Voltar à Página de entradaVoltar à Página de entrada

Pesquisar por palavra         

Français English
Ir para o Sítio do projecto DADUSFormulário de pedido de informaçõesFormulário de apresentação de Reclamações/Queixas
Rua de São Bento n.º 148-3º 1200-821 Lisboa - Tel: +351 213928400 - Fax: +351 213976832 - e-mail: geral@cnpd.pt

 

RELATÓRIO 2000

Introdução

PARTE I – ACTIVIDADE DA CNPD

Capítulo I – Situação nacional 

  1. Actividade processual

    1. Áreas tratadas

    2. Fiscalizações

    3. Aplicação do regime sancionatório

  1. Participação da CNPD junto da Comissão de Acesso aos Documentos Administrativos

  2. Participação da CNPD em grupos de trabalho

  3. Colóquio “Privacidade e Comércio Electrónico”

  4. Estatísticas

Capítulo II – Situação Internacional 

  1. Instância Comum de Controlo da Europol

  2. Autoridade de Controlo Comum de Schengen

  3. Participação em Grupos de Trabalho da UE

    1. Grupo de Trabalho de Protecção de Dados

    2. Grupo de Trabalho de Polícias

  4. XXII Conferência Internacional de Comissários de Protecção de Dados

  5. Conferência da Primavera

  6. Encontro Ibérico das Autoridades de Protecção de Dados

 

PARTE II – ORIENTAÇÕES DA CNPD

  1. Aplicação da Lei 67/98 – Compras na Internet

  2. Legitimidade para o tratamento de dados de saúde

  3. Tratamento de dados genéticos

  4. Avaliação do crédito e solvabilidade

  5. Gestão e tratamento de dados no âmbito da fiscalização de trânsito pelas Câmaras Municipais

  6. Tratamento da filiação sindical

  7. Registo central de contra-ordenações

  8. Tratamento de decisões de tribunais e outras bases de dados jurídico-documentais

  9. Interconexão de dados

  10. Tempo de conservação

  11. Tratamento de dados por sub-contratante

  12. Serviços mínimos bancários

  13. Informação estatística

  14. Telemedicina

  15. Videovigilância

 

PARTE III – DECISÕES DA CNPD 

  1. Deliberações 

  2. Autorizações 

  3. Pareceres

 

Introdução

 

 

A publicação deste Relatório ocorre, devido a uma conjugação de vários factores, com um atraso considerável, que se espera firmemente poder vir a evitar-se de futuro.

Ela corresponde a um período em que o signatário ainda se não encontrava em funções, pelo que aqui se faz do Relatório apenas uma brevíssima apresentação.

Um conjunto de vicissitudes surgidas durante o ano em referência conduziu a que, em termos puramente quantitativos, a produtividade da Comissão não correspondesse, nele, na íntegra, à evolução que vinha revelando.

De todo o modo, a Comissão não deixou de, no ano de 2000, cumprir a missão de que está investida.

E, isso, nas diversas vertentes em que se desdobram as suas atribuições próprias.

Assim é que, nomeadamente, deu parecer sobre um apreciável conjunto de diplomas legais com incidência na área da protecção de dados.

E se mais não deu foi porque os órgãos legislativos nem sempre respeitaram a obrigação legal de, sobre tais matérias, colher sempre a opinião da Comissão. Esta tem vindo, aliás, com frequência, a chamar a atenção para o dever de se proceder à sua audição durante a preparação de legislação dessa natureza.

Os mencionados pareceres são, como é de lei, integralmente publicados no presente Relatório.

Em contraposição – e tal como em anos anteriores se fez –, não se publicam todas as deliberações sobre pedidos de autorização apreciados pela Comissão no ano em análise.

Isso resultaria, com efeito, num texto inutilmente extenso e demasiado redundante. Escolheram-se, pois, as que podem assumir maior relevância, por exprimirem critérios gerais caracterizadores da actuação da Comissão. A estes se dá, de resto, específico relevo na estrutura do Relatório.

Por outro lado, continuou a responder-se a um número crescente de queixas e pedidos de esclarecimento. Esse quantitativo é, todavia, em termos absolutos, ainda relativamente modesto, e nessa medida revelador de uma moderada preocupação dos cidadãos com as questões de protecção de dados pessoais.

Não pode enfim deixar de se fazer particular menção a intervenções externas levadas a cabo pela Comissão no ano em causa.

A nível internacional, anote-se, para além da normal participação em instituições em que a Comissão detém, estatutariamente, poderes de representação (Europol, Schengen, Grupo do “Artigo 29º” da UE), a organização, em Évora, do I Encontro Ibérico de Autoridades de Protecção de Dados. Neste Encontro se abordaram variadas questões de interesse mútuo para a adequada protecção de dados pessoais em Portugal e Espanha.

No plano nacional, sobressaiu a realização, em colaboração com o Observatório do Comércio, dum Colóquio sobre “Privacidade e Comércio Electrónico”, no âmbito do qual especialistas nesta matéria, ainda tão pouco elaborada entre nós, expuseram e trocaram perspectivas de assinalável relevo e novidade. 

Luís Lingnau da Silveira

 

 

PARTE I

ACTIVIDADE DA CNPD 

Capítulo I – Situação nacional

 1.     Actividade processual

O ano 2000 manteve a tendência de subida do número de processos entrados na Comissão, quase a atingir o nível de 1995, prazo limite para a legalização de ficheiros informatizados existentes até à data de entrada em vigor da primeira lei de protecção de dados pessoais e que, por isso, registou um movimento excepcional de notificações. 

Todas as espécies de processos, sejam os pedidos de autorização, os registos, as queixas ou os pedidos de parecer tiveram um aumento significativo de 1999 para 2000. 

Assim, no que diz respeito às queixas apresentadas por cidadãos, o seu número subiu de 140 para 151, confirmando-se uma subida constante destes processos ao longo de toda a actividade da CNPD. 

Em relação aos pedidos de autorização, registou-se igualmente um aumento acentuado de 117 para 160 novos processos entrados. 

Quanto aos tratamentos de dados que correspondem apenas a registos, o número de notificações à Comissão subiu de 273 para 335. 

Foi, no entanto, nos pedidos de parecer que se registou uma subida mais evidente, tendo sido presentes à CNPD, em 2000, 35 projectos de diploma pela Assembleia da República e pelo Governo, quando no ano anterior apenas tinham dado entrada 18 processos de parecer. 

Em 2000, foram legalizados pela Comissão 483 ficheiros, entre registos e autorizações concedidas, tendo sido emitidas 43 deliberações, 91 autorizações e 32 pareceres e tendo-se arquivado 265 processos de registo. 

Em termos gerais, deram entrada na CNPD no ano passado 743 novos processos, foram terminados 454 e ficaram pendentes 902 processos. 

No ano 2000, a Comissão reuniu-se em 31 sessões plenárias. Ainda no quadro da sua actividade quotidiana, a CNPD deu resposta a largas centenas de pedidos de informação e esclarecimento por parte dos cidadãos, empresas e organismos públicos, quer por telefone, por fax ou por correio postal ou electrónico. 

Ao nível do correio electrónico, meio que a Comissão disponibiliza ao público para solicitar esclarecimentos ou apresentar queixas, a CNPD recebeu cerca de 200 e-mails, o que significa, relativamente a 1999, que há uma crescente utilização desta forma de comunicação por parte dos cidadãos. 

 

1.1  Áreas tratadas 

No ano 2000, a maior incidência de legalização de tratamentos de dados pessoais verificou-se no sector da saúde, quer ao nível de registos, quer ao nível das autorizações emitidas para o funcionamento de bases de dados, mantendo-se assim a tendência já registada nos anos anteriores numa área particularmente importante, devido à natureza sensível dos dados tratados.

A alteração que ocorreu com a nova Lei de Protecção de Dado Pessoais, desde Outubro de 1998, que passou a consagrar a possibilidade de a Comissão legalizar directamente os tratamentos de dados efectuados pela Administração Pública, em vez de tal ser feito através de diploma especial, conduziu a um número crescente de processos de legalização de estabelecimentos e unidades de saúde públicos.

Por outro lado, o desenvolvimento de novas tecnologias e aplicações informáticas associadas ao tratamento de dados clínicos, quer no sector público, quer no privado, provocou naturalmente um peso mais significativo na área da saúde.

É também de salientar, durante o ano 2000, o aumento muito relevante de processos de legalização verificado na área da videovigilância, cujos tratamentos passaram a ser abrangidos pela Lei nº 67/98, de 26 de Outubro, e que representaram uma percentagem elevada do conjunto de ficheiros legalizados.

Em matéria de Registos, foi o sector da saúde que alcançou uma maior preponderância, atingindo 31 por cento do total de ficheiros registados. Os bancos e as entidades financeiras representaram 10 por cento dos registos efectuados, enquanto a área da Educação e a área de Serviços tiveram um peso considerável com seis por cento dos ficheiros legalizados. Sublinha-se ainda um crescimento do número de legalizações de ficheiros da administração central, que representou quatro por cento do total de registos. Os restantes foram pulverizados por diversas áreas e sectores de actividade.

Em matéria de Autorizações, a CNPD deliberou, estabelecendo os parâmetros e as condições específicas do tratamento de dados pessoais, sobre pedidos de legalização formulados, essencialmente, por entidades do sector da saúde, por hipermercados no que diz respeito a ficheiros de videovigilância, por instituições bancárias e financeiras e por entidades várias da área dos serviços.

Em matéria de Pareceres, a Comissão pronunciou-se sobre projectos de diplomas apresentados pela Assembleia da República, pela Presidência do Conselho de Ministros, pelo Ministério da Justiça, pelo Ministério da Administração Interna, pelo Ministério das Finanças, pelo Ministério da Economia, pelo Ministério da Saúde e pelo Ministério da Agricultura, Desenvolvimento Rural e Pescas.

Em matéria de Queixas, verificou-se em 2000 um ligeiro aumento do seu número em relação ao ano anterior. O sector dos bancos e das entidades financeiras foi aquele sobre o qual incidiu a maioria das queixas, representando cerca de 70 por cento do total de queixas apresentadas.

Estas queixas estão, quase na sua totalidade, relacionadas com as informações sobre utilizadores de risco (listagens das pessoas inibidas do uso de cheque) que as instituições bancárias conservam para além do prazo legalmente fixado. Os queixosos solicitam à CNPD a eliminação dos seus dados pessoais.

As restantes queixas dividem-se pelo sector dos serviços, marketing e justiça, numa percentagem global de 11 por cento, e por variadas áreas sem expressão numérica significativa de per si.

Há ainda a assinalar que cerca de 12 por cento das queixas recebidas na CNPD foram apresentadas por correio electrónico, verificando-se um aumento progressivo da utilização deste meio no contacto dos cidadãos com a Comissão.

  

1.2 Fiscalizações 

No ano 2000, a CNPD realizou 133 acções de fiscalização a entidades públicas e privadas, tendo procedido à verificação dos sistemas que servem de suporte ao tratamento de dados pessoais de aproximadamente 60 entidades.

Das inspecções realizadas, mais de 100 acções resultaram da apresentação de queixa, 10 fiscalizações foram levadas a cabo no âmbito de acções de averiguação que a CNPD empreendeu por iniciativa própria e três decorreram de pedidos de acesso indirecto, designadamente a dados policiais.

Foram ainda efectuadas duas acções de verificação das condições de tratamento de dados através de videovigilância.

A CNPD procedeu a acções de fiscalização a 122 entidades privadas e a 11 entidades públicas. 

 

1.3 Aplicação do regime sancionatório

Durante o ano 2000, a CNPD deliberou denunciar ao Ministério Público dois casos de infracções à legislação de protecção de dados pessoais, passíveis de procedimento criminal.

O número de participações criminais continuou a descer, relativamente aos dois anos anteriores, uma vez que a Lei 67/98, de 26 de Outubro, prevê um regime sancionatório que diferencia o tipo de penalizações consoante a gravidade das violações cometidas, podendo estas ser de natureza contra-ordenacional ou penal. 

Deste modo, podendo, à luz da nova lei de protecção de dados, sancionar directamente os infractores, sem necessidade de recorrer ao Ministério Público, a Comissão deliberou aplicar no ano passado três coimas, no valor total de 1.000.000$00.

Decidiu ainda a CNPD proceder a três admoestações, no âmbito de aplicação do regime sancionatório que a lei consagra. 

 

2.     Participação da CNPD junto da CADA 

A Comissão de Acesso aos Documentos Administrativos (CADA) é uma entidade pública independente que assegura o direito de acesso aos documentos da Administração, de acordo com a Lei 65/93, de 26 de Agosto. Por força do artigo 19.º n.º 1 al. h) um representante da CNPD integra a CADA.

Durante o ano de 2000 a CADA emitiu 333 Pareceres, dos quais 44 foram relatados pelo representante da CNPD (o Vogal lic. Amadeu Guerra). 

No decurso do ano de 1999 foi desencadeado um inquérito que tinha como objectivo avaliar a execução da Lei de Acesso aos Documentos Administrativos na Administração Pública. O relatório final, aprovado na sessão da CADA de 28 de Junho de 2000, evidencia algumas conclusões das quais interessa salientar as seguintes:

 Constata-se um grande desconhecimento e incumprimento da LADA por parte dos serviços públicos;

  1. A Administração deve tomar medidas para assegurar uma melhor organização da informação, por forma a que a mesma possa ser disponibilizada e divulgada aos cidadãos;

  2.  Interessa adoptar medidas de sensibilização e, até,  de fiscalização que facilitem e incentivem o acesso à documentação administrativa. Embora se tenha constatado um grande interesse dos inquiridos, há que fomentar  e incentivar projectos e acções de formação neste domínio.

  3. Existem taxas muito díspares pela reprodução de documentos, verificando-se, nalguns casos, que o seu custo excessivo pode inibir ou dificultar o acesso aos documentos administrativos;

  4. Entendeu a CADA ser desejável que a Administração sensibilize os cidadãos para o direito de acesso, nomeadamente através de folhetos, boletins, guias, brochuras, relatórios, cartazes ou outras formas;

  5. Será de “salientar e encarar o papel que às tutelas inspectivas cabe na verificação e no esclarecimento sobre a observância do regime legal de acesso”.

 

Dos pareceres emitidos pelo representante da CNPD, cabe destacar os seguintes pontos principais:

Não cabe à CADA pronunciar-se sobre o acesso pelos interessados a documentos constantes de processos não concluídos (cf. art. 2.º n.º 2 e 7.º n.º 4 da Lei 65/93, de 26 de Outubro, na redacção da Lei 94/99, de 16 de Julho);

  1. O Hospital deve facultar a informação clínica relativa a cidadão inglês à Comissão de Protecção às Vítimas de Crimes, por esta se revelar imprescindível à instrução do pedido de indemnização (cf. artigos 7.º n.º 1 e 3 do DL 423/91, de 30 de Outubro, e artigos 8.º n.º 2, 15.º n.º 2 e 20.º n.º 1 al. d) da Lei 65/93, de 26/8, na redacção introduzida pela Lei n.º 94/99, de 16 de Julho).

  2. A informação sobre se foi «feita a participação de óbito e identificados os respectivos herdeiros, bem como a apresentação da relação de bens» e a identificação dos herdeiros do falecido (nome completo e moradas) não se integra no conceito de confidencialidade fiscal. Efectivamente, estes dados não permitem apurar ou inferir a “capacidade contributiva” dos seus titulares.

  3. Quando é aplicável aos tratamentos a Lei 67/98, compete à CNPD a apreciação das questões formuladas sobre acesso a dados pessoais.

  4. A informação sobre o montante de um subsídio no âmbito da acção social complementar tem natureza não nominativa, sendo de acesso generalizado, nos termos do artigo 7.º n.º 1 da Lei n.º 65/93, de 26/8, na redacção dada pela Lei 94/99, de 16 de Julho.

  5. Na sequência do artigo 268.º n.º 2 da CRP, a lei estabeleceu limites ao acesso aos documentos que contenham dados de saúde. Quando houver colisão com outros direitos ou bens constitucionalmente protegidos a possibilidade de revelação dos dados (art. 15.º n.º 2 da Lei 65/93) passa, necessariamente, pela harmonização dos direitos em conflito.

  6. O Conselho Disciplinar Regional da Ordem dos Médicos tem direito de acesso à documentação clínica quando, no âmbito de processo disciplinar em que está em causa a investigação de eventual existência de negligência médica, o respectivo instrutor solicita essa informação.

  7. Se as actas de um júri contêm «apreciações» e «juízos de valor» em relação aos concorrentes, estamos perante documentos administrativos de carácter nominativo (cf. art. 4.º n.º 1 al. c) da Lei 65/93), os quais não são de acesso generalizado. Por isso, não podem ser disponiblizados livremente na Internet.

  8. A consulta, para realização de estudos de investigação científica, de processos do Instituto de Reinserção Social será admissível desde que verificadas certas condições:

    1. A consulta dos processos individuais deve ser feita no próprio local onde tais documentos se encontram, ou seja, nos serviços que os detêm - cf. artigo 12.º, n.º 1, alínea a), da LADA;

    2. O requerente obriga-se a não recolher o nome das pessoas mencionadas nos processos;

    3. Devem ser “despersonalizados” os textos, as conclusões e, em geral, os resultados que se elaborem e divulguem – incluindo os apontamentos, registos e outros trabalhos preparatórios -, por forma a impossibilitar a individualização de dados susceptíveis de ofender a reserva da intimidade da vida privada, tanto do arguido/condenado ou do menor como da sua família nuclear;

    4. Deve ser subscrito, pelo interessado, documento em que identifique todos os processos a que tenha tido acesso;

    5. Deve o requerente do acesso ser informado de que, de acordo com a LADA (artigo 10.º, n.º 3), “os dados pessoais comunicados a terceiros não podem ser utilizados para fins diversos dos que determinam o acesso, sob pena de responsabilidade por perdas e danos, nos termos legais”.

 

 

3.     Participação da CNPD em Grupos de Trabalho 

No ano de 2000, a CNPD manteve a sua participação no Grupo de Trabalho do Segredo Estatístico, o qual foi presidido pelo vogal representante desta Comissão lic. Amadeu Guerra. 

Este grupo de trabalho concluiu a sua missão, em Março, apresentando, à Secção Permanente do Segredo Estatístico, um projecto de diploma que visa alterar a Lei do Sistema Estatístico Nacional. 

Em matéria de protecção de dados, foram concretizados e reforçados os direitos dos titulares dos dados, com previsão expressa da observância dos princípios da transparência, proporcionalidade, respeito pela finalidade e segredo estatístico. 

Uma das questões mais debatidas, e que não mereceu a unanimidade no seio do grupo, foi a cedência a terceiros de informações individualizadas para fins de investigação científica, tendo sido concluído que essa comunicação só poderia ser feita em «instituições devidamente credenciadas ou legalmente reconhecidas, desde que os titulares dos dados, uma vez informados da possibilidade da sua utilização para essa finalidade, não se tenham oposto a tal comunicação». 

 

4.     Colóquio “Privacidade e Comércio Electrónico” 

A CNPD promoveu, em 28 de Novembro de 2000, um colóquio subordinado ao tema “Privacidade e Comércio Electrónico”, que teve lugar na Sala do Senado da Assembleia da República, e que contou com a participação de quase duas centenas de pessoas. 

O grande sucesso deste colóquio, obtido junto de empresas e da população universitária, veio confirmar a importância e a actualidade do tema proposto a debate, a que se juntou, naturalmente, o excelente naipe de oradores convidados. 

Para a realização deste Colóquio, a CNPD contou com a colaboração do Observatório do Comércio, e com a presença do Senhor Ministro da Ciência e Tecnologia, Prof. Doutor Mariano Gago, e do Senhor Deputado Jorge Lacão, que preside à Comissão Parlamentar de Assuntos Constitucionais, Direitos, Liberdades e Garantias.

É ainda de salientar a participação de uma representante da nossa congénere francesa CNIL – Commission Nationale de l’Informatique et des Libertés.  

O retrato da situação nacional do comércio electrónico, a privacidade e a protecção de dados neste domínio, as políticas de privacidade seguidas pelas empresas e a segurança nas transacções electrónicas foram as grandes linhas de discussão propostas para os painéis do colóquio (cujo programa poderá consultar adiante).

 

COLÓQUIO

“PRIVACIDADE E COMÉRCIO ELECTRÓNICO”

28 Novembro 2000 

Assembleia da República – Sala do Senado

Lisboa 

PROGRAMA

9.30 h – Entrega da documentação 

10.00 h – Sessão de abertura 

§         Ministro da Ciência e Tecnologia – Prof. Doutor Mariano Gago

§         Presidente da Comissão Parlamentar de Assuntos Constitucionais, Direitos, Liberdades e Garantias – Dr. Jorge Lacão

§         Presidente da Comissão Nacional de Protecção de Dados – Dr. João Labescat

§         Presidente do Observatório do Comércio – Prof. Doutora Maria Manuel Leitão Marques 

 

10.30h – I – Comércio electrónico: ponto da situação nacional

Moderadora: Prof. Doutora Maria Manuel Leitão Marques  

§         “Comércio electrónico: estudo das empresas que operam em Portugal”Prof. Doutor António Dias Figueiredo (Instituto Pedro Nunes, FCT da Universidade de Coimbra).

§         “Estudo sobre a difusão das práticas do comércio electrónico no mundo das famílias e das empresas: obstáculos ao desenvolvimento”Prof. Doutora Maria de Lurdes Rodrigues, Presidente do Observatório da Ciência e Tecnologia 

11.20h – Debate 

 

11.45h – II – Privacidade no comércio electrónico: a protecção dos dados pessoais

Moderador: Dr. João Labescat 

§         Os riscos da Internet para a privacidade: o caso português”Dr. João Paulo Simões de Almeida, vogal da CNPD

§         A experiência da comissão de protecção de dados francesa no domínio da Internet”Marie Georges – Directora do Departamento de Telecomunicações, Commission Nationale de l’Informatique et des Libertés  

12.25h – Debate 

12.45 h – Interrupção dos trabalhos para almoço 

*** 

14.30 h - III – O comércio electrónico e as políticas de privacidade 

Moderadora: Dra. Catarina Sarmento e Castro (vogal da CNPD) 

§         O centro comercial electrónico” Dr. António Costa Cardoso, Shopping Direct

§         “A Cultura e o Lazer”Anabela Fernandes, FNAC

§         “O Echangeur: uma experiência de cooperação europeia para o comércio electrónico”Cécile Alvergnat, Echangeur 

15.30 h – Debate

 

16.00 h – IV – A Segurança nas transacções electrónicas 

Moderador: Dr. João Paulo Simões de Almeida (vogal da CNPD)

§         “O papel dos Internet Service Providers” (ISP’s)Engº Paulo Ribeiro, Telepac

§         “As certificações digitais: factura e assinatura”Dr. Miguel Pupo Correia

§         “As expectativas e os direitos dos consumidores”Dr. Silveira Rodrigues, DECO

 

17.00h – Debate 

17.30h – Encerramento dos trabalhos

 

ESTATÍSTICAS 2000

 

 

Capítulo II – Situação internacional

1. Instância Comum de Controlo da Europol  

A Convenção que cria um Serviço Europeu de Polícia (Convenção Europol), com fundamento na al. c) do n.º 2, do Artigo K.3 do Tratado da União Europeia, aprovada por Resolução da Assembleia da República n.º 60/97, de 19 de Setembro, e ratificada por Decreto do Presidente da República n.º 67/97, tem por objectivo a eficácia e cooperação dos serviços policiais dos Estados-Membros com vista à prevenção e combate contra o terrorismo, tráfico de estupefacientes e outras formas graves de criminalidade internacional, na medida em que existam indícios concretos de uma estrutura ou organização criminosa e quando dois ou mais Estados-Membros se vejam afectados por essas formas de criminalidade de tal modo que, pela amplitude, gravidade e consequências dos actos criminosos, seja necessária uma acção comum por parte dos Estados-Membros. 

O controlo em matéria de protecção de dados pessoais, nos termos do disposto no artigo 24º da Convenção Europol, compete à Instância Comum de Controlo, a qual fiscaliza a actividade daquele serviço e garante que a introdução, o tratamento e a utilização de dados pessoais não constituem violação dos direitos das pessoas. Compete-lhe, também, controlar a legitimidade de transmissão dos dados provenientes da Europol. 

A Instância Comum de Controlo (ICC) é constituída por dois representantes de cada Estado-Membro, eventualmente coadjuvados por dois suplentes. De acordo com a Convenção, no seu âmbito foi constituído um Comité, com competência para apreciar os recursos interpostos pelos cidadãos e composto por um membro, e respectivo suplente, de cada delegação. 

O vice-presidente do Comité de Recursos é, desde Novembro de 1998, com um mandato de dois anos, o vogal da CNPD Dr. Varges Gomes. O Regulamento Interno, publicado no Jornal Oficial das Comunidades C 149, de 28/5/99, prevê a possibilidade de renovação do mandato por mais um ano. Em Novembro de 2000, o Dr. Varges Gomes foi reeleito, por unanimidade. 

No ano 2000, realizaram-se, em Bruxelas, cinco reuniões plenárias da ICC  e quatro do Comité de Recursos da Instância Comum de Controlo. 

Nos finais do ano de 1999, constituiu-se, no seio da ICC, um Grupo de Trabalho com a missão específica e limitada de elaboração do plano de actividades para o biénio 2000/2002. A proposta do Grupo foi apresentada na reunião plenária de 3 de Fevereiro de 2000, tendo sido objecto de discussão e propostas de alteração pelas várias delegações. Em Abril de 2000, o documento final foi aprovado e o Grupo dissolvido. 

De acordo com o Plano de Actividades aprovado, para uma melhor prossecução dos seus objectivos, a ICC decidiu criar, no seu seio, subgrupos de trabalho em áreas específicas, que permitam desenvolver a sua actividade de uma forma mais ágil, constante e eficaz, e elaboraram propostas e projectos de decisão para posterior discussão e aprovação no Plenário. 

Existem cinco subgrupos de trabalho, são compostos por um máximo de cinco membros, com funções definidas e uma acentuada componente prática, que se traduz no desenvolvimento de metodologias de intervenção e na realização de trabalhos preparatórios. 

O subgrupo “Ficheiros de análise” tem como missão examinar as ordens de abertura de ficheiros, previstas no n.º 1 do artigo 12º da Convenção,  que são endereçadas à ICC pela Europol, analisando toda a informação disponível sobre as matérias em causa e elaborar propostas de Parecer, a serem submetidas à Autoridade. 

O subgrupo “Inspecções” tem por função realizar acções de verificação na Europol, sejam auditorias ou inspecções, bem como desenvolver todo o trabalho preparatório inerente, nomeadamente o estabelecimento de metodologias para as inspecções in loco

O subgrupo “Tecnologias de Informação” tem como missão acompanhar a implementação e desenvolvimento de novos sistemas de informação na Europol, de modo a garantir que, desde o início, sejam introduzidas boas práticas de protecção de dados, formulando observações que ajudem a eliminar as deficiências detectadas. No ano 2000, realizaram-se reuniões entre os membros deste subgrupo com representantes da Europol, com o objectivo de recolherem informações sobre o futuro Sistema de Informação Provisional, a implementar no ano de 2001, e o respectivo método de registo de consultas previsto no artigo 16º da Convenção. 

O subgrupo ” Publicidade”- do qual faz parte a delegação portuguesa - tem por função divulgar a actividade da ICC e promover o esclarecimento e a informação junto dos cidadãos, por forma a fomentar uma maior consciência sobre os seus direitos de protecção de dados pessoais. Para tal, deverá promover, de forma ampla, a existência da ICC como autoridade com competência, na área da protecção dos dados pessoais, para garantir o cumprimento dos direitos dos cidadãos consagrados na Convenção. No ano 2000, este Grupo propôs à ICC a adopção de um logotipo e a criação de uma página de Internet. 

O subgrupo “Relações com Estados e organismos terceiros” tem por atribuição analisar os acordos estabelecidos pela Europol para a transmissão de dados. 

A Decisão do Conselho 2000/C106/01, de 27 de Março, autoriza o Director da Europol a iniciar negociações com Estados e organismos terceiros no sentido de estabelecer acordos de transmissão de dados pessoais. O n.º 1 do artigo 5º da referida Decisão prevê que a ICC se pronuncie sobre a existência de protecção adequada nesses países ou entidades.

No ano 2000, com base nas propostas deste subgrupo, a ICC deu pareceres positivos ao início de negociações com a Interpol, Noruega, Islândia, Polónia, Hungria, Eslovénia e Eslováquia.  

 

2. Autoridade de Controlo Comum de Schengen 

Com o Acordo de Schengen e com a sua Convenção de Aplicação foram suprimidos os controlos fronteiriços entre as Partes Contratantes, criando-se um espaço pioneiro de livre circulação de pessoas. Para garantir a ordem e segurança públicas, uma das medidas postas em prática foi a criação de um sistema de informação: o Sistema de Informação Schengen (SIS). Este sistema comum liga todos os Estados do Espaço Schengen permitindo-lhes dispor, em tempo real, das informações necessárias aos serviços responsáveis pelas actividades de polícia para o exercício das suas missões, informações essas que são introduzidas no sistema pelos próprios Estados e que respeitam a pessoas e objectos (art. 94.º da Convenção). Para assegurar a boa execução e o respeito das disposições da Convenção foi criada a Autoridade de Controlo Comum de Schengen (ACC), composta por dois representantes de cada Estado, que zela pelo controlo da função de apoio técnico do SIS (art. 115.º da Convenção).

No ano 2000 marcou a actividade da ACC a emissão de parecer acerca da introdução de uma indicação no SIS relativo a pessoas cuja identidade foi usurpada. Relembrando que o princípio da proporcionalidade exige que nem todos os casos de usurpação devem resultar no assinalamento do nome do legítimo titular, a ACC entendeu que este assinalamento deverá acontecer a pedido e com a livre autorização do legítimo titular, e que uma medida complementar aconselhável poderia ser a de distribuir ao legítimo titular um documento, como um passaporte, onde se referisse que o portador não é o usurpador da identidade.

Foi também apresentado um projecto de memorando acerca do direito de acesso dos cidadãos às informações contidas no SIS e da cooperação entre autoridades de controlo neste âmbito. Os seus destinatários são as autoridades nacionais de controlo, mas também os juristas em geral que procurem informações relativas aos procedimentos que podem ser utilizados para accionar o direito de acesso aos dados do SIS ou para garantir a sua rectificação.

As actividades de controlo também tiveram um lugar importante na actividade do ano 2000. Na sequência do controlo técnico ao C-SIS (Estrasburgo), em 1999, por um grupo de peritos que Portugal integrou, o respectivo relatório da inspecção foi aprovado e enviado ao Comité do art. 36.º. Na sequência do seu relatório, muitas das suas recomendações foram entretanto adoptadas, esperando-se que com a instalação do SIS II todas elas venham a ser implementadas.

O ano 2000 foi igualmente marcado por algumas alterações na Autoridade de Controlo Comum de Schengen. Muito relevante foi a entrada dos cinco países nórdicos a 25 de Março de 2001[1], após a sua adesão ao Acordo de Schengen e à sua Convenção de Aplicação, bem como a atribuição da qualidade de observador ao Reino Unido.

Durante o ano 2000, Bart De Schutter e Giovanni Butarelli foram, respectivamente, Presidente e Vice-Presidente da Autoridade de Controlo Comum de Schengen.

 

Secretariado Comum das Autoridades de Controlo 

A Decisão do Conselho da União Europeia 2000/641/JAI, de 17 de Outubro de 2000, publicada no Jornal Oficial L 271 de 24/10/2000, criou um secretariado comum às Autoridades de Controlo de Protecção de Dados previstas nas Convenções da Europol,  de Schengen e do Sistema de Informações Aduaneiro. Segundo esta Decisão, o secretariado comum entrará em funções a partir de 1 de Setembro de 2001 e deverá assistir cada uma das Autoridades em razão das suas competências específicas. 

 

3. Participação em Grupos de Trabalho 

3.1 Grupo de Trabalho de Protecção de Dados (União Europeia)

O Grupo de Protecção das Pessoas no que diz respeito ao Tratamento de Dados Pessoais, previsto no artigo 29º da Directiva 95/46/CE, tem carácter consultivo e é independente. Este Grupo de Trabalho tem como atribuições contribuir para a aplicação uniforme da Directiva europeia de protecção de dados, emitir parecer sobre o nível de protecção existente na Comunidade e em países terceiros, aconselhar a Comissão Europeia sobre projectos atinentes a estas matérias, dar parecer sobre códigos de conduta e elaborar recomendações no âmbito da protecção de dados pessoais. 

Durante o ano 2000, o Grupo de Trabalho emitiu sete Pareceres e uma Recomendação, além de ter elaborado um documento sobre a privacidade na Internet, no qual é defendida a necessidade de fazer uma abordagem integrada, no âmbito da UE, à protecção de dados on-line. 

No ano passado, este GT continuou a acompanhar a questão do Safe Harbor e o diálogo UE/EUA relativo a esse acordo, tendo emitido dois pareceres sobre o nível de protecção de dados patente nos princípios do “Porto Seguro”. No âmbito da avaliação dos princípios de protecção adequada em países fora da EU, e, após os pareceres formulados por este GT durante o ano de 1999 e 2000, a Comissão Europeia decidiu os termos em que a Suiça, a Hungria e os EUA oferecem um nível de protecção adequada dos dados pessoais transferidos da UE para estes Países (Decisões de 26 de Julho de 2000 nºs 2000/518/CE, 2000/519/CE e 2000/520/CE, respectivamente, publicadas no Jornal Oficial L215 de 25 de Agosto de 2000). 

O Grupo de Trabalho emitiu ainda parecer sobre o quadro legal das telecomunicações e sobre a Proposta da Comissão Europeia para uma Directiva do Parlamento Europeu e do Conselho relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (que visa alterar a Directiva 97/66/CE de 15 de Dezembro). 

De realçar igualmente o parecer deste GT sobre o genoma humano e a privacidade. Aspectos da protecção de dados no comércio electrónico e o uso de directorias públicas foram também objecto de apreciação. 

As decisões do Grupo de Trabalho podem ser consultadas em http://europa.eu.int/comm/internal_market/en/dataprot/index/htm 

3.2 Grupo de Trabalho de Polícias 

O grupo de Trabalho sobre ficheiros policiais, depois da intensa actividade dos anos anteriores, fundamentalmente centrada na elaboração dos projectos de regulamento interno das Autoridades de Controlo Comum da Europol e do Sistema de Informação Aduaneiro, no ano de 2000 apenas reuniu uma vez. Nessa reunião, que se realizou em  Fevereiro, em Haia, foram discutidos os diversos projectos de instrumentos para fazer face ao Cibercrime. Em concreto, foram analisadas as iniciativas do G8, do Conselho da Europa (Convenção sobre Cibercrime) e da União Europeia (plano ENFOPOL), para dotar de novos instrumentos legais as forças de segurança dos países incluídos nestas organizações. 

Os membros deste grupo de trabalho, reconhecendo a necessidade de lutar contra estas formas de criminalidade, consideraram imprescindível que neste instrumentos se respeitem os direitos reconhecidos na Convenção Europeia dos Direitos do Homem, em particular no que se refere ao respeito pela vida privada e ao sigilo da telecomunicações. Esta posição serviu de base à Resolução de Estocolmo, aprovada pela Conferência Europeia das Autoridades de Protecção de Dados, sobre a conservação de dados de tráfego por parte dos ISP’s (Internet Service Providers). 

 

4. XXII Conferência Internacional de Comissários de Protecção de Dados 

A Conferência Internacional de Comissários de Protecção de Dados decorreu em Veneza, Itália, entre os dias 28 e 30 de Setembro, tendo como grande tema de fundo a cidadania electrónica. 

Neste âmbito, foram abordadas várias questões na perspectiva da protecção dos dados pessoais, designadamente as novas tecnologias, a segurança e a liberdade; os custos da privacidade e as soluções de software; os bancos centralizados de dados e os cartões inteligentes; as intranets e os serviços globais, a privacidade e os media e a transparência electrónica. 

Foi também feito um balanço do estado da privacidade em todo o mundo e debatidos os novos desafios que se colocam à protecção de dados pessoais.

Discutiu-se ainda, em sessão plenária, a possibilidade de se caminhar para a elaboração de uma Convenção sobre Privacidade. 

Nesta Conferência, foi aprovada a “Declaração de Veneza”, documento no qual os comissários reafirmaram a necessidade da existência de princípios e normas comuns de protecção de dados, em resultado da crescente sofisticação das tecnologias, do crescimento do seu número de utilizadores, bem como da intensificação das trocas de dados a nível mundial.

Entre os objectivos traçados, à luz do reconhecimento da privacidade como um direito pessoal fundamental e um elemento constitutivo da liberdade dos cidadãos, destaca-se o reforço das salvaguardas aplicadas ao tratamento de certas categorias de dados, tais como, dados genéticos e dados relacionados com os vários tipos de vigilância electrónica. 

Nesta XXII Conferência, foram apresentadas duas comunicações de representantes portugueses: uma, pelo Presidente da CNPD João Labescat, sob o título “Cartões inteligentes: informação de bolso. Onde está a cidadania electrónica?”; outra, apresentada pelo anterior Vogal da CNPD Joaquim Seabra Lopes, subordinada ao tema “A protecção de dados pessoais nas actividades policiais e judiciárias”. 

A documentação referente à Conferência pode ser consultada no site da Autoridade de Protecção de Dados italiana – Garante per la protezione dei dati personali – em http://astra.garanteprivacy.it 

 

5. Conferência da Primavera

A Conferência da Primavera reúne anualmente os comissários europeus de protecção de dados. No ano passado, o convénio realizou-se em Estocolmo, Suécia, nos dias 6 e 7 de Abril. 

Os dados genéticos e os assuntos médicos foram um dos temas centrais em discussão. Verificou-se que a questão dos dados genéticos já foi tratada por várias autoridades nacionais de controlo, uma vez que alguns países estavam já a desenvolver legislação sobre esta matéria. As grandes dúvidas que se levantam ao tratamento destes dados prendem-se com os pedidos de comunicação destes dados à polícia, às companhias de seguros e aos empregadores. Foi salientada a necessidade de cooperação das várias autoridades europeias neste domínio. 

As acções práticas de vigilância e o tratamento de queixas dos cidadãos, bem como as acções de inspecção no seguimento de queixas foram outros dos assuntos debatidos. A Espanha e a Holanda apresentaram um relatório final sobre o projecto de cooperação que levaram a cabo, relativo à vigilância dos fornecedores de acesso à Internet nos seus países, do qual resultou a ideia de desenvolver no futuro métodos-padrão de intervenção, nomeadamente a nível das acções de fiscalização e relatórios de acompanhamento. 

A cibercriminalidade, as telecomunicações, a videovigilância por razões de ordem pública e de segurança, o acesso do público aos documentos oficiais e o respeito pela privacidade, o ponto da situação da transposição da Directiva 95/46/CE, de 24 de Outubro, nos países comunitários, a Internet e as questões da lei aplicável (artº 4º da Directiva) foram outras matérias objecto de análise e discussão. 

 

6. I Encontro Ibérico de Autoridades de Protecção de Dados

As Autoridades portuguesa e espanhola de Protecção de Dados, reunidas nos dias 14 e 15 de Novembro na cidade de Évora, efectuaram um balanço dos vários aspectos relevantes no âmbito do direito à vida privada e discutiram as perspectivas deste direito face à evolução das tecnologias de informação. 

A Comissão Nacional de Protecção de Dados (Portugal) e a Agencia de Protección de Datos (Espanha), neste I Encontro Ibérico, sublinharam a importância da cooperação mútua, como forma de antecipar e responder aos novos desafios da sociedade de informação, em especial no quadro ibérico, onde existem relações comerciais crescentes que envolvem o tratamento de dados pessoais de empresas sediadas num e noutro país. 

No âmbito europeu e internacional, as duas Autoridades constataram a existência de pontos de vista comuns e consideraram urgente a adopção de medidas para uma efectiva harmonização prática que, mesmo no espaço europeu, está longe de ser alcançada. 

Durante a reunião, foram abordados aspectos ligados às telecomunicações, ao comércio electrónico, aos fluxos transfronteiras de dados, ao crédito e solvabilidade e às relações com a América Latina. 

Em particular, foram debatidos vários casos concretos que permitem aferir da aplicação das leis de protecção de dados em ambos os países. 

Quanto ao sector das telecomunicações, foram abordadas as matérias relativas à forma de disponibilização e pesquisa de dados de directorias e listas de assinantes, ao tratamento de dados de tráfego e facturação e ao consentimento dos assinantes, à existência de mecanismos que permitem traçar perfis de utilizadores, aos sistemas de informação que permitem o combate à fraude nas comunicações, aos novos sistemas de localização espacial de telemóveis e ao tempo de conservação dos dados. 

Em relação ao comércio electrónico, analisou-se o papel dos Internet Service Providers (fornecedores de acesso à Internet), as garantias de segurança e confidencialidade dos dados, a possibilidade de traçar perfis dos consumidores e dos internautas em geral, as transferências para a UE de dados obtidos através de páginas web publicadas fora da Europa e as comunicações comerciais não solicitadas. Foram ainda debatidos os aspectos ligados à assinatura digital e à certificação, à necessidade de transposição da Directiva de Comércio Electrónico, bem como a questão da lei aplicável. Os fenómenos de concentração empresarial, com a possível centralização de informação pessoal de várias empresas, constitui um problema adicional às regras de transparência e de informação, que devem balizar o tratamento de dados pessoais. 

Quanto aos fluxos de dados transfronteiras, foi avaliada a situação dos regimes de protecção adequada nos Estados fora da União Europeia e a importância da existência de cláusulas contratuais tipo para vários sectores de actividade (financeiro, seguros, companhias aéreas, recursos humanos). As duas Autoridades reconheceram, no estado actual, a dificuldade e a indeterminação jurídica e prática da aplicação do Safe Harbor (Porto Seguro), que facilita a transferência de dados para os EUA. 

No que diz respeito ao crédito e solvabilidade, foram destacados aspectos relativos ao tratamento de dados por parte das entidades financeiras e outras empresas de informações comerciais, tendo sido salientada a necessidade de uniformização de procedimentos relativos à apreciação dos riscos de crédito, aos ficheiros de informação positiva e negativa, aos prazos de conservação de informação “negativa” e da informação sobre “saldo zero” e aos parâmetros de concessão de crédito com base em decisões individuais automatizadas (credit scoring). 

Em relação à América Latina, as duas Autoridades concordaram em dar um novo impulso para promover um regime de protecção de dados nos países ibero-americanos, tendo em vista as relações privilegiadas que Espanha e Portugal têm com esta região. 

A Comissão Nacional de Protecção de Dados e a Agencia de Protección de Datos manifestaram o seu pleno apoio à consagração na Carta dos Direitos Fundamentais da União Europeia, do direito à privacidade. 

As duas Autoridades concordaram em manter uma colaboração estreita no futuro, designadamente melhorando a informação mútua quanto às principais decisões por si adoptadas. 

A CNPD e a APD salientaram que a privacidade é um direito fundamental, que a tecnologia deve respeitar.


[1] Os países são hoje: Bélgica, Países Baixos, Luxemburgo, França, Alemanha, Itália, Portugal, Espanha, Áustria, Grécia, Suécia, Dinamarca, Finlândia, Islândia e Noruega.

 

PARTE II -ORIENTAÇÕES DA CNPD

1. Aplicação da Lei 67/98 – Compras na Internet 

O artigo 4.º da Lei 67/98, que tem como fonte o artigo 4.º da Directiva 95/46/CE, tem como pressuposto fundamental que a lei nacional só será aplicável quando houver elementos de conexão entre o responsável do tratamento e algumas situações especificamente previstas na lei: o seu estabelecimento no «território português» (al. a); o tratamento ocorrer em «local onde a legislação portuguesa seja aplicável por força do direito internacional»l (al. b); ou o responsável «recorra a meios» situados em território português» (al. c) que lhe permitam a realização de alguma "operação de tratamento" (vg. recolha, registo, organização ou transmissão).

Quando a lei fala no recurso a «meios situados em território português» deve entender-se que estão em causa, tão só, "meios próprios do responsável" ou, ainda, de um seu "representante", "prestador de serviços" ou de um "subcontratante" que actue em nome, sob a supervisão ou por conta do responsável. Não se pode aplicar a lei portuguesa quando o meio que serve de recolha de dados é um PC pertencente ao utilizador, titular dos dados, que os envia para um país terceiro e para utilização por empresa ou entidade não estabelecida em território onde a lei portuguesa não seja aplicável.

 

2. Legitimidade para o tratamento de dados de saúde 

Quando os dados são processados no âmbito da realização de diagnósticos, medicina preventiva, prestação de cuidados de saúde ou tratamentos médicos ou gestão de serviços de saúde há legitimidade para ser feito o seu tratamento automatizado quando este é realizado por pessoas vinculadas a segredo profissional (cf. art. 7.º, n.º 4 da Lei 67/98, de 26/10).

Quando os dados identificados são utilizados para estudos ou investigação científica deverá ser obtido o consentimento expresso dos titulares dos dados (cf. art. 7.º, n.º 1 e 2 da Lei 67/98). 

 

3. Tratamento de dados genéticos 

Os dados genéticos «constituem, isolada ou cruzadamente, indicadores que permitem revelar o estado de saúde, ou pelo menos possibilita ou facilita diagnósticos que identificam eventuais estados patológicos, designadamente quanto a factores de risco para o desenvolvimento de determinadas doenças, incluindo as que têm carácter hereditário ou com possibilidade de transmissão».

Ainda no tempo da vigência da Lei n.º 10/91, de 29 de Abril, foram integrados os dados genéticos na categoria de “dados sensíveis”, porquanto havia que «atribuir reforçada protecção aos dados genéticos, que ultrapassam em muito uma mera identificação da pessoa, e que são o património da própria existência, em muitas dimensões, a matriz pessoal de cada um» e foi salientado que «os dados genéticos, mesmo que autónomos em relação aos dados do estado de saúde, podem ter uma utilização directa ou indirecta na leitura, não apenas dos factores hereditários, mas igualmente do próprio estado de saúde, e no extremo, poderão tocar (e afectar) o núcleo da privacidade». Os dados genéticos constituem o património da composição química e celular da pessoa, elementos pois que podem contender com a vida privada.  

O art.º 7.º, n.º 1, da Lei 67/98 não só inclui os dados de saúde e genéticos na categoria de tratamento de dados sensíveis como proíbe por princípio esse tratamento. Todavia, os números 2 e 4 do mesmo artigo vieram estabelecer situações em que será possível o tratamento destes dados.

No que concerne aos de dados de saúde e dados genéticos permite o artigo 7.º, n.º 4, o seu tratamento «quando for necessário para efeitos de diagnóstico médico, de prestação de cuidados ou tratamentos médicos ou de gestão de serviços de saúde, desde que o tratamento desses dados seja efectuado por um profissional de saúde obrigado a sigilo ou por outra pessoa sujeita igualmente a segredo profissional». Por seu turno, o n.º 2 do art.º 7 admite que por disposição legal ou autorização da CNPD o tratamento de dados sensíveis possa acontecer se «por motivos de interesse público importante esse tratamento for indispensável ao exercício das atribuições legais ou estatutárias do seu responsável ou quando o titular dos dados tiver dado o seu consentimento expresso para esse tratamento».

 

O responsável deve assegurar o preenchimento do «termo de consentimento informado» em relação aos dados genéticos para efeitos de investigação de doença, quer no âmbito da execução de testes genéticos diagnósticos, quer no âmbito de execução de testes genéticos preditivos. Em ambos, os termos da declaração informada devem ser expressos no sentido de autorizar o “tratamento automatizado dos dados”.

  • O responsável deve ainda assegurar que:

  • O estabelecimento dos níveis de acesso e adopção de password de acesso à informação contida em computador seja definida quanto aos dados de saúde por médico ou director clínico e quanto aos dados genéticos por médico ou geneticista.

  • Os suportes – disquetes – devem ser guardados em cofre para impedir acesso, cópia, leitura ou alteração por pessoas não autorizadas (art.º 15, n.º 1, al. a) da Lei n.º 67/98);

  • O sistema deve garantir uma separação lógica entre os dados referentes à saúde e  aos dados genéticos  e os restantes dados pessoais (art. 15.º, n.º 3, da Lei n.º 67/98).

  • O direito de acesso à informação relativa a dados de saúde, incluindo os dados genéticos deve ser exercido por intermédio de médico escolhido pelo titular dos dados (art. 11, n.º 5, da Lei n.º 67/98);

  • A informação, quando identificável, não pode ser utilizada para finalidades diversas das declaradas.

 

 

4. Avaliação do crédito e solvabilidade 

A avaliação do crédito e solvabilidade do titular dos dados não pode ser efectuada, exclusivamente, com base num tratamento automatizado de dados destinados a avaliar determinados aspectos da sua personalidade, designadamente a sua capacidade profissional, o seu crédito, a confiança de que é merecedora ou o seu comportamento (art. 13.º da Lei 67/98). Algumas operações relativas ao crédito, nomeadamente as operações de credit scoring - atribuição ou denegação automática de crédito pessoal – não podem realizar-se com fundamento exclusivo no conteúdo de registos automáticos. 

 

 

5. Gestão e tratamento de dados no âmbito da fiscalização do trânsito pelas Câmaras Municipais 

 

a) Tratamento de coimas

Nos termos do artigo 7.º do Decreto-Lei n.º 2/98, de 3 de Janeiro, a fiscalização do cumprimento das disposições do Código da Estrada e legislação complementar incumbe às Câmaras Municipais, nas vias públicas sob a respectiva jurisdição. Nos termos do n.º 4 do mesmo preceito cabe à Direcção-Geral de Viação ”promover a uniformização dos modos e critérios e coordenar o exercício da fiscalização do trânsito, expedindo para o efeito, as necessárias instruções”. Na medida em que o artigo 7.º do Código da Estrada veio reforçar as possibilidades de intervenção das autarquias no ordenamento do trânsito, nomeadamente no que se refere ao estacionamento de veículos nas zonas de estacionamento de duração limitada, o artigo 1.º, n.º 1, do Decreto-Lei n.º 327/98, de 2 de Novembro veio equiparar a agente de autoridade administrativa para o exercício das suas funções de fiscalização o pessoal das entidades a que, no âmbito autárquico, incumba ou venha a incumbir a fiscalização do estacionamento de duração limitado na via pública. Por sua vez, o n.º 2 do artigo 1.º do diploma citado veio cometer ao pessoal encarregue do exercício das funções de fiscalização do estacionamento de duração limitada na via pública a competência para proceder ao levantamento dos autos de notícia e denúncia previstos no artigo 151.º do Código da Estrada, bem como realizar as intimações e notificações previstas nos artigos 152.º e 155.º deste diploma legal.

A CNPD considera que estas entidades têm legitimidade legal para processar a informação. A legitimidade do tratamento de dados pessoais relativos a contra-ordenações, coimas e sanções acessórias está assegurada, nos termos do n.º 2 do artigo 8.º da Lei n.º 67/98, de 26/10, quando o tratamento for necessário à execução de finalidades legítimas do seu responsável e desde que não prevaleçam os direitos, liberdades e garantias do titular dos dados.

 

b) Acesso a dados do registo automóvel

O sistema e o regulamento de registo da propriedade automóvel são regulados pelo Decreto-Lei n.º 54/75 e pelo Decreto n.º 55/75, ambos de 12 de Fevereiro, legislação que veio a ser alterada, respectivamente pelo Decreto-Lei n.º 242/82, de 22 de Junho (quanto ao sistema de registo), e pelo Decreto Regulamentar n.º 36/82, de 22 de Junho (quanto ao Regulamento do registo). Os Decretos-Leis nºs 217/83, de 25 de Maio, e 54/85, de 4 de Março, vieram posteriormente alargar o leque de entidades com acesso directo à informação à Direcção Geral de Contribuições e Impostos, à Direcção Geral das Alfândegas, às direcções de viação em que os veículos estiverem matriculados, à Polícia de Segurança Pública, à GNR (incluindo Brigada Fiscal), quanto aos dados do proprietário ou usufrutuário, nome ou denominação, residência habitual, matrícula (por linha de comunicação de dados, se tecnicamente possível).

Há autorização, também legalmente expressa, para acesso, por parte da Polícia Judiciária, a informação constante do registo automóvel, através de terminais (n.º 2 do artigo 27º do DL 54/75, redacção actual).

Existe uma autorização de comunicação a outras entidades públicas e privadas de informação constante do registo, mas exclusivamente relativa a características técnicas dos veículos (portanto, sem referência aos titulares).

A dotação das autarquias locais de poderes de natureza policial não foi acompanhada da alteração ao regime do Registo Automóvel em matéria de finalidade, acesso e comunicação de dados, o que, por si, tornaria mais transparente o desvio de finalidade constante do n.º 1 e 2 do Artigo 27.º do DL n.º 54/75, de 12/02, na redacção do DL n.º 54/85, de 4/03, e permitiria conferir efectividade à tramitação do procedimento contra-ordenacional, designadamente para levantamento do auto de notícia, sempre que a identificação dos proprietários dos veículos não possa ou não deva ser obtida das pessoas a quem respeita. O que, como se reconhece, muito obviaria às dificuldades conhecidas à adequada concretização das notificações relativas a violações ao Código da Estrada – artigos 152.º e ss.

A CNPD, embora reconheça utilidade de acesso aos  dados pelas câmaras municipais e empresas públicas municipais quanto a dados de identificação dos proprietários, em virtude das novas competências de natureza policial em que estas estão investidas em matéria da fiscalização do cumprimento das disposições do Código da Estrada e demais legislação complementar, bem como da fiscalização do estacionamento de duração limitada, entende que, constituindo o artigo 27.º do DL n.º 54/75, de 12/02, na redacção dada pelo DL n.º 54/85, de 4/03, uma autorização ao desvio da finalidade, tal implica que só uma alteração feita à disposição legal em referência possa, se assim for entendido, dar cobertura à pretensão dessas entidades. Só uma referência expressa da possibilidade de comunicação de dados a entidades públicas de natureza semelhante à sua, no quadro da prossecução das respectivas atribuições legais ou estatutárias, poderá legitimar o acesso.

A iniciativa de alteração legislativa extravasa claramente as competências e atribuições da CNPD previstas na Lei n.º 67/98, de 26 de Outubro, ficando a sua ponderação e eventual concretização remetida para os órgãos de soberania com competência constitucional para o efeito.

 

6. Tratamento de filiação sindical 

Constitui discriminação violadora dos princípios da transparência, do respeito pela vida privada, bem como pelos direitos, liberdades e garantias fundamentais (art. 2.º da Lei 67/98) a existência de informação que permita a um Hospital - para além de critérios gerais pré-estabelecidos em relação ao direito à prestação de cuidados de saúde - proceder a verificações prévias do sistema informático que permitam uma discriminação de pessoas por terem sido beneficiárias de determinado subsistema ou terem determinada "filiação sindical".

Acresce, por outro lado, que este procedimento é incompatível com a filosofia subjacente ao artigo 13.º da Lei 67/98 (disposição inovadora no nosso ordenamento de protecção de dados) na medida em que o acesso a tal listagem afecta as pessoas de modo significativo e a recusa na prestação de cuidados é tomada «exclusivamente com base naquele tratamento automatizado» (manutenção de listagem de pessoas a quem não devem ser prestados cuidados em razão da sua situação particular). 

 

7. Registo central de contra-ordenações 

A manter-se a previsão legal da criação de um registo central da informação em matéria de contra-ordenações por consumo de estupefacientes, deverá o mesmo obedecer ao disposto no art. 8.º n.º 1 da Lei 67/98, devendo ser previsto em “lei com garantias de não discriminação”, de acordo com o artigo 35.º, n.º 3, da CRP, e obrigatoriamente precedido de parecer prévio da CNPD. 

 

 

8. Tratamento de decisões de tribunais e outras bases de dados jurídico-documentais 

Os tratamentos automatizados de decisões dos tribunais e outras bases de dados jurídico-documentais que - em texto integral - identifiquem as partes, as vítimas ou demais intervenientes processuais contêm dados pessoais na acepção do artigo 3.º, al. a) da Lei 67/98.

Quando os responsáveis dos tratamentos não procederem à anonimização dos dados pessoais dos intervenientes, considera-se que tais suportes - por conterem dados pessoais - estão submetidos ao regime da Lei de Protecção de Dados (Lei 67/98, de 26 de Outubro), devendo os seus responsáveis proceder à legalização dos respectivos tratamentos junto da CNPD, através de uma das formas legalmente previstas: notificação, autorização ou disposição legal submetida a parecer prévio da Comissão.

Por isso, a CNPD recomenda, em relação a estes tratamentos, o seguinte: 

  1. O tratamento destas decisões por parte das entidades públicas ou privadas deve, por princípio, ser anonimizado;

  2. Devem ser obrigatoriamente anonimizados os tratamentos em que existam dados pessoais, no âmbito de processos-crime, acções de investigação de paternidade, regulações do poder paternal, acções de divórcio e outras decisões em que haja informação identificada ou identificável que respeite à intimidade da vida privada.

  3. As entidades públicas e privadas que pretendam tratar dados pessoais devem proceder, nos termos da Lei 67/98, à respectiva legalização junto da CNPD, apresentando, conforme o caso, uma notificação, um pedido de autorização ou um diploma legal.

 

 

9. Interconexão de dados 

 

a) Condições de interconexão

A CNPD admitiu a interconexão de dados pessoais (nome e data de nascimento) entre os Serviços de Prevenção e Tratamento da Toxicodependência e a Direcção Geral dos Registos e Notariado com o objectivo de assegurar a participação de Portugal num projecto de investigação internacional promovido pelo Observatório Europeu das Drogas e Toxicodependência que tinha em vista determinar e avaliar, no quadro dos Estados membros, a incidência das doenças entre consumidores de drogas e as causas de mortalidade.

Tendo como suporte as condições estabelecidas no artigo 9.º da Lei 67/98, a CNPD considerou que esta interconexão era a «única  forma fiável de determinar o tempo de sobrevida dos indivíduos que consomem drogas».

Tendo sido adoptadas medidas de segurança, foi exigido – como condição de interconexão – que a DGRN «não tivesse acesso/conhecimento da identificação das pessoas utilizadoras de drogas». Esta a forma de assegurar, de forma clara, que não haveria discriminação ou diminuição de direitos, liberdades e garantias. 

 

b) Finalidades diversas

Possuindo uma entidade dois tratamentos com finalidades diferenciadas – um de «clientes titulares de cartão de crédito» e outro de «comerciantes» - será de autorizar a sua interconexão (art.9.º da Lei 67/98), para efeitos de realização promocional e com o objectivo de evitar que os titulares recebam publicidade duplicada, desde que se verifiquem as seguintes condições:

  •  A informação a cruzar seja, apenas, referente ao “nome da empresa, endereço e número de telefone e de fax”;

  • A interconexão seja levada a cabo em “ambiente protegido” com todos os procedimentos de segurança em vigor na empresa, identificação do utilizador, “password” e perfil de acesso;

  • Terminada a acção promocional, os ficheiros utilizados serão imediatamente apagados.

 

10. Tempo de conservação

 

a) Processos de natureza disciplinar

Os dados não devem ser conservados sempre que houver decisão definitiva que dê como não provados os factos que originaram o procedimento.

Nos casos de reabilitação, os dados pessoais relativos às incapacidades e demais efeitos da condenação, ainda subsistentes, devem ser eliminados na data em que esta ocorra.

Nos casos de revisão do processo disciplinar, os dados pessoais só podem ser conservados até à data da revogação ou alteração da decisão proferida no processo revisto.

Nos casos de extinção do procedimento disciplinar, isto é, quando ocorra prescrição do procedimento disciplinar, prescrição da pena, cumprimento da pena, morte do infractor ou amnistia, os dados só podem ser conservados para finalidade estatística, consulta ou actualização dos antecedentes disciplinares, até 5 anos após a morte ou 10 anos após a aposentação. Isto, sem prejuízo da possibilidade da conservação para fins históricos, de acordo com o estabelecido no n.º 2 do art. 5.º da Lei 67/98.

 

b) Prescritores de medicamentos

As Sub-regiões de Saúde procedem ao tratamento de dados relativos a prescrições de medicamentos em relação aos médicos do SNS. O tempo de conservação dos dados deve compatibilizar a solução de eliminação dos dados de identificação do prescritor um ano após a cessação de funções para o SNS e a anonimização dos dados do prescritor, no prazo de 2 anos após a data do pagamento da factura dos convencionados com os prazos de conservação inscritos no Regulamento Arquivístico para os Hospitais aprovado pela Portaria n.º 247/2000, de 8 de Maio. Este fixa, em matéria de receituários do SNS, um prazo máximo de conservação administrativa de 5 anos (um ano em fase activa e 4 anos em fase semi-activa).

 

c) Processos de contra-ordenação

A informação tratada em processo de contra-ordenação deverá ser conservada pelo período estritamente necessário à finalidade (gestão da contra-ordenação) – cf. art. 5.º al. e) da Lei 67/98, de 26 de Outubro – não podendo ser conservada, conforme o caso, para além dos prazos de prescrição do procedimento por contra-ordenação, de prescrição da coima (art. 27.º a 31.º do DL 433/82, de 27 de Outubro) ou dos prazos necessários para sancionar a reincidência (cf. art. 144.º do C. Estrada). Findos esses prazos os dados devem ser eliminados.

 

11. Tratamento de dados por subcontratante  

As entidades a quem os dados são comunicados na qualidade de subcontratantes (cf. art. 3.º, al. e), da Lei 67/98), estão obrigadas - porque agem sob autoridade do responsável - a proceder ao tratamento de dados de acordo com as «instruções do responsável pelo tratamento» (cf. art. 16.º da Lei 67/98).

Não podem, igualmente, utilizar os dados para outras finalidades que não sejam as que resultam do contrato de prestação de serviços. Estão impedidos de integrar essa informação nos seus sistemas de informação para utilização em proveito próprio (vg. campanhas promocionais).

 

12. Serviços mínimos bancários 

A solução acolhida pelo DL 27-C/2000, de 10 de Março, ao admitir a centralização de informação de todos os «números de identificação fiscal» num único tratamento acessível às instituições financeiras, é contrária à legislação vigente em matéria de protecção de dados pessoais.

Admitir e aceitar que uma entidade gestora de cartões de crédito e de débito, com uma natureza de entidade prestadora de serviços, possa realizar um tratamento desta natureza é transigir na possibilidade efectiva de estas entidades identificarem os titulares dos dados e traçarem perfis de cada titular de um cartão.

Tal prática é susceptível de lesar o direito à reserva da intimidade da vida privada (art. 26.º, n.º 1, da CRP), bem como do direito à autodeterminação informacional definido no art. 35.º, n.º 3, da CRP. 

  

13. Informação estatística 

Não é incompatível com a finalidade para que foi registada a cedência de dados da EDP ao INE de um “ficheiro de endereços, baseado nos locais de consumo doméstico de energia eléctrica” a extrair do seu ficheiro de consumidores domésticos de electricidade, desde que o INE apenas utilize o ficheiro “no âmbito da actualização cartográfica censitária, mantendo total confidencialidade sobre os dados identificáveis recebidos”.

 

14. Telemedicina 

Ao tratamento de dados pessoais, com recursos à captação, tratamento e difusão de sons e imagens, é aplicável a Lei 67/98, de 26 de Outubro (cf. art. 4.º, n.º 4). O tratamento de dados para efeitos de «telemedicina» é necessário para efeitos de medicina preventiva, diagnóstico médico e prestação de cuidados de saúde (cf. art. 7., n.º 4, da Lei 67/98).

Em face da evolução das novas tecnologias é agora possível a troca de informação entre profissionais de saúde - «medicina partilhada» - para assegurar uma maior eficiência e rigor em relação ao diagnóstico e à prestação de cuidados de saúde. O segredo médico já não se estabelece, no rigor dos princípios tradicionais, na relação médico/doente mas - graças ao trabalho em equipa - na relação doente/equipa médica. O estabelecimento de saúde deve adoptar medidas técnicas e físicas que assegurem, de forma efectiva, o segredo profissional em relação às imagens recolhidas.

Há que assegurar, igualmente, o direito de informação - conforme resulta do artigo 10.º da Lei 67/98 - quando o titular dos dados está em condições de ser informado.

 

 

15. Videovigilância 

 

Sem prejuízo de, em casos particulares, poderem ser verificadas condições específicas de tratamento de dados, a CNPD autoriza o tratamento de dados no âmbito de operações de videovigilância, com base no disposto no DL 231/98, de 22 de Julho, quando a finalidade é a “segurança das instalações e protecção de pessoas e bens”. Têm sido estabelecidas, de modo uniforme, algumas condições para o tratamento:

  1. As gravações não poderão ser conservadas por um período superior a 30 dias;

  2. As imagens, que são de acesso restrito, só poderão ser utilizadas nos termos previstos na lei penal;

  3. É necessário assegurar o direito de informação, nos termos estabelecidos no artigo 12.º, n.º 3,  do DL 231/98, através da inclusão de um texto - em local bem visível - com os seguintes dizeres: «Para sua protecção este local encontra-se sob vigilância de um circuito fechado de televisão, procedendo-se à gravação de imagens»;

  4. Deve ser garantido ao titular dos dados o direito de informação e o direito de acesso aos dados pessoais (imagens) que existam a seu respeito.

 

 

PARTE III – DECISÕES DA CNPD

1. Deliberações 

 

2. Autorizações 

 

3. Pareceres