Escolar Documentos
Profissional Documentos
Cultura Documentos
As comunicações eletrónicas através das redes telemáticas trouxeram consigo uma nova
realidade. Fenómenos como a geolocalização e as redes sociais, mas também a computação
distribuída e os ambientes inteligentes, convolam consigo um conjunto de questões com
evidente relevância jurídica. São agora manifestas as possibilidades acrescidas de
monitorização, vigilância, controle eletrónico, levadas a cabo por entidades estaduais e
entidades privadas. O uso crescente das tecnologias nas nossas atividades diárias, traz consigo
um progressivo desaparecimento (ou pelo menos esbatimento) das fronteiras que existiam
entre os domínios da vida pessoal e profissional, entre a esfera pública e privada. O que tem
consequências numa senda pessoal e profissional, conquanto acarreta a possibilidade de
reforçadíssimos meios de controlo sob os cidadãos e trabalhadores, hodiernamente
monitorizados não somente nos locais de trabalho. Tem-se então que uma vigilância total e
impercetível se torna agora possível.
Neste novo paradigma, alguns importantes princípios de direito, relacionados com os
direitos fundamentais à privacidade e à proteção de dados pessoais, parecem deveras
comprometidos. Tomemos, a título exemplificativo, o direito ao apagamento e o direito a ser
deixado só. A maioria das comunicações são hoje efetuadas através das redes telemáticas e o
exercício do direito ao apagamento de dados afigura-se como uma quimera possibilidade. As
nossas publicações em ambientes virtuais tendem a tornar-se definitivas e irreversíveis. Isto
torna-se absolutamente claro quando nos confrontamos com os novos paradigmas de
computação distribuída – também conhecida ‘cloud computing’.
1
Referência da compilação: ANDRADE, Francisco Pacheco de, Comunicações Eletrónicas e Direitos Humanos:
o perigo do ‘Homo Conectus’, Andrade, Francisco Carneiro Pacheco, in “Direitos Humanos e sua efetivação
na era da Transnacionalidade”, Outubro 2012, Juruá Editora.
Ambientes Inteligentes
A Privacidade
Dados Pessoais
Dados Pessoais são dados relativos a uma pessoa singular, identificada ou identificável,
investida na posição jurídica de titular dos dados. Nos termos do artigo 35.º, n.º 2 da CRP, “a
lei define o conceito de dados pessoais, bem como as condições aplicáveis ao seu tratamento automatizado,
conexão, transmissão e utilização, e garante a sua proteção, designadamente através de autoridade
administrativa independente”. Designadamente, no que concerne ao disposto no n.º 3 do antedito
preceito da norma normarum, consagrara-se uma proibição geral de tratamento de dados de
pendor sensível, a ver: “a informática não pode ser utilizada para o tratamento de dados referentes a
convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem ética, salvo
mediante consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou
para o processamento de dados estatísticos não individualmente identificáveis”.
Portanto, são algumas as exceções constitucionalmente previstas quanto ao tratamento
desta tipologia específica de dados. Importa, neste seguimento, conceder especial importância
às situações em que o próprio titular dos dados pessoais haja prestado consentimento através
da manifestação de uma vontade concreta, livre e informada 2. Pois bem, sucede que a prestação
de consentimento pressupõe um cristalizar efetivo do princípio da informação do titular (num
enjeito de nomenclatura melhorada, a consagração de um direito à informação), conquanto o
titular deverá de saber a tipologia e os procedimentos envoltos ao tratamento dos dados que
lhe dizem respeito. Ademais, o quesito do consentimento livre e informado não se considerará
como preenchido quando e se precedido apenas da indicação de uma finalidade vaga e
genérica. Por maioria de razão, esta exigência haverá de integrar necessariamente um direito
de controlo do tratamento preconizado, numa senda constitutiva de verdadeiros poderes à
remoção, atualização ou retificação das informações. Finalmente, como corolário dos ditames
subjacentes ao princípio da lealdade, os dados objeto de tratamento deverão de ser corretos,
precisos e utilizados em conformidade com a finalidade que foi indicada no momento da
recolha. A sua alteração, a da finalidade, pressuporá – independentemente da índole mais ou
menos substancial da modificação - sempre o pedido de novo consentimento por parte do
titular. O seu tratamento deverá de ser seguro e confidencial, e tais traços já se identificam
quanto à Proposta de Regulamento relativa ao Tratamento de Dados Pessoais nas
Comunicações Eletrónicas.
Ora bem, um cristalizar pleno de um consentimento livre e informado pressupõe um
efetivar do princípio da transparência 3 e da finalidade4reconhecidos doutrinária e
jurisprudencialmente. O primeiro, aquele relativo à necessária transparência, determina que a
pessoa responsável pelo tratamento deverá de estar plenamente identificada, sendo da
incumbência desta a prestação clara e percetível de todo o conjunto das informações relativas
à finalidade, prazos de tratamento, conservação dos dados, assim como da possível
comunicação ou transferência destes a terceiros. Para além disso, este enunciado
principiológico pressupõe a existência - em conformidade com o que se dissera anteriormente-
de um direito à informação e acesso aos dados (artigos 13.º e 14.º do RGPD), e sempre que
tal se seja exigível nos termos legais, o cumprimento do conjunto das obrigações de registo,
autorização e de notificação à Comissão Nacional de Proteção de Dados. Também de enorme
relevo é a obrigação de conformidade com o princípio da finalidade (v. supra). Este materializa
a significância que reduz o tratamento dos dados ao seu uso de acordo com a finalidade que
foi considerada no momento da sua recolha. E esta finalidade deverá de ser explícita,
determinada e legítima – i.e., não poderá de ser contrária à própria lei. Então, os objetivos
precisos e concretos do tratamento dos dados têm que ser indicados e os dados não poderão
de ser objeto de tratamento numa finalística contrária á determinação dos propósitos tal como
definidos no momento inicial. Conclui-se então que o consentimento legitima deverá de ser
prestado de forma inequívoca e informada, em consonância com os princípios gerais relativos
ao tratamento de dados pessoais 5. artigo 5.º do RGPD.
2 Cf. artigo 4.º, n.º 11 e artigo 7.º do Regulamento (EU) 2016/679, do Parlamento Europeu e do Conselho, de 27
de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais
(doravante sob abreviatura RGPD).
3 Cf. artigos 5.º, n.º 1, alínea a) e 12.º do RGPD.
4 Cf. artigo 5.º, n.º 1, alínea b) do RGPD.
5 Cf. ibidem, normativo supra referenciado.
Não obstante, a consideração deste princípio da finalidade não pode ser dissociada de um
outro requisito de suma importância. É que os dados recolhidos, nos termos do artigo 5.º, n.º
1, alínea c) do Regulamento Geral, têm de ser aqueles estritamente necessários e adequados à
prossecução das finalidades, conquanto o tratamento e processamento não pode extrapolar os
meios comuns de concretização dos propósitos previamente definidos. Ou seja, tem de existir
uma concordância defronte os ditames do princípio da proporcionalidade (artigo 18.º, n.º 2 da
CRP) entre os dados que são recolhidos e a própria finalidade que presidiu à recolha. Ademais,
haverá que considerar os critérios de apreciação da necessidade de recolha em conformidade
com as pressupostas finalidades.
Existem ainda um conjunto de direitos que o regulamento reconhece na esfera do titular
dos dados pessoais. Em especial, para efeitos destes mecanismos mais avançados de
comunicação eletrónica, importa realçar o direito ao apagamento dos dados, mais vulgarizado
por direito ao esquecimento, p. no artigo 17.º do RGPD. Bem entendidas as exigências que
pairam na sua ratio, haverá que estabelecer um prazo adequado para a conservação dos dados,
de modo a evitar uma apropriação perpétua de aspetos muito vastos da vida pessoal do titular
dos dados pessoais. Isto implica que alguns autores expressamente pelejem por uma
necessidade de asseguração de uma ‘autodeterminação informativa’ ou até de um ‘Direito à
autodeterminação informacional’. Pois bem, a efetivação de um direito desta índole pressupõe
o respeito concomitante defronte o direito de acesso, este p. no artigo 15.º do RGPD. Com
isto asseverar-se-á que o titular dos dados pessoais tem o poder-dever de verificar se os dados
relativos à sua pessoa (indexantes diretos ou indiretos) são conformes nos parâmetros da sua
correção, e subsequentemente, subsistirá na sua esfera jurídica o direito á retificação (cfr. artigo
16.º do RGPD) ao apagamento (cfr. artigo 17.º, supra) e eventualmente à portabilidade dos
dados (cfr. artigo 20.º do RGPD). Caso os dados objeto de tratamento sejam incorretos ou a
sua conservação extrapole o prazo necessário à prossecução das intentas finalidades, o titular
respetivo tem o direito à eliminação destes ou, pelo menos, o acesso a que estes sejam
bloqueados. O Novo Regulamento Geral de Proteção de Dados Pessoais prevê ainda o direito
de oposição do titular, nos seus artigos 18.º, n.º 1 e 21.º do RGPD.
Uma exceção ao requisito do consentimento livre e informado ocorrerá quando o titular
dos dados estiver temporariamente impedido de expressar o consentimento em razão do seu
estado de coma ou de estar nos cuidados intensivos (cfr. para os devidos efeitos, exceção à
proibição geral de tratamento dos dados sensíveis, p. no artigo 9.º n.º 2, alínea e) do RGPD).
Particulares considerações poderão ser tecidas no que contende diretamente com dados de
saúde, sensíveis na perspetiva do titular dos dados pessoais (cfr. artigo 9.º, n.º 2, alínea h) do
RGPD). Em conformidade com a alínea ante citada, será admitido o tratamento quando este
se afigure “necessário para efeitos de medicina preventiva (...), diagnóstico médico, a prestação de cuidados ou
tratamentos de saúde (...)”. Ainda assim, mesmo considerando que a recolha e tratamento destes
dados se conceba como benéfica e legalmente possível nos termos do Regulamento, não se
deverá de preterir a obrigação de observância de princípios fundamentais relativos ao
tratamento de dados pessoais, a ver, a necessária transparência e limitação do objeto de
tratamento em razão da finalidade.
Clarividente que algumas são as dificuldades de concretização de alguns direitos a que o
Regulamento se refere na perspetiva do titular dos dados pessoais, designadamente no que
respeito ao direito ao apagamento (cfr. artigo 17.º RGPD, conforme supra). Em Portugal, a
própria Comissão Nacional de Proteção de Dados determinará os prazos de utilização dos
dados, tendo como ponto de referência as finalidades que subjazem ao processo de tratamento.
Findo o prazo pré-estabelecido, os dados deverão de ser eliminados, assim se asseverando um
respeito efetivo pelo direito ao apagamento. Outro importante apontamento (já referido por
sinal) será o do direito à retificação naquelas situações em que o próprio titular verifique que
quando tudo o que nós fazemos está (ou poderá estar) sendo constantemente monitorizado?
Não será verdade que o que nós vamos tendo, cada vez mais, é uma clarividente expetativa de
sermos monitorizados? Deveremos então de nos conformar com isso e atuar nesse sentido?
Torna-se cada vez mais difícil a recolha de dados (usando as possibilidades acrescidas de
busca ou até de mineração dos dados – ‘data mining’ – e, com base nesses dados e observando
as escolhas, o comportamento, as emoções, construir verdadeiros perfis de utilizador,
induzindo as pessoas a terem determinados comportamentos e tornando-as, no fundo, cada
vez menos capazes de adotar comportamentos verdadeiramente autónomos e de viver de
acordo com as suas livres opções. Pois bem, este incremento da capacidade de monitorização
e sua aplicação nos seus mais variados níveis, traz consigo um progressivo esbatimento das
fronteiras entre a esfera pública e a esfera privada, entre o domínio pessoal e o domínio
profissional. E consequentemente, potencia os riscos da vigilância eletrónicas, da vigilância de
dados ou, o fenómeno vulgarizado de ‘Datasurveillance’. E obviamente que teremos de nos
perguntar se ainda haverá alguma margem para minimamente assegurarmos as garantias de
confidencialidade e termos em consideração os dois aspetos distintivos do direito à intimidade:
(a) o aspeto negativo do direito à intimidade – que visa impedir que terceiros tenham qualquer
conhecimento daquilo que é próprio e exclusivo da pessoa; (b) o aspeto positivo do direito à
intimidade – que visa assegurar o controle que cada pessoa deverá de empreender quanto à
informação pessoal que lhe diga respeito.
Ora bem, mesmo admitindo que o uso de sistemas informáticos e de comunicações
eletrónicas deva respeitar um determinado quadro legal impondo um conjunto de deveres e
obrigações relativos aos direitos fundamentais e suas garantias, haverá que reconhecer que,
ainda assim, permanecerão sempre evidentes riscos associados ao uso do elemento
tecnológico, tendo em conta as atuais facilidades de monitorização e de constituição de perfis
de utilizador e de ‘datasurveillance’ – ou seja, recorde-se, de um processo de constante vigilância
assente na recolha, processamento, uso e transmissão de dados relativos a uma pessoa singular.
Mas a este respeito, talvez tenhamos que estabelecer com maior nitidez uma distinção a operar
entre os requisitos de privacidade e os requisitos da proteção de dados, entre as garantias de
opacidade (que associamos à ideia de privacidade) e as garantias de transparência
(absolutamente necessárias em matérias de proteção de dados).
Face ao exposto, torna-se claro que uma mera consagração legal de direito pode já não ser
mais suficiente. É fundamental encontrar meios de assegurar a eficácia dos direitos. Há que
dizer, ainda a este propósito, que além do importante papel desempenhado pela Lei e pelos
Regulamentos, um novo e importantíssimo papel normativo pode e deve de ser desempenhado
per si pela própria Tecnologia. Torna-se cada vez mais evidente a necessidade de
desenvolvimento de tecnologias compatíveis com o Direto, ou até de tecnologias que
promovam elas próprias os direitos. É que se, por um lado, a tecnologia pode ser encarada
como um verdadeiro pesadelo para o Direito (de modo muito particular ameaçadora para os
direitos humanos), trazendo consigo inúmeras ameaças aos direitos fundamentais das pessoas,
por outro lado, não podemos deixar de nos questionar se essa mesma tecnologia não deverá
de ser considerada como uma parte incontornável na busca de respostas e soluções para
problemas jurídicos por ela própria levantados, promovendo soluções tecnológicas e usos em
conformidade com os requisitos legais e com os direitos fundamentais, nomeadamente no que
à privacidade e proteção de dados pessoais diz respeito. Como muito bem refere Jane Winn,
tal como os standards técnicos tornaram possíveis as comunicações em rede, aumentando
exponencialmente o risco de os dados serem processados em desconformidade com os
requisitos do direito de proteção dos dados pessoais, também se torna agora possível que as
tecnologias sejam concebidas em moldes mais conformes com os requisitos legais,
aumentando-se consentaneamente a oferta e o acesso a tecnologias promotores e
potenciadores de um verdadeiro direito à privacidade. Esta ideia vem aliás naquilo que fora
defendido por Lawrence Lessig que já no início do século proclamava a existência de múltiplas
dimensões normativas abarcando domínios situados muito além do raio de atuação do Estado,
por via legislativa ou até regulamentar. De acordo com este conceituado autor, matérias não
jurídicas, como p.ex. aquelas respeitantes às arquiteturas das redes comunicacionais, podem
ter severas implicações no atinente à regulação estadual e aos direitos pessoais. E no entanto a
visão pugnada idem até pode ser merecedora de algumas criticas passíveis de serem tecidas,
tendo em conta que relevantes dificuldades decorrem da constatação de que a questão da
proteção dos direitos humanos face às comunicações eletrónicas não poderá de ser
considerada de modo minimamente eficiente a nível nacional, e muito menos a nível local,
como foi aliás reconhecido pelos deputados da Assembleia Nacional de França no mês de
outubro do ano de 2010. Vejamos: há uma necessidade urgente de convocar uma convenção
internacional dedicada á proteção da vida privada e aos dados pessoais, colocando a um nível
internacional as novas questões decorrentes da existência de uma sociedade global
interconectada.
Para além das possibilidades acrescidas de recolha e de disseminação de dados pessoais, de
utilização crescente de ambientes inteligentes e das capacidades cada vez mais poderosas de
recurso a instrumentos de geo-localização, será que ainda faz algum sentido a tradicional
distinção entre esfera pessoal, a esfera privada e a esfera íntima? A questão da transparência
está certamente em causa, mas não é de modo algum a única que deverá de ser colocada em
cima da mesa. Será que não temos de considerar a noção de Territórios Digitais? Melhor
explicando, uma balizada concetual-territorial como esta seria caraterizada quanto à sua
estrutura da seguinte forma: o corpo enformar-se-ia como um território da pessoa, no qual o
indivíduo deverá ter o controle total; a casa ou o lar como segundo território da pessoa, em
relação ao qual o individuo e o grupo a que este pertence mantém algum controlo, propriedade
e poder de regulação; e o terceiro território correspondendo àquele espaço ou esfera pública.
Não obstante, esta noção de territórios digitais pressuporia ou implicaria a possibilidade de
escolha, por parte do individuo – titular dos dados pessoais, refira-se – sobre quanta
informação é disponibilizada, a quem e com que finalidades.
Em suma, tudo isto nos leva a pensar que o tradicional papel protetor do Estado deverá de
ser repensado. E provavelmente teremos que admitir um progressivo e cada vez mais alargado
envolvimento tanto da tecnologia como dos indivíduos nesta função de proteção dos direitos
fundamentais. Como bem refere Antoni Roig, os investigadores da área da tecnologia tenderão
a deslocar a proteção da privacidade para as mãos dos indivíduos, concedendo-lhes
mecanismos e ferramentas tecnológicas de proteção dos direitos que a constituição e os
instrumentos internacionais lhes reconhecem. Ou seja, a privacidade e a proteção dos dados
pessoais tenderão a tornar-se não apenas numa questão de políticas públicas e de intervenção
do legislador-regulador, mas também – e cada vez mais – uma relevante questão tecnológica e
de prestação de serviços da sociedade de informação, e, em última análise, a eficácia dos
direitos dependerá cada vez mais das escolhas e comportamentos dos indivíduos. E só assim
poderemos continuar a falar de direito à autodeterminação informacional.
Mas é evidente que em inúmeras situações (a começar pelas relações laborais) terá que ser
encontrado um equilíbrio, nem sempre fácil, entre poderes e deveres, direitos e obrigações. E
teremos de concordar que o respeito pelo princípio da transparência assumirá um enorme
relevo e que haverá um aumento significativo dos casos em que se torna necessário (ou pelo
menos fortemente aconselhável) a elaboração (p.ex., ao nível da empresa ou até em sede de
negociação coletiva) de regras de boa conduta relativas à utilização da informática.
Conclusões
6 Referência da compilação: HERT, Paul [et. al.], Legal safeguards for ambient intelligence: personal and ubiquitous
computing, 2009, 13.6: 435-444.
Disponível em https://www.vs.inf.ethz.ch/events/uc07privacy/papers/03-legal.pdf.
Big Data7 e em situações que imbricam diretamente não somente com o preconizar dos
desígnios laborais, mas também com factis substancialmente respeitante ao direito à reserva
sobre a intimidade da vida privada (v. cenário 1, supra). Neste seguimento, difícil se concebe o
ato de traçar as balizas distintivas da esfera de atuação ‘publicitável’ de uma outra, de rango
intrinsecamente ‘priva(tístico)’.
A incomensurável coleta e intercâmbio massivo de informações (sob a forma de atributos
mecanicamente interpretáveis na modalidade de parâmetros ou observações – reproduzíveis
computacionalmente em constantes ou variáveis - como resultado da interação continua
homem-máquina), potencia o denominado fenómeno da ‘Definição de Perfis’. Tal efetua-se
num ímpeto conformador defronte os propósitos dos diversos agentes ecónomos ou até
mesmo das próprias instituições governamentais, os quais intentam aceder ao maior número
de informações possíveis num curto espaço de tempo. Assim se carateriza o ato de
‘personificação’ do titular dos dados pessoais. Clarividente que situações de risco para a
segurança e defesa nacionais 8 justificam algumas das restrições, conquanto e só na medida em
que estas sejam efetuadas no limiar do “estritamente necessári(o) à salvaguarda de outros direitos ou
interesses constitucionalmente protegidos” (cfr. artigo 18.º, n.º 2 da CRP).
Em correspetiva, os riscos que decorrem do uso crescente destas avançadas tecnologias de
informação e comunicação não se cingem ao ato de captação e transferência dos dados a
terceiros. Outrossim, inúmeras são as preocupações que decorrem do auxílio às ‘máquinas de
auto-aprendizagem’. A ver, por exemplo, a padronização dos hábitos de consumo ou as
atividades preconizadas ao nível das redes sociais pelos subscritores destas ocultam os
propósitos subterfugiados de indução à aquisição de determinados bens e serviços (v. p.ex.,
plataformas online como a Amazon e a Netflix) ou, respetivamente, a intrusão naquelas que
serão as vindouras opções políticas dos eleitores (v., p.ex., caso da Cambridge Analytica).
Assemelha-se então que o crescente uso de tecnologias de computação cognitiva respeitantes
aos ‘AmI’ - mormente no cômputo dos denominados ‘Territórios Digitais’ - espelha aquelas
que são as assimetrias que conotam a relação estabelecida de entre os cidadãos-utilizadores e
as próprias empresas (‘eBusiness’), e dest(es) com o Estado (‘eGovernment’) 9. No mais, o mote
de processamento carece de uma maior transparência e opacidade 10. Então, ainda que
imbuídos na investidura de auxiliares das tarefas de pendor remotamente humanista, estes
sistemas de ‘AmI’ reforçam a sua precisão decisória por referência ao prévio traçamento do
perfil do utilizador correspondente e os seus outputs algorítmicos consubstanciam somente e
irrefutavelmente a réplica das informações ante obtidas pelo próprio software, tantas vezes sem
que o consentimento do titular dos dados pessoais seja livre, explícito e adequado11.
Alguns efeitos nefastos poderão ser ainda mencionados neste seguimento, conquanto basta
idealizar a hipótese em que o serviço de transporte negado é a uma pessoa singular com
fundamento no cruzamento erróneo do conjunto de informações a ela respeitantes. No mais,
e quando uma pessoa se encontra sujeita a decisões automatizadas (cuja permissão é remota
mediante a verificação do conjunto de exceções expressamente previstas nos termos do
7 Por operação de tratamento de dados a uma escala de Big Data assumir-se-ão todo um conjunto de processos
compagináveis com a velocidade (‘velocity’), volume (‘volume’) e variedade (‘variety’) das informações a que
correspondem os atributos apreendidos pelos mecanismos físicos.
8 Atinentes à prossecução das finalidades de prevenção, repressão e combate à criminalidade altamente organizada
e ao terrorismo.
9 Refira-se, a título de nota, que são as entidades empresariais, públicas ou privadas, aquelas organizações que
possuem a maioria da quantidade dos dados relativos a pessoas singulares identificadas ou identificáveis e, portanto,
meritórios da sua qualificação como pessoais (cf. artigo 4.º, n.º 1 do RGPD).
10 Cf. Artigo 5.º do RGPD, relativos aos princípios gerais aplicáveis em matéria de Direito da Proteção dos Dados
Pessoais.
11 Cf. Artigo 4.º, n.º 11 e artigo 7.º, ambos do RGPD.
14 Referência da compilação: SILVEIRA, Alessandra e FROUFE, Pedro, A Proteção de Dados Pessoais na União
Europeia: do mercado interno à cidadania de direitos a proteção de dados pessoais como uma questão jusfundamental identitária das
matrizes ‘supra-estaduais’ atinentes à concretização de uma verdadeira ‘União de direitos’, Centro de Estudos em Direito da
União Europeia Escola de Direito – Universidade do Minho UNIO - EU Law Journal. Vol. 4, No. 2, Julho 2018,
pp 4-20. ®2018. Disponível em
http://www.unio.cedu.direito.uminho.pt/Uploads/UNIO%204%20.%20Vol%201/Unio%204%20n.%202%20P
T/Alessandra%20Silveira%20&%20Pedro%20Froufe.pdf.
15 Artigo 99.º do Regulamento.
16 Cf., para os devidos efeitos, Processo C-582/14: Acórdão do Tribunal de Justiça (Segunda Secção) de 19 de
outubro de 2016.
O direito tem o seu tempo, refira-se, ainda dificilmente compaginável com a velocidade do
desenvolvimento tecnológico. No âmbito do processo de integração europeia, a importância
de um efetivo regime uniformizado de proteção de dados pessoais – apto a debater-se com os
avanços tecnológicos e, simultaneamente, concretizador do direito fundamental consagrado –
direta e autonomamente – no artigo 8.º da Carta – deverá de ser observada e compreendida á
luz do sentido e dos objetivos que têm orientado o aprofundamento da integração. Sucede
que, com a reforma de Lisboa, o Tratado da União Europeia (‘TUE’) associara expressamente
17 O risco pré-existe quanto ao mote preconizado de uma eventual regulamentação excessiva (em inglês,
‘overregulation’), num setor altamente variável e imprevisível como o das Tecnologias de Informação e Comunicação.
Involuntariamente, em razão do pendor maioritariamente tecnicista destas matérias, eventuais lacunas poderão
emergir de um ponto de vista legal. Não obstante, realce-se que toda uma regulamentação nestas matérias deverá
de ser acompanhada de comissões técnicas especializadas, num enjeito claramente complementar de conhecimentos
certeiros e precisos quanto á sua eficácia.
18 Cf. artigo 3.º, n.º 3 do TUE. Refira-se que a importância e a atenção concedidas à efetividade de um direito
fundamental à proteção de dados pessoais não se justificam apenas pela pressão dos tempos tecnológicos vividos
e pela emergência progressiva dos homos digitais. A montante, o sentido cada vez mais político do aprofundamento
da integração, bem como a prioridade colocada na construção de uma cidadania europeia, favorecera o
desenvolvimento de uma ‘cultura de direitos europeia’. Podemos, em suma, afirmar que o paradigma referencial de
um mercado interno é, hoje em dia, o de um mercado onde se movimentam e circulam cidadãos que também são,
circunstancialmente, agentes económicos e consumidores.
19 Cf. artigos 44.º e ss. RGPD.
20 A Googleprevê as nossas pesquisas, a Amazon conhece as nossas preferências literárias, a Apple sabe das músicas
que descarregamos. Ora, estas empresas recolhem, manipulam e transmitem de forma onerosa as nossas
informações a entidades terceiras. De realçar que esta problemática viria a ser alterada com a aplicação do Novo
Regulamento geral de Proteção de Dados Pessoais.
Urge, portanto, discutir tais questões sem maniqueísmos ou reservas mentais. Importa
consciencializar as pessoas para que façam as suas escolhas individuais quanto ao que querem
ou não partilhar, sobretudo em razão do facto de cada vez mais os algoritmos de aprendizagem
decidirem quem obtém o crédito, quem compra o quê, quem fica com qual emprego, quem –
dos empregados – auferirá e usufruirá de um aumento salarial, que ações sobem e descem no
mercado financeiro, onde estão os agentes de polícia, ou até mesmo compatibilidades
amorosas em sites ou aplicações de encontros 21.
No cômputo regulamentar do RGPD são asseguradas quimeras garantias que contendem
diretamente com estas matérias, mormente no que respeita ao direito de oposição (artigo 21.º
e 22.º, n.º 3) e à não sujeição a decisões individuais automatizadas, incluindo a definição de
perfis (artigo 22.º do RGPD, em especial). Ou seja, o titular dos dados pessoais tem direito22
a não estar sujeito a qualquer decisão exclusivamente automatizada dos seus dados. Assim, o
novo paradigma de regulamentação europeia é o da oposição ao profiling realizado com objetivo
de avaliar e tipificar os indivíduos com base nos seus dados, na medida em que tal
processamento possa afetar este similar ou significativamente. Tal sucede na medida em que:
(1) tem de haver uma intervenção humana por parte do responsável pelo tratamento; (ii) deverá
ser verosímil a manifestação empírica do contraditório tendente a expor os argumentos e a
possibilitar a contestação (em terminologia legal, ‘oposição) da decisão maquinizada.
A questão da discriminação algorítmica – v. supra – verificara-se com o mediatizado caso
do Facebook e da Cambridge Analytica23. Neste case study surgira o problema da
regulamentação de algoritmos inteligentes. E a dificuldade reside sobretudo no facto de não
existir uma ligação necessária entre inteligência e vontade própria. Ao contrário dos seres
humanos, os algoritmos não têm vontade própria, atuam ao serviço dos objetos que lhes são
definidos. Conjetura-se que, embora espetacular, a inteligência artificial tem pouca semelhança
com os processos mentais dos seres humanos – como, aliás, exemplifica o neurocientista
português António Damásio, Professor na Universidade de Southern Califórnia. Nesta
medida, então podemos afirmar perentoriamente que nem todos os impactos da inteligência
artificial são facilmente reguláveis ou traduzíveis normativamente – e por isso a
regulamentação tradicional pode não funcionar 24.
Num estudo recente, a Agência Europeia de Direitos Fundamentais intenta desenvolver as
matrizes principiológicos envoltas à discriminação algorítmica, sugerindo a jusante medidas
tendentes a minimizar os seus efeitos sobre os direitos fundamentais, a saber: (a) verificar a
qualidade dos dados; (b) zelar pela transparência e escrutínio público sobre a forma como os
algoritmos foram configurados; (c) realizar avaliações de impacto sobre o risco potencial de
afetação discriminatória para os titulares dos dados pessoais; (d) certificação em como o
processo de programação algorítmica foi perspetivado na modelagem e o mote em que opera 25.
21 Estas declarações entroncam diretamente nas matérias controversas de ‘discriminação algorítmica’ – em função
do sexo, idade, origem racial, religião, orientação sexual, etc.
22 Esta é a aceção da Professora Alessandra Oliveira. Temos que, em sentido contrário, o titular dos dados pessoais
somente a título excecional poderá de ser sujeito a decisões exclusivamente automatizadas. A regre geral do n.º 1
do artigo 22.º do Regulamento Geral deverá de ser acecionado como uma verdadeira proibição geral (o que se
induz da leitura sistemática do considerando 71).
23 A Cambridge Analytica é uma empresa privada de análise de dados e comunicação estratégica.
24 Assim, v. exemplo das fake news proliferadas na rede social Facebook. O algoritmo do Facebook tem por objetivo
maximizar o envolvimento do internauta de forma a que lhes sejam exibidos determinados tipos de anúncios de
forma personalizada. Ao algoritmo é-lhe indiferente a veracidade ou falsidade do teor ou conteúdo que as notícias
apresentam. Porventura, este tipo de notícias, em razão da sua apriorística matriz mediática, são também aquelas
mais visionadas e partilhadas pelos utilizadores. Em última análise, dir-se-á então que ‘os algoritmos de
aprendizagem são estúpidos – como explica Pedro Domingos – porquanto carecidos de senso comum e ética
(caraterísticas humanas) como também de empatia e criatividade.
25 São dúbios os moldes compreensivos e simplistas que caraterizariam as explicações que subjazem ao processo
26Refira-se que esta proposta contempla, nos seus meandros explicativos, a hipótese de reconhecimento da figura
da ‘pessoa eletrónica’, dispare das pessoas singulares e coletivas. Pois bem, a criação de um estatuto jurídico
específico para os robôs autónomos mais sofisticados despoleta as questões que têm que ver com o mote em que
se procederia a imputação de responsabilidade, civil e criminal, defronte a ocorrência de determinados eventos
danosos.
Não se tem por adquirido que a revolução tecnológica conduza ao efetivo empoderamento
dos cidadãos e ao aperfeiçoamento das instituições democráticas. Para tal suceder, acebe-se
como necessária uma alteração da cultura cívica. Em tese, através da Internet parece ser
possível a criação de uma esfera pública global que permita o diálogo político entre os cidadãos
e as suas preocupações para além das próprias fronteiras digitais. A questão reside em cogitar
o mote em como otimizar o potencial da Internet de forma a assegurar a legitimidade
democrática assente no valor do Estado de Direito 27.
Em suma, a revolução digital não acarreta somente desvantagens. Poderia efetivamente
transformar a representação democrática através da alteração dos espaços e dos tempos da
ação política. As ferramentas digitais poderão ulteriormente ser empregues numa senda
tendente à viabilização de outras formas de envolvimento dos cidadãos no quotidiano.
Importa, contudo, perceber até que ponto as entidades públicas se encontram genuinamente
interessadas em aumentar e melhorar o nível de participação cívica, mas também se os próprios
cidadãos demonstram interesse em contribuir ativamente para os processos de decisão
democrática que afetem o seu quotidiano.
27 O Estado de Direito é hoje em dia conjeturável num cenário globalizado (conotado pela fragmentação,
financeirização e pela digitalização que não lhe é propriamente favorável. Posicionar-se a favor do Estado de Direito
significa – por de entre os meandros do mundo digital dos dias de hoje - “pretender que as instituições políticas tenham
rigorosamente por finalidade a garantia dos direitos fundamentais dos indivíduos” – Ct. Alessandra Oliveira. Em correspetiva,
para efeitos do presente resumo, dir-se-á que a privacidade e, adicionalmente, a proteção de dados pessoais convola
a questão da cristalização de um dever conexo com os direitos que lhes estão associados, perspetiva esta cujo
desenvolvimento se posterga para momento ulterior.
28 Data que reporta à aplicação do Regulamento Comunitário nos vários Estados-Membros, destarte a sua
novo produto.
30 Num perspetivar tendente a assegurar que apenas serão recolhidos, utilizados e conservados os dados em
quantidade necessária).
31 Auxílio de compilação (Referência): SILVEIRA, Alessandra e CANOTILHO, Mariana, Carta Europeia dos Direitos
Fundamentais Comentada, anotação ao artigo 51.º, Almedina, 2013, pp. 572-579.
32 A pertença dos Estados membros a uma ordem supracomunitária implicara a transferência de parte da soberania.
Assim, o exercício das funções estaduais – plasmados no artigo 9.º da CRP – será efetuado nos meandros de uma
competência partilhada. Cf. artigo 4.º, n.º 2, alínea a) e artigo 2.º do TFUE. Assim, no âmbito do exercício de
competências partilhadas entre a União Europeia e os seus Estados-Membros, ambos podem adotar atos
juridicamente vinculativos, embora a natureza do exercício em voga e nas quadrantes internas seja residual.
qualidade de cidadãos, defronte quem competente ao nível da União, assim como diante dos
órgãos jurisdicionais internos. E tal decorre da apriorística preterição do conjunto de
disposições conducentes a uma tutela dos direitos plasmados na Carta33.
Em especial, a aplicação do Direito da União Europeia às matérias respeitantes aos Dados
Pessoais decorre dos artigos 2.º e 6º, e de primordial colação, do artigo 16.º34 - todos do TFUE-
sendo desígnios dos seus órgãos e instituições a fixação de todo um conjunto de regras que
materializem uma tutela efetiva dos titulares dos dados pessoais.
Ora, é a previsão e integração substantiva em voga no cômputo jusfundamental da União
Europeia – a Carta Europeia dos Direitos Fundamentais – e o seu balizar político-institucional
no Tratado de Funcionamento, o mote traduzível da conotação sémica que ao direito à
proteção dos dados pessoais é atribuída como um direito distinto e autónomo daquele outro
respeitante à reserva sobre a intimidade da vida privada 35. Assim, o espaço comunitário deverá
de ser percecionado como uma verdadeira ‘União de Direitos’ – cujas regras vinculam os seus
organismos e instituições, os Estados-Membros e até os particulares - e que reúne através dos
seus atos os valores reinantes nos sistemas jurídicos numa ótica de interconstitucionalidade,
tal-qual proferido por Gomes Canotilho.
33 Cf. para os devidos efeitos, artigo 53.º da CDFUE, do qual resulta um nível de proteção mais elevado
para os cidadãos dos Estados-Membros. A Carta vincula diretamente as entidades públicas e privadas
no ordenamento jurídico português por força do efeito direto consagrado no artigo 8.º da norma
normarum. Em especial, quanto à autonomização e individualização do direito à proteção dos dados
pessoais, v. infra.
34 “1. Todas as pessoas têm direito à proteção dos dados dos dados de caráter pessoal que lhes digam respeito. 2. O
Parlamento Europeu e o Conselho, deliberando de acordo com o processo legislativo ordinário, estabelecem as normas
relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos e
organismos da União, bem como pelos Estados-Membros no exercício das atividades relativas à aplicação do direito da
União, e a livre circulação desses mesmos dados.
A observância dessas normas fica sujeito ao controlo de autoridades independentes. (...) As normas adotadas com base no
presente artigo não prejudicam as normas específicas previstas no artigo 39.º do Tratado da União Europeia”.
35 Cf. artigos 7.º e 8.º da CDFUE.
36 SILVEIRA, Alessandra e MARQUES, João, Do direito a estar só ao direito ao esquecimento. Considerações sobre a
Proteção de Dados Pessoais informatizados no Direito da União Europeia: sentido, evolução e reforma legislativa, in
Revista da Faculdade de Direito UFPR. ISSN: 0104-3315 (impresso) 2236-7284 (eletrônico).
Disponível em https://revistas.ufpr.br/direito/article/view/48085.
que o ‘bloco de jusfundamentalidade’ da União’ 37, congrega normas de distintas fontes: (1)
normas de proveniência internacional relativas à proteção dos direitos humanos (constantes
sobretudo da CEDH); (2) normas de proveniência europeia (constantes de Tratados, em
especial no que tange à Convenção Europeia dos Direitos do Homem; e (3) as normas de
proveniência nacional 38. Nesta medida, a entrada em vigor da CDFUE não desconsidera o
acervo da União em matéria de proteção dos direitos fundamentais, desenvolvido a partir do
seu reconhecimento enquanto princípios gerais – apenas lhe dando continuidade.
Ocorre que a aplicação concreta de normas de direitos fundamentais de distintas fontes
nem sempre é simples nem inequívoca, pois ainda que o núcleo essencial das disposições
normativas – ou o ‘coração das normas’ – pareça idêntico nos distintos ordenamentos –
internacional, europeu e nacional – as diferenças sistémicas podem produzir diferentes
standards, i.e., diferentes níveis de proteção relativamente ao mesmo direito fundamental. E é
por isso que as normas relativas a direitos fundamentais de proveniência internacional (como
a CEDH) e de proveniência nacional (diferentes Constituições dos Estados-Membros) devem
ser compatibilizadas com a estrutura e objetivos da ordem jurídica europeia. Assim, as
particularidades do modelo de proteção dos direitos fundamentais na União – fundado em
normas de direitos fundamentais de distintas fontes e no seu reconhecimento enquanto
princípios gerais – conduziram à consagração do princípio do nível mais elevado. Em
conformidade com os seus ditames, se para a solução de uma situação concreta forem
mobilizáveis normas de vários ordenamentos jurídicos (ainda que a propósito do mesmo
direito fundamental) será aplicável a norma do ordenamento que conceda a proteção mais
elevada ao titular do direito em causa. Trata-se de um princípio desenvolvido
doutrinariamente, a partir de uma interpretação sistemática das disposições da CDFUE. O
TJUE ainda não desenvolveu substancialmente esta asserção. Não obstante, quando se depara
com distintos standards de proteção, por vezes, concluiu que os limiares aplicáveis decorrerão
de uma Constituição nacional, das tradições constitucionais comuns 39, razão pela qual urge
que o TJUE esclareça o conteúdo dos princípios em causa.
Destarte o antedito, o problema que se coloca nas jurisdições internas tem que ver com a
determinação do padrão de jusfundamentalidade aplicável – que até poderá ser o da
Constituição interna – ainda que sempre se deva ater como ponto de referência o Direito da
União, vinculativo quanto ao projetar decisório do nível de proteção mais elevado. Aqui o
reenvio prejudicial 40, revela-se indispensável á determinação do conteúdo normativo aplicável
num contexto de ‘interjusfundamentalidade’. É que a entrada em vigor da CDFUE oferece
um catálogo de direitos fundamentais a todos os que se submetem á jurisdição da União – que
passam a reconhecer, previamente, os seus direitos neste contexto. Contudo, não altera a
essência da construção pretoriana dos direitos fundamentais da União, resultante do diálogo
entre jurisdições, conquanto os direitos fundamentais continuam a ser aplicados segundo os
critérios próprios do direito da União – objeto de um processo de filtragem pelo e segundo o
modelo jurídico da integração europeia. Assim, a proteção jusfundamental na União Europeia
depende da assimilação – sobretudo por parte dos operadores judiciários dos Estados-
37 O bloco referenciado supra – in corpo do texto – serve de parâmetro para as decisões orgânicas e
funcionalmente europeias, entenda-se, em relação ao Tribunal de Justiça da União Europeia e tribunais
nacionais.
38 As normas de proveniência nacional são aquelas integrantes do sistema jurídico, designadamente nas
crer.
40 Cf. Artigo 267.º do TFUE.
41 Ct. Gomes Canotilho (em diálogo falado com a Professora Alessandra Silveira) – conforme referência da própria
em aula.
42 Abesbilico se deixa o público leitor na cogitação a que ora remete a presente nota de rodapé, numa apriorística
ótica de desleixe defronte a ausência simbiótica da referência às matérias conexas com o Direito da Proteção de
Dados Pessoais. Pois bem, afirme-se que as notas de rodapé são para serem lidas e daqui se conclui que, nos termos
conformes ao artigo 16.º do TFUE, a União Europeia incorpora no seu cômputo de atuação material tudo aquilo
que aos dados pessoais respeita, assim como as matérias que imbricam ou contendem diretamente com um respeito-
conciliatório do circulo da esfera privada.
43 Cf. para o efeito, artigos 5.º do TUE e artigos 2.º a 6.º do TFUE.
44 Reiterando, num melhor precisar – em contornos sumários: dir-se-á que o âmbito de aplicação da Carta é aquele
que decorre das competências da União – independentemente do facto de a medida questionada ser imputável às
autoridades europeias ou nacionais. Não obstante, nas suas conclusões do Processo Zambrano, a Advogada-Geral
Eleanor Sharpston densifica esta ideia e sugere mesmo a dispensabilidade do exercício da competência europeia,
numa ótica segundo a qual a proteção jusfundamental da União dependeria da existência de uma competência
material – sobretudo exclusiva ou partilhada – num determinado domínio, ainda que essa competência não tivesse
ainda sido exercida pela União. Conforme explica a Advogada-Geral, a União teria a responsabilidade de garantir a
proteção dos direitos fundamentais na sua esfera de competências, sem depender dos timings da iniciativa das suas
instituições e do processo político.
45 Cf. artigo 288.º do TFUE, no qual se encontram elencados o conjunto de atos jurídicos da incumbência dos
acompanhada da definição do ‘catálogo das competências da União’, nos termos e por referência aos tratados
constitutivos.
50 O âmbito material da Diretiva 95/46/CE restringe-se ao mercado interno, não sendo subsumível às matérias ou
domínios de cooperação judiciária e policial em matéria penal. Por isso, a Decisão-Quadro 2008/97/JAI completa
a referida diretiva em matéria penal.
51 Especificamente sobre as matérias relativas à proteção de dados pessoais, importa realçar que outros diplomas
complementa(ram) a ante enunciada diretiva no corpo do texto, mormente aqueles respeitantes à transmissão de
dados pessoais nas comunicações eletrónicas e aquele que fixa o regime aplicável (indiretamente, porque de uma
diretiva se trata) em relação ao comércio eletrónico.
52 Cf. artigo 51.º, n.º 1 do TFUE.
53 O avanço institucional da Carta tem que ver precisamente com a consagração de um direito fundamental que
tutela os dados, não privados, e muito menos íntimos. Para o efeito, a proteção supraconstitucional rege-se somente
pela qualificação destes (hoje segundo o artigo 4.º do RGPD) como dados pessoais.
54 Segundo a disposição referida no corpo do texto, deverão de ser aplicadas as normas que balizem os níveis de
proteção mais elevado no padrão jusfundamentalista e aplicável segundo. Regime comunitário correspondente.
55 Cf. artigos 16.º TFUE, artigo 9.º TUE, artigo 8.º CDFUE, Artigo 16.º TFUE, e em especial, artigo 4.º, n.º 1 do
RGPD.
56 Importa denotar que o acórdão Lindqvist, de 6 de novembro de 2003, Processo C-101/1, no seu considerando
98, estabelece que: “nada se opõe a que um Estado-Membro alargue o alcance da legislação nacional que procede à transposição da
Diretiva 95/46 a domínios não incluídos no seu campo de aplicação, desde que nenhuma outra disposição do direito comunitário a tal
obste”. Ademais, algumas disposições constantes de diretivas setoriais, como a Diretiva 2002/59, aplicam-se
explicitamente á proteção de dados relativos a pessoas coletivas.
57 Neste cômputo referencial referir-nos-emos a todo um conjunto de técnicas de captação, transmissão e
manipulação de dados.
que relevem para uma boa e justa decisão da causa. Por essa mesma razão, a referência a alguns
dos acórdãos emblemáticos em matéria de proteção de dados afigura-se indispensável para a
compreensão da reforma legislativa de que trataremos infra. Analisemos por agora um conjunto
de acórdãos do Tribunal de Justiça.
de aplicação da diretiva porquanto a atividade, sem qualquer intento de lucro económico, destinava-se a suportar
exclusivamente a atividade de catequista, a título gratuito e extrapola o cerne de qualquer relação laboral, no seio
de uma comunidade paroquial. Ora, este desígnio de catequista em nada se conexiona com o normal
estabelecimento e funcionamento do mercado interno – segundo o advogado. Parafraseando: “se atribuirmos á
diretiva, para além da finalidade de favorecer a livre circulação dos dados pessoais no mercado interno, objetivos suplementares e
autónomos relacionados com imperativos de carácter social e a proteção dos direitos fundamentais (em especial, o direito à reserva sobre
– o TJUE entendeu que o âmbito de aplicação da diretiva não se limita ao exercício de uma
atividade económica, conquanto no seu cômputo operante o ato jurídico disciplina a circulação
de dados pessoais também no exercício de atividades sociais, e por de entre os meandros
contextuais mais amplos de uma integração europeia orientada pela proteção de direitos
fundamentais.
Também a indicação de que uma das catequistas se lesionara no seu membro inferior
configura um tratamento de dados pessoais relativos à saúde da pessoa singular, cuja
divulgação demandaria o consentimento explícito do titular, i.e., uma efetiva e clara
manifestação de uma declaração de vontade livre, explicita e informada. Tal sucede na medida
em que meritória da qualificação como um dado sensível. De qualquer forma, o TJUE
entendeu que a operação em causa não constituía (em si mesma) uma transferência de dados
do território de um Estado-Membro para um país terceiro na aceção do artigo 25.º da Diretiva.
Se cada carregamento de dados pessoais na Internet configurasse uma situação de transferência
de dados para países terceiros, então os Estados-Membros estariam vinculados a prevenir que
nenhum dado pessoal fosse introduzido online. Tal indagação estupidificante extrapolava o
nível de exigência plasmado nas várias disposições da diretiva e, aliás, seria impraticável.
a intimidade da vida privada), corre-se o risco (sublinhado nosso) de pôr em causa a própria validade da diretiva, dado que a sua
base jurídica seria nesse caso absolutamente inadequada” – cit. considerando 42.
61 O software peer-to-peer consubstancia um meio de partilha de conteúdos independente e munido de funções de
esfera jurídica dos autores tem que ver precisamente com o facto de a instalação do sistema informático haver de
ser complexa, onerosa e o seu caráter incompreensivelmente permanente ao longo de um determinado hiato
temporal.
64 Cf. artigo 8.º da CDFUE.
Um pequeno esboço acerca das considerações tecidas pelo advogado-geral Niilo Jääskinen: em
especial, a ‘territorialidade principiológica’ das matrizes plasmadas na Diretiva 95/46/CE
Dir-se-á, como primeiro apontamento, que um motor de pesquisa na Internet
aprioristicamente não cria novos conteúdos autónomos, limitando-se a indexar a fonte (em
formato de hiperligação) onde os respetivos conteúdos – correlacionados com e através da
inserção dos termos na pesquisa - poderão ser acedidos por terceiros via Web. Os resultados
exibidos são recolhidos por referência aos conteúdos previamente tratados pela plataforma, a
qual preconiza um retrieving das informações existentes nos sítios da Internet e,
subsequentemente, analisa e indexa esses conteúdos nos próprios dispositivos de pesquisa.
Evidentemente que o conteúdo que ora se arroga integra o cômputo substantivo dos dados
pessoais relativos aos utilizadores, conquanto tais páginas incluam informações meritórias
dessa mesma qualificação jurídica. No mais, de forma a facilitar a utilização dos resultados,
estas plataformas de pesquisa apresentam conteúdos adicionais agregados à hiperligação do
sítio web correspondente6768- o denominado ‘sítio-fonte’. Refira-se que esta informação pré-
visualizável pode (pelo menos parcialmente) ser recuperada com recurso aos dispositivos do
prestador de serviços de pesquisa e não instantaneamente. Daqui poderá indagar-se que a
informação se encontra efetivamente na posse do motor de busca.
Pois bem, no que contende diretamente com o âmbito de aplicação territorial da outrora
Diretiva 95/46/CE, alguns foram os considerandos apresentados pelo Advogado-Geral na
senda conclusiva de insuficiente consagração dos ‘meandros’ de aplicação, tal-qual plasmados
no e pelo artigo 4.º do ato europeu à data vigente69. Explicitem-se previamente algumas
reflexões sobre o assunto. Ora, a ubiquidade e o acesso universal ao conjunto de informações
relativos a uma pessoa singular ao nível da Internet, potenciada se atém pelas e através das
funcionalidades que os motores de busca apresentam, porquanto a sua identificação seria
abismalmente dificultada em razão da inexistência destas plataformas online de pesquisa.
Hodiernamente, os motores de busca apresentam incomensuráveis apetências para o ato de
65 Cf. artigo 11.º da CDFUE. A afronta considerada tem que ver com o facto de a medida inibitória – tal qual
solicitada pela Sabam – implicaria a análise sistemática de todos os conteúdos, bem como a recolha/identificação
dos endereços IP dos utilizadores que estão na origem do envio apriorístico de conteúdos ilícitos.
66 São dúbias as considerações de eficácia técnico-económica da implementação de um sistema de filtragem como
requerido pelos autores do processo. Regira-se, para os devidos efeitos, que a implementação de um sistemas como
estes suscetível era de ocasionar a confusão do conteúdo lícito e ilícito que subjaz à realização de uma determinada
comunicação eletrónica e, in casu, respeitante à partilha e transmissão de ficheiros peer-to-peer.
67 Cf. considerandos 32 a 35 das Conclusões do Advogado-Geral.
68 São vários os formatos de disponibilização dos conteúdos, a ver: excertos de texto, conteúdos audiovisuais ou
Nesta, o douto tribunal declarara que “a operação que consiste em fazer constar, numa página Internet, dados de caráter pessoal,
consubstancia (...) o ato de tratamento de dados pessoais (sublinhado nosso), conquanto “implica, segundo os procedimentos
técnicos e informáticos aplicados atualmente, a realiza(ção) da operação de carregamento dessa página num servidor”, (assim como)
todo um “conjunto das operações necessárias de forma a efetivar o acesso de todos os utilizadores” da Web. Recorde-se que, em
consonância com o considerando 26 do Acórdão ora analisado num enjeito de prolepse, a maioria das tipologias
de tratamento em causa reportam ao recurso de técnicas automatizadas. Assim, a referência plasmada num sítio da
Internet, a várias pessoas, bem como a sua identificação pelo nome ou por outros meios, constitui inegavelmente
uma operação de tratamento de dados pessoais por meios total ou parcialmente automatizados, na aceção do artigo
3.º, n.º 1 da Diretiva (em conformidade com o que se depreende das conclusões proferidas pelo tribunal). V. para
os devidos efeitos, considerando 61 das Conclusões.
traçamento e definição de perfis dos utilizadores, na medida em que o ato de indexação indireta
a que se dedicam envolve indubitavelmente – nalgumas, senão na maioria das vezes – a
pesquisa e consentânea recolha de dados pessoais, tantas vezes de pendor sensível 70. Nas
considerações apresentadas diante do Tribunal de Justiça, Niilo realçara a importância em se
determinar a exata medida de responsabilidade dos prestadores de serviços de motores de
pesquisa71. Incumbe – a este respeito, e no propósito de se balizarem as matrizes relevantes
quanto ao então âmbito de aplicação territorial da Diretiva– referir que “as receitas do prestador
de serviço de motor de pesquisa na Internet não proveem dos utilizadores que inserem os termos da pesquisa no
(respetivo) motor” [parênteses nosso]. Haverá que mencionar que a lucratividade destas ‘gigantes
internacionais’ advém de toda a movimentação ‘internética’ dos anunciantes que adquirem (ou
compram) os termos de pesquisa como se de verdadeiras palavras-chave se tratasse,
condicionando desta feita os resultados de pesquisa em razão do número de visualizações. E
o mote por que se conota este tipo de atuação envolve indubitavelmente a transmissão dos
dados pessoais (reitere-se) que integram as bases de dados dos clientes anunciantes para com
o próprio prestador de serviço, in casu, a Google.
Quanto às disposições que relevam para a aferição do cômputo de aplicação territorial das
Diretiva (então Regulamento Geral, segundo os determinismos plasmados no seu artigo 4.º),
a CDFUE determina, no seu artigo 51.º, n.º 2, que o âmbito de aplicação do Direito da União
em matéria de direitos fundamentais não exorbita, cria ou modifica aquelas competências ou
atribuições senão aquelas fixadas nos seus tratados constitutivos - em consonância com o que
se patenteara anteriormente no presente resumo. Assim, mormente por referência ao artigo
8.º da Carta – referente à proteção dos dados pessoais – uma interpretação da diretiva
conforme com os ditames do antedito normativo, e no mais consonante com o teor literal do
seu artigo 4.º, impõe o não acrescento do conjunto de elementos materializadores de um
critério totalmente novo e alusivo ao direito fundamental em causa. Posto isto – em
conformidade com o Parecer emitido pelo Grupo de Trabalho do Artigo 29.º - a determinação
do âmbito territorial de abrangência dos atos que versam sobre a proteção de dados pessoais
na União Europeia deverá de ser efetuada em razão do estabelecimento do responsável pelo
tratamento, ou mesmo considerando a localização dos meios ou equipamento utilizados. Não
relevam (e atente-se na seguinte asserção) nem a nacionalidade nem o local de residência
habitual das pessoas em causa, somente a localização física dos dados pessoais objeto de
tratamento72. Em complemento (segundo o Advogado-Geral) no caso em apreço, também
não será tido em consideração o critério do ‘público-alvo’ integrante do cômputo subjetivo
das operações de tratamento. A medida em que, dos resultados das pesquisas efetuadas nos
motores de busca, o titular dos dados pessoais – visado nas informações do sítio Web original
– possa ver prejudicada a sua reputação na sequência da indexação indireta com anúncios
controvertidos não importa como condição de aplicação territorial das disposições
comunitárias e nacionais que as concretizem. Portanto, o busílis do litígio em Espanha não
poderia – em conformidade com as considerações tecidas pelo Advogado-Geral, ter em
consideração todo um conjunto de critérios praeter legem – transpostos para a Lei Nacional
Espanhola e certamente resultantes do artigo 4.º da Diretiva (hoje, Regulamento Geral)73.
respetivamente.
73 Portanto, em termos opinativos, o douto advogado-geral considerava que os critérios atinentes ao princípio da
Ainda – last, but not least - no que concerne ao princípio da territorialidade, acrescentos
foram referidos por Niilo sobre as matérias respeitantes à aplicabilidade do critério do
‘estabelecimento na UE’ a um prestador de serviço de motor de pesquisa de um país terceiro.
Ora bem, em conformidade com a ideia plasmada no presente introito às Considerações do
Advogado-Geral, resulta do teor relativo ao normativo 4.º, n.º 1 da Diretiva que, ainda que o
responsável pelo tratamento não se encontre estabelecido no território da União, ser-lhe-ão
igualmente aplicadas as disposições comunitárias em matéria de proteção de dados pessoais,
conquanto o processo, os meios e as finalidades de tratamento empregues digam respeito a
dados cuja ‘manuseio’ seja efetuado em território da União74. Pois bem, em termos fácticos e
geográficos, patenteados no considerando 62, temos que “a Google Inc. é uma sociedade com sede
na Califórnia com filiais em diversos Estados‐Membros da UE. As suas operações europeias são, em certa
medida, coordenadas pela filial irlandesa. Atualmente possui centros de dados pelo menos na Bélgica e na
Finlândia.”. Neste contexto, a letra do artigo 4.º, n.º 1 não se afigura de verosímil utilidade, na
medida em que a Google tem diversos estabelecimentos no território da União. Por outro lado,
aprioristicamente não se perceciona com clareza até que ponto e quando o tratamento de
dados pessoais de pessoas que se encontram na UE tem lugar no contexto das filiais ou
sucursais, matéria esta posteriormente apreciada pelo Tribunal de Justiça. Na opinião do
Advogado-Geral, o Tribunal deveria abordar a questão da aplicabilidade territorial na
perspetiva do modelo de negócios dos prestadores de serviços de motores de pesquisa na
Internet75. Citando o próprio:
“Este modelo baseia‐se normalmente na publicidade na Internet a partir de palavras ‐chave (keyword
advertising) que é a fonte de receitas e, enquanto tal, a razão de ser económica da disponibilização de
uma ferramenta de localização de informação gratuita sob a forma de um motor de pesquisa.
(...). Por este motivo, a Google criou em muitos Estados ‐Membros filiais que constituem claramente
estabelecimentos, na aceção do artigo 4. °, n.º 1, alínea a), da diretiva. Também assegurou a
constituição de domínios web nacionais, tais como ‘google.es’ ou ‘google.fi’. A atividade do motor de
pesquisa tem em conta esta diversificação nacional de diversas formas relacionadas com a apresentação
dos resultados da pesquisa porque o modelo de financiamento normal da publicidade na Internet a partir
de palavras‐chave segue o principio do «pagamento por clique» (pay per click).”
Ademais, para efeitos da matéria em análise – a da aplicação territorial – um operador
económico não deverá de ser conjeturado quanto à decomposição da estrutura societária e
com base nas suas atividades individuais relativas ao tratamento de dados pessoais ou nos
diferentes grupos de pessoas em causa relacionadas com as suas atividades.
Portanto, em conclusão, o tratamento de dados pessoais tem lugar no contexto da
determinação de um responsável pelo tratamento se esse estabelecimento fizer ‘a ponte’ ou
empregar os seus desígnios na qualidade de intermediário entre o serviço de referenciamento
e o mercado publicitário desse Estado‐Membro, mesmo que as operações técnicas de
tratamento de dados sejam efetuadas noutros Estados‐Membros ou em países terceiros.
74 Com a ressalva daquelas situações em que a operação de tratamento implica o emprego de meios e equipamentos
utilizados com o único propósito de ‘trânsito informacional’ em território da União - segundo é referido pelo
Advogado-Geral, diga-se de passagem. Cf. para o efeito, considerando 60 das Conclusões.
75 Cf. Considerando 64.
Trata-se de um tratamento distinto daquele levado a efeito pelo editor, conquanto o lesado
não se dirigirá diretamente – aliás nem o poderia fazer – ao próprio jornal, requerendo que
este não indexe a informação. Fá-lo-ia diretamente em relação ao operador do motor de
busca77. É de apontar como caraterística desta posição jurídica de vantagem – last, but not least
– que o direito ao esquecimento não elimina os dados de caráter pessoal de nenhuma página
Web. Outrossim, impõe que o motor de busca se exima de indexar o internauta (pessoa singular
e investido na qualidade de titular dos dados) aos dados em específico, i.e., que termine de
conectar os dados com aquela pessoa concreta – direta ou indiretamente.
Assim, a resposta do TJUE foi suficientemente clara quanto: (a) à existência de uma
operação de tratamento de dados pessoais por parte do operador do motor de busca; (b) à
responsabilidade do operador do motor de busca; (c) ao elemento de conexão entre o
tratamento de dados e o responsável pelo tratamento, quando este não possua a sua sede no
espaço da União Europeia; (d) à obrigação do operador do motor de busca em proceder à
desassociação de resultados aquando do pedido do titular dos dados; (e) à extensão, alcance e
limites do direito do titular dos dados pessoais. O TJUE reconheceu ainda que cada pessoa
tem o direito a que as informações disponíveis em relação a si na Internet deixem de ser
associadas ao seu nome por meio de uma lista de resultados exibida na sequência de uma
pesquisa efetuada em motores de busca – sem que, todavia, a constatação desse direito
pressuponha que tal associação cause prejuízo à pessoa em causa. Na medida em que esta
possa, tendo em conta os direitos fundamentais nos termos dos artigos 7.º (proteção da vida
privada) e 8.º (proteção dos dados pessoais) da CDFUE, requerer que a informação em questão
deixe de se encontrar à disposição do grande público em geral - devido à sua inclusão numa
lista de resultados – esses direitos prevalecem, em princípio, não somente sobre o interesse
económico do operador do motor de busca, como também sobre o ‘interesse público’ em
aceder à informação numa pesquisa, p.ex., fazendo uso do nome de uma determinada pessoa.
Deixar uma ressalva importante: o papel desempenhado pela pessoa na sociedade é
importante, conquanto o seu mediatismo ou cargo poderão efetivamente justificar a ingerência
na esfera privada em razão do interesse preponderante que o público eventualmente possa ter
no que respeita ao acesso à informação, em virtude dessa inclusão.
77 Esta é a razão para considerarmos o direito ao esquecimento como um direito posterior defronte posições
jurídicas de vantagem já existentes. Com recurso ao direito ao esquecimento o lesado reclama uma tutela efetiva
contra lesões produzidas na sequência da difusão de dados pessoais que intentam que não sejam cognoscíveis por
parte de outrem.
78 Processos apensos C-293/12 e C-594/12, de 8 de abril de 2014.
79 Veja-se, a título de exemplificativo, de entre os dados visados pela diretiva do corpo do texto, haverão que ser
Então, a diretiva ater-se-ia por aplicável aos dados de tráfego e aos dados de localização
relativos quer a pessoas singulares quer a pessoas coletivas, não sendo, todavia, aplicável ao
conteúdo das comunicações eletrónicas 80.
Quanto ao litígio principal, por ser proprietário de um telemóvel que utilizava regularmente,
a Digital Rights interpôs um recurso na High Court Irlandesa: (1) colocando em causa a legalidade
de medidas legislativas e administrativas nacionais respeitantes á conservação de dados
relativos às comunicações eletrónicas; (2) pedindo ao órgão jurisdicional de reenvio que
declarasse a nulidade da Diretiva 2006/24.
O busílis residia ni facto de que a diretiva abrangia todas as pessoas que utilizassem serviços
de comunicações eletrónicas na Europa – num verdadeiro processo de vigilância generalizada.
Clarividente que situações haveriam em que as pessoas objeto do tratamento – via conservação
dos dados especificamente abrangidos pelo diploma – seriam alvo das medidas nele
implementadas sem serem visados em qualquer processo judicial e penal para o efeito. Além
disso, a diretiva não previa nenhuma exceção, pelo que era mesmo aplicável a pessoas sujeitas
a segredo profissional. Pois bem, a esta ausência de limites acresce que a Diretiva 2006/24,
não estabelecia um critério objetivo que permitisse delimitar o acesso das autoridades
competentes aos dados e a sua utilização posterior. Ademais, a diretiva não impunha que os
dados em causa fossem conservados no território da União, pelo que não se poderia considerar
que estivesse plenamente garantida a fiscalização por uma entidade independente. O TJUE foi
então chamado a apreciar a validade do ato jurídico comunitário e, à luz dos artigos 7.º e 8.º
da CDFUE, respetivamente concernentes, às matérias respeitantes à vida privada e à proteção
de dados pessoais, que não se tinham como fixadas regras suficientemente claras e precisas
que regulassem o alcance da ingerência de modo a restringi-los ao estritamente necessário. Ao
adotar a Diretiva 2006/24, o legislador da União extrapolara ou excedera os limites impostos
pelo respeito do princípio da proporcionalidade, razão pela qual o TJUE declarou a invalidade
integral da diretiva com efeitos retroativos (ex tunc), i.e., desde a sua entrada em vigor.
comunicação e o local a partir do qual esta foi efetuada. Estamos então defronte tipologias de dados qualificativas
da sai natureza enquanto metadados.
80 De qualquer forma, os Estados-Membros deviam assegurar que os dados fossem conservados por períodos não
inferiores a seis meses e não superiores a dois anos, a contar da data da comunicação, de modo a que tais dados
pudessem ser transmitidos imediatamente – mediante pedido – às autoridades competentes.
81 Processo apenso C-362/14, de 6 de outubro de 2015.
82Interprete-se como uma necessidade de restrição ao estritamente necessário e suscetível de justificar a ingerência
que tanto o acesso como a utilização dos dados comportam.
Comissão Europeia teria ultrapassado a competência que lhe é atribuída. Neste pressuposto, e
atendendo a todas as considerações precedentes, o TJUE concluiu que a Decisão n.º 2000/520
era inválida, cumprindo ao tribunal nacional de reenvio dar provimento à pretensão do
requerente.
86 Segundo a alínea c) do artigo 6.º, o tratamento de dados pessoais dever(ia) de ser adequado, pertinente e não
excessivo relativamente às finalidades da recolha e tratamento ulterior. Já o normativo 7.º dispõe, nas suas alíneas
c) e d), que o tratamento deve(ia) de ter como fundamento, in casu, a necessidade de cumprimento de uma obrigação
legal à qual o responsável pelo tratamento esteja sujeito, bem como a necessidade de concretização de um propósito
de interesse público ou o exercício por parte de uma autoridade pública, investida na qualidade de responsável pelo
tratamento, a quem os dados tivessem sido comunicados.
87 Cf. Considerando 94 e 101 do Acórdão.
88 Na origem do Processo apenso C-230/14, objeto de decisão pelo TJUE a 1 de outubro de 2015.
Em causa, quanto às seis questões inicialmente suscitadas, estaria saber se os artigos 4.º, n.º
1, alínea a) e 28.º, n.º 1 da Diretiva 95/46 deveriam de ser interpretados no sentido de que –
em circunstâncias como as do processo principal – permitem que a autoridade para a proteção
de dados de um Estado-Membro aplique a sua legislação nacional relativa à proteção de dados
a um responsável pelo tratamento, cuja sociedade se encontra registada num outro Estado da
União e que explora um sítio da Internet de anúncios de imóveis situados no primeiro. A
particularidade do agregado destas questões deveria de ser atida segundo o conjunto de
circunstâncias: (a) o Estado-Membro era aquele por onde se vocacionava a atividade
preconizada pelo responsável; (b) os imóveis situavam em território húngaro; (c) a
comunicação dos dados pessoais fora efetuada a partir e segundo os mecanismos existentes na
Hungria; (d) e os nacionais, residentes ou as pessoas que se encontravam em território húngaro
eram os titulares dos dados pessoais objeto de tratamento sub judice. A este interregno, o TJUE
pronunciou-se no sentido em que o referido artigo – o artigo 4.º, n.º 1, alínea a) da Diretiva
95/46/CE, deve ser interpretado no sentido de que permite que seja aplicada legislação relativa
à proteção de dados pessoais de um Estado-Membro diferente daquele em que o responsável
pelo tratamento está registado, desde que este exerça, através de uma instalação estável no
território desse Estado-Membro, uma atividade real e efetiva, ainda que mínima, em cujo
contexto o tratamento é efetuado 89. No seu considerando 41, o Tribunal refere ainda que para
determinar, se uma atividade real e efetiva se verificava no caso em apreço, incumbia ao órgão
jurisdicional de reenvio ter em consideração, por um lado, a atividade prosseguida pelo
responsável90 e, por outro lado, a ponderação em como o responsável dispunha de um
representante no referido Estado-Membro, sendo que este tinha os encargos de proceder à
cobrança dos créditos resultantes da atividade, também, que era este que se encontrava
investido na posição de representante da atuação da respetiva sociedade nos procedimentos
administrativos e judiciais relativos ao tratamento em causa 91.
Por último, em relação à sétima questão prejudicial – relativa à competência da Autoridade
húngara de proteção de dados pessoais para dirimir o litígio em causa - o TJUE pronunciou-
se no sentido de que na hipótese de a autoridade de controlo de um Estado-Membro à qual
tenham sido apresentadas queixas, nos termos do artigo 28.º, n.º 4 da Diretiva 95/46/CE,
concluir que o direito aplicável ao tratamento dos dados pessoais em causa não é o direito
desse Estado-Membro, o artigo 28.º, nºs 1, 3 e 6 deste ato deveria de ser interpretado como se
a autoridade de controlo apenas pudesse exercer os poderes efetivos de intervenção (que lhe
são conferidos pelo n.º 3 do normativo, supra) no território do Estado-Membro a que essa
autoridade pertence. Por conseguinte, não é competente para a imposição de sanções com
base no direito desse Estado-Membro. Assim, teria de recorrer ao n.º 6 do artigo 28.º e, desta
feita, solicitar a intervenção da autoridade de controlo pertencente ao Estado-Membro cujo
direito crê ser aplicável 92.
89 O Acórdão em causa faz menção ao Acórdão Google Spain – no seu considerando 25 – de forma a balizar o
âmbito de aplicação territorial da diretiva, por referência ao próprio conceito de ‘estabelecimento’ e, no mais, cita
o Acórdão Lindqvist com o propósito de conotar as atividades da Weltimmo com uma verdadeira operação de
tratamento de dados pessoais.
90 Ou seja,, em que contexto esta tinha lugar, a ver, a exploração de sítios Internet de anúncios de imóveis situados
em território húngaro e cuja operacionalização era manifestada através da redação dos sítios em linguagem húngara,
também (quase exclusivamente) direcionada a cidadãos do referido Estado-Membro.
91 Reitere-se que, mais uma vez, a questão da nacionalidade das pessoas afetadas pelo tratamento se acebe como
desprovida de pertinência. Cf. para os devidos efeitos, o Acórdão Google Spain, na última conclusão que dele se
encontra plasmada.
92 A questão da coincidência semântica da noção de ‘operações técnicas de tratamento’ – conforme legislação
húngara, com a noção de tratamento plasmada na Diretiva Comunitária não releva para efeitos do presente resumo,
embora tenha sido objeto de pronúncia no Acórdão do Tribunal de Justiça. Só para referir, que o Tribunal concluiu
pela coincidência, a ver: “A Diretiva (...) deve ser interpretada no sentido de que o conceito de ‘adatfeldolgozas” – operações técnicas
de tratamento de dados), utilizada na versão em língua húngara (...) é idêntico.
93MASSENO, Manuel David, Comunicação à 3.ª Conferência "Privacidade, Inovação e Internet". APDSI. Cultugest. Lisboa.
Dia 30 de janeiro de 2015. Disponível em
https://www.academia.edu/10387085/E_depois_do_Acórdão_Google_Spain_-
_Levando_a_sério_o_Direito_à_Proteção_de_Dados_Pessoais_na_União_Europeia_.
94 O Acórdão não enuncia ipsis verbis a terminologia ‘direito ao esquecimento’. Outrossim, aborda a temática como
se de um ‘direito à não indexação’ se tratasse.
95 Processos apensos C- 293/12 e C-594/12.
96 Processo apenso C-275/06
97 Ct. Opinião n.º 3/2013, do Grupo de Trabalho do Artigo 29.º.
dos EUA – Decisão de 2000 da Comissão Europeia – v. Acórdão Schrems. Pois bem, se já́ o
Acórdão Digital Rights Ireland apontava para a necessidade de reforçar o controle do fluxo de
dados para o exterior da União Europeia, sobretudo por razões de segurança, hodiernamente,
o esforço interpretativo será muito maior no que concerne à possível extensão do âmbito de
aplicação territorial às empresas de Big Data. O critério plasmado no Acórdão foi o seguinte:
deverá ponderar-se se o tratamento “é efetuado (...) no contexto das atividades de um estabelecimento do
responsável por esse tratamento no território de um Estado-Membro” quando “um operador de um motor de
pesquisa cria num Estado-Membro uma sucursal ou uma filial destinada a assegurar a promoção e a venda
dos espaços publicitários apresentados nos resultados das pesquisas (sublinhado nosso) e cuja atividade é
dirigida aos habitantes desse Estado-Membro”.
A entrada em vigor do Novo Regulamento Geral de Proteção de Dados Pessoais, com o
seu artigo 3.º, acabara por não resolver todo um conjunto de questões que ‘alvejam’ resolução
casuística, tal qual se poderá depreender do pedido de decisão prejudicial apresentado pelo
Conseil d´Étate, em 21 de agosto de 2017, diante do TJUE. A decisão afigura-se vindoura e opõe
a Comissão Nacional de Proteção de Dados Francesa (‘Comission nationale de línformatique et des
libertés [CNIL]) à Google Inc, tendo como partes interessadas “Wikimedia Foundation Inc., Fondation
pour la liberté de la presse, Microsoft Corp., Reporters Committee for Freedom of the Press e o., Article 19 e
o Internet Freedom Foundation e o., Défenseur des droits”.
O pedido de decisão prejudicial apresentado pelo Conseil d´Étate em 21 de agosto de
2017 e a concretização do(s) ‘meandro(s)’ territoriais no vindouro Acórdão Google
Spain defronte as ‘gigantes tecnológicas’ internacionais98
Por decisão de 21 de maio de 2015, a presidente da Commission nationale de l’informatique et des
libertés (França) - Comissão Nacional da Informática e das Liberdades, CNIL - intimou a
Google, no sentido de que quando atende a um pedido de uma pessoa singular de supressão
da lista de resultados, gerada no seguimento de uma pesquisa feita a partir do seu nome, de
hiperligações para páginas de Internet, deve aplicar essa supressão a todas as extensões do
nome de domínio do seu motor de busca.
A Google recusou conformar-se com essa intimação, limitando-se a suprimir as
hiperligações em causa apenas dos resultados surgidos em resposta a pesquisas feitas a partir
dos nomes de domínio correspondentes às versões do seu motor nos Estados-Membros da
União Europeia. Além disso, a CNIL considerou insuficiente a proposta complementar
designada de ‘bloqueio geográfico’, feita pela Google depois de decorrido o prazo de
intimação, que consistia em suprimir a possibilidade de aceder, a partir de um endereço IP tido
como localizado no Estado de residência da pessoa em causa, aos resultados controvertidos
no seguimento de uma pesquisa feita partir do seu nome, independentemente da versão do
motor de busca solicitada pelo internauta.
Após ter declarado que a Google não tinha cumprido, no prazo fixado, a referida intimação,
a CNIL, por deliberação de 10 de março de 2016, aplicou-lhe uma sanção, tornada pública, de
100.000 euros. Por requerimento apresentado no Conseil d’État (Conselho de Estado, em
formação jurisdicional, França), a Google pede a anulação dessa deliberação. O Conseil d’État
decidiu submeter ao Tribunal de Justiça várias questões prejudiciais, designadamente: (a) deve
o «direito à supressão de uma hiperligação», como consagrado pelo Tribunal de Justiça da
União Europeia no seu acórdão de 13 de maio de 2014, ser interpretado no sentido de que o
operador de um motor de busca é obrigado, quando acolhe um pedido de supressão de uma
hiperligação, a efetuar essa supressão em todos os nomes de domínio do seu motor, de forma
a que as ligações controvertidas deixem de ser exibidas, seja qual for o local a partir do qual é
https://protecaodedadosue.cedis.fd.unl.pt/2019/01/11/conclusoes-do-advogado-geral-no-processo-c-507-17/.
efetuada a pesquisa com base no nome do requerente, incluindo fora do âmbito de aplicação
territorial da diretiva de 24 de outubro de 1995? (b) Em caso de resposta negativa a esta
primeira questão, deve o ‘direito à supressão de uma hiperligação’, como consagrado pelo
Tribunal de Justiça da União Europeia no seu acórdão supra referido, ser interpretado no
sentido de que o operador de um motor de busca apenas é obrigado, quando acolhe um pedido
de supressão de uma hiperligação, a suprimir as ligações controvertidas dos resultados exibidos
na sequência de uma pesquisa efetuada a partir do nome do requerente no nome de domínio
correspondente ao Estado onde se considere que o pedido foi efetuado ou, de forma mais
genérica, nos nomes de domínio do motor de busca que correspondem às extensões nacionais
desse motor para todos os Estados-Membros da União Europeia? (c) Além disso, em
complemento da obrigação invocada na segunda questão, deve o ‘direito à supressão de uma
hiperligação’, ser interpretado no sentido de que o operador de um motor de busca, quando
acolhe um pedido de supressão de uma hiperligação, é obrigado, através da técnica designada
‘bloqueio geográfico’, a partir de um endereço IP supostamente localizado no Estado de
residência do beneficiário do ‘direito à supressão de uma hiperligação’, a suprimir os resultados
controvertidos das pesquisas efetuadas a partir do seu nome, ou mesmo, de forma mais
genérica, a partir de um endereço IP supostamente localizado num dos Estados-Membros aos
quais se aplica a diretiva de 24 de outubro de 1995, independentemente do nome de domínio
utilizado pelo internauta que efetue a busca?
Nas suas conclusões apresentadas, o advogado-geral Maciej Szpunar começa por indicar
que as disposições do direito da União aplicáveis a este processo não regulam expressamente
a questão da territorialidade da supressão de hiperligações. É, por isso, de opinião que se impõe
uma diferenciação em função do lugar a partir do qual a pesquisa é feita. Assim, os pedidos de
pesquisa feitos fora do território da União Europeia não devem ser visados pela supressão das
hiperligações resultantes da pesquisa. Não é, como tal, favorável a uma interpretação das
disposições do direito da União de tal forma ampla que estas produziriam efeitos para lá das
fronteiras territoriais dos 28 Estados-Membros. O advogado-geral sublinha assim que, mesmo
que em certos casos que afetam o mercado interno, claramente delimitado, como em matéria
de direito da concorrência ou de direito das marcas, se admitem efeitos extraterritoriais, pela
própria natureza da Internet, que é mundial e está em todo o lado em igual medida.
Segundo o advogado-geral, o direito fundamental ao esquecimento deve ser ponderado
com o interesse legítimo do público em aceder à informação procurada. Com efeito, continua
o advogado-geral, se se admitisse uma supressão mundial das hiperligações, as autoridades da
União não poderiam definir nem determinar um direito de receber informações, e ainda menos
ponderá-lo relativamente aos outros direitos fundamentais da proteção dos dados e à vida
privada. Tanto mais que esse interesse do público em aceder a uma informação varia
necessariamente em função da sua localização geográfica, de Estado terceiro para Estado
terceiro. O risco, em caso da possibilidade de se proceder a uma supressão mundial das
hiperligações, seria que as pessoas em Estados terceiros fossem impedidas de aceder à
informação e que, por reciprocidade, os Estados terceiros impedissem as pessoas nos Estados
da União de aceder à informação.
Contudo, o advogado-geral não afasta a possibilidade de, em certas situações, impor a um
operador de motores de busca ações de supressão de hiperligações a nível mundial, mas
considera que a situação em causa no presente processo não o justifica. Assim, propõe ao
Tribunal de Justiça que declare que, quando atende a um pedido de supressão de hiperligações,
o operador de um motor de busca não é obrigado a fazer essa supressão relativamente a todos
os nomes de domínio do seu motor, de modo a que as hiperligações controvertidas deixem de
aparecer, seja qual for o lugar a partir do qual a pesquisa lançada sobre o nome do requerente
é feita.
99 Cf. (quase ipsis verbis) MONIZ, Graça Canto, Finalmente: coerência no âmbito de aplicação do regime da União Europeia
de Protecção de dados pessoais!, Centro de Estudos em Direito da União Europeia Escola de Direito – Universidade do
Minho, UNIO - EU Law Journal. Vol. 4, No. 2, Julho 2018, pp 119-131. ®2018. Disponível em
http://www.unio.cedu.direito.uminho.pt/Uploads/UNIO%204%20.%20Vol%201/Unio%204%20n.%202%20P
T/Graça%20Canto%20Moniz.pdf.
100 V. anotações supra da decisão que ora se menciona.
101 Consultar, para o efeito, Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de
2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
102 Ibidem..., referenciando Merlin Gomann, “The new territorial scope of EU Data Protection Law: deconstructing
a revolutionary achievement”, Common Market Law Review, 54 (2017): 567; Brendan Van Alsenoy, “Reconciling
the (extra) territorial reach of the GDPR with public international law”, in Data Protection and Privacy under
Pressure, ed. Gert Vermeulen e Eva Lievens, (Antwerp: Maklu Publishers, 2017), 77-98; Christopher Kuner,
“Extraterritoriality and regulation of international data transfers in EU data protection law”, International Data
Privacy Law, 5 (2015): 235.- cit. anotação 5
103 Ibidem..., referenciando Ulrich Dammann, “Erfolge und Defizite der EU-Datenschutzgrundverordnung”,
104 Beneficiário das disposições – via diretiva ou regulamento – e titular do bem jurídico comunitariamente
protegido.
105 Cf. Acórdão Google Spain SL and Google Inc....parágrafo 50; e acórdão Weltimmo s.r.o. v. Nemzeti Adatvédelmi és
localização física do tratamento seriam irrelevantes para apurar a aplicação do direito da União
Europeia. Por conseguinte, o mesmo pode ser aplicado caso o estabelecimento principal se
tenha por localizado num país terceiro à União Europeia. Com efeito, foi justamente aquilo
que foi decidido no Acórdão Google Spain. Neste, apesar de exaustivamente analisado o
contexto do ‘direito à não indexação’, relevou no mais e sobretudo o contexto de aplicação
territorial dos atos jurídicos da União Europeia à data vigentes e que versavam sobre as
matérias respeitantes do Direito da Proteção de Dados Pessoais. De facto, esta decisão assume-
se como o único caso em que o TJUE se pronunciou sobre a aplicabilidade das regras da UE
em matéria de proteção de dados pessoais, mormente em relação a um responsável pelo
tratamento com estabelecimento principal num país terceiro, i.e., a Google Inc., empresa-mãe do
grupo Google, com sede nos Estados Unidos da América fora considerada como responsável
pelo tratamento e a sua subsidiária, a Google Spain, um estabelecimento daquela para efeitos de
aplicação da Diretiva 95’106. Posteriormente, numa outra decisão, a do caso Weltimmo, o TJUE
viria a partir de uma “definição flexível do conceito de ‘estabelecimento’” 107. A sua pronúncia foi no
sentido de considerar que um responsável pelo tratamento se encontra estabelecido num
Estado-Membro quando a atividade ‘real’ e ‘efetiva’, mesmo que ‘mínima’108. Adicionalmente,
ateve-se que a presença de um representante num determinado Estado-Membro, que serve
como ponto de contacto, juntamente com outros elementos, como uma conta bancária ou
uma caixa postal, também foram aspetos tidos em consideração pelo douto tribunal no ato de
verificação da existência de um estabelecimento. Já no caso Amazon, o TJUE limitara-se, em
contrapartida, a esclarecer que “um estabelecimento não pode existir apenas porque o sítio web da empresa
é acessível” a partir de um determinado Estado-Membro109.
Diante destas respostas, incumbe responder à questão sobre quando é que se deve
considerar realizado o tratamento no contexto das atividades do estabelecimento. Ora, o
segundo momento do teste aplicado pelo TJUE centra-se na condição de que o tratamento de
dados pessoais seja realizado ‘no contexto das atividades’ do estabelecimento. O exemplo mais
comum, tal-qual explanado por Moerel, é aquele em que uma empresa multinacional procede
ao tratamento de dados pessoais de forma centralizada além do território da União Europeia.
Pois bem, recentemente, o TJUE – por duas vezes – esclareceu os termos desta condição. A
primeira foi no acórdão Google Spain, no qual o tribunal tomara a decisão por referência à
tipologia de interpretação teleológica do artigo 4.º, n.º 1, alínea a) da Diretiva 95’. E fê-lo com
o objetivo de garantir “uma proteção efetiva e completa do direito fundamental (...) à proteção de dados
pessoais”110. Com base nesta premissa, o TJUE enunciou o seguinte critério para determinar e
o tratamento se tem como efetuado ‘no contexto das atividades do estabelecimento da União
Europeia’. Para o efeito, avaliar-se-á da existência de um ‘nexo indissociável’ entre as atividades
levadas a cabo pelo estabelecimento e o tratamento de dados pessoais preconizado pela pessoa
do responsável. Na sua resposta, o tribunal considerou que, apesar de o tratamento de dados
pessoais implicado na atividade de um motor de busca (o Google Search)111 ser realizado
informações nela publicadas, o operador de um motor de busca ‘recolhe’ esses dados, que ‘recupera’, ‘regista’ e ‘organiza’ posteriormente
no âmbito dos seus programas de indexação, ‘conserva’ nos seus servidores e, se for caso disso, ‘comunica’ e ‘coloca à disposição’ dos seus
utilizadores, sob a forma de listas de resultados das suas pesquisas. Na medida em que estas operações estão explicita e
incondicionalmente referidas no artigo 2.°, alínea b), da Diretiva 95/46, devem ser qualificadas de ‘tratamento’ na aceção desta
exclusivamente pela Google Inc., nos EUA, as atividades da Google Spain – promoção e venda
de espaço publicitário online – se encontra(am) ‘indissociavelmente ligadas’ ao respetivo
tratamento, uma vez que “as atividades relativas a espaços publicitários constituem o meio para tornar o
motor de busca em causa economicamente rentável e que esse motor (seria) ao mesmo tempo o meio que
(possibilitaria e potenciaria) essas mesmas atividades” (parênteses nosso). Ora, excluindo as atividade
de publicidade da Google Spain – aquelas que são subsidiária e equivalente em todo o mundo à
sua empresa-mãe – não seria economicamente rentável para a Google Inc. oferecer os seus
serviços, asserção esta que apresenta a significância em como o tratamento de dados pessoais
realizado pela Google Inc. é economicamente sustentado pelas atividades levadas a cabo pelos
seus estabelecimento espalhados por todo o mundo, incluindo aquele que importava no caso
sub judice, realizado em território espanhol. Contudo, o nexo indissociável entre o tratamento
de dados pessoais realizado pela Google Inc. e as atividades do seu estabelecimento em Espanha
não é índole meramente económica. Haverá que colacionar o ser caráter virtual ou online. Tal
sucede na medida em que quando a Google Inc. exibe dados pessoais numa página de resultados
de pesquisa, o respetivo tratamento será acompanhado “na mesma página, da exibição de publicidade
relacionada com os termos de pesquisa”, conquanto o “tratamento de dados pessoais em questão – a exibição
– será efetuada no contexto da atividade publicitário e comercial do estabelecimento do responsável pelo
tratamento no território de um Estado-Membro, neste caso, o território espanhol”.
Por fim, a outra situação em que o TJUE se debruçou sobre este segundo momento da
aplicação do artigo 4.º, n.º 1, alínea a), foi no caso Weltimmo – em conformidade com o que se
dissera anteriormente. Todavia, para alguns autores (como Merlin Gomann, referenciado por
Graça Canto Moniz), o relevo desta decisão fora diminuto, na medida em que o Tribunal
menosprezara a questão da territorialidade e, em especial no que respeita à resposta a esta
segunda questão, diminuíra significativamente a função deste segundo teste do âmbito de
aplicação do normativo em causa.
E quais as respostas a serem dadas caso o responsável pelo tratamento não se tenha
considerado por estabelecido em qualquer território de um Estado-Membro da União
Europeia? Nesse caso, incumbe trazer á colação o artigo 4.º, n.º 1, alíneas b) e c) da Diretiva
95’. Quanto à primeira alínea, como indica o próprio enunciado, quando o responsável pelo
tratamento não se encontre estabelecido em território de um Estado-Membro da UE, a
aplicação da diretiva poderá ser efetuada por remissão a um instrumento de direito
internacional público. Ora, esta disposição apresenta um âmbito de utilização limitado aos
casos em que, p.ex., o responsável pelo tratamento é uma embaixada, um navio ou um avião
localizado num Estado terceiro. Há ainda quem considere que, nestas situações, inexiste uma
verdadeira casuística de aplicação extraterritorial do regime de proteção de dados pessoais
instituído na UE, porquanto a mesma resulta de um consenso prévio entre os Estados, firmado
por referência a um acordo internacional. Em correspetiva, na alínea c) do artigo 4.º, a Diretiva
95’, aplicar-se-ia ao contexto de tratamento de dados pessoais quando o “responsável pelo
tratamento não estiver estabelecido no território da Comunidade e recorrer, para o tratamento de dados pessoais,
a meios, automatizados ou não, situados no território desse Estado-Membro, salvo se esses meios só forem
utlizados para o trânsito no território da Comunidade”. Pois bem, a ratio deste artigo encontra-se no
seu considerando 20, que dispõe: “o facto de o tratamento de dados ser da responsabilidade de uma pessoa
estabelecida num país terceiro não deve constituir obstáculo à proteção das pessoas assegurada pela presente
diretiva; que, nesses casos, o tratamento deverá ser regido pela legislação do Estado-Membro onde se encontram
os meios utilizados para o tratamento de dados em causa e que deverão oferecer-se as garantias de que os direitos
e as obrigações estabelecidos na presente diretiva serão efetivamente respeitados”. Relavam, para efeitos do
disposição, independentemente de o operador do motor de busca efetuar as mesmas operações também com outros tipos de informação e
não as distinguir dos dados pessoais”, acórdão Google Spain SL and Google Inc..., parágrafo 28.
presente resumo, os conceitos ‘equipamento’ e ‘meios’. Sucede que a sua determinação sémico-
jurídica se revela imprescindível na compreensão do alcance desta norma, perspetivada no
sentido de abranger as operações de tratamento de dados pessoais através de computadores,
como, p.ex., através de cookies ou JavaScript Banners, alargando o âmbito de aplicação do artigo
4.º aos prestados de serviços estabelecidos em países terceiros. Portanto, de acordo com a
leitura então preconizada, um responsável pelo tratamento estabelecido num país terceiros e
que utilize equipamentos situados num Estado-Membro para tratar dados pessoais de
nacionais ou residentes não europeus estaria abrangido pela Diretiva 95’. Não obstante, como
este entendimento expandiu significativamente o âmbito de aplicação do diploma em voga,
alguns autores questionam-se se – nas circunstâncias descritas supra – existia uma conexão
suficiente entre as atividades estrangeiras e a UE, bem como -adicionalmente – colocavam em
causa a legitimidade da mesma em estabelecer regras ou ‘legislar para o mundo’112. A ultimar,
diga-se que ao artigo 4.º, n.º 1, alínea c) fora atribuído um crescendo de importância ao longo
dos anos e em razão do desenvolvimento de novas tecnologias de ponta, em especial, da versão
Web 2.0, fatores estes que haviam potenciado a recolha e o tratamento de dados pessoais à
distância e independentemente da presença física do responsável pelo tratamento na União.
Em todo o caso, os problemas sublinhados pela doutrina prendiam-se com as consequências
práticas e indesejáveis da aplicação desta disposição aos responsáveis pelo tratamento
localizados fora da União Europeia em termos de efetividade, execução ou garantia da mesma,
sobretudo quando inexistia qualquer conexão real ou física com a União Europeia.
Com a publicação do Novo Regulamento relativo à proteção das pessoas singulares no que
diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento
Geral de Proteção de Dados Pessoais, que revoga a Diretiva 95/46), abre-se espaço a um novo
paradigma comunitário no que concerne ao tratamento comum tido ora como transversal aos
vários Estados-Membros. Como já foi assinalado, a clara distinção no alcance dos
instrumentos jurídicos em questão – antes uma Diretiva, ora um Regulamento Geral – implica
necessariamente uma maior coerência (ao menos formal) na resposta que cada um dos Estados
pode e deve dar às matérias relacionadas com a proteção de dados114.
Perceciona-se, por um lado, o ímpeto notório de combater a ‘fragmentação da aplicação da
proteção de dados pessoais ao nível da União’ sem que, complementarmente, se desmereça a
dimensão da livre circulação dos dados, esta que representa a concretização de uma das
prerrogativas basilares do funcionamento e existência de um regime conforme ao Direito
Comunitário115. É, portanto, na uniformização imposta pelo ato jurídico regulamento que se
funda a primeira grande alteração introduzida no quadro da proteção de dados na União
112 Refira-se que o TJUE nunca tivera oportunidade de validar esta interpretação, conquanto confrontara-se com a
decisão de arquivamento no Caso Rease et Wullems, pedido de decisão prejudicial apresentado em 24 de abril de
2015. Poderá fazê-lo ora no pedido de decisão prejudicial apresentado pelo Conseil d´Étate em 21 de agosto de 2017.
113 SILVEIRA, Alessandra e MARQUES, João, Do direito a estar só ao direito ao esquecimento, supra., nota de rodapé
n.º 32.
114 Cf. Considerando 9 do Novo Regulamento Geral, relativo aos propósitos que estiveram subjacentes à adoção
do Regulamento Geral, i.e., a necessidade de fomentar a coesão jurídica no que contende diretamente com a
aplicação das matérias relativas à proteção de dados pessoais no âmbito da União Europeia, num ímpeto adicional
de erradicação de uma certa insegurança jurídica que pairava sobre alguns ordenamentos. Ademais, haverá ainda
que ter em consideração o pretenso enjeito de combater o sentimento generalizado em como subsistiam riscos
significativos no tratamento de dados, mormente em relação àqueles cuja operação seja efetuada com recurso a
meios eletrónicos.
115 Cf. artigo 3.º, n.º 2 TFUE e Considerando 8, quanto à transferência de competência regulatória nas matérias de
Europeia. Com efeito, a liberdade conferida na transposição das diretivas para o direito interno
dos diversos Estados-Membros, viabilizara a instituição de soluções nem sempre coadunáveis,
assim como a consagração de exceções eventualmente equívocas e também a previsão de
condicionalismos não (com)partilhados pelas restantes nações. Por exemplo, ao atentarmos
nos artigos 5.º, 6.º, 7.º e 8.º da Diretiva – em relação aos ‘fundamentos de legitimidade’ e
respetivos ‘princípios’ – indagamos que a até então permissão de conformação das condições
de licitude de tratamento dos dados pessoais na ordem jurídica interna de cada Estado-
Membro, convolara algumas particularidades cujas dissonâncias resultariam no distanciamento
dos vários sistemas jurídicos – e, consequentemente – numa diferenciação quanto ao regime
substantivo a que os particulares seriam submetidos 116. Sucede que (o ainda hoje controverso)
conceito de ‘dado sensível’ sustenta-se na previsão do artigo 35.º, n.º 3 da CRP, no qual se
restringe a operação de tratamento de dados aos casos em que exista “consentimento expresso do
titular, autorização prevista por lei com garantias de não discriminação ou para o processamento de dados
estatísticos não individualmente identificáveis”. O teor deste referente constitucional fora densificado
pelo n.º 2 do artigo 37.º da LNPD com a adicional terminologia-quesito ‘vida privada’, i.e.,
quando mediante disposição legal ou autorização da CNPD117, o tratamento tenha na sua base
motivações de interesse público e a operação seja indispensável ao exercício das atribuições
legais ou estatutárias do seu responsável, assim como nas hipóteses em que o titular haja
prestado consentimento expresso – sendo que em ambos as exemplos terão de ser prestadas
as garantias de não discriminação cumulativamente com a adoção empírica das medidas de
segurança, tal-qual previstas pelo artigo 15.º do diploma ante referido. Pois bem, esta
especificidade do direito português semicerrou a porta a muitos tratamentos de dados que, por
força do conceito de ‘vida privada’, acabariam por obrigar a que apenas mediante lei ou
autorização da CNPD, este tipo de tratamento pudesse ser considerado lícito. Não obstante,
o Novo Regulamento não estabelece sem qualquer margem de manobra interna todo um
regime aplicável comunitariamente nas matérias em voga. Considerem-se a existência de
determinados espaços de conformação e responsabilidade do legislador nacional. Ademais, no
caso supracitado, o imperativo constitucional português, na medida em que oferece um nível
mais elevado de proteção dos direitos dos cidadãos, não deverá de merecer qualquer reparo
por parte da jurisprudência europeia. Dir-se-á que o propósito deste novo ato jurídico é o de
alcançar um denominador comum quanto aos níveis de proteção, destituindo os Estados-
Membros de margens de conformação tendencialmente promotoras de excessivas
discrepâncias.
Igualmente relevante, no domínio das novidades, é o âmbito de aplicação do regulamento.
Desde logo, a existência de uma diretiva específica estabelecendo normas sobre a proteção de
dados pessoais em matéria penal – aquelas relacionadas com os domínios de prevenção,
investigação, detenção, prossecução e execução penal – afasta a aplicação do regulamento
quando em causa estejam atos pré-processuais relativos à repressão da criminalidade, com
especial enfoque na criminalidade altamente organizada e no terrorismo 118.
116 Ora, estas diferenças quanto ao regime de tratamento relevam sobretudo nas matérias respeitantes
às ‘categorias especiais de dados’. Pois bem, uma análise atentada do artigo 7.º, n.º 1 da LPDP (Lei da
Proteção de Dados Pessoais), determina que se possam considerar como dados sensíveis aqueles cujo
conteúdo se prenda com convicções religiosas ou filosóficas, com a saúde, ou outros relativos à vida
privada. A ver, em sentido contrário às diretrizes plasmadas na Diretiva, a lei nacional alargava o âmbito
material dos dados abrangidos no cômputo da proibição.
117 A CNPD, organismo instituído pelo artigo 21.º da LPDP – também por imperativo constitucional (nos termos
e para efeitos do artigo 35.º, n.º 2 da CRP), “é a autoridade nacional que tem como atribuição controlar e fiscalizar o cumprimento
das disposições legais e regulamentares em matéria de proteção de dados pessoais, em rigoroso respeito pelos direitos do homem e pelas
liberdades e garantias consagradas na Constituição e na lei”.
118 A este respeito, o artigo 2.º, n.º 2 do RGPD é bastante explícito.
119 Cf. considerando 22 do Acórdão. Neste, o conceito de estabelecimento “pressupõe o exercício efetivo e real de uma
atividade com base numa instalação estável. A forma jurídica de tal estabelecimento, quer se trate de uma sucursal ou de uma filial com
personalidade jurídica, não é um fator determinante para o contexto” (sublinhado nosso).
120 Cf. artigo 83.º, n.º 4 RGPD, que baliza o montante de coimas passíveis de serem subsumíveis a um limiar de
restrição da finalidade, de primazia da qualidade, tratamento leal, transparente e de manutenção da integridade das
informações pessoais.
122 Cf. para o efeito, artigo 6.º, n.º 1, alínea f) e artigo 8.º.
123 Neste núcleo incluem-se as posições jurídicas ativas, configuradas juridicamente na qualidade de direitos, de
conhecer e/ou reclamar a entrega, de forma legítima, dos dados pessoais que digam respeito ao titular.
124 Abrangendo o cômputo dos artigos 12.º a 14.º da anterior Diretiva 95/46, o acrónimo anglo-saxónico ARCO
tem, em cada letra, a significância de Access (acesso), Rectification (retificação), Cancellation (apagamento) e Opposition
(oposição)., respetivamente.
por vezes proporciona. Tanto mais que o que se enfrenta nestes casos é o risco de dano
perpétuo na reputação, na imagem, na liberdade e na autoestima pessoal e, portanto, no livre
desenvolvimento da personalidade de cada um.
Uma nota independentizada deverá de ser dada em relação à noção de ‘consentimento’, tal-
qual resulta do artigo 4.º, n.º 11 do RGPD. Sucede que, até agora a Diretiva 95/46/CE se
bastava com “qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa
aceita que os dados pessoais que lhe dizem respeito sejam objeto de tratamento”. E é precisamente o carácter
explícito da declaração de consentimento que reflete a obrigação de prestar uma ação
(declaração ou ato positivo inequívoco) do titular, demonstrativa de um assentimento. Então,
com a entrada em vigor do novo Regulamento, o consentimento deixa de ser prestado
validamente por meio de presunções ou omissões 125.
Verdadeiramente revolucionária é a modificação do papel atribuído às autoridades de
controlo126. A Diretiva 95’, no seu artigo 18.º, previa a obrigação de notificação à autoridade
de controlo “antes da realização de um tratamento ou conjunto de tratamentos”. Ademais, o artigo 20.º
estabelecia a necessidade de controlo prévio do tratamento, por parte da autoridade de
controlo, quando se estivesse perante tratamentos que pudessem representar riscos específicos
para os direitos e liberdades das pessoas em causa. Nessora encontrávamo-nos num período
em que o modelo de regulação jurídica de atividades privadas ainda assentava no controlo
administrativo prévio tendente a verificar se do seu desenvolvimento não resultaria a violação
de interesses públicos ou a violação insuportável dos direitos dos indivíduos 127. Pois bem, foi
esse modelo de supervisão que a Diretiva 95/46/CE assumiu em relação aos tratamentos de
dados que apresentavam maiores riscos para o direito da proteção de dados pessoais – e que
foi consagrado na generalidade dos diplomas legais que procederam à sua transposição para a
ordem jurídica dos Estados-Membros da UE. Todavia, com o novo regulamento prescinde-se
do modelo das notificações prévias 128 em favor de um modelo de autorregulação, no qual se
inscrevem as novas obrigações a que os responsáveis pelo tratamento estão vinculados. Desde
logo, estabelece-se a necessidade de avaliação de impacto da privacidade quando um certo tipo
de tratamento – em particular aquele que faça uso das novas tecnologias de informação e
comunicação, tendo em conta a natureza, o âmbito, o contexto e as finalidades – for suscetível
de implicar um elevado risco para os direitos e liberdades das pessoas singulares129.
Paradigmática desta nova opção do legislador europeu é a previsão da figura do
‘encarregado de proteção de dados’ (artigo 37.º) que representa, em si mesmo, a transferência
operacional da atividade de controlo prévio para uma figura estranha ao universo da regulação
destas atividades, embora já conhecida de muitas entidades privadas, tanto na UE como nos
EUA. O encarregado de proteção de dados assume-se como uma figura obrigatória caso o
tratamento: (a) seja efetuado por “uma autoridade ou organismo público, excetuando os tribunais no
exercício da sua função jurisdicional” – artigo 37.º, n.º 1, alínea a); (b) quando “as atividades principais
do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua
natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande
escala” – alínea b) do antedito artigo; ou (c) ainda nas situações em que o tratamento de dados
pessoais consiste no trato de categorias especiais de dados em grande escala, nos termos do
artigo 9.º, ou envolvam informações relativas a condenações penais ou outras infrações, a que
125 Cf. Considerandos 32, 33, 42, 43, assim como os artigos 4.º, n.º 11 e 7.º, todos do Regulamento Geral de Proteção
de Dados Pessoais.
126 Cf. artigo 4.º, n.º 22 do RGPD.
127 Cf. CALVÃO, Filipa, O modelo de supervisão de tratamento de dados pessoais na União Europeia: da atual diretiva ao futuro
responsável no exercício de uma missão de interesse público, incluindo o tratamento por motivos de proteção social e de saúde pública
129 Cf. artigo 35.º RGPD.
130Cf. artigo 83.º, n.º 5 e n.º 6. Alguns são os doutrinadores portugueses que, alicerçados em acórdãos do Tribunal
Constitucional, anteveem de difíucil admissibilidade tamanha margem de apreciação, por referência aos ditames do
princípio da legalidade. V. para o efeito. MOUTINHO, José Lobo & RAMALHO, David Silva, Notas sobre o regime
sancionatório da proposta de regulamento geral de proteção de dados do Parlamento Europeu e do Conselho, in Revista Fórum de
Proteção de Dados, n.º 1, julho de 2015.
para cooperar eficazmente entre si” 131, estando, inclusive, prevista a possibilidade de se realizarem
operações conjuntas132. Sucede que neste campo da cooperação sobressai a novidade
introduzida com o conceito de ‘autoridade de controlo principal133’ e do ‘mecanismo do balcão
único’134. Mediante estes conceitos pretende-se obviar não somente às queixas dos titulares
dos dados – cujas consequências se disseminem por todo o espaço europeu, mas que devam
ser investigadas pela autoridade de controlo do Estado-Membro onde o responsável pelo
tratamento detém o seu estabelecimento principal-, como também à possibilidade de os
titulares dos dados verem efetivada a tutela dos seus direitos onde quer que se encontrem e
independentemente da sua distância em relação ao responsável pelo tratamento. A intenção
do legislador é a de não deixar o cidadão à mercê do poderio económico de grandes empresas
ou grupos de empresas que, para evitarem a fiscalização das suas atividades, poderiam
esquivar-se à fiscalização da autoridade de controlo do país onde efetivamente ocorreu a
violação das regras do regulamento, bastando-lhe para tanto alegar que seria no país onde se
encontra o seu estabelecimento principal que o titular dos dados pessoais deveria de ter
apresentado queixa. Contudo, percebendo-se a intenção do legislador, o certo é que a operação
de comunicação entre autoridades de controlo interessadas e a autoridade de controlo principal
preconizada suscitará porventura dificuldades procedimentais (como se efetua a comunicação
e com que meios?), logísticas (em case de necessidade de tradução de documentos, quem
deverá assegurar que a mesma se efetive?), e até financeiras (quando estão em causa operações
conjuntas, quem paga os custos das cooperações e coo é repartido o produto da coima?). Ora,
estas dificuldades não serão facilmente ultrapassadas, requerendo aturadas conversações no
seio do Grupo de Trabalho do Artigo 29.º da Diretiva 95’. De resto, o mecanismo de coerência
visa precisamente evitar a desconformidade na aplicação do regulamento entre as autoridades
de controlo. Em determinadas matérias, será chamado à lição o Comité Europeu para a
Proteção de Dados135, seja para a emissão de parecer, tal como previsto no artigo 64.º, n.º 1,
seja para a resolução de litígios a que alude o artigo 65.º, n.º 1.
de Trabalho do Artigo 29.º, no qual estarão igualmente congregados representantes das várias autoridades de
controlo da União.
Esta é a opção do legislador da União que demonstra uma certa tendência para a
“americanização” do regime europeu de proteção de dados pessoais, porquanto o modelo
norte americano desde sempre se caracterizou por um maio pendor autorregulatório,
sustentado na crença quase-metafísica na credibilidade empresarial enquanto bastião da
privacidade da clientela. Dir-se-á que a transferência deste poder-dever para as mãos dos
privados mimetiza o modelo americano – todavia, no polo inverso, é renovado o papel das
autoridades de controlo, que se mantêm como uma realidade incontornável e até reforçada do
modelo europeu. Pois bem, a prescrição agora expressa – abrangendo todos os países da União
– de poderes suficientes para que tais autoridades possam corresponder às responsabilidades
fiscalizadoras que lhes cabem, contraria eventuais alegações sobre derivas mercantilistas. Esta
nota continua a afastar claramente o modelo europeu do modelo americano, sobretudo em
face da manutenção do critério da independência das autoridades de controlo, em vez do que
sucede com a governamentalizada Federal Trade Comission.
O que ressalta deste novo tratamento sistémico á problemática da proteção de dados
pessoais é a genuína preocupação com o incremento dos direitos dos cidadãos, com o facilitar
da perceção e compreensão desses direitos, ao mesmo tempo que se alivia a ‘carga burocrática’
dos responsáveis pelo tratamento, tudo isto gizado num instrumento verdadeiramente
uniformizador como é o regulamento. Os desafios são certamente muitos e complexos:
começa pela aplicação concreta do regulamento e pela assunção, por parte dos distintos
responsáveis pelo tratamento dos dados, das novas responsabilidades que lhes cabem; mas
passa também pela consciencialização cívica dos cidadãos para a nova realidade regulatória,
terminando na consecução da exigente arquitetura de ação conjunta que se impõe às distintas
autoridades de controlo europeias.
Sem embargo das dificuldades antecipáveis e dos necessários ajustes práticos que a
realidade venha a exigir, o certo é que o Regulamento 2016/679, representa um passo de
vanguarda no esforço europeu de consolidação de um espaço de referência na proteção de
dados pessoais. É discutível se o grau de ambição do legislador da União nesta reforma foi o
bastante para acomodar os diferentes interesses em jogo. De qualquer forma, em nenhum
outro lugar do mundo se conhece uma preocupação tão palpável e uma ação tão consistente
quanto à proteção de dados pessoais como na União Europeia. Se no mundo digital as
garantias jurídicas são mais ténues quanto mais se fragmente a aplicação das regras que as
sustentam, resulta indiscutível que a União Europeia lança para o debate internacional uma
reflexão séria e um exemplo concreto do que é possível fazer para garantir um denominador
comum (mínimo ou máximo) que sirva de proteção de direito que ainda se continuam a refletir,
simples e eloquentemente, no primordial right to be let alone.
136 CANOTILHO, Gomes e M OREIRA, Vital, Fundamentos da Constituição, Coimbra Editora, 1991, pp. 107-146.
137 Cf. artigos 24.º a 47.º da CRP.
138 Cf. artigos 48.º a 52.º CRP.
139 Cf. artigos 53.º a 57.º CRP.
140 A diferenciação desta dualidade dos direitos – DLGs’, por um lado, e DESCs’, por outro – reporta desde logo
ao regime de tutela reforçada conferido à primeira categoria (a dos DLGs’), em consonância com o disposto no
artigo 18.º, n.º 2 da CRP. Desde logo, importa referir que o tratamento diferenciado tem que ver precisamente com
a própria evolução do regime de cada um dos direitos, mormente no contexto pragmático e histórico-contextual
segundo o qual os valores que neles se consagraram passaram a ser tidos de primordial monta na comunidade
política. Ademais, em relação aos direitos, liberdades e garantias, a atuação normativa (por Decreto) do Governo
está sujeita a autorização legislativa da Assembleia da República, via reserva legislativa conforme ao consagrado no
artigo 165.º, n.º 1, alínea b) da CRP.
141 Cf. para o efeito, artigo 18.º, n.º 2 da CRP.
142 A esse respeito, artigo 9.º da norma normarum.
143 Não obstante, tal não invalida que determinados direitos pressuponham, atenta a sua própria natureza, a
verificação empírica de determinadas condições de cidadania, mormente: a idade – no que diz respeito ao direito
ao voto (artigo 49.º) e a elegibilidade para o cargo de Presidente da República (artigo 122.º); e o seu balizar
reconhecível na esfera de determinadas categorias de pessoas, designadamente no que respeita aos direitos dos
trabalhadores (artigos 51.º e ss.), daqueles cidadãos portadores de deficiência (artigo 71.º), idosos (artigo 72.º), etc.
144 P. ex. o Tribunal Constitucional, no Acórdão n.º 198/85 considerou que o sigilo da correspondência constitui
um daqueles direitos compatíveis com a natureza das pessoas coletivas. Não obstante, tal asserção não apresenta a
mesma significância em como tal direito seja aplicável nos mesmos termos e com a mesma amplitude que se
considera em relação às pessoas físicas.
145 Importa denotar que as exceções a estabelecer por lei ordinária àquela regra não são livres, mormente no que á
determinação do conteúdo atribuído - em termos de DLGs’ - aos cidadãos investidos nas posições ora em epígrafe
respeita. Tal sucede na medida em que determinados atos legislativos (vulgo leis) reservam determinadas posições
jurídico-subjetivas de vantagem a cidadãos nacionais, conquanto que sejam objeto de ponderação acautelada por
força do seu caráter restritivo e desde que respeitem condições de legitimidade propugnadas no artigo 18.º, n.º 2da
CRP.
146 Este artigo estende a proteção jusfundamental a outros direitos que não aqueles constantes do catálogo. A esse
respeito, importa clarificar o que se entende por direitos análogos aos DLGs´. Então, meritórios de um raciocínio
analógico são: (1) os direitos previstos noutros lugares da CRP, designadamente aqueles respeitantes ao direito de
iniciativa económica privada e o direito de propriedade (cf. artigos 61.º e 62.º da CRP) – ou até mesmo o direito
dos administrados (cf. artigo 268.º CRP); bem como determinados direitos legais p. em normas internacionais –
anotação infra. Refira-se que em causa está o preenchimento normativo do conceito constitucional: ‘fundamental’.
147 Cf. para o efeito, artigo 16.º, n.º 2 da CRP.
148 CANOTILHO, Gomes e M OREIRA, Vital, supra...
149 A título exemplificativo, as balizas jusconstitucionalistas que delimitam o núcleo substancial do direito à
liberdade e à segurança, tal-qual p. no artigo 27.º da CRP, são concretizadas metodologicamente através das
garantias consagradas nos artigos 28.º a 30.º do mesmo diploma. Raciocínio análogo pode ser transposto para as
medidas-meio reconhecidas ao arguido em processo crime, em conformidade com o artigo 32.º CRP, que traduzem
per si uma tutela de todo um conjunto de bens jurídicos associados, direta ou indiretamente, à dignidade da pessoa
humana – cf. artigo 2.º da CRP. Para efeitos da cadeira de Privacidade e Proteção de Dados Pessoais, indague-se a
natureza garante com que o direito à proteção de dados pessoais (consagrado no e pelo artigo 35.º da CRP) pode
ser assumido em relação ao direito à reserva sobre a intimidade da vida privada (cf. artigo 26.º da norma normarum).
150 Essa é a razão para os últimos, aqueles respeitantes ao envolvimento do cidadão na vida política, serem
conotados como direitos políticos, liberdades-participação, os verdadeiros direitos dos cidadãos na comunidade
política.
151 Veja-se, como exemplo, em relação ao direito a ter uma religião (nos termos do artigo 41.º da CRP), a liberdade
que a constituição confere ao cidadão em não assumir qualquer convicção religiosa, mas também, nos termos do
artigo 46.º, a dimensão negativa associada à liberdade de associação.
152 À exceção do direito de iniciativa privada e do direito à propriedade privada, estes consagrados, respetivamente,
nos artigos 61.º e 62.º da CRP, assim como a autonomia das universidades (cf. artigo 76.º, n.º 2 da norma normarum).
153 Sendo este o desígnio permissivo do princípio da igualdade (cf. artigo 13.º) materialmente interpretado.
154 Alguns dos quais já referidos anteriormente.
mais, tais preceitos prevalecerão sobre qualquer lei ordinária que contrarie o seu núcleo
fundamental; (b) estes preceitos vinculam quer entidades públicas, quer entidades particulares
(artigo 18.º, n.º1, 2.ª parte), ou seja, impõem-se não apenas nas relações entre os particulares e
os poderes públicos, como também nas relações que os próprios particulares estabeleçam entre
si, aspeto este que releva sobretudo para os casos de dependência ou de subordinação privadas;
(c) nos termos do n.º 2 do artigo em voga, os referidos direitos fundamentais não poderão ser
restringidos senão nos casos expressamente admitidos pela Constituição; (d) essa restrição só
poderá ter lugar por via da reserva de lei 155, conquanto se considerará ilícita toda a intervenção
restritiva em forma de diploma regulamentar, seja do Governo ou de qualquer outra
autoridade156; (e) mesmo quando constitucionalmente autorizada, a restrição só será legítima
se for exigida pela salvaguarda de outro direito fundamental ou de outro interesse
constitucionalmente protegido, e caso tal medida restritiva estabelecida por lei se sujeite ao
princípio da proibição do excesso e da proporcionalidade, em sentido amplo, ‘integradas’ que
sejam as suas três dimensões – necessidade, adequação e proporcionalidade em sentido estrito
-, de forma a que essas mesmas restrições se limitem ao necessário para salvaguardar outros
direitos ou interesses constitucionalmente protegidos 157; (f) as leis restritivas têm de revestir
um carácter geral e abstrato, não podendo haver leis que assumam um caráter individual ou
concreto, ainda que venham a ser pretensamente redigidas na sua generalidade e abstração
(artigo 18.º, n.º 3); (g) as leis atinentes a direitos, liberdades e garantias não poderão ter uma
eficácia retroativa; (h) em jeito de términus, existe também um outro quesito que tem que ver
com o facto de as leis restritivas se encontrarem materialmente vinculadas ao princípio da
salvaguarda do conteúdo essencial dos preceitos constitucionais garantidores dos mesmos
direitos liberdades e garantias (v., no mesmo sentido, n.º 3 do artigo 18.º).
155 Existem, contudo – o que importa denotar – alguns preceitos constitucionais que não preveem expressamente
a possibilidade de restrição legal, conquanto o seu teor é marcado pela inalienabilidade. V. p.ex., o direito à vida, o
direito à integridade física, assim como outros direitos pessoais (cf. artigos 24.º a 26.º CRP), a liberdade de aprender
e ensinar (artigo 43.º), os direitos de deslocação e emigração (artigo 44.º), ou até mesmo o direito à reunião é a
manifestação (p. no artigo 45.º da norma normarum). Há ainda que considerar que, determinadas matérias relativas a
DLGs’ estão abrangidas no cômputo da reserva absoluta da Assembleia da República, nos termos e para efeitos do
disposto no artigo 164.º, alíneas a), b), c), e), h), i), j) l), m) e o) da CRP.
156 Considera-se, neste seguimento, que a lei não pode devolver as restrições ao cômputo do poder discricionário
da administração – conquanto este regime constitucional cristaliza uma verdadeira obrigação de vinculação legal.
157 NOVAIS, Jorge Reis, Direitos Fundamentais: triunfos contra a maioria, Coimbra editora, 2016 – cit: "Tomado a sério, o
limite do n.º 2 do artigo 18.º CRP significaria serem inconstitucionais hipotéticas normas ordinárias que, por exemplo, possibilitassem
à Administração impor medidas de vacinação obrigatória em caso de epidemia (por violação do artigo 25.º, n.º 1), que permitissem a
um corpo policial ou de bombeiros entrar, sem autorização, no domicílio de alguém em caso de incêndio (por violação do artigo 34.º)
(…)”.
158 CANOTILHO, Gomes J. J., Direito Constitucional, Almedina, Coimbra, 1991.
159 Caso em que as normas com o teor restritivo de direitos, liberdades e garantias se conceberão como diretamente
aplicáveis e vinculativas quer para com entidades públicas quer para com entidades privada.
160 Cit., teor do preceito do número 2 da norma normarum, segundo o qual só a lei pode restringir direitos, liberdades
e garantias, conquanto tamanha limitação tenha na sua génese uma autorização legal do próprio texto da
Constituição e, no mais, devendo as restrições limitar-se ao necessário para salvaguardar outros direitos ou
interesses constitucionalmente protegidos
matrizes jusfundamentais que neste normativo se encontram. Desde logo haverá que se
considerar (a) a exigência de autorização de restrição expressa na Constituição 161. Segue-se o
requisito da lei formal. Pois bem, encontra-se consagrado no n.º 2 do artigo 18.º da CRP que
os direitos, liberdades e garantias só podem ser restringidos por lei, caso em que o antedito
preceito deverá de ser conjugado com os artigos 165.º, n.ºs 1 e 2, 167.º e 168.º da
Constituição162. Dispõe o n.º 3 do artigo 18.º (c) que a lei restritiva dos DLGs’ deverá de
revestir um caráter geral e abstrato. Traceje-se o caráter de ‘abstração’ e ‘generalidade’ de uma
lei com o propósito restritivo de um direito. Então: é geral e abstrato toda a lei que se dirige a
um número indeterminado ou indeterminável de destinatários e que regula um número
indeterminado ou indeterminável de situações163. As leis restritivas de DLGs’ também (d) não
podem revestir um caráter retroativo (nos termos do artigo 18.º, n.º 3). Melhor explicitando,
uma lei restritiva de um DLG será retroativa quando as consequências jurídicas atribuídas aos
factos por ele regulados se produzem em relação ao passado, i.e., em função de uma data
anterior à da sua entrada em vigor164.
Importa, sobretudo para efeitos de resolução do caso prático, atendermos ao (e) princípio
da proibição do excesso – regressando ao artigo 18.º, n.º 2. Este apresenta a significância em
como, no âmbito específico das leis restritivas de DLGs’, qualquer limitação por referência à
lei ou com base nela, deverá de ser adequada (apropriada), necessária (exigível) e proporcional
(com justa medida), contanto que os próprios termos ‘adequação’, ‘necessidade’ e
‘proporcionalidade’ induzem nessa a tamanha preponderância 165. Na sua função
jusfundamental quanto à validade material de uma norma restritiva, o artigo 18.º, n.º 2 assumir-
se-á como um “limite constitucional à liberdade de conformação do legislador”166. A fim, haverão ainda
de ser preconizadas apreciações quanto à (f) necessária salvaguarda do núcleo essencial do
direito fundamental. A ideia fundamental deste requisito é relativamente simples: existe um
núcleo essencial dos DLGs’ que não pode, em caso algum, ser violado. Sucede que mesmo
nos casos em que o legislador se encontra constitucionalmente autorizado a editar normas
restritivas, o próprio permanece vinculado à salvaguarda do núcleo essencial do direito ou
161 Assim se obriga o legislador a procurar sempre na Constituição o fundamento concreto para o exercício este ato
legiferante, suportando a convicção de maior segurança jurídica na esfera jurídica do cidadão, o qual poderá expectar
a não-limitação de direitos fora dos casos previstos pelo próprio texto constitucional, i.e., não sujeitos à reserva de
lei restritiva.
162 Exige-se uma intervenção sob a forma de ato legislativo (e não de um qualquer outro ato normativo) com a
forma de lei da Assembleia da República – cf. para o efeito, artigo 168.º, n.º 1, alínea c) CRP. Não obstante, em
consonância com o que se dissera anteriormente, a restrição pode ser efetivada por Decreto-Lei autorizativo do
Governo (cf. artigo 168.º, nºs 1, 2, 3 e 4), devendo este diploma encontrar-se em conformidade com a lei de
autorização (cf. artigos 115.º, n.º 2 e artigo 168.º, n.º 2 CRP).
163 Refira-se que, mesmo as leis individuais podem não ser materialmente inconstitucionais se, em vez de possuírem
um conteúdo restritivo, atribuírem vantagens ou compensações a certas pessoas individualmente determinadas,
como sucede por exemplo com a lei que concede uma pensão de sobrevivência às viúvas de bombeiros que
acabariam por falecer na sequência ao combate a incêndios. São as denominadas ‘leis-medida’, aquelas leis
individuais ‘beneficiadoras’ ou ‘ampliativas’ que, em razão da sua excecionalidade, não preterem os ditames do
princípio da igualdade, p. pelo artigo 13.º da CRP.
164 Clarividente que uma lei restritiva de um DLG fruirá de inconstitucionalidade material caso venha a possuir
eficácia retroativa, o que aliás, já resultava dos princípios da proteção da confiança e da segurança jurídico, tal-qual
balizados no próprio texto da Constituição.
165 A exigência de adequação aponta para a necessidade de a medida restritiva ser apropriada para a prossecução
dos fins invocados pela lei, ou, at least, em consonância com os mesmos.
Por seu turno, a exigência de necessidade pretende evitar a adoção de medidas restritivas de DLGs que, embora
adequadas, não sejam visivelmente necessárias para se obterem os fins de proteção visados pela Constituição ou a
lei. Assim sendo, uma medida será então exigível ou necessária quando não for possível escolher outro meio
igualmente eficaz, mas menos ‘coativo’, relativamente aos direitos restringidos.
Em terceiro lugar, e por último, o princípio da proporcionalidade em sentido estrito – o da justa medida –
apresenta a significância em como uma lei restritiva de direitos desta natureza, ainda que adequada e necessária,
poderá ser objeto de apreciação quanto à inconstitucionalidade, na medida em que adote ‘cargas coativas
desmedidas, desajustadas, excessivas ou desproporcionadas em relação aos resultados obtidos.
166 Cf. CANOTILHO, Gomes, supra, p. 629.
167 Existem alguns direitos sociais com uma dimensão negativa. Assim, p.ex., o direito ao trabalho não consiste
apenas na obrigação do Estado de criar ou contribuir para os postos de trabalho (cf. artigo 58.º, n.º 3 da CRP).
Outrossim, implica também a obrigação de o Estado em se abster de impedir ou limitar o acesso do cidadão a
determinados postos de trabalho. Também o direito à saúde não impõe ao Estado apenas o dever de atuar de mote
a constituir o Serviço Nacional de Saúde e realizar as respetivas prestações (artigo 64.º), antes prescreve que este se
abstenha de atuar de modo a que possa de qualquer forma colocar em causa a saúde dos cidadãos.
168 As normas programáticas não conferem quaisquer direitos aos cidadãos, dirigem-se ao Estado, e nessa medida
Em suma, no que respeita à eficácia destes DESCs’, podemos indagar que estes assumem
a posição de verdadeiras imposições legiferantes mais ou menos concretas e/ou determinadas,
que vinculam o Estado a criar determinadas instituições ou a introduzir determinadas
alterações na ordem jurídico portuguesa. À sua apreciação costuma associar-se a categoria de
inconstitucionalidade por omissão. Refira-se que a tutela de que gozam só indiretamente pode
ser vincada por referência ao artigo 18.º, n.º 2 da CRP. Assim, usufruem de uma relevância
jurídico-constitucional indireta, conquanto na qualidade de direitos constitucionalmente
protegidos, pode eventualmente a sua realização justificar a limitação de outros direitos do
mesmo rango, a precisar, que também ‘gozam’ de uma matriz constitucional.
São estas as premissas que geralmente estão na base das preterições do princípio da igualdade (artigo 13.º da
170
CRP) ou da apreciação de inconstitucionalidade por omissão, por parte do Presidente da República ou do Tribunal
Constitucional.
171 Para efeitos de resolução do caso prático, bens jurídicos dotados de relevância constitucional não são todos e
quaisquer bens – ainda que venham a ser declarados como relevantes na pessoa do legislador constituído. Apenas
assumem relevo de pendor jusfundamental aqueles bens jurídicos que a Constituição e a ordem constitucional
elegeram como particularmente valiosos e expressamente consideraram como dignos de especial reconhecimento
e proteção constitucional, conquanto a salvaguardo do seu núcleo estruturante poderá efetivamente de ser invocada
de forma a justificar restrições a direitos fundamentais com eles coincidentes.
172 O âmbito normativo de um direito pressupõe o tracejar dos seus pressupostos objetivos e subjetivos, em razão
(b) Se se trata de um conflito entre dois DLGs’ e um está sujeito a reserva de lei restritiva
e outro não, deverá a lei asseverar a eficácia ótima do direito não restringível e limitar
o direito sujeito a reserva de lei restritiva, mas com a observância estrita do princípio
da proporcionalidade;
(c) Se o conflito se estabelece entre dois DLGs’ sujeitos ambos a reserva de lei estrita, o
legislador poderá fazer ingerências ou limitar o exercício dos dois direitos na medida
necessária, estabelecendo concomitantemente de forma proporcionada, a
concordância prática de entre os interesses e valores em jogo;
(d) Em caso de conflito de entre DLGs’ não sujeitos a reserva de lei estrita com outros
direitos fundamentais – p.ex.- DESCs’ ou com outros bens objeto de tutela
constitucional (p.ex., a defesa e a saúde), deverão de prevalecer os primeiros;
(e) Por último, se o conflito surgir entre DLGs’ sujeitos a reserva de lei restritiva e outros
bens ou direitos, há ainda uma prevalência dos primeiros em relação aos segundos.
Contudo, a lei pode salvaguardar a existência dos direitos ou bens com os quais eles
estão em conflito.
Em suma, a ponderação deverá de ser efetuada casuisticamente. Por agora, importa referir
que nestas soluções sobressai, como não pode deixar de ser, a primazia de que gozam os
DLGs’, atento o regime próprio de proteção reforçada propugnado pelo artigo 18.º, n.º 2 da
CRP. À exceção do conflito de DLGs’ – em que, pela própria natureza das coisas, não poderá
deixar de haver compressão recíproca -, em todos os demais casos de conflito entre direitos
fundamentais ou de entre direitos fundamentais e outros interesses constitucionalmente
protegidos, deverá de prevalecer sempre o direito fundamental que frua do regime dos DLGs’,
salvo na hipótese em que a própria Constituição admita expressamente a sua restrição – nos
termos e para efeitos do número do normativo em causa – contanto que esta seja efetuada na
medida do necessário para salvaguardar minimamente outro direito ou interesse
constitucionalmente protegido. Assim, a restrição de um direito, liberdade e garantia nunca se
poderá bastar com a invocação de uma situação de conflito com direitos de outra natureza ou
até mesmo defronte outros interesses constitucionais.
A concorrência de direitos
Considera-se existir concorrência de direitos fundamentais quando o mesmo
comportamento do titular preenche os pressupostos de factos incluídos no círculo estrutural
de vários direitos.
Assim, em relação a um mesmo titular, poder-se-ão entrecruzar ou acumular-se vários
direitos. O problema que aqui se convola oferece dificuldade quando estes vários direitos
concorrentes se encontram sujeitos a limites divergentes, debatendo a doutrina sobre quais os
critérios que se têm por aplicáveis na função de orientação e seleção dos limites a considerar.
Em geral, Gomes Canotilho pugna pela ideia segundo a qual dever-se-á conceder prevalência
aos direitos fundamentais menos limitados e, simultaneamente, excluir a concorrência quando
existam normas constitucionais especiais.
173 CASTRO, Catarina Sarmento, Direito da Informática, Privacidade e Proteção de Dados Pessoais, Almedina, Coimbra,
2005.
174 São exemplos: os produtos comprados num supermercado eletrónico, a identificação da pessoa com recurso a
impressões digitais, a sinalização de mensagens SPAM, a monitorização laboral da pessoa do trabalhador com
recursos a meios de vigilância eletrónica, as informações e registos de dados pessoais relativos à saúde do paciente,
de entre outros.
175 A esse propósito, basta pensarmos no uso de imagens recolhidas através de mecanismos de videovigilância para
o controlo das chamadas telefónicas, ou até mesmo na verificação dos sítios Internet visitados com o propósito de
se proceder ao traçamento do perfil de utilizador, na difusão pública dos dados de saúde, na elaboração – por uma
entidade terceira – do perfil filosófico-político através do conjunto de leituras efetuadas, ou até mesmo no constante
engarrafamento da caixa de correio eletrónico provocado por mensagens remetidas por quem tantas vezes se
apoderara dos dados pessoais sem qualquer consentimento ou legitimidade legal para o efeito, de entre outros.
são tamanhas que provavelmente já nem se imagina o quotidiano sem se poder dispor destas
ferramentas. É um facto que, crescentemente, cedem-se as facetas de um direito de pendor
pessoalista aos especialistas na área da engenharia da computação, num claro enjeito de
compressão da posição jurídico-subjetiva de vantagem que é reconhecida na esfera jurídica do
indivíduo-cidadão, investido que se encontre na posição de titular dos dados pessoais. Assim
sendo, importa traçar as traves mestras orientadoras de uma utilização desta tipologia de
informações pessoais no respeito pelos direitos fundamentais em matéria de autodeterminação
informativa.
Pois bem, o direito á ‘privacy’, tal-qual delimitado pela doutrina e jurisprudência
americanas, ainda recortava um direito geral de personalidade. O mesmo viria a acontecer mais
tarde na Europa, com as congéneres alemãs, que por interpretação do artigo 1.º da Grundgesetz,
acerca da dignidade da pessoa humana, conjugado com o artigo 2.º do mesmo diploma,
pelejavam pela defesa da existência de um direito geral de personalidade. O direito à ‘privacy’
era então entendido, antes do mais, com uma conotação mais ampla do que o direito à reserva
da intimidade da vida privada, entre nós constitucionalmente consagrado nos direitos de
personalidade, no artigo 26.º, n.º 1 da CRP. O direito à reserva sobre a intimidade da vida
privada facciona-se como um direito especial de personalidade, e não um direito geral de
personalidade, tal-qual aquele que se encontra p. no artigo 70.º do CC176. Enquanto que o
artigo do Código Civil estabelece que “a lei protege os indivíduos contra qualquer ofensa ilícita ou ameaça
à sua personalidade física e moral”, a Constituição menciona, no segmento anteriormente
referenciado, o “direito ao desenvolvimento da personalidade”.
Como refere Carlos Alberto da Mota Pinto, o direito geral de personalidade “permite conceder
tutela a bens pessoais não tipificados, designadamente protegendo aspetos da personalidade cuja lesão ou ameaça
de violação só com a evolução dos tempos assumam um significado ilícito.”177 Orlando de Carvalho 178
escrevia que o direito geral de personalidade se carateriza por incidir sobre a pessoa no seu
todo, como eventual objeto de agressões previsíveis e imprevisíveis.
Apesar de todos estes aprimoramentos conceituais relativos ao direito em voga num prisma
genérico, a doutrina portuguesa autonomizou um direito especial de personalidade referido à
defesa da intimidade da vida privada, deste modo atribuindo a sua meritória valoração.
Segundo Orlando de Carvalho, o direito à intimidade da vida privada – que não se confunde
com o direito geral de personalidade – integra o direito à inviolabilidade pessoal, juntamente
com os direitos relativos à projeção física da personalidade (v.g., o direito à imagem e à palavra),
e com os direitos referentes à projeção moral da personalidade (direito à honra) sendo, mais
concretamente, um direito relativo à projeção vital da personalidade. É neste última caso que
o autor inclui o direito ao caráter, o direito à história pessoal, o direito à verdade profunda e o
direito à intimidade sobre a vida privada. Ora, este último, o direito específico à reserva sobre
a intimidade da vida privada é meritório da qualificação como um verdadeiro direito à
informação.
Sob o direito específica à reserva sobre a intimidade da vida privada, Orlando de Carvalho
distingue: (1) entre a esfera privada stricto sensu – aquela que respeita a atos não públicos, e nessa
medida privados ainda que não pessoais; (2) a esfera pessoal, mais restrita que a primeira,
176 O artigo 70.º do CC apresenta o seu reflexo constitucional no direito ao livre desenvolvimento da personalidade,
também p. no segmento do artigo 26.º, n.º 1 da norma normarum. Capelo de Sousa considera que o artigo que ora se
arroga garante a intimidade da vida privada também nas suas ‘camadas intermédias e periféricas’, como reserva dos
‘dados pessoais informatizáveis’.
177 Cit. PINTO, Carlos Alberto da Mota, Teoria Geral do Direito Civil, 3.ª edição, Coimbra Editora, Coimbra, 1989, p.
208. Paulo Mota Pinto refere que o direito à reserva sobre a intimidade da vida privada apresenta uma ‘dupla
dimensão’: a tutela da personalidade, enquanto substrato da individualidade nos seus diversos aspetos; e a tutela
geral da liberdade de ação da pessoa humana – cfr. aprimoramentos teóricos, infra...
178 CARVALHO, Orlando, Para uma teoria da pessoa humana (reflexões para a desmistificação necessária), o Homem e o tempo
– liber anicorum para Miguel Baptista Pereira, Fundação Eng. António de Almeida, Porto, 1999.
conquanto abarca aspetos ligados à própria pessoa, como sucede p.ex. com os seus gostos e
preferências, devendo mesmo impor-se ao próprio cônjuge; (3) e, por último, a intimidade da
vida privada abrange o cômputo da esfera de segredo que (como refere o autor) pode não
assumir um caráter pessoal, embora compute todo um conjunto de coisas secretas (aliás, como
o próprio nome induz), como sucede p.ex. com os códigos secretos, história médica,
informações contidas em diários íntimos, etc.
É consabido que os massmedia e as modernas tecnologias introduzidas no mercado
preterem, constantemente, a intimidade de cada individuo. A intimidade é objeto de tutela
especial no Código Civil, por força do seu artigo 80.º. Nesta sede, não se trata da proteção da
honra, outrossim da paz e resguardo da tranquilidade de uma esfera íntima da vida, de um
direito a estar só, ainda que se convolem todo um conjunto de aspetos que não seriam
apreciados negativamente por terceiros.
Neste seguimento, é de referir que não pode confundir-se hoje o direito geral de
personalidade – também consagrado de forma individualizada na Constituição, no artigo 26.º,
n.º 1, com o direito à reserva sobre a intimidade da vida privada. A razão de ser é a seguinte: o
direito á reserva sobre a intimidade da vida privada, na medida em que tenha no seu objeto o
conteúdo dos dados, pressupõe o controlo sobre a informação relativa à vida privada. E
porque conotado como um direito sobre a informação, entre nós a Constituição consagrou –
para sua garantia e tutela efetiva – um direito à autodeterminação informativa, num enjeito de
tutela do interesse que subjaz ao controlo sobre os dados pessoais.
Poder-se-á dizer, assim, que o direito à autodeterminação informativa nasce para garantir
um direito á intimidade sobre a vida privada no que ao tratamento dos dados pessoais diz
respeito. Mas este direito á autodeterminação informativa já não é, tão-somente, um direito de
garantia do direito á reserva sobre a vida privada, ou um direito que resguarda os cidadãos das
intromissões não autorizadas de terceiros, num sentido de um direito de defesa.
Este direito de proteção, assume adicionalmente uma conotação ou um sentido negativo,
possibilitando ao indivíduo negar informação pessoal ou opor-se à recolha e difusão de
informações que lhe digam respeito (direta ou indiretamente), impondo-se sobretudo face às
agressões possíveis preconizadas pelo Estado ou por terceiros, os quais deverão abster-se de
proceder a tratamento de dados pessoais. Hoje em dia, o direito à autodeterminação
informativa assume-se então como um verdadeiro direito fundamental. Numa perspetiva
dinâmica, enforma-se como um verdadeiro direito ‘ofensivo’ que permite a todos e cada um
de nós balizar o que outrem pode, a cada momento, dizer a respeito do titular dos dados
pessoais179.
Na sua dimensão subjetiva, o direito à autodeterminação informacional materializa-se
como um ‘direito-garante’ ao respetivo titular das posições jurídicas perante o Estado numa
senda defensiva e defronte abusos relativos à utilização da sua informação pessoal, seja (a) num
perspetivar negativo – enquanto ‘Abehrrecht’ – obrigando-o a abster-se de tratar dados
pessoais, (b) seja pela positiva – enquanto ‘Schutzrecht’, impondo às entidades públicas a
adoção de medidas de proteção. Em contraponto, na sua dimensão objetiva (de pendor
comunitário, externo e horizontal), o direito à autodeterminação informacional prescreve ao
Estado a obrigação de adotar medidas de providência no sentido de defesa perante agressões
de terceiros.
179 “É uma liberdade, um poder de dispor das informações pessoais, um poder de controlo através de cujo exercício se permitirá que cada
indivíduo preserve ‘a sua própria identidade informática’. (...) Assume-ee como um verdadeiro direito de personalidade multifacetado,
viabilizando o controlo da utilização das informações que lhe respeitem” (sublinhado nosso). Cf. CASTRO, Catarina Sarmento,
op. cit.
180 MIRANDA, Jorge e MEDEIROS, Rui, Constituição Portuguesa Anotada, vol. I, Preâmbulo, Princípios Fundamentais, Direitos
e Deveres Fundamentais, Artigos 1.º a 79.º, 2.ª ed. revista, Universidade Católica Portuguesa, fevereiro de 2017.
181 É tradição anglo-saxónica conferir ao ‘right to privacy’ a posição de expressão paradigmática ‘ratificadora’ de todos
os outros direitos pessoais, em conformidade com o que se pode depreender daquilo que se dissera anteriormente.
182 Cit. acórdão n.º 128/92.
183 Para o efeito, rememorar Orlando de Carvalho, quanto à Teoria das três esferas supra, a ver: a esfera íntima
corresponde ao núcleo duro do direito à reserva sobre a intimidade da vida privada, ao passo que a esfera privada
admite determinadas ponderações de proporcionalidade. Já a esfera social compreende o cômputo substancial do
direito à imagem e à palavra e não imbrica diretamente no excerto ‘intimidade da vida privada’.
184 Pois bem, sucede que a complexidade do juízo de proporcionalidade adensa-se pelo facto de serem concebíveis
renúncias, de âmbito alargado, à reserva sobre a intimidade da vida privada e familiar, como sucede, p.ex., na entrada
de um concurso televisivo como o Big Brother.
185 Assim, para se referir a título exemplificativo, é geralmente reconhecido que as informações tributárias, máxime,
dados fiscais de um contribuinte, em si reveladores da respetiva capacidade contributiva, pertencem à esfera privada
e, nessa medida, são meritórios de tutela jurisdicional por referência ao próprio texto constitucional. Da mesma
forma, o sigilo bancário, embora não seja um valor jurídico absoluto, e como tal sujeito aprioristicamente a
restrições, encontras o seu fundamento último no direito à reserva sobre a intimidade da vida privada. De resto, o
próprio Tribunal Constitucional já afirmou que “a situação económica do cidadão, espelhada na sua conta bancária incluindo
as operações ativas e passivas nela registadas, faz parte do âmbito da proteção do direito à reserva sobre a intimidade da vida privada
condensado no artigo 26.º, n.º 1 da Constituição, surgindo neste âmbito o segredo bancário como um instrumento de garantia desse
direito” (sublinhado nosso) – cf. para o efeito, Acórdãos do Tribunal Constitucional nºs 278/95 e 355/97.
186 Contudo, esta conclusão não impede que se reconheça, no domínio das relações laborais, como legítimas
algumas ingerências que decorrem diretamente do direito fundamental à empresa, conquanto – apesar de tendencial
ser a separação entre a vida profissional e pessoal de cada um – alguns factos e comportamentos extralaborais
podem assumir relevância na ótica da estrutura empresarial em que os respetivos protagonistas se inserem.
187 Cf. artigo 12.º, n.º 2 da CRP.
188 Cf. para o efeito, artigo 80.º do CC. Canotilho, Gomes e Moreira, Vital, anotações... Segundo os autores, uma
defesa contra o tratamento informático de dados pessoais concretizar-se-á: (1) no direito de acesso das pessoas aos
registos informáticos para conhecimento dos seus dados pessoais, bem como retificação e complemento dos
mesmos; (2) no direito ao sigilo em relação aos responsáveis de ficheiro e terceiros dos dados pessoais
informatizados e direito à sua não interconexão (cf. artigo 35,º, n.º 4 da CRP – proibição de acesso a dados pessoais
por terceiros, assim se balizando o dever de sigilo profissional do pessoal informático); e, por último, (3) no direito
ao não tratamento informático de certos tipos de dados.
189 Cf. para o efeito, Acórdãos do Tribunal Constitucional, n.ºs 255/02 e 207/03.
190 Recorde-se, alguma doutrina e jurisprudência (cfr. Acórdão do Tribunal Constitucional n.º 454/93) distinguem
entre esfera pessoal íntima (absolutamente protegida) e esfera privada simples (apenas relativamente protegida,
podendo ter de ceder em conflito com outro interesse ou bem público). Contudo, à face deste preceito da norma
normarum, Gomes Canotilho e Vital Moreira consideram que tal distinção não é relevante.
191 Veja-se, e recorde-se, a título exemplificativo desta renúncia, o caso Big Brother.
192 Os direitos dos trabalhadores encontram-se densificados, além do próprio texto constitucional, nos artigos 17.º
e ss. do CT.
193 Cf. Acórdão do Tribunal Constitucional n.º 306/03.
194 Os autores em causa expressam e propugnam por uma necessária elasticidade dos limites jurisdicionalmente
considerados para efeitos de determinação do âmbito de ingerência ilegítimo na esfera da vida privada. Assim, cf.
Acórdão n.º 263/97, segundo o qual “a próprias noção de vida privada (...) [é] em certa medida dependente do indivíduo, também
marcada em função das valorações de cada formação social”.
Os autores em causa estendem, quanto ao direito à autodeterminação informativa, os seguintes princípios: a
publicidade (na medida em que deve ser conhecida a criação e manutenção de bases de dados); a justificação social
(conquanto se verifique a existência de uma finalidade(s) legítima(s) que justifique(m) o tratamento de dados
pessoais e que esses mesmos propósitos sejam expressamente especificados); a transparência (na medida em que
ao titular dos dados pessoais deverá ser transmitida a tipologia dos dados objeto de tratamento, assim como o
responsável por toda a operação); a limitação da recolha; o princípio da fidelidade; a limitação da utilização em
função dos fins que justificam a recolha; a existência de garantias de segurança; o princípio da responsabilidade; e,
por fim, o da limitação temporal da operação de tratamento de dados pessoais.
195. Cf. MOTA PINTO, Paulo, A proteção da vida privada e a jurisprudência do Tribunal Constitucional, Relatório apresentado
na Conferência Trilateral dos Tribunais Constitucionais de Portugal, Espanha e Itália, 2006. Disponível em:
https://www.tribunalconstitucional.es/ActividadesDocumentos/2006-10-02-00-00/2006-PonenciaPortugal.pdf.
196 Sob epígrafe ‘outros direitos’, temos então o artigo 26.º da CRP, nos termos do qual: “1. A todos são reconhecidos
os direitos à identidade pessoal, ao desenvolvimento da personalidade, à capacidade civil, à cidadania, ao bom nome e reputação, à
imagem, à palavra, à reserva sobre a intimidade da vida privada e à proteção legal contra quaisquer formas de discriminação. 2. A lei
estabelecerá as garantias efetivas contra a utilização abusiva, ou contrária à dignidade humana, de informações relativas às pessoas e
famílias. 3. A lei garantirá a dignidade pessoal e a identidade genética do ser humano, nomeadamente na criação, desenvolvimento e
utilização das tecnologias e na experimentação científica. 4. A privação da cidadania e as restrições à capacidade civil só podem efetuar-
se nos casos e termos previstos na lei, não podendo ter como fundamento motivos políticos”.
197 Nos termos do qual: “1. Todos devem guardar reserva quanto à intimidade da vida privada de outrem. 2. A extensão da reserva
é definida pela natureza do caso e em função da condição das pessoas”.
198 Em que são notórias as assimetrias de poderes quanto às posições ocupadas pela entidade patronal e trabalhador,
respetivamente.
República n.º 51/IX, que permitia a exigência na prestação de informações relativas à saúde
ou estado de gravidez do candidato a emprego ou do trabalhador, quando particulares
exigências inerentes ao desempenho do cargo assim o justifiquem e seja exigida por escrito a
respetiva fundamentação. Considerou, contudo, inconstitucional a mesma norma, na medida
em que permitia o acesso direto do empregador (e não através de pessoal médico vinculado a
segredo profissional) a informações relativas à saúde ou estado de gravidez do candidato a
emprego ou trabalhador, em razão da preterição do princípio da proibição do excesso nas
restrições ao direito fundamental à reserva sobre a intimidade da vida privada 199. No Direito
do Fiscal, o Tribunal Constitucional concluiu não ser inconstitucional a norma p. no Decreto-
Lei n.º 205/97, de 12 de agosto, que – quanto à chamada figura do ‘Defensor do Consumidor’
– prev(ia) o acesso deste a facos, documentos e informações protegidos pelo sigilo fiscal,
encontrando-se os funcionários e agentes da administração tributária obrigados a prestar-lhes
informações. E a justificação para a apreciação da constitucionalidade das normas foi a de que
o próprio ‘Defensor do Contribuinte’ integr(ava) a Administração e que ele próprio se
encontrava adstrito ao respeito pelo mesmo sigilo fiscal. Acórdãos existiram em que o Tribunal
Constitucional reconheceu que o direito à reserva sobre a intimidade da vida privada foi
invocado para o propósito da possibilidade de acesso, por parte dos concorrentes, à
documentação que fundou a decisão de um concurso público ou o ato de um júri público 200.
Por sua vez, no Acórdão n.º 368/2002, o Tribunal acabara por considerar admissíveis, em
certas circunstâncias e com certas finalidades, os exames médicos periódicos e obrigatórios a
funcionários públicos, enfatizando a possibilidade de um exame de saúde que revista caráter
obrigatório poder conflituar, não apenas com o direito à reserva sobre a intimidade da vida
privada, mas também com a própria liberdade geral de atuação. Não obstante, o Tribunal
acabara por considerar que a restrição em causa se encontrava justificada em função de um
conjunto de interesses com relevância constitucional.
Não parece, pois, ousado, afirmar que o direito à reserva sobre a intimidade da vida privada
tem sido confinado sobretudo ao controlo da informação sobre a vida privada, reportando-se
a liberdade da vida privada ao direito à liberdade (artigo 27.º, n.º 1) ou ao livre desenvolvimento
da personalidade (artigo 26.º, n.º 1).
199 O Tribunal considerou que, para a finalidade tida em vista pelo legislador, seria suficiente a intervenção do
médico, “com imposição de este apenas comunicar ao empregador a aptidão ou inaptidão do trabalhador para o desempenho da
atividade em causa”.
200 Cf. para o efeito, Acórdãos do Tribunal Constitucional nºs 156/92, 177/92, 231/92, 43/96, 394/93.
201 Cf. Acórdão n.º 255/2002, no qual o Tribunal Constitucional considerou a permissão, contida nos nºs 1 e 2 do
artigo 12.º do Decreto-Lei n.º 231/98, de 22 de julho, da utilização de equipamentos eletrónicos de vigilância e
controlo por parte das entidades que prestam serviços de segurança privada, ainda que materializando uma restrição
ao âmbito do direito à reserva sobre a intimidade da vida privada. Também no Acórdão n.º 207/2003, sobre a
questão da utilização de equipamentos de videovigilância eletrónica das consolas de jogos, abertas ao público,
reiterou a mesma ideia explanada anteriormente.
depende dos “critérios resultantes das valorações sociais correntes sobre a questão (...) desde que
harmonizáveis com os princípios gerais do ordenamento jurídico (...) Daí que a própria noção de vida privada
seja em certa medida dependente do indivíduo, também em função das valorações de cada formação social”.
Assim sendo, poderemos inferir que a natureza privada parece não se determinar
exclusivamente em função da vontade da pessoa, outrossim inclui uma justificação objetiva do
interesse da reserva, segundo as “valorações sociais correntes” ou “valorações de cada formação social”202.
No mais, para se determinar o conteúdo do direito à reserva sobre a intimidade da vida privada,
importa precisar a significância do termo ‘reserva’. A este propósito, o Tribunal Constitucional
não tem pugnado por uma diferenciação entre a intromissão ou intrusão na vida privada (com
perturbação da tranquilidade ou simples aquisição de informação) e a divulgação de
informação relativa à vida privada, designadamente no sentido de limitar a tutela constitucional
a uma delas, ou a ambas203.
Importa, prestar atenção sobre o conteúdo das informações relativas à inviolabilidade do
domicílio e da correspondência (p. nos termos e para efeitos do artigo 34.º, n.º 1 da CRP) e
todo um conjunto de questões meritórias de consideração em relação ao direito à imagem
(disposto no artigo 79.º do CC).
Em relação à primeira, as garantias de inviolabilidade do domicílio e da correspondência
proporcionam uma tutela quer em domínios particulares. Precisando, torna-se verosímil que
este tipo de tutela assume uma tipologia de pendor formal, na medida em que não se acebe
como necessário que as informações colhidas no domicílio ou em comunicações incidam sobre
matérias da vida privada. Algumas são as informações públicas que assumem relevância para
efeitos de reserva à intimidade da vida privada, conquanto não meritórias do qualificativo de
utilidade pública.
Por último, quanto ao cômputo de incidência subjetiva, dir-se-á que o direito à reserva
sobre a intimidade da vida privada respeita não somente a pessoas singulares, como também a
pessoas coletivas204, em razão do princípio da universalidade, tal-qual plasmado no artigo 12.º
da CRP.
202 Clarividente que são informações que dizem respeito à reserva da intimidade da vida privada aquelas referentes
à origem étnica, vida familiar, vida sexual, condenações em processo criminal, situação patrimonial e financeira,
segredo médico ou sigilo profissional, segredo bancário [direito que subsiste na esfera jurídica das pessoas coletivas]
etc.. Por exemplo, os dados que versem sobre a saúde do individuo integram também, sem dúvida, a vida privada
objeto de tutela-constitucional plúrima, ainda que não se cinjam – no seu computo subjetivo operante – a elementos
respeitantes a estados patológicos. Também nesse sentido, os dados relativos a informações sobre relações
amorosas ou afetivas de um sujeito estão abrangidos, não somente pelo artigo 35.º, como pelo artigo 26.º, ambos
da norma normarum. Já os dados relativos que viabilizem a geolocalização dependem do hiato espacial a que os
acontecimentos reportam e da medida em que estes possam permitir correlacionar informações e deduzir aspetos
sobre a vida privada e/ou mesmo íntima de um sujeito, inclusive para efeitos do ato de definição de perfis, p. no e
pelo artigo 22.º do RGPD. Segundo o acórdão citado no corpo do texto – o Acórdão n.º 263/97 – “a própria noção
de vida privada [é] em certa medida dependente do indivíduo, também em função das valorações de cada formação social”. Importa,
portanto, em consonância também do que resulta do artigo 80.º, n.º 2 do CC, atentar numa extensão da reserva
conforme à ‘condição das pessoas em causa’ e à ‘natureza do caso’.
203 Assim, no caso decidido pelo citado Acórdão do TC n.º 368/2002, na previsão legal do dever de sujeição à
carecida de ponderação casuística. A este respeito, importa subsumir o ‘segredo dos negócios’. Já o direito à vida -
cf. Acórdão n.º 539/97, sobre a dissolução de uma sociedade em consequência da declaração – e o direito de fundar
uma família não são compatíveis com a própria natureza das pessoas coletivas. Mas as pessoas coletivas podem já
ser titulares dos direitos de associação, do direito à inviolabilidade do domicílio ou do direito ao segredo da
correspondência – cf. Acórdão Tribunal Constitucional n.º 539/97. Sobre o segredo da correspondência das
pessoas coletivas, o Acórdão n.º 198/95 sublinhou que a sua titularidade não implica necessariamente que o direito
apresente a mesma extensão e conteúdo que tem para as pessoas físicas.
Desde o seu texto originário, aprovado em 1976, que a CRP integra um preceito com a
epígrafe ‘Utilização da informática’, com este havendo sido pioneira na consagração
constitucional de direitos que especificamente protegem os dados pessoais dos cidadãos em
relação ao uso das novas tecnologias. Como a epígrafe indica, o artigo 35.º veio regular
juridicamente problemas levantados pelo uso do computador, constituindo uma primeira
expressão, com dignidade constitucional, do Direito da Informática ou, talvez hoje,
preferivelmente, do Direito da Eletrónica. Este artigo institui um direito fundamental à
autodeterminação informativa, traduzido num conjunto de direitos relacionados com o
tratamento automático das informações pessoais dos cidadãos, que visam, simultaneamente,
protegê-las perante ameaças de recolha e de divulgação, assim como de outras utilizações
possibilitadas pelas novas tecnologias, e, também, assegurar aos respetivos titulares um
conjunto de poderes de escolha nesse âmbito. Atualmente, deve ser objeto de atenção, ao lado
do volume crescente e da diversidade da informação, a galopante rapidez com que a
informação é recolhida e partilhada, por vezes de forma instantânea, em tempo real e por
múltiplos utilizadores, a preocupação do legislador constituinte.
Pois bem, algumas foram as revisões constitucionais que se adaptaram tendencialmente à
evolução da realidade tecnológica – hoje também de informação, comunicação e interação -
mormente no que contende diretamente com o artigo 35.º da CRP206.
205 CASTRO, Catarina Sarmento, 40 anos de ‘Utilização da Informática’ – o artigo 35.º da Constituição da República Portuguesa,
ePública, Revista Eletrónica de Direito Público, vol. 3, n.º 3, dezembro de 2016. Disponível em
http://www.scielo.mec.pt/scielo.php?script=sci_arttext&pid=S2183-184X2016000300004.
206 Esta evolução patenteia-se, sobretudo, no facto de a redação do atual artigo 35.º da CRP garantir a todos a
207 Cf. artigo 8.º, n.º 1, segundo o qual “qualquer pessoa tem direito ao respeito da sua vida privada e familiar, do seu domicílio
e correspondência”.
208 Cf. artigo 12.º, segundo o qual: “ninguém sofrerá intromissões arbitrárias na sua vida privada, na sua família, no seu domicílio
direito, vinculativo quer de entidades públicas quer de entidades privadas, e do qual são
titulares, universalmente, todas as pessoas físicas (sem prejuízo de outros direitos de segredo
de que beneficiem as pessoas coletivas), não é, somente, um direito de caráter defensivo em
face da realização de operações de tratamento de dados pessoais, como a recolha, o registo, a
organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta,
a utilização, a divulgação por transmissão, divulgação ou qualquer outra forma de
disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição de
dados pessoais210. É, ainda, um direito de conformar esses tratamentos, podendo cada
individuo determinar o que podem os outros, em cada momento, saber e usar a seu respeito,
controlando a partilha e utilização dos seus dados pessoais 211.
212 O artigo 267.º, n.º 3 da CRP prevê que a lei possa criar entidades administrativas independentes.
213 Este diploma foi alterado pela Lei n.º 103/2015.
214 Para mais desenvolvimentos sobre o tema, v. CALVÃO, Filipa, O modelo de supervisão de tratamentos de dados pessoais
na União Europeia: da atual Diretiva ao futuro Regulamento, Revista Fórum da Proteção de Dados, n.º 1, julho 2015, pp.
35 e ss.
215 Cf. considerando 32 e artigo 7.º do RGPD.
216 É o que acontece, p.ex., nas relações laborais, em que o titular dos dados pessoais é o trabalhador-empregado,
investido que se encontra na posição mais fraca da relação jurídica em causa. Sobre o tratamento de dados pessoais
no âmbito do trabalho e, em especial, sobre o consentimento, v. Parecer do Grupo de Trabalho do Artigo 29.º,
Parecer n.º 8/2001, de 13 de setembro de 2001. Disponível em:
Http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
recommendation/files/2001/wp48_en.pdf.
217 Sobre o tratamento de dados para fins estatísticos, a importância dos dados estatísticos, a anonimização, a
pseudonimização, o segredo estatístico, e os desafios lançados pela necessidade de informação para fins de
investigação científica, v. 217 CASTRO, Catarina Sarmento, A limitação do segredo estatístico: segredo estatístico vs. Publicidade,
Indicadores Locais de Desenvolvimento Sustentável. O Caso de Estarreja, Instituto Jurídico da Faculdade de Direito, 2017,
pp. 152.º e ss.
expressamente incluídos no elenco do artigo 35.º, n.º 3. Fê-lo recorrendo à noção de vida
privada, dele expressamente constante, integrando os dados de saúde nessa especial categoria
de dados pessoais. No mesmo Acórdão, ao explicar-se a ampliação da categoria de dados
sensíveis aos dados de saúde através da fórmula ‘vida privada’, adianta-se que “os dados de saúde
integram a categoria de dados relativos à vida privada, tais como as informações referentes à origem étnica, à
vida familiar, á vida sexual, condenações em processo criminal, situação patrimonial e financeira”.
218 Mas que já podia ser encontrada na versão aprovada em 1976, no então n.º 3.
219 Refira-se o exemplo da administração dos serviços de identificação, para emissão do bilhete de identidade, ou a
própria administração fiscal, a segurança social, ou até mesmo o acesso aos dados na disponibilidade – sem qualquer
fundamento para o efeito – por parte dos órgãos de polícia criminal.
220 Como, p.ex., a data, o local de nascimento, o sexo e a própria nacionalidade.
De todo o modo, a proibição de um número único nacional não colide com a instituição
de um cartão que em si mesmo reúne números setoriais diversos e respeitantes a vários
tratamentos de dados diferentes, sem interconexão entre eles221.
Hodiernamente, os verdadeiros perigos de vigilância não resultam do uso do número único
que sirva para identificar um individuo perante vários ficheiros, já que a correlação da
informação é possível mesmo sem essa atribuição, e correspondendo ao mesmo cidadão
números diferentes. O que é necessário é que se disponha de regras de acesso e interconexão
bem definidas, e de medidas técnicas e organizativas de segurança da informação222. Por outro
lado, a proibição de um número único dificulta a concretização da Administração Eletrónica,
sem, todavia, impedir eficazmente o tratamento massivo de informações (Big Data) por
entidades públicas, sobretudo ligadas à segurança, por vezes sem o cumprimento das regras
mais adequadas á proteção de dados pessoais, e por entidades privadas.
221 Para além de que, outros números setoriais, mas universais, existem já – como sucede com o número da
segurança social, o número de utente do serviço nacional de saúde, o número do cartão de cidadão, o número de
contribuinte, etc. Em relação a este último, o próprio atualmente viabiliza, em teoria, o traçamento do perfil muito
claro do indivíduo com base no seu padrão de consumo, inclusivamente geográfico.
222 Já na revisão constitucional de 1997, os Deputados José Magalhães e Luís Marques Guedes relembraram o
contexto histórico em que surgiu a disposição, chegando o último a considerar que esta seria, em 1997,
perfeitamente dispensável. No entanto, a redação manteve-se inalterável.
223 Refira-se que, relativamente à definição de dados pessoais, quando a própria lei não concretiza as suas balizas
aos fluxos transfronteiros de dados pessoais, quando estivessem em causa operações de transferência por de entre
territórios parte da Convenção 108, já que – nos termos desta – não seria possível estabelecer para esses casos uma
necessidade de autorização. De anotar que a antedita Convenção 108, do Conselho da Europa, versa sobre a
proteção das pessoas singulares no que diz respeito ao tratamento automatizado de dados de caráter pessoal, tendo
sido este o primeiro instrumento internacional juridicamente vinculativo em matéria de proteção de dados pessoais.
Não obstante, nos mais de 20 anos decorridos desde a aprovação da Diretiva 95’, a
evolução tecnológica e um novo enquadramento social do uso dos novos mecanismos ditaram
que alguns aspetos da sua regulação se tornassem desajustados ou ineficazes. A globalização
sem fronteiras dos tratamentos dos dados, a generalização dos dispositivos ligados à Internet
– seja para comunicação, para prestação ou para acesso a serviços, para pesquisa ou divulgação
de informação, ou interação -, assim como o aumento da recolha e da partilha de dados
pessoais, o armazenamento de dados na nuvem, a ligação umbilical e rastreável de dados
pessoais aos dados das coisas tratados na Internet das Coisas, ou a facilidade de constituição
de perfis dos titulares dos dados, gerados com recurso a algoritmos computacionais que, de
modo veloz e discreto, constroem Big Data, são novos contextos tecnológicos a que a Diretiva
tinha dificuldade de responder 225. Assim, problemas como o de saber se estão sujeitos ás regras
de tratamento de dados pessoais as informações disponibilizadas por motores de busca na
Internet, ou o da aplicação dessas regras a tratamentos de dados que sejam realizados fora da
União Europeia, são ilustrativos de novas questões jurídicas emanadas da nova realidade
tecnológica. Por outro lado, a integração económica e social, e o funcionamento do mercado
interno alargado, originaram um significativo aumento dos fluxos transfronteiras de dados
pessoais.
E foi num ímpeto de procurar fazer face às dificuldades geradas pelos novos meios de
informação e comunicação, que foi aprovado o RGPD, de aplicação direta nas ordens jurídicas
nacionais dos Estados-Membros. Entre as várias disposições adotadas, destaque-se o seu artigo
3.º, relativo ao âmbito de aplicação territorial, que obriga, p. ex., os operadores presentes na
Internet ao cumprimento das normas definidas no Regulamento, estejam estabelecidos dentro
ou fora do espaço europeu, desde que prestem serviços que obriguem ao tratamento de dados
pessoais de cidadãos europeus. Também importa atentar no seu artigo 8.º, definindo as
condições aplicáveis especialmente ao ato de prestação do consentimento por crianças
relativamente aos serviços da sociedade de informação, e o artigo 17.º, prevendo de modo
expresso o ‘direito ao esquecimento’, traduzido na modalidade de apagamento de dados
pessoais. Repare-se, igualmente, que o artigo 22.º, em matéria de proibição da tomada de
decisões exclusivamente automatizadas, vem agora referir expressamente, a exclusão da
definição automatizada de perfis como base para a tomada de tomada de decisões automáticas.
Também é de considerar a nova perspetiva de obrigar os responsáveis pelo tratamento dos
dados pessoais a utilizar as medidas técnicas e organizativas mais adequadas à proteção de
dados desde a conceção do tratamento (privacy by Design), até a momento ulterior (privacy by Default).
Embora o Regulamento revogue a Diretiva 95’, que foi transposta para os Estados
Membros nas respetivas legislações internas, daí não se segue a revogação necessária da
legislação nacional existente, que se manterá em vigor desde que não disponha em sentido
contrário ao cômputo regulamentar pugnado pelo próprio Regulamento Geral. Por outro lado,
o facto de o Regulamento ser diretamente aplicável não proíbe a emissão de normas internas
dos Estados-Membros. O próprio Regulamento prevê especificações ou restrições das suas
regras pelo Direito de um Estado-Membro, de modo a que se possa estipular as circunstâncias
de situações específicas de certos tratamentos de dados pessoais 226. De entre as referências a
anotadas, importará sobretudo considerar o artigo 88.º, o qual prevê expressamente a
possibilidade da emissão de ‘normas específicas’ para garantia da proteção de dados pessoais
do trabalhador tratados no contexto laboral, assim como o artigo 6.º ou o artigo 90.º.
225 Sobre alguns dos desafios das novas tecnologias, SARMENTO, Catarina e Castro, A Jurisprudência do Tribunal de
Justiça da União Europeia, o Regulamento Geral de Proteção de Dados Pessoais e as Novas Perspetivas do Direito ao Esquecimento
na Europa, Estudos em Homenagem ao Conselheiro Presidente Rui Moura Ramos, Vol. I, Almedina, Coimbra,
2016, pp. 1047 e ss.
226 Cf. p.ex., artigos 8.º, 10.º, 19.º e 45.º.
informatizados e do direito à sua não interconexão (n.º 2), e o direito ao não tratamento
informático de certos tipos de dados pessoais (n.º 3), referentes a convicções filosóficas ou
políticas, filiação partidária ou sindical, fé religiosa ou vida privada – salvo quando se trate de
uma tipologia de processamento de dados estatísticos não individualmente identificáveis.
Já o Acórdão n.º 213/2008, decidiu não existir uma preterição do artigo 35.º, n,º 4 CRP,
em função de uma norma que previa a admissão e valoração de provas documentais relativas
a dados pessoais do arguido respeitantes à sua vida privada, retirados de uma base
informatizada, e sem o respetivo consentimento do titular. Note-se – de suma importância –
que nele se afirmou expressamente que “a proibição do artigo 35.º, n.º 4 CRP não impede o acesso
apenas aos dados íntimos de uma pessoa, mas a todos os dados a ela relativos, m3wmo que em nada afetem a
sua privacidade. O que se pretende preservar é a informação individual de uma pessoa, independentemente desta
respeitar ou não à sua intimidade, prevenindo-se um potencial risco de violação de direitos fundamentais do
cidadão, nomeadamente o direito à reserva sobre a intimidade da vida privada” 228. Protege-se aqui o
chamado direito à autodeterminação informacional, o qual tem um círculo de aplicação, apenas
parcialmente coincidente com o círculo de aplicação do direito à reserva sobre a intimidade da
vida privada, e que funciona como direito de garantia deste. Adicionalmente, refira-se que o
artigo 35.º também foi utilizado como parâmetro no Acórdão n.º 368/2002, a propósito das
normas que versam sobre dados de saúde, ao instituírem as fichas clínicas e de aptidão, no
âmbito da segurança, higiene e medicina do trabalho.
Então, como se deixou já expresso, a invocação do artigo 35.º, para proteção da autonomia
do indivíduo relativamente às suas informações pessoais em caso de tratamento automatizado
não deve depender da presença de um tratamento de dados que envolva informações passíveis
de ser incluídas no âmbito da proteção do direito à reserva sobre a intimidade da vida privada
ou, sequer, do direito à inviolabilidade do segredo das comunicações 229. O seu âmbito de
proteção extravasa o objeto daqueles. Isto é, ainda que não esteja em causa uma operação de
tratamento de dados pessoais relativos à intimidade da vida privada, ou ao conteúdo ou aos
dados de tráfego das telecomunicações, os tratamentos de dados pessoais ficam sujeitos ao
regime consagrado no e pelo artigo 35.º da CRP, sendo garantido ao respetivo titular os direitos
aí consagrados – sempre, naturalmente, com a diferença de regime que possa resultar do facto
de serem, ou não, dados especialmente sensíveis – e dependendo a sua afetação do
cumprimento da exigência reforçada pelejada por uma aplicação do regime dos DLGs’ –
consonante com os quesitos do artigo 18.º, n.º 2 da norma normarum, aqueles explicitados supra.
228 MONIZ, Helena, Notas sobre a proteção de dados pessoais perante a informática, R.P.C.C., Ano 7, n.º 2, pp. 250-251.
229 Considerando que o direito à autodeterminação informativa do artigo 35.º não se restringe à tutela da vida
privada de cada um: SOUSA PINHEIRO, Alexandre, Privacy e Proteção de Dados Pessoais: a construção dogmática do Direito
à Identidade Informacional, Associação Académica da Faculdade de Direito da Universidade de Lisboa; F ARIA, Paula
Ribeiro, Anotação ao artigo 35.º da Constituição, Constituição Portuguesa Anotada, Tomo I, 2.ª ed., Coimbra Editora, 2010,
p. 785; CANOTILHO, José Joaquim Gomes e MOREIRA, Vital, Constituição da República Portuguesa Anotada, Vol. I, 4.ª
ed., Coimbra, Coimbra Editora, 2007, p. 551. M ONIZ, Helena, Notas sobre a Proteção de Dados Pessoais perante a
Informática – o Caso Especial dos Dados Pessoais relativos à saúde, Revista Portuguesa de Direito Criminal, Ano 7, Abril-
Junho, 1997, p.245.
Em sentido contrário, remetendo o âmbito de aplicação do direito à autodeterminação informativa ao preceito
relativa ao direito à reserva sobre a intimidade da vida privada, cf.. M OTA PINTO, Paulo, A proteção da vida privada e
a jurisprudência do Tribunal Constitucional, Relatório apresentado na Conferência Trilateral dos Tribunais
Constitucionais de Portugal, Espanha e Itália, 2006;
230 Neste sentido já se pronunciava, por exemplo, GARCIA MARQUES, José Augusto Sacadura, legislar sobre a Proteção
de Dados em Portugal, Legislação – Cadernos de Ciência e Legislação, INA, n.º 8, Outubro-Dezembro, 1993, pp. 37 e ss.
231 Veja-se, a título de recordar, a consagração respetiva dos mesmos nos artigos 7.º e 8.º da CEDF.
232 CALVÃO, Filipa, A relevância da proteção de dados pessoais e da privacidade e o artigo 35.º da Constituição, Jornadas nos 40
Sucede que, decorridos 40 anos sobre a afirmação constitucional deste direito, num artigo
que foi objeto de alterações nas diferentes revisões constitucionais, importa avaliar se o
disposto no artigo 35.º da CRP faz hoje ainda sentido ou se a evolução entretanto operada nos
mais diversos planos justifica a eliminação ou o enfraquecimento do direito à proteção de
dados pessoais. Com efeito, em causa está ainda um direito que visa proteger os cidadãos
contra pretensões de vigilância do Estado – reitere-se – a que se somam como realidade
evidenciada, as pretensões equivalentes de outros Estados e das empresas. Simplesmente, o
contexto tecnológico alterou-se, a realidade social mudou, os tratamentos de dados pessoais
modificaram-se. Por outras palavras, a realidade constitucional foi sofrendo modificações ao
longo dos últimos 40 anos, apresentando hoje caraterísticas bem distintas.
Desenvolvendo esta ideia, destaque-se em primeiro lugar que se alterara, entretanto que
mudou o ambiente ou o contexto em que os dados pessoais são recolhidos, processados e
utilizados, fruto da evolução tecnológica.
Em quatro décadas o salto tecnológico foi, na verdade, notável – em si mesmo, pelo que
representa como criação científica, mas também pelas vantagens que inegavelmente trouxe no
nosso dia a dia com a simplificação de todo um conjunto de atos que desempenhamos na
nossa vida quotidiana, como o pagamento de faturas nas caixas ATM ou por via eletrónica, a
aquisição de bens e serviços online, a aproximação das pessoas, bem como o encurtamento das
distâncias, o acesso a melhores cuidados de saúde, o maior acesso ou o acesso mais facilitado
à informação e ao conhecimento, muito devido à Internet, etc. Mas, além disso, os próprios
instrumentos do tratamento da informação pessoal são diferentes dos tradicionais ficheiros
eletrónicos. Tome-se como exemplo a disponibilização e circulação da informação na Internet,
as redes sociais, as comunicações eletrónicas, os sistemas de videovigilância, a Internet das
Coisas233. E esta informação trouxe consigo novos desafios à privacidade.
Em primeiro lugar, a exposição crescente quase inevitável da vida de cada um, voluntária
em muitos casos (v.g. redes sociais), involuntária noutros (leis e regulamentos), tanto perante
o Estado como perante as empresas, que por sua vez permitem ou são forçadas a disponibilizar
os dados ao Estado. Se considerarmos o conjunto da informação pessoal recolhida pelas
empresas quando navegamos na Internet ou ‘interagimos’ nas redes sociais, ou até mesmo
quando usamos dispositivos para medir a batida cardíaca ou o nível de açúcar no sangue, os
níveis detalhados de consumo na eletricidade ao longo do dia por uma máquina de
eletrodomésticos ou de algum dispositivo que funcione através da corrente elétrica, que revela
quando alguém está em casa, ou mesmo quando vemos TV 234, compreendemos que as
empresas que oferecem as plataformas eletrónicas ou as tecnologias que servem para
disponibilizar ou conservar esta informação, são detentoras de um conhecimento muito exato
sobre as pessoas e, por vezes, tendo uma perceção mais exata da vida delas do que elas próprias
detém – justificando-se a afirmação segundo a qual a Internet conhece-nos melhor do que nós
próprios.
Em segundo lugar, destaque-se a possibilidade praticamente infinita de relacionamento da
informação que as tecnologias hoje permitem e que origina fenómenos como os de Big Data e
o data mining. Ora, o primeiro fenómeno carateriza a criação de nova informação a partir do
233 Recorde-se, a terminologia Internet das Coisas, representa a recolha, transmissão e conservação de informação
relativa a pessoas singulares identificadas ou identificáveis ou singularizadas (distinguíveis no âmbito de um grupo
ou comunidade) a partir de dispositivos eletrónicos instalados em objetos do dia a dia – como sejam, televisões,
contadores elétricos, automóveis, relógios, etc. – informação essa que corresponde a medidas de consumo, traços
de condutas, ou até mesmo a parâmetros de avaliação do estado de saúde – sobre o tema, ANTUNES, Luís Filipe,
A Privacidade no mundo interconectado da Internet das Coisas, Forum de Proteção de Dados, 2, janeiro de 2016, pp. 52-
58.
234 Sendo que estas modalidades configuram tipologias, p.ex., de marketing à medida do cliente que controlam e
235 Na verdade, todos estes valores integram um mesmo sistema coerente, conquanto não se assumem como
interesses e valores contrapostos, outrossim como interesses e valores numa entrecruzada relação de tensão. Por
exemplo, a liberdade de expressão, que depende ainda da privacidade para se afirmar, pode conflituar com a própria
privacidade.
236 Assinale-se o regime jurídico europeu que procura acautelar este resultado, proibindo a tomada de decisões
237 Clarividente que existem áreas onde dificilmente se poderá afirmar um direito à eliminação de dados pessoais,
como p.ex., a área dos registos públicos, de processos clínicos ou no âmbito de uma pendente investigação criminal,
o seu reconhecimento é cada vez mais essencial para se poder salvaguardar a privacidade das pessoas. Num tempo
em que se encontra vulgarizada a navegação na Internet, a consideração da extensão de informação que aí fica para
sempre – a memória digital – poderá justificar o reconhecimento da natureza fundamental ao direito, já reconhecido
no plano legal, de eliminação da informação ou, pelo menos, de nos motores de busca não se apresentar como
resultado determinada informação a partir da identificação de uma pessoa (obrigação de deslisting), este que o TJUE
aliás impôs em 13 de maio de 2015, no caso que opôs a Agência Espanhola de Proteção de Dados à Google Spain,
S.L. e à Google, Inc.
Todavia, ao contrário da Diretiva, que pela sua natureza deixava aos Estados-Membros da
União Europeia espaço para adaptar o regime nela previsto ao respetivo quadro constitucional,
é discutível que o Regulamento que assenta numa vontade de homogeneizar o regime de
proteção de dados pessoais no espaço europeu, deixe margem para os Estados-Membros
reforçarem a proteção assegurada aos dados pessoais, integrando na categoria de dados
sensíveis informação de natureza distinta dos aí elencados.
Não obstante, e apesar das dificuldade s que a imprecisão do conceito de vida privada
coloca ao intérprete, não se vê como se possa ignorar a consagração da vida privada como
uma dimensão fundamental dos seres humanos. Assim, a consagração do direito fundamental
ao respeito pela vida privada e familiar, seja na Convenção e na Carta, bem como ainda no n.º
1 do artigo 26.º da CRP, não pode deixar de obrigar a um reforço da sua proteção jurídica, não
se afigurando por isso que a regra de proibição de tratar o dado da vida privada, com as
exceções legais ou outras que venham a ser definidas, se apresente como violadora do Direito
da União Europeia. De todo o modo, seguindo ainda a lógica de adaptação do texto
constitucional ao Direito da União, impor-se-á introduzir as categoriais de dados biométricos
e de saúde entre os dados sujeitos à regra da proibição de tratamento.
Em relação ao n.º 4 do artigo 35.º, compreendendo embora quem sustente que a
formulação desta regra, sem densificação dos conceitos empregues e dos casos em que o acesso
pode ser admitido, de nada serve, conquanto se pugna pela manutenção da mesma proibição,
como regra, ainda que venha a ser mais excecionada de seguida. Ora, o livre acesso aos dados
pessoais de terceiros seria a negação da privacidade e da autodeterminação pessoal, pelo que a
consagração constitucional da garantia de um acesso excecional ou ao menos restrito,
justificado em circunstâncias especialmente delimitadas, afigura-se essencial.
Quanto à proibição do n.º 5 do artigo 35.º, sendo conhecida a causa direta da sua previsão,
historicamente delimitada, é indiscutível a conveniência da sua reformulação. É certo que o
cartão de cidadão congrega alguns números de identificação do cidadão perante a
Administração Pública, ainda que, ao limitar-se a alguns serviços públicos, não esgote
diferentes meios de identificação perante outros serviços. Mas mais relevante, nos dias de hoje,
é sublinhar a ratio subjacente a uma tal reação ao diploma legal que impunha um número único
de identificação: impedir a possibilidade de relacionamento, através da tecnologia de
informação, de todos os dados pessoais existentes no seio da Administração Pública, como
forme de prevenir o controlo dos cidadãos.
As razões de eficiência de gestão invocadas em sucessivos diplomas legislativos para
fundamentar soluções de centralização da informação ou recondução a uma plataforma ou
interlocutor de todas as interações com a Administração Pública não podem prevalecer
cegamente, ignorando a ingerência que daí pode decorrer na vida dos cidadãos, na esfera
jurídica de cada um dos indivíduos.
Finalmente, julgo ser de sublinhar a importância de se manter a salvaguarda do direito de
livre acesso às redes de comunicação de uso público, previsto no n.º 6 do artigo 35.º CRP.
Este direito, na sua génese, tem por objeto a garantia do acesso à informação e, portanto, tem
mais diretamente a ver com a liberdade de expressão, nesse sentido se podendo porventura
deslocar para o artigo 37.º a sua previsão, como propõe Seabra Lopes. Em todo o caso, está
ainda ao serviço da intenção de prevenção do controlo estadual das liberdades individuais,
acautelando censuras ou impedimentos no acesso à rede aberta.
238 CASTRO, Catarina Sarmento, op. cit, O direito à autodeterminação informativa e os novos desafios gerados pelo direito á
liberdade e à segurança no pós 11 de setembro, Disponível em:
http://egov.ufsc.br/portal/sites/default/files/anexos/5544-5536-1-PB.pdf.
239 CANOTILHO, Gomes e MOREIRA, Vital, Constituição da República Portuguesa Anotada, Coimbra Editora, 1993, p.
216.
240 Como escreve Orlando de Carvalho, o direito geral de personalidade é um direito que “abrange todas as manifestações
previsíveis e imprevisíveis da personalidade humana” – cf. CARVALHO, Orlando, Teoria Geral da Relação Jurídica, Sumários,
Coimbra, 1970, p. 37.
241 Sobre este direito, pode ver-se: MOTA PINTO, Paulo da, Direito ao livre desenvolvimento da personalidade, p. 149 e ss.
É recente a consagração constitucional deste direito, que é o resultado da revisão de 1997. Apesar disso, a
Constituição já anteriormente estabelecia, no artigo 1.º, que a República Portuguesa se baseia na dignidade da pessoa
humana. Como refere Paulo Mota Pinto, este direito “tem uma dupla dimensão: a da tutela da personalidade, enquanto
substrato da individualidade e nos seus diversos aspetos, e a tutela da liberdade geral de ação da pessoa humana”, cit. p. 163.
242 Adotada em Estrasburgo, a 28 de janeiro de 1981, esta Convenção 108, Convenção para a Proteção das Pessoas
relativamente ao Tratamento Automatizado de Dados de carácter Pessoal), adotada em Estrasburgo, a 28 de janeiro
de 1981 (Resolução da AR n.º 23/93, de 9 de julho, que a aprovou, para ratificação.
243 A expressão é de FARIA COSTA, José, As telecomunicações e a privacidade: o olhar (in)discreto de um penalista, FDUC,
244 Estamos defronte todo um conjunto de dados relativos à seleção que o utilizador preconizara em função dos
links seguidos ou das operações que realizara previamente.
245 Estes são comumente denominados dados de ligação ou de conexão.
246 Esta tecnologia permite – facto este que assume gravidade de monta – que alguém, sem se fazer notar, controle
qualquer movimentação da pessoa, sabendo com exatidão a sua localização a cada momento.
247 Designadamente, a declaração Universal dos Direitos do homem (artigo 3.º), a Convenção Europeia dos Direitos
do Homem 8artigo 5.º), a Carta dos Direitos Fundamentais da União Europeia (artigo 6.º), bem como algumas
Constituições, entre as quais a Portuguesa (no seu artigo 27.º), reconhecem a. liberdade e a segurança de forma
expressa.
248 CASTRO, Catarina Sarmento, A questão das polícias municipais, pp. 61-62.
249 Chamam-se à colação, para os devidos efeitos, o princípio da licitude, da lealdade, da conservação pelo tempo
necessário, da adequação, da pertinência, proporcionalidade, entre outros.
250 São exemplos: os dados das nossas impressões digitais, da íris, da voz, geometria da mão, de entre muitos outros.
251 Os dados recolhidos para fins de factoração pelos fornecedores de serviços passam assim a ser por estes
obrigatoriamente conservados, ficando – durante um certo período de tempo – à disposição das polícias.
252 Atente-se no caso do fornecimento de informações acerca de passageiros utilizadores do transporte aéreo que
são hoje objeto de divulgação às autoridades norte-americanas – cf. caso Passengers Name Record. Também são hoje
conhecidos o mote de funcionamento dos mecanismos de vigilância como o Echelon, capaz de intercetar e processar
informações contidas em comunicações que tenham lugar em qualquer parte do globo.
253 Cf. FARIA COSTA, José de, As telecomunicações e a privacidade: o olhar (in)discreto de um penalista”, pp. 49 e ss.
254 A propósito deste equilíbrio, a Recomendação n.º R (87) 15 do Conselho da Europa, que regula a utilização de
dados pessoais no setor da polícia, aponta “a necessidade de conciliar, de um lado, o interesse da sociedade na prevenção e
repressão das infrações penais e na manutenção da ordem pública e, do outro lado, os interesses do indivíduo e o direito ao respeito pela
sua vida privada”.
255 Cf., para os devidos efeitos, Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de
2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas
autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de crimes ou execução de
sanções penais e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho,
entrou em vigor em maio de 2018.
256 Cf. considerando 32 e artigo 7.º do Regulamento Geral, nos termos dos quais o consentimento deverá de ser
dado “mediante um ato positivo e claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o
titular dos dados consente no tratamento dos dados que lhe digam respeito”. A forma de prestar este ato positivo pode ser
escrita, inclusive em formato eletrónico, ou através de uma declaração oral.
257 Dai que sejam muito importantes os deveres de informação, bem como as finalidades do tratamento dos dados.
pode levar a que outros se apropriem da identidade do titular ou que deturpem essa identidade,
levando a que a pessoa seja confundida com outra ou que seja desvirtuada a sua identidade
pessoal. Em segundo lugar, a proteção de dados pessoais é essencial para garantir que não se
divulguem determinados elementos que embora digam respeito ao sujeito, podem ser motivo
de discriminação258. Em terceiro lugar, e por último, a proteção de dados pessoais é também
essencial para a defesa da privacidade do sujeito bem como para outros direitos de
personalidade, como é o caso do direito à honra.
Ora bem, isto significa que a proteção de dados não apresenta como objeto último um
único direito de personalidade, outrossim compreende vários destes por referência ao mesmo
titular– a ver, a título exemplificativo: a identidade pessoal, a igualdade, a privacidade, a honra,
etc. Então, o direito à proteção de dados pessoais funciona como um direito-garante
relativamente a vários direitos de personalidade do sujeito. Isto mesmo compreende-se se
pensarmos na perspetiva da violação do direito. Entre nós, a responsabilidade civil apresenta
como um dos seus pressupostos a ilicitude, e a ilicitude na ótica da responsabilidade delitual
pode apresentar várias concretizações: manifestando-se através da violação de direitos
subjetivos absolutos de outrem – direitos de personalidade - ou na semiótica da preterição de
disposições legais destinadas a proteger interesses alheios 259. Pois bem, sem prejuízo de
podermos olhar ou pelo menos equacionar algumas das normas do regulamento de proteção
de dados como sendo normas de proteção – as segunda, as normas legais destinadas a proteger
interesses alheios – teríamos sempre que identificar o direito absoluto violado 260.
Do ponto de vista objetivo, a consideração da ligação entre a proteção de dados e os
direitos de personalidade leva-nos a ponderar se de uma tutela como aquela a que ora se alude
circunscreve-se para lá daquelas situações legalmente tipificadas. É que, a consideração destes
limites acebe-se como fundamental no processo de interpretação das próprias condições de
licitude que deverão de presidir ao tratamento de dados pessoais. Ora bem, no que toca aos
beneficiários da proteção, a questão que se coloca é a de saber quem são em concreto,
nomeadamente se poderão ser estes os nascituros, pessoas falecidas ou pessoas coletivas. O
Regulamento 2016/679, consagra como beneficiários da proteção as pessoas singulares e
exclui expressamente do seu âmbito de aplicação as pessoas coletivas 261. Portanto, do
Regulamento resulta a exclusão das pessoas coletivas do âmbito de proteção, mas fica sem
resposta a questão de saber se a proteção de dados pessoais se pode estender ou não a
nascituros ou a pessoas já falecidas.
258 Nessa medida, a proteção de dados pessoais afigura-se também determinante para a defesa da igualdade.
259 Cf. para o efeito, artigo 483.º do Código Civil.
260 Por exemplo, se A recolher dados pessoais de B e este – violando regras de cuidado -permitir que C tenha acesso
a esses dados e que divulgue factos relativos à vida privada de B, o problema que se coloca é o de saber se apesar
do comportamento de terceiro, a lesão do direito á privacidade pode ou não ser imputada à pessoa de A. O
interregno tem que ver precisamente com o saber se, independentemente do comportamento de C, a violação do
direito á personalidade poderá de ser imputada ou não a A. O mesmo acontece se C tiver acesso a dados de
identificação civil e fiscal de B e fizer passar-se pelo primeiro causando-lhe prejuízos. Se A viola regras de segurança,
haverá responsabilidade conjunta? Como desenvolveremos, infra, a responsabilidade assumir-se-á a título conjunto
– um por preterição de um dever funcional – e o outro por preterição do direito absoluto, no último exemplo,
clarividente.
261 Cf. considerando 14 do Regulamento Geral, segundo o qual: “a proteção conferida (...) deverá aplicar-se às pessoas
singulares, independentemente da sua nacionalidade ou do seu local de residência, relativamente ao tratamento de dados pessoais. O
presente regulamento não abrange o tratamento de dados pessoas relativos a pessoas coletivas, em especial empresas estabelecidas enquanto
pessoas coletivas, incluindo a denominação, a forma jurídica e os contactos dessa mesma pessoa coletiva.” (sublinhado nosso).
Relativamente às pessoas coletivas, a exclusão é feita pelo próprio Regulamento, claro que ainda que se possa
admitir, como é de ser, que estas podem ser titulares de direitos de personalidade, estes – em função da natureza –
apresentam um fundamento diferente em termos axiológicos do fundamento dos direitos de personalidade das
pessoas singulares. Relativamente às primeiras, a atribuição de direitos encontra-se funcionalizada aos fins
prosseguidos pela pessoa coletiva. E é por isso ou talvez por isso que o legislador determina a não integração das
pessoas coletivas no âmbito da proteção de dados pessoais.
Relativamente à questão dos nascituros e das pessoas já falecidas, o problema deverá de ser
solucionado à luz dos problemas fundamentais do ordenamento jurídico. No que diz respeito
aos nascituros, aquilo que nos diz o CC - no seu artigo 66.º, n.º 1 – é que a personalidade
jurídica se adquire no momento do nascimento completo e com vida. Isto quer dizer que todas
as pessoas nascidas com vida são consideradas como sujeitos de direito e podem, com exceções
mínimas, ser titulares de quaisquer direitos e de quaisquer deveres. É nisto que se traduz a sua
capacidade de gozo. Relativamente aos nascituros, coloca-se a questão de saber se são ou não
considerados sujeitos de direito. É certo que ao nascituro são reconhecidos direitos de natureza
patrimonial e não patrimonial, nos termos do n.º 2 do artigo 66.º CC262. Assim, se o nascituro
é titular de direitos, é porque em princípio terá a suscetibilidade para o ser. Agora, esta questão
relativa ao estatuto do nascituro é controversa na doutrina. Existem várias posições a este
respeito. Em princípio, devemos de entender que o ordenamento juridico português reconhece
a personalidade do nascituro e que lhe dispensa a tutela adequada. O nascituro deverá de ser
protegido nos seus direitos de personalidade e na medida em que se entenda que este é
protegido nestes termos, poder-se-ão abrir as portas a pretensões indemnizatórias caso os
direitos de personalidade do nascituro sejam violados. Neste caso, serão os pais – na qualidade
de titulares das responsabilidades parentais - aqueles que representarão o filho mesmo que este
ainda não tenha nascido. Ora bem, perante o artigo 66.º, n.º 1, e estando em causa a lesão de
um bem da personalidade de um nascituro, talvez não faça sentido considerar que os nascituros
por um lado têm direitos de personalidade, e não aceitar que estes direitos sejam tutelados ao
nível da proteção de dados. Aquilo que se poderá dizer é que são poucas as situações em que
se revela necessária a tutela a este nível.
O mesmo se pode dizer em relação às pessoas já falecidas. O artigo 71.º do CC estabelece
que relativamente às pessoas falecidas que os direitos de personalidade gozam igualmente de
proteção depois da morte do respetivo titular. Ora bem, sem estarmos a prolongar sobre a
matéria, certo é que não deve de ser considerada licita a luz do ordenamento juridico português
o ato de difamação ou injuria de uma pessoa já falecida, um ato atentatório do seu cadáver, da
sua identidade, e sendo assim não fará sentido afirmar que estas pessoas já falecidas não se
integram no âmbito da tutela que é dispensada pela proteção de dados. O objeto deste direito
encontra-se noutros direitos de personalidade.
Comparando com o regime anterior com o que, na sequência do artigo 77.º da Proposta
de Regulamento, acabaria por ficar consagrado no artigo 82.º, verificamos que enquanto a
Diretiva 95/46/CE limitava a responsabilidade ao responsável pelo tratamento, a mesma é
agora extensível ao subcontratante, embora não em termos coincidentes, como veremos.
Quer isto dizer que, perante a violação de dados pessoais, o lesado deve-se ao responsável
pelo tratamento e/ou ao subcontratante para exigir a indeminização a que se acha com direito.
Está, por conseguinte, excluída a responsabilidade direta do encarregado de proteção de
dados263. Em sentido contrário, Mafalda Miranda Barbosa 264. escreve que “o encarregado da
proteção de dados poderá ser responsabilizado em face dos titulares dos dados, por violação dos deveres que lhe
são impostos no quadro regulamentar”. Tal não exclui, como é evidente, a responsabilidade
262 Embora a norma dispunha que os direitos que a lei reconhece ao nascituro dependem do seu nascimento.
263 Neste sentido, vide orientações emitidas pelo Grupo de Trabalho do Artigo 29.º, de 13 de dezembro de 2016 e
revistas em 5 de abril de 2017.
264 Cf. MIRANDA BARBOSA, Mafalda, Data controllers e data processors: da responsabilidade pelo tratamento de dados à
265 A propósito da responsabilidade do comitente, cf. artigo 500.º do CC. Quanto à responsabilidade extracontratual
do Estado e demais entidades públicas, vide Lei n.º 67/2007, de 31 de dezembro.
266 Segundo o n.º 1 do preceito em voga, “qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação
do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou subcontratante pelos danos sofridos”.
267 “O responsável pelo tratamento ou o subcontratante fica isento de responsabilidade nos termos do n.º 2, se provar que não é de modo
algum responsável pelo evento que deu origem aos danos”, cit., n.º 3 do artigo 82.º.
268 Cf., artigo 28.º do RGPD.
Diretiva 95’, bem como o n.º 2 do artigo 34.º da Lei n.º 67/98, afastavam esta responsabilidade
na hipótese em que fosse provado que o facto que causou o dano não era imputável ao
responsável pelo tratamento. Também no considerando 146 encontramos igual menção, pelo
que podemos admitir que estamos defronte expressões equivalentes.
O regime ora consagrado no RGPD traduz-se numa inversão do ónus da prova, favorável
aos interesses dos lesados, a quem basta demonstrar que os prejuízos sofridos foram causados
por uma operação de tratamento da responsabilidade de uma determinada pessoa, cabendo a
esta demonstrar que não é a responsável pelo evento gerador dos danos, ou seja, que não haja
agido com culpa em face da ocorrência do facto danoso que lhe é aprioristicamente imputável.
Poderá ser o caso de, tendo o responsável pelo tratamento implementado as soluções
disponíveis no mercado para garantir a segurança do sistema informático, através do qual os
dados são processados, vir a ser vítima de um sofisticado ataque informático que nada nem
ninguém poderia ter evitado.
Consagra o n.º 4 a regra da solidariedade em caso de existir mais do que um responsável
pelo pagamento da indemnização a que o lesado tem direito. Trata-se, uma vez mais, de um
regime que protege os interesses do lesado que poderá assim demandar apenas um dos
corresponsáveis, sem prejuízo do direito de regresso de que trata o n.º 5269.
No seguimento do n.º 4, e em conformidade com o previsto no considerando 146, o n.º 5
do artigo 82.º vem atribuir direito de regresso a quem, sendo corresponsável, pagara a
totalidade da indemnização, prevendo que deve ser apurada a medida da responsabilidade de
cada um. Ou seja, não basta dividir o montante pago pelo número de responsáveis, sendo
necessário apurar previamente o quantum da responsabilidade de cada um, tarefa que nem
sempre será fácil de concretizar.
O n.º 6 deste artigo consagra uma regra de competência jurisdicional remetendo para o
artigo 79.º, n.º 2 que estabelece que as ações contra responsáveis pelo tratamento ou contra os
subcontratantes são, em princípio, propostas nos tribunais do Estado-Membro em que estes
tenham um estabelecimento, mas admitindo exceções, em conformidade com aquelas que
resultam do artigo 79.º do RGPD.
269A propósito das situações em que existem vários responsáveis, cf. Parecer do Grupo de Trabalho do Artigo 29,
de 16 de fevereiro de 2010, que dá vários exemplos esclarecedores a esse respeito.
Índice
I. Um introito à Proteção de Dados Pessoais na conjetura das (Novas) Tecnologias de
Informação e Comunicação.............................................................................................................1
II. Comunicações Eletrónicas e Direitos Humanos: o perigo do ‘Homo Conectus’ .................2
O perigo do ‘Homo Conectus’ ...................................................................................................2
Computação distribuída ou ‘Cloud Computing’ .......................................................................2
Ambientes Inteligentes ................................................................................................................3
Agentes de Software e construção de conhecimento ...............................................................4
A Privacidade e a Proteção de Dados Pessoais nas Comunicações Eletrónicas ...................5
Eficácia dos Direitos Fundamentais ..........................................................................................9
Conclusões .................................................................................................................................12
A (quimera) ‘Privacidade’ e a Proteção de Dados nos Ambientes Inteligentes ...................12
O rastreamento e monitorização das pessoas singulares...................................................13
IV. A Proteção de Dados Pessoais na União Europeia: do mercado interno à cidadania de
direitos. Em especial, a proteção de dados pessoais como uma questão jusfundamental
identitária das matrizes ‘supra-estaduais’ atinentes à concretização de uma verdadeira ‘União
de direitos’ .......................................................................................................................................16
O RGPD e o despertar da ‘princesa adormecida’: a questão da propriedade dos dados ...16
O mercado interno e a teleologia dos direitos fundamentais: a questão da cidadania ........17
Os algoritmos de aprendizagem como intermediários do mercado: a questão da escolha
ilimitada ..................................................................................................................................19
O processamento de dados e a tomada de decisões: a questão da democracia ..............21
Proteção de Dados Pessoais e universalidade: a questão jusfundamental identitária .....22
Os ‘quadrantes’ de um espaço comunitário cojetur(ável) como uma verdadeira ‘União de
Direitos’ por referência aos enunciados principiológicos plasmados nos seus instrumentos
institutivos ..................................................................................................................................23
O ‘Direito à reserva sobre a intimidade da vida privada’ e o maior protecionismo europeu:
considerações sobre a proteção de dados pessoais informatizados no Direito da União
Europeia. Em especial: o sentido, a evolução e a reforma legislativa ...................................24
O Estado de Direito e a conjetura ‘sémico-vivificante’ de uma Carta Europeia no decurso
da litigância inerente ao exercício dos direitos de cidadania ..................................................24
O compaginar harmonizável dos standards protecionistas de uma ‘tutela jus-favorável’
por de entre a ‘hierarquia-horizontal’ de direitos ...............................................................26
Os ‘quadrantes’ de um espaço comunitário conjetur(ável) como uma verdadeira ‘União
do Direito à privacidade’ e a referência independentizada ao enunciado principiológico
plasmado no seu instrumento constitutivo: em especial, a tutela da proteção dos dados
pessoais nos termos do artigo 16.º do TFUE. ...................................................................28
O sentido e evolução da proteção de dados pessoais informatizados no Direito da
União Europeia à luz da Jurisprudência do Tribunal de Justiça .......................................30
(1) Acórdão Lindqvist...........................................................................................................31
(2) Acórdão Scarlet ...............................................................................................................32
(3) Acórdão Google Spain ...................................................................................................33
(4) Acórdão Digital Rights Ireland ......................................................................................37
(5) Acórdão Schrems ............................................................................................................38
(6) Acórdão Christa Neukomm ...........................................................................................40
(7) Acórdão Weltimmo.........................................................................................................41
A prolepse ‘Massan(ena)’ e ‘meditada’ dos traços decisórios envoltos ao Acórdão Google
Spain: em especial, os ditames de aplicação ............................................................................43