Voltar à Página de entradaVoltar à Página de entrada

Pesquisar por palavra         

Français English
Ir para o Sítio do projecto DADUSFormulário de pedido de informaçõesFormulário de apresentação de Reclamações/Queixas
Rua de São Bento n.º 148-3º 1200-821 Lisboa - Tel: +351 213928400 - Fax: +351 213976832 - e-mail: geral@cnpd.pt

 

Relatório 1997

Introdução

PARTE I

ACTIVIDADE DA CNPDPI

Capítulo I

Situação Nacional

  1. Actividade da Comissão

    1. Áreas tratadas

    2. Fiscalizações

    3. Participações ao Ministério Público

  2. Revisão da Constituição da República Portuguesa

  3. Transposição da Directiva 95/46/CE

  4. Actividade da CNPDPI junto da CADA

  5. Decisões de Tribunais Superiores

    1. Legalização de ficheiros da Administração Central

    2. Legislação laboral e protecção de dados

  6. Cooperação Institucional

  7. Reuniões da CNPDPI com Entidades

  8. Participação da CNPDPI em Grupos de Trabalho

  9. Participação da CNPDPI em Seminários e Colóquios

  10. Internet

  11. Colóquio Direito à Vida Privada e Liberdade

  12. Estatísticas

Capítulo II – Situação Internacional

  1. ACC Schengen

  2. Conferência dos Comissários Europeus de Protecção de Dados

  3. XIX Conferência Internacional dos Comissários de Protecção de Dados

  4. Jornadas Euro Ibero-Americanas sobre protecção de dados pessoais

  5. Participação em Grupos de Trabalho

    1. Grupo de Trabalho do Artigo 29º da Directiva

    2. Grupo de Trabalho de Polícias

PARTE II

ORIENTAÇÕES DA CNPDPI

  1. Princípios Gerais

  2. Protecção de dados pessoais no âmbito das telecomunicações

  3. Cedência de dados para finalidade diferente da que determinou a recolha

  4. Tratamento de dados de saúde

  5. Tratamento de dados genéticos

  6. Cobrança de créditos e informação negativa

PARTE III

DECISÕES DA CNPDPI

1. Deliberações

2. Autorizações

3. Pareceres

 

INTRODUÇÃO

O Relatório respeitante ao ano de 1997 reflecte a actividade da Comissão Nacional de Protecção de Dados Pessoais Informatizados, entidade pública independente, a quem compete controlar o processamento automatizado de dados pessoais.

O período a que corresponde o Relatório caracterizou-se por alterações significativas em matéria de tratamento de dados pessoais. Revigoraram-se os princípios constitucionais constantes do Artigo 35º respeitante ao uso da informática, iniciou-se a nível nacional e no quadro europeu a transposição da Directiva relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, Directiva 95/46/CE de 24 de Outubro de 1995, aprofundou-se a cooperação policial e judicial com a consequente troca de informações, no âmbito da União Europeia, e com a constituição ou alargamento de sistemas comuns (Schengen e Europol).

Acentuaram-se também os novos desafios resultantes do imparável avanço da sociedade de informação, para os quais ou ainda não se encontraram soluções ou estas se revelaram insuficientes, tanto ao nível nacional como internacional.

A Comissão deu o seu contributo em matérias relevantes. As propostas da Comissão tiveram acolhimento na Revisão constitucional (em particular, o reconhecimento constitucional dos poderes da Comissão), em algumas leis produzidas pela Assembleia da República (por exemplo, da actualização do recenseamento eleitoral). O Governo encetou um processo de diálogo tendente a resolver os problemas suscitados pela não publicação de diplomas habilitadores de tratamentos de dados sensíveis. Existe um reconhecimento internacional do trabalho desenvolvido, a que não foi estranha a eleição para a Presidência da Autoridade de Controlo Comum de Schengen.

Nesta área (como em outras) é muito importante o debate e a participação de cidadania. Nesse sentido, a Comissão promoveu um Colóquio sobre protecção de dados, no qual ganharam particular relevo as palavras de incentivo e de disponibilidade proferidas por Sua Excelência o Presidente da República Dr Jorge Sampaio.

Da mesma forma, abriram-se páginas que estavam até aqui fechadas. O Colóquio teve cobertura na Internet, muitas queixas e pedidos de informação passaram a ser enviados por meio electrónico; a comunicação não se alheou destas matérias fruto de uma maior abertura e do entendimento do papel da comunicação social. Procurou-se dizer, esclarecendo.

As novas dificuldades não podem ser resolvidas apenas pela actividade da Comissão: é necessária maior responsabilidade de quem gere informação pessoal, é indispensável maior iniciativa dos cidadãos em defesa dos direitos, liberdades e garantias, nesta matéria.

Este acervo de informação sobre a nossa actividade constitui modesto contributo para o caminho que Portugal dificilmente iniciou, mas que é agora elemento adquirido que importa aprofundar.

CAPÍTULO I – SITUAÇÃO NACIONAL

  1. Actividade da Comissão

O ano de 1997 caracterizou-se por um generalizado aumento da actividade processual da CNPDPI relativamente ao ano anterior, patente nomeadamente no número de processos entrados na Comissão, que cresceu cerca de 27 por cento.

O aumento do fluxo de entradas verificou-se em todas as espécies de processos, à excepção dos pedidos de parecer que mantiveram o mesmo número. Assim, os pedidos de autorização foram aqueles onde se deu uma maior subida – 30,6% -, tendo os pedidos de registo aumentado 22%, enquanto as queixas registaram um aumento de 16%.

Em 1997, foram legalizados 507 ficheiros (incluindo-se apenas nestes os registos e as autorizações), o que significa uma intensa actividade da Comissão, acompanhando a legalização de ficheiros o ritmo de entrada de processos. Embora este número seja inferior ao do ano anterior, tal fica a dever-se ao prazo legalmente fixado para legalização de ficheiros em 1995, e subsequente entrada de processos de legalização nesse ano, o que inflacionou pontualmente o número de ficheiros efectivamente legalizados em 1996.

Durante o ano de 1997, foram dadas 123 autorizações e arquivados 384 processos de registo.

É de assinalar, igualmente, o aumento, em 1997, do número de fiscalizações realizadas pela CNPDPI, bem como do número de participações ao Ministério Público.

No ano de 1997, a Comissão reuniu-se em 31 sessões plenárias. Ainda no quadro da sua actividade, a CNPDPI deu resposta diariamente a vários pedidos de informação e esclarecimento, quer pelo telefone, quer por escrito.

Ao longo de 1997, a Comissão divulgou a sua actividade junto dos cidadãos e das entidades, quer através da publicação dos seus relatórios de actividade, quer através dos órgãos de comunicação social, quer através da publicação de uma página da CNPDPI na Internet.

Esta é uma vertente que naturalmente privilegiamos, pois o conhecimento por parte das pessoas dos direitos consagrados é um meio fundamental para o seu pleno exercício.

 

1.1 Áreas Tratadas

Em 1997, salienta-se o grande número de ficheiros legalizados contendo dados sensíveis, com particular destaque para a área da saúde. Esta área foi considerada prioritária na acção da Comissão, que promoveu encontros com diversas entidades e associações representativas, com o objectivo de colmatar importantes falhas verificadas num sector considerado de extrema relevância pela natureza dos dados que trata informaticamente, concorrendo assim para um maior cumprimento da lei de protecção de dados.

Em matéria de Registos, são diversas as áreas onde se verificaram legalização de ficheiros. No entanto, há uma grande preponderância de ficheiros legalizados no âmbito da Administração Interna. Com menor peso mas também com índices de legalização significativos, encontram-se os sectores das entidades bancárias e financeiras, do marketing, das farmácias e das autarquias locais.

Em matéria de Autorizações, deliberou a CNPDPI sobre pedidos formulados, com maior incidência, por entidades do sector da saúde, nomeadamente laboratórios de análises clínicas e clínicas de exames auxiliares de diagnóstico, ficheiros de médicos particulares e ficheiros de empresas com dados de saúde. Também o sector bancário e financeiro e a área de informações e negócios continuaram a ter um peso significativo na legalização de ficheiros com dados sensíveis.

Em matéria de Pareceres, a CNPDPI pronunciou-se sobre projectos de diplomas da Assembleia da República, do Ministério da Justiça, do Ministério da Defesa, do Ministério da Administração Interna, do Ministério da Saúde e do Ministério das Finanças.

Em matéria de Queixas, há a registar o seu progressivo aumento, denotando este facto uma consciencialização crescente por parte dos cidadãos dos direitos que lhes assistem no âmbito da protecção de dados pessoais, bem como um maior conhecimento da existência desta Comissão como Autoridade nacional de controlo.

Quanto às entidades participadas, o sector do comércio representa quase metade das queixas, havendo também uma grande incidência sobre o sector bancário e financeiro, os serviços e a área de informações e negócios.

A maioria dos queixosos apresenta como fundamento da queixa o tratamento indevido de dados, bem como a utilização abusiva e a inclusão indevida de dados pessoais em ficheiros.

Para uma melhor apreciação dos sectores de maior incidência de queixas, os seus fundamentos e os resultados, pode consultar o quadro resumo da página seguinte.

 

Quadro Resumo das Queixas Apresentadas em 1997

 

Sector de Actividade

Queixoso/ Origem

Objecto da Queixa

Resultado

Empresa de distribuição de energia

Comissão de trabalhadores

Utilização de dados com desvio da finalidade

Arquivado. Não houve desvio da finalidade. A empresa foi advertida da necessidade de dar conhecimento aos trabalhadores da utilização dos seus dados pessoais 3

Instituição Financeira

Particular

Tratamento indevido de dados. Registo das Acções Cíveis

Arquivado. O tratamento da informação é lícito e legítimo por parte do Banco. O titular tem o direito à actualização da informação. 4

Empresa de Informações e Negócios.

Particular

Recolha e tratamento indevido de dados.

Arquivado. O queixoso não prestou os esclarecimentos solicitados. 5

Empresa de serviços informáticos

Associação de consumidores

Utilização abusiva de dados.

Arquivado. Provou-se não haver tratamento automatizado de dados pessoais. 44

Empresa de comércio de calçado

Particular.

Recolha e tratamento indevido de dados.

Arquivado. Desistência do queixoso.

91

Empresa de Venda por correspondência

Assoc. de Consumidores

Utilização indevida de dados

Participação ao Ministério Público 93

Empresa de comunicação social

Particular

Utilização abusiva de dados.

Os dados já foram eliminados. Arquivado o processo por decisão do queixoso. 104

Adm. Pública

Associação de consumidores

Recusa de direito de acesso.

Assegurado o direito de acesso. Arquivado. 115

Empresa de venda por correspondência

Associação de consumidores

Utilização indevida de dados.

Participação ao Ministério Público. 117

Empresa de Informação e Negócios

Particular

O documento de recolha não cumpre as exigências do artº. 22º. Da Lei 10/91

Arquivado. Não se concluiu que a conduta visasse não assegurar o direito de informação. 131

 1997

Sector de Actividade

Queixoso/ Origem

Objecto da Queixa

Resultado

Empresa de Comunicação Social

Particular

Cedência indevida de dados a 3ºs.

Arquivado. Os dados foram eliminados. 165

Empresa de venda por correspondência

Associação de consumidores

Utilização indevida de dados.

Participação ao Ministério Público. 171

Empresa de venda por correspondência

Associação de Consumidores

Utilização indevida de dados.

Participação ao Ministério Público. 187

Empresa de venda por correspondência

Associação de Consumidores

Utilização indevida de dados.

Participação ao Ministério Público. 219

Empresa de Comércio Automóvel

Particular

Utilização indevida de dados.

Arquivado. Os dados foram recolhidos com consentimento do titular. 255

Empresa de venda por correspondência

Particular

Utilização indevida de dados.

Participação ao Ministério Público. 260

Empresa de venda por correspondência

Particular

Utilização indevida de dados.

Participação ao Ministério Público. 269

Empresa de venda por correspondência

Particular

Utilização indevida de dados.

Participação ao Ministério Público. 270

Empresa de venda por correspondência

Particular

Utilização indevida de dados.

Pendente 275

 1997

Sector de Actividade

Queixoso/ Origem

Objecto da Queixa

Resultado

Empresa de venda por correspondência

Particular

Utilização abusiva de dados.

Pendente 305

Empresa de informação automobilística

Particular

Utilização de dados com desvio da finalidade.

Pendente 342

Empresa de distribuição de combustíveis

Particular

Acesso indevido a dados bancários.

Arquivado. O acesso foi autorizado pela introdução do PIN pelo queixoso. A Comissão advertiu as empresas envolvidas da necessidade de mais informação e transparência nas operações. 344

Empresa de serviços informáticos

Particular

Utilização indevida de dados.

Pendente 355

Empresa de Time-Sharing

Associação de Consumo e Ambiente

Recolha excessiva de dados.

Pendente 357

Bancos e Financeiras

Particular

Inclusão indevida na base de dados de cheques sem provisão.

Pendente 362

Empresa de consultadoria

Particular

Utilização indevida de dados.

Arquivado. Não há tratamento automatizado de dados.

366

Empresa de comércio e retalho

Associação de Consumidores

Recolha excessiva de dados.

Arquivado. Não há tratamento automatizado. 367

Empresa de venda por correspondência

Particular

Inclusão indevida na base de dados.

Pendente 370

Empresa de Telecomunicações

Particular

Utilização indevida de dados.

Pendente 388

  1997

Sector de Actividade

Queixoso/ Origem

Objecto da Queixa

Resultado

Empresa de Informação e Negócios

Particular

Inclusão indevida na base de dados.

Arquivado. A Empresa está autorizada a tratar os dados. 390

Empresa de sondagens

Particular

Utilização indevida de dados.

Pendente 393

Empresa de Telecomunicações

Associação de Consumidores

Utilização indevida de dados.

Pendente 410

Instituição Bancária e Financeira

Particular

Inclusão indevida na base de dados de cheques sem provisão.

Arquivado. Procedeu-se à eliminação dos dados.

415

Empresa de venda por correspondência

Particular

Utilização indevida de dados.

Arquivado. Procedeu-se à eliminação dos dados.

418

Instituição Bancária e Financeira

Particular

Utilização indevida de dados.

Arquivado. A Comissão advertiu a empresa em causa. 493

Instituição Bancária e Financeira

Particular

Existência de informação desactualizada.

Pendente 548

Instituição Bancária e Financeira

Particular

Existência de informação desactualizada.

Pendente 554

Editora

Particular

Utilização abusiva de dados.

Pendente 560

Empresa de Informação e Negócios

Particular

Existência de informação incorrecta.

Arquivado. Os dados foram eliminados. 566

Empresa de Comércio de Produtos Informáticos

Associação de Consumidores

Utilização indevida de dados.

Arquivado. Os dados foram recolhidos com consentimento do titular. 587

 

1.2 Fiscalizações

 No quadro das suas atribuições e competências, a Comissão tem direito de informação e acesso aos sistemas informáticos que sirvam de suporte ao processamento de dados (artº 6º nº 1 do Regulamento da CNPDPI).

Neste âmbito, a Comissão levou a cabo, no ano de 1997, 35 acções de verificação a entidades públicas e privadas, o que se traduziu num aumento significativo da fiscalização.

Após um período inicial de três anos, em que a Comissão privilegiou uma prática mais pedagógica, que permitisse um amplo conhecimento da lei de protecção de dados e, consequentemente, a sua aplicação e cumprimento por parte de todas as entidades que possuam bases de dados pessoais, a CNPDPI entendeu dever intensificar a sua intervenção fiscalizadora. Tendência essa que se pretende acentuar nos próximos anos.

Assim, em 1997, das 35 acções de fiscalização realizadas, a maioria incidiu sobre a banca e outras instituições financeiras, sobre as empresas de informações e negócios - ambos os sectores de actividade tratam dados sensíveis – e sobre a indústria, onde se levantaram importantes questões de privacidade. Empresas de marketing e outras entidades comerciais foram outros sectores objecto de fiscalização.

Estas acções de verificação aos sistemas informáticos das entidades resultam quer de queixas e reclamações apresentadas à Comissão, quer de averiguações iniciadas, de moto próprio, pela CNPDPI.

 

  1. Participações ao Ministério Público

No âmbito das suas competências, a CNPDPI decidiu fazer, no decurso do ano de 1997, sete participações ao Ministério Público, denunciando as infracções à lei de protecção de dados passíveis de procedimento judicial. Tal representou um aumento assinalável das participações relativamente ao ano de 1996 (durante o qual foram feitas três), o que se justifica, sem dúvida, pelo maior número de fiscalizações realizadas.

O motivo de seis participações foi a utilização ilegal de dados simples, enquanto uma se ficou a dever à utilização ilegal de dados agravada. As participações resultaram de averiguações da CNPDPI e de queixas recebidas nesta Comissão.

 

2. Revisão da Constituição da República Portuguesa

Em Setembro de 1997, foi aprovada a 4ª Revisão da Constituição, que introduziu alterações relevantes no artigo 35º que regula a utilização da informática.

Algumas alterações impunham-se por força da necessidade de transposição da Directiva 95/46/CE sobre protecção de dados pessoais para a legislação nacional, o que exigia um novo regime constitucional.

Durante o processo de revisão constitucional, a CNPDPI apresentou uma proposta à Assembleia da República (cf. Relatório da CNPDPI de 1996) que foi, no essencial, tida em conta na nova redacção do artigo 35º.

É de realçar que, no quadro desta Revisão, a Autoridade nacional de controlo de dados pessoais obteve consagração constitucional.

Redacção actual:

Artigo 35º

Utilização da Informática

 

  1. Todos os cidadãos têm direito de acesso aos dados informatizados que lhes digam respeito, podendo exigir a sua rectificação e actualização, e o direito de conhecer a finalidade a que se destinam, nos termos previstos na lei.

  2. A lei define o conceito de dados pessoais, bem como as condições aplicáveis ao seu tratamento automatizado, conexão, transmissão e utilização, e garante a sua protecção, designadamente através de entidade administrativa competente.

  3. A informática não pode ser utilizada para tratamento de dados referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem étnica, salvo mediante consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou para processamento de dados estatísticos não individualmente identificáveis.

  4. É proibido o acesso a dados pessoais de terceiros, salvo em casos excepcionais previstos na lei.

  5. É proibida a atribuição de um número nacional único aos cidadãos.

  6. A todos é garantido o livre acesso às redes informáticas de uso público, definindo a lei o regime aplicável aos fluxos transfronteiras e as formas adequadas de protecção de dados pessoais e de outros cuja salvaguarda se justifique por razões de interesse nacional.

  7. Os dados pessoais constantes de ficheiros manuais gozam de protecção idêntica à prevista nos números anteriores, nos termos da lei.

 

3 . Transposição da Directiva 95/46/CE

Em Outubro de 1997, foi criado por iniciativa governamental um grupo de trabalho para a transposição da Directiva 46/95/CE, para o qual foi solicitada a participação da CNPDPI. A Comissão esteve, pois, integrada nos trabalhos de preparação do novo diploma legislativo de protecção de dados, que deverá, segundo disposição comunitária, entrar em vigor até Outubro de 1998.

De facto a a lei n.º 10/91, de 29 de Abril, há muito que não correspondia às novas exigências no tratamento da informação, com utilização dos meios informáticos. Como foi reconhecido pelo Governo vivia-se (e vive-se ainda) nos serviços públicos, uma situação de incumprimento formal da legislação de protecção de dados, quanto aos tratamentos de dados sensíveis. A lei revela-se, mesmo após algumas melhorias introduzidas pela lei n.º 28/94, de difícil aplicação nalgumas áreas. Mantêm-se regimes excepcionais que a Constituição não admite.

A transposição da Directiva surge num novo quadro constitucional desenhado pelas alterações introduzidas no artigo 35º na 4ª Revisão da CRP e no rumo traçado no Livre Verde para a Sociedade de Informação que inclui nas suas medidas de desenvolvimento a projecção de uma nova lei de protecção de dados pessoais (medida 8.1, no capítulo das implicações sociais da sociedade de Informação).

A lei de protecção de dados pessoais - qualquer lei, aliás - não deveria desconhecer a situação que a envolve, e prever, com alguma visão, o futuro próximo. A Directiva fruto de uma gestação própria de cerca de 14 anos, não acompanhou a evolução da sociedade de informação, pelo que é um diploma limitado, em determinadas áreas - que estão neste momento a ser objecto de estudo ou decisão na UE.

Ao preconizar a livre circulação de dados pessoais na União e ao harmonizar as legislações de todos os Estados-membros, a Directiva - e espera-se as leis nacionais - contribuirá, no mínimo, para um regime mais coerente na Europa.

A Proposta de lei - neste quadro de harmonização europeia, a que Portugal está obrigado - não deixará, cumprindo este espírito de constituir uma evolução positiva e mais um passo na consolidação dos direitos face à informática.

 

4. Actividade da CNPDPI junto da Comissão de Acesso aos Documentos

Administrativos (CADA)

A Comissão de Acesso aos Documentos Administrativos (CADA) é a entidade pública independente, que assegura o direito de acesso, de acordo com a lei nº 65/93, de 26 de Agosto. A Comissão Nacional de Protecção de Dados Pessoais Informatizados designa dois reprentantes para esta Comissão, um efectivo e um suplente. Foram, designados para o mandato que se iniciou no ano de 1997, respectivamente os Drs. João Labescat e Amadeu Guerra

A CADA, na sua nova composição, tomou posse perante o Senhor Presidente da Assembleia da República, no dia 3 de Setembro, passando a ser presidida pelo Juiz Conselheiro Agostinho de Castro Martins.

Durante o ano de 1997, realizaram-se 22 reuniões (9 entre Janeiro e Setembro e 13 já com a nova composição, a partir de Setembro), tendo sido emitidos 124 Pareceres, dos quais 19 couberam ao representante da Comissão de Protecção de Dados (ou seja, uma percentagem superior, face ao número de membros-10).

Nos primeiros oito meses a actividade da CADA foi reduzida, tendo inclusivé sido altamente prejudicada pela instabilidade gerada nos seus serviços de apoio.

A partir de Setembro reforçou-se a assessoria jurídica da Comissão e aprovou-se na generalidade um plano de actividades para 1998.

Dos 19 Pareceres, cabe destacar, os seguintes pontos principais:

a) a não confundibilidade no regime de acesso iniciado com base no Código de Procedimento Adminstrativo, com posterior reclamação para a CADA, deixando claro a incompetência desta entidade em pronunciar-se sobre pedidos dirigidos à administração fora do âmbito da lei nº 65/93.

b) a classificação como documento administrativo, a todos acessível, de dados e documentos relativos à autorização para o exercício de actividades privadas por parte de funcionários e agentes da administração pública, no âmbtito do decreto-lei nº 413/93.

c) os limites de acesso de advogados à informação e a dados de natureza fiscal, na posse da administração, sem a habilitação de poderes de representação.

d) a delimitação do direito de acesso face ao regime da lei de segredo de estado, quanto ao processo do "urânio", detido pelo gabinete do Ministro da Economia.

e) a aplicabilidade da lei de acesso à Comissão Nacional de Eleições, e aos processos dela constantes, em particular aos documentos relativos ao financiamento das campanhas eleitorais e contas eleitorais, apresentados pelas candidaturas áquela Comissão.

Relativamente ao grau de penetração da Administração Aberta em Portugal e, pese embora, alguns avanços significativos na disponibilização de informação na internet, constata-se que existe um claro desconhecimento da Lei de acesso e dos seus mecanismos, da mesma forma que a CADA continua a ser uma entidade que necessita de projectar, para a administração e para o público, mais eficazmente a sua acção neste campo.

 

5. Decisões de Tribunais Superiores

5.1 Legalização dos ficheiros da Administração Pública

Em Maio de 1997, o Tribunal Constitucional considerou que alguns dados de saúde se integram na esfera da vida privada, sendo por isso matéria de direitos, liberdades e garantias, pelo que só a Assembleia da República é competente para legislar.

Este acórdão surge na sequência de um pedido do Senhor Presidente da República de fiscalização preventiva da constitucionalidade de um diploma do Governo que regulamentava os ficheiros automatizados dos registos oncológicos.

No seguimento deste acórdão do Tribunal Constitucional, o Governo propôs-se fazer alterações dos artigos 44º e 45º da Lei 10/91, no sentido de reabrir o prazo para a legalização dos ficheiros da Administração Pública.

A CNPDPI entendeu que a dilacção poderia levar a um continuado incumprimento da lei, e que se deveria encetar por outro caminho. Propôs assim ao Governo que, enquanto não estivessem encontradas soluções ao nível legislativo, fossem comunicados à Comissão os ficheiros contendo dados sensíveis existentes nos serviços públicos, com o objectivo de assegurar um efectivo controlo por parte da CNPDPI, nomeadamente através da definição de regras de segurança no acesso à informação, que permitisse a defesa da privacidade dos cidadãos.

5.2 Legislação laboral e protecção de dados

Em Junho de 1997, o Supremo Tribunal Administrativo pronunciou-se sobre a utilização de cartões magnéticos para o controlo das idas dos trabalhadores à casa-de-banho.

No seguimento de uma averiguação, a Comissão verificou estarem a ser utilizados numa empresa de calçado cartões magnéticos que registavam informaticamente o tempo de permanência dos seus trabalhadores na casa-de-banho.

A CNPDPI considerou tratar-se de uma clara violação da privacidade, pelo que ordenou a interrupção do ficheiro. A empresa alegou tratar-se de um ficheiro para mera gestão de serviço, encontrando-se por isso fora do âmbito de aplicação da lei 10/91. Neste sentido, decidiu recorrer da decisão da Comissão para o Supremo Tribunal Administrativo, cujo acórdão veio confirmar a decisão da CNPDPI.

Este acórdão reveste-se da máxima importância, na medida em que foi a primeira vez que um tribunal superior se pronunciou sobre a interpretação da expressão "uso pessoal ou doméstico", contida no artº 3º nº2 da Lei 10/91: «A expressão só pode referir-se aos ficheiros contendo informações exclusivamente destinadas a uso por pessoa individual ou no âmbito doméstico (no sentido restrito ao domicílio familiar)».

Assim, confirmando as deliberações da Comissão proferidas nesta matéria, o STA concluiu, naquele contexto, no sentido de que os ficheiros automatizados instalados em empresa contendo dados pessoais relativos aos respectivos trabalhadores e empregados não cabem na isenção prevista nas alíneas a) e b) do nº 2 do artº 3º da Lei 10/91.

 

6. Cooperação institucional

Em 1997, à semelhança do que se tem passado nos anos anteriores, a Comissão manteve alguns contactos institucionais, na perspectiva da sempre desejável cooperação, vertente que consideramos de significativa importância na prossecução da nossa actividade.

Assim, a CNPDPI teve, a seu pedido, uma reunião com o Senhor Secretário de Estado da Presidência, Dr. Vitalino Canas, a quem entregou um documento dando conta da posição desta Comissão relativamente às bases de dados de entidades públicas que tratam dados sensíveis, no sentido de encontrar soluções para a sua legalização.

Foi então proposto por esta Comissão que, enquanto não fossem tomadas medidas legislativas que desbloqueassem o problema, os serviços públicos deveriam informar a CNPDPI da existência de ficheiros com dados sensíveis, sua estrutura e funcionamento.

Esta proposta foi aceite pelo Senhor Secretário de Estado, que deu essa mesma indicação aos serviços da Administração Pública, o que já teve resultados práticos, principalmente por parte das entidades hospitalares.

A Comissão manteve também um encontro com o Senhor Procurador-Geral da República para lhe entregar o relatório de actividades da Autoridade de Controlo Comum de Schengen, entidade na qual a CNPDPI está representada por dois vogais, e da qual Portugal tinha, na altura, a vice-presidência.

Nesse encontro, a Comissão aproveitou, de igual modo, para dar a conhecer melhor a actividade da CNPDPI, quer a nível nacional, quer a nível internacional, bem como dar conta da necessidade de sensibilizar os magistrados para estas novas matérias de protecção de dados, em particular no que diz respeito à análise das denúncias que a Comissão tem feito ao Ministério Público, no âmbito das suas atribuições.

 

7. Reuniões da CNPDPI com outras entidades

Com o objectivo de alcançar o pleno cumprimento da lei de protecção de dados, verificando constantemente a sua aplicação e tentando encontrar respostas para as questões concretas com que diariamente somos confrontados, a CNPDPI promoveu em 1997 várias reuniões de trabalho com entidades públicas e privadas.

Aliás, esta tem sido uma prática frequente desta Comissão no decurso da sua actividade, no sentido de agilizar os processos mais complexos de legalização de ficheiros e encontrar, através do diálogo, soluções equitativas para os problemas que nos são colocados.

Assim, a CNPDPI reuniu-se, entre outros, com o Banco de Portugal, a Direcção-Geral de Viação, a Brigada de Informática da Polícia Judiciária, no campo das entidades públicas.

Em relação às entidades privadas, a CNPDPI reuniu-se com várias associações representativas de sectores de actividade como a APIFARMA, a Associação Nacional de Farmácias, a Associação Portuguesa de Hospitalização Privada, a Associação Nacional de Laboratórios acreditados em Portugal, a Associação Portuguesa de Analistas Clínicos, a Associação de Marketing Directo, a Associação dos Hotéis de Portugal, a Associação de Empresas de Sondagens e Estudos de Mercado, a Associação Portuguesa de Informações e Negócios e a Associação Nacional de Empresas Lutuosas.

Manteve ainda mais de uma centena de reuniões com empresas individuais.

 

8. Participação da CNPDPI em Grupos de Trabalho

Em 1997, foi solicitada a esta Comissão a sua participação em alguns grupos de trabalho, tanto para colaborar na preparação de diplomas legislativos, como para dar o seu contributo em grupos de análise e reflexão.

A CNPDPI esteve, pois, integrada no grupo de trabalho de transposição da Directiva de protecção de dados, e participou no Livro Verde para a Sociedade de Informação, no âmbito da Missão para a Sociedade de Informação, no grupo de reflexão sobre a nova regulamentação de base de dados fiscais e no grupo de trabalho para a análise e reflexão sobre as normas actuais do instituto do segredo estatístico.

 

9. Participação da CNPDPI em seminários e colóquios

A Comissão regista, com agrado, que há um interesse crescente por parte de diversas entidades, nomeadamente instituições universitárias, pelas matérias de protecção de dados pessoais, atestado pelo cada vez maior número de debates promovidos sobre este tema e para os quais é solicitada a presença da CNPDPI.

E porque consideramos que a análise e discussão destes assuntos, sob ângulos distintos e com públicos diversificados, se reveste de importância fundamental numa sociedade que todos os dias nos suscita diferentes questões, a Comissão tem-se sempre, na medida das suas possibilidades, disponibilizado para aceitar os convites que lhe são dirigidos.

Em 1997, a CNPDPI participou em 13 iniciativas, nelas se englobando seminários, cursos e colóquios, sobre temas como a privacidade, a informática, a telemedicina, o marketing directo, as bases de dados públicas, as novas tecnologias e, naturalmente, a sua relação com a protecção de dados pessoais.

 

10. Internet

A CNPDPI disponibilizou em Abril de 1997 a sua página na Internet. Através do endereço http://www.cnpdpi.pt, os cidadãos e as entidades, nacionais e internacionais, passaram a poder aceder mais rapidamente a um vasto conjunto de informação relativa à protecção de dados pessoais e à actividade da Comissão.

Nesse sentido, pode encontrar-se informação resumida referente à composição e competências da CNPDPI, aos direitos dos cidadãos, às obrigações dos responsáveis pelos ficheiros, sobre como legalizar uma base de dados ou como apresentar uma queixa e solicitar esclarecimentos. Os relatórios da Comissão, bem como as suas decisões e orientações podem também ser consultados por esta via.

Está igualmente disponível legislação nacional, comunitária e internacional sobre matéria de protecção de dados, estando ainda acessível a ligação para outras instituições, nomeadamente para comissões congéneres europeias.

De igual modo, com o objectivo de agilizar os contactos com esta Comissão, é possível obter, através da Internet, o formulário para a legalização de ficheiros, tal como é possível enviar queixas ou reclamações por correio electrónico para cnpdpi@ cnpdpi.pt ou para cnpdpi@ mail.telepac.pt

Em nove meses de funcionamento, esta página foi visitada seis mil vezes, o que consideramos ser muito positivo. Se, por um lado, reflecte um interesse crescente sobre estas matérias, por outro, significa que a decisão desta Comissão em abrir uma página na Internet foi ao encontro das necessidades dos cidadãos.

 

11. Colóquio Direito à Vida Privada e Liberdade

Em 1997, a CNPDPI promoveu um colóquio sobre o Direito à Vida Privada e Liberdade, que teve lugar no dia 25 de Novembro, no Auditório da Torre do Tombo, em Lisboa.

Honraram-nos com a sua presença Sua Excelência o Presidente da República Dr. Jorge Sampaio, o Senhor Secretário de Estado da Presidência, Dr. Vitalino Canas, o Senhor Presidente da Comissão Parlamentar de Assuntos Constitucionais, Direitos, Liberdades e Garantias, Dr. Alberto Martins, o Dr. Magalhães Mota, o Prof. Doutor Paquete de Oliveira e o Senhor Deputado José Magalhães.

Os temas abordados neste colóquio foram a "Protecção e livre circulação de dados pessoais" e "A Sociedade informada: protecção de dados e liberdade de informação". Esteve em debate o novo regime constitucional de protecção de dados pessoais e as garantias dos cidadãos, a legislação da União Europeia, os futuros caminhos da legislação nacional, a comunicação social e a utilização de dados pessoais, bem como as questões que se levantam pela circulação de informação pessoal na Internet.

O colóquio foi aberto ao público, contando com a presença de mais de uma centena de participantes, e transmitido via Internet.

Com a realização deste colóquio, a Comissão pretendeu iniciar um ciclo de debates sobre o regime de protecção de dados pessoais, em Portugal, bem como a sua estreita relação com os desafios que diariamente são colocados pelos avanços da sociedade de informação.

No seguimento desta nossa vontade de continuar a incentivar a reflexão destas matérias, a Comissão decidiu fazer a edição das actas do colóquio para que o debate que lançámos possa chegar a um maior número de pessoas.

ESTATÍSTICAS 1997

 

 

 

CAPÍTULO II – SITUAÇÃO INTERNACIONAL

  1. Autoridade de Controlo Comum de Schengen

    Sistema de informação Schengen

    O Sistema de informação Schengen, que funciona desde 26 de Março de 1995, é um sistema informatizado comum, que se destina a preservar a ordem e a segurança públicas, incluindo a segurança do Estado, bem como a aplicação das disposições da Convenção sobre a circulação das pessoas.

    As informações inseridas no sistema são tipificadas na Convenção de Aplicação (artigo 94º) e organizadas de acordo com finalidades definidas( artigos 95º a 100).

    A Convenção prevê princípios de Protecção de dados, designadamente :o princípio da finalidade, a proibição de tratamento de dados sensíveis e limitação do tipo de dados tratados, fixação de tempo de conservação de dados, regras de segurança de todo o sitstema, existência de legislação e de autoridades independentes de protecção de dados nos países que inserem e consultam dados.A Convenção consagra ainda um conjunto de direitos dos cidadãos: direito de acesso, direito de rectificação, direito de instaurar acção, direito de eliminação, em casos determinados, direito de exigir a verificação dos dados.

    A Convenção prevê a existência de uma entidade de controlo - a Autoridade de Controlo Comum - composta por representantes de autoridades nacionais de protecção de dados, a quem compete verificar as condições de cumprimento dos princípios e dos direitos estatuídos.

    É de relevar que o Dr. João Labescat, foi eleito para Presidente da ACC, por unanimidade, para o mandato que se iniciou em Dezembro de 1997.

    Em 1997, o sistema passou a incluir dados da Itália, Grécia e Áustria, que se juntaram aos países que já participavam neste sistema comum: Alemanha, Bélgica, Espanha, França, Holanda, Luxemburgo e Portugal.

    Estão representados na Autoridade os países que fazem parte do sistema( através das comissões de protecção de dados nacionais), bem como a Dinamarca, Finlândia, Islândia, Noruega e Suécia, estes com o estatuto de observadores.

    A actividade da Autoridade de Controlo centrou-se:

    a) na consagração de garantias da sua intervenção independente, designadamente através da definição de uma linha orçamental e de plenas condições de informação e de acesso ao C-SIS, o que foi conseguido.

    b) na verificação das leis de protecção de dados pessoais da Itália e Grécia, nas recomendações e nos Pareceres relativos às condições de segurança no tratamento e transmissão de informações pessoais, ao tempo de conservação de dados, às indicações de identidades usurpadas, à transmissão de determinados dados à Interpol.

    De facto, o ano de 1997 foi de crucial importância para a cooperação policial e para o sistema de informação Schengen à escala europeia: o alargamento das condições de exercício da liberdade de circulação dos cidadãos a novos países, o reforço do sistema de segurança e de informação policial comum e a integração de Schengen na União Europeia.

    1997 foi um ano de afirmação da independência e confirmação da importância da actividade da Autoridade de Controlo Comum, enquanto órgão a quem compete velar pelos direitos e liberdades dos cidadãos, em particular quanto à protecção de dados pessoais.

    A ACC viu reconhecido o seu papel relevante pelas instâncias Executivas de Schengen: foi-lhe garantido um orçamento, através de uma linha orçamental autónoma, passou a receber com maior regularidade as informações indispensáveis ao exercício das suas missões, foram-lhe solicitados pareceres sobre várias matérias. As sucessivas Presidências de Schengen (uma palavra especial merece a Presidência Portuguesa, no primeiro semestre de 1997) passaram a atribuir importância acrescida à ACC.

    Cumprindo o plano de trabalho, deu-se durante este ano um passo determinante para a transparência no funcionamento do sistema e para a informação aos cidadãos. A ACC divulgou o seu Relatório na Conferência de Imprensa em Lisboa, em Abril de 1997, onde também decorreu, com êxito uma Reunião da ACC, transmitiu-o às instâncias Europeias e de Schengen, as Comissões nacionais apresentaram-no aos respectivos Parlamentos, o balanço foi publicado em várias edições e encontra-se nas páginas na Internet das Comissões de Protecção de Dados. A ACC não deixou também de alertar as instâncias competentes e a opinião pública quando tal se justificou para os problemas de segurança ocorridos aquando de uma fuga de informação de um dos Gabinetes Sirene. Ao mesmo tempo decidiu lançar, em cooperação com as entidades nacionais competentes uma campanha de informação centrada nos direitos dos cidadãos.

    A fuga de informações ocorrida no Gabinete Sirene Belga no final de Dezembro levou a ACC a tomar uma decisão de fiscalização imediata de todos os gabinetes Sirene, tendo tomada posição pública sobre a gravidade desta matéria e a necessidade de manter níveis de segurança elevados.

    A Comissão e a delegação portuguesa emitiram ou produziram pareceres sobre :

    a) as condições de acesso pela Interpol e outros países a dados não pessoais no sistema;

    b) a possibilidade de transmissão de dados de veículos furtados à Interpol;

    c) as condições de inserção de identidades usurpadas.

     

    No Programa apresentado pela Presidência Portuguesa, aprovado em Dezembro de 1997, foi decidido promover uma Conferência de Imprensa para apresentação do 2º Relatório de Actividades( em Bruxelas) e a realização, em Lisboa, do 1º Colóquio de iniciativa da ACC, sob o lema os Direitos dos Cidadãos face aos sistemas de informação policial.

  2. Conferência dos Comissários Europeus de Protecção de Dados – Reunião da Primavera

A Conferência anual dos Comissários Europeus de Protecção de Dados - a denominada "Conferência da Primavera" - continua a ser um lugar privilegiado de encontro e de balanço das vários iniciativas das autoridades nacionais, com vista a adopção de estratégias comuns nas múltiplas áreas em que se desdobra a protecção dos dados pessoais.

Neste ano de 1997, ocorreu em Viena de Áustria, a 24 e 25 de Abril, ali estando, mais uma vez representada a CNPDPI.

Para além do debate de questões várias relativas às necessidades organizativas do Secretariado da Conferência, ali foram passados em revista os relatórios dos vários Grupos de Trabalho existentes, em particular :

    • GERI - relatório da França ;

    • Telecomunicações e media - relatório Alemão (Berlim) ;

    • Crédito ao consumo - relatório da Inglaterra ;

    • Polícias, em especial a EUROPOL - relatório da Holanda.

Foram debatidas várias questões, posições comuns e recomendações dos Comissários Europeus de protecção de dados a fim de serem submetidas aos representantes da Comissão da União Europeia, como sejam as relativas aos instrumentos legais incómodos em matéria protecção de dados no seio das instituições da UE, à necessidade de ser tomada em consideração uma protecção adequada de dados no quadro de redacção de projectos de lei da UE, ao novo papel da protecção de dados no processo de elaboração de programas estatísticos da UE e vários outros.

Depois, em sessão já mais alargada, com a presença de representantes da Comissão da UE bem como de observadores de Estados Membros da UE ainda sem comissários de protecção de dados, foram apresentadas e discutidas múltiplas questões objecto de preocupação à escala europeia, tais como :

- As novas tecnologias que visam fazer sobressair a privacidade (Reino Unido)

- O dinheiro electrónico e vida privada (Finlândia)

- Os sistemas de reserva nos transportes aéreos (Suécia)

- As inciativas da sociedade de informação :

- Comércio electrónico (França)

- Governo electrónico e outras (Reino Unido)

- Biometria : utilização do som e imagem como identificadores (França)

A Conferência encerrou os trabalhos com um relatório da Comissão Europeia relativo aos desenvolvimentos em matéria de protecção de dados pessoais na UE e outro em matéria de contactos estabelecidos entre a Comissão Europeia e outros países sobre questões de protecção de dados pessoais.

 

  1. XIX Conferência Internacional dos Comissários de Protecção de Dados

     

    Uma discussão globalizante de toda esta matéria da protecção dos dados pessoais tem lugar também anualmente na Conferência Internacional de Comissários de Protecção de Dados Pessoais, assim comprovando e realçando a importância de toda esta matéria.

    A XIX Conferência decorreu no presente ano de 17 a 19 de Setembro, em Bruxelas, ali estando presentes peritos e especialistas de todo o Mundo.

    De entre as variadíssimas matérias ali abordadas, salientaremos, por assumirem inequívoca importância, os temas relacionados com os fluxos transfronteiras de dados pessoais e a necessidade de adopção de regras e princípios mínimos visando a obtenção da necessária protecção adequada, bem como a implementação da Directiva Comunitária 95/46/CE do Parlamento Europeu e do Conselho, de 24/10, nos diferentes países da UE e a sua repercussão externa.

    Temas como as auto-estradas da informação e a vida privada, ética, auto-regulamentação e lei, e a protecção de dados e a liberdade de expressão, em particular para fins jornalísticos, foram também objecto de interessantes comunicações.

    Ainda objecto de algumas intervenções foram também as matérias relativas à informação policial - em especial Schengen, Europol e Interpol –as questões relativas à generalização dos cartões de saúde, tal como foram ainda abordados os mais recentes desenvolvimentos em matéria de telecomunicações e teleserviços, com os sempre presentes problemas da Internet.

     

  2. Jornadas Euro Ibero-Americanas sobre protecção de dados pessoais

Em 12 e 13 de Junho de 1997 realizaram-se, em Madrid, as Jornadas Ibero-Americanas sobre protecção de dados.

Os países europeus presentes fizeram uma exposição inicial sobre alguns aspectos relevantes do direito interno em matéria de protecção de dados.

Os países latino-americanos deram conta de algumas disposições legais existente nos seus países. Não existem leis de protecção de dados.

Na generalidade dos países a protecção dos cidadãos é feita ao nível e no âmbito da protecção dos direito humanos e da intimidade.

Noutros casos a lei consagra já o direito de acesso (habeas data) - art.º 46.º da Constituição da Argentina - ou protege a «intimidade da vida privada» (art.º 72.º da Constituição do Uruguai).

A protecção dos cidadãos faz-se através dos princípios gerais do direito de personalidade, da protecção da privacidade e da intimidade.

A Venezuela deu conta de que está em curso a revisão da Constituição. O art.º 59º já prevê a protecção da honra, reputação e vida privada e poderá vir a ser consagrada a defesa da «intimidade familiar» e a «protecção da voz e da imagem».

Prevê-se que seja aditado o princípio do "habeas data". Em sede de «violação da correspondência» prevê-se que seja expressamente protegida a "correspondência electrónica".

Foi salientada a preocupação dos países da União Europeia em relação ao nível de protecção que deve ser assegurado. No continente americano, só o Canadá se tem preocupado com a protecção de dados. As preocupações da Comunidade são grandes em relação aos EUA.

Para os países da América Latina foi salientado o papel que a Conferência de Ministros de Justiça dos países Ibero-Americanos pode desempenhar no estabelecimento de regras básicas que permitam estabelecer um «diploma-quadro» em matéria de protecção de dados.

Foram salientadas as preocupações actuais em relação à INTERNET, particularmente em relação a aspectos relativos à recolha de dados no âmbito do emprego (recolha excessiva), à utilização da Internet pelos menores, ao comércio electrónico (necessidade de adoptar medidas de segurança eficazes) e à tele-medicina.

Em termos gerais, foi possível chegar às seguintes conclusões:

  • Constatar a inexistência de legislação sobre protecção de dados nos países latino-americanos;

  • Esses países deveriam ter normas que, no mínimo, estabelecessem garantias em relação à recolha de dados, direito de informação, acesso e correcção;

  • A Conferência de Ministros dos países Ibero-Americanos poderia introduzir, nos trabalhos do próximo ano, o tema da protecção de dados. Seria desejável a adopção de uma "lei quadro" relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;

  • Foi reconhecida a necessidade de os países trocarem informação sobre este tema;

  • Os países Latino-Americanos devem comunicar ao Grupo do artº 29º as alterações à legislação dos seus países para permitir que seja possível apurar o nível de protecção estabelecido nesses países;

  • O Grupo do artº 29º facultará a informação a que se refere o § 6º do artº 30º da Directiva - Relatório Anual - bem como outra informação sobre a sua actividade;

  • Poderão ser estabelecidos contactos bilaterais entre a União Europeia e os países Latino-Americanos ou as organizações em que estes se encontrem integrados.

  1. Participação em Grupos de Trabalho

    1. Grupo de Trabalho do Artº 29º da Directiva

O Grupo de Protecção de Dados, instituído pelo art. 29.º da Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, funciona junto da Comissão Europeia, com carácter consultivo e independente, e é composto por representantes das autoridades de controlo de protecção de dados dos Países membros da União Europeia.

O Grupo tem por missão analisar as questões relativas à aplicação das disposições nacionais de transposição da Directiva, com vista a contribuir para a sua aplicação uniforme, dar parecer à Comissão Europeia sobre o nível de protecção na Comunidade e nos países terceiros, aconselhar a Comissão sobre quaisquer projectos de alteração da Directiva e pronunciar-se sobre os códigos de conduta elaborados a nível comunitário.

O Grupo realizou quatro reuniões em 1997, ocupando-se em todas as reuniões do problema da transferência de dados para países terceiros, com vista à definição de critérios a ser utilizados em todos os países membros da União Europeia para garantir a uniformidade de actuações nesta matéria.

Para além desta matéria, o Grupo discutiu e aprovou a Recomendação nº 1/97 - "A legislação em matéria de protecção de dados e os media" e iniciou a discussão sobre os tratamentos de dados pessoais que devem ser comunicados às Comissões de Protecção de Dados pelos responsáveis, igualmente com o objectivo de elaborar uma recomendação.

Na sua reunião de Setembro, o Grupo apreciou o projecto de código de conduta sobre as reservas aéreas, tendo decidido instituir um subgrupo de trabalho para o estudar em profundidade.

Por fim, o Grupo discutiu e aprovou o documento denominado "Budapeste-Berlin memorandum" relativo aos problemas suscitados pela Internet e que contém um certo número de princípios orientadores, particularmente dirigido à definição das responsabilidades dos fornecedores de serviços e necessidade de cooperação internacional neste domínio.

 

5.2 Grupo de Trabalho de Polícias

1. O "Grupo de Trabalho" constituído no âmbito da EUROPOL pelos vários representantes das autoridades nacionais, continuou as suas reuniões periódicas, em Haia, agora visando sobretudo a elaboração do Regulamento Interno da futura Instância Comum de Controlo.

2. Este ano de 1997 reveste-se, contudo, de importância fundamental nesta área, podendo considerar-se como o ano zero da EUROPOL, face à concretização entre nós do SERVIÇO EUROPEU DE POLÍCIA, criado nos termos e com fundamento no disposto no Art.º K.3 n.º 2 al. c) do Tratado da União Europeia, de 07/02/92.

Com efeito, na sequência da Resolução da Assembleia da República nº 12/97, aprovada em 27/02, pela qual se recomendou ao Governo o envio urgente da proposta de resolução indispensável à aprovação da Convenção EUROPOL, assinada em Bruxelas em 26/07/95 - D.R. I Série-A nº 62, de 14/03/97 - veio esta a ser aprovada, para ratificação, pela Resolução da Assembleia da República nº 60/97, e ratificada por Decreto do Presidente da República nº 64/97 - D.R. I Série-A nº 217, de 19/09/97.

3. Eis, em traços gerais, o conteúdo da Convenção EUROPOL :

3.1. São objectivos da EUROPOL (Artº 2º) :

- A prevenção e o combate ao terrorismo,

- Ao tráfico de estupefacientes e

- A outras formas graves de criminalidade internacional

Tais objectivos, de realização necessariamente progressiva, serão alcançados, numa primeira fase, ocupando-se a Europol da prevenção e luta contra o tráfico de estupefacientes e de material nuclear e radioactivo, das redes de imigração clandestina, do tráfico de seres humanos e do tráfico de veículos roubados.

O mais tardar até dois anos após a entrada em vigor da Convenção - ou antes se o Conselho assim o deliberar por unanimidade - a Europol ocupar-se-à das infracções cometidas ou susceptíveis de serem cometidas, no âmbito de actividades de terrorismo que atentem contra a vida, a integridade física, a liberdade e os bens das pessoas, sem prejuízo ainda e também do Conselho, deliberando por unanimidade, encarregar a Europol de outras formas de criminalidade, tais como o branqueamento de capitais ligados às formas de criminalidade em causa e infracções conexas.

 

3.2. Constituem, por isso funções principais da Europol (Artº 3º) :

- Facilitar o intercâmbio de informações entre os EM. ;

- Recolher, coligir e analisar dados e informações ;

- Comunicar, sem demora, aos serviços competentes dos EM, através das Unidades Nacionais, as informações que lhes digam

respeito e informá-los, imediatamente, das ligações entre actos criminosos que tenha podido estabelecer ;

- Facilitar as investigações nos EM, transmitindo ás U.N. todos os dados pertinentes de que disponha ;

- Manter colectâneas informatizadas de dados.

 3.3. O Esquema Organizacional da EUROPOL

 A EUROPOL está ligada a cada Estado Membro através de uma única Unidade Nacional, constituindo o elo de ligação exclusivo entre a mesma e os serviços nacionais competentes.

Cada UN destacará para a Europol, pelo menos, um agente de ligação.

- Facultar à Europol os dados e informações necessárias

- Responder aos pedidos de dados, informações e consultas

Funções - Manter actualizados esses dados e informações

das - Explorar e difundir dados e inform. em proveito dos serv. comp.

UN - Fazer consultas e pedidos de dados, de inform. e análises à Europol.

-Transmitir dados à Europol para introdução nas colectânesas informatizadas.

- Velar pelo cumprimento das normas legais em cada intercâmbio

 

3.4. O Sistema Informático da Europol

Para cumprimento das suas tarefas, a Europol criará e manterá um sistema computorizado de informações - colectâneas informatizadas de dados - constituído por :

a) Um Sistema de Informações (Artºs 7º a 9º)

b) Os Ficheiros de Trabalho para fins de Análise (Artº10º)

c) Um Sistema de Indexação (Artº11º)

 

4. A Protecção de Dados Pessoais

De modo algum a matéria da protecção dos dados pessoais poderia quedar alheia em sede de EUROPOL.

Para além de apelar para que cada EM adopte legislação que assegure "um nível de protecção dos dados pelo menos igual ao decorrente dos princípios da denominada "Convenção 108", devendo ter-se "em conta também a Recomendação Nº R (87) 15 do Comité de Ministros do Conselho da Europa, de 17/09/87, relativa à utilização de dados pessoais pela polícia" - Artº 14º nº 1 - estatui-se que ela própria observará os princípios ali consignados, mesmo relativamente a "dados não informatizados" - nº 3.

Relativamente aos dados de maior sensibilidade, a que se refere o Artº 6º da "Convenção 108", "apenas serão autorizados se forem indispensáveis para a finalidade do respectivo ficheiro - de trabalho para fins de análise - e se complementarem outros já arquivados nesse mesmo ficheiro - Artº 10º nº 1.

Por outro lado, definem-se os responsáveis respectivos - cada EM e a Europol (Artº 15º) - adoptam-se regras de registo de consultas (Artº 16º), definem-se regras de utilização e de transmissão de dados (Artºs 17º e 18º), bem como sobre o direito de acesso, atribuído a todos, de forma indirecta (através da instância nacional de controlo) e gratuito de verificação, rectificação e apagamento de dados (Artºs 19º e 20º), sobre prazos de conservação (Artº 21º) e, exaustivamente, são também definidas as regras em matéria de segurança da informação (Artº 25º).

A obrigação de confidencialidade e sigilo é expressamente consagrada (Artºs 31º e 32º), e assegurada está também a responsabilidade por quaisquer danos causados aos cidadãos europeus, decorrentes do tratamento ilícito ou erróneo de dados (Artºs 38º e 39º).

5. O controlo em matéria de protecção de dados pessoais é assegurado de uma forma dupla :

    • Por um lado, através da cada instância nacional de controlo, que fiscalizará, "com isenção, e em conformidade com a legislação nacional", a introdução, a consulta e a transmissão de dados à Europol efectuada por cada EM, assegurando que não ocorre qualquer violação dos direitos das pessoas, podendo mesmo ter acesso aos gabinetes e à documentação dos respectivos agentes de ligação (Artº 23º).

    • Por outro, é criada uma instância comum de controlo, "independente, encarregada de fiscalizar a actividade da EUROPOL, em conformidade com" a Convenção (Artº 24º).

 

6. Da Instância Comum de Controlo

De natureza sempre discutível - entidade administrativa, verdadeiro tribunal, entidade supra-nacional ou representativa de cada instância nacional de controlo - a Instância Comum de Controlo é "constituída por um máximo de dois membros ou representantes - eventualmente coadjuvados por suplentes - de cada instância nacional de controlo (Artº 24º nº 1).

Os seus membros, que deverão "reunir as necessárias garantias de independência" e "possuir as capacidades adequadas às suas funções", são "nomeados pelos respectivos EM por um período de cinco anos", "não recebendo instruções de nenhuma autoridade".

Á mesm compete fiscalizar a actividade da EUROPOL, garantindo que a introdução, o tratamento e a utilização dos dados pessoais ao dispor dos serviços não constituem violação dos direitos das pessoas, cabendo-lhe ainda controlar a legitimidade da transmissão dos dados provenientes da EUROPOL.

A Instância Comum de Controlo será constituida, ainda no seu âmbito, por um comité, composto por um membro de cada delegação, cuja competência é a de apreciar os recursos interpostos pelos cidadãos relativos a :

    • Comunicação de dados introduzidos por um EM ou pela Europol no SI

    • Comunicação de dados contidos nos ficheiros de trabalho para fins de análise

    • Verificação de dados introduzidos por um EM ou pela Europol no SI ;

    • Verificação de dados constantes dos ficheiros de trabalho para fins de análise

Recursos em matéria de rectificação e apagamento de dados, caso a resposta da Europol não satisfaça a pessoa em causa ou no caso de não obter resposta àqueles no prazo de três meses.

PARTE II

Orientações da CNPDPI

Na impossibilidade de editar todas as autorizações e deliberações da Comissão, entendeu-se útil reunir, em Parte autónoma, as principais orientações estabelecidas para determinados sectores de actividade ou relativamente a matérias mais importantes, de forma a facilitar a compreensão dos critérios que foram sendo adoptados ou aplicados.

 

1. Princípios Gerais

Responsabilidade pela legalização dos ficheiros de sociedades interbancárias

As entidades financeiras a quem a Sociedade Interbancária de Serviços (SIBS) presta serviços são as responsáveis pela legalização dos ficheiros que gerem os cartões de crédito das entidades aderentes, pela utilização da informação no âmbito daquela finalidade, pela não transmissão daquela informação a terceiros ou pela não utilização da informação para finalidade diversa da determinante da recolha. (Deliberação 14/97)

Recolha indirecta de dados

As empresas de marketing directo quando recolhem dados de forma indirecta, devem registar as fontes da recolha de informação (art.2º nº3 do Código de Conduta dos Profissionais de Marketing Directo).

Registo de acção cível por parte de bancos comerciais

O registo de uma acção cível por parte do banco, em relação aos seus clientes, é lícito e legítimo. Está conforme com os princípios da adequação e da pertinência, não sendo excessiva em relação à finalidade, nem havendo qualquer objecção legal ao seu tratamento automatizado. Todavia, o tratamento e conservação desta informação deverá respeitar os princípios da exactidão e actualidade, tendo o titular dos dados o direito de ver actualizada a informação, quer explicando os motivos em que ocorreu a propositura da acção, quer reclamando a eliminação da informação nos casos em que haja absolvição ( cf. art. 30 nº1 e 2 da Lei 10/91 de 29 de Abril ).

Princípio da Finalidade

A informação contida nos registos informáticos de determinada Junta de Freguesia, relativa ao recenseamento eleitoral, só poderá ser utilizada para esse fim, ou outros com eles compatíveis, e à mesma não poderão ter acesso outros que não o titular da mesma . As excepções ao princípio do respeito pela finalidade do tratamento informático e da proibição de acesso de terceiros a dados pessoais de outrém deverão ser confinadas só aos casos legalmente previstos, como sejam quando solicitada pelos tribunais, pelas polícias enquanto "órgão de polícia criminal", por advogados e solicitadores no exercício das suas funções, bem como a todos aqueles que demonstrem um interesse pessoal directo e legítimo, legalmente reconhecido (deliberação 16/97).

No marketing directo o princípio da finalidade não abrange todas as iniciativas que envolvem o envio correio ou de contacto telefónico com as pessoas. Não basta que os dados se destinem a uma operação de marketing para que se achem cumpridos os requisitos da adequação e pertinência, ou da utilização para a finalidade determinante da recolha, e que seja permitido, sob a capa de uma actividade de marketing, a sua utilização indiscriminada. Os princípios da adequação, pertinência e finalidade determinante da recolha têm conexão directa e não podem ser dissociados.

A utilização de dados constantes de ficheiros de marketing para apresentação de propostas de resolução de problemas pessoais, ofertas de números de sorte ou acções publicitárias de cartomantes e astrólogos, viola o princípio da finalidade. A utilização de ficheiros informatizados para marketing directo deve ser conformado e completado pelos critérios da adequação e da pertinência, não sendo possível separar critérios e especificações legais e a "finalidade que determinou a recolha".( deliberação 24/97 )

Não se inclui na finalidade da base de dados do registo automóvel a utilização desses dados para fins de marketing. A utilização de uma base de dados, embora pública, para fins de marketing, tem que ser balizada pelos critérios da finalidade da base de dados constituída e pelo volume de informação a que se pretende aceder. O registo automóvel é um registo público que se destina a garantir a segurança do comércio jurídico e a publicidade dos direitos inerentes à propriedade automóvel. (Deliberação 25/97).

Se uma empresa pretende utilizar informação constante dos ficheiros originariamente destinados à facturação para outra finalidade, violando os considerandos que isentavam tais ficheiros da obrigatoriedade de registo nesta Comissão, assim como contrariando a finalidade da recolha de dados anteriormente expressa, deve solicitar a legalização do ficheiro junto da CNPDPI.

Exercício do direito de acesso aos dados e direito de eliminação

O direito de acesso aos dados é um direito essencial, no âmbito dos direitos face à informática. Pedido o direito de acesso por um particular, este deve ser respondido, em tempo curto e sem delongas. O acesso aos dados, a sua actualização ou correcção deve ser garantida no mais curto prazo de tempo, em face das circunstâncias do pedido. É admitido o acesso por telefone ou outro meio, desde que garantida a identificação do titular dos dados.

Quanto ao exercício do direito de eliminação chama-se a atenção de que, sem prejuízo do prazo estabelecido no instrumento de legalização para cada entidade, a eliminação por parte do responsável do ficheiro não pode exceder 90 dias após apresentação do pedido.

 

2. Protecção de Dados Pessoais no âmbito das Telecomunicações

Na Autorização nº 8/97 a CNPDPI pronunciou-se sobre a natureza e conteúdo dos ficheiros informatizados que servem de base ao sistema de informação do serviço de telecomunicações complementar móvel.

Com vista a garantir a segurança, a certeza e a fiabilidade das chamadas telefónicas, bem como a facturação e pagamento, é possível o registo do nome, morada, tipo de posto de telefone utilizado, unidades de conversação, dia e hora de início, tempo de conservação e número chamado.

Documentos de recolha de dados

Os documentos de recolha de dados pré-contratuais e contratuais, devem conter as menções constantes do artigo 22 º da Lei nº 10/91 de 29 de Abril, designadamente quanto aos direitos de acesso, as opções de facturação, eliminação, condições da divulgação dos dados, condições da comunicação a empresas prestadores de serviços, possibilidade de oposição para fins de marketing, ou opção pela confidencialidade.

Acesso aos dados

O direito de acesso aos dados registados é restringido ao próprio titular dos dados e aos funcionários devidamente credenciados, de acordo com os níveis de atribuições funcionais e respectivas categorias de acesso e normas de segurança, com vista a garantir a confidencialidade, a inviolabilidade e a não ingerência das comunicações.

O direito de acesso a dados de terceiros é admitido, desde que exercido pelo titular do posto chamador, na medida em que seja necessário à finalidade de facturação e controlo de chamadas, nos seguintes termos:

- A opção pela facturação global, itemizada ou detalhada deve ser conhecida do titular na outorga do contrato que a define;

- Devem ser asseguradas diferentes alternativas de identificação das chamadas para facturação (designadamente através de facturação global, itemizada ou detalhada, com ocultação dos três últimos dígitos), restringindo-se o direito de acesso a dados de terceiros apenas aos dados referidos e, caso a caso, por opção do titular do contrato, à identificação detalhada dos números chamados, de forma integral, desde que por pedido escrito, com garantia de identificação do titular do contrato em nome do qual se encontra instalado o equipamento chamador, do qual se pretenda obter a facturação.

- O direito de acesso é exercido, com a declaração do requerente, de utilização exclusiva de controlo da facturação, de acordo com o limite da finalidade definido no artigo 15º da lei nº 10/91 de 29 de Abril.

- As condições de exercício do direito de acesso devem ser conhecidas dos titulares.

Direito de eliminação

Sempre que o equipamento instalado permitir a identificação da linha chamadora, designadamente através do sistema de centrais digitais e RDIS, deve ser assegurado ao assinante o direito de eliminar a identificação da sua chamada, bem como a eliminar de forma permanente essa identificação, sem prejuízo dos registos necessários ao controlo das chamadas acessíveis apenas ao próprio e à empresa ....

O assinante chamado deve no caso e nas condições referidas no número anterior poder obstar a que o seu equipamento receba chamadas não identificáveis, o que deve ser garantido em prazo adequado.

Direito de oposição

Os dados pessoais, tendo em consideração o princípio da finalidade do ficheiro e as características do serviço móvel, só poderão ser utilizados para marketing da própria empresa, o que deve ser referido de forma expressa nos documentos de recolha de dados, com possibilidade de oposição.

Os dados pessoais não podem ser comunicados ou utilizados por terceiros para efeitos de marketing ou de telemarketing.

Reencaminhamento de chamadas

O serviço de reecaminhamento de chamadas de um assinante para um posto do qual o requerente do serviço não seja titular, que no serviço móvel terrestre é executado pelo próprio no equipamento móvel, apenas pode ser utilizado se o titular do posto para o qual for reencaminhada a chamada tiver possibilidade de vir a pôr fim ao reencaminhamento, o que deve ser garantido em prazo adequado.

Comunicação de dados

Os dados pessoais (nome e o nº de telefone móvel) de clientes podem ser comunicados a terceiros através de um serviço informativo, desde que os clientes e os titulares do cartão não tenham solicitado a sua confidencialidade. Não podem ser comunicados a terceiros quaisquer outros dados registados com a finalidade de prestação do serviço telefónico ou divulgados em listas, salvaguardadas as competências próprias legalmente definidas em processo criminal.

Inter-relacionamento de informações

O inter-relacionamento interno das informações registadas deve corresponder à finalidade do registo e às estatísticas necessárias.

É proíbida a interconexão ou o inter-relacionamento de informação e de dados constantes de outros sistemas de comunicação geridos por outros operadores.

As empresas que prestam serviços de cobrança estão igualmente sujeitas ao dever de sigilo, não podendo utilizar tais dados para quaisquer outros fins, nem relacioná-los com outros dados que possuam, devendo ser garantidas estas condições na relação contratual.

Listas de assinantes

As listas de assinantes de clientes de telefones móveis, que de momento não existem, só poderão conter os dados pessoais indispensáveis ao funcionamento do serviço, ou seja o nome e número de telefone móvel, desde que os clientes expressamente o solicitem.

As listas de assinantes não poderão incluir quaisquer outros dados ou elementos constantes ou a constar de outras listas de prestadores de serviço telefónico.

Deve ser garantido ao titular assinante do serviço, a possibilidade de os seus dados pessoais, e de forma gratuita, não constarem de listas de assinantes. O direito à não divulgação do número de telefone pelo serviço informativo deve, igualmente, ser assegurado.

O serviço informativo não comunica dados pessoais que, por opção do titular, sejam confidenciais.

Período de conservação dos dados

Estipularam-se diferentes períodos de conservação dos dados de facturação registados de forma detalhada, de acordo com as situações de pagamento/ incumprimento/ resolução do contrato ou, ainda, tratando-se de dados conservados de forma itemizada, agregada ou global, de acordo com as necessidades do sistema de informação da empresa, e as disposições legais aplicáveis à conservação de documentos.

Base de dados de contencioso

É autorizado o funcionamento da base de dados de contencioso para acompanhamento dos processos judiciais, incluindo os processos crime, bem como os dados relativos a cheques, sem cobertura ou falsificados. A informação respeitante aos processos em causa é de acesso restrito ao serviço de contencioso. O serviço de clientes poderá ter acesso ao nome e montantes em dívida do cliente, com a indicação se existe ou não processo. A base de dados terá que manter-se actualizada, não podendo ser conservados dados, em listas negativas, após decisão judicial favorável ao cliente. Não é autorizado o tratamento de quaisquer outros dados relativos a suspeitas de actividades ilícitas.

 

3. Cedência de dados para finalidade diferente da que determinou a recolha

A Comissão considerou justificado e legítimo o acesso a informação pública ou "tendencialmente pública", considerada necessária e indispensável para a elaboração de um estudo sobre saúde pública, pese embora a finalidade diversa para que a informação foi recolhida. Fê-lo, atendendo aos interesses em causa e, fundamentalmente, porque se mostravam asseguradas as garantias adequadas quer de não discriminação, quer de tomada de decisões desfavoráveis aos titulares.

A informação a prestar estava dependente quer de esclarecimento previamente prestado, quer do subsequente consentimento ou da não oposição do respectivo titular, que sempre se poderia opôr à participação no referido estudo. O estudo assegurava o sigilo e confidencialidade dos dados.

 

  1. Tratamento de Dados de Saúde

    Dados referentes ao "estado de saúde"

    Para a realização de análises laboratoriais será recolhidos, normalmente, a identificação do cliente, nome da entidade requisitante ( vg. ARS, Hospital ), nome do médico que solicitou a análise, tipo de análise requerida e registo dos resultados laboratoriais. Considerou a CNPDPI tratar-se de dados relativos ao "estado de saúde", enquadráveis na previsão do artº 11º nº1 al.b) da Lei 10/91, de 29 de Abril, na redacção da Lei 28/94 de 29 de Agosto.

    Estes dados são pertinentes, necessários e não excessivos em relação à finalidade do ficheiro.

    Os dados relativos a "actos médicos" a que são submetidos os doentes, nomeadamente código de exame, intervenção associada, tipo de anestesia e alergias, são considerados como relativos ao "estado de saúde" dos respectivos titulares, tendo em conta o conceito de "dados médicos" como sendo os referentes a todos os dados de carácter pessoal relativos à saúde de uma pessoa, bem como aqueles que tenham uma ligação manifesta e estreita com a saúde - cfr. Princípio 1. do Projecto de Revisão da Recomendação Nº R (81) 1, de 23/01, relativa à regulamentação dos bancos de dados médicos.

    Consumo de tabaco, café, drogas e alcoolémia

    O registo de informação sobre consumo de tabaco, café e álcool no âmbito da medicina do trabalho pode relacionar-se com certas sintomatologias e com outros dados de saúde. O seu tratamento não se enquadra no conceito de «vida privada» mas de "estado de saúde".

    No que respeita ao consumo de drogas e à alcoolémia, considerou a CNPDPI que, como regra geral, não deveria ser autorizado o seu tratamento automatizado, de forma generalizada, para todas as categorias profissionais. O registo generalizado e detalhado do consumo de álcool (moderado, excessivo ou perigoso) ou do consumo de estupefacientes pode constituir uma devassa injustificada nos hábitos do trabalhador. Para a generalidade dos trabalhadores, o médico do trabalho pode tomar outras medidas preventivas de observação e acompanhamento, nomeadamente reduzindo a periodicidade dos seus exames ( cf. artº 16º nº4 do DL 26/94 ).

    Porém, o direito à privacidade pode ser limitado quando houver razões de interesse público relevante ou estiver em conflito com outros direitos constitucionalmente consagrados. Por isso, para algumas categorias profissionais, admite-se que sejam tomadas medidas de vigilância e de registo automatizado de meios auxiliares de diagnóstico ou de testes para prevenir perigos para a integridade física ou a vida de terceiros.

    No domínio da Gestão Hospitalar é recolhida normalmente, informação sobre a identificação do doente, dados de saúde resultantes de exame directo e /ou resultado de meios auxiliares de diagnóstico, fornecidos por profissionais de saúde. Acontece, ainda, que o hospital pode tratar informação sobre os titulares e sua família, tendo em vista a delimitação do " ambiente familiar, social e profissional " do interessado.

    As interligações da informação dispersa sobre saúde, acção social e aquisição de medicamentos em relação ao mesmo titular são factores de risco de intromissão na vida privada e, por isso, a lei aponta para a necessidade de definir regras e princípios no âmbito dos ficheiros automatizados.

    No caso de um ficheiro de apoio às comparticipações em que para além de dados pessoais sobre o estado de saúde - como doença crónica, tipo de educação especial, indicação de toxicodependência - são tratadas informações de carácter social, registadas em "campo livre" pelas assistentes sociais, merece particular realce a necessidade de ser obtido o consentimento esclarecido do titular para proceder ao tratamento automatizado dos seus dados de saúde e dos dados de carácter social.

    Dados relativos à toxicodependência

    No caso da indicação de toxicodependência o titular pode exigir a não inscrição deste dado.

    O responsável do tratamento automatizado ou um médico por ele designado deverá ser o garante do respeito do sigilo médico, cabendo-lhe a definição do perfil dos utilizadores.

    No seguimento desta metodologia considera-se que as pesquisas ou tentativas de pesquisa deverão ser registadas (na sua totalidade ou de modo aleatório) sendo feitas auditorias/amostragens para garantir a segurança e o grau de confidencialidade.

    Recolha e utilização de dados

    A Lei 10/91 não estabeleceu qualquer especialidade para a recolha de dados relativos ao estado de saúde. Os titulares devem ser informados da finalidade da recolha e, especialmente, sobre os destinatários das informações.

    Deve ser dada particular atenção aos princípios da adequação e da pertinência, os quais apontam para a recolha " necessária" e "indispensável" dos dados em função dos objectivos e cuidados de saúde a prestar.

    Os dados registados não poderão ser utilizados para finalidades diversas das determinantes da recolha ( cf. artº 5º da Conv.de Protecção de Dados, ratificada por Dec. do Presidente da República nº 21/93 de 9/7 in D.R. de 20/8/93 ). O artº 15º da Lei 10/91 determina que: "os dados pessoais só podem ser utilizados para a finalidade determinante da sua recolha, salvo autorização concedida por lei".

    Daqui resulta, a título de exemplo, que os dados relativos ao internamento na maternidade não podem ser utilizados para acções de "mailing" de produtos destinados a recém-nascidos (salvo autorização dos titularwes, depois de informados sobre o destino e utilização dos dados), assim como os dados de saúde não poderão ser transmitidos a Companhias de Seguros para efeito de celebração de seguros de Saúde ou seguros de vida ou, até, para outros efeitos.

    A utilização dos dados para finalidade diversa - quando haja previsão legal - está dependente de autorização da CNPDPI, nos termos do artº8º al.c) da Lei 10/91.

    Admite-se a utilização para finalidade diversa para fins de investigação ou estatística, desde que não possam ser identificáveis as pessoas a que respeitem os dados ( cf. artº 11º nº2 da Lei 10/91 ).

    Utilização/ Comunicação de dados

    A Comissão pronunciou-se sobre o acesso a dados pessoais confidenciais, no caso em concreto a morada. Perante um pedido de autorização de um estabelecimento de saúde para comunicar ao seu Capelão dados pessoais relativos aos doentes falecidos, nomeadamente as respectivas moradas, a Comissão entendeu autorizar a comunicação pretendida, no pressuposto de que a utilização do dado era compatível com a finalidade determinante da recolha, desde que a prestação da assistência religiosa tenha sido iniciada a pedido do doente.

    Autorização dos titulares dos dados

    Porque se trata de dados sensíveis (dados de saúde), o seu tratamento automatizado por parte de entidades privadas só pode ser efectuado mediante autorização do titular dos dados ( cf. artº 11º nº 3 e 17 º nº 2 da Lei 10/91 de 29 de Abril, na redacção da Lei 28/94 de 29 de Agosto).

    O consentimento deverá ser expresso, com conhecimento prévio do destino e utilização dos dados .

    Direito à autodeterminação informacional

    Reconhecendo aos titulares dos dados o direito à "autodeterminação informacional", deve-lhes ser assegurado o direito de, se assim o manifestarem, eliminação dos dados relativos aos resultados das análises clínicas. A eliminação deverá ocorrer imediatamente após a impressão, em suporte de papel, dos resultados das análises. Este direito assume especial relevância quando se trata de exames com maior grau de sensibilidade: exames genéticos, HIV, doenças venéreas e consumo de drogas.

    Direito de acesso

    O direito de acesso por parte dos titulares configura-se, no nosso ordenamento jurídico e à semelhança do que acontece noutros países europeus, como de "acesso indirecto". O Código Deontológico dos Médicos - no seu artº 40º - estabelece o princípio de que o "prognóstico e o diagnóstico devem ser revelados ao doente, salvo se o médico, por motivos que em sua consciência julgue ponderosos, entender não o dever fazer".

    Na mesma linha, dispõe o artº 28º nº 3 da Lei 10/91 que "a informação de carácter médico deve ser comunicada à pessoa a quem respeite, por intermédio de médico por ela designado". O médico pode não ser o "médico assistente" ou o médico que elaborou a ficha clínica do doente.

    Garantias de não discriminação

    Não basta que os responsáveis dos ficheiros se limitem a obter a autorização dos titulares para poderem tratar dados sensíveis, concretamente dados de saúde. É necessário, em função do tipo e forma como a informação é tratada, que a CNPDPI verifique se o processamento da informação é feito «com garantias de não discriminação ».

    Sigilo Profissional e Acesso à Informação

    Havendo informação diferenciada considerou a Comissão que deverá ser atribuídos diferentes "níveis de acesso": - os dados administrativos e de identificação devem ser separados dos dados clínicos, sendo os dados clínicos de acesso restrito aos profissionais de saúde .

    Mesmo dentro dos próprios dados de saúde é admissível a existência de informação "especialíssima" - porque extremamente sensível (íntima) ou susceptível de integração no conceito de "vida privada" - à qual só o médico assistente poderá ter acesso ou que não pode, mesmo, ser tratada (porque o doente não autorizou o seu tratamento automatizado).

    Tempo de conservação dos dados

    Quanto aos resultados das análises clínicas feitas por laboratórios não há qualquer justificação ou pertinência para guardar esta informação por um período superior a 3 anos.

    Dados não identificáveis

    Admite-se que sejam guardados por período indeterminado os dados clínicos para efeitos de investigação estatísticas, desde que não sejam identificáveis as pessoas a que respeitam (cf. artº 11º nº2 da Lei 10/91 de 29 de Abril e artº 5º al. e) da Convenção do Conselho da Europa ratificada pelo Dec. do Presidente da República nº 21/93, in D.R. Iª Série de 20/08/93).

     

  2. TRATAMENTO DE DADOS GENÉTICOS

A Recomendação do Conselho da Europa relativa à protecção de dados médicos define o dado genético como o dado respeitante às características hereditárias de uma pessoa ou relacionado com essas características, constituindo o património de pessoas aparentadas. Abarca ainda o conceito a troca de informação genética de um indivíduo ou de uma linha genética, respeitante aos aspectos da saúde, quer tenha ou não carácter identificador.

A CNPDPI, na Autorização 67/97, considerou que os dados genéticos se integravam no conceito de dados pessoais para efeitos da lei de protecção de dados.

Para além do seu carácter de dados de identificação, sem tradução patológica, isolada ou cruzadamente, estes dados constituem indicadores que permitem revelar o estado de saúde, ou, pelo menos, possibilitam ou facilitam diagnósticos que identificam eventuais estados patológicos, designadamente quanto a factores de risco para o desenvolvimento de determinadas doenças. Não se devem cindir, para efeitos da lei de protecção de dados pessoais, as investigações de natureza genética, de outro tipo de análises que se dirijam ao corpo humano; contudo há que atribuir reforçada protecção aos dados genéticos, os quais ultrapassam, em muito, uma mera identificação da pessoa. Estes dados podem ter uma utilização directa ou indirecta na leitura, não apenas dos factos hereditários, como no próprio estado de saúde e, no extremo, poderão tocar e afectar o núcleo da privacidade.

Reconduzindo-se ao conceito de estado de saúde, nos termos da lei de protecção de dados pessoais, a informatização de dados genéticos identificados está sujeita às regras do nº 2 do artº 17º da Lei 10/91.

O tratamento automatizado de dados genéticos respeitantes a pessoa identificada ou identificável deve ter como base a autorização expressa do titular dos dados, com conhecimento do destino e utilização, independentemente dos testes serem requeridos pela autoridade judiciária ou pedidos por médico.

É proíbida a utilização de dados genéticos para quaisquer outros fins dos que decorrem da recolha de dados

Os dados administrativos devem ser separados logicamente dos dados genéticos.

Devem ser reforçadas as medidas de segurança designadamente através da criação de password de acesso a dados genéticos.

Estabeleceu-se que os dados genéticos são comunicados à pessoa a que respeitem através de médico por ela designado, nos termos do nº3 do artº 28º da lei 10/91 ( só quanto a dados conexos com o estado de saúde).

Considerou-se que os dados genéticos identificados só podem ser acedidos por médicos, analistas ou investigadores e técnicos de saúde, desde que ligados à actividade da entidade que pediu a Autorização e desde que tal se justifique de acordo com as respectivas funções.

 

  1. COBRANÇA DE CRÉDITOS E INFORMAÇÃO NEGATIVA

Ficheiros de cobrança de créditos

Se a empresa procede à recolha indirecta dos dados pessoais junto das empresas credoras, que recorrem aos seus serviços, deve assegurar o direito de informação e, de forma coordenada com as entidades credoras, os direitos de actualização, rectificação e acesso. O direito de informação inclui o tipo de dados, a sua origem e os fundamentos da indicação no momento da sua inserção no sistema. É permitida a rectificação de erros ou omissões mediante prova dos factos alegados.

A empresa responsável pelo ficheiro deve manter actualizada a indicação da empresa que comunicou a necessidade de cobrança e demais elementos relativos à cobrança de créditos. Se a situação de cobrança de crédito se dever a diferendo contratual, deve tal facto constar do tratamento informatizado e ser informada a empresa onde os dados tiveram origem.

Não são autorizados registos sobre hábitos ou a vida privada das pessoas.

Actualização de Informação

A inexistência de disposição legal que permita a conservação de «informação negativa», depois de regularizada a dívida, não habilita a CNPDPI a autorizar a manutenção desses dados, sob pena de violação do princípio da actualização consagrado no art.14º da Lei 10/91.

As entidades financeiras aderentes ao sistema de informação recíproco devem comunicar à empresa de informações a eliminação das referências sobre incidentes de crédito logo que o crédito seja liquidado. Fica o responsável do ficheiro obrigado a eliminar as «referências negativas», garantindo, desse modo, o disposto no art. 14º da Lei 10/91 - «os dados devem ser exactos e actuais» (deliberação 2/97).

Os dados respeitantes a incidente de crédito só devem ser conservados enquanto este se verificar. Pretende-se, assim, que a informação seja eliminada logo que cesse o incidente ou a dívida esteja paga, ou seja, logo que deixe de existir o motivo que determinou a anotação da « informação negativa».

Logo que cesse o incidente, devem as empresas participantes em sistemas de informação recíproca comunicar essa ocorrência à empresa de informações de crédito, a qual imediatamente procede à eliminação do incidente («informação negativa»). Pode a empresa de informações estabelecer mecanismos de auditoria tendentes à verificação das condições e circunstâncias que determinaram a alteração/eliminação nos registos (Deliberação 19/97).

Deliberações

  1. Deliberação n.º 1/97

  2. Deliberação n.º 3/97

  3. Deliberação n.º 4/97

  4. Deliberação n.º 11/97

  5. Deliberação n.º 14/97

  6. Deliberação n.º 15/97

  7. Deliberação n.º 16/97

  8. Deliberação n.º 19/97

  9. Deliberação n.º 21/97

  10. Deliberação n.º 25/97

  11. Deliberação n.º 28/97

  12. Deliberação n.º 33/97

  13. Deliberação n.º 38/97

  14. Deliberação n.º 40/97

  15. Deliberação n.º 41/97

 

Autorizações

  1. Autorização n.º 8/97

  2. Autorização n.º 11/97

  3. Autorização n.º 13/97

  4. Autorização n.º 19/97

  5. Autorização n.º 20/97

  6. Autorização n.º 24/97

  7. Autorização n.º 26/97

  8. Autorização n.º 28/97

  9. Autorização n.º 29/97

  10. Autorização n.º 30/97

  11. Autorização n.º 31/97

  12. Autorização n.º 32/97

  13. Autorização n.º 46/97

  14. Autorização n.º 59/97

  15. Autorização n.º 66/97

  16. Autorização n.º 67/97

  17. Autorização n.º 98/97

  18. Autorização n.º 99/97

  19. Autorização n.º 101/97

  20. Autorização n.º 104/97

  21. Autorização n.º 114/97

  22. Autorização n.º 115/97

  23. Autorização n.º 116/97

  24. Autorização n.º 117/97

  25. Autorização n.º 118/97

  26. Autorização n.º 121/97

 

Pareceres

  1. Parecer n.º 1/97

  2. Parecer n.º 2/97

  3. Parecer n.º 3/97

  4. Parecer n.º 4/97

  5. Parecer n.º 5/97

  6. Parecer n.º 6/97

  7. Parecer n.º 7/97

  8. Parecer n.º 8/97

  9. Parecer n.º 9/97

  10. Parecer n.º 10/97

  11. Parecer n.º 11/97

  12. Parecer n.º 12/97

  13. Parecer n.º 13/97

  14. Parecer n.º 14/97

  15. Parecer n.º 15/97

  16. Parecer n.º 16/97

  17. Parecer n.º 17/97

  18. Parecer n.º 18/97