é a Internet (ver referência final sobre a sociedade de informação no artigo 33º da Directiva). A Proposta ao avançar a obrigação específica de informação da inexistência de seguranças quando existe recolha de dados em rede aberta (aplicável apenas aos responsáveis nacionais que assim procedam) permitirá, num patamar mínimo, alertar para estes problemas.

Merecem também uma análise mais aprofundada :

1. a solução de derrogar o direito de informação para fins jornalísticos ou de expressão artística ou literária, mas condicionada aos casos em que não estiverem em causa direitos, liberdades e garantias, pode não resistir aos dispositivos constitucionais relativos à liberdade de expressão e informação ( artigo 37º n.º 1 e 2 da CRP). Compreendendo-se a tentativa de equilíbrio da Proposta, haverá que alertar para as situações especiais da investigação jornalística, prévia à publicação, que geralmente diz sempre respeito a direitos, liberdades e garantias. Deve ser pesada, nesta matéria, a projecção pública das pessoas envolvidas, o seu estatuto social, sem prejuízo de antes da publicação haver o direito - a nosso ver - de avisar e contactar a pessoa em concreto, dando-lhe oportunidade de tomar posição, o que decorre aliás do Código Deontológico dos Jornalistas. Deveria, como outra opção, chamar-se à colação tais regras.
2. não se justifica que o acesso a dados com finalidades estatísticas, históricas ou para fins de investigação científica seja realizado de forma indirecta pela autoridade de controlo.
3. o acesso indirecto a dados - através da Comissão Nacional de Protecção de Dados - para finalidades exclusivamente jornalísticas, de criação artística ou literária deve ser equilibrado com outros valores constitucionais - a Proposta refere que este se fará nos termos constitucionais - não sendo admissível a ingerência, mesmo de entidade independente, no que respeita a quaisquer dados ou informações que ponham em causa o sigilo das fontes, a protecção da independência dos jornalistas e o sigilo profissional. Apenas nesta medida e expressas as referências e limites constitucionais será de consagrar tal medida, aplicável apenas às áreas exclusivamente jornalísticas, no âmbito dos órgãos de comunicação social.
4. acentua-se, por fim, a total sintonia com o princípio do amplo acesso a dados, livre e sem restrições, em prazo razoável, e sem demoras ou custos excessivos, sendo certo que tais princípios carecem de desenvolvimento posterior, com vista à sua harmonização. Na administração pública e no âmbito da lei de acesso aos documentos da administração (Despacho conjunto nº 280/97 de 7 de Agosto, nos termos do n.º 2 do artigo 12º da lei nº 65/93, de 26 de Agosto) foram recentemente definidos os custos do direito de acesso, acentuando-se que a mera consulta é gratuita. A Proposta não incluiu o princípio constante da lei n.º 10/91(n.º 2 do artigo 28º) de que a informação deve ser transmitida em linguagem clara, sem codificações e corresponder ao conteúdo do registo, apesar de se poder considerar que os objectivos então visados naqueles dispositivos estão adquiridos pela expressão "sem restrições".
5. o direito de acesso a dados relativos à segurança do Estado, actividades ilícitas, investigação criminal, terá que ser balizado pelos valores constitucionais em presença, devendo a Comissão, autorizada pela lei de protecção de dados, poder restringir a comunicação, ao facto de ter realizado as necessárias verificações, indicando ao requerente se estão ou foram cumpridos os dispositivos legais. A nova redacção do n.º 1 do artigo 35º da CRP deixou de incluir o inciso que excepcionava do direito de acesso as matérias relativas à segurança do Estado e ao segredo de justiça, deixando à lei a definição das condições em que o acesso pode ser efectuado. Daí a relevância desta previsão.

Da Interconexão de dados

A interconexão de dados passa a ser admitida em novos moldes, que decorrem da actual redacção constitucional. A anterior redacção proibia, em princípio, a interconexão, salvo casos excepcionais (n.º 2 do artigo 35º). A lei nº 10/91 admitia genericamente a interconexão de ficheiros de dados públicos entre entidades que prosseguiam os mesmos fins específicos, sujeitando a lei especial todos os outros casos, o que na prática inviabilizava, por vezes, os mais simples cruzamentos, agora efectuados pelas mais básicas funções lógicas de um micro processador.

A Proposta de lei reafirma o princípio de que a interconexão deve ser necessária à prossecução de finalidades legais e de interesses legítimos, não podendo implicar discriminação ou diminuição de direitos, liberdades e garantias e ser autorizada pela CNPD.

Concorda-se com a solução proposta, adiantando-se contudo que a decisão da Comissão deve ter em consideração igualmente o tipo de dados objecto da interconexão.

É particularmente inovatória a previsão de medidas especiais de segurança no tratamento e comunicação de dados sensíveis, medida aliás que deveria merecer uma reflexão profunda e urgente dos responsáveis, designadamente na administração pública.

Também de carácter inovador é a previsão da separação lógica dos dados de saúde e da vida sexual, incluindo os genéticos, dos dados de natureza administrativa.

Confere-se à Comissão o poder de obrigar ao encriptamento de dados nos casos especiais de comunicação de dados sensíveis, quando a circulação em rede possa pôr em risco direitos, liberdades e garantias.

Por outro lado, também ficam objectivamente fixadas as regras de segurança no caso de tratamento de dados por sub-contratantes. Mantém-se o dever de sigilo profissional para os responsáveis dos tratamentos e para todos quantos tenham acesso aos dados, incluindo os membros da Comissão, seus funcionários, agentes ou técnicos.

Todas estas medidas são de saudar pelo que não se propõe qualquer aditamento.

O princípio da livre circulação de dados pessoais entre países da União Europeia é um dos aspectos centrais que presidiu à Directiva ( n.º 2 do artigo 1º e considerando n.º 3). À livre circulação de capitais e de pessoas junta-se agora a livre circulação de dados pessoais, não sendo admissível, em princípio, que haja limites administrativos ou legais, de âmbito nacional, e nas áreas abrangidas pela Directiva, à livre circulação (não estão incluídos, por exemplo, os dados relativos à segurança do Estado) .

A legislação nacional ( artigo 33º n.º 2 da lei n.º 10/91 de 29 de Abril) havia já aberto o caminho a solução similar em relação aos países que eram Partes contratantes da Convenção para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal (Convenção 108 do Conselho da Europa).

A circulação de dados é livre no pressuposto que todos os países da União têm um nível comum e harmonizado de protecção dados e que as entidades que procedem à recolha e tratamento de dados no espaço da União cumprem a legislação nacional onde se situam.

A transferência de dados para países fora da União pode realizar-se na medida em que cumpra as disposições da lei e se o país de destino assegurar um nível de protecção adequado. Considera-se como elementos de medida da desejada protecção adequada, a natureza dos dados, a finalidade, a duração, os países de origem e destino, as regras de direito em vigor no país em causa, as regras profissionais e as medidas de segurança.

A decisão de considerar que um país assegura um nível adequado cabe à Comissão Nacional de Protecção de Dados (artigo 16º da Proposta). No entanto, mesmo a decisão de não adequação no fluxo de dados para países fora da União (e consequente proibição) pode ser afastada nos casos de consentimento do titular(1), no âmbito da execução de contrato a pedido do titular ou com a sua intervenção(2), no interesse do titular dos dados(3), quando for legalmente admitida para protecção de interesse público importante(4), para a protecção de interesse vital ou quando os dados constarem de registos públicos, de informação pública ou abertos à consulta pública, desde que cumpridas as normas legais para essa consulta(5).

Mas a Proposta, no rasto da Directiva, prevê um papel acrescido à União Europeia na decisão final, o que tenderá a reduzir a capacidade de manobra nacional nesta matéria. De facto as decisões de proibição de fluxos para determinado país devem ser comunicadas à Comissão (da UE), podendo esta decidir se um país oferece garantias suficientes, o que obriga à autorização nacional de transferência. Trata-se de um efeito directo de uma decisão da União nas autorizações nacionais para os fluxos, o que não pode deixar de dever ser considerado, como uma clara redução nas decisões de uma autoridade independente. Por outro lado a Autoridade Nacional de controlo de dados deve orientar-se, na concessão ou derrogação das autorizações previstas, pelas decisões tomadas pela União.

Não se questiona a projecção da Directiva para a legislação nacional, que nos atira para um reduzido leque de opções, mas não se deixa de alertar para três pontos :

a) a Directiva, particularmente nesta matéria, esqueceu (no ano de 1995) a existência de fluxos através de redes abertas, não controlável a nível nacional ou pela União;

b) o sistema de contraditório entre as instâncias nacionais e a União é suficientemente complexo e pesado para ou dificultar em excesso os fluxos, ou abrir porta, por impossibilidade de cumprimento, a todo o tipo de fluxos, que acrescem às derrogações previstas;

Os fluxos de dados no âmbito da segurança do Estado, da defesa, da segurança pública e da prevenção, na investigação e representação das infracções penais são regidos pelas disposições legais específicas ou por convenções e acordos internacionais em que Portugal é Parte (n.º 6 do artigo 22º da Proposta).

Os termos propostos não colidem, nesta parte, com o dispositivo constitucional de protecção adequada e de salvaguarda justificada por razões de interesse nacional( nº 6 do artigo 35º), dado que existirá sempre uma ponderação legalmente legitimada para comunicação de dados – ou por lei ou Convenção, com garantias de intervenção prévia ou participação da Comissão de Protecção de Dados.

A 4º Revisão atribuiu estatuto constitucional a uma entidade administrativa independente, à qual compete garantir a protecção dos dados pessoais (n.º 2 do artigo 35º da CRP). A sua instituição (bem como o exercício das competências que lhe forem reconhecidas por lei) passa a constituir condição fundamental e constitucionalmente prevista, no quadro dos direitos e garantias, consignados no artigo 35º. Consagram-se direitos com a existência de uma entidade independente. O pleno exercício dos direitos e a protecção de dados pessoais pressupõe a intervenção dessa autoridade independente.

A Directiva prevê a obrigação nacional de cada Estado-membro constituir uma ou mais autoridades públicas responsáveis pela fiscalização da aplicação das normas de protecção de dados adoptadas no seu âmbito Directiva (artigo 28º n.º 1). A nossa Constituição é de resto mais abrangente do que o próprio texto da Directiva, na medida em que esta não se aplica a determinados tratamentos (por exemplo, segurança do Estado). Não seria, a nosso ver, constitucionalmente admissível a exclusão ou excepção de intervenção da autoridade independente em quaisquer áreas onde se proceda ao tratamento de dados pessoais.

Mas a Directiva não se limitou a traçar a existência de uma Autoridade, vê-a com estatuto adequado e largos poderes.

A lei que a criar deve garantir total independência nas funções que lhe forem atribuídas (em Portugal, tal resulta da Constituição, cfr. também nº3 do artigo 267º CRP), devendo dispor de poderes de inquérito, de efectiva intervenção na protecção de dados, de participação no processo judicial. A Autoridade deve ainda ser consultada pelas entidades nacionais na elaboração das medidas regulamentares ou administrativas atinentes à protecção de direitos e liberdades das pessoas no tratamento dos dados, podendo apreciar queixas de particulares ou associações, dirigir advertências ou censurar os responsáveis pelos tratamentos, publicitando regularmente a sua actividade (artigo 28º nºs 1,2,3,4 e 5). A Directiva consagra ainda o princípio da cooperação entre as diferentes autoridades nacionais, podendo cada uma delas intervir no exercício de poderes a solicitação de outra (nº 6 do mesmo artigo).

As decisões terão força obrigatória geral, sendo passíveis de reclamação e recurso para o Supremo Tribunal Administrativo.

A Convenção 108 do Conselho da Europa de que Portugal é Parte (trata-se da Convenção para a Protecção das Pessoas Relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal, Ratificada por Decreto do Presidente da República n.º 21/93 de 9 de Julho) previa a designação de autoridades nacionais e a assistência a qualquer pessoa residente na defesa dos direitos consagrados na Convenção (artigos 13º, 14º e 15º), não estatuindo contudo poderes efectivos às autoridades nacionais, nem estabelecendo, por força da Convenção, o seu estatuto independente.

Apesar de serem diferentes os modelos, as competências, os poderes efectivos, a proveniência e o estatuto dos membros nas actuais Autoridades nacionais (que existem em todos os países da União) reconhece-se em todas elas traços de exercício independente nas respectivas funções.

Propõe-se na Proposta de lei a criação de uma Comissão Nacional de Protecção de Dados (CNPD), entidade administrativa independente, com poderes de autoridade, a funcionar junto da Assembleia da República.

Não oferece reparo a opção pela nova designação. Por um lado passam a gozar de protecção dados informatizados e não informatizados (n.º 7 do artigo 35º), daí resultando o alargamento da área de competência, que se reflecte numa diminuição de nome, e por outro, nada parece acrescentar a inclusão de "pessoais", para melhor determinar os conteúdos da actividade da Comissão. Pelo contrário a denominação deve ser facilmente compreensível pelos cidadãos e ser simplificada, tanto quanto for possível. O acentuar-se o seu carácter "nacional" decorre da actual solução da não proliferar autoridades de protecção de dados em função de determinadas matérias (a actual excepção é a da Comissão de fiscalização do sistema informático do SIRP) e de manter num quadro centralizado estas questões que têm obviamente uma unidade de tratamento não compatível com duplicação de entidades e de jurisprudências.

1.Atribuições e poderes da Comissão

Em resumo, são-lhe reconhecidos poderes de investigação e inquérito, no âmbito das funções de controlo e poderes de autoridade, podendo ordenar o bloqueio, o apagamento ou a destruição dos dados, bem como o de proibir, temporária ou definitivamente o tratamento de dados pessoais em redes abertas a partir de servidores nacionais.

Apela-se à efectiva participação na elaboração de medidas legislativas (através da consulta obrigatória), abrangendo-se nesta matéria os instrumentos jurídicos em preparação em instâncias comunitárias e internacionais, conferindo-se legitimidade de intervenção em processos judiciais atinentes as matérias em causa (artigos 20º, 21º) .

No quadro das competências, merecem especial atenção a autorização ou registo dos tratamentos de dados pessoais, a autorização excepcional para finalidade não determinante da recolha, a autorização de interconexões e de transferência de dados pessoais para países não membros da UE, o poder de fixar o tempo de conservação de dados, podendo emitir Directivas, para determinados sectores de actividade, a fixação de custos ou de periodicidade do direito de acesso, a apreciação de queixas, a verificação da licitude dos tratamentos e das seguranças, a promoção de códigos de Conduta e, em geral, a divulgação dos direitos relativos à protecção de dados, bem como a aplicação de coimas. Fica ainda consignada, em condições genéricas, a representação da CNPD em instâncias comuns de controlo e nas reuniões de autoridades independentes (artigo 22º).

De acordo com a Directiva (nº5 do artigo 28º) a Proposta de lei prevê o exercício de poderes pela CNPD a pedido de outra entidade de protecção de dados de país membro da UE ou do Conselho da Europa (alargando aqui o âmbito da cooperação ao CE), com expressa referência ao alargamento da actividade comum com as demais Comissões de Protecção de Dados Pessoais.

2. Ainda a lei nº 10/91 de 29 de Abril

Em matéria de atribuições e competências, interessa registar as principais diferenças comparativamente ao regime previsto na lei 10/91 de 29 de Abril.

Ao contrário da Proposta, a lei n.º 10 /91( artigo 8º n.º 1 alínea f)) comete à Comissão o poder de fixar genericamente as condições de acesso à informação, e ao exercício dos direitos de rectificação e eliminação. Registe-se que até à data (Janeiro de 1998) não foi dada qualquer expressão concreta à previsão legal. De facto, não se contesta que a actual proposta tenha eliminado das competências da Comissão " a fixação genérica" do direito de acesso. Trata-se de um direito constitucional, que resulta do nº 1 do artigo 35º da CRP (agora alterado " do direito a tomar conhecimento" para " direito de acesso") devendo as condições genéricas ser fixadas em lei e não por autoridade administrativa mesmo que independente. A solução vigente não é consentânea com o regime de valoração dos actos normativos, violando em especial o n.º 6 do artigo 112º "nenhuma lei pode criar outras categorias de actos legislativos ou conferir a actos de natureza o poder de, com eficácia externa, interpretar, integrar, modificar, suspender ou revogar qualquer dos seus preceitos", para além de pôr em crise as próprias competências do Parlamento, dado respeitar a direitos, liberdades e garantias (n.º 1 alínea b) do artigo 165º da CRP).

Tanto na autorização excepcional para utilização de dados para finalidade não determinante da recolha, como na autorização para a interconexão, estas teriam, em ambos os casos, de ser precedidas de lei especial, pronunciando-se a Comissão só após a necessária cobertura legal prévia. A redacção do artigo 8º (alíneas c) e d)) apontava para impossibilidade prática de tais autorizações (o que lhes retirou a sua aplicação prática), pois remetia para os casos previstos "na presente lei", o que lei nº 10/91 acabou por não regular e mesmo omitir.

Pelo contrário e em virtude da forma como se efectuava a legalização dos ficheiros de dados sensíveis de serviços públicos, através de lei especial, (artigo 17º n.º 1) parecia mais clara a intervenção obrigatória da Comissão na emissão de Pareceres prévios. Contudo, mesmo aqui, há na Proposta um claro alargamento das matérias de intervenção, aliás de acordo com a praxis instituída, pelo governo e pela Assembleia, de audição da Comissão.

3. As novas competências

Tal como decorre da Directiva acrescem poderes significativos à futura Comissão, mas de forma que se considera equilibrada entre aquilo que deve ser a acção de uma entidade independente, na defesa de direitos, liberdades e garantias. São assim salientadas na Proposta as componentes da prevenção (através de efectivos poderes de fiscalização, de registo e de autorização prévias), da publicitação, da cooperação com outras entidades, maxime com a Assembleia da República, da audição a associações representativas de consumidores e de interesses económicos, sem prejuízo do poder-dever de participação ao Ministério Público das infracções que justifiquem procedimento judicial. Não é de menor relevo a equiparação de tratamento às entidades públicas e privadas. As autorizações da Comissão e o controlo prévio dirigem-se apenas aos dados sensíveis (n.º 2 do artigo 6º e nº 2 do artigo 7º), à interconexão e aos casos do tratamento incidir sobre a situação patrimonial e financeira ou sobre a solvabilidade dos seus titulares ( artigo 27º).Também se revelam suficientes e, de acordo com a Directiva, os poderes de acesso da Comissão aos sistemas informatizados, para verificação da sua licitude.

Considera-se que o quadro de competências previstas respeita o disposto na Directiva.

No entanto, deixa-se à ponderação o seguinte :

1. Dos poderes de autoridade, referidos de forma genérica no artigo 21º, nem todos têm reflexo nas competências do artigo 22º;
2. A Directiva prevê o Parecer das autoridades de controlo não apenas em matérias de desenvolvimento legal (lei ou decreto-lei), mas igualmente nas áreas regulamentares e administrativas, o que não parece previsto;
3. Deve ser prevista norma material das condições de utilização de dados para finalidade não determinante da recolha que dê corpo e fundamento à autorização excepcional da competência da Comissão;
4. Não aparecem reflectidos no catálogo de competências os tratamentos de sons e imagens, aos quais a lei se aplicará por força n.º 4 do artigo 3º;
5. Devem ser salvaguardadas competências especiais já atribuídas à Comissão, em leis especiais, como é o caso do desenvolvimento do Sistema de Informação para a Transparência dos Actos da Administração Pública ( lei n.º 104 /97);
6. O controlo prévio devia abranger a utilização dos dados para finalidade não determinante da recolha;
7. A proibição definitiva de determinados tratamentos em redes abertas, dirigida a servidores nacionais pode não resultar eficaz, face às condições de circulação não controlável de informação na rede, podendo, em caso de larga publicitação, ter efeitos contraditórios, que devem ser medidos;

4. Composição da CNPD

A Proposta não altera a composição já consignada na lei n.º 10/91 de 29 de Abril. Não se pretende fazer quaisquer juízos em causa própria ao mesmo tempo que se deve reconhecer de forma analítica e nos casos apreciados até aqui que nunca esteve em causa a independência dos membros ( pese embora o seu estatuto diferenciado), e muito menos a total independência nas decisões tomadas. Não se propugna, portanto, qualquer alteração nesta matéria, que deve ser objecto de ponderação parlamentar, que elege já uma parte dos membros da Comissão, entre eles o seu Presidente ( nos termos da alínea i) do artigo 163º da CRP). Sem pretender marcar qualquer solução que se abra no debate considera-se que a actual composição e proveniência dos membros tem tido virtualidades positivas, que se reflectem no equilíbrio das soluções preconizadas.

De qualquer forma devem ser reforçadas, no desenvolvimento da futura lei orgânica da Comissão, as condições de exercício de mandato dos membros da Comissão, com vista a garantir a sua independência. Vê-se assim como necessário definir, no quadro da Proposta de lei ou da lei orgânica, as incompatibilidades e os impedimentos dos membros da Comissão, designadamente afastando quaisquer dúvidas quanto à possibilidade de acumulação de funções, para além das que resultem do próprio exercício do cargo.

Ao mesmo tempo deve ficar claro e expresso na Proposta de lei que o Estatuto dos membros e a lei Orgânica garantem a independência da actuação da Comissão e dos membros e agentes no exercício das suas missões.

Da notificação , Autorizações e Publicitação dos Actos da Comissão

A obrigação de notificação às Autoridades nacionais resulta do artigo 18º da Directiva, prevendo a possibilidade de simplificação ou de isenção ou derrogação. Estão também especificadas na Directiva o conteúdo da notificação, o controlo prévio e a publicitação dos tratamentos, respectivamente nos artigos 19º, 20 e 21º.

A solução da Proposta de lei acompanha de perto a Directiva, não a contradizendo. O regime não se distancia também da lei n.º 10/91:

1. o princípio da obrigatoriedade da notificação prévia ou do controlo prévio no caso de se tratar de dados sensíveis;
2. a simplificação ou a isenção de notificação, quando os tratamentos não sejam susceptíveis de pôr em causa direitos e as liberdades;
3. a desburocratização do processo através da isenção de notificação dos tratamentos cuja única finalidade seja a informação ao público;
4. definem-se os conteúdos da notificação, num regime paralelo ao da lei n.º 10/91 de 29 de Abril, e as indicações obrigatórias em caso de regulamentação por lei;
5. a publicitação dos tratamentos, designadamente com a obrigação de informar os aspectos mais importantes dos registos (artigo 29º), com vista a garantir total transparência.

Convém dizer que o Regime de acesso aos processos de notificação ou Autorização por parte da Comissão, mesmo que decorra da Directiva, tem sobre ele o regime mais abrangente da lei de acesso à documentação administrativa (lei n.º 65/93), mais generosa que a própria Directiva. Da mesma forma, estarão defendidas do acesso indiscriminado, as informações que possam pôr em risco segredos comerciais ou industriais ou da vida interna das empresas e os processos sobre os quais recaia eventualmente o segredo de justiça ou que estejam em apreciação.

Propugna-se, em geral, a maior simplificação nos procedimentos de legalização, optimizando as possibilidades abertas pela Directiva, no sentido de evitar uma maior intervenção estadual naquilo que é instrumento essencial na gestão: os sistemas de informação e a informática. O controlo prévio deve abranger, como atrás se disse, a utilização de dados para finalidade não determinante da recolha.

Do regime sancionatório

A Comissão concorda com o essencial da Proposta de lei nesta matéria, designadamente quanto à introdução do regime de contra-ordenações, apoiando-se igualmente a previsão de medidas de carácter pedagógico, como são a publicitação de decisões, a advertência e a censura públicas. Merecem reparo duas questões: a contra-ordenação não respeita apenas à negligência, pode envolver culpa ou dolo do agente (sem que a tal corresponda crime); os montantes das coimas, que se consideram modestos, podem levar à criação de uma cultura de impunidade, que resultará da vantagem económica em prevaricar, mesmo que a entidade pague a coima respectiva. Daí que os limites máximos devam ser reconsiderados.

Dos Códigos de Conduta

Em Portugal apenas existe um Código de conduta apreciado e desenvolvido com a colaboração da Comissão (relativo ao Marketing directo, proposto pela respectiva Associação), cujos princípios têm contribuído positivamente para uma melhoria da transparência no tratamento de dados por parte das entidades que participam naquela Associação (em concurso com as acções de fiscalização e seminários). Há um caminho a percorrer nesta área, reconhecendo a Comissão a importância da intervenção das associações e das empresas no processo de decisão, o que vem expresso na Proposta (n.º 2 do artigo 22º).

Concorda-se com o prazo fixado para o cumprimento das condições de manutenção de ficheiros manuais, devendo ser atribuída competência à Comissão para poder decidir, à luz do novo regime, sobre a classificação e resolução dos processos em apreciação à data da entrada em vigor da lei, sem mais procedimentos por parte dos responsáveis dos tratamentos e no caso de se verificarem cumpridos os requisitos consignados na lei.

Não está previsto prazo para cumprimento do n.º 5 do artigo 6º (tratamento de dados sensíveis nas áreas da segurança do Estado, da defesa, da segurança pública e da prevenção, da investigação ou repressão de infracções penais). Importa, finalmente, retirar as devidas ilações constitucionais do n.º 3 do artigo 35º, revogando ou alterando a fundamentação de base do artigo 193º do Código Penal (devassa por meio de informática), que penalizava a criação de ficheiros referentes a convicções políticas, religiosas ou filosóficas, filiação partidária ou sindical, vida privada e origem étnica.

29 de Janeiro de 1998

João Alfredo M. Labescat da Silva( Relator)

Amadeu F. Ribeiro Guerra

Mário Manuel Varges Gomes

Nuno Albuquerque Morais Sarmento