Você está na página 1de 27

CURSO DE PÓS-GRADUAÇÃO EM PROTEÇÃO DE DADOS

PESSOAIS, PRIVACIDADE E CIBERSEGURANÇA NA UE

IV EDIÇÃO – 2018

Regulamento Geral de Proteção de Dados


Meios de Defesa dos titulares de dados

Maria Filomena da Costa Silva Loureiro


Introdução

O que têm a ver os algoritmos com os direitos humanos? A engenharia informática, ao serviço
das empresas que visam gerar lucro, cria métodos automatizados de tratamentos dos dados
pessoais através da criação de um número ilimitado conexões e perfis, que podem interferir na
privacidade, segurança pessoal, patrimonial e até, a capacidade de cada um decidir por si
livremente 1. Ora, o direito à proteção de dados não sendo um direito absoluto pode ser
restringido em casos tipificados pela lei, devendo o seu exercício respeitar o conteúdo
essencial dos direitos e liberdades previstos na Carta dos Direitos Fundamentais da União
Europeia (a Carta) de harmonia com o princípio da proporcionalidade 2.
Os algoritmos autónomos funcionam, de certo modo, como uma forma de profiling 3ou de
definição de perfis. Por profiling, entende-se tratamento automatizado de dados por uma
entidade processadora, para perceber ou identificar determinados aspetos sobre uma pessoa.
Em dadas situações – por exemplo, quando a Google identifica publicidade personalizada
para alguém com base no seu histórico de pesquisa –, nem sequer é claro para o utilizador
final que está a alimentar um algoritmo com dados pessoais 4.
Imaginem a nossa vida agregada em big data e tratada em analítica, com o objectivo de criar
valor económico e lucro para as empresas 5 .
1
Sobre o impacto dos algoritmos nos direitos fundamentais, o Conselho da Europa elaborou um
estudo e publicou um folheto que aborda as obrigações das entidades públicas e privadas no
tratamento de dados, nomeadamente, zelo, exigência de conformidade (accountability), transparência e
promoção da literacia informática. Cfr. https://rm.coe.int/leaflet-algorithms-and-human-rights-
en/168079cc19 e https://www.coe.int/en/web/freedom-expression/algorithms-and-human-rights .
2
Pela interpretação conjugada dos artigos 8.º e 52.º . https://eur-lex.europa.eu/legal-
content/PT/TXT/HTML/?uri=LEGISSUM:l33501&from=PT Proclamada em 7 de dezembro de 2000,
em Nice.
3
Consultar orientação do Grupo de trabalho art. 29º • Decisões individuais automatizadas e definição
de perfis (WP 251 ver.01) (em inglês)
https://www.cnpd.pt/bin/rgpd/docs/wp251rev01_individual_decision_making_and_profiling_en.pdf
4
Os problemas éticos e, potencialmente, jurídicos, que podem advir do uso de algoritmos autónomos.
Identificarei brevemente um dos principais problemas que tem vindo a ser discutido pela doutrina nas
ciências sociais e na engenharia informática. Este prende-se com aquilo a que Shirky chama
“autoridade algorítmica”, ou, no original, algorithmic authority. In, Profiling e algoritmos autónomos:
um verdadeiro direito de não sujeição? por Afonso José Ferreira, Anuário da Proteção de Dados,
Coordenção: Francisco Pereira Coutinho e Graça Canto Moniz, Editora: Universidade Nova de Lisboa
– Faculdade de Direito/CEDIS, Março, 2018 ISBN 978-972-99399-4-5, pág. pág. 37 e ss.
5
A Big data, em termos simples resulta da confluência de três avanços tecnológicos de origem
diferente, mas que se reforçaram entre si. Designadamente, da computação em nuvem, a qual passou a
possibilitar o armazenamento de volumes crescentes de dados, com disponibilidade permanente e uma
fiabilidade assegurada pela redundância, tudo isto com custos cada vez menores; a que se juntaram as

2
A cultura cívica implica conhecer o catálogo de direitos e deveres que pertença a uma
comunidade local, nacional e europeia 6. Tal catálogo encontra-se instituído na Constituição
da República Portuguesa e no Tratado sobre o Funcionamento da União Europeia, também
conhecido por Tratado de Lisboa que desde 13 de dezembro de 2007 integrou a Carta dos
Direitos Fundamentais da União Europeia7 numa intenção clara de consolidar os valores dos
direitos fundamentais e tornar eficazes os princípios da liberdade, igualdade e o respeito pela
pessoa humana.
O âmbito territorial de aplicação do Regulamento Geral da Proteção de Dados, (doravante
RGPD ou Regulamento) é, desde logo, definido no seu art.º 3.º Âmbito de aplicação
territorial
1.O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto
das atividades de um estabelecimento de um responsável pelo tratamento ou de um
subcontratante situado no território da União, independentemente de o tratamento
ocorrer dentro ou fora da União.
Assim, independentemente do tratamento ser ou não efectuado dentro do espaço da União
Europeia e os seus titulares sejam ou não residentes 8. O que implica também a sua aplicação
nas transferências para países terceiros com base na decisão de adequação emitida pela
Comissão Europeia 9. Segue-se a definição de dados pessoais no próprio RGPD, que se refere
a qualquer informação, de qualquer natureza e independentemente do respetivo suporte,
comunicações de banda muito larga, em fibra ótica ponto a ponto com velocidades de acesso tais que
deixou de ser necessário manter centros de dados próprios, igualmente com custos decrescentes;
incorporando-se a ambas, a criação de algoritmos de análise assentes em inteligência artificial, mais do
que em força bruta computacional, ainda que distribuída, veio acrescentar a viabilidade de gerir
pacotes cada vez maiores de dados, em tempo real. Finalmente, a proliferação de sensores interligados,
a que se tem dado o nome de internet das coisas, ou de tudo, veio multiplicar a informação disponível,
a qual respeita sempre e em definitiva aos cidadãos-consumidores. In, Protegendo os cidadãos… em
tempos de Big Data, Manuel Dadiv Masseno, Revista Luso brasileira de Direito de Consumo, Vol.
VII, nº 27, Stembro 2017.
6
Sobre o cumprimento dos princípios e regras consagradas do RGPD pelas entidades públicas, o
Gabinete Nacional de Segurança (GNS) emitiu Guia de Boas Práticas https://www.gns.gov.pt/ .
7
Cfr Constituição da República Portuguesa,
www.parlamento.pt/Legislacao/Paginas/ConstituicaoRepublicaPortuguesa.aspx , e Tratado de
Funcionamento da União Europeia, do qual A Carta dos Direitos Fundamentais da União Europeia
agora faz parte integrante. https://eur-lex.europa.eu/collection/eu-law/treaties.html?locale=pt
8
A proteção dos dados pessoais garantida pelo regulamento para fora da UE, nomeadamente com os
EUA ao abrigo do acordo EU-US Privacy Shield. Depois do TJUE ter declarado que o inválido acordo
Safe Harbour a Comissão Europeia e os EUA acordaram, consultar a Decisão https://eur-
lex.europa.eu/legal-content/PT/TXT/HTML/?uri=OJ:L:2016:207:FULL&from=PT. E ainda
https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A52015DC0566
9
Cfr, art. 45.º do RGPD. A Comissão tem a obrigação de publicar a própria decisão de adequação no
Jornal Oficial da União Europeia e no seu sítio web uma lista dos países terceiros, territórios e setores
específicos de um país terceiro e organizações internacionais relativamente aos quais tenha declarado
se asseguram ou não um nível de proteção adequado.

3
incluindo som e imagem, relativa a uma pessoa física, com expressão exclusão das pessoas
coletivas. Artigo 4.º Definições:
1.Dados pessoais, informação relativa a uma pessoa singular identificada ou identificável
(«titular dos dados»); é considerada identificável uma pessoa singular que possa ser
identificada, direta ou indiretamente, em especial por referência a um identificador, como
por exemplo um nome, um número de identificação, dados de localização, identificadores
por via electrónica ou a um ou mais elementos específicos da identidade física, fisiológica,
genética, mental, económica, cultural ou social dessa pessoa singular 10 .
Proferido pelo Tribunal de Justiça a 6 de outubro de 2015, o Acórdão Schrems marcou uma
viragem nas relações comerciais entre a União Europeia e os Estados Unidos, ao declarar
como inválida a intitulada Decisão “Porto Seguro” 11.
Assim, querer saber é meio caminho andado para chegar ao sempre almejado bem-estar. Este
sentido lato de bem estar-estar que envolve a noção de conforto pessoal designado na
psicologia, definido pela Organização Mundial da Saúde (OMS) define a saúde mental como
“um estado completo de bem-estar físico, mental e social, e não somente a ausência de
doenças ou enfermidades”, na acepção jurídico-constitucional, aí onde o Estado tem
incumbências prioritárias para fomentar a concretização daqueles princípios positivados na
Lei Fundamental 12. Assim se consagra na área dos direitos fundamentais, o reconhecimento
da identidade pessoal, reserva da intimidade da vida privada, e se impõem garantias contra a
intromissão abusiva da informação relativa às pessoas, no capítulo dos Direitos, Liberdades e
Garantias, da Constituição da República:
Artigo 26.º (Outros direitos pessoais)
1. A todos são reconhecidos os direitos à identidade pessoal, ao desenvolvimento da
personalidade, à capacidade civil, à cidadania, ao bom nome e reputação, à imagem, à
palavra, à reserva da intimidade da vida privada e familiar e à protecção legal contra
quaisquer formas de discriminação.

10
Cfr. Também considerando 14 do RGPD. A definição de “titular dos dados” e de “dados pessoais”
encontram-se densificadas no próprio regulamento, no art. 4.º, n.º 1 do RGPD, Graça Canto, Direitos
do titular dos dados pessoais: o direito à portabilidade, Anuário da Proteção de Dados, Coordenção:
Francisco Pereira Coutinho e Graça Canto Moniz, Editora: Universidade Nova de Lisboa – Faculdade
de Direito/CEDIS, Março, 2018 ISBN: 978-972-99399-4-5, pág. 13 e ss.
11
Sobre a transição do Safe Harbour para Privacy Shield e Fluxos Transfronteiriços de Dados
Pessoais, cfr Silva, Heraclides Sequeira dos Santos, A protecção de dados pessoais na era global, o
caso Shrems, pág. 63 e ss http://hdl.handle.net/10362/20567
12
http://www.who.int/features/factfiles/mental_health/en/ Conferir ainda a articulação funcional e
sistémica das normas da Constituição da República Portuguesa, nomeadamente, artigos 9.º, 80.º, 91.º e
93.º www.parlamento.pt/Legislacao/Paginas/ConstituicaoRepublicaPortuguesa.aspx

4
2. A lei estabelecerá garantias efetivas contra a obtenção e utilização abusivas, ou
contrárias à dignidade humana, de informações relativas às pessoas e famílias.
3. A lei garantirá a dignidade pessoal e a identidade genética do ser humano,
nomeadamente na criação, desenvolvimento e utilização das tecnologias e na
experimentação científica.
4. A privação da cidadania e as restrições à capacidade civil só podem efetuar-se nos
casos e termos previstos na lei, não podendo ter como fundamento motivos políticos.
Considera-se que não é um direito absoluto ou ilimitado, porquanto deve ser ponderado ou
restringido, com o exercício de outros direitos, as exigências de segurança nacional nos casos
previstos na lei.
Sobre privacidade já em 1890, nos Estados Unidos da América foi reclamado o right to
privacy, direito à vida privada, atribuído a um artigo de autoria de Samuel Warren e Louis
13
Brandeis, publicado na Revista Harvard Law Review a primeira publicação do país a
defender o respeito pelo direito à privacidade.
Para compreender o que se deve saber sobre o completo feixe jurídico-legal da organização
política que envolve o equilíbrio da governação conseguido pelo sistema de separação dos
poderes legislativo, executivo e judicial, tão bem conhecido por cheks and balances 14. Por
isso, a educação para a cidadania, “por acreditarmos que a educação é uma tarefa libertadora”
15
é uma tarefa do Estado. Neste contexto convém relembrar que no dia 25 de maio de 2018,
um novo conjunto único de regras em matéria de proteção de dados produziu efeitos em toda
a União Europeia (UE).
As transposições da Diretiva de 95 pelos Estados-Membros revelaram a necessidade de
uniformização das regras com o objectivo de tornar efectiva a tutela dos direitos à protecção
de dados pessoais dos indivíduos que estejam no espaço da UE.
Trata-se de um quadro jurídico harmonizado que visa uma aplicação uniforme das regras em
prol do mercado único digital da UE. Significa isto que existe um único conjunto de regras
para os cidadãos e para as empresas. A aplicação destas novas regras envolve adoção do
RGPD a partir de 25 maio de 2018 em todos os Estados-Membros implicando a adequação

13
The Right to Privacy" Direito à Privacidade, 4 Harvard L.R. 193: 15/12/1890,
http://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/Privacy_brand_warr2.html
14
Felicidade pessoal no contexto social e separação de poderes (legislativo, judicial, executivo)
conceitos tão antigo como Aristóteles na sua Ética a Nicómaco, cfr.
https://pt.wikipedia.org/wiki/%C3%89tica_a_Nic%C3%B4maco e tão moderno quanto Montesquieu e
a sua obra, O Espírito das Leis, https://www.ecole-alsacienne.org/CDI/pdf/1400/14055_MONT.pdf
15
In Educação para a Cidadania - Saber & Inovar de João Reis, Luís Loia e Mendo Henriques, edição:
Plátano Editora, setembro de 2006, ISBN: 9789727704842, pág. 8

5
aos vários ordenamentos jurídicos. O novo quadro beneficiará significativamente indivíduos,
empresas, administrações públicas e outras organizações na mesma medida. Constituirá
também uma oportunidade para a UE se tornar líder global na proteção de dados pessoais.
Desde a adoção do RGPD, em maio de 2016, a Comissão tem colaborado ativamente com
todos os intervenientes envolvidos — governos, autoridades nacionais, empresas, sociedade
civil — com vista à aplicação das novas regras. Uma parte significativa do trabalho tem sido
dedicada a assegurar a sensibilização alargada e a preparação total, mas ainda há muito para
fazer. A preparação está a evoluir a várias velocidades nos diferentes Estados-Membros e
junto dos vários intervenientes. Além disso, o conhecimento em relação aos benefícios e às
oportunidades que as novas regras proporcionarão não está distribuído uniformemente. Existe
uma necessidade particular de acelerar a sensibilização e os esforços de conformidade que lhe
estão associados junto das pequenas e médias empresas (PME) 16 .
Tendo em conta os grandes temas que abrangem a proteção de dados pessoais que reúnem
num único conjunto de regras a serem diretamente aplicáveis nas ordens jurídicas dos
Estados-Membros, o regulamento garante a livre circulação de dados pessoais entre os
Estados-Membros da UE e reforça a confiança e a segurança dos consumidores: dois
17
elementos indispensáveis para que exista um verdadeiro mercado único digital . Desta
forma, o regulamento proporcionará novas oportunidades para as empresas, em especial as de
menor dimensão, tornando também mais claras as regras aplicáveis às transferências
internacionais de dados, privacidade e cibersegurança, no caso do direito fundamental dos
cidadãos à proteção de dados em caso de utilização dos seus dados pessoais por autoridades
responsáveis pela aplicação do direito penal, como as autoridades policiais ou judiciárias,
visando, nomeadamente, garantir que os dados pessoais das vítimas, testemunhas e suspeitos

16
Grupo de Trabalho do Artigo 29.º (GT 29) criado pela da Diretiva de Protecção de Dados – Diretiva
95/46/CE, de 24 de outubro, composto pelas autoridades de proteção de dados dos Estados-Membros,
por um representante das autoridades criadas para os organismos comunitários e por um representante
da Comissão Europeia, o Grupo de Trabalho foi extinto em 25 de maio de 2018, a aplicação do
Regulamento Geral sobre Proteção de Dados (RGPD), quer no que diz respeito ao funcionamento
interno do futuro Comité Europeu de Proteção de Dados, quer quanto ao apoio a empresas e entidades
públicas no cumprimento do novo quadro legal. As orientações do GT29 podem ser consultadas aqui
http://ec.europa.eu/newsroom/article29/news-overview.cfm com transição para o Comité Europeu para
a Proteção de Dados (CEPD) https://edpb.europa.eu/our-work-tools/agenda_pt
17
Comunicação da Comissão ao Parlamento Europeu e ao Conselho, Orientações da Comissão
relativas à aplicação direta do Regulamento Geral sobre a Proteção de Dados a partir de 25 de maio de
2018, cfr, https://ec.europa.eu/transparency/regdoc/rep/1/2018/PT/COM-2018-43-F1-PT-MAIN-
PART-1.PDF

6
de crimes são devidamente protegidos e facilitar a cooperação transnacional na luta contra a
criminalidade e o terrorismo18 na União Europeia 19.
Considerando o estudo sistemático e integrado da Proteção de Dados Pessoais, no
contexto das disciplinas de Direito Constitucional e do Direito Administrativo já tem sido
reconhecido pela doutrina e recomenda-se a sua inclusão nos curricula académicos vista
a intrínseca natureza interdisciplinar 20.
Por agora vamos abordar apenas alguns direitos do titular de dados pessoais à luz do novo
do Regulamento Geral sobre Proteção de Dados (RGPD).

1. Havia Proteção de Dados Pessoais antes do RGPD ?

18
Nomeadamente em matéria classificada, A Lei n.º 46/2018, publicada a 13 de agosto, estabelece o
regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento
Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado
nível comum de segurança das redes e da informação em toda a União Europeia.
https://dre.pt/application/conteudo/116029384 . Para consultar o occasio legis, cfr. Proposta de Lei
119/XIII que estabelece o regime jurídico da segurança do Ciberespaço transpondo a Diretiva (UE) n.º
2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho, relativa a medidas destinadas a
garantir um elevado nível comum de segurança das redes e da informação, (Diretiva SRI). Os
pareceres prévios das Comissões, em que destacamos a opinião da Comissão Nacional de Proteção de
Dados – CNPD que aponta para o perigo de um excesso de poder do Estado sobre estas matérias .
A Lei n.º 46/2018, publicada a 13 de agosto, estabelece o regime jurídico da segurança do ciberespaço,
transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016,
relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da
informação em toda a União Europeia. https://dre.pt/application/conteudo/116029384
19
Com o Novo Regulamento Geral de Proteção de Dados, publicado em 4 de maio de 2016 e que
previa um período transitório de dois anos para a sua aplicação plena, são consagradas no quadro
europeu profundas alterações ao regime jurídico da defesa da privacidade das pessoas singulares. Os
Estados, as pessoas coletivas públicas e privadas, as organizações e os agentes económicos tiveram até
25 de maio de 2018 para preparar a adaptação às novas regras de proteção de dados. É importante
sublinhar que, como se trata de um Regulamento, o diploma em causa é diretamente aplicável nos
(ainda) 28 Estados Membros, sem necessidade de qualquer transposição para cada jurisdição, com o
propósito de garantir a harmonização legislativa ao nível da proteção de dados em todos os países na
União Europeia. In Apresentação da 4:ª Edição, CURSO DE PÓS-GRADUAÇÃO EM PROTEÇÃO
DE DADOS PESSOAIS, PRIVACIDADE E CIBERSEGURANÇA NA UE,
https://academy.autonoma.pt/curso/pos-graduacao-proteccao-dados-pessoais-privacidade-
ciberseguranca-na-ue/
20
No contexto da protecção de dados destaca-se desde logo a estreita conexão entre as disciplinas do
Direito e das Ciências da Tecnologia, (…) Neste sentido, o estudo sistemático e integrado da Proteção
de Dados Pessoais deve ser feito no âmbito de uma disciplina jurídica especializada. cfr Filipa
Urbano Calvão, Direito da Proteção de Dados Pessoais. ISBN: 978-989-8835-40-6, Edição ou
reimpressão: 04-2018, Editor: Universidade Católica Portuguesa – Porto, pp. 29 e 31.

7
Sim, o primeiro instrumento internacional, a Convenção Europeia dos Direitos do Homem
21
(CEDH) criado pelo Conselho da Europa após a segunda guerra mundial, com o objectivo
de promover o Estado de Direito a democracia e os direitos humanos. Entrou em vigor na
ordem jurídica internacional em 1953 e instituiu o Tribunal Europeu dos Direitos do Homem
que aprecia as queixas sobre a violação dos direitos e garantias dos cidadãos europeus,
consagrados na Convenção. As condições de admissibilidade de uma queixa pressupõem
terem sido esgotados todos os recursos passíveis no direito interno do Estado-Membro. As
sentenças proferidas por este Tribunal têm força obrigatória e obrigam o país em causa a
executá-la 22.
Já em 1981, e como consequência da evolução tecnológica, foi estabelecida a Convenção n.º
108, que teve por base o artigo 8.º da CEDH.
Convenção do Conselho da Europa para a Proteção das Pessoas Singulares no que diz respeito
ao Tratamento Automatizado de Dados Pessoais, de 28 de janeiro de 1981 (STE n.º 108) e
Protocolo Adicional à Convenção para a Proteção das Pessoas Singulares no que diz respeito
ao Tratamento Automatizado de Dados Pessoais, de 2001, relativo às autoridades de controlo
e à circulação transfronteiriça de dados (STE n.º 181). A convenção, que está aberta a países
que não sejam membros do Conselho da Europa, já foi ratificada por 51 países (incluindo o
Uruguai, Maurícia, Senegal e Tunísia).
A Convenção 108 do Conselho da Europa para a Proteção das Pessoas Singulares no que diz
respeito ao Tratamento Automatizado de Dados Pessoais, de 1981, relativa ao tratamento
automatizado de dados de caráter pessoal, como instrumento de direito internacional não se
23
aplica senão aos países signatários, por se tratar de jus cogens , ou seja, de aplicação

21
A Convenção (CEDH) garante, entre outros, o direito ao respeito pela vida privada e familiar, do
domicílio e da correspondência (artigo 8.º), Para garantir a eficácia da proteção dos direitos
reconhecidos pela Convenção, esta cria um sistema internacional de proteção, ou seja o Tribunal
Europeu dos Direitos do Homem. Este tribunal, previsto no título II da Convenção, funciona
permanentemente, em Estrasburgo, e compõe-se de um juiz por cada Estado Parte. Os juízes são
eleitos pela Assembleia Parlamentar relativamente a cada Estado Parte, por maioria dos votos
expressos, recaindo numa lista de três candidatos apresentados pelo Estado em questão. Ressalve-se,
no entanto, que estes juízes agem a título individual sem representar o Estado que os propôs. O
Tribunal só pode ser solicitado a conhecer de um assunto depois de esgotadas todas as vias de recurso
internas. https://www.echr.coe.int/Documents/Convention_POR.pdf
22
Para consultar os requisitos e o formulário da queixa ao TEDH consultar
https://www.echr.coe.int/Pages/home.aspx?p=applicants/por&c=fre
23
Jus cogens, como o conjunto de normas imperativas de Direito Internacional. A Convenção 108
teve início da sua vigência em Portugal, em 01.01.1994,
http://www.ministeriopublico.pt/instrumento/convencao-para-proteccao-das-pessoas-relativamente-ao-
tratamento-automatizado-de-dados-2

8
obrigatória universal, apenas se espera seja cumprida pelos Estados aderentes em aplicação do
princípio pacta sunt servanda 24.
Anteriormente houve outros instrumentos internacionais sobre processamento automatizado
25
de dados pessoais, direito ao respeito pela vida que também eram vinculativos . A
26
Convenção Europeia dos Direitos do Homem (CEDH), sendo um tratado internacional
revela-se um instrumento eficaz e inovador, uma vez que estabelece o Tribunal Europeu dos
Direitos do Homem (TEDH), destinado a proteger qualquer pessoa cujos direitos tenham sido
violados
Assinada em 1950 pelo Conselho da Europa, a CEDH é um tratado internacional destinado a
proteger os direitos humanos e as liberdades fundamentais na Europa. Os 47 países que
formam o Conselho da Europa são parte na Convenção, sendo 28 desses países membros da
União Europeia. Os acórdãos do TEDH que determinem que houve violação dos direitos
humanos são vinculativos para os países em causa. O Comité dos Ministros do Conselho da
Europa acompanha a execução dos acórdãos. Em Portugal criou-se um Grupo de Trabalho
Interministerial para as Comemorações dos 70 anos da Declaração Universal dos Direitos
Humanos e dos 40 anos da Adesão de Portugal à Convenção Europeia dos Direitos Humanos,
o que representa o compromisso expresso da promoção dos direitos humanos e reconhece na
Convenção um garante maior de que os direitos humanos são integralmente respeitados pelas
Partes que a ela se vincularam 27.
24
O princípio pacta sunt servanda, entendido no sentido de que os contratos livremente celebrados
existem para serem cumpridos, é basilar do direito contratual. A Convenção 108 do Conselho da
Europa para a Proteção das Pessoas Singulares no que diz respeito ao Tratamento Automatizado de
Dados Pessoais de 28 de janeiro de 1981 foi o primeiro instrumento internacional juridicamente
vinculativo adotado no domínio da proteção de dados. Visa garantir [...] a todas as pessoas singulares
[...] o respeito pelos seus direitos e liberdades fundamentais, e especialmente pelo seu direito à vida
privada, face ao tratamento automatizado dos dados de caráter pessoal. Cfr. a versão consolidada,
https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016807c65bf
25
E.g. A recomendação do Conselho da OCDE relativa às diretrizes que regem a proteção da
privacidade e os fluxos transfronteiriços de dados pessoais, de 23.09.1980. Apud RIBEIRO, Florbela
da Graça Jorge da Silva, O tratamento de dados pessoais de clientes para marketing, Abril 2017, pág.
25 e ss. http://repositorio.ual.pt/handle/11144/3048
26
Agora designada Convenção Europeia dos Direitos Humanos, por uma adequação ao princípio de
não discriminação de género, ingressou na ordem jurídica portuguesa, em 1978. Aprovada, para
ratificação pela Lei n.º 65/78, de 13 de Outubro,
https://dre.pt/web/guest/pesquisa/-/search/328440/details/normal?p_p_auth=6djKbYNX
27
Resolução do Conselho de Ministros n.º 48/2018, Reconhecendo a importância histórica de que se
reveste a aprovação da DUDH pela Assembleia Geral das Nações Unidas, reunida na sua terceira
sessão, em Paris, a 10 de dezembro de 1948, e a aprovação da CEDH em Roma, em 1950, no âmbito
do Conselho da Europa, entende o Governo ser seu dever reafirmar a adesão de Portugal, à mensagem
humanista e universalista tão claramente projetada nos dois documentos fundacionais que pretende
comemorar, https://dre.pt/home/-/dre/115200300/details/maximized. Programa das Comemorações,
Tema: Livres e Iguais, Grupo interministerial liderado por Vital Moreira.
https://www.portugal.gov.pt/download-ficheiros/ficheiro.aspx?v=54b2f880-e277-4cbe-bb14-

9
A protecção dos direitos fundamentais no âmbito do direito europeu teve a sua materialização
relevante na aprovação da Carta de Direitos Fundamentais da União Europeia, que faz parte
integrante do Tratado de Lisboa, desde 2009. Assim ganhando a força vinculativa que a
primazia do direito comunitário no respeito pelos direitos fundamentais ali consagrados. Na
estrutura normativa da Carta vamos encontrar novamente, entre outros, o reconhecimento do
direito à vida, privacidade e da protecção de dados pessoais e ainda submetendo o escrutínio
do cumprimento destas regras à fiscalização por parte de uma autoridade independente 28 .
Na União Europeia, o regime europeu relativo à protecção de dados pessoais 29 com a Diretiva
95/46/CE com a harmonização cujos conceitos e matéria de regulação 30, foram transpostos
para Portugal pela Lei n.º 67/98, de 26 de outubro, a Lei da Proteção de Dados Pessoais
31
(LPDP) . Mas foi por causa da diferente transposição pelos Estados-Membros que se criou
uma ideia de fragmentação na aplicação do direito europeu e assim se decidiu partir para um
modelo de regulamento que amplia e uniformiza princípios e regras aplicáveis, assim
vinculando todos os Estados-membros ao seu cumprimento, com penalizações pesadas ao seu
incumprimento.
Em Portugal a tutela dos dados pessoais resulta da sua consagração constitucional desde 1976.
O artigo 35.º da CRP, consagra o direito à Internet, o direito à autodeterminação
informativa e à proteção de dados pessoais. Assim, o texto constitucional não só define que é
a lei que estabelece as exceções aos direitos ou condições de tratamento nelas fixadas – por
exemplo exceções à proibição ao acesso a dados pessoais de terceiros (n.º 2) -, como impõe
ao legislador a definição do conceito de dados pessoais e das condições aplicáveis ao seu
tratamento (n.º 4) 32.

fa2e109ddd56
28
O primado do direito europeu impõe a sua aplicabilidade direta na ordem jurídica interna dos países
membros. Vidé art. 8.º nº 4 a da CRP revista em 2004, “As disposições dos tratados que regem a
União Europeia e as normas emanadas das suas instituições, no exercício das respetivas competências,
são aplicáveis na ordem interna, nos termos definidos pelo direito da União, com respeito pelos
princípios fundamentais do Estado de direito democrático.” https://eur-lex.europa.eu/legal-
content/PT/TXT/?uri=OJ:C:2016:202:TOC .
29
Sobre a evolução dos instrumentos jurídicos relativos à protecção de dados União Europeia, cfr. a
extensa enumeração em Ribeiro, Florbela da Graça Jorge da Silva, O tratamento de dados pessoais de
clientes para marketing, págs. 25 a 32, http://hdl.handle.net/11144/3048
30
Muito dos conceitos nesta Diretiva, agora revogada, foram trazidos e alargados no atual RGPD, ver
a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à
protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados, https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex:31995L0046.
31
Que se mantém em vigor e tem a sua versão actualizada em 2015, e ainda comentada com alusão à
jusrisprudência nacional e europeia, podemos consultar
http://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=156&tabela=leis&so_miolo=
32
Sobre a evolução da redação nas sucessivas revisões constitucionais, de Joaquim Seabra Lopes, in O
artigo 35.º da Constituição: da génese à atualidade e ao futuro previsível, Fórum da Proteção de

10
Criação da Comissão Nacional de Protecção de Dados Pessoais Informatizados – CNPDPI,
em 1994 e sua evolução para a Comissão Nacional de Protecção de Dados, em 1998, na Lei
33
da Proteção de Dados Pessoais (LPDP) . Esta entidade administrativa independente foi
criada com atribuição de poderes inspectivos, poderes de autoridade e emissão de autorização
e pareceres prévios em matéria de legislação e ainda da fiscalização posterior do tratamento
de dados pessoais por entidades públicas e privadas em Portugal que impliquem um risco para
os direitos e liberdades dos seus titulares 34.
Este modelo de fiscalização prévia que se revelou insuficiente, tendo em consideração os
tempos de espera pelas decisões causadas também pelos escassos meios atribuídos àquela
Comissão. Por isso, uma das principais novidades do RGPD em relação à Directiva é o papel
das Autoridades de Controlo com competências e atribuições uniformes em todo o espaço
35
europeu quanto à apreciação posterior do cumprimento pelos sujeitos responsáveis pelo
tratamento de dados, isto é, para um modelo de auto-regulação, o modelo proativo.
A transformação do modelo de supervisão e o papel das autoridades nacionais de controlo na
matéria da proteção de dados foi das maiores novidades do RGPD.
A rotura surge anunciada no considerando (89): “A Diretiva n.º 95/46/CE estabelece
uma obrigação geral de notificação do tratamento de dados pessoais às autoridades de
controlo. Além de esta obrigação originar encargos administrativos e financeiros, nem
sempre contribuiu para a melhoria da proteção dos dados pessoais. Tais obrigações
gerais e indiscriminadas de notificação deverão, por isso, ser suprimidas e substituídas
por regras e procedimentos eficazes, mais centrados nos tipos de operações de
tratamento suscetíveis de resultar num elevado risco para os direitos e liberdades das
pessoas singulares, devido à sua natureza, âmbito, contexto e finalidades.”

Dados, n.º 2, janeiro de 2016, pp. 15 e ss.


33
Atual CNPD, https://www.cnpd.pt/bin/cnpd/historia.htm
34
Natureza, atribuições e competências da CNPD, ainda a Lei de Proteção de Dados (LDPD), artigos
21.º e ss. da LPDP.
35
Artigo de opinião de Alexandre Pinheiro, http://boletim.oa.pt/oa-11/destaque-opiniao-asp

11
36
Relativamente às Autoridades de Controlo com personalidade jurídica [e judiciária?]
autónoma: As competências, atribuições e poderes de supervisão e sancionatórios destas
autoridades estão definidos nos artigos 55.º a 58.º [do RGPD]
Em particular no plano dos poderes de correção, os poderes atribuídos são, por exemplo:
advertir o responsável pelo tratamento ou o subcontratante quando as operações de
tratamento previstas sejam suscetíveis de violar as disposições do presente regulamento
[alínea a) do n.º 2]; b) repreender o responsável pelo tratamento ou o subcontratante
sempre que as operações de tratamento tiverem violado as disposições do presente
regulamento [alínea b) do n.º 2]; ordenar ao responsável pelo tratamento que comunique
ao titular dos dados uma violação de dados pessoais [alínea e) do n.º 2]; impor uma
limitação temporária ou definitiva ao tratamento de dados ou mesmo a sua proibição
[alínea f) do n.º 2]; ordenar a retificação ou o apagamento de dados pessoais ou a
limitação de tratamento de dados [alínea g) do n.º 2]; retirar certificações [alínea h) do
n.º 2]; aplicar coimas [alínea i) do n.º 2] 37.
Pelo que vimos as importantes alterações conferidas pelo Regulamento (RGPD) 38 configuram
uma nova abordagem, no seu âmbito de eficácia imediata em todo o espaço europeu, pelos
meios coercivos, nomeadamente as elevadas sanções aplicáveis em caso de incumprimento
que devem ser efetivas, proporcionadas e dissuasivas 39, a que acrescem a possibilidade de

36
Quanto à personalidade judiciária que está prevista no art. 22.º n.º6 da LPDP “A CNPD é
representada em juízo pelo Ministério Público” no entanto, a CNPD preconiza a sua personalidade
judiciária autónoma. no extenso e fundamentado Parecer relativo à proposta de Lei .º 120/XIII ,
“Quanto ao artigo 36.º (Legitimidade da CNPD), que mantém o regime atualmente em vigor, há que
notar que o legislador optou por abandonar a formulação do artigo 22.º, n.º 6, da LPDP, o que equivale
a afastar a representação da CNPD em juízo por parte do Ministério Público. Daqui depreende-se o
que se aceita e acolhe, a possibilidade de exercício pleno da capacidade judiciária conferida à CNPD,
ainda que reconduzida, nesta sede legal, às matérias específicas do Regulamento Geral sobre a
Proteção de Dados e da lei que o executa. Este é um aspeto essencial no contexto de tutela dos direitos
fundamentais, em particular atendendo ao nível de especialização e de tecnicidade que as matérias de
proteção de dados comportam e à experiência e expertise que a CNPD detém.
Nesse sentido, a faculdade de levar as violações do regulamento ao conhecimento das autoridades
judiciais e de intentar ações – opção admitida pelo RGPD no n.º 5 do artigo 58.º32 – permitirá uma
intervenção direta da autoridade de controlo nacional nos processos em que ela possa vir a intervir,
independentemente da qualidade em que o venha a fazer, prescindindo-se da representação em juízo
pelo Ministério Público”, cfr Parecer da CNPD,
https://www.parlamento.pt/ActividadeParlamentar/Paginas/DetalheIniciativa.aspx?BID=42368
37
Idem, ibidem
38
O RGPD nas várias línguas europeias, https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=CELEX
%3A32016R0679 e a rectificação/errata da sua tradução https://eur-lex.europa.eu/legal-
content/PT/TXT/?uri=CELEX%3A32016R0679R%2802%29, uma vez que se levantam questões
quanto à interpretação do sentido material do texto.
39
Arts. 79.º, 82.º a 84.º Artigo 84.º Sanções - 1. Os Estados-Membros estabelecem as regras relativas
às outras sanções aplicáveis em caso de violação do disposto no presente regulamento, nomeadamente

12
queixa a uma das Autoridades de Controlo e as garantias de tutela jurisdicional, civil e penal
contra o responsável pelo tratamento de dados 40 .

2. A definição de Dados Pessoais e os Princípios do RGPD

Uma vez que a definição de dados pessoais constante do RGPD não é taxativa mas sim uma
referência a um conjunto de informações relativas a uma pessoa individual, o âmbito exclui
expressamente a sua aplicação a pessoas colectivas. do art. 3.º consta que dados pessoais são:
“informação relativa a uma pessoa singular identificada ou identificável («titular dos
dados»); é considerada identificável uma pessoa singular que possa ser identificada,
direta ou indiretamente, em especial por referência a um identificador, como por exemplo
um nome, um número de identificação, dados de localização, identificadores por via
eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica,
genética, mental, económica, cultural ou social dessa pessoa singular” 41.
Caracterizam-se por serem qualquer informação (por exemplo, o número de telefone) relativa
a uma pessoa singular direta ou indiretamente identificada ou identificável (p. ex. o nome
inscrito numa receita médica) ou o conjunto de dados que possam conduzir à identificação de
uma determinada pessoa (as imagens captadas por um sistema de videovigilância) , mesmo os
dados pessoais que tenham sido protegidos da identificabilidade pessoal, pseudonomizados 42
às violações que não são sujeitas a coimas nos termos do artigo 7983.º, e tomam todas as medidas
necessárias para garantir a sua aplicação. As sanções previstas devem ser efetivas, proporcionadas e
dissuasivas. Critérios que contribuem para determinar o valor das coimas, art. 83, n.º 2.
40
Uma vez que o princípio da responsabilidade no uso das P.E.T.(Privacy Enhancing Technologies)
https://www.enisa.europa.eu/topics/data-protection/privacy-enhancing-technologies assente na
confidencialidade, integridade e disponibilidade dos dados. Só havendo duas formas de se livrar de
uma condenação em sede de fiscalização pela Autoridade de Controlo: a licitude contratual
(Considerando 44) “o consentimento do titular dos dados, uma manifestação de vontade, livre,
específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato
positivo inequívoco (art. 4.º n. 11) , que os dados pessoais que lhe dizem respeito sejam objeto de
tratamento” (considerandos 32, 33, 40, 42, 43 ou se verificam as condições de licitude (art. 6.º).
41
Ainda, artigo 2.º e artigo 4.º, n.ºs 1 e 5 e considerandos 14, 15, 26, 27, 29, 30 do RGPD. Como
elemento interpretativo deste conceito, vale ler o Parecer 4/2007 do Grupo de trabalho art. 29.º
(WP29) sobre o conceito de dados pessoais, adotado em 20 junho
https://www.gpdp.gov.mo/uploadfile/others/wp136_pt.pdf . Este Grupo de Trabalho foi instituído
pelo artigo 29.º da Directiva 95/46/CE. Tratou-se de um órgão consultivo europeu independente em
matéria de protecção de dados e de privacidade. As suas atribuições terminaram em 24 de maio de
2018, permanecem os Pareceres para consulta aqui, http://ec.europa.eu/justice/article-
29/documentation/opinion-recommendation/files/2007/wp136_en.pdf.
42
Pseudonimização no tratamento de dados pessoais de forma que deixem de poder ser atribuídos a
um titular de dados específico sem recorrer a informações suplementares, desde que essas informações
suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para
assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou
identificável”, art.4.º n.º 5 e Considerando 28 do RGPD.

13
43
ou anonimizados e que possam vir a ser reversíveis, isto é poderem ser atribuídos a um
titular, independentemente da tecnologia utilizada.
Sem deixar de considerar a importância das categorias especiais de dados pessoais, e.g., os
dados sensíveis, com tutela reforçada. Tratamento de categorias especiais de dados pessoais 44
Art. 9º nº 1. É proibido o tratamento de dados pessoais que revelem a origem racial ou
étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical,
bem como o tratamento de dados genéticos, dados biométricos para identificar uma
pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou
orientação sexual de uma pessoa. 45
São dados sensíveis, nomeadamente, os dados relativos à saúde - dados pessoais relacionados
com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de
saúde, que revelem informações sobre o seu estado de saúde, dados genéticos, dados
biométricos.
O Regulamento Geral de Proteção de Dados define princípios: a licitude, lealdade e
transparência, no tratamento de dados. Sendo que o tratamento é,
uma operação ou um conjunto de operações efectuadas [por um responsável] sobre dados
pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não
automatizados, tais como a recolha, o registo, a organização, a estruturação, a
conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a
divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a
comparação ou interconexão, a limitação, o apagamento ou a destruição 46.
Os princípios que devem sempre basear o tratamento de dados são, a licitude (necessidade,
para o cumprimentos de uma obrigação jurídica, ou execução de um contrato, defesa de
interesses vitais do titular, ou consentimento do titular), a lealdade (que corresponde ao dever
de informação sobre o objecto do tratamento) e a transparência (informação exata e acessível
ao titular sobre a recolha dos dados). O fundamental princípio da finalidade garante que a

43
Anonimização, nunca deveria ser revertida a uma pessoa determinada, mas não há 100% de
garantia. Ou seja, às informações que não digam respeito a uma pessoa singular identificada ou
identificável nem a dados pessoais tornados de tal modo anónimos que o seu titular não seja ou já não
possa ser identificado, Considerando 26 do RGPD.
44
Art.º 9º do RGPD.
45
Merecem proteção específica os dados pessoais que sejam, pela sua natureza, especialmente
sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento
desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais
(considerandos 10 e 51).
46
Art. 4.º n.º 2, do RGPD

14
recolha e o tratamento da informação se devem limitar aos elementos necessários e suficientes
para o fim a que se destinam.
Mas há determinadas situações em que o tratamento para finalidades não determinadas no
momento da recolha dos dados são lícitas, nomeadamente relativas ao interesse público
importante, efeitos de medicina preventiva ou do trabalho e, ainda, se o tratamento se referir a
dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular 47.

3. Os direitos dos titulares de Dados Pessoais - Meios de defesa

Ao exercício do direito pelas pessoas singulares há que levar em conta os correspetivos


deveres das entidades responsáveis pela sua recolha e tratamento, que são todas as entidades
privadas e públicas. Abordamos alguns dos direitos e meios de defesa ao dispor, segundo os
quadros abaixo e com referência aos formulários disponíveis na versão digital
JusFormulários Proteção de Dados Pessoais, numa lógica do exercício dos direitos do titular
e resposta do responsável pelo tratamento dos dados 48 .
Direito de acesso
O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de
que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e o responsável
pelo tratamento deverá ser obrigado a responder ao pedido do titular dos dados sem demora
injustificada e o mais tardar no prazo de um mês e expor as suas razões quando tiver intenção
de recusar o pedido 49.
47
Art. 9.º alíneas e) g) h) do RGPD
48
I. Exercício do direito pelas pessoas singulares, Índice sistemático (parcial)
I. Exercício do direito pelas pessoas singulares
1. Contestação ao exercício de direito de acesso aos dados pessoais
2. Contestação ao exercício do direito de retificação de dados pessoais
3. Contestação ao exercício do direito de apagamento de dados pessoais ("direito a ser esquecido")
4. Contestação ao exercício do direito à limitação do tratamento de dados pessoais
5. Contestação ao exercício do direito de portabilidade de dados pessoais
6. Contestação ao exercício do direito de oposição ao tratamento de dados pessoais
7. Contestação ao exercício do direito a não ser objeto de decisões individuais automatizadas, Wolters
Kluwer, https://loja.wolterskluwer.pt/p/jusformularios-protecao-de-dados-pessoais-rgpd
49
Art.º 35.º da Constituição da República Portuguesa, e art. 15.º RGPD. Informação e acesso aos
dados pessoais. Artigos 12.º e 13.º do RGPD, quanto ao prazo de resposta, leia-se a crítica de
Alexandre Sousa Pinheiro, quanto à tradução para português deste art. 12.º n.º 3 “É normal para quem
acompanha as versões do RGPD em mais do que um idioma concluir que o texto em português tem
falhas inaceitáveis que alteram o sentido material do texto. A CNPD e especialistas no tema têm
chamado à atenção do assunto, fica aqui mais um exemplo que parece revelador de imperícia e pouca
atenção na produção do n.º 3, do artigo 12.º no texto em português: PT- "O responsável pelo
tratamento fornece ao titular as informações sobre as medidas tomadas, mediante pedido
apresentado nos termos dos artigos 15.º a 20.º, sem demora injustificada e no prazo de um mês a
contar da data de receção do pedido. Esse prazo pode ser prorrogado até dois meses, quando for

15
A contestação ao exercício de direito de acesso aos dados pessoais, conforme
minuta/formulário, deve incluir sempre, a justificação da finalidade do tratamento e, de uma
forma clara, a seguinte informação:
Em qualquer caso, informamos que pode exercer os direitos de retificação, apagamento,
limitação do tratamento de dados, oposição, à portabilidade dos dados ou a não ser
objeto de uma decisão baseada unicamente no tratamento automatizado, assim como
retirar o consentimento prestado para o tratamento dos seus dados pessoais. Também, tem
direito a apresentar qualquer tipo de reclamação perante a Autoridade de controlo
pertinente, sendo em Portugal a Comissão Nacional de Proteção de Dados: www.cnpd.pt
50

Direito de retificação
O titular dos dados tem o direito de exigir que os dados a seu respeito sejam exatos e atuais,
podendo solicitar a sua retificação acompanhada da documentação justificativa
correspondente. O responsável pelo tratamento deverá responder ao pedido do titular dos
dados no prazo de um mês e expor as suas razões em caso de recusa do pedido. Se os dados
tiverem sido recolhidos pela Administração Pública, o titular tem o correspetivo dever de
manter a actualização dos mesmos. Por exemplo: o dever de atualizar o seu domicílio perante
a Autoridade Tributária.

necessário, tendo em conta a complexidade do pedido e o número de pedidos. O responsável pelo


tratamento informa o titular dos dados de alguma prorrogação e dos motivos da demora no prazo de
um mês a contar da data de receção do pedido. Se o titular dos dados apresentar o pedido por meios
eletrónicos, a informação é, sempre que possível, fornecida por meios eletrónicos, salvo pedido em
contrário do titular." EN - "The controller shall provide information on action taken on a request
under Articles 15 to 22 to the data subject without undue delay and in any event within one month of
receipt of the request. That period may be extended by two further months where necessary, taking
into account the complexity and number of the requests. The controller shall inform the data subject
of any such extension within one month of receipt of the request, together with the reasons for the
delay. Where the data subject makes the request by electronic form means, the information shall be
provided by electronic means where possible, unless otherwise requested by the data subject."
Estão mal identificados os artigos e na duração dos meses de prorrogação só com muita gentileza se
pode traduzir "two further months" por "prorrogado até dois meses". O RGPD está cheio de situações
destas”. Alexandre Pinheiro no seu mural do facebook, a 3 de agosto às 11:57 · <iframe
src="https://www.facebook.com/plugins/post.php?href=https%3A%2F%2Fwww.facebook.com
%2Falexandre.pinheiro.52493%2Fposts%2F1795282463912498&width=500" width="500"
height="312" style="border:none;overflow:hidden" scrolling="no" frameborder="0"
allowTransparency="true" allow="encrypted-media"></iframe>
50
Art. 15.º RGPD 1. Contestação ao exercício de direito de acesso aos dados pessoais,
http://www.smarteca.pt/my-reader/SMT2018015PT_20180601_0?fileName=content
%2FFO0000007306_20180403.HTML&location=pi-89

16
A resposta negativa do responsável pelo tratamento dos dados deve ser fundamentada em caso
de irregularidades formais no pedido, que impeça a concessão do direito ou, em caso de
impossibilidade de verificar a identidade ou em caso de falta de justificação da representação.
Porque o direito foi exercido através de um representante que não juntou documento
justificativo para a prática do ato 51 .

Direito de apagamento
O direito a ser esquecido confere ao titular dos dados, nomeadamente, o direito de solicitar ao
responsável o apagamento dos seus dados, desde que os dados não sejam necessários para as
finalidades para que foram recolhidos, o titular queira usar o seu direito de opt out, isto é,
retire o seu consentimento, ou se oponha ao seu tratamento automatizado incluindo a
definição de perfis.
O cumprimento do pedido ou a contestação fundamentada por motivos legais deve ser
dirigida no prazo de um mês pelo responsável do tratamento de dados, sem qualquer custo ou
encargos administrativos 52.

Direito à limitação do tratamento de dados pessoais


O direito à limitação do tratamento de dados pessoais é definido como a inserção de uma
marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro e
o responsável pelo tratamento deve ser obrigado a responder ao pedido do titular dos dados
sem demora injustificada, no prazo de um mês, e expor as suas razões quando recusar o
pedido.
No caso de deferimento do pedido o responsável informa que adotou as medidas oportunas
para limitar o tratamento que a entidade realiza de tais dados pessoais. No caso de recusa
fundamentada:
Durante o tempo que dure tal limitação de tratamento de dados, informamos que a nossa
entidade pode tratar os seus dados pessoais exclusivamente com alguma das seguintes
finalidades, e apenas no caso de que o tratamento seja necessário para a nossa entidade:
Para o cumprimento dos deveres ou necessidades de conservação de dados que aplique a
nossa entidade, em relação aos dados cujo tratamento tenha sido limitado.
51
Art. 16.º RGPD. Contestação ao exercício do direito de retificação de dados pessoais,
http://www.smarteca.pt/my-reader/SMT2018015PT_20180601_0?fileName=content
%2FFO0000007307_20180403.HTML&location=pi-95
52
Art. 17.º RGPD. Contestação ao exercício do direito de apagamento de dados pessoais ("direito a ser
esquecido") http://www.smarteca.pt/my-reader/SMT2018015PT_20180601_0?fileName=content
%2FFO0000007308_20180403.HTML&location=pi-144

17
Se nos concede o seu consentimento para o tratamento dos seus dados cujo tratamento
tenha sido limitado.
Para a declaração, ou exercício ou a defesa de um direito num processo judicial.- Para
proteger os direitos de outra pessoa singular ou coletiva.
Por razões de interesse público importante, imposto pelo ordenamento jurídico do nosso
53
país e/ou da União Europeia .

Direito à portabilidade dos dados

O titular dos dados tem direito a que o responsável lhe transmita os dados num formato
estruturado, de uso corrente e de leitura automática, e também os pode transmitir a outro
responsável pelo tratamento, quando o tratamento se basear no consentimento do titular dos
dados ou na execução de um contrato, ou quando o tratamento for realizado por meios
automatizados. Este direito está limitado à sua exequibilidade técnica ou no caso de conflito
com o cumprimento de uma missão de interesse público ou no exercício de poderes públicos.
Também é fator impeditivo o caso dos dados não serem tratados por meios automatizados, ou
ainda de inexistência de relação contratual entre a entidade e o interessado 54.
Quanto à defesa do titular dos dados, pode ser o próprio ou um seu representante legal,
55
sobretudo na proposição de uma reclamação e acção legal, com escolha livre do foro .O
Regulamento prevê também que seja representado por uma Associação 56.
Acrescem as garantias de acção responsabilidade civil objetiva solidária para ressarcimento de
danos matérias ou imateriais, contra o responsável pelo tratamento e os subcontratantes 57 58
.

53
Art. 18.º RGPD. Contestação ao exercício do direito à limitação do tratamento de dados pessoais
http://www.smarteca.pt/my-reader/SMT2018015PT_20180601_0?fileName=content
%2FFO0000007309_20180403.HTML&location=pi-219
54
Art. 20.º RGPD. Contestação ao exercício do direito de portabilidade de dados pessoais
http://www.smarteca.pt/my-reader/SMT2018015PT_20180601_0?fileName=content
%2FFO0000007310_20180403.HTML&location=pi-272
55
Art. 77.º e ss quanto ao direito de reclamação perante uma autoridade de controlo ou acção judicial
contra o responsável pelo tratamento de dados.
56
A DECO PROTESTE uniu-se às associações de consumidores do Brasil, Bélgica, Espanha e Itália e
criou um grupo no próprio Facebook. O objetivo é ter um espaço onde os consumidores poderão
encontrar respostas para as suas questões relacionadas com este tema, descobrir as diferentes formas
de partilha dos seus dados e fazer parte daquele que pretende ser o maior grupo a apresentar o
descontentamento dos seus utilizadores ao Facebook.
https://www.deco.proteste.pt/acoes-coletivas/os-meus-dados-sao-meus
57
Art. 82.º do RGPD.
58
Cfr., o excelente artigo de Mafalda Miranda Barbosa, Data controllers e data processors: da
responsabilidade pelo tratamento de dados à responsabilidade civil, pág. 423 da Revista de Direito
Comercial de Pedro Pais de Vasconcelos. ISSN 2183-9824

18
Nos quadros que reproduzimos abaixo estão sintetizadas alguns dos meios de defesa ao dispor
do titular de dados pessoais.
O Regulamento não prevê os tipos de crimes, uma vez que é competência exclusiva da
Assembleia da República e que ainda estão previstos no ordenamento jurídico interno, por
exemplo, no Código Penal 59, e na Lei Proteção de Dados Pessoais 60 .

Fonte: Ana Paula Pinto Lourenço, Formação Pós Graduação (4ª edição) 2018, PROTECÇÃO
DE DADOS PESSOAIS, PRIVACIDADE E CIBERSEGURANÇA NA UE.

59
A última alteração consta da Lei n.º 44/2018, de 9 de agosto, Publicação: Diário da República n.º
153/2018, Série I de 2018-08-09, Reforça a proteção jurídico-penal da intimidade da vida privada na
Internet (quadragésima sexta alteração ao Código Penal, aprovado pelo Decreto-Lei n.º 400/82, de 23
de setembro). Procede à alteração dos artigos 152.º (violência doméstica) e 197.º (agravado no âmbito
dos crimes contra a reserva da vida privada.
60
Art. 43.º da LDPD.

19
MEIOS CONTENCIOSOS

TUTELA CIVIL
RESPONSABILIDADE PELOS TUTELA ADMINISTRATIVA TUTELA CRIMINAL
DANOS CONTRAORDENACIONAL

INDEMNIZAÇÃO COIMAS E SANÇÕES ACESSÓRIAS PENAS E MEDIDAS DE SEGURANÇA

TRIBUNAIS OU ACORDO ENTIDADES ADMINISTRATIVAS TRIBUNAIS

FACTO ILÍCITO
(violação da proteção dos dados TIPIFICADA NA LEI TIPIFICADA NA LEI
pessoais)

AGENTE ACTUE COM CULPA EXIGÊNCIA DE CULPA


RARAMENTE RESP. OBJECTIVA DOLO DOLO
NEGLIGÊNCIA NEGLIGÊNCIA (quando prevista)
EXISTÊNCIA DE DANOS (geralmente pune-se também a Inexistência de responsabilidade
(patrimoniais ou não negligência e a tentativa) objetiva
patrimoniais)

Fonte: Ana Paula Pinto Lourenço, Formação Pós Graduação (4ª edição) 2018, PROTECÇÃO
DE DADOS PESSOAIS, PRIVACIDADE E CIBERSEGURANÇA NA UE.
4. Síntese conclusiva

O reforço dos direitos dos titulares de dados pessoais conferida pelo Regulamento não se
esgota no pacote legislativo, uma vez que a aplicação nas leis nacionais de cada Estado-
Membro em tudo o que não contrarie o primado do direito europeu, o RGPD e as Diretivas 61.
As novas regras aplicam-se a todas as empresas que operam na UE, mesmo que essas
empresas tenham sede fora da UE. Além disso, será possível impor medidas corretivas — tais
como advertências e ordens — ou coimas de valor elevadíssimo para o universo português
das empresas que violem as regras. Por sorte, diria estranhamente, até agora a Administração
Pública está isenta das coimas.
Destacamos a ampliação dos direitos existentes e a criação de novos direitos.

61
RGPD Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016,
relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados, A Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de
abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão
de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a
Decisão-Quadro 2008/977/JAI do Conselho e a Diretiva (UE) 2016/681 do Parlamento Europeu e do
Conselho, de 27 de abril de 2016, relativa à utilização dos dados dos registos de identificação dos
passageiros (PNR) para efeitos de prevenção, deteção, investigação e repressão das infrações
terroristas e da criminalidade grave.

20
62
Uma nova profissão : uma pessoa com formação em engenharia informática ou em direito?
63
Na verdade, o conhecimento nas duas vertentes, técnica e jurídica são aqui importantes .
Uma vez que a formação de base não está prevista para o Encarregado da Proteção de Dados
cuja nomeação deve ser comunicada à CNPD, com indicação dos canais de comunicação com
o Encarregado de Proteção de Dados para colocar qualquer questão relativa ao tratamento dos
dados realizado são através do correio eletrónico, assim como através da morada física 64.
Citando o conferencista António José André Inácio,
O cidadão é parte do problema e tem de ser parte da solução 65
Entretanto, aguardamos com elevada expetativa a promulgação da nova Proposta de Lei de
Proteção de Dados.

62
a que se afirmou ser a profissão mais sexy do século XXI, The Hot Job of the Decade, Thomas H.
Davenport, Harvard Business Review, outubro
2012, https://hbr.org/2012/10/data-scientist-the-sexiest-job-of-the-21st-century
63
Art. 38.º nº 5 do RGPD.
64
Art. 37.º do RGPD.
65
Como proferiu António José André Inácio, na Conferência final desta Pós-Graduação, em 11 de
junho de 2018, em “Direito à Privacidade, como disse?”

21
Bibliografia
Livros
ALEXANDRINO, José de Melo (2015) – Direitos fundamentais - introdução geral. 2ª
ed. rev. reimp. Estoril: Princípia, ISBN: 978-989-7160-32-5
BARBOSA, Mafalda Miranda (2018) – Data controllers e data processors: da
responsabilidade pelo tratamento de dados à responsabilidade civil, pág. 423 da
Revista de Direito Comercial de Pedro Pais de Vasconcelos. ISSN: 2183-9824,
https://www.revistadedireitocomercial.com/data-controllers-e-data-processors/
CALVÃO, Filipa Urbano (2018) – Direito da Proteção de Dados Pessoais, Edição ou
reimpressão: 04-2018, Editor: Universidade Católica Portuguesa, Porto, ISBN: 978-
989-8835-40-6
CANOTILHO, J. J. Gomes; MOREIRA, Vital (2007) – Constituição da República
Portuguesa anotada, Vol. I, 4.ª ed., Coimbra Ed., ISBN: 978-972-3214-62-8
PINHEIRO, Alexandre Sousa (2015) – Privacy e Proteção de dados pessoais: a
construção dogmática do direito à identidade informacional. Lisboa: Associação
Académica da Faculdade de Direito de Lisboa, ISBN: 978-612-0002-60-5
REIS, João, Luís Loia e Mendo Henriques (2006) – Educação para a Cidadania -
Saber & Inovar, edição: Plátano Editora, ISBN: 978-972-7704-84-2
RIBEIRO, Florbela da Graça Jorge da Silva (2017) – O tratamento de dados pessoais
de clientes para marketing, pág. 25 e ss., http://repositorio.ual.pt/handle/11144/3048
SILVA, Heraclides Sequeira dos Santos (2017) – A protecção de dados pessoais na era
global, o caso Shrems, 20-Abrir, Faculdade de Direito, FD - Dissertações de
Mestrado, http://hdl.handle.net/10362/20567

Publicações periódicas electrónicas


Anuário da Proteção de Dados (2018), Coord. Francisco Pereira Coutinho e Graça
Canto Moniz, Editora: Universidade Nova de Lisboa – Faculdade de Direito/CEDIS,
ISBN: 978-972-9939-94-5, http://cedis.fd.unl.pt/blog/project/anuario-da-protecao-
de-dados-2018/
JusFormulários Proteção de Dados Pessoais RGPD (2018), Edição: abrange cláusulas
para processamento de dados bem como formulários de resposta das empresas ao
exercício dos direitos por parte das pessoas singulares, designadamente os direitos de
acesso, retificação, apagamento, limitação do tratamento, portabilidade dos dados,
oposição e a não ser objeto de decisões individuais automatizadas, etc.,

22
https://loja.wolterskluwer.pt/p/jusformularios-protecao-de-dados-pessoais-rgpd
Revista Forum, CNPD, ISSN: 2183-7066,
https://www.cnpd.pt/bin/revistaforum/revistaforum.htm
Revista Luso-Brasileira de Direito do Consumo n.º 27, setembro, 2017, Trimestral Diretor:
Mário Frota, Editor responsável: Luiz Fernando de Queiroz, ISSN: 2237-1168,
https://issuu.com/editorabonijuris9/docs/revista_luso-
brasileira_de_direito__d0959fdb6ee330

Fontes do Direito Europeu com acesso eletrónico


A Carta dos Direitos Fundamentais da União Europeia, https://eur-lex.europa.eu/legal
content/PT/TXT/HTML/?uri=LEGISSUM:l33501&from=EL
Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995
(revogada), relativa à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre circulação desses dados, https://eur-
lex.europa.eu/legal-content/PT/TXT/?uri=celex:31995L0046
Tratado de Funcionamento da União Europeia, do qual A Carta dos Direitos
Fundamentais da União Europeia agora faz parte integrante,
https://eurlex.europa.eu/collection/eu-law/treaties.html?locale=pt

Documentos electrónicos
A Comunicação da Comissão ao Parlamento europeu e ao Conselho, Orientações da
Comissão relativas à aplicação direta do Regulamento Geral sobre a Proteção de
Dados a partir de 25 de maio de 2018,
https://ec.europa.eu/transparency/regdoc/rep/1/2018/PT/COM-2018-43-F1-PT-
MAIN-PART-1.PDF
Aristóteles na sua Ética a Nicómaco, https://pt.wikipedia.org/wiki/%C3%89tica_a_Nic
%C3%B4maco
Comité Europeu para a Proteção de Dados (CEPD), https://edpb.europa.eu/our-work-
tools/agenda_pt
Glossaire, Commission Nationale de l'Informatique et des Libertés,
https://www.cnil.fr/fr/glossaire
Grupo de Trabalho do Artigo 29.º (GT 29),
http://ec.europa.eu/newsroom/article29/news-overview.cfm
Montesquieu e a sua obra, O Espírito das Leis,

23
https://www.ecolealsacienne.org/CDI/pdf/1400/14055_MONT.pdf
Pareceres da Procuradoria-Geral da República, Vida privada e acesso à informação ǀ
vida privada e segredos ǀ acesso aos registos informáticos ǀ tratamento informático de
dados pessoais ǀ fluxo de dados transfronteiras, março de 1998,
http://www.ministeriopublico.pt/pagina/vida-privada-utilizacao-da-informatica
The Hot Job of the Decade, Thomas H. Davenport, Harvard Business Review, outubro
2012, https://hbr.org/2012/10/data-scientist-the-sexiest-job-of-the-21st-century
The impact of ‘algorithms’ used by the public and private sector, in particular by
internet platforms, https://rm.coe.int/leaflet-algorithms-and-human-rights-
en/168079cc19 e https://www.coe.int/en/web/freedom-expression/algorithms-and-
human-rights

Endereços electrónicos
Agencia Española de Protección de Datos, https://www.aepd.es/
Associação Portuguesa de Data Protection Officers, https://www.dpo-
portugal.pt/index.php/sobre/
Association of Data Protection Officers, https://www.dpo.ie/
Associazione data Protection Officer (ASSO DPO), https://www.assodpo.it/it/home_it/
Autoridade Europeia para a Protecção de Dados, https://europa.eu/european-
union/content/european-data-protection-supervisor_pt
Autoridade Francesa de Proteção de Dados, Commission Nationale de l'Informatique et des
Libertés CNIL, https://www.cnil.fr/fr
Autoridades de proteção de dados na União Europeia, http://ec.europa.eu/justice/article-
29/structure/data-protection-authorities/index_en.htm
Autoridades Nacionais de Protecção de Dados dos Estados-Membros (lista completa),
http://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm
Centro de Investigação Jurídica do Ciberespaço, Faculdade de Direito da Universidade de
Lisboa, https://www.cijic.org/
Comissão de Acesso aos Documentos Administrativos (CADA), http://www.cada.pt/
Comissão Europeia, Regras para a proteção de dados pessoais dentro e fora da UE,
Comissão Europeia, Saiba como são protegidos os seus dados pessoais,
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens_pt
Comissão Nacional de Proteção de Dados (CNPD),
https://www.cnpd.pt/bin/cnpd/historia.htm

24
Comité Europeu para a Proteção de Dados (CEPD), https://edpb.europa.eu/edpb_pt
Deco proteste, https://www.deco.proteste.pt/acoes
e https://ec.europa.eu/
Gabinete Nacional de Segurança, Manual de Boas Práticas - Regulamento Geral de Proteção
de Dados, https://www.gns.gov.pt/
https://ec.europa.eu/info/law/law-topic/data-protection_pt
IRN – Instituto dos Registos e do Notariado, http://www.irn.mj.pt/IRN/sections/inicio
La Quadrature du Net est une association de défense des droits et libertés des citoyens sur
Internet, https://www.laquadrature.net/
NOYB – European Center for Digital Rights, also called noyb (from the colloquial "none of
your business"), https://noyb.eu/
Organização Mundial de Saúde, Mental health: a state of well-being,
http://www.who.int/features/factfiles/mental_health/en/
Organización de Consumidores y Usuarios, https://www.ocu.org/
Tribunal de Justiça da União Europeia, https://curia.europa.eu/jcms/jcms/j_6/pt/
Tribunal Europeu dos Direitos Humanos (TEDH),
https://www.echr.coe.int/Pages/home.aspx?p=applicants/por&c=fre

Legislação
Código Civil, http://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?
ficha=101&artigo_id=&nid=775&pagina=2&tabela=leis&nversao=&so_miolo
Constituição da República Portuguesa,
www.parlamento.pt/Legislacao/Paginas/ConstituicaoRepublicaPortuguesa.aspx
Convenção Europeia dos Direitos Humanos, por uma adequação ao princípio de não
discriminação de género, ingressou na ordem jurídica portuguesa, em 1978. Aprovada,
para ratificação pela Lei n.º 65/78, de 13 de Outubro,
https://dre.pt/web/guest/pesquisa/-/search/328440/details/normal?p_p_auth=6djKbYNX
Diário da República n.º 150/2018, Série II de 2018-08-06. Consulta pública do projeto de
regulamento relativo à lista de tratamentos de dados pessoais sujeitos a avaliação de
impacto sobre a proteção de dados,
https://dre.pt/web/guest/pesquisa/-/search/115917147/details/maximized?tipo_facet=An
%C3%BAncio&fqs=An%C3%BAncio+n.%C2%BA
%20136%2F2018&perPage=25&q=An%C3%BAncio+n.%C2%BA%20136%2F2018
LADA – Lei n.º 26/2016, de 22.8 (Lei de Acesso aos Documentos Administrativos),

25
http://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=2591&tabela=leis&so_miolo
Lei n.º 44/2018, de 9 de Agosto, Diário da República n.º 153/2018, Série I de 2018-08-09,
Reforça a proteção jurídico-penal da intimidade da vida privada na Internet,
https://dre.pt/home/-/dre/115946549/details/maximized
Lei n.º 46/2018, publicada a 13 de agosto, estabelece o regime jurídico da segurança do
ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do
Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível
comum de segurança das redes e da informação em toda a União Europeia,
https://dre.pt/application/conteudo/116029384
Lei n.º 67/98, de 26 de Outubro, Lei da Protecção de Dados Pessoais LPDP) versão
actualizada em 2015, e ainda comentada com alusão à jusrisprudência nacional e europeia,
http://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=156&tabela=leis&so_miolo
Proposta de Lei 120/XIII, Assegura a execução, na ordem jurídica nacional, do Regulamento
(UE) 2016/679, relativo à protecção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre circulação desses dados.
https://www.parlamento.pt/ActividadeParlamentar/Paginas/DetalheIniciativa.aspx?
BID=42368
Proposta de Lei 125/XIII, Aprova as regras relativas ao tratamento de dados pessoais para
efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de
execução de sanções penais, transpondo a Diretiva (UE) n.º 2016/680,
https://www.parlamento.pt/ActividadeParlamentar/Paginas/DetalheIniciativa.aspx?
BID=42506
Resolução do Conselho de Ministros n.º 48/2018, Comemoração da aprovação da CEDH em
Roma, em 1950. Programa das Comemorações, Tema: Livres e Iguais, Grupo
interministerial liderado por Vital Moreira,
https://dre.pt/home/-/dre/115200300/details/maximized

Jurisprudência
Acórdão do Tribunal de Justiça (Terceira Secção) de 25 de janeiro de 2018. Maximilian
Schrems contra Facebook Ireland Limited. Pedido de decisão prejudicial apresentado
pelo Oberster Gerichtshof. Reenvio prejudicial — Espaço de liberdade, segurança e
justiça — Regulamento (CE) n.º 44/2001 — Artigos 15.º e 16.º — Competência
judiciária em matéria de contratos celebrados por consumidores — Conceito de
“consumidor” — Cessão entre consumidores de direitos a exercer contra um mesmo

26
profissional, https://eur-lex.europa.eu/legal-content/PT/TXT/?
uri=CELEX:62016CJ0498

27

Você também pode gostar