Os Fundamentos e as Fontes

2 Fevereiro, 2018

(Manuel David Masseno – 28/05/2018)

 DATA PROTECTION OFFICE (DPO) FORM AÇÃO

COMEÇANDO
No dia 4 de maio, terminou um longo processo legislativo, iniciado
em janeiro de 2012, com a publicação de 3 Diplomas, todos de 27
de abril:
 o Regulamento 2016/679, do Parlamento Europeu e do Conselho,
relativo à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre circulação desses dados e
que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a
Proteção de Dados) e também
 a Diretiva 2016/680 do Parlamento Europeu e do Conselho, relativa à proteção das
pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades
competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações
penais ou execução de sanções penais, e à livre circulação desses dados e ainda
 a Diretiva 2016/681 do Parlamento Europeu e do Conselho, relativa à utilização dos dados
dos registos de identificação dos passageiros (PNR) para efeitos de prevenção, deteção,
investigação e repressão das infrações terroristas e da criminalidade grave
 DATA PROTECTION OFFICE (DPO) FORM AÇÃO

1 - OS FUNDAMENTOS
i – Um Pré-entendimento:

 na Sociedade em Rede, hoc sensu, o equilíbrio conflitual entre os

Poderes e as Liberdades passa pela consideração da
Autodeterminação Informacional
 aliás, praticamente, nem faz sentido pensar em termos de privacidade, em
termos negativos (o right to be let alone, de Warren e Brandeis)
 daí a constitucionalização da Proteção de Dados:
 em Portugal (Art.º 35.º da Constituição da República Portuguesa),
desde 1976
 na União Europeia (Art.º 16.º do Tratado sobre o Funcionamento da
União Europeia e Art.º 8.º da Carta dos Direitos Fundamentais da
União Europeia), a partir o Tratado de Lisboa, 2007/2009
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

ii – em Portugal:

 uma consagração pioneira, por razões históricas:

 a Lei n.º 2/73, de 10 de Fevereiro, instituía o registo nacional de
identificação
 logo em 1976, a Lei Fundamental dispôs (Art.º 35.º):
 “1. Todos os cidadãos têm o direito de tomar conhecimento do
que constar de registos mecanográficos a seu respeito e do fim a
que se destinam as informações, podendo exigir a retificação
dos dados e a sua atualização.
2. A informática não pode ser usada para tratamento de dados
referentes a convicções políticas, fé religiosa ou vida privada,
salvo quando se trate do processamento de dados não
identificáveis para fins estatísticos.
3. É proibida a atribuição de um número nacional único aos
cidadãos.”
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

 agora, incorporando o devir das Fontes europeias:

 “1. Todos os cidadãos têm o direito de acesso aos dados
informatizados que lhes digam respeito, podendo exigir a sua
retificação e atualização, e o direito de conhecer a finalidade a que
se destinam, nos termos da lei.
2. A lei define o conceito de dados pessoais, bem como as
condições aplicáveis ao seu tratamento automatizado, conexão,
transmissão e utilização, e garante a sua proteção, designadamente
através de entidade administrativa independente.
3. A informática não pode ser utilizada para tratamento de dados
referentes a convicções filosóficas ou políticas, filiação partidária ou
sindical, fé religiosa, vida privada e origem étnica, salvo mediante
consentimento expresso do titular, autorização prevista por lei com
garantias de não discriminação ou para processamento de dados
estatísticos não individualmente identificáveis.
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

4. É proibido o acesso a dados pessoais de terceiros, salvo em

casos excecionais previstos na lei.
5. É proibida a atribuição de um número nacional único aos
cidadãos.
6. A todos é garantido livre acesso às redes informáticas de uso
público, definindo a lei o regime aplicável aos fluxos de dados
transfronteiras e as formas adequadas de proteção de dados
pessoais e de outros cuja salvaguarda se justifique por razões de
interesse nacional.
7. Os dados pessoais constantes de ficheiros manuais gozam de
proteção idêntica à prevista nos números anteriores, nos termos da
lei.” (Art.º 35.º - Utilização da informática)
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

iii – na União Europeia:

 atendendo à natureza constitucional do Ordenamento da União:

 desde o seu início, nas palavras de Walter Hallstein, a Comunidade /
União Europeia é uma Comunidade de Direito
(Rechtsgemeinschaft), e o Tribunal de Justiça construiu um
Ordenamento tendo-o em mente
 com o Tratado de Lisboa, um tal papel ficou ainda mais explícito: “A
União funda-se nos valores do respeito pela dignidade humana, da
liberdade, da democracia, da igualdade, do Estado de direito e do
respeito pelos direitos do Homem” (Art.º 2.º do Tratado da União
Europeia)
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

 no TFUE – Tratado sobre o Funcionamento da União Europeia:

 “1. Todas as pessoas têm direito à proteção dos dados de carácter
pessoal que lhes digam respeito.
2. O Parlamento Europeu e o Conselho, deliberando de acordo com
o processo legislativo ordinário, estabelecem as normas relativas à
proteção das pessoas singulares no que diz respeito ao tratamento
de dados pessoais pelas instituições, órgãos e organismos da União,
bem como pelos Estados-Membros no exercício de atividades
relativas à aplicação do direito da União, e à livre circulação desses
dados. A observância dessas normas fica sujeita ao controlo de
autoridades independentes.” (Art.º 16.º)
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

e na Carta dos Direitos Fundamentais da União Europeia:

 “1. Todas as pessoas têm direito à proteção dos dados de carácter
pessoal que lhes digam respeito.
2. Esses dados devem ser objeto de um tratamento leal, para fins
específicos e com o consentimento da pessoa interessada ou com
outro fundamento legítimo previsto por lei. Todas as pessoas têm o
direito de aceder aos dados coligidos que lhes digam respeito e de
obter a respetiva retificação.
3. O cumprimento destas regras fica sujeito a fiscalização por parte
de uma autoridade independente.”
 recordo que “A União reconhece os direitos, as liberdades e os
princípios enunciados na Carta dos Direitos Fundamentais da
União Europeia, de 7 de dezembro de 2000, com as adaptações
que lhe foram introduzidas em 12 de dezembro de 2007, em
Estrasburgo, e que tem o mesmo valor jurídico que os Tratados.”
(Art.º 6.º n.º 1 do TUE)
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

iv – e ainda no Conselho da Europa:

 a Convenção Europeia dos Direitos do Homem e das Liberdades

Fundamentais, de 4 de novembro de 1950
 Art.º 8.º (Direito ao respeito pela vida privada e familiar)
“1. Qualquer pessoa tem direito ao respeito da sua vida privada
e familiar, do seu domicílio e da sua correspondência.
2. Não pode haver ingerência da autoridade pública no
exercício deste direito senão quando esta ingerência estiver
prevista na lei e constituir uma providência que, numa
sociedade democrática, seja necessária para a segurança
nacional, para a segurança pública, para o bem-estar
económico do país, a defesa da ordem e a prevenção das
infrações penais, a proteção da saúde ou da moral, ou a
proteção dos direitos e das liberdades de terceiros.”
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

 sendo certo que: “Do Direito da União fazem parte, enquanto

princípios gerais, os direitos fundamentais tal como os garante a
Convenção Europeia para a Proteção dos Direitos do Homem e das
Liberdades Fundamentais e tal como resultam das tradições
constitucionais comuns aos Estados-Membros.” (Art.º 6.º do TUE)
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

 e também a Jurisprudência do Tribunal Europeu dos Direitos

do Homem:
 o Acórdão de 23 de janeiro de 2003, Processo 44647/98, Peck c. Reino
Unido: tendo por objeto a difusão não autorizada de imagens obtidas
através de videovigilância
 o Acórdão de 3 de julho de 2007, Processo 62617/00, Copland c. Reino
Unido: sobre o acesso ao e-mail e a registros de Internet de uma
secretária de uma escola
 o Acórdão de 11 de julho de 2008, Processo 20511/03, I c. Finlândia: a
propósito da situação duma enfermeira que ficou seropositiva com HIV e
essa informação ficou disponível no sistema informático do hospital ou
 o Acórdão de 4 de dezembro de 2008, Processos 30562/04 & 30566/04,
S. e Marper c. Reino Unido: no que se refere à conservação, pela Polícia,
de registros de ADN de suspeitos não julgados nem condenados
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

 e a Convenção do Conselho da Europa para a Proteção dos

Indivíduos face ao Tratamento Automático de Dados Pessoais -
Convenção 108, de 28 de janeiro de 1981
 “O objetivo desta Convenção é garantir, no território de cada uma
das partes e para cada indivíduo o respeito dos seus direitos e
liberdades fundamentais, particularmente do direito à intimidade
da vida privada.” (Art. 1.º)
 um Quadro Geral, em termos de contexto regulatório:
1. os conceitos de “dados pessoais” e de “dados sensíveis”

2. os princípios de tratamento dos dados

3. as derrogações

4. os fluxos transfronteiras dos dados

5. as garantias adicionais e as sanções

DATA PROTECTION OFFICE (DPO) FORM AÇÃO

1. os conceitos de “dados pessoais” e de “dados sensíveis”

 “‘Dados de carácter pessoal’ significa qualquer informação
relativa a uma pessoa singular identificada ou suscetível de
identificação («titular dos dados»).” (Art.º 2.º, alínea a)

 “Os dados de carácter pessoal que revelem a origem racial, as

opiniões políticas, as convicções religiosas ou outras, bem como
os dados de carácter pessoal relativos à saúde ou à vida sexual,
só poderão ser objeto de tratamento automatizado desde que o
direito interno preveja garantias adequadas. O mesmo vale para
os dados de carácter pessoal relativos a condenações penais.
[Dados sensíveis]” (Art.º 6.º)
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

2. os Princípios de tratamento dos dados pessoais:

 “Os dados de carácter pessoal que sejam objeto de um
tratamento automatizado devem ser:
a) Obtidos e tratados de forma leal e lícita;
b) Registados para finalidades determinadas e legítimas, não
podendo ser utilizados de modo incompatível com essas
finalidades;
c) Adequados, pertinentes e não excessivos em relação às
finalidades para as quais foram registados;
d) Exatos e, se necessário, atualizados;
e) Conservados de forma que permitam a identificação das
pessoas a que respeitam por um período que não exceda o
tempo necessário às finalidades determinantes do seu registo.
[Qualidade dos dados]” (Art.º 5.º)
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

3. as garantias adicionais e as sanções:

 “Qualquer pessoa poderá:
a) Tomar conhecimento da existência de um ficheiro
automatizado de dados de carácter pessoal e das suas principais
finalidades, bem como da identidade e da residência habitual ou
principal estabelecimento do responsável pelo ficheiro;
b) Obter, a intervalos razoáveis e sem demoras ou despesas
excessivas, a confirmação da existência ou não no ficheiro
automatizado de dados de carácter pessoal que lhe digam
respeito, bem como a comunicação desses dados de forma
inteligível;
c) Obter, conforme o caso, a retificação ou a supressão desses
dados, quando tenham sido tratados com violação das
disposições do direito interno que apliquem os princípios básicos
definidos nos artigos 5.º e 6.º da presente Convenção;
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

d) Dispor de uma via de recurso se não for dado seguimento a

um pedido de confirmação ou conforme o caso, de
comunicação, de retificação ou de supressão, tal como previsto
na alíneas b) e c) deste artigo.” (Art.º 8.º)
e

 “As Partes comprometem-se a estabelecer sanções e vias de

recurso apropriadas em face da violação das disposições do direito
interno que confiram eficácia aos princípios básicos para a proteção
dos dados, enunciados no presente capítulo.” (Art.º 10.º)
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

4. as derrogações:
 “1 – Não é admitida qualquer exceção às disposições dos artigos
5.º, 6.º e 8.º da presente Convenção salvo dentro dos limites
estabelecidos neste artigo;
2 – É possível derrogar as disposições dos artigos 5º, 6º e 8º da
presente Convenção quando tal derrogação, prevista pela lei da
Parte, constitua medida necessária numa sociedade
democrática:
a) Para proteção da segurança do Estado, da segurança pública,
dos interesses monetários do Estado ou para repressão das
infrações penais;
b) Para proteção do titular dos dados e dos direitos e liberdades
de outrem;
c) […].” (Art.º 9.º)
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

4. os fluxos transfronteiras dos dados:

 “1 – As disposições que se seguem aplicam-se à transmissão
através das fronteiras nacionais, qualquer que seja o suporte
utilizado, de dados de carácter pessoal objeto de tratamento
automatizado ou recolhidos a fim de serem submetidos a um tal
tratamento.
2 – Uma Parte não poderá, com a exclusiva finalidade de
proteção da vida privada, proibir ou submeter a autorização
especial os fluxos transfronteiras de dados de carácter pessoal
com destino ao território de uma outra Parte.
3 – Contudo, qualquer Parte terá a faculdade de introduzir
derrogações às disposições do n.º 2:
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

3 – Contudo, qualquer Parte terá a faculdade de introduzir

derrogações às disposições do n.º 2:
a) Na medida em que a sua legislação preveja uma
regulamentação específica para certas categorias de dados de
caráter pessoal ou de ficheiros automatizados de dados de
caráter pessoal, em virtude da natureza desses dados ou
ficheiros, salvo se a regulamentação da outra Parte previr uma
proteção equivalente;
b) Quando a transferência for efetuada a partir do seu território
para o território de um Estado não contratante, através do
território de uma outra Parte, a fim de evitar que essas
transferências se subtraiam à legislação da Parte referida no
início deste número.” (Art.º 12.º)
 DATA PROTECTION OFFICE (DPO) FORM AÇÃO

2 – AS FONTES
i – o Regulamento Geral:

 o mais importante de tudo: um Regulamento, já não uma Diretiva:

 deixando de existir 28 regimes harmonizados, para haver um único
instrumento (Art.º 288.º §§ 2 e 3 do TFUE)
 ainda que com margens para derrogação por parte dos Estados-
membros
 exigiu o dito procedimento de cooperação e coerência, entre as Autoridades
nacionais (Art.ºs 62 a 67.º)
 foi uma resposta à Globalização, sobretudo face aos EUA e suas
empresas, evitar ao máximo o, chamado, “Law and forum shopping”
 resultando do reconhecimento da Proteção de Dados como uma
matéria ao nível da União, depois do Tratado de Lisboa
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

 o Tribunal de Justiça vai manter um papel essencial; aliás, a sua

Jurisprudência antecipou boa parte das soluções constantes do
Regulamento Geral, depois do Tratado de Lisboa,
designadamente:
 o Acórdão de 8 de Abril de 2014, Processos Apensos C-293/12 e
C-594/12, Digital Rights Ireland Ltd c. Minister for Communications,
Marine and Natural Resources e outros & Kärntner Landesregierung
e outros
 o Acórdão de 13 de maio de 2014, Processo C-131/12, Google
Spain SL e Google Inc. c. Agencia Española de Protección de Datos
(AEPD) e Mario Costeja ou
 o Acórdão de 6 de outubro de 2015, Processo C-362/14,
Maximillian Schrems c. Data Protection Commissioner
 DATA PROTECTION OFFICE (DPO) FORM AÇÃO

ii – as Outras Fontes Legislativas Europeias:

 além das Diretivas 2016/680 e 2016/681, vide supra, irão ser

muito relevantes:
 a Diretiva (UE) 2016/1148 de 6 de julho de 2016, relativa a medidas
destinadas a garantir um elevado nível comum de segurança das
redes e da informação em toda a União e ainda
 o que resultar da Proposta de Regulamento relativo ao respeito pela
relativo ao respeito pela vida privada e à proteção dos dados
pessoais nas comunicações eletrónicas e que revoga a Diretiva
2002/58/CE (Regulamento relativo à privacidade e às comunicações
eletrónicas), COM(2017) 10 final, de 10 de janeiro de 2017
 DATA PROTECTION OFFICE (DPO) FORM AÇÃO

iii – as Fontes Portuguesas:

 antes de tudo, as Fontes Constitucionais continuarão em vigor…

 o mesmo para as Fontes Internacionais, como, v.g., a Convenção

do Conselho da Europa para a Proteção dos Indivíduos face ao
Tratamento Automático de Dados Pessoais - Convenção 108, de 28 de
janeiro de 1981, e a Convenção do Conselho da Europa sobre o
Cibercrime, adotada em Budapeste, de 23 de novembro de 2001
 depois é preciso recordar a multiplicidade de atos normativos que,
expressa ou implicitamente, têm a Lei n.º 67/98, de 26 de outubro, por
referência, e que ou serão revogados ou, mais provavelmente, terão de
ser reinterpretados à luz do Regulamento, depois do Tratado de Lisboa
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

 no que se refere às comunicações eletrónicas, o mais evidente nas

ligações com o centro do microssistema da proteção de dados, tem
havido uma atualização permanente, acompanhando as Fontes
europeias, assim:
 a Diretiva 2002/58/CE, de 12 de Julho de 2002, relativa ao tratamento de
dados pessoais e à proteção da privacidade no sector das comunicações
eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas),
foi-o pelo Decreto-Lei n.º 7/2004, de 7 de janeiro, no que se refere às
comunicações comerciais não solicitadas (SPAM), e pela Lei n.º 41/2004,
de 18 de agosto, atualizadas pela a Diretiva 2009/136/CE, de 25 de
novembro de 2009 (Diretiva Cidadãos), pela Lei n.º 46/2012, de 29 de
agosto
 e a Diretiva 2006/24/CE, de 15 de março de 2006, relativa à conservação
de dados gerados ou tratados no contexto da oferta de serviços de
comunicações eletrónicas publicamente disponíveis ou de redes públicas
de comunicações [anulada pelo Acórdão Digital Rights Ireland], pela Lei
n.º 32/2008, de 17 de julho
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

 também haverá implicações em matéria penal e processual penal,

também em resultado da transposição das Diretivas Diretiva 2016/680
e 2016/681:
 na Lei n.º 32/2008, de 17 de julho, relativa à conservação de dados
gerados ou tratados no contexto da oferta de serviços de comunicações
eletrónicas publicamente disponíveis ou de redes públicas de
comunicações
 na Lei n.º 109/2009, de 15 de setembro, aprova a Lei do Cibercrime
(maxime Art.ºs 11.º a 19.º), assim como
 na Lei n.º 37/2015, de 5 de maio, estabelece os princípios gerais que
regem a organização e o funcionamento da identificação criminal e
 na Lei n.º 5/2008, de 12 de fevereiro, aprova a criação de uma base de
dados de perfis de ADN para fins de identificação civil e criminal
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

 no tratamento de dados de saúde e dados genéticos:

 a Lei n.º 12/2005, de 26 de janeiro, sobre informação genética pessoal e
informação de saúde, a que acresce
 a Lei .º 5/2012, de 23 de janeiro, que regula os requisitos de tratamento de
dados pessoais para constituição de ficheiros de âmbito nacional,
contendo dados de saúde, com recurso a tecnologias de informação e no
quadro do Serviço Nacional de Saúde, mas também
 a Lei n.º 53/2017, de 14 de julho, que cria e regula o Registo Oncológico
Nacional, bem como
 a Lei n.º 26/2016, de 22 de agosto, aprova o regime de acesso à
informação administrativa e ambiental e de reutilização dos documentos
administrativos (maxime Art.º 7.º) e
 a Lei n.º 7/2009, de 12 de fevereiro, que aprova o Código do Trabalho
(maxime Art.º 17.º) e ainda
 a Lei n.º 5/2008, de 12 de fevereiro, vide supra
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

 nos Registos, por força do Programa Simplex:

 o Decreto-Lei n.º 324/2007, de 28 de setembro, modifica o Decreto-Lei n.º
131/95, de 6 de junho, que aprovou o Código do Registo Civil
 a Lei n.º 5/2008, de 12 de fevereiro, vide supra
 a Lei n.º 7/2007, de 5 de fevereiro, aprova a disciplina do cartão de
cidadão
 o Decreto-Lei n.º 247-B/2008, de 30 de dezembro, altera o Decreto-Lei n.º
129/98, de 13 de maio, no que se refere ao Registo Nacional de Pessoas
Coletivas
 o Decreto-Lei n.º 76-A/2006, de 29 de março, que modificou o Decreto-
Lei n.º 403/86, de 3 de dezembro, relativo ao Código do Registo
Comercial, e ainda
 o Decreto-Lei n.º 116/2008, de 4 de julho, alterando Decreto-Lei n.º
224/84, de 6 de julho, o do Código do Registo Predial
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

 na videovigilância, com expressão para todos os sensores, agora em

contexto de Internet das Coisas:
 a Lei n.º 1/ 2005, de 10 de janeiro, como alterada pela Lei n.º 9/2012, de
23 de fevereiro, regula a videovigilância pelas forças de segurança em
locais públicos de utilização comum
 a Lei n.º 34/2013, de 16 de maio, disciplina a utilização de sistemas de
videovigilância pelos serviços de segurança privada e de autoproteção
 o Decreto-Lei n.º 207/2005, de 29 de Novembro, regula os meios de
vigilância eletrónica rodoviária utilizados pelas forças de segurança
 o Decreto-Lei n.º 135/2014, de 8 de setembro, estabelece o regime
jurídico dos sistemas de segurança privada dos estabelecimentos de
restauração e de bebidas que disponham de salas ou de espaços
destinados a dança e
 o Código do Trabalho (maxime Art.ºs 20.º e 21.º)
DATA PROTECTION OFFICE (DPO) FORM AÇÃO

 em outros setores:
 a reutilização de documentos administrativos, por força da Lei n.º
26/2016, de 22 de agosto, atendendo à viabilidade crescente de superar a
pseudonimização e a anonimização através da Big Data
 na atualização da Lei n.º 34/2009, de 14 de julho, cria o regime jurídico
aplicável ao tratamento de dados referentes ao sistema judicial, incluindo
os referentes aos meios de resolução alternativa de litígios, sobretudo no
que se refere à segurança e apagamento dos dados processuais ou ainda
 a necessidade de também atualizar a Lei Geral Tributária, aprovada pelo
Decreto-Lei n.º 398/98, de 17 de dezembro, incluindo disciplinas relativas
ao tratamento e segurança dos dados dos contribuintes, para além das do
acesso e confidencialidade dos dados pela Administração Tributária, até
em linha com o Decreto-Lei n.º 198/2012, de 24 de agosto, relativa às
faturas eletrónicas…