Voltar à Página de entradaVoltar à Página de entrada

Pesquisar por palavra         

Français English

 

Rua de São Bento n.º 148-3º 1200-821 Lisboa - Tel: +351 213928400 - Fax: +351 213976832 - e-mail: geral@cnpd.pt

Parecer n.º  33  /2000

 

I.

Introdução

O Governo, através do Secretário de Estado da Presidência do Conselho de Ministros, veio solicitar à Comissão Nacional de Protecção de Dados (CNPD) parecer acerca do Projecto de Decreto-Lei que estabelece o regime de credenciações de segurança.

 

Segundo o n.º 2 do art. 22.º da Lei da Protecção de Dados (Lei n.º 67/98, de 26 de Outubro), ''a CNPD deve ser consultada sobre quaisquer disposições legais, bem como sobre instrumentos jurídicos em preparação em instituições comunitárias ou internacionais, relativos ao tratamento de dados pessoais''.

Assim, no uso das competências que lhe são atribuídas pela alínea a) do n.º 1 do art. 23.º que estabelece caber à CNPD a emissão de ''parecer sobre disposições legais, bem como sobre instrumentos jurídicos em preparação em instituições comunitárias e internacionais, relativos ao tratamento de dados pessoais'', esta Comissão exarou o seguinte parecer:

 

II.

O projecto de diploma

O Projecto em análise regula o regime de credenciação de segurança entendida como ''o acto mediante o qual é autorizado o acesso e manuseamento de documentos com os graus de classificação de segurança «confidencial», «secreto», e «muito secreto», definidos na legislação que regula o sistema de classificações de segurança''.

A decisão sobre concessão, elevação, abaixamento e cancelamento de credenciações de segurança é um acto da competência da Autoridade Nacional de Segurança, instruindo o processo o Gabinete Nacional de Segurança.

A concessão, elevação, abaixamento e cancelamento da credenciação de segurança é feita com base nas informações recolhidas no procedimento de credenciação.

 

No art. 8.º c) do projecto de diploma estabelece-se quais os dados recolhidos para a ficha individual do candidato: identificação do candidato e dos familiares em primeiro grau; habilitações literárias e especializações relevantes; deslocações e permanências fora da EU e contactos e relações com entidades e organismos estrangeiros; actividades profissionais e cargos desempenhados; antecedentes criminais, contra-ordenacionais e disciplinares; comportamentos diferenciadores.

Estes dados, são, sem sombra de dúvida, dados pessoais no sentido do art. 3.º da Lei da Protecção de Dados Pessoais. Alguns dos dados recolhidos são mesmo dados sensíveis.

Por outro lado, esta Lei é aplicável ao tratamento de dados pessoais que tenham por objectivo a segurança pública, a defesa nacional e a segurança do Estado, sem prejuízo do disposto em normas especiais constantes de instrumentos de direito internacional a que Portugal se vincule e de legislação específica atinente aos respectivos sectores'' (no art. 4.º n.º 7).

Um dos problemas com que se deparou esta CNPD foi o de estabelecer se existiria aqui um tratamento por meios total ou parcialmente informatizados, ou um tratamento por meios não automatizados de dados pessoais contidos em ficheiros manuais ou a estes destinados, situação que cairia no âmbito da Lei nº 67/98, de 26 de Outubro.

No diploma em apreço não se prevê claramente um tratamento por meios informatizados – nada no diploma aponta no sentido da utilização de meios automatizados para seu armazenamento – nem se esclarece se serão constituídos ficheiros manuais com base neles (neste caso sempre seria necessário ter em conta a disposição transitória do art. 50º nº 1 da Lei de Protecção de Dados Pessoais), apesar de se estabelecer no art. 4º nº 3, “que devem ser conservados no GNS os documentos que as (as informações obtidas no procedimento) registem”[1]. Os dados recolhidos servem cumprimento do processo de credenciação que compreende a habilitação, a avaliação e a decisão, e fazem parte do respectivo processo.

 

Todavia, alertou a CNPD para a possibilidade de se pretender realizar um tratamento por meios automatizados, o facto de existir na CNPD um processo relativo ao Gabinete Nacional de Segurança (Proc.129/00) no âmbito do qual esta Comissão procedeu ao registo de um tratamento de dados de que é responsável o Gabinete Nacional de Segurança, com a finalidade de credenciação de pessoas singulares, em graus de classificação de segurança igual ou superior a confidencial ou equivalente, para assegurar o controlo das credenciações de segurança durante a sua validade, e que trata dados “nome completo, profissão/categoria de funcionário/posto militar-ramo, data de nascimento, naturalidade (freg., conc., dist. e país) e nº, data e entidade emissora do BI, BI militar e passaporte”.

Segundo se afirma no âmbito do processo supra mencionado, dos dados recolhidos para a credenciação apenas são tratados automaticamente os dados cujo tratamento foi registado.

Todavia, outros dados são recolhidos: dados relativos aos familiares (em geral, o nome, morada, data de nascimento, profissão ou local onde trabalha) mais próximos (pais, irmão, cônjuge, filhos maiores de 16 anos, sogros), dados relativos a viagens ao estrangeiro, às ocupações registadas nos últimos 10 anos, países estrangeiros onde residiu, outras pessoas com quem compartilhe habitação que não sejam familiares, e ainda dados que, segundo o próprio titular, podem abonar ou constituir obstáculo à credenciação.

Relativamente a estes dados, o Gabinete Nacional de Segurança afirmara no processo de legalização do tratamento que estes outros dados não eram objecto de tratamento automatizado, não tendo o relator desse processo efectuado o seu registo.

 

Se, apesar de tal não resultar do projecto de diploma em apreço, for intenção da Autoridade Nacional de Segurança a futura constituição de um ficheiro manual organizado, ou de um ficheiro automatizado, deve o diploma em apreço sofrer alterações consideráveis, uma vez que é fundamental, na realização de qualquer tratamento de dados pessoais, a obediência aos princípios fundamentais de tratamento de dados previstos na Lei da Protecção de Dados Pessoais (veja-se, v.g. o art. 30º), que exigem que qualquer diploma estabeleça, nomeadamente:

  • A obrigatoriedade de identificar de forma expressa a finalidade do tratamento, que deve ser legítima e determinada, não podendo os dados ser posteriormente tratados para finalidades incompatíveis.
  • O responsável desse tratamento.
  • Os dados, de forma detalhada, que são recolhidos.

Os dados recolhidos terão de ser adequados, pertinentes e não excessivos à finalidade estabelecida. Alerta-se, por isso, para a especial sensibilidade dos dados “antecedentes criminais, contra-ordenacionais e disciplinares”, bem como “comportamentos diferenciadores”.

No primeiro caso, deve ter-se em conta o disposto no art. 8º nº 2 da Lei de Protecção de Dados.

Relativamente aos dados relativos aos “comportamentos diferenciadores” saliente-se o facto de esta informação recolhida não se encontrar devidamente concretizada apontando, de forma vaga, para dados que podem preencher, nomeadamente, as categorias discriminatórias mencionadas pela Constituição no nº 2 do art. 13º. A CNPD considera que este dado deve ser concretizado, e apenas no caso – o que se afigura, em abstracto pouco provável – de, sendo adequado à finalidade, o benefício que do seu conhecimento resulta para a certificação ser maior do que o prejuízo que poderá resultar para o particular da sua inserção numa base de dados, poderá este admitido, caso que o legislador sempre terá de ponderar para cada categoria de dados em concreto.

No caso de pretender criar um tratamento automatizado de dados, o diploma deve ainda indicar a forma de exercício do direito de acesso e de rectificação, bem como a existência de eventuais interconexões de dados. Note-se que as eventuais interconexões de dados devem ser adequadas à prossecução das finalidades legais do tratamento, e não podem implicar discriminação ou diminuição dos direitos, liberdades e garantias dos titulares dos dados, devendo ter em conta o tipo de dados objecto de interconexão.

Este alerta é particularmente importante tanto mais que são recolhidos dados relativos a comportamentos diferenciadores e, por outro lado, se prevê a consulta de bases de dados «que possam fornecer as informações necessárias à avaliação do candidato» para que seja efectuada a avaliação, que consiste, nomeadamente, «na sua confirmação e na recolha oficiosa de outras informações sobre o candidato».

De facto, o art. 10.º n.º 2 do projecto em análise estabelece que serão feitos inquéritos de segurança com o fim de confirmar os dados fornecidos pelo cidadão poderiam implicar, nomeadamente, ''...a consulta de bases de dados que possam fornecer as informações necessárias à avaliação do candidato...''. A CNPD não pode deixar de manifestar o seu desacordo com tal previsão, uma vez que considera que a lei não deve abrir, de forma vaga, absolutamente livre e ilimitada a consulta de qualquer base de dados para verificação das informações prestadas pelo cidadão. Tal procedimento põe potencialmente em causa os direitos fundamentais do cidadão, nomeadamente o seu direito à protecção dos seus dados pessoais.

 

A CNPD entende não poder prever-se uma autorização legal indiscriminada de acesso a qualquer base de dados para confirmação das informações prestadas. Sempre terá de legalmente estabelecer-se quais serão, concretamente, as bases de dados que podem ser consultadas, a finalidade dessa consulta, os dados que podem ser conhecidos em cada caso, devendo estes ser adequados e não excessivos relativamente à finalidade, quais as condições de segurança dessa consulta, o modo como esta se processa, quem poderá efectuá-la, a medidas de segurança adoptadas para garantir que não existirão desvios à finalidade do acesso...

Também o tempo de conservação dos dados não pode ser indefinido, devendo ser conservados apenas durante o período necessário à prossecução das finalidades.

O projecto de diploma já prevê, todavia, alguns aspectos que devem ser salvaguardados, entre outros:

 

A previsão da informação, esclarecimento e consentimento do cidadão para os procedimentos (art. 5.° n.º 1), que no entender da CNPD devem abranger também a recolha e o tratamento de dados pessoais;

A actualização dos dados pessoais, que surge como obrigação do credenciado, mas deveria consistir também numa obrigação da entidade credenciadora;

Note-se ainda que do mero tratamento automatizado de dados não pode resultar uma decisão acerca da credenciação. A Lei da Protecção de Dados, no art. 13.°, dá ao cidadão o direito de não ficar sujeito a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, designadamente a confiança de que é merecedor ou o seu comportamento.

Desta forma, a avaliação mencionada no n.º 2 do art. 9.° do projecto em apreço (nomeadamente: «características psicológicas e de comportamento do candidato, como sejam o sentido do dever, responsabilidade, a lealdade, a discrição, a ponderação, a honestidade, o sentido cívico, com realce para o exercício responsável da cidadania, a situação económica, os hábitos e a reputação») não pode ser feita mediante o recurso exclusivo a dados automatizados.

Do exposto no parágrafo anterior resulta ainda que ao definir-se a finalidade da recolha de dados, a submeter, como o próprio projecto já prevê, à autorização do titular dos dados, deve esta deixar claro que pode a avaliação das condições para a credenciação implicar a feitura da análise prevista no art. 9.° n.º 2.

Mais se considera que a um tratamento automatizado que remeta para pastas com documentos organizados em suporte papel, se aplica a lei de protecção de dados e todas as considerações tecidas neste parecer.

III

Conclusões

 

No seguimento do que foi anteriormente afirmado, salientam-se como principais conclusões as seguintes:

A CNPD alerta que sendo intenção deste diploma a de proceder à constituição de um ficheiro, nomeadamente informatizado, que compreenda os dados referidos no presente diploma, terá o presente projecto de ser alterado em conformidade com as indicações supra referidas.

Pelo diploma em análise, nas condições apresentadas, não considera a CNPD que possa ficar autorizado qualquer tratamento informatizado ou manualmente organizado dos dados em questão.

A CNPD considera também que a lei não deve abrir, de forma vaga, absolutamente livre e ilimitada a consulta de qualquer base de dados pela ANS para verificação das informações prestadas pelo cidadão.

O cidadão titular dos dados tem o direito de não ficar sujeito a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, designadamente a confiança de que é merecedor ou o seu comportamento, pelo que o diploma em apreço deve afastar expressamente tal possibilidade.

Face ao exposto, considera a CNPD que o projecto em referência não cumpre as exigências legais, pelo que deve o diploma, depois de reformulado, voltar à CNPD para emissão de novo parecer. 

 

Lisboa, 19 de Dezembro de 2000

 

Catarina Sarmento e Castro (relatora), Luís Durão Barroso, João Paulo Simões de Almeida, Varges Gomes, Amadeu Guerra, João Labescat  (Presidente)


 

[1] Parêntesis e itálico nosso