Voltar à Página de entradaVoltar à Página de entrada

Pesquisar por palavra         

Français English
Ir para o Sítio do projecto DADUSFormulário de pedido de informaçõesFormulário de apresentação de Reclamações/Queixas
Rua de São Bento n.º 148-3º 1200-821 Lisboa - Tel: +351 213928400 - Fax: +351 213976832 - e-mail: geral@cnpd.pt

 

Relatório 1998

Introdução

PARTE I – ACTIVIDADE DA CNPD

Capítulo I – Situação Nacional

  1. Actividade da Comissão

  1. Áreas Tratadas

  2. Fiscalizações

  3. Participações ao Ministério Público

  1. Nova legislação de protecção de dados

  2. Actividade da CNPD junto da CADA

  3. Participação da CNPD em Grupos de Trabalho

  4. Participação da CNPD em seminários e Colóquios

  5. Relacionamento da CNPD com entidades

  6. Relacionamento da CNPD com os cidadãos

 

Capítulo II – Situação Internacional

  1. Autoridade de Controlo Comum de Schengen

  2. Instância Comum de Controlo da Europol

  3. Participação em Grupos de Trabalho

    1. Grupo de Trabalho do Art.º 29º da Directiva

    2. Grupo de Trabalho de Polícias

  4. XX Conferência Internacional dos Comissários de Protecção de Dados

  5. Conferência dos Comissários Europeus de Protecção de Dados

 

PARTE II – ORIENTAÇÕES DA CNPD

PARTE III – DECISÕES DA CNPD

Deliberações

Autorizações

Pareceres

 

INTRODUÇÃO

    O Relatório respeitante ao ano de 1998 corresponde ao quinto ano de actividade da Comissão Nacional de Protecção de Dados (CNPD), entidade administrativa independente, à qual compete controlar e fiscalizar os tratamentos de dados pessoais, em rigoroso respeito pelos direitos do homem e pelas liberdades e garantias consagradas na Constituição e na lei.

    Na altura em que publicamos este Relatório, a Comissão cumpriu o seu primeiro mandato de cinco anos, iniciado em Janeiro de 1994, encerrando assim um primeiro ciclo de trabalho, que teve, pelo menos, o mérito de edificar uma estrutura capaz de desenvolver uma actividade pioneira em Portugal – a protecção dos dados pessoais.

    Recuperando de um atraso de vários anos, relativamente à maioria dos países da União Europeia, de intervenção na defesa dos direitos dos cidadãos nesta matéria, Portugal encontra-se actualmente entre os poucos Estados-Membros que já transpuseram a Directiva 95/46/CE (relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados) e a Directiva 97/66/CE ( relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das telecomunicações), detendo neste momento instrumentos legais que permitem uma acção mais abrangente e mais eficaz.

    Apesar das dificuldades iniciais, inerentes à instalação de uma Autoridade desta natureza, e dos obstáculos que até agora persistem, a CNPD tem conseguido, com meios ainda aquém das suas necessidades, desempenhar um papel relevante na protecção de dados pessoais, matéria até há pouco tempo quase ignorada entre nós, e que foi trazida para a ordem do dia, vindo a assumir uma importância crescente nas preocupações da sociedade actual.

    O lugar incontornável que a Comissão já ocupa foi-lhe aliás reconhecido aquando da última revisão da CRP, em 1997, com a sua consagração constitucional enquanto entidade administrativa independente com competência para controlar o processamento de dados pessoais, com vista à sua protecção.

    O período a que este Relatório respeita caracterizou-se por alterações significativas ao nível da legislação nacional, em particular com a entrada em vigor da nova lei de protecção de dados – Lei n.º 67/98, de 26 de Outubro – da qual resulta um reforço das atribuições e competências da CNPD, bem como uma área de intervenção mais alargada no domínio dos dados pessoais. Embora o novo quadro legal seja mais vasto, permite uma maior agilidade de acção por parte da Autoridade de controlo.

    Na múltipla actividade desenvolvida em 1998, foi preocupação constante da Comissão, à semelhança aliás do que começou a ser feito nos anos anteriores, a abertura ao exterior, o diálogo com as entidades públicas e privadas, o esclarecimento e o incentivo à participação dos cidadãos, o debate de ideias e a reflexão sobre os novos caminhos que a sociedade no seu conjunto começou a desbravar.

    Neste Relatório, deixamos igualmente um registo do trabalho desenvolvido no plano internacional. O ano de 1998 caracterizou-se por uma intensa actividade desta Comissão, representada em importantes grupos de trabalho europeus e nas Autoridades comuns de controlo dos Sistemas de Schengen e da Europol. O reconhecimento internacional da nossa intervenção está bem patente nas instâncias comuns de protecção de dados, designadamente com a reeleição para a Presidência da Autoridade de Controlo Comum de Schengen e a eleição para a vice-Presidência do recém-criado Comité de Recursos da Instância de Comum de Controlo da EUROPOL.

 

PARTE I – ACTIVIDADE DA CNPD

Capítulo I – Situação nacional

  1. Actividade da Comissão

    O ano de 1998 foi essencialmente um ano de continuidade do trabalho desenvolvido, em que o ritmo processual estabilizou, mantendo-se de uma forma geral o nível do fluxo de entradas de processos. No entanto, verificaram-se algumas alterações significativas, nomeadamente no que diz respeito ao aumento acentuado do número de queixas recebidas. Pelo contrário, diminuiu o número de pedidos de autorização.

    Em relação às queixas e reclamações, o seu número praticamente duplicou durante o ano de 1998 (78 queixas) relativamente ao ano de 1997 (42), o que é sem dúvida um forte indicador da projecção da CNPD junto dos cidadãos, que cada vez mais recorrem à Comissão para ver assegurados os seus direitos e salvaguardados os seus dados pessoais. Tal denota que as pessoas podem estar mais sensíveis para as questões da privacidade e começam a conhecer os novos direitos para a sua protecção.

    No que diz respeito à diminuição das autorizações, tal facto é demonstrativo do esforço que tem sido desenvolvido pela Comissão, ao longo destes cinco anos, para que as entidades que tratam dados mais sensíveis procedam à legalização das suas bases de dados. O decréscimo das autorizações constitui um indicador de que os sectores mais importantes ao nível dos dados pessoais tratados se encontram já em grande medida legalizados.

    Em 1998, foram legalizados 436 ficheiros (incluindo-se apenas nestes os registos e as autorizações), tendo sido emitidas 84 autorizações e arquivados 352 processos de registo.

    Foram ainda reabertos e findos outros 30 processos, devido a pedidos de alteração dos respectivos instrumentos de legalização, e foram emitidos 13 pareceres.

    No cômputo geral, durante o ano de 1998, deram entrada 553 novos processos, neles se incluindo pareceres, autorizações, registos, queixas e averiguações, foram terminados 588 e ficaram pendentes 585 processos.

    Desde a sua entrada em funcionamento, em 1994, até ao final de 1998, a Comissão já legalizou cerca de 3000 ficheiros de entidades públicas e privadas, sendo a maioria destes tratamentos de dados pessoais de entidades privadas. Do total de ficheiros legalizados, cerca de 20 por cento contêm dados sensíveis, nos termos da Lei 10/91.

    No ano de 1998, a Comissão reuniu-se em 32 sessões plenárias. Ainda no quadro da sua actividade, a CNPD deu resposta diariamente a vários pedidos de informação e esclarecimento – cerca de meia centena já recebidos por correio electrónico -, quer pelo telefone, quer pelo correio postal ou electrónico. É de assinalar que vários destes pedidos de esclarecimento se prendem com a recolha de dados pela Internet.

    1. Áreas Tratadas

      Em 1998, continuou a haver uma grande incidência de legalização de tratamentos de dados pessoais sensíveis, com particular destaque para o sector da saúde, área que a Comissão tinha definido como prioritária no ano de 1997 e que se manteve durante o ano de 1998, devido à extensão e à complexidade destes tratamentos de dados pessoais. Também o sector dos bancos e sociedades financeiras teve um peso relevante no conjunto dos processos legalizados, decorrente, quase na totalidade dos casos, de reaberturas de processos para alterações do instrumento de legalização.

      Em matéria de Registos, são diversas as áreas onde se verificou legalização de ficheiros, sendo, no entanto, na área da saúde aquela onde se verificou um maior número de legalizações. Os sectores da hotelaria, Defesa, marketing, administração central e local foram aqueles que, logo a seguir, atingiram maior preponderância com índices de legalização significativos.

      Em matéria de Autorizações, a CNPD deliberou sobre pedidos formulados, essencialmente, por entidades bancárias e financeiras, tendo representado este sector cerca de 32 por cento das autorizações dadas. Também o sector da saúde e dos laboratórios farmacêuticos tiveram em 1998 um peso significativo na legalização de ficheiros.

      Em matéria de Pareceres, a Comissão pronunciou-se sobre projectos de diplomas do Ministério da Justiça, do Ministério do Equipamento, Planeamento e Administração do Território, do Ministério das Finanças, da Assembleia da República, e sobre o acesso a facturas detalhadas da Portugal Telecom.

      Em matéria de Queixas, salienta-se o seu progressivo aumento, que em 1998 atingiu quase o dobro das queixas entradas em 1997. Há ainda a registar que cerca de 50 por cento das queixas dirigidas à CNPD se encontravam relacionadas com informações de crédito negativo, em particular no âmbito do registo de informações sobre cheques sem provisão, recaindo por isso sobre o sector da banca um elevado número de participações. Outras entidades participadas, mas com muito menor peso, foram das áreas de marketing e de informações e negócios.

      A maioria dos queixosos solicita a eliminação de informação negativa, por tratamento indevido desses dados. Outros fundamentos de queixas prendem-se com a cedência de dados a terceiros ou com a recolha indevida de dados.

      Para uma melhor apreciação dos sectores de maior incidência de queixas, os seus fundamentos e os resultados, pode consultar o quadro resumo da página seguinte.

       

    2. Fiscalizações

      Em 1998, a CNPD realizou cerca de 100 acções de fiscalização a entidades públicas e privadas, o que se traduz num aumento muito significativo do número de verificações feitas aos sistemas informáticos que servem de suporte ao processamento de dados pessoais.

      Com efeito, de 1997 para 1998, o número de fiscalizações quase triplicou, tendo incidido sobretudo nos sectores da banca, informações e negócios e laboratórios farmacêuticos.

      Estas acções de fiscalização às entidades resultam quer de averiguações de iniciativa exclusiva da CNPD, quer da apresentação de queixas e reclamações à Comissão.

      Esta intensificação da intervenção fiscalizadora da CNPD deve-se ao entendimento da Comissão que, volvidos quatro anos sobre o início da sua actividade e tendo decorrido um já suficiente período de maturação destas novas questões de protecção de dados, é indispensável prosseguir com este tipo de acções, no âmbito das suas competências, para assegurar o efectivo cumprimento da lei.

       

    3. Participações ao Ministério Público

    Durante o ano de 1998, a CNPD decidiu fazer 14 participações ao Ministério Público, denunciando infracções à lei de protecção de dados passíveis de procedimento criminal. Tal número representa exactamente o dobro das participações feitas no ano de 1997, o que se justifica, em parte, pelo aumento da acção fiscalizadora da Comissão.

    A utilização ilegal de dados deu origem a oito participações. Por falsas informações prestadas à Comissão foram feitas duas denúncias, e quatro por outras infracções.

    Estas participações resultam quer de averiguações levadas a cabo pela Comissão, quer da apresentação de queixas por parte dos cidadãos.

     

  2. Novas leis de protecção de dados pessoais

Em 26 de Outubro de 1998, foi publicada a Lei n.º 67/98 (Lei da Protecção de Dados Pessoais), e, em 28 do mesmo mês, a Lei n.º 69/98 que regula o tratamento de dados pessoais e a protecção da privacidade no sector das telecomunicações.

A lei n.º 67/98 regulamenta a nova formulação do art. 35.º da Constituição, resultante da 4ª revisão constitucional, e transpõe para a ordem jurídica portuguesa a Directiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados.

Por sua vez, a Lei n.º 69/98 transpõe para a ordem jurídica portuguesa a Directiva n.º 97/66/CE, do Parlamento Europeu e do Conselho, de 15 de Dezembro de 1997, relativa ao tratamento de dados pessoais e a protecção da privacidade no sector das telecomunicações.

A Lei n.º 67/98 traz algumas inovações importantes, designadamente no que respeita ao âmbito de aplicação, à concretização dos princípios e das condições de legitimidade a observar no tratamento dos dados pessoais, à segurança da informação, às transferências de dados para países da União Europeia e para países terceiros, às atribuições e competências da autoridade de controlo de dados – que, com a 4.ª revisão constitucional, viu a sua existência consagrada constitucionalmente e passa a designar-se por Comissão Nacional de Protecção de Dados, abreviadamente CNPD –, à definição dos tratamentos sujeitos a autorização prévia e à possibilidade da simplificação ou até da isenção de notificação de certos tratamentos de dados, ao regime especial de tratamento de dados para fins exclusivamente jornalísticos e às sanções administrativas e penais.

No que respeita ao âmbito de aplicação, a nova lei abrange os tratamentos manuais de dados contidos em ficheiros – para os ficheiros manuais já existentes a aplicação é diferida por 5 anos –, bem como a "videovigilância e outras formas de captação, tratamento e difusão de sons e imagens que permitam identificar pessoas sempre que o responsável pelo tratamento esteja domiciliado ou sediado em Portugal ou utilize um fornecedor de acesso a redes informáticas e telemáticas estabelecido em território português" (art. 4.º).

A lei concretiza os princípios fundamentais de protecção de dados a que é devida obediência (art. 5.º) e especifica as condições em que é legítimo o tratamento de dados pessoais quando não tiver sido obtido o consentimento inequívoco do seu titular (art. 6.º). É proibido o tratamento de dados sensíveis – convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica, dados relativos à saúde e à vida sexual, incluindo os dados genéticos –, salvo nas condições claramente definidas no art. 7.º. O tratamento de dados relativos a suspeitas de actividades ilícitas, infracções penais e contra-ordenações, bem como a interconexão de dados pessoais, estão sujeitos à observância das disposições constantes dos artigos 8.º e 9.º.

A segurança e a confidencialidade da informação, e bem assim o tratamento por subcontratante, obedecem agora a regras precisas, nos termos previstos nos artigos 14.º a 16.º.

São inteiramente livres as transferências de dados no interior da União Europeia, mas as transferências para países terceiros fica sujeita à verificação da existência no país em causa de um nível de protecção adequado ou, em caso negativo, a uma autorização específica nos casos previstos no art. 20.º; cabe à CNPD decidir se um país oferece ou não protecção adequada e autorizar transferências concretas de dados pessoais.

Muito reforçadas são as atribuições e competências da CNPD que passa a dispor de poderes de investigação e de inquérito, de poderes de autoridade, "designadamente o de ordenar o bloqueio, apagamento ou destruição de dados, bem como o de proibir, temporária ou definitivamente, o tratamento de dados pessoais, ainda que incluídos em redes abertas de transmissão de dados a partir de servidores situados em território português". Passa igualmente a ser obrigatória a audição da CNPD "sobre quaisquer disposições legais, bem como sobre instrumentos jurídicos em preparação em instituições comunitárias ou internacionais, relativos ao tratamento de dados pessoais."

Carecem de autorização da CNPD, quando não forem autorizados por diploma legal:

  1. O tratamento de dados sensíveis;

  2. O tratamento de dados relativos a suspeitas de actividades ilícitas, infracções penais e contra-ordenações, ou ao crédito e solvabilidade dos seus titulares;

  3. A interconexão de dados pessoais;

  4. A utilização de dados pessoais para fins não determinantes da recolha.

A CNPD pode agora autorizar também a simplificação ou até a isenção de notificação de tratamentos de dados desde que não sejam susceptíveis de pôr em causa os direitos e liberdades dos titulares dos dados.

Pela nova lei, a obrigação de informação ao titular dos dados não se aplica ao tratamento de dados efectuado para fins exclusivamente jornalísticos ou de expressão artística ou literária. Também nestes casos o direito de acesso sofre restrições, podendo apenas ser "exercido através da CNPD com salvaguarda das normas constitucionais aplicáveis, designadamente as que garantem a liberdade de expressão e informação, a liberdade de imprensa e a independência e sigilo profissional dos jornalistas".

Pela primeira vez são previstas sanções administrativas, a aplicar pelo presidente da CNPD, designadamente nos casos de omissão ou defeituoso cumprimento de obrigações. São considerados crimes o não cumprimento doloso de obrigações relativas à protecção de dados, o acesso indevido a dados pessoais, a viciação ou destruição de dados pessoais, a desobediência qualificada, designadamente à notificação de interrupção, cessação ou bloqueio de tratamento de dados, e a violação do dever de sigilo.

Por sua vez, a Lei n.º 69/98, de 28 de Outubro, reforçando as disposições existentes em matéria de segurança dos serviços de telecomunicações e da confidencialidade e sigilo das comunicações, veio permitir a "gravação de comunicações, no âmbito de práticas comerciais lícitas, para o efeito de prova de uma transacção comercial ou de qualquer outra comunicação de negócios, desde que o titular dos dados tenha sido disso informado e dado o seu consentimento expresso" (itálico nosso).

Os dados de tráfego devem ser apagados ou tornados anónimos após a conclusão da chamada e são definidos os dados que podem ser conservados para efeitos de facturação.

Aos assinantes, nomeadamente da rede digital de serviços integrados (RDIS) e das redes públicas móveis digitais, são reconhecidos os direitos de:

  1. Receber facturas detalhadas ou não, podendo exigir a supressão dos quatro últimos dígitos;

  2. Evitar que o número do seu telefone apareça no telefone chamado;

  3. Rejeitar chamadas de números de telefone não identificados;

  4. Interromper o reencaminhamento de chamadas efectuado por terceiros para o seu telefone;

  5. Não figurar em listas telefónicas, impressas ou electrónicas, fazer omitir total ou parcialmente o seu endereço, opor-se a que os seus dados sejam utilizados para marketing directo ou ainda que não haja nas listas qualquer referência ao seu sexo.

A lei exige ainda o consentimento do assinante para acções de marketing directo com utilização de aparelhos de chamada automática ou aparelhos de telecópia.

A infracção das disposições referidas constitui contra-ordenação, sendo competentes para aplicação das coimas a CNPD e o Instituto das Comunicações de Portugal, de harmonia com a repartição de competências legalmente prevista.

 

3 - Actividade da CNPD junto da CADA

 A Comissão de Acesso aos Documentos Administrativos (CADA) é a entidade pública independente que assegura o direito de acesso aos documentos da administração, de acordo com a lei n.º 65/93, de 26 de Agosto. A Comissão Nacional de Protecção de Dados designa dois representantes para esta Comissão, um efectivo e um suplente.

Durante o ano de 1998, emitiram-se 177 Pareceres, dos quais 15 foram relatados pelo representante da Comissão de Protecção de Dados, neste mandato, o Dr. João Labescat.

Dos 15 Pareceres, cabe destacar os seguintes pontos principais :

a) quanto ao acesso a dados do recenseamento eleitoral e aos poderes e direitos dos Advogados definidos no Estatuto da Ordem, no artigo 63º, considerou-se que este diploma legal confere ao advogado, no exercício da sua profissão, o direito ao exame e à certificação, sem necessidade de exibir procuração, de processos, livros ou documentos, em qualquer tribunal ou repartição pública, excepto se estes tiverem carácter reservado ou secreto.

Apesar dos dados pessoais relativos ao recenseamento eleitoral gozarem do regime legal de protecção de dados, previsto na lei n.º 67/98, a confirmação da existência de um cidadão recenseado, designadamente com elementos de identificação constantes do próprio pedido, não constitui um dado com carácter reservado ou secreto.

Concluiu-se que a Junta de Freguesia do Bonfim deveria certificar se determinado cidadão se encontra ou não inscrito no recenseamento eleitoral, sempre que tal lhe fosse requerido por advogado, para fins judiciais.

b) quanto ao conteúdo dos pedidos requeridos ao abrigo da lei acesso considerou-se que o facto de um requerente ter juntado num só requerimento o pedido de acesso a informações que abrangem um período relativamente lato (cerca de quatro anos, abrangendo todos os pedidos de informação prévia e licenciamentos requeridos desde a data em que entrou em vigor o Regulamento do Plano Director da Mealhada, aprovado pela Resolução do Conselho de Ministros n.º 60/94 (DR n.º 175, I Série-B de 30 de Julho) não significa que o acesso lhe possa ser negado. A Administração deverá encontrar a melhor forma que permita ao requerente obter os elementos pretendidos, através da consulta dos dossiers e processos respectivos, de forma faseada, aliás como o reclamante propôs.

c) em relação ao acesso a Actas das reuniões, públicas ou não públicas, dos órgãos autárquicos entendeu-se que, pela sua própria natureza, são documentos administrativos, na acepção prevista no artigo 4º n.º 1 alínea a) da lei n.º 65/93, de 26 de Agosto, incluindo os registos sonoros das reuniões, públicas ou não públicas, de órgãos autárquicos, desde que elaborados ou detidos pela administração, são documentos administrativos, nos termos da alínea a) do n.º 1 do artigo 4º da L.A.D.A. Os cidadãos têm o direito de acesso às Actas e aos registos sonoros ou gravações que servem de base à sua elaboração, independentemente de um interesse pessoal e directo ou da finalidade da consulta ou acesso, nos termos do artigo 7º n.º 1 da L.A.D.A, cabendo à administração autárquica garantir os meios técnicos e os procedimentos adequados, que permitam a efectivação do direito de acesso."

 

Resta dizer que o Dr. João Labescat interveio nas seguintes Sessões públicas promovidas pela CADA :

  • Encontro CADA/Saúde – Administração Aberta – O Direito de Acesso aos Arquivos e Registos Administrativos, realizado em 18 de Março, na Assembleia da República;

  • Encontro com Dirigentes da Administração Pública, sobre a situação de cumprimento da lei de Acesso, realizado no dia 9 de Dezembro.

 

4 - Participação da CNPD em Grupos de Trabalho

    Em 1998, a Comissão manteve a sua participação nalguns grupos de trabalho constituídos em 1997 e passou a integrar outros grupos que entretanto foram criados, e para os quais foi pedida a sua colaboração, quer para preparar legislação, quer para integrar grupos de análise e reflexão sobre diversas matérias que, de uma forma ou de outra, se relacionam com questões de protecção de dados pessoais.

    A CNPD continuou assim a dar o seu contributo no grupo de trabalho de transposição da Directiva de protecção de dados para a ordem jurídica portuguesa, a funcionar no âmbito do Ministério da Justiça, tendo acompanhado até ao fim o trabalho deste grupo, que elaborou um projecto de proposta de lei de protecção de dados, de que veio a resultar a lei 67/98, de 26 de Outubro.

    Ainda no âmbito do Ministério da Justiça, foi criado em 1998 um grupo de trabalho para transposição da Directiva sobre Telecomunicações, no qual a CNPD esteve integrada, tendo já concluído a sua tarefa com a elaboração de um projecto de proposta de lei sobre a protecção de dados pessoais no sector das Telecomunicações, na sequência da qual foi já publicada a Lei 69/98, de 28 de Outubro.

    A CNPD manteve igualmente a sua participação no grupo de trabalho criado pela Secção Permanente do Segredo Estatístico do Instituto Nacional de Estatística, estando neste momento a presidir a este grupo um vogal desta Comissão.

    O grupo de trabalho tem vindo a debater as questões relacionadas com as várias formas de recolha de dados estatísticos (recolha directa e indirecta – vg. aproveitamento de dados administrativos), bem como a sua disponibilização. Pretende-se que seja feita uma reflexão sobre os reflexos da lei de protecção de dados e dos regulamentos comunitários (em especial o Regulamento CE n.º 322/97 do Conselho, de 17 de Fevereiro de 1997) no instituto do "segredo estatístico", podendo ser sugeridas alterações à lei do Sistema Estatístico Nacional (Lei n.º 6/89 de 15 de Abril).

    Foi ainda criado em 1998 um grupo de trabalho sobre videovigilância, no qual a Comissão também está a colaborar, e que visa preparar uma iniciativa legislativa sobre videovigilância, no âmbito da segurança pública.

     

5 - Participação da CNPD em seminários e colóquios

À semelhança do que tem acontecido nos anos anteriores, as matérias sobre protecção de dados pessoais continuam a suscitar grande interesse nas mais variadas áreas, nomeadamente no meio académico e no meio empresarial, sendo frequentemente solicitada a presença da Comissão em seminários, conferências e colóquios que visam dar a conhecer e debater sobre aspectos específicos da protecção de dados.

Considerando a CNPD que é de grande importância a promoção destas iniciativas, que permitem alargar a um cada vez mais vasto número de pessoas o esclarecimento, a discussão e o confronto de opiniões sobre estes temas de tanta actualidade e relevância, tem havido por parte da Comissão e dos seus membros uma continuada disponibilidade para aceder aos convites que lhe são dirigidos.

Durante o ano de 1998, a Comissão participou assim nas seguintes iniciativas:

  • "A ética e a informatização do processo clínico", Hospital Fernando Fonseca, Fevereiro

  • IV Conferência "Consumo e Justiça", PGR, Tomar, Março

  • "Telecomunicações e o Direito na Sociedade de Informação", Instituto Jurídico da Comunicação, Faculdade de Direito da Universidade de Coimbra, Abril

  • "O limite da informação personalizada na indústria farmacêutica", Apifarma, Junho

  • A Sociedade de Informação, debate promovido pela Livraria Bulhosa, Julho

  • 5º Congresso Nacional das Farmácias, ANF, Novembro

  • Curso de Mestrado sobre Gestão da Informação, Universidade de Aveiro, Dezembro

 

6 - Relacionamento da CNPD com entidades

    No decurso da sua actividade, a CNPD tem privilegiado sempre, no âmbito das suas competências, o diálogo com entidades públicas e privadas, com vista a melhor desempenhar as suas atribuições, no sentido de fazer cumprir a legislação em matéria de protecção de dados.

    A complexidade de que muitas vezes se revestem estes assuntos tem levado a que a Comissão tenha procurado, sempre que entende útil e necessário, promover reuniões de trabalho com várias entidades, o que veio a acontecer em 1998, à semelhança dos anos anteriores.

    Em particular, tendo sido publicada uma nova lei de protecção de dados, em 26 de Outubro último, a CNPD considerou que seria importante iniciar um ciclo de sessões com alguns sectores de actividade, com o objectivo de dar a conhecer a nova legislação e as suas implicações directas nos instrumentos de legalização, bem como esclarecer quaisquer dúvidas que se coloquem quanto à aplicação da lei.

    Com efeito, a Comissão promoveu um primeiro encontro, no mês de Novembro, com a Associação de Marketing Directo e os seus associados, no Anfiteatro da Casa Amarela.

     

7 - Relacionamento da CNPD com os cidadãos

Durante o ano de 1998, a Comissão manteve a sua prática de abertura ao exterior, permitindo, por um lado, uma maior e mais constante informação das questões relacionadas com a protecção de dados e, por outro, facilitar o mais possível o acesso dos cidadãos à CNPD.

Neste sentido, foram feitos vários comunicados de imprensa, dando conta, através dos órgãos de comunicação social, da actividade da Comissão, tanto no plano nacional como no plano internacional, e foi mantido contacto regular com a imprensa, prestando esclarecimentos que permitam aos cidadãos o exercício efectivo dos seus direitos.

Foi ainda desenvolvida uma campanha de publicidade na rádio e na imprensa, no mês de Dezembro, sobre a nova lei de protecção de dados, chamando a atenção para os novos direitos aí consagrados e para as novas competências da CNPD daí decorrentes.

Em 1998, foi também possível fazer um balanço positivo da nossa página na Internet, que contou com cerca de 8 mil visitas, e permitiu a recepção de queixas, reclamações e pedidos de esclarecimento por correio electrónico, o que é seguramente um meio mais fácil dos cidadãos se nos dirigirem. Além de estar igualmente disponível para download o formulário exigido para a legalização de tratamentos de dados pessoais.

No entanto, para permitir uma consulta mais expedita e para integrar um maior volume de informação disponível, a nossa página foi reformulada. Também o endereço mudou, de acordo com a mudança de nome desta Comissão, passando agora a conter as novas iniciais: www.cnpd.pt

A CNPD editou igualmente, em 1998, as actas do colóquio "Direito à Vida Privada e Liberdade" , de modo a permitir alargar a um mais vasto leque de pessoas o debate iniciado com este encontro sobre o regime de protecção de dados pessoais em Portugal, os futuros caminhos e soluções no quadro da sociedade de informação e as garantias dos cidadãos.

 

Capítulo II – Situação Internacional

 

  1. Autoridade de Controlo Comum de Schengen

Na continuidade dos anos precedentes, 1998 foi um ano de afirmação da independência da Autoridade de Controlo Comum, enquanto órgão a quem compete velar pelos direitos e liberdades dos cidadãos, em particular quanto à protecção de dados pessoais. A ACC foi presidida pelo Dr. João Labescat, cujo mandato foi renovado para o ano de 1999.

A ACC lançou um ampla batalha pela transparência e pela informação: foi largamente publicitado o Relatório Anual, iniciou-se em vários países, a campanha "O Sistema de Informação Schengen Diz-lhe Respeito", com a difusão de um cartaz e folhetos informativos sobre os direitos dos cidadãos e, promoveu-se o 1º Colóquio sobre "Os Direitos dos Cidadãos Face aos Sistemas de Informação Policial", realizou-se uma Conferência de Imprensa para apresentação do Relatório.

As Comissões de Protecção de Dados Nacionais apresentaram o Relatório Anual aos respectivos Parlamentos e este encontra-se na Internet nas páginas das Comissões de Protecção de Dados. O Relatório foi enviado ao Parlamento Europeu.

A ACC propôs novos mecanismos de interacção e de cooperação com os organismos Executivos de Schengen que visaram agilizar a informação comum e, pela primeira vez, interveio defendendo os seus pontos de vista numa reunião do Comité Executivo.

As linhas de orientação que se traçaram no início do ano foram concluídas: emitiram-se Pareceres, colaborou-se no estudo e desenvolvimento técnico do futuro sistema, levou-se a cabo pela primeira vez uma acção global de fiscalização de todos os Gabinetes Sirene, tendo sido feitas recomendações com vista ao reforço da segurança na troca de informações complementares, publicitou-se a actividade da ACC e os direitos dos cidadãos, insistiu-se, e tudo se fez, para a eficácia no funcionamento de Schengen.

A ACC decidiu, no âmbito das sua missão de controlo do Sistema Central, realizar um controlo específico.

Apesar de todas as iniciativas e propostas apresentadas pela ACC, não vimos adoptadas pelo Comité Executivo as medidas de reforço dos meios humanos, técnicos e financeiros que haviam sido prometidas. Para haver controlo democrático, não basta a existência formal de uma autoridade independente, é indispensável que esta funcione com meios e instrumentos necessários. Tal assume particular importância no quadro da evolução dos sistemas de informação policiais europeus (Europol, Eurodac, Aduaneira) e do reforço das medidas de cooperação para o combate à grande criminalidade organizada.

Em 1998, cumprindo o Programa de Acção que foi aprovado, a ACC centrou a sua actividade nas seguintes áreas:

  • pela primeira vez levou a cabo em todos os Gabinetes Sirene uma fiscalização global, tendo feito um conjunto de recomendações com vista ao reforço da segurança;

  • preparou o controlo específico do Sistema Central que será realizado no primeiro semestre de 1999 ;

  • acompanhou os trabalhos de desenvolvimento do SIS I (+) e os estudos preliminares do SIS II;

  • definiu o acervo comunitário com vista à integração de Schengen na União Europeia;

  • promoveu o primeiro colóquio sobre os "Direitos dos Cidadãos face aos Sistemas de Informação Policial" (Lisboa);

  • lançou a Campanha "O Sistema de Informação Schengen Diz-lhe Respeito" com a distribuição de um cartaz e folhetos informativos sobre os direitos dos cidadãos, designadamente nas áreas de entrada do espaço Schengen (aeroportos, fronteiras marítimas, etc.);

  • emitiu pareceres, designadamente sobre o acesso a dados do Sistema Schengen por parte dos serviços de registo automóvel.

 

A ACC contribuiu decisivamente para uma maior cooperação e interacção entre os organismos executivos e os grupos técnicos de Schengen. Nesse sentido, convidou e estiveram presentes nas suas reuniões o Presidente do Grupo Central, os Presidentes do Grupo OR-SIS e do Grupo Sirene. Por seu lado, o Presidente da ACC participou pela primeira vez numa reunião do Comité Executivo e esteve presente num encontro do Grupo Central realizado em Estrasburgo.

Foi preocupação constante da ACC a transparência e a informação sobre a sua actividade e sobre os direitos dos cidadãos. Da mesma forma, procurou-se instituir um sistema mais ágil de informação mútua entre a Autoridade de Controlo e os restantes organismos de Schengen. A ACC passou a ter acesso mais fácil à documentação Schengen.

Contudo, revelam-se como muito preocupantes as decisões do Comité Executivo e do Grupo Central que não dotaram a ACC de um orçamento compatível com as missões definidas na Convenção. O prometido reforço de apoio do Secretariado não se concretizou.

Estas tomadas de posição nada contribuíram para o exercício das missões da ACC e para a sua independência.

Se, por um lado, a ACC foi informada sobre o andamento dos trabalhos relativos ao SIS I e ao SIS II, por outro, continua a verificar-se um grande atraso nas respostas dos grupos técnicos e do Grupo Central às Recomendações e Pareceres da ACC. O facto de, durante a Presidência Belga, se ter procurado fixar o princípio da resposta anual às questões suscitadas pela ACC, é bem revelador de uma falta de eficácia, incompatível com um sistema que funciona permanentemente. A ACC propôs já à actual Presidência alemã a alteração deste procedimento e espera que esta situação se inverta.

Nesta data estão inseridos no SIS cerca de nove milhões de indicações que podem ser consultadas em milhares de terminais, por milhares de polícias de e entidades judiciárias em dez países da União Europeia. No ano de 1998, verificou-se um aumento do número de dados no SIS com a integração da Áustria, Itália e da Grécia.

É fundamental que o sistema de informação mantenha um elevado nível de segurança em todas as suas componentes (central, nacional e Sirene).

A ACC apresentou a lista das recomendações, decisões e pareceres emitidos com vista à definição do acquis comunitário. No novo quadro institucional é necessário que tal seja garantido e que o controlo independente se mantenha. São preocupantes os atrasos verificados na preparação do funcionamento da ACC na União Europeia. Tais atrasos não podem ser atribuídos à ACC que apresentou, em tempo, todas as questões.

Para a ACC, que representa as autoridades nacionais de controlo independentes, é fundamental que se mantenha na União um elevado grau de segurança da informação, com o cumprimento das regras e dos direitos relativos à protecção de dados pessoais. A ACC continuará a contribuir para tal objectivo.

 

2 - Instância Comum de Controlo da Europol

    A Europol, Serviço Europeu de Polícia, criado nos termos e com fundamento no disposto no artigo K3 n.º 2 alínea c) do Tratado da União Europeia, tem por objectivos a prevenção e o combate ao terrorismo, ao tráfico de estupefacientes e a outras formas graves de criminalidade internacional.

    Estes objectivos são de realização progressiva. Numa primeira fase, a Europol ocupar-se-á da prevenção e luta contra o tráfico de estupefacientes e de material nuclear radioactivo, das redes de emigração clandestina, do tráfico de seres humanos e do tráfico de veículos roubados.

    Para cumprimento das suas tarefas a Europol criará e manterá uma colectânea informatizadas de dados, que será constituída por um sistema de informações, ficheiros de trabalho para fins de análise e um sistema de indexação.

    A Convenção prevê princípios de protecção de dados, estatuindo que ela própria observará os princípios consignados na Convenção 108 do Conselho da Europa, devendo ainda ter em conta a Recomendação R (87)15 do Comité de Ministros do Conselho da Europa, de 17 de Setembro, relativa à utilização de dados pessoais pela polícia. Estes princípios são aplicáveis também aos dados não informatizados.

    O controlo em matéria de protecção de dados é assegurado de forma dupla: através de cada instância nacional de controlo que fiscalizará a introdução, consulta e transmissão de dados à Europol por cada Estado Membro, assegurando que não ocorre qualquer violação dos direitos das pessoas; e através de uma instância comum de controlo que fiscaliza a actividade da Europol, garantindo que a introdução, o tratamento e a utilização dos dados pessoais ao dispor dos serviços não constituem violação dos direitos das pessoas, cabendo-lhe ainda controlar a legitimidade da transmissão de dados provenientes da Europol.

    A Instância Comum de Controlo será constituída, no seu âmbito, por um Comité composto por um membro de cada delegação, cuja competência é a de apreciar os recursos interpostos pelos cidadãos.

    Em Portugal, e de acordo com o Aviso n.º 191/98, 9/09, a Convenção Europol entrou em vigor, constituindo direito interno português, no dia 1 de Outubro de 1998 – D.R. I Série - A n.º 226, de 30/09/98.

    Em 26 de Outubro, foi publicada no D.R. n.º 247/98, I Série A, a Lei n.º 68/98 que designa a Comissão Nacional de Protecção de Dados como a entidade que exerce as funções de Instância Nacional de Controlo e determina a forma de nomeação dos representantes do Estado Português na Instância Comum de Controlo.

    Após a designação formal, por cada um dos Estados Membros, dos seus representantes na ICC, no dia 9 de Outubro, em Bruxelas, teve lugar a primeira reunião desta Instância.

    Foi formalmente aprovado pelos seus membros o regulamento interno da ICC, o qual, de acordo com o artigo 24º n.º 7 da Convenção Europol, também deverá ser aprovado pelo Conselho da União Europeia. Só então será possível à Europol iniciar as suas actividades (nº4 do artigo 45º da Convenção).

    No dia 23 de Novembro, em Haia, realizou-se a segunda reunião da ICC e a primeira do Comité de Recursos, com o objectivo principal de eleger os respectivos presidentes e vice-presidentes.

    É com satisfação, e entendemos ser de relevar, que vimos o Dr. Varges Gomes, vogal desta Comissão, ser eleito para a vice-presidência do Comité de Recursos, por unanimidade, para um mandato de dois anos.

    Ficou ainda decidido, nesta última reunião do ano de 1998, que durante o primeiro trimestre de 1999, se realizariam encontros, com vista à elaboração do plano de actividades, bem como à definição da localização da sede e estrutura e funcionamento do secretariado.

     

3 - Participação em Grupos de Trabalho

    1. Grupo de Trabalho do Artigo 29º da Directiva

      O Grupo de Protecção das Pessoas no que diz respeito ao Tratamento de Dados Pessoais, criado com carácter consultivo da Comissão Europeia pelo art. 29º da Directiva 95/46/CE, efectuou três reuniões no ano de 1998.

      Na sua 9ª reunião, realizada em 10 e 11 de Março, foi apreciado o projecto de desenvolvimento de software para a Internet designado por P3P (Platform for Privacy Preferences), tendo sido decidido que um subgrupo acompanhasse o desenvolvimento do projecto e apresentasse oportunamente o seu relatório.

      Prosseguiu a discussão sobre a aplicação do artigo 25º da Directiva, relativo à transferência de dados pessoais para países terceiros, e designadamente sobre a conveniência ou não de serem instituídas "listas brancas" que incluam os países considerados como tendo protecção adequada.

      Foi iniciada a discussão de um documento que deverá conduzir à fixação de cláusulas contratuais que possam vir a ser aprovadas pela Comissão Europeia, nos termos do procedimento previsto no nº 2 do artigo 31º, para aplicação do nº 4 do artigo 26º da Directiva.

      O representante da Comissão deu conhecimento ao Grupo do estado do projecto de regulamentação de execução do artigo 286 do Tratado de Amsterdão que obriga as instituições comunitárias ao cumprimento das normas de protecção de dados pessoais e prevê a existência de uma autoridade de controlo comunitária.

      Na 10º reunião, que teve lugar em 16 de Junho, foi discutido e aprovado o parecer sobre os softwares dirigidos à protecção da privacidade na navegação na Internet, designados por P3P e OPS.

      Foi iniciada a discussão dos documentos de trabalho sobre os critérios de transferência de dados pessoais para países terceiros (XV/D/5025/98) e sobre os critérios e procedimentos de avaliação de Códigos Europeus de Conduta (XV/D/5004/98).

      Na 11ª reunião, realizada em 10 de Setembro, foi discutido e aprovado por unanimidade o Documento 5004/98, relativo aos procedimentos de avaliação dos Códigos Europeus de Conduta.

      Foi também aprovado o relatório anual relativo ao ano de 1997 e discutidas as prioridades para o trabalho a realizar no próximo ano.

       

    2. Grupo de Trabalho de Polícias

    Aprovada que foi a Convenção Europol, assinada em Bruxelas em 26/07/95 – entre nós aprovada para ratificação por Resolução da Assembleia República n.º 60/97 e ratificada por Decreto do Presidente da República n.º 64/97 - D.R. I Série - A n.º 217, de 19 de Setembro – que cria um Serviço Europeu de Polícia, o ano de 1998 centrou-se, sobretudo, na discussão e aprovação do Regulamento Interno da Instância Comum de Controlo, órgão de controlo e fiscalização da actividade da EUROPOL em matéria de protecção de dados pessoais.

    Primacialmente com o objectivo já descrito, este Grupo de Trabalho reuniu-se, em Haia e em Bruxelas, por seis vezes, durante o ano de 1998.

    Nestas reuniões, fez-se igualmente um levantamento sobre o ponto de situação nos vários Estados Membros das Convenções relativas ao "Sistema de Informação Aduaneira", à "EURODAC" e o Sistema de Informações Europeu. Foi ainda abordada a futura integração na União Europeia do "Sistema de Informação Schengen", bem como uma possível aproximação horizontal das várias autoridades de controlo destes sistemas.

    O Grupo de Trabalho conseguiu reunir a unanimidade necessária à aprovação do Regulamento Interno da ICC, após várias discussões, que se centraram sobretudo sobre a natureza e funcionamento do Comité de Recursos da ICC da Europol e das necessárias qualificações dos seus membros, bem como sobre o sistema organizacional dos serviços do Secretariado permanente da ICC.

     

4 - XX Conferência Internacional dos Comissários de Protecção de Dados

    A Conferência Internacional de Comissários de Protecção de Dados decorreu em Santiago de Compostela (Espanha), entre os dias 16 e 18 de Setembro.

    Abordaram-se as matérias mais candentes da protecção de dados no mundo, em particular nas redes de telecomunicações, na Internet, tendo sido apresentados exemplos das novas tecnologias de encriptamento e de anonimização.

    Foi feito um balanço da situação na União Europeia quanto à transposição, pelos Estados, das Directivas 95/46/CE sobre a protecção de dados, bem como da Directiva relativa à protecção de dados nas telecomunicações (97/66/CE). Foi dada uma informação sobre o avanço das conversações estabelecidas com os EUA, quanto ao novo regime de fluxos dados transfronteiras previsto na Directiva 95/46/CE.

    A delegação portuguesa, através do Dr. Seabra Lopes, interveio sobre fluxos de dados transfronteiras e metodologias para reforçar a cooperação internacional.

    No âmbito da reunião de Comissários europeus, que se seguiu à Conferência Internacional, foram aprovados dois documentos, respectivamente sobre Privacidade e Internet e sobre o desenvolvimento de um projecto de informação genética de toda a população da Islândia. Quanto a este último, as autoridades independentes alertaram para os perigos para a privacidade do referido projecto e solidarizaram-se com a comissão de protecção de dados islandesa.

     

5 - Conferência dos Comissários Europeus de Protecção de Dados

1. A Conferência de Primavera dos Comissários Europeus de Protecção de Dados teve lugar em Dublin nos dias 23 e 24 de Abril de 1998 com o objectivo de manter os contactos regulares entre as autoridades de protecção de dados dos Países membros da União Europeia, discutir problemas de actualidade e tomar posições comuns nas matérias de maior interesse.

Foram tratados, para além de informações sobre os progressos registados na cena comunitária e internacional, os seguintes assuntos:

I - Missão actual, organização e actividades das Comissões de Protecção de Dados.

II – Actividades das Autoridades de Controlo na Europol, em Schengen, na Eurodac e no Sistema de Informação das Alfândegas.

III – Auditorias em matéria de protecção de dados.

IV – Aplicação do art. 9º da Directiva 95/46/CE relativamente às excepções a considerar nas legislações nacionais para o tratamento de dados pessoais para fins jornalísticos.

V – Perfis no sector financeiro, crédito ao consumo, comércio electrónico e código de conduta para produtores de "software" na Internet.

2. A troca de impressões sobre o funcionamento das comissões de protecção de dados provocou a primeira das conclusões da Conferência e que foi do seguinte teor:

"A Conferência dos Comissários Europeus de Protecção de Dados reunida em Dublin em 23/24 de Abril de 1998,

    • Considerando que a aplicação da Directiva europeia 95/46 sobre protecção de dados aumentará as responsabilidades das autoridades nacionais de protecção de dados, em relação por exemplo com as autorizações prévias, as auditorias de protecção de dados e novas obrigações relativamente à transferência de dados para países terceiros fora da União Europeia,

    • Considerando as novas responsabilidades de extrema importância perspectivadas para as autoridades de protecção de dados na área do terceiro pilar, incluindo a Europol, a Eurodac, os Sistemas de Informação das Alfândegas e de Schengen, e

    • Considerando que estas autoridades necessitam de recursos financeiros e humanos adequados para continuar a proteger os direitos de privacidade dos dados dos cidadãos da União Europeia de uma maneira eficiente e independente, tanto no seu trabalho individual como na sua cooperação internacional no emergente espaço jurídico europeu em matéria de protecção de dados,

Solicitam empenhadamente que os Parlamentos nacionais, os Governos e os Departamentos do Estado competentes dêem prioridade acrescida às necessidades de recursos dessas entidades."

3. A 2ª sessão foi preenchida com apresentações relativas ao ponto de situação na Europol, em Schengen, na Eurodac e no Sistema de Informação das Alfândegas.

A situação na Europol foi apresentada pelo Sr. Peter Hustinx (Holanda), as actividades da autoridade de controlo de Schengen foram expostas pelo Dr. João Labescat (Portugal), que distribuiu também exemplares do 2º relatório e de um desdobrável informativo, o estado de desenvolvimento da proposta de Convenção Eurodac foi explicado pelo Sr. Bachmeier (Alemanha) e finalmente a situação do Sistema de Informação das Alfândegas foi abordada pelo Dr. O’Donovan (Irlanda).

A delegação italiana suscitou a questão da necessidade de coordenação horizontal em matéria de protecção de dados no âmbito das Convenções acima referidas, tendo sido aprovada a seguinte conclusão:

"A Conferência dos Comissários Europeus de Protecção de Dados reunida em Dublin em 23/24 de Abril de 1998,

    • Tendo examinado os desenvolvimentos relativos ao tratamento de dados pessoais para fins de cooperação policial e judiciária (Schengen, Europol, Sistema de Informação das Alfândegas, Eurodac),

    • Considerando que as Convenções aprovadas no âmbito do Terceiro Pilar prevêem normas variadas materiais e processuais sobre protecção de dados pessoais e sobre os deveres e competências das Autoridades de Controlo nacionais e conjuntas,

    • Considerando que a efectividade da protecção conferida nesse contexto depende em larga medida do nível de harmonização de tais normas materiais e processuais, bem como de uma estreita coordenação entre os recursos e as garantias asseguradas pelas Convenções,

Acolhe favoravelmente todas as iniciativas que contribuam para um elevado nível de harmonização e confirma a intenção dos Comissários de cooperarem a esse respeito."

4. A 3ª sessão foi preenchida com as apresentações sobre as auditorias efectuadas pelas autoridades de controlo efectuadas pela Sra. ª Bondestam (Suécia) e pelo Sr. Borking (Holanda).

A 4ª sessão foi dedicada ao artigo 9º da Directiva 95/46/CE sobre o tratamento de dados para fins jornalísticos, tendo sido exposta a situação em Itália pelo Sr. Rodotà.

Na 5ª sessão foram tratados os temas relativos aos perfis no sector financeiro – Sr. Benoist (França) -, à concessão de crédito pessoal – Sr. Waaben (Dinamarca) -, ao marketing na Internet – Sr. Ribs (França) – e ao código de conduta dos produtores de software para a Internet - Sr. Dinant (Bélgica).

Foram por fim apresentados os relatórios relativos à actividade de Grupo de Berlim pelo Sr. Garstka (Alemanha) e aos desenvolvimentos internacionais de iniciativa da Comissão Europeia pelo Sr. U. Bruehann (CE).

 

 

PARTE II – ORIENTAÇÕES DA CNPDPI

 

Recolha de dados de saúde

Os dados de saúde, pelas suas características e conteúdo, são reconhecidos como constituindo aquele tipo de informação cujo tratamento automatizado merece particular protecção e exige garantias de privacidade

O artigo 6º da Convenção do Conselho da Europa refere que tais dados só poderão ser objecto de tratamento automatizado desde que o direito interno preveja garantias adequadas.

Em relação à recolha de dados, não estabeleceu a Lei 10/91 qualquer especialidade para os dados médicos. Deve ser dada particular atenção aos princípios da adequação e da pertinência, os quais apontam para a recolha "necessária" e "indispensável" dos dados em função dos objectivos e cuidados de saúde a prestar. Os titulares devem ser informados da finalidade da recolha e quais os destinatários da informação.

Tratando-se de dados sensíveis (dados de saúde), enquadráveis na previsão do art.º 11º nº1 al. b) da Lei 10/91, de 29 de Abril, na redacção da Lei 28/94, de 29 de Agosto, o tratamento automatizado só poderá ser efectuado mediante autorização dos titulares dos dados.

 

Tratamento da raça

O tratamento automático da raça do doente, atento o grau de sensibilidade de que se reveste, deve ser efectuado nas situações estritamente necessárias e, apenas, quando se considere relevante para a prestação dos cuidados de saúde . O seu registo não poderá envolver qualquer discriminação do titular dos dados e deve ser acessível exclusivamente aos profissionais de saúde.

Do confronto entre os artigos 35º da CRP ,12º nº2 e 17º nº 1 da Lei nº 10/91, de 29 de Abril, resulta que o tratamento desta informação depende de Autorização expressa da Comissão.

 

Acesso aos dados de saúde

A Comissão considera que o acesso a dados de saúde constantes de um cartão de saúde é possível a profissionais de saúde, obrigados a dever de confidencialidade, sob direcção de um médico, e apenas quanto aos dados pertinentes e adequados à intervenção do profissional em causa, com manutenção das regras de segurança.

Não é possível o acesso pleno a todos os dados por parte de um profissional de saúde que não seja médico.

Quanto à possibilidade de acesso por parte das farmácias aos dados relativos aos medicamentos tomados e à história de medicação do doente, entendeu esta Comissão, porque o acesso aos dados não pode ser dissociado da finalidade do tratamento informatizado, que o acesso a dados clínicos, como são a história de medicação do doente, por parte das farmácias é excessivo. Apenas se autoriza o acesso aos dados de identificação, à entidade de que o titular é beneficiário e às alergias medicamentosas.

 

Requisitos do tratamento de dados para ensaios clínicos

Uma empresa veio legalizar o seu ficheiro de " ensaios clínicos".

O ficheiro recolhe dados pessoais que, confrontados com o processo clínico do médico/investigador, podem permitir a identificação dos doentes.

São recolhidos o nome do investigador, as iniciais do nome do doente, o número do estudo, o número de utente, a data de nascimento, raça (caucasiana, negra, outra), sexo, data em que foi obtido o consentimento informado do doente e os dados de saúde associados ao estudo em relação a cada doente.

A CNPDPI autorizou o tratamento automatizado desde que a empresa não possa nunca aceder a dados em poder do investigador que, de algum modo, identifiquem os doentes e ainda que no momento em que os titulares dêem a sua autorização para a realização de ensaios clínicos autorizem também o tratamento automatizado dos dados e sejam informados- de forma esclarecida- da finalidade e destino dos dados recolhidos.

 

Transparência no tratamento dos dados

Uma entidade recolhe dados de identificação e dados de saúde relativamente a "diabéticos" que pretendam adquirir equipamento de controlo de doença. Faz também a gestão do grau de satisfação em relação a esse equipamento.

No âmbito destes ficheiros, a entidade recolhia a informação do "clube de futebol" e "cor preferida". Questionada sobre a razão desta indicação, informou que o objectivo era fornecer aos doentes equipamentos da sua cor preferida (sexo feminino) e da cor do seu clube (sexo masculino).

Para além dos titulares dos dados não compreenderem as razões da recolha desta informação não há qualquer justificação para o seu tratamento.

Em obediência ao princípio da transparência, deve a empresa limitar-se a perguntar "qual a cor preferida para o equipamento". Não se autorizou a recolha de informação sobre a "cor preferida/clube de futebol".

A Comissão determinou que a empresa deverá obter autorização dos titulares para proceder ao tratamento automatizado dos seus dados de saúde.

 

Divulgação de informação de saúde

É possível a divulgação de informação médica de natureza exclusivamente estatística ou com finalidade de investigação, desde que não envolva a identificação das pessoas.

 

Comunicação de dados de saúde a tribunais e polícia

Um hospital, que dispõe de um ficheiro para a "gestão interna dos doentes", informou esta Comissão que os dados são transmitidos «aos titulares ou representantes legais, tribunais e polícias (de forma escrita)».

O artigo 15º da Lei 10/91, de 29 de Abril, dispõe que os dados só podem ser utilizados para a finalidade determinante da recolha, salvo autorização estabelecida por lei. A utilização de dados para finalidade diferente exige disposição legal e autorização da CNPDPI.

A transmissão de dados aos tribunais só poderá ocorrer quando houver disposição legal específica que imponha o dever de comunicação. Há, por exemplo, no âmbito do processo crime, disposições legais especificas que legitimam a transmissão de dados.

Quanto à transmissão de dados às polícias, anota-se que deve ser sempre assegurado o dever de sigilo e respeito pela privacidade dos doentes em relação aos seus dados de saúde.

Os dados de saúde não podem ser comunicados a pedido das autoridades policiais. Apenas serão admissíveis comunicações sobre realização ou não de cuidados de saúde, tendo em vista a instrução de participações a cargo e no âmbito das competências das autoridades policiais enquanto órgãos de polícia criminal.

 

Dossiers genéticos inseridos em arquivo único

Uma instituição de saúde pretende centralizar todos os processos clínicos dos seus utentes num Arquivo Único Central. Para cada doente é organizado um "processo único" do qual constarão todas as informações clínicas a seu respeito e que serão facultadas aos profissionais de saúde que as solicitem, de acordo com a lista de marcação de consulta ou episódio de internamento.

A Comissão apreciou a questão da centralização da informação de saúde, em particular a informação genética, num "dossier" clínico único.

A CNPDPI já se tinha pronunciado sobre a problemática do tratamento dos dados genéticos. Considerou que estes constituem indicadores que permitem revelar o estado de saúde, ou pelo menos possibilita diagnósticos que identificam estados patológicos, designadamente quanto a factores de risco para o desenvolvimento de determinadas doenças, incluindo as que têm carácter hereditário. Integrou os dados genéticos na categoria de "dados sensíveis", havendo que atribuir reforçada protecção a estes dados que ultrapassam em muito uma mera identificação da pessoa. Há dados genéticos que se integram no conceito de "vida privada" pelo que o seu tratamento automatizado tem como pressuposto a existência de consentimento expresso do titular e garantias de não discriminação.

Assumindo os "dossiers genéticos" natureza pluridisciplinar e não havendo disposições legais específicas na nossa lei, teremos que delimitar o tratamento desses dados em função de cada uma das situações em presença: da finalidade dos ficheiros, do tipo de pessoas que recolhem os dados e que acedem à informação, do grau de detalhe da informação tratada.

Por isso, devem ser estabelecidos «graus de confidencialidade» e observado um nível de confidencialidade reforçado em termos "quantitativos" – por se tratar de um «registo colectivo» relativo a um elevado número de pessoas – e em termos "qualitativos"- por «estarmos perante divulgação de dados relativos a predisposições, diagnóstico pré-sintomático ou de portadores saudáveis, de genes de doenças genéticas recessivas». Havendo no "dossier genético" dados que se integram no conceito de «vida privada» o seu tratamento automatizado por serviços públicos carece de «consentimento expresso do titular» e «garantias de não discriminação». Havendo dossiers clínicos/genéticos com registo de dados da «vida privada» o tratamento (difusão) dessa informação depende do consentimento informado do titular dos dados, o qual deve ser informado sobre as suas finalidades, devendo a sua disponibilização a outros serviços ser autorizada pelo responsável do ficheiro ou a quem por ele estiver mandatado (v.g. o Director Clínico), com parecer favorável do «responsável das áreas que determinaram a situação de máxima reserva». O Director Clínico poderá autorizar o acesso à informação para defesa de um «interesse vital do titular dos dados».

 

Âmbito da reserva da vida privada dos médicos

A Comissão legalizou ficheiros cuja finalidade é a promoção de produtos e serviços no âmbito da actividade farmacêutica, através de acções de marketing junto dos médicos.

Entendeu a CNPD que dados tendentes a definir o "prefil" do médico com indicadores relativos à atitude para com o produto, para com a companhia ou para com a concorrência tem de ser tratados de forma lícita e não enganosa. Os médicos devem ser informados da existência do tratamento, por forma a poderem exercer o direito de correcção ou eliminação.

Também era tratado o nível de prescrição em relação a cada medicamento. Este dado era intuído pelo delegado de informação médica em função do n.º de doentes visto por dia pelo médico. Se tais dados podem ser relevantes já a metodologia utilizada para os registar , com referência a "indicadores de clientela" foi entendida como não rigorosa e violadora da reserva da vida privada dos médicos. Não foi autorizado que o indicador da qualidade de "prescritor" fosse preenchido com referência ao número de doentes.

Admite-se o seu tratamento se corresponder a informação objectiva fornecida pelo médico.

Também entendeu a CNPDPI que a referência a «razões da não visita»: férias, parto, doente, estágio e greve, devem ser eliminadas já que constituem referências que directa ou indirectamente, anotam factos da vida privada e familiar do médico, da sua vida profissional, dados que se enquadram no âmbito do "direito à privacidade" e à "não intromissão" de terceiros, podendo ser substituídas por outras de carácter genérico.

Os «campos de texto livre»: "observações", "informações" ou "descrição", não poderão ser utilizados para anotar aspectos relativos à vida privada, familiar e profissional do médico ou para introduzir informação susceptível de intromissão na vida privada ou discriminação, salvo se for obtido o consentimento ou autorização do médico (art.35º nº3 da Constituição da República) e desde que a informação registada seja adequada, não excessiva e pertinente à finalidade.

 

Acesso a dados pessoais de terceiros

Foi solicitada à Comissão autorização para o acesso dum deputado da Assembleia da República a uma base de dados pessoais. O acesso foi requerido ao abrigo da alínea e) do artigo 156º da C.R.P.. Os deputados têm o direito e poder de obter elementos, informações que considerem úteis ao exercício do seu mandato.

Considerou a Comissão que o poder dos deputados tem de ser balizado com outras normas constitucionais, designadamente as que garantem a privacidade dos titulares dos dados informatizados. Concluiu que as listagens nominais não deviam ser fornecidas ao deputado, nos termos requeridos, sem prejuízo do obtenção de elementos anonimizados, não identificados, agregados ou estatísticos, elaborados com base nas informações disponíveis no sistema.

 

Sigilo bancário

Foi apresentada uma queixa à Comissão alegando que existiam terminais de "pagamento automático" que possibilitavam a consulta aos saldos da conta bancária dos clientes o que poderia configurar violação do sigilo bancário.

Feita a investigação e instrução do processo verificou-se que existem terminais de pagamento automático que possuem funções idênticas às de um terminal "multibanco". É possível efectuar nesses terminais, entre outras operações, pagamento de serviços, requisição de livro de cheques, transferências bancárias, consulta de movimentos e de saldos, etc.

Para cada transacção é necessária a introdução do PIN correspondente ao cartão utilizado pelo cliente

O acesso à conta bancária do titular dos dados e o direito ao sigilo bancário é a questão essencial que se suscita.

Quando o titular se dirige ao balcão do seu banco para efectuar operações bancárias o sigilo bancário está assegurado na medida em que a operação é efectuada por um empregado sujeito a esse sigilo. O mesmo acontece quando o titular realiza operações em POS/Multibanco porque o sistema condiciona o processamento à introdução dum código secreto (PIN), sendo as operações realizadas por pedido directo do titular, sem intervenção de terceiros. Quando o titular dá ordens de débito através da utilização de terminais em estabelecimentos comerciais o sigilo é também assegurado, na medida em que não há intervenção de terceiros em relação aos factos. Diferente será quando ocorre uma consulta de saldos num estabelecimento comercial. Nestas situações a Comissão determinou que, para que seja assegurado o sigilo bancário, é necessário que as operações se realizem a pedido do cliente, com consentimento esclarecido deste e que o estabelecimento tenha condições para garantir que não há acesso indevido, por parte dos funcionários ou de outros clientes, às informações protegidas pelo sigilo bancário.

 

Sigilo da correspondência

A Comissão foi chamada a pronunciar-se sobre escusa de uma empresa de telecomunicações relativamente a um pedido de informação judicialmente solicitado. A recusa fundamentava-se no sigilo das telecomunicações. Em concreto, o dado "morada", era necessário para a citação de um réu, não dispondo o tribunal de outro meio para o apurar .

Entendeu a Comissão que a tutela constitucional do sigilo da correspondência e das telecomunicações, objecto do art. 34º nº1 e 4 da C.R.P, abrange quer o "tráfego" da comunicação, quer o conteúdo desta. O dado pessoal "morada", isoladamente considerado e fornecido pelo assinante à empresa em causa, a título confidencial, quando da contratualização do respectivo serviço telefónico, não se integra no âmbito daquele direito constitucional, mas antes no dever de sigilo profissional, quer na vertente dos profissionais das telecomunicações, quer na da protecção de dados pessoais informatizados uma vez esse dado existe em ficheiro informatizado.

Os referidos sigilos, quando em colisão com o também constitucionalmente garantido "acesso ao direito e tutela jurisdicional efectiva", na vertente do "direito à acção", devem ceder e dar a primazia a este, atenta a sua característica pública, no sentido de garantir a "paz social", contrastando com o interesse privado. Considerou-se nula a danosidade social resultante da comunicação de tal dado, perante e em confronto com a resultante da violação do direito à acção, constituindo medida equilibrada e proporcionada.

Sendo o único meio ao dispor do Tribunal para apurar a morada do réu e estando garantida a mínima utilização de tal informação, limitada apenas àquele fim– a citação do réu -, considerou a Comissão legitima a requisição judicial da informação.

 

Acesso da Polícia Judiciária a base de dados não sensíveis

Determinada empresa requereu autorização para ceder à Polícia Judiciária elementos identificativos de determinado cliente, constantes da sua base de dados de marketing. O acesso da P.J. a base de dados não sensíveis, como é o caso, para mera identificação complementar de determinada pessoa não carece de uma decisão de intermediação da Comissão. Porque integrado nas atribuições da P.J. o acesso em causa encontra a sua legitimidade em disposição legal (artigo 7º do DL 259-A/90, de 21 de Setembro), nada obstando a que se efectue essa comunicação.

 

Comunicação de dados ao SIS

A possibilidade de comunicação de dados do sistema integrado dos Serviços de Estrangeiros e Fronteiras, por força do Decreto-Regulamentar 4/95, de 31 de Janeiro, é admissível se se destinar a uma força de segurança ou a um serviço público, disser respeito a um caso determinado, os serviços ou forças de segurança em causa estejam devidamente identificados e a informação pedida se integre no quadro das atribuições da entidade requisitante. É necessário também que exista obrigação e autorização legal, autorização expressa da CNPDPI e, cumulativamente, os dados sejam indispensáveis ao destinatário desde que a sua finalidade não seja incompatível com a finalidade determinante da recolha.

Na medida em que o SIS integra os Serviços de Informação da República, o processamento de informação pessoal por este serviço está excluído do âmbito de aplicação da lei 10/91, de 29 de Abril, por força do n.º 3 do artigo 3º. Não está, contudo, excluído das regras constitucionais, designadamente do artigo 35º da CRP. Às policias aplicam-se as regras constantes da lei de protecção de dados pessoais.

O Serviço de Informação e Segurança (SIS) carece de habilitação legal para aceder ao sistema de informações do SEF. Integrando o SIS o sistema de forças de segurança interna, poderá ser-lhe comunicado dados que constem do SEF, nas condições acima descritas desde que seja possível determinar os fundamentos para o acesso.

 

Dados destinados à definição de perfis de consumidor

Uma empresa recolhe dados relativos às preferências dos consumidores quanto a determinados produtos.

Considerou a Comissão que a empresa em questão deve indicar, no documento de recolha de dados, que os dados serão segmentados e utilizados para a definição de perfis de consumidores, expressamente e de forma visível e, que o ficheiro se destina a ser cedido a terceiros para a finalidade de marketing directo.

Também determinou que o nome do cônjuge só pode constar do ficheiro se este, expressamente e nas mesmas condições do titular, o autorizar.

Este ficheiro não poderá, em nenhuma circunstância, ser cruzado com outros ficheiros.

A Comissão deve ser informada dos critérios utilizados na definição de perfis de consumidor.

Deve ser mantida uma lista de entidades a quem foram cedidos os dados para fins de controlo e de auditoria da Comissão.

 

Transferência de dados pessoais para EUA

Uma empresa solicitou Autorização à CNPDPI para a transferência de dados constantes do seu ficheiro de pessoal para a casa-mãe nos Estados Unidos da América. Foram pedidos esclarecimentos quanto às garantias que a empresa-mãe poderia assegurar por forma a avaliar-se da existência de protecção adequada dos dados pessoais transferidos para os EUA. Neste contexto, foi apresentada uma declaração, pela destinatária dos dados em causa, nos termos da qual se compromete a não transmitir a terceiros os dados pessoais recebidos da empresa portuguesa e a conferir ao tratamento desses dados as garantias previstas na legislação portuguesa de protecção de dados e na Convenção 108 do Conselho da Europa.

 

 

 

Deliberações

 

 

Autorizações

 

Pareceres