DISSERTAÇÃO Tratamento Dados Pessoais Clientes Marketing

UNIVERSIDADE AUTNOMA DE LISBOA
DEPARTAMENTO DE DIREITO
MESTRADO EM DIREITO
O TRATAMENTO DE DADOS PESSOAIS DE CLIENTES

PARA MARKETING
Dissertao apresentada para a obteno do

grau de Mestre em Direito, especialidade em
Cincias Jurdico-Polticas
Orientadora: Professora Doutora Ana Roque

Candidata: Florbela da Graa Jorge da Silva Ribeiro
Abril
2017
Ao meu amor, Eduardo
Aos meus filhos do corao, Eduardo e Ins
minha querida me, Maria Olinda
II
Agradecimento
A realizao deste trabalho no teria sido possvel sem o auxlio e estmulo de diversas
pessoas. A minha gratido e maior estima a todos aqueles que contriburam para que esta
tarefa se tornasse uma realidade.
Em primeiro lugar, minha orientadora Professora Doutora Ana Roque, para quem no h
agradecimentos que cheguem. Compreendeu os meus silncios e as minhas angstias. Doutas
e avisadas observaes foram cruciais no aperfeioamento do trabalho e do meu prprio
desenvolvimento pessoal assente na liberdade de ao concedida.
Em segundo lugar, no posso deixar de lembrar que a minha formao jurdica em muito
dependeu da transmisso do saber de experincia feito, dos mais altos princpios da Justia e
do direito, e do conhecimento notvel do meu Ilustre Patrono Dr. Antnio Castelino e Alvim,
que ainda hoje celebro com pequenas conquistas. Obrigado.
No podendo nomear todas as pessoas, uma palavra de apreo Professora Doutora Elionora
Cardoso que muito contribuiu para a deciso de iniciar e concluir a dissertao na
Universidade Autnoma de Lisboa, ao Senhor Procurador Jorge Costa pela sua inestimvel
amizade e motivao, minha amiga Dr. Patrcia Machado e minha colega Dr. Susana
Garcia Romero, data protection officer da Wolters Kluwer Espaa, pela sugesto de leituras
sobre o tema da dissertao.
As minhas ltimas palavras so para a minha famlia. Obrigado pelo apoio, o sossego, o
carinho, a pacincia e a compreenso nas horas mais difceis. No existem palavras, na Terra
e no Cu, para agradecer o tempo que vos roubei. Um agradecimento especial ao Eduardo
meu marido, meu amor, meu porto seguro.
III
Ide pelo mundo inteiro, anunciai o evangelho a toda a criatura
(Mc 16,15)
IV
Resumo
O binmio consentimento do titular / finalidade do tratamento de dados pessoais alicerados
no princpio da transparncia a condio chave para o envio de comunicaes comerciais
no solicitadas. No contexto do marketing direto, o responsvel pelo tratamento de dados
deve garantir que todas as informaes so claras e entendveis pelos utilizadores dos servios
da sociedade de informao, dado que podem no entender a tecnologia que o suporta.
Apenas as pessoas informadas esto em condies de prestar o seu consentimento ou exercer
o seu direito incondicional de oposio receo de comunicaes no solicitadas.
Descritores: proteo de dados, consentimento, tratamento de dados pessoais, comunicaes
comerciais no solicitadas, marketing comportamental, marketing direto
Abstract
The binomial consent of the individual / purpose of the processing of personal data based on
the principle of transparency is the key condition for sending unsolicited commercial
communications. In the context of direct marketing, the data controller must ensure that all
information is clear and understandable by information society service users as they may not
understand the technology that supports it. Only the informed persons are able to give their
consent or exercise their unconditional right to object the reception of unsolicited
communications.
Keywords: data protection, consent, processing personal data, unsolicited commercial
communications, behavioural marketing, direct marketing
Resumen
El binomio consentimiento del titular / finalidad del tratamiento de los datos personales
fundado en el principio de la transparencia es la condicin clave para el envo de
comunicaciones comerciales no solicitadas. En el contexto del marketing directo, el
responsable del tratamiento de los datos debe asegurarse de que toda la informacin es clara y
comprensible para los usuarios de servicios de la sociedad de informacin, porque pueden no
entender la tecnologa que los soporta. Slo las personas informadas son capaces de dar su
consentimiento o ejercer su derecho incondicional de oposicin a la recepcin de
comunicaciones comerciales no solicitadas.
Voces: proteccin de datos, consentimiento, tratamiento de datos personales, comunicaciones
comerciales no solicitadas, marketing de comportamiento, marketing directo
V
NDICE
Lista de Siglas e Abreviaturas: ................................................................................................... 5

PARTE I INTRODUO ...................................................................................................... 9
CAPTULO I INTRODUO ............................................................................................... 9
1-1. Apresentao da dissertao ............................................................................................... 9
1-1.1. O objeto e estrutura da dissertao ............................................................................... 9
1-1.2. O procedimento metodolgico ..................................................................................... 9
PARTE II DISPOSIES GERAIS SOBRE A PROTEO DE DADOS PESSOAIS .... 11
CAPTULO II CONTEXTO TECNOLGICO E O DIREITO PROTEO DE
DADOS .................................................................................................................................... 11
2-2. Contexto tecnolgico ........................................................................................................ 11
2-2.1. Inteligncia Ambiental ............................................................................................... 12
2-2.2. Operadores econmicos ............................................................................................. 13
2-2.3. Razo para proteger os dados pessoais ...................................................................... 18
2-2.4. O direito proteo de dados ..................................................................................... 18
2-2.5. Gnese do direito proteo de dados ....................................................................... 20
2-2.6. O papel do Conselho da Europa ................................................................................. 22
2-2.6.1. O desenvolvimento legislativo ............................................................................ 22
2-2.6.2. O Tribunal Europeu dos Direitos do Homem ...................................................... 24
2-2.7. A proteo de dados nos instrumentos internacionais ............................................... 25
2-2.7.1. A Conveno 108 do Conselho da Europa .......................................................... 26
2-2.8. O papel da Unio Europeia ........................................................................................ 27
2-2.8.1. O desenvolvimento legislativo na Unio Europeia ............................................. 29
2-2.8.2. A Carta dos Direitos Fundamentais da Unio Europeia ...................................... 31
2-2.8.3. O Tribunal de Justia da Unio Europeia ............................................................ 33
2-2.9. A reforma da proteo de dados na Unio Europeia .................................................. 35
CAPTULO III O DIREITO PROTEO DE DADOS NO CONTEXTO
NACIONAL ............................................................................................................................. 38
2-3. A evoluo da lei nacional ................................................................................................ 38
2-3.1. O direito proteo de dados e a doutrina nacional .................................................. 40
2-3.2. mbito de aplicao do regime do direito proteo de dados ................................. 41
2-3.2.1. Dados pessoais de pessoas singulares ................................................................. 42
2-3.2.2. O tratamento de dados no requer um suporte especfico ................................... 43
1
2-3.2.3. O mbito territorial do direito proteo de dados pessoais ............................... 44
2-3.2.4. A transferncia de dados para fora da Unio Europeia ....................................... 46
CAPTULO IV CONCEITOS E DEFINIES DE DADOS PESSOAIS .......................... 48
2-4. Definio de dados pessoais ............................................................................................. 48
2-4.1. Natureza da informao ............................................................................................. 48
2-4.1.1. Identificao de objetos ....................................................................................... 50
2-4.2. Contedo e suporte da informao ............................................................................. 52
2-4.3. Identificabilidade de uma pessoa ............................................................................... 52
2-4.3.1. Identificadores diretos e indiretos ........................................................................ 53
2-4.3.2. Meios utilizados na identificao ........................................................................ 55
2-4.3.3. A ampliao do conceito de dados pessoais no RGPD ....................................... 56
2-4.4. Identidade e Autenticao .......................................................................................... 57
2-4.5. Tcnicas de proteo contra a identificabilidade ....................................................... 58
2-4.5.1. Anonimizao de dados ....................................................................................... 58
2-4.5.2. Pseudonimizao de dados .................................................................................. 59
2-4.5.3. Pseudonimizao de dados no RGPD ................................................................. 60
2-4.6. Dados sensveis .......................................................................................................... 61
CAPTULO V CONSIDERAES GERAIS SOBRE AS ATIVIDADES DE
MARKETING E OS DIREITOS DOS TITULARES DE DADOS PESSOAIS ..................... 64
3-5. Marketing .......................................................................................................................... 64
3-5.1. O sistema de gesto de relacionamento com o cliente ............................................... 66
3-5.2. Os direitos dos titulares dos dados pessoais ............................................................... 66
3-5.2.1. O direito de informao ....................................................................................... 67
3-5.2.2. O direito de acesso ............................................................................................... 67
3-5.2.3. O direito de retificao ........................................................................................ 69
3-5.2.4. O direito ao apagamento ou bloqueio de dados ................................................... 70
3-5.2.5. O direito de oposio ........................................................................................... 71
3-5.2.6. O direito de oposio para fins de marketing direto ............................................ 73
3-5.3. Os direitos dos titulares dos dados pessoais no RGPD .............................................. 74
PARTE III TRATAMENTO DE DADOS PESSOAIS ........................................................ 77
CAPTULO VI CONSIDERAES GERAIS SOBRE O TRATAMENTO DE DADOS
PESSOAIS ............................................................................................................................... 77
3-6. O tratamento de dados pessoais ........................................................................................ 77
3-6.1. O conceito de tratamento de dados pessoais .............................................................. 77
2
3-6.2. O papel do responsvel pelo tratamento de dados pessoais ....................................... 79
3-6.2.1. O responsvel pelo tratamento de dados pessoais no mbito do RGPD ............. 80
3-6.3. A legalizao do tratamento de dados pessoais ......................................................... 81
3-6.3.1. A notificao CNPD ......................................................................................... 82
3-6.3.2. A iseno da notificao CNPD ....................................................................... 82
3-6.3.3. A autorizao concedida pela CNPD .................................................................. 83
3-6.3.4. A consulta prvia e a autorizao previstas no RGPD ........................................ 85
CAPTULO VII OS PRINCPIOS DO TRATAMENTO DE DADOS PESSOAIS ............ 86
3-7. Os princpios do tratamento de dados pessoais................................................................. 86
3-7.1. O princpio da licitude ................................................................................................ 86
3-7.2. O princpio da lealdade .............................................................................................. 88
3-7.3. O princpio da transparncia ...................................................................................... 88
3-7.2.1. O dever de informao ........................................................................................ 89
3-7.2.2. O dever de informao no RGPD ........................................................................ 91
3-7.4. O princpio relativo qualidade dos dados ................................................................ 92
3-7.5. O princpio da finalidade ............................................................................................ 94
3-7.5.1. A finalidade deve ser especfica .......................................................................... 95
3-7.5.2. A finalidade deve ser explcita ............................................................................ 95
3-7.5.3. A finalidade deve ser legtima ............................................................................. 96
3-7.5.4. A incompatibilidade da finalidade ....................................................................... 96
3-7.5.5. Os critrios da aferio da compatibilidade das finalidades no RGPD ............. 100
3-7.6. O princpio da segurana .......................................................................................... 101
3-7.6.1. O princpio da segurana no RGPD .................................................................. 102
3-7.7. O princpio da responsabilidade ............................................................................... 104
CAPTULO VIII AS CONDIES DE LEGITIMIDADE DO TRATAMENTO DE
DADOS PESSOAIS ............................................................................................................... 105
3-8. As condies de legitimidade do tratamento de dados pessoais ..................................... 105
3-8.1. O consentimento ....................................................................................................... 106
3-8.1.1. O consentimento inequvoco ............................................................................. 107
3-8.1.2. O consentimento livre ........................................................................................ 108
3-8.1.3. O consentimento especfico ............................................................................... 109
3-8.1.4. O consentimento informado .............................................................................. 109
3-8.2. O consentimento no RGPD ...................................................................................... 110
3
CAPTULO IX AS REGRAS ESPECFICAS DO TRATAMENTO DE DADOS
PESSOAIS PARA MARKETING ......................................................................................... 112
3-9. As regras especficas do tratamento de dados pessoais para marketing ......................... 112
3-9.1. O direito incondicional de oposio ......................................................................... 113
3-9.1.1. O caso da publicidade domiciliria ................................................................... 114
3-9.1.2. O caso do telemarketing .................................................................................... 116
3-9.1.3. O caso do telemarketing na pRPCE .................................................................. 117
3-9.2. As comunicaes no solicitadas ............................................................................. 117
3-9.2.1. As comunicaes no solicitadas na pRPCE ..................................................... 120
3-9.3. O marketing comportamental em linha .................................................................... 121
3-9.3.1. Os testemunhos de conexo ............................................................................... 123
3-9.3.2. Os motores de pesquisa ..................................................................................... 125
3-9.3.3. Os servios de redes sociais em linha ................................................................ 127
3-9.3.4. A Internet das Coisas ......................................................................................... 128
3-9.3.5. A construo de perfis ....................................................................................... 129
3-9.5. O marketing comportamental em linha na pRPCE .................................................. 130
PARTE IV CONCLUSES ................................................................................................ 132
CAPTULO X CONCLUSES .......................................................................................... 132
10-1. Concluses .................................................................................................................... 132
BIBLIOGRAFIA .................................................................................................................... 136
DOCUMENTOS IMPRESSOS.......................................................................................... 136
DOCUMENTOS ELETRNICOS .................................................................................... 139
PGINAS WEB ................................................................................................................. 158
JURISPRUDENCIA ....................................................................................................... 158
LEGISLAO ............................................................................................................... 158
OUTRAS PGINAS ...................................................................................................... 158
4
Lista de Siglas e Abreviaturas:
Ac. Acrdo
FRA Agncia dos Direitos Fundamentais da Unio Europeia
AEPD Agencia Espaola de Proteccin de Datos (sigla oriunda do original
em espanhol: Agncia Espanhola de Proteo de dados)
Al) / al) Alnea
AR Assembleia da Repblica
Art. / art. / Art.s / art.s Artigo, artigo, Artigos, artigos
CADH Conveno Americana dos Direitos Humanos
CC Cdigo Civil
CCTV Closed-Circuit Television (sigla oriunda do original em ingls:
Circuito Fechado de Televiso)
CDADC Decreto-Lei n. 63/85, de 14/03, que aprova o Cdigo do Direito de
Autor e dos Direitos Conexos
CdE Conselho da Europa
CDFUE Carta dos Direitos Fundamentais da Unio Europeia Comentada
CEDH Conveno Europeia dos Direitos do Homem
CJ Coletnea de Jurisprudncia
CNPD Comisso Nacional de Proteo de Dados
Cdigo da Publicidade DL n. 330/90, de 23/10
COMISSO Comisso Europeia / Comisso das Comunidades Europeias at
30/11/2009
Conveno 108 Conveno para a Proteo das Pessoas relativamente ao
Tratamento Automatizado de Dados de Carter Pessoal
CRP Constituio da Repblica Portuguesa
Diretiva 2002/58/CE Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de

12/07/2002, relativa ao tratamento de dados pessoais e proteo
da privacidade no setor das comunicaes eletrnicas (Diretiva
relativa privacidade e s comunicaes eletrnicas)
20/05/1997, relativa proteo dos consumidores em matria de
contratos distncia
5
Diretiva 97/66/CE Diretiva 97/66/CE do Parlamento Europeu e do Conselho de 15 de
Dezembro de 1997 relativa ao tratamento de dados pessoais e
proteoproteco da privacidade no setor das telecomunicaes
15/03/2006, relativa conservao de dados gerados ou tratados no
contexto da oferta de servios de comunicaes eletrnicas
publicamente disponveis ou de redes pblicas de comunicaes, e
que altera a Diretiva 2002/58/CE do Parlamento Europeu e do
Conselho, de 12/07/2002, relativa ao tratamento de dados pessoais e
proteo da privacidade no setor das comunicaes (Diretiva
relativa privacidade e s comunicaes eletrnicas).
Diretrizes sobre a Privacidade Recomendao do Conselho da OCDE relativa s diretrizes que
regem a proteo da privacidade e os fluxos transfronteirios de
dados pessoais, de 23/09/1980
DL Decreto-Lei
DPR Decreto do Presidente da Repblica
DUDH Declarao Universal dos Direitos do Homem
EEE Espao Econmico Europeu
EOROC Lei n. 140/2015, de 07/09, Aprova o novo Estatuto da Ordem dos
Revisores Oficiais de Contas
FEDMA Federao Europeia de Marketing Direto e Interativo
GPS Global Positioning System (sigla oriunda do original em ingls
Sistema de Posicionamento Global)
GT29 Grupo de Trabalho do Artigo 29. para a Proteo de Dados
HCI Human-Computer Interaction (sigla oriunda do original em ingls:
Interao Humana com o Computador)
IAm Inteligncia Ambiental
ID Identidade (sigla oriunda do original em ingls: Identity)
IdC Internet das Coisas
IP Protocolo de Internet (sigla oriunda do original em ingls: Internet
Protocol)
IWGDPT International Working Group on Data Protection in
Telecommunications
L Lei
6
LADA Lei n. 46/2007, de 24/08, Regula o acesso aos documentos
administrativos e a sua reutilizao.
LPDP Lei n. 67/98, de 26/10, transpe para a ordem jurdica portuguesa a
Diretiva n. 95/46/CE, do Parlamento Europeu e do Conselho, de 24
de outubro de 1995, relativa proteo das pessoas singulares no
que diz respeito ao tratamento dos dados pessoais e livre
circulao desses dados
M2M Mquina a Mquina (sigla oriunda do original em ingls: Machine-
to-Machine)
N. / n. / N.s / n.s Nmero / nmero
NFC Near Field Communication (sigla oriunda do original em ingls:
Comunicao por Campo de Proximidade)
OCDE Organizao de Cooperao e de Desenvolvimento Econmicos
OEA Organizao dos Estados Americanos
P Portaria
p. Pgina / pgina / Pginas / pginas
PIDCP Pacto Internacional de Direitos Civis e Polticos
PIN Personal Identification Number (sigla oriunda do original em ingls:
Nmero de Identificao Pessoal)
PNL Programao Neurolingustica
pRPCE Proposta de Regulamento do Parlamento Europeu e do Conselho,
relativo ao respeito pela vida privada e proteo dos dados
pessoais nas comunicaes eletrnicas e que revoga a Diretiva
2002/58/CE (Regulamento relativo privacidade e s
comunicaes eletrnicas), apresentada pela Comisso Europeia, de
10/01/2017.
RAR Resoluo da Assembleia da Repblica
RD Real Decreto
Regulamento (CE) n. Regulamento (CE) n. 45/2001 do Parlamento Europeu e do
45/2001 Conselho, de 18 de Dezembro de 2000, relativo proteo das
pessoas singulares no que diz respeito ao tratamento de dados
pessoais pelas instituies e pelos rgos comunitrios e livre
circulao desses dados
Res. Resoluo
7
RFID Radio Frequency IDentification (sigla oriunda do original em
ingls: Identificao por Radiofrequncia)
RGPD Regulamento (UE) 2016/679 Do Parlamento Europeu e do
Conselho de 27/04/2016, relativo proteo das pessoas singulares
no que diz respeito ao tratamento de dados pessoais e livre
circulao desses dados e que revoga a Diretiva 95/46/CE
(Regulamento Geral sobre a Proteo de Dados)
segs. Seguintes
SRS Servios de Redes Sociais
TC Tribunal Constitucional
TCAS Tribunal Central Administrativo do Sul
TEDH Tribunal Europeu dos Direitos do Homem
TGUE Tribunal Geral da Unio Europeia
TJUE Tribunal de Justia da Unio Europeia
TRP Tribunal da Relao do Porto
TUE Tratado da Unio Europeia
UE Unio Europeia
WWW World Wide Web (sigla oriunda do original em ingls: Rede
mundial)
8
PARTE I INTRODUO
CAPTULO I INTRODUO
1-1. Apresentao da dissertao

As pessoas metamorfosearam-se em bits e bytes passando a viver num mundo misterioso
chamado internet, e em funo da magia tecnolgica so classificados em distintas classes e
vestidos medida das necessidades da sociedade de informao. Na IAm flutuam dados que
associados a uma pessoa passam a ter elevada relevncia para os operadores econmicos. Os
Estados-Membros da UE para prosseguir com o mercado nico assentam o seu
relacionamento nas liberdades fundamentais essencialmente econmicas pelo que necessrio
articular o exerccio das referidas liberdades com o direito fundamental proteo de dados.
1-1.1. O objeto e estrutura da dissertao

O tema da dissertao tem como objeto a compreenso do estado de conhecimento do
tratamento de dados pessoais de clientes para marketing, no sistema jurdico nacional, sem
descurar a comparao constante das normas da UE, organizada em partes e captulos, com a
ordem seguinte:
1) Enquadrar o direito proteo de dados no contexto tecnolgico, cuja conceptualizao
apresentada in construhendo: envolvendo o direito comparado sobretudo dos EUA e as
organizaes de que fazem parte os Estados do velho continente.
2) Determinar o que so dados pessoais e o tratamento de dados pessoais no ecossistema
legal, com fundamento na jurisprudncia, doutrina das organizaes europeias e da mais
eminente doutrina autoral. A anlise e conceptualizao dos conceitos do direito nacional
no podem deixar de estarem enquadrados no direito da EU no s pela integrao de
Portugal na EU como pelos efeitos da globalizao dos mercados.
3) Apresentar as especificidades do tratamento de dados pessoais para fins de marketing
sustentado num conjunto de instrumentos que se reinventam a uma velocidade
vertiginosa, num contexto de equilbrio entre as liberdades econmicas e o direito
fundamental proteo de dados.
1-1.2. O procedimento metodolgico

A dissertao segue o mtodo sistemtico dado que procura analisar os princpios e as
condies legtimas do tratamento de dados para fins de marketing (objeto da dissertao)
9
como um elemento do sistema jurdico do direito proteo de dados pessoais em sintonia
com as normas constitucionais, do direito da EU e das normas de direito internacional como a
Conveno 108, a CDFUE e a CEDH.
Para demonstrar o alcance do tratamento de dados precisam-se os significados incorporados
nos conceitos jurdicos que do origem a ambiguidades de interpretao.
Assim, no mbito do procedimento e na fase de recolha de fontes de informao (normas,
jurisprudncia e doutrina) recorre-se ao mtodo histrico-comparativo e na fase de anlise ao
mtodo dedutivo, para preenchimento do significado dos conceitos fundamentais, como por
exemplo dados pessoais, de contedo varivel atendendo ao momento histrico, ao contexto
social, poltico, econmico e de primordial importncia o contexto tecnolgico. As concluses
finais na atribuio de significados ho de ser concretizadas recorrendo a vrios tipos de
interpretao jurdica: (1) gramatical, lgico e lingustico; (2) teleolgico e axiolgico que
procura explicar os fins e os valores que o tratamento de dados incorpora.
10
PARTE II DISPOSIES GERAIS SOBRE A PROTEO DE DADOS PESSOAIS
CAPTULO II CONTEXTO TECNOLGICO E O DIREITO PROTEO DE

DADOS
2-2. Contexto tecnolgico

As tecnologias de informao e da comunicao so consideradas a maior ameaa proteo
de dados pessoais na medida em que impulsionam de forma elevada o processamento e a
capacidade de armazenamento de dados, a vigilncia omnipresente generalizada e a
distribuio da informao a nvel mundial em tempo real1. A utilizao da internet permite
que as pessoas criem fluxos de informao estticos e dinmicos2 que distncia de um clique
mudam para sempre os hbitos e as transaes econmico-sociais, evoluindo para o contexto
de Inteligncia Ambiental (IAm). A IAm vai alm dos sensores que controlam a qualidade do
ar, do sistema de aquecimento temperatura e da iluminao, detetores de fumos entre outros,
na medida em que permite a interao de qualquer dispositivo eletrnico com os seus
utilizadores porque sensvel s suas caractersticas e comportamentos. As pessoas vivem
com coisas vestveis e outros dispositivos eletrnicos incorporados em objetos que utilizam
diariamente, distribudas no espao e interligados uns aos outros atravs de redes3. Estas
ferramentas tcnicas tm a capacidade de reconhecer caractersticas e interpretar o
comportamento das pessoas, sendo aproveitadas pelos operadores econmicos com o fim de
antecipar as suas preferncias para divulgar e prestar servios personalizados4.
1
V. NISSENBAUM, Helen Privacy in Context, Technology, Policy, and Integrity of Social Life. Stanford,
California : Stanford Law Books, 2010. ISBN 978-0804752374 e PAYTON, Theresa M.; CLAYPOOLE,
Theodore - Privacy in the Age of Big Data: Recognizing Threats, Defending Your Rights, and Protecting Your
Family, Lanham (Maryland) [etc.] : Rowman & Littlefield, 2014. ISBN 978-1-4422-2545-9.
2
LALANA, ngel Daniel Oliver - Cdigo invisible y pequeo gran hermano: Nuevas condiciones de
posibilidad del derecho de proteccin de datos. [Em linha]. In Revista de la Facultad de Derecho de la
Universidad de la Repblica, n. 22, p. 235-262, (jul. 2014). [Consult. 12 out. 2015]. Disponvel em WWW
<http://www.revistafacultadderecho.edu.uy/ojs-2.4.2/index.php/rfd/article/view/210>. ISSN 2301-0665.
3
A computao vestvel refere-se a objetos do dia-a-dia e a vesturio que incluem sensores destinados a
ampliar as suas funcionalidades que se distinguem das coisas do eu quantificado concebidas para serem usadas
em condies especficas com o fim de extrarem informaes relevantes de que so exemplos os objetos que
medem peso, pulso e outros indicadores de sade (V. GT29 - Parecer 8/2014 sobre os recentes
desenvolvimentos na Internet das Coisas [Em linha]. 1471/14/PT, WP 223. Brussels (Belgium), (26/09/2014).
[Consult. 10 Dez. 2014]. Disponvel em WWW <http://ec.europa.eu/justice/data-protection/article-29/documen
tation/opinion-recommendation/files/2014/wp223_pt.pdf>, p. 6).
4
Hoje em dia a domtica assume especial relevncia porque suscetvel de monitorizar o domiclio profissional
ou pessoal com transmisso de dados a fornecedores ou terceiros. O Laboratrio dos Dispositivos Conectados na
Universidade Brigham Young preparou um vdeo com o fim de explicar de como a vida das pessoas pode ser
simplificada atravs da interligao com os objetos que utilizam diariamente, e est disponvel em
https://www.youtube.com/watch?v=NjYTzvAVozo>.
11
2-2.1. Inteligncia Ambiental
A IAm amplia a interao entre seres humanos e a informao digital atravs da utilizao de
trs tipos de tecnologia fundamentais5:
a) Computao ubqua6, que um paradigma tecnolgico centrado na disperso de
componentes de hardware, com o fim integrar num nico dispositivo eletrnico7 a
tecnologia de informao distncia8, em qualquer lugar para apoiar as pessoas na
realizao de suas atividades e hbitos de forma simples, fcil e natural, desaparecendo
amiudadamente a computao tradicional baseada no teclado, no rato e na unidade de
exibio visual.
b) Comunicao ubqua: as redes sem fios so a tecnologia dominante para a comunicao
entre dispositivos que conhecemos como IdC9. Existem vrias tecnologias envolvidas na
IdC, tais como a RFID10, NFC11, M2M12, bem como redes de sensores e atuadores sem
5
V. BREY, Philip - Freedom and Privacy in Ambient Intelligence. In Ethics and Information Technology [Em
linha]. Vol. 7, n. 3 (set. 2005). p. 157-166. Dordrecht [etc.] : Springer Business Media Dordrecht. [Consult. 19
nov. 2015]. Disponvel em WWW <https://link.springer.com/article/10.1007/s10676-006-0005-3> ISSN: 1572-
8439.
6
O conceito da computao ubqua foi utilizado pela primeira vez em 1991 por Mark D. Weiser para expressar a
sua viso do futuro dos computadores ...[the] next generation computing environment in which each person is
continually interacting with hundreds of nearby wirelessly connected computers. The point is to achieve the most
effective kind of technology, that which is essentially invisible to the user I call this future world Ubiquitous
Computing (v. WEISER, Mark D. - The Computer of the 21st Century. Scientific American, Vol. 265, n. 3, (set
1991), p. 78-89 [Em linha]. [Consult. 7 jul. 2015]. Disponvel em WWW <http://web.media.mit.edu/~
anjchang/ti01/weiser-sciam91-ubicomp.pdf>. ISSN 1559-1662. p. 78.
7
A al) b), do art. 3., do DL n. 192/2000, de 18/08 que estabelece o regime de livre circulao, colocao no
mercado e colocao em servio no territrio nacional dos equipamentos de rdio e equipamentos terminais de
telecomunicaes, bem como o regime da respetiva avaliao utiliza a expresso equipamento terminal de
telecomunicaes que define como qualquer produto ou componente que torne possvel a comunicao ou seja
concebido para ser ligado, direta ou indiretamente, seja por que meio for, a interfaces de redes pblicas de
telecomunicaes. O conceito muito amplo e compreende os computadores, tabletes, telefones fixos, mveis e
inteligentes, cartes com chip, equipamento com RFID incorporado, etc.
8
A tendncia a miniaturizao dos componentes de hardware (ao nvel da molcula e com tendncia para o uso
universal (v. AUGUSTO, Juan C. [et al.] - Intelligent Environments: a manifesto. Human-centric Computing
and Information Sciences [Em linha]. Vol. 3, n. 12 (2013) [Consult. 19 nov. 2015]. Disponvel em WWW
<http://www.hcis-journal.com/content/3/1/12> ISSN: 2192-1962.) na ordem inversa ao aumento do software no
que respeita ao processamento e desempenho na gesto da informao com maior confiana. Observa-se,
igualmente, que a utilizao dos dispositivos eletrnicos cada vez menos complexa, de uso fcil e simples de
experimentar, contribuindo para a captao de mais utilizadores.
9
A Internet das Coisas (IdC) um sistema de dispositivos interligados em que objetos, animais ou pessoas
providos com um identificador nico que tm a capacidade de transferir dados atravs de uma rede sem a
necessidade interao humana ou interao humana-computador. Uma coisa, no contexto da IdC pode ser uma
pessoa com um implante que monitoriza o batimento cardaco, um animal com um chip localizador, um
automvel com sensores de velocidade, etc. A primeira coisa de IdC foi uma mquina de Coca-Cola colocada
em Carnegie Melon University no incio de 1980 qual os programadores se ligavam atravs da Internet para
verificar o estado da mquina e determinar a temperatura das bebidas. (Informao disponibilizada no seguinte
endereo eletrnico <http://internetofthingsagenda.techtarget.com/definition/Internet-of-Things-IoT>)
10
A RFID uma tecnologia que permite a identificao e captao de dados de forma automtica mediante a
utilizao de radiofrequncias. Esta tecnologia tem como principal caracterstica permitir associar um
identificador nico e outras informaes remotamente atravs de dispositivos denominados etiquetas RFID (v.
COMISSO EUROPEIA - Comunicao da Comisso ao Parlamento Europeu, ao Conselho, ao Comit
Econmico e Social Europeu e ao Comit das Regies. Identificao por radiofrequncias (RFID) na Europa:
12
fio13, concebidas para registar, tratar, armazenar e transferir dados 14. A combinao entre
o uso simplificado e a sua capacidade de aceder a dados e informaes aumentam a
conectividade dos dispositivos entre si, com maior eficincia para os utilizadores e de
forma cada vez mais impercetvel.
c) Interface inteligente adaptada ao utilizador, isto , o utilizador tem a perceo que os
sistemas que se adaptam automaticamente s suas necessidades e preferncias quando
interage com eles. A interface inteligente caracteriza-se pela criao de perfis e pela
conscincia de contexto15 16
em tempo real devido ao uso generalizado das fontes de
informao17 e software de extrao e sincronizao eficiente de dados, baseado na web
semntica18.
2-2.2. Operadores econmicos

O aumento progressivo da interao do utilizador com os sistemas da IAm alterou o
paradigma da comunicao dos operadores econmicos para alcanar maiores benefcios
econmico-financeiros. A alterao da estratgia de comunicao e respetivos canais de
rumo a um quadro poltico [Em linha]. COM(2007) 96 final. [Consult. 10 Dez. 2015]. Disponvel em WWW
<http://www.umic.pt/images/stories/publicacoes200710/com2007_0096pt01.pdf>).
11
NFC refere-se tecnologia que permite a troca de informaes sem fio e de forma segura entre dispositivos
compatveis mediante uma simples aproximao entre eles, sem que o utilizador tenha de introduzir um login,
clicar em botes ou realizar qualquer ao para estabelecer a ligao.
12
M2M refere-se, geralmente, IdC para uso industrial, comercial e aplicaes comerciais. (v. LOUCHEZ,
Alain - The Internet of things: Machines, businesses, people, everything. In ITU News [Em linha]. N. 6. [2013?]
Genve : International Telecommunication Union, 2013. [Consult. 19 jan. 2016]. Disponvel em WWW
<https://itunews.itu.int/En/4291-The-Internet-of-things-Machines-businesses-people-everything-.note.aspx> e
ORGANIZAO PARA A COOPERAO E DESENVOLVIMENTO ECONMICO - Machine-to-machine
communications: connecting billions of devices. [Em linha]. DSTI/ICCP/CISP(2011)4/FINAL, OECD Digital
Economy Papers, n. 192, OECD Publishing (2012). [Consult. 12 Mar. 2016]. Disponvel em WWW
<http://www.oecd-library.org/docserver/download/5k9gsh2gp043.pdf?expires=1460899221&id=id&accname=
guest&checksum=EB86294E2B573CC92443177E517D66AB>).
13
Atuadores sem fio convertem informaes ou energia proveniente de sensores em ao (medem caractersticas
do nosso ambiente fsico, como a presso, calor e humidade) e transmitem-nas para outro mecanismo ou sistema
sem interveno humana.
14
A IdC implica geralmente o tratamento de dados que dizem respeito a pessoas singulares identificadas ou
identificveis qualificando-se, por conseguinte, como dados pessoais na aceo do art. 2., da Diretiva Proteo
de Dados da UE (GT29, cit. 3, p. 4)
15
A tecnologia, suportada por um conjunto de algoritmos inteligentes capazes de interpretar o comportamento
dos utilizadores registado em sensores, tem a capacidade de criar perfis bem como situ-los no contexto
geogrfico e em consequncia reconhec-lo para prestar a informao que eventualmente seja necessria (por
exemplo, um utilizador de nacionalidade portuguesa que tem um nmero elevado de transaes realizadas
atravs do seu carto de crdito, num restaurante italiano, quando viaja para o Reino Unido, pode receber um
alerta no dispositivo com os restaurantes italianos mais prximos do local onde se encontra). O registo da
atividade dos utilizadores feito no passado recuperado para a criao de perfis num contexto futuro.
interessante notar a diferena entre realidade virtual onde as pessoas entram no mundo do computador e a
computao ubqua em que o computador que entra no mundo das pessoas (v. WEISER, cit. 6).
16
V. AUGUSTO, cit. 8.
17
Por exemplo, os sensores baseados na tecnologia HCI e os sistemas de CCTV, GPS, Bluetooth e RFID.
18
Para maiores desenvolvimentos sobre a web semntica, sugere-se a consulta com extensa informao do
seguinte endereo eletrnico: <http://www.w3.org/Consortium/>
13
comunicao dos operadores econmicos foca-se na obteno da confiana do utilizador com
o objetivo direcionar o seu estilo de vida atravs do envolvimento e da criao de
experincias, tais como formas de criar presena em linha (ou no) e respetiva ligao
afetuosa por meio de mensagens personalizadas adaptadas ou mesmo antecipatrias s suas
necessidades, na hora certa e no lugar certo. A confiana, do utilizador, alcanada com
recurso a tcnicas de persuaso baseadas no conhecimento do seu comportamento e hbitos
em linha e reconhecimento do seu contexto situacional.
A atividade econmica pode conduzir a abusos na recolha de informao pessoal dos
clientes19 e ameaar a privacidade e a proteo dos seus dados. O cliente, cujas transaes
19
O conceito de consumidor e cliente so utilizados com o mesmo significado para efeitos do presente texto. O
conceito de consumidor utiliza-se para designar as pessoas que merecem ser protegidas por uma lei especial
relacionada com a matria do consumo. Contudo, nem todos os textos dos vrios diplomas tm o mesmo
significado ou proteo. O n. 1, do art. 2, da L n. 24/96, de 31/07, que estabelece o regime legal aplicvel
defesa dos consumidores, define como consumidor todo aquele a quem sejam fornecidos bens, prestados
servios ou transmitidos quaisquer direitos, destinados a uso no profissional, por pessoa que exera com carter
profissional uma atividade econmica que vise a obteno de benefcios. A al) c) do art. 3, do DL n. 24/2014,
de 14/02, que transpe a Diretiva n. 2011/83/UE do Parlamento Europeu e do Conselho, de 25/10/2011, relativa
aos direitos dos consumidores, que define consumidor como a pessoa singular que atue com fins que no se
integrem no mbito da sua atividade comercial, industrial, artesanal ou profissional e idntico conceito aparece
na al) a) do art. 3, do DL n. 57/2008, de 26/03, que estabelece o regime aplicvel s prticas comerciais
desleais das empresas nas relaes com os consumidores, ocorridas antes, durante ou aps uma transao
comercial relativa a um bem ou servio. No mbito do direito da EU, tambm, no existe um conceito nico de
consumidor, respondendo a necessidades setoriais em detrimento da coordenao e sistematizao, por exemplo,
o art. 2, da Diretiva 2011/83/UE, de 25/10, que altera a Diretiva 93/13/CEE e a Diretiva 1999/44/CE e que
revoga a Diretiva 85/577/CEE e a Diretiva 97/7/CE, relativas aos direitos dos consumidores, define consumidor
como qualquer pessoa singular que, nos contratos abrangidos pela presente diretiva, atue com fins que no se
incluam no mbito da sua atividade comercial, industrial, artesanal ou profissional, ainda que no Considerando
17 refira que a definio de consumidor dever abranger as pessoas singulares que atuem fora do mbito da sua
atividade comercial, industrial, artesanal ou profissional. No entanto, no caso dos contratos com dupla finalidade,
se o contrato for celebrado para fins relacionados em parte com a atividade comercial da pessoa e em parte
margem dessa atividade e se o objetivo da atividade for to limitado que no seja predominante no contexto
global do contrato, essa pessoa dever ser igualmente considerada consumidor. Parece adequado que no se
v, [] por que razo no deva merecer proteo como consumidor quem adquira bens ou servios para uso
profissional (v. g., porque distinguir quem compra um romance de quem compra um livro cientfico ou por que
distinguir quem faz uma viagem turstica de quem faz uma viagem por motivos profissionais). De resto, a L n.
23/96, de 26/07 (com as alteraes introduzidas pelas Leis n.s 12 e 24/2008, de 26/02 e 02/06, respetivamente),
ao definir utente de servios pblicos essenciais no faz tal distino e, por certo, utente ainda um consumidor
(v. MIRANDA, Jorge - Artigo 60 (Direitos dos consumidores) In MIRANDA, Jorge; MEDEIROS, Rui, coord. -
Constituio Portuguesa Anotada, Tomo I. 2. ed., Coimbra : Wolters Kluwer, 2010. ISBN 978-972-32-1822-0.
p. 1172). O conceito de consumidor tem sido objeto de interpretao jurisprudencial em diferentes reas do
direito nacional e da EU em termos amplos e apenas para um setor em concreto, com tendncia a excluir as
pessoas coletivas. A ttulo comparativo, o art. 2, do Cdigo Brasileiro de Defesa do Consumidor (L n. 8.078,
de 11/09/1990) define consumidor como toda a pessoa fsica ou jurdica que adquire ou utiliza produto ou
servio como destinatrio final com fundamento exclusivamente de carter econmico (v. GRINOVER, Ada
Pellegrini [et al.] - Cdigo Brasileiro de Defesa do Consumidor, Comentado pelos autores do Anteprojeto, 6 ed.,
Rio de Janeiro, Forense Universitria, 2000. ISBN 87-218-02-49-8) e em Espanha, o art. 1, do RD Legislativo
1/2007, de 16/11, por el que se aprueba el texto refundido de la Ley General para la Defensa de los
Consumidores y Usuarios y otras leyes complementarias, son consumidores o usuarios las personas fsicas que
acten con un propsito ajeno a su actividad comercial, empresarial, oficio o profesin. Son tambin
consumidores a efectos de esta norma las personas jurdicas y las entidades sin personalidad jurdica que
acten sin nimo de lucro en un mbito ajeno a una actividad comercial o empresarial. (POMBO, Eugenio
Llamas, coord. - Ley General para la Defensa de los Consumidores y Usurios, Comentarios y Jurisprudencia
14
(gratuitas ou onerosas) so realizadas em linha, tem de fornecer informao pessoal atravs do
preenchimento de formulrios para aceder ao produto ou servio pretendido. A aceitao da
poltica de privacidade, com o simples assinalar de uma cruz na quadrcula disponvel, na
maioria das vezes feita de forma automtica sem leitura prvia pelo cliente20, para satisfao
de necessidades instantneas21. O cidado mdio utilizador da internet no est prevenido para
a salvaguarda dos seus dados pessoais22 desconhecendo at o destino e uso dos seus dados
pessoais23 e quando constata que a esfera da sua privacidade foi invadida, principalmente pela
receo de correio no solicitado e com tendncia a aumentar, assume uma atitude passiva e
resignada24.
O crescimento do comrcio em linha, caracterizado pela rapidez, facilidade e baixo custo,
beneficia as empresas que so encorajadas a registar a interao com os clientes devido aos
custos reduzidos de processamento da informao recolhida e armazenada. O preo da
diminuio da proteo de dados pessoais o preo que os clientes pagam pela convenincia
de fazerem transaes em linha25.
A proteo de dados pessoais uma das questes fundamentais da era digital tendo em conta
a relevncia jurdica da natureza invasiva, omnipresente e invisvel das tecnologias da IAm
de la Ley veinte aos despus. Las Rozas (Madrid) : La Ley-Actualidad, 2005. ISBN 84-9725-603-4).
20
Em junho de 2014, foi realizada uma pesquisa organizada pelo Instituto de Pesquisa de Segurana Ciberntica,
com sede em Londres e apoiada pela EUROPOL, com o objetivo de destacar o desconhecimento pblico sobre
as questes de segurana graves concomitante com o uso de Wi-Fi. O contrato, que descrevia os termos e
condies, inclua a clusula de Herodes. Em pouco tempo, seis londrinos abdicaram dos seus primognitos
pelo perodo da eternidade para terem acesso a uma rede Wi-Fi por algumas horas, com um simples clique na
quadrcula Li e aceito, e sem ter tido conhecimento efetivo do seu contedo. A rede teve de ser desativada para
evitar que as trinta e trs pessoas, em espera, acedessem rede, ainda que a clusula fosse nula por ser contrria
a todos os princpios de direito e justia no que respeita venda de crianas em troca de servios gratuitos (v.
FOX-BREWSTER, Tom - Londoners give up eldest children in public Wi-Fi security horror show [Em linha].
The Guardian, (29/09/2014) [Consult. 12 de out. 2015]. Disponvel em WWW <https://www.theguardian.com/
technology/2014/sep/29/londoners-wi-fi-security-herod-clause>).
21
ARAYA, Agustin A. - Questioning Ubiquitous Computing. In HWANG, C. Jinshong; HWANG, Betty W.
(Coord.) - Proceedings of the 1995 ACM 23rd annual conference on Computer science. [Em linha]. New York :
ACM, 1995 [Consult. 22 nov. 2015]. Disponvel em WWW <http://www.cc.gatech.edu/~keith/classes/
ubicomplexity/pdfs/crit/araya-questio ning-ubicomp.pdf >. ISBN:0-89791-737-5. p.230-237
22
COSTA, Francisco Bruto da, BRAVO, Rogrio Spam e Mail-Bomb subsdios para uma perspectiva penal.
Lisboa : Quid Juris, 2005. ISBN 972-724-239-1. p.22
23
Aconselha-se a leitura das polticas de privacidade dos servios das redes sociais (Facebook, Linkedin, ...) para
compreenso da falta de controlo do fluxo de dados dos perfis pelos prprios utilizadores no que respeita a
visualizao de anncios publicitrios do interesse de amigos e que supostamente, tambm, estariam
interessados. Parece haver um certo entorpecimento por parte das pessoas quanto ao reconhecimento de que
existem empresas capazes de os conhecer atravs da utilizao das suas ferramentas tecnolgicas ainda que
independentes umas das outras. A empresa Google o caso que melhor ilustra o anteriormente referido, na
medida em que tem um motor de pesquisa, servios de correio eletrnico e localizao geogrfica, servios de
publicidade e disponibilidade de notcias em linha, que recorrendo a tecnologias de hiperligao invisvel,
recolhe e retm informaes de milhes de utilizadores.
24
COSTA e BRAVO, cit. 22, p. 29.
25
GUPTA, Jatinder N. D., SHARMA, Sushil K. - Cyber Shopping and Privacy. In FAZLOLLAHI, Bijan coord.
- Strategies for eCommerce Success. Hershey, Pennsylvania : IRM Press, 2002. ISBN 1-931777-08-7. Cap. 1, p.
1-16.
15
utilizadas pelos operadores econmicos para recolha e tratamento de dados pessoais26.
A proposta de produtos e servios selecionados pelas organizaes dirigida a pessoas que teve
o cuidado de identificar e analisar o seu comportamento em linha diminui a privacidade e a
liberdade de escolha. Embora seja uma conditio sine qua non para a realizao da viso da
IAm27, a construo de perfis28 dos utilizadores em linha, baseados em modelos de minerao
de dados29 e algoritmos30, pode dar origem a significados que as pessoas no tm de si
prprias ou mesmo diferentes da sua identidade real e fsica31 32
. A criao de perfis
individuais ou coletivos pode dar origem a riscos de discriminao33 e estigmatizao, direta
ou indiretamente, do consumidor de produtos ou servios34, em razo, designadamente, do
26
Como observa LANGHEINRICH: With a densely populated world of smart and intelligent but invisible
communication and computation devices, no single part of our lives will per default be able to seclude itself from
digitization. Everything we say, do, or even feel, could be digitized, stored, and retrieved anytime later (v.
LANGHEINRICH, Marc - Privacy by Design - Principles of Privacy-Aware Ubiquitous Systems. In ABOWD,
Gregory D., BRUMITT, Barry, SHAFER, Steven, coord. In Ubicomp 2001: Ubiquitous Computing - Lecture
Notes In Computer Science, Proceedings of the 3rd international conference on Ubiquitous Computing, Atlanta,
Georgia, USA [Em linha]. Berlim [etc.]: Springer-Verlag Berlin Heidelberg New York, 2001. (Lecture Notes in
Computer Science, Vol. 2201, p. 273-291). ISBN 978-3-540-45427-4, p 280.
27
V. por todos a obra notvel de HILDEBRANDT, Mireille, GUTWIRTH, Serge coord. Profiling the
European Citizen Cross-Disciplinary Perspectives. [S.l.] : Springer Science + Business Media B.V. 2008, ISBN
978-1-4020-6914-7.
28
Um perfil, segundo Hildebrandt, resulta de um processo de descoberta automatizado de padres dos dados
armazenados em bases de dados, envolvendo diferentes tecnologias (RFID, biometria, sensores, limpeza de
dados, agregao de dados e minerao de dados, entre outras) que quando interpretados podem ser usados para
identificar ou representar um ser humano ou sujeito no-humano (individual ou em grupo). (HILDEBRANDT,
GUTWIRTH, cit. 27.). Um operador econmico pode, assim, construir uma base de dados de clientes organizada
por hbitos de consumo comercial, estilo de vida, preferncia em determinado contexto.
29
A minerao de dados refere-se ao processo de anlise de dados de uma base de dados, com recurso a tcnicas
de inteligncia artificial, redes neurais e ferramentas estatsticas avanadas (tais como anlise de cluster) para
revelar tendncias, padres e estabelecer relaes. O processo tem como objetivo a avaliao do risco e
oportunidade para o exerccio da atividade econmica fundamentada nos comportamentos passados de um
consumidor ou grupo de consumidores.
30
Um algoritmo constitudo por uma srie de funes que processam dados com a finalidade de extrair
informaes dos dados. (v. STEELE, Brian; CHANDLER, Jonh; REDDY, Swarna - Algorithms for Data
Science [Em linha]. 1. ed., Cham : Springer International Publishing Switzerland, 2016. ISBN 978-3-319-
45797-0. [Consult. 1 jan. 2017]. Disponvel em WWW: < http://www.springer.com/in/ book/9783319457956> p.
11.
31
HILDEBRANDT, GUTWIRTH, cit. 27.
32
O tratamento de dados pessoais com recurso a processos automatizados , por isso, uma atividade de risco. O
risco consubstancia-se, essencialmente, na utilizao indevida de dados pessoais ou com erros de representao
sobre o seu titular, pelo que so necessrios mecanismos de controlo sobre os prprios dados pessoais (v.
HILDEBRANDT, GUTWIRTH, cit. 27.).
33
O status profissional j foi discutido no TEDH embora no tivesse sido encontrada nenhuma violao ao art.
14, da CEDH (Ac. Van Der Mussele v. Belgium, do TEDH n. 8.919/80, de 23/11/1983).
34
Existem numerosas formas de classificao de sentimentos dos internautas com recurso a tcnicas baseadas
em PNL, para alm do reconhecimento facial. A captura de dados (utilizando web crawlers e interfaces de
aplicativos especficos em canais como blogs, pesquisa de mercado, relatrios, e-mails e redes sociais) sobre um
documento disponvel na internet realizada para categorizar sentimentos positivos, negativos ou neutros sobre
produtos ou servios (V. KRISHNA, P. Radha - Big Data Search and Mining. In MOHANTY, Hrushikesha,
CHENTHATI, Deepak, BHUYAN, Prachet, coord. Big Data A Primer [Em linha]. New Delhi [etc.]: Springer
ndia, 2015. (Studies in Big Data, Vol. XI) [Consult. 12 ago. 2016]. Disponvel em WWW <http://www.
springer.com/gp/book/9788132224938> ISBN 978-81-322-2494-5. p 93-120.
16
sexo, raa, cor, lngua, religio, poltica, origem nacional ou social 35, a pertena a uma
minoria nacional, riqueza, nascimento, entre outros. Tem merecido preocupao o fenmeno
das listas negras que incorporam registos de pessoas de determinadas bases de dados
relacionada com determinados factos reprovveis socialmente e que lhe so desfavorveis 36.
Atualmente assiste-se ao aumento de criao de ficheiros37 com dados geridos por instituies
de crdito e financeiras resultantes do incumprimento de um contrato de crdito ou da
resciso da conveno do uso de ttulos de crditos (sobretudo do cheque) com vista
preveno do sobre-endividamento do consumidor e clculo do risco do credor e pela
Administrao Tributria com o fim de sancionar o devedor de tributos no s pela
informao que tornada pblica e obter reprovao tica e social, mas, tambm, a inibio
de contratar com pessoas coletivas de natureza pblica ou de utilidade pblica. Apesar destes
ficheiros representarem um instrumento de desenvolvimento econmico indispensvel que
se procure o equilbrio entre o direito determinao informativa do cidado/consumidor e os
legtimos interesses comerciais das empresas38 e da prossecuo do bem pblico e dever dos
cidados em geral.
A IAm apresenta desafios sem precedentes39 que requerem desenvolvimentos tecnolgicos e
instrumentos reguladores que afiancem a segurana dos sistemas informticos e a resoluo
dos problemas de acesso, recolha, reteno, autorizao e consentimento para o tratamento
dos dados pessoais, sem prejudicar os interesses dos operadores econmicos na sociedade de
informao40.
35
Discusso sobre tratamento de forma diferente no por ser diferente mas por causa dessa caracterstica
consubstanciada na origem social (Ac. Olsson v. Sweden, do TEDH n. 10.465/83, de 24/03/1989).
36
V. GT29 - Documento de trabalho sobre listas negras. [Em linha]. 11118/02/PT/final, WP 65. Brussels
(Belgium), (03/10/2002). [Consult. 16 Fev. 2014]. Disponvel em WWW <http://ec.europa.eu/justice/policies/
privacy/docs/wpdocs/2002/wp65_pt.pdf>
37
Trata-se do fenmeno cada vez mais comum das chamadas listas negras difceis de conceptualizar devido
aos critrios especficos de cada tipo de lista negra em causa. As listas negras podem produzir efeitos adversos
e prejudiciais para as pessoas nelas includas e que podem ser discriminatrios contra um grupo de pessoas ao
impedir-lhes o acesso a um servio especfico ou prejudicar a sua reputao (v. GT29 cit. 36). As listas negras
com maior relevncia esto relacionadas com os ficheiros de devedores e servios de informao de
solvabilidade e crdito, os ficheiros relativos a infraes ou condenaes penais e os ficheiros de deteo de
fraudes, sobretudo no setor da atividade seguradora, que esto sujeitas a regimes legais com as restries que tm
sido consideradas oportunas. Existem outro tipo de listas negras relacionadas com a atividade laboral,
nomeadamente com dados desfavorveis sobre empregados ou candidatos a emprego, ou relativos a questes de
sade, comportamento social ou poltico ou negligncia profissional, que so proibidas na maior parte dos
Estados-Membros que probem o tratamento de dados sensveis sem o consentimento explcito do seu titular,
conforme previsto nos art.s 8, 13 e 15, da Diretiva 95/46/CE.
38
CASTRO, Catarina Sarmento e - Direito da Informtica, Privacidade e Dados Pessoais. 1 ed, Coimbra :
Almedina, 2005. ISBN 978-97-2402-424-0. p. 65 e seguintes.
39
A preocupao com a proteo de dados tem sido sujeita a ampla reflexo na literatura, com particular
relevncia dos pareceres do Grupo de Trabalho do Artigo 29 e a os vrios relatrios de pesquisa sobre tica,
legal e social que levantam questes sobre o IAm.
40
Segundo ASCENSO, Jos de Oliveira - Sociedade de Informao. in Direito da Sociedade da Informao,
17
2-2.3. Razo para proteger os dados pessoais
Seguindo o pensamento de Hoven existem essencialmente quatro tipos de razes morais e
ticas para a proteo dos dados pessoais e respetivo controlo: a preveno do dano
relacionada com o uso indevido da informao pessoal por terceiro pode prejudicar o seu
titular; a desigualdade informacional, na medida em que, os dados pessoais passaram a ser um
ativo dos operadores econmicos e os seus titulares no tem os mesmos meios de verificar de
como so tratados ou transferidos; a discriminao sempre que os dados pessoais cedidos num
determinado contexto (por exemplo, cuidados de sade) pode mudar o seu significado quando
utilizados noutro contexto (por exemplo, para propostas comerciais) e pode levar
discriminao ou situaes desfavorveis para o seu titular; a autonomia porque a falta de
privacidade pode expor os titulares a determinadas foras externas que influenciam e limitam
as suas escolhas.
2-2.4. O direito proteo de dados

Nos ltimos anos, a demanda pelos dados pessoais, o nmero crescente de fontes de recolha
de dados, a complexidade das ferramentas de tratamento e anlise de dados desequilibrou a
balana do controlo da informao pessoal a favor das organizaes dando origem discusso
sobre o mbito do direito proteo de dados pessoais e as crescentes medidas normativas.
Num mundo em que as pessoas so cada vez mais transparentes e o mundo virtual cada vez
mais opaco41 a UE reconhece o direito proteo de dados pessoais como um direito
fundamental, em constante adaptao evoluo tecnolgica e s alteraes poltico-sociais42,
Coimbra : Coimbra Editora, 1999. ISBN:972-32-0916-0. Vol. I, p. 163-184, p. 167 Sociedade de Informao
no um conceito tcnico: um slogan. Melhor se falaria at em sociedade da comunicao, uma vez que o que
se pretende impulsionar a comunicao, e s num sentido muito lato se pode qualificar toda a mensagem como
informao.
41
POULLET, Yves - Data protection legislation: What is at stake for our society and democracy? In Computer
Law and Security Review [Em linha]. Vol. 25, n. 3, (2009), p. 211226. Amsterdam : Elsevier, 2009. [Consult.
11 jan. 2016]. Disponvel em WWW <http://www.sciencedirect.com/science/article/pii/S0267364909000612>
42
O exemplo dos atentados terroristas de 11/09/ 2011, em Nova Iorque, de 11/03/2004, em Madrid, 07/07/2005
em Londres, de 13/11/ 2015 em Paris, do massacre de Charlie Hebdo e das guerras no Afeganisto e no Iraque,
para alm dos esforos de preveno e represso do terrorismo internacional, tem impacto direto no direito
proteo dos dados pessoais. O governo dos EUA liderado por George Bush, aps o 11/09 desencadeou polticas
de vigilncia e de minerao de dados pessoais com o objetivo de interpretar o comportamento, eventualmente
suspeito, dos seus titulares sem autorizao judicial com o fundamento de que se no tivessem nada a esconder
no teriam nada a temer nem a sua privacidade e informao pessoais seriam afetadas. O argumento refletia o
sentimento de grande parte da populao culminando com o Patriotic Act. No Reino Unido iniciou-se a
instalao de milhares CCTV nas cidades (cf. SOLOVE, Daniel J. - A Brief History of Information Privacy Law
[Em linha]. In Proskauer On Privacy, Pli (07 feb. 2017). GWU Law School Public Law Research Paper n. 215
[Consult. 14 Fev. 2017]. Disponvel em WWW: <http://scholarship.law.gwu.edu/cgi/viewcontent.cgi?
article=2076&context=faculty_publications>). Os cidados aceitam o constrangimento dos seus movimentos em
troca de maior segurana. Contudo, e conforme leitura do Relatrio do Relator Especial sobre a promoo e
proteo dos direitos humanos e liberdades fundamentais na luta contra o terrorismo, Martin Scheinin, as
18
com a assinatura do Tratado de Lisboa.
O fluxo da informao43 e as novas formas de interao social44 criam ativos de informao
pessoal muito valiosos, para as organizaes com ou sem fins lucrativos pelo que as normas
jurdicas de proteo tero de ser exequveis num mundo digital onde difcil rastrear a
violao dos direitos45 para alm de criarem mecanismos de controlo, nomeadamente, atravs
de entidades de superviso. A UE, para prosseguir a sua misso, protege as pessoas singulares
em relao ao tratamento dos seus dados pessoais harmonizando as normas de acordo com as
exigncias do comrcio eletrnico num mercado que se quer cada vez mais unificado.
O debate atual em torno do equilbrio relativo proteo das pessoas singulares no que diz
respeito ao tratamento de dados pessoais e livre circulao dos dados centra-se nos pilares
medidas que foram introduzidas de modo excecional alastraram-se a outros pases e regies do mundo. A
limitao das garantias dos direitos e impacto negativo na proteo do direito privacidade e aos dados pessoais
levaram o Relator Especial a sugerir as melhores prticas internacionais atravs de um rigoroso conjunto de
garantias legais e meios para considerar a avaliao da necessidade, proporcionalidade, razoabilidade das
medidas de segurana contra o terrorismo (v. ORGANIZAO DAS NAES UNIDAS - Report of the
Special Rapporteur on the promotion and protection of human rights and fundamental freedoms while
countering terrorism, Martin Scheinin [Em linha]. A/HRC/13/37, (28/12/2009) [Consult. 9 out. 2015]
Disponvel em WWW <http://www2. ohchr.org/english/bodies/hrcouncil/docs/13session/A-HRC-13-37.pdf.>, e
Security Council resolution 1368 (2001) Threats to international peace and security caused by terrorist acts
[Em linha]. S/RES/1368, (12/09/2001) [Consult. 9 out. 2015]. Disponvel em WWW <http://www.refworld.
org/docid/3c4e94557.html>, e CdE, Guidelines of the Committee of Ministers to Members States on Human
Rights and the Fight Against Terrorism adopted by the Committee of Ministers at its 804th meeting. [Em linha].
(11/07/2002 [Consult. 12 mar. 2015]. Disponvel em WWW <http://www.coe.int/t/dlapil/cahdi/Source/
Docs2002/H_2002_ 4E.pdf>),
43
A internet uma fonte de dados abertos (v. GT29 - Parecer 3/99 relativo a Informao do sector pblico e
proteco de dados pessoais Contribuio para a consulta iniciada com o Livro Verde da Comisso Europeia
intitulado "Informao do sector pblico: um recurso fundamental para a Europa" COM(1998) 585. [Em linha].
WP 20. Brussels (Belgium), (03/05/1999). [Consult. 14 fev. 2015]. Disponvel em WWW<http://ec.
europa.eu/justice/data-protection/article-29/documentation/opinion-ecommendation/files/1999/ wp20_en.pdf > e
tambm, Parecer 5/2000 relativo ao uso de listas telefnicas pblicas para servios de pesquisa invertida ou
multicritrio (Listas invertidas) [Em linha]. 5058/00/ PT/FINAL, WP 33. Brussels (Belgium), (13/07/2000).
[Consult. 14 fev. 2015]. Disponvel em WWW <http: //ec.europa.eu/justice/data-protection/article-29/
documentation/opinion-recommendation/ files/2000/wp33_en.pdf>) e estando ao alcance de todos podem ser
recolhidos sem qualquer interferncia (Diretiva 95/46/CE e LPDP) e serem realizadas todo o tipo de operaes
de tratamento de dados pessoais de um modo invisvel para a pessoa em causa. Por outras palavras, o utilizador
da Internet no tem conscincia de que os seus dados pessoais foram recolhidos e tratados e de que podem ser
usados com objetivos que lhe so desconhecidos. No tem conhecimento desse facto, nem a liberdade de tomar
decises a esse respeito. (v. GT29 - Recomendao 1/99 sobre o tratamento invisvel e automatizado de dados
pessoais na Internet realizado por software e hardware. [Em linha]. 5093/98/PT/final WP 17. Brussels
(Belgium), (23/02/1999). [Consult. 14 fev. 2015]. Disponvel em WWW <http://ec. europa.eu/justice/data-
protection/article-29/documentation/opinion-recommendation/files /1999/wp17_en.pdf> p. 4.
44
O IAm altera o modo de vida das pessoas. A necessidade de responder s exigncias da vida pessoal e
profissional num mundo em constante mudana exige flexibilidade nas rotinas dirias e a residncia de cada um
convocam a presena dos seus proprietrios. As residncias tornam-se inteligentes, interativas e passam a ser o
centro da vida dos seus proprietrios. A residncia pessoal passa a suportar diversas funes ao nvel da vida
pessoal, da segurana, da independncia, da aprendizagem e do trabalho; e passa igualmente a ser um novo
espao onde se facilita a comunicao e socializao para o exterior atravs da internet, como por exemplo
viajar, praticar desporto, etc. e em ambiente controlado pela tecnologia (v. FRIEDEWALD, Michael, [et al.] -
Perspectives of ambient intelligence in the home environment [Em linha]. In Telematics and Informatics, Vol.
22, n. 3 (aug. 2005) p. 221-238. [S.l.] : Elsevier B.V. 2005. [Consult. 18 de jun. 2016]. Disponvel em WWW
<http://www. sciencedirect.com/science/article/pii/S0736585304000590> ISSN: 0736-5853.).
45
LANGHEINRICH, cit. 26.
19
tradicionais da chamada quarta gerao46 da proteo de dados que do ponto de vista dos
consumidores est relacionado, sobretudo, com o princpio do tratamento lcito, o princpio da
limitao da finalidade e o consentimento livre, especfico e informado47.
2-2.5. Gnese do direito proteo de dados

A origem do direito proteo de dados est intimamente relacionada com a necessidade de
funcionalizao do direito privacidade48. O conceito de privacidade49, tal como o
entendemos hoje em dia, tem antecedentes histricos na desagregao da classe burguesa da
sociedade feudal e estruturou-se para o reconhecimento de um direito propriedade solitrio e
obstaculizar ingerncias alheias na esfera ntima50.
46
A expresso gerao para demonstrar a evoluo histrica dos direitos fundamentais foi utilizada pela
primeira vez por Karel Vazak, em 1979 (v. VAZAK, Karel As Dimenses Internacionais dos Direitos do
Homem manual destinado ao ensino dos direitos do homem nas universidades. Lisboa : Editora Portuguesa de
Livros Tcnicos e Cientficos / UNESCO, 1983.) e mais tarde adotada e consagrada por Noberto Bobbio, em
2004 (v. BOBBIO, Noberto - A Era dos Direitos [Em linha]. 7. Reimp. Trad. Carlos Nelson Coutinho, Rio de
Janeiro: Elsevier, 2004. Ttulo original L'et dei Diritti. [Consult. 20 ago. 2015]. Disponvel em WWW <https://
direitoufma2010.files.wordpress.com/2010/05 /norberto-bobbio-a-era-dos-direitos.pdf> ISBN 10: 85-352-1561-
1) No que respeita ao direito fundamental proteo de dados, Viktor Mayer-Scnberger classificou a sua
evoluo em quatro geraes: a primeira gerao, refletia o controlo da informao recolhida pelas
administraes pblicas e a sua reutilizao atravs de mecanismos de concesso de autorizaes; a segunda
gerao, a lei deixa de considerar apenas a evoluo tecnolgica para comear a criar mecanismos para proteger
os cidados do uso indevido e abusivo por terceiros dos seus dados pessoais, tendo como expoente mximo
exemplificativo a lei francesa de proteo de dados pessoais (Informatique et Libertes) de 1978; a terceira
gerao, preocupou-se em garantir a autodeterminao informativa do titular no processo de tratamento e
utilizao dos seus dados pessoais; e a quarta gerao, no desenvolvimento de instrumentos que elevem o padro
coletivo de proteo, consoante o tipo de dados pessoais e respetivo contexto, hoje exemplificado pelas Diretivas
95/46/CE e 2000/58/CE (MANTELERO, Alessandro - The Future of Consumer Data Protection in the E.U.
Rethinking the Notice and Consent Paradigm in the New Era of Predictive Analytics. In Computer Law and
Security Review [Em linha]. Vol. 30, n. 6, (dez. 2014), p. 643-660. Amsterdam : Elsevier, 2014. [Consult. 11
jan. 2016]. Disponvel em WWW <http://www.sciencedirect. com/science/article/pii/S026736491400154X>).
47
MANTELERO, cit. 46. p. 645.
48
DONEDA, Danilo C. Maganhoto - Da privacidade proteo de dados pessoais. Rio de Janeiro : Renovar,
2006. ISBN 85-7147-562-8.
49
O direito reserva da intimidade e familiar na nomenclatura constitucional (art. 26, n. 1 da CRP) ou o
direito reserva sobre a intimidade da vida privada (epgrafe do art. 80, do CC) um valor relativamente
recente, caracterizadamente urbano, e porventura at elitista (conforme LOPES, Joaquim Seabra - A Proteo
da Privacidade e dos Dados Pessoais na Sociedade da Informao: Tendncias e Desafios numa Sociedade em
Transio. in SILVA, Germano Marques da, coord. - Estudos dedicados ao Prof. Doutor Mrio Jlio de Almeida
Costa. Lisboa : Universidade Catlica, 2002. ISBN 978-972-5400-44-9, p. 780). Parece que a pobreza e a
privacidade esto intimamente e inversamente relacionadas (v. BENDICH, Albert M. - Privacy, Poverty, and the
Constitution [Em linha]. In California Law Review, Vol. n. 54, n. 2, (1966). [Consult. 12 ago. 2016].
Disponvel em WWW <http:// scholarship.law.berkeley. edu/californialawreview/vol48/iss3/1/>).
50
V. RODOT, Stefano A vida na sociedade de vigilncia, A privacidade hoje. Trad. Danilo Doneda e
Luciana Cabral Doneda, Rio de Janeiro : Renovar, 2008. ISBN 978857147-688-2. Existem inmeras teorias
doutrinrias e jurisprudenciais para graduar e para delimitar os domnios da vida que se encontram abrangidos
por uma reserva de intimidade. O tribunal constitucional tem recorrido teoria das trs esferas, com origem na
doutrina alem, para decidir sobre as questes relativas ao direito reserva da vida privada e familiar. A teoria
distingue: a esfera ntima que corresponde ao ncleo absolutamente protegido abrangendo informao que no
deve estar disponveis para terceiros; a esfera privada que pode variar de pessoa para pessoa admitindo critrios
de proporcionalidade; e a esfera social cujos comportamento so suscetveis de serem conhecidos pelo pblico.
(v. MEDEIROS, Rui; CORTS, Antnio Artigo 26 (Outros direitos pessoais) In MIRANDA, Jorge;
20
O direito privacidade, eminentemente patrimonial51 e radicado no direito privado52, foi
defendido pela primeira vez por Warren e Brandeis num artigo publicado na HLR intitulado
The righ to privacy53 que expressam no right to be alone the most comprehensive of
rights, and the most valued by a free people54, contra a difuso de notcias pela imprensa.
Contudo, seria necessrio esperar pela dcada dos anos sessenta do sculo XX para que os
estudiosos do direito da common law definissem os danos55 e as ameaas de natureza
tecnolgica56.
A consagrao do direito ao respeito pela vida privada, aps ampla discusso internacional e
tratamento ilcito da informao que deram origem a atos brbaros57 e perseguies58, em
todo o mundo surge no art. 1259, da DUDH6061, cujo teor foi reiterado no art. 862, da
CEDH63 e no art. 17.64, do PIDCP 65.
MEDEIROS, Rui, coord. - Constituio Portuguesa Anotada, Tomo I. 2. ed., Coimbra : Wolters Kluwer
Portugal, 2010. ISBN 978-972-32-1822-0. p. 603-632)
51
DONEDA, cit. 48.
52
PINHEIRO, Alexandre Sousa Privacy e Proteo de dados pessoais: a construo dogmtica do direito
identidade informacional. Lisboa : Associao Acadmica da Faculdade de Direito de Lisboa, 2015. 978-612-
0002-60-5
53
CASTRO, cit. 38, p. 17.
54
O direito a estar s, ou melhor, o direito a ser-se deixado em paz (LOPES, cit 49, p. 782). O direito
privacidade conceptualizado por Warren e Brandeis s veio a ser reconhecido numa ao de responsabilidade
civil pelo Supremo Tribunal da Gergia conforme deciso no processo Pavesich V. New England Life Insurance
Co. Et Al., em 1905 (v. PROSSER, William J. Privacy [Em linha]. In California Law Review, Vol. n. 48, n.
3, (1960). [Consult. 12 Mar. 2016]. Disponvel em WWW <http://scholarship.law.berkeley.edu/california
lawreview/vol48/iss3/1/>.
55
A conceptualizao dos danos e seus aspetos valorativos (v. PROSSER, cit. 54).
56
A conceptualizao do direito privacidade com base na liberdade de escolha sobre as aes que seriam
expostas para terceiros foi elaborada por Alain Westin, em 1969 (v. DONEDA, cit. 48.).
57
Ocorridos sobretudo durante os regimes totalitrios de que se destaca o regime nazi.
58
Nos Estados Unidos e outros pases da Amrica Latina de que mereceu destaque o caso Urteaga, Facundo
Ral vs. Estado Nacional - Estado Mayor Conjunto de las FF.AA. s/ amparo ley 16.986 - 15/10/1998 - Fallos:
321:2767, do Supremo Tribunal da Argentina, que concedeu o acesso s informaes pessoais do irmo do
requerente que desapareceram, presumivelmente, durante a ditadura militar.
59
Ningum sofrer intromisses arbitrrias na sua vida privada, na sua famlia, no seu domiclio ou na sua
correspondncia, nem ataques sua honra e reputao. Contra tais intromisses ou ataques toda a pessoa tem
direito a proteo da lei.
60
Aviso, de 09/03/1978, que autoriza a publicao do texto em ingls e a respetiva traduo em portugus da
Declarao Universal dos Direitos do Homem, adotada e proclamada pela Assembleia Geral na sua Resoluo
217A (III) de 10/12/1948.
61
A IX Conferncia Internacional Americana realizada em Bogot criou a OEA que redigiu o primeiro
documento internacional que declarou os direitos humanos: a Declarao Americana dos Direitos e Deveres do
Homem aprovada em 1948, pois, a DUDH viria a ser aprovada mais tarde. No decorrer da III Conferncia
Interamericana Extraordinria, realizada em Buenos Aires, em 1967, a OEA viria a aprovar a CADH, com o
nome oficial de Pacto de San Jos de Costa Rica.
62
1. Qualquer pessoa tem direito ao respeito da sua vida privada e familiar, do seu domiclio e da sua
correspondncia. 2. No pode haver ingerncia da autoridade pblica no exerccio deste direito seno quando
esta ingerncia estiver prevista na lei e constituir uma providncia que, numa sociedade democrtica, seja
necessria para a segurana nacional, para a segurana pblica, para o bem-estar econmico do pas, a defesa da
ordem e a preveno das infraes penais, a proteo da sade ou da moral, ou a proteo dos direitos e das
liberdades de terceiros.
63
A L n. 65/78, de 13/10 aprovou, para ratificao, a Conveno Europeia dos Direitos do Homem, entrando
21
2-2.6. O papel do Conselho da Europa
O Conselho da Europa66, com sede em Estrasburgo, foi criado a 05/08/1949, no final da II
Grande Guerra e tem produzido uma srie de instrumentos jurdicos, destacando-se com
enorme relevncia a CEDH. A fim de assegurar o respeito pelos compromissos, de forma
concreta e efetiva67, que resultam, para as Altas Partes Contratantes, da CEDH e dos seus
Protocolos, foi criado o TEDH, o qual funciona a ttulo permanente, conforme art. 19 da
CEDH.
O papel desempenhado pelo CdE e a jurisprudncia emanada do TEDH inspiraram
decisivamente os rgos da Unio Europeia e dos Estados-Membros, na produo legislativa
e jurisprudencial para a conceo e princpios do direito proteo de dados pessoais.
2-2.6.1. O desenvolvimento legislativo

O CdE acreditando que as tcnicas desenvolvidas na dcada de sessenta, tais como as escutas
telefnicas, a vigilncia dissimulada, o uso ilegtimo de inquritos estatsticos para obter
informaes privadas, a publicidade subliminar e propaganda, em certos aspetos do
desenvolvimento cientfico e tecnolgico68, eram uma ameaa para os direitos e liberdades
das pessoas e, particular, ao direito privacidade que protegida pelo artigo 8 da CEDH,
solicitou um estudo ao Comit de Ministros69.
O estudo apresentado Assembleia Parlamentar, por Karl Czernetz, referia que as garantias
em vigor na ordem jurdica portuguesa a 09/11/1978, com as modificaes conforme as disposies dos
Protocolos ns 11 e 14. O nome oficial da Conveno Conveno para a proteo dos Direitos do Homem e
das liberdades fundamentais. Refira-se, ainda que, o art. 6 do Tratado da Unio Europeia estabelece que: 2.
A Unio adere Conveno Europeia para a Proteo dos Direitos do Homem e das Liberdades Fundamentais.
Essa adeso no altera as competncias da Unio, tal como definidas nos Tratados. 3. Do direito da Unio fazem
parte, enquanto princpios gerais, os direitos fundamentais tal como os garante a Conveno Europeia para a
Proteo dos Direitos do Homem e das Liberdades Fundamentais e tal como resultam das tradies
constitucionais comuns aos Estados-Membros.
64
1. Ningum ser objeto de intervenes arbitrrias ou ilegais na sua vida privada, na sua famlia, no seu
domiclio ou na sua correspondncia, nem de atentados ilegais sua honra e sua reputao. 2. Toda e qualquer
pessoa tm direito proteo da lei contra tais intervenes ou tais atentados.
65
Lei n. 29/78, de 12/06, Aprovou, para ratificao, o Pacto Internacional sobre os Direitos Civis e Polticos
com entrada em vigor na ordem jurdica portuguesa a 15/09/1978, que foi adotado e aberto assinatura,
ratificao e adeso pela resoluo 2200A (XXI) da Assembleia Geral das Naes Unidas, de 16/12/1966.
66
O CdE, considerado como a maior e mais antiga organizao intergovernamental de carter poltico,
constitudo por todos os Estados-Membros da UE e 21 pases da Europa Centro-Leste. Existe o estatuto de
Estado Observador (Estados Unidos da Amrica, Canad, Santa S, Japo, Israel e Mxico) e de Estado
Convidado (quando est em fase de apreciao da aceitao da adeso).
67
A Itlia foi condenada por no ter garantido um advogado a um cidado italiano aps uma deteno ilegal na
consequncia de uma queixa Comisso Europeia dos Direitos do Homem (Ac. Artico v. Italy, do TEDH n.
6694/74, de 13/05/1980).
68
Conforme leitura do Pargrafo 3,da CdE Recommendation 509 (1968) on Human Rights and Modern
Scientific and Technological Developments (16th Sitting) [Em linha]. (31/01/1968) [Consult. 12 mar. 2015].
Disponvel em WWW <http://assembly.coe.int/ nw/xml/XRef/Xref-XML2HTML-en.asp? fileid=14546&lang
=en>.
69
LOPES, cit. 49, p. 780.
22
para a proteo dos dados pessoais era insuficientes, dando origem Recomendao 509
(1968) sobre os Direitos do Homem e os desenvolvimentos cientficos e tecnolgicos
modernos, adotada pela Assembleia a 31/01/1968. A partir desta Recomendao foram
aprovadas vrias Resolues relativas proteo de dados cujo carter no vinculativo levou
preparao da denominada Conveno 108 do Conselho da Europa. A adoo das
Resolues (73) 2270, a (73) 2371 e a (74) 2972 considerada pela doutrina como incio do
movimento legislativo europeu73 e fonte dos princpios ainda hoje vigentes, tais como o da
qualidade dos dados e da adoo de medidas de segurana.
Diversos os pases, neste contexto, procederam regulamentao da proteo dos dados
pessoais, de quais se destacam: a Alemanha74, a Sucia75, os Estados Unidos da Amrica76 e a
70
CdE Resolution (73) 22 of the Committee of Ministers to Members States on the protection of the privacy of
individuals Vis-a-vis electronic data banks in the private sector [Em linha]. (26/09/1973) [Consult. 12 mar.
2015]. Disponvel em WWW <https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMC
ontent?documentId=0900001680502830>.
71
CdE Resolution (73) 23 of the Committee of Ministers to Members States on harmonization measures in the
field of legal data processing in the Member States of the Council Of Europe [Em linha]. (26/09/1973) [Consult.
12 mar. 2015]. Disponvel em WWW <https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTM
Content?.
72
CdE Resolution (74) 29 of the Committee of Ministers to Members States on the protection of the privacy of
individuals vis-a-vis electronic data banks in the public sector [Em linha]. (20/09/1974) [Consult. 12 mar. 2015].
Disponvel em WWW <https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?
documentId=09000016804d1c51>.
73
V. FUSTER, Gloria Gonzlez - The Emergence of Personal Data Protection as a Fundamental Right of the
EU. Cham [etc,] : Springer International Publishing Switzerland, 2014. (Law, Governance and Technology
Series, Vol. XVI.) ISBN 978-3-319-05023-2.
74
O Tribunal Constitucional Alemo, inspirado no right to be alone, comeou a definir o direito
autodeterminao informativa, ao pronunciar-se sobre as garantias dos titulares quanto ao acesso aos seus dados
pessoais e vida privada, a 16/07/1969, conforme deciso a Mikrozensus-Entscheidung. Surge, entretanto, a Lei
adotada em 07/10/1970, sobre o tratamento e manipulao mecnica de dados na administrao pblica, no Land
de Hessen inspirou a Lei Federal de proteo de dados, de 1977. Contudo estas leis no ofereceram as garantias
suficientes aos cidados alemes. O Tribunal Constitucional Alemo foi de novo chamado a dirimir um conflito
entre o Estado e os cidados que consideravam as respostas ao censo (desde situao profissional a prticas
religiosas e polticas, bem como mecanismos de denncia e procedimento contraordenacional para quem no
respondesse) violavam a privacidade e o direito autodeterminao informativa (RUARO, Regina Linden;
RODRIGUEZ, Daniel Piero; FINGER, Brunize - O direito proteo de dados pessoais e a privacidade [Em
linha]. In Revista da Faculdade de Direito UFPR, n. 53, Curitiba, 2011. [Consult. 16 set. 2015]. Disponvel em
WWW <http://revistas.ufpr.br/direito/article/download/30768/19876> ISSN 2236-7284. p. 45-66. A recolha de
dados autorizada pela referida lei no oferecia as garantias de acordo com a finalidade do censo nem o
anonimato. A Lei de Land de Hessen inspirou, igualmente, a Diretiva n 95/46/CE ao incorporar dois aspetos
originais da mesma: (i) a criao de entidades administrativas com competncia para fiscalizao em sede de
proteo de dados, e (ii) o estabelecimento de que os tratamentos de dados pessoais dependiam essencialmente
do consentimento ou de disposio legal (PINHEIRO, cit. 52)
75
A Lei Sueca de 11/05/1973, de mbito nacional compreende o tratamento de dados pessoais no setor pblico e
privado e cria uma autoridade nacional de proteo de dados (v. FUSTER, cit. 73).
76
Nos EUA destacam-se o Omnibus Crime and Control Act of 1968, em consequncia do caso Katz v. United
States, 389U.S.347 (1967) onde o requerente alega uma expectativa razovel de privacidade quanto a escutas
telefnicas, o Fair Credit Reporting Act de 1970 e o Privacy Act de 1974, que regulam parcialmente questes
relativas proteo de dados para instituies financeiras e administrao pblica. O Privacy Act, de
31/12/1974, tem como antecedente o Caso Watergate aps ter sido demonstrado que qualquer um pode utilizar
as novas tecnologias para invadir a privacidade de qualquer um.
23
Frana77 78
. Contudo, outros pases seguiram caminhos diferentes na regulao do
processamento de dados como Portugal79, Espanha80 e a ustria81 que lhe atriburam
dignidade constitucional.
2-2.6.2. O Tribunal Europeu dos Direitos do Homem

O TEDH ajudou construo dos princpios da proteo de dados pessoais82 e critrios de
interpretao dos conceitos gerais plasmados no texto da CEDH83, ao pronunciar-se sobre
questes relacionadas com a distino entre tratamento de dados pessoais que afetam a vida
privada e os que no afetam a vida privada84, processamento de dados com certas restries
sobre o segredo de correio e telecomunicaes85, o direito ao acesso a informao pessoal em
ficheiros administrativos86, a interceo de comunicaes87, dados indevidamente processados
e armazenados pelos rgos da Administrao Pblica em detrimento da pessoa em causa88,
reconhecimento da privacidade das atividades profissionais e comerciais estritamente ligadas
77
Loi relative linformatique, aux fichiers et aux liberts du 6 janvier 1978, estabelecendo que os
computadores devem servir os cidados. A discusso em Frana comea com a noo de Liberdade informtica
ou o bom uso da cincias e da tecnologia e no originariamente com a proteo de dados (v. FUSTER, cit. 73).
78
V. CATE, Fred H. - The EU Data Protection Directive, Information Privacy, and the Public Interest [Em
linha]. Indiana University Maurer School of Law. Paper 646, (1995) [Consult. 12 nov. 2015]. Disponvel em
WWW <http://www.repository.law.indiana.edu/facpub/646/>.
79
Historicamente, Portugal foi o primeiro pas a consagrar na Constituio, de 1976, e sucessivas revises
constitucionais, para alargar o mbito da proteo das pessoas contra o tratamento informtico de dados pessoais
(V. VENNCIO, Pedro Dias - A previso constitucional da utilizao da informtica. In Revista de Estudos
Politcnicos Vol. 8, (2007), p. 243-264. [Consult. 19 out. 2015]. Disponvel em WWW <http://www.scielo.mec.
pt/pdf/tek/n8/v5n8a12.pdf>).
80
O art. 18. da Constituio Espanhola, de 27/12/1978, com a seguinte redao: 1. Se garantiza el derecho al
honor, a la intimidad personal yfamiliar y a la propia imagen. 2. El domicilio es inviolable. Ninguna entrada o
registro podr hacerse en l sin consentimiento del titular o resolucin judicial, salvo en caso de flagrante
delito. 3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegrficas y telefnicas,
salvo resolucin judicial. 4. La ley limitar el uso de la informtica para garantizar el honor y la intimidad
personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. (v. Reino de Espaa. Constitucin
Espaola [Em linha]. Boletn Oficial del Estado, n. 311, (29/12/1978), p. 29313-29424 [Consult. 11 out. 2015].
Disponvel em WWW <https://www.boe.es/diario_boe/txt.php?id=BOE-A-1978-31229> e passando a ser
reconhecido pela jurisprudncia espanhola como um direito fundamental autnomo e independente
diferenciando-o de outros nomeadamente do direito intimidade (v. REINO DE ESPAA. Tribunal
Constitucional - Sentencia del Tribunal Constitucional 292/2000, de 30/11. [Em linha]. Boletn Oficial del
Estado n. 4, (04/01/2001), p. 104-118 [Consult. 11 out. 2015]. Disponvel em WWW <https://www.boe.es/
buscar/doc.php?id=BOE-T-2001-332>.
81
Lei Federal sobre a Proteo de Dados Pessoais de 1978.
82
83
O art. 8, da CEDH, no tem nenhuma referncia expressa ao direito proteo de dados, apenas garante o
direito ao respeito da sua vida privada e familiar, do seu domiclio e da sua correspondncia
84
Ac. Pierre Herbecq and the Association Ligue des Droits de lhomme v. Belgium, do TEDH apensos n.
32200/96 e 32202/96, de 14/01/1998.
85
Ac. Klass and Others v. Germany, do TEDH n. 5029/71, de 06/09/1978.
86
Ac. Gaskin v. The United Kingdom, do TEDH, n 10454/83, de 07/07/1989.
87
Ac. Malone v. The United Kingdom, do TEDH, n. 8691/79, de 02/08/1984.
88
Ac. Leander v. Sweden, do TEDH n 9246/81, de 26/03/1987.
24
s esfera pessoal89, para alm de outras questes relacionadas com a manipulao da
informao pessoal que sero citadas ao longo deste texto.
O trabalho desenvolvido pelo TEDH para a construo da proteo dos titulares de dados
pessoais contra a recolha e tratamento de dados pessoais de forma injustificada, excessiva e
desnecessria90 teve um enorme impacto nas instituies europeias e nos Estados-Membros,
bem como desencadeou vrias iniciativas de consciencializao nas grandes multinacionais91.
2-2.7. A proteo de dados nos instrumentos internacionais

A cooperao entre os Estados para a elaborao de instrumentos sobre o processamento de
dados e informaes sobre pessoas culminou na concretizao de instrumentos internacionais
muito relevantes.
A Recomendao do Conselho da OCDE92 relativa s diretrizes que regem a proteo da
privacidade e os fluxos transfronteirios de dados pessoais, de 23/09/1980 (Diretrizes sobre a
Privacidade)93, teve a anuncia dos pases-membros para dar resposta s preocupaes sobre a
manipulao de dados pessoais pelos novos e automatizados meios de processamento de
informaes e para prosseguir os interesses comuns quanto ao respeito pelos direitos humanos
e do mercado livre. As Diretrizes sobre a Privacidade definem conceitos fundamentais,
estabelecem os princpios aplicveis ao tratamento de dados pessoais e garantem a livre
circulao de dados com respeito pelos princpios das Diretrizes, aplicveis ao setor pblico e
privado. Nos anos que se seguiram, a OCDE adotou outras linhas diretrizes para responder ao
89
Ac. Niemietz v. Germany, do TEDH, n 13710/88, de 16/12/1992.
90
HERT, Paul De; GUTWIRTH; Serge - Data Protection in the Case Law of Strasbourg and Luxemburg:
Constitutionalisation in Action. in GUTWIRTH; Serge [et al.] - Reinventing Data Protection? [Em linha]. New
York [etc.]: Springer Science + Business Media B.V. 2009. [Consult. 10 dez. 2014]. Disponvel em WWW
<https://link.springer.com/book /10.1007/978-1-4020-9498-9> ISBN 978-1-4020-9498-9. Cap. 1, p. 3-44.
91
This consciousness is reflected by the new activism of the business community. The first into the field was
Microsoft, which proposed a Charter for the digital identity. This was followed by a joint initiative by Microsoft,
Google, Yahoo! and Vodafone who announced the publishing by the end of the year of a Charter for the
protection of free speech on the Internet. In July, Microsoft presented its Privacy Principles and more
recently, Google, having rejected a European Union proposal to block dangerous search terms (bomb,
terrorism, genocide and the like), proposed the adoption of a global standard for privacy that would be
supervised by a Global Privacy Counsel attached to the United Nations. It is apparent and widely recognized
that there is an emergent need to protect fundamental rights, especially those concerning the freedom of
expression and the protection of personal data. Safeguarding these rights cannot be left to private parties, since
they will tend to offer guarantees that suit their interests. (RODOT, Stefano - Data Protection as a
Fundamental Right. in GUTWIRTH; Serge; LEENES, Ronald; HERT, Paul De; - Reloading Data Protection.
Multidisciplinary Insights and Contemporary Challenges [Em linha]. Dordrecht : Springer Science+Business
Media Dordrecht 2014. [Consult. 7 ago. 2016]. Disponvel em WWW <http://www. springer.com/la/book/
9789400775398> ISBN 978-94-007-7540-4. Cap. 3, p. 82.)
92
A OECD uma organizao internacional, fundada em 1961, composta por 34 pases para promover o
desenvolvimento econmico e comercial a nvel mundial.
93
Foi sujeita a alteraes a 11/07/2013. As regras estabelecidas nas Diretrizes sobre a Privacidade no so
vinculativas.
25
mercado digital94.
Considerando desejvel alargar a proteo dos direitos e das liberdades fundamentais de todas
as pessoas, nomeadamente o direito ao respeito pela vida privada, tendo em considerao o
fluxo crescente, atravs das fronteiras, de dados de carter pessoal suscetveis de tratamento
automatizado95, foi adotada a Conveno 108 do Conselho da Europa para a Proteo das
Pessoas Singulares no que diz respeito ao Tratamento Automatizado de Dados Pessoais, de
28/01/198196(2-2.6.1.). As instituies europeias na construo do direito proteo dos
dados pessoais verteram os princpios da Conveno 108, de forma aprimorada e com maior
desenvolvimento no que respeita s garantias da sua concretizao, na Diretiva 95/46/CE, na
Diretiva 2002/58/CE, na Diretiva 2006/24/CE e no Regulamento (CE) n. 45/2001 (2-2.7.1.).
A Resoluo 45/95 da Assembleia-geral das Naes Unidas, relativa s Diretrizes para a
regulamentao dos ficheiros informatizados de dados pessoais, adotada na 68 reunio
plenria, da Assembleia-geral, a 14/12/1990, indica um conjunto de princpios sobre as
garantias mnimas em matria de proteo de dados (abrangendo os ficheiros informatizados
pblicos e privados, sem prejuzo de adaptaes adequadas aos ficheiros manuais bem como a
tomada de providncias especiais e facultativas relativas aos ficheiros de pessoas coletivas)
que devem estar previstas nas legislaes nacionais. As diretrizes devem aplicar-se aos
ficheiros de dados de carter pessoal mantidos por organizaes internacionais de carter
intergovernamental, sem prejuzo de algumas adaptaes que possam ser necessrias para
refletir algumas diferenas eventualmente existentes.
2-2.7.1. A Conveno 108 do Conselho da Europa

A Conveno 108 do Conselho da Europa para a Proteo das Pessoas Singulares no que diz
respeito ao Tratamento Automatizado de Dados Pessoais, o primeiro instrumento
internacional juridicamente vinculativo adotado no domnio da proteo de dados, tanto para
94
A ttulo de exemplo destacam-se os seguintes atos: Guidelines for Cryptography Policy [Em linha].
(27/03/1997) [Consult. 10 nov. 2015]. Disponvel em WWW <http://www.oecd.org/sti/ieconomy/guidelinesfor
cryptographypolicy.htm>, Guidelines for Multinational Enterprises [Em linha]. Ed. 2011, OECD Publishing.
[Consult. 10 nov. 2015]. Disponvel em WWW <http://www.oecd.org/daf/inv/mne/48004323.pdf>. ISBN ISBN
978-92-64-11528-6, Recommendation on Cross-Border Co-operation in the Enforcement of Laws against Spam
[Em linha]. (13/04/2006) [Consult. 10 nov. 2015]. Disponvel em WWW <http://www.oecd.org/fr/sti/ieconomie/
o ecd reco mmend atio no ncro ss -bord er co -op eratio nintheenforcemento flawsagainstsp am.htm> e
Consumer Protection in E-commerce [Em linha]. OECD Publishing, 2016 [Consult. 18 ago. 2015]. Disponvel
em WWW <https://www.oecd.org/sti/consumer/ECommerce-Recommendation-2016.pdf>.
95
Prembulo da Conveno 108.
96
A Conveno 108, entrou em vigor na ordem jurdica portuguesa no dia 01/01/1994. Portugal aceitou a
emenda introduzida a esta Conveno a 15/07/1999, que permite a adeso das Comunidades Europeias
Conveno. Entrou em vigor na ordem jurdica internacional no dia 01/01/1985, aps ter sido ratificada por 5
pases signatrios.
26
o setor pblico como para o setor privado (art. 3, n. 1, da Conveno 108), abrangendo os
tratamentos de dados realizados pelas autoridades policiais e judicirias. A Conveno 108
estabelece os princpios que devem ser obedecidos na recolha e no tratamento de dados de
forma leal e lcita, registados para finalidades determinadas e legtimas, no podendo ser
utilizados de modo incompatvel com essas finalidades, adequados, pertinentes e no
excessivos em relao s finalidades para as quais foram registados, exatos e conservados de
forma que permitam a identificao das pessoas a que respeitam por um perodo que no
exceda o tempo necessrio s finalidades determinantes do seu registo (art. 5, da Conveno
108). A 08/11/2001 foi aberto assinatura o Protocolo Adicional n 197, que estabelece
disposies sobre fluxos transfronteirios de dados para Estados no signatrios, os chamados
pases terceiros, e sobre a criao obrigatria de autoridades nacionais de controlo de proteo
de dados, considerando que com o aumento do intercmbio de dados pessoais atravs das
fronteiras nacionais, necessrio garantir a proteo efetiva dos direitos humanos e das
liberdades fundamentais, nomeadamente o direito privacidade em relao a esses
intercmbios de dados pessoais (Paragrafo 4 do Prembulo do Protocolo Adicional n 1).
O CdE emitiu, ainda, algumas recomendaes dirigidas a diversos setores de atividade das
quais destacamos a proteo de dados pessoais no marketing direto98 e a definio de perfis
em tratamento de dados pessoais99.
2-2.8. O papel da Unio Europeia

A Comisso considerando a preocupao com o domnio das empresas americanas no
mercado europeu dos computadores e processamento de dados, publicou uma comunicao ao
Conselho, sobre a poltica comunitria no processamento de dados e a necessidade de adotar
medidas comuns para a proteo do cidado100. O debate foi aberto e aps a apresentao
de vrios estudos, dos quais se destacam o Relatrio elaborado pelo Lord Mansfield, em 1975,
97
O DPR n. 56/2006, de 20/06, Ratifica o Protocolo Adicional Conveno para a Proteo das Pessoas
relativamente ao Tratamento Automatizado de Dados de Carter Pessoal, respeitante s autoridades de controlo e
aos fluxos transfronteirios de dados, aberto assinatura em Estrasburgo, em 08/11/2001 aprovado, para
ratificao, pela RAR n. 45/2006, de 20/06 de Junho, entrando em vigor na ordem jurdica portuguesa a
25/06/2006.
98
V. CdE Recommendation n. R(85) 20 on the protection of personal data used for the purposes of direct
marketing [Em linha]. (25/10/1985) [Consult. 14 mar. 2015]. Disponvel em WWW <https://search.coe.int/cm/
Pages/ result_details.aspx?ObjectID=09000016804bd336>
99
V. CdE Recommendation CM/Rec(2010)13 of the Committee of Ministers to member states on the protection
of individuals with regard to automatic processing of personal data in the context of profiling [Em linha].
(23/07/2010) [Consult. 12 mar. 2015]. Disponvel em WWW <https://search.coe.int/cm/Pages/result_details.
aspx?ObjectID=09000016805cdd00>.
100
COMISSO EUROPEIA - Community policy on data processing. Communication of the Commission to the
Council. [Em linha]. SEC (73) 4300 final, (21/11/1973) [Consult. 10 Dez. 2015]. Disponvel em WWW
<http://aei.pitt.edu/ view/eudocno/SEC_=2873=29_4300_final.html>
27
solicitado pela Comisso dos Assuntos Jurdicos101, e o Relatrio elaborado por Bayerl, em
1979102, o Parlamento Europeu aprovou uma resoluo sobre a proteo dos direitos do
indivduo em face do desenvolvimento do progresso tcnico na rea de processamento
automtico de dados (JOCE, C140/34, de 05/06/1979), recomendando a adoo de uma
diretiva103.
Considerando a Comisso que a Conveno 108 adequada para introduzir escala europeia
um nvel uniforme em matria de proteo de dados, emite a Recomendao n. 81/679/CEE
de 29/07/1981, para que todos os Estados-Membros da Comunidade que assinem, durante o
ano de 1981, e que ratifiquem, antes do final do ano de 1982, se ainda no o tiverem feito.
Gorados todos os esforos, a Comisso apresenta diversas iniciativas, e em 27/07/1990 a
Proposta de Diretiva do Conselho relativa proteo das pessoas no que diz respeito ao
tratamento dos dados pessoais104, que viria a sofrer alteraes e importantes contributos.
margem do quadro institucional das Comunidades Europeias e no mbito da cooperao
intergovernamental de um nmero limitado de pases105, foi criado o Espao Schengen, em
1985, para a supresso gradual dos controlos nas fronteiras comuns. O Acordo foi
complementado, em 1990, pela Conveno de Aplicao do Acordo de Schengen106, que
estabeleceu os termos da supresso definitiva dos controlos nas fronteiras interna e medidas
de implementao. A Conveno veio reforar os controlos nas fronteiras externas, definir
procedimentos para a emisso de vistos uniformes, criar o Sistema de Informao Schengen
(SIS), intensificar a cooperao policial nas fronteiras internas e melhorar a luta contra
101
V. PARLAMENTO EUROPEU - Interim Report drawn on behalf of the Legal Affairs Committee on the
protection of the rights of the individual in the face of developing technical progress in the field of automatic
data processing (Rapporteur: Lord Mansfield) [Em linha]. Working Documents 1974-1975, Document 487/74,
PE 39.608/fin, (19.feb.1975), p. 14. [Consult. 16 ago. 2016]. Disponvel em WWW < http://aei.pitt.edu/ 65083/
1/WD3126. pdf>.
102
Report drawn up on behalf of the Legal Affairs Committee on the protection of the rights of the individual in
the face of technical developments in data processing (Rapporteur: Mr A. Bayerl) [Em linha]. Working
Documents 1979-1980, Document 100/79 (04.may.1975), p. 3. [Consult. 16 ago. 2016]. Disponvel em WWW
<http://aei.pitt.edu/view/eusubjects/ H019.html>.
103
V. FUSTER, cit. 73.
104
Publicada no JOCE n. C-277/3, de 05/11/1990.
105
Alemanha, Blgica, Frana, Pases Baixos e Luxemburgo. Atualmente so signatrios 30 pases, incluindo
todos os Estados-Membros da UE e trs pases que no so membros da UE (Islndia, Noruega e Sua),
Liechtenstein, Bulgria, Romnia e Chipre esto em fase de implementao do acordo. Alguns territrios dos
Estados-Membros da EU signatrios no esto abrangidos (por exemplo, no Reino Unido, Grcia, Itlia,
Alemanha).
106
Foram aprovados para adeso pela RAR n. 35/93, de 25/11 e ratificados pelo DPR n. 55/93, de 25/11,
entrando em vigor na ordem jurdica portuguesa a 01/03/1994, conforme a Declarao Comum Relativa ao art.
139 da Conveno de Aplicao do Acordo de Schengen, contudo as disposies que no sejam relativas
criao, s atividades e competncia do Comit Executivo s sero aplicveis a partir de 26/03/1995. Algumas
disposies, nomeadamente as relacionadas com o mandato de deteno europeu e aos processos de entrega dos
Estados-Membros do Protocolo de Adeso e o Acordo de Adeso foram sujeitas a alteraes. Na L n. 2/94, de
19/02, foram estabelecidos os mecanismos de controlo e fiscalizao do Sistema de Informao Schengen.
28
condutas criminosas. A Conveno de Aplicao do Acordo de Schengen dedica o captulo III
proteo dos dados pessoais e segurana de dados no mbito do SIS, o que se traduziu num
grande avano para o reconhecimento do direito proteo de dados pessoais.
2-2.8.1. O desenvolvimento legislativo na Unio Europeia

O Tratado de Maastricht107, assinado em 07/02/1992 e com entrada em vigor a 01/11/1993,
alterou os tratados europeus e instituiu a UE assente em trs pilares as Comunidades
Europeias (no mbito das quais eram exercidas pelas instituies comunitrias as
competncias que eram objeto de transferncia de soberania pelos Estados-Membros nos
domnios visados pelo Tratado), a poltica externa e de segurana comum (PESC - regida
pelas disposies do Ttulo V do TUE) e a cooperao nos domnios da justia e dos assuntos
internos (JAI conforme Ttulo VI do Tratado), com o objetivo, entre outros, de preparar a
unio monetria. A unio monetria dependia da instaurao de um mercado interno onde era
assegurada a livre circulao de mercadorias, pessoas, servios e capitais que inclua a livre
circulao de dados pessoais de um Estado para outro.
A Comisso consciente das diferenas dos sistemas jurdicos dos Estados-Membros da EU,
dos obstculos ao fluxo de dados transfronteirios e das questes relacionadas com o
processamento de dados pessoais tanto no setor privado como no setor pblico, prossegue a
promoo da investigao e do estudo para a harmonizao da proteo do processamento de
dados e de um direito proteo de dados. Por outro lado, o novo contexto poltico, delineado
pelo Tratado de Maastricht, conjugado com o contexto tecnolgico e os novos modelos de
negcio obrigam as instituies europeias a tomar posio e a desencadear processos
legislativos que se traduziram na publicao de vrios atos normativos: a Diretiva
95/46/CE108/109, Diretiva 97/7/CE110, a Diretiva 97/66/CE111, a Diretiva 2000/31/CE112, a
107
O Tratado de Maastricht foi alterado pelos: Tratado de Amesterdo (1997), Tratado de Nice (2001) e Lisboa
(2009). Este Tratado foi igualmente alterado pelos seguintes Tratados de Adeso: Tratado de Adeso da ustria,
Finlndia e Sucia (1994), Tratado de Adeso de Chipre, da Eslovquia, da Eslovnia, da Estnia, da Letnia, da
Litunia, da Hungria, de Malta, da Polnia e da Repblica Checa (2003), Tratado de Adeso da Repblica da
Bulgria e da Romnia (2005).
108
Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24/10/1995, relativa proteo das pessoas
singulares no que diz respeito ao tratamento de dados pessoais e livre circulao desses dados, com entrada em
vigor em 13/12/1995, foi revogada pelo n. 1 do art. 94 do Regulamento (UE) 2016/679 do Parlamento
Europeu e do Conselho, de 27/04/2016, relativo proteo das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e livre circulao desses dados e que revoga a Diretiva 95/46/CE (Regulamento
Geral sobre a Proteo de Dados), apenas com efeitos a partir de 25/05/2018.
109
tornar equivalente em todos os Estados-Membros o nvel de proteo dos direitos e liberdades das
pessoas no que diz respeito ao tratamento de dados pessoais A aproximao das legislaes nacionais
aplicveis na matria no deve fazer diminuir a proteo que asseguram, devendo, pelo contrrio, ter por
objetivo garantir um elevado nvel de proteo na Unio. Assim, a harmonizao das referidas legislaes
nacionais no se limita a uma harmonizao mnima, mas conduz a uma harmonizao que , em princpio,
29
Diretiva 2002/58/CE113, a Diretiva 2006/24/CE114, a Deciso-Quadro 2008/977/JAI do
Conselho115 e o Regulamento (UE) n. 611/2013116.
Considerando que a Diretiva 95/46 CE parecia interpretar a noo de livre circulao como
elemento mercado interno (proibindo os obstculos livre circulao de dados entre os
Estados-Membros), no contexto do artigo 286, do Tratado de Amesterdo117, era necessrio
fixar o sentido do fluxo de dados entre as instituies e organismos comunitrios,
concretizado no Regulamento (CE) n. 45/2001118. Por outro lado, a Comisso pode
completa, conforme Ac. Asociacin Nacional de Establecimientos Financieros de Crdito (ASNEF) e

Federacin de Comercio Electrnico y Marketing Directo (FECEMD) v. Administracin del Estado, do TJUE,
apensos n.s C-468/10 e C-469/10, de 24/11/2011.
110
Diretiva 97/7/CE do Parlamento Europeu e do Conselho, de 20/05/1997, relativa proteo dos consumidores
em matria de contratos distncia, com entrada em vigor em 04/06/1997, foi revogada, com efeitos a partir de
13/06/2014, pela Diretiva 2011/83/UE do Parlamento Europeu e do Conselho, de 25 de Outubro de 2011,
relativa aos direitos dos consumidores, que altera a Diretiva 93/13/CEE do Conselho e a Diretiva 1999/44/CE do
Parlamento Europeu e do Conselho e que revoga a Diretiva 85/577/CEE do Conselho e a Diretiva 97/7/CE do
Parlamento Europeu e do Conselho.
111
Diretiva 97/66/CE do Parlamento Europeu e do Conselho, de 15/12/1997, relativa ao tratamento de dados
pessoais e proteo da privacidade no setor das telecomunicaes, com entrada em vigor em 19/02/1999, foi
revogada com efeitos a partir de 31/10/2003, pela Diretiva 2002/58/CE do Parlamento Europeu e do Conselho,
de 12/07/2002, relativa ao tratamento de dados pessoais e proteo da privacidade no setor das comunicaes
(Diretiva relativa privacidade e s comunicaes eletrnicas).
112
Diretiva 2000/31/CE do Parlamento Europeu e do Conselho de 8 de Junho de 2000 relativa a certos aspetos
legais dos servios da sociedade de informao, em especial do comrcio eletrnico, no mercado interno
(Diretiva sobre o comrcio eletrnico), com entrada em vigor a 17/07/2000, foi alterada pela Diretiva
2009/22/CE do Parlamento Europeu e do Conselho, de 23/04/2009, relativa s aes inibitrias em matria de
proteo dos interesses dos consumidores (Verso codificada).
113
Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12/07/2002, relativa ao tratamento de dados
pessoais e proteo da privacidade no setor das comunicaes eletrnicas (Diretiva relativa privacidade e s
comunicaes eletrnicas), com entrada em vigor em 31/07/2002, foi alterada pelas Diretivas 2006/24/CE de
15/03 e 2009/136/CE, de 25/11.
114
Diretiva 2006/24/CE do Parlamento Europeu e do Conselho, de 15/03/2006, relativa conservao de dados
gerados ou tratados no contexto da oferta de servios de comunicaes eletrnicas publicamente disponveis ou
de redes pblicas de comunicaes, e que altera a Diretiva 2002/58/CE do Parlamento Europeu e do Conselho,
de 12/07/2002, relativa ao tratamento de dados pessoais e proteo da privacidade no setor das comunicaes
(Diretiva relativa privacidade e s comunicaes eletrnicas), com entrada em vigor em 03/05/2006, foi
declarada invlida pelo Ac. Digital Rights Ireland Ltd v. Minister for Communications, Marine and Natural
Resources e Krntner Landesregierung e outros, do TJUE n. C 293/12 e C 594/12, de 08/04/2014. A declarao
de invalidade com fundamento de que a obrigao de conservao de dados gerados nas comunicaes
eletrnicas, como os dados de trfego, localizao ou de identificao dos utilizadores, era uma ingerncia grave
na vida privada, conforme os direitos garantidos pela Carta dos Direitos Fundamentais da Unio Europeia.
115
Deciso-Quadro 2008/977/JAI do Conselho, de 27/11/2008, relativa proteo dos dados pessoais tratados
no mbito da cooperao policial e judiciria em matria penal, com entrado em vigor 19/01/2009 foi revogada,
com efeitos a partir de 06/05/2018, pelo n. 1 do artigo 59. da Diretiva (UE) 2016/680 do Parlamento Europeu e
do Conselho, de 27/04/2016, relativa proteo das pessoas singulares no que diz respeito ao tratamento de
dados pessoais pelas autoridades competentes para efeitos de preveno, investigao, deteo ou represso de
infraes penais ou execuo de sanes penais, e livre circulao desses dados, e que revoga a Deciso-
Quadro 2008/977/JAI do Conselho.
116
O Regulamento (UE) n. 611/2013 da Comisso, de 24/06/2013, relativo s medidas aplicveis notificao
da violao de dados pessoais em conformidade com a Diretiva 2002/58/CE do Parlamento Europeu e do
Conselho relativa privacidade e s comunicaes eletrnicas, com entrada em vigor a 25/08/2013.
117
O Tratado de Amesterdo, que modificou o Tratado da Unio Europeia e os Tratados que instituem as
Comunidades Europeias e certos atos afins, foi assinado em Amesterdo, em 02/10/1997, e entrou em vigor em
01/05/1999.
118
Regulamento (CE) n. 45/2001 do Parlamento Europeu e do Conselho, de 18/12/2000, relativo proteo das
30
considerar que um pas terceiro em causa assegura um nvel de proteo adequado dos
direitos das pessoas singulares por fora do seu direito interno, ou de compromissos
internacionais que assumiu, no se aplicando nesse caso as limitaes especficas sobre as
transferncias de dados para esse pas (art. 25, n. 6, da Diretiva 95/46 CE). A Comisso
adotou diversas decises de adequao, destacando-se a Deciso 520/2000/CE, de 26/07/2000
(designada por Deciso Porto Seguro) que regula as transferncias de dados pessoais da UE
para as empresas sedeadas nos EUA que tenham subscrito os princpios de privacidade do
sistema porto seguro, que se baseia em compromissos, bem como na autocertificao das
empresas participantes. As regras so vinculativas aos assinantes que aceitem voluntariamente
os acordos. A declarao de invalidade da Deciso 520/2000/CE, pelo TJUE119, deu origem
Deciso de Execuo (UE) 2016/1250120 (2-2.9.).
2-2.8.2. A Carta dos Direitos Fundamentais da Unio Europeia

A CDFUE foi assinada e proclamada pelos presidentes do Parlamento Europeu, pelo
Conselho da Unio Europeia e pela Comisso Europeia, em 07/12/2000, em Niza e incorpora
os princpios da CEDH e os critrios jurisprudenciais do TEDH e do TJUE121. A segunda
verso alterada da CDFUE foi proclamada a 12/12/2007, em Estrasburgo 122. A CDFUE
incorpora num nico documento os direitos civis, polticos, econmico e sociais dos cidados
europeus e est dividida em seis seces: dignidade, liberdades, igualdade, solidariedade,
cidadania e justia. A CDFUE consagra explicitamente o direito proteo de dados
pessoais123 como um direito fundamental, com carter autnomo (art. 8, n 1, da CDFUE),
pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituies e pelos rgos
comunitrios e livre circulao desses dados, com entrada em vigor em 01/02/2002.
119
A Deciso 520/2000/CE foi retificada a 15/08/2000 e mais tarde declarada invlida pelo Ac. Maximillian
Schrems v. Data Protection Commissioner, do TJUE n. C-362/14, de 06/10/2015, na medida em que no existe
uma lei geral sobre proteo de dados nos EUA, ou outras medidas de igual natureza que demonstrem que os
EUA oferecem um nvel adequado de proteo, semelhante EU bem como as autoridades de aplicao da lei
dos EUA no esto vinculadas aos seus princpios, podendo aceder aos dados sem qualquer fundamento legal ou
garantias aos cidados europeus, para alm de serem objeto de tratamentos incompatveis e desproporcionais por
parte destas autoridades.
120
Deciso de Execuo (UE) 2016/1250, da Comisso, de 12/07/2016, relativa ao nvel de proteo assegurado
pelo Escudo de Proteo da Privacidade UE-EUA, com fundamento na Diretiva 95/46/CE do Parlamento
Europeu e do Conselho.
121
A CDFUE refere-se, a este propsito, aos direitos que decorrem das tradies constitucionais e das
obrigaes internacionais comuns aos Estados-Membros, do Tratado da Unio Europeia e dos Tratados
comunitrios, da Conveno Europeia para a Proteo dos Direitos do Homem e das Liberdades Fundamentais,
das Cartas sociais aprovadas pela Comunidade e pelo Conselho da Europa, bem como da jurisprudncia do
Tribunal de Justia das Comunidades Europeias e do Tribunal Europeu dos Direitos do Homem.
122
A segunda verso da CDFUE foi assinada por Hans-Gert Pttering, Jos Scrates e Jos Manuel Duro
Barroso, respetivamente, todos ex-presidentes do Parlamento Europeu, do Conselho da Unio Europeia e da
Comisso Europeia.
123
Art. 8. Proteo de dados pessoais 1. Todas as pessoas tm direito proteo dos dados de carter pessoal
31
indicando os princpios e regras a que fica sujeito (art. 8, n 2, da CDFUE), assegurando o
seu cumprimento por uma autoridade independente (art. 8, n 3, da CDFUE).
Com a entrada em vigor do Tratado de Lisboa, em 01/12/2009, a CDFUE tem a mesma
natureza vinculante dos tratados, ou seja direito primrio, conforme declarado expressamente
no art. 6 do TUE124 e reforado pelo art. 16 do TFUE125 que atribui competncias
genricas s instituies da EU para legislar sobre matrias relacionadas com a proteo de
dados, sem distinguir entre matrias de direito civil, comercial e penal (com exceo para o
Reino Unido e a Irlanda, nos termos do art. 6-A, do Protocolo 21 relativo posio do Reino
Unido e da Irlanda em relao ao espao de liberdade, segurana e justia).
Nos termos do art. 51, da CDFUE126 aplica-se s instituies, rgos e organismos da Unio,
na observncia do princpio da subsidiariedade, bem como aos Estados-Membros, ou seja aos
seus atos legislativos e no legislativos, apenas podendo ser limitados por lei observando o
princpio da proporcionalidade, se forem necessrio e corresponderem efetivamente a objetivo
de interesse geral reconhecidos pela Unio, ou necessidade de proteo dos direitos e
liberdades de terceiros (art. 52, da CDFUE) 127.
que lhes digam respeito. 2. Esses dados devem ser objeto de um tratamento leal, para fins especficos e com o
consentimento da pessoa interessada ou com outro fundamento legtimo previsto por lei. Todas as pessoas tm o
direito de aceder aos dados coligidos que lhes digam respeito e de obter a respetiva retificao. 3. O
cumprimento destas regras fica sujeito a fiscalizao por parte de uma autoridade independente.
124
Art. 6, do TUE: 1. A Unio reconhece os direitos, as liberdades e os princpios enunciados na Carta dos
Direitos Fundamentais da Unio Europeia, de 7 de dezembro de 2000, com as adaptaes que lhe foram
introduzidas em 12 de dezembro de 2007, em Estrasburgo, e que tem o mesmo valor jurdico que os Tratados.
De forma alguma o disposto na Carta pode alargar as competncias da Unio, tal como definidas nos Tratados.
Os direitos, as liberdades e os princpios consagrados na Carta devem ser interpretados de acordo com as
disposies gerais constantes do Ttulo VII da Carta que regem a sua interpretao e aplicao e tendo na devida
conta as anotaes a que a Carta faz referncia, que indicam as fontes dessas disposies. 2. A Unio adere
Conveno Europeia para a Proteo dos Direitos do Homem e das Liberdades Fundamentais. Essa adeso no
altera as competncias da Unio, tal como definidas nos Tratados. 3. Do direito da Unio fazem parte, enquanto
princpios gerais, os direitos fundamentais tal como os garante a Conveno Europeia para a Proteo dos
Direitos do Homem e das Liberdades Fundamentais e tal como resultam das tradies constitucionais comuns
aos Estados-Membros.
125
Art. 16 do TFUE: 1. Todas as pessoas tm direito proteo dos dados de carter pessoal que lhes digam
respeito. 2. O Parlamento Europeu e o Conselho, deliberando de acordo com o processo legislativo ordinrio,
estabelecem as normas relativas proteo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais pelas instituies, rgos e organismos da Unio, bem como pelos Estados-Membros no exerccio de
atividades relativas aplicao do direito da Unio, e livre circulao desses dados. A observncia dessas
normas fica sujeita ao controlo de autoridades independentes. As normas adotadas com base no presente artigo
no prejudicam as normas especficas previstas no artigo 39. do Tratado da Unio Europeia.
126
O art.s 51, da CDFUE, incorpora a jurisprudncia que o TJUE vinha consolidando, em diverso acrdos
sobre a competncia e dos quais se destacam: Ac. Gestoras Pro Amnista, Juan Mari Olano Olano e Julen
Zelarain Errasti v. Conselho da Unio Europeia, do TJUE n C-354/04, de 27/02/2007 (pargrafo 51), Ac. Segi,
Araitz Zubimendi Izaga e Aritza Galarraga v. Conselho da Unio Europeia, do TJUE, n C-355/04, de
27/02/2007 (pargrafo 51), e Ac. Advocaten voor de Wereld VZW v. Leden van de Ministerraad, do TJUE n. C-
303/05, de 03/05/2007 (pargrafo 45).
127
Quanto ao reconhecimento dos limites fundamentais indica-se, a ttulo de exemplo, alguns acrdos tanto do
TJUE como do TEDH: Ac. J. Nold Kohlen v. Comisso das Comunidades Europeias, do TJUE, n 4/73 de
14/05/1974 (parcialmente publicado), Ac. Kjell Karlsson e o., do TJUE n. C-292/97, de 13/04/2000 e Ac.
32
2-2.8.3. O Tribunal de Justia da Unio Europeia
O Tratado constitutivo das Comunidades Europeias no continham referncias explcitas aos
direitos fundamentais128, pelo que o Tribunal de Justia129 segundo o art. 31 do Tratado,
considerava que s tinha que garantir o respeito do direito na interpretao e aplicao do
Tratado e dos regulamentos de execuo130. Contudo, uma nova ordem de direito
internacional131 foi iniciada e o Tribunal de Justia ao reconhecer o direito comunitrio,
independente com precedncia sobre a legislao dos Estados-Membros, tal como impe
obrigaes aos particulares e lhes atribui direitos que entram na sua esfera jurdica 132. A
observncia dos direitos fundamentais passa a ser garantida pelo Tribunal de Justia que
inspirado nas tradies constitucionais comuns aos Estados-Membros e nos instrumentos
internacionais relativos proteo dos direitos do homem, em que os Estados-Membros
colaboraram ou a que aderiram133 e no podendo haver medidas incompatveis com o respeito
pelos direitos fundamentais134. O TJUE comea a consolidar a doutrina no que diz respeito ao
direito vida privada135 e amplia o controlo da conformidade da atuao das instituies
comunitrias e dos seus Estados-Membros com o pedido de adeso formal da EU CEDH136.
O TEDH exerce, ainda que indiretamente, e como ltima instncia o controlo das decises do
TJUE137. O TEDH tem proferido as suas decises no sentido de que a jurisprudncia de
Roquette Frres SA v. Directeur gnral de la concurrence, de la consommation et de la rpression des fraude e

Comisso das Comunidades Europeias, do TJUE, n. C-94/00, de 22/10/2002, Ac Tietosuojavaltuutettu v.
Satakunnan Markkinaprssi Oy e Satamedia Oy, do TJUE, n C-73/07, de 16/12/2008 (pargrafos n.s 56, 61 e
62). Ac. Mosley c. United Kingdom, do TEDH, n. 48009/08, de 10/05/2011 (pargrafos n.s 129 e 130), Ac.
Axel Springer AG v. Germany, TEDH n. 39954/08, de 07/02/2012 (Pargrafos n.s 90 e 91) e Ac. Von Hannover
v. Germany (n. 2) , do TEDH apensos n.s 40660/08 e 60641/08, de 07/02/2012 (Pargrafos n.s 118 e 124).
128
V. FUSTER, cit. 73.
129
O Tribunal de Justia da Unio Europeia teve origem na instituio tmida prevista no Tratado de Paris
(1951) que institui a Comunidade Europeia do Carvo e do Ao com papel reforado no Tratado de Roma
(1957) que instituiu a CEE e Euratom. Com a entrada em vigor do Tratado de Lisboa, o seu nome mudou de
Tribunal de Justia das Comunidades Europeias para Tribunal de Justia da Unio Europeia. Desde 1989, existe
uma arquitetura nova: a instituio composta por dois rgos o Tribunal de Justia e o Tribunal Geral.
130
Ac. Friedrich Stork & Co. v. Alta Autoridade da CECA, do TJUE n. 1/58, de 04/02/1959 (parcialmente
publicado).
131
Ac. Gend & Loos v. Administrao Fiscal, do TJUE, n 26/62, de 05/02/1963 (parcialmente publicado).
132
Ac. Costa v. ENEL, do TJUE, n 6/64, de 15/07/1964 (parcialmente publicado).
133
Ac. Erich Stauder v. Cidade de Ulm, do TJUE n 29/69 de 12/11/1969 (parcialmente publicado) e Ac. J.
Nold Kohlen v. Comisso das Comunidades Europeias, do TJUE, n 4/73 de 14/05/1974 (parcialmente
publicado).
134
Ac. Hubert Wachauf v. Repblica Federal da Alemanha, do TJUE, n 5/88, de 13/07/1989 (parcialmente
publicado).
135
Pargrafos 17 e 23, do Ac. X v Comisso das Comunidades Europeias, do TJUE n C-404/92, de 08/04/1992.
136
Par. n. 2/13, do TJUE, de 18/12/2014, emitido a pedido da Comisso Europeia, nos termos do art. 218., n.
11, TFUE, considerou que o projeto de acordo de adeso da EU CEDH no compatvel com o art. 6, n. 2,
do TUE nem com o Protocolo (n. 8) relativo mesma disposio. Atualmente a EU e o CdE mantm as
negociaes para a respetiva adeso.
137
SOLS, David Ordez - Privacidad y proteccin judicial de los datos personales. 1. ed., Barcelona : Bosch,
2011. ISBN 978-84-9790-853-5.
33
ambos os tribunais complementar138 dado que a CEDH no exclui a transferncia de
competncias para as organizaes internacionais, sempre que os direitos garantidos
continuem a ser reconhecidos porque a referida transferncia no isenta a responsabilidade
dos Estados-Membros139 140 e a proteo equivalente deve ser apreciada perante o interesse de
cooperao internacional assumindo a CEDH o papel de um instrumento constitucional da
ordem pblica europeia no campo dos direitos humanos141. Mas s a partir da publicao das
Diretivas supra referidas que o Tribunal de Justia comearia a resolver questes
relacionadas com a interpretao, aplicao e cumprimento das disposies que regulam a
proteo dos dados pessoais142.
O TJUE comea por reconhecer o direito de acesso identidade de um destinatrio de bens
para garantir o direito defesa de determinados interesses perante os tribunais, desde que a
sua utilizao seja limitada e proporcional ao fim para o qual foram cedidos 143 ou tenha sido
prestado o consentimento, como elemento essencial, para o tratamento de dados pessoais144.
O TJUE proferiu acrdos paradigmticos na construo doutrinria do direito proteo de
dados pessoais e da privacidade na Internet145, da proteo da vida privada e a divulgao de
dados sobre os rendimentos de assalariados de determinadas entidades146, do tratamento e
circulao de dados pessoais de carter fiscal147, do tratamento e a transferncia de dados
contidos nos registos de identificao dos passageiros transferidos para o Servio das
Alfndegas e de Proteo das Fronteiras dos EUA148, do tratamento geral de dados pessoais
138
SOLS, cit. 137.
139
Pargrafos 32 e 33, do Ac. Matthews v. United Kingdom, do TEDH n. 24833/1994, de 18/02/1999 e
Pargrafos 37 e 38 Bernard Connolly v. Comisso das Comunidades Europeias, do TJUE n C-274/99, de
06/03/2001.
140
V. CABALLERO, Susana Sanz - Interferencias entre el Derecho Comunitario y el Convenio Europeo De
Derechos Humanos (Luxemburgo versus Estrasburgo: quin es la ltima instancia de los derechos
fundamentales en Europa?). In Revista de Derecho Comunitario Europeo [Em linha]. Ao 8. n. 17. (enero-abril
2004) p. 117-160. [Consult. 12 nov. 20165]. Disponvel em WWW <https://dialnet.unirioja.es/ejemplar/93104>
ISSN: 1989-5569.
141
Pargrafos 154 a 156 e 165, do Ac. Bosphorus v. Ireland, do TEDH n. 45036/98 de 24833/1994, de
30/06/2005.
142
TAMM, Ditlev - The History of the Court of Justice of the European Union Since its Origin [Em linha]. In
Court of Justice of the European Union, Coord. - The Court of Justice and the Construction of Europe: Analyses
and Perspectives on Sixty Years of Case-law. 1 ed. Hague : Springer, 2013. [Consult. 16 out. 2015]. Disponvel
em WWW <http://www.springer. com/la/book/9789067048965>. ISBN 978-90-6704-897-2. p. 9-35.
143
AC. Adidas, do TJUE, n C-223/98, de 14/10/1999 e Ac. Reino dos Pases Baixos e Gerard van der Wal v.
Comisso das Comunidades Europeias, do TJUE n. C-174 e C-198/98 de 11/01/2000.
144
Ac. Reino dos Pases Baixos v Parlamento Europeu e Conselho da Unio Europeia do TJUE, n C-377/98 de
09/10/2001.
145
Ac. Bodil Lindqvist, do TJUE, n C-101/01, de 06/11/2003.
146
Ac. Rechnungshof v. sterreichischer Rundfunk e outros, do TJUE apensos n.s C-465/00, C-138/01 e C-
139/01, de 20/05/2003.
147
Ac Tietosuojavaltuutettu v. Satakunnan Markkinaprssi Oy e Satamedia Oy, do TJUE, n C-73/07, de
16/12/2008.
148
Ac. Passenger Name Records, do TJUE, apensos n.s C-465/00, C-138/01 e C-139/01, de 30/05/2006.
34
respeitantes a cidados nacionais de outro Estado-Membro149, da publicao de dados de
beneficirios de ajudas150, do direito de acesso e informao sobre os destinatrios dos
dados e prazo do seu exerccio151, da conservao e divulgao de determinados dados de
trfego152, do consentimento dos titulares para a incluso dos seus dados pessoais em lista
acessvel ao pblico em geral153 ou que haja um interesse legtimo no seu tratamento154.
2-2.9. A reforma da proteo de dados na Unio Europeia

A Comisso, em 25/01/2012, apresentou um pacote legislativo com fim de proceder reforma
da legislao relativa proteo de dados da EU, que tinha sido concebida para um
determinado contexto atualmente inexistente. A rpida evoluo tecnolgica e a globalizao
alteraram profundamente a forma como os dados so recolhidos, acessveis e utilizados
(Considerando 6, do RGPD). Esta evoluo exige um quadro de proteo de dados mais
slido e coerente na Unio, de forma a superar a atual fragmentao no que respeita
aplicao e transposio da Diretiva 95/46/CE (Considerando 7 e 8, do RGPD). A reforma
visa salvaguardar os dados pessoais na EU, harmonizando as diferentes leis em vigor em toda
a UE, aumentando o controlo dos utilizadores sobre os seus prprios dados (Considerando 7,
do RGPD) e reduzindo os custos e simplificando regras para as empresas no mercado nico
digital. Foram publicados os seguintes atos normativos em 27/04/2016, com entrada em vigor
em 24/05/2016, mas cujos efeitos se produzem a partir do dia 25/05/2018:
a) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27/04/2016,
relativo proteo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e livre circulao desses dados e que revoga a Diretiva 95/46/CE
(Regulamento Geral sobre a Proteo de Dados).
b) Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27/04/2016, relativa
proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas
autoridades competentes para efeitos de preveno, investigao, deteo ou represso de
infraes penais ou execuo de sanes penais, e livre circulao desses dados, e que
149
Ac. Heinz Huber v. Bundesrepublik Deutschland, do TJUE, n. C-524/06, de 16/12/2008.
150
Ac. Volker und Markus Schecke GbR e Hartmut Eifert v. Land Hessen, do TJUE, apensos n.s C-92/09 e C-
93/09, de 09/11/2010.
151
Ac. College van Burgemeester en Wethouders van Rotterdam v. M. E. E. Rijkeboer, do TJUE, n. C-553/07,
de 07/05/2009.
152
Ac. Productores de Msica de Espaa (Promusicae) v. Telefnica de Espaa SAU, TJUE, n. C-275/06, de
29/01/2008.
153
Ac. Deutsche Telekom AG v. Bundesrepublik Deutschland, do TJUE, n C-543/09, de 05/05/2011.
154
Ac. Asociacin Nacional de Establecimientos Financieros de Crdito (ASNEF) e Federacin de Comercio
Electrnico y Marketing Directo (FECEMD) v. Administracin del Estado, do TJUE, apensos n.s C-468/10 e C-
469/10, de 24/11/2011.
35
revoga a Deciso-Quadro 2008/977/JAI do Conselho.
c) Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho, de 27/04/2016, relativa
utilizao dos dados dos registos de identificao dos passageiros (PNR) para efeitos de
preveno, deteo, investigao e represso das infraes terroristas e da criminalidade
grave.
Os atos normativos so muito extensos e de grande complexidade tcnica pelo que exige aos
Estados-Membros um grande esforo de adaptao ao novo paradigma da proteo de dados
ao nvel da formao e da reflexo. Para alm da reviso de alguns conceitos foram
introduzidos outros: introduo de um conceito de violao de dados pessoais155, o tratamento
desenvolvido da pseudonimizao156, o direito a ser esquecido157, direito portabilidade dos
dados158, princpios de proteo de dados desde a conceo e por defeito159, avaliaes de
impacto sobre proteo de dados160, o encarregado de proteo de dados161, o mecanismo de
balco nico162 e a medida das sanes previstas163.
Para alm das medidas supra referidas, a Comisso negociou um importante acordo sobre a
proteo de dados com os EUA com o objetivo de proteger os dados pessoais dos cidados
europeus transferidos entre a EU e os EUA, consubstanciado na Deciso de Execuo (UE)
2016/1250 da Comisso de 12/07/2016, relativa ao nvel de proteo assegurado pelo Escudo
de Proteo da Privacidade UE-EUA, com fundamento na Diretiva 95/46/CE do Parlamento
Europeu e do Conselho.
O Escudo de Proteo da Privacidade UE-EUA baseia-se num sistema de autocertificao
atravs do qual as organizaes dos EUA assumem o compromisso de estabelecer um
conjunto de princpios de privacidade os princpios do quadro do Escudo de Proteo da
Privacidade UE-EUA, incluindo os princpios suplementares (em seguida designados em
conjunto os princpios) emitidos pelo Department of Commerce dos EUA e constantes
do anexo II da presente deciso. aplicvel simultaneamente aos responsveis pelo
tratamento e aos subcontratantes (agentes), com a especificidade de que os subcontratantes
devem ser contratualmente obrigados a agir apenas mediante instrues do responsvel
155
Considerandos 73, 85 a 88, art.s 33 e 34, do RGPD.
156
Considerando 28, art.s 4, n 5, 25, 32, n. 1, a), e 40, do RGPD.
157
Considerandos 65, 66 e 156, e art. 17 do RGPD.
158
Considerandos 68, 73, 156, art.s 13, n. 2, al) b) e c) e 20, do RGPD.
159
Considerandos 78 e 108, art.s 25 e 47, n 2, al) d), do RGPD.
160
Considerandos 77, 84, 89 a 94, art.s 35, 36, 57, n 1, al) e 67, n 1, al) a) do RGPD.
161
Considerandos 77 e 97, art.s 13, n. 1, al) b), 30, n. 1, al) a) e n. 2, al) a), 33, n. 3, al) b), 35, n. 2, 36, n.
3, al) d), 37 a 39, 47, n 2, al) h) e 57, n. 3, do RGPD.
162
Considerandos 127 e 128, do RGPD.
163
Considerandos 11, 13, 19, 73, 148 a 150, 152 e art. 84, do RGPD.
36
europeu pelo tratamento e ajudar este ltimo a responder aos pedidos das pessoas que
exercem os seus direitos por fora destes princpios164.
164
Considerando 14, da Deciso de Execuo (UE) 2016/1250.
37
CAPTULO III O DIREITO PROTEO DE DADOS NO CONTEXTO
NACIONAL
2-3. A evoluo da lei nacional

O primeiro diploma a garantir o acesso informao pessoal foi publicado a 07/11/1872 e
cujo decreto cria o registo criminal dada a importncia do conhecimento da capacidade e
grau de confiana que podem inspirar os indivduos com quem se contrata ou a quem se
confiam valiosos interesses, no que respeita a condutas ilcitas165. O instituto da identificao
civil s surgiria com a criao do bilhete de identidade (como valioso elemento de
manuteno de ordem pblica e um poderoso meio de represso contra a criminalidade)
pelo D n. 4.837, de 25/09/1918, que regula o Arquivo de Identificao166. No decorrer do ano
de 1973, foi aprovado um pacote legislativo relacionado com o registo de nacional de
identificao e o tratamento de dados pessoais167, e sucedem-se discusses parlamentares e
constitucionais sobre tais matrias nos anos seguintes.
Portugal foi o primeiro pas a reconhecer na lei constitucional168 o direito proteo de dados
165
V. LOPES, cit. 49, p. 780.
166
O instituto sofreu inmeras alteraes das quais destacamos as ltimas alteraes com a publicao dos
seguintes diplomas: a L n. 33/99, de 18/05, que regula a identificao civil e a emisso do bilhete de identidade
de cidado nacional, e a L n. 7/2007, de 05/02 que cria o carto de cidado e rege a sua emisso e utilizao.
167
Trata-se da L n. 2/73, de 10/02, que institui o Registo Nacional de Identificao, do DL n. 555/73, de 26/02
(regulamenta a L n. 2/73, de 10/02, que institui o Registo Nacional de Identificao, define as condies de
funcionamento e utilizao e reorganiza o Centro de Informtica do Ministrio de Justia) e da L n. 3/73, de
05/04, que promulga vrias medidas respeitantes proteo da intimidade da vida privada.
168
A redao inicial do art. 35 da CRP (Utilizao da informtica. 1. Todos os cidados tm o direito de tomar
conhecimento do que constar de registos mecanogrficos a seu respeito e do fim a que se destinam as
informaes, podendo exigir a retificao dos dados e a sua atualizao. 2. A informtica no pode ser usada
para tratamento de dados referentes a convices polticas, f religiosa ou vida privada, salvo quando se trate do
processamento de dados no identificveis para fins estatsticos. 3. proibida a atribuio de um nmero
nacional nico aos cidados.) sofreu inmeras alteraes no s devido sua natureza mas, tambm, para
adaptar o contedo s normas comunitrias e outros atos relacionados com tratados internacionais que foram
entrando em vigor: (1) O art. 27, da LC n. 1/82, de 30/09, que procede primeira reviso da Constituio: 1 -
No n. 1 do artigo 35. a expresso registos mecanogrficos substituda pela expresso registos
informticos. 2 - aditado ao artigo 35. um novo n. 2, com a seguinte redao: 2. So proibidos o acesso de
terceiros a ficheiros com dados pessoais e a respetiva interconexo, bem como os fluxos de dados transfronteiras,
salvo em casos excecionais previstos na lei. 3 - O n. 2 do artigo 35. passa a constituir o n. 3 do mesmo artigo,
sendo o seu texto substitudo por: 3. A informtica no pode ser utilizada para tratamento de dados referentes a
convices filosficas ou polticas, filiao partidria ou sindical, f religiosa ou vida privada, salvo quando se
trate do processamento de dados estatsticos no individualmente identificveis. 4 - Ao artigo 35. aditado um
n. 4, com a seguinte redao: 4. A lei define o conceito de dados pessoais para efeitos de registo informtico. 5 -
O n. 3 do artigo 35. passa a constituir o n. 5 do mesmo artigo. (2) O art. 20 da LC n. 1/89, de 08/07, que
procede segunda reviso da Constituio: 1 - O n. 1 do artigo 35. substitudo por: 1. Todos os cidados tm
o direito de tomar conhecimento dos dados constantes de ficheiros ou registos informticos a seu respeito e do
fim a que se destinam, podendo exigir a sua retificao e atualizao, sem prejuzo do disposto na lei sobre
segredo de Estado e segredo de justia. 2 - O n. 2 do artigo 35. substitudo por: 2. proibido o acesso a
ficheiros e registos informticos para conhecimento de dados pessoais relativos a terceiros e respetiva
interconexo, salvo em casos excecionais previstos na lei. 3 - O n. 4 do artigo 35. substitudo por: 4. A lei
define o conceito de dados pessoais para efeitos de registo informtico, bem como de bases e bancos de dados e
38
e a adotar169 a L n. 10/91, de 29/04, Lei da Proteo de Dados Pessoais face Informtica,
referindo expressamente no art. 1 que o processamento automatizado de dados seja
transparente e no estrito respeito pela reserva da vida privada e familiar e pelos direitos,
liberdades e garantias fundamentais do cidado, e cujo principal objetivo era preparar
Portugal para a assinatura da Conveno de Aplicao do Acordo de Schengen, em 1995170. A
L n. 10/91, de 29/04, seria revogada pelo art. 51, da LPDP, que transpe a Diretiva
95/46/CE, assim como a L n. 28/94, de 29/08, que aprovou as medidas de reforo da
proteo de dados pessoais. A lei nacional, e desde logo a CRP, autonomiza o direito
proteo de dados (art. 35, da CRP) do direito reserva ou ao respeito pela vida privada (art.
80 do CC e art. 26 da CRP).
Posteriormente foram publicadas as seguintes normas pertinentes e relacionadas com o objeto
respetivas condies de acesso, constituio e utilizao por entidades pblicas e privadas. 4 - Ao artigo 35.
aditado um novo n. 6, com a seguinte redao: 6. A lei define o regime aplicvel aos fluxos de dados
transfronteiras, estabelecendo formas adequadas de proteo de dados pessoais e de outros cuja salvaguarda se
justifique por razes de interesse nacional. (3) O art. 18, da LC n. 1/97, de 20/09, que procede quarta reviso
constitucional: 1 No n. 1 do art. 35 da Constituio a expresso de tomar conhecimento dos dados
constantes de ficheiros ou registos informticos a seu respeito e do fim a que se destinam substituda por de
acesso aos dados informatizados que lhes digam respeito; aditada a expresso e o direito de conhecer a
finalidade a que se destinam, nos termos da lei, eliminando-se a parte final do preceito, que passa a ter a
seguinte redao: 1. Todos os cidados tm o direito de acesso aos dados informatizados que lhes digam
respeito, podendo exigir a sua retificao e atualizao, e o direito de conhecer a finalidade a que se destinam,
nos termos da lei. 2 O n. 2 do mesmo artigo passa a n. 4, sendo eliminadas as seguintes expresses:
ficheiros e registos informticos, para conhecimento, e respetiva interconexo, substituindo-se a
expresso relativos a por de, passando o preceito a ter a seguinte redao: 4. proibido o acesso a dados
pessoais de terceiros, salvo em casos excecionais previstos na lei. 3 No n. 3 do mesmo artigo elimina-se
ou entre f religiosa e vida privada e so aditadas as seguintes expresses: e origem tnica entre vida
privada e salvo; mediante consentimento expresso do titular, autorizao prevista por lei com garantias de
no discriminao ou para entre salvo e processamento, passando o preceito a ter a seguinte redao: 3. A
informtica no pode ser utilizada para tratamento de dados referentes a convices filosficas ou polticas,
filiao partidria ou sindical, f religiosa, vida privada e origem tnica, salvo mediante consentimento expresso
do titular, autorizao prevista por lei com garantias de no discriminao ou para processamento de dados
estatsticos no individualmente identificveis. 4 O n. 4 do mesmo artigo passa a n. 2, com aditamento, in
fine, da expresso designadamente atravs de entidade administrativa independente e a substituio de para
efeitos de registo informtico bem como de bases e bancos de dados e respetivas condies de acesso,
constituio e utilizao por entidades pblicas e privadas por bem como as condies aplicveis ao seu
tratamento automatizado, conexo, transmisso e utilizao, e garante a sua proteo, passando a ter a seguinte
redao: 2. A lei define o conceito de dados pessoais, bem como as condies aplicveis ao seu tratamento
automatizado, conexo, transmisso e utilizao, e garante a sua proteo, designadamente atravs de entidade
administrativa independente. 5 Na parte inicial do n. 6 do mesmo artigo aditada a expresso A todos
garantido livre acesso s redes informticas de uso pblico, definindo a lei, bem como a expresso e as entre
transfronteiras e formas adequadas, sendo eliminada a expresso a lei define, passando o preceito a ter a
seguinte redao: 6. A todos garantido livre acesso s redes informticas de uso pblico, definindo a lei o
regime aplicvel aos fluxos de dados transfronteiras e as formas adequadas de proteo de dados pessoais e de
outros cuja salvaguarda se justifique por razes de interesse nacional. 6 aditado um novo n. 7 ao mesmo
artigo, com a seguinte redao: 7. Os dados pessoais constantes de ficheiros manuais gozam de proteo
idntica prevista nos nmeros anteriores, nos termos da lei.
169
O TC antes da publicao da L n. 10/91, de 29/04, considerou haver um incumprimento da Constituio por
omisso de medidas legislativas previstas no n. 4, do art. 35, da CRP, e necessria para tornar exequvel a
garantia constante do n. 2 do mesmo artigo, ainda que no tenham faltado medidas legislativas nesse sentido
(Ac. do TC, n 182/89, de 01/02).
170
V. FUSTER, cit. 73.
39
da presente dissertao:
a) DL n. 7/2004, de 07/01171, que transpe para a ordem jurdica nacional a Diretiva n.
2000/31/CE, de 08/06, relativa a certos aspetos legais dos servios da sociedade de
informao, em especial do comrcio eletrnico, no mercado interno, bem como o art.
13, Diretiva n. 2002/58/CE;
b) L n. 5/2004, de 10/02172, que estabelece o regime jurdico aplicvel s redes e servios
de comunicaes eletrnicas e aos recursos e servios conexos e define as competncias
da autoridade reguladora nacional neste domnio, no mbito do processo de transposio
das Diretivas n.s 2002/19/CE, 2002/20/CE e 2002/21/CE, todas do Parlamento Europeu
e do Conselho, de 07/03173, prev a criao de uma base de dados de assinantes devedores
de servios de comunicaes eletrnicas (art. 46, da L n. 5/2004, de 10/02);
c) L n. 41/2004, de 18/08, que transpe para a ordem jurdica nacional a Diretiva n.
2002/58/CE, relativa ao tratamento de dados pessoais e proteo da privacidade no
setor das comunicaes eletrnicas, posteriormente alterada pela L n. 46/2012, de 29/08,
com as modificaes determinadas pela Diretiva n. 2009/136/CE; e,
d) L n. 32/2008, de 17/07, que transpe para a ordem jurdica interna a Diretiva n.
2006/24/CE, relativa conservao de dados gerados ou tratados no contexto da oferta de
servios de comunicaes eletrnicas publicamente disponveis ou de redes pblicas de
comunicaes.
2-3.1. O direito proteo de dados e a doutrina nacional

Com a disponibilidade dos meios tecnolgicos ao servio da comunicao de dimenso global
conjugado com os elementos informacionais, o direito proteo de dados melhor seria
designado pelo direito identidade informacional absorvendo o direito proteo de dados
pessoais e eliminando insuficincias do conceito174. De facto, o regime jurdico consagrado
tem por finalidade acautelar intromisses abusivas na vida privada das pessoas atravs da
recolha e tratamento de dados pessoais informatizados, muito embora a sua materialidade v
171
O diploma foi alterado pelo DL n. 69/2009, de 10/03 e pela L n. 46/2012, de 20/08.
172
A L n. 5/2004, de 10/02, conhecida pela Lei das Comunicaes Eletrnicas (LCE) no pretende regular o
tratamento de dados pessoais, contudo, prev que as empresas que oferecem redes e servios de comunicaes
eletrnicas esto sujeitas obrigao da proteo dos dados pessoais e da privacidade no domnio especfico
das comunicaes eletrnicas, em conformidade com a legislao aplicvel proteo de dados pessoais e da
privacidade, conforme al) h), n. 1, do art. 27, da LCE.
173
As Diretivas n.s 2002/19/CE, 2002/20/CE e 2002/21/CE foram alteradas pela Diretiva n. 2009/140/CE, do
Parlamento Europeu e do Conselho, de 25/11, e das Diretivas n.s 2002/22/CE, do Parlamento Europeu e do
Conselho, de 07/03, alterada pela Diretiva n. 2009/136/CE, do Parlamento Europeu e do Conselho, de 25/11, e
2002/77/CE, da Comisso Europeia, de 16/09.
174
V. PINHEIRO, cit. 52.
40
para alm da tutela da esfera ntima de vida de cada um relacionando-o de uma forma
mais ampla com o princpio da dignidade da pessoa humana, do desenvolvimento da
personalidade e da integridade pessoal175, o que se consubstancia no controlo de como a
informao recolhida, com que finalidade e abrangncia de como tratada e utilizada por
terceiros176. E exemplo, do anteriormente referido, que o objetivo da Diretiva 95/46/CE
assegurar a proteo das liberdades e dos direitos fundamentais das pessoas singulares,
nomeadamente do direito vida privada, no que diz respeito ao tratamento de dados pessoais
(art. 1 da Diretiva 95/46/CE). (3-5.2.). Cremos, assim, que o bem jurdico protegido pelas
normas do direito proteo de dados pessoais o direito identidade informacional que
consiste muito sumariamente no direito que assiste ao titular de controlar os seus dados
pessoais e decidir que dados podem ser disponibilizados a terceiros bem como opor-se sua
recolha e utilizao.
2-3.2. mbito de aplicao do regime do direito proteo de dados177

O n. 1, do art. 4, da LPDP, refere que a lei aplica-se ao tratamento de dados pessoais (2-4)
por meios total ou parcialmente automatizados, bem como ao tratamento por meios no
automatizados de dados pessoais contidos em ficheiros manuais ou a estes destinados. O n. 2,
do art. 4, da LPDP, acrescenta que o tratamento de dados pessoais ser efetuado (1) no
mbito das atividades de estabelecimento do responsvel do tratamento situado em territrio
portugus; (2) fora do territrio nacional, em local onde a legislao portuguesa seja aplicvel
por fora do direito internacional; e (3) por responsvel (com representante estabelecido em
Portugal) que, no estando estabelecido no territrio da Unio Europeia, recorra, para
tratamento de dados pessoais, a meios, automatizados ou no, situados no territrio portugus,
salvo se esses meios s forem utilizados para trnsito atravs do territrio da Unio Europeia.
Assim, e de acordo, com a LPDP podemos extrair as seguintes concluses que esto
intimamente ligadas entre si:
a) A lei aplicvel aos dados pessoais de pessoas singulares;
175
FARIA, Maria Paula Ribeiro de Artigo 35 (Utilizao da Informtica). In MIRANDA, Jorge; MEDEIROS,
Rui, coord. - Constituio Portuguesa Anotada, Tomo I. 2. ed., Coimbra : Wolters Kluwer Portugal, 2010. ISBN
978-972-32-1822-0. p. 786.
176
Sobre o contedo e alcance do direito proteo de dados em diversas correntes doutrinrias veja-se por
todos a obra notvel de PINHEIRO, cit. 52.
177
Note-se que as diretivas da EU so aplicveis diretamente na medida em que os Estados-Membros no podem
invocar normas de direito interno para justificar a inobservncia das obrigaes nelas previstas, sobretudo quanto
consulta para interpretar ou integrar lacunas e suprir deficincias das normas internas (cf. LPEZ, Jordi
Verdaguer; JAN, M Antonia Bergas Todo proteccin de datos. Valencia : CISS, 2013. ISBN 978-84-9954-
489-2).
41
b) O tratamento de dados no requer um suporte especfico; e,
c) O mbito territorial do direito proteo de dados pessoais depende da localizao do
estabelecimento do responsvel do tratamento de dados.
d) Necessidade de encontrar um nvel de adequao do controlo da circulao de dados
pessoais para pases terceiros ou organizaes internacionais.
2-3.2.1. Dados pessoais de pessoas singulares

A lei aplicvel aos dados pessoais, no sentido que relativa a pessoas singulares
identificadas ou identificveis (al) a), do art. 3 da LPDP, e art.s 1 e 2, al) c), do n 1 e n. 6,
do art. 30 e art. 33, da Diretiva 95/46/CE178). De acordo com o Considerando 2, da
Diretiva 95/46/CE, os sistemas de tratamento de dados esto ao servio do Homem que
devem respeitar as liberdades e os direitos fundamentais das pessoas singulares
independentemente da sua nacionalidade ou da sua residncia, especialmente a vida privada
(alis j garantido pelo art. 1, da CEDH) e o Considerando 24 que refere expressamente que
a legislao para a proteo das pessoas coletivas relativamente ao tratamento de dados que
lhes dizem respeito no afetada pela Diretiva 95/46/CE.
Contudo, a questo tem suscitado interpretaes no sentido de conceder s pessoas coletivas
os direitos e deveres compatveis com a sua natureza, como por exemplo o tratamento de
dados respeitantes a direitos fundamentais de que beneficiam como a liberdade de associao,
liberdade de empresa, direito de propriedade, entre outros, que podem constar de bases de
dados para tratamento179. Esta posio na doutrina considerada adequada nos termos desta
dissertao, acrescentando os seguintes argumentos: (1) as pessoas coletivas podem alcanar
esta proteo interpretando de forma analgica a proteo dos interesses legtimos, previstos
no art. 8 da CDFUE, dentro do especial contexto do destinatrios da normas jurdicas da EU
no que respeita ao mercado nico e direito da concorrncia180; (2) existem algumas
disposies da L n. 41/2004, de 18/08 que so extensveis s pessoas coletivas para
especificar e complementar as disposies da LPDP (conforme os n.s 2 e 3, do art. 1), como
por exemplo, as relativas s listas de assinantes e comunicaes no solicitadas a pessoas
coletivas (art. 13 e segs.); e (3) a tendncia jurisprudencial do TJUE, destacando-se com o
178
O RGPD refere-se s pessoas singulares ao longo do texto.
179
V. CANOTILHO, J.J. Gomes, MOREIRA, Vital - Constituio da Repblica Portuguesa Anotada Vol. I. 4.
ed. rev. e reimp., Coimbra : Coimbra Editora, 2014. ISBN 978-972-32-2286-9. p. 547-558.
180
V. NANCLARES, Jos Martn y Prez de Artigo 8 (Proteccin de datos de carcter personal). In
MARTN, Araceli Mangas e ALONSO, Luis N. Gonzlez, coord. - Carta de los Derechos Fundamentales de la
Unin Europea - Comentario artculo por artculo, 1. ed., Bilbao : Fundacin BBVA, 2008. ISBN 978-84-
96515-80-2. p. 223-243.
42
incio da declarao da existncia de um direito subjetivo das empresas inviolabilidade do
seu domiclio181, no sentido do n. 1, do art. 8 da CEDH.
O alargamento da transposio da Diretiva 95/46/CE, pelos Estados-Membros, no que se
refere ao mbito de aplicao s pessoas coletivas possvel182 desde que nenhuma outra
disposio do direito da EU o impea, valendo o mesmo princpio para as pessoas falecidas183
(por exemplo, o segredo mdico no finda com a morte do doente) e para os nascituros,
limitada no tempo ao perodo da gravidez184.
2-3.2.2. O tratamento de dados no requer um suporte especfico

A lei constitucional e ordinria confere proteo ao tratamento de dados pessoais por meios,
total ou parcialmente automatizados, conferindo-se igual proteo ao tratamento por meios
no automatizados de dados pessoais contidos em ficheiros manuais185, que devem ser
estruturados186 de acordo com critrios especficos relativos s pessoas que permitam um
acesso fcil aos dados pessoais (Considerando 29, da Diretiva 95/46/CE e al) c), do art. 3, da
LPDP), excluindo-se do mbito de aplicao os ficheiros relativos ao tratamento de dados
pessoais efetuado por pessoa singular no exerccio de atividades exclusivamente pessoais ou
domsticas. O conceito de tratamento de dados est delimitado, na al) b), do art. 3, da LPDP,
ou seja, qualquer operao ou conjunto de operaes sobre dados pessoais, efetuadas com ou
sem meios automatizados, tais como a recolha, o registo, a organizao, a conservao, a
adaptao ou alterao, a recuperao, a consulta, a utilizao, a comunicao por
transmisso, por difuso ou por qualquer outra forma de colocao disposio, com
comparao ou interconexo, bem como o bloqueio, apagamento ou destruio (al) b), do art.
2, da Diretiva 95/46/CE e n. 2, do art. 4, do RGPD); e dentro dos limites fixados pelos
art.s 5 a 20, da LPDP (art.s 5 a 21, da Diretiva 95/46/CE, e n. 2, do art. 8, da CDFUE).
Acresce ainda que, nos termos do n. 7, do art. 4, da LPDP, que a lei aplica-se ao tratamento
181
Par. 17 e 19, do Ac. Hoechst AG, v. Comisso das Comunidades Europeias, do TJUE, apensos n.s 46/87 e
227/88, de 21/09/1989.
182
Par. 98, do Ac. Bodil Lindqvist, do TJUE, n C-101/01, de 06/11/2003.
183
O RGPD refere que no se aplica aos dados pessoais de pessoas falecidas, cabendo aos Estados-Membros
estabelecer regras para o tratamento dos dados pessoais de pessoas falecidas (Considerando 27, do RGPD).
184
GT29 - Parecer 4/2007 sobre o conceito de dados pessoais. [Em linha]. 01248/07/ PT, WP 136. Brussels
(Belgium), (20/06/2007). [Consult. 12 Dez. 2014]. Disponvel em WWW <http://ec.europa.eu/justice/
policies/privacy/docs/wpdocs/2007/wp136_pt.pdf>
185
V. Deliberao da CNPD, n. 14/2002, de 15/01 [Em linha]. [Consult. 29 mar. 2015]. Disponvel em WWW
<https://www.cnpd.pt/bin/orientacoes/DEL14-2002-REGIME-DADOS-MANUAIS.pdf>, sobre o regime relativo
ao tratamento de dados pessoais em ficheiros manuais.
186
Nos termos do n. 6, do art. 4, do RGPD, ficheiro qualquer conjunto estruturado de dados pessoais,
acessvel segundo critrios especficos, quer seja centralizado, descentralizado ou repartido de modo funcional
ou geogrfico
43
de dados pessoais que tenham por objetivo a segurana pblica, a defesa nacional e a
segurana do Estado, sem prejuzo do disposto em normas especiais constantes de
instrumentos de direito internacional a que Portugal se vincule e de legislao especfica
atinente aos respetivos setores.
2-3.2.3. O mbito territorial do direito proteo de dados pessoais

A LPDP prev expressamente os casos de aplicao de mbito territorial da lei nacional187,
cujos critrios para determinar a sua aplicao, dependem da localizao do estabelecimento
do responsvel pelo tratamento e a localizao dos meios ou equipamento utilizados. A lei
nacional aplica-se:
a) No mbito das atividades de estabelecimento do responsvel do tratamento situado em
territrio portugus (art. 4, n 3, al) a), da LPDP). O conceito de estabelecimento deve
ser flexvel dependendo do grau de estabilidade como a realidade do exerccio das
atividades onde se encontra instalado e se o contexto do tratamento de dados efetivado
no contexto dessas atividades188. A sede formal do estabelecimento e o princpio da
nacionalidade dos titulares dos dados irrelevante para efeitos de aplicao da lei
nacional189 190.
187
O mbito de aplicao territorial da Diretiva 95/46/CE no se limita aos 28 Estados-Membros da UE,
incluindo tambm os Estados que no so membros da UE mas que fazem parte do Espao Econmico Europeu
(EEE) a saber, a Islndia, o Listenstaine e a Noruega. A RAR n. 35/92, de 18 de Dezembro, aprovou para
ratificao e publica em anexo o Acordo Sobre o Espao Econmico Europeu (EEE) e os respetivos anexos,
protocolos e declaraes, bem como a ata final, com os seus anexos, assinados no Porto, em 02/05/1992,
concludo entre a Comunidade Econmica Europeia, a Comunidade Europeia do Carvo e do Ao, o Reino da
Blgica, o Reino da Dinamarca, a Repblica Federal da Alemanha, a Repblica Helnica, o Reino de Espanha, a
Repblica Francesa, a Irlanda, a Repblica Italiana, o Gro-Ducado do Luxemburgo, o Reino dos Pases Baixos,
a Repblica Portuguesa, o Reino Unido da Gr-Bretanha e Irlanda do Norte, a Repblica da ustria, a Repblica
da Finlndia, a Repblica da Islndia, o Principado do Liechtenstein, o Reino da Noruega, o Reino da Sucia e a
Confederao Sua e ratificados pelo DPR n. 59/92, de 18/12, entrando em vigor na ordem jurdica portuguesa
a 18/12/1992. O Espao Econmico Europeu (EEA) composto pelos Estados-Membros da UE e 3 pases da
Associao Europeia de Comrcio Livre (EFTA), Islndia, Listenstaine e Noruega.
188
V. GT29 - Parecer 8/2010 sobre a lei aplicvel [Em linha]. 0836-02/10/PT WP 179. Brussels (Belgium),
(16/12/2010). [Consult. 12 Dez. 2014]. Disponvel em WWW <http://ec.europa.eu/justice/data-protection/
article-29/documentation/opinion-recommenda tion/files/2010/wp179_pt.pdf>; e tambm, Ac. Weltimmo, do
TJUE, n. C230/14, de 01/10/2015 e recordamos o pargrafo 60, do Ac. Google Spain SL, Google Inc. v.
Agencia Espaola de Proteccin de Datos (AEPD), Mario Costeja Gonzlez, do TJUE, n. C131/12, de
13/05/2014 Decorre do que precede que h que responder primeira questo, alnea a), que o artigo 4., n. 1,
alnea a), da Diretiva 95/46 deve ser interpretado no sentido de que efetuado um tratamento de dados pessoais
no contexto das atividades de um estabelecimento do responsvel por esse tratamento no territrio de um Estado-
Membro, na aceo desta disposio, quando o operador de um motor de busca cria num Estado-Membro uma
sucursal ou uma filial destinada a assegurar a promoo e a venda dos espaos publicitrios propostos por esse
motor de busca, cuja atividade dirigida aos habitantes desse Estado-Membro, no sendo determinantes, para
este efeito, nem a nacionalidade, nem o local de residncia habitual das pessoas em causa, nem a localizao
fsica dos dados pessoais (do pargrafo 55, das Concluses do advogado-geral Niilo Jskinen, apresentadas
em 25/06/2013, no Ac. Google Spain SL, Google Inc. v. Agencia Espaola de Proteccin de Datos (AEPD),
Mario Costeja Gonzlez, do TJUE, n. C-131/12, de 13/05/2014).
189
O mbito territorial abrange o fornecedor de motores de pesquisa que trate dados pessoais na medida em que
44
b) Fora do territrio nacional, em local onde a legislao portuguesa seja aplicvel por fora
do direito internacional (art. 4, n 3, al) b), da LPDP), ou seja depende de critrios
decorrentes do direito internacional pblico para situaes especficas como, por
exemplo, a determinao da lei aplicvel por acordo internacional para uma embaixada,
ou a previso de um estatuto especial para uma misso ou organizao internacional191.
c) Por responsvel (com representante designado em Portugal) que, no estando
estabelecido no territrio da Unio Europeia, recorra, para tratamento de dados pessoais,
a meios, automatizados ou no, situados no territrio portugus, salvo se esses meios s
forem utilizados para trnsito atravs do territrio da Unio Europeia art. 4, n 3, al) c),
da LPDP). Trata-se de evitar lacunas no exerccio do direito proteo de dados pessoais
desde que haja uma inteno inequvoca de proceder ao tratamento de dados no mbito
de uma determinada atividade do responsvel pelo seu tratamento192. Assume extrema
importncia a identificao do papel do responsvel de dados e os meios que so
utilizados para recolher e tratar os dados. Por meios, no mbito da IAm, podem entender-
se todos os objetos que so utilizados para tratar os dados recolhidos atravs de
dispositivos prprios (contadores de passos, detetores de fumos, relgios conectados,
entre outros) e dispositivos terminais de utilizadores193 (telemveis inteligentes,
computadores-tablete, televisores com ligao internet, etc) dotados de software
especfico para esse fim e que podem envolver diversas partes que assumem o papel de
responsveis de tratamento de dados: os fabricantes de dispositivos, as plataformas
sociais, os criadores de aplicaes de terceiros, os terceiros194, etc.
Com a produo de efeitos a partir de maio de 2018, o art. 3 do RGPD alarga o mbito
territorial, pois, aplica-se ao tratamento de dados pessoais efetuado no contexto das
atividades de um estabelecimento de um responsvel pelo tratamento ou de um subcontratante
situado no territrio da Unio, independentemente de o tratamento ocorrer dentro ou fora da
Unio (resolvendo algumas questes relacionadas com a Nuvem), e ainda, ao tratamento de
dados pessoais de titulares residentes no territrio da Unio, efetuado por um responsvel pelo
tratamento ou subcontratante no estabelecido na Unio, quando as atividades de tratamento
considerado como um responsvel pelo tratamento destes dados pessoais (v. GT29 - Parecer 1/2008 sobre
questes de proteco dos dados ligadas aos motores de pesquisa [Em linha]. 00737/PT, WP 148. Brussels
(Belgium), (04/04/2008). [Consult. 12 Dez. 2014]. Disponvel em WWW <http://ec.europa.eu/justice/data-
protection/article-29/documentation/opinion-recommendation/files/2008/wp148_pt.pdf>).
190
V. GT29, cit. 189.
191
V. GT29, cit. 188.
192
V. GT29, cit. 188.
193
V. nota n. 4, sobre o conceito de equipamento.
194
V. GT29, cit. 3.
45
estejam relacionadas com: a) a oferta de bens ou servios a esses titulares de dados na Unio,
independentemente da exigncia de os titulares dos dados procederem a um pagamento; b) o
controlo do seu comportamento, desde que esse comportamento tenha lugar na Unio (cujo
objetivo de proteo se relaciona com os modelos de negcio baseado em grandes dados e
monitorizao do comportamento em linha).
2-3.2.4. A transferncia de dados para fora da Unio Europeia

A transferncia de dados pessoais para pases terceiros determinada pelo nvel de adequao
do controlo da circulao de dados pessoais, nos termos do disposto dos art.s 19 e 20, da
LPDP e art.s 25 e 26, da Diretiva 95/46/CE195. A adequao do nvel de proteo num
Estado que no pertena Unio Europeia apreciada em funo de todas as circunstncias
que rodeiem a transferncia ou o conjunto de transferncias de dados; em especial, devem ser
tidas em considerao a natureza dos dados, a finalidade e a durao do tratamento ou
tratamentos projetados, os pases de origem e de destino final, as regras de direito, gerais ou
setoriais, em vigor no Estado em causa, bem como as regras profissionais e as medidas de
segurana que so respeitadas nesse Estado (art. 19, n 2, da LPDP). A CNPD pode decidir
se um Estado que no pertena Unio Europeia assegura um nvel de proteo adequado,
salvo se a Comisso tiver considerado o contrrio (art. 19, n 3 e 5, da LPDP e art. 25, n.
4, da Diretiva n. 95/46/CE).
A Comisso tem o poder de determinar, com base no n. 6, do art. 25 da Diretiva 95/46/CE,
se um pas terceiro garante um nvel de proteo adequado em virtude do seu direito interno
ou dos compromissos internacionais assumidos196.
195
Dado que a Diretiva 95/46/CE no define nem no artigo 25. nem em qualquer outra disposio,
nomeadamente, o art. 2, o conceito de transferncia para um pas terceiro o TJUE fixou jurisprudncia no
sentido de que no existe uma transferncia para um pas terceiro de dados na aceo do art. 25., da
Diretiva 95/46/CE quando uma pessoa que se encontra num Estado-Membro insere numa pgina Internet,
armazenada num fornecedor de servios de anfitrio que est estabelecido nesse mesmo Estado ou noutro
Estado-Membro, dados de carter pessoal, tornando-os deste modo acessveis a qualquer pessoa que se ligue
Internet, incluindo pessoas que se encontram em pases terceiros atendendo evoluo da internet data da
publicao da referida diretiva bem como no se poderia presumir algo que no estava previsto, conforme
Pargrafos 52, 56 e 71, do Ac. Bodil Lindqvist, do TJUE, n C-101/01, de 06/11/2003.
196
A deciso da Comisso Europeia deve cumprir alguns procedimentos prvios tais como: (1) a Comisso
elabora uma proposta (2) o GT29 elabora um parecer conforme consulta das autoridades de proteo de dados
dos Estados-Membros e da Autoridade Europeia para a Proteo de Dados; (3) a aprovao do "Comit do artigo
31.", composto por representantes dos Estados-Membros; (4) a adoo da deciso pelo Colgio de Comissrios;
(5) podendo ainda em qualquer momento, o Parlamento Europeu e o Conselho solicitar Comisso que
mantenha, altere ou retire a deciso de adequao com base no facto da sua proposta exceder as competncias de
execuo previstas na diretiva. At data, a Comisso reconheceu que Andorra, Argentina, Canad
(organizaes comerciais), Ilhas Faro, Guernsey, Israel, Ilha de Man, Jersey, Nova Zelndia, Sua e Uruguai
fornecem uma proteo adequada. (vide 2-29, para o caso especial do novo equilbrio encontrado entre a EU e os
EUA). Estas decises de adequao no abrangem as trocas no setor da aplicao da lei. Existem acordos
especiais relativos s trocas de dados neste domnio, como por exemplo, os acordos PNR (Passenger Name
46
Com a produo de efeitos a partir de maio de 2018, e nos termos dos art.s 44 a 50, do
RGPD, qualquer transferncia de dados pessoais que seja ou venha a ser objeto de tratamento
aps transferncia para um pas terceiro ou uma organizao internacional s pode ser
efetuada, no estrito cumprimento de todas as normas do regulamento, e cujas condies
devem ser respeitadas pelo responsvel pelo tratamento e pelo subcontratante, incluindo o que
diz respeito s transferncias ulteriores. As transferncias realizadas com base numa deciso
de adequao, pela Comisso, no exigem autorizaes especficas (n. 1, do art. 45, do
RGPD), porm, no tendo sido tomada qualquer deciso pela Comisso, os responsveis pelo
tratamento ou subcontratantes s podem transferir dados pessoais para um pas terceiro ou
uma organizao internacional se tiverem apresentado garantias adequadas, e na condio de
os titulares dos dados gozarem de direitos oponveis e de medidas jurdicas corretivas eficazes
(n. 2, do art. 46, do RGPD). As garantias adequadas podem estar previstas (1) num
instrumento juridicamente vinculativo e com fora executiva entre autoridades ou organismos
pblicos; (2) existirem regras vinculativas aplicveis s empresas; (3) clusulas-tipo de
proteo de dados adotadas pela Comisso; (4) clusulas-tipo de proteo de dados adotadas
por uma autoridade de controlo e aprovadas pela Comisso; (5) um cdigo de conduta; e (6)
num procedimento de certificao.
Record) e TFTP (Terrorist Financing Tracking Program).
47
CAPTULO IV CONCEITOS E DEFINIES DE DADOS PESSOAIS
2-4. Definio de dados pessoais

Portugal na transposio da Diretiva 95/46/CE acompanhou as iniciativas da Organizaes
Internacionais197, nomeadamente, a Conveno 108 e das Diretrizes sobre a Privacidade198, e
a decises proferidas pelo TEDH e TJUE, ampliando a definio legal.
Pese a mxima latina de que toda a definio em direito perigosa199, a al) a) do art. 3, da
LPDP define dados pessoais como qualquer informao, de qualquer natureza e
independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa
singular identificada ou identificvel, acrescentando que considerada identificvel a pessoa
que possa ser identificada direta ou indiretamente, designadamente por referncia a um
nmero de identificao ou a um ou mais elementos especficos da sua identidade fsica,
fisiolgica, psquica, econmica, cultural ou social. So dados pessoais para alm daqueles
que possibilitam a identificao direta de uma pessoa, aqueles, que sem esforo excessivo,
permitem chegar a essa identificao200. De acordo com o princpio do reconhecimento201, os
dados como uma sequncia de smbolos quantificados ou quantificveis apenas so relevantes
se associados a uma pessoa, dependendo de trs elementos no cumulativos e da anlise das
circunstncias do caso concreto quanto: (1) ao contedo, ou seja, tudo o que sobre
determinada pessoa; (2) finalidade, ou seja, quando os dados so tratados com um
determinado objetivo; e (3) ao resultado, ou seja, a utilizao dos dados provoca um
determinado impacto na esfera jurdica do titular, sendo suficiente que a pessoa possa ser
tratada de forma diferente de outras pessoas como resultado do tratamento dos dados
pessoais202.
2-4.1. Natureza da informao

A informao relativa a uma pessoa pode ser objetiva ou subjetiva.
A informao objetiva preocupa-se com a maior aproximao realidade factual e
mensurvel, como qualquer informao numrica, alfabtica, grfica, imagtica ou
197
Com o objetivo de alcanar um elevado nvel de proteo j reconhecido no art. 8 da CEDH (Considerando
10, da Diretiva 95/46/CE).
198
GONALVES, Maria Eduarda - Direito da Informao. Novos direitos e formas de regulao na sociedade
da informao. Coimbra : Almedina, 2003. ISBN 978-972-4019-08-6. p. 88
199
Omnis definitio in jure civili periculosa est, parum est enim ut non subverti possit (Toda a definio em
direito perigosa, porque h muito pouco que no possa ser impugnado).
200
Vide Considerando 26, da Diretiva 95/46/CE e art. 2 da Conveno 108.
201
V. PINHEIRO, cit. 52.
202
GT29, cit. 184, p. 11.
48
acstica203, ainda que no tenha de ser necessariamente verdadeira, pois, a LPDP prev o
direito de acesso, retificao e eliminao dos dados pelo seu titular204. Mas h uma
preocupao com a exatido dos dados associados pessoa, por exemplo, quanto ao nome,
filiao, nacionalidade, data de nascimento, dados biomtricos (relativos ao aspeto fsico, tais
como: sexo, altura, peso, imagem facial205, geometria da mo e impresso digital,
reconhecimento da ris e retina, nmeros de identificao206 (civil207, fiscal208, segurana
social209, passaporte210, carta de conduo211), domiclio212, cdigo postal213, comunicaes
eletrnicas por endereo de correio eletrnico e telefone214, informao gentica e informao
de sade (passada, presente e futura, fsica e mental)215, filiao sindical ou partidria, grau de
instruo, profisso, orientao e vida sexual, origem racial ou tnica, as opinies polticas, as
convices religiosas ou filosficas.
203
No seguimento da redao do al) f) do art. 5, do RD 1.720/2007, de 21/12, Reglamento de proteccin de
datos de carcter personal.
204
GT29, cit. 184.
205
Pargrafos 86, 89 e 90, do Ac. Verlagsgruppe News GmbH and Bobi v. Austria, do TEDH, n. 59.631/09, de
04/12/2012. A rede social Facebook desenvolveu uma aplicao denominada DeepFace para reconhecer o rosto
de pessoas na internet. Esta aplicao sugere que o Facebook recolhe e armazena fotografias e por isso encontra-
se em discusso nos Tribunais Americanos, j que foi objeto de um processo judicial (John Nadolenco, Lauren
R. Goldman e Archis A. Parasharami v. Facebook, United States District Court Northern District of California
San Francisco Division Inc. - 3:15-cv-03747-JD Document 69 Filed 10/09/15).
206
Nos termos do n. 5, do art. 35, da CRP, proibida a atribuio de um nmero nacional nico aos cidados,
que funciona como garantia dos direitos consagrados nos n.s 1 a 4, do art. 35, da CRP, dificultando o
tratamento de dados pessoais e a sua interconexo, que seria facilitada com um identificador numrico comum
(CANOTILHO & MOREIRA, cit. 179), entre diversos setores de atividade e sob pena de temer a reproduo
do mundo de Orwell e a total perda da privacidade e de algumas liberdades bsicas do cidado (V. FARIA, cit.
175, p. 801).
207
L n. 7/2007, de 05/02, que cria o carto de cidado e rege a sua emisso e utilizao (alterada pela L n.
91/2015, de 12/08).
208
DL n. 14/2013, de 28/01, que procede sistematizao e harmonizao da legislao referente ao nmero de
identificao fiscal.
209
L n. 110/2009, de 16/09, que aprova o Cdigo dos Regimes Contributivos do Sistema Previdencial de
Segurana Social, tendo sofrido diversas alteraes.
210
DL n. 83/2000, de 11/05, que aprova o novo regime legal da concesso e emisso dos passaportes, tendo
sofrido diversas alteraes.
211
DL n. 138/2012, de 05/07, que altera o Cdigo da Estrada e aprova o Regulamento da Habilitao Legal para
Conduzir, transpondo parcialmente a Diretiva n. 2006/126/CE, do Parlamento Europeu e do Conselho, de 20/12,
alterada pelas Diretivas n.s 2009/113/CE, da Comisso, de 25/08, e 2011/94/UE, da Comisso, de 28/11,
relativas carta de conduo, tendo sofrido diversas alteraes.
212
V. AEPD. Informe 182/2008 [Em linha]. [Consult. 20 mai. 2015]. Disponvel em WWW <https://www.
agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/ambito_aplicacion/common/pdfs/2008-
0182_La-vivienda-es-un-dato-de-car-aa-cter-personal-sometido-a-la-ley-org-aa-nica-15-b-1999.pdf>.
213
Nos Estados de Massachusetts e Califrnia (EUA) o cdigo postal um dado pessoal, nos termos da
legislao em vigor v. PAYTON, CLAYPOOLE, cit. 1.
214
Ac. Copland v. the United Kingdom, do TEDH, n. 62.617/00, de 03/07/2007.
215
L n. 12/2005, de 26/01, que regula a informao gentica pessoal e informao de sade, alterada pela L n.
26/2016, de 22/08, que aprova o regime de acesso informao administrativa e ambiental e de reutilizao dos
documentos administrativos, transpondo a Diretiva 2003/4/CE, 28/01, e Diretiva 2003/98/CE, 17/11, tendo sido
regulamentada pelo DL n. 131/2014, de 29/08, no que se refere proteo e confidencialidade da informao
gentica, s bases de dados genticos humanos com fins de prestao de cuidados de sade e investigao em
sade.
49
A informao subjetiva inclui juzos de valor que podem ser extrados das evidncias factuais
e observveis, variando em funo do recetor e do seu estado de conhecimento 216. A
informao subjetiva constri-se e inter-relaciona-se com outros dados do conhecimento e a
sensibilidade do analista, como, por exemplo, os traos comportamentais quanto ao padro da
escrita (para efeitos de prova que fundamente a prtica de um crime de falsificao de
assinatura), a presuno sobre o estado de gravidez com fundamento no registo de compras
(com o fim de potenciar a venda de produtos especficos)217, etc. O principal problema que a
abordagem atual no processamento de dados pessoais define caractersticas dos dados que
podem dar origem a uma perceo distorcida atribuda a um determinado titular potenciando o
risco de violao do direito proteo dos dados pessoais. O tratamento de dados pelo
analista, que os recebe e manipula, influencia a avaliao da informao, e em consequncia,
a confiana no resultado da informao extrada.
2-4.1.1. Identificao de objetos

O conceito de dados pessoais evolui e acompanha o ritmo acelerado da inovao tecnolgica
cujo contributo dos sistemas RFID foi fundamental na medida em que permitem identificar
um objeto e no uma pessoa, embora seja evidente que por detrs da localizao do objeto
est o seu proprietrio218. Se as informaes relativas a objetos que registam o comportamento
de uma pessoa, ainda que no identificada, apelam eventual identificao tendo em conta o
resultado ou finalidade que se pretendem alcanar219 so consideradas dados pessoais. Esta
questo, no entanto, suscita dvidas tanto pelo esprito da LPDP como da Diretiva 95/46/CE,
aplicveis a pessoas identificadas ou identificveis, nomeadamente, para exercer os direitos de
acesso a informao na posse de terceiros. A questo foi colocada pelo Tribunal Federal
Alemo ao TJUE sobre se os endereos IP220 cabem no mbito da definio de dados pessoais
216
A informao vai sendo construda ao longo do ciclo da vida da pessoa que vai acumulando dados e
informaes desde que nasce at morrer.
217
DUHIGG, Charles - How Companies Learn Your Secrets [Em linha]. In The New York Times (16/02/2012).
[Consult. 18 de jun. 2014]. Disponvel em WWW <http://emoglen.law.columbia.edu/twiki/pub/CompPriv
Const/HowCompaniesLearnOurConsumingSecrets/How_Companies_Learn_Your_Secrets_NYTimes.com.pdf>.
218
MARCOS, Isabel Davara Fernndez de - Hacia la estandarizacin de la proteccin de datos personales:
Propuesta sobre una tercera va o tertium genus internacional. Madrid : La Ley, 2011. ISBN 978-84-8126-
827-0. p. 142.
219
V. Working document on data protection issues related to RFID technology [Em linha]. 10107/05/EN, WP
105. Brussels (Belgium), (19/01/2005). [Consult. 1 Abr. 2015]. Disponvel em WWW <http://ec.europa.eu/
justice/policies/privacy/docs/wpdocs/2005/ wp105_en.pdf>.
220
O Protocolo de Internet (IP) o mtodo pelo qual os dados so enviados de um dispositivo eletrnico
(computador, impressora, telefone inteligente, etc.) para outro na Internet. Cada dispositivo na Internet tem pelo
menos um endereo IP que o identifica de forma exclusiva de todos os outros computadores da Internet. Os
dados quando so enviados esto divididos em partes e so recebidos por outro protocolo, o TCP (sigla oriunda
do ingls: Transmission Control Protocol significa protocolo de controle de transmisso) que os coloca
50
foi respondida afirmativamente, ou seja, que a al) a), do art. 2 da Diretiva 95/46/CE, deve
ser interpretada no sentido de que um endereo IP dinmico registado por um prestador de
servios de meios de comunicao em linha aquando da consulta por uma pessoa de um stio
Internet que esse prestador disponibiliza ao pblico constitui, relativamente a esse prestador,
um dado pessoal, () quando este disponha de meios legais que lhe permitam identificar a
pessoa em causa graas s informaes suplementares que o fornecedor de acesso Internet
dessa pessoa dispe221. O IP para o GT29 um dado pessoal na medida em que permite
estabelecer uma ligao entre o endereo IP esttico ou dinmico a determinada pessoa
recorrendo a testemunhos de conexo ou aos sistemas modernos de extrao de dados mesmo
quando so processadas grandes quantidades de informao. A Diretiva 95/46/CE aplica-se ao
tratamento de dados pessoais e a todas as questes que no sejam especificamente abrangidas
pela Diretiva 2002/58/CE222. Os Estados-Membros tm tido posies distintas quanto a esta
matria223. Em Portugal, o IP considerado, na doutrina, um dado pessoal na medida em que
permite a identificao do seu utilizador atravs do rastreio dos dados transferidos224.
Questes semelhantes podem ser colocadas quanto ao telemvel que transmite informaes
sobre localizao atravs do GPS225, do servio Google Latitude ou da rede geossocial
Foursquare.
Note-se que o dado operacionalizado no mundo abstrato de sistemas de informao mas
projetado especificamente como um identificador, ou pode ser um composto de dados
relacionados com uma pessoa que a torna identificvel. O uso potencial de informaes
inferidas de hbitos em linha pelos IPs pode ir muito alm de apenas fornecer mensagens
publicitrias, dado que podem ser usados para a classificao social e prticas
discriminatrias, como os preos dinmicos e discriminao de preos, limitando o princpio
da liberdade de celebrao de contratos.
novamente na ordem certa. A IANA ou Autoridade para Atribuio de Nmeros da Internet (da sigla oriunda do
ingls: Internet Assigned Numbers Authority) a entidade mundial que supervisiona a atribuio global dos
nmeros na Internet - entre os quais esto os nmeros das portas, os endereos IP, sistemas autnomos,
servidores-raiz de nmeros de domnio DNS e outros recursos relativos aos protocolos de Internet.
221
Pargrafo 49, do Ac. Patrick Breyer v. Bundesrepublik Deutschland, do TJUE, n. C582/14, de 19/10/2016.
222
V. GT29 - Documento de trabalho, Privacidade na Internet - Uma abordagem integrada da EU no domnio da
proteo de dados em linha [Em linha]. 5063/00/PT/FINAL, WP 37. Brussels (Belgium), (21/11/2000).
[Consult. 14 Fev. 2015]. Disponvel em WWW <http:// ec.europa.eu/justice/data-protection/article-29/
documentation/opinion-recommendation/files/2000/wp37_pt.pdf#h2-16>, e tambm, GT29, cit. 184.
223
TIMELEX - Study of case law on the circumstances in which IP addresses are considered personal data
(SMART 2010/12) D3. Final report [Em linha]. (2011) [Consult. 16 Abr. 2015]. Disponvel em WWW <http://
www.timelex.eu/frontend/files/userfiles/files/publications/2011/IP_addresses_report_-_Final.pdf>
224
V. CASTRO, cit. 38 e CASTRO, Catarina Sarmento - Artigo 8 (Proteo de dados pessoais). In SILVEIRA,
Alessandra, CANOTILHO, Mariana, coord. - Carta dos Direitos Fundamentais da Unio Europeia Comentada.
Coimbra : Almedina, 2013. ISBN 978-97-2405-120-8. p. 120-128.
225
O Ac. Uzun v. Germany, do TEDH n. 35.623/05, de 02/09/2010, considera uma ingerncia na vida privada a
vigilncia por GPS.
51
2-4.2. Contedo e suporte da informao
Os dados pessoais incluem todo o tipo de informao desde que permita identificar, direta ou
indiretamente, uma pessoa226, ou seja, abrangem no s a informaes relativas vida privada
mas, tambm, sobre a vida profissional227 ou pblica228, no sentido lactu sensu229. Para o
GT29, a informao sobre pessoas coletivas pode ser considerada como relativa a pessoas
singulares, quando o critrio do contedo, da finalidade ou do resultado permitirem que
a informao sobre a pessoa coletiva ou sobre a empresa seja considerada como relativa a
uma pessoa singular, esta dever ser considerada como dados pessoais e as regras de proteo
de dados devero aplicar-se230, apontando exemplos, como o caso de quando o nome de
uma pessoa coletiva deriva de uma pessoa singular ou o endereo eletrnico que
normalmente utilizado pelo colaborador.
A informao pode estar registada em qualquer suporte conhecido (manual, magntico,
eletrnico, sistema em linha, etc.) ou que venha a ser conhecido (automatizado ou no). Os
meios de transmisso desses dados no tm relevncia para efeitos da legislao de proteo
de dados231, como por exemplo a fotografia232.
2-4.3. Identificabilidade de uma pessoa

Nos termos da al) a), do n. 1, do art. 3, da LPDP, considerada identificvel a pessoa que
possa ser identificada direta ou indiretamente233, designadamente por referncia a um nmero
de identificao ou a um ou mais elementos especficos da sua identidade fsica, fisiolgica,
psquica, econmica, cultural ou social.
A amplitude do conceito de dados pessoais parece infinita234. O termo identidade est
omnipresente na cincia social contempornea235 e tambm para efeitos do conceito em
anlise devem ser consideradas todas as unidades de informao na sua aceo prtica e
226
Al) a) do art. 2, da Conveno 108 e al) a) do n. 1, das Linhas Diretrizes da Privacidade.
227
Pargrafo 29 do Ac. Michaud c. France do TEDH n. 12.323 de 06/12/2012 e 91 do Ac. Niemietz c.
Germany, do TEDH n. 13.710/88, de 16/12/1992.
228
Ac. Bodil Lindqvist, do TJUE, n C-101/01, de 06/11/2003.
229
Pargrafo 65, do Ac. Amann v. Switzerland, do TEDH n. 27.798/95, de 16/02/2000.
230
GT29, cit. 184. p. 25.
231
FRA; CdE - Manual da Legislao Europeia sobre Proteo de Dados [Em linha]. Luxemburgo : Servio das
Publicaes da Unio Europeia, 2014. [Consult. 10 dez. 2014]. Disponvel em WWW <http://www.cnpd.pt/bin
/legis/internacional/fra-2014-handbook-data-protection-pt.pdf> ISBN 978-92-871-9939-3 (CdE) ISBN 978-92-
9239-498-1 (FRA).
232
Ac. Sciacca v. Italy, do TEDH n. 50.774/99, de 11/01/2005.
233
Neste sentido, anteriormente publicao da LPDP, o Ac. do TC n. 355/97, de 07/05/1997.
234
MARCOS, cit. 218, p. 145.
235
STRYKER, Sheldon; BURKE, Peter J. - The Past, Present, and Future of an Identity Theory [Em linha]. In
Social Psychology Quarterly, Vol. 63, n. 4 (dec. 2000), Special Millenium Issue on the State of Sociological
Social Psychology. American Sociological Association. p. 284-297 [Consult. 19 jan. 2015]. Disponvel em
WWW <http://www.jstor.org/stable/2695840> ISSN 0190-2725.
52
terica. H uma dialtica fundamental entre a pessoa desde que nasce subjacente interao
social manifestada atravs de gestos, linguagem, smbolos de status e todo o tipo de
aparncias236. A identificabilidade construda em funo dos dados criados por cada um ou
determinados pelos outros, no contexto social em que se insere. A identidade pode ser
definida como o conjunto de caractersticas237 que representam uma pessoa na sua dimenso
esttica (fsica e fisiolgica) ou dinmica (como resultado do comportamento numa
comunidade238).
A utilizao dos servios disponveis em linha veio possibilitar a maior partilha de informao
da esfera privada permitindo a terceiros identificar uma pessoa recorrendo sua pegada
digital. Os dados contidos na pegada digital permitem traar perfis parciais239 em diferentes
domnios: relao com a famlia, atividade profissional, administrao tributria, servios de
sade, servios bancrios, redes sociais, compras, cio, entre outros. As pessoas
desempenham mltiplos papis nas sociedades contemporneas que so altamente
diferenciados dando origem a perfis diferenciados.
2-4.3.1. Identificadores diretos e indiretos

O nome o identificador direto por excelncia da pessoa240, mas no o nico meio de
236
GOFFMAN, Erving - The presentation of self in everyday life [Em linha]. Monograph n. 2. Edinbourg :
University of Edinburgh Social Sciences Research Centre 39 George Square, 1956. [Consult. 12 de out. 2014].
Disponvel em WWW < https://monoskop.org/images/1/19/ Goffman_Erving_The_Presentation_of_Self_in_
Everyday_Life.pdf>.
237
Entende-se que a pessoa virtual uma extenso de uma identidade real, pois, desempenha determinados
papis sob uma mscara, e que representa um desafio sua regulao e segurana jurdico-tecnolgica.
238
O comportamento das pessoas pode incluir alteraes fsicas e fisiolgicas que devem ser protegidas como
o caso do abandono irreversvel dos sinais do sexo de origem, com consequncias relevantes na emisso de
documentos de identificao, em conformidade com o Ac. B. v. France do TEDH n. 13.343/87, de 25/03/1992,
decorrentes do fenmeno do transexualismo.
239
STORF, Katalin; HANSEN, Marit; RAGUSE, Maren - From H1.3.5: Requirements and concepts for identity
management throughout life [Em linha]. PrimeLife, 2009 [Consult. 16 jan. 2015]. Disponvel em WWW
<http://primelife.ercim.eu/images/stories/deliverables/h1.3.5-requirements_and_concepts_for_idm_throughout_
life-public.pdf>. p. 18 e segs.
240
discutvel se o nome e morada so dados pessoais como indicam CASTRO, cit. 38, p. 70 e segs e
GONALVES, cit. 198, p. 82 e segs, confrontando-se a LPDP e a LADA. A posio aqui tomada consider-
los dados pessoais, no de forma autnoma mas integrados com outros princpios atinentes proteo de dados:
(1) o nome para alm de ser o primeiro identificar de uma pessoa revela na melhor tradio romana os ancestrais
dos seus titulares e no raras as vezes para honrar a famlia (constitui uma interferncia na vida privada de uma
pessoa, abrangida pela proteo do art. 8, da Conveno 108, a publicao de informao cerca de uma pessoa
mencionando o nome completo, conforme Kurier Zeitungsverlag und Druckerei GmbH v. Austria (no. 2), do
TEDH, n. 1.593/06, de 19/06/2006, assim como quando mencionado por exemplo, num contexto que facilita a
identificao da pessoa em causa para campanhas publicitrias, conforme pargrafo 45, do Ac. Bohlen v.
Germany, n. 53.495/09, do TEDH de 19/02/2015); (2) a morada pode expor o status social e condio
econmica de determinada pessoa, por exemplo, tendo em conta o preo por metro quadrado da zona residencial
a que pertence (neste sentido, o Ac. do TRE, n. 24/11.2T2GDL-A.E1, de 27/03/2014, que considera a
informao sobre a identidade e morada do titular de um identificador associado a um determinado veculo e os
respetivos locais de circulao nas autoestradas, est a coberto da proteo de dados pessoais e o Ac. Alkaya v.
Turkey, do TEDH, n. 42 811/06, de 09/10/2012, que refere que o domiclio est abrangido pela proteo do art.
53
identificao241, necessitando de ser articulado com outros elementos (imagem242, nmero de
identificao, famlia, morada, registos escolares, louvores...) com o fim evitar confuso.
A LPDP tutela, igualmente, os identificadores manifestados atravs de sinais, valores,
smbolos, cdigos, entre outros. Os identificadores indiretos levantam questes complexas,
nomeadamente, o que pode ser considerado um identificador, porque para uns pode ser til e
para outros no, ou se universal ou para um contexto especfico. Tendo em vista o propsito
do tema em discusso vejamos alguns identificadores que merecem reflexo.
As empresas atravs dos seus motores de pesquisa podem conhecer os hbitos e preferncias
dos seus utilizadores sem necessidade de login243, dependendo de testemunhos de conexo e
endereos IP, como identificadores. Os dados transferidos em bruto pelos testemunhos de
conexo que articulados com os navegadores podem identificar local onde vive o utilizador,
idioma preferido, o que faz, a sua capacidade econmica, estilo de vida e at relaes
familiares de forma invisvel244. O mesmo sucede com os motores de pesquisa que
armazenam os endereos IP245 juntamente com o histrico das consultas do utilizador246, ou
seja, a sequncia de cliques. Pelo que, a utilidade da identificao indireta parece ser aferida
tanto pelo responsvel do tratamento de dados como de terceiros247.
Dado que o tempo de vida de uma identidade no corresponde ao tempo de vida da entidade
associada248, a falta de atualizao dos dados recolhidos atravs dos identificadores pode
levantar questes pertinentes na medida em que a identidade um conceito dinmico que
evolui de acordo com a prpria idade das pessoas e as interaes que tem com a sociedade. O
titular dos dados, apesar da publicidade do tratamento, nos termos do art. 21, da LPDP, pode
desconhecer o seu contedo e ficar assim impedido de exercer o seu direito de retificao,
apagamento ou bloqueio.
O TEDH e o TJUE, na fundamentao das suas decises, apelam ao contexto social,
8, da Conveno 108).
241
No caso de figuras pblicas a referncia ao Primeiro-ministro ou a Rainha de Inglaterra suficiente para
reconhecer a pessoa ou sombra da popular personagem Indiana Jones.
242
Ac. P.G. and J.H. v. The United Kingdom, do TEDH n. 44787/98, de 25/09/2001 e Ac. von Hannover v.
Germany, do TEDH n. 59.320/00, de 24/09/2004.
243
Login inclui autenticao do utilizador e chave de acesso.
244
V. GT29, cit. 222.
245
O IP como j se referiu identifica objetos.
246
Colocam-se questes sobre a adequao da construo do perfil de um utilizador quando o mesmo endereo
IP utilizador por vrias pessoas ou o trfego na internet encaminhado atravs de um proxy de uma
organizao.
247
CASTRO, cit. 38.
248
ALPR, Gergely; HOEPMAN, Jaap-Henk; SILJEE, Johanneke - The Identity Crisis. Security, Privacy and
Usability Issues in Identity Management. [Em linha]. 2011. [Consult. 12 dez. 2014]. Disponvel em WWW
<http://arxiv.org/ftp/arxiv/papers/1101/1101.0427.pdf>.
54
econmico e tecnolgico em que os dados pessoais foram recolhidos, tratados e divulgados249.
Por outro lado, a necessidade da interoperabilidade e esforos internacionais no intercmbio
de dados pessoais exige um elevado nvel de coerncia na sua proteo250. Assinala-se que
identidade no apenas aquilo que a pessoa revela de si prpria mas sobretudo como
percebida de forma diferente entre os vrios analistas e pelos mesmos analistas de forma
diferente em tempo e espao divergentes absolutamente influenciados pela cultura (atitudes,
valores sociais, normas e prticas)251.
O mercado digital oferece novos modelos e prticas de negcio pelo que parece-nos que o
contexto considere que os consumidores, como titulares de dados pessoais, devem esperar que
os operadores econmicos tratem os seus dados no contexto em que foram fornecidos e
recolhidos.
Em concluso, os identificadores diretos representam a pessoa de forma descritiva e os
identificadores indiretos requerem um processo de tratamentos de dados, desde a recolha num
contexto que permite relacionar os dados e informao obtida (por exemplo, a monitorizao
de comportamentos) a uma determinada pessoa.
2-4.3.2. Meios utilizados na identificao

O considerando 26 da Diretiva 95/46/CE refere que para determinar se uma pessoa
identificvel, importa considerar o conjunto dos meios suscetveis de serem razoavelmente
utilizados, seja pelo responsvel pelo tratamento, seja por qualquer outra pessoa. Isto , os
meios devem ponderar os fatores objetivos para a identificao, como os custos, oportunidade
de tempo e as atividades consideradas necessrias para a identificao (CdE, R (90) 19252;
CdE, R (97) 18)253 considerando a tecnologia explorada data do tratamento dos dados,
nomeadamente a sua difuso quanto ao acesso e uso. Uma pessoa singular no considerada
identificvel se a sua identificao requerer tempo, custos elevados ou atividades
249
Ac. S. and Marper v. The United Kingdom, do TEDH n. 30562/04, de 04/12/2008 e Ac. Gardel v. France, do
TEDH n. 16.428/05, de 17/12/2009.
250
NISSENBAUM, cit. 1.
251
Para um estudo mais aprofundado, sugere-se a consulta do site <http://geert-hofstede.com/ countries.html>.
252
CdE Recommendation n. R (90) 19 of the Committee of Ministers to Members States on the protection of
personal data used for payment and other related operations [Em linha]. (13/09/1990) [Consult. 9 abr. 2015].
Disponvel em WWW <https://wcd.coe.int/com.instranet.InstraServlet?command=com.instranet.CmdBlobGet&
InstranetImage=570709&SecMode=1&DocId=592684&Usage=2>.
253
CdE Recommendation n. R (97) 18 of the Committee of Ministers to Members States concerning the
protection of personal data collected and processed for statistical purposes [Em linha]. (30/09/1997) [Consult.
12 mar. 2015]. Disponvel em WWW <https://wcd.coe.int/com.instranet.InstraServlet?command=com.instranet.
CmdBlobGet&InstranetImage=2001724&SecMode=1&DocId=578856&Usage=2>.
55
desproporcionadas, que em rigor, s podem ser verificados no caso concreto 254. De facto
necessrio ter em conta conjunto de circunstncias e a evoluo tecnolgica e organizacional
que envolvem os meios disponveis para proceder identificao de uma pessoa.
Os dados sero considerados annimos em caso de falta de meios tcnicos ou a
impossibilidade de realizar a identificao do titular dos dados pelo responsvel do tratamento
de dados. Os princpios da proteo de dados plasmados no regime dos distintos instrumentos
regulatrios nacionais, comunitrios ou internacionais no se aplicam aos dados annimos255.
2-4.3.3. A ampliao do conceito de dados pessoais no RGPD

A construo do conceito de dados pessoais elaborada pelas legislaes da EU e dos Estados-
Membros, pelas tendncias jurisprudenciais e relevantes contributos de instituies e doutrina
publicada, foi absorvida pelo RGPD, que altera e amplia o conceito de dados pessoais,
conforme al) 1), do art. 4, e define como a informao relativa a uma pessoa singular
identificada ou identificvel (titular dos dados); considerada identificvel uma pessoa
singular que possa ser identificada, direta ou indiretamente, em especial por referncia a um
identificador, como por exemplo um nome, um nmero de identificao, dados de
localizao, identificadores por via eletrnica ou a um ou mais elementos especficos da
identidade fsica, fisiolgica, gentica, mental, econmica, cultural ou social dessa pessoa
singular.
Os identificadores por via eletrnica so expressamente reconhecidos como um meio para
identificar os titulares dos dados pessoais, tais como endereos IP ou testemunhos de conexo
ou outros identificadores, como as etiquetas de identificao por radiofrequncia
(Considerando 30, do RGPD).
Para efeitos de identificao, os dados genticos (2-4.6) esto agora incorporados no RGPD,
encontrando-se definidos no Considerando 34, como os dados pessoais relativos s
254
Cf. GUERRA, Amadeu Informtica e Tratamento de Dados Pessoais os direitos dos cidados e as
obrigaes dos responsveis pelos tratamentos automatizados. Lisboa : Vislis Editores, 1997. ISBN
972-52-0013-6. p. 22 e segs.
255
O RGPD mantm este entendimento, no Considerando 26: Para determinar se uma pessoa singular
identificvel, importa considerar todos os meios suscetveis de ser razoavelmente utilizados, tais como a seleo,
quer pelo responsvel pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa
singular. Para determinar se h uma probabilidade razovel de os meios serem utilizados para identificar a
pessoa singular, importa considerar todos os fatores objetivos, como os custos e o tempo necessrio para a
identificao, tendo em conta a tecnologia disponvel data do tratamento dos dados e a evoluo tecnolgica.
Os princpios da proteo de dados no devero, pois, aplicar-se s informaes annimas, ou seja, s
informaes que no digam respeito a uma pessoa singular identificada ou identificvel nem a dados pessoais
tornados de tal modo annimos que o seu titular no seja ou j no possa ser identificado. O presente
regulamento no diz, por isso, respeito ao tratamento dessas informaes annimas, inclusive para fins
estatsticos ou de investigao.
56
caractersticas genticas, hereditrias ou adquiridas, de uma pessoa singular que resultem da
anlise de uma amostra biolgica da pessoa singular em causa, nomeadamente da anlise de
cromossomas, cido desoxirribonucleico (ADN) ou cido ribonucleico (ARN), ou da anlise
de um outro elemento que permita obter informaes equivalentes.
2-4.4. Identidade e Autenticao

No mundo digital, os sistemas tm armazenado um volume enorme de informaes
exclusivamente vinculadas aos seus utilizadores e por isso tem de se antecipar e reagir ao
comportamento humano de forma personalizada com o fim de proteger a sua privacidade.
Pelo que, foram criados processos de autenticao que consistem no ato de provar que uma
certa pessoa possui uma certa identidade e / ou est autorizada a realizar certas atividades256.
Os processos de autenticao dependem da confiabilidade entre as partes envolvidas e
geralmente so dispendiosos dependendo da natureza dos identificadores, atributos e
credenciais e controles de acesso. A utilizao de meios de autenticao deve respeitar a
finalidade a que se destina em funo do tipo de dados tratados.
A pessoa reconhecida porque apresenta um identificador ou conjunto de identificadores cujo
significado o destinatrio aceita. Os testemunhos de conexo so exemplos de credenciais de
identidade porque permitem a personalizao da experincia do utilizador pelos prestadores
de servios que arquivam os dados de navegao, no tendo interesse pelo seu nome ou outros
dados. O direito a realizar determinadas operaes pode ser realizado por token257 sem
necessidade do destinatrio ter conhecimento do seu portador. O controlo de acesso o
processo de controlo criado pelos prestadores de servios que permite que cada pedido a um
sistema determinar, com base nas regras especficas, se o pedido deve ser concedido ou
negado.
O reconhecimento da identidade de uma pessoa tem vrias abordagens que se exemplificam:
(1) nas operaes de pagamento cujos identificadores podem ser um cdigo ou um PIN; (2)
para contadores relativos a bens essenciais, com uma conta-cliente; (3) nos servios em linha
com um login ou ID258; (4) em determinados documentos a incluso da assinatura eletrnica
256
Por exemplo: o acesso a servios de telecomunicaes, internet, contas bancrias, acesso a subscrio de
publicaes em linha, etc. V. FRA, CdE, cit. 231.
257
O token um dispositivo fsico que gera um identificador nico temporrio que enviado ao servidor para
iniciar uma sesso interativa e funciona como um testemunho de conexo. Quando um computador tem um
token, capaz de se comunicar com outros computadores e dispositivos na rede.
258
ID significa Identidade e uma sigla oriunda do original em ingls: identity, que nas cincias da computao
e no contexto da Internet ID passou a referir-se identidade que cada utilizador cria nos diversos dispositivos e
aparelhos disponveis no mercado. O nome do utilizador ou correio eletrnico normalmente utilizado para a
identificao pessoal na internet.
57
ou certificao digital; e (5) acesso a instalaes de organizaes atravs da autenticao por
impresso digital259.
2-4.5. Tcnicas de proteo contra a identificabilidade

As organizaes socorrem-se cada vez da tecnologia virtual e da interao com as pessoas em
todos os domnios (negcio, entretenimento, investigao, networking) transformando a
gesto da identidade digital numa cincia. Os mecanismos mais conhecidos de proteo de
dados pessoais so a anonimizao, a pseudonimizao, a codificao de dados, ferramentas
de cifragem contra a pirataria informtica, sistemas contra testemunhos de conexo e a
plataforma P3P, entre outros.
2-4.5.1. Anonimizao de dados

Os utilizadores da Internet no tm conscincia dos riscos que correm em relao sua
privacidade sempre que esto em linha260. A necessidade de equilibrar os interesses
econmicos das organizaes e o direito proteo de dados pessoais est implcito na al) b),
n. 1, do art. 6 e art. 7, da Diretiva 95/46/CE: os dados so recolhidos para finalidades
determinadas, explcitas e legtimas, e que no sero posteriormente tratados de forma
incompatvel com essas finalidades e nos termos do art. 27, do mesmo diploma, os
Estados-Membros e a Comisso promovero a elaborao de cdigos de conduta para
fornecer indicaes sobre os meios atravs dos quais os dados podem ser tornados annimos e
conservados sob uma forma que j no permita a identificao da pessoa em causa 261. A
CNPD, nos termos do n 2, do art. 5 da LPDP, pode autorizar a conservao de dados para
fins histricos, estatsticos ou cientficos, mediante requerimento do responsvel pelo
tratamento, e havendo interesse legtimo262, se os dados pessoais deixarem de servir a sua
finalidade inicial.
259
Com interesse, o Parecer da CNPD, n 11/2002 de 03/12 [Em linha]. [Consult. 24 mar. 2015]. Disponvel em
WWW <https://www.cnpd.pt/bin/decisoes/Par/40_11_2002.pdf>, que refere que as aplicaes informticas que
permitem a identificao automtica (quem sou?) ou a autenticao / escolha (sou quem digo ser?) de uma
pessoa, permitindo-lhe o acesso a determinados direitos, como o acesso a determinadas reas, baseadas no
reconhecimento de particularidades fsicas como sejam a impresso digital
260
V. GT29 - Recomendao 3/97: O anonimato na Internet. [Em linha]. XV D/5022/97 final WP6. Brussels
(Belgium), (03/12/1997). [Consult. 12 mar. 2015]. Disponvel em WWW <http://ec.europa.eu/justice/
policies/privacy/docs/wpdocs/1997/wp6_pt.pdf>
261
Considerando 26 da Diretiva 95/46/CE e 52, al) d) do Explanatory Memorandum da CdE Recommendation
n. R (97) 18 of the Committee of Ministers to Members States concerning the protection of personal data
collected and processed for statistical purposes [Em linha]. (30/09/1997) [Consult. 12 mar. 2015]. Disponvel
em WWW <https://wcd.coe.int/com.instranet.InstraServlet?command=com.instranet.CmdBlobGet&Instranet
Image=2001724&SecMode=1&DocId=578856&Usage=2>.
262
Al) b), n. 1, do art. 6, e considerandos 26 e 29 da Diretiva 95/46/CE e no mesmo sentido a Conveno 108.
58
A faculdade de optar pelo anonimato no absoluta tendo em conta que necessrio ponderar
que direitos fundamentais esto em jogo como a liberdade de expresso ou polticas de
preveno do crime263.
Dados annimos so aqueles dados que no podem ser relacionados com uma pessoa a partir
dos prprios dados ou recorrendo a tcnicas de combinao com outros dados (incluindo
objetos) que impliquem o desenvolvimento de esforos onerosos num determinado momento.
A anonimizao de dados pode ser realizada atravs de procedimentos distintos tais como
generalizao, supresso da relao entre si de identificadores, encriptao ou minerao de
dados.
Os princpios de proteo de dados no so aplicveis aos dados annimos porque no
possvel identificar uma pessoa.
2-4.5.2. Pseudonimizao de dados

A criao de pseudnimos264 outro mecanismo de proteo de dados pessoais pela sua
obstaculizao identificao de pessoas. Contudo, os dados do portador do pseudnimo
podem ser geridos pelos responsveis do tratamento de dados e terceiros, em conformidade
com as atividades registadas, criando por exemplo um perfil de consumidor de joias e
relgios. O que releva na pseudonimizao de dados a faculdade de tratar dados sem
contender com a identidade do seu titular, para salvaguardar a privacidade, sobretudo na
recolha de dados sensveis para efeitos de investigao nas cincias da sade, proteo de
testemunhas, agentes infiltrados, etc. A criao de pseudnimos na internet recorre
normalmente aos procedimentos da encriptao que consiste na transformao da informao
utilizando uma cifra265 (composta por um ou mais algoritmos para cifrar e decifrar a
informao) com um parmetro denominado chave criptogrfica apenas conhecida pelos
responsveis do tratamento de dados. O mtodo de encriptao de dados muito utilizada
sobretudo no setor da sade, como por exemplo nos ensaios clnicos, mas a reidentificao
das pessoas pode no ser permitida na conceo dos protocolos. A possibilidade de
reidentificao, utilizando listas de identidades e os seus respetivos pseudnimos ou
263
Os dados annimos tm uma conotao obscura e normalmente associados a atos ilegais como a pedofilia, a
divulgao de dados por hackers ou a violao de direitos de autor.
264
Pseudnimo uma palavra de origem grega que significa nome falso e que em termos jurdicos um nome
fictcio que goza de proteo jurdica quando tenha notoriedade, nos termos do art. 74 do CC, como pode ser o
caso previsto de criao de pseudnimos, por escritores ou atores, nos termos do art. 28, do CDADC, embora
possa ser vedado no exerccio da atividade de determinadas profisses (art. 82, do EOROC).
265
Em linguagem comum, um cdigo secreto o mesmo que uma cifra.
59
utilizando algoritmos de criptografia de duplo sentido266, esto sujeitos legislao da
proteo de dados pessoais267.
A identidade de um pseudnimo268 no associada a uma determinada pessoa se no
estiverem reunidas um conjunto de condies e procedimentos que interligam entre si os
dados das duas identidades, por exemplo a emisso de um mandado de busca no decurso de
uma investigao criminal.
2-4.5.3. Pseudonimizao de dados no RGPD

A pseudonimizao foi explicitamente introduzida no RGPD e definida, na al) 5), do art.
4, como o tratamento de dados pessoais de forma que deixem de poder ser atribudos a um
titular de dados especfico sem recorrer a informaes suplementares, desde que essas
informaes suplementares sejam mantidas separadamente e sujeitas a medidas tcnicas e
organizativas para assegurar que os dados pessoais no possam ser atribudos a uma pessoa
singular identificada ou identificvel. Em sntese, a pseudonimizao uma tcnica de
reforo da privacidade. Embora esteja reconhecido que a pseudonimizao pode reduzir os
riscos para as pessoas em causa no uma tcnica para excluir os dados da aplicao de
outras eventuais medidas de proteo de dados (Considerando 28, do RGPD). Os
responsveis do tratamento de dados so incentivados269 a tomar medidas tcnicas e
organizativas adequadas270, de pseudonimizao desde que seja lcita, leal e transparente em
relao ao titular dos dados e compatveis com os propsitos iniciais da recolha (art. 5, do
RGPD), salvo quando existam garantias adequadas (al) e), do n. 4, do art. 6, e n. 1, do art.
266
GT29, cit. 184.
267
Pargrafo 127, do Ac. Cisco Systems Inc. e Messagenet SpA, v. Comisso Europeia, do TGUE, n. T-79/12,
de 11/12/2013 admitindo que os utilizadores do produto da Skype constituem um grupo de consumidores
comercialmente interessante, a Skype no permite que as empresas promovam ativamente a venda dos respetivos
produtos junto deles. Com efeito, tal como foi indicado pela Comisso e pela interveniente, no possvel
contactar os utilizadores do produto da Skype, que se servem normalmente de um pseudnimo, sem a sua
autorizao prvia.
268
A pseudonimizao mantm a ligao dos dados com a pessoa que atravs de processos baseados em
informaes e atributos para reidentificar a pessoa que a distingue da anonimizao cujos processos destroem a
capacidade de ligao (V. International Organization for Standardization - ISO/IEC 29100:2011, Information
technology Security techniques Privacy framework [Em linha]. 1 ed., International Organization for
Standardization, 2011. [Consult.14 out. 2016]. Disponvel em WWW <https://www.iso.org/standard/45123.
html>)
269
Assim, o Considerando 29, do RGPD: A fim de criar incentivos para aplicar a pseudonimizao durante o
tratamento de dados pessoais, dever ser possvel tomar medidas de pseudonimizao, permitindo-se
simultaneamente uma anlise geral, no mbito do mesmo responsvel pelo tratamento quando este tiver tomado
as medidas tcnicas e organizativas necessrias para assegurar, relativamente ao tratamento em questo, a
aplicao do presente regulamento e a conservao em separado das informaes adicionais que permitem
atribuir os dados pessoais a um titular de dados especfico. O responsvel pelo tratamento que tratar os dados
pessoais dever indicar as pessoas autorizadas no mbito do mesmo responsvel pelo tratamento.
270
Tanto no momento de definio dos meios de tratamento como no momento do prprio tratamento tornando-
se uma figura fundamental na proteo de dados desde a conceo.
60
25, do RGPD)271.
2-4.6. Dados sensveis

Os dados pessoais processados de acordo com critrios e instrues previamente definidas
para obter determinados resultados afetando a esfera mais ntima dos seus titulares e cuja
utilizao indevida podem dar origem a tratamentos ilegais, arbitrrios e discriminatrios ou
que podem causar aos seus titulares efeitos adversos, riscos ou prejuzos graves so
considerados sensveis. A LPDP para alm de incluir as categorias indicadas no n. 3, do art.
35, da CRP, no art. 6 da Conveno 108 e do art. 8 da Diretiva 95/46/CE entendeu
ampliar a sua enumerao, considerando assim dados sensveis os dados pessoais referentes a
convices filosficas ou polticas272, filiao partidria ou sindical273, f religiosa274, vida
privada275 e origem racial276 ou tnica277, bem como o tratamento de dados relativos sade278
271
Parece que a pseudonimizao pode facilitar a abertura ao tratamento de dados para os fins que no estiveram
subjacentes inicialmente.
272
Ac. Folger and Others v. Norway do TEDH n. 15.472/02, de 29/06/2007.
273
Ac. Srensen & Rasmussen v. Denmark do TEDH apensos n.s 52.562/99 e 52.620/99 de 11/01/2006.
274
Ac. CJ, JJ and EJ v. Poland do TEDH n. 23.380/94, de 16/01/1996.
275
Ac. Moreno Gmez v. Spain, do TEDH n. 4.143/02, de 16/11/2004, Ac. Hatton and others v. The United
Kingdom, TEDH n. 36.022/97, de 08/07/2003, Ac. do TRP n. 648.07.2TALMG.P1, de 09/05/2012, in CJ em
linha, Ac. do TC n. 255/2002, de 12/06/2002, do Tribunal Constitucional. Os hbitos de bebida e hbito de
fumador (Autorizao da CNPD, n. 845/2005, de 17/10 [Em linha]. [Consult. 13 mar. 2015]. Disponvel em
WWW <http://www.cnpd.pt/bin/decisoes/Aut/10_845_2005.pdf>), a gravidez (Deliberao da CNPD, n.
63/2006, de 13/02 [Em linha]. [Consult. 12 mar. 2015]. Disponvel em WWW <http://www.cnpd.pt/
bin/decisoes/Aut/10_63_2006.pdf>), o consumo de drogas (Autorizao da CNPD, n. 2/2000, de 18/01 [Em
linha]. [Consult. 12 mar. 2015]. Disponvel em WWW <http://www.cnpd.pt/bin/decisoes/Aut/10_2_2000.pdf>),
os dados biomtricos (Autorizao da CNPD n. 1.123/2007, de 25/06) so exemplos que ilustram dados
pessoais que se incluem na clusula vida privada.
276
Autorizao da CNPD, n. 7/2000, de 25/01 [Em linha]. [Consult. 19 mar. 2015]. Disponvel em WWW
<http://www.cnpd.pt/bin/decisoes/Aut/10_7_2000.pdf>, refere que o tratamento de dados sobre a raa / etnia s
ser admissvel nos termos a referidos. Com interesse, a Autorizao da CNPD, n 192/2002, de 05/11 [Em
linha]. [Consult. 24 mar. 2015]. Disponvel em WWW <https://www.cnpd.pt/bin/decisoes/Aut/10_192
_2002.pdf>, que permite o tratamento de dados com caractersticas fsicas, como a altura, peso, cor dos olhos,
cor da pele para candidatos num processo de recrutamento para a rea da fotografia e representao para
cinema, televiso, publicidade, teatro, moda, dana e outros eventos.
277
Ac. Ciubotaru v. Moldova, do TEDH n. 27138/04, de 27/04/2010. Autorizao da CNPD, n 10/99, de 16/03
[Em linha]. [Consult. 24 mar. 2015]. Disponvel em WWW <http://www.cnpd.pt/bin/decisoes/ Aut/10_
10_1999.pdf> que considerou que o dado etnia poder ser tratado para efeitos de caracterizao da populao
abrangida e apuramento estatstico. Esta informao, tal como se prope, dever ser processada de forma
anonimizada.
278
Ac. Bodil Lindqvist, do TJUE, n C-101/01, de 06/11/2003. Consideram-se dados de sade, no s os que
resultam do diagnstico mdico, como todos os outros que permitam apur-lo. Segundo CASTRO, cit. 38, p.
91) e devido s suas particularidades, o n 5 do art. 11, da LPDP prev que o direito de acesso informao,
incluindo os dados genticos, exercido por intermdio de mdico escolhido pelo titular dos dados ou os seus
herdeiros (Deliberao da CNPD, n. 94/2001, de 15/07 [Em linha]. [Consult. 29 mar. 2015]. Disponvel em
WWW <http://www.cnpd.pt/bin/decisoes/2001/htm/del/del094-01.htm>). A proteo dos dados mdicos
abrange os dados do feto ainda que os interesses da me devam ser tidos em conta tanto fsico como mentais, e
aplica-se ao passado, presente e futuro do seu titular (n.s 4.5 e 4.6 e pargrafos 5, 14 e 37 do Explanatory
Memorandum da Recommendation n. R (97) 5 of the Committee of Ministers to Members States on the
protection of medical data [Em linha]. (13/02/1997) [Consult. 9 abr. 2015]. Disponvel em WWW
<https://wcd.coe.int/com.instranet.InstraServlet?command=com.instranet.mdBlobGet&InstranetImage=564487
61
e vida sexual279, incluindo os dados genticos280. Portugal entendeu exercer o seu poder
discricionrio no que diz ao alargamento do tipo de dados e atividades de processamento para
melhor adaptao realidade envolvente da cultura e atitudes do pblico em geral (Diretrizes
da Privacidade) mais entendendo que no impedia a harmonizao das legislaes
europeias)281. Atualmente os dados sensveis tipificados nos distintos instrumentos nacionais
ou internacionais da proteo de dados no podem ser considerados universais pelo que as
legislaes dos Estados-Membros devem adequar o seu quadro regulamentar ao contexto
tecnolgico em que se inserem282.
Os dados sensveis exigem proteo reforada da que seja proibido o seu tratamento
sistemtico e automtico com recurso a dispositivos eletrnicos. As derrogaes proibio
dependem do consentimento expresso do titular dos dados autorizao prevista por lei com
garantias de no discriminao ou para processamento de dados estatsticos no
individualmente identificveis (art. 35, da CRP) ou da autorizao da CNPD por motivos de
interesse pblico (n. 2, do art. 7 da LPDP).
Entende-se que a apreciao da natureza do dado sensvel depende do tratamento automtico
que lhe dado, por exemplo: um enfermeiro que presta apoio domicilirio a um idoso com a
doena de Alzheimer incluindo a compra do medicamento com o seu carto de dbito e que o
banco utiliza para construir o seu perfil de compras est a tratar dados sensveis. A conexo
entre o comprador e o produto no parece evidente dado que h uma aquisio por conta de
outrem. O dado que originariamente no sensvel que depois de recolhido e tratado tem um
determinado valor econmico pode transformar-se em dado sensvel dependendo da natureza
da sua comunicao, isto , o enfermeiro que mais tarde se dirige ao banco para celebrar um
contrato de mtuo para aquisio de habitao poder ser confrontado com a recusa da
celebrao de um contrato de seguro associado ao mtuo devido doena que foi includa no
seu perfil283.
Os dados relativos a pessoas suspeitas de atividades ilcitas, infraes penais,
&SecMode=1&DocId=560582&Usage=2.
279
Ac. Stbing v. Germany, do TEDH n 43547/08, de 12/04/2012.
280
Ac. S. and Marper v. The United Kingdom, do TEDH n. 30562/04, de 04/12/2008. Os dados genticos para
alm de ser utilizados por razes de sade, diagnstico ou razes de preveno (CdE, Recommendation n. R
(92) 03 of the Committee of Ministers to Members States on genetic testing and screening for health care
purposes [Em linha]. (10/02/1992) [Consult. 9 abr. 2015]. Disponvel em WWW <https://wcd.coe.int/com.
instranet.InstraServlet?command>; e Autorizao da CNPD n. 9/2000, de 25/01 [Em linha]. [Consult. 24 mar.
2015]. Disponvel em WWW <https://www.cnpd.pt/bin/decisoes/Aut/10_9_2000.pdf>) podem ser utilizados
para outros fins como determinar a paternidade ou origem tnica de uma pessoa.
281
A doutrina refere-se adoo de uma linha aberta (cf. GUERRA, cit. 253 e v. PINHEIRO, cit. 52).
282
V. Explanatory Memorandum das Linhas Diretrizes da Privacidade.
283
Com interesse Ac. do TRP n. 585/11.6PAOVR.P1, de 24/04/2013, in www.dgsi.pt.
62
contraordenaes e decises que apliquem penas, medidas de segurana, coimas e sanes
acessrias, nos termos do n. 1, do art. 8 da LPDP so dados sensveis cujo processamento
automtico depende de atribuio de competncia prevista na lei, com prvio parecer da
CNPD.
63
CAPTULO V CONSIDERAES GERAIS SOBRE AS ATIVIDADES DE
MARKETING E OS DIREITOS DOS TITULARES DE DADOS PESSOAIS
3-5. Marketing
Marketing284 o processo pelo qual as empresas criam valor para o cliente e constroem fortes
relacionamentos com o mesmo para capturar o seu valor em troca285. O relacionamento dos
operadores econmicos com o destinatrio cujo objetivo convert-lo em consumidor dos
seus produtos e servios, relevante no que respeita proteo de dados pessoais. As
estratgias de marketing tiveram uma evoluo extraordinria nos ltimos anos no s devido
aos suportes tecnolgicos inovadores para veicular a informao como devido s
possibilidades de rastreamento do comportamento do consumidor pelos operadores
econmicos em ambientes inteligentes e tudo escala global.
Os operadores j tero recolhido as informaes necessrias dos destinatrios para enderear-
lhe mensagens publicitrias, utilizando diversos suportes de informao quer materiais quer
virtuais, recorrendo a tcnicas de segmentao prvia. A publicidade286, intimamente ligada
284
Marketing uma palavra inglesa que se imps no seio da lngua portuguesa, traduzida por mercadologia e
definida como o estudo das atividades comerciais que, a partir do conhecimento das necessidades e da
psicologia do consumidor, tende a dirigir os produtos, adaptando-os, para o seu melhor mercado; estudo de
mercado (v. PRIBERAM INFORMTICA, S.A. - Marketing. In FLIP 10. - Dicionrio Priberam de Lngua
Portuguesa contempornea. [Em linha]. [Consult. 1 dez. 2016]. Mdulo de software.
285
V. GRNROOS, Christian Service Managment and Marketing. 3 ed., West Sussex (England) : John Wiley
& Sons Ldt , 2007. ISBN 978-047-0028-62-9.
286
O conceito de publicidade no uniforme na legislao nacional, de facto, nos termos do art. 3, do Cdigo
da Publicidade, com a alterao dada pelo DL n. 6/95, de 17/01, considera-se publicidade qualquer forma de
comunicao feita por entidades de natureza pblica ou privada, no mbito de uma atividade comercial,
industrial, artesanal ou liberal, com o objetivo direto ou indireto de: (a) promover, com vista sua
comercializao ou alienao, quaisquer bens ou servios; e (b) promover ideias, princpios, iniciativas ou
instituies, e o art. 20, da L n. 7/2004, de 07/0, no define publicidade mas refere o que no est includo no
conceito de publicidade em rede, ou seja, as mensagens que se limitem a identificar ou permitir o acesso a um
operador econmico ou identifiquem objetivamente bens, servios ou a imagem de um operador, em coletneas
ou listas, particularmente quando no tiverem implicaes financeiras, embora se integrem em servios da
sociedade da informao, e as mensagens destinadas a promover ideias, princpios, iniciativas ou instituies,
que resultam da definio de comunicao comercial prevista na al) f), do art. 2, da Diretiva 2000/31/CE como
todas as formas de comunicao destinadas a promover, direta ou indiretamente, mercadorias, servios ou a
imagem de uma empresa, organizao ou pessoa que exera uma profisso regulamentada ou uma atividade de
comrcio, indstria ou artesanato. No constituem comunicaes comerciais as informaes que permitam o
acesso direto atividade da sociedade, da organizao ou da pessoa, nomeadamente um nome de rea ou um
endereo de correio eletrnico, e as comunicaes relativas s mercadorias, aos servios ou imagem da
sociedade, organizao ou pessoa, compiladas de forma imparcial, em particular quando no existam
implicaes financeiras. Para efeitos deste texto considera-se as comunicaes publicitrias em rede destinadas
a promover, direta ou indiretamente, mercadorias, servios ou a imagem de uma empresa, organizao ou pessoa
que exera uma profisso regulamentada ou uma atividade de comrcio, indstria ou artesanato nos termos da
Diretiva 2000/31/CE. Por outro lado, O conceito de marketing direto mais amplo do que o conceito de
publicidade, ou seja as expresses marketing direto e comunicaes publicitrias no so coincidentes. (Vide
a definio constante do Considerando 32, a proposta de Regulamento do Parlamento Europeu e do Conselho,
relativo ao respeito pela vida privada e proteo dos dados pessoais nas comunicaes eletrnicas e que revoga
a Diretiva 2002/58/CE (Regulamento relativo privacidade e s comunicaes eletrnicas), apresentada pela
64
ao marketing, assume, nos dias de hoje, uma importncia e um alcance significativos, quer no
domnio da atividade econmica, quer como instrumento privilegiado do fomento da
concorrncia, e tanto assim , que est regulada pelo DL n. 330/90, de 23/10287, que aprova o
Cdigo da Publicidade e com vista a uma maior proteo da privacidade e dos dados pessoais,
o DL n. 7/2004, de 07/01288, regula as comunicaes publicitrias em rede e introduz a
problemtica das comunicaes no solicitadas estabelecendo que as comunicaes para fins
de marketing direto apenas podem ser autorizadas em relao a destinatrios que tenham dado
o seu consentimento prvio (art.s 1 e 13).
O marketing direto289 uma forma de angariar e manter clientes e, ao faz-lo, atender s
necessidades dos clientes e da organizao que os acompanha. Para tanto, a sua atividade
sustentada numa estrutura baseada essencialmente em trs atividades: (1) numa base de dados
que armazena e analisa toda a informao recolhida das pessoas em causa: (2) na utilizao do
conhecimento extrado da base de dados para definir as estratgias de implementao da
comunicao, incluindo a escolha dos canais de comunicao; para (3) comunicar com as
pessoas em causa com a maior personalizao possvel. O marketing direto foca-se no
relacionamento com as pessoas em causa e no em bens e servios promovidos pelas
organizaes, pelo que, a atividade de marketing um dos setores com maior ndice de risco
no que respeita ao cumprimento da LPDP290.
Comisso Europeia, de 10/01/2017, que define marketing direto como a qualquer forma de publicidade atravs
da qual uma pessoa singular ou coletiva envia diretamente comunicaes comerciais diretas a um ou mais
utilizadores finais identificados ou identificveis atravs da utilizao de servios de comunicaes eletrnicas.
Para alm da oferta de produtos e de servios para fins comerciais, deve incluir igualmente as mensagens
enviadas pelos partidos polticos que contactam pessoas singulares atravs de servios de comunicaes
eletrnicas para promover os seus partidos. O mesmo dever aplicar-se s mensagens enviadas por outras
organizaes sem fins lucrativos para apoiar os objetivos da organizao.
287
Entrou em vigor no continente a 24/10/1990, sofreu treze modificaes legislativas, tendo sido a ltima
operada pelo DL n. 66/2015, de 29 de abril, que estabelece o regime jurdico dos jogos e apostas em linha e
altera o Cdigo da Publicidade.
288
DL n. 7/2004, de 07/01, transpe para a ordem jurdica interna a Diretiva n. 2000/31/CE, do Parlamento
Europeu e do Conselho, de 08/06/2000, relativa a certos aspetos legais dos servios da sociedade de informao,
em especial do comrcio eletrnico, no mercado interno (Diretiva sobre Comrcio Eletrnico) bem como o
artigo 13. da Diretiva n. 2002/58/CE, de 12/07/2002, relativa ao tratamento de dados pessoais e a proteo da
privacidade no setor das comunicaes eletrnicas (Diretiva relativa Privacidade e s Comunicaes
Eletrnicas). Entrou em vigor no continente a 12/01/2004 e nas Regies Autnomas dos Aores e da Madeira a
22/01/2004, tendo sido altera pelo DL n. 62/2009, de 10/03 e pela L n. 46/2012, de 29/08.
289
A verso portuguesa de numerosos documentos emitidos pelos organismos da EU tem traduzido a expresso
de marketing direto por comercializao direta. Para efeitos, deste trabalho mantm-se o o termo em ingls de
marketing direto, com expresso e aceitao no sistema jurdico nacional.
290
Conforme referido em GALEAN, Llanos Manzanares; CHINCHURRETA, Koldo Pecia - Implicaciones de
la proteccin de datos en el marketing [Em linha]. In MK Marketing+Ventas, n. 199, [feb. 2005]. [Consult. 13
mar. 2015]. Disponvel em WWW <http://pdfs.wke.es/8/7/8/6/ pd0000018786.pdf>.
65
3-5.1. O sistema de gesto de relacionamento com o cliente
Com os sistemas de gesto de relacionamento291 dos operadores econmicos com o cliente no
que respeita recolha de dados pessoais e informao sobre as suas atividades do cidado
passamos a viver numa sociedade da classificao292 e do cidado transparente293, na medida
em que o registo das interaes disponveis para todos os departamentos da organizao
permite guiar a tomada de decises, a nvel estratgico e operacional de forma muito
procedimental e analtica.
Hoje em dia as novas formas de comunicar e distribuir informao so essencialmente
eletrnicas e baseadas na internet cuja infraestrutura est alicerada nos dados pessoais. Os
operadores econmicos tm necessidade de obter informao pessoal para alcanar os seus
propsitos e recorrem a programas de espionagem que podem ser maliciosos para a obteno
de dados e lucros ou apenas com vista captura de informao, que independentemente da
legalidade da sua utilizao, se indicam os seguintes exemplos: vrus, endereos de
remetentes falsificados (spoofing), testemunhos de conexo (cookies), comunicaes no
solicitadas, identificadores ocultos (hidden identifiers), grficos espies (web bugs),
rastreadores da internet (web crawlers e os seus derivados como os web spiders, web robot,
ou web scutter), programas-espies (spyware), ciber-iscagem (phishing e os seus derivados
como o scam, smishing, vishing) ransomware, trojan, keylogger, adware, scareware,
pharming, scavenging294, etc.
3-5.2. Os direitos dos titulares dos dados pessoais

Os sistemas de gesto de relacionamento incluem ficheiros de dados pessoais em suporte
fsico ou virtual que passam a ser objeto de regulao cada vez mais restrita. Os titulares de
dados pessoais conquistam direitos sobre o seu contedo: o direito de informao e acesso aos
dados incorporados em ficheiros ou bases de dados, corrigi-los, apag-los, bloque-los ou
opor-se utilizao dos seus dados para fins de marketing (L n. 6/99, de 27/01, que regula a
publicidade domiciliria por telefone e por telecpia, a L n. 41/2004, de 18/08 e a Diretiva n.
291
O CRM, sigla oriunda do original em ingls Customer Relationship Management, com traduo portuguesa
como Gesto de Relacionamento com o Cliente, um software que inclui um conjunto de processos e
tecnologias para recolha de dados pessoais (na interpretao do conceito de dados pessoais nos captulos
anteriores) e reteno em ficheiros estruturados que permite a identificao e compreenso do perfil dos seus
titulares. O objetivo do CRM a gesto do relacionamento com o cliente antecipando as suas necessidades.
292
V. RODOT, cit. 50, p. 111 e segs.
293
REIDENBERG, Joel R. - The Transparent Citizen [Em linha]. In Loyola University Chicago Law Journal,
Vol. 47, (2015), Fordham Law Legal Studies Research Paper No. 2674313. [Consult. 12 jun. 2016]. Disponvel
em WWW <https://ssrn.com/abstract=2674313>
294
Mantm-se as expresses em ingls na medida em que so termos tcnicos da cincia da computao e com
significados de difcil traduo em portugus.
66
2002/58/CE, relativa ao tratamento de dados pessoais e proteo da privacidade no setor das
comunicaes, a LPDP, a CDFUE, o RGPD e a CRP).
3-5.2.1. O direito de informao

O titular dos dados deve ter direito a um conjunto mnimo de informaes sobre os fins para
os quais os seus dados pessoais sero tratados. O direito informao est previsto na al) a),
do art. 8, da Conveno 108, art.s 10 e 11, da Diretiva 95/46/CE e art. 10 da LPDP, e
agora regulado nos art.s 13 e 14 do RGPD.
O direito do titular de ser informado nasce do dever que o responsvel pelo tratamento tem de
informar, pelo que o desenvolvimento sobre esta matria ser realizado no ponto 3-7.2.1.
3-5.2.2. O direito de acesso

O titular dos dados tem o direito de obter do responsvel pelo tratamento, livremente e sem
restries295, a confirmao de serem ou no tratados dados que lhe digam respeito, no s
data da solicitao mas tambm no que respeita ao passado296, bem como informao de
forma inteligvel sobre as finalidades desse tratamento, as categorias de dados sobre que
incide e os destinatrios ou categorias de destinatrios a quem so comunicados os dados,
bem como a fonte de recolha (al) a) e b), do n. 1, do art. 11, da LPDP, al) a), do art. 12, da
Diretiva 95/46/CE, n. 1, do art. 35, da CRP, al) b) do art. 8 da Conveno 108 e n 2, do
art. 8, da CDFUE). O direito de acesso , igualmente, uma garantia para que o titular dos
295
Neste sentido, o Ac. Haralambie v. Romnia, do TEDH, n. 21.737/03, de 27/01/2010, decidindo que o
responsvel pelo tratamento no cumpriu a obrigao positiva que lhe incumbia de fornecer ao requerente um
procedimento efetivo e acessvel que lhe permitisse obter o acesso ao seu processo pessoal num prazo razovel,
com todas as informaes relevantes e apropriadas, no podendo a quantidade de ficheiros transferidos ou as
insuficincias do sistema de arquivos pudessem, por si s, justificar um atraso de mais de seis anos pelas
instituies em causa na concesso do pedido do requerente; e tambm, Ac. K.H. e outros v. Slovakia, do TEDH,
n. 32.881/04, de 06/11/2009, em que foi declarado que o Estado no pode recusar s requerentes o acesso e de
fazer cpias dos registos mdicos hospitalares, com fundamento na necessidade de proteger informaes
relevantes de abusos.
296
Neste sentido: o artigo 12., al) a), da Diretiva 95/46/CE (...) determina que os Estados-Membros
garantiro um direito de acesso informao sobre os destinatrios ou categorias de destinatrios e sobre o
contedo da informao comunicada no apenas relativamente ao presente mas tambm no que respeita ao
passado. Cabe aos Estados-Membros fixar o prazo durante o qual essa informao deve ser conservada e o
acesso correlativo a esta que representem um equilbrio justo entre, por um lado, o interesse da pessoa em causa
em proteger a sua vida privada, designadamente atravs das vias de interveno e de recurso previstas pela
Diretiva 95/46, e, por outro, o nus que a obrigao de conservar essa informao representa para o responsvel
pelo tratamento, conforme Pargrafo n. 70, do Ac. College van burgemeester en wethouders van Rotterdam v.
M. E. E. Rijkeboer, do TJUE, n. C-533/07, de 07/05/2009. Em sentido contrrio: o artigo 13., n. 1, da
Diretiva 95/46/CE, relativa proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais
e livre circulao desses dados, deve ser interpretado no sentido de que os Estados-Membros no tm a
obrigao, mas a faculdade, de transporem para o seu direito nacional uma ou vrias das excees que este artigo
prev obrigao de informar as pessoas em causa sobre o tratamento dos respetivos dados pessoais, conforme
Pargrafo 55, do Ac. Institut professionnel des agents immobiliers (IPI) v. Geoffrey Englebert, do TJUE, n.
C-473/12, de 07/11/2013.
67
dados possa exercer o seu direito de oposio ao tratamento de dados pessoais ou o direito de
recurso quando sofra um prejuzo297.
O direito de acesso pode ser restringido em casos expressamente previstos na lei298 e nos
casos em que manifestamente no exista qualquer perigo de violao dos direitos, liberdades e
garantias do titular dos dados, designadamente do direito vida privada, e os referidos dados
forem exclusivamente utilizados para fins de investigao cientfica ou conservados sob
forma de dados pessoais durante um perodo que no exceda o necessrio finalidade
exclusiva de elaborar estatsticas. (n. 6, do art. 11, da LPDP, art. 13, da Diretiva 95/46/CE e
art. 9, da Conveno 108).
O RGPD refora o direito de acesso aos dados que fundamenta no conhecimento e verificao
da legalidade do tratamento (Considerando 63, do RGPD), pois para alm das informaes
previstas na LPDP e na Diretiva 95/46/CE, o titular dos dados tem direito a uma cpia dos
dados pessoais em fase de tratamento e s seguintes informaes: (a) o prazo previsto de
conservao dos dados pessoais, ou, se no for possvel, os critrios usados para fixar esse
prazo; (b) o direito de apresentar reclamao a uma autoridade de controlo; (c) a existncia de
decises automatizadas, incluindo a definio de perfis, e as informaes teis relativas
lgica subjacente299, bem como a importncia e as consequncias previstas de tal tratamento
para o titular dos dados; (d) quando os dados pessoais forem transferidos para um pas terceiro
ou uma organizao internacional, o titular dos dados tem o direito de ser informado das
garantias adequadas. O direito de acesso, tambm, pode ser restringido pelo direito da EU ou
297
A recusa de acesso pelo titular dos dados ao registo policial a que teve acesso a entidade empregadora e que
constitui fundamentos distintos aos requerentes o convite demisso, transferncia de posies e congelamento
de promoes, constituram um prejuzo nas carreiras profissionais e uma violao ao respeito da vida privada e
uma restrio das suas liberdades polticas nos termos dos art. 10, 11, e 13 da CEDH, conforme deciso no
Ac. Segerstedt- Wiberg e outros v. Sucia, do TEDH de 06/06/2006, n. 62.332/00.
298
O direito de acesso pelo titular dos dados de forma direta pode estar sujeito a restries e ser exercido atravs
da CNPD ou de outra autoridade independente a quem a lei atribua a verificao do cumprimento da legislao
de proteo de dados pessoais, nomeadamente, se a comunicao dos dados ao seu titular puder prejudicar a
segurana do Estado, a preveno ou a investigao criminal ou ainda a liberdade de expresso e informao ou
a liberdade de imprensa, a CNPD limita-se a informar o titular dos dados das diligncias efetuadas, ou por
intermdio de mdico escolhido pelo titular dos dados no acesso informao relativa a dados da sade,
incluindo os dados genticos, etc. (n. 2 e seguintes, do art. 11, da LPDP).
299
A construo de perfis pode resultar de uma tcnica ou algoritmos sujeita a proteo intelectual devido no s
ao seu valor econmico como aos benefcios que reporta organizao e por isso faz parte do segredo do
negcio. Trata-se de conhecimento tecnolgico que deve ser protegido sob pena de espionagem comercial. O
segredo do negcio est protegido pelo direito interno e da EU, pelo que o exerccio do direito de acesso deve
merecer cautelas e ser conciliado com outros direitos do ordenamento jurdico (que se pode ilustrar com alguns
exemplos regulados: o art. 318, do CPI considera a utilizao de segredos de negcios de um concorrente, sem
o consentimento do mesmo, um ato ilcito, nos termos a previstos; o art. 30 da L n. 19/2012, de 08/05, que
aprova o novo regime jurdico da concorrncia, protege o segredo de negcio, a Diretiva 2016/943/UE do
Parlamento Europeu e do Conselho, de 08/06/2016, relativa proteo de know-how e de informaes
comerciais confidenciais (segredos comerciais) contra a sua aquisio, utilizao e divulgao ilegais, entre
outros)
68
dos Estados-Membros desde que respeitem as exigncias estabelecidas na CDFUE e na
CEDH. (Considerando 73, do RGPD).
O RGPD permite explicitamente que o responsvel pelo tratamento possa exigir dos
interessados para exercer os seus direitos de acesso, retificao, apagamento e oposio, prova
de identidade para executar os seus direitos, com o objetivo de diminuir o risco de terceiros
obterem acesso ilcito a dados pessoais, contudo, no os obriga a investigar ou procurar as
informaes necessrias para identificao dos titulares dos dados.
A CNPD pode autorizar a cobrana300 de um valor no excessivo pelo responsvel do
tratamento de dados (al) h), do n. 1, do art. 23, da LPDP). O RGPD prev que o responsvel
pelo tratamento deve fornecer a informao de forma gratuita, contudo, pode exigir o
pagamento de uma taxa razovel301 tendo em conta os custos administrativos, quando o
pedido manifestamente infundado ou excessivo, especialmente se repetitivo (art. 15, do
RGPD).
3-5.2.3. O direito de retificao

O direito de retificao (al) d), do n. 1, do art. 11, da LPDP, al) b), do art. 12, da Diretiva
95/46/CE, al) c) do art. 8. da Conveno 108), resulta dos princpios da atualizao e da
qualidade dos dados (al) d), do n. 1, do art. 5 e al) g), do n. 1, do art. 23, da LPDP, e (al)
d), do n. 1, do art. 6, da Diretiva 95/46/CE) com fundamento na inexatido ou
incompletude302 dos dados.
O direito de retificao est regulado nos art.s 16 e 19, do RGPD, prevendo-se, agora, que o
responsvel pelo tratamento deve fornecer ao titular dos dados as informaes sobre as
medidas tomadas, sem demora injustificada e no prazo de um ms a contar da data de receo
do pedido, podendo ser prorrogado at dois meses, quando for necessrio, tendo em conta a
complexidade do pedido e o nmero de pedidos (n. 3, do art. 12 e art. 19, do RGPD)303.
O responsvel do tratamento de dados poder exigir prova, para aceitar o pedido de
300
V. Parecer da CNPD, n. 16/2005, de 24/05 [Em linha]. [Consult. 24 mar. 2015]. Disponvel em WWW
<https://www.cnpd.pt/bin/decisoes/Par/40_16_2016.pdf>, dado ao Banco de Portugal sobre a exigncia de uma
taxa moderadora na prestao de informao por escrito aos beneficirios de um crdito e Autorizao da CNPD,
n. 1102/2010, de 15/03 [Em linha]. [Consult. 24 mar. 2015]. Disponvel em WWW <https://www.
cnpd.pt/bin/decisoes/Aut/10_1102_2010.pdf>, concedida Vodafone para cobrana de um determinado valor
pela disponibilizao de uma cpia em suporte durvel de gravao de chamadas.
301
O princpio n. 15, das Diretrizes da Privacidade, sugere a fixao de um preo no excessivo e eventual pela
disponibilizao da informao de dados pessoais em ficheiros, a pagar pelo titular.
302
O TEDH, no Ac. Cemalettin Canli v. Turquia, n. 22.427/04, de 18/11/2008, considerou que os registos sobre
as pessoas devem conter no apenas a acusao deduzida mas tambm o resultado do processo relacionado com
as acusaes.
303
A introduo de prazos especficos no mbito do GDPR agrava as condies para o cumprimento das
obrigaes dos responsveis pelo tratamento de dados.
69
retificao e dentro de limites razoveis, ao titular dos dados304.
3-5.2.4. O direito ao apagamento ou bloqueio de dados

O titular dos dados tem o direito de solicitar ao responsvel pelo tratamento o apagamento ou
a eliminao dos seus dados no sentido de que o responsvel cessa a utilizao dos mesmos,
com fundamento na inexatido, alterao das finalidades para que forem recolhidos ou
tratados posteriormente305, e ainda, por razes ponderosas e legtimas relacionadas com a sua
situao particular dos dados conservados para alm do prazo legalmente previsto (al) e), do
n. 1, e n. 2, do art. 5. da LPDP). O apagamento dos dados implica que o tratamento de
dados est impedido salvo para apuramento de eventuais responsabilidade e colocados
disposio, por exemplo, dos rgos administrativos306 ou judiciais durante o prazo de
prescrio de qualquer ilcito contraordenacional ou criminal.
O RGPD prev e alarga o mbito do direito de apagamento, tambm denominado como o
direito de ser esquecido307, nos termos da epgrafe no art. 17, embora no seja considerado
um direito absoluto, na medida em que ser realizado pelo responsvel do tratamento desde
que as medidas que se afigurarem razoveis, tendo em conta a tecnologia disponvel e os
meios ao seu dispor, incluindo medidas tcnicas, e cujo pedido est sujeito verificao de
304
Os entraves retificao dos dados em documento de identificao com fundamento na origem tnica podem
configurar uma violao no acesso vida privada quando so exigidos requisitos com fundamento subjetivo e
no fundamentado, conforme Ac. Ciubotaru v. Moldvia, do TDEH, n. 27.138/04, de 27/04/2010, e ainda, a
recusa de oportunidade de retificar as informaes recolhidas e armazenadas em ficheiros secretos, conforme o
Ac. Rotaru v. Romnia, do TEDH, n. 28.341/95, de 04/05/2000.
305
A manipulao indiscriminada de dados pessoais incorporados num ficheiro representa uma violao s
normas previstas na LPDP, conforme Ac. do TCAS, n. 06895/03, de 08/11/2007.
306
V. Deliberao da CNPD, n 165/2001, de 13/11 [Em linha]. [Consult. 24 Mar. 2015]. Disponvel em WWW
<https://www.cnpd.pt/bin/decisoes/Delib/20_165_2001.pdf>, sobre o bloqueamento de dados cujo tratamento
tinha como finalidade existncia de programa de fidelizao baseada em cartes de cliente e a Deliberao da
CNPD, n 1205/2000, de 04/06 [Em linha]. [Consult. 29 mar. 2015]. Disponvel em WWW <https://www.
cnpd.pt/bin/decisoes/Delib/20_1205_2000.pdf>, quanto ao bloqueio temporrio dos tratamentos relativos ao
carto jovem da Cmara Municipal de Valongo.
307
V. Ac. Google Spain SL, Google Inc. c. Agencia Espaola de Proteccin de Datos (AEPD), e Mario Costeja
Gonzlez, do TJUE, do TJUE, n. C 131/12, de 13/05/2014, com enorme impacto no direito ao acesso de dados
pessoais, para alm da coliso entre as polticas e procedimentos das empresas dos motores de busca com as
polticas socioeconmicas da EU e pases terceiros. O direito a ser esquecido no uma questo nova na
jurisprudncia (recorde-se que o Tribunal do Estado da Califrnia considerou que todos tem direito felicidade e
a garantia de reparar os erros do passado e por isso no se pode atacar a reputao das pessoas, conforme
decidido em Melvin vs. Reid, em 1931, devido produo de um filme - O Kimono Vermelho em que retratava
a vida de ex-prostituta acusada de homicdio e absolvida (PROSSER, cit. 54) e o Tribunal de Paris, considerou
que as reminiscncias da vida privada de um indivduo fazem parte de seu capital moral e que ningum tem o
direito, mesmo de boa f, de public-las sem a autorizao clara e explcita da pessoa cuja vida est sendo
relatada como se fosse a prpria, conforme o Ac. Marlene Dietrich v. Socit France-Dimanche Subsequent
Developments, Cour dAppel, disponvel em <https://law.utexas.edu/transnational/foreign-law-translations/
french/case.php?id=1254)>, mas ganhou uma relevncia sem precedentes no contexto virtual. A regulao do
direito a ser esquecido resulta das caractersticas da internet no que respeita comunicao e universalizao
da informao, porque a internet no esquece nem deixa que outros se esqueam.
70
uma das seguintes circunstncias, em que: (a) os dados pessoais deixaram de ser necessrios
para a finalidade que motivou a sua recolha ou tratamento; (b) h uma cesso do
consentimento; (c) h oposio ao tratamento sem que existam interesses legtimos
prevalecentes que justifiquem o tratamento; (d) existe um tratamento ilcito; (e) necessrio o
cumprimento de uma obrigao legal; e (f) os dados foram recolhidos no contexto da oferta de
servios da sociedade da informao dirigida a uma criana. O responsvel pelo tratamento
pode recusar um pedido de apagamento, quando o tratamento se revele necessrio para: (a) o
exerccio da liberdade de expresso e de informao; b) o cumprimento de uma obrigao
legal; (c) satisfazer uma obrigao legal para o desempenho de uma tarefa de interesse
pblico ou exerccio da autoridade pblica; (d) fins de arquivo de interesse pblico, para fins
de investigao cientfica ou histrica ou para fins estatsticos; ou (e) o exerccio ou defesa de
um direito num processo judicial. (Considerandos 65 e 66, art.s 17 e 19, do RGPD) (3-7.4.).
O RGPD cria um direito ao apagamento mais amplo do que o direito de que dispem os
titulares dos dados ao abrigo da Diretiva 95/46/CE e da LPDP, pelo que as organizaes
enfrentam um espetro mais amplo de solicitaes pelos titulares dos dados.
3-5.2.5. O direito de oposio

O titular dos dados tem o direito de, com base em razes preponderantes e legtimas
relacionadas com a sua situao especfica, se opor ao tratamento dos dados que lhe dizem
respeito (al) a) do art. 12, da LPDP, Considerando 45 e al) a), do art. 14, da Diretiva
95/46/CE), salvo disposio legal em contrrio (art. 6, da LPDP e art. 7, da Diretiva
95/46/CE). O direito de oposio est estreitamente ligado aos casos em que no foi
necessrio obter o consentimento do interessado para o seu tratamento. As disposies legais
distinguem expressamente trs situaes para o exerccio do direito de oposio ao tratamento
dos dados e em qualquer momento:
1) O direito de oposio devido situao particular da pessoa em causa, com fundamento
em razes ponderosas308, e que o responsvel pelo tratamento deve ponderar a soluo
caso a caso e em concreto, para interromper o tratamento de dados309.
308
V. o Ac. Heinz Huber v. Bundesrepublik Deutschland, do TJUE, n. C 524/06, de 16/12/2008, em que h
que interpretar o art. 12, primeiro pargrafo, no sentido de que se ope instaurao, por um Estado-Membro,
de um sistema de tratamento de dados pessoais especfico para os cidados da Unio que no so nacionais desse
Estado-Membro, com o objetivo de combater a criminalidade; e o Ac. M.S. v. Sucia, do TEDH, n. 20.837/92,
de 27/08/1997, em que foram comunicados dados de sade mdicos sem consentimento e sem a possibilidade de
oposio, por uma companhia de seguros a uma entidade pblica.
309
71
2) O direito de oposio a decises individuais automatizadas310, salvo as excees
previstas311, destinadas a avaliar determinados aspetos da sua personalidade,
designadamente o desempenho e capacidade profissional, o seu crdito312, a confiana de
que merecedora ou o seu comportamento (art. 13, da LPDP, art. 15, da Diretiva
95/46/CE). O RGPD estabelece garantias s pessoas singulares contra o risco de uma
deciso automatizada ser potencialmente prejudicial, devendo o responsvel pelo
tratamento aplicar medidas adequadas para salvaguardar os direitos e liberdades e
legtimos interesses do titular dos dados, designadamente o direito de, pelo menos, obter
interveno humana por parte do responsvel, manifestar o seu ponto de vista e contestar
a deciso (art.s 9 e 22, do RGPD). As decises automatizadas esto intrinsecamente
ligadas construo de perfis que o RGPD define como qualquer forma de tratamento
automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar
certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever
aspetos relacionados com o seu desempenho profissional, a sua situao econmica,
sade, preferncias pessoais, interesses, fiabilidade, comportamento, localizao ou
deslocaes (n. 4, do art.s 4, do RGPD)313.
3) O direito de oposio utilizao para fins de marketing direto (al) b), do art. 12, da
LPDP, al) b), do art. 14, da Diretiva 95/46/CE).
A Diretiva 95/46/CE e a LPDP permitem que os responsveis pelo tratamento continuem a
tratar de dados pertinentes salvo se o seu titular demonstrar que no se justifica. O RGPD vem
inverter o nus da prova e o responsvel pelo tratamento que cessa o tratamento dos dados
pessoais, a no ser que apresente razes imperiosas e legtimas para esse tratamento que
prevaleam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de
declarao, exerccio ou defesa de um direito num processo judicial (Considerandos 50, 59,
69, 70 e 73 art. 21, do RGPD).
310
V. CdE Recommendation CM/Rec(2010)13 of the Committee of Ministers to member states on the protection
of individuals with regard to automatic processing of personal data in the context of profiling, cit. 82.
311
As excees esto previstas no art. 15, da Diretiva 95/46/CE e n.s 2 e 3, do art. 13, da LPDP, ou seja, a
pessoa pode ficar sujeita a uma deciso automatizada (1) desde que ocorra no mbito da celebrao ou da
execuo de um contrato, e sob condio de o seu pedido de celebrao ou execuo do contrato ter sido
satisfeito; (2) existam medidas adequadas que garantam a defesa dos seus interesses legtimos, designadamente o
seu direito de representao e expresso; e (3) quando a CNPD o autorize, definindo medidas de garantia da
defesa dos interesses legtimos do titular dos dados. O RGPD mantm os mesmos fundamentos, e ainda, prev
outro fundamento, se for baseada no consentimento explcito do titular dos dados, conforme al) c), do n. 1, do
art. 22, do RGPD.
312
Por exemplo, a proibio do credit scoring que consiste na atribuio ou denegao automtica de crdito
pessoal, consoante a pessoa que solicita esse crdito responde ou no a certa caractersticas pessoais ou
profissionais, previamente definidas no programa do computador (CASTRO, cit. 38, p. 252).
313
De acordo com o plano de trabalho do GT29 sero publicadas as diretrizes sobre a elaborao de perfis, em
2017.
72
3-5.2.6. O direito de oposio para fins de marketing direto
Nos termos da al) b, do art. 12, da LPDP, o titular dos dados pode opor-se, gratuitamente, ao
tratamento dos dados pessoais que lhe digam respeito previsto pelo responsvel pelo
tratamento para efeitos de marketing direto314 ou a qualquer outra forma de prospeo, por
exemplo, as relacionadas com a publicidade domiciliria, designadamente por via postal,
distribuio direta, telefone ou telecpia, (n. 1 do art. 4 e n. 2, do art. 5, da L n. 6/99, de
27/01); e ainda de ser informado, antes de os dados pessoais serem comunicados pela primeira
vez a terceiros para fins de marketing direto ou utilizados por conta de terceiros, e de lhe ser
expressamente facultado o direito de se opor, sem despesas, a tais comunicaes ou
utilizaes.
O direito de oposio utilizao posterior dos dados para efeitos de marketing direto no
est sujeito a objees nem a fundamentos para ser recusado.
Os ficheiros de no receo de comunicaes comerciais no solicitadas315, ou listas
Robinson, incorporam uma lista de interessados que no desejem receber de comunicaes
para fins de marketing direto316 ou outras formas de prospeo317. Os ficheiros podem
314
V. CdE Recommendation n. R(85) 20 on the protection of personal data used for the purposes of direct
marketing, cit. 81, j reconhecia o direito de oposio ao tratamento de dados para efeitos de marketing.
315
Note-se que os ficheiros de no receo de comunicaes comerciais no solicitadas, so ficheiros de dados
pessoais que obedecem aos princpios preconizados na LPDP, Diretiva 46/95/CE, CDFUE e Conveno 108.
316
A lei portuguesa indica, designadamente atravs da utilizao de sistemas automatizados de chamada e
comunicao que no dependam da interveno humana (aparelhos de chamada automtica), de aparelhos de
telecpia ou de correio eletrnico, incluindo SMS (servios de mensagens curtas), EMS (servios de mensagens
melhoradas) MMS (servios de mensagem multimdia) e outros tipos de aplicaes similares, conforme o n. 1,
do art. 13B, da L n. 41/2004, de 18/08. A al) h), do art. 2, da Diretiva 2002/58/CE, define correio eletrnico
como qualquer mensagem textual, vocal, sonora ou grfica enviada atravs de uma rede pblica de
comunicaes que pode ser armazenada na rede ou no equipamento terminal do destinatrio at o destinatrio a
recolher, vindo o GT29, indicar que a definio tem um sentido lato e exemplificativo, na medida em que de
pretende proporcionar a proteo de dados pessoais e da privacidade aos utilizadores de servios de
comunicaes publicamente disponveis e independentemente das tecnologias utilizadas (Considerando 4, da
Diretiva 2002/58/CE). Assim os servios, sujeitos a reviso em funo dos desenvolvimentos tecnolgicos,
abrangidos atualmente pela definio de correio eletrnico incluem: correio SMPT (Simple Mail Transport
Protocol); servio de mensagens curtas ou "SMS" (Considerando 40 da Diretiva 2002/58/CE); servio de
mensagens multimdia ou "MMS"; mensagens deixadas em atendedores de chamadas; sistemas de servios de
mensagens vocais, incluindo nos servios da rede mvel; comunicaes enviadas pela Internet e transmitidas
diretamente para um endereo IP; e os boletins informativos enviados por correio eletrnico (v. GT29 - Parecer
5/2005 sobre as comunicaes no solicitadas para fins de comercializao no mbito do Artigo 13. da Diretiva
2002/58/CE. [Em linha]. 11601/PT, WP 90. Brussels (Belgium), 27/02/2004. [Consult. 16 Fev. 2014].
Disponvel em WWW <http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
recommendation/files/2004/wp90_pt.pdf>).
317
As aplicaes de comercializao do Bluetooth poderiam configurar uma tecnologia similar (v. GT29, Parecer
1/2009 sobre as propostas de alterao da Diretiva 2002/58/CE relativa ao tratamento de dados pessoais e
proteo da privacidade no setor das comunicaes eletrnicas (diretiva da privacidade eletrnica) [Em linha].
00350/09/PT GT 159. Brussels (Belgium), (10/02/2009). [Consult. 12 Dez. 2014]. Disponvel em WWW
<http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2009/wp159
_pt.pdf>, 2009) e as comunicaes por wireless (cf. OCDE - Anti-Spam Regulation. [Em linha]. OECD 2005
DSTI/CP/ICCP/SPAM(2005)10/FINAL [Consult. 10 Nov. 2015]. Disponvel em WWW <https://www.
oecd.org/sti/ieconomy /35670414.pdf>).
73
diferenciar-se em trs modalidades:
a) A lista Robinson, tambm conhecida por lista de oposio ou lista de registo negativo,
que registam os nomes de pessoas singulares e coletivas (associados com dados de
endereos de correio postal e eletrnico e nmeros de telefone e telefax), que mantida e
atualizada pelos responsveis pelo tratamento de dados dos operadores econmicos que
promovam o envio de comunicaes para fins de marketing direto ou outras formas de
prospeo, dos seus produtos ou servios ou por conta de terceiros.
b) A lista Robinson, tambm denominada por lista de oposio ou lista comum de excluso,
que a Associao Portuguesa de Marketing Direto, Relacional e Interativo, administra nos
termos dos n.s 4 e 5, do art. 4, da L n. 6/99 de 27/01, sujeita superviso da CNPD, de
pessoas singulares que se lhe dirigem e manifestam o direito de oposio ao tratamento
dos seus dados pessoais, que atualiza trimestralmente e disponibiliza a todos os
operadores econmicos interessados.
c) Nos termos do n. 2 a 5, do art. 13-B, da L n. 41/2004, de 18/08, compete Direo-
Geral do Consumidor manter atualizada uma lista Robinson de mbito nacional de
pessoas coletivas que manifestem expressamente a oposio receo de comunicaes
no solicitadas para fins de marketing direto, bastando preencher de formulrio eletrnico
disponibilizado e no podendo ser cobrada qualquer quantia. As entidades que promovam
o envio de comunicaes para fins de marketing direto so obrigadas a consultar a lista,
atualizada mensalmente pela DGC, que a disponibiliza a seu pedido.
O RGPD, apesar de alterar a terminologia e referir-se comercializao direta, mantm as
disposies essenciais, incluindo a definio de perfis na medida em que esteja relacionada
com a referida comercializao, para o exerccio do direito oposio ao tratamento dos
dados pessoais das pessoas singulares. (Considerando 70 e n. 2 e 3, do art. 21, do RGPD).
3-5.3. Os direitos dos titulares dos dados pessoais no RGPD

A Diretiva 95/46/CE e a LPDP preveem, expressamente, um conjunto de direito dos titulares
dos dados que incide sobre as operaes do tratamento de dados (informao, acesso,
retificao, apagamento ou bloqueio dos dados e oposio ao tratamento) que foi ampliada
pelo RGPD, para alm de reforar os direitos j existentes. Assim, faz-se apenas referncia
aos seguintes direitos:
a) Direito limitao do tratamento: isto , implica um direito de bloquear o tratamento dos
dado de modo que o responsvel do tratamento pode conservar os dados mas no trat-
los, quando esteja perante uma das seguintes situaes: (a) quando conteste a exatido
74
dos dados pessoais, durante um perodo que permita ao responsvel pelo tratamento
verificar a sua exatido; (b) o tratamento for ilcito e o titular dos dados se opuser ao
apagamento dos dados pessoais e solicitar, em contrapartida, a limitao da sua
utilizao; (c) o responsvel pelo tratamento j no precisar dos dados pessoais para fins
de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declarao,
exerccio ou defesa de um direito num processo judicial; e (d) se tiver oposto ao
tratamento, at se verificar que os motivos legtimos do responsvel pelo tratamento
prevalecem sobre os do titular dos dados.
b) A notificao da retificao ou apagamento dos dados pessoais ou limitao do
tratamento. Nos termos da al) e) do n 1, do art. 12, da LPDP e al) c) do art. 12 da
Diretiva 95/46/CE, sempre que um responsvel pelo tratamento tenha revelado dados
pessoais a terceiros e a pessoa em causa tenha posteriormente exercido qualquer dos
direitos de retificao, apagamento ou bloqueio, o responsvel pelo tratamento deve
notificar esses terceiros do exerccio desses direitos por parte da pessoa em causa, salvo,
se for impossvel ou exigir um esforo desproporcionado. Nos termos do art. 19., in
fine, do RGPD, o direito reforado, ou seja, se o titular dos dados o solicitar, o
responsvel pelo tratamento fornece-lhe informaes sobre os referidos destinatrios. Os
operadores econmicos so obrigados a implementar sistemas e procedimentos para
notificar os terceiros afetados sobre o exerccio desses direitos. Para as organizaes que
divulgam dados pessoais a um grande nmero de terceiros, pode ser particularmente
oneroso.
c) O direito de portabilidade dos dados, ou seja, o titular dos dados tem o direito de receber
os dados pessoais que lhe digam respeito e que tenha fornecido a um responsvel pelo
tratamento, num formato estruturado, de uso corrente e de leitura automtica, se o
tratamento se basear no consentimento dado ou num contrato e o tratamento for realizado
por meios automatizados (art. 20, do RGPD)318. O responsvel poder transmitir esses
dados a outro responsvel pelo tratamento sem que o responsvel a quem os dados
pessoais foram fornecidos o possa impedir. A transmisso dos dados no implica por
exemplo o apagamento ou a oposio do tratamento de dados pelo responsvel que os
318
Para algumas organizaes, este novo direito de transferir dados pessoais entre controladores exige
investimentos substanciais em novos sistemas e processos, mas tambm uma oportunidade de atrao de novos
clientes. Os operadores econmicos podem atrair clientes que anteriormente no estavam dispostos a mudar de
um concorrente, devido s dificuldades associadas definio de uma nova conta: por exemplo de correio
eletrnico. J existiam iniciativas como o projeto MIDATA (https://www.midata.coop/) no Reino Unido, em que
os utilizadores podem transferir os seus dados bancrios para plataformas que os ajudem a compreender os seus
hbitos de consumo e encontrar as propostas mais adequadas para cada pessoa.
75
transmite. O direito portabilidade no se aplica ao tratamento necessrio para o
exerccio de funes de interesse pblico ou ao exerccio da autoridade pblica de que
est investido o responsvel pelo tratamento; aos dados que o titular tenha facilitado de
terceiros; e aos dados que tenham sido facilitados por terceiros ao responsvel do
tratamento.
76
PARTE III TRATAMENTO DE DADOS PESSOAIS
CAPTULO VI CONSIDERAES GERAIS SOBRE O TRATAMENTO DE

DADOS PESSOAIS
3-6. O tratamento de dados pessoais

Os operadores econmicos independentemente do seu tamanho ou propsito criam dados para
tratar de eventos e transaes que ocorrem dentro da sua organizao. O tratamento de dados
consubstancia-se no ato de manipular os dados por qualquer forma, independentemente das
atividades desenvolvidas, para atribuir-lhes um determinado significado e com determinado
fim, nomeadamente prosseguir os seus interesses lucrativos. Da que para o bom
funcionamento do mercado interno da EU se imponha que a livre circulao de dados
pessoais na Unio no possa ser restringida ou proibida por motivos relacionados com a
proteo das pessoas singulares no que respeita ao tratamento de dados pessoais
Contudo, uma vez consagrado o direito fundamental proteo de dados, e para evitar o srio
risco de ser contornada a proteo de dados das pessoas singulares, so estabelecidas
obrigaes compatveis com a concretizao de tal direito, no que respeita ao seu tratamento
de forma leal, para fins especficos e com o consentimento da pessoa interessada ou com
outro fundamento legtimo previsto por lei e que todas as pessoas tm o direito de aceder aos
dados coligidos que lhes digam respeito e de obter a respetiva retificao (conforme o n. 2,
do art. 8, da CDFUE).
A legislao interna e europeia definem a expresso de tratamento em matria de proteo de
dados sempre que uma organizao manipule dados pessoais.
3-6.1. O conceito de tratamento de dados pessoais

Nos termos da al) b), do art. 3, da LPDP, o tratamento de dados pessoais consiste numa
qualquer operao ou conjunto de operaes sobre dados pessoais, efetuadas com ou sem
meios automatizados, tais como a recolha, o registo, a organizao, a conservao, a
adaptao ou alterao, a recuperao, a consulta, a utilizao, a comunicao por
transmisso, por difuso ou por qualquer outra forma de colocao disposio, com
comparao ou interconexo, bem como o bloqueio, apagamento ou destruio, que resulta da
77
transposio ispsis verbis da Diretiva n. 95/46/CE.319 A definio legal permite extrair a
seguintes concluses:
1) O termo tratamento muito amplo e significa tudo o que pode ser feito com os dados
pessoais, ou seja, o tratamento de dados pessoais consiste numa qualquer operao ou
conjunto de operaes sobre dados pessoais. A disposio legal exemplificativa320 e
enumera apenas algumas dessas operaes321.
2) A LPDP aplica-se ao tratamento de dados pessoais automatizado e manual que merecem,
igualmente, tutela constitucional (conforme n.s 1 e n. 7, do art. 35, da CRP). O
tratamento manual322 de dados (normalmente constitudos em suporte de papel, por
exemplo, fichas de clientes organizadas por profissionais liberais ou a conta corrente de
estabelecimentos comerciais tradicionais) est sujeito a proteo legal se estiverem
organizados e estruturados segundo critrios especficos relativos s pessoas que
permitam um acesso fcil aos dados pessoais (Considerando 15, da Diretiva 95/46/CE). A
al) c) do n. 2, do art. 3, da Conveno 108, j referia que as suas normas e princpios
abrangiam tanto os ficheiros automatizados e como os ficheiros de dados de carter
pessoal que no sejam objeto de tratamento automatizado, esto sujeitos. O mbito de
aplicao material mantm-se no RGPD, conforme n. 1, do art. 2.
A definio de tratamento de dados pessoais est intimamente relacionada com o
conceito de ficheiro323 como conjunto estruturado de dados pessoais, acessvel segundo
319
O RGPD introduz pequenas alteraes na definio de tratamento de menor relevncia e sem consequncias
prticas nas organizaes. curioso que as Diretrizes sobre a Privacidade no incluam a definio de tratamento
de dados pessoais, embora preveja um conjunto de definies tais como dados pessoais, responsvel do ficheiro
ou transferncia de dados pessoais. O tratamento de dados pessoais, contudo no decorrer das negociaes, foi um
dos aspetos mais discutidos tendo desencadeado vrias reaes com a computao ubqua e a distino entre o
tratamento automtico e no automtico da informao.
320
O TJUE considerou que por exemplo uma operao que consiste na referncia, feita numa pgina da
Internet, a vrias pessoas e a sua identificao pelo nome ou por outros meios, por exemplo, o nmero de
telefone ou informaes relativas s suas condies de trabalho e aos seus passatempos, constitui um
tratamento de dados pessoais por meios, total ou parcialmente, automatizados na aceo da Diretiva 95/46
(Pargrafo 27, do Ac. Bodil Lindqvist, do TJUE, n C-101/01, de 06/11/2003 e Pargrafo 129, do Ac. The
Bavarian Lager Co. Ltd contra Comisso das Comunidades Europeias, do TPI, n. T-194/04, de 08/11/2007).
321
A al) c), do art. 2, da Conveno 108 refere que tratamento automatizado compreende as operaes,
efetuadas, no todo ou em parte, com a ajuda de processos automatizados, de registo de dados, aplicao a esses
dados de operaes lgicas e ou aritmticas, bem como a sua modificao, supresso, extrao ou difuso.
322
V. o entendimento sobre o tratamento manual de dados pessoais constante da Deliberao da CNPD, n.
14/2002, cit. 177, sobre o regime relativo ao tratamento de dados pessoais em ficheiros manuais.
323
A definio mantm-se no RGPD, conforme o n. 6, do art. 4. Os dados pessoais so inseridos em ficheiros
que se caracterizam por um sistema organizado segundo determinados critrios e cuja configurao permite
incorporar e extrair a informao pretendida. O conceito de ficheiro no est vinculado a uma nica localizao
podendo estar distribudo por vrios locais geogrficos, mas deve segundo o preceito legal estar de algum modo
submetido a determinada gesto centralizada ou descentralizada. A doutrina distingue conceptualmente entre
ficheiros fsicos (que se podem localizar geograficamente, em suporte de papel ou informtico), lgicos (a
sistematizao depende da configurao lgica do sistema de informao com uma finalidade ou finalidades
compatveis) e jurdicos (determinados pela natureza dos dados e a finalidade com que so tratados pelo
78
critrios determinados, quer seja centralizado, descentralizado ou repartido de modo
funcional ou geogrfico (al) c), do art. 2 da LPDP e al) c), do art. 2, da Diretiva
95/46/CE). Isto , apenas se aplica a LPDP ao tratamento de dados pessoais quando o
referido tratamento esteja contido num determinado ficheiro (Considerando 27, da
Diretiva 95/46/CE). O n. 6, do art. 4, do RGPD, mantm a definio de ficheiro da
Diretiva e da LPDP, contudo, decorre da interpretao da norma e sobretudo, atendendo
aos novos direitos dos titulares dos dados, que os ficheiros devem ter formatos
interoperveis que permitam a portabilidade dos dados. O TJUE refere que a mera
indicao num relatrio do nome de pessoas e respetivos rendimentos constitui um
tratamento de dados324. A falta de conhecimento sobre o local do armazenamento dos
ficheiros que contm dados pessoais como o caso da computao em nuvem 325, no
impede a aplicao da LPDP na medida em que o conceito deve ser conjugado com as
condies e princpios que devem reger o tratamento de dados pessoais e os direitos do
titular dos dados objeto de tratamento.
3-6.2. O papel do responsvel pelo tratamento de dados pessoais

O responsvel pelo tratamento de dados assume uma especial importncia uma vez que
garante o cumprimento da legislao nacional e da EU em matria de proteo de dados
responsvel do tratamento) (PULIDO, Emilia Zaballos - La proteccin de datos personales en Espaa :

evolucin normativa y criterios de aplicacin [Em linha]. Madrid. Universidad Complutense de Madrid (2013).
Tesis de doctorado. [Consult. 10 jun. 2016]. Disponvel em WWW <http://eprints.ucm.es/22849/1/T34733.pdf>;
RODRIGUEZ DAVARA, Miguel ngel Manual de Proteccin de Datos para Abogados. Madrid : Thompson
Aranzadi, 2008. ISBN 978-8497-676-49-6).
324
Ac. Rechnungshof v. sterreichischer Rundfunk e outros, do TJUE apensos n.s C-465/00, C-138/01 e C-
139/01, de 20/05/2003.
325
A utilizao de uma rede de computadores para otimizar o desempenho do processamento da informao teve
origem na dcada de cinquenta e o termo de para designar esta partilha de tarefas foi pela primeira vez utilizado
pelos engenheiros da Compaq, celebrizado junto dos consumidores por Steve Jobs com o prefixo i, dois anos
mais tarde (v. SILVA, Fernando Resina da, et al. Cloud, a Lei e a Prtica. Coimbra : Almedina, 2016. ISBN
ISBN 9789724065045). A definio computao em nuvem (cloud computing) refere-se a um modelo de
prestao de servios tecnolgicos que permite o acesso aos recursos computacionais configurveis e
interligados pela internet. Existem vrias modalidades de servios que so importantes diferentes devidos s
distintas consequncias a nvel jurdico (que aqui no sero tratadas): (1) IaaS - Infrastructure as a Service
(Infraestrutura como Servio) quando se utiliza parte de um servidor; (2) PaaS - Plataform as a Service
(Plataforma como Servio) quando se utiliza para suporte de uma base de dados; (3) DaaS - Development as a
Service (Desenvolvimento como Servio) quando se utiliza para desenvolver servios partilhados; (4) SaaS -
Software as a Service (Software como Servio) quando se utiliza um software na web, por exemplo, o Google
Docs ou o Microsoft SharePoint Online; (5) CaaS - Communication as a Service (Comunicao como Servio):
quando se utiliza uma soluo de Comunicao Unificada hospedada em Data Center do provedor, por exemplo,
a Microsoft Lync; (6) EaaS - Everything as a Service (Tudo como Servio) quando se utiliza todos os servios
que envolve a tecnologia da informao e comunicao; e (7) DBaas - Data Base as a Service (Banco de dados
como Servio) quando utiliza a parte de servidores de bases de dados. (v. MELL, Peter; GRANCE, Timothy -
The NIST definition of cloud computing, Recommendations of the National Institute of Standards and
Technology, NIST, U.S. Department of Commerce, (2011). [Consult. 16 jan. 2016]. Disponvel em WWW
<http://nvlpubs.nist.gov/nistpubs/ Legacy/SP/nistspecialpublication800-145.pdf>).
79
pessoais. O responsvel pelo tratamento a pessoa singular ou coletiva, a autoridade pblica,
o servio ou qualquer outro organismo que, individualmente ou em conjunto com outrem (al)
d), do art. 3, da LPDP), determina326, de forma autnoma, as finalidades, o contedo e os
meios de tratamento, a utilizao do referido tratamento de dados pessoais e facilita ao titular
dos dados o exerccios dos direitos (particularmente no acesso, retificao, cancelamento e
oposio). O responsvel pelo tratamento assegura o cumprimento dos princpios da proteo
de dados (n. 2, do art. 5 e art. 6 da LPDP, n 2, do art. 6 e art. 7, da Diretiva 95/46/CE e
a) d), do art. 2, da Conveno 108).
As obrigaes impostas realizao do tratamento de dados, pelo responsvel, operam-se em
trs grandes momentos: (1) antes da recolha dos dados, (2) durante o tratamento dos dados e
(3) a utilizao dos dados por qualquer meio.
3-6.2.1. O responsvel pelo tratamento de dados pessoais no mbito do RGPD

O conceito de responsvel pelo tratamento no foi alterado no mbito do RGPD327, mas as
suas obrigaes foram revistas conforme captulo IV (art.s 24 a 44), nomeadamente, quanto
aplicao das medidas tcnicas e organizativas que forem adequadas para assegurar e poder
comprovar que o tratamento realizado em conformidade com o regulamento (n. 2, do art.
5, e n 1, do art. 24, do RGPD)328.
Embora no esteja expressamente referido, resulta da interpretao do RGPD, que
responsvel pelo tratamento assume todos os deveres da legalizao pelo tratamento de dados
pessoais, e por isso, deve especificar, documentar e conservar329 todos os registos das
326
Note-se que o responsvel pode nunca realizar nenhuma operao de tratamento de dados porque pode
encarregar terceiros mediante determinadas instrues para a realizao de tratamento de dados. A identificao
do responsvel do tratamento importante para apurar as responsabilidades no tratamento de dados quando seja
efetuado de forma ilcita. (v. GT29 - Parecer 1/2010 sobre os conceitos de responsvel pelo tratamento e
subcontratante [Em linha]. 00264/10/PT WP 169. Brussels (Belgium), (16/02/2010). [Consult. 12 Dez. 2014].
Disponvel em WWW <http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommen
dation/files/2010/wp169_pt.pdf>).
327
Conforme n. 7, do art. 4, do RGPD, o responsvel pelo tratamento a pessoa singular ou coletiva, a
autoridade pblica, a agncia ou outro organismo que, individualmente ou em conjunto com outras, determina as
finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento
sejam determinados pelo direito da Unio ou de um Estado-Membro, o responsvel pelo tratamento ou os
critrios especficos aplicveis sua nomeao podem ser previstos pelo direito da Unio ou de um Estado-
Membro,
328
Trata-se estimular o princpio da autorresponsabilidade ou responsabilidade proativa ou reativa, inspirado no
modelo de origem anglo-saxnica de accountability, complementado com a elaborao de cdigos de conduta e
da certificao (v. GT29 - The Future of Privacy Joint contribution to the Consultation of the European
Commission on the legal framework for the fundamental right to protection of personal data [Em linha].
02356/09/EN WP 168. Brussels (Belgium), (01/12/2009). [Consult. 12 Dez. 2014]. Disponvel em WWW
_en.pdf>).
329
Para ter em conta a situao particular das micro, pequenas e mdias empresas, o presente regulamento prev
80
atividades de tratamento (Considerando 82 e art. 30, do RGPD), nomeadamente, de
realizarem auditorias e avaliaes peridicas, adoo de normas, procedimentos e sistemas
tecnolgicos que assegurem um elevado nvel de segurana e as notificaes de violao de
segurana de dados pessoais.
3-6.3. A legalizao do tratamento de dados pessoais

Atualmente, os art.s 27 a 30, da LPDP, estabelecem as regras necessrias legalizao do
tratamento de dados, bem como a qualquer alterao que venha a ocorrer, dependendo os
formalismos da natureza dos dados pessoais, cuja iniciativa desencadeada pelo responsvel
do tratamento, previamente CNPD, por notificao330 ou pedido de autorizao, bem como
podem ser solicitados pareceres (confr. art. 18 e seguintes da Diretiva 95/46/CE). A
legalizao do tratamento de dados pessoais obrigatria para entidades pblicas e privadas.
Os art.s 29 e 30, da LPDP, indicam quais so os elementos obrigatrios quanto aos pedidos
de parecer ou de autorizao, bem como as notificaes, remetidos CNPD: (a) nome e
endereo do responsvel pelo tratamento e, se for o caso, do seu representante; (b) as
finalidades do tratamento; (c) a descrio da ou das categorias de titulares dos dados e dos
dados ou categorias de dados pessoais que lhes respeitem; (d) os destinatrios ou categorias
de destinatrios a quem os dados podem ser comunicados e em que condies; (e) a entidade
encarregada do processamento da informao, se no for o prprio responsvel do tratamento;
(f) as eventuais interconexes de tratamentos de dados pessoais; (g) o tempo de conservao
dos dados pessoais; (h) a forma e condies como os titulares dos dados podem ter
conhecimento ou fazer corrigir os dados pessoais que lhes respeitem; (i) as transferncias de
dados previstas para pases terceiros; e (j) a descrio geral que permita avaliar de forma
preliminar a adequao das medidas tomadas para garantir a segurana do tratamento em
aplicao dos art.s 14 e 15, da LPDP.
O envio da notificao, o pedido de autorizao ou parecer feito por via eletrnica, atravs
do preenchimento de formulrio adequado ao tipo de tratamento de dados a tratar e que se
uma derrogao para as organizaes com menos de 250 trabalhadores relativamente conservao do registo de
atividades. Alm disso, as instituies e os rgos da Unio, e os Estados-Membros e as suas autoridades de
controlo, so incentivados a tomar em considerao as necessidades especficas das micro, pequenas e mdias
empresas no mbito de aplicao do presente regulamento. A noo de micro, pequenas e mdias empresas ter
em conta dever inspirar-se do art. 2, do anexo da Recomendao 2003/361/CE da Comisso, de 06/05/2003,
relativa definio de micro, pequenas e mdias empresas (Considerando 13 e art. 30, do RGPD).
330
O objetivo global da notificao teve como antecedente o acompanhamento seletivo da legitimidade das
operaes de tratamento de dados por parte da autoridade de controlo (GT29 - Documento de trabalho: A
notificao [Em linha]. XV/5027/97-PT final WP 8. [s.l.], (03/12/1997). [Consult. 14 fev. 2015]. Disponvel em
WWW <http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/
1997/wp8_pt.pdf>)
81
encontra disponvel na pgina web da CNPD. O formulrio inclui as instrues de
preenchimento e as regras para o envio de documentao em ficheiros anexos ao formulrio.
A submisso eletrnica do formulrio implica o pagamento de uma taxa no prazo de trs dias.
O tratamento dos dados pessoais, sujeito a notificao ou autorizao constando de um registo
na CNPD, pblico e aberto consulta por qualquer pessoa de determinados dados: (a) o
nome e endereo do responsvel pelo tratamento e, se for o caso, do seu representante; (b) as
finalidades do tratamento; (c) a descrio da ou das categorias de titulares dos dados e dos
dados ou categorias de dados pessoais que lhes respeitem; (d) os destinatrios ou categorias
de destinatrios a quem os dados podem ser comunicados e em que condies; e (e) as
transferncias de dados previstas para pases terceiros (conforme n. 2, do art. 31, da LPDP).
Nos termos do art. 43, da LPDP, o no cumprimento da obrigao, de forma intencional, de
notificar ou pedir autorizao para o tratamento de dados, a que se referem os art.s 27 e 28,
da LOPD, configura um crime, punido com priso at um ano ou multa at 120 dias.
3-6.3.1. A notificao CNPD

O tratamento de dados autonomizado ou parcialmente autonomizado que no envolva dados
sensveis, destinados prossecuo de uma ou mais finalidades interligadas,
antecipadamente notificado pelo responsvel pelo tratamento CNPD (nos termos do n. 1,
do art. 27, da LPDP). O tratamento de dados para utilizao em campanhas de marketing
deve ser comunicado CNPD, e ainda informar o titular bem como facultar o exerccio
efetivo do direito de oposio. O responsvel pelo tratamento pode dar incio ao tratamento de
dados pessoais aps a submisso da notificao eletrnica CNPD. A notificao tem
natureza declarativa e no mbito das atribuies de controlo (art. 22, da LPDP) a CNPD
pode verificar o tratamento de dados em conformidade lei e em caso de encontrar
ilegalidades recusar a notificao.
3-6.3.2. A iseno da notificao CNPD

A CNPD pode autorizar a simplificao ou a iseno da notificao para determinadas
categorias de tratamentos que, atendendo aos dados a tratar, no sejam suscetveis de pr em
causa os direitos e liberdades dos titulares dos dados e tenham em conta critrios de
celeridade, economia e eficincia (nos termos do n. 2, do art. 27, da LPDP). O responsvel
pelo tratamento deve cumprir as condies e princpios de proteo de dados e direitos dos
titulares, previstos na LPDP, em conformidade e limites determinados pela CNPD.
82
A autorizao da iseno331 est sujeita a publicao no Dirio da Repblica e deve
especificar as finalidades do tratamento, os dados ou categorias de dados a tratar a categoria
ou categorias de titulares dos dados, os destinatrios ou categorias de destinatrios a quem
podem ser comunicados os dados e o perodo de conservao dos dados.
Tendo em conta que no existe nenhum registo de notificao na CNPD, o responsvel pelo
tratamento est obrigado a prestar, de forma adequada, a qualquer pessoa que lho solicite,
pelo menos as seguintes informaes: (a) a identidade do responsvel do ficheiro e, se for
caso disso, o seu representante; (b) as categorias de dados pessoais tratados; (c) as finalidades
a que se destinam os dados e as categorias de entidades a quem podem ser transmitidos; (d) a
forma de exerccio do direito de acesso e de retificao; (e) eventuais interconexes de
tratamentos de dados pessoais; e (f) as transferncias de dados previstas para pases terceiros.
3-6.3.3. A autorizao concedida pela CNPD

A CNPD exerce o controlo prvio do tratamento de dados pessoais atravs da autorizao
concedida ao responsvel pelo tratamento quando estejam em causa o tratamento de dados
pessoais de dados sensveis (convices filosficas ou polticas, filiao partidria ou sindical,
f religiosa, vida privada e origem racial ou tnica, bem como o tratamento de dados relativos
sade e vida sexual, incluindo os dados genticos) previstos no n. 1, do art. 7, da LPDP,
ou a criao e a manuteno de registos centrais relativos a pessoas suspeitas de atividades
ilcitas, infraes penais, contraordenaes e decises que apliquem penas, medidas de
segurana, coimas e sanes acessrias, previsto no n. 1, do art. 8, da LPDP, o tratamento
dos dados pessoais relativos ao crdito e solvabilidade dos seus titulares, a interconexo de
dados pessoais332, a utilizao de dados pessoais para fins no determinantes da recolha333 e a
331
A Deliberao da CNPD, n 60/2000, de 27/01. [Em linha]. Dirio da Repblica - 2. Srie, n 22, de
27/01/2000, p. 1813 - 1816 [Consult. 29 mar. 2015]. Disponvel em WWW <https://dre.pt/web/guest/pesquisa-
avancada/-/asearch/2028668/details/maximized?search=Pesquisar&sortOrder=ASC&tipo_facet=Delibera%C3
%A7%C3%A3o&perPage=25&types=SERIEII&dataPublicacaoInicio=2000-01-27>, determina a iseno de
notificao CNPD dos seguintes tratamentos de dados: o processamento de retribuies, prestaes, abonos de
funcionrios ou empregados (Autorizao de Iseno da CNPD, n. 1/99); a gesto de utentes de bibliotecas e
arquivos (Autorizao de Iseno da CNPD, n. 2/99); a faturao e gesto de contactos com clientes,
fornecedores e prestadores de servios (Autorizao de Iseno da CNPD, n. 3/99); a gesto administrativa de
funcionrios empregados e prestadores de servios (Autorizao de Iseno da CNPD, n. 4/99); o registo de
entradas e sadas de pessoas em edifcios (Autorizao de Iseno da CNPD, n. 5/99); e a cobrana de
quotizaes em associaes e contactos com os respetivos associados (Autorizao de Iseno da CNPD, n.
6/99). Define os prazos de conservao a que esto sujeitos os dados atrs referidos, bem como os destinatrios a
quem podem ser comunicados esses dados.
332
A interconexo de dados a forma de tratamento que consiste na possibilidade de relacionamento dos dados
de um ficheiro com os dados de um ficheiro ou ficheiros mantidos por outro ou outros responsveis, ou mantidos
pelo mesmo responsvel com outra finalidade, conforme definio legal da al) i), do art. 3 da LPDP).
proibido o acesso a ficheiros e registos informticos para conhecimento de dados pessoais relativos a terceiros e
respetiva interconexo, salvo em casos excecionais previstos na lei art. 35, n. 2, da CRP.
83
transferncia de dados pessoais sem o recurso celebrao das clusulas-tipo aprovadas pela
Comisso Europeia. No carecem de autorizao da CNPD quando o tratamento de dados
esteja previsto e autorizado em diploma legal (art. 28, da LPDP)334.
O responsvel pelo tratamento apenas pode dar incio ao tratamento de dados pessoais com a
concesso da autorizao da CNPD.
Com a produo de efeitos do regime do RGPD, o responsvel pelo tratamento de dados
continua isento de autorizao por transferncias de dados pessoais para um pas terceiro ou
uma organizao internacional se a Comisso tiver decidido que o pas terceiro, um territrio
ou um ou mais setores especficos desse pas terceiro, ou a organizao internacional em
causa, assegura um nvel de proteo adequado. A iseno de autorizao pode ser revogada
aps a avaliao peridica da adequao do nvel de proteo. As decises j adotadas pela
Comisso, nos termos do n. 6, do art. 25, da Diretiva 95/46/CE permanecem em vigor at
que sejam alteradas, substitudas ou revogadas por outra deciso da Comisso (n. 8, do art.
45, do RGPD).
A lista dos pases terceiros, territrios e setores especficos de um pas terceiro e de
organizaes internacionais relativamente aos quais a Comisso declare, mediante deciso, se
asseguram ou no um nvel de proteo adequado publicada no Jornal Oficial da EU (art.
45 do RGPD).
Na falta de uma deciso sobre o nvel de proteo adequado, o responsvel pelo tratamento
dever adotar as medidas necessrias para colmatar a insuficincia da proteo de dados no
pas terceiro dando para tal garantias adequadas ao titular dos dados. Tais garantias adequadas
podem consistir no recurso a regras vinculativas aplicveis s empresas, clusulas-tipo de
proteo de dados adotadas pela Comisso, clusulas-tipo de proteo de dados adotadas por
uma autoridade de controlo, ou clusulas contratuais autorizadas por esta autoridade
333
O Ac. do STA, n. 857/02, de 29/03/2006, refere que necessrio demonstrar que tratamento informatizado
de dados pessoais para a prossecuo dos fins de medicina preventiva, de diagnstico mdico, de prestao de
cuidados ou tratamentos mdicos ou de gesto de servios de sade. O facto de o programa da Associao
Nacional de Farmcias assentar no consentimento do titular dos dados, no implica que se verifiquem os
pressupostos para a CNPD autorizar o tratamento de dados. A autorizao no pode ser genrica e abstratamente
concedida num dado momento para ser depois aplicada em concreto a qualquer pessoa, ainda que seja dado o seu
consentimento.
334
A ttulo de exemplos, o DL n. 294/2001, de 20/11, que estabelece, no mbito da atividade estatstica oficial
do SEN, regras relativas ao acesso, recolha e tratamento pelo INE de dados pessoais de carter administrativo; a
L n. 38/2012, de 28/08, que aprova a lei antidopagem no desporto, adotando na ordem jurdica interna as regras
estabelecidas no Cdigo Mundial Antidopagem (disponvel aqui: AGNCIA MUNDIAL ANTIDOPAGEM -
Cdigo Mundial Antidopagem. Montreal [Em linha]. (2015) [Consult. 1 dez. 2016]. Disponvel em WWW
<http://www.adop.pt/media/8381/C%C3%B3digo%20Mundial%20Antidopagem%202015.pdf>) e a L n.
147/2015, de 09/09, que aprova o regime jurdico de acesso e exerccio da atividade seguradora e resseguradora,
bem como o regime processual aplicvel aos crimes especiais do setor segurador e dos fundos de penses e s
contraordenaes cujo processamento compete Autoridade de Superviso de Seguros e Fundos de Penses.
84
3-6.3.4. A consulta prvia e a autorizao previstas no RGPD

O responsvel pelo tratamento de dados deve consultar previamente a autoridade de controlo
antes de proceder a um determinado tratamento em particular que utilize novas tecnologias e
tendo em conta a sua natureza, mbito, contexto e finalidades, for suscetvel de implicar um
elevado risco para os direitos e liberdades das pessoas singulares, conforme resulte da
avaliao prvia de impacto sobre a proteo de dados (n. 1, do art. 35 e n. 1, do art. 36,
do RGPD). Os Estados-Membros podem exigir, no direito interno, que os responsveis pelo
tratamento consultem a autoridade de controlo e dela obtenham uma autorizao prvia em
relao ao tratamento por um responsvel no exerccio de uma misso de interesse pblico,
incluindo o tratamento por motivos de proteo social e de sade pblica.
Os responsveis pelo tratamento de dados devem obter autorizao, da autoridade de controlo
competente, na ausncia de deciso da Comisso e de garantias adequadas proteo de
dados pessoais dos seus titulares, para a transferncia de dados pessoais para um pas terceiro
ou uma organizao, por meio de: (a) clusulas contratuais entre os responsveis pelo
tratamento e os responsveis pelo tratamento, destinatrios dos dados pessoais no pas terceiro
ou organizao internacional; ou (b) disposies a inserir nos acordos administrativos entre as
autoridades ou organismos pblicos que contemplem os direitos efetivos e oponveis dos
titulares dos dados (n. 3, do art. 46, do RGPD).
85
CAPTULO VII OS PRINCPIOS DO TRATAMENTO DE DADOS PESSOAIS
3-7. Os princpios do tratamento de dados pessoais

A Diretiva 95/46/CE a manifestao dos princpios plasmados no art. 5, da Conveno 108
(Considerando 11, da Diretiva 95/46/CE), e que foram ampliados e consolidados nas
legislaes dos Estados-Membros. As disposies sobre os critrios subjacentes ao tratamento
de dados da Diretiva 95/46/CE tm efeito direto na aplicao pelos tribunais nacionais dos
Estados-Membros, conforme orientao do TJUE335. Nos termos do art. 2, da LPDP, o
tratamento de dados pessoais deve processar-se de forma transparente e no estrito respeito
pela reserva da vida privada, bem como pelos direitos, liberdades e garantias fundamentais,
regendo-se o responsvel pelo tratamento pelos princpios previstos na seco I, do Captulo
II, da LPDP, quanto qualidade dos dados (art. 5, da LPDP) e s condies de legitimidade
do tratamento de dados (art. 6, da LPDP)336.
Seguindo a estrutura da LPDP, os princpios que regem o tratamento de dados so os
seguintes: (1) o princpio da licitude, (2) o princpio da lealdade, (3) o princpio da
transparncia, (4) princpio relativo qualidade dos dados, (5) o princpio da finalidade, (6) o
princpio da segurana; e (7) o princpio da responsabilidade.
3-7.1. O princpio da licitude

O princpio da licitude do tratamento de dados afere-se do cumprimento das normas de direito
nacional, da UE e de direito internacional337, e ainda dos princpios gerais do direito,
nomeadamente, da boa-f (al) a), do n. 1, do art. 6 da Diretiva 95/46/CE, al) a), do n. 1, do
art. 5 da LPDP). O tratamento de dados pode constituir uma ingerncia 338 no exerccio do
335
Ac. Asociacin Nacional de Establecimientos financeiros de crdito (ASNEF) e Federacin de Comercio
Electrnico y Marketing Directo (FECEMD)/Administracin del Estado, do TJUE, apensos n.s C-468/10 e
469/10, de 24/11/2011.
336
Por no caber no objeto deste texto, so omitidas as consideraes sobre o regime excecional, quanto aos
tratamentos de dados sensveis (art. 7, da LPDP) e aos tratamentos de dados relativos a pessoas suspeitas de
atividades ilcitas, infraes penais, contraordenaes e decises que apliquem penas, medidas de segurana,
coimas e sanes acessrias (art. 8, da LPDP e vide n. 2, do art. 9 da Conveno 108 e n. 2, do art. 13, da
Diretiva 46/95/CE).
337
338
O conceito de ingerncia justificada tem sido objeto da jurisprudncia do TEDH que estabeleceu trs critrios
que tm de ser satisfeitos para assegurar que qualquer ingerncia respeita o disposto no n. 2, do art. 8., da
CEDH. Assim, uma ingerncia tem de: (1) estar prevista na lei, (2) prosseguir um dos objetivos legtimos
definidos no n. 2, do art. 8., da CEDH; e (3) constituir uma providncia que seja necessria numa sociedade
democrtica (v. GT29 - Parecer 01/2014 sobre a aplicao dos conceitos de necessidade e proporcionalidade e a
proteo de dados no setor da aplicao coerciva da lei [Em linha]. 536/14/PT, WP 211. Brussels (Belgium),
(27/02/2014). [Consult. 12 Dez. 2016]. Disponvel em WWW <http://ec. europa.eu/justice/data-protection/
article-29/documentation/opinion-recommendation/files/ 2014/wp211_pt.pdf>), p. 5; e tambm, Ac. MM v.
Reino Unido, do TEDH, n. 24.029/07, de 29/04/2013, em que a recolha sistemtica de dados para efeitos de
86
direito ao respeito pela vida privada pelo que qualquer exceo deve estar prevista na lei e
constituir uma providncia que, numa sociedade democrtica, seja necessria para a segurana
nacional, para a segurana pblica, para o bem-estar econmico do pas, a defesa da ordem e a
preveno das infraes penais, a proteo da sade ou da moral, ou a proteo dos direitos e
das liberdades de terceiros, conforme o n. 2, do art. 8 da CEDH, n. 2, do art. 9, da
Conveno 10, n. 1, do art. 51 da CDFUE e previsto no art. 6 da LPDP339.
A concretizao do princpio da licitude do tratamento de dados pessoais deve ser conforme
aos princpios da qualidade dos dados (art. 6, da Diretiva 95/46/CE e art. 5, da LPDP) (3-
7.4.) e das condies de legitimidade do tratamento de dados (art. 7, da Diretiva 95/46/CE e
art. 6, da LPDP). (3-8.)
O RGPD, quando produza efeitos, prev que a licitude do tratamento para a atividade de
marketing est sujeita ao consentimento prvio do titular dos dados340 (conforme previsto na
al) a), do art. 5, conjugado com a al) a) do n. 1, do art. 6 do RGPD).
registo criminal, continuavam disponveis mesmo quando j no tinha sentido continuar a divulg-los, no era
compatvel com o Estado de Direito, para que o seu titular pudesse regular a sua conduta. No Ac. Peck v. the
United Kingdom, do TEDH, n. 44.647/98, de 28/04/2003, o tribunal considera que a divulgao de imagens
captadas por canais de CCTV e nos rgos de comunicao social sem serem acompanhadas de salvaguardas
suficientes, nomeadamente a desfocalizao da face, constitua uma interferncia desproporcional e injustificada
na vida privada do requerente e uma violao do art. 8 da CEDH. O TJUE, reitera que as restries aos direitos
fundamentais devem: (1) estar previstas por lei; (2) respeitar o contedo essencial desses direitos; (3) e, na
observncia do princpio da proporcionalidade, serem necessrias e (4) corresponder efetivamente a objetivos de
interesse geral reconhecidos pela Unio, ou necessidade de proteo dos direitos e liberdades de terceiros, nos
termos do n. 1, do art. 52, da CDFUE. Pargrafo n. 34, do Ac. Michael Schwarz v. Stadt Bochum, do TJUE,
n C-291/12, de 17/10/2013, em que o requerente contestou a recusa das autoridades alems em emitir-lhe um
passaporte (UE) a menos que ele autorizasse a recolha das suas duas impresses digitais para incorporar no
referido passaporte. Tal obrigao decorre do Regulamento (CE) n. 2252/2004 do Conselho, de 13/12/2004, que
estabelece normas para os dispositivos de segurana e dados biomtricos dos passaportes e documentos de
viagem emitidos pelos Estados-Membros. O pargrafo 18, do Ac. Hubert Wachauf v. Repblica Federal da
Alemanha, do TJUE, n. 5/88, de 13/07/1989, refere que os direitos fundamentais reconhecidos pelo Tribunal
no devem, todavia, ser entendidos como prerrogativas absolutas antes devendo ser tomados em considerao
com referncia sua funo na sociedade. Por conseguinte, podem ser introduzidas restries ao exerccio desses
direitos, designadamente no mbito de uma organizao comum de mercado, desde que essas restries tenham,
efetivamente, por fundamento objetivos de interesse geral prosseguidos pela Comunidade e no constituam, face
a esses objetivos, uma interveno desproporcionada e intolervel suscetvel de atentar contra a prpria essncia
desses direitos E no mesmo sentido, o pargrafo 45, do Ac. Kjell Karlsson e o., do TJUE, n. C-292/97, de
13/04/2000.
339
Ainda que os textos legais referidos divirjam quanto sistemtica e redao, absolutamente adequada a
anotao ao art. 52, da CDFUE, no mbito dos direitos e princpios, ao referir que a frmula utilizada inspira-se
na jurisprudncia do TJUE no que respeita s restries ao direito para prosseguir os interesses gerais da EU
protegidos por disposies especficas dos Tratados, evocando expressamente que as disposies relevantes da
CEDH reforada pelo n. 3, do art. 6., do TUE, que estabelece que do direito da Unio fazem parte,
enquanto princpios gerais, os direitos fundamentais tal como os garante a Conveno Europeia para a Proteo
dos Direitos do Homem e das Liberdades Fundamentais.
340
Considerando 40, do RGPD: Para que o tratamento seja lcito, os dados pessoais devero ser tratados com
base no consentimento do titular dos dados em causa ou noutro fundamento legtimo, previsto por lei, quer no
presente regulamento quer noutro ato de direito da Unio ou de um Estado-Membro referido no presente
regulamento, incluindo a necessidade de serem cumpridas as obrigaes legais a que o responsvel pelo
tratamento se encontre sujeito ou a necessidade de serem executados contratos em que o titular dos dados seja
parte ou a fim de serem efetuadas as diligncias pr-contratuais que o titular dos dados solicitar.
87
3-7.2. O princpio da lealdade
A relao entre o responsvel pelo tratamento e o titular dos dados regido pelo princpio da
lealdade considerando que este deve ter conhecimento da existncia dos tratamentos e obter,
no momento em que os dados lhe so pedidos, uma informao rigorosa e completa das
circunstncias dessa recolha (Considerandos 38 e 39, da Diretiva 95/46/CE), que deve incidir
sobre dados adequados, pertinentes e no excessivos em relao s finalidades explcitas e
legtimas e serem determinadas aquando da recolha dos dados para o tratamento
(Considerando 28, da Diretiva 95/46/CE). O princpio da lealdade concentra o esprito de
todos os outros princpios que fundamentam e legitimam o tratamento dos dados,
contribuindo para a transparncia e segurana jurdica. O princpio da lealdade do tratamento
dos dados est previsto na al) a), do art. 5, do RGPD.
3-7.3. O princpio da transparncia

O princpio da transparncia341 tem como objetivo o controlo e conhecimento do tratamento
dos dados bem como as circunstncias que o rodeiam pelos seus titulares, e efetiva-se,
sobretudo, pela publicidade dos tratamentos (art. 21, da Diretiva 95/46/CE e art. 31, da
LPDP) pelo direito informao (art.s 10 e 11, da Diretiva 95/46/CE e da art. 10, da
LPDP) e pelo direito de acesso (art. 12, da Diretiva 95/46/CE e da art. 11, da LPDP). A
facultao do controlo de determinados procedimentos no que diz respeito recolha,
armazenamento de utilizao dos dados aos seus titulares tem efeitos positivos sobre a
perceo dos riscos da privacidade e no aumento da confiana nas atividades do responsvel
do tratamento342. O fator confiana pode afetar os interesses legtimos dos operadores
econmicos343 na prossecuo das suas atividades comerciais344.
341
Podemos encontrar o princpio da transparncia, na recomendao n 12, das Diretrizes da Privacidade e a
denominado princpio de abertura. 12. Deveria haver uma poltica geral de abertura a respeito do
desenvolvimento, da prtica e da poltica, referente a dados pessoais. Deveriam estar prontamente disponveis
meios de estabelecer a existncia e natureza de dados pessoais, as finalidades principais de seu uso, bem como a
identidade e residncia habitual do controlador de dados.
342
Por exemplo, certas plataformas web, como o Facebook, disponibilizam ferramentas para controlar a
informao partilhada, e o Google, um controlo sobre o armazenamento do histrico das pesquisas.
343
De acordo com o Cdigo da FEDMA, ao fazer meno ao princpio da transparncia, invoca-se o dever das
empresas estarem identificadas nas pginas web e proporcionando permanente as informaes sobre os seus
servios de forma clara e acessvel (v. GT29 - Parecer 3/2003 sobre o cdigo de conduta europeu da FEDMA
relativo ao uso de dados pessoais em operaes de marketing direto. [Em linha]. 10066/03/PT final WP 77.
Brussels (Belgium), (13/07/2003). [Consult. 16 Fev. 2014]. Disponvel em WWW <http://ec.europa.eu/
justice/data-protection/article-29/documentation/opinion-recommendation/files/2003/wp77_pt.pdf>).
344
A este propsito, o Considerando 29, da Diretiva 2000/31/CE: A comunicao comercial essencial para o
financiamento dos servios da sociedade da informao e para o desenvolvimento de uma grande variedade de
novos servios gratuitos. No interesse dos consumidores e da lealdade das transaes, a comunicao comercial,
incluindo descontos, ofertas e jogos promocionais, deve respeitar um certo nmero de obrigaes relativas
transparncia.
88
3-7.2.1. O dever de informao
A recolha de dados inicia-se por meio de um conjunto de operaes pelo responsvel do
tratamento que est sujeito a um conjunto de obrigaes prvias345, e nomeadamente, a
informao prestada ao titular dos dados, nos termos da al) a), do art. 5, al) a), do art. 8, da
Conveno 108, da al) a), do n. 1, do art. 6, art. 10 e art. 11, da Diretiva 95/46/CE, e
art.s 2 e 10, da LPDP. A informao deve ser prestada, at ao momento da recolha, em
formato legvel e de forma inteligvel, ou seja em linguagem adequada aos destinatrios, que
deve variar em funo da audincia prevista346: adultos ou crianas, pblico em geral ou
acadmicos especializados, pessoas com necessidades especiais, entre outros347.
Assim, o responsvel pelo tratamento, quando recolher dados pessoais diretamente dos
interessados, deve fornecer pessoa em causa junto da qual recolhe dados que lhe digam
respeito, pelo menos as seguintes informaes, salvo se a pessoa j delas tiver conhecimento:
a) A existncia de um ficheiro ou a existncia da possibilidade de um tipo de tratamento
concreto de dados (3-6.3).
b) A identidade e os dados de contacto do responsvel pelo tratamento.
c) Os destinatrios ou categorias de destinatrios dos dados, ou seja, o responsvel deve
informar se os dados recolhidos iro ser comunicados a terceiros ou postos sua
disposio, como o caso de empresas subsidirias, colaboradores comerciais, entre
outros. Se os dados forem transmitidos para pases exteriores UE, o responsvel pelo
tratamento deve indicar se o pas de destino proporciona, ou no, uma proteo adequada
das pessoas em causa no que se refere ao tratamento dos seus dados pessoais, no sentido
do art. 25 da Diretiva 95/46/CE e art. 19, da LPDP.
d) As finalidades do tratamento a que os dados se destinam. A informao sobre as
finalidades deve ser explcita e determinada, evitando-se ambiguidades e expresses
muito genricas, tais como para fins comerciais, para envio com fins publicitrios,
para comercializao por catlogo ou utilizao de expresses em idioma estrangeiro.
(3-7.5)
e) O carter obrigatrio ou facultativo da resposta, bem como as possveis consequncias se
no responder (a informao obrigatria a informao que necessria para a realizao
345
Como anteriormente referido no ponto 3-6.3. no que respeita legalizao do tratamento de dados pessoais, o
responsvel ter regularizado o ficheiro junto da CNPD e tomadas as medidas de segurana previstas nos art.s
14 e seguintes, da LPDP, para iniciar o tratamento de dados.
346
A informao prestada s pessoas em causa no deve consistir em polticas de privacidade excessivamente
longas ou difceis de compreender.
347
V. GT29 - Parecer 10/2004 sobre a prestao mais harmonizada da informao. [Em linha]. 11987/04/PT
GT100. Brussels (Belgium), (25/11/2004). [Consult. 16 Fev. 2014]. Disponvel em WWW <http://ec.europa.eu/
justice/data-protection/article-29/documentation/opinion-recommendation/files/2004/wp100_pt.pdf>
89
do servio solicitado, por exemplo a falta de informao sobre o nmero de contribuinte
para efeitos de faturao de produtos e servios ou o domicilio para entrega de produtos
comprados em linha, sob pena de no se poder concluir o negcio jurdico). A no
disponibilizao de informao facultativa ou adicional no pode ter quaisquer
consequncias negativas para essa pessoa.
f) A existncia do direito de acesso, retificao, apagamento ou bloqueio dos dados (3-5.2).
g) O exerccio do direito de oposio, sem despesas, s comunicaes para efeitos de
marketing direto ou qualquer outra forma de prospeo, de forma expressa (3-5.2.4).
h) A circulao em rede dos dados sem condies de segurana, correndo o risco de serem
vistos e utilizados por terceiros no autorizados, no caso de recolha de dados em redes
abertas (n. 4, do art. 10, da LPDP) (3-7.6.).
i) O acesso ao registo pblico, consagrado no art. 31, da LPDP, e que por deliberao da
CNPD, do registo pblico deve constar mais informao por revelar-se ou constituir
elemento importante para a transparncia do tratamento de dados, como seja, a forma do
exerccio do direito de acesso aos dados pessoais, o nmero de processo da CNPD, a data
do registo ou da autorizao e o nmero da autorizao348.
O responsvel no pode realizar operaes de tratamento em segredo 349, e o tratamento
invisvel de dados350, associado utilizao de aplicaes em IAm, como os testemunhos de
conexo, tecnologias RFID, etc., que recolhem automaticamente, e de forma no detetvel
pelos utilizadores comuns351, os dados de utilizao em rede, dados de emissores e recetores,
348
V. Deliberao da CNPD, n 1/2000, de 04/01 [Em linha]. [Consult. 24 mar. 2015]. Disponvel em WWW
<https://www.cnpd.pt/bin/decisoes/2000/htm/del/del001-00.htm>
349
CASTRO, cit. 38, p. 242 e segs.
350
A doutrina norte americana refere que a captao de dados de forma oculta para ficheiros pode ser levada a
cabo tendo em conta quatro caractersticas: (1) por sequncia de cliques (clickstream data), ou seja por cada
clique que o utilizador realiza em ambiente digital deixa um rasto que inclui informao sobre o titular, tempo,
data e tipo de transao concretizada; (2) fontes de multinacionais (multinacional sourcing), a arquitetura da
captao e processamento da informao torna irrelevante a distncia e a localizao geogrfica, das empresas
globalmente dispersas dada a partilha interna da informao agregando-lhe valor; (3) base de dados
especializada (data warehousing) e rastreamento de dados (data creep), que implica o armazenamento de
milhes de bits de informaes pessoais para anlise futura, os dados mnimos so irrelevantes mas agregados
assumem uma importncia enorme, na medida em que podem revelar padres de comportamento e categorizar a
informao; e (4) a presso do uso secundrio e a construo de perfis (pressures for secondary use and
profiling) que se baseia na recolha de informao para criar perfis e utiliz-la posteriormente com outras
finalidades (REIDENBERG, Joel R. - Resolving Conflicting International Data Privacy Rules in Cyberspace
[Em linha].Stanford. Law Review, Vol. 52 (1999-2000) p. 1315-1371 [Consult. 12 jun. 2016]. Disponvel em
WWW <http://ir.lawnet.fordham.edu/faculty_scholarship/41>). Note-se que estes processos permitem recolher
dados sem determinao prvia da finalidade para que so recolhidos e s em fase posterior que so definidas
as suas finalidades, o que contrrio ao direito da EU e do direito interno.
351
As informaes e a possibilidade de se opor recolha devem ser comunicadas antes da utilizao de
qualquer procedimento automtico que desencadeie a ligao do computador pessoal do utilizador a outro site
por exemplo, quando o utilizador levado, automaticamente, por um site a contactar outro para ver publicidade
sob a forma de banners a fim de evitar que este segundo site possa recolher dados sem conhecimento do
90
data e hora etc., est sujeito ao direito da EU e do direito interno352.
O dever de informao pelo responsvel do tratamento no se aplica quando, nomeadamente,
no caso do tratamento de dados com finalidades estatsticas, histricas ou de investigao
cientfica, a informao da pessoa em causa se revelar impossvel ou implicar esforos
desproporcionados ou quando a lei dispuser expressamente o registo dos dados ou a sua
divulgao (art. 9, da Conveno 108, Considerando n. 40, n. 2, do art. 11 da Diretiva
95/46/CE), e ainda, sendo ser dispensado, mediante disposio legal ou deliberao da CNPD,
por motivos de segurana do Estado e preveno ou investigao criminal, e, bem assim, ao
tratamento de dados efetuado para fins exclusivamente jornalsticos ou de expresso artstica
ou literria (n.s 5 e 6, do art. 10, da LPDP).
3-7.2.2. O dever de informao no RGPD

O RGPD para alm das informaes descritas em 3-7.2.1., antes da recolha dos dados ou no
momento da recolha, acrescenta outras informaes a facultar quando os dados pessoais so
recolhidos e dependendo da fonte: (1) diretamente junto do titular (art. 13, do RGPD); ou (2)
quando no so recolhidos diretamente do titular.
As informaes a prestar ao titular dos dados quando recolhidos junto do titular so:
a) A identidade e os dados de contacto do encarregado da proteo de dados.
b) Quanto finalidade, se o responsvel tiver a inteno de proceder ao tratamento posterior
dos dados pessoais para um fim que no seja aquele para o qual os dados tenham sido
recolhidos, antes desse tratamento o responsvel fornece ao titular dos dados informaes
sobre esse fim e quaisquer outras informaes pertinentes (por exemplo, quando os dados
so recolhidos para a celebrao de um contrato e pretende posteriormente enviar
comunicaes para fins de marketing direto, o responsvel tem de declarar estas duas
finalidades de forma clara e explcita).
c) Prazo de conservao dos dados pessoais ou, se no for possvel, os critrios usados para
definir esse prazo.
d) O fundamento jurdico para o tratamento de dados.
e) A indicao dos interesses legtimos do responsvel pelo tratamento ou de um terceiro.
f) O direito de se opor ao tratamento de dados pessoais o mais tardar no momento da
utilizador (v. GT29 - Recomendao sobre determinados requisitos mnimos para a recolha de dados pessoais
em linha na Unio Europeia [Em linha]. 5020/01/PT/Final WP 43. Brussels (Belgium), (17/05/2001). [Consult.
14 Fev. 2015]. Disponvel em WWW <http://ec.europa.eu/justice/ data-protection/article-29/documentation/
opinion-recommendation/files/2001/wp43_pt.pdf>. p. 7.
352
V. GT29, cit. 43.
91
primeira comunicao com a pessoa em causa. Esta informao deve ser fornecida de
forma clara e separada de qualquer outra informao prestada353.
g) A existncia de decises automatizadas354, incluindo a definio de perfis.
h) A previso da transferncia de dados pessoais para um pas terceiro ou uma organizao
internacional, e a existncia ou no de uma deciso de adequao adotada pela Comisso
ou, a referncia s garantias apropriadas ou adequadas e aos meios de obter cpia das
mesmas, ou onde foram disponibilizadas.
i) A existncia do direito de retirar consentimento em qualquer altura.
j) O direito de apresentar reclamao a uma autoridade de controlo.
Quando os dados no se obtenham diretamente do interessado, o responsvel deve inform-lo:
a) Dentro de um prazo razovel aps a obteno dos dados pessoais, mas o mais tardar no
prazo de um ms, tendo em conta as circunstncias especficas em que estes forem
tratados;
b) Se os dados pessoais se destinarem a ser utilizados para fins de comunicao com o
titular dos dados, o mais tardar no momento da primeira comunicao ao titular dos
dados; ou
c) Se estiver prevista a divulgao dos dados pessoais a outro destinatrio, o mais tardar
aquando da primeira divulgao desses dados (al) a) a c), do n. 3, do art. 14, do
RGPD).
d) Deve, ainda, informar o titular das informaes disponveis sobre a origem desses dados e
das categorias dos dados recolhidos (art. 15, do RGPD).
Os responsveis pelo tratamento so obrigados a fornecer informaes adicionais aos titulares
dos dados, o que exige a reviso de polticas-padro de proteo de dados e avisos de
privacidade.
3-7.4. O princpio relativo qualidade dos dados

O princpio da qualidade dos dados est destinado a assegurar que os dados sejam exatos,
completos (se necessrio, atualizados) e conservados apenas durante o perodo necessrio
para a prossecuo das finalidades da recolha ou do tratamento posterior. O princpio da
353
Conf. al) b), n 2, art. 13; al) c), n 2, art. 14; al) e), n 1, art. 15, e art. 21 do RGPD.
354
O art. 15, da Diretiva 95/46/CE e o art. 13, da LPDP, j referiam que qualquer pessoa tem o direito de no
ficar sujeita a uma deciso que a afete de modo significativo, tomada exclusivamente com base num tratamento
automatizado de dados, a no ser que a deciso seja tomada no mbito da celebrao de um contrato ou
autorizada por lei, bem como o direito de conhecer a lgica subjacente a qualquer tratamento automtico de
dados relativos sua pessoa.
92
qualidade dos dados355 est previsto (al) c) a e), do art. 5, da Conveno 108, al) c) a e), do
n. 1, do art. 6, da Diretiva 95/46/CE, e al) c) a e), do n. 1, do art. 5, da LPDP). Assim, o
responsvel pelo tratamento deve garantir que os dados, em todas as fases do tratamento e em
funo das finalidades determinadas e legtimas para que foram recolhidos, devem ser:
a) Adequados: os dados recolhidos so delimitados s finalidades do tratamento356.
b) Pertinentes: a recolha de dados deve restringir-se absolutamente aos dados necessrios
prossecuo das finalidades para o tratamento. O preenchimento de formulrios nas
pginas web, com o fim de se receber um bem ou servio gratuito, uma prtica
aparentemente inofensiva de recolha de dados, e embora, o interessado esteja consciente
da disponibilizao de dados, no sabe que a maioria desnecessria e desconhece o fim
e razo do tratamento357.
c) Proporcionais e no excessivos: deve ser encontrado um equilbrio em funo da
finalidade de cada tratamento358.
d) Exatos e atualizados: para assegurar que os dados so verdadeiros, o responsvel deve
garantir o direito retificao, apagamento ou bloqueio dos dados pelo seu titular, pois,
s assim pode prosseguir a promoo da informao comercial junto do seu pblico e
sem repercusses negativas para o seu titular, por exemplo na avaliao de ofertas ou
descontos especiais exclusivos para determinado grupo de clientes, assente em elementos
de prova, estatsticas, previses, etc.
e) Conservados durante um perodo limitado359 e proporcional finalidade360 da recolha ou
355
Igualmente referido nas Diretrizes sobre a Privacidade: Princpio de qualidade dos dados. 8. Os dados
pessoais deveriam ser relacionados com as finalidades de sua utilizao e, na medida necessria, devem ser
exatos, completos e permanecer atualizados.
356
A CdE Resolution (73) 22, cit. 70, j referia que a recolha dos dados devem ser adequada e pertinente no que
respeita finalidade para que foram armazenados e - na falta de autorizao adequada - probe a sua utilizao
para fins diferentes daqueles para os quais foi armazenado, bem como a sua comunicao a terceiros.
357
O princpio da minimizao dos dados incorpora os critrios de adequao, pertinncia e limitao da recolha
de dados ao que necessrio relativamente s finalidades para as quais so tratados, na nova denominao
referida na al) c), do n. 1, do art. 5, do RGPD.
358
V. a Autorizao da CNPD, n 192/2002, cit. 251, sobre o tratamento de dados de candidatos de modelos para
uma campanha publicitria, nomeadamente a raa e o sexo, e Ac. do TCAS, n. 07118/11, de 10/02/2011, tendo
considerado que um sistema de videovigilncia para controlo do trfego em Lisboa excessivo face finalidade
pretendida de deteo de acidentes e prestao de socorro dos acidentados.
359
Nos termos do n. 2, do art. 5, a CNPD pode autorizar a conservao de dados para fins histricos,
estatsticos ou cientficos por perodo superior ao necessrio. Os dados podem ser armazenados se forem
anonimizados ou pseudonimizados. A al) e), do n. 1, do art. 4, do RGPD, prev que os dados pessoais podem
ser conservados durante perodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de
interesse pblico, ou para fins de investigao cientfica ou histrica ou para fins estatsticos, em conformidade
com o n. 1, do art. 89, sujeitos aplicao das medidas tcnicas e organizativas adequadas exigidas pelo
presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados.
360
Ac. S. And Marper v. The United Kingdom, do TEDH, apensos 30.562/04 e 30.566/04, de 04/12/2008, em
que o princpio da conservao de dados exige que os dados sejam conservados durante o mnimo possvel de
tempo.
93
do tratamento posterior, em funo de cada tipo de dados. Os dados das pessoas que
manifestaram o direito de oposio receo de comunicaes comerciais devem ser
conservados indefinidamente at que venha a prestar o seu consentimento em voltar a
receb-las. A limitao temporal da conservao dos dados s aplicvel na medida em
que se possa identificar o titular dos referidos dados. A conservao de dados para fins
cientficos, histricos ou estatsticos, e quando sejam anonimizados ou pseudonimizados,
constitui uma exceo ao princpio da limitao da conservao dos dados.
As normas sobre a limitao da conservao dos dados, no RGPD, devem ser conjugadas
com o direito a ser esquecido, previsto no art. 17, ou seja o titular tem o direito de obter
do responsvel pelo tratamento o apagamento dos seus dados pessoais, sem demora
injustificada, e este tem a obrigao de apagar os dados pessoais, sem demora
injustificada, e nalguns casos antes do termo do perodo mximo de reteno. (3-5.2.3.)
3-7.5. O princpio da finalidade

O princpio da finalidade, tambm designado por princpio da especificao dos fins 361, ou
princpio da limitao dos dados, agora expressamente referido na al) c), do n. 1, do art. 5,
do RGPD, significa que tratamento dos dados s lcito se as finalidades para a recolha dos
dados estiverem previamente determinadas pelo responsvel do tratamento362, de forma
explcita e legtima. A utilizao posterior dos dados para uma finalidade incompatvel com a
finalidade original, exige outra base legal363 (al) b), do art. 5, da Conveno 108, al) b) do
n. 1, do art. 6, da Diretiva 95/46/CE e al) b) do n.1, do art. 5, da LPDP), de forma a
garantir a transparncia, segurana jurdica e a expectativas364 criadas aos titulares dos dados.
361
FRA, CdE, cit. 231.
362
As finalidades do tratamento so determinadas pelo responsvel do tratamento (al) d), do art. 2, da Diretiva
46/95/CE, al) d), do art. 3 da LPDP e agora no n. 7, do art. 4, do RGPD).
363
As CdE Resolution (73) 22, cit. 70, CdE Resolution (73) 23, cit. 71, e CdE Resolution (74) 29, cit. 72, j
tinham uma abordagem que foi evoluindo no que respeita recolha da informao adequada e pertinente para as
finalidades que foram conservadas, bem como as condies excecionais que os dados poderiam ser utilizados
para outros fins. A CdE Resolution (74) 29, cit 72, refere-se utilizao dos dados para fins diferentes dos que
foram definidos se for expressamente permitida por lei, ou autorizada por uma autoridade de controlo, ou se as
regras de utilizao da base de dados forem alteradas.
364
Considerou o Ac. Ldi v. Switzerland, do TEDH, n. 12.433/86, de 15/06/1992, de certa forma que existiu
uma alterao s finalidades da utilizao das telecomunicaes, no caso sem violao do n. 2 do art. 8, da
CEDH, probe qualquer ingerncia da autoridade pblica no exerccio do direito privacidade, salvo, se estiver
prevista na lei, numa sociedade democrtica, a fim de satisfazer determinados tipos de interesses pblicos
especificamente enumerados e convincentes, nomeadamente para preveno das atividades criminosas, na
medida em que existia a expectativa razovel junto da pessoa, da interceo de comunicaes telefnicas, no
contexto de trfico de cocana com o objetivo de deter os traficantes. O requerente devia ter conscincia do risco
da referida interceo bem como estar sob vigilncia de polcias disfarados.
94
3-7.5.1. A finalidade deve ser especfica
A finalidade deve ser claramente determinada ou especificada para delimitar o mbito do
tratamento dos dados, e em consequncia, os dados recolhidos so, apenas, os adequados e
pertinentes. O n. 2, do art. 8, da CDFUE estabelece claramente que os dados pessoais
devem ser tratados de forma justa para fins especficos, ou seja, o responsvel pelo
tratamento no deve recolher dados pessoais que no sejam necessrios, adequados ou
relevantes para os fins que se destinam, sendo uma condio necessria para o cumprimento
da LPDP e do apuramento de responsabilidades.
O grau de especificao depende do contexto e em que os dados so recolhidos, devendo
evitar-se a indicao de razes de forma muito vaga como, por exemplo, para fins de
marketing365. Os dados podem ser recolhidos para mais do que uma finalidade relacionada
ou no, desde que se cumpram os princpios e condies de legitimidade do tratamento todos
inter-relacionados entre si.
3-7.5.2. A finalidade deve ser explcita

A finalidade deve ser explcita, ou seja deve ser explicada de forma clara, inequvoca e
inteligvel366, sem ambiguidades ou dar lugar a dvidas de interpretao, para qualquer tipo de
audincia, no momento da recolha. A forma como a informao se transmite flexvel desde
que cumpra os requisitos das normas que regulam a proteo de dados. Os recetores da
informao, sobre os fins da recolha, so todos os intervenientes no processo do tratamento de
dados, das autoridades de controlo, e bem assim, dos prprios titulares dos dados pessoais. As
deficincias de comunicao podem dar lugar impossibilidade do tratamento, ainda que os
fins do tratamento estejam publicamente difundidos, por exemplo, nas pginas web, e reduz o
risco de criar expectativas distintas no s dos titulares dos dados mas tambm do responsvel
pelo tratamento. Num mundo em que as pessoas so cada vez mais transparentes e o mundo
virtual cada vez mais opaco (vide 2-2.4.), complexo e ambguo, conforme j referido, a forma
escrita assume extrema relevncia, devendo o responsvel pelo tratamento estar disponvel
para esclarecimentos adicionais.
365
No caso sugere-se que se indique que os dados so tratados para fins de marketing dos bens e servios
promovidos pela entidade responsvel pelo tratamento (h uma expectativa razovel da delimitao de receo
de informao restringida atividade comercial do responsvel).
366
A globalizao dos suportes de informao introduz questes relacionadas com a lingustica e respetivas
tradues para as organizaes, pelo que necessrio um cuidado acrescido, tendo em conta o pblico a quem se
dirige tendo em conta a necessidade de tradues de contratos e polticas de privacidade.
95
3-7.5.3. A finalidade deve ser legtima
A finalidade deve ser legtima e vai alm das condies de legitimidade referidas no art. 7 da
Diretiva 95/46/CE e art. 6, da LPDP, devendo ser interpretada no contexto do tratamento e
em conformidade com os objetivos do tratamento. A legitimidade afere-se, igualmente, da
concordncia com os princpios gerais do direito, do direito internacional, do direito da EU,
do direito nacional, podendo incluir outros elementos como os cdigos de conduta e de tica
dos setores, para determinar se os fins determinados para a recolha dos dados so legtimos.
Dadas as circunstncias do mundo em que se vive atualmente, e em constante mudana, a
legitimidade de um determinado propsito tambm pode mudar ao longo do tempo,
dependendo do desenvolvimento cientfico e tecnolgico, e transformaes na sociedade e
atitudes culturais367.
A utilizao de programas de espionagem no maliciosos podero ser autorizados, para
recolha de dados, nomeadamente os testemunhos de conexo, que podem ser teis na anlise
da eficcia da conceo e publicidade do stio web, e para verificar a identidade dos
utilizadores que procedem a transaes em linha. Sempre que se destinem a um fim legtimo,
como por exemplo a facilitar a prestao de servios de informao, a sua utilizao dever
ser autorizada, na condio de que sejam fornecidas aos utilizadores informaes claras e
precisas, em conformidade com a Diretiva 95/46/CE, acerca da finalidade dos testemunhos de
conexo por forma a assegurar que os utilizadores tenham conhecimento das informaes
colocadas no equipamento terminal que utilizam (Considerandos 24 e 25 da Diretiva
2002/58/CE).
Desde que sujeita a autorizao da CNPD, nos termos do art. 28, da LPDP, em
determinadas circunstncias possvel tratar os dados recolhidos para uma finalidade, no
mbito de outra finalidade diferente368 369.
3-7.5.4. A incompatibilidade da finalidade

A utilizao posterior dos dados para uma finalidade no pode ser incompatvel com os fins
para os quais os dados pessoais foram recolhidos inicialmente. Os dados pessoais s podem
ser tratados para fins diferentes daqueles para os quais foram recolhidos se a mudana de
367
V. GT29 - Opinion 03/2013 on purpose limitation [Em linha]. 00569/13/EN, WP 203. Brussels (Belgium),
(02/04/2013). [Consult. 12 dez. 2016]. Disponvel em WWW <http://ec.europa.eu/justice/data-protection/ article
-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf>
368
369
Por exemplo, os pedidos de comunicao do nome e morada de uma pessoa a um rgo da administrao
publica para que outra entidade instrua determinado expediente ou processo administrativo (v. o Parecer da
CNPD, n 22/2001, de 04/12 [Em linha]. [Consult. 24 mar. 2015]. Disponvel em WWW <https://www.cnpd.pt/
bin/decisoes/Par/40_22_2001.pdf>).
96
finalidade for expressamente autorizada370 pelo direito interno dos Estados-Membros ou do
direito da UE371, pelo que a conceptualizao da incompatibilidade depende do sistema
jurdico372 e da apreciao das circunstncias concretas da alterao da finalidade do
tratamento373 (art. 8, da CEDH, art. 9, da Conveno 108, e al) d), do n. 1, do art. 28, da
LPDP).
Os dados obtidos atravs das diversas fontes de informao por meio de dispositivos
inteligentes em IAm so suscetveis de ser reutilizados e tornaram-se num desafio aos
princpios e condies do tratamento de dados pessoais relacionados ou no com a finalidade
do tratamento inicial. A reutilizao374 secundria dos dados para fins de marketing, salvo se
for possvel que as finalidades sejam compatveis, deve cumprir as exigncias previstas na al)
b), do n. 1, do art. 6, da Diretiva 95/46/CE e da al) b) do n. 1, do art. 5, da LPDP. O
interessado poder no se opor partilha inicial dos dados mas pode no querer que sejam
utilizadas para outros fins.
A avaliao da compatibilidade dos fins deve comear pela relao entre os fins da recolha
inicial e os propsitos de tratamento posterior, o contexto anterior e posterior recolha dos
dados, bem como as expectativas que tanto o responsvel pelo tratamento como o titular dos
370
A Deliberao 143/2002 da CNPD, de 09/06 [Em linha]. [Consult. 24 mar. 2015]. Disponvel em WWW
<https://www.cnpd.pt/bin/decisoes/Delib/20_143_2002.pdf>, considerou o tratamento de dados relativos a
nomes e moradas de cidados eleitores residentes no estrangeiro, da base de dados do recenseamento eleitoral,
no incompatvel mas conexa com a propagando eleitoral, fundamentado no princpio da justificao social e
interesse pblico relevante.
371
O tratamento posterior de dados pessoais para fins histricos, estatsticos ou cientficos no de modo geral
considerado incompatvel com as finalidades para as quais os dados foram previamente recolhidos, desde que os
Estados-Membros estabeleam garantias adequadas; que tais garantias devem em especial impedir a utilizao
de dados em apoio de medidas ou de decises tomadas em desfavor de uma pessoa (Considerando 29 e al) b) in
fine, do n. 1, do art. 6, da Diretiva 95/46/CE e n. 2, do art. 5 da LPDP).
372
Num estudo citado pelo GT29, a noo de incompatibilidade nos Estados-Membros da UE fundamenta-se em
distintos critrios: nas expectativas razoveis da pessoa em causa (Blgica) aplicao de testes de equilbrio
(Alemanha e Pases Baixos) ou intimamente ligados a outros princpios de salvaguarda da transparncia, da
legalidade e da equidade (Reino Unido e Grcia) (GT29, cit. 367, p. 10)
373
Pargrafo 62, do Ac. Tietosuojavaltuutettu v. Satakunnan Markkinaprssi Oy, Satamedia Oy, do TJUE, n.
C73/07, de 16/12/2008, refere que o art. 9. da diretiva deve ser interpretado no sentido de que as atividades
referidas nas alneas a) a d) da primeira questo, relativas a dados contidos em documentos que so pblicos nos
termos da legislao nacional, devem ser consideradas atividades de tratamento de dados pessoais efetuadas
para fins exclusivamente jornalsticos, na aceo dessa disposio, se as referidas atividades tiverem por nica
finalidade a divulgao ao pblico de informaes, de opinies ou de ideias, o que compete ao rgo
jurisdicional nacional apreciar. A divulgao de dados a terceiros constitui frequentemente uma nova finalidade
pelo que necessrio uma fundamentao legal distinta da que foi estabelecida para a recolha dos dados.
374
frequente, o Estado impor alguns limites quilo que os cidados (e as empresas) podem fazer com a
informao pblica. A al) g), n. 1, do art. 3, do L n. 26/2016, de 22/08, que aprova o regime de acesso
informao administrativa e ambiental e de reutilizao dos documentos administrativos, transpondo as Diretiva
2003/4/CE, 2/01 e 2003/98/CE, 17/11, encontramos uma definio de reutilizao que mutatis mutandis se pode
considerar para os efeitos indicados, ou seja, a utilizao, por pessoas singulares ou coletivas, de documentos
administrativos, para fins comerciais ou no comerciais diferentes do fim inicial de servio pblico para o qual
os documentos foram produzidos. A definio constante do n. 4, do art. 2, da 2003/98/CE, 17/11 acrescenta
que o intercmbio de documentos entre organismos do setor pblico exclusivamente no desempenho das suas
funes no constitui reutilizao.
97
dados tem sobre a reutilizao dos dados invariavelmente para efeitos de promoo comercial
e marketing. A avaliao da compatibilidade deve ter em conta todos os fatores e
circunstncias do caso em concreto, a natureza dos dados pessoais e as garantias adotadas
para evitar impactos negativos na esfera jurdica dos titulares, sempre e quando no foi
prestado o consentimento prvio ou foi cerceada a liberdade de escolha do titular dos dados.
O responsvel pelo tratamento deve considerar os critrios anteriormente descritos sem
esquecer que a utilizao dos dados para outros fins deve estar em conformidade com os
princpios e condies de legitimidade previstos na LPDP.
O GT29375 pronunciou-se, por diversas ocasies, no sentido de que a recolha de endereos
eletrnicos disponveis nas pginas da internet376, sem o conhecimento informado da pessoa
interessada, ilcita, e no podero ser utilizados para fins de comercializao direta ou para
marketing377. A utilizao de endereos de correio eletrnico para marketing implica que o
tratamento seja leal, lcito, transparente e obedea s condies de legitimidade; e ainda, o
facto de existir um desequilbrio entre um custo adicional de tempo de ligao e o transtorno
causado pelas grandes quantidades de publicidade no desejada pelo recetor, ou consumidor
final, impossibilitando que o teste do equilbrio378, conforme previsto na Diretiva 95/46/CE,
da LPDP, da Diretiva 2002/58/CE e da L n. 41/2004, de 18/08. Sobre esta matria, o envio
375
J anteriormente o CdE recomendava cautelas em relao reutilizao dos dados pessoais detidos pelas
administraes publicas considerando fundamental a no utilizao para fins incompatveis para os quais foram
inicialmente recolhidos, salvo se for considerada em conformidade com a Conveno 108 (CdE
Recommendation (91) 10 of the Committee of Ministers to Member States on the communication to third parties
of personal data held by public bodies [Em linha]. (09/09/1991) [Consult. 9 abr. 2015]. Disponvel em WWW
<https://search.coe.int/cm/Pages/ result_details.aspx?ObjectID=09000016804c1486>).
376
A internet uma rede de computadores que comunicam entre si com base no Transport Control
Protocol/Internet Protocol (TCP/IP) e por isso constitui um canal de distribuio de informao e
conhecimentos dos meios de comunicao e no um meio de comunicao em si mesmo e que tem diversos
servios disponveis, por exemplo: o correio eletrnico, navegao, pesquisa, newsgroups, a World Wide Web,
etc. O GT29 considera que os servios da internet so servios de comunicaes eletrnicas. Assim, a internet
faz parte do setor pblico de telecomunicaes (GT29, cit. 222. p. 23).
377
V. a ttulo exemplificativo GT29 - Parecer 1/2000 relativo a certos aspetos da proteo de dados no comrcio
eletrnico. [Em linha]. 5007/00/PT/FINAL WP 28 Brussels (Belgium), (03/02/2000). [Consult. 14 fev. 2015].
Disponvel em WWW <http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
recommendation/files/2000/wp28_pt.pdf>; Parecer 2/2000 relativo reviso geral do quadro jurdico em matria
de telecomunicaes. Apresentado pela Task-Force Internet [Em linha]. 009/00/PT/final WP 29 Brussels
(Belgium), (03/02/2000). [Consult. 14 fev. 2015]. Disponvel em WWW <http://ec.europa.eu/ justice/data-
protection/article-29/documentation/opinion-recommendation/files/2000/wp29_pt.pdf>; Parecer 5/2000 relativo
ao uso de listas telefnicas pblicas para servios de pesquisa invertida ou multicritrio (Listas invertidas) [Em
linha]. 5058/00/ PT/FINAL, WP 33. Brussels (Belgium), (13/07/2000). [Consult. 14 fev. 2015]. Disponvel em
WWW <http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2000
/wp33_en.pdf>; - Parecer 7/2000 sobre a Proposta de Diretiva do Parlamento Europeu e do Conselho
apresentada pela Comisso Europeia relativa ao tratamento de dados pessoais e proteo da privacidade no
setor das comunicaes eletrnicas [Em linha]. 5042/00/PT/FINAL WP 36. Brussels (Belgium), (12/07/2000).
[Consult. 10 nov. 2014]. Disponvel em WWW <http://ec.europa.eu/justice/policies/privacy/docs/wp docs/2000/
wp36pt.pdf>; GT29, cit 222 e 351.
378
Conforme indicado na al) f), do art. 7, da Diretiva e al) e) do art. 6, da LPDP.
98
de comunicaes no solicitadas para fins de marketing, est sujeito ao consentimento prvio
expresso da pessoa em causa, conforme estabelecido no art. 15 da Diretiva 2002/58/CE e o
art. 13-A, da L 41/2004, de 18/08. (3.7.6).
A CNPD indica numerosos exemplos de incompatibilidade das finalidades posteriores por
desvio s finalidades de recolha original379, dos quais citamos os seguintes constantes do
Parecer n 22/2001, de 04/12/2001: tendo o ficheiro da Ordem dos Advogados Portugueses
como finalidade a gesto dos servios da Ordem e gesto da informao atualizada da
situao profissional dos advogados, considera-se compatvel com a finalidade a utilizao
dos nomes e moradas com vista divulgao de informaes de interesse para a formao
inicial ou permanente dos advogados designadamente a realizao de palestras, cursos e
conferncias. Os titulares dos dados podem opor-se cedncia de etiquetas a Universidades
ou ao Centro de Estudos Judicirios. No compatvel com a finalidade a utilizao dos
dados por organizaes ou entidades, para fins de marketing estranhos s finalidades
indicadas e s funes estatutrias da Ordem e a cedncia de informao dos ficheiros da
Ordem dos Mdicos a laboratrios ou empresas que comercializam medicamentos no
compatvel com as razes determinantes da recolha, na medida em que est em causa a
informao e formao de mdicos em relao a novos medicamentos. Os titulares uma vez
informados da inteno de cedncia a terceiros, podem opor-se comunicao dos seus dados
a estas empresas ou entidades.
Acresce ainda que as alteraes dos fins para que foram recolhidos os dados podem ter um
impacto negativo na esfera jurdica do titular dos dados em caso de considerar que perdeu o
controlo sobre os seus dados, cujas consequncias so desconhecidas porque dependem da
reao de cada interessado. O critrio da compatibilidade s se aplica s finalidades entre um
tratamento inicial de dados e o tratamento posterior que se pretende realizar sobre os dados
que foram recolhidos para um determinado tratamento original. Poderia colocar-se a questo
da construo de perfis (3-9.3.5) mas esta no constitui uma finalidade mas um mtodo de
tratamento de dados pessoais que est ao servio dos objetivos de marketing e
comercializao direta pelos operadores econmicos. A construo de perfis coloca questes
relacionadas com a legitimidade sendo necessrio o consentimento expresso e inequvoco
prestado pelo cliente, por exemplo, no contexto de cartes de fidelizao380.
Os fornecedores de motores de pesquisa interessados em propostas comerciais diversas e
379
O tratamento dos dados recolhidos em listas telefnicas e listas de correio eletrnico devem obedecer aos
princpios referidos.
380
V. GT29, cit. 219.
99
personalizadas generalizam as finalidades dos tratamentos dos dados pessoais, dando origem
a opinies contraditrias, quanto legitimidade do tratamento, e que se apressam a
fundamentar na prestao do consentimento, na necessidade da execuo do contrato e na
necessidade de prosseguir interesses legtimos do responsvel pelo tratamento (al) a), b) e f),
do n. 1, do art. 7, da Diretiva 95/46/CE e al) a), b) e e), do n. 1, do art. 6, da LPDP), com
o fim de melhorar a prestao dos servios, prevenir eventuais de fraudes, e manter segurana
dos sistema informtico, entre outros381. De igual modo, e dado que o marketing direto
constitui uma parte essencial do modelo de negcios das plataformas das redes sociais e
utiliza os dados pessoais dos utilizadores para apresentar comunicaes comerciais com base
na anlise do seu comportamento em linha sua atividade, pelo que os responsveis pelo
tratamento de dados devem cumprir as regras estabelecidas nas Diretivas 95/46/CE e
2002/58/CE e LPDP e a L n. 41 /2004, de 18/08382.
3-7.5.5. Os critrios da aferio da compatibilidade das finalidades no RGPD

A Diretiva 95/46/CE e a LPDP permitem o tratamento de dados pessoais para novos fins,
desde que esses novos fins no sejam incompatveis com a finalidade inicial. O RGPD vem
dificultar o tratamento de dados pessoais para novos fins, na medida em que a determinao
dos critrios de compatibilidade pode ser onerosa. O n. 6, do art. 7, do RGPD, indica os
critrios a ter em conta para aferir da compatibilidade das finalidades: quando o tratamento
para fins que no sejam aqueles para os quais os dados pessoais foram recolhidos no for
realizado com base no consentimento do titular dos dados ou em disposies do direito da UE
ou dos Estados-Membros que constituam uma medida necessria e proporcionada numa
sociedade democrtica para salvaguardar os objetivos incluindo o do direito de oposio, o
responsvel pelo tratamento, a fim de verificar se o tratamento para outros fins compatvel
com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem
nomeadamente em conta:
a) Qualquer ligao entre a finalidade para a qual os dados pessoais foram recolhidos e a
finalidade do tratamento posterior;
b) O contexto em que os dados pessoais foram recolhidos, em particular no que respeita
relao entre os titulares dos dados e o responsvel pelo seu tratamento;
c) A natureza dos dados pessoais, em especial se as categorias especiais de dados pessoais
381
GT29, cit. 189.
382
GT29 - Parecer 5/2009 sobre as redes sociais em linha [Em linha]. 01189/09/PT WP 163. Brussels (Belgium),
(12/06/2009) [Consult. 12 dez. 2014]. Disponvel em WWW <http://ec.europa.eu/justice/data-protection/article-
29/documentation/opinion-recommenda tion/files/2009/wp163_pt.pdf>
100
forem tratadas, ou se os dados pessoais relacionados com condenaes penais e
infraes383;
d) As eventuais consequncias, do tratamento posterior pretendido, para os titulares dos
dados; e
e) A existncia de salvaguardas adequadas, que podem ser a cifragem ou a
pseudonimizao.
Nos termos da Diretiva 95/46/CE, da LPDP e do RGPD, os dados pessoais devem ser
recolhidos para finalidades determinadas, explcitas e legtimas, podendo ser posteriormente
tratados de forma compatvel com essas finalidades, contudo, a al) c), do n. 1, do art. 5,
RGPD, ao substituir a obrigao da recolha dos dados pessoais no sejam excessivos por uma
obrigao mais restritiva no sentido de garantir que os dados pessoais sejam limitados ao
necessrio, obriga reconsiderao das operaes de tratamento no que respeita ao tratamento
de dados que no sejam estritamente necessrios em relao aos fins relevantes.
3-7.6. O princpio da segurana

A segurana do tratamento de dados uma obrigao do responsvel do tratamento que deve
pr em prtica as medidas tcnicas e organizativas adequadas para proteger os dados pessoais
contra a destruio, acidental ou ilcita, a perda acidental, a alterao, a difuso ou o acesso
no autorizados, nomeadamente quando o tratamento implicar a sua transmisso por rede, e
contra qualquer outra forma de tratamento ilcito384 (n. 1, do art. 14, da LPDP). O nvel de
segurana determinado pelos conhecimentos tcnicos disponveis, pelos custos resultantes
da sua aplicao, e pelos riscos que o tratamento apresenta tendo em conta a natureza dos
dados a proteger (art. 15, da LPDP). O princpio da segurana tem como objetivo essencial o
impedimento de acesso por pessoas no autorizadas, a integridade385, disponibilidade386 e a
confidencialidade387 dos dados tratados (art. 7, da Conveno 108; art.s 16 e 17, da
383
dever ser proibido proceder transmisso no interesse legtimo do responsvel pelo tratamento ou ao
tratamento posterior de dados pessoais se a operao no for compatvel com alguma obrigao legal,
profissional ou outra obrigao vinculativa de confidencialidade, conforme Considerando 50, do RGPD.
384
V. n. 11, das Linhas Diretrizes da Privacidade: Os dados pessoais devem ser protegidos por salvaguardas de
segurana razoveis contra riscos como perda, acesso no autorizado, destruio, uso, modificao ou
divulgao de dados.
385
A informao manipulada durante o tratamento mantm as caractersticas originais ou as que foram sujeitas a
retificao e atualizao pelo titular dos dados.
386
Consiste na capacidade que tem utilizador autorizado de aceder informao.
387
V. Ac. I. vs. Finlndia, do TEDH, n 25.511/03, de 17/07/2008, em que data dos factos, as fichas clnicas
podiam ser lidas pelo pessoal hospitalar que no estava diretamente envolvido no processo da requerente qual
foi diagnosticado uma infeo pelo vrus VIH. Embora o hospital tenha tomado posteriormente passos para
coloc-la a salvo de divulgao no autorizada, limitando acesso ao seu arquivo e registo da requerente sob um
nome falso e um novo nmero segurana social, estas medidas foram tomadas demasiado tarde.
101
Diretiva 95/46/CE). A segurana dos dados inclui a infraestrutura que a suporta, os sistemas
informticos, mecanismos de cifrao, de controlo de acesso e certificao, protocolos,
medidas preventivas e documentao que fazem parte do tratamento de dados.
O dever de confidencialidade sobre os dados objeto do tratamento tratado de forma
especfica (art. 16, da diretiva 95/46/CE, art. 17, da LPDP), na medida em que deve ser
cumprido por todos os intervenientes388 no processo de tratamento no s enquanto dura como
subsiste aps a finalizao do mesmo e em relao a outras normas (nomeadamente o dever
de sigilo das profisses reguladas). A violao do dever de sigilo punida com priso at dois
anos ou multa at 240 dias (art. 47, da LPDP).
Portugal na transposio da Diretiva n. 2009/136/CE, na parte que altera a Diretiva n.
2002/58/CE, introduziu o art. 3-A, na L n. 41/2004, de 18/08, regula as notificaes com
violaes da segurana dos dados, o qual prev que as empresas que oferecem servios de
comunicaes eletrnicas acessveis ao pblico devem, sem demora injustificada, notificar a
CNPD da ocorrncia de violao de dados pessoais e quando possa afetar negativamente389 os
dados pessoais do assinante ou utilizador, devem ainda, sem demora injustificada, notificar a
violao ao assinante ou ao utilizador, para que estes possam tomar as precaues necessrias.
3-7.6.1. O princpio da segurana no RGPD

Nos termos da al) f), do n. 1, do art. 5, e 32 a 34, do RGPD, o responsvel pelo tratamento
deve garantir a segurana dos dados, incluindo a proteo contra o seu tratamento no
autorizado ou ilcito e contra a sua perda, destruio ou danificao acidental, adotando as
medidas tcnicas ou organizativas adequadas (integridade e confidencialidade). Os
responsveis pelo tratamento gozam de liberdade na escolha dos meios que consideram
adequadas, em funo dos factos e das circunstncias de cada caso particular, com especial
ateno para o risco associado ao tratamento e aos tipos de dados. O RGPD estabelece uma
obrigao de resultado aos responsveis pelo tratamento porque para alm de serem capazes
388
Ainda que a obrigao de confidencialidade esteja prevista na LPDP, seria altamente recomendvel incluir
clausulas de confidencialidade nos contratos de prestao de servios ou contratos de trabalho que as respetivas
parte contratantes se obrigavam ao sigilo profissional, mesmo aps o termo das suas funes, no que respeita ao
conhecimento de dados pessoais incorporados nos ficheiros da organizao onde presta a atividade profissional,
considerando diversos aspetos, como por exemplo, a definio do perodo de tempo da obrigao, indicar quais
so as informaes consideradas confidenciais e em caso aplicvel, as excees, a obrigao de entrega de
cpias ou documentos, independentemente do suporte, que se teve acesso em resultado da atividade profissional;
entre outras consideradas oportunas.
389
Nos termos do n. 3, do art. 3-A, da L n. 41/2004, de 18/08, uma violao de dados pessoais afeta
negativamente os dados ou a privacidade do assinante ou utilizador sempre que possa resultar, designadamente,
em usurpao ou fraude de identidade, danos fsicos, humilhao significativa ou danos para a reputao, quando
associados prestao e utilizao de servios de comunicaes eletrnicas acessveis ao pblico.
102
de implementar as medidas referidas devem, igualmente, de ser capazes de demonstrar que
atuaram com diligncia (n. 2, do art. 5, do RGPD), com a promoo e implementao de
uma cultura da proteo de dados desde a conceo e por defeito (Considerando 78 e art. 25,
do RGPD), dentro da sua organizao. O responsvel pelo tratamento procede, antes de
iniciar o tratamento, a uma avaliao de impacto das operaes de tratamento previstas sobre
a proteo de dados pessoais. O resultado das avaliaes pode influenciar a deciso na escolha
das medidas de segurana. O RGPD tambm promove o recurso aos cdigos de conduta
aprovados pela CNPD (art.s 40, 41 e 57, n 1, do RGPD) assim como aos mecanismos de
certificao390 acreditados pelas autoridades de controlo (art.s 42 e 43, do RGPD), sem
obrigatoriedade, mas a demonstrao do cumprimento das normas de proteo de dados
pessoais torna-se mais fcil tal como potenciais colaboraes com terceiros.
A violao da segurana da informao pode conduzir o incumprimento de uma norma da
proteo de dados e deixar uma organizao exposta a sanes cujo impacto pode ser muito
relevante391. As entidades que sofram uma violao de dados pessoais 392 devem notificar a
390
A norma ISO/IEC 27001:2013 - Tecnologia da informao - tcnicas de segurana - sistemas de gerncia da
segurana da informao, aprovada e publicada em outubro de 2005, revista em 2013 pela International
Organization for Standardization e pela International Electrotechnical Commission, a principal norma
internacional para a segurana da informao e certificada de acordo com a metodologia dos Sistemas de Gesto
de Segurana da Informao (SGSI) que permite a gesto da segurana de forma clara e demonstrara que esto
implementados e esto em conformidade com uma norma padro e considerada como uma das opes para a
implementao dos processos necessrios ao tratamento dos dados com segurana (V. INTERNATIONAL
ORGANIZATION FOR STANDARDIZATION - ISO/IEC 27001:2013(en) Information technology Security
techniques Information security management systems Requirements [Em linha]. 1 ed., International
Organization for Standardization, 2013. [Consult.14 out. 2016]. Disponvel em WWW <https://www.iso.
org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en>).
391
Os profissionais de marketing precisam de ter cuidado na partilha de informao de clientes, especialmente
quando considerado sensvel ou existirem os riscos, de probabilidade e gravidade varivel, para os direitos e
liberdades das pessoas singulares. Os danos especficos decorrentes da partilha de informaes incluem, entre
outros: (1) violao da confidencialidade: quando terceiros se apropriam, por exemplo, de dados bancrios por
terceiros para pagamento de bens e servios; (2) divulgao: quando a reputao de uma pessoa afetada por
revelar informaes verdadeiras sobre eles; (3) exposio: quando questes ntimas so expostas publicamente;
(4) chantagem: quando se exige algo em troca para no divulgar informaes consideradas normalmente
inadequadas; (5) apropriao: quando algum, por exemplo, se apropria da identidade de outro; e (6) distoro:
quando se revelem informaes enganosas ou falsos sobre os titulares dos dados, por um lado, podendo ocorrer
que sejam tomadas decises com base em informaes desatualizadas dos clientes, sobre tudo quando se recorre
construo de perfis. A empresa Yelp processou uma sociedade de advogados por afixar comentrios
falsificados, no decorrer da investigao, o procurador-geral de Nova Iorque anunciou US $ 350.000 em multas
contra 19 empresas por escrever crticas negativas falsas nas suas pginas e noutras como por exemplo, nas
pginas web Yelp, Google Local e CitySearch. A Yelp avalia organizaes empresariais baseada nas crticas dos
consumidores e constri perfis que ficam disponveis para consulta e que se vieram a revelar totalmente irreais,
dando origem a problemas de reputao de imagem para a prpria empresa Yelp como tambm para os seus
clientes (v. MASNICK, Mike - The war on fake reviews ramps up: NY fines companies for fake Yelp reviews. In
Techdirt. [Em linha]. (27/09/2013) [Consult. 19 jan. 2016]. Disponvel em WWW <https://www.
techdirt.com/articles/20130927/01425424673/war-fake-reviews-ramps-up-ny-fines-companies-fake-yelp-
reviews.shtml>)
392
O n. 12, do art. 4, do RGPD define a violao de dados pessoais como uma violao da segurana que
provoque, de modo acidental ou ilcito, a destruio, a perda, a alterao, a divulgao ou o acesso, no
autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
103
autoridade de controlo competente sem demora injustificada e, sempre que possvel, at 72
horas aps ter tido conhecimento da mesma, a menos que a violao dos dados pessoais no
seja suscetvel de resultar num risco para os direitos e liberdades das pessoas singulares (n. 1,
do art. 33, do RGPD) e quando seja suscetvel de implicar um elevado risco para os direitos
e liberdades das pessoas singulares, tambm, comunica a violao de dados pessoais ao titular
dos dados sem demora injustificada (n. 1, do art. 34, do RGPD).
No contexto atual, tecnicamente impossvel garantir a segurana e a proteo absoluta dos
dados pessoais, por isso a obrigao especfica do princpio consiste na garantia razovel e
adequada de que o responsvel pelo tratamento utilizou os procedimentos tcnicos
necessrios, pelo que no ser exigvel considerar a existncia de violao de dados sempre
que haja a destruio, acidental ou ilcita, a perda acidental, a alterao, a difuso ou o acesso
no autorizados aos dados na medida em que se requer um juzo razovel e fundamentado
perante cada caso concreto.
3-7.7. O princpio da responsabilidade

O princpio da responsabilidade procurar garantir a aplicao das normas que regulam a
proteo de dados (art. 4, da diretiva 2002/58/CE, n. 2, do art. 6, da Diretiva 95/46/CE e
art.s 15 e 34, da LPDP). Este princpio est intimamente relacionado com a transmisso de
dados e acautelar o acesso aos ficheiros por pessoas no autorizadas, bem como evitar que o
titular perca o controle sobre suas informaes pessoais.
O n. 2, do art. 5, e art. 24, do RGPD prev que o responsvel pelo tratamento
responsvel pelo cumprimento dos princpios do tratamento de dados (tendo em conta a
natureza, o mbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos
para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser
variveis) aplica as medidas tcnicas e organizativas que forem adequadas para assegurar,
para poder comprov-lo. A disposio teve inspirao no conceito oriundo do direito anglo-
saxnico que significa que a responsabilidade assumida pelo responsvel do tratamento e
capaz de o demonstrar, ou seja, capaz de explicar as suas aes. E por isso que o
responsvel pelo tratamento de dados deve designar, se for o caso, um encarregado com base
nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no
domnio do direito e das prticas de proteo de dados, bem como na sua capacidade para
desempenhar as funes descritas pelo regulamento (n. 5, do art. 37, e art. 39, do RGPD).
104
CAPTULO VIII AS CONDIES DE LEGITIMIDADE DO TRATAMENTO DE
DADOS PESSOAIS
3-8. As condies de legitimidade do tratamento de dados pessoais

As condies de legitimidade do tratamento de dados, na organizao sistemtica tanto da
Diretiva 95/46/CE como da LPDP, so enumeradas imediatamente a seguir aos princpios do
tratamento dos dados. O tratamento de dados, ainda que sejam cumpridas todas as disposies
quanto aos princpios, no possvel se no houver fundamento.
A relevncia das condies de legitimidade do tratamento refletida na CDFUE, que
estabelece no n. 2, do art. 8, que os dados so tratados com o consentimento da pessoa
interessada ou com outro fundamento legtimo previsto por lei, tendo-se baseado no artigo
8. da CEDH, na Conveno 108 e da prpria Diretiva 95/46/CE393. certo que no existe
uma correspondncia direta do art. 8, da CEDH, mas a jurisprudncia do TEDH tem sido
abundante desde que considerou que a recolha de dados dos rgos pblicos, conservao e
transferncia de dados suscetvel de representar uma violao sobre a referida norma394.
O art. 7, da Diretiva 95/46/CE e o art. 6, da LPDP, estabelece que o tratamento de dados
pessoais s pode ser efetuado se o seu titular tiver dado, de forma inequvoca, o seu
consentimento ou se o tratamento for necessrio para: (1) a execuo de contrato ou contratos
em que o titular dos dados seja parte ou de diligncias prvias formao do contrato ou
declarao da vontade negocial efetuadas a seu pedido; (2) o cumprimento de obrigao legal
a que o responsvel pelo tratamento esteja sujeito; (3) a proteo de interesses vitais do titular
dos dados, se este estiver fsica ou legalmente incapaz de dar o seu consentimento; (4) a
execuo de uma misso de interesse pblico ou no exerccio de autoridade pblica em que
esteja investido o responsvel pelo tratamento ou um terceiro a quem os dados sejam
comunicados; e (5) a prossecuo de interesses legtimos (3-9.1.) do responsvel pelo
tratamento ou de terceiro a quem os dados sejam comunicados, desde que no devam
prevalecer os interesses ou os direitos, liberdades e garantias do titular dos dados.
A legitimidade do tratamento fundamentada no consentimento do titular dos dados, salvo
exceo prevista na lei, sendo o eixo central do direito proteo de dados pessoais. A
enumerao, indicada no art. 7, da Diretiva 95/46/CE, das condies de legitimidade
taxativa e no pode ser alterada pelos Estados-Membros nem acrescentar outros requisitos395.
393
Conforme anotao ao art. 8, relativa carta dos direitos fundamentais (2007/C 303/02).
394
Ac. Leander v. Sweden, do TEDH n 9.246/81, de 26/03/1987.
395
Neste sentido, o Ac. Asociacin Nacional de Establecimientos Financieros de Crdito (ASNEF) e Federacin
105
A seleo de um ou mais fundamentos de legitimidade pelo responsvel pelo tratamento396,
embora no esteja expresso na LPDP, deve ser efetuada antes de iniciar o tratamento dos
dados. A escolha pelo responsvel (com exceo do consentimento) no est isenta de realizar
um teste de necessidade que limita de forma estrita o seu mbito de aplicao397. O
conceito de necessidade um conceito autnomo de direito da EU, no podendo ter contedo
varivel consoante os Estados-Membros398 e limita o contexto em que cada fundamento
aplicvel. A escolha do fundamento para legitimar o tratamento dos dados no exime o
responsvel pelo tratamento de cumprir com os princpios do tratamento de dados previstos
no art. 6, da Diretiva 95/46/CE e do art. 5, da LPDP. Os fundamentos de legitimidade so
alternativos no art. 7, da Diretiva 95/46/CE e do art. 6, da LPDP, mas cumulativos com os
princpios previstos no art. 6, da Diretiva 95/46/CE e do art. 5, da LPDP399.
A reflexo sobre o consentimento analisada com maior detalhe dada a importncia e
impacto sobre o tratamento dos dados pessoais para fins de marketing.
3-8.1. O consentimento
O consentimento o eixo central das normas sobre a proteo de dados na medida em que o
titular dos dados quem decide, como, quando e porque que os seus dados so tratados
poder de deciso que deriva do direito autodeterminao informativa 400 e porque o regime
da proteo de dados subscrito por uma tica de direitos e quando esta tica baseada numa
escolha duma teoria de direitos, no h forma como escapar ao facto que o consentimento tem
de ser central para este regime401. O tratamento de dados pessoais pode ser efetuado se o seu
de Comercio Electrnico y Marketing Directo (FECEMD) v. Administracin del Estado, do TJUE, apensos n.s
C-468/10 e C-469/10, de 24/11/2011 (vide os pargrafos 36 a 39 e 95 a 99).
396
Um simples contrato de compra e venda pode abranger todos os fundamentos de legitimidade do tratamento
de dados.
397
GT29 - Parecer 15/2011 sobre a definio de consentimento [Em linha]. 01197/11/PT WP 187. Brussels
(Belgium), (13/07/2011). [Consult. 12 Dez. 2014]. Disponvel em WWW <http://ec.europa.eu/justice/data-
protection/article-29/documentation/opinion-recommendation/ files/2011/wp187_pt.pdf>, p. 8.
398
Conforme pargrafo 52, do Ac. Heinz Huber v. Bundesrepublik Deutschland, do TJUE, n. C-524/06, de
16/12/2008: Por conseguinte, face ao objetivo de assegurar um nvel de proteo equivalente em todos os
Estados-Membros, o conceito de necessidade, tal como ele resulta do artigo 7., alnea e), da Diretiva 95/46, que
se destina precisamente a delimitar uma das hipteses em que o tratamento de dados pessoais lcito, no pode
ter um contedo varivel consoante o Estado-Membro. Logo, trata-se de um conceito autnomo de direito
comunitrio que deve receber uma interpretao suscetvel de cumprir plenamente o objetivo dessa diretiva,
definido no seu artigo 1., n. 1.
399
V. GT29 - Parecer 06/2014 sobre o conceito de interesses legtimos do responsvel pelo tratamento dos dados
na aceo do artigo 7. da Diretiva 95/46/CE [Em linha]. 844/14/PT, WP 217. Brussels (Belgium), (09/04/2014).
[Consult. 12 Dez. 2016]. Disponvel em WWW <http://ec.europa.eu/justice/data-protection/article-29/documen
tation/opinion-recommendation/files/2014/wp217_pt.pdf>.
400
MARCOS, cit. 218, p. 229.
401
V. BROWNSWORD, Roger - Consent in Data Protection Law: Privacy, Fair Processing and
Confidentiality. in GUTWIRTH; Serge [et al.] - Reinventing Data Protection? [Em linha]. New York [etc.]:
106
titular tiver dado402 de forma inequvoca o seu consentimento. Nos termos da al) h), do art.
2, da Diretiva 95/46/CE e al) h), do art. 3 da LPDP, o consentimento definido como
qualquer manifestao de vontade, livre, especfica e informada, pela qual a pessoa em causa
aceita que dados pessoais que lhe dizem respeito sejam objeto de tratamento403. O
consentimento est intimamente ligado obrigao de informar, nos termos dos art.s 10 e
11 da Diretiva 95/46/CE e do art. 10, da LPDP, a cargo do responsvel para ser prestado
conforme a seguir se descreve tendo em conta a definio legal, interpretao jurisprudencial
e administrativa, e ainda doutrinal.
3-8.1.1. O consentimento inequvoco

O consentimento inequvoco quando resulta de aes cometidas e expressas pelo titular dos
dados, manifestando a sua aceitao sem dar origem a interpretaes duvidosas e ambguas,
independentemente do tipo de mecanismo para a sua obteno. O consentimento no se deduz
nem pode ser baseado na omisso ou silncio404, sobretudo num contexto em linha. O
consentimento suscetvel de fazer prova405 e os responsveis pelo tratamento devem adotar
as medidas e os procedimentos adequados para demonstrar que o consentimento foi dado.
Quanto mais complexo for o ambiente em que aqueles atuam, mais medidas sero
necessrias para assegurar que o consentimento suscetvel de ser verificado406, ou seja,
quanto menor for a capacidade de compreenso de um cidado mdio de entender, maiores
sero os esforos do responsvel pelo tratamento em demonstrar que prestou todas as
Springer Science + Business Media B.V. 2009. [Consult. 10 dez. 2014]. Disponvel em WWW <https://link.
springer.com/book/10.1007/978-1-4020-9498-9> ISBN 978-1-4020-9498-9. p. 87. Traduo da responsabilidade
da mestranda, do original em ingls: Where a data protection regime is underwritten by an ethic of rights and
where (as I take it) the ethic is based on a choice (or will) theory of rights, there is no escaping the fact that
consent must be central to that regime.
402
Ao consentimento, tambm, so aplicveis outros requisitos previstos no direito civil, nomeadamente os da
declarao negocial e da capacidade jurdica, e aplicveis no contexto da proteo de dados sob pena de ser
invlido.
403
O tratamento de dados sensveis com base no consentimento exige um consentimento (para alm de
inequvoco, livre, especfico e informado) explcito, nos termos da al) a), n. 2, do art. 8, da Diretiva 95/46/CE,
ou expresso na redao portuguesa, nos termos do n. 2, do art. 7 da LPDP.
404
Neste sentido, o GT29: A clarificao deveria procurar sublinhar que o requisito do consentimento
inequvoco obriga ao uso de mecanismos que no deixem qualquer dvida de que a pessoa em causa teve a
inteno de dar o seu consentimento. Simultaneamente deve ser clarificado que a utilizao de configuraes
predefinidas, que tm de ser alteradas pela pessoa em causa para rejeitar o tratamento (consentimento baseado no
silncio) no conduz a um consentimento inequvoco. Isto especialmente verdade num ambiente em linha
(GT29, cit. 397, p. 25).
405
A este propsito o GT29 refere que os responsveis pelo tratamento podem desejar ou necessitar de provar
que o consentimento foi efetivamente prestado, designadamente numa situao de litgio. Com efeito, em alguns
casos, tal prova pode ser exigida no contexto de medidas de aplicao coerciva. Os responsveis pelo tratamento
de dados devem, por conseguinte, e por uma questo de boa prtica, gerar e conservar provas de que o
consentimento foi efetivamente dado, ou seja, o consentimento deve ser suscetvel de verificao (GT29, cit.
382, p. 24).
406
GT29, cit. 397. p. 28.
107
informaes necessrias no momento do pedido e aceitao do consentimento pelo titular dos
dados. A questo da prova assume especial relevncia no RGPD, na medida em que o
consentimento deve estar documentado e o responsvel ser capaz de comprovar (n.s 1 e 2, do
art. 7, do RGPD) que foi aceite pela pessoa em causa (3-7.7.).
3-8.1.2. O consentimento livre

O consentimento livre quando resulta de uma deciso voluntria tomada de acordo com os
princpios gerais de direito civil e do direito proteo de dados, sem qualquer tipo de
coao, de carter social, financeiro, psicolgico, sem consequncias que possam
comprometer a liberdade de escolha da pessoa407, ou outro. O RGPD esclarece que se a
declarao do consentimento estiver previamente formulada pelo responsvel do tratamento
dever ser apresentada ao titular dos dados de uma forma inteligvel e de fcil acesso, numa
linguagem clara e simples e sem clusulas abusivas408 (Considerando 42, do RGPD).
O consentimento livre na medida em que o titular dos dados puder recusar o seu tratamento
sem consequncias, por exemplo, de ordem econmica409 ou emocional, e puder revogar sem
penalizaes410 e com efeitos retroativos411. O RGPD refere expressamente que o
consentimento no ser vlido se existir um desequilbrio manifesto entre o titular dos dados
e o responsvel pelo seu tratamento nos poderes em que investido ou se no puder ser
separado para diferentes operaes de tratamento (Considerando 43 e 44, do RGPD).
407
O GT29 reala que o consentimento de uma pessoa em causa a quem no foi concedida uma liberdade de
escolha genuna ou que foi confrontada com um facto consumado no pode ser considerado vlido (v. GT29 -
Documento de trabalho sobre o tratamento de dados pessoais ligados sade em registos de sade eletrnicos
(RSE) [Em linha]. 00323/07/PT, WP 131. Brussels (Belgium), (15/02/2007). [Consult. 12 dez. 2014]. Disponvel
em WWW <http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files
/2007/wp131_pt.pdf>, p. 9).
408
A questo da confiana na notificao das polticas de privacidade e condies de utilizao disponveis nas
pginas web foi objeto de um estudo no Reino Unido, concluindo-se que os indicadores no conseguiram
alcanar a complexidade do seu contedo bem como estava fora de controlo dos utilizadores. O estudo revelou
que a poltica de privacidade e condies de utilizao de PayPal com 36.275 palavras superava a obra Hamlet
de Shakespeare, de Apple iTunes com 19.972 palavras superava a obra Macbeth de Shakespeare; de Facebook
com 11.195 palavras superava a obra Teoria Geral da Relatividade de Einstein, entre muitas outras referncias.
A extenso e a complexidade jurdica dos documentos levam a que o utilizador aceite os termos e condies na
ntegra sem ler (ou tomar conhecimento) antes de concordar em utilizar os servios propostos. Ler ou no ler
(PayPal), ouvir ou no ouvir (Apple iTunes), eis a questo! O estudo pode ser consultado aqui: <https://
conversation.which.co.uk /technology/length-of-website-terms-and-conditions/>
409
Uma das consequncias poder ser perda de um emprego quando o titular dos dados se encontre num
contexto laboral que diminua a sua liberdade de escolha.
410
Exceto as que resultarem da cessao dos benefcios que possam, eventualmente, resultar da utilizao de
dados objeto do consentimento dado anteriormente, por exemplo, o acesso gratuito a determinados servios.
411
V. Deliberao da CNPD, n. 227/2007, de 28/05 [Em linha]. [Consult. 24 mar. 2015]. Disponvel em WWW
<https://www.cnpd.pt/bin/decisoes/Delib/20_227_2007.pdf>, aplicvel aos tratamentos de dados pessoais
efetuados no mbito de estudos de investigao cientfica na rea da sade.
108
O exerccio do direito de revogao no est sujeito a justificao ou a prazos412. O n. 3, do
art. 7 do RGPD, prev que o titular dos dados tem direito a retirar o seu consentimento a
qualquer momento de forma to fcil como aquela em que foi dado.
3-8.1.3. O consentimento especfico

O consentimento especfico refere-se a um tratamento de dados para fins (3-7.5.)
determinados413 e legtimos do responsvel do tratamento. Dado que o consentimento
especfico se refere a uma contextualizao factual concreta, a uma atualidade cronolgica
precisa e balizada e a uma operao determinada414, deve conformar-se com as expectativas
do titular dos dados que assume carter relevante, quanto a um tratamento razovel e
necessrio em relao ao fim que se destina415. A anlise da contextualizao deve ser flexvel
e interpretar-se de forma razovel tendo em conta o ambiente tecnolgico que evolui
rapidamente e varia segunda as circunstncias de cada caso. O consentimento especfico
afasta os casos de consentimento preventivo e generalizado, prestado de modo a cobrir uma
pluralidade de operaes416.
3-8.1.4. O consentimento informado

A informao o pressuposto do consentimento informado (3-7.2.1.). O consentimento
informado requer que o titular dos dados, e do direito informao, tenha conhecimento
prvio417 do tratamento de dados assim como das suas finalidades 418. O responsvel pelo
412
O consentimento prestado pode sempre ser revogvel nos termos do n. 2, do art. 81 do CC. A revogao
do consentimento deve dar lugar imediata destruio dos dados e lcita, embora possa fazer incorrer o titular
na obrigao de indemnizar os danos causados pela revogao (v. VASCONCELOS, Pedro Pais de - Proteo
de Dados Pessoais e Direito Privacidade, in Direito da Sociedade da Informao, Coimbra : Coimbra Editora,
1999. ISBN:972-32-0916-0. Vol. I, p. 252).
413
Com interesse, Ac. Deutsche Telekom AG vs Bundesrepublik Deutschland, do TJUE, n. C-543/09, de
05/05/2011, o requerente tendo prestado consentimento para a publicao dos nmeros de nmeros que lhe
foram atribudos, numa lista de assinantes de determinada sociedade e transmitida a outra empresa com vista
publicao de uma lista pblica impressa ou eletrnica, ou disponibilizao para consulta de tais listas por
intermdio de servios de informaes, no deve ser objeto de um novo consentimento pelo assinante. O
consentimento diz respeito ao fim a que se destina a publicao dos dados de carter pessoal numa lista pblica e
no identidade de um fornecedor de lista em concreto.
414
Vide Deliberao da CNPD, n. 227/2007, cit. 411.
415
GT9, cit. 397
416
V. nota 18.
417
O tratamento de dados s pode ser realizado aps obteno do consentimento que depende da informao
prestada pelo responsvel do tratamento.
418
A noo de consentimento informado teve origem no contexto da investigao mdica e do desenvolvimento
do Cdigo de Nuremberga, que estabeleceu o direito de deixar a investigao mdica e revogando efetivamente
qualquer consentimento implcito (v. HOEYER, Klaus (2009) Informed consent: The making of a ubiquitous
rule in medical practice. [Em linha]. Organization, Vol. 16, n. 2, p. 267-288. Washington DC : SAGE
Publications, 2009. [Consult. 17 out. 2015]. Disponvel em WWW <http://citeseerx.ist.psu.edu/viewdoc/
download?doi=10.1.1. 838.6147&rep=rep1&type=pdf> ISSN 13505084.).
109
tratamento, entre o dever de informar e a obteno do consentimento, deve verificar se o
titular dos dados tomou conhecimento do objeto do consentimento sem dificuldades, em
linguagem adequada e compreensvel. A acessibilidade e a visibilidade das informaes so
elementos importantes quando esto disponveis em linha. De facto, nas pginas web podem
existir tratamentos automatizados de dados pessoais que so realizados de forma invisvel
representados, sobretudo, pelos testemunhos de conexo e o utilizador no tem conscincia
que os seus dados podem ser recolhidos, tratados e utilizados para fins que desconhece. O
titular dos dados deve ser informado previamente de que a pgina em visualizao utiliza um
ou mais testemunhos de conexo para recolher e conservar os dados fornecidos (3-9.3.).
3-8.2. O consentimento no RGPD

Nos termos do n. 11, do art. 4, do RGPD, o consentimento do titular dos dados uma
manifestao de vontade, livre, especfica, informada e explcita, pela qual o titular dos dados
aceita, mediante declarao ou ato positivo inequvoco, que os dados pessoais que lhe dizem
respeito sejam objeto de tratamento.
O RGPD vem acrescentar manifestao de vontade, livre, especfica e informada que seja
explcita e que seja prestado mediante declarao ou ato positivo inequvoco. O
consentimento explcito, ou expresso, afasta o valor declarativo das declaraes tcitas 419,
privilegiando-se a segurana jurdica e a obteno dos meios de prova. A validade da
declarao do consentimento expresso no depende de nenhuma forma especial420, salvo
quando a lei o exigir (art. 219., do CC), e desde que traduza uma vontade sria, livre e
esclarecida do titular.
O conceito de consentimento foi reforado e os responsveis pelo tratamento dependem do
consentimento separado de outros termos e condies, assim como das polticas de
privacidade, para o tratamento de dados no mbito do RGPD. E tanto assim que a relevncia
dada ao consentimento pode basear-se em vrios fundamentos, de que se destacam os
419
O silncio, as opes pr-validadas ou a omisso no devero, por conseguinte, constituir um
consentimento (Considerando 32, do RGPD)
420
Neste sentido, O consentimento do utilizador pode ser dado por qualquer forma adequada que permita obter
uma indicao comunicada de livre vontade, especfica e informada sobre os seus desejos, incluindo por via
informtica ao visitar um stio na internet (Considerando 17, da Diretiva 2002/58/CE). Tambm o n. 2, do art.
7, que parece no limitar forma escrita a prestao do consentimento: Se o consentimento do titular dos
dados for dado no contexto de uma declarao escrita que diga tambm respeito a outros assuntos, o pedido de
consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo
inteligvel e de fcil acesso e numa linguagem clara e simples e o Considerando 32 uma declarao escrita,
inclusive em formato eletrnico, ou uma declarao oral. O consentimento pode ser dado validando uma opo
ao visitar um stio web na Internet, selecionando os parmetros tcnicos para os servios da sociedade da
informao ou mediante outra declarao ou conduta que indique claramente nesse contexto que aceita o
tratamento proposto dos seus dados pessoais, ambos do RGPD.
110
seguintes: (1) capacidade de demonstrao de que o titular dos dados consentiu no seu
tratamento, (2) os requisitos para apagamento dos dados (o RGPD refere que dever ser to
fcil para os titulares dar como retirar o consentimento, isto uma forma que o titular tem de
poder controlar em todas as fases o tratamento dos seus dados), (3) os titulares consentem no
tratamento dos dados mas tambm tem um direito portabilidade, ou seja o responsvel deve
ter a capacidade de extrair os dados para transferi-los caso seja solicitado, (4) tendo em conta
os elementos da definio do consentimento, o responsvel pelo tratamento enfrenta o risco
de invalidade de polticas de privacidade e condies de utilizao demasiado extensas e
complexas.
As alternativas ao consentimento, para a legitimidade do tratamento dos dados, esto
taxativamente previstas nas al) b) a f), do n. 1, do art. 6, do RGPD, que se transcrevem:
1. O tratamento for necessrio para a execuo de um contrato no qual o titular dos dados
parte, ou para diligncias pr-contratuais a pedido do titular dos dados;
2. O tratamento for necessrio para o cumprimento de uma obrigao jurdica a que o
responsvel pelo tratamento esteja sujeito;
3. O tratamento for necessrio para a defesa de interesses vitais do titular dos dados ou de
outra pessoa singular;
4. O tratamento for necessrio ao exerccio de funes de interesse pblico ou ao exerccio
da autoridade pblica de que est investido o responsvel pelo tratamento;
5. O tratamento for necessrio para efeito dos interesses legtimos prosseguidos pelo
responsvel pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou
direitos e liberdades fundamentais do titular que exijam a proteo dos dados pessoais,
em especial se o titular for uma criana. O primeiro pargrafo no se aplica ao tratamento
de dados efetuado por autoridades pblicas na prossecuo das suas atribuies por via
eletrnica.
111
CAPTULO IX AS REGRAS ESPECFICAS DO TRATAMENTO DE DADOS
PESSOAIS PARA MARKETING
3-9. As regras especficas do tratamento de dados pessoais para marketing

Com a evoluo da tecnologia surgiram novas prticas de marketing recorrendo promoo
comercial e distintas formas de publicidade incorporadas em objetos inteligentes interligados
na IdC. As comunicaes so cada vez mais automatizadas, sofisticadas e direcionadas de
acordo com os padres de comportamento previamente rastreados. A par da L n. 6/99, de
27/01, que regula a publicidade domiciliria, a L n 41/2004, de 18/08, aplica-se ao tratamento
de dados pessoais no contexto da prestao de servios de comunicaes eletrnicas
acessveis ao pblico em redes de comunicaes pblicas, nomeadamente nas redes pblicas
de comunicaes que sirvam de suporte a dispositivos de recolha de dados e de identificao,
especificando e complementando as disposies da LPDP. Assim, a LPDP, que transpe a
Diretiva 95/46/CE, estabelece o regime geral da proteo de dados, sem excluir outros direitos
fundamentais, regula tambm o tratamento dos dados para efeitos de marketing,
independentemente do canal de comunicao utilizado e aplica-se sempre que no exista
norma especial. Tendo em conta o tipo de marketing e o suporte da promoo de bens e
servios, sero considerados os regimes421 seguintes:
1. O direito incondicional de oposio ao marketing direto, concebido para o contexto
tradicional do correio postal e para a publicitao de produtos anlogos, por telefone ou
telecpia, nos termos dos art.s 3 e 4, da L n. 6/99, de 27/01.
2. A exigncia de consentimento no que respeita utilizao de sistemas automatizados de
chamada e comunicao que no dependam da interveno humana (aparelhos de
chamada automtica), de aparelhos de telecpia ou de correio eletrnico, incluindo SMS
(servios de mensagens curtas), EMS (servios de mensagens melhoradas) MMS
(servios de mensagem multimdia) e outros tipos de aplicaes similares, nos termos do
n. 1, do art. 13-A, da L n. 41/2004, de 18/08.
3. A exigncia de consentimento no que respeita ao armazenamento de informaes e a
possibilidade de acesso informao armazenada no equipamento terminal, nos termos
do art. 5, da L n. 41/2004, de 18/08.
Atualmente encontra-se em discusso a pRPCE, com o objetivo de proporcionar um nvel
elevado de proteo da privacidade aos utilizadores de servios de comunicaes eletrnicas e
421
Seguindo as orientaes GT29 em numerosos pareceres.
112
condies de concorrncia equitativas para todos os intervenientes no mercado () e
garantindo a coerncia com o RGPD422.
3-9.1. O direito incondicional de oposio

A promoo de bens e servios concretizada atravs da publicidade que nas denominadas
economias de mercado livre goza de proteo constitucional, conforme resulta das liberdades
de iniciativa privada, da liberdade de expresso e informao, e da criao cultural, todos
previstos no art.s 61, 37 e 42, da CRP423. Nos termos do n. 2, do art. 60, da CRP, a
publicidade disciplinada por lei, sendo proibidas todas as formas de publicidade oculta,
indireta ou dolosa. A atividade da publicidade e os meios de promoo de bens e servios
esto submetidos a um determinado regime legal em conformidade aos direitos dos
consumidores e titulares dos dados.
Nos termos da al) e) do art. 6, da LPDP e da al) f), do art. 7, da Diretiva 95/46/CE, o
responsvel pelo tratamento ou terceiro a quem os dados sejam comunicados, pode ter um
interesse legtimo no tratamento de dados para promover os bens e servios da sua
organizao, ou seja para fins de marketing direto.
O interesse legtimo est subordinado a um teste de ponderao, realizado a priori, de relao
422
A lex specialis sobre o tratamento de dados est prevista no art. 6 da pRPCE, referindo que os fornecedores
de redes e de servios de comunicaes eletrnicas podem tratar dados de comunicaes eletrnicas: (a) se for
necessrio para assegurar a transmisso da comunicao, se for necessrio para manter ou restabelecer a
segurana das redes e servios de comunicaes eletrnicas, e ainda, para detetar falhas tcnicas e/ou erros na
transmisso das comunicaes eletrnicas, durante o perodo necessrio para esse efeito; (b) exclusivamente para
efeitos da prestao de um servio especfico a um utilizador final, se tiver dado o seu consentimento para o
tratamento do contedo das suas comunicaes eletrnicas e a prestao desse servio no puder ser efetuada
sem o tratamento desse contedo; ou se todos os utilizadores finais em causa tiverem dado o seu consentimento
para o tratamento do contedo das suas comunicaes eletrnicas para uma ou mais finalidades especficas que
no possam ser atingidas atravs do tratamento de informaes tornadas annimas e o fornecedor tiver
consultado a autoridade de controlo, segundo as regras previstas no RGPD; e (c) o tratamento dos metadados
pode ser efetuado se for necessrio para cumprir as obrigaes em matria de qualidade do servio, proceder
faturao, calcular o pagamento das interligaes, detetar ou impedir a utilizao abusiva ou fraudulenta de
servios de comunicaes eletrnicas ou a subscrio desses servios, e ainda, se o utilizador final em causa tiver
consentido o tratamento dos metadados das suas comunicaes para uma ou vrias finalidades especficas, desde
que a finalidade ou finalidades em causa no possam ser atingidas atravs do tratamento de informaes tornadas
annimas. O ac. do TC, n 403/2015 de 27/08/2015, pronunciou-se sobre uma questo colocada sobre o
tratamento e acesso aos metadados dos utilizadores dos servios de telecomunicaes, em sede de fiscalizao
preventiva da constitucionalidade do Decreto n. 426/XII da AR, que aprova o Regime Jurdico do Sistema de
Informaes da Repblica Portuguesa, declarando inconstitucional o n. 2, do art. 78, dado que o acesso aos
metadados previsto (fonte, destino, data, hora, durao, tipo de comunicao, equipamento de telecomunicaes,
localizao) configura uma ingerncia nas telecomunicaes e no oferece garantias suficientes de salvaguarda
de direitos fundamentais, como a vida privada (v. COMISSO - Proposta de Regulamento Do Parlamento
Europeu e do Conselho relativo ao respeito pela vida privada e proteo dos dados pessoais nas comunicaes
eletrnicas e que revoga a Diretiva 2002/58/CE (Regulamento relativo privacidade e s comunicaes
eletrnicas) [Em linha]. COM(2017) 10 final 2017/0003 (COD), Bruxelas, (10/01/2017) [Consult. 1 fev. 2017].
Disponvel em WWW <http://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:52017PC0010
&from=EN>)
423
V. CANOTILHO, MOREIRA, cit. 179, p. 787-797, 569-576 e 618-623.
113
entre os interesses legtimos do responsvel pelo tratamento e aos interesses ou aos direitos
fundamentais das pessoas em causa, cujos fatores devem ser flexveis para atingir um justo
equilbrio na avaliao final, nomeadamente: (1) a natureza e a origem do interesse legtimo;
(2) os impactos nas pessoas em causa - por exemplo, a forma como os dados so tratados, as
expectativas razoveis do titular, o estatuto do responsvel pelo tratamento dos dados e da
pessoa em causa; e (3) outras garantias complementares para evitar um impacto indevido nas
pessoas em causa - a minimizao dos dados, medidas tcnicas e organizativas para assegurar
que os dados no possam ser utilizados para tomar decises ou outras medidas em relao s
pessoas, e medidas complementares para aumentar a transparncia e a responsabilidade424. O
conceito de interesse legtimo deve estar contextualizado, ser real e atual. O responsvel pelo
tratamento deve justificar o interesse legtimo para o tratamento de dados sem descurar o
cumprimento das demais normas previstas na LPDP, e nomeadamente, os princpios do
tratamento425.
3-9.1.1. O caso da publicidade domiciliria

O direito incondicional de oposio ao marketing direto est, atualmente e essencialmente,
dirigido ao contexto tradicional do correio postal e publicitao de forma anloga, nos termos
dos art.s 3 e 4, da L n. 6/99, de 27/01, consagrando-se um sistema de opo negativa ou de
opt-out, pelo que a publicidade entregue no domiclio do destinatrio 426 deve ser identificvel
exteriormente de forma clara e inequvoca, contendo, designadamente, a identificao do
424
GT29, cit. 399.
425
Ilustramos o tratamento de dados com fundamento num interesse legtimo previsto na al) e) do art. 6, da
LPDP e da al) f), do art. 7, da Diretiva 95/46/CE com o seguinte exemplo: A Ordem dos Advogados, ao
recolher os dados pessoais de advogados e de advogados estagirios para efeitos de inscrio e para outros
efeitos internos - comunicaes, notificaes, efeitos disciplinares, etc. - ao proceder ao seu tratamento
informatizado, em momento algum acautela a possibilidade ou faculdade de os transmitir a terceiros mediante a
obteno de autorizao dos interessados. Numa questo suscitada ao Conselho Geral da Ordem dos Advogados,
a propsito da cedncia e utilizao de ficheiros de dados pessoais de advogados e advogados estagirios
Universidade Catlica do Porto dando notcia de especializaes do MBA, foi considerado que se enquadrava
num servio de divulgao de assuntos de interesse para o exerccio da atividade profissional e formao dos
advogados e advogados estagirios e, como tal, inserir-se-ia na prossecuo de interesses legtimos tanto do
Conselho Distrital como da Universidade Catlica, e ainda que: (1) os dados pessoais comunicados eram comuns
ou neutros - ou seja eram aqueles dados facilmente acessveis por simples consulta de outros meios ao dispor do
pblico em geral - a terceira entidade, no coloca em crise nem os interesses, nem os direitos, nem as liberdades
e garantias dos titulares dos dados; (2) a cedncia das etiquetas, com os dados das pessoas em causa, a terceiro
foi para uma finalidade concreta, precisa, individual e para uma nica vez; (3) trata-se de um procedimento
comum de cedncia de dados entre instituies do ensino superior e portanto expectvel por parte dos titulares
dos dados; e (4) o exerccio do direito de oposio estava acautelado (v. ORDEM DOS ADVOGADOS
PORTUGUESES - Parecer n. E-30/03, de 22/09/2003 [Em linha]. [Consult. 10 Nov. 2016]. Disponvel em
WWW <https://www.oa.pt/Conteudos/ Pareceres/detalhe_parecer.aspx?idc=5&idsc=158&ida=39887>).
426
O n. 1, do art. 23., do Cdigo da Publicidade, define publicidade domiciliria como a publicidade entregue
no domiclio do destinatrio, por correspondncia ou qualquer outro meio (entende-se a distribuio direta nas
caixas de correio, como por exemplo, panfletos, catlogos, jornais publicitrios, etc.)
114
anunciante e do tipo de bem ou servio publicitado, nos termos do art. 2, da L n. 6/99, de
27/01 (3-7.2.1.). O direito incondicional de oposio ao marketing direto est, igualmente,
previsto na al) b), do art. 12, da LPDP e da al) b), do art. 14, da diretiva 95/46/CE, e
exercido a pedido do titular dos dados sem custos, diferenciando-se no modo de execuo
consoante a publicidade domiciliria seja no endereada ou endereada.
A distribuio de publicidade no endereada proibida sempre que a oposio do
destinatrio seja reconhecvel no ato de entrega, nomeadamente atravs da afixao, de forma
visvel, no local destinado receo de correspondncia, de dstico apropriado contendo
mensagem clara e inequvoca nesse sentido (art. 3, da L n. 6/99, de 27/01). O envio de
publicidade endereada proibido, por via postal ou por distribuio direta, quando o
destinatrio tenha expressamente manifestado o desejo de no receber material publicitrio
(n. 1, do art. 4, da L n. 6/99, de 27/01). Os responsveis pelo tratamento de dados que
promovam o envio de publicidade para o domiclio mantero, por si ou por organismos que as
representem, uma lista (3-5.2.6.) das pessoas que manifestaram o desejo de no receber
publicidade endereada. Os titulares de listas de endereos utilizadas para efeitos de
marketing direto devem mant-las atualizadas, eliminando trimestralmente os nomes
constantes da lista referida no nmero anterior (n.s 3 e 5, do art. 4, da L n. 6/99, de
27/01)427.
O responsvel do tratamento no contexto da execuo de um contrato em que o titular dos
dados seja parte ou de diligncias prvias formao do contrato ou declarao da vontade
negocial efetuadas a pedido deste, utilizar as respetivas coordenadas eletrnicas de contacto,
para fins de marketing direto dos seus prprios produtos ou servios anlogos428 aos
427
Ainda que a reflexo da presente dissertao incida sobre as pessoas singulares note-se que o regime do
direito oposio sem necessidade de fundamento se aplica s pessoas coletivas. Na verdade, o n. 3, do art.
13-A, da L n. 41/2004, de 18/08, prev que o fornecedor de determinado produto ou servio que tenha obtido
dos seus clientes, e desde que sejam pessoas coletivas, nos termos da LPDP, no contexto da venda de um
produto ou servio, as respetivas coordenadas eletrnicas de contacto, pode utiliz-las para fins de marketing
direto dos seus prprios produtos ou servios anlogos aos transacionados, desde que garanta aos clientes em
causa, clara e explicitamente, a possibilidade de recusarem, de forma gratuita e fcil, a utilizao de tais
coordenadas no momento da respetiva recolha e por ocasio de cada mensagem, quando o cliente no tenha
recusado inicialmente essa utilizao.
428
A exceo para alm de se restringir aos clientes, limita a comercializao de produtos e servios anlogos,
isto , na perspetiva do destinatrio expectvel que recebe informao sobre os produtos estritamente
comercializados pela organizao responsvel pelo tratamento de dados. Parece expectvel que no sejam
apenas os produtos e servios por si criados e produzidos mas tambm outros desde que prossigam o objeto
social do operador econmico. O Cdigo de Conduta Europeu da FEDMA relativo ao uso de dados pessoais no
marketing direto, estabelece uma exigncia adicional de que o cliente deve ser informado pelo responsvel do
tratamento de dados sobre o que entende por servios anlogos (v. GT29 - Parecer 4/2010 sobre o cdigo de
conduta europeu da FEDMA relativo ao uso de dados pessoais no marketing direto [Em linha]. 00065/2010/PT
WP 174. Brussels (Belgium), (13/07/2010). [Consult. 12 dez. 2014]. Disponvel em WWW <http://ec.europa.
eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2010/wp174_pt.pdf >.
115
transacionados, desde que, clara e explicitamente, a possibilidade de recusarem, de forma
gratuita e fcil, a utilizao de tais coordenadas no momento da recolha e por ocasio de cada
mensagem, quando no tenha recusado inicialmente essa utilizao (al) a), do art. 6, da
LPDP e al) b), do art. 7, da Diretiva 95/46/CE, conjugados com o n. 3, do art. 13-A, da L
n. L n. 41/2004, de 18/08 e n. 2, do art. 13, da Diretiva 2002/58/CE). A comunicao
comercial para a promoo de bens e servios expectvel por parte do titular dos dados bem
como razovel permitir a utilizao de coordenadas eletrnicas do contacto
(Considerando 41, da Diretiva 2002/58/CE) por parte da mesma empresa que obteve os
elementos da comunicao junto do cliente em conformidade com a LPDP e a Diretiva
95/46/CE.
3-9.1.2. O caso do telemarketing

O n. 1, do art. 5, da L n. 6/99, de 27/0, estabelece a proibio da publicidade por telefone,
com utilizao de sistemas automticos com mensagens vocais pr-gravadas, e a publicidade
por telecpia, salvo quando o destinatrio a autorize antes do estabelecimento da
comunicao, que deve ser conjugado com o art. 13-A, da L n. 41/2004, de 18/08.
A receo de publicidade por telefone e telecpia pode causar problemas e transtornos com a
ocupao das linhas que suportam este meio de comunicao, destinados a outros fins, quer
pessoais quer profissionais, podendo ter custos. Os destinatrios que no desejem receber
publicidade por telefone e telecpia podem inscrever o nmero de telefone de assinante de
que so titulares numa lista prpria (3-5.2.6.).
Sendo a tcnica de telemarketing mais intrusiva na privacidade dos destinatrios a sua
disciplina mais rigorosa, assim, nos termos do DL n. 134/2009, de 02/06429:
a) As chamadas telefnicas dirigidas aos consumidores ou aos utentes devem ser efetuadas
num horrio que respeite os perodos de descanso em uso e nunca antes das 9 horas nem
depois das 22 horas do fuso horrio do consumidor ou dos utentes; o operador que efetue
a chamada deve identificar-se imediatamente aps o atendimento, bem como ao
profissional em nome do qual atua e a finalidade do contacto; a prestao de informao
obedece aos princpios da legalidade, boa-f, transparncia, eficincia, eficcia,
celeridade e cordialidade.
b) Quando o destinatrio manifeste ou expresse a vontade de no prosseguir a chamada, esta
429
DL n. 134/2009, de 02/06, estabelece o regime jurdico aplicvel prestao de servios de promoo,
informao e apoio aos consumidores e utentes atravs de centros telefnicos de relacionamento (call centers),
entrou em vigor no continente a 29/11/2009, tendo sido alterado pelo DL n. 72-A/2010, de 18 de Junho que
estabelece as normas de execuo do Oramento do Estado para 2010.
116
deve ser desligada com urbanidade.
3-9.1.3. O caso do telemarketing na pRPCE

A pRPCE, refora a proteo contra comunicaes no solicitadas atravs das tcnicas de
telemarketing ao prever expressamente, nos n.s 3 e 4, do art. 16, que as pessoas singulares
ou coletivas que utilizam servios de comunicaes eletrnicas para efetuarem chamadas de
marketing direto devem obter o consentimento prvio dos utilizadores finais, e ainda,
apresentar a identificao de uma linha na qual podem ser contactados, ou um cdigo ou
prefixo de identificao especfico que indique que se trata de uma chamada comercial e a
possibilidade de bloquear as chamadas de nmeros indesejados, sem prejuzo dos Estados-
Membros preverem atravs de medidas legislativas, que a realizao de chamadas vocais de
marketing direto para utilizadores finais que sejam pessoas singulares s possa ser permitida
em relao aos utilizadores finais que sejam pessoas singulares que no tenham manifestado a
sua objeo a receber essas comunicaes.
3-9.2. As comunicaes no solicitadas

O art. 7, da Diretiva 2000/31/CE, na redao original, estabeleceu que os Estados-Membros
que permitam a comunicao comercial no solicitada430 por correio eletrnico deveriam
tomar medidas e garantir a consulta regular das listas de excluso voluntria ou registo de
opo negativa ou opt-out, situao que foi alterada com a Diretiva 2002/58/CE prevendo-
430
A Internet introduziu na linguagem novos termos e deu novos significados a algumas palavras antigas. Os
lexicgrafos do ciberespao adotaram a palavra spam para fazer meno ao envio de mensagens comerciais
indesejadas pelo correio eletrnico, e que originalmente, referindo-se a uma marca de carne enlatada. O termo
spam no um termo legal e invariavelmente denominado como correio no solicitado (junk-mail), correio em
massa (bulk-mail) ou correio comercial no solicitado, desde que cumpra trs critrios: no ser solicitado pelo
destinatrio, ter natureza comercial e ser enviado em massa, o que cria problemas quanto ao conceito, desde logo
quantas comunicaes configura o conceito de envio em massa (v. HUH, Soon Chul - Invasion of privacy v.
Commercial speech: Regulation of spam with a comparative constitutional point of view. [Em linha]. Albany
Law Review, Vol. 70, n. 1, 2006, p. 181-207. [Consult. 12 out. 2015]. Disponvel em WWW <http://www.
albanylaw review.org/Articles/Vol70_1/70.2.0181>). Na EU, o termo spam utilizado para referir-se s
comunicaes no solicitadas embora no exista uma definio comum cujo fenmeno ocorre em distintos
pases. O spam comummente pensado em termos de correio eletrnico, no entanto, uma variedade de
mensagens em vrios suportes tecnolgicos, podem estar sujeitas aos mesmos fins do correio eletrnico quando
se trata de spam, pelo que necessrio uma abordagem convergente criao de novos meios de comunicao e
mudana de forma dos j existentes, incluindo-se assim para alm do correio eletrnico, SMS, MMS, EMS, fax
smile, seria de incluir o Bluetooth, Wireless, etc. (OECD, cit. 317). A doutrina utiliza as siglas UCE (unsolicited
commercial e-mail) para indicar o spam de teor comercial e UBE (unsolicited bulk e-mail) para referir o spam
como as mensagens sem a prvia solicitao ou consentimento do seu destinatrio, enviadas de modo massivo,
independentemente do seu carter comercial ou no comercial (V. SORKIN, David E. - Technical and Legal
Approaches to Unsolicited Electronic Mail. In University of San Francisco Law Review [Em linha]. Vol. 35, n.
2, [Winter 2001] p. 325-384 [Consult. 14 Fev. 2017]. Disponvel em WWW: <http://www.spamlaws.
com/f/articles /usf.pdf>; Parecer da CNPD, n 13/2003, de 03/06 [Em linha]. [Consult. 24 mar. 2015].
Disponvel em WWW <https://www.cnpd.pt/bin/decisoes/Par/40_13_2003.pdf> e GT29, cit. 316.
117
se o regime oposto, ou seja o sistema de opo positiva ou opt-in como regra geral431. No
direito nacional as comunicaes no solicitadas eram reguladas pelo art. 22, do DL
7/2004/2004, de 07/01; atualmente com as alteraes introduzidas pela L n. 46/2012, de
29/08, o regime das comunicaes no solicitadas passou a estar previsto na L n. 41/2004, de
18/08.
O envio de comunicaes no solicitadas para fins de marketing direto por correio eletrnico,
atravs de sistemas automatizados de chamada e comunicao que no dependam da
interveno humana (aparelhos de chamada automtica), nos termos do n. 1, do art. 13-A,
da L n. 41/2004, de 18/08, est sujeito ao consentimento prvio expresso do titular dos dados.
Os critrios para determinar a validade do consentimento so os estabelecidos na al) h) do
art. 2 e al) a) do art. 7, da Diretiva 95/46/CE e da al) h), do art. 3 e promio do art. 6, da
LPDP para dar incio ao tratamento dos dados (3-8.1.). Reitera-se que o consentimento
baseado na omisso ou no silncio no consubstancia um consentimento vlido na medida em
que deve existir um ato positivo que signifique que a aceitao do consentimento foi obtida,
podendo ser revogado a todo o tempo (3-8.1.2.).
A definio de correio eletrnico como qualquer mensagem textual, vocal, sonora ou grfica
enviada atravs de uma rede pblica de comunicaes que possa ser armazenada na rede ou
no equipamento terminal do destinatrio at que este a recolha, est plasmada na al) b), n. 1,
do art. 2, da L n. 41/2004, de 18/08 e al) h) do art. 2, da Diretiva 2002/58/CE, e tem um
sentido lato e pretende ser neutra no plano tecnolgico432, pelo que os sistemas
automatizados de chamada e comunicao que no dependam da interveno humana
(aparelhos de chamada automtica), de aparelhos de telecpia ou de correio eletrnico, so
exemplificativos: SMPT (simple mail transport protocol, o designado correio eletrnico
clssico) SMS (servios de mensagens curtas), EMS (servios de mensagens melhoradas)
MMS (servios de mensagem multimdia), mensagens deixadas em atendedores de
chamadas, comunicaes enviadas pela internet transmitidas diretamente por um IP, boletins
informativos e outros tipos de aplicaes similares utilizadas ou que venham a ser
431
O sistema de opt-in da Diretiva 2002/58/CE foi suavizado com excees o que foi denominado pela doutrina
de sistema "opt-in modificado" ou simplesmente "soft opt-in", assim conjugando as disposies do ecossistema
legal da proteo de dados, destaca-se a exceo prevista na al) a), do art. 6, da LPDP e al) b), do art. 7, da
Diretiva 95/46/CE, e o n. 3, do art. 13-A, da L n. L n. 41/2004, de 18/08 e n. 2, do art. 13, da Diretiva
2002/58/CE, que legitima o interesse dos operadores econmicos em continuar a manter contactos de natureza
ante ou ps-contratual para fins de marketing, presumindo-se o interesse do cliente (v. MAGEE, John - The Law
Regulating Unsolicited Commercial E-Mail: An International Perspective. In Santa Clara High Technology Law
Journal [Em linha]. Vol. 19, n. 2, (2002). [Consult. 19 jan. 2016]. Disponvel em WWW <http://digital
commons.law.scu.edu/cgi/viewcontent.cgi?article=1322&context=chtlj>).
432
V. GT29, cit. 397, p. 4.
118
utilizadas433.
A obteno do consentimento prvio no isenta o responsvel pelo tratamento das obrigaes
previstas na LPDP, nomeadamente, quanto ao respeito dos princpios no tratamento dos
dados. As organizaes que adquiram ficheiros de dados pessoais com endereos de correio
eletrnico434 (2-4.1.) devem certificar-se que foram tratados em conformidade com os
princpios e condies de legitimidade do tratamento de dados. Refira-se que o art. 8, do DL
n. 24/2014, de 14/08, que transpe a Diretiva n. 2011/83/UE, relativa aos direitos dos
consumidores, contratos a distncia, ao domiclio e equiparados e vendas automticas e as
vendas especiais espordicas, com o fim de promover a transparncia das prticas comerciais
e salvaguardar os interesses legtimos dos consumidores, exige o consentimento prvio
expresso do consumidor nos termos da L n. 41/2007, de 07/0, para o envio de comunicaes
no solicitadas atravs da utilizao de tcnicas de comunicao distncia.
As comunicaes no solicitadas so de divulgao rpida e com um custo muito reduzido e
por isso uma fonte de grandes vantagens econmicas. Assim, e com o fim de acautelar o
recurso violao dos sistemas de segurana e filtragem por parte das organizaes para
garantir a sua distribuio, o legislador entendeu proibir o envio de correio eletrnico para
fins de marketing direto, em caso de ocultao ou dissimulao da identidade da pessoa em
nome de quem efetuada a comunicao, em violao do art. 21. do DL n. 7/2004, de
07/01, e sem a indicao de um meio de contacto vlido para o qual o destinatrio possa
exercer o seu direito de oposio (n. 4, do art. 13-A, da L n. 41/2004, de 18/08). A
disposio vem reforar o dever de informao do responsvel pelo tratamento, previsto no
art. 10, da LPDP (3-7.2.1.)
O envio de comunicaes no solicitadas sujeito ao consentimento prvio dos titulares dos
dados e destinatrios das mesmas - um obstculo435 invaso da privacidade436 e
433
A OCDE acrescenta outros exemplos: bluetooth e wireless communication (OECD, cit. 317). Em sentido
contrrio, a COMISSO entende que o Bluetooth no integra a definio de correio eletrnico dado que as
mensagens enviadas via Bluetooth no podem ser armazenadas no equipamento terminal do destinatrio at que
sejam recolhidas pelo destinatrio (v. COMISSO, cit. 422).
434
Os endereos de correio eletrnico so dados pessoais (2-4.1.).
435
Outra forma utilizada para combater as comunicaes no solicitadas a criao de cdigos e regras de
conduta, muito promovido pelas normas que regulam a proteo de dados pessoais (art. 32, da LPDP e art.
42, da L n. 7/2004, de 07/01) Os Cdigos de Conduta constituem uma forma de autorregulao que incluem as
melhores prticas do setor em que se inserem, quanto ao comportamento dos operadores econmicos e da
proteo dos consumidores, que tomaram como modelo as diretrizes da OCDE. O Cdigo FEDMA relativo ao
uso de dados pessoais em operaes de marketing direto foi submetido opinio do GT29 (v. GT29, cit. 343) e o
Cdigo de Conduta das Empresas de Marketing Direto foi submetido pela AMD apreciao da CNPD (Parecer
da CNPD, n 44/2003, de 11/11 [Em linha]. [Consult. 24 mar. 2015]. Disponvel em WWW <https://www.cnpd.
pt/bin/decisoes/Par/40_44_2003.pdf>). Os cdigos de conduta costumam utilizar-se com selos de confiana
como o Selo Europeu de Privacidade ou EuroPriSE.
436
Nos EUA, esta questo, tambm, tem merecido, h muito tempo, a ateno dos tribunais: no caso de Rowan v.
119
violao do direito proteo de dados437. Na verdade, o destinatrio das referidas
comunicaes considera-as lixo informtico, que invariavelmente bloqueiam a caixa de
correio eletrnico, devido dimenso ou quantidade, com consequncias negativas
econmicas para as pessoas em causa que utilizem o correio eletrnico pessoal ou o correio
eletrnico facilitado pela entidade patronal438. O excesso de comunicaes pode dar origem a
custos elevados com o aumento de largura de banda e espao disponibilizado, para manter a
velocidade de acesso adequados, acrescendo ainda que nos locais de trabalho necessrio
implantar sistemas e mecanismos de filtros anti-spam para minimizar os prejuzos, tudo aliado
comprovada baixa de produtividade, desconcentrao e tempo despendido com tarefas de
eliminao de mensagens publicitrias439.
3-9.2.1. As comunicaes no solicitadas na pRPCE

A pRPCE, em discusso, vem alargar o mbito da proteo do direito privacidade e do
direito proteo dos dados pessoais como incorpora nas normas e conceitos que a
interpretao jurisprudencial e doutrinria foi estabelecendo, e ainda as boas prticas aceites
pelas organizaes. Assim e com interesse:
a) Maior abrangncia dos direitos dos titulares dos dados em relao proteo prevista no
n. 1, do art. 13, da Diretiva 2002/58/CE, com o fim de abarcar no s os assinantes,
mas tambm os utilizadores dos servios de telecomunicaes sem diferenciar as pessoas
singulares das coletivas440.
United States Post Office Department, 397 US 728, de 04/05/1970, o Supremo Tribunal decidiu que um
destinatrio de correio postal tem o poder discricionrio de decidir quer receber correio de um determinado
remetente - admitiu que havia um direito individual a ser deixado sozinho, ou o direito privacidade sobre o
correio indesejado, e em consequncia o direito fundamental comunicao deve parar na caixa de correio de
um destinatrio no recetivo. O acrdo pode ser consultado aqui <https://www.law.cornell.edu/supremecourt/
ext/397/728>.
437
A CNPD e a ANACOM so as entidades responsveis pela superviso e fiscalizao do cumprimento das
regras aplicveis ao envio de comunicaes eletrnicas no solicitadas. O envio de comunicaes no solicitadas
contrrio s normas previstas constitui uma contraordenao punvel com a coima mnima de 1.500,00 e
mxima de 25.000,00 quando praticada por pessoas singulares, e com coima mnima de 5.000, 00 e mxima
de 5.000.000,00, quando praticada por pessoas coletivas. A prtica de envio de comunicaes no solicitadas
pode constituir vrios tipos de ilcitos autnomos, nomeadamente a violao da proteo de dados pessoais
(LPDP) e a publicidade enganosa (Cdigo da Publicidade).
438
As pessoas singulares que recebam comunicaes no solicitadas e ainda que utilizem o endereo de correio
eletrnico disponibilizado pela entidade laboral, continuam protegidas pelas LPDP e L n. 41/2004, de 18/08.
439
A receo de contedos embaraosos e obscenos levantaria, ainda, outras questes relacionadas com a tica,
moral e at a possibilidade de configurarem ilcitos penais, como a divulgao de contedos relacionados com a
pornografia infantil. O envio de mensagens pode incluir programas espies ou maliciosos (ou outros meios
fraudulentos) que capturam informao com prejuzos graves para o titular dos dados, que podem ser extensveis
a terceiros.
440
O Considerando 3, da pRPCE, refere expressamente que as suas disposies se aplicam tanto a pessoas
singulares como coletivas, dado que as comunicaes eletrnicas podem tambm revelar informaes sobre
pessoas coletivas, tais como os seus segredos comerciais ou outras informaes sensveis com valor econmico.
120
b) A al) e), do n. 1, do art. 4, da pRPCE define correio eletrnico como qualquer
mensagem eletrnica que contenha informaes sob a forma de texto, voz, vdeo, som ou
imagem, enviada atravs de uma rede de comunicaes eletrnicas, que possa ser
armazenada na rede ou em centros de computao conexos, ou no equipamento terminal
do seu destinatrio de forma a alcanar o maior nmero de possibilidades de
comunicao da sociedade de informao, tendo em conta a velocidade da inovao
tecnolgica. Deixa de fazer sentido a discusso sobre o Bluetooth441, wireless, bloqueio
de anncios (ad blockers) ou a filtragem de anncios (ad filtering)442, NFC e se as
mensagens que so trocadas por todos os tipos de plataformas em linha, como WhatsApp,
Skype, LinkedIn, Facebook Messenger ou Twitter, integram o conceito de correio
eletrnico, uma vez que so enviados atravs de uma rede de comunicaes pblicas443 e
armazenados no servidor do fornecedor de plataforma (o que est na rede).
c) Os art.s 9 e 10, da pRPCE refora o controlo por parte do utilizador final ao esclarecer
que ao consentimento aplicvel a definio e condies previstas no RGPD, podendo
ser expresso atravs de predefinies tcnicas adequadas e serem recordados da
possibilidade de o retirar com intervalos regulares de 6 meses, se tiverem consentido no
tratamento de metadados e enquanto continuar. O consentimento prvio exigido para
todos os tipos de marketing digital, exceto no contexto da venda de um produto ou
servio (art. 16, da pRPCE).
3-9.3. O marketing comportamental em linha

Um dos pilares do marketing a base de dados (3-5.) cujas fontes de recolha dependem da
monitorizao dos utilizadores da internet e da criao de perfis ao longo do tempo, que
mais tarde so utilizados para lhes apresentar anncios baseados nos seus interesses444.
O marketing comportamental em linha445 envolve o rastreamento das atividades que no
441
As mensagens Bluetooth ainda que no pudessem ser qualificadas como correio eletrnico, tem de ser
necessariamente consideradas como enviadas por meio de um sistema de comunicaes automatizado.
442
O bloqueio de anncios ou a filtragem de anncios um tipo de software que pode remover ou alterar o
contedo de publicidade de uma pgina da internet ou de um aplicativo para dispositivos mveis.
443
Conforme o considerando 13, da pRPCE: O facto de os servios de comunicaes eletrnicas sem fios
poderem ser acessrios de outros servios no deve impedir a proteo da confidencialidade dos dados das
comunicaes e a aplicao do presente regulamento. Por conseguinte, o presente regulamento deve aplicar-se
aos dados de comunicaes eletrnicas que utilizam servios de comunicaes eletrnicas e redes de
comunicaes pblicas.
444
GT29 - Parecer 2/2010 sobre publicidade comportamental em linha [Em linha]. 0909/10/PT WP 171.
Brussels (Belgium), (22/06/2010). [Consult. 12 Dez. 2014]. Disponvel em WWW <http://ec.europa.eu/justice/
data-protection/article-29/documentation/opinion-recommendation/files/2010/wp171_pt.pdf>, p. 3.
445
O GT29 utiliza, frequentemente e de forma alternada, os conceitos de publicidade e marketing para os
contextos que resulta difcil diferenciar. Para efeitos do presente texto adapta-se o conceito de marketing no que
121
pessoalmente identificvel no sentido tradicional (endereos, nomes, etc.), ou seja, os
operadores econmicos utilizam software (3-5.1.) e outros dispositivos anlogos para
entrarem nos terminais dos utilizadores sem o seu conhecimento a fim de obter acesso a
informaes para enviar-lhes publicidade personalizada, constituindo uma grave intruso na
privacidade desses utilizadores. Contudo, alguns dispositivos como, por exemplo, os
testemunhos de conexo podem ser um instrumento legtimo e til, nomeadamente na anlise
da eficcia da conceo e publicidade do stio web, e para verificar a identidade dos
utilizadores que procedem a transaes em linha (Considerando 25, da diretiva 2002/58/CE).
A estratgia do Mercado nico Digital tem como objetivo aumentar a confiana e a segurana
no comrcio eletrnico que assenta nos servios facilitados pela sociedade de informao, que
passam pelos prestadores de servios da Internet que operam servidores que permitem o
acesso rede, a transmisso de mensagens comerciais, o armazenamento de dados, o correio
eletrnico, os motores de pesquisa, a publicidade, entre outros impossveis de enumerar, no
respeito pelo direito fundamental da liberdade de exerccio (ou da desnecessidade de
autorizao prvia) de atividades econmicas na Internet, da liberdade de comunicao e de
navegao na Internet, articulado com o primado do direito comunitrio na regulao do
mercado interno do comrcio eletrnico, consagrado no DL n. 7/2004, de 07/01, mas sujeitas
aos princpios da transparncia e da privacidade nas comunicaes eletrnicas modelados na
L n. 41/2004, de 18/08.
O princpio da transparncia impe deveres de informao e exigncia do consentimento
informado prvio (3-8.1.) nos termos do art. 5, da L n. 41/2004, de 18/08 e do promio, do
art. 6, da LPDP que transpe o n. 3, do art. 5., da Diretiva 2002/58/CE e al) a), do art. 7,
da Diretiva 95/46/CE), no que respeita instalao de testemunhos de conexo ou de
dispositivos anlogos no equipamento terminal dos utilizadores com o objetivo de recolher os
dados, tendo em conta o seu elevado grau de intruso na privacidade das pessoas. Os restantes
princpios e condies do tratamento de dados previstos na LPDP e na Diretiva 95/46/CE so
aplicveis como referido o n. 2, do art. 1, da L DL n. 7/2004, de 07/01, esta aplica-se ao
for possvel. O GT29 classifica os diferentes mtodos para criar anncios em linha em: (1) publicidade
comportamental que tem por base a observao do comportamento das pessoas ao longo do tempo, procurando
estudar as caractersticas deste comportamento atravs das suas aes (vrias visitas ao mesmo stio Web,
interaes, palavras-chave, produo de contedo em linha, etc.), com vista a criar um perfil especfico e, deste
modo, apresentar-lhes anncios que correspondem aos interesses implcitos no seu comportamento; (2)
publicidade contextual que constituda por anncios selecionados com base no contedo que a pessoa em
causa est a visualizar naquele momento. No caso de um motor de pesquisa, o contedo pode ser inferido a partir
das palavras-chave utilizadas na pesquisa, a interrogao anterior ou o endereo IP do utilizador caso indique a
sua provvel localizao geogrfica; e (3) publicidade selecionada com base em caractersticas conhecidas da
pessoa em causa (idade, sexo, localizao, etc.), que esta forneceu na fase de registo (GT29, cit. 441, p. 5).
122
tratamento de dados pessoais no contexto da prestao de servios de comunicaes
eletrnicas acessveis ao pblico em redes de comunicaes pblicas, nomeadamente nas
redes pblicas de comunicaes que sirvam de suporte a dispositivos de recolha de dados e de
identificao, especificando e complementando as disposies da LPDP446.
O sistema legal da proteo de dados no se refere expressamente aos testemunhos de
conexo mas sim s tecnologias de recolha e reteno de dados. Contudo, as preocupaes,
tanto a nvel do direito da UE como do direito interno, tm sido centradas nos testemunhos (3-
9.3.1.), nos motores de pesquisa (3-9.3.2.), nas redes sociais (3-9.3.3.) e na IdC (3-9.3.4.). A
inquietao maior quando os utilizadores que aderem a servios em linha gratuitos fornecem
os seus dados pessoais para utilizao posterior como moeda de troca, sem existir uma verso
alternativa configurando um desequilbrio na prestao do consentimento que afeta a
liberdade de escolha e, portanto, dificilmente o consentimento poder ser considerado livre.
3-9.3.1. Os testemunhos de conexo

O responsvel pelo tratamento deve ter em conta as especificidades do ambiente virtual para
obter o consentimento dos utilizadores para o tratamento dos dados, pois, implica programas
de navegao e aplicaes pr-configurados de informao (3-7.3.) com vista aceitao ou
recusa dos testemunhos de conexo (3-8.1.).
O consentimento no necessrio em relao a todos os tipos de testemunhos de conexo,
tendo em conta as finalidades, utilizao e os objetivos associados aos mesmos, conforme
melhor regulado no n. 2, do art. 5, da L n. 41/2004, de 18/08 e no n. 3, do art. 5, da
Diretiva 2002/58/CE. Assim, excecionado o armazenamento tcnico ou o acesso que tenha
como nica finalidade efetuar a transmisso de uma comunicao atravs de uma rede de
comunicaes eletrnicas, ou que seja estritamente necessrio ao fornecedor para fornecer um
servio da sociedade da informao solicitado expressamente pelo assinante ou pelo
utilizador.
De acordo o GT29, os testemunhos de conexo447 podem ser classificados em testemunhos de
446
No mesmo sentido o Considerando 10, da Diretiva 95/46/CE, refere que no setor das comunicaes
eletrnicas, aplicvel a Diretiva 95/46/CE, especialmente no que se refere a todas as questes relacionadas com
a proteo dos direitos e liberdades fundamentais no abrangidos especificamente pelas disposies da presente
diretiva, incluindo as obrigaes que incumbem entidade que exerce o controlo e os direitos das pessoas
singulares.
447
Um testemunho de conexo um pequeno ficheiro de texto que uma pgina da internet instala no computador
ou dispositivo mvel quando o visita. Estes ficheiros permitem que durante um certo perodo de tempo pgina da
internet se lembre das aes e preferncias, nomeadamente do nome de utilizador, das palavras-chave gravadas,
de cliques, do idioma, das compras, das pginas visualizadas, etc.
123
sesso448 ou persistentes449 e testemunhos de terceiros450. Tendo em conta a anlise de cada
testemunho de conexo e as excees supra referidas, esto isentos de consentimento: os
testemunhos alimentados pelo utilizador451, os testemunhos de autenticao452, os
testemunhos de segurana centrados no utilizador453, os testemunhos de sesso criados por um
leitor multimdia454, os testemunhos de sesso para equilibrar a carga455, os testemunhos de
personalizao da interface do utilizador456 e os testemunhos relativos a mdulos de extenso
para partilha de contedos em redes sociais457. Os testemunhos de conexo que carecem do
consentimento do utilizador so, essencialmente: (1) os testemunhos de extenso de redes
sociais, para seguimento458, dado que permitem o rastreio dos utilizadores, membros e no
membros da rede dos utilizadores, para fins publicitrios, anlise e estudos de mercado; (2) os
testemunhos de terceiros459 que utilizam os identificadores nicos dos utilizadores, para envio
de publicidade aps anlise do seu comportamento em linha; e (3) os testemunhos de analtica
de origem460, para a medio estatstica de audincia das pginas de internet visitadas pelos
utilizadores, por exemplo, a medio de visitantes nicos, a pesquisa por palavras-chave,
nmero de visualizaes, data de consulta, nmero de horas de visualizao de documentos,
448
Um testemunho de sesso aquele que automaticamente suprimido quando o utilizador encerra o seu
programa de navegao (GT29 - Parecer 4/2012 sobre a iseno de consentimento para a utilizao de
testemunhos de conexo [Em linha]. 00879/12/PT WP 194. Brussels (Belgium), (07/06/2012). [Consult. 12 dez.
2014]. Disponvel em WWW <http://ec.europa.eu/ justice/data-protection/article-29/documentation/opinion-
recommendation/files/2012 /wp194_pt.pdf>, p. 4).
449
Um testemunho persistente aquele que permanece armazenado no equipamento terminal do utilizador at
atingir uma data de expirao definida, que pode ser de minutos, dias ou vrios anos no futuro (GT29, cit. 448,
p. 4).
450
Um testemunho de terceiros refere-se quele que criado pelo responsvel pelo tratamento de dados diferente
daquele que explora o stio Web visitado pelo utilizador (tal como definido pelo URL endereo Internet) que
aparece na barra de endereos do programa de navegao (GT29, cit. 448, p. 4).
451
Esto vinculados a uma ao do utilizador como por exemplo o preenchimento de formulrios ao longo de
uma pgina para realizar uma compra.
452
So utilizados para identificar um utilizador quando se inicia uma sesso e o utilizador que o solicita para
determinados fins, por exemplo a consulta de um saldo bancrio. No devem ser utilizados para finalidades
secundrias sob pena de carecer de consentimento.
453
So utilizados para comprovar a identidade do utilizador para iniciar uma sesso numa determinada pgina e
detetar potenciais tentativas de acesso sem os dados previamente fornecidos so distintos dos testemunhos
relacionados com a segurana das pginas de internet.
454
So aqueles que incorporam dados tcnicos para reproduzir contedos de vdeo ou udio, mais conhecidos
como flash cookies dado que a tecnologia mais utilizada a Adobe Flash e terminam quando a sesso termina.
455
So aqueles que identificam os pedidos do utilizador enquanto dura a sesso e que permite a sua distribuio
sobre os vrios servidores com a nica finalidade efetuar a transmisso de informaes.
456
So aqueles que guardam as preferncias solicitadas pelos utilizadores, por exemplo, de idioma, nmero de
resultados a apresentar por pgina, visualizao de documentos, tamanho de letra, etc.
457
So aqueles que se destinam a partilhar contedos numa plataforma de rede social e no devem ser utilizados
para finalidades secundrias sob pena de carecer de consentimento.
458
Conhecidos sob a sigla inglesa de social plug-in tracking cookies.
459
Conhecidos sob a sigla inglesa de third party advertising.
460
Conhecidos sob a sigla inglesa de third party analytics. O Google Analytics uma aplicao que incorpora
inmeras funcionalidades de medio da audincia das pginas web. O GT29 recomendou que no deveria ser
exigvel o consentimento, tal como a legislao holandesa. Esta posio veio a ser includa na pRPCE (3-9.5.)
124
local de acesso, origem do acesso, etc.
O consentimento dado pelo titular dos dados conforme descrito em 3-8.1. O GT29 com o
objetivo de harmonizar as distintas prticas dos Estados-Membros da EU emitiu um
documento de trabalho para implementar os elementos do consentimento vlido atravs de um
mecanismo que requer aviso imediatamente visvel para concordar e aceitar os testemunhos
de conexo, e outro para recusar os testemunhos e informaes que podem ser prestadas por
meio de hiperligaes461, recorrendo a parmetros adequados do programa de navegao ou
de outra aplicao, de forma to simples quanto possvel462. O responsvel pelo tratamento
deve fornecer as informaes em conformidade com a LPDP e da Diretiva 95/46/CE (3-
7.2.1.), e nomeadamente a existncia e as finalidades do testemunho, a possibilidade de
instalao de testemunhos de terceiros, respetivas finalidades e identidade da entidade
terceira, as condies do tratamento e a durao do testemunho.
3-9.3.2. Os motores de pesquisa

Os motores de pesquisa so programas desenhados para ajudar a encontrar informao na
internet por palavras-chaves fornecidas pelos utilizadores em documentos e bases de dados463.
Os motores de pesquisa tm capacidades de elaborao de perfis de utilizadores baseados em
dados pessoais disponveis em qualquer local da internet e no contexto do comrcio eletrnico
foram classificados como um tipo de servio da sociedade da informao464 (n. 1, do art. 3,
461
GT29 - Working Document 02/2013 providing guidance on obtaining consent for cookies [Em linha].
1676/13/EN, WP 208. Brussels (Belgium), (02/10/2013). [Consult. 12 Dez. 2016]. Disponvel em WWW
_en.pdf>
462
V. Considerando 66, da Diretiva 2009/136/CE, de 25/11.
463
As maiores empresas proprietrias de motores de pesquisa so o Google, o Yahoo, o Bing, o Lycos, o Cad e,
mais recentemente, a Amazon.com com o seu mecanismo de busca A9.
464
O GT29 refere que os motores de pesquisa da Internet so considerados na legislao europeia relativa aos
servios da sociedade da informao, definidos na al) a) do art. 2, da Diretiva 2000/31/CE, que remete para a
Diretiva 98/34/CE, que especifica o conceito de servio da sociedade da informao e que se encontra revogada
pela Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho, de 09/09/2015, relativa a um procedimento
de informao no domnio das regulamentaes tcnicas e das regras relativas aos servios da sociedade da
informao (v. GT29, cit. 189). Ilustra-se o texto com o caso Repubblica Italiana vs Drummond, De Los Reyes e
Fleischer, doTribunale Ordinario Di Milano in composizione monocrtica, Sezione 4 Penale, sentena n.
1972/2010, de 12/04/2010, em que foram condenados trs administradores da Google at seis meses de priso,
por violar a privacidade de uma criana autista. Em maio de 2006, a agresso fsica e a proferio de insultos a
uma criana autista em Turim foi reproduzida em vdeo no Google. Apesar do vdeo ter sido removido duas
horas depois atraiu mais de 5.500 visualizaes e foi classificado como o vdeo mais engraado do Google Itlia,
com base na utilizao de adwords e interrogaes no motor de pesquisa. O Google gera mais receitas com
vdeos populares. O tribunal considerou que o vdeo um servio da sociedade da informao fornecedor e os
administradores eram responsveis pelos requisitos das leis da privacidade teriam de ser condenados com
fundamento no tratamento ilcito dos dados, falta de consentimento dos titulares dos dados e com prejuzos
graves (cf. SARTOR, Giovanni, CUNHA, Mario Viola de Azevedo - The Italian Google-Case: Privacy,
Freedom of Speech and Responsibility of Providers for User-Generated Contents. [Em linha]. In International
Journal of Law and Information Technology, Vol 18, n. 4, Oxford : Oxford University Press, (2010). pp 356-
125
da L n. 7/2004, de 07/01 e al) a) do art. 2, do DL n. 58/2000, de 18/04), ou seja, como
ferramentas de localizao de informao.
Os servios da sociedade da informao desenvolvem uma atividade econmica, prestam
servios que no so remunerados pelo respetivo destinatrio, relacionados com a informao
em linha ou comunicaes comerciais, e ainda fornecem ferramentas de pesquisa, acesso e
descarregamento de dados (Considerando 18 da Diretiva 2000/31/CE). O modelo econmico
dominante dos motores de pesquisa baseado na publicidade.
Os motores de pesquisa registam contedo das interrogaes (data, hora e fonte), endereo IP,
os testemunhos de conexo, a URL de referncia, as preferncias do utilizador e dados
referentes ao computador do utilizador (configurao, o navegador, o sistema operativo, o
idioma, entre outros). Os ficheiros de dados da responsabilidade dos proprietrios dos motores
de pesquisa incluem dados pessoais (2-4), e pese embora o referido no Considerando 2, da
Diretiva 95/46/CE, de que os que os sistemas de tratamento de dados esto ao servio do
Homem e devem respeitar as liberdades e os direitos fundamentais das pessoas singulares
independentemente da sua nacionalidade ou da sua residncia, especialmente a vida privada, e
contribuir para o progresso econmico e social, o desenvolvimento do comrcio e o bem-estar
dos indivduos, a LPDP e as al) a) e c) do n. 1, do art. 4, da Diretiva 95/46/CE, so
aplicveis ao tratamento de dados, ainda que as suas sedes se encontrem localizadas fora do
EEE (2-3.2.). A obteno do consentimento dos utilizadores necessrio para legitimar o
tratamento dos dados recolhidos (3-7. e 3-8.), nomeadamente o endereos IP, recurso a
testemunhos de conexo, as funcionalidades de cache entre outros, com o objetivo de enviar
comunicaes publicitrias (n. 3, do art. 5, e art. 13, da Diretiva 2002/58/CE e art. n. 2,
do art. 5; e art. 13-A, da L n. 41/2004, de 18/08)465.
Os sujeitos que participam nas atividades do marketing comportamental tm distintos
interesses assim como desempenham funes distintas entre si. O GT29 destaca os
fornecedores de redes de publicidade que estabelecem a relao entre editores e anunciantes;
os anunciantes que promovem bens e servios no mercado e os editores que so os
proprietrios das pginas web com espaos para mostrarem os anncios 466. O papel que cada
378 [Consult. 19 set. 2015]. Disponvel em WWW <https://academic.oup.com/ijlit/article/18/4/356/744617/The-

Italian-Google-Case-Privacy-Freedom-of-SpeechThe Italian Google-Case: Privacy, Freedom of Speech and
Responsibility of Providers for User-Generated Contents>ISSN 1464-3693.
465
O GT29, considera que os fornecedores motores de pesquisa no podem invocar a legalidade do tratamento
de dados com fundamento na necessidade de execuo de um contrato (porque no cumprem a limitao estrita
da necessidade) e na necessidade de prosseguir interesses legtimos do responsvel pelo tratamento (porque a
melhoria dos servios e garantir a segurana dos sistemas pode ser realizada sem identificar os utilizadores,
como a preveno de fraude) (v. GT29, cit. 189).
466
GT29, cit. 419.
126
um destes sujeitos desempenha importante porque sendo os responsveis pelo tratamento de
dados, esto sujeitos s normas gerais e especiais relativas ao direito privacidade e
proteo dos dados pessoais, devendo cumprir as condies gerais do tratamento quanto s
finalidades, meios e demais responsabilidades, salientando-se o dever de informao previsto
na LPDP e na Diretiva 95/46/CE (3-7.2.1.) se o testemunho utilizado para criar perfis, que
tipo de informao recolhida para o efeito e se sero utilizados para direcionar publicidade.
3-9.3.3. Os servios de redes sociais em linha

Os SRS podem ser definidos, lacto sensu, como plataformas de comunicao em linha que
permitem a indivduos aderirem a redes de utilizadores com interesses semelhantes ou criarem
redes deste tipo467 e que so, juridicamente, considerados servios da sociedade de
informao. Os SRS podem ser classificados em funo do contexto onde atuam, como, por
exemplo, redes relacionais (Facebook, Twitter, Instagram, Google+, Youtube, MySpace,
Badoo), redes profissionais (Linkedin), redes desportivas (Strava) redes comunitrias, redes
polticas, etc., que permitem analisar a forma como as organizaes e as pessoas desenvolvem
a sua atividade, armazenando dados que analisados so muito teis para a tomada de decises.
Os SRS disponibilizam ferramentas que permitem aos utilizadores fornecer dados para
construir um perfil, contedos de texto, imagem e vdeo, para partilhar com outros
utilizadores. Os dados pessoais disponveis nas redes sociais podem ser utilizados por
terceiros para uma grande variedade de fins, incluindo os comerciais, e podem apresentar
riscos graves, como o roubo de identidade, prejuzos financeiros, perda de oportunidades de
negcios ou de emprego e danos fsicos468 configurando uma invaso privacidade e
violao do direito proteo de dados pessoais.
A LPDP e a Diretiva 95/46/CE e nos casos em que prestam servios de comunicaes
eletrnicas, nomeadamente o rastreamento por endereo IP, os testemunhos de conexo,
dados de localizao, aplica-se a L 41/2004, de 18/08 e a Diretiva 2002/58/CE aplica-se ao
tratamento de dados pelos SRS, ainda que as suas sedes estejam situadas fora do EEE. A
proteo de dados dos utilizadores no se pode centrar no perfil do utilizador que muito
redutor, pois, o verdadeiro risco est nas aplicaes informticas que captam o seu
comportamento em linha e as suas interaes que seja informado. Salvo que se aplique a
iseno de mbito domstico, o utilizador poderia ser considerado responsvel 469 pelo
467
GT29, cit. 382, p. 5.
468
GT29, cit. 382, p. 4.
469
O TJUE pronunciou-se em sentido contrrio no Ac Tietosuojavaltuutettu v. Satakunnan Markkinaprssi Oy e
127
tratamento de dados em relao ao ficheiro que constitui a sua conta nos SRS, no entanto, os
SRS so considerados responsveis pelo tratamento dos dados, pois criam ficheiros de
dados470 com o registo dos perfis dos utilizadores, dados de trfego, localizao, etc., que
podem utilizar para fins de marketing direto, incluindo a publicidade feita por terceiros,
ficando sujeitos ao cumprimento dos princpios e condies de legitimidade previstas na
LPDP, L n. 7/2004, de 07/01 e nas Diretiva 95/46/CE e 2002/58/CE (3-7., 3-8., 3-9.3.1).
3-9.3.4. A Internet das Coisas

Como referido em 2-2 e em 3-9, a evoluo da tecnologia surgiram novas prticas de
marketing recorrendo promoo comercial e distintas formas de publicidade incorporadas
em objetos inteligentes interligados na IdC. Os dados gerados em IAm combinando tcnicas
de anlise e cruzamento dos mesmos so suscetveis de serem tratados para finalidades
distintas do tratamento inicial sem que o utilizador tenha tido conhecimento e consentido no
tratamento dos seus dados pessoais, nem os responsveis pelo tratamento tem o cuidado de
conceber as coisas vestveis dotadas de software adequado para cumprimento das normas da
proteo de dados.
Os dispositivos da IdC so, juridicamente, equipamentos terminais nos termos do n. 2, do
art. 5, da L n. 41/2004, de 18/08 e no n. 3, do art. 5, da Diretiva 2002/58/CE471, pelo que
a recolha de dados est sujeita prestao do consentimento do utilizador (3-8.1.).
O responsvel pelo tratamento de dados em IAm e a assuno de responsabilidades em
matria da proteo de dados depende do papel que desempenhado num mundo cada vez
mais complexo e de interveno combinada, de que se destacam os fabricantes de
dispositivos472, plataformas sociais473, corretores de dados474 ou plataformas de dados475.
Satamedia Oy, do TJUE, n C-73/07, de 16/12/2000, conforme pargrafo 44: Da decorre que esta segunda
exceo deve ser interpretada no sentido de que tem apenas por objeto as atividades que se inserem no quadro da
vida privada ou familiar dos particulares manifestamente, no esse o caso das atividades da Markkinaprssi
e da Satamedia, cujo objeto dar a conhecer os dados recolhidos a um nmero indefinido de pessoas. O
tratamento de dados transcende, neste caso, a atividade do titular.
470
Os SRS detm aplicaes com capacidade de converter dados incuos e inofensivos, no estruturados e
aparentemente sem sentido em dados que permitem identificar pessoas.
471
V. GT29, cit. 3.
472
Os fabricantes de dispositivos da IdC para alm de vender as coisas vestveis incorporam no sistema
operativo programas que permitem rastrear as atividades do utilizador.
473
Os utilizadores podem partilhar em redes sociais os dados registados nas coisas vestveis utilizando
aplicaes disponibilizadas nessas plataformas pelos SRS.
474
Os corretores de dados compram dados para anlise e categorizar em listas, podendo conter informaes
demogrficas, rendimentos, interesses, etc.
475
Plataformas de dados IdC so constitudas por um conjunto de interfaces e formato de dados, como, por
exemplo, os smartphones e os tablets considerados portais de acesso naturais dos dados recolhidos atravs de
muitos dispositivos IdC Internet e so consideradas responsveis pelo tratamento ao abrigo da legislao da UE
em matria de proteo de dados, quando implica a recolha dos dados pessoais dos utilizadores para os seus
128
3-9.3.5. A construo de perfis
O marketing com que hoje nos deparamos j no um marketing massivo mas um marketing
personalizado ou seja um marketing one-to-one476. Os novos modelos de negcio assentes em
recursos publicitrios e nos meios para alcan-los, proporcionados pelo IAm levam o
marketing direto a ser mais preciso com a utilizao e seleo da informao extrada das
bases de dados para determinados consumidores de forma personalizada em conformidade
com os seus hbitos de compra (e at predizer o que necessitam de comprar) de forma
imediata recorrendo a estratgias invisveis e despercebidas (no s aos prprios
consumidores mas tambm aos seus concorrentes, podendo ocorrer situaes de prticas
desleais entre as empresas) para o envio de mensagens comerciais e publicitrias, que parece
no ter limites com o crescente aumento de empresas que se dedicam a vender dados pessoais
organizados em listas477.
Os problemas relacionados com as novas tecnologias disponveis mostram que ,
fundamental, o controlo sobre os dados pessoais que parecem permanentemente ameaados e
manipulados at psicologicamente afetando o comportamento dos consumidores478. No se
trata s do direito privacidade e proteo dos dados pessoais mas tambm de assegurar
outras liberdades fundamentais como do pensamento, da religio, cultural, entre outras,
conforme CDFUE e da Conveno 108. Os processos dos preos dinmicos e indexao de
utilizadores s listas negras479, fundamentados em critrios obscuros, podendo provocar
descriminaes com consequncias danosas para os titulares dos dados.
A Conveno 108 no contm qualquer disposio que proba o processamento automtico de
dados para definir um perfil de determinada pessoa, o que no significa que seja legal e
legtimo com fundamento no art. 8, da CEDH. Porm, o art. 13, da LPDP e o art. 15, da
Diretiva 95/46/CE, preveem que ningum pode ficar sujeito a uma deciso que produza
efeitos na sua esfera jurdica ou que a afete de modo significativo, tomada exclusivamente
com base num tratamento automatizado de dados destinado a avaliar determinados aspetos da
prprios fins.
476
PEPPERS, Don, ROGERS, Marta, DORF, Bob - One-to-one field book. New York : Currency Doubleday,
1999. ISBN 0-385-49369-X.
477
A venda de dados pessoais obtidos em linha atravs de um concurso dirigido a menores de 13 anos sem
consentimento dos pais pela empresa Toysmart.com foi considerada ilcita pelo United States District Court of
Massachusetts, e a repercusso social tomou propores de tal forma graves que passados dois meses o Senado
Americano aprovou uma lei que proibia as companhias de vender ou alugar os dados dos seus clientes
consentimento prvio. A informao completa sobre a sentena e repercusses legislativas, pode ser consultada
aqui <https://www.ftc.gov/enforcement/cases-proceedings/x000075/toysmartcom-llc-toysmartcom-inc>.
478
O uso da RFID para diferentes fins tem merecido a preocupao do GT29. O uso desta tecnologia em
expanso e contnuo desenvolvimento est em todos os setores da economia desde os transportes e distribuio,
aviao, sade, segurana e controlo, etc. (v. GT29, cit. 219).
479
GT29, cit. 36.
129
sua personalidade, designadamente a sua capacidade profissional, o seu crdito, a confiana
de que merecedora ou o seu comportamento. A norma deve ser interpretada no sentido de
que os titulares tm o direito de conhecer a lgica e os critrios subjacentes deciso
automatizada.
O RGPD vem considerar que um perfil qualquer forma de tratamento automatizado de
dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos
pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados
com o seu desempenho profissional, a sua situao econmica, sade, preferncias pessoais,
interesses, fiabilidade, comportamento, localizao ou deslocaes, em conformidade com o
n. 4, do art. 4, pelo que exigido o consentimento explcito do titular dos dados, nos termos
da al) c) do n. 1, do art. 22, sem prejuzo do cumprimento dos princpios e condies de
legitimidade e salvo as excees previstas.
3-9.5. O marketing comportamental em linha na pRPCE

O art. 8, da pRPCE sob a epgrafe de proteo das informaes armazenadas nos
equipamentos terminais dos utilizadores finais e relacionadas com esses equipamentos
probe a recolha de informaes provenientes dos equipamentos terminais dos utilizadores
finais, incluindo sobre o seu software e hardware, exceto se: (a) se forem necessrias
exclusivamente para assegurar a transmisso de uma comunicao eletrnica atravs de uma
rede de comunicaes eletrnicas; (b) se o utilizador final tiver dado o seu consentimento; ou
(c) se forem necessrias para uma medio de audincia da web, desde que tal medio seja
efetuada pelo prestador do servio da sociedade de informao solicitado pelo utilizador final.
igualmente proibida a recolha de informaes emitidas pelos equipamentos terminais para
permitir a sua ligao a outro dispositivo e/ou equipamento de rede, exceto se: (a) for
exclusivamente efetuada para estabelecer uma ligao e durante o tempo necessrio para o
efeito; (b) for afixado um aviso claro e visvel contendo, no mnimo, informaes sobre as
modalidades da recolha, o seu objetivo, a pessoa responsvel e as outras informaes exigidas
ao abrigo do art. 13. do RGPD, quando forem recolhidos dados de carter pessoal, bem
como qualquer medida que o utilizador final dos equipamentos terminais pode tomar para
reduzir ao mnimo ou fazer cessar a recolha. As informaes a fornecer podem ser associadas
a cones normalizados a fim de dar, de modo facilmente visvel, inteligvel e claramente
legvel uma til perspetiva geral da recolha, a cargo da COMISSO, contribuindo para a
transparncia do mecanismo do consentimento; ou (c) a recolha dessas informaes deve ser
subordinada aplicao de medidas tcnicas e organizativas adequadas para garantir um nvel
130
de segurana adequado aos riscos, tal como estabelecido no art. 32, do RGPD.
As configuraes adequadas dos programas de navegao ou outras aplicaes contribuem
no s para uma maior clareza na prestao do consentimento prvio informado480 para o
tratamento de dados e outras informaes, mas tambm para a harmonizao das regras entre
os Estados-Membros diminuindo as condies de desigualdade da concorrncia e das
distores do mercado. Dado que as pginas da internet no esto limitadas por fronteiras
reconhece-se que a normalizao deveria ter lugar preferencialmente a nvel mundial, para
assegurar a confidencialidade das informaes armazenadas nos equipamentos terminais dos
utilizadores, nomeadamente atravs da sensibilizao e da capacitao dos utilizadores.
O Considerando 1, da pRPCE, reitera a garantia do cumprimento do princpio da
confidencialidade deve ser aplicvel s formas de comunicao atuais e futuras, incluindo
chamadas, acesso Internet, mensagens instantneas, correio eletrnico, chamadas telefnicas
pela Internet e mensagens pessoais nas redes sociais, conforme o art. 7, da CDFUE (3-
9.1.2.).
O direito incondicional de oposio na pRPCE , ainda, particularizado no art. 16, referindo-
se que os operadores econmicos que tenham obtido as coordenadas eletrnicas de contacto
para correio eletrnico, no contexto da venda de produtos ou servios, em conformidade com
o RGPD, de uma pessoa singular ou coletiva, podem utiliz-las para fins de marketing direto
dos seus prprios produtos ou servios anlogos, desde que aos clientes tenha sido dada clara
e distintamente a possibilidade de se oporem, de forma gratuita e fcil, a essa utilizao. O
direito de oposio deve ser oferecido na data da recolha e sempre que uma mensagem
enviada, aps a informao prvia acerca da natureza comercial da comunicao e do
remetente, e bem assim, com todas as informaes necessrias sobre o modo de exerccio do
direito e do seu consentimento em relao receo de novas comunicaes comerciais (n.s
2 e 6, do art. 16, da pRPCE).
480
Em conformidade com as normas do RGPD.
131
PARTE IV CONCLUSES
CAPTULO X CONCLUSES
10-1. Concluses
O IAm assenta em sistemas tecnolgicos que alteraram o paradigma da comunicao em
redes abertas e cujos protocolos de interao podem conduzir a uma invaso da privacidade
das pessoas. O rastreamento dos dados, inmeras vezes de forma oculta, que permitem aos
operadores econmicos conhecer o comportamento, gostos e interaes dos utilizadores,
alteraram o conhecimento das formas de consumo, e em consequncia da promoo de
comunicaes comerciais atravs das tcnicas do marketing. As infraestruturas dos sistemas
tecnolgicos assentam no processamento de dados que quando relacionados com as pessoas
esto sujeitos a proteo legal, cuja abordagem pode resumir-se nas consideraes seguintes:
1) A proteo de dados encontra as suas reminiscncias histricas no movimento do direito
privacidade iniciado, no sculo XIX, por Brandeis e Warren nos EUA, tendo as
instituies e organizaes governamentais iniciado estudos, envolvendo a sapincia das
comunidades tecnolgica e jurdica, para a positivao da proteo de dados consagrada
em convenes e acompanhadas de recomendaes, resolues e pareceres. A UE na
dcada de noventa inicia a aprovao de normas para consolidar o direito proteo de
dados e a sua harmonizao entre os Estados-Membros. Os Estados, simultaneamente,
passaram a incluir no seu direito interno ao direito proteo de dados, dos quais
Portugal pioneiro na consagrao constitucional.
2) O direito proteo de dados configura-se como um direito fundamental complexo para
garantir a autodeterminao informativa do titular no processo de tratamento e utilizao
dos seus dados pessoais. Os meios de exerccio de controlo pelo titular dos dados esto
previstos na lei e consubstanciam-se essencialmente no direito de acesso, retificao,
alterao ou apagamento. O RGPD fortalece e alarga o catlogo dos poderes dos titulares
dos dados prevendo expressamente o direito de ser esquecido e o direito de portabilidade
dos dados. O direito proteo de dados no um direito absoluto na medida em que
depende das aes do responsvel do tratamento tendo em conta as circunstncias e a
tecnologia disponvel, por um lado; e do equilbrio de interesses com outros direitos,
liberdades e garantias, destacando-se as relacionadas com as liberdades econmicas que
so fundamentais para consolidar o mercado nico digital, por outro lado.
3) O conceito de dados pessoais um conceito dinmico in construhendo pela
132
jurisprudncia, pela atos emitidos das organizaes da proteo de dados e pela doutrina
autoral mais prestigiada, incorporado nos atos normativos aprovados pelas mais altas
instncias da EU, de que exemplo o RGPD que plasma no n. 1, do art. 4, como a
informao relativa a uma pessoa singular identificada ou identificvel (titular dos
dados); considerada identificvel uma pessoa singular que possa ser identificada, direta
ou indiretamente, em especial por referncia a um identificador, como por exemplo um
nome, um nmero de identificao, dados de localizao, identificadores por via
eletrnica ou a um ou mais elementos especficos da identidade fsica, fisiolgica,
gentica, mental, econmica, cultural ou social dessa pessoa singular. O conceito legal
de dados pessoais revela grande preocupao para acompanhar a inovao tecnolgica
recorrendo a conceitos gerais e abstratos, de modo a prevenir conceitos aprazados e
obsoletos, como por exemplo, propondo-se enquadrar novas realidades como os
dispositivos que abrem portas para o rastreamento indetetvel ao titular, atravs das
coisas vestveis, como a captao ultra-snica que usa sinais de udio de alta frequncia
em linha ou no, o fingerprinting (nveis de bateria dos dispositivos) cujas configuraes
existem em todos os dispositivos com elevada sofisticao e que podem alcanar o
armazenamento de metadados, os testemunhos de conexo, o registo dos movimentos
geogrficos, etc.
4) A LPDP aplicvel aos dados pessoais, no sentido que relativa a pessoas singulares
identificadas ou identificveis, embora exista uma corrente doutrinria que entenda ser
extensiva s pessoas coletivas em determinadas circunstncias. O RGPD refere
expressamente que a proteo se dirige s pessoas singulares, independentemente da sua
nacionalidade ou local de residncia.
5) A LPDP prev expressamente os casos de aplicao de mbito territorial da lei nacional,
cujos critrios para determinar a sua aplicao, dependem da localizao do
estabelecimento do responsvel pelo tratamento e a localizao dos meios ou
equipamento utilizados. O RGPD alarga o mbito territorial no exigindo uma conexo
fsica dos responsveis pelo tratamento de dados, pois, aplica-se ao tratamento de dados
pessoais efetuado no contexto das atividades de um estabelecimento de um responsvel
pelo tratamento ou de um subcontratante situado no territrio da Unio,
independentemente de o tratamento ocorrer dentro ou fora da Unio, e ainda, ao
tratamento de dados pessoais de titulares residentes no territrio da Unio, efetuado por
um responsvel pelo tratamento ou subcontratante no estabelecido na Unio, quando as
atividades de tratamento estejam relacionadas com: a) a oferta de bens ou servios a esses
133
titulares de dados na Unio, independentemente da exigncia de os titulares dos dados
procederem a um pagamento; b) o controlo do seu comportamento, desde que esse
comportamento tenha lugar na Unio.
6) A lei constitucional e ordinria conferem proteo ao tratamento de dados pessoais por
meios, total ou parcialmente automatizados, conferindo-se igual proteo ao tratamento
por meios no automatizados de dados pessoais contidos em ficheiros manuais, que
devem ser estruturados de acordo com critrios especficos relativos s pessoas que
permitam um acesso fcil aos dados pessoais, excluindo-se do mbito de aplicao os
ficheiros relativos ao tratamento de dados pessoais efetuado por pessoa singular no
exerccio de atividades exclusivamente pessoais ou domsticas.
7) O tratamento de dados pessoais est sujeito s formalidades de notificao ou autorizao
pelo responsvel do tratamento junto da CNPD e do cumprimento dos princpios (da
licitude, da lealdade, da transparncia, da transparncia, da qualidade e da finalidade) e
condies de legitimidade (consentimento, execuo de um contrato, obrigaes legais,
interesses vitais do titular, ou interesses legtimos) previstos na LPDP e da Diretiva
95/46/CE. O RGPD declara o fim das notificaes e autorizaes sendo o responsvel
pelo tratamento o garante pelo cumprimento dos princpios do tratamento de dados, e s
nos casos previstos necessita de autorizao ou parecer para dar incio s operaes de
tratamento de dados.
8) O tratamento de dados que se encontrem em curso data de entrada em vigor do RGPD
deve incorporar as suas disposies data da produo dos seus efeitos. As decises da
Comisso adotadas e as autorizaes emitidas pelas autoridades de controlo com base na
Diretiva 95/46/CE, so vlidas at sua substituio, alterao ou simplesmente
revogadas.
9) O princpio da transparncia fundamental na relao de confiana entre os operadores
econmicos e os titulares dos dados pessoais para que o consentimento seja prestado de
forma livre, informada, inequvoca e especfica, e evitar que as expectativas sejam
defraudadas quanto aos fins, ou seja, na receo de comunicaes de promoo
comercial. O consentimento o eixo central das normas sobre a proteo de dados na
medida em que o titular dos dados quem decide, como, quando e porque que os seus
dados so tratados poder de deciso que deriva do direito autodeterminao
informativa.
10) A publicidade domiciliria, por telefone ou telecpia consagram um sistema de opo
negativo. A pRPCE, alinhada com o RGPD e de forma a alcanar coerncia no
134
ecossistema da proteo de dados, prev que as pessoas singulares ou coletivas que
utilizam servios de comunicaes eletrnicas para efetuarem chamadas de marketing
direto devem obter o consentimento prvio dos utilizadores finais.
11) O binmio consentimento do titular / finalidade do tratamento de dados pessoais,
reforado na Diretiva 2002/58/CE, contra a intruso na privacidade bem como assegurar
um nvel de proteo adequado aos titulares dos dados por comunicaes no solicitadas
para fins de marketing direto atravs de correio eletrnico, aos servios SMS, MMS e a
outros tipos de aplicaes similares, por um lado; e o armazenamento ilcito de
informaes sobre o equipamento ou coisas vestveis dos utilizadores, e bem assim as
interaes com os motores de pesquisa e os servios de redes sociais, por outro lado.
12) As comunicaes comerciais no solicitadas com origem nas tcnicas de rastreamento,
aplicaes, etc. e do marketing comportamental consagram um sistema de opo positivo.
A pRPCE prev a consagrao da doutrina jurisprudencial, administrativa e autoral ao
alargar outros sistemas de rastreamento dos utilizadores da internet.
13) O direito de oposio do titular incondicional, em qualquer circunstncia e sem
necessidade de fundamento ou sujeio a prazos, contra a receo de comunicaes
comerciais no solicitadas, assim como o rastreamento de dados que obtenham
informao sobre o seu comportamento em linha, de forma ilcita, contribuindo para um
efetivo direito proteo de dados.
14) O responsvel pelo tratamento de dados que procurava garantir a aplicao das normas
que regulam a proteo de dados, passa a ser o responsvel pelo cumprimento dos
princpios do tratamento de dados (tendo em conta a natureza, o mbito, o contexto e as
finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das
pessoas singulares) cujas medidas tcnicas e organizativas utilizadas so capazes de o
demonstrar.
135
BIBLIOGRAFIA
DOCUMENTOS IMPRESSOS
ASCENSO, Jos de Oliveira - Sociedade de Informao. in Direito da Sociedade da

Informao, Vol. I, p. 163-184. Coimbra : Coimbra Editora, 1999. ISBN:972-32-0916-0.
CANOTILHO, J.J. Gomes, MOREIRA, Vital - Constituio da Repblica Portuguesa

Anotada, Vol. I. 4. ed. rev. e reimp., Coimbra : Coimbra Editora, 2014. ISBN 978-972-32-
2286-9.
CASTRO, Catarina Sarmento e - Direito da Informtica, Privacidade e Dados Pessoais. 1

ed, Coimbra : Almedina, 2005. ISBN 978-97-2402-424-0.
Artigo 8 (Proteo de dados pessoais). In SILVEIRA, Alessandra, CANOTILHO, Mariana,
coord. - Carta dos Direitos Fundamentais da Unio Europeia Comentada. Coimbra :
Almedina, 2013. ISBN 978-97-2405-120-8. p.120-128
DONEDA, Danilo C. Maganhoto - Da privacidade proteo de dados pessoais. Rio de

Janeiro : Renovar, 2006. ISBN 85-7147-562-8
FARIA, Maria Paula Ribeiro de Artigo 35 (Utilizao da Informtica). In MIRANDA,

Jorge; MEDEIROS, Rui, coord. - Constituio Portuguesa Anotada, Tomo I. 2. ed.,
Coimbra : Wolters Kluwer Portugal, 2010. ISBN 978-972-32-1822-0. p. 779-801
GONALVES, Maria Eduarda - Direito da Informao. Novos direitos e formas de

regulao na sociedade da informao. Coimbra : Almedina, 2003. ISBN 978-972-4019-
08-6.
GRINOVER, Ada Pellegrini [et al.] - Cdigo Brasileiro de Defesa do Consumidor,

Comentado pelos autores do Anteprojeto, 6 ed., Rio de Janeiro, Forense Universitria,
2000. ISBN 87-218-02-49-8
GRNROOS, Christian Service Managment and Marketing. 3 ed., West Sussex

(England) : John Wiley & Sons Ldt , 2007. ISBN 978-047-0028-62-9.
GUERRA, Amadeu A privacidade no local de trabalho. Coimbra : Almedina, 2004. ISBN

978-972-4022-24-6.
- Informtica e Tratamento de Dados Pessoais os direitos dos cidados e as obrigaes
136
dos responsveis pelos tratamentos automatizados. Lisboa : Vislis Editores, 1997. ISBN
972-52-0013-6.
LOPES, Joaquim Seabra - A Proteo da Privacidade e dos Dados Pessoais na Sociedade da

Informao: Tendncias e Desafios numa Sociedade em Transio. in SILVA, Germano
Marques da, coord. - Estudos dedicados ao Prof. Doutor Mrio Jlio de Almeida Costa.
Lisboa : Universidade Catlica, 2002. ISBN 978-972-5400-44-9, p. 779-807.
LPEZ, Jordi Verdaguer; JAN, M Antonia Bergas Todo proteccin de datos. Valencia :
CISS, 2013. ISBN 978-84-9954-489-2).
MARCOS, Isabel Davara Fernndez de - Hacia la estandarizacin de la proteccin de

datos personales: Propuesta sobre una tercera va o tertium genus internacional.
Madrid : La Ley, 2011. ISBN 978-84-8126-827-0.
MEDEIROS, Rui; CORTS, Antnio Artigo 26 (Outros direitos pessoais) In MIRANDA,

Jorge; MEDEIROS, Rui, coord. - Constituio Portuguesa Anotada, Tomo I. 2. ed.,
Coimbra : Wolters Kluwer Portugal, 2010. ISBN 978-972-32-1822-0. p. 603-632.
MIRANDA, Jorge - Artigo 60 (Direitos dos consumidores) In MIRANDA, Jorge;

MEDEIROS, Rui, coord. - Constituio Portuguesa Anotada, Tomo I. 2. ed., Coimbra :
Wolters Kluwer Portugal, 2010. ISBN 978-972-32-1822-0. p. 1169-1179.
NISSENBAUM, Helen Privacy in Context, Technology, Policy, and Integrity of Social

Life. Stanford, California : Stanford Law Books, 2010. ISBN 978-0804752374.
NANCLARES, Jos Martn y Prez de Artigo 8 (Proteccin de dato de carter personal). In

MARTN, Araceli Mangas e ALONSO, Luis N. Gonzlez, coord. - Carta de los Derechos
Fundamentales de la Unin Europea - Comentario artculo por artculo, 1. ed., Bilbao :
Fundacin BBVA, 2008. ISBN 978-84-96515-80-2. p. 223-243.
PAYTON, Theresa M.; CLAYPOOLE, Theodore - Privacy in the Age of Big Data:
Recognizing Threats, Defending Your Rights, and Protecting Your Family, Lanham
(Maryland) [etc.] : Rowman & Littlefield, 2014. ISBN 978-1-4422-2545-9.
PEPPERS, Don, ROGERS, Marta, DORF, Bob - One-to-one field book. New York :
Currency Doubleday, 1999. ISBN 0-385-49369-X
PINHEIRO, Alexandre Sousa Privacy e Proteo de dados pessoais: a construo
137
dogmtica do direito identidade informacional. Lisboa : Associao Acadmica da
Faculdade de Direito de Lisboa, 2015. 978-612-0002-60-5
POMBO, Eugenio Llamas, coord. - Ley General para la Defensa de los Consumidores y
Usurios, Comentarios y Jurisprudencia de la Ley veinte aos despus. Las Rozas
(Madrid) : La Ley-Actualidad, 2005. ISBN 84-9725-603-4
RODOT, Stefano A vida na sociedade de vigilncia, A privacidade hoje. Trad. Danilo

Doneda e Luciana Cabral Doneda, Rio de Janeiro : Renovar, 2008. ISBN 978857147-688-2
- Data Protection as a Fundamental Right. in GUTWIRTH; Serge; LEENES, Ronald; HERT,
Paul De; - Reloading Data Protection. Multidisciplinary Insights and Contemporary
Challenges [Em linha]. Dordrecht : Springer Science+Business Media Dordrecht 2014.
[Consult. 7 ago. 2016]. Disponvel em WWW <http://www.springer.com/la/book/
9789400775398> ISBN 978-94-007-7540-4. Cap. 3, p. 77-82
RODRIGUEZ DAVARA, Miguel ngel Manual de Proteccin de Datos para Abogados.

Madrid : Thompson Aranzadi, 2008. ISBN 978-8497-676-49-6.
SOLS, David Ordez - Privacidad y proteccin judicial de los datos personales. 1. ed.,
Barcelona : Bosch, 2011. ISBN 978-84-9790-853-5
VASCONCELOS, Pedro Pais de - Proteo de Dados Pessoais e Direito Privacidade, in

Direito da Sociedade da Informao, Coimbra : Coimbra Editora, 1999. ISBN:972-32-
0916-0. Vol. I, p. 241-253.
VAZAK, Karel As Dimenses Internacionais dos Direitos do Homem manual

destinado ao ensino dos direitos do homem nas universidades. Lisboa : Editora Portuguesa
de Livros Tcnicos e Cientficos / UNESCO, 1983.
VENNCIO, Pedro Dias - A previso constitucional da utilizao da informtica. In Revista

de Estudos Politcnicos Vol. 8, 2007, p. 243-264. [Consult. 19 out. 2015]. Disponvel em
WWW <http://www.scielo.mec.pt/pdf/tek/n8/v5n8a12.pdf>
138
DOCUMENTOS ELETRNICOS
AGNCIA MUNDIAL ANTIDOPAGEM - Cdigo Mundial Antidopagem. Montreal [Em

linha]. (2015) [Consult. 1 dez. 2016]. Disponvel em WWW <http://www.adop.pt/media/
8381/C%C3%B3digo%20Mundial%20Antidopagem%202015.pdf>
ALPR, Gergely; HOEPMAN, Jaap-Henk; SILJEE, Johanneke - The Identity Crisis.

Security, Privacy and Usability Issues in Identity Management. [Em linha]. 2011.
[Consult. 12 dez. 2014]. Disponvel em WWW <http://arxiv.org/ftp/arxiv/papers/1101/1101.
0427.pdf>
ARAYA, Agustin A. - Questioning Ubiquitous Computing. In HWANG, C. Jinshong;

HWANG, Betty W. (Coord.) - Proceedings of the 1995 ACM 23rd annual conference on
Computer science. [Em linha]. New York : ACM, 1995 [Consult. 22 nov. 2015]. Disponvel
em WWW <http://www.cc.gatech.edu/~keith/classes/ubicomplexity/pdfs/crit/araya-questio
ning-ubicomp.pdf >. ISBN:0-89791-737-5. p.230-237
AUGUSTO, Juan C. [et al.] - Intelligent Environments: a manifesto. Human-centric

Computing and Information Sciences [Em linha]. Vol. 3, n. 12 (2013) [Consult. 19 nov.
2015]. Disponvel em WWW <http://www.hcis-journal.com/content/3/1/12> ISSN: 2192-
1962.
BENDICH, Albert M. - Privacy, Poverty, and the Constitution [Em linha]. In California Law
Review, Vol. n. 54, n. 2, (1966). [Consult. 12 ago. 2016]. Disponvel em WWW <http://
scholarship.law.berkeley. edu/californialawreview/vol48/iss3/1/>
BOBBIO, Noberto - A Era dos Direitos [Em linha]. 7. Reimp. Trad. Carlos Nelson
Coutinho, Rio de Janeiro: Elsevier, 2004. Ttulo original L'et dei Diritti. [Consult. 20 ago.
2015]. Disponvel em WWW <https://direitoufma2010.files.wordpress.com/2010/05
/norberto-bobbio-a-era-dos-direitos.pdf> ISBN 10: 85-352-1561-1
BREY, Philip - Freedom and Privacy in Ambient Intelligence. In Ethics and Information
Technology [Em linha]. Vol. 7, n. 3 (set. 2005). p. 157-166. Dordrecht [etc.] : Springer
Business Media Dordrecht. [Consult. 19 nov. 2015]. Disponvel em WWW
<https://link.springer.com/article/10.1007/s10676-006-0005-3> ISSN: 1572-8439.
BROWNSWORD, Roger - Consent in Data Protection Law: Privacy, Fair Processing and
139
Confidentiality. in GUTWIRTH; Serge [et al.] - Reinventing Data Protection? [Em linha].
New York [etc.]: Springer Science + Business Media B.V. 2009. [Consult. 10 dez. 2014].
Disponvel em WWW <https://link.springer.com/book/10.1007/978-1-4020-9498-9> ISBN
978-1-4020-9498-9. p. 83-110
CABALLERO, Susana Sanz - Interferencias entre el Derecho Comunitario y el Convenio

Europeo De Derechos Humanos (Luxemburgo versus Estrasburgo: quin es la ltima
instancia de los derechos fundamentales en Europa?). In Revista de Derecho Comunitario
Europeo [Em linha]. Ao 8. n. 17. (enero-abril 2004) p. 117-160. [Consult. 12 nov. 20165].
Disponvel em WWW <https://dialnet.unirioja.es/ejemplar/93104> ISSN: 1989-5569.
CATE, Fred H. - The EU Data Protection Directive, Information Privacy, and the Public
Interest [Em linha]. Indiana University Maurer School of Law. Paper 646, (1995) [Consult.
12 nov. 2015]. Disponvel em WWW <http://www.repository.law.indiana.edu/facpub/646/>
CAVOUKIAN, Anna - Privacy by Design: Leadership, Methods, and Results. in

GUTWIRTH, Serge [et al.] coord. - European Data Protection: Coming of Age [Em
linha]. Dordrecht [etc.]: Springer Science+Business Media Dordrecht, 2013. Disponvel em
WWW <http://www.springer.com/br/book/9789400751842> ISBN 978-94-007-5170-5. Cap.
8, p. 175-202.
COOK, Jared R. (Realizador) - Life Simplified with Connected Devices [Registo vdeo], (5
minutos e 37 segundos), com texto em ingls : Provo, Utah : The Connected Devices
Laboratory at Brigham Young University, 2014 [Consult. 16 out. 2015]. Disponvel em
WWW <https://www.youtube.com/watch?v=NjYTzvAVozo>
CONSELHO DA EUROPA Guidelines of the Committee of Ministers to Members

States on Human Rights and the Fight Against Terrorism adopted by the Committee of
Ministers at its 804th meeting. [Em linha]. (11/07/2002) [Consult. 12 mar. 2015].
Disponvel em WWW < http://www.coe.int/t/dlapil/cahdi /Source/Docs2002/H_2002_
4E.pdf>
- Resolution (73) 22 of the Committee of Ministers to Members States on the protection
of the privacy of individuals Vis-a-vis electronic data banks in the private sector [Em
linha]. (26/09/1973) [Consult. 12 mar. 2015]. Disponvel em WWW <https://rm.coe.int/
CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=0900001680502
830>
140
- Resolution (73) 23 of the Committee of Ministers to Members States on harmonisation
measures in the field of legal data processing in the Member States of the Council Of
Europe [Em linha]. (26/09/1973) [Consult. 12 mar. 2015]. Disponvel em WWW < https://
rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?
- Resolution (74) 29 of the Committee of Ministers to Members States on the protection
of the privacy of individuals vis-a-vis electronic data banks in the public sector [Em
linha]. 20/09/1974 [Consult. 12 mar. 2015]. Disponvel em WWW <https://rm.coe.int/
CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=09000016804d1
c51>
- Recommendation 509 (1968) on Human Rights and Modern Scientific and
Technological Developments (16th Sitting) [Em linha]. (31/01/1968) [Consult. 12 mar.
2015]. Disponvel em WWW <http://assembly.coe.int/nw/xml/XRef/Xref-XML2HTML-
en.asp? fileid=14546&lang=en>
- Recommendation n. R(85) 20 on the protection of personal data used for the purposes
of direct marketing [Em linha]. (25/10/1985) [Consult. 14 mar. 2015]. Disponvel em
WWW <https://search.coe.int/cm/Pages/result_details.aspx?ObjectID=09000016804bd336>
- Recommendation n. R (90) 19 of the Committee of Ministers to Members States on the
protection of personal data used for payment and other related operations [Em linha].
(13/09/1990) [Consult. 9 abr. 2015]. Disponvel em WWW <https://wcd.coe.int/com.
instranet.InstraServlet?command=com.instranet.CmdBlobGet&InstranetImage=570709&Sec
Mode=1&DocId=592684&Usage=2>
- Recommendation (91) 10 of the Committee of Ministers to Member States on the
communication to third parties of personal data held by public bodies [Em linha].
(09/09/1991) [Consult. 9 abr. 2015]. Disponvel em WWW <https://search.coe.int/cm/Pages/
result_details.aspx?ObjectID=09000016804c1486>
- Recommendation n. R (92) 03 of the Committee of Ministers to Members States on
genetic testing and screening for health care purposes [Em linha]. (10/02/1992) [Consult.
9 abr. 2015]. Disponvel em WWW <https://wcd.coe.int/com.instranet.InstraServlet?
command=com.instranet.CmdBlobGet&InstranetImage=573883&SecMode=1&DocId=601492
&Usage=2
- Recommendation n. R (97) 5 of the Committee of Ministers to Members States on the
protection of medical data [Em linha]. (13/02/1997) [Consult. 9 abr. 2015]. Disponvel em
WWW <https://wcd.coe.int/com.instranet.InstraServlet?command=com.instranet.mdBlobGet
&InstranetImage=564487&SecMode=1&DocId=560582&Usage=2>
141
- Recommendation n. R (97) 18 of the Committee of Ministers to Members States
concerning the protection of personal data collected and processed for statistical
purposes [Em linha]. (30/09/1997) [Consult. 12 mar. 2015]. Disponvel em WWW
<https://wcd.coe.int/com.instranet.InstraServlet?command=com.instranet.CmdBlobGet&Instr
anetImage=2001724&SecMode=1&DocId=578856&Usage=2
Recommendation n. R(99) 5 for the protection of privacy on the Internet [Em linha].
23/02/1999 [Consult. 12 mar. 2015]. Disponvel em WWW <https://search.coe.int/
cm/Pages/result_details.aspx?ObjectID=09000016804f4429>
- Recommendation CM/Rec(2010)13 of the Committee of Ministers to member states on
the protection of individuals with regard to automatic processing of personal data in the
context of profiling [Em linha]. (23/07/2010) [Consult. 12 mar. 2015]. Disponvel em WWW
<https://search.coe.int/cm/Pages/result_details.aspx?ObjectID=09000016805cdd00>
COSTA, Francisco Bruto da, BRAVO, Rogrio Spam e Mail-Bomb subsdios para uma
perspectiva penal. Lisboa : Quid Juris, 2005. ISBN 972-724-239-1
DAVENPORT, Thomas H., PRUSAK, Laurence - Working Knowledge: How

Organizations Manage what They Know [Em linha]. Cambridge (Massachusetts) : Harvard
Business Press, 1998 [Consult. 11 mai. 2012]. Disponvel em WWW <https://encrypted.
google.com/books?id=-4-7vmCVG5cC&printsec=copyright&hl=pt-T&source=gbs_pub_info
_r#v=onepage&q&f=false>
DUHIGG, Charles - How Companies Learn Your Secrets [Em linha]. In The New York
Times (16/02/2012). [Consult. 18 de jun. 2014]. Disponvel em WWW <http://emoglen. law.
columbia.edu/twiki/pub/CompPrivConst/HowCompaniesLearnOurConsumingSecrets/How_C
ompanies_Learn_Your_Secrets_-_NYTimes.com.pdf >
FRIEDEWALD, Michael, [et al.] - Perspectives of ambient intelligence in the home

environment [Em linha]. In Telematics and Informatics, Vol. 22, n. 3 (aug. 2005) p.
221-238. [S.l.] : Elsevier B.V. 2005. [Consult. 18 de jun. 2016]. Disponvel em WWW
<http://www. sciencedirect.com/science/article/pii/S0736585304000590> ISSN: 0736-5853.
FOX-BREWSTER, Tom - Londoners give up eldest children in public Wi-Fi security horror
show [Em linha]. The Guardian, (29/09/2014). [Consult. 12 de out. 2015]. Disponvel em
WWW <https://www.theguardian.com/technology/2014/sep/29/londoners-wi-fi-security-herod-
clause>
142
FUSTER, Gloria Gonzlez - The Emergence of Personal Data Protection as a
Fundamental Right of the EU [Em linha]. Cham [etc,] : Springer International Publishing
Switzerland, 2014. (Law, Governance and Technology Series, Vol. XVI.) ISBN 978-3-319-
05023-2 [Consult. 17 de out. 2015]. Disponvel em WWW < http://www.springer.com/
br/book/9783319050225>
GALEAN, Llanos Manzanares; CHINCHURRETA, Koldo Pecia - Implicaciones de la

proteccin de datos en el marketing [Em linha]. In MK Marketing+Ventas, n. 199, (feb.
2005). [Consult. 13 mar. 2015]. Disponvel em WWW <http://pdfs.wke.es/8/7/8/6/
pd0000018786.pdf>
GOFFMAN, Erving - The presentation of self in everyday life [Em linha]. Monograph n.
2. Edinbourg : University of Edinburgh Social Sciences Research Centre 39 George Square,
1956. [Consult. 12 de out. 2014]. Disponvel em WWW < https://monoskop.org/images/1/19/
Goffman_Erving_The_Presentation_of_Self_in_Everyday_Life.pdf>
GUPTA, Jatinder N. D., SHARMA, Sushil K. - Cyber Shopping and Privacy. In

FAZLOLLAHI, Bijan coord. - Strategies for eCommerce Success. Hershey, Pennsylvania :
IRM Press, 2002. ISBN 1-931777-08-7. Cap. 1, p. 1-16.
HILDEBRANDT, Mireille Profiling and the Identity of the European Citizen. In

HILDEBRANDT, Mireille, GUTWIRTH, Serge coord. Profiling the European Citizen
Cross-Disciplinary Perspectives [Em linha]. [S.l.] : Springer Science + Business Media
B.V. 2008, ISBN 978-1-4020-6914-7. p. 303344. [Consult. 10 dez. 2014]. Disponvel em
WWW <http://www.springer.com/la/book/9781402069130>
HERT, Paul De; GUTWIRTH; Serge - Data Protection in the Case Law of Strasbourg and
Luxemburg: Constitutionalisation in Action. in GUTWIRTH; Serge [et al.] - Reinventing
Data Protection? [Em linha]. New York [etc.]: Springer Science + Business Media B.V.
2009. [Consult. 10 dez. 2014]. Disponvel em WWW <https://link.springer.com/book
/10.1007/978-1-4020-9498-9> ISBN 978-1-4020-9498-9. Cap. 1, p. 3-44.
HOEYER, Klaus (2009) Informed consent: The making of a ubiquitous rule in medical
practice. [Em linha]. Organization, Vol. 16, n. 2, p. 267-288. Washington DC : SAGE
Publications, (2009). [Consult. 17 out. 2015]. Disponvel em WWW <http://citeseerx.ist.
psu.edu/viewdoc/download?doi=10.1.1.838.6147&rep=rep1&type=pdf> ISSN 13505084.
143
HUH, Soon Chul - Invasion of privacy v. Commercial speech: Regulation of spam with a
comparative constitutional point of view. [Em linha]. Albany Law Review, Vol. 70, n. 1,
2006, p. 181-207. [Consult. 12 out. 2015]. Disponvel em WWW <http://www.albanylaw
review.org/Articles/Vol70_1/70.2.0181>
INTERNATIONAL WORKING GROUP ON DATA PROTECTION IN

TELECOMMUNICATIONS - Report and Guidance on Data Protection and Privacy on
the Internet - Budapest-Berlin Memorandum [Em linha]. (19/11/1996) [Consult. 14 out.
2015]. Disponvel em WWW <https://datenschutz-berlin.de//content/europa-international
/international-working-group-on-data-protection-in-telecommunications-iwgdpt/working-
papers-and-common-positions-adopted-by-the-working-group>
- Working Paper on Cross-Border Telemarketing [Em linha]. 04/09/2009 [Consult. 14 out.
2015]. Disponvel em WWW <https://datenschutz-berlin.de//content/europa-international
/international-working-group-on-data-protection-in-telecommunications-iwgdpt/working-
papers-and-common-positions-adopted-by-the-working-group>
- Report and Guidance on Privacy in Social Network Services - Rome Memorandum
[Em linha]. 04/03/2008 [Consult. 14 out. 2015]. Disponvel em WWW <https://datenschutz-
berlin.de//content/europa-international/international-working-group-on-data-protection-in-
telecommunications-iwgdpt/working-papers-and-common-positions-adopted-by-the-working-
group>
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION - ISO/IEC

29100:2011, Information technology Security techniques Privacy framework [Em
linha]. 1 ed., International Organization for Standardization, 2011. [Consult.14 out. 2016].
Disponvel em WWW <https://www.iso.org/standard/45123.html>
- ISO/IEC 27001:2013(en) Information technology Security techniques
Information security management systems Requirements [Em linha]. 1 ed.,
International Organization for Standardization, 2013. [Consult.14 out. 2016]. Disponvel em
WWW <https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en>
KRISHNA, P. Radha - Big Data Search and Mining. In MOHANTY, Hrushikesha,

CHENTHATI, Deepak, BHUYAN, Prachet, coord. Big Data A Primer [Em linha]. New
Delhi [etc.]: Springer ndia, 2015. (Studies in Big Data, Vol. XI) [Consult. 12 ago. 2016].
Disponvel em WWW <http://www.springer.com/gp/book/9788132224938> ISBN 978-81-
322-2494-5. p 93-120
144
LALANA, ngel Daniel Oliver - Cdigo invisible y pequeo gran hermano: Nuevas
condiciones de posibilidad del derecho de proteccin de datos. [Em linha]. In Revista de la
Facultad de Derecho de la Universidad de la Repblica, n. 22, p. 235-262, (jul. 2014).
[Consult. 12 out. 2015]. Disponvel em WWW <http://www.revistafacultadderecho.edu.
uy/ojs-2.4.2/index.php/rfd/article/view/210>. ISSN 2301-0665
LANGHEINRICH, Marc - Privacy by Design - Principles of Privacy-Aware Ubiquitous

Systems. In ABOWD, Gregory D., BRUMITT, Barry, SHAFER, Steven, coord. In Ubicomp
2001: Ubiquitous Computing - Lecture Notes In Computer Science, Proceedings of the
3rd international conference on Ubiquitous Computing, Atlanta, Georgia, USA [Em
linha]. Berlim [etc.]: Springer-Verlag Berlin Heidelberg New York, 2001. (Lecture Notes in
Computer Science, Vol. 2201). ISBN 978-3-540-45427-4, pp 273-291.
LOUCHEZ, Alain - The Internet of things: Machines, businesses, people, everything. In ITU
News [Em linha]. N. 6. [2013?] Genve : International Telecommunication Union, 2013.
[Consult. 19 jan. 2016]. Disponvel em WWW <https://itunews.itu.int/En/4291-The-Internet-
of-things-Machines-businesses-people-everything-.note.aspx>
MAGEE, John - The Law Regulating Unsolicited Commercial E-Mail: An International

Perspective. In Santa Clara High Technology Law Journal [Em linha]. Vol. 19, n. 2,
(2002). [Consult. 19 jan. 2016]. Disponvel em WWW <http://digitalcommons.law.scu.edu/
cgi/viewcontent.cgi?article=1322&context=chtlj>
MANTELERO, Alessandro - The Future of Consumer Data Protection in the E.U. Rethinking
the Notice and Consent Paradigm in the New Era of Predictive Analytics. In Computer Law
and Security Review [Em linha]. Vol. 30, n. 6, [dez. 2014], p. 643-660. Amsterdam :
Elsevier, 2014. [Consult. 11 jan. 2016]. Disponvel em WWW <http://www.sciencedirect.
com/science/article/pii/S026736491400154X>
MASNICK, Mike - The war on fake reviews ramps up: NY fines companies for fake Yelp
reviews. In Techdirt. [Em linha]. (27/09/2013) [Consult. 19 jan. 2016]. Disponvel em
WWW <https://www.techdirt.com/articles/20130927/01425424673/war-fake-reviews-ramps-
up-ny-fines-companies-fake-yelp-reviews.shtml>
MELL, Peter; GRANCE, Timothy - The NIST definition of cloud computing,

Recommendations of the National Institute of Standards and Technology [Em linha].
NIST, U.S. Department of Commerce, (2011). [Consult. 16 jan. 2016]. Disponvel em WWW
145
<http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf>
ORDEM DOS ADVOGADOS PORTUGUESES - Parecer n. E-30/03, de 22/09/2003 [Em

linha]. [Consult. 10 Nov. 2016]. Disponvel em WWW <https://www.oa.pt/Conteudos/Pare
ceres/detalhe_parecer.aspx?idc=5&idsc=158&ida=39887>
ORGANIZAO DAS NAES UNIDAS - Guidelines for the regulation of

computerized personal data file [Em linha]. 14/12/1990 [Consult. 13 Nov. 2015].
Disponvel em WWW <https://documents-dds-ny.un.org/doc/RESOLUTION/GEN/NR0/
564/84/IMG/NR056484.pdf?OpenElement>
- Security Council resolution 1368 (2001) Threats to international peace and security
caused by terrorist acts [Em linha]. S/RES/1368, (12/09/2001) [Consult. 9 out. 2015].
Disponvel em WWW <http://www.refworld.org/docid/3c4e94557.html>
- Report of the Special Rapporteur on the promotion and protection of human rights
and fundamental freedoms while countering terrorism, Martin Scheinin [Em linha].
A/HRC/13/37, (28/12/2009) [Consult. 9 out. 2015] Disponvel em WWW <http://www2.
ohchr.org/english/bodies/hrcouncil/docs/13session/A-HRC-13-37.pdf.>
ORGANIZAO PARA A COOPERAO E DESENVOLVIMENTO ECONMICO -

The OECD Privacy Framework [Em linha]. OECD 2013 [Consult. 10 Nov. 2014].
Disponvel em WWW <http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf>
- Guidelines for Cryptography Policy [Em linha]. (27/03/1997) [Consult. 10 nov. 2015].
Disponvel em WWW <http://www.oecd.org/sti/ieconomy/guidelinesforcryptographypolicy.
htm>
- Guidelines for Multinational Enterprises [Em linha]. Ed. 2011, OECD Publishing.
[Consult. 10 nov. 2015]. Disponvel em WWW <http://www.oecd.org/daf/inv/mne/48004323.
pdf>. ISBN ISBN 978-92-64-11528-6
- Anti-Spam Regulation. [Em linha]. OECD 2005 DSTI/CP/ICCP/SPAM(2005)10/FINAL
[Consult. 10 nov. 2015]. Disponvel em WWW <https://www.oecd.org/sti/ieconomy
/35670414.pdf>
- Recommendation on Cross-Border Co-operation in the Enforcement of Laws against
Spam [Em linha]. (13/04/2006) [Consult. 10 nov. 2015]. Disponvel em WWW
<http://www.oecd.org/fr/sti/ieconomie/oecdrecommendationoncross-borderco-operationinthe
enforcementoflawsagainstspam.htm>
- Anti-Spam Regulation. [Em linha]. OECD 2005 DSTI/CP/ICCP/SPAM(2005)10/FINAL
146
[Consult. 10 Nov. 2015]. Disponvel em WWW <https://www.oecd.org/sti/ieconomy
/35670414.pdf>
- Consumer Protection in E-commerce [Em linha]. OECD Publishing, 2016 [Consult. 18
ago. 2015]. Disponvel em WWW <https://www.oecd.org/sti/consumer/ECommerce-
Recommendation-2016.pdf>
- Machine-to-machine communications: connecting billions of devices. [Em linha].
DSTI/ICCP/CISP(2011)4/FINAL, OECD Digital Economy Papers, n. 192, OECD
Publishing (2012). [Consult. 12 Mar. 2016]. Disponvel em WWW <http://www.oecd-
ilibrary.org/docserver/download/5k9gsh2gp043.pdf?expires=1460899221&id=id&accname=
guest&checksum=EB86294E2B573CC92443177E517D66AB>
PARLAMENTO EUROPEU - Interim Report drawn on behalf of the Legal Affairs

Committee on the protection of the rights of the individual in the face of developing
technical progress in the field of automatic data processing (Rapporteur: Lord
Mansfield) [Em linha]. Working Documents 1974-1975, Document 487/74, PE 39.608/fin,
(19.feb.1975), p. 14. [Consult. 16 ago. 2016]. Disponvel em WWW < http://aei.pitt.edu/
65083/ 1/WD3126. pdf>
- Report drawn up on behalf of the Legal Affairs Committee on the protection of the
rights of the individual in the face of technical developments in data processing
(Rapporteur: Mr A. Bayerl) [Em linha]. Working Documents 1979-1980, Document 100/79
[04.may.1975], p. 3. [Consult. 16 ago. 2016]. Disponvel em WWW
<http://aei.pitt.edu/view/eusubjects/ H019.html>
POULLET, Yves - Data protection legislation: What is at stake for our society and
democracy? In Computer Law and Security Review [Em linha]. Vol. 25, n. 3, (2009), p.
211226. Amsterdam : Elsevier, 2009. [Consult. 11 jan. 2016]. Disponvel em WWW
<http://www.sciencedirect.com/science/article/pii/S0267364909000612>
PRIBERAM INFORMTICA, S.A. - Marketing. In FLIP 10. - Dicionrio Priberam de

Lngua Portuguesa contempornea. [Em linha]. [Consult. 1 dez. 2016]. Mdulo de
software.
PROSSER, William J. Privacy [Em linha]. In California Law Review, Vol. n. 48, n. 3,
(1960). [Consult. 12 mar. 2016]. Disponvel em WWW <http://scholarship.law.berkeley.
edu/californialawreview/vol48/iss3/1/>
147
PULIDO, Emilia Zaballos - La proteccin de datos personales en Espaa : evolucin
normativa y criterios de aplicacin [Em linha]. Madrid. Universidad Complutense de
Madrid (2013). Tesis de doctorado. [Consult. 10 jun. 2016]. Disponvel em WWW
<http://eprints.ucm.es/22849/1/T34733.pdf>
REIDENBERG, Joel R. - The Transparent Citizen [Em linha]. In Loyola University Chicago
Law Journal, Vol. 47, (2015), Fordham Law Legal Studies Research Paper No. 2674313.
[Consult. 12 jun. 2016]. Disponvel em WWW <https://ssrn.com/abstract=2674313
- Resolving Conflicting International Data Privacy Rules in Cyberspace [Em linha].Stanford.
Law Review, Vol. 52 (1999-2000) p. 1315-1371 [Consult. 12 jun. 2016]. Disponvel em
WWW <http://ir.lawnet.fordham.edu/faculty_scholarship/41>
REINO DE ESPAA. Constitucin Espaola [Em linha]. Boletn Oficial del

Estado, n. 311, (29/12/1978), p. 29313-29424 [Consult. 11 out. 2015]. Disponvel em
WWW <https://www.boe.es/diario_boe/txt.php?id=BOE-A-1978-31229>
REINO DE ESPAA. Tribunal Constitucional - Sentencia del Tribunal Constitucional

292/2000, de 30/11. [Em linha]. Boletn Oficial del Estado n. 4, (04/01/2001), p. 104-118
[Consult. 11 out. 2015]. Disponvel em WWW https://www.boe.es/buscar/doc.php?id=BOE-
T-2001-332
REINO DE ESPAA. Agencia Espaola de Proteccin de Datos. Informe 182/2008 [Em

linha]. [Consult. 20 mai. 2015]. Disponvel em WWW <https://www.agpd.es/portalweb
AGPD/canaldocumentacion/informes_juridicos/ambito_aplicacion/common/pdfs/2008-0182_
La-vivienda-es-un-dato-de-car-aa-cter-personal-sometido-a-la-ley-org-aa-nica-15-b-
1999.pdf>
REPBLICA PORTUGUESA. Comisso Nacional da Proteo de Dados - Autorizao da

CNPD, n 10/99, de 16/03 [Em linha]. [Consult. 24 mar. 2015]. Disponvel em WWW
<http://www.cnpd.pt/bin/decisoes/Aut/10_10_1999.pdf>
- Autorizao da CNPD, n. 2/2000, de 18/01 [Em linha]. [Consult. 12 mar. 2015].
Disponvel em WWW <http://www.cnpd.pt/bin/decisoes/Aut/10_2_2000.pdf>
- Autorizao da CNPD n. 9/2000, de 25/01 [Em linha]. [Consult. 24 mar. 2015].
Disponvel em WWW <https://www.cnpd.pt/bin/decisoes/Aut/10_9_2000.pdf>
148
- Autorizao da CNPD, n 192/2002, de 05/11 [Em linha]. [Consult. 24 mar. 2015].
Disponvel em WWW <http:// www.cnpd.pt/bin/decisoes/Aut/10_1123_2007.pdf>
- Deliberao da CNPD, n 1/2000, de 04/01 [Em linha]. [Consult. 24 mar. 2015].
Disponvel em WWW <https://www.cnpd.pt/bin/decisoes/2000/htm/del/del001-00.htm>
- Deliberao da CNPD, n 60/2000, de 27/01. [Em linha]. Dirio da Repblica - 2. Srie,
n 22, de 27/01/2000, p. 1813 - 1816 [Consult. 29 mar. 2015]. Disponvel em WWW
<https://dre.pt/web/guest/pesquisa-avancada/-/asearch/2028668/details/maximized?search=
Pesquisar&sortOrder=ASC&tipo_facet=Delibera%C3%A7%C3%A3o&perPage=25&types=
SERIEII&dataPublicacaoInicio=2000-01-27>
- Deliberao da CNPD, n 1205/2000, de 04/06 [Em linha]. [Consult. 29 mar. 2015].
Disponvel em WWW <https://www.cnpd.pt/bin/decisoes/Delib/20_1205_2000.pdf>
- Deliberao da CNPD, n. 94/2001, de 15/07 [Em linha]. [Consult. 29 mar. 2015].
Disponvel em WWW <http://www.cnpd.pt/bin/decisoes/2001/htm/del/del094-01.htm>
- Deliberao da CNPD, n 165/2001, de 13/11 [Em linha]. [Consult. 24 Mar. 2015].
Disponvel em WWW <https://www.cnpd.pt/bin/orientacoes/DEL14-2002-REGIME-
DADOS-MANUAIS.pdf>
- Deliberao 143/2002 da CNPD, de 09/06 [Em linha]. [Consult. 24 mar. 2015]. Disponvel
em WWW <https://www.cnpd.pt/bin/decisoes/Delib/20_143_2002.pdf>
- Parecer da CNPD, n 22/2001, de 04/12 [Em linha]. [Consult. 24 mar. 2015]. Disponvel
em WWW <https://www.cnpd.pt/bin/decisoes/Par/40_22_2001.pdf>
- Parecer da CNPD, n 11/2002 de 03/12 [Em linha]. [Consult. 24 mar. 2015]. Disponvel
149
- Parecer da CNPD, n. 16/2005, de 24/05 [Em linha]. [Consult. 24 mar. 2015]. Disponvel
RODOT, Stefano A vida na sociedade de vigilncia, A privacidade hoje. Trad. Danilo

Doneda e Luciana Cabral Doneda, Rio de Janeiro : Renovar, 2008.
- Data Protection as a Fundamental Right. in GUTWIRTH; Serge; LEENES, Ronald; HERT,
Paul De; - Reloading Data Protection. Multidisciplinary Insights and Contemporary
[Consult. 7 ago. 2016]. Disponvel em WWW <http://www. springer.com/la/book/
9789400775398> ISBN 978-94-007-7540-4. Cap. 3, p. 82
RUARO, Regina Linden; RODRIGUEZ, Daniel Piero; FINGER, Brunize - O direito

proteo de dados pessoais e a privacidade [Em linha]. In Revista da Faculdade de Direito
UFPR, n. 53, Curitiba, 2011. [Consult. 16 set. 2015]. Disponvel em WWW <http://
revistas.ufpr.br/direito/article/download/30768/19876> ISSN 2236-7284. p. 45-66
SARTOR, Giovanni, CUNHA, Mario Viola de Azevedo - The Italian Google-Case: Privacy,
Freedom of Speech and Responsibility of Providers for User-Generated Contents. [Em linha].
In International Journal of Law and Information Technology, Vol 18, n. 4, Oxford :
Oxford University Press, 2010. pp 356-378 [Consult. 19 set. 2015]. Disponvel em WWW
<https://academic.oup.com/ijlit/article/18/4/356/744617/The-Italian-Google-Case-Privacy-
Freedom-of-SpeechThe Italian Google-Case: Privacy, Freedom of Speech and Responsibility
of Providers for User-Generated Contents>ISSN 1464-3693
SILVA, Fernando Resina da, et alea Cloud, a Lei e a Prtica. Coimbra : Almedina, 2016.
ISBN 978-972-4065-04-5
SOLOVE, Daniel J. - A Brief History of Information Privacy Law [Em linha]. In Proskauer
On Privacy, Pli (07 feb. 2017). GWU Law School Public Law Research Paper n. 215
[Consult. 14 Fev. 2017]. Disponvel em WWW: <http://scholarship.law.gwu.edu/cgi/viewcon
tent.cgi?article=2076&context=faculty_publications>
SORKIN, David E. - Technical and Legal Approaches to Unsolicited Electronic Mail. In
150
University of San Francisco Law Review [Em linha]. Vol. 35, n. 2, [Winter 2001] p. 325-
384 [Consult. 14 fev 2017]. Disponvel em WWW: <http://www.spamlaws.com/f/articles/usf.
pdf>
STEELE, Brian; CHANDLER, Jonh; REDDY, Swarna - Algorithms for Data Science [Em
linha]. 1. ed., Cham : Springer International Publishing Switzerland, 2016. ISBN 978-3-319-
45797-0. [Consult. 1 jan. 2017]. Disponvel em WWW: < http://www.springer.com/in/
book/9783319457956>
STORF, Katalin; HANSEN, Marit; RAGUSE, Maren - From H1.3.5: Requirements and
concepts for identity management throughout life [Em linha]. PrimeLife 2009 [Consult. 16
jan. 2015]. Disponvel em WWW <http://primelife.ercim.eu/images/stories/deliverables/h1.3.
5-requirements_and_concepts_for_idm_throughout_life-public.pdf>
STRYKER, Sheldon; BURKE, Peter J. - The Past, Present, and Future of an Identity Theory
[Em linha]. In Social Psychology Quarterly, Vol. 63, n. 4 (dec. 2000), Special Millenium
Issue on the State of Sociological Social Psychology. American Sociological Association. p.
284-297 [Consult. 19 jan. 2015]. Disponvel em WWW <http://www.jstor.org/stable/2695840>
ISSN 0190-2725
TAMM, Ditlev - The History of the Court of Justice of the European Union Since its Origin.
In Court of Justice of the European Union, Coord. - The Court of Justice and the
Construction of Europe: Analyses and Perspectives on Sixty Years of Case-law. 1 ed.
Hague : Springer, 2013. [Consult. 16 out. 2015]. Disponvel em WWW <http://www.springer.
com/la/book/9789067048965>. ISBN 978-90-6704-897-2. p. 9-35
TIMELEX - Study of case law on the circumstances in which IP addresses are considered
personal data (SMART 2010/12) D3. Final report [Em linha]. (2011) [Consult. 16 Abr.
2015]. Disponvel em WWW <http://www.timelex.eu/frontend/files/userfiles/files/publica
tions/2011/IP_addresses_report_-_Final.pdf>
UNIO EUROPEIA. Agncia dos Direitos Fundamentais da Unio Europeia; CONSELHO

DA EUROPA - Manual da Legislao Europeia sobre Proteo de Dados [Em linha].
Luxemburgo : Servio das Publicaes da Unio Europeia, 2014. [Consult. 10 dez. 2014].
Disponvel em WWW <http://www.cnpd.pt/bin/legis/internacional/fra-2014-handbook-data-
protection-pt.pdf> ISBN 978-92-871-9939-3 (Conselho da Europa) ISBN 978-92-9239-498-
1.
151
UNIO EUROPEIA. Comisso Europeia - Community policy on data processing.
Communication of the Commission to the Council. [Em linha]. SEC (73) 4300 final,
(21/11/1973) [Consult. 10 Dez. 2015]. Disponvel em WWW <http://aei.pitt.edu/view/
eudocno/SEC_=2873=29_4300_final.html>
- Comunicao da Comisso ao Parlamento Europeu, ao Conselho, ao Comit
Econmico e Social Europeu e ao Comit das Regies. Identificao por
radiofrequncias (RFID) na Europa: rumo a um quadro poltico [Em linha]. COM(2007)
96 final. [Consult. 10 Dez. 2015]. Disponvel em WWW <http://www.umic.pt/images/
stories/publicacoes200710/com2007_0096pt01.pdf>
- Proposta de Regulamento Do Parlamento Europeu e do Conselho relativo ao respeito
pela vida privada e proteo dos dados pessoais nas comunicaes eletrnicas e que
revoga a Diretiva 2002/58/CE (Regulamento relativo privacidade e s comunicaes
eletrnicas) [Em linha]. COM(2017) 10 final 2017/0003 (COD), Bruxelas, (10/01/2017)
[Consult. 1 fev. 2017]. Disponvel em WWW <http://eur-lex.europa.eu/legal-content/PT/
TXT/PDF/?uri=CELEX:52017PC0010&from=EN>
UNIO EUROPEIA. Grupo de Trabalho do Artigo 29. para a Proteo dos Dados -
Recomendao 3/97: O anonimato na Internet. [Em linha]. XV D/5022/97 final WP6.
Brussels (Belgium), 03/12/1997. [Consult. 12 mar. 2015]. Disponvel em WWW
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1997/wp6_pt.pdf>
- Documento de trabalho: A notificao [Em linha]. XV/5027/97-PT final WP 8. [s.l.],
(03/12/1997). [Consult. 14 fev. 2015]. Disponvel em WWW <http://ec.europa.eu/justice/
data-protection/article-29/documentation/opinion-recommendation/files/1997/wp8_pt.pdf>
- Recomendao 1/99 sobre o tratamento invisvel e automatizado de dados pessoais na
Internet realizado por software e hardware. [Em linha]. 5093/98/PT/final WP17. Brussels
(Belgium), (23/02/1999). [Consult. 14 fev. 2015]. Disponvel em WWW <http://ec.
europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files
/1999/wp17_en.pdf>
- Parecer 3/99 relativo a Informao do sector pblico e proteco de dados pessoais
Contribuio para a consulta iniciada com o Livro Verde da Comisso Europeia
intitulado "Informao do sector pblico: um recurso fundamental para a Europa"
COM(1998) 585. [Em linha]. WP 20. Brussels (Belgium), (03/05/1999). [Consult. 14 fev.
2015]. Disponvel em WWW<http://ec.europa.eu/justice/data-protection/article-29/docu
mentation/opinion-recommendation/files/1999/wp20_en.pdf >
152
- Parecer 1/2000 relativo a certos aspetos da proteco de dados no comrcio eletrnico.
[Em linha]. 5007/00/PT/FINAL WP 28 Brussels (Belgium), (03/02/2000). [Consult. 14 fev.
2015]. Disponvel em WWW <http://ec.europa.eu/justice/data-protection/article-29/docu
mentation/opinion-recommendation/files/2000/wp28_pt.pdf>
- Parecer 2/2000 relativo reviso geral do quadro jurdico em matria de
telecomunicaes. Apresentado pela Task-Force Internet [Em linha]. 009/00/PT/final WP29
Brussels (Belgium), (03/02/2000) ). [Consult. 14 fev. 2015]. Disponvel em WWW
<http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
recommendation/files/2000/wp29_pt.pdf>
- Parecer 5/2000 relativo ao uso de listas telefnicas pblicas para servios de pesquisa
invertida ou multicritrio (Listas invertidas) [Em linha]. 5058/00/ PT/FINAL, WP 33.
Brussels (Belgium), (13/07/2000). [Consult. 14 fev. 2015]. Disponvel em WWW <http:
//ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/
files/2000/wp33_en.pdf>
- Parecer 7/2000 sobre a Proposta de Diretiva do Parlamento Europeu e do Conselho
apresentada pela Comisso Europeia relativa ao tratamento de dados pessoais e
proteo da privacidade no setor das comunicaes eletrnicas [Em linha].
5042/00/PT/FINAL WP 36. Brussels (Belgium), 12/07/2000. [Consult. 10 nov. 2014].
Disponvel em WWW <http://ec.europa. eu/justice/policies/privacy/docs/wp docs/2000/
wp36pt.pdf>
- Documento de trabalho, Privacidade na Internet - Uma abordagem integrada da EU
no domnio da proteo de dados em linha [Em linha]. 5063/00/PT/FINAL, WP 37.
Brussels (Belgium), (21/11/2000). [Consult. 14 Fev. 2015]. Disponvel em WWW <http://
ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation /files
/2000/wp37_pt.pdf#h2-16>
- Recomendao sobre determinados requisitos mnimos para a recolha de dados
pessoais em linha na Unio Europeia [Em linha]. 5020/01/PT/Final WP 43. Brussels
(Belgium), (17/05/2001). [Consult. 14 Fev. 2015]. Disponvel em WWW <http://ec.europa.
eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2001/
wp43_pt.pdf>
- Documento de trabalho sobre listas negras. [Em linha]. 11118/02/PT/final, WP 65.
ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp65_pt.pdf>
- Parecer 3/2003 sobre o cdigo de conduta europeu da FEDMA relativo ao uso de dados
153
pessoais em operaes de marketing directo. [Em linha]. 10066/03/PT final WP 77.
ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/
files/2003/wp77_pt.pdf>
- Parecer 5/2005 sobre as comunicaes no solicitadas para fins de comercializao no
mbito do Artigo 13. da Directiva 2002/58/CE. [Em linha]. 11601/PT, WP 90. Brussels
(Belgium), (27/02/2004). [Consult. 16 Fev. 2014]. Disponvel em WWW <http://ec.
europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/
2004/wp90_pt.pdf>
- Parecer 10/2004 sobre a prestao mais harmonizada da informao. [Em linha].
11987/04/PT GT100. Brussels (Belgium), (25/11/2004). [Consult. 16 Fev. 2014]. Disponvel
em WWW <http://ec.europa.eu/justice/data-protection/article-29/documen tation/opinion-
recommendation/files/2004/wp100_pt.pdf>
- Working document on data protection issues related to RFID technology [Em linha].
10107/05/EN, WP 105. Brussels (Belgium), (19/01/2005). [Consult. 1 Abr. 2015]. Disponvel
em WWW <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/ wp105_en.pdf>
- Documento de trabalho sobre o tratamento de dados pessoais ligados sade em
registos de sade electrnicos (RSE) [Em linha]. 00323/07/PT, WP 131. Brussels
(Belgium), (15/02/2007). [Consult. 12 Dez. 2014]. Disponvel em WWW <http://ec.europa.
eu/justice/data-protection/article-29/documentation/opinion-recommendation
/files/2007/wp131_pt.pdf>
- Parecer 4/2007 sobre o conceito de dados pessoais. [Em linha]. 01248/07/ PT, WP 136.
Brussels (Belgium), (20/06/2007). [Consult. 12 Dez. 2014]. Disponvel em WWW
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_pt.pdf>
- Parecer 1/2008 sobre questes de proteco dos dados ligadas aos motores de pesquisa
[Em linha]. 00737/PT, WP 148. Brussels (Belgium), (04/04/2008). [Consult. 12 Dez. 2014].
Disponvel em WWW <http://ec.europa.eu/justice/data-protection/article-29/documentation/
opinion-recommendation/files/2008/wp148_pt.pdf>
- Parecer 1/2009 sobre as propostas de alterao da Diretiva 2002/58/CE relativa ao
tratamento de dados pessoais e proteo da privacidade no setor das comunicaes
eletrnicas (diretiva da privacidade eletrnica) [Em linha]. 00350/09/PT GT 159. Brussels
(Belgium), (10/02/2009). [Consult. 12 Dez. 2014]. Disponvel em WWW <http://ec.europa.eu
/justice/data-protection/article-29/documentation/opinion-recommendation/files/2009/wp159
_pt.pdf>
154
- Parecer 5/2009 sobre as redes sociais em linha [Em linha]. 01189/09/PT WP 163.
Brussels (Belgium), (12/06/2009). [Consult. 12 Dez. 2014]. Disponvel em WWW <http://ec.
2009/wp163_pt.pdf>
- The Future of Privacy Joint contribution to the Consultation of the European
Commission on the legal framework for the fundamental right to protection of personal
data [Em linha]. 02356/09/EN WP 168. Brussels (Belgium), (01/12/2009). [Consult. 12 Dez.
2014]. Disponvel em WWW <http://ec.europa.eu/justice/data-protection/article-29/ document
tation/opinion-recommendation/files/2009/wp168_en.pdf>
- Parecer 1/2010 sobre os conceitos de responsvel pelo tratamento e subcontratante
[Em linha]. 00264/10/PT WP 169. Brussels (Belgium), (16/02/2010). [Consult. 12 Dez.
2014]. Disponvel em WWW <http://ec.europa.eu/justice/data-protection/article-29/documenta
tion/opinion-recommendation/files/2010/wp169_pt.pdf>
- Parecer 2/2010 sobre publicidade comportamental em linha [Em linha]. 0909/10/PT WP
171. Brussels (Belgium), (22/06/2010). [Consult. 12 Dez. 2014]. Disponvel em WWW
<http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommen
dation/files/2010/wp171_pt.pdf>
- Parecer 4/2010 sobre o cdigo de conduta europeu da FEDMA relativo ao uso de dados
pessoais no marketing direto [Em linha]. 00065/2010/PT WP 174. Brussels (Belgium),
(13/07/2010). [Consult. 12 dez. 2014]. Disponvel em WWW <http://ec.europa.eu/justice
/data-protection/article-29/documentation/opinion-recommendation/files/2010/wp174_pt.
pdf >
- Parecer 8/2010 sobre a lei aplicvel [Em linha]. 0836-02/10/PT WP 179. Brussels
(Belgium), (16/12/2010). [Consult. 12 Dez. 2014]. Disponvel em WWW <http://ec.
2010/wp179_pt.pdf>
- Parecer 15/2011 sobre a definio de consentimento [Em linha]. 01197/11/PT WP 187.
europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files
/2011/wp187_pt.pdf>
- Parecer 4/2012 sobre a iseno de consentimento para a utilizao de testemunhos de
conexo [Em linha]. 00879/12/PT WP 194. Brussels (Belgium), (07/06/2012). [Consult. 12
Dez. 2014]. Disponvel em WWW <http://ec.europa.eu/ justice/data-protection/article-
29/documentation/opinion-recommendation/files/2012 /wp194_pt.pdf>
155
- Opinion 03/2013 on purpose limitation [Em linha]. 00569/13/EN, WP 203. Brussels
(Belgium), (02/04/2013). [Consult. 12 Dez. 2016]. Disponvel em WWW <http:// ec.europa.
eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/
wp203_en.pdf>
- Working Document 02/2013 providing guidance on obtaining consent for cookies [Em
linha]. 1676/13/EN, WP 208. Brussels (Belgium), (02/10/2013). [Consult. 12 Dez. 2016].
Disponvel em WWW <http://ec.europa.eu/justice/data-protection/article-29/ documen
tation/opinion-recommendation/files/2013/wp208_en.pdf>
- Parecer 01/2014 sobre a aplicao dos conceitos de necessidade e proporcionalidade e a
proteo de dados no setor da aplicao coerciva da lei [Em linha]. 536/14/PT, WP 211.
2014/wp211_pt.pdf>
- Parecer 06/2014 sobre o conceito de interesses legtimos do responsvel pelo
tratamento dos dados na aceo do artigo 7. da Diretiva 95/46/CE [Em linha].
844/14/PT, WP 217. Brussels (Belgium), (09/04/2014). [Consult. 12 Dez. 2016]. Disponvel
em WWW <http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-reco
mmendation/files/2014/wp217_pt.pdf>
- Parecer 8/2014 sobre os recentes desenvolvimentos na Internet das Coisas [Em linha].
1471/14/PT, WP 223. Brussels (Belgium), 26/09/2014. [Consult. 10 Dez. 2014]. Disponvel
em WWW <http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
ecommendation/files/2014/wp223_pt.pdf>
WEISER, Mark D. - The Computer of the 21st Century. Scientific American, vol. 265, n.
3, [sept 1991], p. 94-104 [Em linha]. [Consult. 7 jul. 2015]. Disponvel em WWW
<http://web.media.mit.edu/~anjchang/ti01/weiser-sciam91-ubicomp.pdf>. ISSN 1559-1662.
ZANFIR, Gabriela - Forgetting About Consent. Why The Focus Should Be On Suitable
Safeguards in Data Protection Law. in GUTWIRTH; Serge; LEENES, Ronald; HERT, Paul
De; - Reloading Data Protection. Multidisciplinary Insights and Contemporary
[Consult. 7 ago. 2016]. Disponvel em WWW <http://www. springer.com/la/book/
9789400775398> ISBN 978-94-007-7540-4. Cap. 12, p. 237-257
ZARZA, ngeles Gutirrez - Exchange of Information and Data Protection in Cross-
156
border Criminal Proceedings in Europe [Em linha]. Heidelberg [etc.] : Springer-Verlag
Berlin Heidelberg 2015. [Consult. 7 ago. 2016]. Disponvel em WWW <http://www.springer.
com/la/book/9783642402906> ISBN 978-3-642-40291-3.
157
PGINAS WEB
JURISPRUDENCIA
PGINA WEB DE JURISPRUDNCIA DOS TRIBUNAIS PORTUGUESES

<http://www.dgsi.pt/>
PGINA WEB DE JURISPRUDNCIA DO TJUE
<http://curia.europa.eu/jcms/jcms/j_6/pt/>
PGINA WEB DE JURISPRUDNCIA DO TEDH
<ttp://hudoc.echr.coe.int/eng#{"docname":["herbecq"]}>
LEGISLAO
PGINA WEB DE LEGISLAO PORTUGUESA

<https://dre.pt/>
PGINA WEB DE LEGISLAO DA UE
<http://eur-lex.europa.eu/oj/direct-access.html?locale=pt>
OUTRAS PGINAS
PGINAS WEB GERAIS DE INTERESSE
<http://www.w3.org/Consortium/>
158

DISSERTAÇÃO Tratamento Dados Pessoais Clientes Marketing

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

DISSERTAÇÃO Tratamento Dados Pessoais Clientes Marketing

Enviado por

Direitos autorais:

Formatos disponíveis

UNIVERSIDADE AUTNOMA DE LISBOA

O TRATAMENTO DE DADOS PESSOAIS DE CLIENTES

Dissertao apresentada para a obteno do

Orientadora: Professora Doutora Ana Roque

Lista de Siglas e Abreviaturas: ................................................................................................... 5

Diretiva 2002/58/CE Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de

1-1. Apresentao da dissertao

1-1.1. O objeto e estrutura da dissertao

1-1.2. O procedimento metodolgico

CAPTULO II CONTEXTO TECNOLGICO E O DIREITO PROTEO DE

2-2. Contexto tecnolgico

2-2.2. Operadores econmicos

2-2.4. O direito proteo de dados

2-2.5. Gnese do direito proteo de dados

2-2.6.1. O desenvolvimento legislativo

2-2.6.2. O Tribunal Europeu dos Direitos do Homem

2-2.7. A proteo de dados nos instrumentos internacionais

2-2.7.1. A Conveno 108 do Conselho da Europa

2-2.8. O papel da Unio Europeia

2-2.8.1. O desenvolvimento legislativo na Unio Europeia

completa, conforme Ac. Asociacin Nacional de Establecimientos Financieros de Crdito (ASNEF) e

2-2.8.2. A Carta dos Direitos Fundamentais da Unio Europeia

Roquette Frres SA v. Directeur gnral de la concurrence, de la consommation et de la rpression des fraude e

2-2.9. A reforma da proteo de dados na Unio Europeia

2-3. A evoluo da lei nacional

2-3.1. O direito proteo de dados e a doutrina nacional

2-3.2. mbito de aplicao do regime do direito proteo de dados177

2-3.2.1. Dados pessoais de pessoas singulares

2-3.2.2. O tratamento de dados no requer um suporte especfico

2-3.2.3. O mbito territorial do direito proteo de dados pessoais

2-3.2.4. A transferncia de dados para fora da Unio Europeia

Record) e TFTP (Terrorist Financing Tracking Program).

2-4. Definio de dados pessoais

2-4.1. Natureza da informao

2-4.1.1. Identificao de objetos

2-4.3. Identificabilidade de uma pessoa

2-4.3.1. Identificadores diretos e indiretos

2-4.3.2. Meios utilizados na identificao

2-4.3.3. A ampliao do conceito de dados pessoais no RGPD

2-4.4. Identidade e Autenticao

2-4.5. Tcnicas de proteo contra a identificabilidade

2-4.5.1. Anonimizao de dados

2-4.5.2. Pseudonimizao de dados

2-4.5.3. Pseudonimizao de dados no RGPD

2-4.6. Dados sensveis

3-5.2. Os direitos dos titulares dos dados pessoais

3-5.2.1. O direito de informao

3-5.2.2. O direito de acesso

3-5.2.3. O direito de retificao

3-5.2.4. O direito ao apagamento ou bloqueio de dados

3-5.2.5. O direito de oposio

3-5.3. Os direitos dos titulares dos dados pessoais no RGPD

CAPTULO VI CONSIDERAES GERAIS SOBRE O TRATAMENTO DE

3-6. O tratamento de dados pessoais

3-6.1. O conceito de tratamento de dados pessoais

3-6.2. O papel do responsvel pelo tratamento de dados pessoais

responsvel do tratamento) (PULIDO, Emilia Zaballos - La proteccin de datos personales en Espaa :

3-6.2.1. O responsvel pelo tratamento de dados pessoais no mbito do RGPD

3-6.3. A legalizao do tratamento de dados pessoais

3-6.3.1. A notificao CNPD

3-6.3.2. A iseno da notificao CNPD

3-6.3.3. A autorizao concedida pela CNPD

3-6.3.4. A consulta prvia e a autorizao previstas no RGPD

3-7. Os princpios do tratamento de dados pessoais