Você está na página 1de 216

MANUAL

Manual da Legislao
Europeia sobre Proteo
de Dados
Agncia dos Direitos Fundamentais da Unio Europeia, 2014
Conselho da Europa, 2014
A redao do presente manual foi concluda em abril de 2014.
As atualizaes sero publicadas no stio da Internet da FRA em: fra.europa.eu, no stio da Internet
do Conselho da Europa em: coe.int/dataprotection e no stio da Internet do Tribunal Europeu dos
Direitos do Homem, sob o menu Case-Law, em: echr.coe.int
Reproduo autorizada, excepto para fins comercials, mediante indicao da fonte.

Europe Direct um servio que responde


s suas perguntas sobre a Unio Europeia

Linha telefnica gratuita (*):


00 800 6 7 8 9 10 11
(*) As informaes prestadas so gratuitas, tal como a maior parte das chamadas, embora
alguns operadores, cabinas telefnicas ou hotis as possam cobrar.

Crdito das fotos (portada e interior): iStockphoto

Mais informaes sobre a Unio Europeia encontram-se disponveis na rede Internet, via servidor
Europa (http://europa.eu).

Uma ficha catalogrfica figura no fim desta publicao.

Luxemburgo: Servio das Publicaes da Unio Europeia, 2014

ISBN 978-92-871-9939-3 (Conselho da Europa)


ISBN 978-92-9239-498-1 (FRA)
doi:10.2811/73790

Printed in Belgium

Impresso em papel branqueado sem cloro elementar (ECF)

O presente manual foi redigido em Ingls. O Conselho da Europa (CE) e o Tribunal Europeu dos
Direitos do Homem (TEDH) no assumem qualquer responsabilidade pela qualidade das tradues
para outras lnguas. As opinies expressas no presente manual no vinculam o CE nem o TEDH.
O manual faz referncia a alguns comentrios e manuais. O CE e o TEDH no assumem qualquer
responsabilidade pelo seu contedo e a sua incluso nesta lista no constitui uma manifestao
de aprovao dessas publicaes. Podem ser consultadas outras listas de publicaes nas pginas
Internet da biblioteca do TEDH em: echr.coe.int.
Manual da Legislao
Europeia sobre Proteo
de Dados
Prefcio
O presente Manual da Legislao Europeia sobre Proteo de Dados foi elaborado
pela Agncia dos Direitos Fundamentais da Unio Europeia(FRA) e pelo Conse-
lho da Europa, em conjunto com a Secretaria do Tribunal Europeu dos Direitos do
Homem. Tratase do terceiro numa srie de manuais jurdicos elaborados em con-
junto pela FRA e pelo Conselho da Europa. Em maro de 2011, foi publicado um pri-
meiro manual sobre a legislao europeia antidiscriminao e, em junho de 2013,
um segundo manual sobre a legislao europeia em matria de asilo, fronteiras e
imigrao.

Decidimos manter esta nossa colaborao num tema extremamente atual, que nos
afeta a todos, todos os dias: a proteo de dados pessoais. A Europa goza de um
dos sistemas mais protetores neste domnio, que assenta na Conveno 108 do
Conselho da Europa, em instrumentos da Unio Europeia (UE) e na jurisprudncia
do Tribunal Europeu dos Direitos do Homem (TEDH) e do Tribunal de Justia da Unio
Europeia (TJUE).

O presente manual visa divulgar e melhorar os conhecimentos sobre as regras rela-


tivas proteo de dados nos Estados-Membros da Unio Europeia e do Conselho
da Europa, servindo como principal ponto de referncia para os leitores. Tem por
destinatrios profissionais do Direito no especializados nesta rea, juzes, autorida-
des nacionais de proteo de dados e outras pessoas que trabalham no campo da
proteo de dados.

Com a entrada em vigor do Tratado de Lisboa em dezembro de 2009, a Carta dos


Direitos Fundamentais da UE tornouse juridicamente vinculativa, o que conferiu
proteo de dados pessoais o estatuto de direito fundamental autnomo. Para pro-
teger este direito fundamental, crucial compreender melhor a Conveno 108 do
Conselho da Europa e os instrumentos da UE, que abriram caminho para a proteo
de dados na Europa, bem como a jurisprudncia do TJUE e do TEDH.

3
Manual da Legislao Europeia sobre Proteo de Dados

Gostaramos de agradecer ao Instituto de Direitos Humanos Ludwig Boltzmann pelo


seu contributo na redao deste manual. Gostaramos igualmente de expressar a
nossa gratido ao gabinete da Autoridade Europeia para a Proteo de Dados pelo
seu apoio durante a fase de redao do manual. Agradecemos em particular uni-
dade de proteo de dados da Comisso Europeia pelo seu envolvimento durante a
preparao deste manual. Por ltimo, gostaramos de expressar o nosso agradeci-
mento Comisso Nacional de Proteco de Dados CNPD, pela reviso da traduo
deste Manual para Portugus.

Philippe Boillat Morten Kjaerum

Diretor Geral Diretor


de Direitos Humanos e Estado de Direito da Agncia dos Direitos Fundamentais
Conselho da Europa da Unio Europeia

4
ndice
PREFCIO .................................................................................................................................................................................................................................. 3

ABREVIATURAS, SIGLAS E ACRNIMOS ............................................................................................................................................ 9

COMO UTILIZAR ESTE MANUAL ............................................................................................................................................................... 11

1. CONTEXTO E ANTECEDENTES DALEGISLAO EUROPEIA SOBRE PROTEO


DE DADOS ................................................................................................................................................................................................................ 13
1.1. O direito proteo de dados .................................................................................................................................. 14
Pontos-chave ....................................................................................................................................................................................................... 14
1.1.1. A Conveno Europeia dos Direitos do Homem ............................................................................. 14
1.1.2. Conveno 108 do Conselho da Europa ................................................................................................ 15
1.1.3. Legislao da Unio Europeia sobre proteo dedados ......................................................... 18
1.2. Conciliao de direitos ....................................................................................................................................................... 22
Ponto-chave ......................................................................................................................................................................................................... 22
1.2.1. Liberdade de expresso ........................................................................................................................................ 23
1.2.2. Acesso aos documentos ....................................................................................................................................... 27
1.2.3. Liberdade das artes e das cincias .............................................................................................................. 31
1.2.4. Proteo da propriedade ...................................................................................................................................... 33

2. TERMINOLOGIA SOBRE PROTEO DE DADOS ........................................................................................................ 35


2.1. Dados pessoais .......................................................................................................................................................................... 36
Pontos-chave ....................................................................................................................................................................................................... 36
2.1.1. Principais aspetos do conceito de dados pessoais ....................................................................... 37
2.1.2. Categorias especficas de dados pessoais ........................................................................................... 44
2.1.3. Dados anonimizados e pseudonimizados ............................................................................................ 45
2.2. Tratamento de dados ......................................................................................................................................................... 48
Pontos-chave ....................................................................................................................................................................................................... 48
2.3. Os utilizadores de dados pessoais ...................................................................................................................... 50
Pontos-chave ....................................................................................................................................................................................................... 50
2.3.1. Responsveis pelo tratamento esubcontratantes ...................................................................... 51
2.3.2. Destinatrios e terceiros ........................................................................................................................................ 57
2.4. Consentimento ........................................................................................................................................................................... 58
Pontos-chave ....................................................................................................................................................................................................... 58
2.4.1. Os elementos de um consentimento vlido ...................................................................................... 59
2.4.2. O direito de revogar o consentimento a todo otempo ........................................................... 64

5
3. OS PRINCPIOS FUNDAMENTAIS DA LEGISLAO EUROPEIA SOBRE
PROTEO DE DADOS .............................................................................................................................................................................. 65
3.1. O princpio do tratamento lcito .............................................................................................................................. 66
Pontos-chave ....................................................................................................................................................................................................... 66
3.1.1. Os requisitos de justificao da ingerncia aoabrigo da CEDH ......................................... 67

3.1.2. As condies do estabelecimento de restries lcitas ao abrigo da Carta


da UE ....................................................................................................................................................................................... 70

3.2. O princpio da especificao edalimitao da finalidade ..................................................... 72


Pontos-chave ....................................................................................................................................................................................................... 72
3.3. Princpios relativos qualidade dosdados .............................................................................................. 74
Pontos-chave ....................................................................................................................................................................................................... 74
3.3.1. O princpio da pertinncia dos dados ........................................................................................................ 75

3.3.2. O princpio da exatido dos dados .............................................................................................................. 76

3.3.3. O princpio da limitao da conservao dosdados ................................................................... 77

3.4. O princpio do tratamento leal ................................................................................................................................. 78


Pontos-chave ....................................................................................................................................................................................................... 78
3.4.1. Transparncia .................................................................................................................................................................. 79

3.4.2. Criar uma relao de confiana ...................................................................................................................... 79

3.5. O princpio da responsabilidade ............................................................................................................................. 81


Pontos-chave ....................................................................................................................................................................................................... 81

4. AS REGRAS DA LEGISLAO EUROPEIA SOBRE PROTEO DE DADOS .................................... 83


4.1. Regras sobre o tratamento lcito .......................................................................................................................... 85
Pontos-chave ....................................................................................................................................................................................................... 85
4.1.1. Tratamento lcito de dados no sensveis ............................................................................................ 85

4.1.2. Tratamento lcito de dados sensveis ........................................................................................................ 92

4.2. Regras sobre a segurana do tratamento ................................................................................................ 95


Pontos-chave ....................................................................................................................................................................................................... 95
4.2.1. Elementos da segurana dos dados .......................................................................................................... 96

4.2.2. Confidencialidade ........................................................................................................................................................ 99

4.3. Regras sobre a transparncia dotratamento ................................................................................... 100


Pontos-chave ................................................................................................................................................................................................... 100
4.3.1. Informao .....................................................................................................................................................................101

4.3.2. Notificao ......................................................................................................................................................................104

4.4. Regras sobre a promoo documprimento ...................................................................................... 105


Pontos-chave ................................................................................................................................................................................................... 105
4.4.1. Controlo prvio ...........................................................................................................................................................106

4.4.2. Encarregados da proteo dos dados pessoais ...........................................................................106

4.4.3. Cdigos de conduta ................................................................................................................................................107

6
5. OS DIREITOS DAS PESSOAS EM CAUSA E A TUTELA DOSEUEXERCCIO ............................... 109
5.1. Os direitos dos titulares dos dados ................................................................................................................ 111
Pontos-chave ................................................................................................................................................................................................... 111
5.1.1. Direito de acesso .......................................................................................................................................................112

5.1.2. Direito de oposio .................................................................................................................................................119

5.2. Controlo independente ................................................................................................................................................. 122


Pontos-chave ................................................................................................................................................................................................... 122
5.3. Recursos e sanes .......................................................................................................................................................... 127
Pontos-chave ................................................................................................................................................................................................... 127
5.3.1. Pedidos ao responsvel pelo tratamento ..........................................................................................127

5.3.2. Pedidos deduzidos perante a autoridade decontrolo ............................................................129

5.3.3. Pedido deduzido perante o tribunal ........................................................................................................130

5.3.4. Sanes .............................................................................................................................................................................135

6. FLUXOS TRANSFRONTEIRIOS DEDADOS .................................................................................................................. 137


6.1. Natureza dos fluxos transfronteirios dedados ............................................................................ 138
Pontos-chave ................................................................................................................................................................................................... 138
6.2. Livre fluxo de dados entre os EstadosMembros ou entre as Partes
Contratantes .............................................................................................................................................................................. 140
Pontos-chave ................................................................................................................................................................................................... 140
6.3. Livre fluxo de dados para pases terceiros ........................................................................................... 141
Pontos-chave ................................................................................................................................................................................................... 141
6.3.1. Livre fluxo de dados devido a uma proteo adequada .....................................................142

6.3.2. Livre fluxo de dados em casos especficos ......................................................................................143

6.4. Restries ao fluxo de dados para pases terceiros .................................................................. 145


Pontos-chave ................................................................................................................................................................................................... 145
6.4.1. Clusulas contratuais .............................................................................................................................................146

6.4.2. Regras vinculativas para as empresas ..................................................................................................148

6.4.3. Acordos internacionais especiais ...............................................................................................................148

7. PROTEO DE DADOS NO CONTEXTO DA ATIVIDADE POLICIAL E DA JUSTIA


PENAL ....................................................................................................................................................................................................................... 153
7.1. Legislao do CdE sobre proteo de dados no domnio policial e da
justia penal ................................................................................................................................................................................ 154
Pontos-chave ................................................................................................................................................................................................... 154
7.1.1. A Recomendao sobre a atividade policial ....................................................................................155

7.1.2. Conveno de Budapeste sobre o Cibercrime ..............................................................................158

7.2. Legislao da UE sobre proteo dedados em matria policial e penal ........ 159
Pontos-chave ................................................................................................................................................................................................... 159
7.2.1. A Deciso-Quadro relativa proteo de dados ........................................................................160

7
7.2.2. Instrumentos jurdicos mais especficos sobre a proteo de dados no
mbito da cooperao transfronteiria entre autoridades policiais e
judicirias ..........................................................................................................................................................................162
7.2.3. Proteo de dados na Europol e na Eurojust ..................................................................................163
7.2.4. Proteo de dados nos sistemas de informao comuns ao nvel da UE ............167

8. OUTRA LEGISLAO EUROPEIA ESPECFICA SOBRE PROTEO DE DADOS ..................... 175


8.1. Comunicaes eletrnicas ........................................................................................................................................ 176
Pontos-chave ................................................................................................................................................................................................... 176
8.2. Dados sobre o emprego ............................................................................................................................................. 181
Pontos-chave ................................................................................................................................................................................................... 181
8.3. Dados mdicos ....................................................................................................................................................................... 183
Ponto-chave ..................................................................................................................................................................................................... 183
8.4. Tratamento de dados para fins estatsticos ........................................................................................ 186
Pontos-chave ................................................................................................................................................................................................... 186
8.5. Dados financeiros ................................................................................................................................................................ 189
Pontos-chave ................................................................................................................................................................................................... 189
LEITURA COMPLEMENTAR ......................................................................................................................................................................... 193

JURISPRUDNCIA ..................................................................................................................................................................................................... 199


Jurisprudncia selecionada do Tribunal Europeu dos Direitos do Homem ........................... 199
Jurisprudncia selecionada do Tribunal de Justia da Unio Europeia ........................................ 203
LISTA DE PROCESSOS ......................................................................................................................................................................................... 207

8
Abreviaturas, siglas e acrnimos
AEPD Autoridade Europeia para a Proteo de Dados

BCR Regras vinculativas para as empresas

Carta Carta dos Direitos Fundamentais da Unio Europeia

CCTV Circuito fechado de televiso

CE Comunidade Europeia

CdE Conselho da Europa

CEDH Conveno Europeia dos Direitos do Homem

Conveno 108 Conveno para a Proteo das Pessoas relativamente ao Trata-


mento Automatizado de Dados de Carter Pessoal (Conselho da
Europa)

CRM Gesto do relacionamento com os clientes

C-SIS Parte central do Sistema de Informao Schengen

DUDH Declarao Universal dos Direitos do Homem

EEE Espao Econmico Europeu

EFTA Associao Europeia de Comrcio Livre

ENISA Agncia Europeia para a Segurana das Redes e da Informao

ENU Unidade Nacional Europol

ESMA Autoridade Europeia dos Valores Mobilirios e dos Mercados

eTEN Redes Transeuropeias de Telecomunicaes

eu-LISA Agncia Europeia para os Sistemas Informticos de Grande Escala

EuroPriSe Selo Europeu de Privacidade

FRA Agncia dos Direitos Fundamentais da Unio Europeia

GPS Sistema de posicionamento global

ICC Instncia Comum de Controlo

MDE Mandado de Deteno Europeu

N-SIS Parte nacional do Sistema de Informao Schengen

9
OCDE Organizao para a Cooperao e Desenvolvimento Econmico

ONG Organizao no-governamental

ONU Organizao das Naes Unidas

PIN Nmero de identificao pessoal

PNR Registo de identificao dos passageiros

SEPA Espao nico de Pagamentos em Euros

SIA Sistema de Informao Aduaneiro

SIS Sistema de Informao Schengen

STCE Srie de Tratados do Conselho da Europa

SWIFT Sociedade das Telecomunicaes Financeiras Interbancrias no


Mundo

TEDH Tribunal Europeu dos Direitos do Homem

TFUE Tratado sobre o Funcionamento da Unio Europeia

TJUE Tribunal de Justia da Unio Europeia (antes de dezembro de


2009, designavase Tribunal de Justia das Comunidades Euro-
peias, TJCE)

Tratado UE Tratado da Unio Europeia

UE Unio Europeia

VIS Sistema de Informao sobre Vistos

10
Como utilizar este manual
O presente manual apresenta uma viso geral da legislao aplicvel proteo de
dados em relao Unio Europeia (UE) e ao Conselho da Europa (CdE).

O manual visa auxiliar os profissionais do Direito que no so especializados na rea


da proteo de dados; destinase a juristas, advogados, juzes e outros profissionais,
bem como a pessoas que trabalham para outros organismos, como organizaes
no-governamentais (ONG), que podero ser confrontados com questes jurdicas
relacionadas com proteo de dados.

Trata-se de um primeiro ponto de referncia sobre a legislao da UE e a Conveno


Europeia dos Direitos do Homem (CEDH) em matria de proteo de dados, expli-
cando de que modo esta rea do Direito regulada na legislao da UE e na CEDH,
bem como na Conveno do CdE para a Proteo das Pessoas relativamente ao Tra-
tamento Automatizado de Dados de Carter Pessoal (Conveno108) e em outros
instrumentos do CdE. No incio de cada captulo apresentado um quadro com as
disposies legais aplicveis, incluindo jurisprudncia importante, ao abrigo dos dois
sistemas jurdicos europeus. De seguida, so apresentados sucessivamente os ins-
trumentos legislativos destes dois ordenamentos jurdicos aplicveis a cada tpico.
Deste modo, o leitor poder aperceberse facilmente das semelhanas e diferenas
entre os dois sistemas jurdicos.

Os quadros que figuram no incio de cada captulo enumeram os tpicos que nele
sero abordados e identificam as disposies legais aplicveis e outro material rele-
vante, nomeadamente jurisprudncia. A ordem dos tpicos poder ser ligeiramente
diferente da estrutura do texto de cada captulo se tal for considerado conveniente
para assegurar uma apresentao concisa do seu contedo. Os quadros abrangem
o direito do CdE e o direito da UE, o que dever ajudar os leitores a encontrar as
informaes mais importantes aplicveis ao seu caso, especialmente se estiverem
unicamente sujeitos ao direito do CdE.

Os profissionais de Estados no pertencentes UE que sejam membros do CdE e


partes na CEDH e na Conveno 108 podem encontrar as informaes relevantes
para o seu prprio pas consultando diretamente as seces sobre o CdE. Os profis-
sionais dos Estados-Membros da UE tero de consultar as duas seces, dado que
esto sujeitos a ambos os ordenamentos jurdicos. A seco Leitura complemen-
tar do manual contm uma lista de material de referncia mais especializado que
poder ser til para aqueles que necessitem de mais informaes sobre uma ques-
to especfica.

11
Manual da Legislao Europeia sobre Proteo de Dados

O direito do CdE apresentado atravs de breves referncias a processos do Tribunal


Europeu dos Direitos do Homem(TEDH), que foram selecionados de entre o vasto
nmero de acrdos e decises do TEDH sobre questes relacionadas com proteo
de dados.

O direito da UE abrange as medidas legislativas adotadas, as disposies relevan-


tes dos Tratados e a Carta dos Direitos Fundamentais da Unio Europeia, tal como
interpretadas na jurisprudncia do Tribunal de Justia da Unio Europeia(TJUE, que
se designava Tribunal de Justia das Comunidades Europeias [TJCE] antes de 2009).

A jurisprudncia descrita ou citada no presente manual fornece exemplos de um


importante conjunto de acrdos e decises do TEDH e do TJUE. As orientaes
apresentadas no final deste manual visam ajudar o leitor a pesquisar jurisprudncia
na Internet.

Alm disso, so apresentados exemplos prticos com cenrios hipotticos em caixas


de texto para ilustrar melhor a aplicao das regras europeias sobre proteo de
dados na prtica, sobretudo nos casos em que no existe jurisprudncia especfica
do TEDH ou do TJUE sobre a matria em causa.

O manual comea com uma breve descrio do papel dos dois sistemas jurdicos
estabelecidos pela CEDH e pelo direito da UE (captulo1). Os captulos2 a 8 abran-
gem as seguintes questes:

terminologia sobre proteo de dados;

princpios fundamentais da legislao europeia sobre proteo de dados;

regras da legislao europeia sobre proteo de dados;

direitos dos titulares dos dados e a tutela do seu exerccio;

fluxos transfronteirios de dados;

proteo de dados no contexto da atividade policial e da justia penal;

outra legislao europeia especfica sobre proteo de dados.

12
1.

1
Contexto e antecedentes
dalegislao europeia sobre
proteo de dados
UE Questes CdE
abrangidas
O direito proteo de dados
Diretiva95/46/CE relativa proteo CEDH, artigo 8. (direito ao
das pessoas singulares no que diz respeito pela vida privada e
respeito ao tratamento de dados familiar, pelo domiclio e pela
pessoais e livre circulao desses correspondncia)
dados (Diretiva de Proteo de Dados), Conveno para a Proteo
JOL 281, 1995 das Pessoas relativamente
ao Tratamento Automatizado
de Dados de Carter Pessoal
(Conveno 108)
Conciliao de direitos
TJUE, acrdo de 9 de novembro de Em geral
2010 nos processos apensos C-92/09
e C-93/09, Volker und Markus Schecke
GbR e Hartmut Eifert/Land Hessen
TJUE, acrdo de 16 de dezembro Liberdade de TEDH, acrdo Axel Springer AG
de 2008 no processo C-73/07, expresso c. Alemanha de 7 de fevereiro de
Tietosuojavaltuutettu/Satakunnan 2012
Markkinaprssi Oy e Satamedia Oy TEDH, acrdo Mosley c. Reino
Unido de 10 de maio de 2011
Liberdade das TEDH, acrdo Vereinigung
artes e das bildender Knstler c. ustria de 25
cincias de janeiro de 2007
TJUE, acrdo de 29 de janeiro de 2008 Proteo da
no processo C275/06, Productores propriedade
de Msica de Espaa (Promusicae)/
Telefnica de Espaa SAU
TJUE, acrdo de 29 de junho de 2010 Acesso aos TEDH, acrdo Trsasg a
no processo C28/08P, Comisso documentos Szabadsgjogokrt c. Hungria de
Europeia/The Bavarian Lager Co. Ltd 14 de abril de 2009

13
Manual da Legislao Europeia sobre Proteo de Dados

1.1. O direito proteo de dados


Pontos-chave

Nos termos do artigo8. da CEDH, o direito proteo contra a recolha e utilizao de


dados pessoais faz parte do direito ao respeito pela vida privada e familiar, pelo domi-
clio e pela correspondncia.

A Conveno108 do CdE o primeiro instrumento internacional juridicamente vincula-


tivo que regula expressamente a proteo de dados.

Ao nvel da UE, a proteo de dados foi regulada pela primeira vez pela Diretiva de
Proteo de Dados.

No direito da UE, a proteo de dados reconhecida como um direito fundamental.

O direito proteo contra intromisses de terceiros, especialmente do Estado, na


vida privada foi consagrado pela primeira vez num instrumento jurdico internacional
no artigo12. da Declarao Universal dos Direitos do Homem (DUDH) das Naes
Unidas, de 1948, relativo ao respeito pela vida privada e familiar.1 A DUDH influen-
ciou a formulao de outros instrumentos sobre direitos humanos na Europa.

1.1.1. A Conveno Europeia dos Direitos do Homem


Criado no rescaldo da II Guerra Mundial, o Conselho da Europa rene os Estados da
Europa com o objetivo de promover o Estado de direito, a democracia, os direitos
humanos e o desenvolvimento social. Para este efeito, adotou a Conveno Euro-
peia dos Direitos do Homem (CEDH) em 1950, que entrou em vigor em 1953.

Os Estados esto sujeitos a uma obrigao internacional de cumprimento da CEDH.


Todos os Estados membros do CdE incorporaram ou deram cumprimento CEDH no
seu direito nacional, pelo que so obrigados a atuar em conformidade com as dispo-
sies da Conveno.

Em 1959, foi criado em Estrasburgo, Frana, o Tribunal Europeu dos Direitos do


Homem (TEDH) para garantir que as Partes Contratantes cumprem as obrigaes
assumidas ao abrigo da CEDH. O TEDH assegura o cumprimento das obrigaes
assumidas pelos Estados ao abrigo da Conveno atravs da apreciao de quei-
xas apresentadas por cidados, grupos de cidados, ONG ou pessoas coletivas que

1 Declarao Universal dos Direitos do Homem (DUDH) das Naes Unidas, de10dedezembrode1948.

14
Contexto e antecedentes dalegislao europeia sobre proteo de dados

aleguem violaes da Conveno. Em 2013, o Conselho da Europa era constitudo


por 47Estados membros, 28 dos quais so tambm Estados-Membros da UE. Para
apresentar uma petio ao TEDH, no necessrio ser nacional de um dos Estados
membros. O TEDH tambm pode conhecer de aes instauradas por um ou mais
Estados membros do CdE contra outro Estado membro.

O direito proteo de dados pessoais faz parte dos direitos tutelados pelo artigo8.
da CEDH, que garante o direito ao respeito pela vida privada e familiar, pelo domiclio
e pela correspondncia e estabelece as condies em que so permitidas restries
a este direito.2

Atravs da sua jurisprudncia, o TEDH pronunciouse sobre muitas situaes em que


foi suscitada a questo da proteo de dados, entre as quais importa destacar ques-
tes relacionadas com a interceo de comunicaes,3 vrias formas de vigilncia4 e
proteo contra o armazenamento de dados pessoais pelas autoridades pblicas.5 O
TEDH esclareceu que o artigo8. da CEDH no s obriga os Estados a absteremse de
praticar atos suscetveis de violar este direito consagrado na Conveno como impe
tambm, em certos casos, uma obrigao positiva de assegurar ativamente o res-
peito efetivo pela vida privada e familiar.6 Muitos destes casos sero mencionados,
em pormenor, nos captulos adequados.

1.1.2. Conveno 108 do Conselho da Europa


O surgimento da tecnologia da informao na dcada de 60 foi acompanhado por
uma crescente necessidade de adotar regras mais pormenorizadas para salva-
guardar as pessoas atravs da proteo dos seus dados (pessoais). Em meados da
dcada de 70, o Comit de Ministros do Conselho da Europa adotou vrias reso-
lues sobre a proteo de dados pessoais que faziam referncia ao artigo 8. da

2 CdE, Conveno Europeia dos Direitos do Homem, STCEn..005,1950.


3 Ver, por exemplo, TEDH, acrdo Malone c. Reino Unido de 2 de agosto de 1984, petio n.8691/79;
TEDH, acrdo Copland c. Reino Unido de 3deabrilde2007, petio n.62617/00.
4 Ver, por exemplo, TEDH, acrdo Klass e o. c. Alemanha de 6 de setembro de 1978, petio
n.5029/71; TEDH, acrdo Uzun c. Alemanha de 2deSetembrode2010, petio n.35623/05.
5 Ver, por exemplo, TEDH, acrdo Leander c. Sucia de 26 de maro de 1987, petio n.9248/81; TEDH,
acrdo S. and Marper c. Reino Unido de 4dedezembrode2008, peties n.s30562/04 e 30566/04.
6 Ver, por exemplo, TEDH, acrdo I. c. Finlndia de 17 de julho de 2008, petio n.20511/03; TEDH,
acrdo K.U. c. Finlndia de 2dedezembrode2008, petio n.2872/02.

15
Manual da Legislao Europeia sobre Proteo de Dados

CEDH.7 Em 1981, foi aberta a assinatura a Conveno para a proteo das pessoas
relativamente ao tratamento automatizado de dados de carter pessoal (Conveno
108)8. A Conveno 108 era, e ainda , o nico instrumento internacional juridica-
mente vinculativo no domnio da proteo de dados.

A Conveno 108 aplica-se a todos os tratamentos de dados pessoais realizados


tanto pelo setor privado como pelo setor pblico, incluindo os tratamentos de dados
efetuados pelas autoridades policiais e judicirias. Protege as pessoas contra os
abusos que podem acompanhar a recolha e o tratamento de dados pessoais e pro-
cura simultaneamente regular o fluxo transfronteirio de dados pessoais. Quanto
recolha e tratamento de dados pessoais, os princpios estabelecidos na Conveno
respeitam, em especial, recolha e tratamento automatizado de dados de forma
leal e lcita, armazenados para finalidades determinadas e legtimas, no podendo
ser utilizados para fins incompatveis com essas finalidades nem conservados por
tempo superior ao necessrio. Dizem tambm respeito qualidade dos dados, esta-
belecendo, em especial, que tm de ser adequados, pertinentes e no excessivos
(proporcionalidade), bem como exatos.

Alm de prever garantias relativas recolha e tratamento de dados pessoais, a Con-


veno probe, na ausncia de garantias jurdicas adequadas, o tratamento de dados
sensveis, tais como dados sobre a raa, a opinio poltica, a sade, as convices
religiosas, a vida sexual ou o registo criminal de uma pessoa.

A Conveno consagra igualmente o direito das pessoas a saberem que existem


informaes armazenadas a seu respeito e, se necessrio, a que as mesmas sejam
retificadas. S so admitidas restries aos direitos estabelecidos na Conveno
quando estiverem em causa interesses superiores, como a proteo da segurana
do Estado.

7 CdE, Comit de Ministros (1973), Resolution(73)22 on the protection of the privacy of individuals
vis--vis electronic data banks in the private sector (Resoluo(73)22 relativa proteo da
privacidade das pessoas singulares perante os bancos eletrnicos de dados no setor privado), de
26desetembrode1973; CdE, Comit de Ministros (1974), Resolution(74)29 on the protection of the
privacy of individuals vis--vis electronic data banks in the public sector (Resoluo(74)29 relativa
proteo da privacidade das pessoas singulares perante os bancos eletrnicos de dados no setor
pblico), 20deSetembrode1974.
8 CdE, Conveno para a Proteo das Pessoas relativamente ao Tratamento Automatizado de Dados de
Carter Pessoal, Conselho da Europa, STCE n.108,1981.

16
Contexto e antecedentes dalegislao europeia sobre proteo de dados

Embora a Conveno preveja o livre fluxo de dados pessoais entre os Estados signa-
trios, tambm impe algumas restries aos fluxos para Estados cuja regulamenta-
o no proporcione uma proteo equivalente.

O Comit de Ministros do CdE adotou vrias recomendaes (que no so juridica-


mente vinculativas) para desenvolver os princpios gerais e as regras estabelecidos
na Conveno108 (ver captulos7 e 8).

Todos os Estados-Membros da UE ratificaram a Conveno108. Em1999, a Conven-


o foi alterada para permitir a adeso da UE.9 Em2001, foi adotado um protocolo
adicional Conveno108 que estabelece disposies sobre fluxos transfronteirios
de dados para Estados no signatrios, os chamados pases terceiros, e sobre a cria-
o obrigatria de autoridades nacionais de controlo de proteo de dados. 10

Perspetivas

Na sequncia da deciso de modernizar a Conveno108, foi realizada uma consulta


pblica em2011 que permitiu confirmar os dois principais objetivos daquele traba-
lho: reforar a proteo da privacidade no espao digital e fortalecer o mecanismo
de acompanhamento da Conveno.

A Conveno108 est aberta adeso de Estados que no sejam membros do CdE,


incluindo pases no europeus. O potencial da Conveno para se afirmar como uma
norma universal e o seu carter aberto poderiam servir de base para promover a
proteo de dados a nvel mundial.

Atualmente, 45 das 46 Partes Contratantes da Conveno108 so Estados mem-


bros do CdE. O Uruguai foi o primeiro pas no europeu a aderir Conveno108 em
agostode2013 e Marrocos, que foi convidado a aderir Conveno pelo Comit de
Ministros, est a formalizar a sua adeso.

9 CdE, Alteraes Conveno para a Proteo das Pessoas relativamente ao Tratamento Automatizado
de Dados de Carter Pessoal (STCE n.108) que permitem a adeso das Comunidades Europeias,
adotadas pelo Comit de Ministros em Estrasburgo, em15dejunhode1999; artigo23., n. 2, da
Conveno108 na redao em vigor.
10 CdE, Protocolo Adicional Conveno para a Proteo das Pessoas relativamente ao Tratamento
Automatizado de Dados de Carter Pessoal, respeitante s autoridades de controlo e aos fluxos
transfronteirios de dados, STCE n. 181, 2001.

17
Manual da Legislao Europeia sobre Proteo de Dados

1.1.3. Legislao da Unio Europeia sobre proteo


dedados
O direito da UE constitudo pelos tratados e pelo direito secundrio. Os tratados,
nomeadamente o Tratado da Unio Europeia (TUE) e o Tratado sobre o Funciona-
mento da Unio Europeia (TFUE), foram aprovados por todos os Estados-Membros
da UE e tambm so conhecidos por direito primrio da UE. Os regulamentos,
diretivas e decises da UE foram adotados pelas instituies da UE ao abrigo da
competncia que lhes foi atribuda pelos tratados; estes instrumentos so frequen-
temente designados por direito secundrio da UE.

O principal instrumento jurdico da UE sobre proteo de dados a Diretiva 95/46/CE


do Parlamento Europeu e do Conselho, de 24deoutubrode1995, relativa prote-
o das pessoas singulares no que diz respeito ao tratamento de dados pessoais e
livre circulao desses dados (Diretiva de Proteo de Dados).11 Esta Diretiva foi ado-
tada em 1995, numa altura em que vrios Estados-Membros tinham j adotado leis
nacionais sobre proteo de dados. A livre circulao de mercadorias, capitais, servi-
os e pessoas no mercado interno exigia o livre fluxo de dados, que s seria possvel
se os Estados-Membros pudessem confiar na existncia de um nvel uniformemente
elevado de proteo de dados.

Uma vez que o objetivo da aprovao da Diretiva de Proteo de Dados era a har-
monizao12 da legislao sobre proteo de dados a nvel nacional, previsto um
grau de especificidade comparvel ao da legislao nacional sobre proteo de
dados (ento) em vigor. Para o TJUE, a Diretiva95/46 visa [] tornar equivalente
em todos os Estados-Membros o nvel de proteo dos direitos e liberdades das pes-
soas no que diz respeito ao tratamento de dados pessoais [] A aproximao das
legislaes nacionais aplicveis na matria no deve fazer diminuir a proteo que
asseguram, devendo, pelo contrrio, ter por objetivo garantir um elevado nvel de
proteo na Unio Assim, [] a harmonizao das referidas legislaes nacionais no
se limita a uma harmonizao mnima, mas conduz a uma harmonizao que , em
princpio, completa.13. Consequentemente, os Estados-Membros dispem apenas
de uma pequena margem de manobra na aplicao da Diretiva.

11 Diretiva de Proteo de Dados ( JOL281, 1995, p.31).


12 Ver, por exemplo, Diretiva de Proteo de Dados, considerandos 1, 4, 7 e 8.
13 TJUE, acrdo de 24 de novembro de 2011, nos processos apensos C-468/10 e C-469/10, Asociacin
Nacional de Establecimientos Financieros de Crdito (ASNEF) e Federacin de Comercio Electrnico y
Marketing Directo (FECEMD) v. Administracin del Estad, n.s 28 e 29.

18
Contexto e antecedentes dalegislao europeia sobre proteo de dados

A Diretiva de Proteo de Dados visa dar corpo aos princpios do direito priva-
cidade j consagrados na Conveno108 e alargar a sua aplicao. O facto de os
15Estados-Membros da UE em 1995 serem tambm Partes Contratantes da Con-
veno 108 exclui a adoo de regras contraditrias nestes dois instrumentos jur-
dicos. No entanto, a Diretiva de Proteo de Dados explora a possibilidade, prevista
no artigo 11. da Conveno108, de adotar novos instrumentos de proteo. Em
especial, o estabelecimento de autoridades de controlo independentes como meio
de melhorar o cumprimento das regras sobre proteo de dados revelouse um
importante contributo para a aplicao eficaz da legislao europeia sobre prote-
o de dados. (Consequentemente, este elemento foi incorporado no direito do CdE
em2001 pelo Protocolo Adicional Conveno108).

O mbito de aplicao territorial da Diretiva de Proteo de Dados no se limita aos


28Estados-Membros da UE, incluindo tambm os Estados que no so membros da
UE mas que fazem parte do Espao Econmico Europeu(EEE)14 a saber, a Islndia, o
Listenstaine e a Noruega.

O TJUE no Luxemburgo tem competncia para determinar se um Estado-Membro


cumpriu as suas obrigaes ao abrigo da Diretiva de Proteo de Dados e para pro-
ferir decises a ttulo prejudicial sobre a validade e a interpretao da Diretiva, a fim
de assegurar a sua aplicao efetiva e uniforme nos Estados-Membros. Uma impor-
tante exceo aplicao da Diretiva a chamada exceo domstica, que diz
respeito ao tratamento de dados pessoais por uma pessoa singular no exerccio de
atividades exclusivamente pessoais ou domsticas.15 Este tratamento geralmente
considerado parte das liberdades pessoais.

Correspondendo ao direito primrio da UE em vigor data da adoo da Diretiva


de Proteo de Dados, o mbito de aplicao material da Diretiva abrange apenas
matrias do mercado interno. Das matrias que ficam fora do seu mbito de aplica-
o importa destacar a cooperao no domnio policial e da justia penal. A proteo
de dados nestas matrias baseiase em instrumentos jurdicos diferentes, que so
descritos pormenorizadamente no captulo 7.

Uma vez que a Diretiva de Proteo de Dados s podia ter por destinatrios os Esta-
dos Membros da UE, era necessrio um outro instrumento jurdico para assegurar
a proteo de dados nos casos de tratamento de dados pessoais pelas instituies

14 Acordo sobre o Espao Econmico Europeu, JO1994L1, que entrou em vigor em 1dejaneirode1994.
15 Diretiva de Proteo de Dados, artigo 3., n. 2, segundo travesso.

19
Manual da Legislao Europeia sobre Proteo de Dados

e rgos da UE. O Regulamento (CE) n.45/2001 relativo proteo das pessoas


singulares no que diz respeito ao tratamento de dados pessoais pelas instituies e
pelos rgos comunitrios e livre circulao desses dados (Regulamento Proteo
de Dados [Instituies da UE]) desempenha esta funo.16

Alm disso, mesmo em reas abrangidas pela Diretiva de Proteo de Dados, surge
muitas vezes a necessidade de estabelecer disposies mais detalhadas em matria
de proteo de dados para assegurar a necessria clareza na conciliao com outros
interesses legtimos. Dois exemplos so a Diretiva2002/58/CE relativa ao trata-
mento de dados pessoais e proteo da privacidade no setor das comunicaes
eletrnicas (Diretiva relativa privacidade e s comunicaes eletrnicas)17 e a Dire-
tiva2006/24/CE relativa conservao de dados gerados ou tratados no contexto
da oferta de servios de comunicaes eletrnicas publicamente disponveis ou de
redes pblicas de comunicaes, e que altera a Diretiva2002/58/CE (Diretiva da
Conservao de Dados, invalidada em 8deabrilde2014).18 Sero analisados outros
exemplos no captulo8. Estas disposies tm de estar conformes com a Diretiva de
Proteo de Dados.

A Carta dos Direitos Fundamentais da Unio Europeia

Os tratados originais das Comunidades Europeias no continham qualquer referncia


aos direitos humanos ou sua proteo. Contudo, face aos processos instaurados
no ento Tribunal de Justia das Comunidades Europeias (TJCE) com fundamento em
alegadas violaes dos direitos humanos no mbito da legislao da UE, este desen-
volveu uma nova abordagem. A fim de conceder proteo s pessoas singulares,
incorporou os direitos fundamentais nos chamados princpios gerais de direito euro-
peu. Segundo o TJUE, estes princpios gerais refletem as disposies sobre proteo
dos direitos humanos constantes das constituies nacionais e dos tratados sobre
direitos humanos, em especial a CEDH. O TJUE afirmou que asseguraria a conformi-
dade do direito da UE com estes princpios.

16 Regulamento (CE) n. 45/2001 do Parlamento Europeu e do Conselho, de 18dedezembrode2000,


relativo proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas
instituies e pelos rgos comunitrios e livre circulao desses dados ( JOL8, 2001).
17 Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao
tratamento de dados pessoais e proteo da privacidade no sector das comunicaes eletrnicas
(Diretiva relativa privacidade e s comunicaes eletrnicas), JOL201, 2002.
18 Diretiva 2006/24/CE do Parlamento Europeu e do Conselho, de 15 de maro de 2006, relativa
conservao de dados gerados ou tratados no contexto da oferta de servios de comunicaes
eletrnicas publicamente disponveis ou de redes pblicas de comunicaes, e que altera a
Diretiva2002/58/CE (Diretiva Conservao de Dados), JOL105, 2006. Considerada invlida pelo TJUE
em8deabrilde2014.

20
Contexto e antecedentes dalegislao europeia sobre proteo de dados

Reconhecendo que as suas polticas poderiam afetar os direitos humanos e num


esforo para aproximar os cidados da Unio, a UE proclamou, em2000, a Carta dos
Direitos Fundamentais da Unio Europeia (Carta). Esta Carta incorpora todos os direi-
tos civis, polticos, econmicos e sociais dos cidados europeus, sintetizando as tra-
dies constitucionais e as obrigaes internacionais comuns aos Estados-Membros.
Os direitos descritos na Carta esto divididos em seis seces: dignidade, liberdades,
igualdade, solidariedade, cidadania e justia.

Embora originalmente no passasse de um documento poltico, a Carta tornouse


juridicamente vinculativa19 como direito primrio da UE (ver artigo6., n. 1, do TUE)
com a entrada em vigor do Tratado de Lisboa em1dedezembrode2009.20

O direito primrio da UE tambm atribui UE competncia genrica para legislar


sobre matrias relacionadas com a proteo de dados (artigo16. do TFUE).

Para alm de garantir o respeito pela vida privada e familiar (artigo7.), a Carta con-
sagra tambm o direito proteo de dados (artigo8.), elevando expressamente o
nvel desta proteo ao de um direito fundamental no direito da UE. As instituies
da UE e os Estados-Membros tm de observar e garantir este direito, que tambm
aplicvel aos Estados-Membros quando aplicam o direito da Unio (artigo51. da
Carta). Tendo sido formulado vrios anos aps a adoo da Diretiva de Proteo de
Dados, o artigo8. da Carta deve ser interpretado no sentido de incorporar a legis-
lao da UE sobre proteo de dados preexistente. Por conseguinte, a Carta no s
menciona expressamente o direito proteo de dados no artigo8., n. 1, como
tambm faz referncia a princpios fundamentais da proteo de dados no artigo8.,
n. 2. Por ltimo, o artigo8., n. 3, da Carta assegura a fiscalizao da aplicao des-
tes princpios por uma autoridade independente.

Perspetivas

Em janeiro de 2012, a Comisso Europeia props um pacote de reforma legislativa


sobre a proteo de dados, afirmando que era necessrio modernizar as atuais
regras sobre proteo de dados luz da rpida evoluo tecnolgica e da globaliza-
o. O pacote de reforma legislativa consiste numa proposta de Regulamento geral

19 UE (2012), Carta dos Direitos Fundamentais da Unio Europeia, JOC326, 2012.


20 Ver verses consolidadas de Comunidades Europeias (2012), Tratado da Unio Europeia, JOC326,
2012; e de Comunidades Europeias (2012), TFUE, JOC326, 2012.

21
Manual da Legislao Europeia sobre Proteo de Dados

sobre a proteo de dados21, que dever substituir a Diretiva de Proteo de Dados,


bem como numa nova Diretiva de Proteo de Dados,22 que conter disposies
sobre a proteo de dados na rea da cooperao policial e judiciria em matria
penal. data da publicao do presente manual, estava em curso o debate sobre o
pacote de reforma legislativa.

1.2. Conciliao de direitos


Ponto-chave

O direito proteo de dados no um direito absoluto; tem de ser conciliado com


outros direitos.

O direito fundamental proteo de dados pessoais, consagrado no artigo8. da


Carta, no uma prerrogativa absoluta, mas deve ser tomado em considerao
relativamente sua funo na sociedade.23 Assim, o artigo52., n. 1, da Carta
admite a introduo de restries ao exerccio de direitos como os consagrados nos
seus artigos7. e 8., desde que essas restries estejam previstas na lei, respeitem
o contedo essencial desses direitos e liberdades e, na observncia do princpio da
proporcionalidade, sejam necessrias e correspondam efetivamente a objetivos de
interesse geral reconhecidos pela Unio Europeia, ou necessidade de proteo dos
direitos e liberdades de terceiros.24

No sistema da CEDH, a proteo de dados garantida pelo artigo8. (direito ao res-


peito pela vida privada e familiar) e, tal como no sistema da Carta, este direito tem
de ser exercido respeitando o mbito de outros direitos concorrentes. Nos termos
do artigo8., n. 2, da CEDH, No pode haver ingerncia da autoridade pblica no

21 Comisso Europeia (2012), Proposta de Regulamento do Parlamento Europeu e do Conselho relativo


proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e livre
circulao desses dados (Regulamento geral sobre a proteo de dados), COM(2012)11final, Bruxelas,
25dejaneirode2012.
22 Comisso Europeia (2012), Proposta de Diretiva do Parlamento Europeu e do Conselho relativo
proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades
competentes para efeitos de preveno, investigao, deteo e represso de infraes penais ou
de execuo de sanes penais, e livre circulao desses dados (Diretiva geral sobre a proteo de
dados), COM(2012)10final, Bruxelas, 25dejaneirode2012.
23 Ver, por exemplo, TJUE, acrdo de 9 de novembro de 2010 nos processos apensos C-92/09 e C-93/09,
Volker und Markus Schecke GbR e Hartmut Eifert/Land Hessen, n. 48.
24 Ibid. n. 50.

22
Contexto e antecedentes dalegislao europeia sobre proteo de dados

exerccio deste direito seno quando esta ingerncia estiver prevista na lei e cons-
tituir uma providncia que, numa sociedade democrtica, seja necessria para [] a
proteo dos direitos e das liberdades de terceiros.

Consequentemente, tanto o TEDH como o TJUE tm afirmado repetidamente que a


aplicao e a interpretao do artigo8. da CEDH e do artigo8. da Carta exigem
a conciliao com outros direitos.25 Vrios exemplos importantes ilustraro como
poder ser feita esta conciliao.

1.2.1. Liberdade de expresso


Um dos direitos que entrar provavelmente em conflito com o direito proteo de
dados o direito liberdade de expresso.

A liberdade de expresso um direito protegido pelo artigo11. da Carta (Liber-


dade de expresso e de informao). Este direito abrange a liberdade de opinio
e a liberdade de receber e de transmitir informaes ou ideias, sem que possa haver
ingerncia de quaisquer poderes pblicos e sem considerao de fronteiras. O
artigo11. corresponde ao artigo10. da CEDH. Nos termos do artigo52., n. 3, da
Carta, na medida em que contenha direitos correspondentes aos direitos garanti-
dos pela CEDH, o sentido e o mbito desses direitos so iguais aos conferidos por
essa Conveno. As restries que podem ser licitamente impostas sobre o direito
garantido pelo artigo11. da Carta no podero, portanto, ultrapassar as previstas
no artigo10., n. 2, da CEDH, ou seja, tm de estar previstas na lei e constituir provi-
dncias necessrias, numa sociedade democrtica para a [] proteo da honra ou
dos direitos de outrem. Este conceito abrange o direito proteo de dados.

A relao entre a proteo de dados pessoais e a liberdade de expresso regu-


lada pelo artigo9. da Diretiva de Proteo de Dados, sob a epgrafe Tratamento
de dados pessoais e liberdade de expresso. 26 Nos termos deste artigo, os

25 TEDH, acrdo Von Hannover c. Alemanha (n. 2) [GS] de 7 de fevereiro de 2012, peties
n.s40660/08 e 60641/08; TJUE, acrdo de 24denovembrode2011 nos processos apensos
C-468/10 e C-469/10, Asociacin Nacional de Establecimientos Financieros de Crdito (ASNEF) e
Federacin de Comercio Electrnico y Marketing Directo (FECEMD)/Administracin del Estado, n.48;
TJUE, acrdo de 29dejaneirode2008 no processo C-275/06, Productores de Msica de Espaa
(Promusicae)/Telefnica de Espaa SAU, n.68. Ver tambm Conselho da Europa (2013), Case law of
the European Court of Human Rights concerning the protection of personal data, DP (2013) Case law,
disponvel em: www.coe.int/t/dghl/standardsetting/dataprotection/Judgments/DP 2013 Case Law_
Eng_FINAL.pdf.
26 Diretiva de Proteo de Dados, artigo9..

23
Manual da Legislao Europeia sobre Proteo de Dados

Estadosmembros so chamados a instituir determinadas isenes ou derrogaes


proteo de dados, e portanto ao direito fundamental vida privada, prevista nos
captulosII, IV eVI dessa diretiva. Essas derrogaes devem ser criadas para fins
exclusivamente jornalsticos ou de expresso artstica ou literria, que se enqua-
dram no mbito do direito fundamental liberdade de expresso, apenas na medida
em que sejam necessrias para conciliar o direito vida privada com as normas que
regem a liberdade de expresso.

Exemplo: No processo que deu origem ao acrdo Tietosuojavaltuutettu/


Satakunnan Markkinaprssi Oy e Satamedia Oy,27 foi pedido ao TJUE que inter-
pretasse o artigo 9. da Diretiva de Proteo de Dados e definisse a relao
entre a proteo de dados e a liberdade de imprensa. O Tribunal de Justia ana-
lisou a divulgao pela Markkinaprssi e pela Satamedia dos dados fiscais de
cerca de 1,2milhes de pessoas singulares licitamente obtidos junto das autori-
dades fiscais finlandesas. Em especial, o Tribunal de Justia teve de determinar
se o tratamento dos dados pessoais disponibilizados pelas autoridades fiscais
para que os utilizadores de telemveis recebessem dados fiscais relativos a
outras pessoas singulares deve ser considerado uma atividade realizada para
fins exclusivamente jornalsticos. Tendo concludo que as atividades da Satakun-
nan constituam tratamento de dados pessoais na aceo do artigo3., n. 1,
da Diretiva de Proteo de Dados, o Tribunal de Justia passou ento a interpre-
tar o artigo9. da Diretiva. Em primeiro lugar, chamou a ateno para a impor-
tncia da liberdade de expresso nas sociedades democrticas e defendeu que
os conceitos relacionados com essa liberdade, como o de jornalismo, deveriam
ser interpretados de forma ampla. Seguidamente, observou que, para obter
uma ponderao equilibrada entre os dois direitos fundamentais, as isenes
e derrogaes proteo de dados devem ser aplicadas apenas na medida
estritamente necessria. Naquelas circunstncias, o Tribunal de Justia consi-
derou que atividades como as que eram desenvolvidas pela Markkinaprssi e
pela Satamedia relativas a dados contidos em documentos que so pblicos nos
termos da legislao nacional podem ser qualificadas de atividades jornals-
ticas se tiverem por finalidade a divulgao ao pblico de informaes, opi-
nies ou ideias, independentemente do respetivo meio de transmisso. O Tri-
bunal de Justia tambm entendeu que essas atividades no esto reservadas
s empresas de comunicao social e podem ter fins lucrativos. Contudo, o TJUE

27 TJUE, acrdo de 16dedezembrode2008 no processo C-73/07, Tietosuojavaltuutettu/Satakunnan


Markkinaprssi Oy e Satamedia Oy, n.s56, 61 e 62.

24
Contexto e antecedentes dalegislao europeia sobre proteo de dados

considerou que competia ao rgo jurisdicional nacional apreciar se era esse o


caso no processo principal.

O TEDH proferiu vrios acrdos histricos sobre a conciliao entre o direito prote-
o de dados e o direito liberdade de expresso.

Exemplo: No acrdo Axel Springer AG c. Alemanha,28 o TEDH entendeu que a


proibio imposta por um tribunal nacional sobre o proprietrio de um jornal
que pretendia publicar um artigo sobre a deteno e condenao de um ator
muito conhecido violava o artigo10. da CEDH. O TEDH reiterou os critrios
que tinha estabelecido na sua jurisprudncia no domnio da conciliao entre o
direito liberdade de expresso e o direito ao respeito pela vida privada.

em primeiro lugar, se o acontecimento a que o artigo publicado se referia era


de interesse geral: a deteno e condenao de uma pessoa era um facto
judicial pblico e, como tal, de interesse pblico;

em segundo lugar, se a pessoa em causa era uma figura pblica: a pessoa


em causa era um ator suficientemente conhecido para ser considerado uma
figura pblica; e

em terceiro lugar, o modo como as informaes foram obtidas e se eram fide-


dignas: as informaes tinham sido fornecidas pelos servios do Ministrio
Pblico e nenhuma das partes contestava a exatido das informaes conti-
das em ambas as publicaes.

Por conseguinte, o TEDH considerou que as restries publicao impostas


sobre a empresa no eram razoavelmente proporcionais ao objetivo legtimo de
proteger a vida privada do requerente. O TEDH concluiu que tinha havido uma
violao do artigo 10. da CEDH.

Exemplo: No acrdo Von Hannover c. Alemanha (n.2),29 o TEDH concluiu que


o facto de os tribunais nacionais terem indeferido o pedido de medidas caute-
lares apresentado pela Princesa Carolina do Mnaco requerendo a proibio da

28 TEDH, acrdo Axel Springer AG c. Alemanha [GS] de 7defevereirode2012, petio n.39954/08, n.s
90 e 91.
29 TEDH, acrdo Von Hannover c. Alemanha (n.2) [GS] de 7defevereirode2012, peties
n.s40660/08 e 60641/08, n.s118 e124.

25
Manual da Legislao Europeia sobre Proteo de Dados

publicao de uma fotografia sua e do seu marido tirada durante umas frias
numa estncia de esqui no constitua uma violao do direito ao respeito pela
vida privada nos termos do artigo8. da CEDH. A fotografia era acompanhada
por um artigo que mencionava, entre outros assuntos, os problemas de sade
do Prncipe Rainier. O TEDH concluiu que os tribunais nacionais tinham conse-
guido conciliar o direito das editoras liberdade de expresso com o direito
dos requerentes ao respeito pela sua vida privada. A qualificao da doena do
Prncipe Rainier como um acontecimento da sociedade contempornea pelos
tribunais nacionais no podia ser considerada desrazovel e o TEDH reconheceu
que a fotografia, considerada no contexto do artigo, contribua, pelo menos em
certa medida, para um debate de interesse geral. O TEDH concluiu que no tinha
havido uma violao do artigo8. da CEDH.

Na jurisprudncia do TEDH, um dos critrios cruciais relativamente conciliao


destes direitos o contributo da expresso em causa para um debate de interesse
pblico geral.

Exemplo: No processo que deu origem ao acrdo Mosley c. Reino Unido,30 um


jornal semanal de circulao nacional publicou fotografias ntimas do reque-
rente. Este alegou uma violao do artigo8. da CEDH porque no lhe tinha
sido possvel requerer uma medida cautelar antes da publicao das fotogra-
fias em causa devido inexistncia de qualquer obrigao de notificao pr-
via do jornal em caso de publicao de material suscetvel de violar o direito
privacidade. Embora a divulgao do referido material se destinasse a fins de
entretenimento e no a fins pedaggicos, beneficiava inquestionavelmente
da proteo do artigo10. da CEDH, que poderia ser afastada pelos requisitos
do artigo8. da CEDH nos casos em que as informaes tivessem natureza
ntima e privada e no existisse qualquer interesse pblico na sua divulgao.
No entanto, era necessrio exercer especial cuidado na apreciao de restries
que poderiam funcionar como uma espcie de censura antes da publicao.
Relativamente ao efeito inibidor que uma obrigao de notificao prvia pode-
ria produzir, s dvidas quanto sua eficcia e ampla margem de apreciao
naquela rea, o TEDH entendeu que o artigo8. no exige o estabelecimento de
uma obrigao de notificao prvia juridicamente vinculativa. Nesta conformi-
dade, o TEDH concluiu que no tinha havido qualquer violao do artigo8..

30 TEDH, acrdo Mosley c. Reino Unido de 10 de maio de 2011, petio n.48009/08, n.s 129 e 130.

26
Contexto e antecedentes dalegislao europeia sobre proteo de dados

Exemplo: No processo que deu origem ao acrdo Biriuk c. Litunia,31 a reque-


rente pedia a condenao de um jornal dirio no pagamento de uma indem-
nizao por ter publicado um artigo em que revelava a sua seropositividade.
Esta informao tinha sido alegadamente confirmada pelos mdicos do hospital
local. O TEDH no considerou que o artigo em causa contribusse para qualquer
debate de interesse geral e reiterou a importncia fundamental da proteo dos
dados pessoais, sobretudo de dados mdicos, para que uma pessoa pudesse
gozar o seu direito ao respeito pela vida privada e familiar garantido pelo
artigo8. da CEDH. O TEDH atribuiu especial importncia ao facto de, segundo o
artigo publicado no jornal, o pessoal mdico de um hospital ter fornecido infor-
maes sobre a infeo da requerente pelo VIH, violando manifestamente o seu
dever de sigilo mdico. Consequentemente, o Estado no tinha conseguido pro-
teger o direito da requerente ao respeito pela sua vida privada. O TEDH concluiu
que tinha havido uma violao do artigo8..

1.2.2. Acesso aos documentos


Nos termos do artigo 11. da Carta e do artigo10. da CEDH, a liberdade de infor-
mao abrange no s o direito a transmitir como tambm a receber informaes.
cada vez mais reconhecida a importncia da transparncia do Estado para o fun-
cionamento de uma sociedade democrtica. Consequentemente, nas duas ltimas
dcadas, o direito de acesso a documentos na posse de autoridades pblicas foi
reconhecido como um direito importante de todos os cidados da UE e de qualquer
pessoa singular ou coletiva com residncia ou sede num Estado-Membro.

No mbito do direito do CdE, h que referir os princpios consagrados na Recomen-


dao sobre o acesso a documentos oficiais, que serviu de inspirao aos autores
da Conveno sobre o Acesso a Documentos Oficiais (Conveno205).32 No mbito
do direito da UE, o direito de acesso aos documentos garantido pelo Regula-
mento n.1049/2001 relativo ao acesso do pblico aos documentos do Parlamento
Europeu, do Conselho e da Comisso (Regulamento Acesso a Documentos).33 O
artigo42. da Carta e o artigo15., n. 3, do TFUE alargaram este direito de acesso

31 TEDH, acrdo Biriuk c. Litunia de 25 de novembro de 2008, petio n.23373/03.


32 Conselho da Europa, Comit de Ministros (2002), Recommendation Rec(2002)2 to member states
on access to official documents (Recomendao Rec(2002)2 aos Estados membros sobre o acesso a
documentos oficiais), de 21defevereirode2002; Conselho da Europa, Conveno sobre o Acesso a
Documentos Oficiais, de 18dejunhode2009, STCE n.205. A Conveno ainda no entrou em vigor.
33 Regulamento (CE) n. 1049/2001 do Parlamento Europeu e do Conselho, de 30 de maio de 2001,
relativo ao acesso do pblico aos documentos do Parlamento Europeu, do Conselho e da Comisso,
JOL145, 2001.

27
Manual da Legislao Europeia sobre Proteo de Dados

aos documentos das instituies, rgos e organismos da Unio, seja qual for o
suporte desses documentos. Nos termos do artigo52., n. 2, da Carta, o direito de
acesso aos documentos tambm exercido de acordo com as condies e os limites
previstos no artigo15., n. 3, do TFUE. Este direito poder entrar em conflito com
o direito proteo de dados se o acesso aos documentos revelar dados pessoais
de terceiros. Por conseguinte, os pedidos de acesso a documentos ou informaes
podero ter de ser analisados luz do direito proteo de dados das pessoas cujos
dados constam dos documentos solicitados.

Exemplo: No acrdo Comisso/Bavarian Lager,34 o TJUE definiu o mbito da


proteo de dados pessoais no contexto do acesso aos documentos das ins-
tituies da UE e a relao entre os Regulamentos n.s1049/2001 (Regula-
mento Acesso aos Documentos) e 45/2001 (Regulamento Proteo de Dados).
A Bavarian Lager, constituda em 1992, importa cerveja alem engarrafada
para o Reino Unido, que se destina principalmente a consumo em pubs e bares.
Porm, deparouse com algumas dificuldades porque a legislao britnica favo-
rece, na prtica, os produtores nacionais. Em resposta a uma queixa da Bavarian
Lager, a Comisso Europeu decidiu instaurar uma ao contra o Reino Unido por
incumprimento das suas obrigaes, na sequncia da qual as disposies con-
trovertidas foram alteradas em conformidade com o direito da UE. A Bavarian
Lager solicitou ento Comisso vrios documentos, entre os quais uma cpia
da ata de uma reunio na qual tinham participado representantes da Comisso,
das autoridades britnicas e da Confdration des Brasseurs du March Com-
mun(CBMC). A Comisso concordou em divulgar certos documentos relacio-
nados com a reunio, mas truncou cinco nomes que constavam da ata, dado
que duas pessoas se tinham expressamente oposto divulgao da sua iden-
tidade e a Comisso no tinha conseguido contactar as outras trs. Por deciso
de 18demarode2004, a Comisso indeferiu um novo pedido de acesso
ata integral da reunio apresentado pela Bavarian Lager, com fundamento, em
especial, na proteo da vida privada das pessoas em causa, tal como garan-
tida pelo Regulamento Proteo de Dados. Insatisfeita com esta deciso, a
Bavarian Lager instaurou uma ao no Tribunal de Primeira Instncia, que anu-
lou a deciso da Comisso por acrdo de8denovembrode2007 (acrdo
Bavarian Lager/Comisso no processo T-194/04), tendo concludo, em especial,
que o simples facto de o nome da pessoa em causa figurar na lista dos parti-
cipantes numa reunio em nome da entidade que essa pessoa representava

34 TJUE, acrdo de 29 de junho de 2010 no processo C-28/08P, Comisso Europeia/The Bavarian Lager
Co. Ltd, n.s60, 63, 76, 78 e 79.

28
Contexto e antecedentes dalegislao europeia sobre proteo de dados

no comprometia a vida privada e no representava qualquer risco para a vida


privada dessa pessoa.

Em sede de recurso interposto pela Comisso, o TJUE anulou o acrdo do


Tribunal de Primeira Instncia. O TJUE considerou que o Regulamento Acesso
aos Documentos cria um regime especfico e reforado de proteo de uma
pessoa cujos dados pessoais poderiam, eventualmente, ser comunicados ao
pblico. Segundo o TJUE, quando por meio de um pedido baseado no Regu-
lamento Acesso aos Documentos se pretende obter o acesso a documentos
que incluem dados pessoais, as disposies desse Regulamento passam a ser
integralmente aplicveis. O TJUE concluiu ento que tinha sido com razo que
a Comisso tinha indeferido o pedido de acesso ata completa da reunio rea-
lizada emoutubrode1996. Na ausncia do consentimento dos cinco partici-
pantes naquela reunio, a Comisso tinha dado cumprimento bastante ao seu
dever de transparncia ao divulgar uma verso do documento em causa do
qual tinham sido expurgados os seus nomes.

Acresce que, segundo o TJUE, [n]o tendo a Bavarian Lager fornecido nenhuma
justificao expressa e legtima nem nenhum argumento convincente demons-
trativo da necessidade da transferncia desses dados pessoais, a Comisso
no pde ponderar os diferentes interesses das partes em causa. Tambm no
podia verificar se no existiam motivos para supor que os interesses legtimos
das pessoas em causa podiam ser prejudicados, tal como exigido pelo Regula-
mento de Proteo de Dados.

De acordo com este acrdo, a ingerncia no exerccio do direito proteo de


dados relativamente ao acesso aos documentos exige uma justificao especfica e
legtima. O direito de acesso aos documentos no pode afastar automaticamente o
direito proteo de dados.35

No seguinte acrdo do TEDH, foi analisado um aspeto especfico de um pedido de


acesso.

35 Ver, contudo, as deliberaes detalhadas em Autoridade Europeia para a Proteo de Dados (AEPD)
(2011), Public access to documents containing personal data after the Bavarian Lager ruling (Acesso
do pblico a documentos que contm dados pessoais aps o acrdo Bavarian Lager) Bruxelas,
24demarode2011, disponvel em: www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/
Documents/EDPS/Publications/Papers/BackgroundP/11-03-24_Bavarian_Lager_EN.pdf.

29
Manual da Legislao Europeia sobre Proteo de Dados

Exemplo: No processo que deu origem ao acrdo Trsasg a Szabadsgjo-


gokrt c. Hungria,36 a requerente, uma ONG de defesa dos direitos humanos,
tinha pedido ao Tribunal Constitucional acesso a informaes sobre um processo
pendente. Sem consultar o membro do Parlamento que tinha instaurado o pro-
cesso, o Tribunal Constitucional indeferiu o pedido de acesso, alegando que a
divulgao a terceiros de informaes sobre as queixas que lhe eram subme-
tidas dependia de autorizao do autor da queixa. Os tribunais nacionais con-
firmaram este indeferimento, alegando que a proteo dos dados pessoais
em causa no podia ser afastada por outros interesses legtimos, incluindo a
acessibilidade a informaes pblicas. A requerente tinha agido como um fis-
cal social, cujas atividades mereciam uma proteo semelhante conferida
aos rgos de comunicao social. Relativamente liberdade de imprensa, o
TEDH tinha afirmado sistematicamente que o pblico tinha o direito a receber
informaes de interesse geral. As informaes pretendidas pela requerente
estavam imediatamente disponveis, pelo que no era necessrio proceder
recolha de dados. Assim sendo, o Estado tinha a obrigao de no impedir o
fluxo de informaes pretendido pela requerente. Em resumo, o TEDH conside-
rou que os obstculos destinados a dificultar o acesso a informaes de inte-
resse pblico poderiam desencorajar aqueles que trabalham na rea da comu-
nicao social ou em reas conexas de desempenhar o seu papel crucial de
fiscal pblico. O TEDH concluiu que tinha havido uma violao do artigo 10..

No direito da UE, a importncia da transparncia inquestionvel. O princpio da


transparncia est consagrado nos artigos1. e 10. do Tratado UE e no artigo15.,
n. 1, do TFUE. 37 Segundo o considerando2 do Regulamento (CE) n.1049/2001,
permite assegurar uma melhor participao dos cidados no processo de deciso
e garantir uma maior legitimidade, eficcia e responsabilidade da Administrao
perante os cidados num sistema democrtico.38

Seguindo este raciocnio, o Regulamento (CE) n. 1290/2005 do Conselho relativo


ao financiamento da poltica agrcola comum e o Regulamento (CE) n.259/2008
da Comisso que estabelece as regras da sua execuo exigem a publicao de
informaes sobre os beneficirios de certos fundos da UE no setor agrcola e os

36 TEDH, acrdo Trsasg a Szabadsgjogokrt c. Hungria de 14deabrilde2009, petio n.37374/05,


n.s 27, 3638.
37 UE (2012), Verses consolidadas do Tratado da Unio Europeia e do TFUE, JO2012C326.
38 TJUE, acrdo de 6 de maro de 2003 no processo C-41/00P, Interporc Im- und Export GmbH/Comisso
das Comunidades Europeias, n.39; e TJUE, acrdo de 29dejunhode2010 no processo C-28/08P,
Comisso Europeia/The Bavarian Lager Co. Ltd., n. 54.

30
Contexto e antecedentes dalegislao europeia sobre proteo de dados

montantes recebidos por cada beneficirio.39 Esta publicao dever contribuir para
o controlo pblico da utilizao de fundos pblicos pela Administrao. A proporcio-
nalidade desta publicao foi contestada por vrios beneficirios.

Exemplo: No processo que deu origem ao acrdo Volker und Markus Schecke
e Hartmut Eifert/Land Hessen,40 o TJUE foi chamado a pronunciarse sobre a pro-
porcionalidade da publicao, exigida pela legislao da Unio, dos nomes dos
beneficirios de subsdios agrcolas da UE e dos montantes por eles recebidos.

O Tribunal de Justia, salientando que o direito proteo de dados no uma


prerrogativa absoluta, considerou que a publicao num stio Internet de dados
nominativos relativos aos beneficirios de dois fundos agrcolas da UE e dos
montantes exatos que receberam constitui uma ingerncia na sua vida privada
e, em especial, na proteo dos seus dados pessoais.

O Tribunal de Justia considerou que tal ingerncia nos direitos consagrados


nos artigos 7. e 8. da Carta estava prevista na lei e prosseguia um objetivo
de interesse geral reconhecido pela UE, ou seja, aumentar a transparncia da
utilizao dos fundos comunitrios. Contudo, o TJUE entendeu que a publicao
dos nomes das pessoas singulares que beneficiavam de ajudas agrcolas da UE
provenientes destes dois fundos e os montantes exatos que receberam consti-
tua uma medida desproporcional e no se justificava luz do artigo 52., n. 1,
da Carta. Por conseguinte, o Tribunal de Justia declarou a invalidade parcial da
legislao da UE relativa publicao de informao sobre os beneficirios de
fundos agrcolas europeus.

1.2.3. Liberdade das artes e das cincias


Outro direito que necessrio conciliar com o direito ao respeito pela vida privada
e proteo de dados a liberdade das artes e das cincias, expressamente prote-
gida pelo artigo13. da Carta. Este direito , antes de mais, um corolrio do direito

39 Regulamento (CE) n.1290/2005 do Conselho, de 21 de junho de 2005, relativo ao financiamento


da poltica agrcola comum, JO2005L209; e Regulamento (CE) n.259/2008 da Comisso, de
18demarode2008, que estabelece as regras de execuo do Regulamento (CE) n.1290/2005 do
Conselho no que respeita publicao de informao sobre os beneficirios de fundos provenientes do
Fundo Europeu Agrcola de Garantia (FEAGA) e do Fundo Europeu Agrcola de Desenvolvimento Rural
(Feader), JO2008L76.
40 TJUE, acrdo de 9 de novembro de 2010 nos processos apensos C-92/09 e C-93/09, Volker und
Markus Schecke GbR e Hartmut Eifert/Land Hessen, n.s4752, 58, 6667, 75, 86 e92.

31
Manual da Legislao Europeia sobre Proteo de Dados

liberdade de pensamento e de expresso e deve ser exercido luz do disposto no


artigo1. da Carta (Dignidade do ser humano). O TEDH considera que a liberdade das
artes est protegida pelo artigo10. da CEDH.41 O direito garantido pelo artigo13.
da Carta tambm poder estar sujeito s restries permitidas pelo artigo10. da
CEDH.42

Exemplo: No processo que deu origem ao acrdo Vereinigung bildender


Knstler c. ustria,43 os tribunais austracos proibiram a associao requerente
de continuar a exibir um quadro que continha fotografias das cabeas de vrias
figuras pblicas em posies sexuais. Um deputado austraco, cuja fotografia
tinha sido utilizada no quadro, instaurou uma ao contra a associao reque-
rente, pedindo que esta fosse proibida de exibir o quadro. O tribunal nacional
deu provimento a este pedido. O TEDH reiterou que o artigo10. da CEDH era
aplicvel transmisso de ideias que ofendessem, chocassem ou perturbassem
o Estado ou qualquer segmento da populao. Aqueles que criavam, executa-
vam, distribuam ou exibiam obras de arte contribuam para o intercmbio de
ideias e opinies e o Estado tinha a obrigao de no restringir injustificada-
mente a sua liberdade de expresso. Uma vez que o quadro era uma collage e
utilizava fotografias apenas da cabea das pessoas, sendo os corpos represen-
tados de forma irrealista e exagerada, que obviamente no pretendia refletir
nem mesmo aludir realidade, o TEDH afirmou igualmente que o quadro no
poderia ser considerado uma representao de aspetos da vida privada da pes-
soa em causa, mas apenas de aspetos relacionados com a sua imagem pblica
como poltico e que, nessa qualidade, a pessoa representada no quadro tinha de
mostrar maior tolerncia s crticas. Aps ponderao dos diferentes interesses
em causa, o TEDH considerou que a proibio absoluta da continuao da exi-
bio do quadro era desproporcionada. O TEDH concluiu que tinha havido uma
violao do artigo10. da CEDH.

No que respeita s cincias, a legislao europeia sobre proteo de dados reco-


nhece o valor especial da cincia para a sociedade. Por este motivo, as restries
gerais utilizao de dados pessoais so menos rigorosas. Tanto a Diretiva de Pro-
teo de Dados como a Conveno 108 permitem a conservao de dados para fins
de investigao cientfica quando j no sejam necessrios para o fim para o qual

41 TEDH, acrdo Mller e outros c. Sua de 24demaiode1988, petio n.10737/84.


42 Anotaes relativas Carta dos Direitos Fundamentais, JO2007C303.
43 TEDH, acrdo Vereinigung bildender Knstler c. ustria, de 25dejaneirode2007, petio
n.68345/01; ver, em especial, n.s26 e34.

32
Contexto e antecedentes dalegislao europeia sobre proteo de dados

foram inicialmente recolhidos. Alm disso, a utilizao posterior de dados pessoais


para fins de investigao cientfica no ser considerada uma finalidade incompat-
vel. Cabe ao legislador nacional estabelecer disposies mais detalhadas, incluindo
as garantias necessrias, para conciliar o interesse na investigao cientfica com o
direito proteo de dados (ver tambm as seces3.3.3 e 8.4).

1.2.4. Proteo da propriedade


O direito proteo da propriedade est consagrado no artigo1. do Primeiro Pro-
tocolo CEDH e tambm no artigo17., n. 1, da Carta. Um aspeto importante do
direito de propriedade a proteo da propriedade intelectual, expressamente
mencionada no artigo17., n. 2, da Carta. Existem vrias diretivas na ordem jur-
dica da UE que visam a proteo efetiva da propriedade intelectual, em especial dos
direitos de autor. A propriedade intelectual abrange no apenas a propriedade liter-
ria e artstica como tambm direitos sobre patentes, marcas e direitos conexos.

Tal como deixa bem claro a jurisprudncia do TJUE, a proteo do direito fundamen-
tal propriedade privada tem de ser conciliado com a proteo de outros direitos
fundamentais, especialmente com o direito proteo de dados.44 H casos em
que as instituies responsveis pela proteo dos direitos de autor exigiram que
os prestadores de servios de Internet divulgassem a identidade dos utilizadores de
plataformas de partilha de ficheiros. Muitas vezes, essas plataformas permitem aos
utilizadores da Internet descarregar gratuitamente temas musicais que esto prote-
gidos pelo direito de autor.

Exemplo: O processo que deu origem ao acrdo Promusicae/Telefnica de


Espaa45 dizia respeito recusa de um prestador de servios de acesso Inter-
net, a Telefnica, em divulgar Promusicae, uma associao sem fins lucrativos
que agrupa produtores musicais e editores de gravaes musicais e audiovi-
suais, os dados pessoais de certas pessoas a quem prestava servios de acesso
Internet. A Promusicae pretendia obter as referidas informaes para assim
poder mover uma ao cvel contra aquelas pessoas, que alegadamente utili-
zavam um programa de troca de ficheiros que permitia o acesso a fonogramas
cujos direitos de explorao pertenciam a membros da associao.

44 TEDH, acrdo Ashby Donald e outros c. Frana de 10dejaneirode2013, petio n.36769/08.


45 TJUE, acrdo de 29 de janeiro de 2008 no processo C-275/06, Productores de Msica de Espaa
(Promusicae)/Telefnica de Espaa SAU, n.s 54 e 60.

33
Manual da Legislao Europeia sobre Proteo de Dados

O tribunal espanhol apresentou um pedido de deciso prejudicial ao TJUE, per-


guntando se a legislao comunitria estabelece a obrigao de comunicar
esses dados pessoais no contexto de uma ao cvel para garantir a efetiva
proteo dos direitos de autor. O referido tribunal invocou as Diretivas2000/31,
2001/29 e 2004/48, lidas luz dos artigos 17. e 47. da Carta. O Tribunal de
Justia concluiu que estas trs Diretivas, assim como a Diretiva relativa privaci-
dade e s comunicaes eletrnicas (Diretiva2002/58), no se opem a que os
Estados-Membros estabeleam a obrigao de divulgar dados pessoais no con-
texto de uma ao cvel para garantir a efetiva proteo dos direitos de autor.

O TJUE sublinhou que, consequentemente, o caso suscitava a questo da neces-


sidade de conciliar as exigncias ligadas proteo de diferentes direitos fun-
damentais, nomeadamente o direito ao respeito pela vida privada, por um lado,
e os direitos proteo da propriedade e a uma tutela jurisdicional efetiva, por
outro.

O Tribunal de Justia concluiu que o direito comunitrio exige que os [Estados-


Membros], na transposio das diretivas supramencionadas, zelem por que seja
seguida uma interpretao das mesmas que permita assegurar o justo equil-
brio entre os direitos fundamentais protegidos pela ordem jurdica comunit-
ria. Seguidamente, na execuo das medidas de transposio dessas diretivas,
compete s autoridades e aos rgos jurisdicionais dos Estados-Membros no
s interpretar o seu direito nacional em conformidade com essas mesmas dire-
tivas mas tambm seguir uma interpretao destas que no entre em conflito
com os referidos direitos fundamentais ou com os outros princpios gerais do
direito comunitrio, como o princpio da proporcionalidade.46

46 Ibid., n.s65 e68; ver tambm TJUE, acrdo de 16 de fevereiro de 2012 no processo C-360/10,
SABAM/Netlog N.V.

34
2.

2
Terminologia sobre
proteo de dados

UE Questes CdE
abrangidas
Dados pessoais
Diretiva de Proteo de Dados, artigo 2., Definio legal Conveno 108, artigo 2.,
al. a) al. a)
TJUE, acrdo de 9 de novembro de 2010 TEDH, acrdo Bernh Larsen
nos processos apensos C-92/09 e C-93/09, Holding AS e outros c.
Volker und Markus Schecke GbR e Hartmut Noruega de 14 de maro de
Eifert/Land Hessen 2013, petio n.24117/08
TJUE, acrdo de 29 de janeiro de 2008 no
processo C-275/06, Productores de Msica
de Espaa (Promusicae)/Telefnica de
Espaa SAU
Diretiva de Proteo de Dados, artigo 8., Categorias Conveno 108, artigo 6.
n. 1 especficas de
TJUE, acrdo de 6 de novembro de 2003 dados pessoais
no processo C-101/01, Bodil Lindqvist (dados sensveis)
Diretiva de Proteo de Dados, artigo 6., Dados Conveno 108, artigo 5.,
n. 1, al. e) anonimizados e al. e)
pseudonimizados Conveno 108, Relatrio
explicativo, artigo 42.
Tratamento de dados
Diretiva de Proteo de Dados, artigo 2., Definies Conveno 108, artigo 2.,
al. b) al. c)
TJUE, acrdo de 6 de novembro de 2003
no processo C-101/01, Bodil Lindqvist

35
Manual da Legislao Europeia sobre Proteo de Dados

UE Questes CdE
abrangidas
Utilizadores dos dados
Diretiva de Proteo de Dados, artigo 2., Responsvel pelo Conveno 108, artigo 2.,
al. d) tratamento al. d)
Recomendao sobre a
definio de perfis, artigo
1., al. g) *
Diretiva de Proteo de Dados, artigo 2., Subcontratante Recomendao sobre a
al. e) definio de perfis, artigo
TJUE, acrdo de 6 de novembro de 2003 1., al. h)
no processo C-101/01, Bodil Lindqvist
Diretiva de Proteo de Dados, artigo 2., Destinatrio Conveno 108, Protocolo
al. g) Adicional, artigo 2., n. 1
Diretiva de Proteo de Dados, artigo 2., Terceiro
al. f)
Consentimento
Diretiva de Proteo de Dados, artigo 2., Definio e Recomendao sobre os
al. h) requisitos de dados mdicos, artigo 6.,
TJUE, acrdo de 5 de maio de 2011 no validade do e vrias recomendaes
processo C-543/09, Deutsche Telekom AG/ consentimento posteriores
Bundesrepublik Deutschland

Nota: *Conselho da Europa, Comit de Ministros (2010), Recomendao Rec(2010)13 aos Estados
membros sobre a proteo das pessoas singulares relativamente ao tratamento automatizado
dedados de carter pessoal no contexto da definio de perfis (Recomendao sobre a definio
de perfis), 23denovembrode2010.

2.1. Dados pessoais


Pontos-chave

Consideramse dados pessoais os dados relativos a uma pessoa identificada ou, pelo
menos, identificvel: o titular dos dados ou a pessoa em causa

Considerase que uma pessoa identificvel se for possvel obter informaes adicio-
nais, sem um esforo desproporcionado, que permitam a identificao do titular dos
dados.

A autenticao consiste no ato de provar que uma certa pessoa possui uma certa iden-
tidade e/ou est autorizada a realizar certas atividades.

36
Terminologia sobre proteo de dados

Existem categorias especficas de dados (os chamados dados sensveis), elencados


na Conveno108 e na Diretiva de Proteo de Dados, os quais exigem uma proteo
acrescida e, como tal, esto sujeitos a um regime jurdico especial.

Considerase que os dados foram anonimizados se j no contiverem quaisquer ele-


mentos de identificao; consideramse pseudonimizados se os elementos de identi-
ficao estiverem encriptados.

Contrariamente ao que acontece com os dados anonimizados, os dados pseudonimi-


zados so dados pessoais.

2.1.1. Principais aspetos do conceito de dados


pessoais
No direito da UE, assim como no direito do CdE, o termo dados pessoais definido
como informaes relativas a uma pessoa singular identificada ou identificvel,47 ou
seja, informaes sobre uma pessoa cuja identidade evidente ou que pode, pelo
menos, ser determinada atravs da obteno de informaes adicionais.

Se forem tratados dados sobre essa pessoa, esta designada titular dos dados.

Uma pessoa

O direito proteo de dados nasceu do direito ao respeito pela vida privada. O con-
ceito de vida privada est associado aos seres humanos. As pessoas singulares so,
portanto, as principais beneficirias da proteo de dados. Alm disso, segundo o
Parecer do Grupo de Trabalho do artigo29., apenas as pessoas vivas esto protegi-
das pela legislao europeia sobre proteo de dados.48

A jurisprudncia do TEDH relativa ao artigo8. da CEDH ilustra a dificuldade em


separar completamente assuntos da vida privada e da vida profissional.49

47 Diretiva Proteo de Dados, artigo 2., al. a); Conveno108, artigo2., alneaa).
48 Grupo de Trabalho do artigo 29. (2007), Parecer 4/2007 sobre o conceito de dados pessoais, WP136,
20dejunhode2007, p.23.
49 Ver, por exemplo, TEDH, acrdo Rotaru c. Romnia [GS] de 4demaiode2000, n. 43, petio
n.28341/95; TEDH, acrdo Niemitz c. Alemanha, de 16dedezembrode1992, n. 29, petio
n.13710/88.

37
Manual da Legislao Europeia sobre Proteo de Dados

Exemplo: No processo que deu origem ao acrdo Amann c. Sua,50 as auto-


ridades intercetaram uma chamada telefnica de natureza profissional para o
requerente. Com base nessa chamada telefnica, as autoridades lanaram uma
investigao sobre o requerente e submeteram uma ficha sobre o mesmo,
destinada ao registo de fichas de segurana. Embora a interceo respeitasse
a uma chamada telefnica de natureza profissional, o TEDH considerou que o
armazenamento de dados sobre esta chamada estava relacionado com a vida
privada do requerente, tendo sublinhado que o termo vida privada no
podia ser objeto de uma interpretao restritiva, sobretudo porque o respeito
pela vida privada abrangia o direito de estabelecer e desenvolver relaes com
outros seres humanos. Alm disso, no existia qualquer razo de princpio que
justificasse a excluso de atividades de natureza profissional ou comercial do
conceito de vida privada. Esta interpretao mais ampla do conceito corres-
pondia da Conveno108. O TEDH considerou ainda que, no caso do reque-
rente, a ingerncia das autoridades no estava em conformidade com a lei dado
que a legislao nacional no estabelecia disposies especficas e detalhadas
sobre a recolha, gravao e armazenamento de informaes. Por conseguinte,
concluiu que tinha havido uma violao do artigo8. da CEDH.

Alm disso, se a vida profissional tambm pode ser objeto da proteo de dados,
questionvel que apenas as pessoas singulares possam beneficiar dessa proteo.
Os direitos garantidos pela CEDH no respeitam apenas s pessoas singulares.

Existe jurisprudncia do TEDH em que este se pronunciou sobre alegados casos


de violao do direito de pessoas coletivas a proteo contra a utilizao dos seus
dados nos termos do artigo8. da CEDH. Porm, o TEDH apreciou os factos luz do
direito ao respeito pelo domiclio e pela correspondncia e no ao respeito pela vida
privada.

Exemplo: O processo que deu origem ao acrdo Bernh Larsen Holding AS e


outros c. Noruega51 dizia respeito a uma queixa apresentada por trs empre-
sas norueguesas relativa a uma deciso das autoridades fiscais ordenando que
estas fornecessem aos inspetores fiscais uma cpia de todos os dados armaze-
nados num servidor utilizado em conjunto pelas trs empresas.

50 TEDH, acrdo Amann c. Sua [GS] de 16defevereirode2000, n. 65, petio n.27798/95.


51 TEDH, acrdo Bernh Larsen Holding AS e outros c. Noruega de 14demarode2013,
petio n.24117/08. Ver tambm, porm, TEDH, acrdo Liberty e outros c. Reino Unido de
1dejulhode2008, petio n.58243/00.

38
Terminologia sobre proteo de dados

O TEDH concluiu que a imposio de tal obrigao sobre as empresas reque-


rentes constitua uma ingerncia no exerccio dos seus direitos ao respeito pelo
domiclio e pela correspondncia. Contudo, o TEDH entendeu que as auto-
ridades fiscais tinham implementado garantias eficazes e adequadas contra
abusos: as empresas requerentes tinham sido notificadas com grande antece-
dncia, estavam presentes e tiveram a oportunidade de se pronunciar durante
a diligncia no local e o material deveria ser destrudo quando a inspeo fiscal
estivesse concluda. Neste caso, tinha sido alcanado um equilbrio justo entre
o direito das empresas requerentes ao respeito pelo domiclio e pela cor-
respondncia e o seu interesse em proteger a privacidade das pessoas que
trabalhavam para elas, por um lado, e o interesse pblico em assegurar uma
inspeo eficiente para efeitos de liquidao do imposto, por outro. O TEDH con-
cluiu que tinha havido, assim, uma violao do artigo8..

De acordo com a Conveno 108, a proteo de dados respeita, em primeira linha,


proteo das pessoas singulares; no entanto, as Partes Contratantes podem alargar
essa proteo a pessoas coletivas, tais como sociedades comerciais e associaes,
no seu direito interno. A legislao da UE sobre proteo de dados no abrange, de
um modo geral, a proteo de pessoas coletivas relativamente ao tratamento de
dados que lhes digam respeito. Esta matria pode ser regulada pelas autoridades
nacionais competentes.52

Exemplo: No acrdo Volker und Markus Schecke e Hartmut Eifert/Land Hes-


sen,53 o TJUE, reportandose publicao de dados pessoais relativos aos benefi-
cirios de ajudas agrcolas, entendeu que as pessoas coletivas s podem invo-
car a proteo dos artigos7. e 8. da Carta a respeito de tal identificao desde
que a denominao legal da pessoa coletiva identifique uma ou mais pessoas
singulares. [O] respeito pelo direito vida privada (sic) relativamente ao trata-
mento de dados pessoais, reconhecido pelos artigos7. e 8. da Carta, abrange
todas as informaes relativas a qualquer pessoa singular identificada ou iden-
tificvel [].54

52 Diretiva Proteo de Dados, considerando24.


53 TJUE, acrdo de 9denovembrode2010 nos processos apensos C-92/09 e C-93/09, Volker und
Markus Schecke GbR e Hartmut Eifert/Land Hessen, n. 53.
54 Ibid. n. 52.

39
Manual da Legislao Europeia sobre Proteo de Dados

Identificabilidade de uma pessoa

Nos termos do direito da UE, bem como nos termos do direito do CdE, considerase
que as informaes contm dados sobre uma pessoa se:

essa pessoa estiver identificada nessas informaes; ou

essa pessoa, embora no esteja identificada, estiver descrita nestas informaes


de forma que permita descobrir quem a pessoa em causa efetuando pesquisas
adicionais.

Ambos os tipos de informaes so protegidos da mesma forma na legislao euro-


peia sobre proteo de dados. O TEDH tem afirmado repetidamente que o conceito
de dados pessoais o mesmo na CEDH e na Conveno 108, especialmente no
que respeita exigncia de serem relativos a pessoas singulares identificadas ou
identificveis.55

As definies legais de dados pessoais no esclarecem em que casos se considera


que uma pessoa est identificada.56 Evidentemente, a identificao exige elementos
que descrevam uma pessoa de forma a distinguila de todas as outras e de a tornar
reconhecvel enquanto indivduo. O nome de uma pessoa um exemplo perfeito
desse tipo de elementos descritivos. Em casos excecionais, outros elementos de
identificao podero produzir o mesmo efeito que um nome. Por exemplo, no caso
das figuras pblicas, poder ser suficiente mencionar o cargo da pessoa (por ex.,
Presidente da Comisso Europeia).

Exemplo: No acrdo Promusicae,57 o TJUE afirmou que pacfico que a trans-


misso, pedida pela Promusicae, dos nomes e endereos de determinados uti-
lizadores de [uma certa plataforma de partilha de ficheiros na Internet] implica
a disponibilizao de dados pessoais, isto , de informaes sobre pessoas sin-
gulares identificadas ou identificveis, de acordo com a definio constante do
artigo 2., alnea a), da Diretiva95/46 []. Essa transmisso de informaes,
que, segundo a Promusicae, so armazenadas pela Telefnica o que a mesma

55 Ver TEDH, acrdo Amann c. Sua [GS] de 16 de fevereiro de 2000, n. 65 et al., petio n.27798/95.
56 Ver tambm TEDH, acrdo Odivre c. Frana [GS] de 13 de fevereiro de 2003, petio n.42326/98; e
TEDH, acrdo Godelli c. Itlia de 25deSetembrode2012, petio n. 33783/09.
57 TJUE, acrdo de 29dejaneirode2008 no processo C-275/06, Productores de Msica de Espaa
(Promusicae)/Telefnica de Espaa SAU, n. 45.

40
Terminologia sobre proteo de dados

no contesta , constitui um tratamento de dados pessoais, na aceo do artigo


2., primeiro pargrafo, da Diretiva2002/58, em conjugao com o artigo 2.,
alnea b), da Diretiva95/46.

Uma vez que muitos nomes no so nicos, a determinao da identidade de uma


pessoa poder exigir outros elementos de identificao para garantir que uma pes-
soa no seja confundida com outra. Muitas vezes so utilizadas informaes como
a data e o local de nascimento. Em alguns pases, foram tambm estabelecidos
nmeros personalizados para distinguir melhor os cidados entre si. Os dados bio-
mtricos, como as impresses digitais, as fotografias digitais ou o reconhecimento
da ris, esto a tornarse cada vez mais importantes para identificar as pessoas na era
tecnolgica.

Para a aplicabilidade da legislao europeia sobre proteo de dados, porm, no


necessria uma identificao de alta qualidade da pessoa em causa, bastando que
esta seja identificvel. Uma pessoa considerada identificvel se uma informao
contiver elementos de identificao que permitam identificar essa pessoa, direta ou
indiretamente.58 Segundo o considerando 26 da Diretiva de Proteo de Dados, o cri-
trio a probabilidade de utilizadores previsveis das informaes (incluindo tercei-
ros destinatrios) terem ao seu dispor e aplicarem meios razoveis de identificao
(ver seco2.3.2).

Exemplo: Uma autoridade local decide recolher dados sobre os veculos que
ultrapassam o limite de velocidade nas ruas daquela localidade. Para tal, foto-
grafa os veculos, registando automaticamente a hora e o local, a fim de trans-
mitir os dados autoridade competente para que esta possa aplicar multas
queles que violaram os limites de velocidade. Uma das pessoas em causa
apresenta uma queixa, alegando que nenhuma disposio da legislao sobre
proteo de dados habilita a autoridade local a recolher esses dados. A auto-
ridade local entende que no est a recolher dados pessoais, afirmando que
as matrculas so dados sobre pessoas annimas. A autoridade local no tem
competncia para consultar o registo automvel geral para saber a identidade
do proprietrio ou condutor do veculo.

Este argumento incompatvel com o disposto no considerando26 da Dire-


tiva de Proteo de Dados. Uma vez que a finalidade da recolha dos dados

58 Diretiva Proteo de Dados, artigo2., al.a).

41
Manual da Legislao Europeia sobre Proteo de Dados

claramente identificar e multar aqueles que ultrapassam os limites de veloci-


dade, previsvel que se tente proceder quela identificao. Embora as auto-
ridades locais no tenham diretamente ao seu dispor meios de identificao, os
dados sero transmitidos autoridade competente a polcia que possui tais
meios. O considerando26 tambm prev expressamente um cenrio em que
previsvel que outros destinatrios dos dados, para alm do utilizador imediato,
possam tentar identificar a pessoa. luz do considerando26, os atos da auto-
ridade local equivalem recolha de dados sobre pessoas identificveis e, como
tal, necessitam de uma base legal ao abrigo da legislao sobre proteo de
dados.

No direito do CdE, a identificabilidade entendida de modo semelhante. O artigo1.,


n. 2, da Recomendao sobre os dados de pagamento,59 por exemplo, estabelece
que uma pessoa no ser considerada identificvel se a identificao implicar um
esforo desrazovel a nvel de tempo, custos ou trabalho.

Autenticao

A autenticao o procedimento atravs do qual uma pessoa pode provar que


possui uma certa identidade e/ou est autorizada a praticar certos atos, tais como
movimentar uma conta bancria ou entrar numa rea de acesso reservado. A auten-
ticao pode ser efetuada atravs da comparao de dados biomtricos, tais como
a fotografia ou as impresses digitais constantes do passaporte, com os dados da
pessoa que se apresenta, por exemplo, nos servios de controlo da imigrao; de
perguntas cuja resposta s deveria ser conhecida da pessoa com uma certa identi-
dade ou autorizao, tais como o nmero de identificao pessoal (PIN) ou a pala-
vrapasse; ou exigindo a apresentao de um determinado objeto que deveria estar
exclusivamente na posse da pessoa com uma certa identidade ou autorizao, tais
como um carto com chip especial ou a chave de um cofre bancrio. Para alm das
palavraspasse e dos cartes com chip, por vezes em conjunto com PIN, as assina-
turas eletrnicas so um instrumento particularmente eficaz para a identificao e
autenticao de uma pessoa nas comunicaes eletrnicas.

59 CdE, Comit de Ministros (1990), Recommendation No.R Rec(90) 19 on the protection of personal
data used for payment and other related operations (Recomendao n.R Rec(90)19 sobre
a proteo de dados pessoais utilizados para fins de pagamento e outras operaes conexas),
de13deSetembrode1990.

42
Terminologia sobre proteo de dados

Natureza dos dados

Qualquer tipo de informao pode ser considerado dados pessoais desde que seja
relativa a uma pessoa.

Exemplo: A avaliao do desempenho profissional de um funcionrio realizada


pelo superior hierrquico e guardada no respetivo processo individual constitui
dados pessoais sobre o funcionrio, ainda que traduza apenas, no todo ou em
parte, a opinio pessoal desse superior hierrquico, como, por ex., o funcion-
rio no dedicado ao seu trabalho e no factos objetivos, como, por ex., o
funcionrio esteve ausente ao servio durante cinco semanas nos ltimos seis
meses.

Os dados pessoais abrangem as informaes respeitantes vida privada de uma


pessoa, bem como informaes sobre a sua vida profissional ou pblica.

No acrdo Amann,60 o TEDH considerou que o termo dados pessoais no abran-


gia apenas assuntos da esfera privada de uma pessoa (ver seco2.1.1). Esta inter-
pretao do termo dados pessoais tambm relevante para a Diretiva de Prote-
o de Dados:

Exemplo: No acrdo Volker und Markus Schecke e Hartmut Eifert/Land Hes-


sen,61 o TJUE afirmou que [a] este respeito, irrelevante que os dados publi-
cados sejam relativos a atividades profissionais []. O Tribunal Europeu dos
Direitos do Homem declarou, a este propsito, relativamente interpretao do
artigo8. da CEDH, que a expresso vida privada no devia ser interpretada
de forma restritiva e que nenhuma razo de princpio permite excluir as ativida-
des profissionais do conceito de vida privada.

Os dados tambm so relativos a pessoas se o teor da informao revelar indireta-


mente dados sobre uma pessoa. Em alguns casos, quando existe uma estreita liga-
o entre um objeto ou acontecimento por ex., um telemvel, um automvel, um
acidente por um lado, e uma pessoa por ex., o seu proprietrio, utilizador, vtima

60 Ver TEDH, acrdo Amann c.a Sua de 16defevereirode2000, n. 65, petio n.27798/95.
61 Acrdo de 9 de novembro de 2010 nos processos apensos C-92/09 e C-93/09, Volker und Markus
Schecke GbR e Hartmut Eifert/Land Hessen, n. 59.

43
Manual da Legislao Europeia sobre Proteo de Dados

por outro, as informaes sobre um objeto ou sobre um acontecimento tambm


deveriam ser consideradas dados pessoais.

Exemplo: No processo que deu origem ao acrdo Uzun c. Alemanha,62 o reque-


rente e outro homem foram colocados sob vigilncia atravs de um dispositivo
GPS (sistema de posicionamento global) montado no veculo do outro homem
devido suspeita de envolvimento num ataque bombista. Neste caso, o TEDH
entendeu que a observao do requerente atravs de GPS correspondia a uma
ingerncia na sua vida privada, tal como protegida pelo artigo8. da CEDH. No
entanto, a vigilncia por GPS tinha sido efetuada em conformidade com a lei e
era proporcional ao objetivo legtimo de investigar vrios casos de tentativa de
homicdio e, por conseguinte, era necessria numa sociedade democrtica. O
TEDH concluiu que no tinha havido uma violao do artigo8. da CEDH.

Suporte dos dados

O suporte onde os dados pessoais so armazenados ou utilizados no relevante


para a aplicabilidade da legislao sobre proteo de dados. As comunicaes escri-
tas ou orais podem conter dados pessoais, assim como imagens,63 incluindo ima-
gens64 ou som65 captados por sistemas de circuito fechado de televiso(CCTV). As
informaes registadas eletronicamente, bem como as informaes em suporte de
papel, podem ser dados pessoais; at mesmo as amostras de tecido humano podem
conter dados pessoais, na medida em que registam o ADN de uma pessoa.

2.1.2. Categorias especficas de dados pessoais


No direito da UE, bem como no direito do CdE, existem categorias especficas de
dados pessoais que, por natureza, podero representar um risco para as pessoas em
causa quando so tratados, pelo que exigem uma proteo reforada. Por conse-
guinte, o tratamento destas categorias especficas de dados (dados sensveis) s
poder ser permitido se tiverem sido implementadas garantias especficas.

62 TEDH, acrdo Uzun c. Alemanha de 2desetembrode2010, petio n.35623/05.


63 TEDH, acrdo Von Hannover c. Alemanha de 24dejunhode2004, petio n.59320/00; TEDH,
acrdo Sciacca c. Itlia de 11dejaneirode2005, petio n.50774/99.
64 TEDH, acrdo Peck c. Reino Unido de 28 de janeiro de 2003, petio n. 44647/98; TEDH, acrdo
Kpke c. Alemanha de 5deoutubrode2010, petio n.420/07.
65 Diretiva Proteo de Dados, considerandos16 e 17; TEDH, acrdo P.G. e J.H. c. Reino Unido de
25deSetembrode2001, petio n.44787/98, n.s 59 e 60; TEDH, acrdo Wisse c. Frana de
20dedezembrode2005, petio n.71611/01.

44
Terminologia sobre proteo de dados

Quanto definio de dados sensveis, tanto a Conveno 108 (artigo6.) como a


Diretiva de Proteo de Dados (artigo8.) identificam as seguintes categorias:

dados pessoais que revelem a origem racial ou tnica;

dados pessoais que revelem as opinies polticas, as convices religiosas ou


outras; e

dados relativos sade e vida sexual.

Exemplo: No acrdo Bodil Lindqvist,66 o TJUE afirmou que a indicao do


facto de uma pessoa se ter lesionado num p e estar com baixa por doena a
meio tempo constitui um dado de carter pessoal relativo sade na aceo do
artigo8., n. 1, da Diretiva95/46.

A Diretiva de Proteo de Dados qualifica tambm os dados relativos filiao sin-


dical como dados sensveis, j que esta informao pode ser um bom indicador da
filiao ou das convices polticas.

A Conveno 108 tambm considera sensveis os dados pessoais relativos a conde-


naes penais.

O artigo 8., n. 7, da Diretiva de Proteo de Dados encarrega os Estados-Membros


da UE de determinar as condies em que um nmero nacional de identificao ou
qualquer outro elemento de identificao de aplicao geral poder ser objeto de
tratamento.

2.1.3. Dados anonimizados e pseudonimizados


De acordo com o princpio da limitao da conservao dos dados consagrado na
Diretiva de Proteo de Dados e na Conveno108 (e desenvolvido no captulo3),
os dados tm de ser conservados de forma a permitir a identificao das pessoas
em causa apenas durante o perodo necessrio para a prossecuo das finalidades
para que foram recolhidos ou para que so tratados posteriormente.67 Consequen-
temente, se o responsvel pelo tratamento pretendesse armazenar os dados depois

66 TJUE, acrdo de 6denovembrode2003 no processo C-101/01, Bodil Lindqvist, n. 51.


67 Diretiva Proteo de Dados, artigo6., n. 1, al. e); Conveno108, artigo 5., al.e).

45
Manual da Legislao Europeia sobre Proteo de Dados

de estarem desatualizados ou de terem deixado de servir a sua finalidade inicial,


teria de os anonimizar.

Dados anonimizados

Os dados consideramse anonimizados se todos os elementos de identificao tive-


rem sido eliminados de um conjunto de dados pessoais. No pode ser deixado nas
informaes nenhum elemento que possa servir, exercendo um esforo razovel,
para reidentificar a(s) pessoa(s) em questo.68 Quando os dados so eficazmente
anonimizados, deixam de ser dados pessoais.

Se os dados pessoais deixarem de servir a sua finalidade inicial, a Diretiva de Prote-


o de Dados e a Conveno 108 permitem que estes sejam conservados sem ano-
nimizao para fins histricos, estatsticos ou cientficos, desde que sejam aplicadas
garantias adequadas contra a sua utilizao abusiva.69

Dados pseudonimizados

As informaes pessoais contm elementos de identificao, tais como o nome, a


data de nascimento, o sexo e a morada. Quando as informaes pessoais so pseu-
donimizadas, os elementos de identificao so substitudos por um pseudnimo. A
pseudonimizao realizada, por exemplo, atravs da encriptao dos elementos
de identificao constantes dos dados pessoais.

As definies legais da Conveno108 e da Diretiva de Proteo de Dados no


mencionam expressamente os dados pseudonimizados. No entanto, o Relatrio
Explicativo da Conveno108 refere, no seu artigo 42., que o requisito relativo ao
prazo mximo de armazenamento dos dados na sua forma nominativa no significa
que, passado algum tempo, esses dados devem ser irrevogavelmente separados
do nome da pessoa a quem dizem respeito, mas apenas que no dever ser fcil
estabelecer a ligao entre os dados e os elementos de identificao. Este objetivo
poder ser alcanado atravs da pseudonimizao dos dados. Para aqueles que no
possuam a chave de desencriptao, os dados pseudonimizados s dificilmente
podem ser identificveis. A ligao a uma identidade ainda existe sob a forma do
pseudnimo mais a chave de desencriptao. Para quem esteja autorizado a utilizar

68 Ibid., considerando26.
69 Ibid., artigo6., n. 1, al. e); Conveno108, artigo5., al.e).

46
Terminologia sobre proteo de dados

essa chave, a re-identificao possvel com facilidade. necessrio assegurar a


proteo contra a utilizao de chaves de encriptao por pessoas no autorizadas.

Uma vez que a pseudonimizao dos dados um dos meios mais importantes de
assegurar a proteo de dados em grande escala, sempre que no for possvel evi-
tar totalmente o uso de dados pessoais, a lgica e os efeitos dessa medida tm de
ser explicados mais detalhadamente.

Exemplo: A frase Charles Spencer, nascido em 3 de abril de 1967, tem quatro


filhos: dois rapazes e duas raparigas pode ser pseudonimizada, por exemplo,
da seguinte forma:

C.S.1967 tem quatro filhos: dois rapazes e duas raparigas; ou

324 tem quatro filhos: dois rapazes e duas raparigas; ou

YESz320l tem quatro filhos: dois rapazes e duas raparigas.

Os utilizadores que acedam a estes dados pseudonimizados no tero geralmente


capacidade para identificar Charles Spencer, nascido em 3deabrilde1967 a par-
tir de 324 ou YESz3201. Por conseguinte, os dados pseudonimizados esto
mais protegidos contra utilizaes abusivas.

Porm, no primeiro exemplo, a proteo menor. Se a frase C.S.1967 tem qua-


tro filhos: dois rapazes e duas raparigas for utilizada na pequena aldeia onde vive
Charles Spencer, este poder ser facilmente reconhecido. O mtodo de pseudonimi-
zao afeta a eficcia da proteo de dados.

So utilizados dados pessoais com elementos de identificao encriptados em mui-


tos contextos como forma de manter secreta a identidade das pessoas. uma tc-
nica particularmente til quando os responsveis pelo tratamento necessitam de se
certificar de que esto a lidar com as mesmas pessoas em causa, mas no preci-
sam, nem devem, conhecer a verdadeira identidade dessas pessoas. o caso, por
exemplo, de um investigador que acompanha a evoluo do estado de sade de
determinados doentes, cuja identidade conhecida apenas do hospital onde rece-
bem tratamento e que fornece os respetivos processos clnicos pseudonimizados
ao investigador. A pseudonimizao , assim, um instrumento muito til no arsenal
da tecnologia de proteo da privacidade. Pode ser um elemento muito importante

47
Manual da Legislao Europeia sobre Proteo de Dados

na implementao da privacidade desde a conceo, que implica a incorporao da


proteo de dados no tecido dos sistemas avanados de tratamento de dados.

2.2. Tratamento de dados


Pontos-chave

O termo tratamento respeita sobretudo ao tratamento automatizado.

Nos termos do direito da UE, o termo tratamento respeita igualmente ao tratamento


manual em ficheiros estruturados.

Nos termos do direito do CdE, o direito nacional pode incluir o tratamento manual na
definio de tratamento.

A proteo de dados ao abrigo da Conveno108 e da Diretiva de Proteo de


Dados incide essencialmente sobre o tratamento automatizado de dados.

No mbito do direito do CdE, a definio de tratamento automatizado reco-


nhece, porm, que podero existir necessariamente algumas etapas de utilizao
manual dos dados pessoais entre as operaes automatizadas. Do mesmo modo,
no mbito do direito da UE, o tratamento automatizado de dados definido como
operaes efetuadas sobre dados pessoais [...] por meios total ou parcialmente
automatizados.70

Exemplo: No acrdo Bodil Lindqvist,71 o TJUE entendeu que:

a referncia, feita numa pgina da Internet, a vrias pessoas e a sua identifi-


cao pelo nome ou por outros meios, por exemplo, o nmero de telefone ou
informaes relativas s suas condies de trabalho e aos seus passatempos
constitui um tratamento de dados pessoais por meios total ou parcialmente
automatizados na aceo do artigo 3., n. 1, da Diretiva95/46.

O tratamento manual de dados tambm exige proteo de dados.

70 Conveno 108, artigo 2., al. c); Diretiva Proteo de Dados, artigo2., al.b) e artigo3., n. 1.
71 TJUE, acrdo de 6 de novembro de 2003 no processo C-101/01, Bodil Lindqvist, n. 27.

48
Terminologia sobre proteo de dados

A proteo de dados no direito da UE no est de modo algum limitada ao trata-


mento automatizado de dados. Consequentemente, nos termos do direito da UE, a
proteo de dados aplicvel ao tratamento de dados pessoais contidos em fichei-
ros em papel especialmente estruturados.72 Este alargamento da proteo de dados
devese ao facto de que:

os ficheiros em papel podem ser estruturados de modo a permitir a localizao


das informaes de forma fcil e rpida; e

o armazenamento de dados pessoais em ficheiros em papel estruturados per-


mite contornar com maior facilidade as restries impostas pela lei ao trata-
mento automatizado de dados.73

No mbito do direito do CdE, a Conveno108 regula, antes de mais, o tratamento


de dados em ficheiros automatizados.74 No entanto, tambm prev a possibilidade
de alargamento da proteo ao tratamento manual no direito interno. Muitas Partes
na Conveno108 aproveitaram esta possibilidade e dirigiram declaraes naquele
sentido ao SecretrioGeral do CdE.75 O alargamento da proteo de dados nos ter-
mos dessa declarao tem de abranger todas as operaes de tratamento manual
de dados, no podendo restringirse ao tratamento de dados em ficheiros manuais.76

No que respeita natureza das operaes de tratamento includas, tanto o direito


da UE como o direito do CdE estabelecem uma definio abrangente do termo tra-
tamento: Tratamento de dados pessoais [] qualquer operao [] tais como
a recolha, registo, organizao, conservao, adaptao ou alterao, recupera-
o, consulta, utilizao, comunicao por transmisso, difuso ou qualquer outra
forma de colocao disposio, com comparao ou interconexo, bem como o
bloqueio, apagamento ou destruio77 efetuada sobre dados pessoais. O termo
tratamento tambm inclui os atos atravs dos quais a responsabilidade pelos
dados transferida de um responsvel pelo tratamento para outro responsvel pelo
tratamento.

72 Diretiva Proteo de Dados, artigo3., n. 1.


73 Ibid., considerando27.
74 Conveno 108, artigo 2., alnea b).
75 Ver as declaraes efetuadas ao abrigo da Conveno 108, artigo3., n. 2, al.c).
76 Ver a redao da Conveno 108, artigo 3., n. 2.
77 Diretiva Proteo de Dados, artigo 2., al. b). No mesmo sentido, ver tambm a Conveno108,
artigo2., al. c).

49
Manual da Legislao Europeia sobre Proteo de Dados

Exemplo: Os empregadores recolhem e tratam dados sobre os seus funcion-


rios, incluindo informaes relativas aos seus salrios. A base legal para este
tratamento legtimo o contrato de trabalho.

Os empregadores so obrigados a reencaminhar os dados sobre os salrios do


seu pessoal para as autoridades fiscais. Este reencaminhamento tambm cons-
titui tratamento na aceo da Conveno108 e da Diretiva. Contudo, a base
legal para esta comunicao no o contrato de trabalho. Ter de existir outra
base legal para as operaes de tratamento que resultam na transferncia de
dados sobre salrios do empregador para as autoridades fiscais. Em regra, esta
base legal encontrase nas disposies da legislao fiscal nacional. Na ausncia
destas disposies, a transferncia dos dados constituiria um tratamento ilegal.

2.3. Os utilizadores de dados pessoais


Pontos-chave

A pessoa que decide proceder ao tratamento de dados pessoais de terceiros o res-


ponsvel pelo tratamento nos termos da legislao sobre proteo de dados; se a
deciso for tomada em conjunto por vrias pessoas, estas podero ser consideradas
responsveis conjuntos pelo tratamento.

Um subcontratante uma entidade juridicamente distinta que trata os dados pes-


soais por conta do responsvel pelo tratamento.

Um subcontratante passa a ser considerado responsvel pelo tratamento se utilizar os


dados para os seus fins e no em conformidade com as instrues do responsvel pelo
tratamento.

Qualquer pessoa que receba dados de um responsvel pelo tratamento um


destinatrio.

Um terceiro uma pessoa singular ou coletiva que no atua sob as instrues do


responsvel pelo tratamento (e no pessoa em causa, titular dos dados).

Um terceiro destinatrio uma pessoa ou entidade juridicamente distinta do res-


ponsvel pelo tratamento, mas que recebe dados pessoais fornecidos por este.

50
Terminologia sobre proteo de dados

2.3.1. Responsveis pelo tratamento


esubcontratantes
A consequncia mais importante da qualificao como responsvel pelo tratamento
ou subcontratante a responsabilidade pelo cumprimento das obrigaes que a
legislao sobre proteo de dados impe sobre cada um deles. Por conseguinte, s
quem puder ser responsabilizado ao abrigo da lei aplicvel que poder desempe-
nhar aquelas funes. No setor privado, geralmente uma pessoa singular ou cole-
tiva; no setor pblico, geralmente uma autoridade. Outras entidades, como orga-
nismos ou instituies sem personalidade jurdica, s podem ser responsveis pelo
tratamento ou subcontratantes quando tal estiver previsto em disposies legais
especiais.

Exemplo: Se a diviso de marketing da empresa Sunshine planear proceder ao


tratamento de dados para fins de um estudo de mercado, o responsvel por
esse tratamento ser a empresa Sunshine e no a diviso de marketing. A divi-
so de marketing no pode ser o responsvel pelo tratamento porque no tem
personalidade jurdica autnoma.

Nos grupos de empresas, a empresame e cada uma das filiais so consideradas


responsveis pelo tratamento ou subcontratantes distintos, dado que so pessoas
coletivas distintas. Uma vez que estas entidades possuem personalidades jurdicas
distintas, a transferncia de dados entre os membros de um grupo de empresas
necessitar de uma base legal especial. No existe nenhuma prerrogativa que per-
mita o intercmbio de dados pessoais, enquanto tal, entre entidades jurdicas distin-
tas do mesmo grupo de empresas.

Neste contexto, importa mencionar o papel das pessoas singulares. No mbito do


direito da UE, as pessoas singulares, quando tratam dados pessoais sobre terceiros
no exerccio de atividades exclusivamente pessoais ou domsticas, no esto sujei-
tas s regras da Diretiva de Proteo de Dados e no so consideradas responsveis
pelo tratamento.78

No entanto, existe jurisprudncia que defende, ainda assim, a aplicabilidade da


legislao sobre proteo de dados quando uma pessoa singular, no contexto da
utilizao da Internet, publica dados sobre terceiros.

78 Diretiva Proteo de Dados, considerando12 e artigo3., n. 2, ltimo travesso.

51
Manual da Legislao Europeia sobre Proteo de Dados

Exemplo: O TJUE considerou no acrdo Bodil Lindqvist79 que:

a referncia, feita numa pgina da Internet, a vrias pessoas e a sua identifica-


o pelo nome ou por outros meios [] constitui um tratamento de dados pes-
soais por meios total ou parcialmente automatizados na aceo do artigo3.,
n. 1, da Diretiva95/46.80

Este tratamento de dados pessoais no constitui uma atividade exclusivamente


pessoal ou domstica, que est fora do mbito de aplicao da Diretiva de
Proteo de Dados, dado que esta exceo deve [] ser interpretada como
tendo unicamente por objeto as atividades que se inserem no mbito da vida
privada ou familiar dos particulares, o que no manifestamente o caso do tra-
tamento de dados de carter pessoal que consiste na sua publicao na Internet
de maneira que esses dados so disponibilizados a um nmero indefinido de
pessoas.81

Responsvel pelo tratamento

No mbito do direito da UE, um responsvel pelo tratamento definido como


algum que individualmente ou em conjunto com outrem, determine as finalidades
e os meios de tratamento dos dados pessoais.82 Na sua deciso, o responsvel pelo
tratamento explica porqu e como os dados sero tratados. No mbito do direito do
CdE, a definio de responsvel refere ainda que o responsvel decide as catego-
rias de dados de carter pessoal que devem ser registadas.83

Na sua definio de responsvel, a Conveno108 menciona um outro aspeto da


responsabilidade pelo tratamento que merece ateno. Esta definio faz referncia
questo da competncia para proceder licitamente ao tratamento de certos dados
para um determinado fim. Contudo, sempre que tenham lugar operaes de tra-
tamento alegadamente ilegais e seja necessrio identificar o responsvel pelo tra-
tamento, este ser a pessoa ou entidade (como uma empresa ou uma autoridade)
que decidiu que os dados deveriam ser tratados, independentemente de ter ou

79 TJUE, acrdo de 6denovembrode2003 no processo C-101/01, Bodil Lindqvist.


80 Ibid. n. 27.
81 Ibid. n. 47.
82 Diretiva Proteo de Dados, artigo 2., al. d).
83 Conveno 108, artigo 2., al. d).

52
Terminologia sobre proteo de dados

no competncia legal para o fazer84. Por conseguinte, os pedidos de apagamento


devem ser sempre dirigidos ao responsvel real pelo tratamento.

Responsabilidade conjunta pelo tratamento

A definio de responsvel pelo tratamento na Diretiva de Proteo de Dados


prev a possibilidade de existirem vrias entidades juridicamente distintas que, em
conjunto com outras, desempenhem o papel de responsvel pelo tratamento, o que
significa que decidem, em conjunto, tratar os dados para uma finalidade comum.85
Porm, isto s ser possvel nos casos em que exista uma base legal para o trata-
mento conjunto de dados para uma finalidade comum.

Exemplo: Uma base de dados sobre clientes em situao de incumprimento


gerida em conjunto por vrias instituies de crdito um exemplo comum
de responsabilidade conjunta pelo tratamento. Quando algum apresenta um
pedido de crdito a um banco que um dos responsveis conjuntos pelo trata-
mento, os bancos consultam a base de dados para os ajudar a tomar decises
informadas sobre a solvabilidade do requerente.

Os regulamentos no esclarecem se a responsabilidade conjunta pelo tratamento


exige que a finalidade comum seja a mesma para cada um dos responsveis pelo
tratamento ou se suficiente que as finalidades coincidam apenas em parte. Porm,
ainda no existe jurisprudncia relevante ao nvel europeu e as consequncias em
matria de responsabilidade tambm no esto claramente definidas. O Grupo de
Trabalho do artigo29. defende uma interpretao mais ampla do conceito de res-
ponsabilidade conjunta pelo tratamento com o objetivo de adotar uma certa flexibi-
lidade para ter em conta a crescente complexidade da realidade do tratamento de
dados.86 Um caso que envolve a Sociedade das Telecomunicaes Financeiras Inter-
bancrias no Mundo (Society for Worldwide Interbank Financial Telecommunication
SWIFT) ilustra a posio do Grupo de Trabalho.

Exemplo: Naquele que ficou conhecido como o caso SWIFT, algumas institui-
es bancrias europeias contrataram a SWIFT, inicialmente na qualidade de

84 Ver tambm Grupo de Trabalho do artigo 29. (2010), Parecer 1/ 2010 sobre os conceitos de
responsvel pelo tratamento e subcontratante, WP169, Bruxelas, 16defevereirode2010, p.19.
85 Diretiva Proteo de Dados, artigo2., al.d).
86 Grupo de Trabalho do artigo 29. (2010), Parecer 1/2010 sobre os conceitos de responsvel pelo
tratamento e subcontratante, WP169, Bruxelas, 16defevereirode2010, p.23.

53
Manual da Legislao Europeia sobre Proteo de Dados

subcontratante, para realizar transferncias de dados no decurso de transaes


bancrias. A SWIFT divulgou os dados dessas transaes bancrias, que esta-
vam armazenados num centro de servios de computao nos Estados Unidos,
ao Departamento do Tesouro dos EUA sem ordem expressa das instituies
bancrias que a tinham contratado. Ao apreciar a legalidade desta situao,
o Grupo de Trabalho do artigo29. chegou concluso de que as instituies
bancrias europeias que tinham contratado a SWIFT, assim como a prpria
SWIFT, tinham de ser consideradas responsveis conjuntas pelo tratamento e,
como tal, partilhavam a responsabilidade, perante os seus clientes europeus,
pela divulgao dos seus dados s autoridades norteamericanas.87 Ao decidir
proceder divulgao, a SWIFT tinha assumido ilegalmente o papel de res-
ponsvel pelo tratamento; evidente que as instituies bancrias no tinham
cumprido cabalmente a sua obrigao de supervisionar o subcontratante e, por
conseguinte, no podiam ser completamente exoneradas da sua responsabili-
dade como responsveis pelo tratamento. Esta situao gera responsabilidade
conjunta pelo tratamento.

Subcontratante

No direito da UE, o subcontratante definido como algum que trata dados pessoais
por conta do responsvel pelo tratamento.88 As atividades confiadas ao subcontra-
tante podem limitarse a uma tarefa ou contexto muito especfico ou serem muito
genricas e abrangentes.

No direito do CdE, o termo subcontratante utilizado na mesma aceo que no


direito da UE.

Para alm de tratarem dados por conta de outrem, os subcontratantes tambm


sero responsveis pelo tratamento por direito prprio em relao s operaes de
tratamento que realizarem para os seus prprios fins (por ex., a administrao dos
seus prprios funcionrios, vendas e contas).

87 Grupo de Trabalho do artigo 29. (2006), Parecer 10/2006 sobre o tratamento de dados pessoais pela
Sociedade das Telecomunicaes Financeiras Interbancrias no Mundo (Society for Worldwide Interbank
Financial Telecommunication SWIFT), WP128, Bruxelas, 22denovembrode2006.
88 Diretiva Proteo de Dados, artigo 2., al.e).

54
Terminologia sobre proteo de dados

Exemplos: A Everready uma empresa especializada no tratamento de dados


para fins de administrao de dados sobre recursos humanos para outras
empresas. Nesta funo, a Everready um subcontratante.

Porm, quando a Everready trata os dados dos seus prprios funcionrios, ela
a responsvel pelas operaes de tratamento de dados para fins de cumpri-
mento das suas obrigaes enquanto empregador.

A relao entre responsvel pelo tratamento e subcontratante

Tal como vimos, o responsvel pelo tratamento aquele que determina as finalida-
des e os meios do tratamento.

Exemplo: O diretor da empresa Sunshine decide que a empresa Moonlight,


especializada em anlises do mercado, dever realizar uma anlise de mercado
dos dados dos clientes da Sunshine. Embora a tarefa de determinar os meios
do tratamento seja, assim, delegada Moonlight, a empresa Sunshine continua
a ser o responsvel pelo tratamento e a Moonlight um mero subcontratante,
dado que, nos termos do contrato, a Moonlight s poder utilizar os dados dos
clientes da Sunshine para as finalidades que esta determinar.

Se o poder de determinar os meios do tratamento for delegado a um subcontra-


tante, o responsvel pelo tratamento deve, ainda assim, poder interferir nas deci-
ses daquele sobre esses meios. A responsabilidade global continua a recair sobre
o responsvel pelo tratamento, o qual est obrigado a supervisionar o subcontra-
tante para assegurar que as decises tomadas por este cumprem a legislao sobre
proteo de dados. Por conseguinte, um contrato que proba o responsvel pelo
tratamento de interferir nas decises do subcontratante seria provavelmente inter-
pretado como dando origem a uma situao de responsabilidade conjunta pelo tra-
tamento, em que ambas as partes partilham a responsabilidade que a lei atribui aos
responsveis pelo tratamento.

Alm disso, se um subcontratante no respeitar os limites de utilizao dos dados


estipulados pelo responsvel pelo tratamento, passar a ser considerado, ele pr-
prio, responsvel pelo tratamento, pelo menos na parte respeitante s operaes
realizadas em violao das instrues do responsvel pelo tratamento. Neste caso,
o subcontratante passar muito provavelmente a ser considerado um responsvel
pelo tratamento, que age ilicitamente. Por sua vez, o responsvel pelo tratamento

55
Manual da Legislao Europeia sobre Proteo de Dados

inicial ter de explicar como foi possvel que o subcontratante violasse o seu man-
dato. Com efeito, o Grupo de Trabalho do artigo29. presume geralmente a exis-
tncia de responsabilidade conjunta pelo tratamento nestes casos, dado que esta
qualificao permite proteger melhor os interesses das pessoas em causa.89 Uma
importante consequncia da responsabilidade conjunta pelo tratamento seria a
responsabilidade solidria dos responsveis pelo tratamento pelos danos causa-
dos, proporcionando assim s pessoas em causa um leque mais vasto de meios de
recurso.

Podero tambm suscitarse questes sobre a diviso da responsabilidade nos casos


em que o responsvel pelo tratamento seja uma pequena empresa e o subcontra-
tante seja uma grande sociedade comercial com o poder de ditar as condies dos
seus servios. Nestes casos, porm, o Grupo de Trabalho do artigo29. considera
que o desequilbrio econmico no justifica a reduo do grau de responsabilidade
e que a definio do conceito de responsvel pelo tratamento deve ser mantida.90

Por uma questo de clareza e transparncia, os elementos concretos da relao


entre o responsvel pelo tratamento e o subcontratante devem constar de um con-
trato reduzido a escrito.91 A inexistncia de tal contrato corresponde a uma violao
da obrigao do responsvel pelo tratamento de fornecer documentao sobre as
responsabilidades mtuas, estando sujeita a sanes.92

Os subcontratantes podero querer delegar certas tarefas noutros subcontratan-


tes. Esta delegao permitida por lei e depender, em concreto, das clusulas
do contrato celebrado entre o responsvel pelo tratamento e o subcontratante,
nomeadamente se sempre exigida a autorizao do primeiro ou se ser suficiente
informlo.

No mbito do direito do CdE, a interpretao dos conceitos de responsvel pelo


tratamento e subcontratante, tal como explicado anteriormente, plenamente

89 Grupo de Trabalho do artigo 29. (2010), Parecer 1/2010 sobre os conceitos de responsvel pelo
tratamento e subcontratante, WP169, Bruxelas, 16defevereirode2010, p.30; e Grupo de
Trabalho do artigo29. (2006), Parecer10/2006 sobre o tratamento de dados pessoais pela Sociedade
das Telecomunicaes Financeiras Interbancrias no Mundo (Society for Worldwide Interbank Financial
Telecommunication SWIFT), WP128, Bruxelas, 22denovembrode2006.
90 Grupo de Trabalho do artigo 29. (2010), Parecer 1/2010 sobre os conceitos de responsvel pelo
tratamento e subcontratante, WP169, Bruxelas, 16defevereirode2010, p.31.
91 Diretiva Proteo de Dados, artigo 17., n.s 3 e 4.
92 Grupo de Trabalho do artigo 29. (2010), Parecer 1/2010 sobre os conceitos de responsvel pelo
tratamento e subcontratante, WP169, Bruxelas, 16defevereirode2010, p.32.

56
Terminologia sobre proteo de dados

aplicvel, conforme demonstram as recomendaes que tm sido adotadas em con-


formidade com a Conveno108.93

2.3.2. Destinatrios e terceiros


A diferena entre estas duas categorias de pessoas ou entidades, estabelecidas pela
Diretiva de Proteo de Dados, reside sobretudo na sua relao com o responsvel
pelo tratamento e, consequentemente, na sua autorizao para aceder a dados pes-
soais na posse do responsvel pelo tratamento.

Um terceiro algum juridicamente distinto do responsvel pelo tratamento.


Por conseguinte, a divulgao de dados a um terceiro exige sempre uma base legal
especfica. Nos termos do artigo2., alneaf), da Diretiva de Proteo de Dados, um
terceiro a pessoa singular ou coletiva, a autoridade pblica, o servio ou qual-
quer outro organismo que no a pessoa em causa, o responsvel pelo tratamento, o
subcontratante e as pessoas que, sob a autoridade direta do responsvel pelo trata-
mento ou do subcontratante, esto habilitadas a tratar dos dados. Deste modo, as
pessoas que trabalham para uma organizao juridicamente distinta do respons-
vel pelo tratamento ainda que pertena ao mesmo grupo ou empresame sero
consideradas terceiros ou pertencentes a um terceiro. Por outro lado, os bal-
ces de um banco que procedem ao tratamento das contas dos clientes sob a auto-
ridade direta da sede no sero considerados terceiros.94

Destinatrio um termo mais amplo do que terceiro. Na aceo do artigo2.,


alneag), da Diretiva de Proteo de Dados, um destinatrio a pessoa singular ou
coletiva, a autoridade pblica, o servio ou qualquer outro organismo que receba
comunicaes de dados, independentemente de se tratar ou no de um terceiro.
O destinatrio poder ser uma pessoa ou entidade no pertencente ao responsvel
pelo tratamento ou ao subcontratante caso em que seria ento um terceiro ou
pertencente ao responsvel pelo tratamento ou ao subcontratante, tal como um
funcionrio ou outra diviso da mesma empresa ou autoridade.

A distino entre destinatrios e terceiros s importante devido s condies para


que a divulgao dos dados seja vlida. Os funcionrios de um responsvel pelo tra-
tamento ou subcontratante podem, sem necessidade de cumprimento de qualquer

93 Ver, por exemplo, Recomendao sobre a definio de perfis, artigo1..


94 Grupo de Trabalho do artigo 29. (2010), Parecer 1/2010 sobre os conceitos de responsvel pelo
tratamento e subcontratante, WP169, Bruxelas, 16defevereirode2010, p.36.

57
Manual da Legislao Europeia sobre Proteo de Dados

outro requisito legal, ser destinatrios de dados pessoais se estiverem envolvidos


nas operaes de tratamento do empregador. Por outro lado, um terceiro, sendo
uma entidade juridicamente distinta do responsvel pelo tratamento ou do subcon-
tratante, no est autorizado a utilizar dados pessoais tratados pelo responsvel
pelo tratamento, salvo se existir uma base legal especfica para tal no caso concreto.
Consequentemente, os terceiros destinatrios necessitaro sempre de uma base
legal para receberem licitamente dados pessoais.

Exemplo: O funcionrio de um subcontratante, que utiliza dados pessoais no


mbito das tarefas que o empregador lhe confiou, um destinatrio de dados,
mas no um terceiro, pois utiliza os dados por conta e sob as instrues do
subcontratante.

Porm, se esse mesmo funcionrio decidir utilizar os dados a que tem acesso
na qualidade de funcionrio do subcontratante para os seus prprios fins e os
vender a outra empresa, ter agido como um terceiro. J no estar a seguir
as ordens do subcontratante (o empregador). Enquanto terceiro, o funcionrio
necessitaria de uma base legal para adquirir e vender os dados. Neste exemplo,
essa base legal certamente inexistente, pelo que os atos do funcionrio so
ilegais.

2.4. Consentimento
Pontos-chave

O consentimento, enquanto base legal do tratamento de dados pessoais, tem de ser


livre, informado e especfico.

O consentimento tem de ser dado de forma inequvoca. O consentimento pode ser


dado explicitamente ou implicitamente atravs de atos que no deixem dvidas de
que a pessoa em causa concorda com o tratamento dos seus dados.

O tratamento de dados sensveis com base no consentimento exige um consentimento


explcito.

O consentimento pode ser revogado a todo o tempo.

58
Terminologia sobre proteo de dados

Entendese por consentimento qualquer manifestao de vontade, livre, especfica


e informada da pessoa em causa.95 Em muitos casos, a base legal do tratamento
legtimo de dados (ver seco4.1).

2.4.1. Os elementos de um consentimento vlido


O direito da UE estabelece trs requisitos da validade do consentimento, que visam
assegurar que as pessoas em causa pretendiam genuinamente autorizar a utilizao
dos seus dados.

a pessoa em causa no pode estar sob qualquer presso quando presta o seu
consentimento;

a pessoa em causa deve ter sido devidamente informada sobre o objeto e as


consequncias do consentimento; e

o mbito do consentimento deve ser razoavelmente concreto.

O consentimento s ser vlido na aceo da legislao sobre proteo de dados se


todos estes requisitos estiverem preenchidos.

A Conveno 108 no contm uma definio de consentimento; esta tarefa incumbe


ao legislador nacional. No entanto, no direito do CdE, os elementos de um consen-
timento vlido correspondem aos referidos anteriormente, tal como previsto nas
recomendaes adotadas ao abrigo da Conveno108.96 Os requisitos de validade
do consentimento so iguais aos requisitos de validade da declarao negocial esti-
pulados no direito civil europeu.

Outros requisitos de validade do consentimento previstos no direito civil, tais como a


capacidade jurdica, tambm sero naturalmente aplicveis no contexto da proteo
de dados, na medida em que so requisitos jurdicos fundamentais. O consentimento
invlido de pessoas sem capacidade jurdica no constitui uma base legal para o tra-
tamento de dados sobre essas pessoas.

95 Diretiva Proteo de Dados, artigo 2., al.h).


96 Ver, por exemplo, Conveno 108, Recomendao sobre os dados estatsticos, ponto 6.

59
Manual da Legislao Europeia sobre Proteo de Dados

O consentimento pode ser dado de forma explcita97 ou no explcita. O primeiro no


deixa dvidas quanto inteno da pessoa em causa e pode ser dado verbalmente
ou por escrito; o segundo deduzido a partir das circunstncias. O consentimento
tem de ser dado sempre de forma inequvoca,98 o que significa que no devem exis-
tir dvidas razoveis de que a pessoa em causa pretendia comunicar a sua permis-
so para o tratamento dos seus dados. O consentimento deduzido da mera inrcia,
por exemplo, no constitui um consentimento inequvoco. Quando esteja em causa
o tratamento de dados sensveis, o consentimento tem de ser obrigatoriamente
explcito e inequvoco.

Consentimento livre

A existncia de consentimento livre s vlida se a pessoa em causa puder exer-


cer uma verdadeira escolha e no existir nenhum risco de fraude, intimidao, coa-
o ou consequncias negativas importantes se o consentimento for recusado.99

Exemplo: Em muitos aeroportos, os passageiros so submetidos a scneres


corporais no acesso rea de embarque.100 Uma vez que os dados dos passa-
geiros esto a ser tratados durante a utilizao do scner, o tratamento deve
basearse num dos fundamentos legais previstos no artigo7. da Diretiva de Pro-
teo de Dados (ver seco4.1.1). Passar ou no pelos scneres corporais por
vezes apresentado aos passageiros como uma opo, o que permitiria inferir
que o tratamento poderia ser justificado pelo seu consentimento. No entanto,
os passageiros podero recear que a recusa de passar pelos scneres corpo-
rais levante suspeitas ou desencadeie medidas de controlo adicionais, como as
revistas pessoais. Muitos passageiros daro o seu consentimento utilizao do
scner porque, ao fazlo, evitaro potenciais problemas ou atrasos. Provavel-
mente, este consentimento no ser suficientemente livre.

Por conseguinte, um fundamento legal slido s poder ser um ato do legisla-


dor, com base no artigo7., alnea e), da Diretiva de Proteo de Dados, criando
assim para os passageiros a obrigao de cooperar devido a um interesse
pblico superior. Essa legislao poder, ainda assim, prever uma escolha entre

97 Diretiva Proteo de Dados, artigo8., n. 2.


98 Ibid., artigo 7., al. a) e artigo 26., n. 1.
99 Ver tambm Grupo de Trabalho do artigo29. (2011), Parecer 15/2011 sobre a definio de
consentimento, WP187, Bruxelas, 13dejulhode2011, p.14.
100 Este exemplo retirado de Ibid., p.17.

60
Terminologia sobre proteo de dados

o scner e o controlo manual, mas apenas como parte de medidas adicionais


de controlo fronteirio necessrias no caso concreto. Foi este o entendimento
consagrado pela Comisso Europeia em dois regulamentos sobre scneres de
segurana em 2011.101

A liberdade do consentimento tambm poder estar ameaada em situaes de


subordinao, em que exista um desequilbrio econmico ou de outro tipo signifi-
cativo entre o responsvel pelo tratamento que obtm o consentimento e a pessoa
em causa que d o consentimento.102

Exemplo: Uma grande empresa tenciona criar um diretrio com os nomes de


todos os funcionrios, a sua funo na empresa e a sua morada profissional,
tendo como nico objetivo melhorar as comunicaes internas. O diretor de
Recursos Humanos prope a incluso de uma fotografia de cada funcionrio
no diretrio, o que permitiria, por exemplo, reconhecer com maior facilidade os
colegas numa reunio. Os representantes dos funcionrios exigem que, para tal,
seja previamente obtido o consentimento de cada funcionrio.

Nesta situao, o consentimento do funcionrio deve ser considerado a base


legal para o tratamento das fotografias no diretrio porque bvio que a publi-
cao da fotografia no diretrio, em si mesma, no tem consequncias negati-
vas e, alm disso, pouco provvel que o empregador penalize o funcionrio se
este no concordar com a publicao da sua fotografia no diretrio.

Porm, isto no significa que o consentimento nunca poder ser vlido em casos em
que a recusa desse consentimento tenha consequncias negativas. Por exemplo, se
a recusa de consentimento para emisso de um carto de cliente de um supermer-
cado tiver como nica consequncia a impossibilidade de aproveitar certos descon-
tos, o consentimento uma base legal vlida para o tratamento dos dados pessoais

101 Regulamento (UE) n.1141/2011 da Comisso, de 10denovembrode2011, que altera o Regulamento


(CE) n.272/2009 que complementa as normas de base comuns para a proteo da aviao civil, no
que respeita utilizao de scneres de segurana nos aeroportos da Unio Europeia, JO2011L293, e
Regulamento de Execuo (UE) n.1147/2011 da Comisso, de 11denovembrode2011, que altera o
Regulamento (UE) n.185/2010 que estabelece as medidas de execuo das normas de base comuns
sobre a segurana da aviao, no que respeita utilizao de scneres de segurana nos aeroportos da
UE, JO2011L294.
102 Ver tambm Grupo de Trabalho do artigo 29. (2001), Parecer 8/2001 sobre o tratamento de dados
pessoais no mbito do emprego, WP48, Bruxelas, 13 de setembro de2001; e Grupo de Trabalho do
artigo29. (2005), Documento de trabalho sobre uma interpretao comum do n. 1 do artigo 26.
Diretiva 95/46/CE de 24de outubro de1995, WP114, Bruxelas, 25denovembrode2005.

61
Manual da Legislao Europeia sobre Proteo de Dados

dos clientes que deram o seu consentimento. No existe uma relao de subordina-
o entre a empresa e o cliente e as consequncias do no consentimento no so
suficientemente graves para inibir a liberdade de escolha da pessoa em causa.

Por outro lado, sempre que a obteno de bens ou servios suficientemente impor-
tantes depender da divulgao de certos dados pessoais a terceiros, o consenti-
mento da pessoa em causa para a divulgao dos seus dados no pode, em regra,
ser considerado uma deciso livre e, como tal, no vlido nos termos da legislao
sobre proteo de dados.

Exemplo: O consentimento manifestado pelos passageiros a uma companhia


area para que transfira os chamados registos de identificao dos passageiros
(PNR), nomeadamente dados sobre a sua identidade, hbitos alimentares ou
problemas de sade, aos servios de imigrao de um determinado pas estran-
geiro no pode ser considerado vlido nos termos da legislao sobre proteo
de dados, uma vez que os passageiros que desejam visitar esse pas no tm
escolha. Para esses dados serem transferidos licitamente, a base legal ter de
ser outra, muito provavelmente uma lei especial.

Consentimento informado

A pessoa em causa deve possuir informaes suficientes antes de tomar a sua deci-
so. A suficincia ou insuficincia das informaes fornecidas s poder ser deter-
minada caso a caso. Em regra, essas informaes incluiro uma descrio rigorosa
e facilmente compreensvel do objeto do consentimento e tambm das consequn-
cias do consentimento e da recusa do consentimento. A linguagem utilizada deve
ser adaptada aos destinatrios previsveis das informaes.

Alm disso, a pessoa em causa deve poder aceder com facilidade a essas informa-
es. A acessibilidade e a visibilidade das informaes so elementos importantes.
Num ambiente em linha, os avisos com vrios nveis podero ser uma boa soluo,
dado que a pessoa em causa ter assim acesso a uma verso concisa das informa-
es, bem como a uma verso mais completa.

Consentimento especfico

Para ser vlido, o consentimento tambm tem de ser especfico. Esta caracterstica
est intrinsecamente ligada qualidade das informaes fornecidas sobre o objeto

62
Terminologia sobre proteo de dados

do consentimento. Neste contexto, so relevantes as expectativas razoveis de uma


pessoa em causa mdia. Se estiverem previstas novas operaes de tratamento ou
alteraes que no poderiam razoavelmente ter sido previstas quando a pessoa em
causa deu inicialmente o seu consentimento, necessrio pedir-lhe novamente o
seu consentimento.

Exemplo: No acrdo Deutsche Telekom AG,103 o TJUE pronunciouse sobre a


questo da necessidade de um prestador de servios de telecomunicaes,
que estava obrigado a transmitir dados pessoais dos assinantes nos termos do
artigo12. da Diretiva relativa privacidade e s comunicaes eletrnicas,104
obter novamente o consentimento das pessoas em causa, dado que os desti-
natrios no tinham sido originalmente identificados quando o consentimento
foi prestado.

O TJUE considerou que o referido artigo no impunha a obteno de um novo


consentimento das pessoas em causa antes da transmisso dos dados, uma vez
que estas tinham, nos termos desta disposio, a possibilidade de dar apenas o
seu consentimento em relao finalidade do tratamento, que a publicao
dos seus dados, e no podiam escolher entre as diferentes listas em que esses
dados poderiam ser publicados.

Tal como salientou o Tribunal de Justia, resulta de uma interpretao contex-


tual e sistemtica do artigo12. da diretiva relativa privacidade e s comuni-
caes eletrnicas que o consentimento nos termos do n. 2 deste artigo diz
respeito ao fim a que se destina a publicao dos dados de carter pessoal
numa lista pblica e no identidade de um fornecedor de lista em concre-
to.105 Acresce que a prpria publicao dos dados de carter pessoal numa
lista com uma finalidade especial que se pode revelar prejudicial para o assinan-
te106e no a identidade do autor desta publicao.

103 TJUE, acrdo de 5 de maio de 2011 no processo C543/09, Deutsche Telekom AG/Bundesrepublik
Deutschland; ver, em especial, n.s 53 e 54.
104 Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12dejulhode2002, relativa ao
tratamento de dados pessoais e proteo da privacidade no sector das comunicaes eletrnicas,
JO2002L201 (Diretiva relativa privacidade e s comunicaes eletrnicas).
105 TJUE, acrdo de 5 de maio de 2011 no processo C543/09, Deutsche Telekom AG/Bundesrepublik
Deutschland; ver, em especial, n. 61.
106 Ibid., ver especialmente, n.62.

63
Manual da Legislao Europeia sobre Proteo de Dados

2.4.2. O direito de revogar o consentimento a todo


otempo
A Diretiva de Proteo de Dados no menciona o direito geral de revogar o consen-
timento a todo o tempo. No entanto, presumese, em regra, que esse direito existe
e que a pessoa em causa dever poder exerclo discricionariamente. No deve
ser exigida qualquer justificao para a revogao nem deve existir qualquer risco
de consequncias negativas, exceto as que resultam da cessao dos benefcios
eventualmente decorrentes da utilizao de dados objeto do consentimento dado
anteriormente.

Exemplo: Um cliente concorda em receber material promocional num endereo


que fornece a um responsvel pelo tratamento. Se o cliente revogar o consen-
timento, o responsvel pelo tratamento tem de parar imediatamente de enviar
material promocional. No devem existir quaisquer consequncias punitivas,
tais como taxas.

Se um cliente beneficiar de um desconto de 5% no preo de um quarto de


hotel em troca do seu consentimento para a utilizao dos seus dados para efei-
tos de envio de material promocional, a revogao posterior desse consenti-
mento no deve gerar a obrigao de devolver esses descontos.

64
3.

3
Os princpios fundamentais
da legislao europeia
sobre proteo de dados
UE Questes abrangidas CdE
Diretiva de Proteo de Dados, artigo O princpio do tratamento Conveno 108, artigo 5.,
6., n. 1, al. a) e b) lcito al. a) e b)
TJUE, acrdo de 16 de dezembro de TEDH, acrdo Rotaru c.
2008 no processo C-524/06, Huber/ Romnia [GS] de 4 de
Alemanha maio de 2000, petio
TJUE, acrdo de 9 de novembro de n.28341/95.
2010 nos processos apensos C-92/09 TEDH, acrdo Taylor-Sabori
e C-93/09, Volker und Markus c. Reino Unido de 22 de
Schecke GbR e Hartmut Eifert/Land outubro de 2002, petio
Hessen n.47114/99
TEDH, acrdo Peck c. Reino
Unido de 28 de janeiro de
2003, petio n. 44647/98
TEDH, acrdo Khelili c. Sua
de 18 de outubro de 2011,
petio n.16188/07.
TEDH, acrdo Leander c.
Sucia de 26 de maro de
1987, petio n.9248/81.
Diretiva de Proteo de Dados, artigo O princpio da Conveno 108, artigo 5.,
6., n. 1, al. b) especificao e da al. b)
limitao da finalidade
Os princpios relativos
qualidade dos dados:
Diretiva de Proteo de Dados, artigo Pertinncia dos dados Conveno 108, artigo 5.,
6., n. 1, al. c) al. c)
Diretiva de Proteo de Dados, artigo Exatido dos dados Conveno 108, artigo 5.,
6., n. 1, al. d) al. d)

65
Manual da Legislao Europeia sobre Proteo de Dados

UE Questes abrangidas CdE


Diretiva de Proteo de Dados, artigo Limitao da conservao Conveno 108, artigo 5.,
6., n. 1, al. e) dos dados al. e)
Diretiva de Proteo de Dados, artigo Derrogao para Conveno 108, artigo 9.,
6., n. 1, al. e) fins estatsticos e de n.3
investigao cientfica
Diretiva de Proteo de Dados, artigo O princpio do tratamento Conveno 108, artigo 5.,
6., n. 1, al. a) leal al. a)
TEDH, acrdo Haralambie
c. Romnia de 27 de
outubro de 2009, petio
n.21737/03.
TEDH, acrdo K.H. e outros
c. Eslovquia de 6 de
novembro de 2009, petio
n.32881/04
Diretiva de Proteo de Dados, artigo O princpio da
6., n. 2 responsabilidade

Os princpios estabelecidos no artigo 5. da Conveno 108 consagram a essncia


da legislao europeia sobre proteo de dados. Surgem igualmente no artigo 6.
da Diretiva de Proteo de Dados, constituindo o ponto de partida para disposies
mais detalhadas nos artigos seguintes da Diretiva. Toda a legislao sobre prote-
o de dados adotada posteriormente ao nvel do CdE ou da UE tem de cumprir
estes princpios, que devem tambm pautar a interpretao dessa legislao. Pode-
ro ser estabelecidas derrogaes e restries a estes princpios fundamentais ao
nvel nacional,107 desde que estejam previstas na lei, prossigam um objetivo leg-
timo e sejam necessrias numa sociedade democrtica. Estas trs condies so
cumulativas.

3.1. O princpio do tratamento lcito


Pontos-chave

Para compreender o princpio do tratamento lcito, necessrio analisar as condies


do estabelecimento de restries lcitas ao direito proteo de dados luz do artigo
52., n. 1, da Carta e aos requisitos de justificao da ingerncia nos termos do artigo
8., n. 2, da CEDH.

107 Conveno 108, artigo 9., n. 2; Diretiva Proteo de Dados, artigo13., n. 2.

66
Os princpios fundamentais da legislao europeia sobre proteo de dados

Nesta conformidade, o tratamento de dados pessoais s lcito se:

estiver de acordo com a lei;

prosseguir um objetivo legtimo; e

for necessrio numa sociedade democrtica para alcanar o objetivo legtimo.

Na legislao sobre proteo de dados da UE e do CdE, o princpio do tratamento


lcito o primeiro princpio identificado e encontrase formulado em termos pratica-
mente idnticos no artigo 5. da Conveno 108 e no artigo 6. da Diretiva de Prote-
o de Dados.

Nenhuma destas disposies contm uma definio de tratamento lcito. Para


compreender este termo jurdico, necessrio analisar o conceito de ingerncia jus-
tificada na aceo da CEDH, tal como interpretado pelo TEDH, bem como as condi-
es do estabelecimento de restries lcitas nos termos do artigo 52. da Carta.

3.1.1. Os requisitos de justificao da ingerncia


aoabrigo da CEDH
O tratamento de dados pessoais poder constituir uma ingerncia no exerccio do
direito ao respeito pela vida privada da pessoa em causa. Porm, este no um
direito absoluto, devendo, pelo contrrio, ser conciliado com outros interesses leg-
timos, sejam de outras pessoas (interesses privados) ou da sociedade no seu todo
(interesses pblicos).

A ingerncia das autoridades pblicas justificada nas seguintes condies:

De acordo com a lei

Segundo a jurisprudncia do TEDH, considerase que a ingerncia est de acordo com


a lei se tiver por base uma disposio do direito interno com determinadas caracte-
rsticas. Os interessados tm de ter acesso lei e esta deve ter efeitos previsveis.108
Considerase que uma regra previsvel se for formulada com preciso suficiente
para permitir a qualquer pessoa pautar o comportamento, solicitando, se necessrio,

108 TEDH, acrdo Amann c. Sua [GS] de 16 de fevereiro de 2000, n.50, petio n. 27798/95; ver
tambm TEDH, acrdo Kopp c. Sua de 25demarode1998, n. 55, petio n.23224/94 e TEDH,
acrdo Iordachi e outros c. Moldvia de 10defevereirode2009, n.50, petio n.25198/02.

67
Manual da Legislao Europeia sobre Proteo de Dados

um parecer profissional.109 O grau de preciso exigido da lei neste contexto


depender da matria em causa.110

Exemplo: No acrdo Rotaru c. Romnia,111 o TEDH concluiu que tinha havido


uma violao do artigo 8. da CEDH porque o direito romeno permitia a recolha,
registo e arquivo, em ficheiros secretos, de informaes que afetassem a segu-
rana nacional sem estabelecer limites ao exerccio desses poderes pelas auto-
ridades, que era assim discricionrio. Por exemplo, o direito nacional no definia
o tipo de informaes que poderiam ser tratadas, os grupos de pessoas que
poderiam ser objeto de medidas de vigilncia, as circunstncias em que essas
medidas poderiam ser adotadas ou o procedimento a seguir. Face as estas defi-
cincias, o TEDH concluiu que o direito interno no cumpria o requisito de pre-
visibilidade previsto no artigo8. da CEDH e que este artigo tinha sido violado.

Exemplo: No processo que deu origem ao acrdo Taylor-Sabori c. Reino Uni-


do,112 o requerente tinha sido alvo de medidas de vigilncia policial. Utilizando
um clone do pager do requerente, a polcia conseguiu intercetar mensagens
que lhe tinham sido enviadas. O requerente foi ento detido e acusado de asso-
ciao criminosa pela distribuio de uma substncia controlada. Parte das pro-
vas reunidas pelo Ministrio Pblico consistia em transcries contemporneas
das mensagens do pager efetuadas pela polcia. No entanto, data do julga-
mento do requerente, a interceo de comunicaes transmitidas atravs de
um sistema privado de telecomunicaes no estava regulada no direito brit-
nico. Por conseguinte, a ingerncia no exerccio dos seus direitos no estava de
acordo com a lei. O TEDH concluiu que tinha havido uma violao do artigo8.
da CEDH.

109 TEDH, acrdo Amann c. Sua [GS] de 16 de fevereiro de 2000, petio n.27798/95, n. 56; ver
tambm TEDH, acrdo Malone c. Reino Unido de 2deagostode1984, petio n.8691/79, n. 66;
TEDH, acrdo Silver e outros c. Reino Unido de 25demarode1983, peties n.s5947/72, 6205/73,
7052/75, 7061/75, 7107/75, 7113/75, n. 88.
110 TEDH, acrdo The Sunday Times c. Reino Unido de 26deabrilde1979, petio n.6538/74, n. 49; ver
tambm TEDH, acrdo Silver e outros c. Reino Unido de 25demarode1983, peties n.s5947/72,
6205/73, 7052/75, 7061/75, 7107/75, 7113/75, n. 88.
111 TEDH, acrdo Rotaru c. Romnia [GS] de 4 de abril de 2000, petio n.28341/95, n. 57; ver
tambm TEDH, acrdo Association for European Integration and Human Rights e Ekimdzhiev c.
Bulgria de 28dejunhode2007, petio n.62540/00; TEDH, acrdo Shimovolos c. Rssia de
21dejunhode2011, petio n.30194/09; e TEDH, acrdo Vetter c. Frana de 31demaiode2005,
petio n.59842/00.
112 TEDH, acrdo Taylor-Sabori c. Reino Unido de 22deoutubrode2002, petio n. 47114/99.

68
Os princpios fundamentais da legislao europeia sobre proteo de dados

Na prossecuo de um objetivo legtimo

O objetivo legtimo poder ser um dos interesses pblicos identificados ou os direi-


tos e liberdades dos outros.

Exemplo: No processo que deu origem ao acrdo Peck c. Reino Unido,113 o


requerente tentou suicidar-se na rua cortando os pulsos, sem se aperceber
de que o ato tinha sido filmado por uma cmara CCTV. A polcia, que estava a
observar as cmaras CCTV, salvouo e, depois, facultou as imagens comunica-
o social, que as publicou sem ocultar a face do requerente. O TEDH considerou
que no existiam motivos relevantes ou suficientes que justificassem a divulga-
o direta das imagens pelas autoridades ao pblico sem obter previamente o
consentimento do requerente ou sem ocultar a sua identidade. O TEDH concluiu
que tinha havido uma violao do artigo8. da CEDH.

Necessrio numa sociedade democrtica

O TEDH afirmou que o conceito de necessidade significa que a ingerncia corres-


ponde a uma necessidade social imperiosa e, em especial, que proporcional ao
objetivo legtimo prosseguido.114

Exemplo: No processo que deu origem ao acrdo Khelili c. Sua,115 durante um


controlo policial, a polcia encontrou cartes de visita na posse da requerente,
onde se lia: Mulher atraente, simptica, de 38anos, gostaria de conhecer
um cavalheiro para beber um copo ou sair de vez em quando. Tel.n.[...]. A
requerente alegou que, depois de ter descoberto o carto, a polcia inseriu o
seu nome nos registos policiais como prostituta, uma profisso que ela negou
constantemente possuir. A requerente pediu que a palavra prostituta fosse
eliminada dos registos informticos da polcia. O TEDH reconheceu, em princpio,
que a conservao de dados pessoais com fundamento na possibilidade de a
pessoa em causa cometer outro crime poder, em certos casos, ser proporcio-
nal. Porm, no caso da requerente, a alegao de exerccio ilegal da prostituio
parecia demasiado vaga e genrica, no se fundamentava em factos concretos

113 TEDH, acrdo Peck c. Reino Unido de 28dejaneirode2003, petio n. 44647/98, especialmente
n.85.
114 TEDH, acrdo Leander c. Sucia de 11dejulhode1985, petio n.9248/81, n. 58.
115 TEDH, acrdo Khelili c. Sua de 18deoutubrode2011, petio n.16188/07.

69
Manual da Legislao Europeia sobre Proteo de Dados

dado que ela nunca tinha sido condenada pela prtica desse crime e, como tal,
no podia ser considerada uma resposta a uma necessidade social imperiosa
na aceo do artigo 8. da CEDH. Considerando que competia s autoridades
provar a exatido dos dados armazenados sobre a requerente e tendo em conta
a gravidade da ingerncia no exerccio dos direitos da mesma, o TEDH entendeu
que a manuteno da palavra prostituta nos arquivos policiais durante anos
no tinha sido necessria numa sociedade democrtica. O TEDH concluiu que
tinha havido uma violao do artigo 8. da CEDH.

Exemplo: No acrdo Leander c. Sucia,116 o TEDH considerou que a investi-


gao secreta de pessoas que se candidatavam a cargos importantes para a
segurana nacional no era, enquanto tal, contrria ao requisito da necessidade
numa sociedade democrtica. Perante as garantias especiais estabelecidas no
direito nacional para proteger os interesses da pessoa em causa por exem-
plo, controlos exercidos pelo Parlamento e pelo Chanceler da Justia , o TEDH
concluiu que o sistema sueco de controlo do pessoal cumpria os requisitos do
artigo8., n. 2, da CEDH. Tendo em conta a larga margem de apreciao ao seu
dispor, o Estado demandado podia considerar que, no caso do requerente, os
interesses de segurana nacional prevaleciam sobre os interesses individuais. O
TEDH concluiu que no tinha havido uma violao do artigo8. da CEDH.

3.1.2. As condies do estabelecimento de restries


lcitas ao abrigo da Carta da UE
A estrutura e a redao da Carta e da CEDH so diferentes. Embora no mencione
ingerncias no exerccio de direitos garantidos, a Carta contm uma disposio sobre
restries ao exerccio dos direitos e liberdades por ela reconhecidos.

De acordo com o artigo52., n. 1, as restries ao exerccio dos direitos e liberdades


reconhecidos pela Carta e, consequentemente, ao exerccio do direito proteo de
dados pessoais, tal como o tratamento de dados pessoais, s so admissveis se:

forem previstas por lei;

respeitarem o contedo essencial do direito proteo de dados;

forem necessrias, na observncia do princpio da proporcionalidade; e

116 TEDH, acrdo Leander c. Sucia de 11dejulhode1985, petio n.9248/81, n. 59 e 67.

70
Os princpios fundamentais da legislao europeia sobre proteo de dados

corresponderem a objetivos de interesse geral reconhecidos pela Unio ou


necessidade de proteo dos direitos e liberdades de terceiros.

Exemplos: No acrdo Volker und Markus Schecke,117 o TJUE concluiu que, ao


imporem a obrigao de publicar dados pessoais relativos a cada pessoa singu-
lar beneficiria de ajudas de [certos fundos agrcolas] sem fazer distines em
funo de critrios pertinentes, como os perodos durante os quais receberam
essas ajudas, a sua frequncia ou ainda o tipo ou a importncia das mesmas, o
Conselho e a Comisso tinham excedido os limites impostos pelo princpio da
proporcionalidade.

Por conseguinte, o TJUE considerou que era necessrio declarar a invalidade de


certas disposies do Regulamento (CE) n.1290/2005 do Conselho e de decla-
rar a invalidade total do Regulamento n.259/2008.118

Apesar da redao ser diferente, as condies de licitude do tratamento previstas


no artigo52., n. 1, da Carta evocam o artigo8., n. 2, da CEDH. Com efeito, deve
considerarse que as condies enumeradas no artigo 52., n. 1, da Carta cumprem
as condies estipuladas no artigo8., n. 2, da CEDH, dado que o artigo52., n. 3,
da Carta refere, no primeiro perodo, que, [n]a medida em que a presente Carta
contenha direitos correspondentes aos direitos garantidos pela Conveno Europeia
para a Proteo dos Direitos do Homem e das Liberdades Fundamentais, o sentido e
o mbito desses direitos so iguais aos conferidos por essa Conveno.

Porm, nos termos do ltimo perodo do artigo52., n. 3, [e]sta disposio no


obsta a que o direito da Unio confira uma proteo mais ampla. No contexto da
comparao entre o artigo8., n. 2, da CEDH e o primeiro perodo do artigo52.,
n. 3, a nica concluso possvel a de que os requisitos de justificao da ingern-
cia nos termos do artigo8., n. 2, da CEDH correspondem aos requisitos mnimos
para o estabelecimento de restries lcitas ao direito de proteo dos dados nos
termos da Carta. Consequentemente, para que o tratamento de dados pessoais seja

117 TJUE, acrdo de 9 de novembro de 2010 nos processos apensos C-92/09 e C-93/09, Volker und
Markus Schecke GbR e Hartmut Eifert/Land Hessen, n.s 89 e 86.
118 Regulamento (CE) n.1290/2005 do Conselho, de 21dejunhode2005, relativo ao financiamento
da poltica agrcola comum, JO2005L209; Regulamento (CE) n.259/2008 da Comisso, de
18demarode2008, que estabelece as regras de execuo do Regulamento (CE) n.1290/2005 do
Conselho no que respeita publicao de informao sobre os beneficirios de fundos provenientes do
Fundo Europeu Agrcola de Garantia (FEAGA) e do Fundo Europeu Agrcola de Desenvolvimento Rural
(Feader), JO2008L76.

71
Manual da Legislao Europeia sobre Proteo de Dados

considerado lcito ao abrigo do direito da UE, necessrio que, pelo menos, as con-
dies do artigo8., n. 2, da CEDH estejam preenchidas; no entanto, o direito da UE
poder estabelecer requisitos adicionais para casos especficos.

A correspondncia entre o princpio do tratamento lcito nos termos do direito da UE


e as disposies relevantes da CEDH reforada pelo artigo6., n. 3, do Tratado UE,
que estabelece que [d]o direito da Unio fazem parte, enquanto princpios gerais,
os direitos fundamentais tal como os garante a Conveno Europeia para a Proteo
dos Direitos do Homem e das Liberdades Fundamentais.

3.2. O princpio da especificao


edalimitao da finalidade
Pontos-chave

A finalidade do tratamento de dados tem de estar visivelmente definida antes das


operaes de tratamento terem incio.

Nos termos do direito da UE, a finalidade do tratamento tem de estar especificamente


definida; o direito do CdE deixa esta questo ao critrio do legislador nacional.

O tratamento para finalidades indeterminadas no cumpre a legislao sobre proteo


de dados.

A utilizao posterior dos dados para uma finalidade incompatvel com a finalidade ori-
ginal exige outra base legal.

A transferncia de dados para terceiros constitui uma nova finalidade que exige uma
outra base legal.

Essencialmente, o princpio da especificao e da limitao da finalidade significa


que a legitimidade do tratamento de dados pessoais depender da finalidade do
tratamento.119 Essa finalidade dever ter sido especificada e claramente comunicada
pelo responsvel pelo tratamento antes do incio do tratamento de dados.120 No
mbito do direito da UE, esta comunicao dever ter lugar por meio de uma decla-
rao ou, por outras palavras, de uma notificao, autoridade de controlo compe-

119 Conveno 108, artigo 5., al. b); Diretiva Proteo de Dados, artigo6., n. 1, al.b).
120 Ver tambm Grupo de Trabalho do artigo 29. (2013), Parecer 03/2013 sobre a limitao da finalidade,
WP203, Bruxelas, 2deabrilde2013.

72
Os princpios fundamentais da legislao europeia sobre proteo de dados

tente ou, pelo menos, atravs de documentao interna, que dever ser disponibili-
zada pelo responsvel pelo tratamento s autoridades de controlo para inspeo e
pessoa em causa para consulta.

O tratamento de dados pessoais para finalidades indeterminadas e/ou ilimitadas


ilcito.

Sempre que os dados forem tratados para uma nova finalidade, necessria uma
base legal especfica, sendo irrelevante o facto de os dados terem sido inicialmente
adquiridos ou tratados para outra finalidade legtima. Por seu lado, o tratamento
legtimo restringese finalidade inicialmente especificada, pelo que qualquer nova
finalidade do tratamento exigir uma base legal autnoma. A divulgao de dados
a terceiros ter de ser ponderada com especial cuidado, uma vez que a divulgao
constitui habitualmente uma nova finalidade e, por conseguinte, exige uma base
legal distinta da base legal para a recolha dos dados.

Exemplo: Uma companhia area recolhe dados dos seus passageiros para efe-
tuar reservas, com vista a assegurar a correta operao do voo. A companhia
area necessitar de dados sobre: os nmeros dos lugares dos passageiros;
limitaes fsicas especiais, tais como necessidade de uma cadeira de rodas;
e requisitos alimentares especiais, tais como alimentos kosher ou halal. Se for
pedido s companhias areas que transfiram esses dados (contidos no PNR)
para as autoridades de imigrao no aeroporto de destino, esses dados estaro
a ser utilizados para fins de controlo da imigrao, que so diferentes da finali-
dade para que foram inicialmente recolhidos. Como tal, a transferncia desses
dados para uma autoridade de imigrao exigir uma base legal autnoma.

Na definio do mbito e dos limites de uma determinada finalidade, a Conven-


o108 e a Diretiva de Proteo de Dados recorrem ao conceito de compatibilidade:
a utilizao de dados para finalidades compatveis permitida com fundamento na
base legal inicial. O conceito de compatvel, porm, no est definido, devendo
ser interpretado caso a caso.

Exemplo: A venda dos dados dos clientes da empresa Sunshine, que foram
adquiridos no mbito da gesto do relacionamento com os clientes (CRM),
a uma empresa de marketing direto, a Moonlight, que pretende utilizar estes
dados para apoiar as campanhas de marketing de empresas terceiras, uma
finalidade nova, que incompatvel com a CRM, a finalidade inicial da recolha

73
Manual da Legislao Europeia sobre Proteo de Dados

de dados dos clientes pela Sunshine. Consequentemente, a venda de dados


empresa Moonlight necessita da sua prpria base legal.

Em contrapartida, a utilizao de dados de CRM pela empresa Sunshine para


as suas prprias finalidades de marketing que consiste em enviar mensagens
de marketing sobre os seus prprios produtos para os seus prprios clientes
normalmente aceite como uma finalidade compatvel.

A Diretiva de Proteo de Dados declara expressamente que o tratamento poste-


rior para fins histricos, estatsticos ou cientficos no considerado incompatvel
desde que os Estados-membros estabeleam garantias adequadas.121

Exemplos: A empresa Sunshine recolheu e armazenou dados de CRM sobre os


seus clientes. A utilizao posterior destes dados pela empresa Sunshine para
fins de anlise estatstica do comportamento de compra dos seus clientes
admissvel, uma vez que as estatsticas so fins compatveis. No necessria
outra base legal, nomeadamente o consentimento das pessoas em causa.

Se esses dados fossem transmitidos a um terceiro, a empresa Starlight, para fins


exclusivamente estatsticos, essa transmisso seria admissvel sem necessidade
de uma nova base legal, mas apenas sob a condio de terem sido estabeleci-
das garantias adequadas, tais como a dissimulao da identidade das pessoas
em causa, uma vez que a identidade no geralmente necessria para fins
estatsticos.

3.3. Princpios relativos qualidade


dosdados
Pontos-chave

O responsvel pelo tratamento tem de aplicar os princpios relativos qualidade dos


dados em todas as operaes de tratamento.

121 Um exemplo deste tipo de disposies nacionais a Lei da Proteo de Dados austraca
(Datenschutzgesetz), Jornal OficialI n. 165/1999, n.46, disponvel em ingls em: www.dsk.gv.at/
DocView.axd?CobId=41936.

74
Os princpios fundamentais da legislao europeia sobre proteo de dados

O princpio da limitao da conservao dos dados exige que os dados sejam apagados
logo que deixem de ser necessrios para as finalidades para que foram recolhidos.

As derrogaes ao princpio da limitao da conservao dos dados tm de ser esta-


belecidas por lei e exigem garantias especiais para assegurar a proteo dos titulares
dos dados.

3.3.1. O princpio da pertinncia dos dados


Apenas sero objeto de tratamento os dados que forem adequados, pertinentes e
no excessivos relativamente s finalidades para que so recolhidos e para que so
tratados posteriormente.122 As categorias de dados escolhidas para tratamento tm
de ser necessrias concretizao do objetivo geral das operaes de tratamento
que foi comunicado e o responsvel pelo tratamento deve restringir rigorosamente
a recolha de dados s informaes que sejam diretamente pertinentes para a finali-
dade especfica prosseguida pelo tratamento.

Na sociedade contempornea, o princpio da pertinncia dos dados implica a ponde-


rao de um outro aspeto: o recurso a tecnologias especiais de proteo da privaci-
dade permite, por vezes, evitar a utilizao de quaisquer dados pessoais ou utilizar
dados pseudonimizados, o que constitui uma soluo que promove o respeito pela
privacidade. Esta uma soluo particularmente desejvel em sistemas de trata-
mento mais vastos.

Exemplo: Uma cmara municipal oferece um carto com chip (passe) a uti-
lizadores regulares do sistema municipal de transportes pblicos mediante o
pagamento de uma determinada importncia. O carto contm o nome do uti-
lizador em forma escrita na face do carto e em forma eletrnica no chip. Sem-
pre que utiliza o autocarro ou o eltrico, o passageiro tem de passar o carto por
um dispositivo de leitura instalado no autocarro ou eltrico. Os dados lidos pelo
dispositivo so eletronicamente comparados com uma base de dados com os
nomes das pessoas que compraram o passe.

Este sistema no cumpre da melhor forma o princpio da pertinncia: para veri-


ficar se uma pessoa est ou no autorizada a utilizar determinados meios de
transporte, no necessrio comparar os dados pessoais constantes do chip
do carto com uma base de dados. Bastaria, por exemplo, incluir uma imagem

122 Conveno 108, artigo 5., al. c); Diretiva Proteo de Dados, artigo6., n. 1, al.c).

75
Manual da Legislao Europeia sobre Proteo de Dados

eletrnica especial, como um cdigo de barras, no chip do carto, que o passa-


geiro passaria em frente do dispositivo de leitura para confirmar se o carto era
ou no vlido. Este sistema no registaria o nome dos utilizadores, o transporte
utilizado ou a hora da utilizao. No seriam recolhidos quaisquer dados pes-
soais, o que a soluo ideal em termos do princpio da pertinncia, uma vez
que um dos seus corolrios a obrigao de minimizar a recolha de dados.

3.3.2. O princpio da exatido dos dados


Um responsvel pelo tratamento que tenha em seu poder informaes pessoais
no dever utilizar essas informaes sem tomar medidas para se certificar, com um
grau de certeza razovel, que os dados so exatos e esto atualizados.

A obrigao de assegurar a exatido dos dados tem de ser interpretada no contexto


da finalidade do tratamento dos dados.

Exemplo: Uma empresa de comercializao de mobilirio recolheu dados sobre


a identidade e a morada de um cliente para fins de faturao. Seis meses
depois, esta empresa pretende lanar uma campanha de marketing e deseja
contactar antigos clientes. Para tal, a empresa pretende ter acesso ao registo
de residentes nacionais, que conter provavelmente moradas atualizadas, dado
que os residentes esto obrigados por lei a comunicar a sua atual morada ao
registo. Apenas tm acesso aos dados deste registo as pessoas e entidades que
apresentem uma justificao vlida para tal.

Nesta situao, a empresa no pode utilizar o argumento de que est obrigada


a manter a exatido e atualidade dos dados para fundamentar o seu direito a
consultar o registo de residentes a fim de recolher novos dados sobre a morada
de todos os seus antigos clientes. Os dados foram recolhidos para fins de fatu-
rao; neste caso, relevante a morada data da venda. No existe qualquer
base legal para recolher novos dados sobre a morada, uma vez que o marketing
no um interesse que prevalea sobre o direito proteo de dados e, como
tal, no pode justificar o acesso aos dados constantes do registo.

Podero existir tambm casos em que a atualizao de dados armazenados seja


proibida por lei porque a finalidade do armazenamento dos dados principalmente
documentar acontecimentos.

76
Os princpios fundamentais da legislao europeia sobre proteo de dados

Exemplo: Os protocolos de cirurgia no podem ser alterados (por outras pala-


vras, atualizados), ainda que as concluses neles mencionadas posterior-
mente se revelem incorretas. Nesses casos, apenas sero admissveis adita-
mentos s observaes constantes do protocolo, desde que seja claramente
indicado que constituem contributos efetuados numa fase posterior.

Por outro lado, existem situaes em que o controlo regular da exatido dos dados,
incluindo a sua atualizao, uma necessidade absoluta devido aos potenciais
danos que a pessoa em causa poder sofrer se os dados no forem exatos.

Exemplo: Se uma pessoa quiser fazer um contrato com uma instituio bancria,
o banco verifica geralmente a situao financeira do potencial cliente. Para tal,
existem bases de dados especiais que contm dados sobre o historial de cr-
dito de pessoas singulares. Se essa base de dados contiver dados incorretos ou
desatualizados sobre uma pessoa, esta poder enfrentar srios problemas. Por
este motivo, os responsveis pelo tratamento dessas bases de dados tm de
envidar esforos especiais para cumprir o princpio da exatido dos dados.

Alm disso, permitida a recolha e o armazenamento de dados que no digam res-


peito a factos, mas sim a suspeitas, tal como nos inquritos criminais, desde que o
responsvel pelo tratamento disponha de uma base legal para recolher essas infor-
maes e essa suspeita seja suficientemente justificada.

3.3.3. O princpio da limitao da conservao


dosdados
Tanto o artigo 6., n. 1, alnea e), da Diretiva de Proteo de Dados como o artigo 5.,
alnea e), da Conveno 108 exigem que os Estados-Membros assegurem que os
dados pessoais sejam conservados de forma a permitir a identificao das pessoas
em causa apenas durante o perodo necessrio para a prossecuo das finalidades
para que foram recolhidos ou para que so tratados posteriormente. Assim, os
dados tm de ser apagados quando essas finalidades forem atingidas.

No acrdo S. e Marper, o TEDH concluiu que os princpios nucleares dos instrumen-


tos relevantes do Conselho da Europa, bem como a lei e a prtica de outras Partes

77
Manual da Legislao Europeia sobre Proteo de Dados

Contratantes, exigem que a conservao dos dados seja proporcional finalidade da


recolha e limitada no tempo, especialmente no setor policial.123

Porm, a limitao temporal do armazenamento de dados pessoais s aplicvel


aos dados conservados sob uma forma que permita a identificao das pessoas em
causa. Deste modo, possvel armazenar licitamente dados que j no sejam neces-
srios mediante a sua anonimizao ou pseudonimizao.

A conservao de dados para fins cientficos, histricos ou estatsticos constitui uma


derrogao ao princpio da limitao da conservao dos dados expressamente
prevista na Diretiva de Proteo de Dados.124 Contudo, a continuao do armaze-
namento e utilizao de dados pessoais nestes casos deve ser acompanhada por
garantias especiais estabelecidas no direito nacional.

3.4. O princpio do tratamento leal


Pontos-chave

O tratamento leal significa que o tratamento tem de ser transparente, especialmente


em relao s pessoas em causa.

Os responsveis pelo tratamento so obrigados a informar as pessoas em causa pelo


menos sobre a finalidade do tratamento e sobre a sua prpria identidade e morada
antes do tratamento dos seus dados.

Salvo nos casos expressamente permitidos por lei, proibido o tratamento secreto e
dissimulado de dados pessoais.

As pessoas em causa tm direito de acesso aos seus dados sempre que estes forem
objeto de tratamento.

O princpio do tratamento leal regula, acima de tudo, a relao entre o responsvel


pelo tratamento e o titular dos dados.

123 TEDH, acrdo S. e Marper c. Reino Unido de 4dedezembrode2008, peties n.s30562/04 e


30566/04; ver tambm, por exemplo, TEDH, acrdo M.M. c. Reino Unido de 13denovembrode2012,
petio n.24029/07.
124 Diretiva Proteo de Dados, artigo6., n. 1, al.e).

78
Os princpios fundamentais da legislao europeia sobre proteo de dados

3.4.1. Transparncia
Este princpio impe sobre o responsvel pelo tratamento a obrigao de manter
as pessoas em causa informadas sobre o modo como os seus dados esto a ser
utilizados.

Exemplo: No processo que deu origem ao acrdo Haralambie c. Romnia,125


o requerente requereu o acesso ao processo que os servios secretos tinham
conservado sobre ele, mas o seu pedido s foi deferido cinco anos depois. O
TEDH reiterou que as pessoas que eram objeto de processos individuais detidos
pelas autoridades pblicas tinham um interesse vital em aceder aos mesmos.
As autoridades tinham o dever de estabelecer um procedimento eficaz para
obter acesso quelas informaes. O TEDH considerou que nem a quantidade de
processos transferidos, nem as deficincias do sistema de arquivo justificavam
um atraso de cinco anos no deferimento do pedido de acesso do requerente ao
seu processo. As autoridades no tinham colocado disposio do requerente
um procedimento eficaz e acessvel que lhe permitisse obter acesso ao seu pro-
cesso individual dentro de um prazo razovel. O TEDH concluiu que tinha havido
uma violao do artigo8. da CEDH.

As operaes de tratamento tm de ser explicadas de forma facilmente acessvel


s pessoas em causa, a fim de garantir que estas compreendem o que ir acontecer
aos seus dados. As pessoas em causa tambm tm o direito de ser informadas pelo
responsvel pelo tratamento, caso o solicitem, se os seus dados esto a ser tratados
e, em caso afirmativo, que dados esto a ser tratados.

3.4.2. Criar uma relao de confiana


Os responsveis pelo tratamento devem documentar o modo como se propem
tratar os dados de forma lcita e transparente e colocar esses documentos dispo-
sio das pessoas em causa e do pblico em geral. As operaes de tratamento no
podem ser realizadas em segredo e no devem ter efeitos negativos imprevistos.
Os responsveis pelo tratamento devem certificarse de que os clientes ou cidados
so informados sobre a utilizao dos seus dados. Os responsveis pelo tratamento
devem ainda, na medida do possvel, atuar de forma a cumprir prontamente os
desejos da pessoa em causa, especialmente quando a base legal do tratamento de
dados for o seu consentimento.

125 TEDH, acrdo Haralambie c. Romnia de 27deoutubrode2009, petio n.21737/03.

79
Manual da Legislao Europeia sobre Proteo de Dados

Exemplo: No processo que deu origem ao acrdo K.H. e outros c. Eslovquia,126


as autoras da petio eram oito mulheres de etnia cigana que tinham sido tra-
tadas em dois hospitais na regio ocidental da Eslovquia durante a gravidez
e o parto. Depois disso, nenhuma delas conseguia engravidar, no obstante o
terem tentado repetidamente. Os tribunais nacionais ordenaram aos hospitais
que autorizassem as autoras da petio e os seus representantes a consultar
e a transcrever manualmente excertos dos registos mdicos, mas negaram
provimento ao pedido de fotocopiar os documentos, alegadamente para evi-
tar que fossem danificados. As obrigaes positivas dos Estados ao abrigo do
artigo8. da CEDH abrangem necessariamente a obrigao de disponibilizar s
pessoas em causa cpias dos seus ficheiros de dados. Cabia ao Estado estabe-
lecer providncias para a fotocpia dos ficheiros de dados pessoais ou, se fosse
o caso, apresentar argumentos convincentes que justificassem o indeferimento
do pedido. No caso das autoras da petio, os tribunais nacionais justificaram a
proibio de fotocopiar os registos mdicos essencialmente com base na neces-
sidade de proteger contra danos as informaes relevantes. No entanto, o TEDH
no compreendia como que as autoras da petio, que tinham tido j acesso a
todo o processo clnico, poderiam ter danificado as informaes que lhes diziam
respeito. Alm disso, esse risco poderia ter sido evitado por outros meios,
nomeadamente limitando os grupos de pessoas com acesso ao processo. O
Estado no demonstrou a existncia de motivos suficientemente convincentes
para negar o acesso efetivo das autoras da petio a informaes sobre a sua
sade. O TEDH concluiu que tinha havido uma violao do artigo8..

No que respeita aos servios de Internet, as funcionalidades dos sistemas de tra-


tamento de dados devem permitir s pessoas em causa compreender verdadeira-
mente o que est a acontecer com os seus dados.

O princpio do tratamento leal significa ainda que os responsveis pelo tratamento


esto preparados para ir alm dos requisitos legais mnimos obrigatrios, caso os
legtimos interesses da pessoa em causa assim o exijam.

126 TEDH, acrdo K.H. e outros c. Eslovquia de 6denovembrode2009, petio n.32881/04.

80
Os princpios fundamentais da legislao europeia sobre proteo de dados

3.5. O princpio da responsabilidade


Pontos-chave

A responsabilidade exige a implementao ativa de medidas pelos responsveis pelo


tratamento para promoverem e salvaguardarem a proteo de dados nas suas ativida-
des de tratamento.

Compete aos responsveis pelo tratamento assegurar a conformidade das suas opera-
es de tratamento com a legislao sobre proteo de dados.

Os responsveis pelo tratamento devem estar em condies de demonstrar, a todo o


tempo, a conformidade com as disposies sobre proteo de dados s pessoas em
causa, ao pblico em geral e s autoridades de controlo.

Em 2013, a Organizao para a Cooperao e Desenvolvimento Econmico(OCDE)


adotou diretrizes sobre a privacidade que salientam a importncia do papel que os
responsveis pelo tratamento desempenham para garantir, na prtica, a eficcia
da proteo de dados. De acordo com essas diretrizes, o princpio da responsabi-
lidade significa que o responsvel pelo tratamento de dados deve ser respons-
vel pelo cumprimento de medidas que concretizem os princpios materiais nelas
enunciados.127

Enquanto a Conveno108 no faz qualquer referncia responsabilidade dos res-


ponsveis pelo tratamento, deixando essencialmente esta questo ao critrio do
legislador nacional, o artigo6., n. 2, da Diretiva de Proteo de Dados estabelece
que incumbe ao responsvel pelo tratamento assegurar a observncia dos princpios
relacionados com a qualidade dos dados enunciados no n. 1.

Exemplo: A alterao de 2009128 Diretiva 2002/58/CE (Diretiva Privacidade


Eletrnica) constitui um exemplo legislativo que salienta o princpio da respon-
sabilidade. De acordo com o artigo4. na redao em vigor, a Diretiva impe a

127 OCDE (2013), Guidelines governing the protection of privacy and transborder flows of personal data
(Diretrizes aplicveis proteo da privacidade e aos fluxos transfronteirios de dados pessoais),
artigo14..
128 Diretiva2009/136/CE do Parlamento Europeu e do Conselho, de 25denovembrode2009, que altera
a Diretiva2002/22/CE relativa ao servio universal e aos direitos dos utilizadores em matria de
redes e servios de comunicaes eletrnicas, a Diretiva2002/58/CE relativa ao tratamento de dados
pessoais e proteo da privacidade no setor das comunicaes eletrnicas e o Regulamento (CE)
n.2006/2004 relativo cooperao entre as autoridades nacionais responsveis pela aplicao da
legislao de defesa do consumidor, JO2009L337, p.11.

81
Manual da Legislao Europeia sobre Proteo de Dados

obrigao de aplicar uma poltica de segurana, mais concretamente de garan-


tir a aplicao de uma poltica de segurana relativa ao tratamento dos dados
pessoais. Deste modo, no que respeita s disposies sobre segurana da refe-
rida Diretiva, o legislador considerou que era necessrio estabelecer expressa-
mente a obrigao de possuir e aplicar uma poltica de segurana.

Segundo o parecer do Grupo de Trabalho do artigo29.,129 a essncia do princpio da


responsabilidade a obrigao que recai sobre o responsvel pelo tratamento de:

colocar em prtica medidas que, em circunstncias normais, garantiriam a obser-


vncia das regras sobre proteo de dados no contexto das operaes de trata-
mento; e

estar em condies de disponibilizar rapidamente s pessoas em causa e s


autoridades de controlo documentao que comprove as medidas adotadas para
garantir a observncia das regras sobre proteo de dados.

O princpio da responsabilidade exige, assim, que os responsveis pelo tratamento


demonstrem ativamente o cumprimento, no se limitando a aguardar que as pes-
soas em causa ou as autoridades de controlo apontem deficincias.

129 Grupo de Trabalho do artigo 29., Parecer3/2010 sobre o princpio da responsabilidade, WP173,
Bruxelas, 13dejulhode2010.

82
4.

4
As regras da legislao
europeia sobre proteo
de dados
UE Questes CdE
abrangidas
Regras sobre o tratamento lcito de dados no sensveis
Diretiva de Proteo de Dados, artigo 7., Consentimento Recomendao sobre a
al. a) definio de perfis, artigos
3.4, al. b) e 3.6
Diretiva de Proteo de Dados, artigo 7., Relao (pr) Recomendao sobre a
al. b) contratual definio de perfis, artigo
3.4, al. b)
Diretiva de Proteo de Dados, artigo 7., Deveres legais do Recomendao sobre a
al. c) responsvel pelo definio de perfis, artigo
tratamento 3.4, al. a)
Diretiva de Proteo de Dados, artigo 7., Interesses vitais da Recomendao sobre a
al. d) pessoa em causa definio de perfis, artigo
3.4, al. b)
Diretiva de Proteo de Dados, artigo 7., al. Interesse pblico Recomendao sobre a
e) e artigo 8., n. 4 e exerccio de definio de perfis, artigo
TJUE, acrdo de 16 de dezembro de 2008 autoridade pblica 3.4, al. b)
no processo C-524/06, Huber/Alemanha
Diretiva de Proteo de Dados, artigo 7., Interesses Recomendao sobre a
alnea f) e artigo 8., n.s 2 e 3 legtimos de definio de perfis, artigo
TJUE, acrdo de 24 de novembro de terceiros 3.4, al. b)
2011 nos processos apensos C-468/10
e C-469/10, Asociacin Nacional de
Establecimientos Financieros de Crdito
(ASNEF) e Federacin de Comercio
Electrnico y Marketing Directo (FECEMD)/
Administracin del Estado

83
Manual da Legislao Europeia sobre Proteo de Dados

UE Questes CdE
abrangidas
Regras sobre o tratamento lcito de dados sensveis
Diretiva de Proteo de Dados, artigo 8., Proibio geral de Conveno 108, artigo 6.
n. 1 tratamento
Diretiva de Proteo de Dados, artigo 8., Derrogaes Conveno 108, artigo 6.
n.s 2 a 4 proibio geral
Diretiva de Proteo de Dados, artigo 8., Tratamento de Conveno 108, artigo 6.
n. 5 dados sobre
condenaes
(penais)
Diretiva de Proteo de Dados, artigo 8., Tratamento de
n. 7 nmeros de
identificao
Regras sobre a segurana do tratamento
Diretiva de Proteo de Dados, artigo 17. Obrigao Conveno 108, artigo 7.
de garantir a TEDH, acrdo I. c. Finlndia
segurana do de 17 de julho de 2008,
tratamento petio n.20511/03
Diretiva Privacidade Eletrnica, artigo 4., Notificaes de
n. 2 violao de dados
pessoais
Diretiva de Proteo de Dados, artigo 16. Obrigao de
confidencialidade
Regras sobre a transparncia do tratamento
Transparncia em Conveno 108, artigo 8.,
geral al. a)
Diretiva de Proteo de Dados, artigos 10. Informao Conveno 108, artigo 8.,
e 11. al. a)
Diretiva de Proteo de Dados, artigos 10. Derrogaes Conveno 108, artigo 9.
e 11. obrigao de
informar
Diretiva de Proteo de Dados, artigos 18. Notificao Recomendao sobre a
e 19. definio de perfis, artigo
9.2, al. a)
Regras sobre a promoo do cumprimento
Diretiva de Proteo de Dados, artigo 20. Controlo prvio
Diretiva de Proteo de Dados, artigo 18., Encarregado da Recomendao sobre a
n. 2 proteo de dados definio de perfis, artigo
pessoais 8.3
Diretiva de Proteo de Dados, artigo 27. Cdigos de conduta

84
As regras da legislao europeia sobre proteo de dados

Os princpios tm necessariamente natureza geral. A sua aplicao a situaes con-


cretas deixa uma certa margem de interpretao e escolha quanto aos meios. Nos
termos do direito do CdE, cabe s Partes da Conveno 108 clarificar esta margem
de interpretao no seu direito nacional. A situao no direito da UE diferente: para
implementar a proteo de dados no mercado interno, foi considerado necessrio
definir logo regras mais detalhadas ao nvel da UE, a fim de harmonizar o nvel de
proteo de dados conferido pela legislao nacional dos Estados-Membros. A Dire-
tiva de Proteo de Dados estabelece, ao abrigo dos princpios enunciados no seu
artigo6. uma srie de regras detalhadas que tm de ser fielmente implementadas
no direito nacional. Por conseguinte, as observaes que se seguem sobre regras
detalhadas de proteo de dados ao nvel europeu respeitam predominantemente
ao direito da UE.

4.1. Regras sobre o tratamento lcito


Pontos-chave

Os dados pessoais podem ser objeto de um tratamento lcito se:

o tratamento se basear no consentimento do titular dos dados;

interesses vitais do titular dos dados exigirem o tratamento dos seus dados; ou

interesses legtimos de terceiros forem a razo do tratamento, mas apenas se


no prevalecer o interesse na proteo de direitos fundamentais dos titulares dos
dados.

O tratamento lcito de dados sensveis est sujeito a um regime especial, mais rigoroso.

A Diretiva de Proteo de Dados estabelece dois grupos de regras distintos para o


tratamento lcito de dados: um para dados no sensveis no artigo7. e outro para
dados sensveis no artigo8..

4.1.1. Tratamento lcito de dados no sensveis


O captulo II da Diretiva 95/46, sob a epgrafe Condies gerais de licitude do trata-
mento de dados pessoais, estabelece que, sem prejuzo das derrogaes admitidas
ao abrigo do artigo13., qualquer tratamento de dados pessoais deve ser conforme,
em primeiro lugar, aos princpios relativos qualidade dos dados enunciados no
artigo6. da Diretiva de Proteo de Dados e, em segundo lugar, a um dos princpios

85
Manual da Legislao Europeia sobre Proteo de Dados

relativos legitimidade do tratamento de dados, enumerados no artigo7.130 Estas


disposies descrevem os casos de tratamento legtimo de dados pessoais no
sensveis.

Consentimento

Relativamente ao direito do CdE, o consentimento no mencionado no artigo8.


da CEDH nem na Conveno108. No entanto, referido na jurisprudncia do TEDH
e em vrias recomendaes do CdE. Quanto ao direito da UE, o consentimento est
firmemente estabelecido no artigo7., al.a), da Diretiva de Proteo de Dados como
base para o tratamento legtimo de dados, sendo tambm expressamente mencio-
nado no artigo8. da Carta.

Relao contratual

Outra base para o tratamento legtimo de dados pessoais nos termos do direito da
UE, enumerada no artigo 7., alnea b), da Diretiva de Proteo de Dados, a sua
necessidade para a execuo de um contrato no qual a pessoa em causa parte.
Esta disposio tambm abrange as relaes prcontratuais. Por exemplo: uma
parte pretende celebrar um contrato, mas ainda no o fez, possivelmente porque
ainda necessrio verificar alguns factos. Se uma parte precisar de tratar dados
para este fim, esse tratamento legtimo desde que seja necessrio para a execu-
o de diligncias prvias formao do contrato decididas a pedido da pessoa em
causa.

No que respeita ao direito do CdE, a proteo dos direitos e das liberdades de ter-
ceiros mencionada no artigo8., n. 2, da CEDH como um dos fundamentos da
ingerncia legtima no exerccio do direito proteo de dados.

Deveres legais do responsvel pelo tratamento

O direito da UE menciona expressamente outro princpio relativo legitimidade do


tratamento de dados: se for necessrio para cumprir uma obrigao legal qual
o responsvel pelo tratamento esteja sujeito (artigo7., alneac), da Diretiva de

130 TJUE, acrdo de 20demaiode2003 nos processos apensos C-465/00, C-138/01 e C-139/01,
sterreichischer Rundfunk e o., n.65; TJUE, acrdo de 16dedezembrode2008 no processo C524/06,
Huber/Alemanha, n.48; TJUE, acrdo de 24denovembrode2011 nos processos apensos C-468/10
e C-469/10, Asociacin Nacional de Establecimientos Financieros de Crdito (ASNEF) e Federacin de
Comercio Electrnico y Marketing Directo (FECEMD)/Administracin del Estado, n.26.

86
As regras da legislao europeia sobre proteo de dados

Proteo de Dados). Esta disposio diz respeito aos responsveis pelo tratamento
no setor privado; s obrigaes legais dos responsveis pelo tratamento no setor
pblico aplicvel o artigo7., alneae), da Diretiva. H muitos casos em que os
responsveis pelo tratamento do setor privado so obrigados, por lei, a tratar dados
sobre terceiros; por exemplo, os mdicos e os hospitais tm o dever legal de arma-
zenar dados sobre o tratamento dos doentes durante vrios anos, os empregado-
res tm de tratar dados sobre os seus funcionrios para fins de segurana social
e impostos e as empresas tm de tratar dados sobre os seus clientes para fins de
impostos.

No contexto da transferncia obrigatria de dados dos passageiros pelas compa-


nhias areas para autoridades estrangeiras de controlo da imigrao, foi suscitada a
questo da possibilidade de as obrigaes legais estabelecidas no direito estrangeiro
constiturem uma base legtima para o tratamento de dados nos termos do direito
da UE (esta questo analisada em maior detalhe na seco6.2).

As obrigaes legais do responsvel pelo tratamento tambm constituem uma


base para o tratamento legtimo de dados nos termos do direito do CdE. Tal como
salientado anteriormente, as obrigaes legais de um responsvel pelo tratamento
do setor privado restringemse ao caso especfico dos interesses legtimos de tercei-
ros, conforme mencionado no artigo 8., n. 2, da CEDH. Por conseguinte, o exemplo
acima apresentado tambm relevante para o direito do CdE.

Interesses vitais do titular dos dados

No mbito do direito da UE, o artigo7., alnead), da Diretiva de Proteo de Dados


estabelece que o tratamento de dados pessoais lcito se for necessrio para a
proteo de interesses vitais da pessoa em causa. Estes interesses, que esto inti-
mamente ligados sobrevivncia da pessoa em causa, poderiam constituir a base
para a utilizao legtima de dados sobre a sade ou de dados sobre pessoas desa-
parecidas, por exemplo.

No mbito do direito do CdE, os interesses vitais do titular dos dados no so men-


cionados no artigo8. da CEDH como fundamento da ingerncia legtima no exer-
ccio do direito proteo de dados. No entanto, algumas recomendaes do CdE
que complementam a Conveno108 em domnios especficos mencionam expres-
samente os interesses vitais da pessoa em causa como base para o tratamento

87
Manual da Legislao Europeia sobre Proteo de Dados

legtimo de dados.131 Evidentemente, os interesses vitais da pessoa em causa so


considerados implicitamente includos no conjunto de razes que justificam o trata-
mento de dados: a proteo de direitos fundamentais nunca deve colocar em risco
os interesses vitais da pessoa protegida.

Interesse pblico e exerccio de autoridade pblica

Uma vez que existem muitos sistemas de organizao dos assuntos pblicos, o
artigo7., alnea e), da Diretiva de Proteo de Dados estabelece que o tratamento
de dados pessoais ser lcito se for necessrio para a execuo de uma misso de
interesse pblico ou o exerccio da autoridade pblica de que investido o respon-
svel pelo tratamento ou um terceiro a quem os dados sejam comunicados [].132

Exemplo: No processo que deu origem ao acrdo Huber/Alemanha,133 H. Huber,


um nacional austraco residente na Alemanha, pediu ao Servio Federal para as
Migraes e os Refugiados que suprimisse do Registo Central de Estrangeiros
(oAZR) os dados que lhe diziam respeito. Este registo, que contm dados
pessoais sobre nacionais de outros pases da UE que sejam residentes na Ale-
manha por um perodo superior a trs meses, utilizado para fins estatsticos e
pelas autoridades policiais e judicirias no mbito da investigao e ao penal
relativamente a atividades criminosas ou que constituam uma ameaa segu-
rana pblica. O rgo jurisdicional de reenvio perguntou se o tratamento de
dados pessoais realizado num registo como o Registo Central de Estrangeiros,
a que tambm tm acesso outras autoridades pblicas, compatvel com o
direito da UE na medida em que no existe um registo semelhante para nacio-
nais alemes.

O TJUE refere, em primeiro lugar, que, nos termos do artigo7., alnea e), da Dire-
tiva, o tratamento de dados pessoais s lcito se for necessrio para a exe-
cuo de uma misso de interesse pblico ou o exerccio de uma autoridade
pblica.

Segundo o Tribunal de Justia, face ao objetivo de assegurar um nvel de prote-


o equivalente em todos os Estados-Membros, o conceito de necessidade, tal
como ele resulta do artigo7., alnea e), da Diretiva95/46 [] no pode ter um

131 Recomendao sobre a definio de perfis, artigo3.4, al. b).


132 Ver tambm Diretiva Proteo de Dados, considerando32.
133 TJUE, acrdo de 16dedezembrode2008 no processo C-524/06, Huber/Alemanha.

88
As regras da legislao europeia sobre proteo de dados

contedo varivel consoante o Estado-Membro. Logo, tratase de um conceito


autnomo de direito comunitrio que deve receber uma interpretao suscet-
vel de cumprir plenamente o objetivo dessa diretiva, definido no seu artigo1.,
n. 1.134

O Tribunal de Justia chama a ateno para o facto de o direito de livre circula-


o de um cidado da Unio no territrio de um Estado-Membro de que no
nacional no incondicional, podendo estar sujeito a restries e condies pre-
vistas no Tratado e nas disposies adotadas em sua aplicao. Por isso, embora
a utilizao de um registo como o AZR com a finalidade de dar apoio s autori-
dades encarregues da aplicao da legislao sobre o direito de residncia seja,
em princpio, legtima, esse registo s pode conter as informaes que forem
necessrias para essa finalidade especfica. O Tribunal de Justia conclui que um
tal sistema de tratamento de dados pessoais cumpre o direito da UE se contiver
unicamente os dados necessrios aplicao dessa legislao e se o seu car-
ter centralizado permitir uma aplicao mais eficaz dessa legislao. Compete
ao rgo jurisdicional nacional verificar se essas condies esto preenchidas
no caso concreto. Se a resposta for negativa, a conservao e o tratamento de
dados pessoais num registo como oAZR para fins estatsticos no podem, em
qualquer caso, ser considerados necessrios na aceo do artigo7., alnea e),
da Diretiva95/46/CE.135

Por ltimo, relativamente questo da utilizao dos dados contidos no registo


para fins de combate criminalidade, o Tribunal de Justia entende que este
objetivo envolve necessariamente a represso dos crimes e delitos cometidos,
independentemente da nacionalidade dos seus autores. O registo em causa
no contm dados pessoais de nacionais do Estado-Membro em questo e esta
diferena de tratamento constitui uma discriminao proibida pelo artigo18.
do TFUE. Consequentemente, esta disposio, tal como interpretada pelo Tri-
bunal de Justia, [opese] instaurao, por um Estado-Membro, de um sis-
tema de tratamento de dados pessoais especfico para os cidados da Unio
que no so nacionais desse Estado-Membro, com o objetivo de combater a
criminalidade136

134 Ibid., n. 52.


135 Ibid., n.s54, 58, 59, 66-68.
136 Ibid., n.s 78 e 81.

89
Manual da Legislao Europeia sobre Proteo de Dados

A utilizao de dados pessoais por autoridades que atuam na esfera pblica tambm
est sujeita ao artigo8. da CEDH.

Interesses legtimos prosseguidos pelo responsvel pelo tratamento


ou por um terceiro

A pessoa em causa no a nica com interesses legtimos. O artigo7., alnea f),


da Diretiva de Proteo de Dados estabelece que o tratamento de dados pessoais
lcito se for necessrio para prosseguir interesses legtimos do responsvel pelo
tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde
que no prevaleam os interesses ou os direitos e liberdades fundamentais da pes-
soa em causa, protegidos [].

No acrdo que se segue, o TJUE pronunciouse expressamente sobre o artigo7.,


alnea f), da Diretiva.

Exemplo: No acrdo ASNEF e FECEMD,137 o TJUE esclareceu que o direito nacio-


nal no pode prever outras condies de licitude do tratamento de dados pes-
soais para alm das previstas no artigo 7., alnea f), da Diretiva. Naquele pro-
cesso, estava em causa uma disposio da legislao espanhola sobre proteo
de dados nos termos da qual outros particulares s poderiam invocar um inte-
resse legtimo no tratamento de dados pessoais se as informaes constassem
j de fontes acessveis ao pblico.

Em primeiro lugar, o Tribunal de Justia salientou que a Diretiva95/46 visa tor-


nar equivalente em todos os Estados-Membros o nvel de proteo dos direitos
e liberdades das pessoas no que diz respeito ao tratamento de dados pessoais.
A aproximao das legislaes nacionais aplicveis nesta matria no deve
fazer diminuir a proteo que asseguram, devendo, pelo contrrio, ter por obje-
tivo assegurar um elevado nvel de proteo na Unio.138 Consequentemente,
o TJUE concluiu que decorre do objetivo que consiste em assegurar um alto
nvel de proteo equivalente em todos os Estados-Membros que o artigo 7.
da Diretiva95/46 prev uma lista exaustiva e taxativa dos casos em que um
tratamento de dados pessoais pode ser considerado lcito. Alm disso, os

137 TJUE, acrdo de 24 de novembro de 2011 nos processos apensos C-468/10 e C-469/10, Asociacin
Nacional de Establecimientos Financieros de Crdito (ASNEF) e Federacin de Comercio Electrnico y
Marketing Directo (FECEMD) Administracin del Estado.
138 Ibid., n. 28. Ver Diretiva Proteo de Dados, considerandos8 e10.

90
As regras da legislao europeia sobre proteo de dados

Estados-Membros no podem acrescentar novos princpios relativos legiti-


mao dos tratamentos de dados pessoais ao artigo 7. da Diretiva 95/46 nem
prever exigncias suplementares que venham alterar o alcance de um dos
seis princpios previstos nesse artigo.139O Tribunal de Justia admitiu que, [n]
o que se refere ponderao necessria por fora do artigo 7., alnea f), da
Diretiva95/46/CE, possvel tomar em considerao o facto de que a gravidade
da violao dos direitos fundamentais da pessoa em causa pelo referido trata-
mento pode variar em funo da questo de saber se os dados j constam, ou
no, de fontes acessveis ao pblico.

Contudo, o artigo 7., alnea f), desta diretiva opese a que um Estado-Membro
exclua de forma categrica e generalizada a possibilidade de algumas catego-
rias de dados pessoais serem tratadas, sem permitir uma ponderao dos direi-
tos e interesses opostos em causa num caso especfico.

luz destas consideraes, o Tribunal de Justia concluiu que o artigo 7., al-
nea f), da Diretiva95/46 deve ser interpretado no sentido de que se ope a
uma legislao nacional que, na inexistncia do consentimento da pessoa em
causa e para autorizar o tratamento dos seus dados pessoais necessrio para
prosseguir interesses legtimos do responsvel pelo tratamento ou do terceiro
ou terceiros a quem os dados sejam comunicados, exige, alm do respeito
dos direitos e liberdades fundamentais dessa pessoa, que os referidos dados
constem de fontes acessveis ao pblico, excluindo assim de forma categrica
e generalizada todo e qualquer tratamento de dados que no constem dessas
fontes.140

possvel encontrar formulaes semelhantes em recomendaes do CdE. A Reco-


mendao sobre a definio de perfis considera legtimo o tratamento de dados
pessoais para fins de definio de perfis, se tal for necessrio para prosseguir inte-
resses legtimos de terceiros, desde que no prevaleam os direitos e liberdades
fundamentais das pessoas em causa.141

139 TJUE, acrdo de 24 de novembro de 2011 nos processos apensos C-468/10 e C-469/10, Asociacin
Nacional de Establecimientos Financieros de Crdito (ASNEF) e Federacin de Comercio Electrnico y
Marketing Directo (FECEMD) Administracin del Estado, n.s 30 e 32.
140 Ibid., n.s 40, 44, 48 e 49.
141 Recomendao sobre a definio de perfis, artigo3.4, al. b).

91
Manual da Legislao Europeia sobre Proteo de Dados

4.1.2. Tratamento lcito de dados sensveis


O direito do CdE deixa a cargo do legislador nacional a definio das medidas de pro-
teo adequadas para a utilizao de dados sensveis, enquanto o direito da UE, no
artigo8. da Diretiva de Proteo de Dados, estabelece um regime pormenorizado
para o tratamento de categorias de dados que revelem: a origem racial ou tnica,
as opinies polticas, as convices religiosas ou filosficas, a filiao sindical, bem
como dados relativos sade e vida sexual. O tratamento de dados sensveis ,
em princpio, proibido.142 No entanto, o artigo8., n.s 2 e 3, da Diretiva contm uma
lista taxativa de derrogaes a esta proibio. Entre estas derrogaes contamse
o consentimento explcito da pessoa em causa, os interesses vitais da pessoa em
causa, os interesses legtimos de terceiros e o interesse pblico.

Contrariamente ao que acontece no caso do tratamento de dados no sensveis,


uma relao contratual com a pessoa em causa no considerada uma base geral
para o tratamento legtimo de dados sensveis. Por conseguinte, se for necessrio
tratar dados sensveis no contexto de um contrato com a pessoa em causa, esta
dever dar o seu consentimento explcito para a utilizao destes dados, para alm
de manifestar a sua vontade em celebrar o prprio contrato. Porm, se a pessoa em
causa pedir explicitamente bens ou servios que revelem necessariamente dados
sensveis, esse pedido deve ser equiparado a um consentimento explcito.

Exemplo: Se um passageiro de uma companhia area, no contexto da reserva


de um voo, solicitar a disponibilizao de uma cadeira de rodas e comida kosher,
a companhia area est autorizada a utilizar estes dados ainda que o passageiro
no tenha assinado uma clusula adicional declarando que consente na utiliza-
o de dados que revelam informaes sobre a sua sade e as suas convices
religiosas.

Consentimento explcito da pessoa em causa

O primeiro requisito de licitude do tratamento de quaisquer dados, sejam eles dados


sensveis ou no sensveis, o consentimento da pessoa em causa. No caso dos
dados sensveis, esse consentimento tem de ser explcito. O direito nacional pode,
contudo, estabelecer que o consentimento para a utilizao de dados sensveis
no constitui base legal suficiente para permitir o seu tratamento,143 por exemplo,

142 Diretiva Proteo de Dados, artigo 8., n. 1.


143 Ibid., artigo 8., n. 2, al. a).

92
As regras da legislao europeia sobre proteo de dados

quando, em casos excecionais, o tratamento envolve riscos extraordinrios para a


pessoa em causa.

Existe um caso especial em que at mesmo o consentimento implcito reconhe-


cido como base legal para o tratamento de dados sensveis. O artigo8., n. 2, al-
nea e), da Diretiva estabelece que o tratamento no proibido se disser respeito
a dados manifestamente tornados pblicos pela pessoa em causa. Esta disposio
tem evidentemente subjacente o entendimento de que o ato de tornar pblicos os
seus dados deve ser interpretado como consentimento implcito para a utilizao
desses dados.

Interesses vitais da pessoa em causa

Tal como acontece no caso dos dados no sensveis, os dados sensveis podem ser
objeto de tratamento devido aos interesses vitais da pessoa em causa.144

Para que o tratamento de dados sensveis seja legtimo nestes casos, necessrio
que fosse impossvel submeter a questo deciso da pessoa em causa, porque,
por exemplo, esta estava inconsciente ou estava ausente e no tinha sido possvel
contactla.

Interesses legtimos de terceiros

Tal como acontece no caso dos dados no sensveis, os interesses legtimos de ter-
ceiros podero constituir a base para o tratamento de dados sensveis. Porm, no
que respeita aos dados sensveis, e conforme estabelecido no artigo 8., n. 2, da
Diretiva de Proteo de Dados, s assim ser nos seguintes casos:

quando o tratamento for necessrio para proteger interesses vitais de uma outra
pessoa145 se a pessoa em causa estiver fsica ou legalmente incapaz de dar o seu
consentimento;

quando os dados sensveis forem relevantes no domnio da legislao do tra-


balho, tais como dados sobre a sade no contexto de um local de trabalho

144 Ibid., artigo 8., n. 2, al. c).


145 Ibid.

93
Manual da Legislao Europeia sobre Proteo de Dados

especificamente perigoso, ou dados sobre as convices religiosas no contexto


de feriados;146

quando fundaes, associaes ou outros organismos sem fins lucrativos de


carter poltico, filosfico, religioso ou sindical tratam dados sobre os seus mem-
bros, patrocinadores ou outras partes interessadas (esses dados so sensveis
porque revelaro provavelmente as convices religiosas ou polticas das pes-
soas em questo);147

quando os dados sensveis forem utilizados no contexto de um processo judicial


ou administrativo para declarar, exercer ou defender um direito.148

Acresce que, de acordo com o artigo 8., n. 3, da Diretiva de Proteo de Dados,


sempre que forem utilizados dados sobre a sade para fins de diagnstico e tra-
tamento mdico por um profissional da sade, a derrogao abrange a gesto
destes servios. A ttulo de garantia especial, estabelecido que apenas as pes-
soas sujeitas a obrigaes profissionais especficas de confidencialidade sero
consideradas profissionais da sade.

Interesse pblico

Segundo o artigo8., n. 4, da Diretiva de Proteo de Dados, os Estados-Membros


podem prever outros casos em que permitido o tratamento de dados sensveis,
desde que:

o tratamento dos dados seja realizado por motivos de interesse pblico


importante;

esteja previsto em disposies legislativas nacionais ou numa deciso da autori-


dade de controlo; e

as disposies legislativas nacionais ou a deciso da autoridade de controlo esta-


beleam as garantias necessrias para proteger eficazmente os interesses das
pessoas em causa.149

146 Ibid., artigo 8., n. 2, al. b).


147 Ibid., artigo 8., n. 2, al. d).
148 Ibid., artigo 8., n. 2, al. e).
149 Ibid., artigo 8., n. 4.

94
As regras da legislao europeia sobre proteo de dados

Um exemplo elucidativo so os sistemas eletrnicos de registos de sade, que esto


prestes a ser implementados em muitos Estados-Membros. Estes sistemas permi-
tem que os dados de sade recolhidos pelos profissionais de sade durante o tra-
tamento de um doente sejam disponibilizados a outros profissionais que prestam
cuidados de sade ao mesmo doente, geralmente a nvel nacional.

O Grupo de Trabalho do artigo29. concluiu que as regras atualmente em vigor para


o tratamento de dados sobre doentes no permitem a criao de tais sistemas, no
sendo possvel invocar, neste contexto, o artigo8., n. 3, da Diretiva de Proteo
de Dados. Partindo do princpio de que a existncia de tais sistemas eletrnicos de
registos de sade constitui um interesse pblico importante, poderia, contudo, ter
por base o artigo8., n. 4, da Diretiva, exigindo uma base legal explcita para a sua
criao que previsse tambm as garantias necessrias para assegurar o funciona-
mento do sistema em condies de segurana.150

4.2. Regras sobre a segurana do tratamento


Pontos-chave

As regras sobre a segurana do tratamento impem sobre o responsvel pelo trata-


mento e o subcontratante a obrigao de colocarem em prtica medidas tcnicas e
organizativas para evitar interferncias no autorizadas nas operaes de tratamento.

O nvel de segurana dos dados necessrio determinado:

pelas funcionalidades de segurana disponveis no mercado para um determinado


tipo de tratamento;

pelos custos; e

pela sensibilidade dos dados objeto de tratamento.

A segurana do tratamento de dados igualmente salvaguardada pelo dever geral


imposto sobre todas as pessoas, sejam elas responsveis pelo tratamento ou subcon-
tratantes, de assegurar a confidencialidade dos dados.

Por conseguinte, tanto a legislao do CdE sobre proteo de dados como a legisla-
o da UE sobre proteo de dados impem sobre os responsveis pelo tratamento

150 Grupo de Trabalho do artigo 29. (2007), Documento de trabalho sobre o tratamento de dados pessoais
ligados sade em registos de sade eletrnicos (RSE), WP131, Bruxelas, 15defevereirode2007.

95
Manual da Legislao Europeia sobre Proteo de Dados

e os subcontratantes a obrigao de tomarem medidas adequadas para garantir a


segurana dos dados.

4.2.1. Elementos da segurana dos dados


De acordo com as disposies relevantes do direito da UE:

Os Estados-Membros estabelecero que o responsvel pelo tratamento


deve pr em prtica medidas tcnicas e organizativas adequadas para
proteger os dados pessoais contra a destruio acidental ou ilcita, a perda
acidental, a alterao, a difuso ou acesso no autorizados, nomeadamente
quando o tratamento implicar a sua transmisso por rede, e contra qualquer
outra forma de tratamento ilcito.151

O direito do CdE contm uma disposio semelhante:

Para a proteo dos dados de carter pessoal registados em ficheiros


automatizados devem ser tomadas medidas de segurana apropriadas
contra a destruio, acidental ou no autorizada, e a perda acidental e
tambm contra o acesso, a modificao ou a difuso no autorizados.152

Em muitos casos, foram tambm definidas normas setoriais, nacionais e interna-


cionais para o tratamento de dados. O Rtulo Europeu de Proteo da Privacidade
(EuroPriSe), por exemplo, um projeto eTEN (Redes Transeuropeias de Telecomu-
nicaes) da UE que explorou a possibilidade de certificar certos produtos, especial-
mente software, que cumpram a legislao europeia sobre proteo de dados. A
Agncia Europeia para a Segurana das Redes e da Informao (ENISA) foi criada
com o objetivo de reforar a capacidade da UE, dos Estados-Membros da UE e da
comunidade empresarial para evitar, gerir e responder a problemas de segurana
das redes e da informao.153 A ENISA publica regularmente anlises sobre as atuais
ameaas segurana e conselhos sobre a resposta a dar s mesmas.

Para garantir a segurana dos dados, no basta dispor do equipamento certo (hard
ware e software), sendo igualmente necessrias regras organizacionais internas

151 Diretiva Proteo de Dados, artigo 17., n. 1.


152 Conveno 108, artigo 7..
153 Regulamento (CE) n. 460/2004 do Parlamento Europeu e do Conselho, de 10demarode2004, que
cria a Agncia Europeia para a Segurana das Redes e da Informao, JO2004L77.

96
As regras da legislao europeia sobre proteo de dados

adequadas. Essas regras internas deveriam, de preferncia, abranger as seguintes


questes:

fornecimento regular de informaes a todos os funcionrios sobre as regras


relativas segurana dos dados e as suas obrigaes nos termos da legislao
sobre proteo de dados, especialmente em matria de confidencialidade;

distribuio clara das responsabilidades e uma descrio clara das competn-


cias em matria de tratamento de dados, especialmente no que diz respeito
s decises de tratamento de dados pessoais e de transferncia de dados para
terceiros;

utilizao de dados pessoais unicamente em conformidade com as instrues da


pessoa competente ou com regras gerais;

proteo contra o acesso a instalaes e a hardware e software do responsvel


pelo tratamento ou do subcontratante, incluindo controlos sobre a autorizao
de acesso;

certificao de que as autorizaes de acesso a dados pessoais foram concedi-


das pela pessoa competente e exigem documentao adequada;

protocolos automatizados sobre o acesso a dados pessoais por meios eletrnicos


e controlo regular desses protocolos pelo servio de controlo interno;

documentao exaustiva para outras formas de divulgao diferentes do acesso


automatizado a dados, a fim de demonstrar que no ocorreram quaisquer trans-
misses ilegais de dados.

A disponibilizao de uma formao e educao adequada sobre segurana dos


dados aos membros do pessoal tambm uma medida preventiva de segurana
importante e eficaz. igualmente necessrio instituir procedimentos de verificao,
a fim de assegurar que as medidas adequadas estabelecidas no papel foram imple-
mentadas e funcionam na prtica (por exemplo, auditorias internas ou externas).

Entre as medidas destinadas a melhorar o nvel de segurana de um respons-


vel pelo tratamento ou subcontratante contamse instrumentos como, por exem-
plo, os encarregados da proteo de dados pessoais, a educao dos funcionrios

97
Manual da Legislao Europeia sobre Proteo de Dados

em matria de segurana, auditorias regulares, testes de penetrao e selos de


qualidade.

Exemplo: No processo que deu origem ao acrdo I. c. Finlndia,154 a requerente


no conseguiu provar que outros funcionrios do hospital onde ela trabalhava
tinham tido ilegitimamente acesso aos seus registos de sade. Por este motivo,
os tribunais nacionais julgaram improcedente a ao por ela instaurada com
fundamento na violao do seu direito proteo de dados. O TEDH concluiu
que tinha havido uma violao do artigo8. da CEDH, dado que o sistema de
registo de processos clnicos do hospital no permitia obter retroativamente
esclarecimentos sobre a utilizao dos registos dos doentes, uma vez que reve-
lava apenas as cinco consultas mais recentes e esta informao era eliminada
assim que o processo regressasse aos arquivos. Segundo o TEDH, era decisivo
o facto de o sistema de registo existente no hospital no cumprir claramente os
requisitos legais estabelecidos no direito nacional, um aspeto ao qual os tribu-
nais nacionais no tinham atribudo a devida importncia.

Notificaes de violao de dados pessoais

Vrios pases europeus introduziram na sua legislao sobre proteo de dados um


novo instrumento para lidar com violaes da segurana dos dados: a obrigao de
os prestadores de servios de comunicaes eletrnicas notificarem violaes de
dados pessoais s provveis vtimas e s autoridades de controlo. Nos termos do
direito da UE, esta notificao obrigatria para os prestadores de servios de tele-
comunicaes.155 A notificao de violaes de dados pessoais s pessoas em causa
visa evitar a ocorrncia de danos: a notificao de violaes de dados pessoais e das
suas possveis consequncias minimiza o risco de efeitos negativos para as pessoas
em causa. Em casos de negligncia grosseira, tambm deve ser aplicada uma coima
aos prestadores de servios.

154 TEDH, acrdo I. c. Finlndia de 17 de julho de 2008, petio n.20511/03.


155 Ver Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12dejulhode2002, relativa ao
tratamento de dados pessoais e proteo da privacidade no setor das comunicaes eletrnicas
(Diretiva relativa privacidade e s comunicaes eletrnicas), JO2002L201, art. 4., n. 3, com
a redao que lhe foi dada pela Diretiva2009/136/CE do Parlamento Europeu e do Conselho, de
25denovembrode2009, que altera a Diretiva2002/22/CE relativa ao servio universal e aos direitos
dos utilizadores em matria de redes e servios de comunicaes eletrnicas, a Diretiva2002/58/CE
relativa ao tratamento de dados pessoais e proteo da privacidade no setor das comunicaes
eletrnicas e o Regulamento (CE) n.2006/2004 relativo cooperao entre as autoridades nacionais
responsveis pela aplicao da legislao de defesa do consumidor, JO2009L337.

98
As regras da legislao europeia sobre proteo de dados

Ser necessrio implementar antecipadamente procedimentos internos para uma


gesto e comunicao eficaz de violaes de dados pessoais, uma vez que o prazo
para cumprimento da obrigao de comunicao s pessoas em causa e/ou autori-
dade de controlo previsto no direito nacional geralmente muito curto.

4.2.2. Confidencialidade
No mbito do direito da UE, a segurana do tratamento de dados igualmente sal-
vaguardada pelo dever geral imposto sobre todas as pessoas, sejam elas respon-
sveis pelo tratamento ou subcontratantes, de assegurar a confidencialidade dos
dados.

Exemplo: Uma funcionria de uma companhia de seguros recebe um telefo-


nema no local de trabalho de algum que afirma ser um cliente, solicitando
informaes sobre o seu contrato de seguro.

O dever de manter a confidencialidade dos dados dos clientes exige que a fun-
cionria tome, pelo menos, medidas mnimas de segurana antes de divulgar
dados pessoais. Neste sentido, poderia, por exemplo, oferecerse para telefonar,
ela prpria, para o nmero constante do processo do cliente.

O artigo 16. da Diretiva de Proteo de Dados relativo confidencialidade s apli-


cvel no contexto da relao entre o responsvel pelo tratamento e o subcontra-
tante. O facto de os responsveis pelo tratamento estarem ou no sujeitos a um
dever de confidencialidade, no sentido de que no podem divulgar os dados a ter-
ceiros, tratado nos artigos7. e 8. da Diretiva.

O dever de confidencialidade no abrange as situaes em que uma pessoa toma


conhecimento dos dados na qualidade de particular e no de funcionrio do respon-
svel pelo tratamento ou do subcontratante. Neste caso, o artigo 16. da Diretiva de
Proteo de Dados no aplicvel porque, com efeito, a utilizao de dados pessoais
por particulares est completamente fora do mbito de aplicao da Diretiva quando
tal utilizao estiver abrangida pela chamada exceo domstica.156 Esta exce-
o consiste na utilizao de dados pessoais por uma pessoa singular no exerccio
de atividades exclusivamente pessoais ou domsticas.157 Porm, desde o acrdo

156 Diretiva Proteo de Dados, artigo 3., n. 2, segundo travesso.


157 Ibid.

99
Manual da Legislao Europeia sobre Proteo de Dados

Bodil Lindqvist do TJUE,158 esta exceo tem de ser objeto de uma interpretao res-
tritiva, especialmente em relao divulgao de dados. Em especial, a exceo
domstica no ser aplicvel divulgao de dados pessoais a um nmero ilimitado
de destinatrios na Internet (para informaes mais detalhadas sobre este processo,
ver seces2.1.2, 2.2, 2.3.1 e6.1).

No mbito do direito do CdE, a obrigao de confidencialidade est implcita no con-


ceito de segurana dos dados no artigo7. da Conven108, que trata da segurana
dos dados.

Relativamente aos subcontratantes, a confidencialidade significa que estes s pode-


ro utilizar os dados pessoais que lhes foram confiados pelo responsvel pelo trata-
mento em conformidade com as instrues dadas por este. No que respeita aos fun-
cionrios do responsvel pelo tratamento ou do subcontratante, a confidencialidade
exige que estes utilizem os dados pessoais unicamente de acordo com as instrues
dos respetivos superiores hierrquicos.

A obrigao de confidencialidade tem de ser includa em qualquer contrato cele-


brado entre os responsveis pelo tratamento e os seus subcontratantes. Alm disso,
os responsveis pelo tratamento e os subcontratantes tero de tomar medidas
especficas para impor sobre os seus funcionrios um dever de confidencialidade,
normalmente atravs da incluso de clusulas de confidencialidade no contrato de
trabalho do funcionrio.

Em muitos Estados-Membros da UE e Partes na Conveno108, a violao de deve-


res profissionais de confidencialidade punvel nos termos da lei penal.

4.3. Regras sobre a transparncia


dotratamento
Pontos-chave

Antes de dar incio ao tratamento de dados pessoais, o responsvel pelo tratamento


deve, no mnimo, informar as pessoas em causa da sua prpria identidade e da finali-
dade do tratamento, salvo se a pessoa em causa j possuir essas informaes.

158 TJUE, acrdo de 6 de novembro de 2003 no processo C-101/01, Bodil Lindqvist.

100
As regras da legislao europeia sobre proteo de dados

Sempre que os dados forem recolhidos junto de terceiros, a obrigao de fornecer


informaes no existe se:

o tratamento dos dados estiver previsto na lei; ou

o fornecimento das informaes se revelar impossvel ou implicar um esforo


desproporcionado.

Antes de dar incio ao tratamento de dados pessoais, o responsvel pelo tratamento


deve ainda:

notificar a autoridade de controlo das operaes de tratamento planeadas; ou

providenciar a documentao a nvel interno das operaes de tratamento por


um encarregado da proteo de dados pessoais independente, caso a legislao
nacional preveja este tipo de procedimento.

O princpio do tratamento leal exige a transparncia do tratamento. Para este efeito,


o direito do CdE estabelece que qualquer pessoa poder tomar conhecimento da
existncia de ficheiros automatizados de dados, da sua finalidade e do responsvel
pelo ficheiro.159 Os meios de concretizao desta disposio so deixados ao critrio
do legislador nacional. O direito da UE mais especfico, assegurando a transpa-
rncia perante a pessoa em causa atravs da obrigao de informao a que est
sujeito o responsvel pelo tratamento e perante o pblico em geral atravs da
notificao.

Ambos os sistemas jurdicos permitem o estabelecimento de derrogaes e restri-


es s obrigaes do responsvel pelo tratamento no direito nacional sempre que
essas restries constituam uma medida necessria proteo de certos interesses
pblicos ou proteo da pessoa em causa ou dos direitos e liberdades de outrem,
desde que sejam necessrias numa sociedade democrtica.160 Estas derrogaes
podero, por exemplo, ser necessrias no contexto de uma investigao criminal,
mas tambm se podero justificar noutras circunstncias.

4.3.1. Informao
Nos termos do direito do CdE e do direito da UE, os responsveis pelas operaes
de tratamento so obrigados a informar previamente a pessoa em causa do tra-
tamento planeado.161 Esta obrigao no depende de um pedido da pessoa em

159 Conveno 108, artigo 8., alnea a).


160 Ibid., artigo 9., n. 2; e Diretiva Proteo de Dados, artigo 13., n. 1.
161 Conveno 108, artigo 8., al. a); Diretiva Proteo de Dados, artigos 10. e 11..

101
Manual da Legislao Europeia sobre Proteo de Dados

causa, devendo o responsvel pelo tratamento tomar a iniciativa de fornecer as


informaes, independentemente de a pessoa em causa ter ou no mostrado inte-
resse nas mesmas.

Contedo da informao

As informaes tm de incluir a finalidade do tratamento, bem como a identidade e


o contacto do responsvel pelo tratamento.162 A Diretiva de Proteo de Dados exige
o fornecimento de informaes adicionais desde que sejam necessrias, tendo em
conta as circunstncias especficas da recolha dos dados, para garantir pessoa em
causa um tratamento leal dos mesmos. Os artigos 10. e 11. da Diretiva descre-
vem, entre outros aspetos, as categorias de dados tratados e os destinatrios des-
ses dados, bem como a existncia do direito de acesso aos dados e de retificao
dos mesmos. Sempre que forem recolhidos dados junto das pessoas em causa, as
informaes devem esclarecer se a resposta s perguntas tem carter obrigatrio ou
facultativo, bem como as possveis consequncias de no responder.163

Do ponto de vista do direito do CdE, o fornecimento destas informaes poder ser


considerado uma boa prtica ao abrigo do princpio do tratamento leal dos dados e,
nesse sentido, tambm faz parte do direito do CdE.

O princpio do tratamento leal exige que as informaes sejam facilmente com-


preensveis pelas pessoas em causa. Tem de ser utilizada uma linguagem adequada
aos destinatrios. O nvel e o tipo de linguagem utilizados teriam de variar em fun-
o da audincia prevista (por exemplo, adultos ou crianas, pblico em geral ou
acadmicos especializados).

Algumas pessoas em causa desejaro receber apenas informaes resumidas sobre


o modo e a finalidade do tratamento dos seus dados, enquanto outras exigiro uma
explicao detalhada. A conciliao deste aspeto da informao leal analisada num
parecer do Grupo de Trabalho do artigo29. que promove a ideia dos chamados
avisos com vrios nveis,164 dando pessoa em causa a possibilidade de decidir que
grau de pormenor prefere.

162 Conveno 108, artigo 8., al. a); Diretiva Proteo de Dados, artigo 10., al. a) e b).
163 Diretiva Proteo de Dados, artigo 10., al. c).
164 Grupo de Trabalho do artigo 29. (2004), Parecer 10/2004 sobre a prestao mais harmonizada da
informao, WP100, Bruxelas, 25denovembrode2004.

102
As regras da legislao europeia sobre proteo de dados

Momento do fornecimento das informaes

A Diretiva de Proteo de Dados contm disposies ligeiramente diferentes sobre o


momento em que as informaes tm de ser fornecidas, consoante os dados sejam
recolhidos junto da pessoa em causa (artigo10.) ou de um terceiro (artigo 11.).
Quando os dados so recolhidos junto da pessoa em causa, as informaes tm de
ser fornecidas, o mais tardar, no momento da recolha. Quando os dados so reco-
lhidos junto de terceiros, as informaes tm de ser fornecidas, o mais tardar, ou no
momento em que o responsvel pelo tratamento regista os dados ou antes de os
dados serem divulgados a um terceiro pela primeira vez.

Derrogaes obrigao de informar

O direito da UE prev uma derrogao geral obrigao de informar as pessoas em


causa quando estas j tenham conhecimento dessas informaes.165 Esta derroga-
o aplicvel em situaes em que a pessoa em causa j ter, de acordo com as
circunstncias do caso concreto, conhecimento de que os seus dados sero tratados
para um determinado fim por um determinado responsvel pelo tratamento.

O artigo 11. da Diretiva, que diz respeito obrigao de informar a pessoa em causa
quando os dados no tenham sido recolhidos junto desta, estabelece ainda que essa
obrigao no existir, especialmente no caso do tratamento com finalidades esta-
tsticas, histricas ou de investigao cientfica, se:

o fornecimento dessas informaes se revelar impossvel;

implicar esforos desproporcionados; ou

o registo ou a divulgao dos dados estiver expressamente previsto na lei.166

Apenas o artigo 11., n. 2, da Diretiva de Proteo de Dados estabelece que no


necessrio informar as pessoas em causa das operaes de tratamento se estas
estiverem previstas na lei. Tendo em conta a presuno geral de que todos os cida-
dos conhecem a lei, poderseia afirmar que, sempre que os dados forem recolhidos
junto da pessoa em causa nos termos do artigo10. da Diretiva, esta tem conheci-
mento das informaes. Porm, uma vez que o conhecimento da lei apenas uma

165 Diretiva Proteo de Dados, artigo10. e 11., n. 1.


166 Ibid., considerando40 e artigo 11., n. 2.

103
Manual da Legislao Europeia sobre Proteo de Dados

presuno, o princpio do tratamento leal exigiria, nos termos do artigo10., que a


pessoa em causa fosse informada, ainda que o tratamento de dados esteja previsto
na lei, sobretudo porque a informao da pessoa em causa no uma tarefa parti-
cularmente difcil quando os dados so recolhidos diretamente junto desta.

Relativamente ao direito do CdE, a Conveno108 prev expressamente derroga-


es ao seu artigo8.. Mais uma vez, as derrogaes estabelecidas nos artigos 10.
e 11. da Diretiva de Proteo de Dados podero ser encarados como exemplos de
boas prticas para as derrogaes estabelecidas no artigo 9. da Conveno108.

Diferentes formas de fornecer informaes

De preferncia, as informaes deveriam ser comunicadas, verbalmente ou por


escrito, a cada pessoa em causa. Se os dados forem recolhidos junto da pessoa em
causa, as informaes devem ser fornecidas no momento da recolha. Contudo, nos
casos em que os dados sejam recolhidos junto de terceiros, tendo em conta as difi-
culdades prticas que evidentemente se colocam ao contacto direto com as pessoas
em causa, as informaes tambm podem ser fornecidas atravs da sua publicao
por meios adequados.

Uma das formas mais eficientes de fornecer informaes ser a incluso de avisos
adequados na pgina inicial do responsvel pelo tratamento (por exemplo, a poltica
de privacidade de um stio Web). No entanto, uma parte considervel da populao
no utiliza a Internet e este facto deve ser tomado em considerao na poltica de
informao de uma empresa ou de uma autoridade pblica.

4.3.2. Notificao
O legislador nacional pode impor sobre os responsveis pelo tratamento a obrigao
de notificar as autoridades de controlo competentes das suas operaes de trata-
mento para que estas possam ser publicadas. Em alternativa, o legislador nacional
pode estabelecer que os responsveis pelo tratamento podero nomear um encar-
regado da proteo dos dados pessoais, que ser responsvel, em especial, por
manter um registo das operaes de tratamento efetuadas pelo responsvel pelo
tratamento.167 Este registo interno tem de ser colocado disposio dos membros
do pblico que o solicitem.

167 Ibid., artigo 18., n. 2, segundo travesso.

104
As regras da legislao europeia sobre proteo de dados

Exemplo: As notificaes efetuadas por um encarregado interno da proteo


dos dados pessoais, bem como a documentao por ele elaborada, tm de des-
crever as principais caractersticas do tratamento de dados em questo. Esta
descrio incluir informaes sobre o responsvel pelo tratamento, a finali-
dade do tratamento, a base legal do tratamento, as categorias de dados trata-
dos, os provveis terceiros destinatrios, se esto ou no previstos fluxos trans-
fronteirios de dados e, em caso afirmativo, que dados seriam abrangidos.

A publicao das notificaes pela autoridade de controlo tem de assumir a forma


de um registo especial. Para cumprir o seu objetivo, o acesso a este registo tem de
ser fcil e gratuito. O mesmo aplicvel documentao mantida pelo encarregado
da proteo dos dados pessoais do responsvel pelo tratamento.

O legislador nacional poder estabelecer isenes obrigao de notificar a auto-


ridade de controlo competente ou de nomear um encarregado interno de proteo
dos dados pessoais relativamente a operaes de tratamento que no sejam susce-
tveis de representar um risco especfico para as pessoas em causa, conforme esti-
pulado no artigo 18., n. 2, da Diretiva de Proteo de Dados.168

4.4. Regras sobre a promoo


documprimento
Pontos-chave

Desenvolvendo o princpio da responsabilidade, a Diretiva de Proteo de Dados men-


ciona vrios instrumentos de promoo do cumprimento:

controlo prvio das operaes de tratamento planeadas por parte da autoridade


de controlo nacional;

encarregados da proteo dos dados pessoais que prestaro ao responsvel pelo


tratamento um apoio especializado na rea da proteo de dados;

cdigos de conduta que especificam as regras sobre proteo de dados aplicveis


num segmento da sociedade, especialmente no mundo empresarial.

No mbito do direito do CdE, so propostos instrumentos semelhantes de promoo


do cumprimento na Recomendao sobre a definio de perfis.

168 Ibid., artigo 18., n. 2, primeiro travesso.

105
Manual da Legislao Europeia sobre Proteo de Dados

4.4.1. Controlo prvio


Nos termos do artigo 20. da Diretiva de Proteo de Dados, a autoridade de con-
trolo deve verificar se existem operaes de tratamento que possam representar
riscos especficos para os direitos e liberdades das pessoas em causa quer devido
finalidade do tratamento quer s circunstncias em que tem lugar antes do incio
do tratamento. O legislador nacional tem de determinar as operaes de tratamento
sujeitas a controlo prvio. Este controlo poder resultar na proibio das operaes
de tratamento ou numa ordem de alterao de determinadas caractersticas das
operaes propostas. O artigo20. da Diretiva pretende evitar que operaes de
tratamento que representem riscos desnecessrios tenham sequer incio, dado que
a autoridade de controlo tem competncia para proibir estas operaes. Para que
este mecanismo seja eficaz, indispensvel que a autoridade de controlo seja efeti-
vamente notificada. A fim de assegurar que os responsveis pelo tratamento cum-
prem a sua obrigao de notificao, ser necessrio atribuir poderes coercivos s
autoridades de controlo, nomeadamente o poder de aplicar coimas aos responsveis
pelo tratamento.

Exemplo: Se uma empresa efetuar operaes de tratamento que, nos termos


da legislao nacional, estejam sujeitas a controlo prvio, esta empresa ter
de apresentar documentao sobre as operaes de tratamento planeadas
autoridade de controlo. A empresa no poder dar incio s operaes de trata-
mento antes de receber uma resposta positiva da autoridade de controlo.

Em alguns Estados-Membros, a legislao nacional estabelece que possvel


dar incio s operaes de tratamento se a autoridade de controlo no se pro-
nunciar dentro de um certo prazo, por exemplo, trsmeses.

4.4.2. Encarregados da proteo dos dados pessoais


A Diretiva de Proteo de Dados prev a possibilidade de o legislador nacional esta-
belecer que os responsveis pelo tratamento podem nomear uma pessoa para
exercer as funes de encarregado da proteo dos dados pessoais.169 Este encar-
regado ser responsvel por assegurar que os direitos e liberdades das pessoas em
causa no so suscetveis de serem prejudicados pelas operaes de tratamento.170

169 Ibid., artigo 18., n. 2, segundo travesso.


170 Ibid.

106
As regras da legislao europeia sobre proteo de dados

Exemplo: Nos termos do artigo 4f, n. 1, da Lei Federal da Proteo de Dados


alem (Bundesdatenschutzgesetz), as empresas privadas que tenham 10 ou
mais funcionrios afetos, a ttulo permanente, ao tratamento automatizado de
dados pessoais so obrigadas a nomear um encarregado interno da proteo
dos dados pessoais.

A fim de concretizar este objetivo, fundamental que o titular deste cargo disponha
de um certo grau de independncia no seio da organizao do responsvel pelo tra-
tamento, tal como expressamente referido na Diretiva. Seria igualmente necessrio
estabelecer, no contexto dos direitos no trabalho, mecanismos de proteo contra
vicissitudes como o despedimento sem justa causa, a fim de apoiar o exerccio efi-
caz deste cargo.

Com vista a promover o cumprimento da legislao nacional sobre proteo de


dados, algumas recomendaes do CdE tambm adotaram o conceito de encarre-
gado interno da proteo dos dados pessoais.171

4.4.3. Cdigos de conduta


A fim de promoverem o cumprimento, o setor empresarial e outros setores podem
formular regras detalhadas para regular as suas atividades normais de tratamento
de dados. Graas aos seus conhecimentos especializados, os membros do setor
estaro em melhor posio para encontrar solues prticas e que, consequente-
mente, tero maior probabilidade de serem adotadas. Nesta conformidade, os Esta-
dos-Membros assim como a Comisso Europeia so incentivados a promover a
elaborao de cdigos de conduta destinados a contribuir, em funo das caracters-
ticas dos diferentes setores, para a boa execuo das disposies nacionais tomadas
pelos Estados-Membros nos termos da Diretiva.172

A fim de assegurar a conformidade destes cdigos de conduta com as disposies


nacionais adotadas nos termos da Diretiva de Proteo de Dados, os Estados-Mem-
bros tm de estabelecer um procedimento para a apreciao dos cdigos. Este pro-
cedimento exigiria normalmente a participao da autoridade nacional, de associa-
es profissionais e de outras organizaes representativas de outras categorias de
responsveis pelo tratamento.173

171 Ver, por exemplo, Recomendao sobre a definio de perfis, artigo8.3.


172 Ver a Diretiva Proteo de Dados, artigo 27., n. 1.
173 Ibid., artigo 27., n. 2.

107
Manual da Legislao Europeia sobre Proteo de Dados

Os projetos de cdigos comunitrios, assim como as alteraes ou prorrogaes de


cdigos comunitrios existentes, podem ser submetidos apreciao do Grupo de
Trabalho do artigo 29.. Aps aprovao por este Grupo de Trabalho, a Comisso
Europeia pode garantir uma publicidade adequada desses cdigos.174

Exemplo: A Federao Europeia de Marketing Direto e Interativo (FEDMA) ela-


borou um Cdigo de Conduta Europeu relativo ao uso de dados pessoais em
operaes de marketing direto, que foi aprovado pelo Grupo de Trabalho do
artigo29.. Em 2010, foi aditado ao cdigo um anexo relativo s comunicaes
de marketing eletrnicas.175

174 Ibid., artigo 27., n. 3.


175 Grupo de Trabalho do artigo 29. (2010), Parecer4/2010 sobre o cdigo de conduta europeu relativo ao
uso de dados pessoais em operaes de marketing direto, WP174, Bruxelas, 13dejulhode2010.

108
5.

5
Os direitos das pessoas
em causa e a tutela
doseuexerccio
UE Questes CdE
abrangidas
Direito de acesso
Diretiva de Proteo de Dados, artigo 12. Direito de acesso Conveno 108, artigo 8.,
TJUE, acrdo de 7 de maio de 2009 aos prprios dados al. b)
no processo C-553/07, College van
burgemeester en wethouders van
Rotterdam/M.E.E. Rijkeboer
Direito de Conveno 108, artigo 8.,
retificao, al. c)
apagamento TEDH, acrdo Cemalettin
(eliminao) ou Canli c. Turquia de 18 de
bloqueio novembro de 2008, petio
n.22427/04
TEDH, acrdo Segerstedt-
Wiberg e outros c. Sucia de
6 de junho de 2006, petio
n.62332/00
TEDH, acrdo Ciubotaru c.
Moldvia de 27 de abril de
2010, petio n. 27138/04
Direito de oposio
Diretiva de Proteo de Dados, artigo 14., Direito de oposio Recomendao sobre a
n. 1, al. a) devido situao definio de perfis, artigo
particular da 5.3
pessoa em causa

109
Manual da Legislao Europeia sobre Proteo de Dados

UE Questes CdE
abrangidas
Diretiva de Proteo de Dados, artigo 14., Direito de oposio Recomendao sobre
n. 1, al. b) utilizao marketing direto, artigo 4.1
posterior dos
dados para fins de
marketing
Diretiva de Proteo de Dados, artigo 15. Direito de oposio Recomendao sobre a
a decises definio de perfis, artigo
automatizadas 5.5
Controlo independente
Carta, artigo 8., n. 3 Autoridades Conveno 108, Protocolo
Diretiva de Proteo de Dados, artigo 28. nacionais de Adicional, artigo 1.
controlo
Regulamento Proteo de Dados
(Instituies da UE),captulo V
Regulamento Proteo de Dados
TJUE, acrdo de 9 de maro de 2010 no
processo C-518/07, Comisso Europeia/
Repblica Federal da Alemanha
TJUE, acrdo de 16 de outubro de 2012
no processo C-614/10, Comisso Europeia/
Repblica da ustria
TJUE, acrdo de 8 de abril de 2014 no
processo C-288/12, Comisso Europeia/
Hungria
Recursos e sanes
Diretiva de Proteo de Dados, artigo 12. Pedido ao Conveno 108, artigo 8.,
responsvel pelo al. b)
tratamento
Diretiva de Proteo de Dados, artigo 28., Pedidos deduzidos Conveno 108, Protocolo
n. 4 perante a Adicional, artigo 1., n. 2,
Regulamento Proteo de Dados autoridade de al. b)
(Instituies da UE), artigo 32., n. 2 controlo
Carta, artigo 47. Tribunais (em CEDH, artigo 13.
geral)
Diretiva de Proteo de Dados, artigo 28., Tribunais nacionais Conveno 108, Protocolo
n. 3 Adicional, artigo 1., n. 4
TFUE, artigo 263., n. 4 TJUE
Regulamento Proteo de Dados
(Instituies da UE), artigo 32., n. 1
TFUE, artigo 267.
TEDH CEDH, artigo 34.

110
Os direitos das pessoas em causa e a tutela doseuexerccio

UE Questes CdE
abrangidas
Recursos e sanes
Carta, artigo 47. Por infraes CEDH, artigo 13. (apenas
Diretiva de Proteo de Dados, artigos 22. legislao nacional para Estados membros do
e 23. sobre proteo de CdE)
dados Conveno 108, artigo 10.
TJUE, acrdo de 10 de abril de 1984
no processo C-14/83, Sabine von TEDH, acrdo K.U. c.
Colson e Elisabeth Kamann/Land Finlndia de 2 de maro de
Nordrhein-Westfalen 2008, petio n.2872/02
TJUE, acrdo de 26 de fevereiro de 1986 TEDH, acrdo Biriuk
no processo C-152/84, M.H. Marshall c. Litunia de 25 de
Southampton and South-West Hampshire novembro de 2008, petio
Area Health Authority n.23373/03
Regulamento Proteo de Dados Por violaes da
(Instituies da UE), artigos 34. e 49. legislao da UE
TJUE, acrdo de 29 de junho de 2010 no por instituies e
processo C28/08P, Comisso Europeia/The rgos da UE
Bavarian Lager Co. Ltd

A eficcia das regras jurdicas, em geral, e dos direitos das pessoas em causa, em
especial, depende, em grande parte, da existncia de mecanismos adequados de
fiscalizao do seu cumprimento e de tutela do seu exerccio, respetivamente. Nos
termos da legislao europeia sobre proteo dos dados, o direito nacional tem de
atribuir pessoa em causa os poderes necessrios para proteger os seus dados. O
direito nacional deve igualmente criar autoridades de controlo independentes para
ajudar as pessoas em causa a exercerem os seus direitos e para controlar o trata-
mento de dados pessoais. Alm disso, o direito a uma tutela jurisdicional efetiva, tal
como garantido pela CEDH e pela Carta, exige que todas as pessoas tenham acesso
aos tribunais.

5.1. Os direitos dos titulares dos dados


Pontos-chave

Qualquer pessoa ter o direito, nos termos da legislao nacional, de pedir a qualquer
responsvel pelo tratamento informaes sobre se este est a tratar dados que lhe
digam respeito.

Os titulares dos dados tero o direito, nos termos da legislao nacional, de obterem
junto do responsvel pelo tratamento dos seus dados:

111
Manual da Legislao Europeia sobre Proteo de Dados

acesso aos seus prprios dados;

a retificao (ou bloqueio, consoante os casos) dos seus dados, caso estes estejam
incorretos;

o apagamento ou o bloqueio dos seus dados, consoante os casos, se o tratamento


dos dados for ilcito.

As pessoas em causa tero ainda o direito de manifestar ao responsvel pelo trata-


mento a sua oposio:

a decises automatizadas (tomadas com base em dados pessoais tratados exclusi-


vamente por meios automatizados);

ao tratamento dos seus dados se essa atividade produzir resultados


desproporcionados;

utilizao dos seus dados para fins de marketing direto.

5.1.1. Direito de acesso


No direito da UE, o artigo 12. da Diretiva de Proteo de Dados contm os elemen-
tos do direito de acesso das pessoas em causa, incluindo o direito de obter do res-
ponsvel pelo tratamento confirmao de terem ou no sido tratados dados que
lhes digam respeito, e informaes pelo menos sobre os fins a que se destina esse
tratamento, as categorias de dados sobre que incide e os destinatrios ou categorias
de destinatrios a quem so comunicados os dados, bem como a retificao, o
apagamento ou o bloqueio dos dados cujo tratamento no cumpra o disposto na
presente diretiva, nomeadamente devido ao carter incompleto ou inexato desses
dados.

No direito do CdE, estes direitos tambm existem e tm de estar previstos no direito


nacional (artigo 8. da Conveno 108). Em vrias recomendaes do CdE, utili-
zado o termo acesso e os diferentes aspetos do direito de acesso so descritos e a
sua implementao no direito interno proposta nos moldes referidos no pargrafo
anterior.

Nos termos do artigo 9. da Conveno 108 e do artigo 13. da Diretiva de Proteo


de Dados, a obrigao dos responsveis pelo tratamento de responder a um pedido
de acesso das pessoas em causa poder ser objeto de restries devido a interes-
ses jurdicos superiores de outrem. Estes interesses jurdicos superiores podero
envolver interesses pblicos, tais como a segurana nacional, a segurana pblica
e a represso de infraes penais, bem como interesses privados que prevaleam

112
Os direitos das pessoas em causa e a tutela doseuexerccio

sobre os interesses de proteo dos dados. As derrogaes e restries tm de ser


necessrias numa sociedade democrtica e proporcionais ao objetivo prosseguido.
Em casos muito excecionais, por exemplo por indicao mdica, a prpria proteo
da pessoa em causa poder exigir a restrio da transparncia, especialmente no
que respeita restrio do direito de acesso de todas as pessoas em causa.

Sempre que os dados sejam tratados exclusivamente para fins de investigao cien-
tfica ou para fins estatsticos, a Diretiva de Proteo de Dados permite que o legis-
lador nacional restrinja os direitos de acesso; porm, tero de ser implementadas
garantias jurdicas adequadas. Em especial, necessrio assegurar que no sero
tomadas quaisquer medidas ou decises em relao a pessoas determinadas no
contexto desse tratamento de dados e que manifestamente no exista qualquer
perigo de violao do direito vida privada da pessoa em causa.176 O artigo9., n.
3, da Conveno 108 contm disposies semelhantes.

O direito de acesso aos prprios dados

No direito do CdE, o direito de acesso aos prprios dados expressamente reco-


nhecido pelo artigo 8. da Conveno 108. O TEDH tem afirmado repetidamente
que todas as pessoas tm o direito de acesso a informaes sobre os seus pr-
prios dados pessoais detidos ou utilizados por terceiros e que este direito resulta da
necessidade de respeitar a vida privada.177 No acrdo Leander,178 o TEDH concluiu
que o direito de acesso a dados pessoais armazenados por autoridades pblicas
poderia, no entanto, ser objeto de restries em certas situaes.

No direito da UE, o direito de acesso aos prprios dados expressamente reconhe-


cido pelo artigo12. da Diretiva de Proteo de Dados e, como direito fundamental,
no artigo8., n. 2, da Carta.

O artigo 12., alnea a), da Diretiva estabelece que os Estados-Membros devero


garantir a todas as pessoas em causa o direito de acesso aos seus dados pessoais
e a informaes. Em especial, todas as pessoas em causa tm o direito de obter do

176 Diretiva Proteo de Dados, artigo13., n. 2.


177 TEDH, acrdo Gaskin c. Reino Unido de 7 de julho de 1989, petio n.10454/83; TEDH, acrdo
Odivre c. Frana [GS] de 13defevereirode2003, petio n.42326/98; TEDH, acrdo K.H. e
outros c. Eslovquia de 28deabrilde2009, petio n.32881/04; TEDH, acrdo Godelli c. Itlia de
25desetembrode2012, petio n.33783/09.
178 TEDH, acrdo Leander c. Sucia de 11 de julho de 1985, petio n.9248/81.

113
Manual da Legislao Europeia sobre Proteo de Dados

responsvel pelo tratamento a confirmao de terem ou no sido tratados dados


que lhes digam respeito e informaes que abranjam, pelo menos, o seguinte:

os fins a que se destina o tratamento;

as categorias de dados sobre que incide;

os dados sujeitos a tratamento;

os destinatrios ou as categorias de destinatrios a quem so comunicados os


dados;

quaisquer informaes disponveis sobre a origem dos dados sujeitos a


tratamento;

no caso de decises automatizadas, a lgica subjacente ao tratamento automa-


tizado dos dados.

O legislador nacional pode alargar o leque de informaes a prestar pelo respons-


vel pelo tratamento, nele incluindo, por exemplo, a indicao da base legal para o
tratamento de dados.

Exemplo: O acesso da pessoa em causa aos seus prprios dados pessoais


permitelhe determinar se esses dados so ou no exatos. Por conseguinte,
indispensvel que a pessoa em causa seja informada sobre as categorias de
dados objeto de tratamento, bem como sobre o contedo desses dados. Assim
sendo, no basta que o responsvel pelo tratamento informe a pessoa em
causa de que o tratamento incide sobre o seu nome, morada, data de nasci-
mento e esfera de interesse. O responsvel pelo tratamento tem igualmente de
informar a pessoa em causa de que est a tratar o nome: N.N.; uma morada:
1040Viena, Schwarzenbergplatz11, ustria; a data de nascimento: 10.10.1974;
e a esfera de interesse (de acordo com a declarao da pessoa em causa):
msica clssica. O ltimo elemento contm tambm informaes sobre a ori-
gem dos dados.

A comunicao dos dados sujeitos a tratamento e de quaisquer informaes dispo-


nveis sobre a origem dos dados pessoa em causa tem de ser efetuada de forma
inteligvel, o que significa que o responsvel pelo tratamento poder ter de dar uma
explicao mais pormenorizada sobre o que o tratamento. Por exemplo, a mera

114
Os direitos das pessoas em causa e a tutela doseuexerccio

indicao de abreviaturas tcnicas ou de termos mdicos em resposta a um pedido


de acesso no ser, em princpio, suficiente, ainda que s estejam armazenadas
essas abreviaturas ou esses termos.

Na resposta a um pedido de acesso, o responsvel pelo tratamento tem de for-


necer informaes sobre a origem dos dados por ele tratados, na medida em que
tais informaes estejam disponveis. Esta obrigao tem de ser entendida luz
dos princpios do tratamento leal e da responsabilidade. O responsvel pelo trata-
mento no pode destruir informaes sobre a origem dos dados para se eximir
sua comunicao, nem pode ignorar as normas aplicveis e as necessidades reco-
nhecidas na sua rea de atividade em matria de documentao. Se o responsvel
pelo tratamento no conservar nenhuma documentao sobre a origem dos dados
tratados, no estar, em princpio, a cumprir as suas obrigaes ao abrigo do direito
de acesso.

Sempre que sejam realizadas avaliaes automatizadas, ser necessrio explicar


a lgica geral da avaliao, incluindo os critrios especficos que foram aplicados
avaliao da pessoa em causa.

A Diretiva no esclarece se o direito de acesso s informaes abrange o passado


e, em caso afirmativo, que perodo no passado. A este propsito, tal como subli-
nhado na jurisprudncia do TJUE, o direito de acesso aos prprios dados no pode
ser injustificadamente restringido mediante a fixao de prazos para o seu exerccio.
As pessoas em causa tambm devem ter uma oportunidade razovel de obter infor-
maes sobre operaes de tratamento de dados realizadas anteriormente.

Exemplo: No processo que deu origem ao acrdo Rijkeboer,179 foi perguntado


ao TJUE se a restrio do direito de acesso a informaes sobre os destinatrios
ou categorias de destinatrios de dados pessoais e sobre o contedo dos dados
comunicados ao ano anterior data do pedido de acesso era compatvel com o
artigo12., alnea a), da Diretiva.

Com vista a determinar se o artigo 12., alnea a), da Diretiva permite a imposi-
o de tal restrio no tempo, o Tribunal de Justia decidiu interpretar o artigo
luz dos objetivos da Diretiva. Em primeiro lugar, afirmou que o direito de
acesso era necessrio para que a pessoa em causa pudesse exercer o direito

179 TJUE, acrdo de 7 de maio de 2009 no processo C-553/07, College van burgemeester en wethouders
van Rotterdam/M.E.E. Rijkeboer.

115
Manual da Legislao Europeia sobre Proteo de Dados

a obter do responsvel pelo tratamento a retificao, apagamento ou bloqueio


dos seus dados (artigo12., alnea b)), ou a notificao aos terceiros a quem
os dados tivesses sido comunicados dessa retificao, apagamento ou bloqueio
(artigo12., alnea c)). O direito de acesso tambm era necessrio para que a
pessoa em causa pudesse exercer o seu direito de oposio ao tratamento dos
seus dados pessoais (artigo14.), ou o direito de recurso quando sofresse um
prejuzo (artigos22. e 23.).

A fim de garantir o efeito til das disposies supramencionadas, o Tribunal de


Justia considerou que esse direito deve necessariamente abranger o passado.
Com efeito, se assim no fosse, a pessoa interessada no estaria em condies
de eficazmente exercer o seu direito de obter a retificao, supresso ou blo-
queio dos dados que se presume serem ilcitos ou incorretos ou de intentar uma
ao em justia e de ser ressarcida pelo prejuzo sofrido.

O direito de retificao, apagamento e bloqueio dos dados

Todas as pessoas devem poder beneficiar do direito de acesso aos dados que lhes
dizem respeito e que esto em fase de tratamento, a fim de assegurarem, nomea-
damente, a sua exatido e a licitude do tratamento.180 Em conformidade com estes
princpios, as pessoas em causa devem ter o direito, nos termos da legislao nacio-
nal, de obterem do responsvel pelo tratamento a retificao, o apagamento ou o
bloqueio dos seus dados se considerarem que o seu tratamento no cumpre o dis-
posto na Diretiva, nomeadamente devido ao carter incompleto ou inexato desses
dados.181

Exemplo: No processo que deu origem ao acrdo Cemalettin Canli c. Turquia,182


o TEDH considerou que as incorrees existentes num relatrio policial elabo-
rado no contexto de um processo penal constituam uma violao do artigo8.
da CEDH.

O requerente tinha estado envolvido, por duas vezes, em processos penais


devido sua alegada participao em organizaes ilegais, mas nunca tinha
sido condenado. Quando o requerente foi novamente detido e formalmente

180 Diretiva Proteo de Dados, considerando 41.


181 Ibid., artigo 12., al. b).
182 TEDH, acrdo Cemalettin Canli c. Turquia de 18 de novembro de 2008, petio n.22427/04, n.s 33,
42 e 43; TEDH, acrdo Dalea c. Frana de 2defevereirode2010, petio n.964/07.

116
Os direitos das pessoas em causa e a tutela doseuexerccio

acusado de outro crime, a polcia apresentou ao tribunal criminal um relatrio


intitulado Formulrio de informaes sobre outros crimes, em que o reque-
rente era identificado como membro de duas organizaes ilegais. O requerente
pediu que o relatrio e os registos policiais fossem alterados, mas o seu pedido
foi indeferido. O TEDH entendeu que as informaes constantes do relatrio
policial estavam abrangidas pelo mbito do artigo8. da CEDH, uma vez que as
informaes pblicas sistematicamente recolhidas e armazenadas em arquivos
detidos pelas autoridades tambm poderiam estar abrangidas pelo conceito de
vida privada. Alm disso, o relatrio policial estava incorreto e no tinha sido
elaborado e apresentado ao tribunal criminal de acordo com a lei. O TEDH con-
cluiu que tinha havido uma violao do artigo 8..

Exemplo: No processo que deu origem ao acrdo Segerstedt-Wiberg e outros


c. Sucia,183 os requerentes tinham sido membros de certos partidos polticos
liberais e comunistas e suspeitavam que as autoridades policiais mantinham
informaes sobre eles nos seus registos de segurana. O TEDH deu como pro-
vado que o armazenamento dos dados em questo tinha base legal e pros-
seguia um objetivo legtimo. Relativamente a alguns dos requerentes, o TEDH
considerou que a conservao dos dados durante todo aquele tempo consti-
tua uma ingerncia desproporcionada nas suas vidas privadas. Por exemplo,
no caso de H. Schmid, as autoridades tinham conservado a informao de
que, em 1969, ele tinha alegadamente defendido o uso de violncia na resis-
tncia ao controlo policial durante as manifestaes. O TEDH entendeu que
esta informao no poderia ter prosseguido qualquer interesse de segurana
nacional relevante, sobretudo dada a sua natureza histrica. O TEDH concluiu
que tinha havido uma violao do artigo8. da CEDH em relao a quatro dos
cincorequerentes.

Em alguns casos, bastar que a pessoa em causa se limite a pedir a retificao, por
exemplo, de erros ortogrficos no nome, de uma nova morada ou nmero de tele-
fone. No entanto, se esses pedidos estiverem relacionados com questes jurdicas,
tais como a identidade jurdica da pessoa em causa ou a morada correta para efeitos
de entrega de documentos legais, os pedidos de retificao podero no ser sufi-
cientes e o responsvel pelo tratamento poder ter o direito de exigir provas da
alegada inexatido. Essas exigncias no podero impor sobre a pessoa em causa
um nus de prova desrazovel, impedindoa, assim, de obter a retificao dos seus

183 TEDH, acrdo Segerstedt-Wiberg e outros c. Sucia de 6dejunhode2006, petio n.62332/00,


n.s 89 e 90; ver tambm, por exemplo, TEDH, acrdo M.K. c. Frana de 18deabrilde2013, petio
n.19522/09.

117
Manual da Legislao Europeia sobre Proteo de Dados

dados. O TEDH concluiu pela existncia de violaes do artigo8. da CEDH em vrios


casos em que o requerente tinha sido impedido de contestar a exatido das infor-
maes mantidas em registos secretos.184

Exemplo: No processo que deu origem ao acrdo Ciubotaru c. Moldvia,185 o


requerente solicitou a alterao da sua origem tnica de moldava para romena,
pedido esse que foi indeferido alegadamente por falta de provas. O TEDH con-
siderou que era aceitvel que os Estados exigissem provas objetivas da identi-
dade tnica de uma pessoa no momento do seu registo. Quando o pedido se
baseasse em factos puramente subjetivos e infundados, as autoridades pode-
riam recusar esse registo. Contudo, o pedido do requerente no se baseara ape-
nas na perceo subjetiva da sua prpria etnicidade, tendo aquele apresentado
ligaes objetivamente comprovveis ao grupo tnico romeno, tais como a ln-
gua, o nome, empatia e outras. No entanto, a legislao nacional exigia que o
requerente apresentasse provas de que os seus pais pertenciam a esse grupo
tnico. Tendo em conta a realidade histrica da Moldvia, esta exigncia tinha
criado um obstculo inultrapassvel ao registo de uma identidade tnica dife-
rente daquela que as autoridades soviticas tinham registado em relao aos
pais. Ao recusar a apreciao do pedido apresentado pelo requerente luz de
provas objetivas, o Estado no tinha cumprido a obrigao positiva de assegurar
o efetivo respeito pela sua vida privada. O TEDH concluiu que tinha havido uma
violao do artigo8. da CEDH.

Na pendncia de uma ao cvel ou de um procedimento instaurado perante uma


autoridade pblica para decidir se determinados dados esto ou no corretos, a
pessoa em causa pode solicitar que seja inserida uma anotao no seu ficheiro de
dados indicando que a exatido dos dados foi contestada e que se aguarda uma
deciso oficial sobre a questo. Durante este perodo, o responsvel pelo trata-
mento no pode apresentar estes dados como informaes certas ou definitivas,
especialmente a terceiros.

Os pedidos de apagamento ou eliminao dos dados baseiamse muitas vezes na


alegao de que o tratamento de dados no tem uma base legtima. Essas alega-
es surgem geralmente quando o consentimento foi revogado ou quando certos
dados j no necessrios prossecuo da finalidade para que foram recolhidos. O
nus da prova de que o tratamento dos dados legtimo recair sobre o responsvel

184 TEDH, acrdo Rotaru c. Romnia de 4demaiode2000, petio n.28341/95.


185 TEDH, acrdo Ciubotaru c. Moldvia de 27deabrilde2010, petio n.27138/04, n.s 51 e 59.

118
Os direitos das pessoas em causa e a tutela doseuexerccio

pelo tratamento, uma vez que ele o responsvel pela legitimidade do tratamento.
O princpio da responsabilidade exige que o responsvel pelo tratamento esteja em
condies de demonstrar, a todo o tempo, que as suas operaes de tratamento
de dados tm uma base legal legtima; caso contrrio ter de interromper esse
tratamento.

Se o tratamento dos dados for contestado com fundamento na inexatido dos dados
ou na ilicitude do tratamento, a pessoa em causa pode exigir, nos termos do prin-
cpio do tratamento leal, que os dados em causa sejam bloqueados. Isto significa
que os dados no sero eliminados, mas que o responsvel pelo tratamento dever
absterse de os utilizar durante o perodo de bloqueio. Este bloqueio ser particular-
mente necessrio nos casos em que a continuao da utilizao de dados inexatos
ou detidos ilegitimamente seja suscetvel de prejudicar a pessoa em causa. O legis-
lador nacional deve regular, em maior pormenor, as condies da constituio e do
cumprimento da obrigao de bloquear a utilizao dos dados.

As pessoas em causa tm ainda o direito de obter do responsvel pelo tratamento a


notificao a terceiros de qualquer bloqueio, retificao ou apagamento, caso estes
tenham recebido dados antes destas operaes de tratamento. Uma vez que o res-
ponsvel pelo tratamento deve documentar a comunicao de dados a terceiros,
dever ser possvel identificar os destinatrios dos dados e pedir a eliminao dos
mesmos. Porm, se os dados tiverem sido entretanto publicados, por exemplo, na
Internet, poder ser impossvel obter totalmente o apagamento dos dados, uma vez
que no ser possvel encontrar os destinatrios dos mesmos. Nos termos da Dire-
tiva de Proteo de Dados, obrigatrio contactar os destinatrios dos dados para
os informar da retificao, apagamento ou bloqueio dos dados, salvo se isso for
comprovadamente impossvel ou implicar um esforo desproporcionado.186

5.1.2. Direito de oposio


O direito de oposio abrange o direito de oposio a decises individuais automa-
tizadas, o direito de oposio devido situao particular da pessoa em causa e o
direito de oposio utilizao posterior dos dados para efeitos de marketing direto.

186 Diretiva Proteo de Dados, artigo 12., al. c), ltima parte do perodo.

119
Manual da Legislao Europeia sobre Proteo de Dados

O direito de oposio a decises individuais automatizadas

As decises automatizadas so decises tomadas com base em dados pessoais tra-


tados exclusivamente por meios automatizados. Se essas decises forem suscet-
veis de afetar consideravelmente as vidas das pessoas a que dizem respeito, dado
incidirem, por exemplo, sobre a sua solvabilidade, capacidade profissional, compor-
tamento ou a confiana de que so merecedoras, necessria uma proteo espe-
cial para evitar consequncias indesejadas. A Diretiva de Proteo de Dados esta-
belece que no devem ficar sujeitas a decises automatizadas questes que sejam
importantes para as pessoas e que estas devem ter o direito de analisar a deciso
automatizada.187

Exemplo: Um exemplo prtico importante de tomada de decises automatiza-


das a classificao do risco de crdito. Para tomar uma deciso rpida sobre
a solvabilidade de um futuro cliente, so recolhidos junto deste certos dados,
como a profisso e a situao familiar, que so depois combinados com dados
sobre essa pessoa provenientes de outras fontes, como os sistemas de informa-
o de crdito. Estes dados so introduzidos automaticamente num algoritmo
de classificao, que calcula um valor global que representa a solvabilidade do
potencial cliente. Deste modo, o funcionrio da empresa pode decidir, numa
questo de segundos, se a pessoa em causa ou no aceitvel como cliente.

No obstante, nos termos da Diretiva, os Estados-Membros devero estabelecer


que uma pessoa poder ficar sujeita a uma deciso individual automatizada se os
interesses da pessoa em causa no estiverem em risco, por a deciso lhe ter sido
favorvel, ou se estiverem salvaguardados por outros meios adequados.188O direito
de oposio a decises automatizadas tambm est previsto no direito do CdE,
nomeadamente na Recomendao sobre a definio de perfis.189

187 Ibid., artigo 15., n. 1.


188 Ibid., artigo 15., n. 2.
189 Recomendao sobre a definio de perfis, artigo 5.5.

120
Os direitos das pessoas em causa e a tutela doseuexerccio

O direito de oposio devido situao particular da pessoa


emcausa

No existe um direito geral de oposio das pessoas em causa ao tratamento dos


seus dados.190 O artigo 14., n.4, da Diretiva de Proteo de Dados, porm, atribui
pessoa em causa o direito de se opor por razes preponderantes e legtimas rela-
cionadas com a sua situao particular. Foi reconhecido um direito semelhante na
Recomendao sobre a definio de perfis do CdE.191 Estas disposies visam a con-
ciliao entre os direitos proteo de dados das pessoas em causa e os interesses
legtimos de terceiros no tratamento dos dados das pessoas em causa.

Exemplo: Um banco conserva dados sobre os clientes em situao de incum-


primento. Um cliente cujos dados constam desta base de dados pede outro
emprstimo. A base de dados consultada, efetuada uma avaliao da situa-
o financeira do cliente e o emprstimo recusado. No entanto, o cliente pode
opor-se ao registo dos seus dados pessoais na base de dados e pedir a sua eli-
minao se conseguir provar que o incumprimento resultara simplesmente de
um erro que tinha sido corrigido imediatamente aps o cliente se ter apercebido
do mesmo.

Se a pessoa em causa exercer fundamentadamente o seu direito de oposio, o res-


ponsvel pelo tratamento deixar de poder tratar os dados em questo. Porm, a
legitimidade das operaes de tratamento dos dados da pessoa em causa efetuadas
antes da oposio no ser afetada.

O direito de oposio utilizao posterior dos dados para fins


demarketing direto

O artigo 14., alnea b), da Diretiva de Proteo de Dados prev o direito especfico
de oposio utilizao dos prprios dados para fins de marketing direto (mala
direta na terminologia da Diretiva). A Recomendao do CdE sobre marketing direto

190 Ver tambm TEDH, acrdo M.S. c. Sucia de 27deagostode1997, petio n.20837/92, em que
foram comunicados dados mdicos sem consentimento e sem a possibilidade de oposio; TEDH,
acrdo Leander c. Sucia de 26demarode1987, petio n.9248/81; ou TEDH, acrdo Mosley c.
Reino Unido de 10demaiode2011, petio n.48009/08.
191 Recomendao sobre a definio de perfis, artigo5.3.

121
Manual da Legislao Europeia sobre Proteo de Dados

tambm estabelece este direito.192 Este tipo de oposio deve ser manifestado
antes de os dados serem disponibilizados a terceiros para fins de marketing direto.
Por conseguinte, deve ser dada pessoa em causa a oportunidade de se opor antes
de os dados serem transferidos.

5.2. Controlo independente


Pontos-chave

A fim de assegurar uma proteo de dados eficaz, necessrio criar autoridades de


controlo independentes ao abrigo do direito nacional.

As autoridades de controlo nacionais devem agir com total independncia, devendo


essa independncia ser garantida pela lei que as criou e estar refletida na sua estrutura
orgnica.

As autoridades de controlo desempenham funes especficas, entre as quais:

fiscalizar e promover a proteo de dados a nvel nacional;

aconselhar as pessoas em causa e os responsveis pelo tratamento, bem como o


Governo e o pblico em geral;

apreciar queixas e auxiliar as pessoas em causa que aleguem violaes dos seus
direitos proteo de dados;

supervisionar os responsveis pelo tratamento e os subcontratantes;

intervir, se necessrio

dirigindo advertncias ou censuras aos responsveis pelo tratamento e sub-


contratantes ou aplicandolhes uma multa,

ordenando a retificao, bloqueio ou apagamento dos dados,

proibindo o tratamento;

reencaminhar casos para o tribunal.

192 CdE, Comit de Ministros (1985), Recommendation Rec(85)20 to member states on the protection
of personal data used for the purposes of direct marketing (Recomendao Rec(85)20 aos Estados
membros sobre a proteo de dados de carter pessoal utilizados para fins de marketing direto), de
25deoutubrode1985, artigo 4., n. 1.

122
Os direitos das pessoas em causa e a tutela doseuexerccio

Ao exigir um controlo independente, a Diretiva de Proteo de Dados institui um


importante mecanismo para garantir uma proteo de dados eficaz. A Diretiva criou
um instrumento de fiscalizao do cumprimento da legislao sobre proteo de
dados que no constava inicialmente da Conveno108 ou das Diretrizes da OCDE
sobre a privacidade.

Uma vez que a existncia de um mecanismo de controlo independente se revelou


indispensvel para o desenvolvimento de uma proteo de dados eficaz, as Dire-
trizes da OCDE sobre a privacidade foram revistas em 2013 e uma nova disposio
apela aos Estados membros para criarem e manterem autoridades de fiscalizao
do cumprimento da legislao sobre privacidade com a estrutura de governao, os
recursos e os conhecimentos tcnicos necessrios para exercerem eficazmente as
suas competncias e tomarem decises objetivas, imparciais e coerentes.193

No mbito do direito do CdE, o Protocolo Adicional Conveno 108 estabeleceu a


obrigatoriedade da criao de autoridades de controlo. Este instrumento define, no
artigo 1., o quadro jurdico das autoridades de controlo independentes que as Par-
tes Contratantes tm de implementar no direito interno. Na descrio das funes
e competncias destas autoridades, utiliza uma frmula semelhante da Diretiva
de Proteo de Dados. Em princpio, o funcionamento das autoridades de controlo
deveria, assim, ser idntico no mbito do direito da UE e do CdE.

No mbito do direito da UE, as competncias e a estrutura orgnica das autoridades


de controlo foram inicialmente descritas no artigo28., n. 1, da Diretiva de Proteo
de Dados. O Regulamento Proteo de Dados (Instituies da UE)194 cria a AEPD, a
autoridade de controlo do tratamento de dados pelos rgos e instituies da UE.
Ao descrever as funes e responsabilidades da autoridade de controlo, este Regu-
lamento tira partido da experincia adquirida desde a promulgao da Diretiva de
Proteo de Dados.

A independncia das autoridades de proteo de dados garantida pelo artigo16.,


n. 2, do TFUE e pelo artigo8., n. 3, da Carta. Esta ltima disposio considera
expressamente que o controlo por uma autoridade independente um elemento

193 OCDE (2013), Guidelines governing the protection of privacy and transborder flows of personal data,
artigo 19.., al. c).
194 Regulamento (CE) n. 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000,
relativo proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas
instituies e pelos rgos comunitrios e livre circulao desses dados, JO2001L8, artigos 41. a
48..

123
Manual da Legislao Europeia sobre Proteo de Dados

essencial do direito fundamental proteo de dados. Por seu lado, a Diretiva de


Proteo de Dados exige que os Estados-Membros criem autoridades de controlo
para fiscalizar a aplicao das suas disposies, atuando com total independncia.195
No s a lei que cria a autoridade de controlo tem de conter disposies que garan-
tam expressamente a sua independncia, como a estrutura orgnica especfica
dessa autoridade tem de demonstrar essa independncia.

Em 2010, o TJUE pronunciouse pela primeira vez sobre o mbito da exigncia de


independncia das autoridades de controlo no domnio da proteo de dados.196 Os
exemplos que se seguem ilustram o seu raciocnio.

Exemplo: No processo que deu origem ao acrdo Comisso/Alemanha,197 a


Comisso Europeia tinha pedido ao TJUE que declarasse que a Alemanha tinha
transposto incorretamente a exigncia de total independncia das autori-
dades de controlo responsveis pela proteo de dados e, como tal, no tinha
cumprido as obrigaes que lhe incumbiam por fora do artigo 28., n. 1, da
Diretiva de Proteo de Dados. No entender da Comisso, o problema residia no
facto de a Alemanha ter submetido tutela do Estado as autoridades respons-
veis pela fiscalizao do tratamento de dados pessoais fora do setor pblico nos
diferentes Estados federados (Lnder).

A apreciao do mrito da ao dependia, segundo o Tribunal de Justia, do


alcance da exigncia de independncia prevista naquela disposio e, conse-
quentemente, da sua interpretao.

O Tribunal de Justia sublinhou que a expresso com total independncia


constante do artigo28., n. 1, da Diretiva tinha de ser interpretada com base na
prpria redao da disposio, bem com nos objetivos e na sistemtica da Dire-
tiva de Proteo de Dados.198 O Tribunal de Justia salientou que as autoridades

195 Diretiva Proteo de Dados, artigo 28., n. 1, ltimo perodo; Conveno 108, Protocolo Adicional, artigo
1., n.3.
196 Ver FRA (2010), Fundamental rights: challenges and achievements in2010 (Direitos Fundamentais:
desafios e progressos em 2010), Relatrio anual2010, p.59. A FRA abordou esta questo em maior
detalhe no seu relatrio Data protection in the European Union: the role of National Data Protection
Authorities (Proteo de dados na Unio Europeia: o papel das autoridades nacionais de proteo de
dados), que foi publicado em maio de2010.
197 TJUE, acrdo de 9 de maro de 2010 no processo C-518/07, Comisso Europeia/Repblica Federal da
Alemanha, n. 27.
198 Ibid., n.s 17 e 29.

124
Os direitos das pessoas em causa e a tutela doseuexerccio

de controlo eram as guardis dos direitos relacionados com o tratamento de


dados pessoais garantidos pela Diretiva e que a sua instituio nos Estados-
Membros era, portanto, considerada um elemento essencial da proteo das
pessoas no que diz respeito ao tratamento de dados pessoais.199 O Tribunal de
Justia concluiu que no exerccio das suas funes, as autoridades de controlo
devem agir de forma objetiva e imparcial. Para tal, devem estar ao abrigo de
qualquer influncia externa, incluindo a influncia, direta ou indireta, do Estado
ou dos Lnder, e no apenas da influncia dos organismos controlados.200

O TJUE tambm concluiu que a expresso total independncia devia ser inter-
pretada luz da independncia da AEPD, tal como definida no Regulamento
Proteo de Dados (Instituies da UE). Conforme sublinhou o Tribunal de Jus-
tia, o artigo44., n. 2, deste Regulamento explicita o conceito de independn-
cia, acrescentado que, no exerccio das suas funes, a AEPD no solicita nem
aceita instrues seja de quem for. Fica assim excluda a tutela estatal de uma
autoridade de controlo independente.201

Nesta conformidade, o TJUE entendeu que as instituies alems de proteo


de dados ao nvel dos Estados federados responsveis pela fiscalizao do tra-
tamento de dados pessoais por organismos no pblicos no eram suficiente-
mente independentes porque estavam sujeitas tutela do Estado.

Exemplo: No acrdo Comisso/ustria,202 o TJUE chamou a ateno para pro-


blemas semelhantes relativos posio de certos membros do pessoal da auto-
ridade austraca para a proteo de dados (Comisso para a Proteo de Dados,
DSK). O Tribunal de Justia concluiu que, neste caso, a legislao austraca impe-
dia a Autoridade Austraca para a Proteo de Dados de exercer as suas funes
com total independncia na aceo da Diretiva de Proteo de Dados. A inde-
pendncia da DSK no estava suficientemente garantida porque o seu pessoal
era constitudo por funcionrios da Chancelaria Federal, que tinha poderes de
superviso sobre a DSK e o direito de ser informada, a todo o tempo, sobre o
seu trabalho.

199 Ibid., n. 23.


200 Ibid. n. 25.
201 Ibid. n. 27.
202 TJUE, acrdo de 16 de outubro de 2012 no processo C-614/10, Comisso Europeia/Repblica da
ustria, n.s 59 e 63.

125
Manual da Legislao Europeia sobre Proteo de Dados

Exemplo: No acrdo Comisso/Hungria, o TJUE salientou que a exigncia


[], de que importa garantir que cada autoridade de fiscalizao exerce com
total independncia as funes que lhe esto atribudas, implica a obrigao do
Estado-Membro em causa de respeitar a durao do mandato dessa autoridade
at ao termo inicialmente previsto para o mesmo. O Tribunal de Justia con-
cluiu que a Hungria, ao fazer cessar antecipadamente o mandato da autori-
dade de fiscalizao da proteo de dados pessoais, no cumpriu as obrigaes
que lhe incumbem por fora da Diretiva 95/46/CE [].203

As autoridades de controlo dispem, nos termos do direito nacional, de poderes,


designadamente, para:204

aconselhar os responsveis pelo tratamento e as pessoas em causa sobre todas


as questes relacionadas com proteo de dados;

investigar operaes de tratamento e intervir em conformidade;

dirigir uma advertncia ou uma censura ao responsvel pelo tratamento;

ordenar a retificao, o bloqueio, o apagamento ou a destruio dos dados;

impor uma proibio temporria ou definitiva sobre o tratamento;

reencaminhar o caso para o tribunal.

A fim de exercer as suas funes, a autoridade de controlo tem de ter acesso a todos
os dados pessoais e informaes necessrios realizao de um inqurito, bem
como a quaisquer instalaes onde o responsvel pelo tratamento guarde informa-
es relevantes.

Os procedimentos e o efeito jurdico das concluses da autoridade de controlo


variam consideravelmente entre os diferentes ordenamentos jurdicos internos.
Estas concluses podem assumir diversas formas, que vo desde recomendaes
semelhantes s recomendaes do Provedor de Justia a decises imediatamente
executrias. Por conseguinte, quando for analisada a eficincia dos recursos dispon-
veis num ordenamento jurdico, necessrio ter tambm em conta o seu contexto.

203 TJUE, acrdo de 8 de abril de 2014, processo C-288/12, Comisso Europeia c. Hungria, n.s 50 e67.
204 Diretiva Proteo de Dados, artigo 28.; ver tambm Conveno 108, Protocolo Adicional, artigo 1..

126
Os direitos das pessoas em causa e a tutela doseuexerccio

5.3. Recursos e sanes


Pontos-chave

Nos termos da Conveno 108 e da Diretiva de Proteo de Dados, o direito nacional


tem de estabelecer recursos e sanes adequados contra violaes do direito prote-
o de dados.

O direito a uma tutela jurisdicional efetiva exige, nos termos do direito da UE, que o
direito nacional preveja recursos judiciais em caso de violao dos direitos prote-
o de dados, independentemente da possibilidade de recorrer a uma autoridade
de controlo.

O direito nacional deve estabelecer sanes eficazes, equivalentes, proporcionais


e dissuasoras.

Antes de recorrer aos tribunais, necessrio contactar primeiro o responsvel pelo tra-
tamento. A obrigatoriedade de contactar a autoridade de controlo antes de recorrer
aos tribunais uma matria que dever ser regulada pelo direito nacional.

As pessoas em causa podem, em ltimo recurso e sob determinadas condies, sub-


meter casos de violao da legislao sobre proteo de dados apreciao do TEDH.

As pessoas em causa tambm podem recorrer ao TJUE, mas apenas em casos muito
excecionais.

Os direitos garantidos pela legislao sobre proteo de dados s podem ser exer-
cidos pela pessoa cujos direitos esto em jogo, ou seja, algum que seja, ou pelo
menos alegue ser, a pessoa em causa. Essas pessoas podem fazer-se representar
no exerccio dos seus direitos por pessoas que preencham os requisitos estabele-
cidos no direito nacional. Os menores tm de ser representados pelos progenitores
ou tutores. As pessoas tambm se podem fazer representar junto das autoridades
de controlo por associaes que tenham por objetivo lcito promover os direitos
proteo de dados.

5.3.1. Pedidos ao responsvel pelo tratamento


Os direitos mencionados na seco3.2 tm de ser exercidos, em primeira instncia,
junto do responsvel pelo tratamento. Seria intil recorrer diretamente autoridade
nacional de controlo ou a um tribunal nacional, uma vez que a autoridade se limitaria
a informar que seria necessrio contactar primeiro o responsvel pelo tratamento
e o tribunal indeferiria liminarmente a petio. Os requisitos formais de um pedido

127
Manual da Legislao Europeia sobre Proteo de Dados

juridicamente relevante ao responsvel pelo tratamento, especialmente se ou no


exigida a forma escrita, deveriam ser regulados pelo direito nacional.

A entidade a quem o pedido foi dirigido na qualidade de responsvel pelo trata-


mento deve responder ao pedido, ainda que no seja efetivamente o responsvel
pelo tratamento. Em qualquer caso, a pessoa em causa deve receber uma resposta
no prazo estipulado no direito nacional, ainda que consista apenas na informao
de que no esto a ser tratados quaisquer dados sobre o autor do pedido. Em con-
formidade com as disposies do artigo 12., alnea a), da Diretiva de Proteo de
Dados e do artigo 8., alnea b), da Conveno 108, esse pedido deve ser tratado
sem demora excessiva. Consequentemente, o legislador nacional deve estipular um
prazo de resposta que seja suficientemente curto, mas que, ainda assim, permita ao
responsvel pelo tratamento lidar adequadamente com o pedido.

Antes de responder ao pedido, a entidade contactada na qualidade de responsvel


pelo tratamento tem de confirmar a identidade do autor do pedido para determi-
nar se este efetivamente quem afirma ser e, deste modo, evitar uma grave vio-
lao do dever de confidencialidade. Quando os requisitos relativos confirmao
da identidade no estiverem especificamente regulados no direito nacional, tero
de ser estabelecidos pelo responsvel pelo tratamento. No entanto, o princpio do
tratamento leal oporseia a que os responsveis pelo tratamento estabelecessem
condies demasiado onerosas para comprovar a identidade (e a autenticidade do
pedido, tal como discutido na seco2.1.1).

O direito nacional deve igualmente estabelecer se os responsveis pelo tratamento


podem ou no exigir do autor do pedido o pagamento de uma determinada taxa
antes de responderem ao pedido: o artigo12., alneaa), da Diretiva e o artigo8.,
alneab), da Conveno108 estabelecem que a resposta aos pedidos de acesso
deve ser dada sem [] custos excessivos. Em muitos pases europeus, a legislao
nacional estabelece que a resposta aos pedidos apresentados ao abrigo da legisla-
o sobre proteo de dados no deve comportar quaisquer custos, desde que no
implique um esforo excessivo e extraordinrio; por seu lado, os responsveis pelo
tratamento esto geralmente protegidos, pela legislao nacional, contra o abuso do
direito de obter resposta.

Se a pessoa, instituio ou rgo contactado na qualidade de responsvel pelo trata-


mento no negar que possui essa qualidade, est obrigado, dentro do prazo estipu-
lado no direito nacional, a:

128
Os direitos das pessoas em causa e a tutela doseuexerccio

satisfazer o pedido e informar o autor do pedido do modo como este foi satis-
feito; ou

comunicar ao autor do pedido os motivos pelos quais o seu pedido no foi


satisfeito.

5.3.2. Pedidos deduzidos perante a autoridade


decontrolo
Se uma pessoa tiver apresentado um pedido de acesso ou deduzido oposio junto
do responsvel pelo tratamento e no receber uma resposta oportuna e satisfat-
ria, pode apresentar um pedido de assistncia autoridade nacional de controlo.
Durante o procedimento perante a autoridade de controlo, importa esclarecer se
a pessoa, instituio ou rgo a quem o autor do pedido se dirigiu estava efetiva-
mente obrigado a responder ao pedido e se essa resposta foi correta e suficiente. O
interessado tem de ser informado pela autoridade de controlo do seguimento dado
ao seu pedido.205 Os efeitos jurdicos das decises das autoridades nacionais de con-
trolo so estabelecidos pelo direito nacional: essas decises podem ter fora execu-
tiva, ou seja, podem ser executadas coercivamente, ou poder ser necessrio recor-
rer aos tribunais se o responsvel pelo tratamento no der cumprimento s decises
(parecer, censura, etc.) da autoridade de controlo.

Se os direitos proteo de dados garantidos pelo artigo16. do TFUE forem alega-


damente violados por instituies ou rgos da UE, a pessoa em causa pode apre-
sentar uma reclamao junto da AEPD,206 a autoridade independente de controlo
responsvel pela proteo de dados nos termos do Regulamento Proteo de Dados
(Instituies da UE) que estabelece as funes e as competncias desta autoridade.
A falta de resposta da AEPD no prazo de seis meses equivale a uma deciso de inde-
ferimento da reclamao.

As decises da autoridade nacional de controlo devem ser suscetveis de recurso


judicial, tendo legitimidade para interpor recurso tanto a pessoa em causa como os
responsveis pelo tratamento, dado terem sido partes no procedimento perante a
autoridade de controlo.

205 Diretiva Proteo de Dados, artigo 28., n. 4.


206 Regulamento (CE) n. 45/2001 do Parlamento Europeu e do Conselho, de 18dedezembrode2000,
relativo proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas
instituies e pelos rgos comunitrios e livre circulao desses dados, JO2001L8.

129
Manual da Legislao Europeia sobre Proteo de Dados

Exemplo: A autoridade de proteo de dados do Reino Unido proferiu uma


deciso em 24dejulhode2013 na qual pedia polcia de Hertfordshire que
cessasse a utilizao de um sistema de vigilncia de chapas de matrcula que
considerava contrrio lei. Os dados recolhidos pelas cmaras eram armazena-
dos em bases de dados locais das autoridades policiais e numa base de dados
centralizada. As fotografias das chapas de matrcula eram conservadas durante
dois anos e as fotografias dos veculos durante 90dias. O Comissrio para Infor-
mao entendeu que uma utilizao to alargada de cmaras e outras formas
de vigilncia no era proporcional ao problema que se pretendia resolver.

5.3.3. Pedido deduzido perante o tribunal


Nos termos da Diretiva de Proteo de Dados, se uma pessoa apresentar um pedido
a um responsvel pelo tratamento ao abrigo da legislao sobre proteo de dados
e no ficar satisfeita com a sua resposta, dever ter o direito de recorrer para um
tribunal nacional.207

A obrigatoriedade de contactar a autoridade de controlo antes de recorrer aos tribu-


nais uma matria que dever ser regulada pelo direito nacional. Porm, na maioria
dos casos, as pessoas que pretendem exercer os seus direitos proteo de dados
tero toda a vantagem em contactar primeiro a autoridade de controlo, uma vez que
o procedimento aplicvel aos pedidos de assistncia dever ser gratuito e sem buro-
cracias. As informaes especializadas documentadas na deciso da autoridade de
controlo (parecer, censura, etc.) tambm podero ajudar a pessoa em causa a fazer
valer os seus direitos perante os tribunais.

No mbito do direito do CdE, as violaes dos direitos proteo de dados, alegada-


mente cometidas a nvel nacional por uma Parte Contratante da CEDH e que cons-
tituam simultaneamente uma violao do artigo8. da CEDH, podero ser tambm
submetidas ao TEDH aps esgotadas todas as vias de recurso internas. As peties
relativas a violaes do artigo8. da CEDH apresentadas ao TEDH tero de preencher
ainda outras condies de admissibilidade (artigos34. a 37. da CEDH).208

Embora as peties ao TEDH s possam ter por objeto violaes das Partes Contra-
tantes, tambm podem abordar indiretamente atos ou omisses de particulares, na

207 Diretiva Proteo de Dados, artigo22..


208 CEDH, artigos 34. a 37., disponvel em: www.echr.coe.int/Pages/home.aspx?p=caselaw/
analysis&c=#n1347458601286_pointer.

130
Os direitos das pessoas em causa e a tutela doseuexerccio

medida em que uma Parte Contratante no tenha cumprido as obrigaes positivas


que lhe incumbem por fora da CEDH e no tenha assegurado uma proteo sufi-
ciente contra violaes dos direitos proteo de dados no direito nacional.

Exemplo: No processo que deu origem ao acrdo K.U. c. Finlndia,209 o reque-


rente, menor, alegou que tinha sido publicado um anncio de natureza sexual
sobre ele num stio de encontros na Internet. O prestador de servios no reve-
lou a identidade da pessoa que tinha publicado a informao devido s obri-
gaes de confidencialidade estabelecidas no direito finlands. O requerente
alegou que o direito finlands no assegurava um nvel de proteo suficiente
contra este tipo de atos praticados por particulares, nomeadamente a coloca-
o de dados incriminadores sobre o requerente na Internet. O TEDH entendeu
que os Estados estavam no s obrigados a absterse de ingerncias arbitr-
rias na vida privada das pessoas, como estavam tambm sujeitos a obrigaes
positivas que envolviam a adoo de medidas destinadas a garantir o respeito
pela vida privada, mesmo no mbito das relaes entre particulares. No caso do
requerente, uma proteo efetiva e prtica exigiria a adoo de medidas efica-
zes para identificar e levar justia o autor da infrao. Contudo, o Estado no
tinha assegurado essa proteo, tendo o TEDH concludo que tinha havido uma
violao do artigo 8. da CEDH.

Exemplo: No processo que deu origem ao acrdo Kpke c. Alemanha,210 a


requerente tinha sido submetida, sem o seu conhecimento, a videovigilncia,
na sequncia de suspeitas de que tinha cometido furto no local de trabalho. O
TEDH concluiu que nada indicava que as autoridades nacionais no tinham con-
seguido encontrar um equilbrio justo, no mbito da sua margem de aprecia-
o, entre o direito da requerente ao respeito pela sua vida privada ao abrigo
do artigo 8., por um lado, e o interesse do empregador na proteo dos seus
direitos de propriedade e o interesse pblico numa boa administrao da justia.
Consequentemente, a petio foi declarada inadmissvel.

Se o TEDH concluir que um Estado Parte violou algum dos direitos protegidos pela
CEDH, esse Estado obrigado a executar a sentena daquele Tribunal. As medidas
de execuo da sentena devem, em primeiro lugar, pr termo violao e repa-
rar, tanto quanto possvel, as consequncias negativas que dela tenham resultado

209 TEDH, acrdo K.U. c. Finlndia de 2 de maro de 2009, petio n.2872/02.


210 TEDH, acrdo Kpke c. Alemanha (deciso sobre a admissibilidade) de 5deoutubrode2010, petio
n.420/07.

131
Manual da Legislao Europeia sobre Proteo de Dados

para o requerente. A execuo das sentenas poder tambm exigir a adoo de


medidas de carter geral para prevenir violaes semelhantes quelas que o TEDH
deu como provadas, quer atravs de alteraes legislao, jurisprudncia ou outras
medidas.

Sempre que o TEDH concluir pela existncia de uma violao da CEDH, o artigo41.
da CEDH estabelece que o Tribunal poder atribuir uma reparao razovel ao
requerente, a expensas do Estado Parte.

No mbito do direito da UE,211 as vtimas de infraes da legislao nacional sobre


proteo de dados que implementa a legislao da UE neste domnio podem, em
certos casos, recorrer ao TJUE. H dois cenrios em que a pessoa em causa poder
recorrer ao TJUE com fundamento na violao dos seus direitos proteo de dados.

No primeiro cenrio, a pessoa em causa dever ter sido vtima direta de um ato
administrativo ou regulamentar da UE que viole o seu direito proteo de dados.
Nos termos do artigo263., n. 4, do TFUE:

Qualquer pessoa singular ou coletiva pode interpor [...] recursos contra os


atos de que seja destinatria ou que lhe digam direta e individualmente
respeito, bem como contra os atos regulamentares que lhe digam
diretamente respeito e no necessitem de medidas de execuo.

Deste modo, as vtimas de tratamento ilcito de dados pessoais por um rgo da UE


podem recorrer diretamente para o Tribunal Geral do TJUE, que o rgo compe-
tente para conhecer de litgios relacionados com o Regulamento Proteo de Dados
(Instituies da UE). Tambm existe a possibilidade de recorrer diretamente para o
TJUE se a situao jurdica de uma pessoa for diretamente afetada por uma disposi-
o legal da UE.

O segundo cenrio diz respeito competncia do TJUE (Tribunal de Justia) para pro-
ferir decises a ttulo prejudicial nos termos do artigo 267. do TFUE.

No decurso de um processo nacional, as pessoas em causa podem requerer ao


rgo jurisdicional nacional que pea esclarecimentos ao Tribunal de Justia sobre
a interpretao dos Tratados da UE e sobre a interpretao e validade de atos das

211 UE (2007), Tratado de Lisboa que altera o Tratado da Unio Europeia e o Tratado que institui a
Comunidade Europeia, assinado em Lisboa em 13 de dezembro de 2007, JO2007C306. Ver tambm as
verses consolidadas do Tratado da Unio Europeia, JO2012C326 e do TFUE, JO2012C326.

132
Os direitos das pessoas em causa e a tutela doseuexerccio

instituies, rgos ou organismos da UE. Esses esclarecimentos designamse deci-


ses prejudiciais. Embora no satisfaam diretamente a pretenso do autor da
queixa, estas decises permitem aos rgos jurisdicionais nacionais assegurarse de
que esto a aplicar a interpretao correta do direito da UE.

Se uma parte no processo nacional pedir o reenvio de uma questo para o TJUE,
apenas os tribunais nacionais que atuam em ltima instncia, cujas decises j no
so suscetveis de recurso, so obrigados a dar cumprimento a esse pedido.

Exemplo: No processo que deu origem ao acrdo Krntner Landesregierung e


o.,212 o Tribunal Constitucional austraco pediu ao TJUE para se pronunciar sobre
a validade dos artigos3. a 9. da Diretiva2006/24/CE (Diretiva Conservao
de Dados) luz dos artigos7., 9. e 11. da Carta e sobre a compatibilidade de
certas disposies da Lei Federal Austraca sobre Telecomunicaes que trans-
pe a Diretiva Conservao de Dados com determinados aspetos da Diretiva de
Proteo de Dados e do Regulamento Proteo de Dados (Instituies da UE).

M. Seitlinger, um dos demandantes no processo perante o Tribunal Constitu-


cional, afirmou que utilizava o telefone, a Internet e o correio eletrnico para
fins profissionais e na sua vida privada. Consequentemente, a informao que
enviava e recebia passava por redes pblicas de telecomunicaes. Nos ter-
mos da Lei das Telecomunicaes austraca, de 2003, o seu prestador de ser-
vios de telecomunicaes obrigado a recolher e a armazenar dados sobre
a sua utilizao da rede. M. Seitlinger apercebeuse de que esta recolha e este
armazenamento dos seus dados pessoais no eram, de modo algum, tecnica-
mente necessrios para levar a informao do ponto A para o ponto B na rede.
A recolha e o armazenamento desses dados tambm no eram remotamente
necessrios para fins de faturao. M. Seitlinger no tinha certamente dado o
seu consentimento para esta utilizao dos seus dados pessoais. O nico motivo
para a recolha e o armazenamento de todos estes dados adicionais era a Lei das
Telecomunicaes austraca, de 2003.

Por conseguinte, M. Seitlinger props uma ao no Tribunal Constitucional aus-


traco, alegando que as obrigaes impostas por lei sobre o seu prestador de
servios de telecomunicaes violavam os seus direitos fundamentais ao abrigo
do artigo8. da Carta da UE.

212 TJUE, acrdo de 8 de abril de 2014, processos apensos C-293/12 e C-594/12, Digital Rights Ireland e
Seitling e Outros.

133
Manual da Legislao Europeia sobre Proteo de Dados

O TJUE s se pronuncia sobre os elementos constitutivos do pedido de deciso pre-


judicial que lhe foi apresentado. O rgo jurisdicional nacional continua a ser compe-
tente para decidir o litgio no processo principal.

Em princpio, o Tribunal de Justia tem de responder s questes que lhe so coloca-


das. No se pode recusar a proferir uma deciso prejudicial alegando que a sua res-
posta no seria relevante nem oportuna face ao processo original. No entanto, pode
fazlo se a questo no estiver abrangida pela sua esfera de competncia.

Por ltimo, se uma instituio ou rgo da UE alegadamente violar direitos prote-


o de dados que sejam garantidos pelo artigo16. do TFUE no decurso de opera-
es de tratamento de dados, a pessoa em causa pode recorrer ao Tribunal Geral do
TJUE (artigo32., n.s 1 e 4, do Regulamento Proteo de Dados relativamente s
Instituies da UE). O mesmo acontece com as decises da AEPD sobre essas vio-
laes (artigo32., n. 3, do Regulamento Proteo de Dados [Instituies da UE]).

Embora o Tribunal Geral do TJUE seja competente para decidir litgios relacionados
com o Regulamento Proteo de Dados (Instituies da UE), se o demandante for
uma pessoa que atue na qualidade de funcionrio de uma instituio ou rgo da
UE, ter de recorrer para o Tribunal da Funo Pblica da UE.

Exemplo: O processo que deu origem ao acrdo Comisso Europeia/The Bava-


rian Lager Co. Ltd213 ilustra os meios de recurso disponveis contra atividades ou
decises das instituies e rgos da UE relevantes para a proteo de dados.

A Bavarian Lager solicitou Comisso Europeia o acesso ata completa de


uma reunio realizada pela Comisso, alegadamente relacionada com ques-
tes jurdicas relevantes para a empresa. A Comisso tinha indeferido o pedido
de acesso da empresa com fundamento em interesses superiores de proteo
de dados.214 A Bavarian Lager tinha recorrido desta deciso para o TJUE, mais
concretamente para o Tribunal de Primeira Instncia (o antecessor do Tribunal
Geral) ao abrigo do artigo32. do Regulamento Proteo de Dados (Instituies
da UE). No acrdo de 8denovembrode2007 proferido no processo T194/04,

213 TJUE, acrdo de 29dejunhode2010 no processo C28/08P, Comisso Europeia/The Bavarian Lager Co.
Ltd.
214 Para uma anlise do argumento, ver: AEPD (2011), Public access to documents containing personal data
after the Bavarian Lager ruling, Bruxelas, AEPD, disponvel em: www.secure.edps.europa.eu/EDPSWEB/
webdav/site/mySite/shared/Documents/EDPS/Publications/Papers/BackgroundP/11-03-24_Bavarian_
Lager_EN.pdf.

134
Os direitos das pessoas em causa e a tutela doseuexerccio

Bavarian Lager/Comisso, o Tribunal de Primeira Instncia anulou a deciso da


Comisso de indeferir o pedido de acesso. A Comisso Europeia recorreu desta
deciso para o Tribunal de Justia, que, em Grande Seco, decidiu anular o acr-
do do Tribunal de Primeira Instncia e confirmar o indeferimento do pedido de
acesso.

5.3.4. Sanes
No mbito do direito do CdE, o artigo 10. da Conveno108 dispe que as Partes
devem estabelecer sanes e vias de recurso apropriadas em face de violaes das
disposies do direito interno que confiram eficcia aos princpios bsicos da prote-
o de dados consagrados na Conveno.215 No mbito do direito da UE, o artigo24.
da Diretiva de Proteo de Dados estabelece que os Estados-Membros tomaro as
medidas adequadas para assegurar a plena aplicao das disposies da presente
diretiva e determinaro, nomeadamente, as sanes a aplicar em caso de violao
das disposies adotadas [].

Ambos os instrumentos conferem aos Estados-Membros uma ampla margem


de discricionariedade na escolha das sanes e das vias de recurso adequadas.
Nenhum destes instrumentos jurdicos contm orientaes especficas sobre a natu-
reza ou o tipo de sanes consideradas adequadas, nem d exemplos de sanes.

No entanto,

embora os Estados-Membros da UE gozem de uma certa margem de


discricionariedade na determinao das medidas mais adequadas para
salvaguardar os direitos que o direito da UE atribui s pessoas, tendo em
conta o princpio da cooperao leal estabelecido no artigo4., n. 3, do
Tratado UE, devem ser respeitados os requisitos mnimos da eficcia,
equivalncia, proporcionalidade e dissuaso.216

O TJUE tem entendido repetidamente que a liberdade conferida ao legislador nacio-


nal para determinar as sanes aplicveis no absoluta.

215 TEDH, acrdo I. c. Finlndia de 17dejulhode2008, petio n.20511/03; TEDH, acrdo K.U. c.
Finlndia de 2dedezembrode2008, petio n.2872/02.
216 Ver FRA (2012), Opinion of the EuropeanUnionAgencyforFundamentalRights on the proposed
data protection reform package (Parecer da Agncia dos Direitos Fundamentais da Unio Europeia
sobre a proposta do pacote de reforma legislativa sobre proteo de dados), 2/2012, Viena,
1deoutubrode2012, p.27.

135
Manual da Legislao Europeia sobre Proteo de Dados

Exemplo: No acrdo Von Colson e Kamann/Land Nordrhein-Westfalen,217 o


TJUE salientou que todos Estados-Membros destinatrios de uma diretiva so
obrigados a adotar, no seu ordenamento jurdico interno, todas as medidas
necessrias para assegurar a sua eficcia plena, em conformidade com o obje-
tivo por ela prosseguido. O Tribunal de Justia considerou que, apesar de caber
aos Estados Membros a escolha das formas e meios de assegurar a implemen-
tao de uma diretiva, essa liberdade no afeta as obrigaes a que esto sujei-
tos. Em especial, uma tutela jurdica eficaz ter de proporcionar ao titular as con-
dies para exercer e fazer valer o direito em questo em toda a sua extenso
material. Para proporcionarem uma proteo genuna e eficaz, os recursos jur-
dicos tm de desencadear processos penais e/ou indemnizatrios que resultem
em sanes com um efeito dissuasor.

Relativamente s sanes por violaes do direito da UE por instituies ou rgos


da Unio, dado o mbito de aplicao especial do Regulamento Proteo de Dados
(Instituies da UE), apenas esto previstas sanes de natureza disciplinar. Nos
termos do artigo49. do Regulamento, [q]ualquer incumprimento, intencio-
nal ou por negligncia, das obrigaes decorrentes do presente regulamento, por
um funcionrio ou outro agente das Comunidades Europeias, passvel de sano
disciplinar[].

217 TJUE, acrdo de 10 de abril de 1984, processo C-14/83, Sabine von Kolson and Elisabeth Kamann c.
Land Nordrhein-Westfalen.

136
6.

6
Fluxos transfronteirios
dedados

UE Questes CdE
abrangidas
Fluxos transfronteirios de dados
Diretiva de Proteo de Dados, artigo 25., Definio Conveno 108, Protocolo
n. 1 Adicional, artigo 2., n. 1
TJUE, acrdo de 6 de novembro de 2003
no processo C-101/01, Bodil Lindqvist
Livre fluxo de dados
Diretiva de Proteo de Dados, artigo 1., Entre
n. 2 Estados-Membros
da UE
Entre Partes Conveno 108, artigo 12.,
Contratantes da n.2
Conveno 108
Diretiva de Proteo de Dados, artigo 25. Para pases Conveno 108, Protocolo
terceiros com um Adicional, artigo 2., n. 1
nvel de proteo
adequado
Diretiva de Proteo de Dados, artigo 26., Para pases Conveno 108, Protocolo
n. 1 terceiros em casos Adicional, artigo 2., n. 2,
especficos al. a)
Restries ao fluxo de dados para pases terceiros
Diretiva de Proteo de Dados, artigo 26., Clusulas Conveno 108, Protocolo
n. 2 contratuais Adicional, artigo 2., n. 2,
Diretiva de Proteo de Dados, artigo 26., al. b)
n. 4 Guia da elaborao de
clusulas contratuais
Diretiva de Proteo de Dados, artigo 26., Regras vinculativas
n. 2 para as empresas

137
Manual da Legislao Europeia sobre Proteo de Dados

UE Questes CdE
abrangidas
Exemplos: Acordos
Acordo PNR UE-EUA internacionais
especiais
Acordo SWIFT UE-EUA

Para alm de prever o livre fluxo de dados entre os Estados-Membros, a Diretiva de


Proteo de Dados tambm contm disposies sobre os requisitos da transferncia
de dados pessoais para pases terceiros fora da UE. O CdE tambm reconheceu a
importncia de estabelecer regras aplicveis aos fluxos transfronteirios de dados
para pases terceiros e adotou o Protocolo Adicional Conveno108 em 2001. Este
Protocolo rene as principais disposies regulamentares adotadas pelas Partes na
Conveno e pelos Estados-Membros da UE em matria de fluxo transfronteirio de
dados.

6.1. Natureza dos fluxos transfronteirios


dedados
Pontos-chave

Uma transferncia transfronteiria de dados uma transferncia de dados pessoais


para um destinatrio que est sujeito a uma jurisdio estrangeira.

O artigo 2., n. 1, do Protocolo Adicional Conveno 108 descreve o fluxo trans-


fronteirio de dados como a transferncia de dados pessoais para um destinatrio
que est sujeito a uma jurisdio estrangeira. O artigo25., n. 1, da Diretiva de
Proteo de Dados regula a transferncia para um pas terceiro de dados pessoais
objeto de tratamento, ou que se destinem a ser objeto de tratamento aps a sua
transferncia []. Essa transferncia de dados s permitida se forem observa-
das as regras estabelecidas no artigo2. do Protocolo Adicional Conveno108,
devendo os Estados-Membros da UE cumprir tambm os artigos25. e 26. da Dire-
tiva de Proteo de Dados.

Exemplo: No acrdo Bodil Lindqvist,218 o TJUE considerou que a referncia,


feita numa pgina da Internet, a vrias pessoas e a sua identificao pelo nome

218 TJUE, acrdo de 6 de novembro de 2003 no processo C-101/01, Bodil Lindqvist, n.s 27, 68 e 69.

138
Fluxos transfronteirios dedados

ou por outros meios, por exemplo, o nmero de telefone ou informaes rela-


tivas s suas condies de trabalho e aos seus passatempos constitui um tra-
tamento de dados pessoais por meios total ou parcialmente automatizados na
aceo do artigo3., n. 1, da Diretiva 95/46..

O Tribunal de Justia sublinhou ento que a Diretiva tambm estabelece regras


especficas que visam assegurar o controlo, pelos Estados-Membros, das trans-
ferncias de dados de carter pessoal para pases terceiros.

Porm, tendo em conta, por um lado, o estdio de evoluo da Internet data


da elaborao da diretiva e, por outro, a ausncia, na Diretiva, de critrios apli-
cveis utilizao da Internet, no se pode presumir que o legislador comuni-
trio tinha a inteno de incluir prospetivamente no conceito de transferncia
para um pas terceiro de dados a insero [...] de dados numa pgina Internet,
mesmo que estes se tornem deste modo acessveis s pessoas de pases tercei-
ros que possuam os meios tcnicos para acederem a esses dados.

Caso contrrio, se a Diretiva fosse interpretada no sentido de que existe uma


transferncia para um pas terceiro de dados cada vez que so carregados
dados de carter pessoal numa pgina Internet, essa transferncia seria neces-
sariamente uma transferncia para todos os pases terceiros onde existem os
meios tcnicos necessrios para aceder Internet. O regime especial previsto
[na Diretiva] tornarseia, necessariamente, no que respeita s operaes na
Internet, um regime de aplicao geral. Com efeito, desde que a Comisso veri-
ficasse [...] que um pas terceiro no assegura um nvel de proteo adequado,
os Estados-Membros seriam obrigados a impedir qualquer colocao na Inter-
net de dados de carter pessoal.

O princpio segundo o qual a mera publicao de dados (pessoais) no deve ser con-
siderada um fluxo transfronteirio de dados tambm aplicvel aos registos pbli-
cos e aos meios de comunicao social online, tais como os jornais (eletrnicos) e a
televiso. Apenas a comunicao dirigida a destinatrios especficos est abrangida
pelo conceito de fluxo transfronteirio de dados.

139
Manual da Legislao Europeia sobre Proteo de Dados

6.2. Livre fluxo de dados entre os


EstadosMembros ou entre as Partes
Contratantes
Pontos-chave

A transferncia de dados pessoais para outro pas membro do Espao Econmico


Europeu ou para outra Parte Contratante da Conveno 108 no pode ser objeto de
restries.

No mbito do direito do CdE, o fluxo de dados pessoais entre as Partes da Conven-


o dever ser livre, nos termos do artigo12., n. 2, da Conveno 108. O legislador
nacional no poder restringir a exportao de dados pessoais para uma Parte Con-
tratante, salvo se:

a natureza especial dos dados assim o exigir;219 ou

A restrio for necessria para evitar que a transferncia se subtraia s disposi-


es legais internas em matria de fluxo transfronteirio de dados para pases
terceiros.220

No mbito do direito da UE, as restries e proibies ao livre fluxo de dados entre


os Estados-Membros por razes relativas proteo de dados so proibidas pelo
artigo1., n. 2, da Diretiva de Proteo de Dados. A rea do livre fluxo de dados
foi alargada pelo Acordo sobre o Espao Econmico Europeu (EEE),221 que integra a
Islndia, o Listenstaine e a Noruega no mercado interno.

Exemplo: Se uma filial de um grupo internacional de empresas, estabelecido em


vrios Estados-Membros da UE, entre os quais a Eslovnia e a Frana, transferir
dados pessoais da Eslovnia para a Frana, a legislao eslovena no pode res-
tringir ou proibir esse fluxo de dados.

219 Conveno 108, artigo 12., n. 3, al. a).


220 Ibid., artigo 12., n. 3, al. b).
221 Deciso do Conselho e da Comisso de 13 de dezembro de 1993 relativa celebrao do Acordo sobre
o Espao Econmico Europeu entre as Comunidades Europeias, os seus Estadosmembros e a Repblica
da ustria, a Repblica da Finlndia, a Repblica da Islndia, o Principado do Liechtenstein, o Reino da
Noruega, o Reino da Sucia e a Confederao Sua, JO1994L1.

140
Fluxos transfronteirios dedados

No entanto, se essa filial eslovena desejar transferir os mesmos dados pessoais


para a empresame nos Estados Unidos, o exportador de dados esloveno ter
de se submeter ao procedimento estabelecido na legislao eslovena para o
fluxo transfronteirio de dados para pases terceiros sem um nvel adequado de
proteo de dados, a menos que a empresame tenha aderido aos princpios de
porto seguro, um cdigo de conduta voluntrio sobre a garantia de um nvel
adequado de proteo de dados (ver seco6.3.1).

Os fluxos transfronteirios de dados para pases membros do EEE para fins no


relacionados com o mercado interno, tais como a investigao criminal, no esto,
porm, sujeitos s disposies da Diretiva de Proteo de Dados e, como tal, no
esto abrangidos pelo princpio do livre fluxo de dados. No que respeita ao direito
do CdE, todas as reas esto includas no mbito de aplicao da Conveno108
e do Protocolo Adicional Conveno108, embora as Partes Contratantes possam
estabelecer derrogaes. Todos os pases membros do EEE tambm so Partes na
Conveno108.

6.3. Livre fluxo de dados para pases terceiros


Pontos-chave

A transferncia de dados pessoais para pases terceiros no estar sujeita a restries


nos termos da legislao nacional sobre proteo de dados se:

tiver sido apurado que o destinatrio possui um nvel adequado de proteo de


dados; ou

for necessria tendo em conta os interesses especficos da pessoa em causa ou


os interesses superiores legtimos de terceiros, especialmente interesses pblicos
importantes.

Para que a proteo de dados num pas terceiro seja considerada adequada, os princ-
pios fundamentais da proteo de dados devero ter sido efetivamente implementa-
dos no direito nacional desse pas.

Nos termos do direito da UE, a adequao da proteo de dados num pas terceiro
apreciada pela Comisso Europeia. Nos termos do direito do CdE, o modo de aprecia-
o dessa adequao deixado ao critrio do legislador nacional.

141
Manual da Legislao Europeia sobre Proteo de Dados

6.3.1. Livre fluxo de dados devido a uma proteo


adequada
O direito do CdE permite que o direito interno preveja o livre fluxo de dados para
Estados no contratantes se o Estado ou organizao destinatrio assegurar um
nvel de proteo adequado para a transferncia de dados pretendida.222 Compete
ao legislador nacional determinar de que modo o nvel de proteo num pas estran-
geiro dever ser apreciado e quem dever realizar essa apreciao.

No direito da UE, o livre fluxo de dados para pases terceiros com um nvel adequado
de proteo de dados est previsto no artigo25., n. 1, da Diretiva de Proteo de
Dados. A exigncia de adequao e no de equivalncia permite o reconhecimento
de vrios sistemas de proteo dos dados. Segundo o artigo25., n. 6, da Diretiva, a
Comisso Europeia competente para apreciar o nvel de proteo de dados em pa-
ses estrangeiros e, para este efeito, consulta o Grupo de Trabalho do artigo29., que
tem dado um contributo substancial para a interpretao dos artigos25. e 26..223

A constatao de um nvel adequado de proteo pela Comisso Europeia tem efeito


vinculativo. Se a Comisso Europeia publicar uma constatao de um nvel adequado
de proteo relativamente a um determinado pas no Jornal Oficial da Unio Euro-
peia, todos os pases membros do EEE e os respetivos rgos esto vinculados por
essa deciso, o que significa que o fluxo de dados para esse pas no est sujeito a
procedimentos de controlo ou autorizao perante as autoridades nacionais.224

A Comisso Europeia tambm pode apreciar partes do sistema jurdico de um pas


ou limitar a sua apreciao a temas especficos. Por exemplo, a Comisso adotou
uma constatao de um nvel adequado de proteo apenas relativa legislao

222 Conveno 108, Protocolo Adicional, artigo 2., n. 1.


223 Ver, por exemplo, Grupo de Trabalho do artigo 29. (2003), Working document on transfers of personal
data to third countries: applying Article26(2) of the EU Data Protection Directive to binding corporate
rules for international data transfers (Documento de trabalho sobre as transferncias de dados pessoais
para pases terceiros: a aplicao do artigo26., n. 2, da Diretiva Proteo de Dados da UE a regras
vinculativas para as empresas em matria de transferncias internacionais de dados), WP74, Bruxelas,
3dejunhode2003; e Grupo de Trabalho do artigo 29. (2005), Documento de trabalho sobre uma
interpretao comum do artigo 26., n. 1, da Diretiva 95/46/CE de 24 de outubro de1995, WP114,
Bruxelas, 25 de novembro de 2005.
224 Para uma lista continuamente atualizada de pases que foram objeto de uma constatao de um nvel de
proteo adequado, consultar a pgina inicial da Comisso Europeia, DireoGeral da Justia, disponvel
em: http://ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_
en.htm.

142
Fluxos transfronteirios dedados

comercial canadiana.225 Existem tambm vrias constataes de um nvel adequado


de proteo para transferncias baseadas em acordos entre a UE e pases estrangei-
ros. Estas decises referemse exclusivamente a um nico tipo de transferncia de
dados, tal como a transmisso dos registos de identificao dos passageiros pelas
companhias areas para autoridades estrangeiras de controlo fronteirio quando
voam da UE para certos destinos no estrangeiro (ver seco6.4.3). Mais recente-
mente, as transferncias de dados baseadas em acordos especiais entre a UE e pa-
ses terceiros dispensam geralmente a constatao de um nvel adequado de prote-
o, presumindose que o prprio acordo assegura esse nvel de proteo.226

Uma das mais importantes decises sobre a adequao da proteo no diz res-
peito a um conjunto de disposies legais,227 mas sim a regras, semelhantes a um
cdigo de conduta, conhecidas como os princpios de porto seguro. Estes princ-
pios foram definidos pela UE e pelos Estados Unidos da Amrica para as empresas
norteamericanas. A adeso aos princpios de porto seguro tem lugar atravs de
um compromisso assumido voluntariamente perante o Departamento do Comrcio
norteamericano e documentado numa lista publicada por este. Uma vez que um dos
elementos mais importantes da adequao a eficcia da implementao da prote-
o de dados, o acordo de porto seguro tambm prev um certo grau de supervi-
so estatal: apenas podem aderir ao sistema porto seguro as empresas que este-
jam sujeitas superviso da Comisso Federal do Comrcio norteamericana.

6.3.2. Livre fluxo de dados em casos especficos


No mbito do direito do CdE, o artigo2., n. 2, do Protocolo Adicional Conveno
108 permite a transferncia de dados pessoais para pases terceiros onde no exista

225 Comisso Europeia (2002), Deciso 2002/2/CE de 20 de dezembro de 2001 nos termos da
Diretiva95/46/CE do Parlamento Europeu e do Conselho relativa adequao do nvel de proteo
proporcionado pela lei canadiana sobre dados pessoais e documentos eletrnicos (Personal Information
and Eletronic Documents Act), JO2002L2.
226 Por exemplo, o Acordo entre os Estados Unidos da Amrica e a Unio Europeia sobre a utilizao e
a transferncia dos registos de identificao dos passageiros para o Departamento da Segurana
Interna dos Estados Unidos ( JO2012L215, pp.514) ou o Acordo entre a Unio Europeia e os Estados
Unidos da Amrica sobre o tratamento de dados de mensagens de pagamentos financeiros e a sua
transferncia da Unio Europeia para os Estados Unidos, para efeitos do Programa de Deteo do
Financiamento do Terrorismo, JO2010L8, pp.11-16.
227 Comisso Europeia (2000), Deciso 2000/520/CE da Comisso, de 26 de julho de 2000, nos termos
daDiretiva 95/46/CE do Parlamento Europeu e do Conselho e relativa ao nvel de proteo assegurado
pelos princpios de porto seguro e pelas respetivas questes mais frequentes (FAQ) emitidos pelo
Departamento do Comrcio dos Estados Unidos da Amrica, JO2000L215.

143
Manual da Legislao Europeia sobre Proteo de Dados

um nvel adequado de proteo de dados, desde que a transferncia esteja prevista


no direito interno e seja necessria para:

os interesses especficos da pessoa em causa; ou

os interesses legtimos prevalecentes de terceiros, em especial interesses pbli-


cos importantes.

No mbito do direito da UE, o artigo26., n. 1, da Diretiva de Proteo de Dados


contm disposies semelhantes s do Protocolo Adicional Conveno 108.

Nos termos da Diretiva, os interesses da pessoa em causa podero justificar o livre


fluxo de dados para um pas terceiro se:

a pessoa em causa tiver dado, de forma inequvoca, o seu consentimento


exportao dos dados;

A pessoa em causa celebrar ou se preparar para celebrar um contrato que


exija claramente a transferncia dos dados para um destinatrio no estrangeiro;

tiver sido celebrado, no interesse da pessoa em causa, um contrato entre o res-


ponsvel pelo tratamento e um terceiro; ou

a transferncia for necessria para proteger os interesses vitais da pessoa em


causa.

para a transferncia de dados de um registo pblico; tratase de um exemplo de


interesse prevalecente na possibilidade de o pblico em geral ter acesso a infor-
maes armazenadas em registos pblicos.

Os interesses legtimos de terceiros podero justificar o livre fluxo transfronteirio de


dados:228

devido a um interesse pblico importante no relacionado com a segurana


nacional ou pblica, uma vez que no esto abrangidos pela Diretiva de Proteo
de Dados; ou

228 Diretiva Proteo de Dados, artigo 26., n. 1, al. d).

144
Fluxos transfronteirios dedados

para a declarao, o exerccio ou a defesa de um direito num processo judicial.

Os casos supramencionados devem ser entendidos como derrogaes regra de


que a livre transferncia de dados para outros pases exige um nvel adequado de
proteo de dados no pas destinatrio. As derrogaes tm de ser sempre interpre-
tadas restritivamente. Este entendimento tem sido reiterado pelo Grupo de Trabalho
do artigo29. no contexto do artigo26., n. 1, da Diretiva de Proteo de Dados,
especialmente se a suposta base legal da transferncia de dados for o consenti-
mento.229 O Grupo de Trabalho do artigo29. concluiu que as regras gerais sobre a
relevncia jurdica do consentimento tambm so aplicveis ao artigo26., n. 1, da
Diretiva. Se, por exemplo, no contexto das relaes laborais, existirem dvidas sobre
se o consentimento prestado pelos funcionrios , de facto, um consentimento livre,
as transferncias de dados no podem ter por base o artigo26., n. 1, alnea a), da
Diretiva. Nestes casos, ser aplicvel o artigo26., n. 2, que exige que as autorida-
des nacionais responsveis pela proteo de dados autorizem as transferncias de
dados.

6.4. Restries ao fluxo de dados para pases


terceiros
Pontos-chave

Antes de exportar dados para pases terceiros que no assegurem um nvel adequado
de proteo de dados, o responsvel pelo tratamento pode ter de submeter o fluxo de
dados pretendido apreciao da autoridade de controlo.

O responsvel pelo tratamento que pretende exportar dados tem de demonstrar duas
coisas durante esta apreciao:

que existe uma base legal para a transferncia de dados para o destinatrio; e

que foram adotadas medidas para garantir um nvel adequado de proteo dos
dados no destinatrio.

As medidas que visam garantir um nvel adequado de proteo de dados no destina-


trio podero incluir:

229 Ver, em especial, Grupo de Trabalho do artigo 29. (2005), Documento de trabalho sobre uma
interpretao comum do artigo 26., n. 1, da Diretiva 95/46/CE de 24 de outubro de1995, WP114,
Bruxelas, 25denovembrode2005.

145
Manual da Legislao Europeia sobre Proteo de Dados

clusulas contratuais entre o responsvel pelo tratamento que exporta os dados e


o destinatrio dos dados no estrangeiro; ou

regras vinculativas para as empresas, geralmente aplicveis a transferncias de


dados no seio de um grupo multinacional de empresas.

As transferncias de dados para autoridades estrangeiras tambm podem ser regula-


das por um acordo internacional especial.

A Diretiva de Proteo de Dados e o Protocolo Adicional Conveno 108 permitem


que o direito interno estabelea regimes jurdicos aplicveis aos fluxos transfrontei-
rios de dados para pases terceiros que no assegurem um nvel adequado de pro-
teo de dados, desde que o responsvel pelo tratamento tenha adotado medidas
especiais para assegurar a existncia de garantias adequadas em matria de pro-
teo de dados no destinatrio e possa provar este facto autoridade competente.
Este requisito s expressamente mencionado no Protocolo Adicional Conven-
o108; no entanto, tambm considerado um procedimento corrente no quadro
da Diretiva de Proteo de Dados.

6.4.1. Clusulas contratuais


Tanto o direito do CdE como o direito da UE mencionam as clusulas contratuais
entre o responsvel pelo tratamento que exporta os dados e o destinatrio no pas
terceiro como possveis meios de garantir um nvel suficiente de proteo de dados
no destinatrio.

Ao nvel da UE, a Comisso Europeia, com o auxlio do Grupo de Trabalho do


artigo29., definiu clusulas contratuaistipo que foram oficialmente certificadas
por uma deciso da Comisso como prova de um nvel adequado de proteo de
dados.230 Uma vez que as decises da Comisso so obrigatrias, em todos os seus
elementos, para os Estados-Membros, as autoridades nacionais responsveis pelo
controlo dos fluxos transfronteirios de dados devem ter em conta estas clusulas
contratuaistipo nos seus procedimentos.231 Deste modo, se o responsvel pelo tra-
tamento que exporta os dados e o destinatrio no pas terceiro estabelecerem e
assinarem as referidas clusulas, esta medida dever ser suficiente para demonstrar
autoridade de controlo que foram implementadas garantias adequadas.

230 Diretiva Proteo de Dados, artigo 26., n. 4.


231 TFUE, artigo 288..

146
Fluxos transfronteirios dedados

A existncia de clusulas contratuaistipo no quadro jurdico da UE no obsta a que os


responsveis pelo tratamento formulem outras clusulas contratuais ad hoc. Porm,
destas teria de resultar o mesmo nvel de proteo que assegurado pelas clusulas
contratuaistipo. Os elementos mais importantes das clusulas contratuais-tipo so
os seguintes:

uma clusula de terceiro beneficirio que permite s pessoas em causa exercer


direitos contratuais embora no sejam parte no contrato;

a concordncia do destinatrio ou importador dos dados em se submeter ao pro-


cedimento da autoridade nacional de controlo e/ou tribunais do responsvel pelo
tratamento que exporta os dados.

Existem atualmente dois conjuntos de clusulastipo para transferncias entre res-


ponsveis pelo tratamento entre as quais o responsvel pelo tratamento que
exporta os dados poder escolher. 232 Para as transferncias de responsveis
pelo tratamento para subcontratantes, existe apenas um conjunto de clusulas
contratuaistipo.233

No contexto do direito do CdE, o Comit Consultivo da Conveno 108 elaborou um


guia sobre a elaborao de clusulas contratuais.234

232 O conjunto I consta do anexo Deciso 2001/497/CE da Comisso, de 15dejunhode2001, relativa


s clusulas contratuaistipo aplicveis a transferncias de dados pessoais para pases terceiros, nos
termos da Diretiva95/46/CE, JO2001L181; o conjunto II consta do anexo Deciso2004/915/CE
da Comisso, de 27dedezembrode2004, que altera a Deciso2001/497/CE no que se refere
introduo de um conjunto alternativo de clusulas contratuais tpicas aplicveis transferncia de
dados pessoais para pases terceiros, JO2004L385.
233 Comisso Europeia (2010), Deciso 2010/87 da Comisso, de 5defevereirode2010, relativa
a clusulas contratuaistipo aplicveis transferncia de dados pessoais para subcontratantes
estabelecidos em pases terceiros nos termos da Diretiva95/46/CE do Parlamento Europeu e do
Conselho, JO2010L39.
234 CdE, Comit Consultivo da Conveno 108 (2002), Guide to the preparation of contractual clauses
governing data protection during the transfer of personal data to third parties not bound by an adequate
level of data (Guia da elaborao de clusulas contratuais sobre a proteo de dados durante a
transferncia de dados pessoais para terceiros no sujeitos a um nvel adequado de proteo de dados).

147
Manual da Legislao Europeia sobre Proteo de Dados

6.4.2. Regras vinculativas para as empresas


As regras vinculativas para as empresas (RVE) multilaterais envolvem geralmente
vrias autoridades europeias de proteo de dados ao mesmo tempo.235 Para que
as RVE sejam aprovadas, o respetivo projeto tem de ser enviado, juntamente com
o formulrio normalizado do pedido de aprovao, para a autoridade principal,236
que identificvel com base no formulrio. Seguidamente, esta autoridade informa
todas as autoridades de controlo dos pases membros do EEE onde se encontrem
estabelecidas filiais do grupo, embora a sua participao no processo de avaliao
das RVE seja voluntria. Embora no seja obrigatrio, todas as autoridades de prote-
o de dados envolvidas devem incorporar o resultado da avaliao nos seus proce-
dimentos formais de autorizao.

6.4.3. Acordos internacionais especiais


A UE celebrou acordos especiais para dois tipos de transferncias de dados:

Registos de identificao dos passageiros

As companhias areas recolhem dados sobre os registos de identificao dos pas-


sageiros (PNR) durante o processo de reserva, nomeadamente o nome, morada,
dados do carto de crdito e nmero do lugar dos passageiros. Nos termos do
direito norteamericano, as companhias areas so obrigadas a disponibilizar estes
dados ao Departamento de Segurana Interna antes da partida. Esta obrigao
aplicvel a voos com origem ou destino aos Estados Unidos.

235 O teor e a estrutura adequados das regras vinculativas para as empresas so explicados em Grupo
de Trabalho do artigo29. (2008), Working document setting up a framework for the structure of
Binding Corporate Rules (Documento de trabalho que estabelece um quadro para a estrutura das regras
vinculativas para as empresas), WP154, Bruxelas, 24dejunhode2008; e em Grupo de Trabalho do
artigo 29. (2008), Working document setting up a table with the elements and principles to be found
in Binding Corporate Rules (Documento de trabalho que estabelece um quadro com os elementos e os
princpios das regras vinculativas para as empresas), WP153, Bruxelas, 24dejunhode2008.
236 Grupo de Trabalho do artigo29. (2007), Recommendation 1/2007 on the standard application
for approval of binding corporate rules for the transfer of personal data (Recomendao1/2007
sobre o formulrio do pedido de aprovao das regras vinculativas para as empresas em matria de
transferncia de dados pessoais), WP133, Bruxelas, 10dejaneirode2007.

148
Fluxos transfronteirios dedados

Para garantir uma proteo adequada dos dados PNR, nos termos da Dire-
tiva95/46/CE, foi adotado em 2004 um pacote legislativo sobre PNR237. Este pacote
incluiu uma deciso de adequao do tratamento de dados efetuado pelo Departa-
mento de Segurana Interna norte-americano.

Em consequncia da anulao pelo TJUE do pacote PNR238, a UE e os Estados Unidos


assinaram dois acordos separados com dois objetivos: em primeiro lugar, propor-
cionar uma base legal para a divulgao de dados PNR s autoridades dos Estados
Unidos; em segundo, assegurar um nvel adequado de proteo de dados no pas
destinatrio.

O primeiro acordo entre os pases da UE e os Estados Unidos sobre o modo como os


dados so partilhados e geridos, assinado em 2012, apresentava vrias falhas, pelo
que foi substitudo no mesmo ano por um novo acordo a fim de reforar a segu-
rana jurdica.239 O novo acordo oferece melhorias significativas. Restringe e clarifica
as finalidades para que as informaes podem ser utilizadas, tais como a preveno
e o combate ao terrorismo e criminalidade transnacional grave, e fixa o perodo
de conservao dos dados: aps seis meses, os dados devem ser anonimizados. .
Se os seus dados forem utilizados abusivamente, qualquer pessoa tem o direito de
recurso administrativo e judicial nos termos da legislao dos EUA. Tm igualmente
o direito de acesso aos seus prprios dados PNR e de solicitar a sua retificao pelo
Departamento da Segurana Interna, incluindo a possibilidade de supresso, se as
informaes estiverem incorretas.

O Acordo, que entrou em vigor em 1 de julho de 2012, manterse em vigor durante


um perodo de seteanos, at 2019.

237 Deciso do Conselho 2004/496/CE, de 17demaiode2004, relativa celebrao de um acordo entre


a Comunidade Europeia e os Estados Unidos da Amrica sobre o tratamento e transferncia de dados
contidos no registo de identificao de passageiros (PNR) por parte das transportadoras areas para o
Servio das Alfndegas e Proteo das Fronteiras do Departamento de Segurana Interna dos Estados
Unidos, JO2004L183, p.83, e Deciso da Comisso 2004/535/CE, de 14demaiode2004, sobre o
nvel de proteo adequado dos dados pessoais contidos nos Passenger Name Record transferidos para
o Bureau of Customs and Border Protection dos Estados Unidos, JO2004L235, p.11-22.
238 TJUE, acrdo de 30demaiode2006, nos processos apensos C-317/04 e C-318/04, Parlamento
Europeu c.Conselho da Unio Europeia, pontos57, 58 e 59, no qual o Tribunal considerou que tanto a
deciso de adequao como o cordo relativo ao tratamento de dados estavam excludos do mbito de
aplicao da Diretiva.
239 Deciso 2012/472/UE do Conselho, de 26deabrilde2012, relativa celebrao do Acordo entre
os Estados Unidos da Amrica e a Unio Europeia sobre a utilizao e a transferncia dos registos
de identificao dos passageiros para o Departamento da Segurana Interna dos Estados Unidos.
JO2012L215/4. O texto do Acordo encontrase reproduzido em anexo a esta Deciso, JO2012L215,
p.514.

149
Manual da Legislao Europeia sobre Proteo de Dados

Em dezembro de 2011, o Conselho da Unio Europeia aprovou a celebrao de um


Acordo atualizado entre a UE e a Austrlia sobre o tratamento e a transferncia de
dados PNR.240 Este acordo representa mais um passo na agenda da UE, que inclui
diretrizes globais sobre PNR,241 o estabelecimento de um sistema PNR da UE242 e a
negociao de acordos com pases terceiros.243

Dados de mensagens de pagamentos financeiros

A Sociedade das Telecomunicaes Financeiras Interbancrias no Mundo (Society


for Worldwide Interbank Financial Telecommunication SWIFT) sedeada na Blgica,
que o subcontratante para a maioria das transferncias monetrias globais prove-
nientes de bancos europeus, possua um centro espelho nos Estados Unidos e foi
confrontada com um pedido de divulgao de dados ao Departamento do Tesouro
norteamericano para fins de investigao do terrorismo.244

Da perspetiva da UE, no existia base legal suficiente para divulgar estes dados
essencialmente europeus, aos quais era possvel aceder nos Estados Unidos apenas

240 Deciso 2012/381/UE do Conselho, de 13 de dezembro de 2011, relativa celebrao do Acordo entre
a Unio Europeia e a Austrlia sobre o tratamento e a transferncia de dados do registo de identificao
dos passageiros (PNR) pelas transportadoras areas para o Servio Aduaneiro e de Proteo das
Fronteiras australiano, JO2012L186/3. O texto do Acordo, que substituiu um acordo anterior de 2008,
encontrase reproduzido em anexo a esta Deciso, JO2012L186, p.4-16.
241 Ver, em especial, a Comunicao da Comisso, de 21 de setembro de 2010, sobre a abordagem global
relativa transferncia de dados do registo de identificao dos passageiros (PNR) para pases terceiros,
COM(2010)492final, Bruxelas, 21deSetembrode2010. Ver tambm o Parecer7/2010, do Grupo de
Trabalho do Artigo29, sobre esta Comunicao da Comisso.
242 Proposta de Diretiva do Parlamento Europeu e do Conselho relativa utilizao dos dados dos registos
de identificao dos passageiros para efeitos de preveno, deteo, investigao e represso das
infraes terroristas e da criminalidade grave, COM(2011)32final, Bruxelas, 2defevereirode2011.
Em abrilde2011, o Parlamento Europeu solicitou FRA um parecer sobre esta Proposta e a
sua conformidade com a Carta dos Direitos Fundamentais da Unio Europeia. Ver: FRA (2011),
Opinion1/2011 Passenger Name Record (Parecer 1/2011 Registo de identificao dos passageiros),
Viena, 14de junhode2011.
243 A UE est atualmente a negociar um novo acordo PNR com o Canad, que susbtituir o acordo de 2006
atualmente em vigor.
244 Ver, neste contexto, Grupo de Trabalho do artigo 29. (2011), Opinion 14/2011 on data protection
issues related to the prevention of money laundering and terrorist financing (Parecer14/2011 sobre
questes de proteo de dados relacionadas com a preveno do branqueamento de capitais e do
financiamento do terrorismo), WP186, Bruxelas, 13 de junho de 2011; Grupo de Trabalho do artigo 29.
(2006), Parecer10/2006 sobre o tratamento de dados pessoais pela Sociedade das Telecomunicaes
Financeiras Interbancrias no Mundo (Society for Worldwide Interbank Financial Telecommunication
SWIFT), WP128, Bruxelas, 22denovembrode2006; Comisso para a Proteo da Vida Privada belga
(Commission de la protection de la vie prive) (2008), Control and recommendation procedure initiated
with respect to the company SWIFT scrl, Deciso de 9dedezembrode2008.

150
Fluxos transfronteirios dedados

porque um dos centros de tratamento de dados da SWIFT estava localizado nesse


pas.

Em 2010, foi celebrado um acordo especial entre a UE e os Estados Unidos, conhe-


cido como o Acordo SWIFT, a fim de proporcionar a necessria base legal e assegurar
a proteo dos dados.245

Nos termos deste acordo, os dados financeiros armazenados pela SWIFT continuam
a ser fornecidos ao Departamento do Tesouro norteamericano para efeitos de pre-
veno, investigao, deteo ou represso do terrorismo ou do seu financiamento.
O Departamento do Tesouro norteamericano pode solicitar dados financeiros
SWIFT, devendo o pedido:

identificar o mais claramente possvel os dados financeiros;

fundamentar claramente a necessidade dos dados;

ser formulado de modo a reduzir ao mnimo o volume de dados requerido;

absterse de solicitar dados relacionados com o Espao nico de Pagamentos em


Euros (SEPA).

O Departamento do Tesouro norteamericano deve enviar Europol uma cpia de


cada pedido e esta verifica se o pedido est ou no conforme com os princpios do
Acordo SWIFT246. Se esta conformidade for confirmada, a SWIFT tem de fornecer
os dados financeiros diretamente ao Departamento do Tesouro norteamericano.
O departamento tem de manter os dados financeiros num ambiente fsico seguro
ao qual apenas tenham acesso os analistas encarregados da investigao do terro-
rismo ou do seu financiamento e os dados financeiros no podem estar interligados
com qualquer outra base de dados. Em regra, os dados financeiros fornecidos pela
SWIFT devero ser eliminados no prazo mximo de cinco anos a contar da receo.
Os dados financeiros relevantes para investigaes ou aes penais especficas

245 Deciso 2010/412/UE do Conselho, de 13 de julho de 2010, relativa celebrao do Acordo entre
a Unio Europeia e os Estados Unidos da Amrica sobre o tratamento de dados de mensagens de
pagamentos financeiros e a sua transferncia da Unio Europeia para os Estados Unidos para efeitos
do Programa de Deteo do Financiamento do Terrorismo, JO2010L195, p.3 e4. O texto do Acordo
encontrase reproduzido em anexo a esta Deciso, JO2010L195, p.5-14.
246 A Instncia Comum de Controlo (ICC) da Europol realizou inspees s atividades da Europol nesta rea,
cujos resultados esto disponveis em http://europoljsb.consilium.europa.eu/reports/inspection-report.
aspx?lang=en.

151
Manual da Legislao Europeia sobre Proteo de Dados

podero ser conservados pelo perodo de tempo necessrio a essas investigaes


ou aes penais.

O Departamento do Tesouro norteamericano pode transferir informaes extradas


de dados recebidos pela SWIFT para autoridades especficas de aplicao da lei, de
segurana pblica ou de combate ao terrorismo, dentro ou fora dos Estados Uni-
dos, exclusivamente para fins de investigao, deteo, preveno ou represso do
terrorismo e do seu financiamento. Sempre que a transferncia ulterior de dados
financeiros envolva um cidado ou residente de um Estado-Membro da UE, qualquer
partilha dos dados com as autoridades de um pas terceiro carece do consentimento
prvio das autoridades competentes do Estado-Membro interessado. Podem ser
estabelecidas excees quando a partilha dos dados for essencial para a preveno
de uma ameaa imediata e grave contra a segurana pblica.

O respeito pelos princpios do Acordo SWIFT acompanhado por supervisores inde-


pendentes, incluindo uma pessoa designada pela Comisso Europeia.

As pessoas em causa tm o direito de obter a confirmao, atravs da autoridade


de proteo de dados da UE competente para o efeito, de que os direitos relativos
proteo dos seus dados foram respeitados. As pessoas em causa tm tambm o
direito de retificao, apagamento ou bloqueio dos seus dados recolhidos e armaze-
nados pelo Departamento do Tesouro norteamericano ao abrigo do Acordo SWIFT.
No entanto, os direitos de acesso das pessoas em causa podero estar sujeitos a
certas limitaes legais. Se o acesso for recusado, a pessoa em causa deve ser infor-
mada, por escrito, da recusa e do seu direito de interpor recurso administrativo e
judicial nos Estados Unidos.

O Acordo SWIFT vigora por um perodo de cinco anos, at agosto de 2015 e reno-
vado automaticamente por perodos sucessivos de um ano, salvo se uma das Partes
notificar a outra, com pelo menos seis meses de antecedncia, da sua inteno de
no prorrogar o Acordo.

152
7.

7
Proteo de dados no
contexto da atividade
policial e da justia
penal
UE Questes CdE
abrangidas
Em geral Conveno 108
Atividade policial Recomendao sobre a atividade policial
TEDH, acrdo B.B. c. Frana de 17 de
dezembro de 2009, petio n.5335/06
TEDH, acrdo S. e Marper c. Reino Unido
de 4 de dezembro de 2008, peties
n.s30562/04 e 30566/04
TEDH, acrdo Vetter c. Frana de 31 de
maio de 2005, petio n.59842/00
Cibercrime Conveno sobre o cibercrime
Proteo de dados no contexto da cooperao transfronteiria entre as autoridades policiais e
judicirias
Deciso-Quadro relativa Em geral Conveno 108
proteo de dados Recomendao sobre a atividade policial
Deciso Prm Para dados Conveno 108
especiais: Recomendao sobre a atividade policial
impresses digitais,
ADN, hooliganismo,
etc.
Deciso Europol Por agncias Conveno 108
Deciso Eurojust especiais Recomendao sobre a atividade policial
Regulamento Frontex

153
Manual da Legislao Europeia sobre Proteo de Dados

UE Questes CdE
abrangidas
Deciso Schengen II Por sistema de Conveno 108
Regulamento VIS informao comum Recomendao sobre a atividade policial
especial
Regulamento Eurodac TEDH, acrdo Dalea c. Frana de 2 de
Deciso SIA fevereiro de 2010, petio n.964/07

O CdE e a UE aprovaram instrumentos legais especficos para conciliar o interesse


das pessoas singulares na proteo de dados e o interesse da sociedade na recolha
de dados para fins de combate criminalidade e de garantia da segurana nacional
e pblica.

7.1. Legislao do CdE sobre proteo de


dados no domnio policial e da justia
penal
Pontos-chave

A Conveno 108 e a Recomendao sobre a atividade policial do CdE abrangem a


proteo de dados em todas as reas da atividade policial.

A Conveno sobre o Cibercrime (Conveno de Budapeste) um instrumento jurdico


internacional vinculativo que diz respeito a crimes cometidos contra e atravs de redes
eletrnicas.

Ao nvel europeu, a Conveno 108 abrange todos os domnios do tratamento de


dados pessoais e as suas disposies visam regular o tratamento de dados pessoais
em geral. Consequentemente, a Conveno108 aplicvel proteo de dados no
domnio policial e da justia penal, embora as Partes Contratantes possam limitar a
sua aplicao.

As funes que a lei atribui s autoridades policiais e judicirias implicam muitas


vezes o tratamento de dados pessoais, o que poder ter srias consequncias para
as pessoas em questo. A Recomendao sobre a atividade policial, adotada pelo
CdE em 1987, fornece orientaes s Partes Contratantes sobre a concretizao dos

154
Proteo de dados no contexto da atividade policial e da justia penal

princpios consagrados na Conveno 108 no contexto dos dados pessoais tratados


pelas autoridades policiais.247

7.1.1. A Recomendao sobre a atividade policial


O TEDH tem afirmado sistematicamente que o armazenamento e a conservao
de dados pessoais pelas autoridades policiais ou de segurana nacional constituem
uma ingerncia nos direitos protegidos pelo artigo 8., n. 1, da CEDH. Muitos acr-
dos do TEDH respeitam justificao destas ingerncias.248

Exemplo: No processo que deu origem ao acrdo B.B. c. Frana,249 o TEDH


considerou que a incluso de uma pessoa condenada pela prtica de crimes
sexuais numa base de dados judicial estava abrangida pelo artigo8. da CEDH.
No entanto, uma vez que tinham sido implementadas garantias suficientes em
matria de proteo de dados, tais como o direito da pessoa em causa reque-
rer o apagamento dos dados, o perodo limitado de conservao dos dados e o
acesso limitado a tais dados, tinha sido encontrado um equilbrio justo entre os
interesses privados e pblicos concorrentes em jogo. O TEDH concluiu que no
tinha havido uma violao do artigo8. da CEDH.

Exemplo: No processo que deu origem ao acrdo S. e Marper c. Reino Uni-


do,250 ambos os requerentes tinham sido acusados da prtica de certos crimes,
mas no tinham sido condenados. No obstante, a polcia tinha conservado e
armazenado as suas impresses digitais, perfis de ADN e amostras de clulas.
A lei permitia a conservao de dados biomtricos por tempo indeterminado
nos casos em que uma pessoa fosse suspeita da prtica de um crime, ainda
que esta fosse posteriormente absolvida ou o processo fosse arquivado. O TEDH
entendeu que a conservao generalizada e indiscriminada de dados pessoais
sem qualquer limitao temporal e em que os casos em que as pessoas absol-
vidas podiam requerer a eliminao eram muito limitados constitua uma inge-

247 CdE, Comit de Ministros (1987), Recommendation Rec(87)15 to member states regulating the use of
personal data in the police sector (Recomendao Rec(87)15 aos Estados membros sobre a utilizao
de dados pessoais no setor policial), 17desetembrode1987.
248 Ver, por exemplo, TEDH, acrdo Leander c. Sucia de 26 de maro de 1987, petio n.9248/81; TEDH,
acrdo M.M. c. Reino Unido de 13denovembrode2012, petio n.24029/07; TEDH, acrdo M.K. c.
Frana de 18deabrilde2013, petio n.19522/09.
249 TEDH, acrdo B.B. c. Frana de 17dedezembrode2009, petio n.5335/06.
250 TEDH, acrdo S. e Marper c. Reino Unido de 4dedezembrode2008, peties n.s30562/04 e
30566/04, n.s 119 e 125.

155
Manual da Legislao Europeia sobre Proteo de Dados

rncia desproporcional no exerccio do direito dos requerentes ao respeito pela


vida privada. O TEDH concluiu que tinha havido uma violao do artigo8. da
CEDH.

Muitos outros acrdos do TEDH respeitam justificao da ingerncia no exerccio


do direito proteo de dados sob a forma de vigilncia.

Exemplo: No processo que deu origem ao acrdo Allan c. Reino Unido,251 as


conversas privadas de um recluso com uma amiga na sala de visitas da priso
e com um coarguido numa cela tinham sido gravadas pelas autoridades sem o
seu conhecimento. O TEDH considerou que a utilizao de dispositivos de grava-
o udio e vdeo na cela do requerente, na sala de visitas da priso e na pessoa
de um outro recluso correspondia a uma ingerncia no seu direito ao respeito
pela vida privada. Uma vez que no existia um regime jurdico que regulasse
a utilizao de dispositivos de gravao oculta pela polcia data relevante, a
referida ingerncia no estava de acordo com a lei. O TEDH concluiu que tinha
havido uma violao do artigo 8. da CEDH.

Exemplo: No processo que deu origem ao acrdo Klass e outros c. Alemanha,252


os requerentes alegaram que vrios atos legislativos alemes que permitiam
a vigilncia secreta da correspondncia e das telecomunicaes violavam o
artigo 8. da CEDH, especialmente porque a pessoa em causa no era informada
das medidas de vigilncia adotadas e no podiam recorrer aos tribunais aps
a cessao dessas medidas. O TEDH entendeu que uma ameaa de vigilncia
constitua necessariamente uma ingerncia na liberdade de comunicao entre
os utentes dos servios postais e de telecomunicaes. Porm, considerou que
tinham sido implementadas garantias suficientes contra abusos. O legislador
alemo tinha motivos para considerar tais medidas necessrias numa sociedade
democrtica no interesse da segurana nacional e para fins de preveno de
distrbios ou da criminalidade. O TEDH concluiu que no tinha havido uma viola-
o do artigo 8. da CEDH.

Uma vez que o tratamento de dados pelas autoridades policiais pode ter um
impacto significativo sobre as pessoas em questo, existe uma necessidade ainda
maior de definir regras detalhadas sobre proteo de dados para a manuteno
de bases de dados nesta rea. A Recomendao sobre a atividade policial do CdE

251 TEDH, acrdo Allan c. Reino Unido de 5denovembrode2002, petio n. 48539/99.


252 TEDH, acrdo Klass e outros c. Alemanha de 6desetembrode1978, petio n.5029/71.

156
Proteo de dados no contexto da atividade policial e da justia penal

procurou responder a esta questo fornecendo orientaes sobre o modo de reco-


lha dos dados para fins relacionados com o trabalho da polcia; o modo de conser-
vao dos ficheiros de dados nesta rea; as pessoas que devero ter acesso a estes
ficheiros, incluindo as condies da transferncia de dados para autoridades policiais
estrangeiras; o modo como as pessoas em causa devero poder exercer os seus
direitos proteo de dados; e o modo de implementao do controlo por autorida-
des independentes. Tambm considerada a obrigao de garantir uma segurana
adequada dos dados.

A Recomendao no prev uma recolha ilimitada, indiscriminada de dados por


parte das autoridades policiais, limitandoa ao que for necessrio para prevenir um
perigo real ou pr termo a um crime especfico. A recolha de outros dados teria de
se basear em legislao nacional especfica. O tratamento de dados sensveis dever
limitarse ao que for absolutamente necessrio no contexto de um determinado
inqurito.

Sempre que forem recolhidos dados pessoais sem o conhecimento da pessoa em


causa, esta dever ser informada da recolha de dados assim que essa divulgao j
no comprometer a investigao. A recolha de dados atravs de meios tcnicos de
vigilncia ou de outros meios automatizados tambm se dever basear em disposi-
es legais especficas.

Exemplo: No processo que deu origem ao acrdo Vetter c. Frana,253 o reque-


rente tinha sido acusado de homicdio por testemunhas annimas. Uma vez
que o requerente visitava regularmente a casa de um amigo, a polcia instalou
a dispositivos de escuta com a autorizao do juiz de instruo. Com base nas
conversas gravadas, o requerente foi detido e julgado por homicdio. Requereu
ao tribunal que a gravao fosse declarada inadmissvel como meio probat-
rio, alegando, em especial, que no estava prevista na lei. Segundo o TEDH, o
que importava determinar era se a utilizao de dispositivos de escuta estava
de acordo com a lei. A colocao de dispositivos de escuta em espaos pri-
vados estava manifestamente fora do mbito de aplicao do artigo 100. e
segs. do Cdigo de Processo Penal, dado que estas disposies respeitavam
interceo de linhas telefnicas. O artigo 81. do Cdigo no estabelecia, com
uma clareza razovel, o mbito ou o modo de exerccio da discricionariedade
das autoridades na autorizao da monitorizao de conversas privadas. Nesta

253 TEDH, acrdo Vetter c. Frana de 31demaiode2005, petio n.59842/00.

157
Manual da Legislao Europeia sobre Proteo de Dados

conformidade, o requerente no tinha usufrudo do grau mnimo de proteo a


que os cidados tinham direito ao abrigo do princpio do Estado de direito numa
sociedade democrtica. O TEDH concluiu que tinha havido uma violao do
artigo 8. da CEDH.

A Recomendao conclui que, no armazenamento de dados pessoais, deveria ser


feita uma distino clara entre: dados administrativos e dados policiais; diferen-
tes tipos de pessoas em causa, tais como arguidos, condenados, vtimas e teste-
munhas; e dados considerados factos objetivos e dados baseados em suspeitas ou
especulao.

A finalidade dos dados policiais deveria ser rigorosamente limitada. Isto tem conse-
quncias para a comunicao de dados policiais a terceiros: a legitimidade da trans-
ferncia ou comunicao desses dados dentro do setor policial deveria depender da
existncia ou no de um interesse legtimo em partilhar a informao. A transfe-
rncia ou comunicao desses dados fora do setor policial s deveria ser permitida
quando existisse uma autorizao ou obrigao legal clara nesse sentido. A trans-
ferncia ou comunicao internacional deveria restringirse s autoridades policiais
estrangeiras e basearse em disposies legais especiais, possivelmente acordos
internacionais, salvo se fosse necessria para a preveno de um perigo grave e
iminente.

O tratamento de dados pela polcia deve estar sujeito a um controlo independente


para assegurar o cumprimento da legislao interna sobre proteo de dados. As
pessoas em causa devem ter todos os direitos de acesso previstos na Conveno
108. Nos casos em que os direitos de acesso das pessoas em causa tenham sido
restringidos em conformidade com o artigo 9. da Conveno 108 no interesse de
uma investigao policial eficaz, o direito nacional deve atribuir pessoa em causa o
direito de recorrer para a autoridade nacional de controlo responsvel pela proteo
de dados ou para outro rgo independente.

7.1.2. Conveno de Budapeste sobre o Cibercrime


Uma vez que as atividades criminais utilizam e afetam cada vez mais sistemas
eletrnicos de tratamento de dados, so necessrias novas disposies legais na
rea do direito penal para responder a este desafio. Por conseguinte, o CdE adotou
um instrumento jurdico internacional a Conveno sobre o Cibercrime (tambm
conhecida como a Conveno de Budapeste) para responder questo dos crimes

158
Proteo de dados no contexto da atividade policial e da justia penal

cometidos contra e atravs de redes eletrnicas.254 Esta Conveno tambm est


aberta adeso de pases que no sejam membros do CdE e, em meados de 2013,
quatroEstados no pertencentes ao CdE Austrlia, Repblica Dominicana, Japo
e Estados Unidos eram partes na Conveno e 12outros pases no membros
tinham assinado a Conveno ou tinham sido convidados a aderir.

A Conveno sobre o Cibercrime continua a ser o tratado internacional mais


influente em matria de violaes da lei atravs da Internet ou de outras redes de
informao. Exige que as Partes atualizem e harmonizem o seu direito penal contra
a pirataria informtica e outras violaes de segurana, incluindo violao de direi-
tos de autor, burla informtica, pornografia infantil e outras ciberatividades ilcitas.
A Conveno tambm prev poderes processuais que abrangem buscas em redes
informticas e a interceo de comunicaes no contexto da luta contra o ciber-
crime. Por ltimo, viabiliza uma cooperao internacional eficaz. Foi adotado um
protocolo adicional Conveno relativo incriminao de atos de natureza racista e
xenfoba praticados atravs de sistemas informticos.

Embora a Conveno no seja, per se, um instrumento de promoo da proteo de


dados, incrimina atos suscetveis de violar o direito das pessoas proteo dos seus
dados. Estabelece ainda sobre as Partes Contratantes a obrigao de, ao implemen-
tarem a Conveno, preverem uma proteo adequada dos direitos humanos e das
liberdades garantidos pela CEDH, nomeadamente o direito proteo de dados.255

7.2. Legislao da UE sobre proteo


dedados em matria policial e penal
Pontos-chave

Ao nvel da UE, a proteo de dados no setor policial e da justia penal s est regulada
no contexto da cooperao transfronteiria entre as autoridades policiais e judicirias.

Foram estabelecidos regimes especiais de proteo de dados para o Servio Euro-


peu de Polcia (Europol) e a Unidade Europeia de Cooperao Judiciria (Eurojust), dois
rgos da UE que apoiam e promovem a aplicao efetiva da lei transfronteiras.

254 Conselho da Europa, Comit de Ministros (2001), Conveno sobre o Cibercrime, STCE n.185,
Budapeste, 23denovembrode2001, que entrou em vigor em 1dejulhode2004.
255 Ibid., artigo 15., n. 1.

159
Manual da Legislao Europeia sobre Proteo de Dados

Existem tambm regimes especiais de proteo de dados para os sistemas de infor-


mao comuns que foram estabelecidos ao nvel da UE para fins de intercmbio trans-
fronteirio de informaes entre as autoridades policiais e judicirias competentes. So
exemplos importantes o SchengenII, o Sistema de Informao sobre Vistos(VIS) e o
Eurodac, um sistema centralizado que contm os dados dactiloscpicos de nacionais de
pases terceiros que apresentem um pedido de asilo num dos Estados-Membros da UE.

A Diretiva de Proteo de Dados no aplicvel no domnio policial e da justia


penal. A seco7.2.1 descreve os instrumentos jurdicos mais importantes nesta
rea.

7.2.1. A Deciso-Quadro relativa proteo de dados


A Deciso-Quadro 2008/977/JAI do Conselho relativa proteo dos dados pessoais
tratados no mbito da cooperao policial e judiciria em matria penal (Deciso-
Quadro relativa proteo de dados)256 visa assegurar a proteo dos dados pes-
soais das pessoas singulares quando estes so tratados para efeitos de preveno,
investigao ou represso de infraes penais ou de execuo de sanes penais.
Os Estados-Membros e a UE so representados por autoridades competentes que
trabalham no setor policial ou da justia penal. Estas autoridades so agncias ou
organismos da UE, bem como autoridades dos Estados-Membros.257 A aplicabili-
dade da Deciso-Quadro est limitada garantia da proteo dos dados no mbito
da cooperao transfronteiria entre estas autoridades e no abrange a segurana
nacional.

A Deciso-Quadro relativa Proteo de Dados baseiase, em grande parte, nos


princpios e definies constantes da Conveno 108 e da Diretiva de Proteo de
Dados.

Os dados s podem ser utilizados por uma autoridade competente e exclusiva-


mente para a finalidade para que foram transmitidos ou disponibilizados. O Estado-
Membro destinatrio obrigado a respeitar as restries ao intercmbio de dados
eventualmente impostas pela legislao do Estado-Membro transmitente. Porm, em
certos casos, o Estado destinatrio pode utilizar os dados para uma finalidade dife-
rente. As autoridades competentes tm o dever especfico de registar e documen-
tar as transmisses, com vista a ajudar a identificar claramente as responsabilidades

256 Conselho da Unio Europeia (2008), Deciso-Quadro 2008/977/JAI do Conselho, de


27denovembrode2008, relativa proteo dos dados pessoais no mbito da cooperao policial e
judiciria em matria penal (Deciso-Quadro relativa proteo de dados), JO2008L350.
257 Ibid., artigo 2., al. h)

160
Proteo de dados no contexto da atividade policial e da justia penal

emergentes de queixas. A transferncia ulterior de dados recebidos no mbito da


cooperao transfronteira para terceiros exige o consentimento do Estado-Membro
de onde os dados provm, embora estejam previstas excees para casos urgentes.

As autoridades competentes devem tomar as medidas de segurana necessrias


para proteger os dados pessoais contra qualquer forma ilcita de tratamento.

Cada Estado-Membro deve assegurar a designao de uma ou vrias autoridades


nacionais de controlo responsveis pelo aconselhamento e pela fiscalizao da apli-
cao das disposies adotadas nos termos da Deciso-Quadro relativa proteo
de dados. Qualquer pessoa pode apresentar autoridade de controlo um pedido de
proteo dos seus direitos e liberdades no que diz respeito ao tratamento de dados
pessoais pelas autoridades competentes.

A pessoa em causa tem o direito de ser informada sobre o tratamento dos seus
dados pessoais, bem como o direito de acesso, retificao, apagamento ou bloqueio.
Quando o exerccio destes direitos for recusado por razes preponderantes, a pes-
soa em causa deve ter o direito de recorrer para a autoridade nacional de controlo
competente e/ou para um tribunal. Qualquer pessoa que sofra um prejuzo devido
a violaes das disposies nacionais de execuo da Deciso-Quadro relativa
proteo de dados tem o direito de obter uma indemnizao do responsvel pelo
tratamento.258 De um modo geral, as pessoas em causa devem poder recorrer judi-
cialmente em caso de violao dos direitos garantidos pela legislao nacional de
execuo da Deciso-Quadro relativa proteo de dados.259

A Comisso Europeia props uma reforma legislativa, que consiste num Regula-
mento geral sobre a proteo de dados,260 e numa Diretiva geral sobre a proteo
de dados.261 Esta nova diretiva ir substituir a atual Diretiva de Proteo de Dados e
aplicar princpios e regras gerais cooperao policial e judiciria em matria penal.

258 Ibid., artigo 19..


259 Ibid., artigo 20..
260 Comisso Europeia (2012), Proposta de Regulamento do Parlamento Europeu e do Conselho relativo
proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e livre
circulao desses dados (Regulamento geral sobre a proteo de dados), COM(2012)11final, Bruxelas,
25dejaneirode2012.
261 Comisso Europeia (2012), Proposta de Diretiva do Parlamento Europeu e do Conselho relativo
proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades
competentes para efeitos de preveno, investigao, deteo e represso de infraes penais ou
de execuo de sanes penais, e livre circulao desses dados (Diretiva geral sobre a proteo de
dados), COM(2012)10final, Bruxelas, 25dejaneirode2012.

161
Manual da Legislao Europeia sobre Proteo de Dados

7.2.2. Instrumentos jurdicos mais especficos sobre


a proteo de dados no mbito da cooperao
transfronteiria entre autoridades policiais e
judicirias
Para alm da Deciso-Quadro relativa proteo de dados, existem outros instru-
mentos jurdicos que regulam o intercmbio de informaes detidas pelos Estados-
Membros em reas especficas, tais como a Deciso-Quadro2009/315/JAI do Con-
selho relativa organizao e ao contedo do intercmbio de informaes extradas
do registo criminal entre os Estados-Membros e a Deciso do Conselho relativa a
disposies de cooperao entre as unidades de informao financeira dos Estados-
Membros em matria de troca de informaes.262

Importa salientar que a cooperao transfronteiria263 entre as autoridades compe-


tentes envolve, cada vez mais, o intercmbio de dados sobre imigrao. Esta rea
do direito no se enquadra no domnio policial e da justia penal, mas , em muitos
aspetos, relevante para o trabalho das autoridades policiais e judicirias. O mesmo
vlido em relao aos dados sobre mercadorias importadas para a UE ou exportadas
da UE. A eliminao dos controlos fronteirios internos dentro da UE exacerbou o
risco de fraude, obrigando os Estados-Membros a intensificar a cooperao, sobre-
tudo atravs do reforo do intercmbio transfronteirio de informaes, a fim de
detetar e reprimir mais eficazmente atos que violem a legislao aduaneira nacional
e da UE.

A Deciso Prm

Um exemplo importante da cooperao transfronteiras institucionalizada atravs do


intercmbio de dados detidos por autoridades nacionais a Deciso2008/615/JAI
do Conselho relativa ao aprofundamento da cooperao transfronteiras, em particu-
lar no domnio da luta contra o terrorismo e a criminalidade transfronteiras (Deciso

262 Conselho da Unio Europeia (2009), Deciso-Quadro 2009/315/JAI do Conselho, de


26defevereirode2009, relativa organizao e ao contedo do intercmbio de informaes extradas
do registo criminal entre os Estados-Membros, JO2009L93; Conselho da Unio Europeia (2000),
Deciso 2000/642/JAI do Conselho, de 17deoutubrode2000, relativa a disposies de cooperao
entre as unidades de informao financeira dos Estados-Membros em matria de troca de informaes,
JO2000L271.
263 Comisso Europeia (2012), Comunicao da Comisso ao Parlamento Europeu e ao Conselho Reforar
a cooperao em matria de aplicao da lei na UE: o modelo europeu de intercmbio de informaes
(EIXM), COM(2012)735final, Bruxelas, 7dedezembrode2012.

162
Proteo de dados no contexto da atividade policial e da justia penal

Prm), que incorporou o Tratado de Prmno direito da UE em2008.264 O Tratado de


Prm era um acordo internacional sobre cooperao policial assinado em 2005 pela
ustria, Blgica, Frana, Alemanha, Luxemburgo, Pases Baixos e Espanha.265

A Deciso Prm visa ajudar os Estados-Membros a melhorar a partilha de informa-


es para fins de preveno e de luta contra a criminalidade em trs domnios: ter-
rorismo, criminalidade transfronteiras e migrao ilegal. Para esse efeito, a Deciso
estabelece disposies relativas:

ao acesso automatizado a perfis de ADN, a dados dactiloscpicos e a certos


dados do registo nacional de veculos;

ao fornecimento de dados relacionados com eventos importantes de alcance


transfronteirio;

ao fornecimento de informaes para a preveno de atentados terroristas;

a outras medidas de aprofundamento da cooperao policial transfronteiras.

As bases de dados disponibilizadas ao abrigo da Deciso Prm so inteiramente


reguladas pelo direito nacional, mas o intercmbio de dados simultaneamente
regulado pela Deciso e, mais recentemente, pela Deciso-Quadro relativa pro-
teo de dados. Os rgos competentes para fiscalizar estes fluxos de dados so as
autoridades nacionais de controlo responsveis pela proteo de dados.

7.2.3. Proteo de dados na Europol e na Eurojust


Europol

A Europol, o servio de polcia da UE, tem a sua sede na Haia, existindo uma Unidade
Nacional Europol (UNE) em cada Estado-Membro. A Europol foi criada em1998;
o seu atual estatuto jurdico como instituio da UE tem por base a Deciso do

264 Conselho da Unio Europeia (2008), Deciso 2008/615/JAI do Conselho, de 23dejunhode2008,


relativa ao aprofundamento da cooperao transfronteiras, em particular no domnio da luta contra o
terrorismo e a criminalidade transfronteiras, JO2008L210.
265 Conveno entre o Reino da Blgica, a Repblica Federal da Alemanha, o Reino de Espanha, a Repblica
Francesa, o GroDucado do Luxemburgo, o Reino dos Pases Baixos e a Repblica da ustria relativa ao
aprofundamento da cooperao transfronteiras, em particular no domnio da luta contra o terrorismo
e a criminalidade transfronteiras, disponvel em: http://register.consilium.europa.eu/pdf/en/05/st10/
st10900.en05.pdf.

163
Manual da Legislao Europeia sobre Proteo de Dados

Conselho que cria o Servio Europeu de Polcia (Deciso Europol).266 A Europol tem
por objetivo apoiar a preveno e a investigao da criminalidade organizada, do
terrorismo e de outras formas graves de criminalidade, enumeradas no anexo
Deciso Europol, que afetem dois ou mais Estados-Membros.

A fim de atingir os seus objetivos, a Europol criou o Sistema de Informaes Europol,


que proporciona uma base de dados para os Estados-Membros trocarem dados e
informaes de natureza penal atravs das respetivas UNE. O Sistema de Informa-
es Europol apenas pode ser utilizado para disponibilizar dados relativos a: pessoas
que sejam suspeitas da prtica de uma infrao penal da competncia da Europol ou
que tinham sido condenadas por alguma dessas infraes; ou pessoas relativamente
s quais haja indcios factuais de que tenham praticado essas infraes. A Europol e
as UNE podem introduzir diretamente dados no Sistema de Informaes Europol e
consultlos. Apenas a parte que introduziu os dados no sistema pode proceder sua
alterao, retificao ou apagamento.

Quando tal seja necessrio para o desempenho das suas funes, a Europol pode
conservar, alterar e utilizar dados relativos a infraes penais em ficheiros de an-
lise. Os ficheiros de anlise so criados para efeitos de compilao, tratamento ou
utilizao de dados com o objetivo de apoiar investigaes criminais concretas con-
duzidas pela Europol em conjunto com os Estados-Membros da UE.

Em resposta aos novos desenvolvimentos, foi criado o Centro Europeu da Cibercrimi-


nalidade no seio da Europol em 1dejaneirode2013.267 O centro serve de ponto de
convergncia europeu das informaes sobre cibercriminalidade, contribuindo para
reaes mais rpidas no caso dos crimes em linha, desenvolvendo e implementando
funcionalidades forenses digitais e aplicando as melhores prticas no domnio da
investigao de cibercrimes. O centro dedica especial ateno aos cibercrimes que:

266 Conselho da Europa (2009), Deciso do Conselho, de 6 de abril de 2009, que cria o Servio Europeu de
Polcia (Europol), JO2009L121. Ver tambm a Proposta da Comisso para um regulamento que prev,
por conseguinte, um quadro jurdico para uma nova Europol, que substitui e sucede Europol criada
pela Deciso 2009/371/JAI do Conselho, de 6deabrilde2009, que cria o Servio Europeu de Polcia
(Europol) , bem como CEPOL criada pela Deciso 2005/681/JAI do Conselho, que cria a Academia
Europeia de Polcia (CEPOL), COM(2013)173final.
267 Ver tambm AEPD (2012), Parecer da Autoridade Europeia para a Proteo de Dados sobre a
Comunicao da Comisso Europeia ao Conselho e ao Parlamento Europeu relativa criao de um
Centro Europeu da Cibercriminalidade, Bruxelas, 29dejunhode2012 [apenas est disponvel em PT a
sntese do parecer].

164
Proteo de dados no contexto da atividade policial e da justia penal

so praticados por grupos criminosos organizados para gerar grandes lucros,


como a fraude em linha;

causam danos graves s vtimas, como a explorao sexual de crianas em linha;

afetam infraestruturas e sistemas de informao crticos da UE.

O regime de proteo de dados aplicvel s atividades da Europol reforado. No


seu artigo27., a Deciso Europol estabelece a aplicabilidade dos princpios consa-
grados na Conveno108 e na Recomendao sobre a atividade policial em mat-
ria de tratamento de dados automatizados e no automatizados. A transmisso de
dados entre a Europol e os Estados-Membros tambm tem de respeitar as regras
previstas na Deciso-Quadro relativa proteo de dados.

A fim de assegurar o cumprimento da legislao sobre proteo de dados aplic-


vel e, em especial, que o tratamento de dados pessoais no viola os direitos das
pessoas, a Instncia Comum de Controlo (ICC) fiscaliza e controla as atividades da
Europol.268 Todas as pessoas tm o direito de acesso a quaisquer dados pessoais que
a Europol mantenha a seu respeito, bem como o direito de requerer a verificao,
retificao ou apagamento dos mesmos. Se uma pessoa no ficar satisfeita com a
deciso da Europol sobre o exerccio destes direitos, poder recorrer para o Comit
de Recursos da ICC.

Se ocorrerem danos devido existncia de erros de facto ou de direito nos dados


conservados ou tratados pela Europol, a parte lesada s poder recorrer ao tribunal
competente do Estado-Membro onde ocorreu o facto gerador do dano.269 A Europol
reembolsar o Estado-Membro se os danos resultarem do incumprimento das suas
obrigaes legais.

Eurojust

Criada em 2002, a Eurojust um rgo da UE com sede na Haia, que promove a coo-
perao judiciria no mbito de investigaes e procedimentos penais relacionados

268 Deciso Europol, artigo 34.


269 Ibid., artigo 52.

165
Manual da Legislao Europeia sobre Proteo de Dados

com formas graves de criminalidade que impliquem dois ou mais Estados-


Membros.270 A Eurojust competente para:

incentivar e melhorar a coordenao das investigaes e procedimentos penais


entre as autoridades dos vrios Estados-Membros;

facilitar a execuo de pedidos e decises relacionados com cooperao


judiciria.

As funes da Eurojust so desempenhadas por membros nacionais. Cada Estado-


Membro destaca um juiz ou procurador para a Eurojust, cujo estatuto est sujeito ao
direito nacional e a quem so atribudas as competncias exigidas para o desempe-
nho das funes necessrias ao incentivo e melhoria da cooperao judiciria. Alm
disso, os membros nacionais atuam colegialmente para desempenhar funes espe-
ciais da Europol.

A Eurojust pode tratar dados pessoais, desde que tal seja necessrio para alcan-
ar os seus objetivos. Porm, este tratamento est limitado a informaes espe-
cficas sobre pessoas suspeitas da prtica ou da participao em infraes penais
da competncia da Eurojust ou condenadas por tais infraes. A Eurojust tambm
pode tratar certas informaes sobre testemunhas ou vtimas de infraes penais
abrangidas pela sua esfera de competncia.271 Em casos excecionais, a Eurojust pode
tratar, durante um perodo de tempo limitado, outros dados pessoais relativos s cir-
cunstncias em que foi cometida uma infrao quando os mesmos seja de interesse
imediato para uma investigao em curso. No mbito da sua competncia, a Eurojust
pode cooperar e trocar dados pessoais com outras instituies, rgos e agncias da
UE. A Eurojust pode igualmente cooperar e trocar dados pessoais com organizaes
e pases terceiros.

Relativamente proteo de dados, a Eurojust deve garantir um nvel de proteo


pelo menos equivalente aos princpios consagrados na Conveno 108 do Conselho

270 Conselho da Unio Europeia (2002), Deciso 2002/187/JAI do Conselho, de 28defevereirode2002,


relativa criao da Eurojust a fim de reforar a luta contra as formas graves de criminalidade,
JO2002L63; Conselho da Unio Europeia (2003), Deciso 2003/659/JAI do Conselho, de
18dejunhode2003, que altera a Deciso2002/187/JAI do Conselho relativa criao da Eurojust
a fim de reforar a luta contra as formas graves de criminalidade, JO2003L245; Conselho da Unio
Europeia (2009), Deciso 2009/426/JAI do Conselho, de 16dedezembrode2008, relativa ao reforo
da Eurojust e que altera a Deciso 2002/187/JAI do Conselho relativa criao da Eurojust a fim de
reforar a luta contra as formas graves de criminalidade, JO2009L138 (Decises Eurojust).
271 Verso consolidada da Deciso 2002/187/JAI do Conselho, na redao que lhe foi dada pela
Deciso2003/659/JAI do Conselho e pela Deciso 2009/426/JAI do Conselho, artigo 15., n. 2.

166
Proteo de dados no contexto da atividade policial e da justia penal

da Europa na redao em vigor. Em casos de intercmbio de dados, devem ser


respeitadas regras e limitaes especficas, que so estabelecidas em acordos ou
mecanismos de cooperao em conformidade com as Decises Eurojust do Conse-
lho e as Regras da Eurojust relativas proteo dados.272

Foi criada uma ICC independente da Eurojust, que responsvel pelo controlo do
tratamento de dados pessoais efetuado por esta. As pessoas que no estiverem
satisfeitas com a resposta dada pela Eurojust a um pedido de acesso, retificao,
bloqueio ou apagamento de dados pessoais podem recorrer para a ICC. Se a Eurojust
tratar ilicitamente dados pessoais, ser responsvel, em conformidade com a legis-
lao nacional do Estado-Membro onde se situa a sua sede, os Pases Baixos, por
quaisquer danos causados pessoa em causa.

7.2.4. Proteo de dados nos sistemas de informao


comuns ao nvel da UE
Para alm do intercmbio de dados entre os Estados-Membros e a criao de autori-
dades da UE especializadas com o objetivo de combater a criminalidade transfrontei-
ria, foram estabelecidos vrios sistemas de informao comuns ao nvel da UE para
servir de plataforma ao intercmbio de dados entre as autoridades nacionais e da UE
competentes para determinados fins de aplicao da lei, nomeadamente no dom-
nio aduaneiro e da imigrao. Alguns destes sistemas resultaram de acordos mul-
tilaterais que foram posteriormente complementados por sistemas e instrumentos
jurdicos da UE, tais como o Sistema de Informao de Schengen, o Sistema de Infor-
mao sobre Vistos, o Eurodac, o Eurosur ou o Sistema de Informao Aduaneiro.

A Agncia Europeia para a Gesto Operacional de Sistemas Informticos de Grande


Escala (eu-LISA),273 criada em2012, responsvel pela gesto operacional a longo
prazo do Sistema de Informao de Schengen de segunda gerao (SISII), do Sis-
tema de Informao sobre Vistos (VIS) e do Eurodac. A principal funo da euLISA
consiste em assegurar o funcionamento eficaz, seguro e ininterrupto dos sistemas
informticos. igualmente responsvel pela adoo das medidas necessrias para
garantir a segurana dos sistemas e dos dados.

272 Disposies do Regulamento Interno da Eurojust relativas ao Tratamento e Proteo de Dados


Pessoais, JO2005C68/01, 19demarode2005, p.1.
273 Regulamento (UE) n.1077/2011 do Parlamento Europeu e do Conselho, de 25deoutubrode2011,
que cria uma Agncia europeia para a gesto operacional de sistemas informticos de grande escala no
espao de liberdade, segurana e justia, JO2011L286.

167
Manual da Legislao Europeia sobre Proteo de Dados

O Sistema de Informao de Schengen

Em 1985, vrios Estados-Membros das antigas Comunidades Europeias celebraram


o Acordo entre os Estados da Unio Econmica Benelux, a Alemanha e a Frana
relativo supresso gradual dos controlos nas suas fronteiras comuns (Acordo
de Schengen), com o objetivo de criar um espao de livre circulao de pessoas,
sem controlos fronteirios, dentro do territrio Schengen.274 A fim de neutralizar
a ameaa para a segurana pblica suscetvel de resultar da abertura das frontei-
ras, foram reforados os controlos nas fronteiras externas do espao Schengen e
estabelecida uma estreita cooperao entre as autoridades policiais e judicirias
nacionais.

Em virtude da adeso de outros Estados ao Acordo de Schengen, o sistema Schen-


gen foi finalmente integrado no quadro jurdico da UE pelo Tratado de Amester-
do.275 Esta deciso foi implementada em 1999. A mais recente verso do Sis-
tema de Informao de Schengen, o chamado SISII, entrou em funcionamento em
9deabril de 2013. Este sistema serve agora todos os Estados-Membros da UE e
ainda a Islndia, o Listenstaine, a Noruega e a Sua.276 A Europol e a Eurojust tam-
bm tm acesso ao SISII.

O SISII composto por um sistema central (CSIS), um sistema nacional (NSIS) em


cada Estado-Membro e uma infraestrutura de comunicao ente o sistema central e
os sistemas nacionais. O CSIS contm certos dados introduzidos pelos Estados-Mem-
bros sobre pessoas e objetos. O CSIS utilizado pelas autoridades nacionais respon-
sveis pelo controlo fronteirio e pela emisso de vistos, bem como pelas autorida-
des policiais, aduaneiras e judicirias nacionais em todo o espao Schengen. Cada
um dos Estados-Membros gere uma cpia nacional do CSIS os Sistemas Nacionais
de Informao de Schengen (NSIS) que constantemente atualizada, atualizando
assim o CSIS. O NSIS consultado e emitir uma indicao quando:

274 Acordo entre os Governos dos Estados da Unio Econmica Benelux, da Repblica Federal da
Alemanha e da Repblica Francesa relativo supresso gradual dos controlos nas fronteiras comuns,
JO2000L239.
275 Comunidades Europeias (1997), Tratado de Amesterdo que altera o Tratado da Unio Europeia,
os Tratados que instituem as Comunidades Europeias e alguns atos relativos a esses Tratados,
JO1997C340.
276 Regulamento (CE) n.1987/2006 do Parlamento Europeu e do Conselho, de 20dedezembrode2006,
relativo ao estabelecimento, ao funcionamento e utilizao do Sistema de Informao de Schengen
de segunda gerao, JO2006L381 (SISII) e Conselho da Unio Europeia (2007), Deciso2007/533/JAI
do Conselho, de 12dejunhode2007, relativa ao estabelecimento, ao funcionamento e utilizao do
Sistema de Informao Schengen de segunda gerao (SISII), JO2007L205.

168
Proteo de dados no contexto da atividade policial e da justia penal

a pessoa no tiver o direito de entrar ou permanecer no territrio Schengen;

a pessoa ou objeto for procurado por autoridades policiais ou judicirias;

tiver sido participado o desaparecimento da pessoa; ou

tiver sido participado o furto ou extravio das mercadorias, nomeadamente notas


de banco, automveis, carrinhas, armas de fogo e documentos de identificao.

Caso seja emitida uma indicao, devem ser iniciadas atividades de seguimento
atravs dos Sistemas Nacionais de Informao de Schengen.

O SIS II possui novas funcionalidades, nomeadamente a possibilidade de introduzir:


dados biomtricos, tais como impresses digitais e fotografias; ou novas categorias
de indicaes, tais como embarcaes, aeronaves, contentores ou meios de paga-
mento furtados; e melhores indicaes sobre pessoas e objetos; cpias dos manda-
dos de deteno europeus (MDE) emitidos contra pessoas procuradas para efeitos
de deteno, entrega ou extradio.

A Deciso 2007/533/JAI do Conselho relativa ao estabelecimento, ao funcionamento


e utilizao do Sistema de Informao Schengen de segunda gerao (Deciso
Schengen II) incorpora a Conveno 108: Os dados pessoais tratados em aplica-
o da presente deciso so protegidos nos termos da Conveno do Conselho da
Europa para a Proteo das Pessoas relativamente ao Tratamento Automatizado de
Dados de Carter Pessoal.277 Sempre que as autoridades policiais nacionais utilizem
dados pessoais em aplicao da Deciso SchengenII, as disposies da Conveno
108, bem como da Recomendao sobre a atividade policial, tm de ser implemen-
tadas no direito nacional.

A autoridade nacional de controlo competente em cada Estado-Membro respon-


svel pela superviso do NSIS interno. Deve, em especial, verificar a qualidade dos
dados que o Estado-Membro introduz no CSIS atravs do NSIS. A autoridade nacional
de controlo deve assegurar a realizao de uma auditoria s operaes de trata-
mento de dados no NSIS interno pelo menos de quatro em quatro anos. As autori-
dades nacionais de controlo e a AEPD cooperam e asseguram a superviso coorde-
nada do SIS, sendo a AEPD responsvel pela superviso do C-SIS. Por uma questo

277 Conselho da Unio Europeia (2007), Deciso 2007/533/JAI do Conselho, de 12dejunhode2007,


relativa ao estabelecimento, ao funcionamento e utilizao do Sistema de Informao Schengen de
segunda gerao, JO2007L205, artigo 57.

169
Manual da Legislao Europeia sobre Proteo de Dados

de transparncia, enviado um relatrio conjunto de atividades para o Parlamento


Europeu, o Conselho e a euLISA de dois em dois anos.

As pessoas podem exercer os seus direitos de acesso relativos ao SIS II em qualquer


Estado-Membro, dado que cada N-SIS uma cpia exata do CSIS.

Exemplo: No processo que deu origem ao acrdo Dalea c. Frana,278 foi recu-
sado ao requerente um visto para visitar Frana, dado que as autoridades fran-
cesas tinham comunicado ao Sistema de Informao Schengen que a entrada
dessa pessoa deveria ser recusada. O requerente procurou exercer, sem xito,
os seus direitos de acesso e retificao ou apagamento dos dados perante a
Comisso para a Proteo de Dados francesa e, em ltima instncia, perante o
Conselho de Estado. O TEDH considerou que a incluso do requerente no Sis-
tema de Informao de Schengen tinha sido efetuada de acordo com a lei e
tinha prosseguido o objetivo legtimo de defender a segurana nacional. Uma
vez que o requerente no demonstrara os danos efetivamente sofridos em
resultado da recusa de entrada no espao Schengen e dada que tinham sido
adotadas medidas suficientes para o proteger de decises arbitrrias, a inge-
rncia no exerccio do seu direito ao respeito pela vida privada tinha sido pro-
porcional. Por conseguinte, a queixa do requerente ao abrigo do artigo8. foi
declarada inadmissvel.

O Sistema de Informao sobre Vistos

O Sistema de Informao sobre Vistos (VIS), tambm da responsabilidade da eu-


LISA, foi desenvolvido com o objetivo de apoiar a implementao de uma poltica
comum em matria de vistos ao nvel da UE.279 O VIS permite aos Estados Schengen
trocar dados sobre vistos atravs de um sistema que estabelece a ligao entre os
consulados desses Estados em pases no pertencentes UE e pontos de passagem

278 TEDH, acrdo Dalea c. Frana (deciso sobre a admissibilidade) de 2defevereirode2010, petio
n.964/07.
279 Conselho da Unio Europeia (2004), Deciso do Conselho de 8dejunhode2004 que estabelece
o Sistema de Informao sobre Vistos (VIS), JO2004L213; Regulamento (CE) n.767/2008 do
Parlamento Europeu e do Conselho, de 9dejulhode2008, relativo ao Sistema de Informao sobre
Vistos(VIS) e ao intercmbio de dados entre os Estados-Membros sobre os vistos de curta durao,
JO2008L218 (Regulamento VIS); Conselho da Unio Europeia (2008), Deciso2008/633/JAI do
Conselho, de 23dejunhode2008, relativa ao acesso para consulta ao Sistema de Informao sobre
Vistos(VIS) por parte das autoridades designadas dos Estados-Membros e por parte da Europol para
efeitos de preveno, deteo e investigao de infraes terroristas e outras infraes penais graves,
JO2008L218.

170
Proteo de dados no contexto da atividade policial e da justia penal

das fronteiras externas. O VIS trata dados relativos a pedidos de vistos de curta
durao apresentados por pessoas que pretendem visitar ou que se encontram em
trnsito pelo espao Schengen. O VIS permite que as autoridades fronteirias verifi-
quem, com o auxlio de dados biomtricos, se a pessoa que apresenta o visto ou
no o seu legtimo titular e identifiquem pessoas sem documentos ou com docu-
mentos obtidos fraudulentamente.

Nos termos do Regulamento (CE) n.767/2008 do Parlamento Europeu e do Conse-


lho relativo ao Sistema de Informao sobre Vistos (VIS) e ao intercmbio de dados
entre os Estados-Membros sobre os vistos de curta durao (Regulamento VIS),
apenas podem ser registados no VIS dados sobre o requerente, os seus vistos, foto-
grafias, impresses digitais, ligaes para pedidos anteriores e processos de pedidos
de visto das pessoas que o acompanham.280 O acesso ao VIS para introduzir, alterar
ou apagar dados est reservado s autoridades responsveis pela emisso de vis-
tos dos Estados-Membros, enquanto o acesso para consulta dos dados concedido
s autoridades responsveis pela emisso de vistos e s autoridades competentes
para realizar controlos nos pontos de passagem das fronteiras externas e controlos
em matria de imigrao e de asilo. Em certas condies, as autoridades policiais
nacionais competentes e a Europol podem requerer o acesso a dados introduzidos
no VIS para efeitos de preveno, deteo e investigao de infraes terroristas e
infraes penais.281

Eurodac

O nome do Eurodac tem origem na palavra dactilograma, ou seja, impresso digi-


tal. Tratase de um sistema centralizado que contm os dados dactiloscpicos de
nacionais de pases terceiros que pedem asilo num dos Estados-Membros da UE.282
O sistema est operacional desde janeiro de 2003 e visa ajudar a determinar que

280 Artigo 5. do Regulamento (CE) n.767/2008 do Parlamento Europeu e do Conselho, de


9dejulhode2008, relativo ao Sistema de Informao sobre Vistos (VIS) e ao intercmbio de dados
entre os Estados-Membros sobre os vistos de curta durao (Regulamento VIS), JO2008L218.
281 Conselho da Unio Europeia (2008), Deciso 2008/633/JAI do Conselho, de 23dejunhode2008,
relativa ao acesso para consulta ao Sistema de Informao sobre Vistos (VIS) por parte das autoridades
designadas dos Estados-Membros e por parte da Europol para efeitos de preveno, deteo e
investigao de infraes terroristas e outras infraes penais graves, JO2008L218.
282 Regulamento (CE) n.2725/2000 do Conselho, de 11dedezembrode2000, relativo criao
do sistema Eurodac de comparao de impresses digitais para efeitos da aplicao efetiva da
Conveno de Dublim, JO2000L316; Regulamento (CE) n.407/2002 do Conselho, de 28 de fevereiro
de 2002, que fixa determinadas regras de execuo do Regulamento CE) n.2725/2000 relativo
criao do sistema Eurodac de comparao de impresses digitais para efeitos da aplicao efetiva da
Conveno de Dublim, JO2002L62 (Regulamento Eurodac).

171
Manual da Legislao Europeia sobre Proteo de Dados

Estado-Membro deveria ser responsvel pela anlise de um determinado pedido


de asilo ao abrigo do Regulamento (CE) n.343/2003 do Conselho que estabelece
os critrios e mecanismos de determinao do Estado-Membro responsvel pela
anlise de um pedido de asilo apresentado num Estado-Membro por um nacional
de um pas terceiro (Regulamento DublimII).283 Os dados pessoais constantes do
Eurodac s podem ser utilizados para efeitos de facilitar a aplicao do Regulamento
DublimII; qualquer outra utilizao est sujeita a sanes.

O Eurodac consiste numa unidade central, gerida pela eu-LISA, para registar e com-
parar impresses digitais, e um sistema de transmisso eletrnica de dados entre
os Estados-Membros e a base de dados central. Os Estados-Membros recolhem e
transmitem as impresses digitais de todos os nacionais de pases terceiros ou ap-
tridas com, pelo menos, 14 anos que peam asilo no seu territrio ou que sejam
intercetadas por ocasio da passagem no autorizada da sua fronteira externa. Os
Estados-Membros podem igualmente recolher e transmitir as impresses digitais de
nacionais de pases terceiros ou aptridas cuja permanncia no seu territrio no
esteja autorizada.

Os dados dactiloscpicos so registados na base de dados Eurodac sob forma pseu-


donimizada. Em caso de concordncia, o pseudnimo, juntamente com o nome do
primeiro Estado-Membro que transmitiu os dados dactiloscpicos, divulgado ao
segundo Estado-Membro. O segundo Estado-Membro contactar ento o primeiro
Estado-Membro porque, nos termos do Regulamento Dublim II, o primeiro Estado-
Membro responsvel pelo tratamento do pedido de asilo.

Os dados pessoais registados no Eurodac que digam respeito a requerentes de asilo


so conservados por um perodo de 10 anos a contar da data em que as impresses
digitais foram recolhidas, salvo se a pessoa em causa adquirir a cidadania de um
Estado-Membro da UE. Neste caso, os dados devem ser imediatamente apagados.
Os dados relativos a nacionais de pases estrangeiros que tenham sido intercetados
por ocasio da passagem no autorizada da fronteira externa so conservados por
um perodo de doisanos. Se a pessoa em causa obtiver uma autorizao de residn-
cia, abandonar o territrio da UE ou adquirir a cidadania de um Estado-Membro, os
dados devem ser imediatamente apagados.

283 Regulamento (CE) n.343/2003 do Conselho, de 18defevereirode2003, que estabelece os critrios


e mecanismos de determinao do Estado-Membro responsvel pela anlise de um pedido de asilo
apresentado num Estado-Membro por um nacional de um pas terceiro (Regulamento DublimII),
JO2003L50.

172
Proteo de dados no contexto da atividade policial e da justia penal

Para alm de todos os Estados-Membros da UE, a Islndia, a Noruega, o Listenstaine


e a Sua tambm utilizam o Eurodac com base em acordos internacionais.

Eurosur

O Sistema Europeu de Vigilncia das Fronteiras (Eurosur)284 pretende melhorar o con-


trolo das fronteiras externas do espao Schengen atravs da deteo, preveno e
combate imigrao ilegal e criminalidade transfronteiria. O Eurosur visa reforar
o intercmbio de informaes e a cooperao operacional entre os centros nacionais
de coordenao e a Frontex, a agncia da UE responsvel pelo desenvolvimento e
aplicao do novo modelo de gesto integrada das fronteiras.285 Os seus objetivos
gerais so os seguintes:

reduzir o nmero de migrantes ilegais que entram na UE sem serem detetados;

reduzir o nmero de mortes de migrantes ilegais, salvando mais vidas no mar;

reforar a segurana interna da UE no seu todo atravs da contribuio para a


preveno da criminalidade transfronteiria.286

Entrou em funcionamento em 2dedezembrode2013 em todos os Estados-


Membros com fronteiras externas e comear a ser implementado a partir de
1dedezembrode2014 nos restantes. O Regulamento ser aplicvel vigiln-
cia das fronteiras externas terrestres e martimas e das fronteiras areas dos
Estados-Membros.

284 Regulamento (UE) n. 1052/2013 do Parlamento Europeu e do Conselho, de 22deoutubrode2013,


que cria o Sistema Europeu de Vigilncia das Fronteiras (Eurosur), JO2013L295.
285 Regulamento (UE) n.1168/2011 do Parlamento Europeu e do Conselho, de 25deoutubrode2011,
que altera o Regulamento (CE) n.2007/2004 do Conselho que cria uma Agncia Europeia de Gesto da
Cooperao Operacional nas Fronteiras Externas dos Estados-Membros da Unio Europeia (Regulamento
Frontex), JO2011L394.
286 Ver tambm: Comisso Europeia (2008), Comunicao da Comisso ao Parlamento Europeu, ao
Conselho, ao Comit Econmico e Social Europeu e ao Comit das Regies intitulada Anlise da
criao de um Sistema Europeu de Vigilncia das Fronteiras (Eurosur), COM(2008)68final, Bruxelas,
13defevereirode2008; Comisso Europeia (2011), Impact Assessment accompanying the Proposal
for a Regulation of the European Parliament and of the Council establishing the European Border
Surveillance System (Eurosur) (Avaliao de impacto que acompanha a Proposta de Regulamento
do Parlamento Europeu e do Conselho que cria o Sistema Europeu de Vigilncia das Fronteiras
[Eurosur]), Documento de trabalho dos servios da Comisso, SEC(2011)1536 final, Bruxelas,
12dedezembrode2011, p.18.

173
Manual da Legislao Europeia sobre Proteo de Dados

Sistema de Informao Aduaneiro

Outro importante sistema de informao comum estabelecido ao nvel da UE o Sis-


tema de Informao Aduaneiro (SIA).287 Durante o processo de criao de um mer-
cado interno, foram abolidos todos os controlos e formalidades em relao s mer-
cadorias que entravam no territrio da UE, o que exacerbou o risco de fraude. Este
risco foi contrabalanado pela intensificao da cooperao entre as administraes
aduaneiras dos Estados-Membros. O SIA tem por objetivo auxiliar os Estados-Mem-
bros na preveno, investigao e represso de violaes graves da legislao adua-
neira e agrcola nacional e da UE.

As informaes contidas no SIA abrangem dados pessoais relacionados com merca-


dorias, meios de transporte, empresas, pessoas e retenes, apreenses ou confis-
cos de mercadorias e de dinheiro lquido. Estas informaes s podem ser utilizadas
para efeitos de observao e informao, realizao de controlos especficos ou de
anlise estratgia ou operacional relativamente a pessoas suspeitas de violarem dis-
posies aduaneiras.

O acesso ao SIA concedido s autoridades aduaneiras, fiscais, agrcolas, policiais e


de sade pblica nacionais, bem como Europol e Eurojust.

O tratamento de dados pessoais tem de cumprir as regras especficas estabelecidas


pelo Regulamento n.515/97 e pela Deciso SIA,288 bem como as disposies da
Diretiva de Proteo de Dados, do Regulamento Proteo de Dados (Instituies da
UE), da Conveno108 e da Recomendao sobre a atividade policial. A Autoridade
de Controlo Comum (ACC) do SIA supervisiona a aplicao da Deciso SAI, enquanto
a AEPD responsvel pela superviso da observncia do Regulamento n.45/2001
e convoca, pelo menos uma vez por ano, uma reunio com todas as autoridades
nacionais de proteo de dados, competentes pelas questes de superviso do sis-
tema aduaneiro.

287 Conselho da Unio Europeia (1995), Ato do Conselho, de 26 de julho de 1995, que institui a Conveno
sobre a utilizao da informtica no domnio aduaneiro, JO1995C316, com a redao que lhe foi
dada pela Deciso2009/917/JAI do Conselho, de 30denovembrode2009, relativa utilizao da
informtica no domnio aduaneiro, JO2009L323 (Deciso SIA). Regulamento (CE) n. 515/97 do
Conselho, de 13demarode1997, relativo assistncia mtua entre as autoridades administrativas
dos Estados-membros e colaborao entre estas e a Comisso, tendo em vista assegurar a correta
aplicao das regulamentaes aduaneira e agrcola.
288 Ibid.

174
8.

8
Outra legislao europeia
especfica sobre proteo
de dados
UE Questes CdE
abrangidas
Diretiva de Proteo de Dados Comunicaes Conveno 108
Diretiva Privacidade Eletrnica eletrnicas Recomendao
sobre os servios de
telecomunicaes
Diretiva de Proteo de Dados, artigo 8., Relaes de Conveno 108
n. 2, al. b) emprego Recomendao sobre o
emprego
TEDH, acrdo Copland c.
Reino Unido de 3 de abril de
2007, petio n.62617/00
Diretiva de Proteo de Dados, artigo 8., Dados mdicos Conveno 108
n. 3 Recomendao sobre os
dados mdicos
TEDH, acrdo Z. c. Finlndia
de 25 de fevereiro de 1997,
petio n.22009/93
Diretiva Ensaios Clnicos Ensaios clnicos
Diretiva de Proteo de Dados, artigo 6., n. Estatsticas Conveno 108
1, al. b) e artigo 13., n. 2 Recomendao sobre os
dados estatsticos
Regulamento (CE) n. 223/2009 relativo s Estatsticas oficiais Conveno 108
Estatsticas Europeias Recomendao sobre os
TJUE, acrdo de 16 de dezembro de 2008 dados estatsticos
no processo C-524/06, Huber/Alemanha

175
Manual da Legislao Europeia sobre Proteo de Dados

UE Questes CdE
abrangidas
Diretiva 2004/39/CE relativa aos mercados Dados financeiros Conveno 108
de instrumentos financeiros Recomendao 90(19)
Regulamento (UE) n. 648/2012 relativo sobre dados pessoais
aos derivados do mercado de balco, s utilizados para fins de
contrapartes centrais e aos repositrios de pagamento e outras
transaes operaes conexas
Regulamento (CE) n. 1060/2009 relativo s TEDH, acrdo Michaud c.
agncias de notao de risco Frana de 6 de dezembro de
Diretiva 2007/64/CE relativa aos servios de 2012, petio n.12323/11
pagamento no mercado interno

Em vrios casos, foram adotados instrumentos jurdicos especiais ao nvel europeu,


que aplicam, em maior detalhe, as regras gerais da Conveno 108 ou da Diretiva de
Proteo de Dados a situaes concretas.

8.1. Comunicaes eletrnicas


Pontos-chave

A Recomendao do CdE, de 1995 contm regras especficas sobre a proteo de


dados na rea das telecomunicaes, em especial no mbito dos servios telefnicos.

O tratamento de dados pessoais no contexto da prestao de servios de comunica-


es ao nvel da UE regulado pela Diretiva Privacidade Eletrnica.

A confidencialidade das comunicaes eletrnicas abrange no apenas o teor da


comunicao como tambm dados de trfego, tais como informaes sobre quem
comunicou com quem, quando e por quanto tempo, e dados de localizao, tais como
o local de onde os dados foram comunicados.

As redes de comunicaes comportam um risco acrescido de ingerncia injustificada


na esfera pessoal dos utilizadores, dado que oferecem possibilidades tcnicas adi-
cionais de escuta e vigilncia das comunicaes que tm lugar nessas redes. Con-
sequentemente, foi considerado necessrio adotar uma regulamentao especial
em matria de proteo de dados para responder aos riscos especficos suportados
pelos utilizadores dos servios de comunicao.

176
Outra legislao europeia especfica sobre proteo de dados

Em1995, o CdE adotou uma Recomendao relativa proteo de dados no dom-


nio das telecomunicaes, em especial dos servios telefnicos.289 Segundo esta
recomendao, a recolha e o tratamento de dados pessoais no contexto das tele-
comunicaes devem ter unicamente como finalidades: ligao de um utilizador
rede, disponibilizao do servio de telecomunicaes em causa, faturao, verifica-
o, garantia do melhor funcionamento tcnico possvel e desenvolvimento da rede
e do servio.

Foi tambm dada especial ateno utilizao das redes de comunicaes para
enviar mensagens de marketing direto. Em regra, no permitido enviar mensa-
gens de marketing direto a qualquer assinante que tenha expressamente mani-
festado a sua vontade de no receber mensagens publicitrias. Os sistemas de
chamada automatizados que transmitem mensagens publicitrias prgravadas s
podem ser utilizados se o assinante tiver dado o seu consentimento expresso. O
direito nacional estabelecer regras detalhadas neste domnio.

No que respeita ao quadro jurdico da UE, aps uma primeira tentativa em1997, a
Diretiva relativa privacidade e s comunicaes eletrnicas (Diretiva Privacidade
Eletrnica) foi adotada em 2002 e alterada em 2009, com o objetivo de comple-
mentar e adaptar as disposies da Diretiva de Proteo de Dados ao setor das tele-
comunicaes.290 A Diretiva Privacidade Eletrnica exclusivamente aplicvel aos
servios de comunicaes em redes eletrnicas pblicas.

A Diretiva Privacidade Eletrnica distingue trs grandes categorias de dados gerados


durante uma comunicao:

os dados que constituem o teor das mensagens enviadas durante a comunica-


o; estes dados so estritamente confidenciais;

289 CdE, Comit de Ministros (1995), Recommendation Rec(95)4 to member states on the protection of
personal data in the area of telecommunication services, with particular reference to telephone services
(Recomendao Rec(95)4 aos Estados membros sobre a proteo de dados pessoais no domnio das
telecomunicaes, em especial dos servios telefnicos), de 7defevereirode1995.
290 Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao
tratamento de dados pessoais e proteo da privacidade no setor das comunicaes eletrnicas
(Diretiva relativa privacidade e s comunicaes eletrnicas), JO2002L201, com a redao que lhe foi
dada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25denovembrode2009,
que altera a Diretiva2002/22/CE relativa ao servio universal e aos direitos dos utilizadores em matria
de redes e servios de comunicaes eletrnicas, a Diretiva2002/58/CE relativa ao tratamento de
dados pessoais e proteo da privacidade no setor das comunicaes eletrnicas e o Regulamento
(CE) n.2006/2004 relativo cooperao entre as autoridades nacionais responsveis pela aplicao da
legislao de defesa do consumidor, JO2009L337.

177
Manual da Legislao Europeia sobre Proteo de Dados

os dados necessrios para estabelecer e manter a comunicao, os chamados


dados de trfego, tais como informaes sobre os parceiros, a hora e a durao
da comunicao;

dentro dos dados de trfego, existem dados especificamente relacionados com


a localizao do dispositivo de comunicao, os chamados dados de localizao;
estes dados so simultaneamente dados sobre a localizao dos utilizadores dos
dispositivos de comunicao e particularmente relevantes em relao aos utili-
zadores de dispositivos de comunicao mvel.

Os dados de trfego s podem ser utilizados pelo prestador de servios para efeitos
de faturao e se forem necessrios, em termos tcnicos, para prestar o servio.
Porm, com o consentimento da pessoa em causa, estes dados podem ser divulga-
dos a outros responsveis pelo tratamento que ofeream servios de valor acres-
centado, tais como o fornecimento de informaes sobre a estao de metro ou a
farmcia mais prxima em relao localizao do utilizador ou a previso meteoro-
lgica para este local.

Outro acesso a dados sobre comunicaes em redes eletrnicas, tal como o acesso
para fins de investigao de crimes, deve, segundo o artigo15. da Diretiva Privaci-
dade Eletrnica, cumprir o requisito da ingerncia justificada no exerccio do direito
proteo de dados, conforme estabelecido no artigo8., n. 2, da CEDH e confirmado
pela Carta nos seus artigos8. e 52..

Em 2009, foram introduzidas as seguintes alteraes Diretiva Privacidade


Eletrnica:291

As restries ao envio de mensagens de correio eletrnico para fins de marke-


ting direto foram alargadas aos servios SMS, MMS e a outros tipos de aplica-
es similares; o envio de mensagens de correio eletrnico para fins de marke-
ting proibido, a menos que tenha sido obtido o consentimento prvio. Sem tal
consentimento, este tipo de mensagem s pode ser enviado a antigos clientes
que tenham fornecido o seu endereo de correio eletrnico e no se opuserem.

291 Diretiva2009/136/CE do Parlamento Europeu e do Conselho, de 25denovembrode2009, que altera


a Diretiva2002/22/CE relativa ao servio universal e aos direitos dos utilizadores em matria de
redes e servios de comunicaes eletrnicas, a Diretiva2002/58/CE relativa ao tratamento de dados
pessoais e proteo da privacidade no setor das comunicaes eletrnicas e o Regulamento (CE)
n.2006/2004 relativo cooperao entre as autoridades nacionais responsveis pela aplicao da
legislao de defesa do consumidor, JO2009L337.

178
Outra legislao europeia especfica sobre proteo de dados

Foi imposta sobre os Estados-Membros a obrigao de estabelecerem vias de


recurso judicial em caso de violao da proibio de envio de comunicaes no
solicitadas.292

A instalao de testemunhos de conexo (cookies), um software que monito-


riza e regista as aes dos utilizadores dos computadores, deixa de ser permitida
sem o consentimento destes. O direito nacional deve regular mais detalhada-
mente o modo de manifestao e obteno do consentimento, a fim de oferecer
um nvel suficiente de proteo.293

Sempre que ocorra uma violao de dados pessoais em virtude de acesso no auto-
rizado, perda ou destruio de dados, a autoridade de controlo competente deve ser
imediatamente informada. Os assinantes devem ser informados da possibilidade de
sofreram danos devido a uma violao de dados pessoais.294

A Diretiva Conservao de Dados295 (invalidada em 8deabrilde2014) obrigava os


prestadores de servios de comunicaes a manter os dados de trfego disponveis,
especificamente para fins de combate aos crimes graves, durante um perodo no
inferior a seis meses e no superior a dois anos, independentemente destes dados
serem ou no ainda necessrios para efeitos de faturao ou para prestar tecnica-
mente o servio.

Os Estados-Membros da UE designaro autoridades pblicas independentes, que


so responsveis pelo controlo da segurana dos dados conservados.

292 Ver a Diretiva alterada, artigo 13..


293 Ver Ibid., artigo 5.; ver tambm Grupo de Trabalho do artigo 29. (2012), Parecer 4/2012 sobre
a iseno de consentimento para a utilizao de testemunhos de conexo, WP194, Bruxelas,
7dejunhode2012.
294 Ver tambm Grupo de Trabalho do artigo29. (2011), Working Document 01/2011 on the current EU
personal data breach framework and recommendations for future policy developments (Documento
de Trabalho 01/2011 sobre o atual quadro jurdico da UE em matria de violao de dados pessoais e
recomendaes sobre as polticas a adotar no futuro), WP184, Bruxelas, 5deabrilde2011.
295 Diretiva 2006/24/CE do Parlamento Europeu e do Conselho, de 15demarode2006, relativa
conservao de dados gerados ou tratados no contexto da oferta de servios de comunicaes
eletrnicas publicamente disponveis ou de redes pblicas de comunicaes, e que altera a
Diretiva2002/58/CE, JO2006L105.

179
Manual da Legislao Europeia sobre Proteo de Dados

A conservao dos dados de telecomunicaes , sem dvida, uma ingerncia no


exerccio do direito proteo de dados.296 A justificabilidade desta ingerncia tem
sido contestada em vrios processos judiciais nos Estados-Membros da UE297.

Exemplo: No processo Digital Rights Ireland e Seitlinger e Outros298, o TJUE


declarou invlida a Diretiva Conservao de Dados. De acordo com o Tribu-
nal, esta diretiva comporta uma ingerncia nestes direitos fundamentais de
grande amplitude e particular gravidade na ordem jurdica da Unio, sem que
essa ingerncia seja enquadrada com preciso por disposies que permitam
garantir que a mesma se limita efetivamente ao estritamente necessrio.

Uma questo crucial no contexto das comunicaes eletrnicas a ingerncia das


autoridades pblicas. S permitida a utilizao de meios de vigilncia ou interceo
das comunicaes, tais como dispositivos de escuta, se tal estiver previsto na lei e se
constituir uma medida necessria numa sociedade democrtica para salvaguardar
a segurana do Estado, a segurana pblica e os interesses monetrios do Estado,
reprimir infraes penais ou proteger a pessoa em causa ou os direitos e liberdades
de terceiros.

Exemplo: No processo que deu origem ao acrdo Malone c. Reino Unido299, o


requerente tinha sido acusado de recetao. Durante o julgamento, foi revelado
que uma conversa telefnica do requerente tinha sido intercetada com base
num mandado emitido pelo ministro da Administrao Interna. Embora a forma
como a comunicao do requerente tinha sido intercetada fosse lcita nos ter-
mos do direito nacional, o TEDH entendeu que no estavam previstas regras
jurdicas sobre o mbito e o modo de exerccio do poder discricionrio atribudo
s autoridades pblicas neste domnio e que, consequentemente, a ingerncia
resultante da existncia da prtica em causa no estava de acordo com a lei.
O TEDH concluiu que tinha havido uma violao do artigo 8. da CEDH.

296 AEPD (2011), Parecer de 31 de maio de 2011 sobre o Relatrio de avaliao da Comisso ao Conselho
e ao Parlamento Europeu sobre a Diretiva relativa conservao de dados (Diretiva 2006/24/CE),
31demaio de 2011.
297 Alemanha, Tribunal Constitucional Federal (Bundesverfassungsgericht), 1BvR256/08,
2demarode2010; Romnia, Tribunal Constitucional da Romnia (Curtea Constituional a Romniei),
n.1258, 8deoutubrode2009; Tribunal Constitucional da Repblica Checa (stavn soud esk
republiky), 94/2011Coll., 22demarode2011.
298 TJUE, acrdo de 8 de abril de 2014, processos apensos C-293/12 e C-594/12, Digital Rights Ireland e
Seitling e Outros, ponto 65.
299 TEDH, acrdo Malone c. Reino Unido de 2 de agosto de 1984, petio n. 8691/79.

180
Outra legislao europeia especfica sobre proteo de dados

8.2. Dados sobre o emprego


Pontos-chave

A Recomendao do CdE relativa aos dados sobre emprego contm regras especficas
aplicveis proteo de dados no contexto das relaes de emprego.

Na Diretiva de Proteo de Dados, as relaes de emprego s so expressamente


mencionadas no contexto do tratamento de dados sensveis.

A validade do consentimento, que tem de ser prestado livremente, como base legal do
tratamento de dados sobre os funcionrios poder ser questionvel, tendo em conta
o desequilbrio econmico existente entre o empregador e os funcionrios. As circuns-
tncias em que o consentimento prestado devem ser cuidadosamente examinadas.

No existe um quadro jurdico especfico na UE aplicvel ao tratamento de dados no


contexto do emprego. Na Diretiva de Proteo de Dados, as relaes de emprego s
so expressamente mencionadas no artigo8., n. 2, que diz respeito ao tratamento
de dados sensveis. Relativamente ao CdE, a Recomendao relativa aos dados
sobre emprego foi adotada em 1989 e est em fase de atualizao.300

Um documento de trabalho do Grupo de Trabalho do artigo29. contm um estudo


dos problemas de proteo de dados mais comuns no mbito do emprego.301 O
grupo de trabalho analisou a relevncia do consentimento enquanto base legal do
tratamento de dados sobre o emprego,302 tendo concludo que o desequilbrio eco-
nmico entre o empregador que pede o consentimento e o funcionrio que d esse
consentimento suscitar frequentemente dvidas sobre se o consentimento foi ou
no prestado livremente. Por conseguinte, na apreciao da validade do consenti-
mento no mbito do emprego, importa analisar cuidadosamente as circunstncias
em que o consentimento solicitado.

300 Conselho da Europa, Comit de Ministros (1989), Recommendation Rec(89)2 to member states on
the protection of personal data used for employment purposes (Recomendao Rec(89)2 aos Estados
membros sobre a proteo dos dados pessoais utilizados para fins de emprego), 18 de janeiro de1989.
Ver ainda Comit Consultivo da Conveno 108, Study on Recommendation No.R(89)2 on the
protection of personal data used for employment purposes and to suggest proposals for the revision of
the above-mentioned Recommendation (Estudo sobre a Recomendao n. R (89) 2 sobre a proteo
dos dados pessoais utilizados para fins de emprego e que apresenta propostas para a reviso desta
Recomendao), 9desetembrode2011.
301 Grupo de Trabalho do artigo 29. (2001), Parecer 8/2001 sobre o tratamento de dados pessoais no
mbito do emprego, WP48, Bruxelas, 13deSetembrode2001.
302 Grupo de Trabalho do artigo 29. (2005), Documento de trabalho sobre uma interpretao
comum do artigo 26., n. 1, da Diretiva 95/46/CE de 24 de outubro de1995, WP114, Bruxelas,
25denovembrode2005.

181
Manual da Legislao Europeia sobre Proteo de Dados

Um problema de proteo de dados comum no tpico ambiente de trabalho dos dias


de hoje a extenso legtima do controlo das comunicaes eletrnicas dos fun-
cionrios no local de trabalho. frequente afirmarse que este problema poderia ser
facilmente resolvido com a proibio do uso de equipamento de comunicao para
fins pessoais no local de trabalho. Porm, esta proibio geral poderia ser despro-
porcionada e pouco realista. O acrdo do TEDH que se segue revestese de especial
interesse neste contexto:

Exemplo: No processo que deu origem ao acrdo Copland c. Reino Unido,303


a utilizao do telefone, do correio eletrnico e da Internet pela funcionria de
uma faculdade tinha sido monitorizada sem o seu conhecimento para determi-
nar se ela estava a utilizar excessivamente o equipamento da faculdade para
fins pessoais. O TEDH considerou que as chamadas telefnicas efetuadas a
partir de estabelecimentos comerciais estavam abrangidas pelos conceitos de
vida privada e correspondncia. Por conseguinte, as chamadas telefnicas e as
mensagens de correio eletrnico enviadas do local de trabalho, bem como as
informaes obtidas atravs da monitorizao da utilizao da Internet para fins
pessoais estavam protegidas pelo artigo 8. da CEDH. No caso da requerente,
as circunstncias em que os empregadores podiam monitorizar a utilizao do
telefone, correio eletrnico e Internet pelos funcionrios no estavam regula-
das. Consequentemente, a ingerncia no estava de acordo com a lei. O TEDH
concluiu que tinha havido uma violao do artigo 8. da CEDH.

De acordo com a Recomendao do CdE sobre o emprego, os dados pessoais reco-


lhidos para fins de emprego deveriam ser obtidos diretamente junto do funcionrio
em causa.

Os dados pessoais recolhidos para fins de recrutamento devem limitarse s informa-


es necessrias para avaliar a aptido dos candidatos e o seu potencial profissional.

A recomendao tambm menciona expressamente dados subjetivos relativos


ao desempenho ou ao potencial de funcionrios especficos. Os dados subjetivos
devem basearse em avaliaes justas e honestas e no devem ser formulados em
termos vexatrios. Tratase de exigncias ditadas pelos princpios do tratamento leal
dos dados e da exatido dos dados.

303 TEDH, acrdo Copland c. Reino Unido de 3deabrilde2007, petio n.62617/00.

182
Outra legislao europeia especfica sobre proteo de dados

Um aspeto especfico da legislao sobre proteo de dados no contexto da relao


empregador/funcionrio o papel desempenhado pelos representantes dos funcio-
nrios. Estes representantes s podero receber os dados pessoais dos funcionrios
na medida necessria para representar os seus interesses.

Os dados pessoais sensveis recolhidos para fins de emprego s podero ser objeto
de tratamento em casos especficos e de acordo com as garantias estabelecidas no
direito interno. Os empregadores s podero fazer perguntas aos funcionrios ou
aos candidatos a emprego sobre o seu estado de sade ou submetlos a exames
mdicos se tal for necessrio para determinar a sua aptido para o desempenho
das funes, cumprir os requisitos da medicina preventiva ou possibilitar a atribui-
o de prestaes sociais. Os dados sobre a sade no podem ser obtidos de fontes
diferentes do funcionrio em causa, salvo quando tenha sido obtido o seu consenti-
mento expresso e informado ou quando o direito nacional o preveja.

Nos termos da Recomendao sobre o emprego, os funcionrios deveriam ser infor-


mados sobre a finalidade do tratamento dos seus dados pessoais, o tipo de dados
pessoais armazenados, as entidades a quem os dados so regularmente comuni-
cados e a base legal dessa comunicao. Os empregadores deveriam ainda infor-
mar antecipadamente os funcionrios sobre a introduo ou adaptao de sistemas
automatizados de tratamento dos seus dados pessoais ou de monitorizao dos
seus movimentos ou da sua produtividade.

Os funcionrios devem ter o direito de acesso aos seus dados de emprego, bem
como o direito de retificao ou apagamento dos mesmos. Em caso de tratamento
de dados subjetivos, os funcionrios devem ter ainda o direito de contestar a avalia-
o. No entanto, estes direitos podero ser temporariamente limitados para fins de
investigao interna. O direito nacional deve estabelecer procedimentos adequados
a que o funcionrio possa recorrer em caso de recusa de acesso, retificao ou apa-
gamento dos seus dados de emprego pessoais.

8.3. Dados mdicos


Ponto-chave

Os dados mdicos so dados sensveis e, como tal, gozam de proteo especfica.

183
Manual da Legislao Europeia sobre Proteo de Dados

Os dados pessoais sobre o estado de sade da pessoa em causa so qualificados


como dados sensveis pelo artigo 8., n. 1, da Diretiva de Proteo de Dados e pelo
artigo6. da Conveno108. Por conseguinte, os dados mdicos esto sujeitos a um
regime de tratamento de dados mais rigoroso do que os dados no sensveis.

Exemplo: No processo que deu origem ao acrdo Z. c. Finlndia,304 o ex-ma-


rido da requerente, que era seropositivo, tinha cometido uma srie de crimes
sexuais, tendo vindo a ser condenado pelo crime de homicdio no premeditado
por ter exposto deliberadamente as suas vtimas ao risco de infeo pelo VIH.
O tribunal nacional decidiu que a verso integral do acrdo e os autos deve-
riam ser mantidos confidenciais durante 10 anos, no obstante a requerente ter
pedido a fixao de um perodo de confidencialidade mais longo. O tribunal de
recurso negou provimento a estes pedidos e o seu acrdo continha os nomes
completos da requerente e do seu ex-marido. O TEDH entendeu que esta inge-
rncia no era considerada necessria numa sociedade democrtica porque
a proteo dos dados mdicos revestiase de importncia fundamental para o
gozo do direito ao respeito pela vida privada e pela vida familiar, especialmente
quando estivessem em causa informaes sobre infees pelo VIH, dado o
estigma associado a esta doena em muitas sociedades. Consequentemente,
o TEDH concluiu que a concesso de acesso identidade e ao estado de sade
da requerente, conforme descritos no acrdo do tribunal de recurso, decorridos
apenas 10anos desde a data do acrdo violaria o artigo8. da CEDH.

O artigo 8., n. 3, da Diretiva de Proteo de Dados permite o tratamento de dados


mdicos quando tal for necessrio para efeitos de medicina preventiva, diagnstico
mdico, prestao de cuidados ou tratamentos mdicos ou gesto de servios de
sade. Porm, o tratamento s admissvel se for realizado por um profissional de
sade sujeito a uma obrigao de segredo profissional ou por outra pessoa sujeita a
uma obrigao equivalente.305

304 TEDH, acrdo Z. c. Finlndia de 25 de fevereiro de 1997, petio n.22009/93, n.s 94 e 112;
ver tambm TEDH, acrdo M.S. c. Sucia de 27deagostode1997, petio n.20837/92; TEDH,
acrdo L.L. c. Frana de 10 de outubro de 2006, petio n. 7508/02; TEDH, acrdo I. c. Finlndia
de 17dejulhode2008, petio n.20511/03; TEDH, acrdo K.H. e outros c. Eslovquia de
28deabrilde2009, petio n.32881/04; TEDH, acrdo Szuluk c. Reino Unido de 2dejunhode2009,
petio n.36936/05.
305 Ver tambm TEDH, acrdo Biriuk c. Litunia de 25denovembrode2008, petio n.23373/03.

184
Outra legislao europeia especfica sobre proteo de dados

A Recomendao do CdE sobre dados mdicos, de 1997 aplica os princpios da Con-


veno108 ao tratamento de dados no domnio mdico em maior detalhe.306 As
regras propostas esto em conformidade com as disposies da Diretiva de Prote-
o de Dados em matria de legitimidade das finalidades do tratamento de dados
mdicos, das necessrias obrigaes de segredo profissional das pessoas que uti-
lizam dados sobre a sade, e dos direitos das pessoas em causa transparncia e
ao acesso, retificao e apagamento. Alm disso, os dados mdicos licitamente tra-
tados por profissionais da sade no podem ser transferidos para as autoridades
policiais, a menos que estejam previstas garantias suficientes para prevenir a divul-
gao dos dados em violao do direito ao respeito pela vida privada garantido pelo
artigo8. da CEDH.307

Por seu lado, a Recomendao sobre dados mdicos contm disposies especiais
sobre os dados mdicos dos nascituros e dos incapazes e sobre o tratamento de
dados genticos. A investigao cientfica expressamente identificada como um
motivo legtimo de conservao dos dados por um perodo mais longo do que
aquele durante o qual so necessrios, embora, neste caso, seja normalmente exi-
gida a sua anonimizao. O artigo12. da Recomendao sobre dados mdicos pro-
pe regras detalhadas para as situaes em que os investigadores necessitam de
dados pessoais e os dados anonimizados no so suficientes.

A pseudonimizao poder ser um meio adequado de satisfazer as necessidades


cientficas e proteger simultaneamente os interesses dos doentes em causa. O con-
ceito de pseudonimizao no contexto da proteo de dados explicado de forma
mais detalhada na seco2.1.3.

Est em curso um debate intensivo ao nvel nacional e da UE sobre iniciativas


relativas ao armazenamento de dados sobre o tratamento mdico de um doente
num ficheiro eletrnico de sade.308 Um aspeto especial da existncia de sistemas
nacionais de ficheiros eletrnicos de sade a sua disponibilidade transfrontei-
ria: um tpico de particular interesse na UE no contexto dos cuidados de sade
transfronteirios.309

306 CdE, Comit de Ministros (1997), Recommendation Rec(97)5 to member states on the protection of
medical data (Recomendao Rec(97)5 aos Estados membros sobre a proteo dos dados mdicos),
13defevereirode1997.
307 TEDH, acrdo Avilkina e outros c. Rssia de 6dejunhode2013, petio n. 1585/09, n.53 (no
definitivo).
308 Grupo de Trabalho do artigo29. (2007), Documento de trabalho sobre o tratamento de dados pessoais
ligados sade em registos de sade eletrnicos (RSE), WP131, Bruxelas, 15defevereirode2007.
309 Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9demarode2011, relativa ao
exerccio dos direitos dos doentes em matria de cuidados de sade transfronteirios, JO2011L88.

185
Manual da Legislao Europeia sobre Proteo de Dados

Outra rea em debate em relao a novas disposies so os ensaios clnicos, ou


seja, testar novos medicamentos em doentes num ambiente de investigao
documentado; este tpico tambm tem implicaes considerveis em mat-
ria de proteo de dados. Os ensaios clnicos de medicamentos para uso humano
so regulados pela Diretiva 2001/20/CE do Parlamento Europeu e do Conselho, de
4deabrild2001, relativa aproximao das disposies legislativas, regulamen-
tares e administrativas dos Estados-Membros respeitantes aplicao de boas pr-
ticas clnicas na conduo dos ensaios clnicos de medicamentos para uso humano
(Diretiva Ensaios Clnicos).310 Em dezembrode2012, a Comisso Europeia props um
regulamento para substituir a Diretiva Ensaios Clnico, com o objetivo de tornar mais
uniformes e eficientes os procedimentos dos ensaios.311

Existem muitas outras iniciativas, nomeadamente iniciativas legislativas, pendentes


na UE respeitantes aos dados pessoais no setor da sade.312

8.4. Tratamento de dados para fins


estatsticos
Pontos-chave

Os dados recolhidos para fins estatsticos no podem ser utilizados para qualquer outro
fim.

Os dados legitimamente recolhidos para qualquer fim podem ser tambm utilizados
para fins estatsticos, desde que o direito nacional estabelea garantias adequadas que
sejam respeitadas pelos utilizadores. Para este efeito, deve ser prevista, em especial,
a anonimizao ou pseudonimizao dos dados antes da transmisso para terceiros.

Na Diretiva de Proteo de Dados, o tratamento de dados para fins estatsticos


mencionado no contexto de possveis derrogaes aos princpios da proteo de

310 Diretiva 2001/20/CE do Parlamento Europeu e do Conselho, de4deabrilde2001, relativa


aproximao das disposies legislativas, regulamentares e administrativas dos Estados-Membros
respeitantes aplicao de boas prticas clnicas na conduo dos ensaios clnicos de medicamentos
para uso humano, JO2001L121.
311 Comisso Europeia (2012), Proposta de Regulamento do Parlamento Europeu e do Conselho relativo
aos ensaios clnicos de medicamentos para uso humano e que revoga a Diretiva 2001/20/CE,
COM(2012)369 final, Bruxelas, 17dejulhode2012.
312 AEPD (2013) Parecer da Autoridade Europeia para a Proteo de Dados sobre a Comunicao da
Comisso intitulada Plano de ao para a sade em linha 20122020 - Cuidados de sade inovadores
para o sculo XXI, Bruxelas, 27demarode2013.

186
Outra legislao europeia especfica sobre proteo de dados

dados. O artigo6., n. 1, alnea b), da Diretiva permite que o legislador nacional


preveja uma derrogao ao princpio da limitao da finalidade a favor do trata-
mento ulterior de dados para fins estatsticos, desde que estabelea tambm todas
as garantias necessrias. O artigo13., n. 2, da Diretiva permite que o legislador
nacional estabelea restries aos direitos de acesso se os dados forem tratados
exclusivamente para fins estatsticos; mais uma vez, o direito nacional deve prever
garantias adequadas. Neste contexto, a Diretiva de Proteo de Dados estabelece a
exigncia de que nenhum dos dados adquiridos ou criados durante a investigao
estatstica seja utilizado para tomar decises concretas sobre as pessoas em causa.

Embora os dados licitamente recolhidos por um responsvel pelo tratamento para


qualquer finalidade possam ser reutilizados por este responsvel pelo tratamento
para os seus prprios fins estatsticos as chamadas estatsticas secundrias esses
dados teriam de ser anonimizados ou pseudonimizados, dependendo do contexto,
antes da sua transmisso para terceiros para fins estatsticos, salvo se a pessoa em
causa tivesse dado o seu consentimento ou se essa transmisso estivesse expres-
samente prevista na legislao nacional. o que resulta da exigncia de adoo de
garantias adequadas prevista no artigo 6., n. 1, alnea b), da Diretiva de Proteo
de Dados.

Os casos mais importantes de utilizao de dados para fins estatsticas so as esta-


tsticas oficiais, produzidas pelos servios de estatstica nacionais e da UE com base
em leis nacionais e da UE sobre estatsticas oficiais. De acordo com estas leis, os
cidados e as empresas so geralmente obrigados a divulgar dados s autoridades
estatsticas. Os funcionrios dos servios de estatstica esto sujeitos a obrigaes
especiais de segredo profissional que so rigorosamente respeitadas, na medida em
que so essenciais para o elevado nvel de confiana que necessrio para que os
cidados disponibilizem os dados s autoridades estatsticas.

O Regulamento (CE) n.223/2009 relativo s Estatsticas Europeias (Regulamento


Estatsticas Europeias) contm regras essenciais para a proteo de dados no con-
texto das estatsticas oficiais e, como tal, tambm pode ser considerado relevante
para as disposies sobre estatsticas oficiais ao nvel nacional.313 O Regulamento

313 Regulamento (CE) n.223/2009 do Parlamento Europeu e do Conselho, de 11demarode2009,


relativo s Estatsticas Europeias e que revoga o Regulamento (CE, Euratom) n.1101/2008 relativo
transmisso de informaes abrangidas pelo segredo estatstico ao Servio de Estatstica das
Comunidades Europeias, o Regulamento (CE) n.322/97 relativo s estatsticas comunitrias e a
Deciso 89/382/CEE, Euratom do Conselho que cria o Comit do Programa Estatstico das Comunidades
Europeias, JO2009L87.

187
Manual da Legislao Europeia sobre Proteo de Dados

estabelece o princpio de que as operaes estatsticas oficiais exigem uma base


legal suficientemente especfica.314

Exemplo: No acrdo Huber/Alemanha,315 o TJUE considerou que a recolha e o


armazenamento de dados pessoais por uma autoridade para fins estatsticos
no era, por si s, motivo suficiente para que o tratamento fosse lcito. A lei que
previa o tratamento de dados pessoais tambm teria de cumprir o requisito da
necessidade, o que no acontecia naquele caso.

No contexto do CdE, a Recomendao sobre dados estatsticos, de 1997 abrange


a produo de estatsticas nos setores pblico e privado.316 Esta recomendao
subscreve princpios que coincidem com as principais regras da Diretiva de Prote-
o de Dados acima descritas. So enunciadas regras mais detalhadas em relao s
seguintes questes.

Enquanto os dados recolhidos pelo responsvel pelo tratamento para fins estats-
ticos no podem ser utilizados para qualquer outro fim, os dados recolhidos para
fins no estatsticos podem ser posteriormente objeto de utilizao estatstica. A
Recomendao sobre dados estatsticos permite inclusivamente a comunicao de
dados a terceiros se for exclusivamente para fins estatsticos. Nestes casos, as par-
tes devem chegar a acordo sobre o mbito da utilizao posterior legtima para fins
estatsticos e reduzir esse acordo a escrito. Uma vez que este acordo no pode subs-
tituir o consentimento da pessoa em causa, presumese que existiro garantias ade-
quadas adicionais previstas no direito nacional para minimizar o risco de utilizao
abusiva dos dados pessoais, tais como a obrigao de anonimizar ou pseudonimizar
os dados antes da transmisso.

As pessoas profissionalmente envolvidas na investigao cientfica deveriam estar


sujeitas a obrigaes especiais de segredo profissional como acontece habi-
tualmente no caso das estatsticas oficiais nos termos do direito nacional. Os

314 Este princpio ser desenvolvido no Cdigo de Prtica do Eurostat, que dever, nos termos do artigo11.
do Regulamento Estatsticas Europeias, fornecer orientaes tnicas sobre a produo de estatsticas
oficiais, incluindo a utilizao ponderada de dados pessoais, disponvel em: http://epp.eurostat.
ec.europa.eu/portal/page/portal/about_eurostat/introduction.
315 TJUE, acrdo de 16 de dezembro de 2008 no processo C-524/06, Huber/Alemanha; ver, em especial,
n. 68.
316 Conselho da Europa, Comit de Ministros (1997), Recommendation Rec(97)18 to member states on the
protection of personal data collected and processed for statistical purposes (Recomendao Rec(97)10
aos Estados membros sobre a proteo dos dados pessoais recolhidos e tratados para fins estatsticos),
30deSetembrode1997.

188
Outra legislao europeia especfica sobre proteo de dados

entrevistadores que recolham dados junto das pessoas em causa ou de outras pes-
soas tambm devem estar sujeitos a esta obrigao.

Se um inqurito estatstico que utilize dados pessoais no estiver previsto na lei,


as pessoas em causa tero de dar o seu consentimento para a utilizao dos seus
dados a fim de a legitimar ou, pelo menos, deveriam ter a oportunidade de se opor
a essa utilizao. Se forem recolhidos dados pessoais para fins estatsticos mediante
a realizao de entrevistas, os entrevistados devem ser claramente informados se a
divulgao dos dados ou no obrigatria nos termos do direito nacional. Os dados
sensveis devem ser recolhidos de modo a impedir a identificao da pessoa, salvo
se tal for expressamente permitido pelo direito nacional.

Se no for possvel realizar um inqurito estatstico sem dados anonimizados e


forem efetivamente necessrios dados pessoais, os dados recolhidos para este fim
devero ser anonimizados logo que possvel. Os resultados do inqurito estatstico
no podero, pelo menos, permitir a identificao das pessoas em causa, salvo se
tal no apresentar manifestamente qualquer risco.

Uma vez concluda a anlise estatstica, os dados pessoais utilizados devero ser
eliminados ou anonimizados. Neste caso, a Recomendao sobre dados estatsti-
cos prope que os dados de identificao sejam conservados separadamente dos
outros dados pessoais. Isto significa, por exemplo, que os dados devero ser pseu-
donimizados e a chave de encriptao ou a lista com os sinnimos identificadores
deve ser conservada separadamente dos dados pseudonimizados.

8.5. Dados financeiros


Pontos-chave

Embora os dados financeiros no sejam dados sensveis na aceo da Conveno 108


ou da Diretiva de Proteo de Dados, o seu tratamento exige garantias especiais para
assegurar a exatido e a segurana dos dados.

necessrio incorporar mecanismos de proteo de dados nos sistemas de paga-


mento eletrnicos (a chamada privacidade desde a conceo).

A exigncia de mecanismos de autenticao adequados coloca problemas especficos


em matria de proteo de dados nesta rea.

189
Manual da Legislao Europeia sobre Proteo de Dados

Exemplo: No processo que deu origem ao acrdo Michaud c. Frana,317 o


requerente, um advogado francs, contestou a obrigao que lhe era imposta
pelo direito francs de comunicar suspeitas sobre possveis atividades de
branqueamento de capitais dos seus clientes. Segundo o TEDH, exigir que os
advogados comunicassem s autoridades administrativas informaes rela-
tivas a outra pessoa que tivessem chegado ao seu conhecimento atravs de
conversas com essa pessoa constitua uma ingerncia no direito dos advoga-
dos ao respeito pela correspondncia e vida privada nos termos do artigo8. da
CEDH, uma vez que este conceito abrangia atividades de natureza profissional e
comercial. Contudo, essa ingerncia estava de acordo com a lei e prosseguia um
objetivo legtimo, ou seja, a preveno de distrbios e da criminalidade. Uma
vez que os advogados s estavam obrigados a comunicar suspeitas em casos
muito especficos, o TEDH considerou que esta obrigao era proporcional e
concluiu que no tinha havido uma violao do artigo8..

O CdE adaptou o quadro jurdico geral da proteo de dados, conforme estabele-


cido na Conveno 108, ao contexto dos pagamentos na Recomendao Rec(90)19
de1990.318 Esta recomendao clarifica o mbito da recolha e utilizao lcitas de
dados no contexto dos pagamentos, especialmente atravs de cartes de paga-
mento. Alm disso, prope aos legisladores nacionais regras detalhadas sobre os
limites da comunicao de dados de pagamento a terceiros, limites temporais da
conservao dos dados, transparncia, segurana dos dados e fluxos transfrontei-
rios de dados e, por ltimo, superviso e vias de recurso. As solues propostas
correspondem s disposies do quadro jurdico geral da UE em matria de proteo
de dados aprovado posteriormente sob a forma da Diretiva de Proteo de Dados.

Esto a ser criados vrios instrumentos jurdicos para regular os mercados de instru-
mentos financeiros e as atividades das instituies de crdito e das sociedades de

317 TEDH, acrdo Michaud c. Frana de 6 de dezembro de 2012, petio n. 12323/11; ver tambm TEDH,
acrdo Niemietz c. Alemanha de 16dedezembrode1992, petio n.13710/88, n.29, e TEDH,
acrdo Halford c. Reino Unido de 25dejunhode1997, petio n.20605/92, n. 42.
318 CdE, Comit de Ministros (1990), Recommendation No.R(90)19 on the protection of personal data used
for payment and other related operations, 13desetembrode1990.

190
Outra legislao europeia especfica sobre proteo de dados

investimento.319 Outros instrumentos jurdicos apoiam o combate ao abuso de infor-


mao privilegiada e manipulao de mercado.320 As questes mais importantes
nestas reas com relevncia para a proteo de dados so:

a conservao de registos sobre transaes financeiras;

a transferncia de dados pessoais para pases terceiros;

a gravao de conversas telefnicas ou comunicaes eletrnicas, incluindo o


dever de fornecer s autoridades competentes registos telefnicos e do trfego
de dados;

a divulgao de informaes pessoais, incluindo a publicao de sanes;

os poderes de controlo e inqurito das autoridades competentes, incluindo a rea-


lizao de inspees in loco e o acesso a instalaes privadas para apreender
documentos;

os mecanismos de comunicao de violaes, ou seja, os sistemas de denncia;


e

a cooperao entre as autoridades competentes dos Estados-Membros e a


Autoridade Europeia dos Valores Mobilirios e dos Mercados (ESMA).

319 Comisso Europeia (2011), Proposta de Diretiva do Parlamento Europeu e do Conselho relativa aos
mercados de instrumentos financeiros, que revoga a Diretiva 2004/39/CE do Parlamento Europeu
e do Conselho, COM(2011)656final, Bruxelas, 20deoutubrode2011; Comisso Europeia (2011),
Proposta de Regulamento do Parlamento Europeu e do Conselho relativo aos mercados de instrumentos
financeiros, que altera o Regulamento [EMIR] relativo aos derivados OTC, s contrapartes centrais e aos
repositrios de transaes, COM(2011)652final, Bruxelas, 20deoutubrode2011; Comisso Europeia
(2011), Proposta de Diretiva do Parlamento Europeu e do Conselho relativa ao acesso atividade das
instituies de crdito e superviso prudencial das instituies de crdito e empresas de investimento
e que altera a Diretiva2002/87/CE do Parlamento Europeu e do Conselho relativa superviso
complementar de instituies de crdito, empresas de seguros e empresas de investimento de um
conglomerado financeiro, COM(2011)453final, Bruxelas, 20dejulhode2011.
320 Comisso Europeia (2011), Proposta de Regulamento do Parlamento Europeu e do Conselho
relativo ao abuso de informao privilegiada e manipulao de mercado (abuso de mercado),
COM(2011)651final, Bruxelas, 20deoutubrode2011; Comisso Europeia (2011), Proposta de Diretiva
do Parlamento Europeu e do Conselho relativa s sanes penais aplicveis ao abuso de informao
privilegiada e manipulao de mercado (abuso de mercado), COM(2011)654final, Bruxelas,
20deoutubrode2011.

191
Manual da Legislao Europeia sobre Proteo de Dados

H outras questes nestas reas que tambm so expressamente abordadas, tais


como a recolha de dados sobre a situao financeira das pessoas em causa321 ou o
pagamento transfronteirio atravs de transferncia bancria, que implica necessa-
riamente fluxos de dados pessoais.322

321 Regulamento (CE) n.1060/2009 do Parlamento Europeu e do Conselho, de 16deSetembrode2009,


relativo s agncias de notao de risco, JO2009L302; Comisso Europeia, Proposta de Regulamento
do Parlamento Europeu e do Conselho que altera o Regulamento (CE) n.1060/2009 relativo s
agncias de notao de risco, COM(2010)289final, Bruxelas, 2dejunhode2010.
322 Diretiva 2007/64/CE do Parlamento Europeu e do Conselho, de 13denovembrode2007, relativa aos
servios de pagamento no mercado interno, que altera as Diretivas97/7/CE, 2002/65/CE, 2005/60/CE
e 2006/48/CE e revoga a Diretiva97/5/CE, JO2007L319.

192
Leitura complementar

Captulo
Araceli Mangas, M. (ed.) (2008), Carta de los derechos fundamentales de la Unin
Europea, Bilbau, Fundacin BBVA.

Berka, W. (2012), Das Grundrecht auf Datenschutz im Spannungsfeld zwischen


Freiheit und Sicherheit, Viena, Manzsche Verlags- und Universittsbuchhandlung.

EDRi, An introduction to data protection, Bruxelas, disponvel em: www.edri.org/


files/paper06_datap.pdf.

Frowein, J. E Peukert, W. (2009), Europische Menschenrechtskonvention, Berlim,


N.P. Engel Verlag.

Grabenwarter, C. e Pabel,K. (2012), Europische Menschenrechtskonvention, Muni-


que, C.H. Beck.

Harris, D., OBoyle,M., Warbrick,C. e Bates,E. (2009), Law of the European Conven-
tion on Human Rights, Oxford, Oxford UniversityPress.

Jarass, H. (2010), Charta der Grundrechte der Europischen Union, Munique, C.H.
Beck.

Mayer, J. (2011), Charta der Grundrechte der Europischen Union, Baden-Baden,


Nomos.

193
Manual da Legislao Europeia sobre Proteo de Dados

Mowbray, A. (2012), Cases, materials, and commentary on the European Convention


on Human Rights, Oxford, Oxford University Press.

Nowak, M., Januszewski,K. e Hofsttter,T. (2012), All human rights for all Vienna
manual on human rights, Anturpia, intersentia N. V., Neuer Wissenschaftlicher
Verlag.

Picharel, C. e Coutron,L. (2010), Charte des droits fondamentaux de lUnion euro-


penne et convention europenne des droits de lhomme, Bruxelas, Emile Bruylant.

Simitis, S. (1997), Die EU-Datenschutz-Richtlinie Stillstand oder Anreiz?, Neue


Juristische Wochenschrift, n.5, p.281288.

Warren, S. e Brandeis,L. (1890), The right to privacy, Harvard Law Review, vol.4,
n.5, p.193220, disponvel em: www.english.illinois.edu/-people-/faculty/deba-
ron/582/582%20readings/right%20to%20privacy.pdf.

White, R. e Ovey,C. (2010), The European Convention on Human Rights, Oxford,


Oxford University Press.

Captulo 2
Carey, P. (2009), Data protection: A practical guide to UK and EU law, Oxford, Oxford
University Press.

Delgado, L. (2008), Vida privada y proteccin de datos en la Unin Europea, Madrid,


Dykinson S.L.

Desgens-Pasanau,G. (2012), La protection des donnes caractre personnel, Paris,


LexisNexis.

Di Martino, A. (2005), Datenschutz im europischen Recht, Baden-Baden, Nomos.

Gabinete do Comissrio para a Informao do Reino Unido (2012), Anonymisation:


managing data protection risk. Code of practice, disponvel em: www.ico.org.uk/
for_organisations/data_protection/topic_guides/anonymisation.

Morgan, R. e Boardman,R. (2012), Data protection strategy: Implementing data pro-


tection compliance, Londres, Sweet & Maxwell.

194
Leitura complementar

Ohm, P. (2010), Broken promises of privacy: Responding to the surprising failure of


anonymization, UCLA Law Review, vol.57, n.6, p.17011777.

Tinnefeld, M., Buchner,B. e Petri,T. (2012), Einfhrung in das Datenschutzrecht:


Datenschutz und Informationsfreiheit in europischer Sicht, Munique, Oldenbourg
Wissenschaftsverlag.

Captulos 3 a 5
Autoridade de Proteo de Dados do Reino Unido, Privacy Impact Assessment, dis-
ponvel em: www.ico.org.uk/for_organisations/data_protection/topic_guides/
privacy_impact_assessment.

Brhann,U. (2012), Richtlinie 95/46/EG zum Schutz natrlicher Personen bei der
Verarbeitung personenbezogener Daten und zum freien Datenverkehr in: Grabitz,
E., Hilf, M. e Nettesheim, M. (eds.), Das Recht der Europischen Union, BandIV, A.30,
Munique, C.H. Beck.

Conde Ortiz,C. (2008), La proteccin de datos personales, Cdis, Dykinson.

Coudray, L. (2010), La protection des donnes personnelles dans lUnion euro-


penne, Saarbrcken, ditions universitaires europennes.

Dammann, U. e Simitis,S. (1997), EG-Datenschutzrichtlinie, Baden-Baden, Nomos.

FRA (Agncia dos Direitos Fundamentais da Unio Europeia) (2010), Data Protection
in the European Union: the role of National Data Protection Authorities (Strengthen
ing the fundamental rights architecture in the EUII), Luxemburgo, Servio de Publica-
es da Unio Europeia (Servio de Publicaes).

FRA (2010), Developing indicators for the protection, respect and promotion of the
rights of the child in the European Union (edio para a Conferncia), Viena, FRA.

FRA (2011), Access to justice in Europe: an overview of challenges and opportunities,


Luxemburgo, Servio de Publicaes.

Simitis, S. (2011), Bundesdatenschutzgesetz, Baden-Baden, Nomos.

195
Manual da Legislao Europeia sobre Proteo de Dados

Captulo 6
Gutwirth, S., Poullet,Y., De Hert,P., De Terwangne,C. e Nouwt,S. (2009), Reinven-
ting data protection?, Berlim, Springer.

Kuner, C. (2007), European data protection law, Oxford, Oxford University Press.

Kuner, C. (2013), Transborder data flow regulation and data privacy law, Oxford,
Oxford University Press.

Captulo 7
Europol (2012), Data Protection at Europol, Luxemburgo, Servio de Publicaes, dis-
ponvel em: www.europol.europa.eu/sites/default/files/publications/europol_dpo_
booklet_0.pdf.

Eurojust, Data protection at Eurojust: A robust, effective and tailor-made regime, a


Haia, Eurojust.

Drewer, D., Ellermann,J. (2012), Europols data protection framework as an asset in


the fight against cybercrime, ERA Forum, vol.13, n.3, p.381395.

Gutwirth, S., Poullet,Y. e De Hert,P. (2010), Data protection in a profiled world, Dor-
drecht, Springer.

Gutwirth, S., Poullet,Y., De Hert,P. e Leenes,R. (2011), Computers, privacy and data
protection: An element of choice, Dordrecht, Springer.

Konstadinides, T. (2011), Destroying democracy on the ground of defending it? The


Data Retention Directive, the surveillance state and our constitutional ecosystem,
European Law Review, vol.36, n.5, p.722776.

Santos Vara, J. (2013), The role of the European Parliament in the conclusion of the
Transatlantic Agreements on the transfer of personal data after Lisbon, Centre for
the Law of External Relations, CLEER Working Papers 2013/2, disponvel em: www.
asser.nl/upload/documents/20130226T013310-cleer_13-2_web.pdf.

196
Leitura complementar

Captulo 8
Bllesbach, A., Gijrath,S., Poullet,Y. e Hacon,R. (2010), Concise European IT law,
Amesterdo, Kluwer Law International.

Gutwirth, S., Leenes,R., De Hert,P. e Poullet,Y. (2012), European data protection: In


good health?, Dordrecht, Springer.

Gutwirth, S., Poullet,Y. e De Hert,P. (2010), Data protection in a profiled world, Dor-
drecht, Springer.

Gutwirth, S., Poullet,Y., De Hert,P. e Leenes,R. (2011), Computers, privacy and data
protection: An element of choice, Dordrecht, Springer.

Konstadinides, T. (2011), Destroying democracy on the ground of defending it? The


Data Retention Directive, the surveillance state and our constitutional ecosystem,
European Law Review, vol.36, n.5, p.722776.

Rosemary, J. e Hamilton,A. (2012), Data protection law and practice, Londres, Sweet
& Maxwell.

197
Jurisprudncia

Jurisprudncia selecionada do Tribunal Europeu


dos Direitos do Homem
Acesso a dados pessoais

Acrdo Gaskin c. Reino Unido de 7 de junho de 1989, petio n. 10454/83


Acrdo Godelli c. Itlia de 25 de setembro de 2012, petio n.33783/09
Acrdo K.H. e outros c. Eslovquia de 28 de abril de 2009, petio n.32881/04
Acrdo Leander c. Sucia de 26 de maro de 1987, petio n.9248/81
Acrdo Odivre c. Frana [GS] de 13 de fevereiro de 2003, petio n.42326/98

Conciliao da proteo de dados com a liberdade de expresso

Acrdo Axel Springer AG c. Alemanha [GS] de 7 de fevereiro de 2012, petio


n.39954/08
Acrdo Von Hannover c. Alemanha de 24 de junho de 2004, petio n.59320/00
Acrdo Von Hannover c. Alemanha (n.2) [GS] de 7 de fevereiro de 2012, peties
n.s40660/08 e 60641/08

Desafios na proteo de dados na Internet

Acrdo K.U. c. Finlndia de 2 de dezembro de 2008, petio n.2872/02

Correspondncia
Acrdo Amann c. Sua [GS] de 16 de fevereiro de 2000, petio n.27798/95

199
Manual da Legislao Europeia sobre Proteo de Dados

Acrdo Bernh Larsen Holding AS e outros c. Noruega de 14 de maro de 2013, peti-


o n.24117/08
Acrdo Cemalettin Canli c. Turquia de 18 de novembro de 2008, petio
n.22427/04
Acrdo Dalea c. Frana de 2 de fevereiro de 2010, petio n.964/07
Acrdo Gaskin c. Reino Unido de 7 de junho de 1989, petio n. 10454/83
Acrdo Haralambie c. Romnia de 27 de outubro de 2009, petio n.21737/03
Acrdo Khelili c. Sua de 18 de outubro de 2011, petio n.16188/07
Acrdo Leander c. Sucia de 26 de maro de 1987, petio n.9248/81
Acrdo Malone c. Reino Unido de 2 de agosto de 1984, petio n. 8691/79
Acrdo McMichael c. Reino Unido de 24 de fevereiro de 1995, petio n. 16424/90
Acrdo M. G. c. Reino Unido de 24 de setembro de 2002, petio n. 39393/98
Acrdo Rotaru c. Romnia [GS] de 4 de maio de 2000, petio n.28341/95
Acrdo S. e Marper c. Reino Unido de 4 de dezembro de 2008, peties
n.s30562/04 e 30566/04
Acrdo Shimovolos c. Rssia de 21 de junho de 2011, petio n.30194/09
Acrdo Turek c. Eslovquia de 14 de fevereiro de 2006, petio n.57986/00

Bases de dados de registos criminais

Acrdo B.B. c. Frana de 17 de dezembro de 2009, petio n.5335/06


Acrdo M.M. c. Reino Unido de 13 de novembro de 2012, petio n. 24029/07

Bases de dados de ADN

Acrdo S. e Marper c. Reino Unido de 4 de dezembro de 2008, peties


n.s30562/04 e 30566/04

Dados GPS

Acrdo Uzun c. Alemanha de 2 de setembro de 2010, petio n.35623/05

Dados sobre a sade

Acrdo Biriuk c. Litunia de 25 de novembro de 2008, petio n.23373/03


Acrdo I. c. Finlndia de 17 de julho de 2008, petio n.20511/03
Acrdo L.L. c. Frana de 10 de outubro de 2006, petio n.7508/02
Acrdo M.S. c. Sucia de 2 de julho de 2002, petio n.34209/96
Acrdo Szuluk c. Reino Unido de 2 de junho de 2009, petio n. 36936/05
Acrdo Z. c. Finlndia de 25 de fevereiro de 1997, petio n.22009/93

200
Jurisprudncia

Identidade

Acrdo Ciubotaru c. Moldvia de 27 de abril de 2010, petio n. 27138/04


Acrdo Godelli c. Itlia de 25 de setembro de 2012, petio n.33783/09
Acrdo Odivre c. Frana [GS] de 13 de fevereiro de 2003, petio n.42326/98

Informaes sobre atividades profissionais

Acrdo Michaud c. Frana de 6 de dezembro de 2012, petio n.12323/11


Acrdo Niemietz c. Alemanha de 16 de dezembro de 1992, petio n.13710/88

Interceo das comunicaes

Acrdo Amann c. Sua [GS] de 16 de fevereiro de 2000, petio n.27798/95


Acrdo Copland c. Reino Unido de 3 de abril de 2007, petio n.62617/00
Acrdo Cotlet c. Romnia de 3 de junho de 2003, petio n.38565/97
Acrdo Kruslin c. Frana de 24 de abril de 1990, petio n.11801/85
Acrdo Lambert c. Frana de 24 de agosto de 1998, petio n.23618/94
Acrdo Liberty e outros c. Reino Unido de 1 de julho de 2008, petio n.58243/00
Acrdo Malone c. Reino Unido de 2 de agosto de 1984, petio n. 8691/79
Acrdo Halford c. Reino Unido de 25 de junho de 1997, petio n. 20605/92
Acrdo Szuluk c. Reino Unido de 2 de junho de 2009, petio n. 36936/05

Obrigaes dos responsveis pela proteo dos direitos humanos


Acrdo B.B. c. Frana de 17 de dezembro de 2009, petio n.5335/06
Acrdo I. c. Finlndia de 17 de julho de 2008, petio n.20511/03
Acrdo Mosley c. Reino Unido de 10 de maio de 2011, petio n. 48009/08

Fotografias

Acrdo Sciacca c. Itlia de 11 de janeiro de 2005, petio n.50774/99


Acrdo Von Hannover c. Alemanha de 24 de junho de 2004, petio n.59320/00

Direito a ser esquecido

Acrdo Segerstedt-Wiberg e outros c. Sucia de 6 de junho de 2006, petio


n.62332/00

Direito de oposio

Acrdo Leander c. Sucia de 26 de maro de 1987, petio n.9248/81

201
Manual da Legislao Europeia sobre Proteo de Dados

Acrdo Mosley c. Reino Unido de 10 de maio de 2011, petio n. 48009/08


Acrdo M.S. c. Sucia de 2 de julho de 2002, petio n.34209/96
Acrdo Rotaru c. Romnia [GS] de 4 de maio de 2000, petio n.28341/95

Categorias sensveis de dados

Acrdo I. c. Finlndia de 17 de julho de 2008, petio n.20511/03


Acrdo Michaud c. Frana de 6 de dezembro de 2012, petio n.12323/11
Acrdo S. e Marper c. Reino Unido de 4 de dezembro de 2008, peties
n.s30562/04 e 30566/04

Controlo e fiscalizao do cumprimento (papel dos diferentes intervenientes,


incluindo as autoridades de proteo de dados)

Acrdo I. c. Finlndia de 17 de julho de 2008, petio n.20511/03


Acrdo K.U. c. Finlndia de 2 de dezembro de 2008, petio n.2872/02
Acrdo Von Hannover c. Alemanha de 24 de junho de 2004, petio n.59320/00
Acrdo Von Hannover c. Alemanha (n.2) [GS] de 7 de fevereiro de 2012, peties
n.s40660/08 e 60641/08

Mtodos de vigilncia

Acrdo Allan c. Reino Unido de 5 de novembro de 2002, petio n. 48539/99


Acrdo Association 21 Dcembre 1989 e outros c. Romnia de 24 de maio de
2011, peties n.s33810/07 e 18817/08
Acrdo Bykov c. Rssia [GS] de 10 de maro de 2009, petio n.4378/02
Acrdo Kennedy c. Reino Unido de 18 de maio de 2010, petio n. 26839/05
Acrdo Klass e outros c. Alemanha de 6 de setembro de 1978, petio n.5029/71
Acrdo Rotaru c. Romnia [GS] de 4 de maio de 2000, petio n.28341/95
Acrdo Taylor-Sabori c. Reino Unido de 22 de outubro de 2002, petio
n.47114/99
Acrdo Uzun c. Alemanha de 2 de setembro de 2010, petio n.35623/05
Acrdo Vetter c. Frana de 31 de maio de 2005, petio n.59842/00

Videovigilncia

Acrdo Kpke c. Alemanha de 5 de outubro de 2010, petio n.420/07


Acrdo Peck c. Reino Unido de 28 de janeiro de 2003, petio n. 44647/98

202
Jurisprudncia

Amostras de voz

Acrdo P.G. e J.H. c. Reino Unido de 25 de setembro de 2001, petio n. 44787/98


Acrdo Wisse c. Frana de 20 de dezembro de 2005, petio n.71611/01

Jurisprudncia selecionada do Tribunal de Justia


da Unio Europeia
Jurisprudncia relacionada com a Diretiva de Proteo de Dados

Acrdo de 16 de dezembro de 2008 no processo C-73/07, Tietosuojavaltuutettu/


Satakunnan Markkinaprssi Oy e Satamedia Oy
[Conceito de atividades jornalsticas na aceo do artigo 9. da Diretiva de Proteo
de Dados]

Acrdo de 9 de novembro de 2010 nos processos apensos C-92/09 e C-93/09,


Volker und Markus Schecke GbR e Hartmut Eifert/Land Hessen
[Proporcionalidade da obrigao legal de publicar dados pessoais sobre os benefici-
rios de certos fundos agrcolas da UE]

Acrdo de 6 de novembro de 2003 no processo C-101/01, Bodil Lindqvist


[Legitimidade da publicao por particulares de dados sobre a vida privada de terceiros
na Internet]

Acrdo de 13 de maio de 2014 no processo C-131/12, Google Spain, S.L., Google


Inc./Agencia Espaola de Proteccin de Datos, Mario Costeja Gonzlez, pedido de
deciso prejudicial apresentado pela Audiencia Nacional (Espanha) em
9 de maro de 2012, 25 de maio de 2012, pendente
[Obrigao das empresas que exploram os motores de pesquisa de se absterem de
mostrar dados pessoais nos resultados da pesquisa, caso tal seja solicitado pelo titular
dos dados]

Acrdo de 30 de maio de 2013 no processo C-270/11, Comisso Europeia/Reino da


Sucia
[Multa pela no transposio de uma diretiva]

203
Manual da Legislao Europeia sobre Proteo de Dados

Acrdo de 29 de janeiro de 2008 no processo C-275/06, Productores de Msica de


Espaa (Promusicae)/Telefnica de Espaa SAU
[Obrigao dos prestadores de servios de acesso Internet de divulgarem a iden-
tidade de utilizadores dos programas de partilha de ficheiros KaZaA associao de
proteo da propriedade intelectual]

Acrdo de 8 de abril de 2014 no processo C-288/12, Comisso Europeia/Hungria


[Legitimidade da exonerao da autoridade nacional de proteo de dados]

Concluses do advogadogeral P. Mengozzi apresentadas em 13 de junho de 2013 no


processo C-291/12, Michael Schwarz/Stadt Bochum
[Violao do direito primrio da UE pelo Regulamento (CE) n.2252/2004 que estabe-
lece que a imagem das impresses digitais tem de ser armazenada nos passaportes]

Acrdo de 8 de abril de 2014 nos processos apensos C-293/12 e C594/12, Digital


Rights Ireland e Seitling and Outros
[Violao do direito primrio da UE pela Diretiva Conservao de Dados]

Acrdo de 16 de fevereiro de 2012 no processo C-360/10, SABAM/Netlog N.V.


[Obrigao dos prestadores de servios de redes sociais de impedirem a utilizao il-
cita de obras musicais e audiovisuais pelos utilizadores da rede]

Acrdo de 20 de maio de 2003 nos processos apensos C-465/00, C-138/01 e


C-139/01, Rechnungshof/sterreichischer Rundfunk e o., e Neukomm e Lauermann/
sterreichischer Rundfunk
[Proporcionalidade da obrigao legal de publicar dados pessoais sobre os salrios de
funcionrios de certas instituies relacionadas com o setor pblico]

Acrdo de 24 de novembro de 2011 nos processos apensos C-468/10 e C-469/10,


Asociacin Nacional de Establecimientos Financieros de Crdito (ASNEF) e Fede-
racin de Comercio Electrnico y Marketing Directo (FECEMD)/Administracin del
Estado
[Correta transposio do artigo 7., alnea f), da Diretiva de Proteo de Dados inte-
resses legtimos de terceiros para o direito nacional]

Acrdo de 9 de maro de 2010 no processo C-518/07, Comisso Europeia/Repblica


Federal da Alemanha
[Independncia de uma autoridade nacional de controlo]

204
Jurisprudncia

Acrdo de 16 de dezembro de 2008 no processo C-524/06, Huber/Alemanha


[Legitimidade da conservao de dados sobre estrangeiros num registo estatstico]

Acrdo de 5 de maio de 2011 no processo C-543/09, Deutsche Telekom AG/


Bundesrepublik Deutschland
[Necessidade de novo consentimento]

Acrdo de 7 de maio de 2009 no processo C-553/07, College van burgemeester en


wethouders van Rotterdam/M.E.E. Rijkeboer
[Direito de acesso do titular dos dados]

Acrdo de 16 de outubro de 2012 no processo C-614/10, Comisso Europeia/Rep-


blica da ustria
[Independncia de uma autoridade nacional de controlo]

Jurisprudncia relacionada com o Regulamento Proteo de Dados


(Instituies da UE)

Acrdo de 29 de junho de 2010 no processo C28/08P, Comisso Europeia/The


Bavarian Lager Co. Ltd
[Acesso aos documentos]

Acrdo de 6 de maro de 2003 no processo C-41/00P, Interporc Im- und Export


GmbH/Comisso das Comunidades Europeias
[Acesso aos documentos]

Acrdo do Tribunal da Funo Pblica de 15 de junho de 2010 no processo F-35/08,


Pachtitis/Comisso
[Utilizao de dados pessoais no contexto do emprego em instituies da UE]

Acrdo do Tribunal da Funo Pblica de 5 de julho de 2011 no processo F46/09,


V/Parlamento
[Utilizao de dados pessoais no contexto do emprego em instituies da UE]

205
Lista de processos

Jurisprudncia do Tribunal de Justia da Unio Europeia

Asociacin Nacional de Establecimientos Financieros de Crdito


(ASNEF) e Federacin de Comercio Electrnico y Marketing
Directo (FECEMD)/Administracin del Estado, nos processos
apensos C-468/10 e C-469/10,
24 de novembro de 2011.......................................................18, 23, 83, 86, 90, 91, 204

Bodil Lindqvist, P. C-101/01,


6 de novembro de 2003...................................................35, 36, 45, 48, 52, 100, 137, 138, 203

College van burgemeester en wethouders van Rotterdam/M.E.E.


Rijkeboer, P. C-553/07, 7 de maio de 2009...............................................109, 115, 205
Comisso Europeia/Hungria, P. C-288/12, 8 de abril de 2012....................110, 126, 204
Comisso Europeia/Reino da Sucia, P. C-270/11, 30 de maio de 2013.................... 203
Comisso Europeia/Repblica da ustria, P. C-614/10,
16 de outubro de 2012....................................................................................110, 125, 205
Comisso Europeia/Repblica Federal da Alemanha, P. C-518/07,
9 de maro de 2010.........................................................................................110, 124, 204
Comisso Europeia/The Bavarian Lager Co. Ltd, P. C28/08P,
29 de junho de 2010...................................................................13, 28, 30, 111, 134, 205

Deutsche Telekom AG/Bundesrepublik Deutschland, P. C-543/09,


5 de maio de 2011................................................................................................ 36, 63, 205
Digital Rights Ireland e Seitling and Outro, nos processos apensos
C-293/12 e C594/12, 8 de abril de 2014 .................................................. 133, 180, 204

207
Manual da Legislao Europeia sobre Proteo de Dados

Google Spain, S.L., Google Inc./Agencia Espaola de Proteccin


de Datos, Mario Costeja Gonzlez, processo C131/12, pedido
de deciso prejudicial apresentado pela Audiencia Nacional
(Espanha) em 9 de maro de 2012, 25 de maio de 2012, pendente................... 203

Huber/Alemanha, P. C-524/06,
16 de dezembro de 2008 ................................................. 65, 83, 86, 88, 175, 188, 205

Interporc Im- und Export GmbH/Comisso das Comunidades


Europeias, P. C-41/00P, 6 de maro de 2003...................................................... 30, 205

M.H. Marshall Southampton and South-West Hampshire Area Health


Authority, P. C-152/84, 26 de fevereiro de 1986.......................................................111
Michael Schwarz/Stadt Bochum, P. C-291/12, concluses do
advogadogeral P. Mengozzi apresentadas em 13 de junho de 2013................... 204

Pachtitis/Comisso, P. F-35/08, acrdo do Tribunal da Funo


Pblica de 15 de junho de 2010...................................................................................... 205
Parlamento Europeu c.Conselho da Unio Europeia, nos processos
apensos C-317/04 e C-318/04, acrdo de 30 de maio de 2006........................... 149
Productores de Msica de Espaa (Promusicae)/Telefnica de Espaa
SAU, P. C-275/06, 29 de janeiro de 2008................................. 13, 23, 33, 35, 40, 204

Rechnungshof/sterreichischer Rundfunk e o., e Neukomm e


Lauermann/sterreichischer Rundfunk, nos processos apensos
C-465/00, C-138/01 e C-139/01, 20 de maio de 2003.......................................86, 204

SABAM/Netlog N.V., P. C-360/10, 16 de fevereiro de 2012...................................34, 204


Sabine von Colson e Elisabeth Kamann/Land Nordrhein-Westfalen,
P.C-14/83, 10 de abril de 1984............................................................................. 111, 136

Tietosuojavaltuutettu/Satakunnan Markkinaprssi Oy e Satamedia


Oy, P. C-73/07, 16 de dezembro de 2008.......................................................13, 24, 203

V/Parlamento, P. F46/09, Acrdo do Tribunal da Funo Pblica de


5 de julho de 2011.............................................................................................................. 205
Volker und Markus Schecke GbR e Hartmut Eifert/Land Hessen,
nos processos apensos C-92/09 e C-93/09,
9 de novembro de 2010............................................................13, 22, 31, 35, 39, 43, 65, 71, 203

208
Lista de processos

Jurisprudncia do Tribunal Europeu dos Direitos do Homem

Allan c. Reino Unido de 5 de novembro de 2002, petio n. 48539/99..........156, 202


Amann c. Sua [GS] de 16 de fevereiro de 2000,
petio n.27798/95............................................................. 38, 40, 43, 67, 68, 199, 201
Ashby Donald e outros c. Frana de 10 de janeiro de 2013,
petio n.36769/08............................................................................................................33
Association 21 Dcembre 1989 e outros c. Romnia de
24 de maio de 2011, peties n.s33810/07 e 18817/08...................................... 202
Association for European Integration and Human Rights e Ekimdzhiev
c. Bulgria de 28 de junho de 2007, petio n.62540/00........................................68
Avilkina e outros c. Rssia de 6 de junho de 2013, petio n. 1585/09.................... 185
Axel Springer AG c. Alemanha [GS] de 7 de fevereiro de 2012,
petio n.39954/08........................................................................................... 13, 25, 199

B.B. c. Frana de 17 de dezembro de 2009,


petio n.5335/06............................................................................... 153, 155, 200, 201
Bernh Larsen Holding AS e outros c. Noruega
de 14 de maro de 2013, petio n.24117/08............................................35, 38, 200
Biriuk c. Litunia de 25 de novembro de 2008,
petio n.23373/03................................................................................ 27, 111, 184, 200
Bykov c. Rssia [GS] de 10 de maro de 2009, petio n.4378/02........................... 202

Cemalettin Canli c. Turquia de 18 de novembro de 2008,


petio n.22427/04.......................................................................................109, 116, 200
Ciubotaru c. Moldvia de 27 de abril de 2010,
petio n. 27138/04.......................................................................................109, 118, 201
Copland c. Reino Unido de 3 de abril de 2007,
petio n.62617/00.................................................................................15, 175, 182, 201
Cotlet c. Romnia de 3 de junho de 2003, petio n.38565/97................................. 201

Dalea c. Frana de 2 de fevereiro de 2010,


petio n.964/07.................................................................................. 116, 154, 170, 200

Gaskin c. Reino Unido de 7 de julho de 1989,


petio n. 10454/83.......................................................................................113, 199, 200
Godelli c. Itlia de 25 de setembro de 2012,
petio n.33783/09................................................................................40, 113, 199, 201

209
Manual da Legislao Europeia sobre Proteo de Dados

Halford c. Reino Unido de 25 de junho de 1997, petio n. 20605/92.............190, 201


Haralambie c. Romnia de 27 de outubro de 2009,
petio n.21737/03........................................................................................... 66, 79, 200

I. c. Finlndia de 17 de julho de 2008,


petio n.20511/03...............................................15, 84, 98, 135, 184, 200, 201, 202
Iordachi e outros c. Moldvia de 10 de fevereiro de 2009, petio n. 25198/02......67

K.H. e outros c. Eslovquia de 28 de abril de 2009,


petio n.32881/04.........................................................................66, 80, 113, 184, 199
K.U. c. Finlndia de 2 de dezembro de 2008,
petio n.2872/02................................................................15, 111, 131, 135, 199, 202
Kennedy c. Reino Unido de 18 de maio de 2010, petio n. 26839/05.................... 202
Khelili c. Sua de 18 de outubro de 2011, petio n.16188/07.....................65, 69, 200
Klass e outros c. Alemanha de 6 de setembro de 1978,
petio n.5029/71...........................................................................................15, 156, 202
Kpke c. Alemanha de 5 de outubro de 2010, petio n.420/07..............44, 131, 202
Kopp c. Sua de 25 de maro de 1998, petio n. 23224/94........................................67
Kruslin c. Frana de 24 de abril de 1990, petio n.11801/85.................................... 201

L.L. c. Frana de 10 de outubro de 2006, petio n.7508/02.............................184, 200


Lambert c. Frana de 24 de agosto de 1998, petio n.23618/94............................ 201
Leander c. Sucia de 26 de maro de 1987,
petio n.9248/81.................................................15, 65, 69, 70, 113, 121, 155, 199, 200, 201
Liberty e outros c. Reino Unido de 1 de julho de 2008,
petio n.58243/00.................................................................................................. 38, 201

M. G. c. Reino Unido de 24 de setembro de 2002, petio n. 39393/98.................. 200


M.K. c. Frana de 18 de abril de 2013, petio n.19522/09................................117, 155
M.M. c. Reino Unido de 13 de novembro de 2012,
petio n. 24029/07.........................................................................................78, 155, 200
M.S. c. Sucia de 27 de agosto de 1997 petio n.34209/96..................121, 200, 202
Malone c. Reino Unido de 2 de agosto de 1984,
petio n. 8691/79.......................................................................... 15, 68, 180, 200, 201
McMichael c. Reino Unido de 24 de fevereiro de 1995, petio n. 16424/90........ 200
Michaud c. Frana de 6 de dezembro de 2012,
petio n.12323/11..............................................................................176, 190, 201, 202
Mosley c. Reino Unido de 10 de maio de 2011,
petio n. 48009/08.........................................................................13, 26, 121, 201, 202

210
Lista de processos

Mller e outros c. Sua de 24 de maio de 1988, petio n.10737/84........................32

Niemietz c. Alemanha de 16 de dezembro de 1992,


petio n.13710/88......................................................................................... 37, 190, 201

Odivre c. Frana [GS] de 13 de fevereiro de 2003,


petio n.42326/98................................................................................40, 113, 199, 201

P.G. e J.H. c. Reino Unido de 25 de setembro de 2001,


petio n. 44787/98..................................................................................................44, 203
Peck c. Reino Unido de 28 de janeiro de 2003,
petio n. 44647/98.................................................................................... 44, 65, 69, 202

Rotaru c. Romnia [GS] de 4 de maio de 2000,


petio n.28341/95..................................................................37, 65, 68, 118, 200, 202

S. e Marper c. Reino Unido de 4 de dezembro de 2008,


peties n.s30562/04 e 30566/04................................... 15, 78, 153, 155, 200, 202
Sciacca c. Itlia de 11 de janeiro de 2005, petio n.50774/99...........................44, 201
Segerstedt-Wiberg e outros c. Sucia de 6 de junho de 2006,
petio n.62332/00....................................................................................... 109, 117, 201
Shimovolos c. Rssia de 21 de junho de 2011, petio n.30194/09..................68, 200
Silver e outros c. Reino Unido de 25 de maro de 1983,
peties n.s5947/72, 6205/73, 7052/75, 7061/75, 7107/75, 7113/75.............68
Szuluk c. Reino Unido de 2 de junho de 2009,
petio n. 36936/05...................................................................................... 184, 200, 201

Trsasg a Szabadsgjogokrt c. Hungria de 14 de abril de 2009...........................13, 30


Taylor-Sabori c. Reino Unido de 22 de outubro de 2002,
petio n. 47114/99........................................................................................... 65, 68, 202
The Sunday Times c. Reino Unido de 26 de abril de 1979, petio n.6538/74.........68
Turek c. Eslovquia de 14 de fevereiro de 2006, petio n.57986/00..................... 200

Uzun c. Alemanha de 2 de setembro de 2010,


petio n.35623/05..................................................................................15, 44, 200, 202

Vereinigung bildender Knstler c. ustria, de 25 de janeiro de 2007,


petio n.68345/01.....................................................................................................13, 32

211
Manual da Legislao Europeia sobre Proteo de Dados

Vetter c. Frana de 31 de maio de 2005,


petio n.59842/00................................................................................68, 153, 157, 202
Von Hannover c. Alemanha (n.2) [GS] de 7 de fevereiro de 2012,
peties n.s40660/08 e 60641/08......................................................23, 25, 199, 202
Von Hannover c. Alemanha de 24 de junho de 2004, petio
n.59320/00................................................................................................44, 199, 201, 202

Wisse c. Frana de 20 de dezembro de 2005, petio n.71611/01....................44, 203

Z. c. Finlndia de 25 de fevereiro de 1997, petio n.22009/93............. 175, 184, 200

Jurisprudncia dos tribunais nacionais

Alemanha, Tribunal Constitucional Federal


(Bundesverfassungsgericht), 1BvR256/08, 2 de maro de2010....................... 180

Romnia, Tribunal Constitucional da Romnia (Curtea Constituional


a Romniei), n.1258, 8 de outubro de2009............................................................ 180

Tribunal Constitucional da Repblica Checa (stavn soud esk


republiky), 94/2011Coll., 22 de maro de2011........................................................ 180

212
Agncia dos Direitos Fundamentais da Unio Europeia
Conselho da Europa Tribunal Europeu dos Direitos do Homem

Manual da Legislao Europeia sobre Proteo de Dados


2014 212 pginas 14,8 21 cm

ISBN 978-92-871-9939-3 (Conselho da Europa)


ISBN 978-92-9239-498-1 (FRA)
doi:10.2811/73790

Sobre a Agncia dos Direitos Fundamentais da Unio Europeia, est disponvel um vasto conjunto
de informao, que pode ser consultado atravs do stio da Internet da FRA em (fra.europa.eu).

Encontram-se disponveis numerosas outras informaes sobre o Conselho da Europa na rede


Internet, via servidor hub.coe.int.

Sobre a jurisprudncia do Tribunal Europeu dos Direitos do Homem, est disponvel mais informao
no stio da Internet do Tribunal: echr.coe.int. O portal de pesquisa HUDOC d acesso aos julgamentos
e decises em ingls e/ou francs, tradues para lnguas adicionais, sumrios legais, comunicados
de imprensa e outra informao sobre os trabalhos do Tribunal.

COMO OBTER PUBLICAES DA UNIO EUROPEIA


Publicaes gratuitas:
um exemplar:
via EU Bookshop (http://bookshop.europa.eu);
mais do que um exemplar/cartazes/mapas:
nas representaes da Unio Europeia (http://ec.europa.eu/represent_pt.htm),
nas delegaes em pases fora da UE (http://eeas.europa.eu/delegations/index_pt.htm),
contactando a rede Europe Direct (http://europa.eu/europedirect/index_pt.htm)
ou pelo telefone 00 800 6 7 8 9 10 11 (gratuito em toda a UE) (*).
Publicaes pagas:
via EU Bookshop (http://bookshop.europa.eu);
Assinaturas pagas:
atravs de um dos agentes de vendas do Servio das Publicaes da Unio Europeia
(http://publications.europa.eu/others/agents/index_pt.htm).
(*) As informaes prestadas so gratuitas, tal como a maior parte das chamadas, embora alguns operadores, cabinas
telefnicas ou hotis as possam cobrar.

Como obter publicaes do Conselho da Europa

O Servio de Publicaes do Conselho da Europa produz obras em todas as reas de referncia


da organizao, incluindo direitos do Homem, cincia jurdica, sade, tica, assuntos sociais,
ambiente, educao, cultura, desporto, juventude e patrimnio arquitetnico. Os livros
e as publicaes eletrnicas deste vasto catlogo podem ser encomendados em linha
(http://book.coe.int/).
Uma sala de leitura virtual permite que os utilizadores consultem gratuitamente excertos
das principais obras acabadas de publicar ou o texto completo de certos documentos
oficiais.
Esto disponveis informaes sobre as convenes do Conselho da Europa, bem como os
textos completos das mesmas, no stio web do Gabinete do Tratado: http://conventions.
coe.int/.
10.2811/73790
TK-01-13-772-PT-C
A rpida evoluo das tecnologias da informao e da comunicao refora a necessidade de
assegurar uma proteo slida dos dados pessoais um direito garantido por instrumentos
da Unio Europeia (UE) e do Conselho da Europa (CdE). Os avanos tecnolgicos expandem as
fronteiras, por exemplo, da vigilncia, da interceo das comunicaes e do armazenamento dos
dados; todas estas atividades colocam desafios significativos ao direito proteo de dados.
O presente manual visa familiarizar os profissionais do Direito que no so especializados em
proteo de dados com esta rea do Direito. Apresenta uma viso geral dos quadros jurdicos
da UE e do CdE aplicveis. Explica a jurisprudncia mais importante, resumindo as principais
decises do Tribunal Europeu dos Direitos do Homem (TEDH) e do Tribunal de Justia da Unio
Europeia(TJUE). Nos casos em que ainda no existe jurisprudncia, apresenta exemplos prticos
com cenrios hipotticos. Em resumo, o presente manual visa ajudar a garantir uma defesa
vigorosa e determinada do direito proteo de dados.

AGNCIA DOS DIREITOS FUNDAMENTAIS DA UNIO EUROPEIA


Schwarzenbergplatz 11 1040 Viena ustria
Tel. +43 (1) 580 30-60 Fax +43 (1) 580 30-693
fra.europa.eu info@fra.europa.eu ISBN 978-92-871-9939-3 (Conselho da Europa)
ISBN 978-92-9239-498-1 (FRA)

CONSELHO DA EUROPA
TRIBUNAL EUROPEU DOS DIREITOS DO HOMEM
67075 Estrasburgo Cedex Frana
Tel. +33 (0) 3 88 41 20 00 Fax +33 (0) 3 88 41 27 30
echr.coe.int publishing@echr.coe.int