Voltar à Página de entradaVoltar à Página de entrada

Pesquisar por palavra         

Français English
Ir para o Sítio do projecto DADUSFormulário de pedido de informaçõesFormulário de apresentação de Reclamações/Queixas
Rua de São Bento n.º 148-3º 1200-821 Lisboa - Tel: +351 213928400 - Fax: +351 213976832 - e-mail: geral@cnpd.pt

 

Relatório 1999

Introdução

 PARTE I – ACTIVIDADE DA CNPD

 Capítulo I – Situação Nacional

  1. Actividade processual

    1. Áreas tratadas

    2. Fiscalizações

    3. Participações ao Ministério Público

  2. Isenções de notificação

  3. Participação da CNPD junto da CADA

  4. Participação da CNPD em Grupos de Trabalho

  5. Participação da CNPD em conferências e seminários

  6. Relacionamento da CNPD com os cidadãos

  7. Estatísticas

Capítulo II – Situação Internacional

  1. Autoridade de Controlo Comum de Schengen

  2. Instância Comum de Controlo da Europol

  3. Participação em Grupos de Trabalho

    1. Grupo de Trabalho do Artigo 29º da Directiva

    2. Grupo de Trabalho de Polícias

  4. XXI Conferência Internacional dos Comissários de Protecção de Dados

  5. Conferência dos Comissários Europeus de Protecção de Dados

PARTE II – ORIENTAÇÕES DA CNPD

  1. Apreciação de Códigos de Conduta

  2. Transferência de dados para fora da UE

  3. Tratamento de dados de saúde por farmácias

  4. Tratamento de dados de saúde para investigação científica

  5. Protecção da privacidade dos utentes em hospitais

  6. Sistema de Conferência de Facturas de Farmácias–centralização e interconexão de dados

  7. Tratamento do dado “raça”

  8. Tratamento de dados da vida privada

  9. Conservação de dados dos utilizadores de cheques que oferecem risco

  10. Comunicação de dados no âmbito de subcontratação de serviços

  11. Comunicação de dados ao INE

 PARTE III – DECISÕES DA CNPD

  1. Deliberações

  2. Autorizações

  3. Autorizações de Isenção de Notificação

  4. Pareceres

Composição da CNPD

 

INTRODUÇÃO

 O Relatório da Comissão Nacional de Protecção de Dados relativo ao ano de 1999 espelha já, nas autorizações, pareceres e deliberações emitidos, algumas das relevantes alterações legislativas introduzidas em Portugal pela Lei n.º 67/98, de 26 de Outubro (Lei de Protecção de Dados Pessoais). A actividade da Comissão desenvolveu-se num novo quadro de atribuições e competências, que se reflectiram também em novos poderes: de investigação e de inquérito, de autoridade e de participação nos processos de decisão, designadamente através da emissão de pareceres prévios ao tratamento de dados.

 A Comissão Nacional de Protecção de Dados (CNPD),  enquanto autoridade nacional independente, que tem como atribuição controlar e fiscalizar o cumprimento das disposições legais e regulamentares em matéria de protecção de dados pessoais, pautou a sua acção pelo objectivo de garantir o rigoroso respeito pelos direitos do homem e pelas liberdades e garantias consagradas na Constituição e na lei quanto ao direito à privacidade.

 O Relatório inclui uma análise da situação nacional, dá conta da actividade internacional da CNPD e inclui os Pareceres, Autorizações e Deliberações, apresentando ainda a estatística processual. Por opção, a edição de papel não contém todas as decisões (não se incluem as que são meramente repetitivas, como é o caso de algumas das autorizações). Pela primeira vez, o acervo completo é editado em CD-ROM, que é distribuído gratuitamente com esta edição (juntamente com todos os Relatórios anteriores).

 O Relatório alerta o Governo para os atrasos verificados quanto à legalização de tratamentos de dados por parte da administração pública e pronuncia-se pela necessidade de alterar esta situação de não notificação de tratamentos de dados à autoridade nacional de controlo. A eficácia da administração está seguramente ligada aos passos que se derem na administração pública electrónica, mas é fundamental que estes projectos tenham em consideração, desde o início, os direitos, liberdades e garantias dos cidadãos, no que tange ao direito à protecção de dados.

 À Comissão Nacional de Protecção de Dados, bem como a todas as Autoridades de protecção de dados, à escala mundial e europeia, colocam-se importantes desafios na cooperação estreita em defesa dos direitos dos cidadãos. Esta rede de cooperação e interacção é fundamental no novo ambiente tecnológico em que os avanços da biotecnologia e das diferentes actividades humanas ligadas a meios telemáticos marcam o início do ano 2000. A nossa participação em várias Autoridades (Europol, Schengen), bem como em Grupos comuns (União Europeia, Telecomunicações), como se dá conta no Relatório, continua a ser fundamental no próximo futuro.

A CNPD editou já no final de 1999 um Folheto sobre os “Direitos dos Cidadãos”, como primeira iniciativa de um conjunto de edições que se pretendem levar a cabo neste domínio. A participação dos cidadãos, nas dúvidas, casos, denúncias apresentadas, por carta ou via electrónica,  constituem para nós um importante meio de actuação e impulso, que é insubstituível. A cidadania mais consciente, em particular dos jovens, terá um papel fulcral na defesa dos valores da privacidade nos próximos anos. 

Junho 2000

João Labescat

 

PARTE I – ACTIVIDADE DA CNPD

 Capítulo I – Situação Nacional

 1.     Actividade processual

 O ano de 1999 caracterizou-se por um aumento genérico da actividade processual da CNPD, reflectido quer no maior número de processos entrados, quer no número de ficheiros legalizados, que foi o mais elevado desde a entrada em funcionamento da Comissão - só ultrapassado pela situação excepcional do ano de 1995, definido como o prazo limite para a legalização de ficheiros informatizados existentes à data de entrada em vigor da primeira legislação de protecção de dados.

 Foi ao nível das queixas e reclamações e dos pedidos de autorização para o tratamento de dados pessoais que se verificou um aumento mais significativo de processos entrados em 1999. Em relação aos pedidos de registo e de parecer, a situação processual revelou-se  idêntica ao ano anterior.

Assim, no que diz respeito a queixas apresentadas à CNPD, o seu número passou de 78 em 1998 para 140 em 1999, confirmando-se a tendência de subida constante ao longo destes seis anos de actividade.

 Quanto às autorizações, o seu número duplicou relativamente ao ano anterior. Durante o ano de 1999, deram entrada 117 pedidos para o funcionamento de ficheiros contendo dados sensíveis ou dados relativos ao crédito e solvabilidade.

Em 1999, foram legalizados pela Comissão 529 ficheiros, tendo sido arquivados 378 processos de registo e emitidas 113 autorizações, entre as quais se incluem 53 reaberturas de processos, devido a pedidos de alterações no tratamento de dados pessoais.

Em termos gerais, durante o ano de 1999, deram entrada 612 novos processos, neles se incluindo pareceres, autorizações, registos, queixas e averiguações, foram terminados 652 processos e ficaram pendentes 793 processos.

No ano de 1999, a Comissão reuniu-se em 27 sessões plenárias. Ainda no quadro da sua actividade quotidiana, a CNPD deu resposta a largas centenas de pedidos de informação e esclarecimento por parte de cidadãos, empresas e organismos públicos, quer por telefone, por fax, por correio postal ou por correio electrónico, meio este cada vez mais utilizado e que se verifica ser o mais fácil e mais expedito.

  1.1      Áreas tratadas

 Em 1999, o sector dos bancos e sociedades financeiras foi aquele onde se verificou uma maior incidência de legalização de tratamentos de dados pessoais, quer ao nível dos registos, quer das autorizações. Tal facto deveu-se, em grande medida, ao aparecimento de novas sociedades financeiras no âmbito do sector bancário, bem como à reabertura de processos, com vista a proceder a alterações dos respectivos instrumentos de legalização, decorrentes de novas realidades empresariais.

 Também o sector da saúde teve, no ano de 1999, um peso significativo no conjunto dos processos legalizados, mantendo, desse modo, a tendência que se iniciou em 1997, altura em que a intervenção nesta área foi considerada prioritária pela CNPD.

Em matéria de Registos, a legalização de tratamentos de dados pulverizou-se, como é natural, por várias áreas. No entanto, é possível destacar a área dos bancos e sociedades financeiras como aquela onde foram registados mais ficheiros, logo seguida da área do marketing. Há ainda a assinalar as áreas da saúde e hotelaria, que atingiram índices de legalização relevantes.

Em matéria de Autorizações, a CNPD deliberou com particular incidência sobre pedidos formulados por entidades do sector bancário e financeiro. Também a área da saúde e as farmácias obtiveram alguma preponderância na legalização de ficheiros.

Em matéria de Pareceres, a Comissão pronunciou-se sobre projectos de diploma do Ministério da Justiça, do Ministério das Finanças, do Ministério do Equipamento, Planeamento e Administração do Território, do Ministério da Administração Interna e da Secretaria Regional de Educação da Madeira. Foram ainda submetidos à CNPD pedidos de parecer por parte do Serviço de Estrangeiros e Fronteiras e da Direcção Geral de Viação.

Em matéria de Queixas, salienta-se, em primeiro lugar, o seu aumento substancial, que em 1999 representou 43% do total de queixas apresentadas à Comissão desde o seu início de actividade. Para este crescimento contribuiu, em grande parte, à semelhança do que já tinha acontecido em 1998, o número elevado de queixas relacionadas com informações de crédito negativo, em particular no âmbito do registo de informações sobre a inibição do uso de cheques, tendo recaído, por conseguinte, sobre o sector bancário 52% das queixas apresentadas à Comissão.

As restantes queixas visaram entidades de diversas áreas, havendo apenas a destacar, embora com muito menor peso, reclamações contra o sector dos serviços e contra a área de informações e negócios.

  A maioria dos queixosos solicita à CNPD que mande eliminar, junto das entidades bancárias, a informação relativa aos cheques sem provisão, por tratamento indevido desses dados para além do prazo de conservação estabelecido. Outros fundamentos de queixas prendem-se com a cedência de dados a terceiros ou com a recolha indevida de dados pessoais.

 1.2     Fiscalizações

 Em 1999, a CNPD intensificou a sua acção fiscalizadora, tendo realizado 148 inspecções a entidades públicas e privadas.

Deste modo, a intervenção da Comissão traduziu-se num aumento de cerca de 50%, relativamente ao ano de 1998, do número de verificações feitas aos sistemas que servem de suporte ao processamento de dados pessoais.

Também neste domínio, o sector dos bancos e sociedades financeiras foi aquele onde se procedeu a uma maior fiscalização, totalizando 123 inspecções. A actuação da CNPD fez-se sentir particularmente no sector privado, onde foram realizadas 143 inspecções.

No quadro das suas competências, a CNPD procede a fiscalizações, quer em acções de rotina, quer no âmbito de processos de averiguação abertos por decisão da Comissão, quer ainda em resultado de queixas apresentadas.

Em 1999, a Comissão realizou 124 inspecções no âmbito de processos de queixa e 22 no âmbito de processos de averiguação. Foram ainda levadas a cabo duas acções para verificação do tratamento dos dados declarados à CNPD.

 

1.3    Participações ao Ministério Público

Durante o ano de 1999, a CNPD deliberou denunciar ao Ministério Público 5 casos de infracções à legislação de protecção de dados pessoais, passíveis de procedimento criminal.

O número de participações desceu, comparativamente com o ano anterior, devido sobretudo ás alterações decorrentes da nova lei de protecção de dados.

A Lei 67/98, de 26 de Outubro, prevê um regime sancionatório que diferencia o tipo de penalizações consoante as violações cometidas, podendo estas ser de natureza cível ou penal. Assim, tendo alguns procedimentos sido descriminalizados, a CNPD pode sancionar directamente os infractores através da aplicação de coimas, sem necessidade de recorrer ao Ministério Público, como acontecia à luz da anterior legislação em que qualquer violação da lei de protecção de dados era considerada crime.

 

2.     Isenções de Notificação

A Lei de Protecção de Dados obriga as entidades públicas e privadas a notificarem a CNPD dos tratamentos de dados pessoais.

A Comissão pode, no entanto, nos termos da lei, autorizar a isenção de notificação para as determinadas categorias de tratamentos, quando os dados a tratar não sejam susceptíveis de pôr em causa os direitos e liberdades dos seus titulares.

Com o objectivo de simplificar procedimentos, garantindo-se no entanto a observância da legislação de protecção de dados, a CNPD deliberou, em 1999, isentar de notificação à Comissão um conjunto de tratamentos de dados pessoais com finalidades específicas.

Nesse sentido, fazendo uso da prerrogativa que a lei concede, a CNPD aprovou seis autorizações de isenção para o tratamento de dados com as seguintes finalidades:

  • Processamento de retribuições, prestações, abonos de funcionários ou empregados

  • Gestão de utentes de bibliotecas e arquivos

  • Facturação e gestão de contactos com clientes, fornecedores e prestadores de serviços

  • Gestão administrativa de funcionários, empregados e prestadores de serviços

  • Registo de entradas e saídas de pessoas em edifícios

  • Cobrança de quotizações em associações e contactos com os respectivos associados

 Os tratamentos abrangidos por estas isenções só estão dispensados de notificação à Comissão, caso o seu processamento seja efectuado dentro dos limites estritos estabelecidos pela CNPD, e que constam das respectivas autorizações de isenção, nomeadamente quanto ao tipo de dados tratados, à sua finalidade e prazo de conservação.

 Por outro lado, os responsáveis por estes tratamentos mantêm todas as outras obrigações decorrentes da lei de protecção de dados, designadamente prestar sempre ao titular dos dados o direito de informação que a lei garante e cumprir os princípios de protecção de dados de lealdade, licitude, legitimidade e pertinência.

 As autorizações de isenção foram publicadas no Diário da República n.º 22, II Série, de 27 de Janeiro de 2000, e podem ainda ser consultadas na página da Internet da Comissão em www.cnpd.pt

 

3.     Participação da CNPD junto da CADA

 A Comissão de Acesso aos Documentos Administrativos (CADA) é uma entidade pública independente que assegura o direito de acesso aos documentos da administração, de acordo com a Lei 65/93, de 26 de Agosto.

A CNPD designa dois representantes para a CADA (um efectivo e outro suplente). Até 23 de Julho de 1999 a CNPD esteve representada pelo Dr. João Labescat, tendo a partir dessa data passado a representar a CNPD na CADA o Dr. Amadeu Guerra.

Durante o ano de 1999 a CADA emitiu 231 Pareceres, dos quais 18 foram relatados pelos representantes da CNPD (8 pelo Dr. Labescat e 10 pelo Dr. Amadeu Guerra).

 No ano de 1999 a Lei n.º 65/93, de 26 de Agosto, foi alterada pela Lei 94/99, de 16 de Julho, nomeadamente com o objectivo assegurara s transposição para a ordem jurídica interna da Directiva do Conselho n.º 90/313/CEE, de 7 de Julho de 1990, relativa à liberdade de acesso à informação em matéria de ambiente (cf. art. 2.º n.º 1). De entre as alterações introduzidas salientaremos, a título de exemplo, as seguintes:

a)      Em relação ao acesso a "documentos nominativos" de terceiros o artigo 8.º veio exigir que aqueles que a eles pretendam ter acesso - e não apresentem declaração escrita da pessoa a quem os documentos respeitam (n.º 1) - devem demonstrar um interesse directo, pessoal e legítimo (cf. n.º 2). A redacção anterior apenas exigia um "interesse directo e pessoal".

b)      Em relação à comunicação de dados de saúde, incluindo os genéticos, manteve-se a «intermediação de médico» quando a comunicação é feita ao titular. Em relação a «terceiros» deixou de ser feita esta exigência (cf. art. 8.º n.º 3);

c)      Foram criados novos mecanismos em relação aos procedimentos tendentes ao acesso a documento nominativo de terceiro (cf. art. 15.º n.º 2 e 4);

d)      Foram alteradas as competências da CADA (art. 20.º).

 Dos pareceres emitidos pelos representantes da CNPD, cabe destacar os seguintes pontos principais:

 a)      O acesso às fontes por parte dos jornalistas é sempre considerado legítimo, para efeitos dos direitos regulados pelos artigos 61º a 65º do Código de Procedimento Administrativo. Existe uma cláusula de legitimidade plena ex vi lege  que confere ao jornalista uma extensão no direito de acesso a dados de terceiros (n.º 2 do artº 8º da lei 1/99, de 13 de Fevereiro). Esta cláusula não vence normas especiais aplicáveis ao segredo de justiça, a documentos com dados nominativos relativos a terceiros e a documentos classificados ou protegidos por legislação específica e, nessa medida, o estatuto de jornalista não permite o acesso a dados do diagnóstico clínico. Admite-lhe, contudo, o acesso a determinados dados administrativos (data da alta, local de internamento).

b)      Quando se pede à administração fiscal informação sobre uma inscrição matricial concretamente especificada, perspectiva-se a informação relativa a um imóvel concretamente determinado não sendo possível apurar a capacidade contributiva de certo cidadão. Este pedido enquadra-se nas funções de publicidade subjacente ao artº 32 do Código da Contribuição Autárquica. Quando se pretende saber quais os imóveis pertencentes a determinada pessoa ou entidade está a requerer-se uma informação que, desde logo, não está no âmbito das atribuições da Repartição de Finanças e essa informação é susceptível de evidenciar a situação tributária/patrimonial de certo contribuinte. A divulgação desta informação viola as disposições citadas sobre o sigilo fiscal (a que os funcionários da Administração Fiscal estão vinculados), constituindo informação reservada por força do art.º 26 da Constituição da República.

 c)      A confidencialidade fiscal não é exclusiva da “personalidade singular”, sendo aplicável às pessoas colectivas, comerciantes e profissões liberais quando estiver em causa a sua situação patrimonial ou tributária. Essa protecção de reserva interessa, particularmente, aos comerciantes e pessoas colectivas dado o “manifesto interesse (vantagem) que têm em resguardar a sua situação dos seus concorrentes, parceiros e eventuais credores”. Assim, à semelhança do que acontece para as pessoas singulares, a Lei n.º 65/93 foi sensível a esta realidade específica e – respondendo à previsão não restritiva do artigo 268.º n.º 2 da CRP -  consagrou a possibilidade de recusa de acesso a documentos cuja comunicação ponha em causa “segredos comerciais, industriais ou sobre a vida interna da empresa” (cf. art. 10.º n.º 1).

 d)      Para que o acesso a documento nominativo de terceiro seja possível não basta o simples reconhecimento de um interesse directo, pessoal e legítimo. A CADA deverá emitir parecer, nos termos do artigo 15.º n.º 2 da Lei 65/93 - redacção da Lei 94/99, de 16/7 -, sobre a "possibilidade de revelação do documento". A restrição da reserva da vida privada terá que ser feita numa ponderação de interesses conflituantes e através da "avaliação comparativa dos interesses ligados à confidencialidade e à divulgação" (art. 18.º da CRP), só prevalecendo o direito de informação sobre o dever de confidencialidade na justa medida em que seja necessário para assegurar um interesse superior. O Hospital deve expurgar a informação relativa à reserva da vida privada não relevante para o presente caso e limitar-se a reproduzir os elementos constantes da documentação clínica solicitada, estritamente necessários à apreciação do Tribunal.

 e)      O Hospital deve facultar à Comissão de Protecção às Vitimas de Crimes informação clínica relativa a um cidadão, por esta se revelar imprescindível à instrução do pedido de indemnização (cf. artigos 7.º n.º 1 e 3 do DL 423/91, de 30 de Outubro, e artigos 8.º n.º 2, 15.º n.º 2 e 20.º n.º 1 al. d) da Lei 65/93, de 26/8, na redacção introduzida pela Lei n.º 94/99, de 16 de Julho).

 Merece especial saliência o facto de a CADA, no contexto da nova redacção introduzida pela Lei 94/99, de 16 de Julho, ter alterado a sua doutrina em relação a alguns casos concretos de acesso a documentos nominativos de terceiros, particularmente em relação a informação de saúde. Ao passar exigido, para além de um interesse directo e pessoal, um «interesse legítimo» a CADA passou a ser mais rigorosa em relação à ponderação e confrontação dos interesses em presença, nos contexto do disposto no artigo 268.º n.º 2 da CRP.

Não se pode esquecer que no acesso a documentos nominativos, em que o terceiro não apresenta autorização escrita do titular, deve ser compatibilizado o direito de acesso com a reserva da intimidade da vida privada, com consagração constitucional no artigo 26.º da CRP.

 

4.     Participação da CNPD em Grupos de Trabalho

 Em 1999, a Comissão manteve a sua participação em dois grupos de trabalho, constituídos com o objectivo último de preparar legislação sobre matérias em que se colocavam questões de protecção de dados pessoais.

 Assim, a CNPD continuou a dar a sua colaboração no grupo de trabalho criado pela Secção Permanente do Segredo Estatístico do INE, que foi aliás presidido pelo vogal representante da Comissão.

 O trabalho desenvolvido neste grupo visava analisar as várias formas de recolha de dados estatísticos e a sua posterior disponibilização, bem como reflectir sobre as consequências da aplicação da legislação nacional e comunitária de protecção de dados no instituto do “segredo estatístico”, donde poderiam resultar propostas de alteração à Lei do Sistema Estatístico Nacional.

 A Comissão manteve ainda a sua participação, iniciada em 1998, no grupo de trabalho sobre videovigilância, criado para preparar uma iniciativa legislativa sobre videovigilância, no âmbito da segurança pública.

 

5. Participação da CNPD em conferências e seminários

 Em 1999, a CNPD foi convidada a participar em diversos seminários, colóquios e conferências, apresentando comunicações sobre matérias específicas de protecção de dados pessoais, bem como a sua relação com a sociedade de informação em geral.

Ao longo dos últimos anos, a participação da Comissão é frequentemente solicitada, em especial no meio académico e no campo empresarial, que cada vez mais desperta para a discussão destes assuntos, integrando-os quer nos currículos universitários, quer no desenvolvimento da actividade económica.

Dada a importância de que se revestem actualmente o debate e o esclarecimento destes temas, a CNPD tem procurado sempre que possível contribuir, pela sua parte, para o aprofundamento e divulgação destas matérias.

Deste modo, no ano passado, participou em várias iniciativas, nomeadamente sobre segurança interna e videovigilância (Ministério da Administração Interna), o tratamento de dados de saúde (Universidade de Aveiro),  a protecção de dados pessoais (Instituto Superior de Contabilidade e Administração de Lisboa),  sistemas de gestão de informação e acesso à informação (Universidade de Aveiro).

  

6.     Relacionamento da CNPD com os cidadãos

 Durante o ano de 1999, a Comissão continuou a desenvolver um trabalho específico de relacionamento aberto e próximo com os cidadãos, criando condições favoráveis para um contacto cada vez mais frequente e facilitado com os seus serviços, bem como promovendo acções de informação junto das pessoas.

 Assim, em 1999, a CNPD editou uma brochura sobre “Os direitos dos cidadãos” e a protecção de dados pessoais, que distribuiu por locais de atendimento ao público em vários pontos do país. Esta foi a primeira de uma série de edições sobre aspectos específicos da protecção de dados que se pretende vir a efectuar. Esta iniciativa tem por objectivo contribuir para que as pessoas conheçam melhor os seus direitos, ficando assim mais habilitadas para o seu pleno exercício.

 Foi igualmente desenvolvida uma campanha de publicidade na imprensa, para dar a conhecer ao público em geral e, em particular, aos responsáveis por tratamentos de dados, as isenções de notificação autorizadas pela CNPD.

 Também no plano da comunicação social, prosseguiu-se com o trabalho desenvolvido nos últimos anos, quer através da divulgação de comunicados de imprensa, quer através de contactos regulares que são mantidos com os órgãos de comunicação social, no sentido de prestar os esclarecimentos necessários sobre a legislação e decisões da CNPD, mantendo uma prática de abertura da actividade da Comissão ao exterior.

 Ainda no âmbito do relacionamento com os cidadãos, pode assinalar-se uma maior procura de informação junto da Comissão por parte de estudantes e docentes do ensino superior, reveladora de um interesse crescente pelas questões de protecção de dados e privacidade no meio académico. A CNPD considera ser da máxima importância a realização de estudos sobre estas matérias, pelo que sempre se tem disponibilizado para apoiar o mais possível todas as pessoas que nos têm contactado.

 Também o ritmo de consulta da página da Comissão na Internet, em www.cnpd.pt, é um bom indicador da utilidade deste meio privilegiado de comunicação e acesso à informação. Em 1999, a CNPD iniciou um estudo, com vista à reformulação da sua página, que responda plenamente às necessidades que se vão colocando de mais e melhor informação.

 Em 1999, foi colocado on-line um novo formulário para legalização de tratamentos de dados pessoais, com as alterações decorrentes da nova lei. Foi ainda elaborado um formulário específico (só disponível para download em 2000) para o registo de tratamentos de videovigilância.

 É igualmente de destacar a crescente utilização do correio electrónico por parte dos cidadãos para se dirigirem à Comissão, tanto para solicitar pedidos de esclarecimento, como para apresentar queixas e reclamações. Nesta medida, tem sido preocupação constante da CNPD corresponder, nas suas respostas, ao imediatismo deste veículo de comunicação.

 Tem sido, aliás, um objectivo de sempre da Comissão promover um relacionamento aberto com os cidadãos e um acesso rápido e eficaz à informação, no cumprimento essencial do princípio da transparência.

 

Capítulo II – Situação internacional

 1.     Schengen na União Europeia

 O ano de 1999 ficou marcado pela alteração do quadro institucional de aplicação dos Acordos de Schengen resultante do Tratado de Amesterdão. A partir de 1 de maio as matérias de Schengen passaram para a competência da União Europeia constituindo acervo comunitário.

 A Autoridade de Controlo Comum (ACC), órgão independente, agora na União, que integra representantes nacionais das Autoridades de protecção de dados cumpriu a sua missão de controlo do sistema de informação Schengen e manteve uma actividade constante na emissão de pareceres e no acompanhamento na evolução do sistema de informação. A Actividade da ACC, durante este ano, decorreu durante a Presidência portuguesa (João Labescat), cabendo a Vice-Presidência à Bélgica (De Schutter).

 São de salientar:

 a)      Quanto ao controlo e segurança do sistema central sediado em Estrasburgo, a efectivação de uma missão de controlo a todas as componentes do SIS e a elaboração do respectivo relatório, enviado às entidades competentes com um conjunto de recomendações, uma das quais diz respeito a um mecanismo de controlo que permita eliminar a inserção de dados de cidadãos da União, como estrangeiros para não admissão. O Relatório concluiu que o sistema continua globalmente seguro, não deixando de apontar algumas propostas que visam o reforço dos mecanismos de controlo;

b)      As garantias de independência da ACC, no seio da União, o que expressamente foi reconhecido numa Decisão do Conselho (de 25.05.1999, publicada no JO L 176 de 10.07.99); contudo, dever-se-á sublinhar as dificuldades encontradas no período que precedeu a integração, com várias indefinições e a falta de apoio financeiro o que prejudicou algumas das acções programadas;

c)      As iniciativas que visam a transparência e a informação dos direitos dos cidadãos, de que foram exemplo a difusão de um cartaz e folhetos em vários países da União, a realização de uma Conferência de Imprensa em Florença, na sequência da Sessão Anual de apresentação do Relatório, a elaboração de uma página da Internet sobre a ACC, que será integrada na informação da União e a colocação na Internet dos relatórios anuais em vários sites das Autoridades nacionais;

d)      A melhor definição de algumas matérias (com reforço dos direitos) sobre os quais a ACC havia emitido parecer, designadamente quanto à situação de cidadãos cujas identidades são usurpadas e passam a constar do SIS;

e)      Acompanhamento dos trabalhos de definição da nova geração do sistema (SIS II) e da integração de dados dos cinco países nórdicos no sistema;

f)      Propostas de solução para a criação de um secretariado comum (Schengen, Europol), iniciada com a Presidência finlandesa; nesse âmbito realizou-se em Portugal uma reunião das Presidências das duas Autoridades. O secretariado comum visa dotar as duas Autoridades de um apoio permanente e eficaz no seu funcionamento independente.

 O número de pedidos de verificação e de acesso aos dados por parte dos cidadãos aumentou significativamente em vários países, resultado também das campanhas de informação realizadas.

 Merece ainda destaque a apresentação pública, em Lisboa, do relatório Anual da ACC, e a realização de várias reuniões de acompanhamento da componente nacional do sistema, designadamente com o Gabinete Sirene.

  

2.     Instância Comum de Controlo da Europol

 O Serviço Europeu de Polícia, criado pela Convenção Europol, aprovada por Resolução da Assembleia da República n.º 60/97, de 19 de Setembro, e ratificada por Decreto do Presidente da República n.º 67/97, tem  fundamento no disposto no artigo K3,  n.º 2 alínea c) do Tratado da União Europeia, sendo seus objectivos a prevenção e o combate ao terrorismo, tráfico de estupefacientes e outras formas graves de criminalidade internacional.

 O ano de 1999, reveste-se de particular importância porquanto a Europol iniciou as suas actividades em 1 de Julho.

 O controlo em matéria de protecção de dados compete à Instância Comum de Controlo, a qual fiscaliza a actividade da EUROPOL e garante  que a introdução, o tratamento e a utilização de dados pessoais não constituem violação dos direitos das pessoas. Controlará, igualmente, a legitimidade da transmissão dos dados provenientes da Europol.

 A Autoridade de Controlo foi formalmente constituída, de acordo com o n.º 7 do artigo 24º da Convenção Europol, em Novembro de 1998, com a aprovação do regulamento interno pelos seus membros e pelo Conselho da União Europeia, sendo tal aprovação condição da entrada em funcionamento da Europol (n.º 4 do art. 45.º da Convenção).  O regulamento interno foi publicado no JOC de 30.1.1999

 A ICC é constituída por 2 representantes de cada Estado-membro, eventualmente coadjuvados por suplentes. No seu âmbito  foi constituído um Comité que integra um membro de cada delegação, com a competência de apreciar os recursos interpostos pelos cidadãos.

 A vice- presidência do Comité de Recursos, pertence ao vogal da CNPD, Dr. Varges Gomes, eleito por unanimidade em Novembro de 1998, com um mandato por dois anos.

 No ano de 1999 realizaram-se, em Haia e Bruxelas, três reuniões plenárias da Instância e duas reuniões do Comité de Recursos.

 No ano de 1999 foram tomadas medidas que visam o estabelecimento e criação de condições que permitam à ICC e ao Comité de Recursos exercer as suas funções de forma expedita e eficiente, tanto mais que se perspectivavam os primeiros pedidos de parecer sobre a criação de «ficheiros de análise».

Foi estabelecida uma metodologia quanto aos procedimentos a adoptar em relação à apreciação dos pedidos de abertura de ficheiros de análise, sendo equacionados aspectos fundamentais ao nível da distribuição dos pedidos, salvaguarda de níveis de segurança no manuseamento dos pedidos de abertura, discussão e apreciação rápida pela ICC quando é manifesta a urgência do pedido de abertura. Foi criado um “grupo de trabalho” restrito que ficará encarregado de fazer uma primeira abordagem das questões suscitadas pelos pedidos de abertura de ficheiros, podendo apresentar um projecto de decisão que será presente à ICC.

 A ICC – não prescindindo das suas competências - privilegiou, igualmente, um diálogo com a EUROPOL e procurou estabelecer “relações e canais de comunicação” que permitissem uma resposta rápida aos esclarecimentos necessários à ICC.  

 Uma das condições essenciais ao desempenho das funções da ICC passa pela criação e apoio de um secretariado. Houve consenso em relação à criação de um secretariado comum às autoridades de Schengen e Europol, desde que fosse garantida a sua independência, relações de hierarquia e que as suas funções fossem definidas pelas autoridades de controlo.

  

3. Participação em Grupos de Trabalho

 

3.1 Grupo de Trabalho do Artigo 29º da Directiva (Grupo de Trabalho de protecção das pessoas no que respeita ao tratamento de dados pessoais (União Europeia)

 O Grupo de Protecção das Pessoas no que diz respeito ao Tratamento de Dados Pessoais, previsto no artigo 29º da Directiva 95/46/CE, tem carácter consultivo e é independente. O Grupo tem como atribuições, contribuir para a aplicação uniforme da Directiva europeia, emitir parecer sobre o nível de protecção existente na Comunidade e em países terceiros, aconselhar a Comissão sobre projectos atinentes a estas matérias, dar parecer sobre códigos de conduta e elaborar recomendações sobre matérias atinentes à protecção de dados.

 O ano de 1999 foi marcado pelo acompanhamento do processo do “Safe Harbor” (ver sobre esta questão os Pareceres da CNPD nºs 14/2000 e 17/2000), que reconhece às entidades dos EUA que venham a aderir aos princípios de protecção de dados daquele mecanismo de auto-regulação um nível de “protecção adequada”, pela apreciação de Códigos de Conduta Europeus na áreas do marketing e de cláusulas contratuais tipo relativas à protecção de dados no tocante ao comércio internacional, na elaboração de uma recomendação sobre o período de conservação de dados nos serviços de telecomunicações, no estudo de casos relativos à utilização da Internet (no âmbito da Internet Task Force), no desenvolvimento da transposição da Directiva nos Estados membros.

 Foram emitidos os seguintes Pareceres, Recomendações e Decisões:

Sobre o nível de protecção adequada do Safe Harbor considerando que este deveria  incluir, como patamar mínimo, os princípios relativos à privacidade estatuídos pela OCDE de 1980, chamando a atenção para os limites que o “Safe Harbor” contém quanto ao direito de acesso e às excepções a determinadas regras constantes da Directiva (Parecer 1/99). O Grupo pronunciou-se ainda sobre o Safe Harbor  através dos Pareceres 4/99 e 7/99.

Quanto à Internet foi produzido um documento de trabalho que sublinha a necessidade de uma aproximação coerente e homogénea na aplicação das duas Directivas (95/46/CE e 97/66/CE) no processamento de dados efectuado naquele contexto e emitida uma Recomendação sobre processamento invisível e automático de dados pessoais na Internet através de software e hardware que alerta para tipo de dados que podem, sem conhecimento e informação do titular, ser captados pelos diferentes servidores e que permitem seguir os passos do internauta (Recomendação 1/99) .

Foi também elaborada uma Recomendação (2/99) relativa ao “respeito da vida privada no contexto da intercepção das telecomunicações” que propõe um conjunto de critérios legais que cada Estado deve ter em consideração na lei que permita a intercepção. No âmbito das telecomunicações foi ainda adoptado o Parecer 3/99 relativo ao tempo de conservação de dados para fins de facturação e pagamento de serviços que se pronunciou pela necessidade de harmonizar o tempo de conservação de dados a nível da União.

No que respeita à harmonização de princípios da administração aberta e da protecção de dados o Grupo considerou que o facto de determinada informação pessoal ser tornada pública não significa que o titular dos dados fique, ipso facto e para sempre, desmuniciado do seu direito à privacidade (Parecer 3/99).

Quanto à “protecção adequada” em países terceiros o Grupo recomendou que a Comissão reconheça que a Suíça e a Hungria asseguram um nível adequado de protecção de dados, de acordo com o artigo 25º da Directiva. (Pareceres 5/99 e 6/99).

O Grupo recomendou ainda a inclusão do direito à protecção de dados no catálogo europeu de direitos fundamentais.

Os documentos podem ser consultados em www.europa.eu.int (Comissão/DG Mercado Interno).  

  

3.2 Grupo de Trabalho de Polícias

 A Convenção sobre a utilização da Informática no Domínio Aduaneiro foi assinada, em Bruxelas, em 26 de Julho de 1995. Em Portugal, foi aprovada para ratificação por Resolução da Assembleia da República nº 32/99, e ratificado por Decreto do Presidente nº 129/99, Diário da República I Série A, nº 93 de 21.4.99.

 O Grupo de Trabalho de Polícias centrou as suas actividades, no ano de 1999, na discussão e elaboração do Regulamento Interno da Autoridade Supervisora Comum, órgão de controlo e supervisão do funcionamento do Sistema de Informação Aduaneiro, no âmbito de protecção de dados.

 Com este objectivo, o Grupo de Trabalho reuniu-se, em Haia, duas vezes durante o ano de 1999.

Nas reuniões foi também objecto de análise a situação da Convenção “EURODAC”, tendo-se concluído que o impasse negocial resultava de problemas levantados com os imigrantes ilegais.

 Acompanhavam-se também os avanços nas negociações relativas à aproximação horizontal das Autoridades de Controlo dos Sistemas de Informação Schengen, Europol e Aduaneiro, tendo o grupo de trabalho concluído que, nesta fase, apenas seria admissível a criação de um secretariado comum às Autoridades, sendo qualquer outra iniciativa prematura.

 

4. XXI Conferência Internacional de Comissários de Protecção de Dados

 A Conferência Internacional de Comissários de Protecção de Dados decorreu em Hong-Kong, entre os dias 13 e 15 de Setembro. De entre os principais temas abordados encontram-se: a privacidade e as telecomunicações, a cooperação policial e os problemas suscitados pela crescente troca de informações e pela criação de sistemas comuns a vários países, a protecção de dados e a liberdade de informação, o comércio electrónico.

 Algumas das intervenções trataram especificamente de: Privacidade e Biométrica, Riscos para a Privacidade nas Infraestruturas de Chaves Públicas, Equilíbrio entre Administração Aberta e Protecção da Privacidade, Protecção de Dados, Jurisdição e Lei Aplicável, Cooperação Policial Internacional e Protecção da Privacidade, Registos Públicos e Privacidade.

 Ficou patente nas intervenções proferidas, as diferentes concepções, sistemas, formas e soluções que visam a defesa da privacidade, designadamente quanto àqueles países que se baseiam fundamentalmente em legislação ou os que, em especial no sector privado, optaram por regimes de auto ou co-regulação.

 As intervenções ou o seu resumo (versão inglesa) podem ser consultadas no site do Comissário de Protecção de Dados de Hong-Kong, www.pco.org.hk. 

  

5. Conferência dos Comissários Europeus de Protecção de Dados

 A Conferência de Primavera dos Comissários Europeus de Protecção de Dados teve lugar em Helsínquia nos dias 15 e 16 de Abril. A Conferência fez um balanço da situação da protecção de dados a nível europeu e traçou caminhos para o aprofundamentro da cooperação entre as autoridades nacionais.

 Quanto às missões e à cooperação entre as Autoridades Nacionais de Protecção de Dados as intervenções centraram-se nos seguintes temas: “Desenvolvimento estratégico” (P. Hustinx, Holanda), “A experiência Finlandesa” (R. Aarnio, Finlândia), Cooperação Horizontal (Ulf Brühann, UE), “A cooperação no âmbito de Schengen (J. Labescat, Portugal), “Informação aos cidadãos” (S. Rodotà, Itália) e “Códigos de Conduta, diferentes níveis e aspectos” (Ugo de Siervo, Itália).

 Foram ainda apresentados temas relacionados com tópicos específicos nas diferentes áreas da protecção de dados:  “Sistema de auditorias” (Diana Blas, Holanda) e Emilio Félez (Espanha), “ Os problemas éticos da tecnologia genética (K. Sominsuuri-Sorsa, Finlândia), “A base de dados genética na Islândia (S. Jóhannesdóttir, Islândia), “Assinatura electrónica” (J. Seabra Lopes, Portugal), “Fluxos transfronteiras de dados” (J. Fernández López, Espanha) e “Identificação electrónica na Islândia” (H. Luntiala, Islândia).

 A Conferência fez um balanço da transposição das Directivas europeias 95/46/CE e 97/66/CE, respectivamente sobre protecção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados e sobre privacidade no sector das telecomunicações, tendo-se constatado um atraso assinalável na maior parte dos países. Portugal era um dos poucos países que já havia procedido à transposição de ambas as directivas para a legislação nacional.

 A Conferência apoiou a iniciativa de criação de um secretariado comum que apoie o funcionamento das duas autoridades de controlo dos sistemas de informação de Schengen e Europol e pronunciou-se pela necessidade de garantir plenamente a independência desse secretariado, que deve ser dotado de meios humanos e financeiros compatíveis com as respectivas missões.

ESTATÍSTICAS 1999

 

 

 

 

PARTE II -ORIENTAÇÕES DA CNPD

1. Apreciação de Códigos de Conduta

A CNPD definiu, na Deliberação nº 7/99, uma metodologia e critérios de análise uniformes dos códigos de conduta nacionais, que sejam submetidos à sua apreciação.

Nos termos do artº 32º da Lei 67/98, a Comissão apoia a elaboração de códigos de conduta, destinados a contribuir para uma melhor execução das disposições da lei de protecção de dados em cada sector de actividade. As associações profissionais e outras organizações representativas de categorias de responsáveis pelo tratamento de dados podem, pois, submeter à apreciação da CNPD os códigos de conduta que elaborem.

A Comissão estabeleceu que serão aceites para análise os projectos de código das entidades que comprovem a sua representatividade no respectivo sector e que tenham capacidade para impor sanções aos associados que venham a infringir o código, bem como aqueles que contenham um valor acrescentado relativamente à legislação em vigor através da concretização de normas legais específicas na sua área de actividade.

A análise do projecto será efectuada por um grupo de trabalho determinado pela CNPD, que elaborará o seu parecer e as propostas que entender adequadas, mantendo quando necessário contacto com a entidade apresentante, no sentido do seu aperfeiçoamento.

A declaração da conformidade dos projectos de códigos de conduta com as disposições legais e regulamentares vigentes em matéria de protecção de dados será objecto de Deliberação da CNPD.

2. Transferência de dados para fora da UE

A CNPD determinou, na Deliberação 6/99, quais as condições que considera exigíveis para que seja autorizada uma transferência ou um conjunto de transferências de dados pessoais para um Estado que não assegure um nível de protecção adequado.

Nos termos do artº 19º da Lei 67/98, a transferência de dados pessoais para Estados que não pertençam à União Europeia só pode realizar-se se o Estado destinatário tiver um nível de protecção de dados pessoais adequado. Cabe à CNPD decidir se tal protecção está ou não assegurada.

Mesmo nos casos em que os Estados não oferecem um nível de protecção adequado, estas transferências podem ser autorizadas pela CNPD "desde que o responsável pelo tratamento assegure mecanismos suficientes de garantia de protecção da vida privada e dos direitos e liberdades fundamentais das pessoas, bem como do seu exercício, designadamente, mediante cláusulas contratuais adequadas" (artº 20º nº 2).

Neste sentido, a CNPD veio definir o que entende serem os requisitos indispensáveis para salvaguarda da privacidade no fluxo de dados pessoais para países fora da UE, sem prejuízo da verificação de outras condições exigíveis ao tratamento: necessidade da transferência, para finalidade determinada e legítima, dos dados em causa; garantia de respeito pela finalidade especificada, não podendo os dados ser utilizados para finalidade incompatível nem transmitidos a terceiros for a do âmbito declarado à Comissão; garantia de respeito pelos direitos dos titulares dos dados tal como definidos pela lei portuguesa; garantia por parte do responsável que requer o fluxo, que as condições constantes dos números anteriores são cumpridas pelo responsável para onde os dados são transferidos, sob pena de ser responsabilizado pelo incumprimento.

3. Tratamento de dados de saúde por farmácias

Mediante o pedido de algumas farmácias para a legalização do tratamento de dados de saúde dos utentes, no âmbito da gestão dos medicamentos adquiridos, a CNPD equacionou a legitimidade das farmácias para o processamento desta informação extremamente sensível e susceptível de gerar discriminação dos titulares dos dados.

A Comissão concluiu que o tratamento de dados pelas farmácias que digam respeito a informação de saúde dos utentes não se enquadra na previsão do nº 4 do artº 7º da Lei 67/98, só podendo ocorrer nos termos estabelecidos nos nºos 1 e 2 do artº 7º.

Assim, só haverá legitimidade para o tratamento de dados de saúde, se houver "disposição legal" ou "consentimento expresso" do titular dos dados, em ambos os casos "com garantias de não discriminação e com as medidas de segurança previstas no artº 15º".

Deste modo, as farmácias, enquanto responsáveis dos seus próprios ficheiros, poderão tratar os dados relativos a estupefacientes e substâncias psicotrópicas, por força de disposição legal, fundamentadora do tratamento automatizado destes dados e definidora do tipo de dados a tratar, das suas finalidades e do seu tempo de conservação. Devem ainda comunicar estes dados ao INFARMED.

À excepção dos dados sobre fornecimento de psicotrópicos, a CNPD considera que a generalidade dos outros dados só poderão ser tratados pelas farmácias, quando haja consentimento expresso do titular, e na estrita observância dos princípios estipulados no artº 5º da lei 67/98. Os dados não poderão ser comunicados a terceiros, nomeadamente à Associação Nacional de Farmácias e à Associação de Farmácias de Portugal.

4. Tratamento de dados de saúde para investigação científica

Algumas clínicas de doenças renais solicitaram à CNPD a legalização do tratamento de dados de saúde que se destinam a medicina preventiva, diagnóstico, prestação de cuidados e tratamento de diálise dos doentes insuficientes renais. Os dados são ainda utilizados para o desenvolvimento de estudos e investigação científica.

Esta dupla finalidade dos dados recolhidos foi analisada pela Comissão, que entendeu haver legitimidade para o tratamento de dados, no âmbito da medicina preventiva, realização de diagnóstico e prestação de cuidados de saúde (artº 7º nº 4 da Lei 67/98).

No entanto, quando os dados são utilizados para fins de investigação científica, deverá ser obtido consentimento expresso do titular dos dados (artº 7º nºos 1 e 2).

Por conseguinte, a Comissão autorizou o tratamento destes dados de saúde, sob condição de o responsável obter o preenchimento de uma declaração de consentimento informado em relação ao processamento de dados destinados à investigação científica. Essa declaração deve mencionar claramente que os dados são tratados informaticamente.

5. Protecção da privacidade dos utentes em hospitais

A CNPD procedeu à averiguação de alguns factos noticiados na comunicação social, relacionados com o tratamento de dados pessoais e com a violação da privacidade dos utentes no Hospital de Santa Maria e no Hospital Egas Moniz.

Após a verificação da situação existente nestes hospitais quanto aos procedimentos adoptados no tratamento de dados de saúde e dados da vida privada, a Comissão, na Deliberação 23/99, determina as condições em que pode ser feita a "partilha da informação clínica" e a circulação da informação entre as várias categorias de profissionais, bem como o processamento de dados da vida privada.

Assim, no entender da CNPD, apesar do conceito de sigilo médico se assumir actualmente como um "segredo partilhado", em função da nova realidade do trabalho de equipa, a "partilha da informação clínica" ou a cedência de dados de saúde no âmbito do estabelecimento hospitalar deve ser feita na estrita medida do necessário à prestação de cuidados de saúde. Deste modo, os dados de saúde, como por exemplo o diagnóstico, só deverão ser transmitidos quando se revelem necessários à prestação de cuidados de saúde ao utente.

No caso vertente, a Comissão considerou que a generalidade dos pedidos de análise não necessita da especificação do diagnóstico. Não deve, pois, ser generalizada ou banalizada no seio da instituição a partilha da informação de todos os doentes. Admite-se, contudo, que em casos pontuais a especificação de um "diagnóstico possível" possa ser útil para efeito da elaboração do diagnóstico definitivo. Neste caso, a "partilha da informação" é feita no interesse do doente e para fins de diagnóstico médico.

Nas situações em que seja absolutamente necessária a inscrição do diagnóstico no pedido de análises, tal deve ser feito de maneira a que os funcionários administrativos e pessoal que procede à recolha de sangue não tenha acesso aos dados de diagnóstico. Tal prática viola a privacidade dos utentes e põe em causa a confiança estabelecida na relação médico/doente.

A CNPD ordenou, deste modo, que os procedimentos que permitiam o acesso a estes dados por parte destes funcionários fossem imediatamente suspensos, devendo os estabelecimentos hospitalares encontrar uma metodologia de circulação interna da informação, submetida a parecer prévio da Comissão de Ética do Hospital, que proporcione diferentes níveis de acesso à informação para diferentes categorias de profissionais de saúde.

No que diz respeito ao tratamento de dados da vida privada dos utentes, tais como, nomeadamente, as referências "homossexual, bissexual, prostituta, heterossexual com múltiplas parceiras, criança filha de prostituta", este só poderá ser feito quando estiverem reunidas as seguintes condições: houver consentimento expresso do titular dos dados, e desde que as fichas clínicas sejam guardadas em local com controlo efectivo de acesso às instalações por pessoas autorizadas.

6. Sistema de Conferência de Facturas de Farmácias - centralização e interconexão de dados

O Ministério da Saúde, através do IGIF, veio notificar a Comissão do tratamento de dados relativo ao Sistema de Conferência de Facturas de Farmácias, que tem como finalidade produzir etiquetas autocolantes identificadoras do médico prescritor e da unidade de saúde emissora e viabilizar o processo de conferência de facturas, tendo em vista o controlo da facturação, a avaliação do consumo e a detecção de fraudes.

Os dados pessoais tratados são o nome dos prescritores, nº da sua cédula profissional, especialidade, nome clínico, data de nascimento, local de prescrição, código, nome e quantidade do medicamento prescrito, nº de receitas, nome e morada e nº de contribuinte da farmácia, código do produtor do medicamento.

Os dados são registados em cada uma das sub-Regiões de Saúde, enviados para a respectiva Administração Regional de Saúde, que, por sua vez, os envia para centralização no IGIF. São ainda comunicados dados ao Infarmed, que é responsável pela manutenção do ficheiro de medicamentos e pela informação relativa às farmácias, em termos de actividade.

A CNPD, na Autorização 36/99, considerou haver legitimidade para o tratamento destes dados, nos termos do artigo 6º alíneas a), b) e e) da Lei 67/98. Por um lado, o registo do receituário é uma das condições para a contabilização dos pagamentos às farmácias das quantias comparticipadas pelo SNS. Por outro lado, a recolha do nome do médico prescritor fundamenta-se na legítima actividade de controlo e fiscalização dos profissionais de saúde que pertencem aos quadros do SNS ou que com este celebram contratos ou convenções.

No entanto, a Comissão estipulou que os responsáveis pelos tratamentos estão obrigados a informar os titulares dos dados em relação à finalidade do tratamento, destinatários das informações e condições de acesso e rectificação, sugerindo que o direito de informação seja assegurado no momento da recolha dos dados, que é feita pelas sub-Regiões de Saúde.

Quanto ao prazo de conservação dos dados, a CNPD sugere que os dados de identificação do prescritor sejam eliminados no prazo de um ano após a cessação de funções para o SNS; os dados relativos à prescrição deverão ser apagados, ou anonimizados, logo que tenham decorrido dois anos sobre a data de pagamento da factura às farmácias.

A Comissão autorizou que a centralização de dados no IGIF possa ser feita através de operações de interconexão, na acepção do artº 3º alínea I) da Lei 67/98, por considerar que a interconexão é necessária à realização das atribuições do Ministério da Saúde em matéria de contabilização dos pagamentos às farmácias, avaliação dos serviços prestados, planeamento, controlo orçamental e gestão dos recursos financeiros.

No entender da CNPD, o grande problema que o tratamento de dados levanta prende-se com as questões do acesso, consulta e utilização da informação registada. Neste caso, em virtude da natureza dos dados tratados, a Comissão reconhece que o acesso e utilização desta informação merece cuidados especiais.

Neste sentido, a Comissão determinou o seu acesso restrito, no âmbito das sub- Regiões, Administrações Regionais e IGIF, aos funcionários que exerçam funções de inserção do receituário e de processamento de estatísticas. Os responsáveis pelos tratamentos deverão tomar medidas especiais para evitar que dados nominativos circulem indevidamente no interior dos respectivos serviços, devendo ser estabelecidas passwords específicas de acesso a esta aplicação informática.

A CNPD adverte igualmente os responsáveis pelos tratamentos destes dados pessoais para a adopção de medidas, que impeçam, em particular, a utilização destes dados para finalidades de prospecção ou promoção comercial junto dos seus titulares.

7. Tratamento do dado "raça"

Com a entrada em vigor da nova Lei de Protecção de Dados e a consequente possibilidade de tratar dados pessoais referentes à origem racial ou étnica, nos termos do nº 2 do artº 7º da Lei 67/98 - o que, pela anterior legislação era absolutamente proibido - a Comissão já se pronunciou sobre o tratamento deste dado sensível.

Na Autorização 9/99, mediante um pedido de legalização de tratamento de dados pessoais, nos quais se incluía o tratamento do dado "raça", por parte de um serviço público de saúde, a CNPD analisou esta questão e determinou as condições específicas em que tal tratamento poderá ocorrer.

No seu entendimento, o tratamento nominativo da raça só poderá ser feito em casos especiais legalmente admitidos (não existindo até ao momento qualquer norma que os admita) ou quando haja consentimento expresso do titular.

Todavia, a Comissão considera que, mesmo havendo consentimento expresso do titular, o tratamento da raça só poderá ser efectuado em situações excepcionais, devidamente justificadas e em que o responsável invoque motivos atendíveis e ponderosos para fundamentar a referida excepção.

Por outro lado, o tratamento deverá ser precedido da inventariação de regras que permitam à CNPD concluir pela existência objectiva de "garantias de não discriminação", designadamente: encriptamento do registo; consulta restrita, com password específica, a um número restrito de profissionais de saúde; impossibilidade de produção de listagens nominativas; escolha de descritivos genéricos (insusceptíveis de discriminação); conservação dos dados por período limitado ou enquanto durar a prestação de cuidados de saúde, com a possibilidade de transposição da informação para um ficheiro em que os dados de saúde e a raça apareçam agrupados e de forma não nominativa (podendo, neste último caso, ser utilizados para fins estatísticos e de investigação científica).

Na autorização mencionada, a Comissão não consentiu o tratamento do dado "raça", por considerar não haver razões que o justificassem. Admitiu, contudo, que o dado pudesse ser tratado de forma anonimizada, para realização de estudos ou investigação, desde que adoptadas as medidas técnicas adequadas.

8. Tratamento de dados da vida privada

O Serviço de Prevenção e Tratamento da Toxicodependência veio solicitar a legalização dos ficheiros dos seus serviços, que efectuam tratamentos de dados de saúde e da vida privada.

São recolhidos dados pessoais de extrema sensibilidade, que dizem respeito à família, último companheiro, comportamentos de risco, hábitos de consumo, situação infecto-contagiosa, gravidez e problemas judiciais. Em termos gerais, a CNPD considerou que todo o sistema dos vários serviços, tanto os centrais como os regionais, deve estar dotado de elevados níveis de segurança, quer relativamente ao próprio sistema, de modo a impedir a cópia da informação registada, quer no acesso à informação, através de passwords.

A Comissão determinou igualmente que houvesse uma separação lógica dos dados administrativos, dos dados de saúde e dos dados sociológicos, por forma a permitir que o responsável do ficheiro defina patamares de acesso muito rigorosos, tendo em conta o alto grau de sensibilidade da informação. O acesso aos dados deve ser delimitado, em função das categorias de utilizadores e das suas atribuições.

No que diz respeito ao tratamento da informação sobre a gravidez, a CNPD só o considera necessário, pertinente e não excessivo em relação à finalidade da recolha (artº 5º da Lei 67/98) se e enquanto se destinar à prestação de cuidados de saúde ou ao acompanhamento da gravidez.

Relativamente aos dados sobre "problemas judiciais", a Comissão entende que, embora essa informação possa ser pertinente para efeitos estatísticos e de investigação, a resposta deve ser facultativa, sendo a informação anonimizada logo que inserida no sistema.

Os titulares dos dados têm de ser sempre informados da existência de tratamento e da finalidade a que se destinam os dados.

A CNPD estabeleceu igualmente que, sempre que haja circulação de dados em rede entre os vários serviços do SPTT, devem ser adoptadas medidas de segurança que impeçam eventuais intercepções e a informação transmitida deve ser cifrada (artº 15º nº 4).

9. Conservação de dados dos utilizadores de cheques que oferecem risco

A CNPD tem recebido um número significativo de queixas de cidadãos relativas à manutenção, por parte das instituições financeiras, de informação sobre cheques sem provisão, depois do Banco de Portugal ter removido os seus nomes da listagem de utilizadores de cheque que oferecem risco.

O Banco de Portugal difunde para as instituições de crédito a inclusão na sua listagem das entidades que tenham sido objecto de rescisão de convenção, bem como as comunicações judiciais sobre a interdição ou reabilitação do uso do cheque. Na primeira situação, o período de permanência máximo na listagem é de dois anos, "findo o qual as instituições de crédito deverão considerar que aqueles utilizadores deixaram de nela constar" (Aviso nº 1741-C/98 de 28 de Janeiro, do Banco de Portugal).

A Comissão analisou a legitimidade da conservação destes dados pelas entidades bancárias em geral. No seu entender, nos termos do artº 6 alínea b) da lei 67/98, o tratamento destes dados é legítimo, enquanto decorre o período estabelecido na lei para efeitos de rescisão da convenção ou de inibição. Findo esse prazo, o processamento deixou de estar fundamentado numa obrigação legal. A legitimidade do tratamento dos dados só poderá assentar no "consentimento inequívoco do titular" (corpo do artº 6º)

Acresce ainda que, nos termos do artº 5 nº 1 alínea b), os dados não podem ser utilizados ou mantidos para outras finalidades que não as que motivaram a sua recolha. Só a CNPD pode autorizar um desvio à finalidade do tratamento.

A Comissão salientou que a conservação da informação para além do período em que o titular deixe de estar abrangido pela rescisão potência riscos de discriminação a vários níveis, designadamente utilização da informação no âmbito de riscos de crédito e para servir de suporte à não concessão de empréstimos, bem como utilização para outras finalidades incompatíveis não previstas na lei e comunicação a entidades financeiras que não são destinatárias ou beneficiárias do sistema de informação criado. Ambas as situações foram já comprovadas por queixas apresentadas à CNPD.

Sendo o tratamento violador dos direitos subjectivos, do seu crédito e solvabilidade, deve reconhecer-se ao titular um justificado meio de oposição (artº 12º alínea a) da Lei 67/98), uma vez que na ponderação dos interesses em causa deve prevalecer o do titular dos dados.

Por conseguinte, quando não haja consentimento expresso do titular, a CNPD pronunciou-se pela eliminação da informação logo que cesse o período de rescisão da convenção, logo que haja remoção da listagem, desde que cesse o período de interdição judicial de uso de cheque ou se verifique reabilitação judicial.

Apenas na situação em que o titular é cliente de certa instituição financeira e passou cheques sem provisão que deram origem à rescisão da convenção e consequente inclusão na listagem, é legítimo a instituição guardar os dados relativos ao movimento contabilístico/extracto da operação realizada por um prazo de 10 anos, uma vez que se trata de documentação comercial.

No entanto, a CNPD não autoriza a existência de um simples "indicador", referente à passagem de cheques sem provisão, incluído na ficha de identificação do cliente e acessível em todos os balcões, por considerar que tal informação é estigmatizadora dos titulares perante todos os utilizadores do sistema.

A Comissão equacionou, particularmente, o processamento da informação no caso do cliente que passa o cheque sem provisão, na perspectiva da eventual quebra da relação de confiança entre a instituição financeira e o cliente, decorrente do não cumprimento da obrigação a que estava vinculado.

A CNPD considera que o tratamento destes dados, para além do período de remoção do titular da listagem, da cessação do período legal de inibição ou da reabilitação judicial, insere-se no contexto de um "interesse legítimo" da instituição financeira, que apreciará no contexto da liberdade contratual os termos em que se vai relacionar com o cliente.

A Comissão considera que a subsistência do registo da informação tem reflexos visíveis no relacionamento com o cliente, ao ponto de poder condicionar a autonomia da entidade financeira e, reflexamente, afectar os direitos subjectivos do titular dos dados, para além do período legalmente definido.

Se é certo que existe liberdade do banco conceder ou não empréstimo, também é certo que as razões determinantes para fundamentar a decisão não devem assentar em informações que são violadoras dos direitos, liberdades e garantias dos titulares dos dados.

O "risco" e a "duração do perigo" relativamente à quebra de confiança têm duração limitada, nos termos da regulamentação geral, estando salvaguardada a posição das instituições financeiras, às quais é reconhecido o direito de sub-rogação nos direitos do portador até ao limite da quantia paga.

Assim sendo, a CNPD entende que a informação só pode ser conservada, enquanto for necessária para exercer a sub-rogação ou outros direitos de créditos decorrentes da emissão do cheque por parte do cliente.

Porque estão em causa direitos, liberdades e garantias dos titulares dos dados - de valor superior aos dos responsáveis dos ficheiros - a CNPD considera que os "interesses gerais invocados" devem ceder perante o risco de serem afectados os direitos subjectivos dos titulares, quando a informação for mantida para além dos prazos estabelecidos na lei.

10. Comunicação de dados no âmbito de subcontratação de serviços

A CNPD autorizou, na sua Deliberação 9/99, que o responsável pelo tratamento de dados disponibilizasse alguns dados pessoais dos seus clientes a uma empresa por si subcontratada para prestar um serviço específico.

A Comissão considerou haver legitimidade para a comunicação destes dados, uma vez que a sua utilização se destina à execução de contrato de prestação de serviços e à prossecução dos interesses legítimos do responsável pelo tratamento (artº 3º alínea b) e artº 6º alíneas a) e e) da Lei 67/98).

A entidade subcontratada, à qual os dados são transmitidos, está vinculada a assegurar o tratamento da informação, de acordo com as instruções recebidas pelo responsável, não podendo utilizar os dados para finalidades diversas das indicadas. Ainda no âmbito da subcontratação de serviços, a CNPD estipulou que só podem ter acesso aos dados fornecidos pelo responsável do tratamento as pessoas que estiverem directamente a desenvolver o trabalho envolvido pela prestação de serviço.

11. Comunicação de dados ao INE

A CNPD autorizou o Instituto de Seguros de Portugal a fornecer dados pessoais ao Instituto Nacional de Estatística sobre mediadores de seguros.

Os dados destinam-se à actualização do ficheiro geral de unidades estatísticas, à elaboração de estatísticas relativas às contas nacionais, bem como à transmissão de dados ao EUROSTAT, no âmbito de regulamento comunitário.

No âmbito da actualização do ficheiro geral de unidades estatísticas, o INE tem legitimidade para proceder à recolha de dados em relação a agentes económicos, nomeadamente para poder realizar inquéritos directos caso seja necessário.

A confidencialidade das informações fornecidas ao INE está assegurada pelo segredo estatístico e, no caso, de pessoas singulares como são os mediadores de seguros, o segredo estatístico é absoluto, uma vez que as "informações nunca podem ser divulgadas" (Lei 6/89, de 15 de Abril).

Deste modo, a CNPD considerou não haver obstáculo à comunicação, para este efeito, do nome/designação, domicílio/sede, localidade e número de inscrição dos mediadores de seguros.

Em relação ao fornecimento de dados para a elaboração das contas nacionais, a Comissão autorizou a comunicação dos apuramentos de seguros - de forma não individualizada - das variáveis contabilísticas, por concelho, forma jurídica e ramo de seguro.

No que diz respeito à recolha e transmissão da informação ao EUROSTAT, a CNPD autorizou o Instituto de Seguros de Portugal a fornecer ao INE os apuramentos necessários ao cumprimento do regulamento comunitário, facultando os dados estritamente necessários à produção de estatísticas comunitárias.

A Comissão determinou ainda que o INE, antes de obter os dados, deverá informar a CNPD sobre os dados pessoais que pretende coligir, bem como aqueles que pretende comunicar ao EUROSTAT, nomeadamente se pretende comunicar dados nominativos.

Deliberações

 

 

Autorizações

 

Autorizações de Isenção de Notificação

 

Pareceres

 

COMPOSIÇÃO DA CNPD

 

Presidente

João Alfredo Massano Labescat da Silva (eleito pela Assembleia da República)

Vogais

Luís José Durão Barroso (eleito pela Assembleia da República)

João Paulo Leal Dias Simões de Almeida (eleito pela Assembleia da República)

Amadeu Francisco Ribeiro Guerra (designado pelo Conselho Superior do Ministério Público)

Mário Manuel Varges Gomes (designado pelo Conselho Superior de Magistratura)

Catarina Teresa Rola Sarmento e Castro (designada pelo Governo)

Paula Margarida Cabral dos Santos Veiga (designada pelo Governo)