Voltar à Página de entradaVoltar à Página de entrada

Pesquisar por palavra         

Français English
Ir para o Sítio do projecto DADUSFormulário de pedido de informaçõesFormulário de apresentação de Reclamações/Queixas
Rua de São Bento n.º 148-3º 1200-821 Lisboa - Tel: +351 213928400 - Fax: +351 213976832 - e-mail: geral@cnpd.pt

Relatorio 1996

PARTE I

Introdução

Situação Nacional

Actividade da CNPDPI junto da CADA

Actividade Internacional

Estatísticas

PARTE II

Orientações da CNPDPI

Âmbito de aplicação da Lei nº 10/91 de 29 de Abril

Recolha e registo de informação

Acesso de dados a terceiros

Informação relativa ao recenseamento eleitoral

Utilização de ficheiro para finalidade compatível

Marketing Directo

Direito à informação, acesso e actualização

PARTE III

DECISÕES DA COMISSÃO

Autorizações

Deliberações

Pareceres

 

Introdução

O Relatório respeitante ao ano de 1996 corresponde ao terceiro ano de actividade da Comissão Nacional de Protecção de Dados Pessoais Informatizados, entidade pública independente, a quem compete controlar o processamento automatizado de dados pessoais.

É nossa intenção contribuir, com a sua publicação e divulgação, para o conhecimento do que tem sido a interpretação e aplicação, por parte da autoridade nacional de controlo de dados pessoais, dos mecanismos da Lei n.º 10/91, de 29 de Abril. Pela primeira vez também, iremos disponibilizar o Relatório de 1996 na Internet, à semelhança do que já acontece com os anteriores( 1994 e 1995 ).

A aplicação concreta dos princípios da lei de protecção de dados aos vários domínios (saúde, justiça, banca, seguros, informação e negócios, marketing, entre outros) tem demonstrado as dificuldades de interpretação do texto da actual lei. Esta, elaborada na sua essência em 1991, e pese embora as alterações de 1994, tem-se revelado, nalguns casos, desajustada ou insuficiente.

Optámos por inserir apenas a informação essencial, que melhor pudesse espelhar as orientações da Comissão, consolidadas nas suas Autorizações, Deliberações e Pareceres.

Os Pareceres da Comissão, emitidos com base na Lei n.º 10/91, de 29 de Abril, poderão constituir um contributo doutrinal para a construção de uma nova lei de protecção de dados, adaptada à Directiva Europeia relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados ( Directiva 95/46/CE de 24 de Outubro de 1995 ) e consentânea com a evolução técnica e jurídica no tratamento da informação.

A nível nacional, o ano de 1996 fica marcado por uma clara afirmação na vontade de conceber e construir uma sociedade mais informada. No entanto, as implicações institucionais e jurídicas da sociedade de informação estão longe de concretização, em todas as suas vertentes, incluindo as que dizem respeito à privacidade.

A Comissão apresentou, no âmbito do processo de Revisão Constitucional, algumas propostas visando a alteração do artigo 35º da Constituição da República sobre a utilização da informática, com vista à manutenção de um elevado nível de protecção de dados, compatível com a evolução tecnológica.

A Comissão foi recebida por Sua Excelência o Presidente da República, Dr. Jorge Sampaio, a quem manifestou algumas das suas preocupações e propostas quanto à situação nacional e internacional, neste domínio.

A CNPDPI esteve presente na audição sobre Entidades Públicas Independentes organizada pela Comissão Parlamentar Direito Liberdades e Garantias.

Mantiveram-se, no ano de 1996, as razões que levaram a que muitas empresas e entidades públicas não procedessem à comunicação dos seus ficheiros de dados pessoais à Comissão. Falta de informação, desconhecimento da lei, interpretação extensiva das excepções à obrigação de comunicação são algumas das situações detectadas.

Na Europa, o percurso de aproximação das legislações nacionais teve o seu início no seio do Grupo de Protecção de Dados previsto na Directiva. Ainda no âmbito europeu, foram feitos importantes avanços na construção e funcionamento da Europol, cujo papel e acção deverão ser consolidados com a ratificação da Convenção por todos os Estados-Membros.

O aprofundamento de mecanismos formais e informais de cooperação policial, onde a análise da informação aparece como aspecto estratégico de combate e prevenção à grande criminalidade, em particular ao tráfico de droga, deve continuar a ter um acompanhamento das instituições democráticas na União e nos Estados. É também importante intensificar o trabalho comum já iniciado pelas Comissões de Protecção de Dados dos vários países, no acompanhamento dos diferentes sistemas de informação policial ( Schengen, Europol, Interpol).

Revela-se igualmente necessário melhorar os estudos e o trabalho conjunto em relação às questões da privacidade no mercado global da informação e da comunicação, onde a Internet é veículo preponderante. Num mundo composto de mudança, o progresso deve ser também liberdade, democracia e direito.

 

1. Situação Nacional

O ano de 1996 foi um ano de evolução no caminho da sociedade da informação. Iniciaram-se os trabalhos para a elaboração do Livro Verde para a sociedade da informação, desenvolveram-se os serviços de Internet e ampliaram-se, na administração pública, os processos de tratamento e difusão da informação, designadamente com a criação de páginas na Internet.

Esta evolução positiva para a sociedade da informação em Portugal tem associadas múltiplas questões, algumas das quais não estudadas ou regulamentadas, ao nível da protecção de dados pessoais, da segurança da informação, da interconexão de dados, da protecção de programas, da criminalidade informática, da protecção jurídica das bases de dados.

O Relatório, ao descrever a actividade da autoridade de controlo, reflecte estas problemáticas, retratando em parte as mudanças ocorridas neste domínio em Portugal.

No exercício das competências que estão atribuídas à CNPDPI ( artigo 8º da Lei n.º. 10/91, de 29 de Abril), tem sido actividade fundamental desta Comissão a emissão de Pareceres, Autorizações, Registos e Deliberações sobre Queixas.

A acção desta Comissão pautou-se ainda pela participação no debate de revisão constitucional, no que diz estritamente respeito ao artigo 35º da Constituição, para o qual propôs alterações.

Também as fiscalizações efectuadas constituíram um importante instrumento do nosso trabalho que permitiu a verificação e o controlo da legalidade das bases de dados.

Neste Relatório dar-se-á ainda conta da nossa participação na Comissão de Acesso aos Documentos Administrativos e nas instâncias comunitárias e internacionais.

Numa breve apreciação, poderemos dizer que, apesar da continuação do processo de legalização de bases de dados junto da Comissão, está ainda muito aquém do perspectivado, o que denota um objectivo incumprimento da lei por parte de instituições públicas e entidades privadas.

Tão ou mais importante do que o cumprimento da obrigação de declaração junto da Comissão dos tratamentos informatizados é a adopção material das normas legais atinentes à protecção de dados. Nesta matéria, poderemos dizer que no geral, na administração pública, não existiram os mesmos problemas que vieram a ser detectados nas entidades privadas, ainda habituadas a uma desregulamentação quanto à protecção de dados.

O número de queixas e de participações ao Ministério Público, assim como os números apresentados no balanço da criminalidade informática, a cargo da Polícia Judiciária, estão longe de, por si só, corresponderem à realidade do comércio informático.

O número de Pareceres emitidos pela Comissão durante o ano de 1996, a que se somam os de 1995, não tiveram expressão na aprovação e consequente publicação, pelo Governo, dos respectivos diplomas que deveriam regular as bases de dados sensíveis. Claros foram os atrasos na elaboração legislativa. Cabe salientar que foram entretanto aprovados ( já em 1997) alguns daqueles diplomas, que diziam respeito às áreas da Saúde, Finanças e Justiça.

A CNPDPI fez sentir ao Governo, através da audiência havida com Sua Excelência o Ministro da Presidência, a urgência em alterar os procedimentos na administração. A Comissão apresentou também ao Governo as principais áreas que, no nosso entendimento, se encontram ainda sem o devido enquadramento legal e a lista de entidades públicas que regularizaram os seus ficheiros.

Quanto às queixas, que aumentaram em 1996, o seu número (35) evidencia ainda que a informação ao cidadão é insuficiente, e que não existe uma sensibilidade generalizada em matéria de direitos face à informática.

Em contrapartida, revela-se importante a mediatização das queixas apresentadas junto da várias associações, particularmente de consumidores ( como a Acop e a Deco).

Papel imprescindível é o da comunicação social. Os "casos-exemplo" que vieram a público sobre a criminalidade informática, designadamente os acessos indevidos e as utilizações abusivas de dados pessoais, constituem sempre um alerta tanto no campo das obrigações, como no dos direitos.

Outro dado a reter do Relatório é o da diminuição de o número de Registos, inevitável face ao crescimento infeccionado verificado em 1995, data em que terminou o prazo para a legalização dos ficheiros. Contudo, é de salientar que aumentou o número de autorizações entradas e emitidas pela Comissão, para sectores que ainda não se encontravam devidamente legalizados.

 

1.1. O processo de revisão da Constituição da República

O desencadeamento do processo de revisão constitucional levou a Comissão a manifestar, junto da Assembleia da República, a necessidade de equacionar e ponderar as soluções do artigo 35º relativo à utilização da Informática.

Os projectos de revisão constitucional apresentados pelo PS e PCP incluíram algumas alterações ao artigo 35º, o que assegurava uma apreciação pela Comissão Eventual de Revisão Constitucional (CERC), e uma possível modificação pelo Plenário, de acordo com as regras constitucionais de revisão.

Por seu lado, o Presidente da CERC, Dr. Vital Moreira, entendeu solicitar o Parecer da Comissão relativamente às propostas adiantadas por aqueles dois partidos.

A CNPDPI considerou dever propor uma reformulação geral daquele artigo com base nos seguintes princípios:

  • a indispensabilidade de manter um nível adequado de protecção de dados, em consonância com os outros dispositivos constitucionais, face às novas tecnologias de informação e às amplas possibilidades de relacionamento e fluxo de informação;

  • a necessidade de que o dispositivo constitucional continue a funcionar como norma garantística dos direitos fundamentais na área informática, sem prejuízo da desejada evolução no tratamento da informação, que facilite o dia-a-dia dos cidadãos;

  • a harmonização das legislações dos países da União Europeia, com a transposição da Directiva 95/46/CE, relativa à protecção de dados e à livre circulação de dados, de cuja aplicação resultará a extensão do regime de direitos às informações pessoais não automatizadas, desde que estruturadas;

  • uma melhor articulação constitucional com o regime de acesso à documentação administrativa.

 

O Parecer da Comissão e as propostas apresentadas pelos Partidos encontram-se no Quadro Comparativo que se segue.

 

Sugestões de alteração do artº 35º da Constituição da República Portuguesa

Redacção actual:

Proposta de alteração:

N.º l - Direito de acesso

"1 - Todos os cidadãos têm o direito de tomar conhecimento dos dados constantes de ficheiros ou registos informáticos a seu respeito e do fim a que se destinam, podendo exigir a sua rectificação e actualização, sem prejuízo do disposto na lei sobre segredo de Estado e segredo de Justiça".

1- Todos os cidadãos têm o direito de tomar conhecimento do tratamento informático de dados que lhe respeitem, bem como da finalidade desse tratamento, podendo exigir a rectificação ou a actualização desses dados, nos termos previstos na lei.

N.º 2 - Interconexão de ficheiros

"2. É proibido o acesso a ficheiros e registos informáticos para conhecimento de dados pessoais relativos a terceiros e respectiva interconexão, salvo em casos excepcionais previstos na lei."

2. A lei determina as condições em que pode ser permitida a interconexão de dados pessoais e o acesso a dados de terceiros.

N.º 3 - Dados sensíveis

"3. A informática não pode ser utilizada para tratamento de dados referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa ou vida privada, salvo quando se trate do processamento de dados estatísticos não individualmente identificáveis".

3. O tratamento automatizado de dados referentes a origem racial ou étnica, convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa ou intimidade da vida privada só pode ser efectuado em condições de não discriminação, com consentimento expresso do titular dos dados ou quando por este tornados públicos, ou ainda em condições excepcionais definidas lei ou autorizadas pela autoridade de controlo por esta instituída.

 

Redacção actual:

Proposta de alteração:

N.º 4 - Dados pessoais e condições do seu tratamento

"4. A lei define o conceito de dados pessoais para efeitos de registo informático, bem como de bases e bancos de dados e respectivas condições de acesso, constituição e utilização por entidades públicas e privadas."

4. A lei define o conceito de dados pessoais, bem como as condições a que deve obedecer o seu tratamento por meios total ou parcialmente automatizados ou ainda por meios não automatizados quando estruturados em ficheiros ou a eles destinados.

N.º 5 - Número nacional

"5. É proibida a atribuição de um número nacional único aos cidadãos.

Não se faz qualquer proposta de alteração: trata-se de uma matéria que tem suscitado alguma polémica, mas não se vê que a proibição constitucional tenha causado problemas de maior.

N.º 6 - Fluxos transfronteiras

"6. A lei define o regime aplicável aos fluxos de dados transfronteiras, estabelecendo formas adequadas de protecção de dados pessoais e de outros cuja salvaguarda se justifique por razões de interesse nacional."

Não se propõe qualquer alteração ao n.º 6 relativo a fluxos de transfronteiras de dados. A Directiva proíbe no seu artigo 1º qualquer restrição à livre circulação de dados pessoais entre Estados-membros. É uma proibição que deverá ser retomada na lei ordinária mas que o n.º 6 não parece prejudicar.

Pelo que toca à transferência de dados pessoais para países terceiros o artigo 25º da Directiva estabelece um certo número de princípios relativos à necessidade de protecção adequada nesses países terceiros, o que não parece também colidir com a actual redacção do n.º 6.

 

Processo de Revisão Constitucional (PS)

Artigo 35.º

(…)

(…)

3- A informática não pode ser utilizada para tratamento de dados referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada ou origem étnica, salvo consentimento pessoal expresso daqueles a quem os dados respeitam e sem prejuízo do n.º2, ou quando se trate de processamento de dados estatísticos não individualmente identificáveis.

(…)

7- (novo) As disposições do presente artigo são aplicáveis , nos termos da lei, aos ficheiros manuais.

Processo de Revisão Constitucional (PCP)

Artigo 35.º

Utilização da informática

  1. (…)

  2. Os cidadãos têm direito a obter, nos termos da lei, mandado judicial de acesso aos dados informáticos nos termos do número 1, no caso de lhes ser recusado esse acesso.

  3. (Actual n.º2).

  4. (Actual n.º3).

  5. (Actual n.º4).

  6. (Actual n.º5).

  7. (Actual n.º6)

 

1.2. Balanço Geral

 

1994

1995

1996

Pedidos de Parecer

11

25

24

Pedidos de Registo

78

734

310

Pedidos de Autorização

58

97

122

Queixas/Petições/Averiguações

6

26

35

 

 

1.3. Áreas tratadas

Foram submetidos à Comissão no decurso de 1996 vários pedidos de legalização de ficheiros, respeitantes às mais diversas áreas. No entanto, alguns deles merecem um particular destaque, quer pela sua quantidade, quer pelo conteúdo das decisões. Também em matéria de queixas, petições e averiguações, há a registar um acréscimo relativamente ao ano de 1995, o que é manifestamente significativo de uma maior consciencialização por parte dos cidadãos dos seus direitos, exigindo, por isso, uma maior intervenção da CNPDPI.

Em relação ao Registo de ficheiros, assume especial importância a sua legalização por parte das autarquias locais e das escolas de condução, em resultado de protocolos assinados com as estruturas representativas dos sectores.

Em matéria de Autorizações emitidas pela Comissão, que envolvem o tratamento de dados sensíveis por entidades privadas, os Seguros foram o sector líder na legalização dos seus ficheiros, logo seguido do sector bancário e financeiro. Pela sua importância é de evidenciar também as autorizações relativas ao sector de informações e negócios.

De salientar as Deliberações relativas aos ficheiros das Telecomunicações que pelos tratamentos em causa, pelo tipo de dados registados, pela possibilidade de comunicação e de inter-relacionamento da informação e ainda pelas condições de exercício do direito de acesso a dados de terceiro ultrapassaram a mera legalização e foram objecto de decisão autónoma que fixou os princípios de funcionamento daquele sector relativamente à de protecção de dados pessoais.

No que diz respeito a Pareceres, no âmbito da audição prévia obrigatória da Comissão, de projectos de regulamentação de bases de dados sensíveis tratados por serviços públicos, a CNPDPI emitiu dez pareceres que incidiram essencialmente sobre as áreas da Justiça, Finanças e Saúde.

No ano de 1996 não foram aprovados pelo Governo os diplomas a que se refere o artº 17º da Lei n.º 19/91 , o que significou um claro atraso na legalização dos ficheiros da Administração Pública, que contêm dados sensíveis, em prejuízo da necessária transparência que essa publicação visa salvaguardar. O Ministro da Presidência foi informado desta situação pela CNPDPI.

Especificamente no domínio da Saúde, uma decisão desta Comissão - Deliberação 68/96 - alerta o Ministério da Saúde para a preocupante situação de ilegalidade face à não legalização da quase totalidade dos ficheiros existentes nos vários estabelecimentos de saúde.

 

1.4 Queixas/Averiguações

Verificou-se, no ano de 1996, um acréscimo de queixas/averiguações relativamente ao ano de 1995. Este aumento teve como fundamento uma maior consciência dos cidadãos relativamente aos seus direitos, mas também num maior inter-relacionamento com as estruturas representativas dos consumidores. Isto mesmo se pode observar pela origem da queixa:

Apresentadas por particulares

17

Apresentadas por Associações de Consumidores

5

Remetida pela Procuradoria de Justiça

1

Apresentada pela Administração Pública

1

Os cidadãos dirigem-se, cada vez mais, à Comissão para apresentarem as sua queixas, pedirem esclarecimentos sobre os seus direitos ou solicitarem a sua intervenção na averiguação de algumas situações menos claras.

As averiguações da Comissão têm sido desencadeadas na sequência de informações que chegam ao seu conhecimento, quer através dos órgãos de comunicação social, quer através de petições suscitados pelos particulares.

Para melhor apreciação da matéria remetemos para o quadro seguinte, onde se pode analisar não só o sector de actividade contra quem recaiu a queixa bem como o seu objecto e resultado

QUADRO de QUEIXAS/AVERIGUAÇÕES EM 1996

 

Sector de Actividade

Queixoso/ Origem

Objecto da Queixa

Resultado

Presidência Conselho Ministros

Averiguação da Comissão

Apagamento indevido de dados informáticos electrónicos da rede Governamental.

Arquivado. Os ficheiros não se enquadram no âmbito da Lei 10/91.

Empresa de Fornecimento de Serviço Público

Averiguação da Comissão

Utilização de dados com desvio de finalidade.

Participação ao Ministério Público.

Empresa prestadora de cuidados de saúde

Averiguação da Comissão

Envio de dados de saúde para os E.U.A.

Proibiu o tratamento de dados sobre origem racial . Limitou o envio de dados aos casos em que sejam anonimizados.

Ministério da Saúde (Hospital)

Averiguação da Comissão

Tratamento indevido de dados de saúde. Ficheiro não legalizado, acesso indevido a dados.

Arquivado. Fixado prazo para a legalização dos ficheiros. Não se provou que houvesse comunicação indevida de dados.

Instituição Financeira

Exposição de particular / Provedoria de Justiça

Recusa de concessão de crédito.

Não foi apresentada queixa por parte dos titulares.

Marketing

Averiguação da Comissão

Recolha e transmissão indevida de dados por parte de estabelecimentos de ensino superior.

Não foi apresentada qualquer queixa pelos titulares dos dados. Foram informados os estabelecimentos de ensino que não podiam ceder os dados.

Empresa de consumo Electrodomésticos

Associação de consumidores

Recolha ilegal de dados pessoais.

Não se verifica recolha indevida de dados. Foram sugeridas melhorias, nomeadamente quanto ao direito a informação.

Instituição Financeira

Particular

Tratamento indevido de dados. Acções Cíveis.

Arquivado. Foi considerado que a informação tratada é pública.

Associação Política

Particular

Tratamento de dados em relação a não associados.

Tratou-se de situação pontual, isolada. Os dados já foram eliminados. Arquivado o processo.

 

Sector de Actividade

Queixoso/ Origem

Objecto da Queixa

Resultado

Partido Político

Particular

Pendente

Empresa de Marketing. Venda por correspondência.

Particular

Tratamento indevido de dados pessoais e sem autorização da Comissão.

Participado ao Ministério Público.

Laboratório Farmacêutico.

Associação de Consumidores

Recolha indevida de dados.

Os dados foram adquiridos a empresa de Marketing. A base de dados dessa empresa está legalizada junto da CNPDPI.

Empresa/Laboratório farmacêutico.

Associação de Consumidores

O documento de recolha não cumpre o artº 22º da Lei 10/91.

Não se provou que os dados se destinavam a tratamento automatizado. Se o forem o procedimento deverá ser legalizado junto da CNPDPI.

Associação de utilidade pública.

Particular

Pedido de eliminação.

Assegurado o direito de eliminação. Arquivado.

Empresa de Informações e Negócios.

Particular

Inclusão indevida no ficheiro de cheques sem provisão.

Confirmação dos factos. Advertência de que a inclusão em ficheiros dará comunicação ao M.P. em situação idêntica.

Empresa de Marketing.

Particular

Contacto com o objectivo de venda de time-sharing.

Não há tratamento automatizado de dados pessoais.

Empresa Industrial de Calçado.

Averiguação da Comissão.

Controle de movimentos no interior da empresa. Registo do tempo nas casas de banho.

Declarado ilegal o tratamento por violação da "vida privada". Ordenada a interrupção do ficheiro. Houve recurso para o Supremo Tribunal Administrativo.

Empresa Industrial de Calçado.

Averiguação da Comissão

Controle de movimentos no interior da empresa. Registo do tempo nas casas de banho.

Declarado ilegal o tratamento por violação da "vida privada". Ordenada a interrupção do ficheiro. Houve recurso para o Supremo Tribunal Administrativo.

Empresa Industrial de Calçado.

Averiguação da Comissão

Controle de movimentos no interior da empresa. Registo do tempo nas casas de banho.

Declarado ilegal o tratamento por violação da "vida privada". Ordenada a interrupção do ficheiro. Houve recurso para o Supremo Tribunal Administrativo.

 

Sector de Actividade

Queixoso/ Origem

Objecto da Queixa

Resultado

Empresa Industrial de Calçado.

Averiguação da Comissão

Controle de movimentos no interior da empresa. Registo do tempo nas casas de banho.

Declarado ilegal o tratamento por violação da "vida privada". Ordenada a interrupção do ficheiro. Houve recurso para o Supremo Tribunal Administrativo.

Empresa Industrial de Calçado.

Averiguação da Comissão

Controle de movimentos no interior da empresa. Registo do tempo nas casas de banho.

Declarado ilegal o tratamento por violação da "vida privada". Ordenada a interrupção do ficheiro. Houve recurso para o Supremo Tribunal Administrativo.

Empresa Industrial de Calçado.

Averiguação da Comissão

Controle de movimentos no interior da empresa. Registo do tempo nas casas de banho.

Declarado ilegal o tratamento por violação da "vida privada". Ordenada a interrupção do ficheiro. Houve recurso para o Supremo Tribunal Administrativo.

Empresa de Informação e Negócios.

Particular

Recolha e tratamento indevido de dados.

Pendente

Empresa de Informação e Negócios.

DECO

Inclusão indevida na base de dados de cheques sem provisão.

O cidadão não estava incluído, nem nunca esteve, na base de dados. Arquivado.

Companhia de Seguros

Particular

Comunicação indevida de dados a empresas do Grupo.

Não há comunicação indevida. Arquivado.

Empresa de Comunicação social.

Associação dos consumidores

Cedência indevida de dados. Deficiências no impresso de recolha.

Não houve violação da lei. Não se provou que os dados tenham sido cedidos.

Empresa de vendas de automóveis+UNICRE

Particular

Pendente.

Instituição Financeira

Particular

O impresso de recolha de dados não satisfaz as exigências do artº 22.

Os termos do formulário já foi aprovado pela CNPDPI no processo de legalização do Banco. Arquivado.

Empresa de Marketing

Particular

Pendente.

Empresa de Informações e Negócios

Particular

Conservação de dados. Actualização e eliminação.

Foi determinada a eliminação dos dados. Provimento da queixa.

Sector de Actividade

Queixoso/ Origem

Objecto da Queixa

Resultado

Empresa de Marketing Banco

Particular

Recolha indevida de dados.

Uns dados foram recolhidos antes da entrada em vigor da lei; outros foram fornecidos pelo titular. Arquivado.

Empresa de Calçado

Ministério do Emprego

Controlo de movimento interno na empresa. Registo do tempo gasto nas casas de banho.

Declarado ilegal o tratamento. Ordenada a interrupção do ficheiro (Houve recurso da deliberação para o S.T.A.).

Banco/ Inst. Financeira

Particular

Violação do sigilo bancário.

A informação foi fornecida ao co-titular da conta. Arquivado.

Empresa de Telecomunicações

Particular

Recolha indevida de dados.

Os dados não são tratados automaticamente.

Marketing

Particular

Pedido de eliminação. Exercício do direito de eliminação.

Arquivado. Assegurado o direito de eliminação.

 

1.5 Medidas específicas para a legalização de ficheiros no sector privado

A Comissão empreendeu várias acções de sensibilização, no sentido de alertar os responsáveis dos ficheiros para as questões relativas à protecção de dados.

Atendendo a que continua a haver sectores de actividade que, de um modo generalizado ainda não cumpriram a lei, optou-se por apelar à colaboração e envolvimento das associações representativas de cada sector de actividade, sem prejuízo das notificações individualizadas dirigidas aos responsáveis dos tratamentos informáticos.

Neste sentido realizaram-se vários encontros com associações sectoriais, nomeadamente com a Associação Portuguesa de Empresas e de Informação e Negócios, com a ASFAC- Associação de Sociedades Financeiras para a aquisição de Crédito e com a Direcção - Geral de Aviação Civil, interlocutora junta das Companhias Aéreas a operar em Portugal.

Estas acções tiveram um balanço positivo já que delas resultou a legalização de um número significativo de ficheiros.

 

1.6 Códigos de Conduta

A Directiva 95/46/CE, de 24/10/95, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, consagra, no seu artigo 27º, nas medidas a promover pelos Estados-membros, para a boa execução das disposições nacionais, a possibilidade de elaboração de Códigos de Conduta.

Dentro deste espírito, a CNPDPI apreciou na sua Deliberação n.º 36/96 o Código de Conduta dos Profissionais de Marketing Directo considerando que este respeita genericamente o disposto na Lei e louvando este tipo de iniciativas. Esta solução é tanto mais importante quanto o Código de Conduta é um instrumento de auto-regulação que vincula, na forma de aceitação voluntária , as empresas de marketing directo representadas pela Associação de Marketing Directo.

O Código de Conduta tem especial relevância na área do marketing directo, devido à gestão de significativo volume de dados, com amplas possibilidades de comunicação.

Este Código veio contribuir para uma clarificação pública da forma como são utilizados os dados, bem como, para que os direitos de acesso e de eliminação possam ser exercidos mais facilmente pelos cidadãos.

Nestes pressupostos, o Código consagra o modo como devem ser recolhidos os dados - de forma lícita e não enganosa -, o direito de informação da existência de ficheiros e da sua finalidade, incluindo a informação do direito à eliminação, o princípio da actualização, as condições para a recolha indirecta dos dados, o compromisso de não tratamento de dados sensíveis, a existência de listas de recusas que impedem a cedência de dados a terceiros, as condições de segurança e de comunicação de dados, as formas de colaboração que pretendem desenvolver com a Comissão.

 

1.7 Regras a considerar na legalização dos ficheiros de mala directa

Ainda na área do marketing directo, a Comissão fixou, na sua Deliberação 75/96, normas internas de aplicação aos pedidos de legalização de ficheiros utilizados para mala directa. Atendendo à sua especial importância, foi publicada no Diário da República n.º 25/97, II Série, de 30 de Janeiro de 1997.

Nesta Deliberação, a CNPDPI estabeleceu regras de crucial valor quanto à recolha de dados e ao direito de informação, bem como à cedência de dados a terceiros. Assim, a Comissão determinou a obrigatoriedade de informar o titular dos dados sempre que estes sejam recolhidos sem o seu conhecimento. Essa informação deverá ser dada na primeira utilização do seu nome, garantindo-se ao titular o direito de se opor à utilização dos seus dados pessoais.

Também quanto à cedência de dados a terceiras entidades, a CNPDPI estipulou que o titular dos dados seja informado da intenção do responsável do ficheiro de fornecer os seus dados pessoais a terceiros, permitindo-lhe deste modo a possibilidade de manifestar a sua recusa.

Nesta Deliberação, ficou igualmente fixado pela Comissão o prazo máximo de 90 dias para eliminação de dados pessoais, caso seja essa a vontade expressa pelo seu titular no exercício dos direitos que lhe assistem.

1.8 Acções de Fiscalização

A CNPDPI prosseguiu no decurso de 1996 as suas acções de fiscalização. Relativamente ao ano de 1995, verificou-se um alargamento do âmbito das fiscalizações. Estas não se limitaram à verificação do funcionamento dos ficheiros no seguimento de queixas apresentadas, mas resultaram também de intervenções de iniciativa própria em entidades públicas e privadas, para apurar da conformidade entre os instrumentos de legalização e as aplicações informáticas que procedem ao tratamento automatizado de dados pessoais.

Foram levadas a cabo, ao nível dos serviços públicos, acções de fiscalização na PSP, na GNR, no Serviço de Estrangeiros e Fronteiras (SEF) e no Hospital Curry Cabral.

Quanto a entidades privadas, as acções de fiscalização incidiram maioritariamente no sector financeiro, no sector de informação e negócios e no sector de marketing directo.

Na sequência destas acções de fiscalização, a CNPDPI fez três participações ao Ministério Público.

 

2. Actividade da CNPDPI junto da Comissão de Acesso aos Documentos Administrativos

A Comissão de Acesso aos Documentos Administrativos é a entidade pública independente, que assegura o direito de acesso, de acordo com a Lei n.º 65/93, de 26 de Agosto. Entre os seus membros, inclui um representante designado pela Comissão de Protecção de Dados, actualmente o Dr. João Labescat.

Durante o ano de 1996, e ao contrário do que seria desejável, não se alterou o quadro do funcionamento da Comissão de Acesso. Mantiveram-se os problemas quanto à data das Reuniões Plenárias, que, por coincidirem com as da CNPDPI, dificultou a sua efectiva participação nas sessões. Este problema vem-se arrastando desde a constituição da CADA.

Da actividade que se desenvolveu cabe ressaltar :

  • a comunicação sobre o direito de acesso na Lei n.º 10/91 e na Lei n.º 65/93, numa acção de esclarecimento para responsáveis nos vários Ministérios e organismos públicos

  • a contribuição para o Relatório da CADA já publicado, referente aos anos de 1994/95.

  • o representante da CNPDPI foi Relator de nove Pareceres dos 87 aprovados (ver quadro e composição da CADA em 1996).

Dos Pareceres, a cargo do Relator, cabe destacar os seguintes pontos principais :

a) a consideração de que as actas das reuniões públicas e não públicas, dos órgãos autárquicos são, pela sua própria natureza, documentos administrativos, independentemente do suporte técnico utilizado. O direito de acesso abrange também os registos sonoros ou gravações das reuniões, sendo por isso acessíveis a todos os cidadãos.

b) quanto à aplicação da Directiva do Conselho n.º 90/313/CEE de 7 de Junho, relativa à liberdade de acesso à informação em matéria de ambiente, conclui-se que a lei de acesso ( Lei n.º 65/93 ) é mais ampla que a Directiva Europeia quanto ao direito de acesso, pelo que não pode a administração recusar acesso a documentos com fundamento naquela Directiva, quando tal resulte numa diminuição do direito consagrado na legislação nacional.

c) o dado "morada", reapreciado à luz da lei de acesso, deve ser considerado, para efeitos desta lei, e quando inserido em documento administrativo, como um dado não nominativo, por não envolver um juízo de valor, uma apreciação ou estar inserido na intimidade da vida privada.

d) a conclusão de que o acesso a listas de antiguidade e de assiduidade de funcionários ou outros titulares de cargos públicos pode ser exercido a qualquer momento, por todos que o requeiram, independentemente da afixação ou publicação obrigatória daquelas listas, em prazo determinado, com base em legislação especial.

e) o princípio de que os elementos e estudos detidos pelo Ministério das Finanças, quanto à lei de Finanças Locais, são documentos administrativos, não cabendo, contudo, à administração, com base na Lei n.º 65/93, elaborar estudos ou agregar elementos, mesmo com base em documentação existente.

 O texto integral destes Pareceres está disponível na Internet, na página da CADA.

3. Actividade Internacional

A constituição formal, em Janeiro de 1996, do Grupo de Protecção de Dados previsto na Directiva 95/46/CE do Parlamento e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, foi um dos elementos marcantes na actividade internacional no âmbito da protecção de dados. Pela primeira vez, a União Europeia constituiu um Grupo que irá acompanhar a implementação das legislações nacionais, com competências próprias na definição de acções comuns, no domínio da aplicação da Directiva.

A livre circulação de dados pessoais para outros países, princípio já aplicável a nível nacional para os estados signatários da Convenção 108 do Conselho da Europa, assim como, a crescente liberalização do comércio e o desenvolvimento das redes de comunicação global, como a Internet, apelam a uma maior cooperação internacional.

A Comissão, na impossibilidade de acompanhar todas as iniciativas que nestas matérias ocorreram a nível europeu, centrou as suas prioridades na participação no Grupo de Protecção de Dados, na presença na Conferência Europeia de Comissários e na Conferência Internacional, no acompanhamento de grupos específicos de âmbito europeu (Internet e Telecomunicações), na intervenção na Autoridade de Controlo Comum de Schengen e no Grupo Polícias, que tem dirigido a sua acção principal para a Europol.

Entendemos ser útil traçar, em linhas gerais, o que foi a actividade concreta destes Grupos.

 

3.1 Conferência dos Comissários Europeus de Protecção de Dados

A Conferência anual dos Comissários Europeus de Protecção de Dados tem vindo a afirmar-se como ponto de encontro e de balanço das iniciativas nacionais, traçando igualmente as estratégias comuns. É, por isso, um momento importante de troca de informações e de tomada de decisões. A constituição de um secretariado permanente, este ano a cargo da Comissão inglesa, revelou-se útil na organização das iniciativas e na elaboração, pela primeira vez, de um boletim de informação mensal.

A contrario se dirá que são ainda pequenos os passos dados quanto à definição de acções comuns, ressaltando nas prioridades de cada delegação as matérias com maior peso, na circunstância, a nível nacional.

A Conferência da Primavera de 1996 decorreu em Abril, em Manchester, Inglaterra.

Os Comissários Europeus deram conta das perspectivas de transposição da Directiva. Alguns países previam a transposição no decurso do ano de 1997 (Áustria, França, Holanda). Outros consideram haver um significativo atraso nos trabalhos de transposição ( Dinamarca, Irlanda, Luxemburgo, Espanha e Suécia). A transposição da directiva, em Portugal, passa pela revisão da Constituição da República.

Reiterou-se a Resolução de Copenhaga que se pronuncia sobre a necessidade de criação de uma autoridade de controlo a nível da União Europeia, propondo-se a sua adesão formal à Convenção 108 do Conselho da Europa, como forma de garantir a protecção de dados pessoais pelas instituições da União Europeia.

Foi feito um balanço do Grupo de Trabalho para as Redes e a Internet, salientando-se a indispensabilidade do estabelecimento de relações mais estreitas com outras organizações internacionais, tais como a OCDE, e o estudo de questões técnicas e jurídicas que se colocam nas redes e serviços de comunicações.

Foram apreciadas as primeiras conclusões do trabalho de levantamento de legislação e de harmonização, no âmbito do crédito ao consumo, designadamente quanto a informações positivas e negativas, informações sobre negócios comerciais de um particular, classificação obrigatória de informações de crédito, direito de acesso e utilização dos dados para outros fins.

A introdução de técnicas criptográficas bem como as possibilidades de anonimização dos dados nas redes e sistemas de informação, como forma de reforçar a protecção da vida privada, são questões que mereceram a atenção de algumas delegações e sobre as quais os Comissários Europeus manifestaram o seu acordo, no sentido de continuar a recolher toda a informação sobre o desenvolvimento dessas técnicas, elaborar projectos- piloto e analisar os problemas jurídicos que se podem suscitar.

Foram aprovadas duas declarações:

  • Declaração sobre a Europol, a transmitir ao Presidente do Conselho de Ministros da Justiça e Assuntos Internos da EU.

Esta declaração manifesta a necessidade urgente de instituição da Autoridade Provisória de Controlo, prevista no artigo 24º da Convenção, no período que antecede a entrada em vigor da referida Convenção, bem como a necessidade de, atempadamente, os Comissários Europeus serem informados dos requisitos e especificações funcionais, com vista ao desenvolvimento do sistema de Informação Europol, de forma a verificarem, antecipadamente, a sua adequação aos princípios da protecção de dados pessoais estabelecidos na Convenção.

  • Declaração sobre a proposta modificada de Directiva do Parlamento e do Conselho, relativa à protecção dos dados pessoais e da vida privada no contexto das redes digitais de telecomunicações, nomeadamente a rede digital com integração de serviços (RDIS) e as redes móveis digitais, que será transmitida à DG XIII e à DG XV.

Esta declaração regista com agrado as alterações introduzidas na Directiva de Telecomunicações referentes à protecção de dados pessoais e lamenta o facto de não terem sido tomadas em conta as declarações dos Comissários Europeus de Dezembro de 1994 e 1995, assim como, considera que devem ser melhoradas algumas das suas disposições, nomeadamente, o estabelecimento expresso na Directiva do princípio da finalidade.

Foi referida, ainda, a insuficiência de normas de protecção de dados na UE, no âmbito do Sistema de Informação Aduaneiro.

 

3.2. Grupo de Protecção das Pessoas no que diz respeito ao Tratamento de Dados Pessoais

A directiva 95/46/CE do Parlamento e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, prevê, no seu artigo 29º, a existência do Grupo de Protecção das Pessoas no que diz respeito ao tratamento de dados pessoais, com carácter consultivo, composto por um representante da autoridade de controlo de cada Estado-membro e por um representante da Comissão Europeia.

Este Grupo tem, entre as suas atribuições, analisar as questões relativas à aplicação das disposições nacionais tomadas nos termos da Directiva, com vista a contribuir para a sua aplicação uniforme. Cabe-lhe dar parecer à Comissão Europeia sobre o nível de protecção na Comunidade e nos países terceiros. Compete-lhe aconselhar a Comissão Europeia sobre quaisquer projectos de alteração da Directiva ou projectos de medidas adicionais ou específicas a tomar para proteger os direitos e liberdades das pessoas singulares, no que diz respeito à protecção de dados, bem como sobre quaisquer outros projectos de medidas comunitárias com incidência sobre esses direitos e liberdades.

Cumpre-lhe ainda dar parecer sobre os códigos de conduta elaborados a nível comunitário.

A 1ª reunião formal do Grupo teve lugar em 17 de Janeiro de 1996, tendo sido eleito presidente o representante da Comissão holandesa, Sr. Peter Hustinx. Para a vice-Presidência, foi eleita a francesa Louise Cadoux da CNIL.

No contexto de dados para países terceiros, na procura de critérios para a definição do que se deve entender por dos fluxos protecção foi apresentado um estudo sobre a protecção de dados nos Estados Unidos da América, donde adequada, resulta que a americana encara a protecção da vida privada, de maneira geral, de forma muito diferente da legislação regulamentação europeia.

Os Estados Unidos não possuem legislação global em termos similares à do modelo europeu, mas sim um conjunto complexo de disposições sectoriais e sub-sectoriais, de nível federal e estadual, que se sobrepõe aos princípios que decorrem da Constituição, do direito comum e da regulamentação que corre em outros domínios a título principal. Daqui resulta que, na prática, o tratamento dos dados é rodeado de garantias de nível muito variável, ora muito estritas, ora muito flexíveis.

No que toca aos Estados Unidos, não tem por isso interesse avaliar o nível de protecção de maneira abstracta, mas é necessário examinar o contexto particular em que tem lugar cada tratamento de dados. As práticas em vigor são relativamente satisfatórias em certos ramos, designadamente nos serviços financeiros, mas são muito criticáveis noutros, designadamente na área do marketing directo.

Foram apresentadas as conclusões de um inquérito realizado no quadro dos sistemas informatizados de reservas aéreas, de gestão dos cartões de crédito e de informação sobre crédito, bem como sobre as telecomunicações móveis.

O estudo revelou que os fluxos transfronteiras de dados são muito importantes, tanto em volume como em frequência, e que o princípio da finalidade se mostra cada vez mais ameaçado. Por força da dimensão das redes e de dificuldade em localizar as entidades encarregadas da sua exploração, é cada vez mais difícil garantir o respeito dos direitos individuais.

A própria identificação do responsável do tratamento presta-se a grandes controvérsias. Designadamente, os gestionários dos sistemas de reservas aéreas e dos sistemas de cartões de crédito consideram-se como neutros e sustentam que se limitam a fornecer serviços de comutação entre companhias aéreas ou entre bancos, conforme os casos. Os resultados do estudo deixam, todavia, alguma dúvida sobre estas afirmações e levam a pensar que os gestionários exercem um controlo autónomo sobre certas operações de tratamento e devem poder ser considerados, nessa medida, como responsáveis do tratamento para efeitos da Directiva.

Por fim, os autores revelam a grande quantidade de dados pessoais tratados pelos serviços de telecomunicações móveis e a possibilidade que estes dados oferecem de seguir em permanência o rasto dos utilizadores.

Foi igualmente estudado o sistema alemão de protecção de dados no sector privado, que assenta basicamente na existência, nas empresas privadas, de um empregado com estatuto de independência e que tem por missão garantir, na empresa, o respeito pelas normas de protecção de dados.

Foi discutida uma proposta de deliberação relativamente às derrogações previstas no artigo 9º da Directiva para os meios de comunicação social, no sentido de harmonizar, tanto quanto possível, os procedimentos nesta matéria para a transposição da Directiva.

 

3.3.Europol

Mantendo-se em curso as diligências no sentido de cada Estado-Membro da União Europeia ratificar a Convenção que cria o Serviço Europeu de Polícia- EUROPOL, adoptada em 26/7/95, e, encontrando-se em funcionamento a denominada "EDU - Europol Drugs Unit", a CNPDPI continuou os seus contactos com os parceiros europeus no âmbito do Grupo de Trabalho das Polícias, em Haia, com vista ao controlo provisório da troca da informação ali já desenvolvida.

A Comissão teve oportunidade de efectuar uma visita às instalações da Europol, onde foi apresentada a sua estrutura organizativa, tendo-se efectuado um encontro com o Director-Geral Adjunto da Polícia Judiciária e com o oficial de ligação designado, tendo sido feita uma abordagem genérica sobre as actividades e acções desenvolvidas por este, no âmbito da EDU.

Em reunião do Grupo de Trabalho, foi de novo salientada a necessidade da criação de uma "autoridade provisória de controlo", com vista a assegurar a protecção dos dados pessoais nesta área, até à criação da "instância comum de controlo" prevista no artº 24.º daquela Convenção.

 

3.4. Sistema de Informação Schengen

3.4.1.Autoridade de Controlo Comum

O sistema de informação Schengen, que funciona desde 26 de Março de 1995, é um sistema informatizado comum, que se destina a preservar a ordem e a segurança públicas, incluindo a segurança do Estado, bem como a aplicação das disposições da Convenção sobre a circulação das pessoas.

As informações inseridas no sistema são tipificadas na Convenção de Aplicação (artigo 94º) e organizadas de acordo com as finalidades definidas ( artigos 95º a 100º).

A Convenção prevê princípios de protecção de dados, designadamente, o princípio da finalidade, a proibição de tratamento de dados sensíveis e limitação do tipo de dados tratados, a fixação de tempo de conservação e regras de segurança de todo o sistema. Prevê também a existência de legislação e de autoridades independentes de protecção de dados nos países que inserem e consultam os dados. A Convenção consagra ainda um conjunto de direitos dos cidadãos: direito de acesso, direito de rectificação, direito de instaurar acção, direito de eliminação em casos determinados, direito de exigir a verificação dos dados.

A Convenção determina a existência de uma entidade de controlo - a Autoridade de Controlo Comum, composta por representantes de autoridades nacionais de protecção de dados, a quem compete verificar as condições de cumprimento dos princípios e dos direitos estatuídos.

No ano de 1996, a ACC deliberou renovar os mandatos do Presidente, Alex Türk (França), e do vice-Presidente, João Labescat (Portugal).

O Sistema de Informação Schengen (SIS), em 1996, incluía dados da Alemanha, Bélgica, Espanha, França, Holanda, Luxemburgo e Portugal.

Estão representados na ACC os países que fazem parte do SIS (através das comissões de protecção de dados nacionais), bem como a Itália, a Grécia e a Áustria que no ano de 1996 tinham o estatuto de observadores. A ACC foi entretanto alargada a novos países que passarão a fazer parte da estrutura Schengen, na qualidade de membros efectivos ou associados (Dinamarca, Finlândia, Islândia, Noruega e Suécia ).

A actividade da Autoridade de Controlo Comum centrou-se:

a) na consagração de garantias da sua intervenção independente, designadamente através da definição de uma linha orçamental e de plenas condições de informação e de acesso ao C-SIS;

b) na adopção do princípio e do modo como decorre a cooperação entre as autoridades nacionais de protecção de dados, mormente quanto ao exercício dos direitos de acesso e verificação dos dados por parte dos cidadãos.

c) no controlo, através de uma equipa da ACC, ao sistema do centro informático de Estrasburgo, que resultou num relatório técnico, onde se verificaram os aspectos ligados às seguranças lógicas e físicas, ao sistema de comunicações, ao software, ao tipo de dados inseridos e respectiva finalidade, às regras e procedimentos, às condições específicas de introdução, validação, eliminação e controlo de dados, tendo sido possível verificar o grau de cumprimento das disposições do artigo 118º da Convenção.

Tendo surgido, no ano de 1996, problemas com as autoridades do Ministério do Interior francês no acesso ao sistema central para o exercício do controlo, a CNPDPI fez chegar ao Primeiro-Ministro e aos responsáveis nacionais um protesto e o pedido de tomada de medidas nas instâncias executivas. O Governo manifestou a sua disponibilidade para contribuir para alterar essa situação.

No âmbito nacional, a Comissão reuniu com responsáveis do Serviço de Estrangeiros e Fronteiras (entidade responsável pelo sistema nacional) e efectuou um primeiro controlo dos dados inseridos, das condições de funcionamento do sistema, das entidades que nele participam e dos registos efectuados.

 

3.4.2. Direito de Acesso

O direito de acesso ao Sistema de Informação Schengen é exercido junto de cada autoridade nacional de controlo. Em Portugal, cabe à CNPDPI receber, encaminhar, fazer as verificações necessárias e informar o requerente do pedido de acesso (com base na Lei n.º 2/94 de 19 de Fevereiro).

Durante o ano de 1996 foi apenas recebido um pedido de direito de acesso, tendo-se procedido às verificações com base nas indicações fornecidas. Os resultados foram comunicados ao interessado.

ESTATÍSTICAS 1996

 

 

 

Orientações da CNPDPI

Sendo inviável a publicação integral neste Relatório de todas as decisões proferidas pela Comissão em 1996, optou-se por escolher aquelas que contêm aspectos doutrinários com particular significado. Assim, os Pareceres, Autorizações e Deliberações seleccionados poderão ser consultados na íntegra na II Parte deste Relatório.

Neste capítulo, poremos apenas em evidência questões fundamentais constantes dessas decisões, que, pela sua inovação, pelo universo de entidades que atinge ou pela sua relevância pública constituem uma importante base teórica das orientações desta Comissão.

 

1. Âmbito de aplicação da Lei n.º 10/91, de 29 de Abril

Fornecimento de dados pessoais do ficheiro de clientes da EDP aos Municípios

Os Municípios, para cobrarem tarifas de recolha de resíduos sólidos e urbanos, pretendiam aceder aos ficheiros informatizados da EDP, cuja finalidade se limita à cobrança dos serviços prestados.

Na sua Deliberação 13/96, a Comissão pronunciou-se sobre a legalidade do fornecimento destes dados. Para apreciar a situação levantada, procedeu à análise da natureza e conteúdo dos ficheiros, princípio da finalidade e regime de acesso.

A Lei n.º 10/91 excepciona do seu âmbito de aplicação os suportes informáticos relativos a pessoas colectivas, bem como os que se destinam exclusivamente à facturação de fornecimentos efectuados ou serviços prestados.

Contudo, a utilização de tal ficheiro está sujeita ao disposto no artigo 35º da Constituição e na Convenção para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal, aprovada pelo Conselho da Europa e ratificada por Portugal e em vigor desde 01/01/94 - constituindo, por isso direito interno, nos termos do disposto no artigo 8º n.º 2 da CRP .

A partir do momento em que a informação constante do ficheiro informático ultrapassa a finalidade exclusiva para que tinha sido criado, no caso em apreço a facturação, passou o mesmo a ficar abrangido ainda e também pela Lei 10/91, no seu todo( cf. Deliberação 20/96) .

Conclui a CNPDPI que a EDP não pode ceder os dados constantes dos ficheiros de facturação, a terceiros para fins diferentes dos que fundamentaram a sua criação, ainda que a Municípios.

 

Privacidade no local de trabalho/controlo de horários

Noticiou a Comunicação Social a existência, em algumas empresas, de um controlo informático de interrupções de trabalho, que registava a presença dos trabalhadores nas instalações sanitárias.Questionadas as empresas sobre este tratamento argumentaram a não aplicação da Lei n.º 10/91 por se tratar de registos informáticos destinado a uso pessoal.

A excepção constante da alínea a) do nº2 do artigo 3º da Lei 10/91, que retira da aplicação das suas disposições os ficheiros de dados pessoais que contenham exclusivamente informações destinadas a uso pessoal ou doméstico não pode ser interpretada no sentido de permitir o tratamento de dados pessoais no interior e para uso de uma empresa.

A excepção abrange apenas os ficheiros de dados pessoais usados exclusivamente por uma única pessoa singular e não obviamente por uma pluralidade de pessoas no seio de uma empresa.

A alínea b) do mesmo nº2 que exceptua os ficheiros de dados pessoais que contenham, exclusivamente, informações destinadas ao processamento das remunerações de funcionários ou empregados poderá ou não aplicar-se consoante a empresa utilize apenas informações destinadas ao processamento das remunerações, nos termos permitidos pelas disposições legais vigentes e pelo contrato colectivo de trabalho,ou ultrapasse esse âmbito.

Na Deliberação 27/96 considerou-se ilegal o tratamento automatizado de dados pessoais (através de cartão magnético) que visem controlar a presença de trabalhadores nas instalações sanitárias, por constituir um atentado à sua vida privada e à dignidade da pessoa humana. Afirmando-se, também, que as excepções da Lei n.º 10/91 não desobrigam a empresa do cumprimento do artigo 35º da Constituição da República, nem das disposições da Convenção para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados Pessoais.

 

Associações/Quotização

A Deliberação 33/96 esclarece que uma base de dados só estará excepcionada da aplicação das disposições da Lei n.º 10/91 se for exclusivamente utilizada para cobrança de quotas de associados - finalidade determinante da recolha - e, mesmo nesse caso, deverá obediência ao dispositivo do artigo 35º da Constituição, bem como às disposições da Convenção 108. Sendo a base de dados utilizada para transmissão de informação, está sujeita por esse facto, nos termos legais, a registo nesta Comissão.

 

2. Recolha e Registo de informação

Dados pessoais insusceptíveis de registo/origem racial

Uma empresa do sector da saúde recolhia dados pessoais relativos à origem racial, justificando a necessidade da recolha para estudos científicos.

O Artº 11º nº1 al. a) da Lei 10/91 proíbe expressamente o tratamento de informação relativa à origem étnica.

As noções " etnia " e " raça " confundem-se no sentido de traduzir uma mesma realidade, considerando-se como tal qualquer grupo humano revelador de características comuns, sejam elas fisico-biológicas, linguísticas, religiosas, culturais ou outras, que os diferenciam de outros. É nesta diferenciação que a legislação sobre protecção de dados é chamada a intervir no sentido de impedir qualquer discriminação das pessoas em causa.

A Directiva Comunitária 95/46/CE do Parlamento Europeu e do Conselho não diferencia uma e outra no seu artigo 8º, nº1, ali se impondo que " os Estados-Membros proibirão o tratamento de dados pessoais que revelem a origem racial ou étnica."

Não se verificando, no caso referido, a excepção prevista no nº2 do artº 11º da Lei 10/91, que permite o tratamento de tal tipo de informação para fins de investigação cientifica ou estatística desde que não identificadas ou identificáveis as pessoas em causa em qualquer momento do processo, a Deliberação 55/96 proíbiu a recolha e registo da informação relativa à origem racial ou étnica e exigiu a eliminação destes dados.

 

Informação médica/cartão de saúde

Uma empresa solicitou à CNPDPI autorização para constituição de uma base de dados gestora de um cartão inteligente de saúde, no qual constasse, além dos dados identificativos, a informação clínica histórica e actual do aderente. Tanto os dados clínicos como os dados administrativos são fornecidos pelo titular.

A Comissão decidiu na Autorização nº 15/96 permitir o funcionamento da base de dados supra-citada, impondo no entanto algumas condições:

    • A inserção de dados relativos ao estado de saúde depende do consentimento expresso do titular e de garantias de não discriminação;

    • Os dados administrativos devem ser logicamente separados das informações médicas;

    • A impossibilidade de inserção de dados por médicos, uma vez que o titular tem acesso à sua leitura, o que não seria conveniente devido à natureza específica da informação clínica. Da mesma forma, o registo de análises clínicas não pode conter opiniões ou conclusões médicas.

    • A proibição de registar hábitos, cuja divulgação possa contender com a intimidade da vida privada. Isto apesar de não se colocar a questão de limitar o conhecimento de doenças que o titular, por sua vontade, pretenda incluir na base de dados. Esta condição deverá constar das condições de adesão ao cartão.

    • Todas as informações clínicas deverão sempre especificar que os dados foram coligidos pelo titular e não resultam de indicação directa do médico ou técnico de saúde, excepto os valores das análises caso tenham sido recolhidos de documento laboratorial.

 

Tratamento de informação sobre acções cíveis

A CNPDPI recebeu uma exposição na qual um cidadão se insurgia contra o facto de uma acção sumária contra si intreposta ter sido registada na base de dados do banco de que é cliente.

A Deliberação nº10/96 considerou que não se verifica qualquer violação dos princípios da Lei de Protecção de Dados , sendo lícito e legítimo o tratamento de informação sobre acções cíveis por parte dos bancos. Os dados em análise são tornados públicos por força de disposição da lei processual civil e a recolha desta informação por parte do banco está conforme os princípios da adequação e pertinência, não sendo excessiva em relação à finalidade nem havendo qualquer objecção legal ao seu tratamento.

Acrescenta, contudo, que o titular dos dados tem o direito de ver actualizada a informação, quer explicando os motivos em que ocorreu a propositura da acção quer reclamando a eliminação da informação logo que a execução esteja finda ( cf. artº 30 nº1e 2 da Lei 10/91 de 29 de Abril ).

 

3. Acesso a Dados de Terceiros

No domínio fiscal

A Deliberação nº15/96 debruçou-se sobre a confidencialidade fiscal. A informação tributária ou fiscal está, necessária e intimamente, relacionada com a satisfação das necessidades financeiras do Estado e, simultânea e consequentemente, com uma repartição justa dos rendimentos e da riqueza - cfr. art.106º nº1 da C.R.P. Implicando, uma clara intromissão, quer na "vida patrimonial e financeira " dos cidadãos quer na sua própria vida familiar é lógica e compreensível a sua submissão a regras de confidencialidade.

Sobre o fundamento e alcance da matéria relativa à confidencialidade fiscal a Comissão teve oportunidade de se pronunciar nomeadamente nas Deliberações nºs 1 e 6/96 que constam da Parte II deste Relatório.

Intimamente conexionado está o dever de segredo profissional - imposto aos funcionários da Administração Fiscal - cujo fundamento assenta também " na tutela da própria confiança dos contribuintes" que põem à disposição do Estado, em ordem á sua função tributária, dados da sua vida pessoal e patrimonial.

Não estando em causa um tipo de informação de natureza pública, mas antes reservada, confidencial e objecto de segredo profissional/fiscal, relativa à intimidade da vida privada e familiar, já que reveladora da capacidade contributiva da pessoa em causa, durante um período de tempo algo lato, não pode um terceiro, porque fora de qualquer condicionalismo legalmente definido, aceder à informação fiscal pretendida.

De acordo com a Deliberação nº 47/96, a informação fiscal nominativa tem carácter reservado - estando coberta pelo sigilo fiscal - desde que, parcelar ou globalmente , a sua difusão evidencie a situação patrimonial ou contributiva do titular dos dados.

A libertação do dever de sigilo deve ser efectuada em estreito limites de modo a preservar a regra geral da confidencialidade. As situações de excepção deverão ser estabelecidas por lei, a qual considerará os interesses em presença e opções relativas à necessidade, oportunidade e conveniência com ponderação dos riscos, de modo a evitar que a restrição aniquile o direito em causa, atingindo o conteúdo essencial do respectivo preceito ( cf. artigo 18º nº3 in fine da CRP ).

A Deliberação nº 6/96 abordou a questão do acesso de dados a terceiros, à luz das normas vigentes em matéria tributária.

No caso de os dados não serem públicos ( cf. art. 62º nº2 do CPA ), o acesso a terceiros está dependente da existência e verificação de " interesse directo e pessoal "( cf. art. 64º nº1 do CPA ), o qual terá de ser invocado e reconhecido em parecer favorável da CADA ( cf. art.7º,nº2 e art.8º,nº3 da Lei 65/93 de 26 de Agosto );

Está vedado o acesso aos dados pessoais de terceiros que contenham informações confidenciais ou que violem a intimidade ou reserva da vida privada( cf. art.26º da C.R.P. e arts.70º a 81º do C.C. );

A invocação da qualidade de advogado mantém a sua posição de "terceiro" em relação aos dados que tenham carácter reservado ou confidencial, razão pela qual o acesso deve ser vedado nos termos do art.35º, nº2 da C.R.P.

Quando se trate de dados não reservados (que não violem interesses públicos legítimos ou a privacidade) ou não secretos, os advogados podem, sem necessidade de exibição de procuração, requerer certidões que se mostrem úteis, no âmbito do exercício da sua actividade profissional.

 

Consentimento do cônjuge/dados sensíveis

A Deliberação nº 18/96 debruçou-se sobre a recolha e o tratamento de dados sensíveis relativos ao cônjuge do chamado primeiro titular.

Considerou necessário o consentimento do cônjuge do titular dos dados apenas e se, relativamente ao mesmo cônjuge, forem recolhidos e tratados dados relativos à situação patrimonial ou financeira e por isso de natureza sensível

Relativamente aos demais dados pessoais, deve o respectivo responsável pelo tratamento informar a pessoa em causa da existência do tratamento informático e da sua finalidade, bem como da identidade e endereço do respectivo responsável.

 

Acesso a dados pela Polícia Judiciária

A Polícia Judiciária solicitou a uma empresa o acesso a informação contida na sua base de dados pessoais relativa a circulação rodoviária. Essa empresa requereu à Comissão que analisasse a legitimidade do pedido, uma vez que tem contratualizado com os seus clientes a confidencialidade dos dados. Assim, na sua Deliberação nº 1/96, a CNPDPI concluiu que tal pedido só deverá ser satisfeito quando ordenado por despacho das autoridades judiciárias e não por iniciativa de qualquer órgão de polícia criminal.

Estavam aqui em causa direitos fundamentais (direito de deslocação/circulação e direito de não difusão de dados pessoais informatizados), e só é possível a restrição desses direitos para garantir a salvaguarda de outros direitos constitucionalmente protegidos, com fundamento em motivo social relevante, em justo equilíbrio entre o interesse público e a vida privada do cidadão.

O art.35º, nº2 da CRP reforçando este entendimento, impõe que seja a lei a estabelecer as condições de acesso a dados de terceiros, o que, para as autoridades judiciárias, resulta do art.182º, nº1 do Código de Processo Penal.

 

4. Informação relativa ao recenseamento eleitoral

Uma junta de freguesia solicitou à Comissão que se pronunciasse sobre os vários pedidos que lhe são frequentemente dirigidos para que ceda elementos identificativos dos seus ficheiros informatizados do recenseamento eleitoral.

A Comissão, na sua Deliberação nº 41/96, considerou que no acesso à informação relativa ao recenseamento eleitoral deverá ser sempre exigida a indicação expressa da finalidade do pedido. Destinando-se os pedidos a fins eleitorais, todos os cidadãos têm acesso à informação. Quando para outros fins, a informação só poderá ser prestada a tribunais, órgãos de polícia criminal, advogados e solicitadores no exercício das suas funções profissionais e, ainda, a todos os que demonstrem um interesse pessoal directo e legítimo legalmente reconhecido. Nos restantes casos, essa informação só poderá ser cedida se o titular dos dados der a sua autorização escrita.

 

5. Utilização de ficheiro para finalidade compatível

A Ordem dos Advogados requereu à Comissão uma decisão quanto à possibilidade de ceder dados pessoais dos seus associados, sob a forma de etiquetas autocolantes, contendo nome e domicílio profissional, para a realização de mailings.

Decidiu a CNPDPI, na sua Deliberação 11/96, que a Ordem dos Advogados podia ceder esses dados para mailings, desde que o seu objecto fosse compatível com a finalidade do ficheiro e com as atribuições da OA, designadamente divulgação de informações de interesse para a formação dos advogados (palestras, cursos, conferências, concursos, etc...).

Por não compatível com a finalidade do ficheiro ou com os estatutos da OA, a Comissão não autorizou a cedência de dados para outro tipo de mailings.

De referir que, nos termos do diposto no art.30º nº3 da Lei 10/91, qualquer associado tem o direito de se opor ao seu recebimento.

 

6. Marketing directo

A Deliberação nº 36/96 ressalta a importância do efectivo cumprimento pela empresas de marketing directo dos direitos dos cidadãos, em particular o direito do consumidor a não receber publicidade que não pede. Esse direito está consagrado na Lei de Protecção de Dados - direito de eliminação - e pressupõe que os cidadãos que não desejem constar deste tipo de base de dados possam exigir que o seus dados pessoais sejam suprimidos.

Não referindo a lei um prazo específico para as empresas darem cumprimento a este direito, a Comissão estipulou, na sua Deliberação nº75/96, o prazo máximo de 90 dias para eliminar os dados do cidadão que o requeira.

 

7. Direito à informação, acesso e actualização

Direito de informação do titular

A respeito do exercício do direito de informação, acesso e correcção da base de dados de utilizadores de cheque que oferecem risco a Deliberação n.º 74/96 teceu as seguintes considerações:

O artigo 22º da Lei n.º 10/91 é expresso em relação ao direito de informação, quando há recolha directa de dados por meio de documentos, afirmando que é no momento da recolha que os titulares devem ser informados da existência de processamento automatizado, da finalidade e do modo como se exerce o direito de acesso, rectificação ou eliminação. Na recolha directa pessoal, entende-se que existe a mesma obrigação de informar no momento da recolha de dados.

De acordo com os princípios da lealdade e do direito de informação ( artº 13ºnº1 ), tendo em atenção os requisitos da recolha ( artº12º nº3 ), tem entendido a Comissão que não haverá razão para diferenciar as situações de recolha directa - independentemente de os dados serem obtidos por meio de impresso ou pessoalmente .

Em relação à recolha indirecta, a Lei n.º10/91 - contrariamente ao que acontece com a Directiva 95/46/CEE do Parlamento e do Conselho de 24/10/95 - não estabelece o momento em que deve ser assegurado o direito de informação.

A CNPDPI, em função da finalidade e conforme as operações de tratamento, tem vindo a delimitar, nos respectivos instrumentos de legalização, as formas que deve assumir o direito de informação.

Para a informação não sensível, a Comissão tem apreciado, caso a caso, o momento em que o direito de informação deve ser assegurado, dando particular relevo ao momento em que o conteúdo da informação se projecta ou tem reflexos na esfera do titular dos dados.

Porém, se estamos perante informação sensível em que os responsáveis são entidades privadas e o fundamento para o tratamento é, exclusivamente, o " consentimento dos titulares " ( artº17º nº 2 na redacção da Lei 28/94 de 28 de Agosto ), a condição essencial para a criação do registo é o conhecimento e imediato consentimento dos titulares para a inserção da informação.

 

Cheques/ actualização dos dados/ Banco de Portugal

Na Autorização nº 74/95, de 31 de Outubro, relativa a uma empresa que centraliza informação de cheques sem provisão, a CNPDPI determinou a manutenção do ficheiro sob condição de a mesma empresa "rodear o tratamento das cautelas necessárias, designadamente no que toca à informação a prestar aos sacadores de cheques sem provisão, no sentido da existência desse tratamento e da garantia de livre acesso às informações constantes dos seus ficheiros por parte das pessoas que deles constam". A Comissão considerou imprescindível, ao mesmo tempo, garantir o "direito de rectificação de dados incorrectos e de eliminação dos dados que não sejam úteis para a finalidade em causa". Neste contexto, considerou a Comissão que a informação aos titulares se devia fazer nos seguintes termos:

" As empresas clientes da empresa em questão deverão obrigar-se, no contrato celebrado com esta, a informar os sacadores de cheques de que, nos caso de estes serem devolvidos por falta de provisão, tal facto será comunicado à empresa que os incluirá no ficheiro de cheques sem provisão a ser comunicado a todas as entidades suas clientes".

Em face do exposto, considerou a CNPDPI que o Banco de Portugal não está obrigado a informar as pessoas no momento da sua inclusão na listagem de utilizadores de cheques que oferecem risco.

É obrigação do responsável do ficheiro tomar todas as medidas para garantir a exactidão e actualização dos dados. Apesar de registar informação comunicada por terceiros, não está o responsável dispensado de cumprir as disposições da Lei n.º10/91, nomeadamente os artigos 14º, 29º e 30º.

Não será exigível que o Banco de Portugal confirme as informações que recebe. Cabe- lhe, no entanto, dar o devido relevo ao papel que desempenha o titular dos dados enquanto interessado na protecção da sua privacidade e no rigor da informação que lhe respeita.O titular assume-se como garante da exactidão dos seus dados, actuação já designada por alguns autores como "direito ao controlo da sua imagem informacional."

Se o titular dos dados põe em causa a exactidão das informações, deve o responsável tomar todas as medidas tendentes à clarificação dos factos invocados, junto da entidade que os comunicou.

Anota-se que não será correcto, à luz da Lei n.º10/91, remeter os titulares dos dados para as instituições financeiras que comunicam os dados. Uma vez suscitada a omissão ou inexactidão, é da responsabilidade do Banco de Portugal tornar efectiva a actualização da informação ( cf. artº 14º e 39º ) e velar para que não haja transmissão de informação desactualizada.

 

Autorizações

  1. Autorização n.º 2/96

  2. Autorização n.º 4/96 - Hipermercado

  3. Autorização n.º 9/96 - Medicina do trabalho e sinistralidade laboral

  4. Autorização n.º 12/96 - Banco

  5. Autorização n.º 15/96 - Cartão de saúde

  6. Autorização n.º 17/96 - Companhia de seguros

  7. Autorização n.º 18/96 - Riscos e negócios

  8. Autorização n.º 26/96 - Informações e controlo de créditos

  9. Autorização n.º 39/96 - Informação para gestão de Empresas

  10. Autorização n.º 45/96 - Clínica dentária

  11. Autorização n.º 47/96

  12. Autorização n.º 48/96 - Companhia de Seguros

  13. Autorização n.º 55/96 - Banco

  14. Autorização n.º 66/96 - Seguros de Créditos

  15. Autorização n.º 71/96 - Banco

  16. Autorização n.º 91/96 - Saúde ocupacional

  17. Autorização n.º 92/96 - Cartão de Saúde

  18. Autorização n.º 102/96 - Cartão de Saúde

  19. Autorização n.º 106/96

  20. Autorização n.º 113/96 - Cartão de Saúde

  21. Autorização n.º 114/96 - Médico

  22. Autorização n.º 118/96 - Informações de Crédito

  23. Autorização n.º 119/96 - Instituto Clínico

  24. Autorização n.º 121/96

Deliberações

  1. Deliberação n.º 1/96

  2. Deliberação n.º 5/96

  3. Deliberação n.º 6/96

  4. Deliberação n.º 7/96

  5. Deliberação n.º 10/96

  6. Deliberação n.º 11/96

  7. Deliberação n.º 13/96

  8. Deliberação n.º 15/96

  9. Deliberação n.º 21/96

  10. Deliberação n.º 22/96

  11. Deliberação n.º 32/96

  12. Deliberação n.º 34/96

  13. Deliberação n.º 41/96

  14. Deliberação n.º 47/96

  15. Deliberação n.º 55/96

  16. Deliberação n.º 56/96

  17. Deliberação n.º 58/96

  18. Deliberação n.º 62/96

  19. Deliberação n.º 64/96

  20. Deliberação n.º 68/96

  21. Deliberação n.º 74/96

  22. Deliberação n.º 75/96

  23. Deliberação n.º 76/96

Pareceres

  1. Parecer n.º 1/96

  2. Parecer n.º 2/96

  3. Parecer n.º 3/96

  4. Parecer n.º 4/96

  5. Parecer n.º 5/96

  6. Parecer n.º 6/96

  7. Parecer n.º 7/96

  8. Parecer n.º 8/96

  9. Parecer n.º 10/96