UNIVERSIDADE CATÓLICA PORTUGUESA

CENTRO REGIONAL DO PORTO (PÓLO DA FOZ)

FACULDADE DE DIREITO
LICENCIATURA EM DIREITO

A Protecção de Dados Pessoais nas Telecomunicações – Perspectiva da

Comissão Nacional de Protecção de Dados

TRABALHO REALIZADO POR:

FERNANDO MANUEL MACHADO SOUSA BOTELHO 340107327

TRABALHO REALIZADO PARA O SEMINÁRIO DIREITO DAS COMUNICAÇÕES

ORIENTADOR: DOUTOR LUÍS PAIS ANTUNES

PORTO 2011
 Página 1 de 24

I – Introdução

Desenvolveremos este trabalho começando com uma referência à protecção de dados

pessoais em geral, relativamente à qual analisaremos, breve e sucessivamente, a
respectiva evolução histórica e geográfica, bem como o enquadramento legal, a nível
internacional, europeu e português, e ainda os princípios e os direitos básicos ou
essenciais da protecção de dados pessoais, para depois nos centrarmos na protecção de
dados pessoais nas comunicações electrónicas, protecção essa em relação à qual nos
referiremos, também de uma forma breve e sequencial, ao enquadramento legal no
direito português e aos dados pessoais relevantes, e tudo isto, nomeada e principalmente,
na perspectiva da Comissão Nacional de Protecção de Dados, doravante apenas CNPD.
Terminaremos com um resumo conclusivo.

II - A Protecção de Dados Pessoais em Geral

II - 1 - A Evolução Histórica

A preocupação da protecção dos dados pessoais em geral é relativamente recente.

Realmente é consensual atribuir-se o início da preocupação da protecção de dados
(1) (2)
pessoais a Louis Dembitz Brandeis , que, em 1890, referia que: “The right to be
alone is the most comprehensive of rights, and the right most valued by civilized man."

1
() Bem como a Samuel Warren, que foi, primeiro, colega de estudos em Harvard de Brandeis, e, depois, co-sócio
fundador com este de uma firma de advogados em Boston.
2
() Louis Dembitz Brandeis (13 de Novembro de 1856 – 05 de Outubro de 1941), foi um advogado americano que, em
1916, foi nomeado, pelo Presidente dos Estados-Unidos da América, Woodrow Wilson, para se tornar membro da
Supremo Tribunal dos Estados Unidos, nomeação essa que foi então fortemente contestada por certos sectores do
establishment americano, que consideravam Brandeis perigoso, não só por causa do seu brilho, da sua inteligência e da
sua coragem, mas, sobretudo, por ser incorruptível e judeu!
 Página 2 de 24

Tratava-se contudo ainda mais de um direito à privacidade do que de um direito à

protecção de dados pessoais, direito este que surgia então incorporado naquele, e que
não revestia a forma de uma consagração legal, mas apenas de meros artigos de opinião,
publicados em revistas da especialidade, designadamente a Harvard Law Review.

II - 2 - A Evolução Geográfica

Mau grado o inegável incremento que a protecção de dados pessoais tem tido nos
últimos, digamos, 30 ou 40 anos, o certo é que o evoluir de tal protecção não se tem feito
de uma forma uniforme a nível mundial (3), sendo ainda incipiente em alguns países, e
até de grande dimensão populacional (como é o caso, por exemplo, da China, por razões
ideológicas, e dos Estados-Unidos, por motivos de cariz económico, por nesse país se
entender que a protecção de dados constitui um entrave ao progresso da economia, que
exige que os dados circulem), tendo contudo atingido um grau de desenvolvimento mais
elevado na Europa (onde a protecção de dados é considerada como um elemento
estrutural de Estado de Direito), designadamente em Portugal, como adiante melhor
detalharemos.

II - 3 - O Enquadramento Legal

II - 3 - 1 - A Nível Internacional

A primeira referência legal, a nível internacional, à protecção de dados pessoais ocorreu

3
() O que não é de estranhar, pois que o avançar dos diversos direitos nunca se fez ao mesmo tempo em todo o mundo,
podendo-se referir, a título de curiosidade, que, se o ano de 1962 foi aquele em que a estilista britânica Mary Quant, lançou,
na sua boutique Bazaar, situada na famosa King’s Road, em Londres, a moda da mini-saia, foi também aquele em que na
Arábia Saudita foi abolida a escravatura!
 Página 3 de 24

apenas na segunda metade do século XX, e, mais precisamente, em 1970, com a Lei de
Protecção de Dados do Land Alemão do Hesse, a que se seguiram a Datalag (Suécia),
em 1973, o Privacy Act (Estados Unidos), em 1974, e a Loi Informatique, Fichiers et
Libertés (França), em 1978.
Há ainda que referir a Recomendação do Conselho de Ministros da Organização para a
Cooperação e o Desenvolvimento Económico (OCDE), de 23 de Setembro de 1980,
sobre as Linhas Directrizes Regulamentadores da Protecção da Vida Privada e dos
Fluxos de Dados Pessoais, a Resolução da Assembleia Geral das Nações Unidas
A/RES/45/95, de 14 de Dezembro de 1990, sobre as Linhas Directrizes em Matéria de
Dados Pessoais Informatizados, bem como a Recomendação N.º R (97) 5, do Comité de
Ministros, de 13 de Fevereiro de 1997, referente ao tratamento de dados pessoais
relativos ao estado de saúde das pessoas, directrizes essas que, muito embora sendo
todas, como são, não vinculativas, tendo apenas formalmente o valor de meras
recomendações, nada impede contudo que, como sucede aliás com a Declaração
Universal dos Direitos do Homem, um progressivo e generalizado acatamento delas,
acompanhado da convicção da sua relevância, lhes dê o valor de verdadeiras regras
consuetudinárias ou costumeiras.
Por último, refira-se a Convenção para a Protecção das Pessoas, relativamente ao
Tratamento Automatizado de Dados de Carácter Pessoal, do Conselho da Europa, de 28
de Janeiro de 1981, conhecida como Convenção 108, que é referente à protecção de
dados tratados informaticamente, tendo sido revista e actualizada recentemente,
vigorando em Portugal desde 01 de Janeiro de 1994, e cujo texto é, como o de todas as
convenções, vinculativo para todos os países aderentes, podendo estes ser, ou não,
membros do Conselho da Europa, Convenção essa que estando pois, como está, aberta a
todos os países do mundo, foi assim o primeiro, e, ainda hoje, único, instrumento legal
positivado de protecção de dados pessoais a nível mundial.
 Página 4 de 24

II - 3 - 2 - A Nível Europeu

No contexto da União Europeia é, nesta matéria da protecção de dados pessoais em

geral, muito importante, ou decisiva mesmo até, a Directiva 95/46/CE, de 24 de Outubro
de 1995, do Parlamento Europeu e do Conselho, que, visando o duplo objectivo, de, por
um lado, garantir a livre circulação de dados pessoais a nível da União Europeia, e, de,
por outro lado, assegurar o direito à protecção desses dados pessoais, tem sido
considerada como um instrumento legislativo essencial, a nível comunitário, de
protecção de dados pessoais.
Temos também a Carta dos Direitos Fundamentais da União Europeia, cuja eficácia
inicial tinha carácter de mera recomendação, mas que, tendo sido, como foi, incluída no
Tratado de Lisboa, goza agora da mesma força jurídica desse Tratado, passando assim a
ser direito primário da União Europeia, em tal Carta se consagrando, expressamente, o
direito à protecção de dados pessoais, como um direito autónomo e diferente do direito à
reserva da vida privada, pois que esses dois direitos se encontram definidos e regulados
em preceitos diferentes dessa Carta (o artigo 7º, quanto ao direito à reserva da vida
privada, e o artigo 8º, no que toca ao direito à protecção de dados pessoais).

II - 3 - 3 - A Nível Português

A nível português o direito à protecção dos dados pessoais em geral tem dignidade
constitucional, e até mesmo a de direito fundamental, e, dentro dos Direitos
Fundamentais, de Direito, Liberdade e Garantia Pessoal (DLGP) (4), pois que esse direito

4 ()
O conjunto de faculdades contido no artigo 35º, da C.R.P., abrange na verdade: direitos (a prestações), como o
direito de acesso do titular dos dados a estes, e o direito de rectificação deles; liberdades, como a liberdade de acesso às
redes públicas; e uma garantia específica, traduzida na existência da CNDP – SILVEIRA, Luís Novais Lingnau da, Em
Homenagem ao Professor Diogo Freitas do Amaral, 505 a 514, Almedina, Coimbra.
 Página 5 de 24

está, desde a versão original da Lei Fundamental, aprovada no dia 02 de Abril de 1976,
previsto e regulado no respectivo artigo 35º, que se inclui no Capítulo I, do Título II
(Catálogo dos DLG), da Parte I, da Constituição da República Portuguesa (C.R.P.), que
foi, tanto quanto sabemos, a primeira lei fundamental a regular tal direito a nível
mundial, constituindo assim, neste campo, e para usar uma linguagem cinematográfica,
uma verdadeira première. (5)
Concretizando no direito ordinário a protecção dos dados pessoais constitucionalmente
garantida, foi, 15 anos depois, aprovada a primeira Lei de Protecção de Dados (Lei n.º
10/91 de 29 de Abril), na qual se regulamenta a utilização e o controle dos dados
pessoais, e se prevê a criação da Comissão Nacional de Dados Pessoais Informatizados
(CNPDI), que foi a primeira designação da actual CNPD, que iniciou o seu primeiro
mandato no dia 07 de Janeiro de 1994.
A Lei n.º 10/91, sofreu algumas alterações, com a Lei n.º 28/94, de 29 de Agosto, que
aprovou medidas de reforço da protecção de dados pessoais.
Em 1997, na 4ª Revisão Constitucional, foram feitas algumas alterações ao artigo 35º, da
C.R.P., de modo a permitir uma adequada transposição da atrás referida Directiva
(6)
95/46/CE, tendo, nessa nova redacção do artigo 35º, da C.R.P. , a CNPD visto
consagrada constitucionalmente a sua existência, como entidade administrativa
independente.
Transpondo para o direito interno português a mencionada Directiva 95/46/CE, foi
publicada, em 1998, a actual Lei de Protecção de Dados Pessoais, que é a Lei n.º 67/98,
de 26 de Outubro (LPDP), que revogou a Lei n.º 10/91, e a Lei n.º 28/94, e alargou

5 ()
Podendo-se pois, e sem qualquer receio de errar, dizer, tal como o Professor Eduardo Correia referia, em 1982, a
propósito do novo Código Penal nesse ano publicado, e de que tal Professor era o pai, ou, pelo menos, um dos pais, que
estamos também aqui “ à la pointe même du progrès”.
6 ()
Na qual, certamente por desatenção, não se ajustou a epigrafe do artigo, que assim tem hoje uma redacção mais
acanhada que o respectivo conteúdo.
 Página 6 de 24

substancialmente o leque de atribuições e de competências da CNPD, como, a partir

dessa Lei n.º 67/98, a entidade controladora passou a ser denominada.
Também o Código de Trabalho de 2003, aprovado pela Lei n.º 99/2003, de 27 de Agosto
(artigos 17º, 19º, 20º e 21º), e a Lei n.º 35/2003, de 29 de Julho (artigos 27º e 28º), que
regulamenta a Lei n.º 99/2003, estabeleceram disposições relevantes em sede de
protecção de dados pessoais, o mesmo sucedendo com o Código de Trabalho de 2009
(aprovado pela Lei 7/2009, de 12 de Fevereiro), e com o Regime de Contrato de
Trabalho em Funções Públicas (Lei n.º 59/2008, de 11 de Setembro).
Por outro lado, e agora em matéria organizativa, a Lei n.º 43/2004, de 18 de Agosto,
regulou a organização e o funcionamento da CNPD, revogando a resolução da
Assembleia da República n.º 53/94, de 19 de Agosto, que anteriormente havia regulado
tais matérias, e as Leis n.os 2/94, de 19 de Fevereiro, e 68/98, de 26 de Outubro,
atribuíram competências à CNPD, como autoridade nacional de controlo em matérias de
protecção de dados pessoais relativas a Schengen e à Europol, respectivamente

II - 4 - Princípios e direitos básicos ou essenciais da protecção de dados pessoais

A Lei n.º 67/98, no seguimento dos instrumentos internacionais e comunitários

aplicáveis, bem como da C.R.P., define um conjunto de princípios e de direitos básicos
ou essenciais, no que tange à matéria de protecção dos dados pessoais, e a saber:

II - 4 - 1 - Princípios Básicos ou Essenciais

Dentro dos Princípios Básicos ou Essenciais relativos à protecção de dados pessoais,

cumpre destacar os seguintes:
 Página 7 de 24

a) Princípio da Finalidade
b) Princípio da Proporcionalidade
c) Princípio da Transparência e da Publicidade
d) Princípio de Conservação ou da Limitação no Tempo (Direito ao Esquecimento)
e) Princípio da Minimização
f) Princípio da Responsabilidade
g) Princípio da Possibilidade de Recurso
h) Princípio do Controle

Façamos uma breve referência a cada um de tais oito princípios básicos ou essenciais do
direito à protecção de dados pessoais. Assim:

a) Princípio da Finalidade

De acordo com o Princípio da Finalidade, que é o pilar do regime de protecção de

dados, os dados pessoais devem ser recolhidos para fins determinados, explícitos e
legítimos, não podendo ser utilizados para finalidades incompatíveis com aquelas que
justificaram a respectiva recolha (artigos 5º-b), da Convenção 108, 6º1-b), da
Directiva 95/46/CE, e 5º-1-b), da Lei 67/98).
Segundo nos dá conta o Presidente da CNPD, Luís Novais Lingnau da Silveira, foi
precisamente baseada neste Princípio que a CNPD recusou que a Ordem dos
Advogados cedesse uma listagem dos seus associados a uma determinada empresa,
que pretendia utilizar tal listagem para fins de marketing, fins estes que não eram
naturalmente aqueles para os quais os dados em causa haviam sido recolhidos,
tratados e conservados pela Ordem dos Advogados.
É igualmente por obediência a este princípio que, e usando dois exemplos utilizados
 Página 8 de 24

(7) (8)
por Mário Manuel Varges Gomes , os dados pessoais recolhidos nos serviços de
obstetrícia de um hospital, não podem ser usados por uma empresa comercial para
enviar à mãe publicidade relativa a produtos lácteos para bebés, assim como os dados
pessoais recolhidos no serviço de cirurgia, onde uma pessoa fez uma lipo-aspiração,
não podem ser usados por uma empresa que comercializa chocolates, para anunciar a
essa pessoa uma nova marca que não faz engordar.

b) Princípio da Proporcionalidade

Os dados pessoais devem ser tratados de uma forma adequada, não excessiva e
proporcional, preservando um justo equilíbrio entre a satisfação dos interesses que
levaram e justificaram a respectiva recolha, e o seu subsequente tratamento, e
conservação, e os interesses de privacidade dos titulares de tais dados, tudo aferido
pelo Princípio da Finalidade (artigos 5º-c) e d), da Convenção 108, 6º-1-c) e d), da
Directiva 95/46/CE, e 5º-1-c) e d), da Lei n.º 67/98).
Refere-nos também Luís Novais Lingnau da Silveira que foi justamente para respeitar
este Princípio da Proporcionalidade que a CNPD recusou que os dados pessoais dos
juízes, recolhidos pelo Conselho Superior da Magistratura, incluíssem os nomes dos
respectivos cônjuges.
Foi também atendendo a este critério que a CNPD não autorizou o tratamento nas
bases de dados das entidades policiais, das informações relativas a familiares de
suspeitos, familiares esse relativamente aos quais não existiam quaisquer indícios de
estarem também relacionados com a realização de actividades criminosas (9)
7 ()
Mário Manuel Varges Gomes, foi vogal, designado pelo Conselho Superior da Magistratura, da CNDP, cumprindo
dois mandatos sucessivos, um, de 1994 a 1999, e o outro, de 1999 a 2003
8 ()
O Tratamento e a Circulação de Dados Pessoais, Hospital de S. José, III Jornadas Nacionais de Administrativos da
Saúde, 6, 9 e 10 de Maio de 2002.
9()
SILVEIRA, Luís Novais Lingnau da, Revista da Ordem dos Enfermeiros, número 34, 25 a 28, Junho de 2010.
 Página 9 de 24

c) Princípio da Transparência e da Publicidade

O Princípio da Transparência e da Publicidade passa necessariamente pela informação

aos titulares dos dados sobre a existência, finalidade do tratamento, e destinatários da
informação (artigos 8º-a), da Convenção 108, 10º, da Directiva 95/46/CE, e 2º, da Lei
n.º 67/98).

d) Princípio de Conservação ou da Limitação no Tempo (Direito ao Esquecimento)

De acordo com o Princípio de Conservação ou da Limitação no Tempo (Direito ao

Esquecimento), os dados pessoais não devem ser guardados por tempo indefinido,
apenas devendo ser tratados e conservados pelo período de tempo indispensável para
a prossecução dos fins para que tais dados foram recolhidos (artigos 5º-a), da
Convenção 108, 6º-1-e), da Directiva 95/46/CE, e 5º-1-e), da Lei n.º 67/98).
É precisamente para respeitar este Princípio que a LPDP incumbe a CNPD de fixar o
prazo máximo de utilização dos dados pessoais, só tendo aquela entidade aceitado que
essa conservação se faça por um tempo indeterminado, em casos excepcionalíssimos,
e devidamente justificados.

e) Princípio da Minimização;

O Princípio da Minimização impõe que o tratamento dos dados pessoais se faça com
uma amplitude tão reduzida quanto possível (artigos 5º-c) e d), da Convenção 108, 6º-
c) e d), da Directiva 95/46/CE, e 5º-c) e d), da Lei n.º 67/98).
 Página 10 de 24

f) Princípio da Responsabilidade

O Princípio da Responsabilidade obriga a que exista sempre um responsável pelo

tratamento dos dados, que deverá assegurar o cumprimento de todas as disposições
legais pertinentes, respondendo por quaisquer prejuízos causados ao titular dos dados,
em consequência da violação das normas de protecção dos dados (artigos 8º-d), da
Convenção 108, 23º, da Directiva 95/46/CE, e 34º, da Lei n.º 67/98.

g) Princípio da Possibilidade de Recurso

O Princípio da Possibilidade de Recurso confere a qualquer pessoa o direito de

recorrer, quer para a competente autoridade de controle, quer mesmo judicialmente
em caso de violação dos seus direitos, em matéria de dados pessoais (artigos 8º-d), da
Convenção 108, 22º, da Directiva 95/46/CE, e 33º, da Lei n.º 67/98).

h) Princípio do Controle

O Princípio do Controle do tratamento dos dados estabelece que deverá haver uma
entidade independente que controle o tratamento dos dados.
Em Portugal tal entidade independente é a CNPD, que é composta por sete membros,
três dos quais são eleitos da Assembleia da República, dois são Magistrados,
designados pelos Conselhos Superiores da Magistratura e do Ministério Público,
sendo os dois últimos indicados pelo Governo, competindo a essa entidade, em geral,
“controlar e fiscalizar o cumprimento”, das regras vigentes em matéria de protecção
de dados pessoais, e, em particular, autorizar qualquer tratamento dos chamados
dados pessoais sensíveis, que são aqueles que se encontram definidos, a nível interno,
 Página 11 de 24

nos artigos 35º-3, da C.R.P., e 7º-1-2, da Lei 67/98, e, a nível comunitário, no artigo
8º, da Directiva 95/46/CE (de uma forma aliás não totalmente coincidente, pois que a
lei nacional é, nesta definição, mais ampla do que a lei comunitária, como adiante
melhor veremos).

II - 4 - 2 - Direitos Básicos ou Essenciais

Relativamente aos direitos básicos ou essenciais, incluídos no direito à protecção dos

dados pessoais, temos os seguintes:

a) Direito de Informação
b) Direito de Acesso

c) Direito de Rectificação e de Actualização

d) Direito de Eliminação
e) Direito de Oposição
f) Outros Direitos

Analisemos, brevemente, cada um de tais seis direitos básicos ou essenciais, incluídos

no direito à protecção dos dados pessoais.

a) Direito de Informação

O Direito de Informação é o primeiro e basilar direito dos titulares de dados pessoais.

Consiste este Direito de Informação em o respectivo titular dever ser informado quais
os dados pessoais dele que estão a ser recolhidos, tratados e conservados, quem é que
está a efectuar essa recolha, tratamento e conservação, e quais as finalidades com isso
 Página 12 de 24

visadas (artigos 8º, da Convenção 108, 10º e 11º, da Directiva 95/46/CE, 35º-1, da
C.R.P., e 10º, da LPDP).
Um significativo afloramento deste Direito de Informação surge na recolha, e
posterior tratamento e conservação, de dados através da videovigilância, em que a lei
exige que o responsável por tais recolha, tratamento e conservação, afixe avisos nos
locais apropriados, dando notícia de que nesses locais estão a ser captadas imagens,
qual a finalidade de tal captação, e a identificação da entidade que procede à mesma.
Este Direito de Informação é instrumental em relação ao Direito de Acesso, que
trataremos já de seguida.

b) Direito de Acesso

O Direito de Acesso, que consiste no direito do titular dos dados pessoais aceder aos
mesmos, para verificar se eles estão correctos e actualizados, é considerado pelo
artigo 35º, da norma normarum portuguesa, como integrando o núcleo essencial do
direito de protecção dos dados pessoais (artigos 8º, da Convenção 108, 12º, da
Directiva 95/46/CE, 35º-1, da C.R.P., e 11º, da LPDP).
Tal como o Direito de Informação é instrumental em relação ao Direito de Acesso,
também este Direito de Acesso constitui um instrumento destinado ao pleno exercício
do Direito de Rectificação e Actualização, de que vamos falar já a seguir.

c) Direito de Rectificação e Actualização

O Direito de Rectificação e Actualização consiste em o titular dos dados pessoais,

verificando, através do Direito de Acesso, que tais dados pessoais estão incorrectos
 Página 13 de 24

e/ou desactualizados, ter o direito de os rectificar e/ou actualizar (artigos 8º, da

Convenção 108, 12º, da Directiva 95/46/CE, 35º-1, da C.R.P., e 11º, da LPDP).
Ensina-nos Luís Novais Lingnau da Silveira, que uma situação em que este Direito de
Rectificação e Actualização ganha uma especial importância é no caso de tratamento
de dados a cargo das polícias.
E isto porque, como os tribunais não estão, ao contrário do que deveria suceder,
obrigados a enviar às polícias, informações acerca das decisões finais, proferidas nos
processos que neles tramitam, sucede com frequência que as polícias continuam a
tratar dados de pessoas que já se encontram absolvidas.

d) Direito de Eliminação

O Direito de Eliminação consiste em o titular dos dados exigir que os seus dados
sejam eliminados do ficheiro de endereços utilizados para marketing (artigos 8º, da
Convenção 108, e 11º, da LPDP).

e) Direito de Oposição

O Direito de Oposição traduz-se em o titular dos dados ter o direito de se opor, a seu
pedido, e gratuitamente, ao tratamento dos seus dados pessoais para efeitos de
marketing directo, ou de qualquer outra forma de prospecção, incluindo da própria
empresa de que ele titular dos dados é cliente, bem como a que tais dados pessoais
sejam comunicados a terceiro, salvo disposição legal em contrário (artigos 14º, da
Directiva 95/46/CE, e 12º, da LPDP).
f) Outros Direitos
 Página 14 de 24

Entre os outros direitos do titular dos dados, incluem-se o de exigir que os dados
sejam recolhidos de forma lícita e leal, bem como o de se opor a que tais dados
pessoais sejam utilizados para finalidade incompatível com aquela que determinou a
recolha, e ainda a não ficar sujeito a uma decisão tomada exclusivamente com base
num tratamento de dados automatizado, destinado a avaliar, designadamente, a
capacidade profissional, o crédito ou o comportamento do titular dos dados (artigos
15º, da Directiva 95/46/CE, e 13º, da LPDP).

III - A protecção de dados pessoais nas comunicações electrónicas

III - 1 - O Enquadramento Legal

À protecção, em Portugal, dos dados pessoais nas comunicações electrónicas aplicam-se

naturalmente todos os instrumentos jurídicos da ordem interna portuguesa atrás
referidos, relativos à protecção dos dados pessoais em geral (vide o ponto II-3-3
anterior), bem como outros instrumentos jurídicos, que dizem especificamente respeito à
protecção de dados nas comunicações electrónicas.
Tais instrumentos jurídicos específicos são a Directiva 2002/58/CE, do Parlamento
Europeu e do Conselho, de 12 de Julho de 2002, que foi transporta para a ordem jurídica
interna portuguesa pela Lei n.º 41/2004, de 18 de Agosto de 2004 (bastante depois,
portanto, de ter acabado o prazo de transposição, o que sucedeu no dia 01 de Outubro de
2003), e que teve em vista aplicar à área das comunicações electrónicas os princípios
gerais de protecção de dados pessoais constantes da já atrás referida Directiva
95/46/CE., tendo pois esses dois diplomas legais (o comunitário e o nacional) como
objectivo o tratamento de dados pessoais e a protecção da privacidade no sector das
comunicações electrónicas.
 Página 15 de 24

Essa Directiva 2002/58/CE, de 12 de Julho, foi alterada, já por duas vezes, primeiro,
através da Directiva 2006/94/CE, do Parlamento Europeu e do Conselho, de 15 de
Março de 2006, e, depois, por intermédio da Directiva 2009/136/CE, do Parlamento
Europeu e do Conselho, de 25 de Novembro de 2009 (Directiva “Direitos dos
Cidadãos”), cujo prazo de transposição nos Estados-membros termina no dia 25 de Maio
de 2011.
A Directiva 2006/94/CE foi transposta em Portugal pela Lei 32/2008, de 17 de Julho,
tendo esses dois diplomas legais (o comunitário e o nacional) em vista a conservação de
dados gerados ou tratados no contexto da oferta de serviços de comunicações
electrónicas publicamente disponíveis ou de redes públicas de comunicações.
É ainda relevante o Decreto-Lei n.º 134/2009, de 02 de Junho, que estabelece o regime
jurídico aplicável à prestação de serviços de promoção, informação e apoio aos
consumidores e utentes através de centros telefónicos de relacionamento (call-centers).
Refere Luís Novais Lingnau da Silveira, que a Directiva 2002/58/CE, tem sido objecto
de algumas críticas, designadamente no que tange ao seu âmbito, que, alguns, embora
não todos, entendem que é demasiado restrito, em virtude de se cingir apenas às
comunicações externas, e não também às internas, que ocorrem dentro de cada
instituição.

III – 2 – Dados Pessoais relevantes e seu Controle e Retenção

Os dados pessoais que se consideram relevantes para a respectiva protecção são os

seguintes:

1) Dados de Conteúdo
2) Dados de Tráfego
 Página 16 de 24

3) Dados de Emissão
4) Dados de Recepção

Consideremo-los em separado, analisando também o respectivo controle e retenção, esta

apenas quanto aos dados de tráfego:

1) Dados de Conteúdo

A CNPD, similarmente aliás aquilo que sucede com outras entidades suas congéneres
a nível mundial, tem defendido a posição que os dados de conteúdo das comunicações
electrónicas estão sujeitos ao regime geral do sigilo das comunicações.
Dentro destes dados de conteúdo tem merecido especial atenção da CNPD a
comunicação de dados de saúde, através da telemedicina e do consultório móvel, tema
este relativamente ao qual, muito embora não haja ainda nenhuma deliberação de
carácter geral da CNPD, se pode inferir, das autorizações por tal organismo
concedidas, que:
a) A telemedicina e o consultório móvel, envolve o tratamento de dados pessoais,

naturalmente desde que se reportem a pessoas identificadas ou identificáveis;

O tratamento dos dados de saúde, embora se trate de dados sensíveis (artigos 35º-3,
da C.R.P., e 7º-1-2, da Lei 67/98, e, a nível comunitário, o artigo 8º, da Directiva
95/46/CE.), não necessita, para ser legítimo, do consentimento expresso dos
titulares dos dados, desde que esse tratamento seja realizado por profissionais
sujeitos a sigilo profissional, e isto em virtude do tratamento de dados de saúde, no
âmbito do diagnóstico e da prestação de cuidados de saúde, ser expressamente
permitido pelo número 4, do artigo 7º, da Lei n.º 67/98.
 Página 17 de 24

b) Aos titulares dos dados deve ser reconhecido o direito de informação e de acesso
acerca dos tratamentos, com a ressalva das situações de urgência.
c) O tratamento deve ser rigorosamente confidencial (confidencialidade essa que
abrange toda a equipa médica que procede ao tratamento).

Quanto ao controle dos dados de conteúdo das comunicações electrónicas (como

aliás todas as outras), diga-se que, como regra geral, a tais dados só devem poder ter
acesso terceiros à relação emitente-destinatário, por força da lei, de decisão judicial,
ou do consentimento dos interessados, tendo a CNPD, por diversas vezes, vincado
este entendimento em diversas áreas da sua competência, designadamente quanto aos
call-centers, que a CNPD tem autorizado.
Realmente, as autorizações de call-centers emitidas pela CNPD ressalvam sempre
que os clientes que telefonam para esses call-centers, sejam, logo no princípio da
comunicação, informados que as suas chamadas vão ser gravadas, e que manifestem,
de modo expresso, que concordam com esta gravação, tendo também os
trabalhadores/telefonistas, que desempenham funções de atendimento nos call-
centers em questão, que consentir na gravação das chamadas que atendem, devendo
ser-lhes atribuídas outras funções, caso o não façam. É claro que estes cuidados se
não exigem naquelas situações (comprovação de negociações ou de celebração de
contratos, e recurso a serviços de urgência), em que a própria Lei (artigo 4º-4, da Lei
n.º 41/2004, de 18 de Agosto), admite tal gravação.
A CNPD proferiu já duas deliberações gerais sobre os princípios aplicáveis ao
tratamento de dados de gravação de chamadas, efectuadas no âmbito de uma relação
contratual, de uma emergência, ou da monitorização da qualidade do atendimento,
sendo a primeira dessas duas deliberações, a Deliberação n.º 922/2009, de 09 de
Novembro de 2009, relatada por Ana Roque, que foi revogada pela segunda de tais
 Página 18 de 24

duas deliberações, que foi a Deliberação n.º 629/2010, de 13 de Setembro de 2010,

relatada também por Ana Roque.
Também os Princípios sobre a Privacidade no Local de Trabalho, documento
aprovado da CNPD, na sua sessão plenária de 29 de Outubro de 2002, e que se
referem ao controle de comunicações dos trabalhadores no local de trabalho,
admitem, a título muito excepcional (número 7, do ponto 3.1), o acesso dos
empregadores ao conteúdo dos e-mails recebidos pelos trabalhadores, apenas nos
casos de ausência prolongada destes (férias, doença, etc), e de tal acesso ser
indispensável por motivos imperiosos do funcionamento da empresa, da mesma
opinião sendo também, o Professor da Universidade Católica do Porto, Doutor Júlio
Manuel Vieira Gomes (10).

2) Dados de Tráfego

Tal como sucede com os Dados de Conteúdo, também os dados de tráfego (referentes
ao emitente, ao receptor, ao meio, à data, à ocasião, e à duração da comunicação),
constituem dados pessoais, desde que digam respeito a pessoas singulares
identificadas ou identificáveis.
A questão que se poderá colocar, e que se coloca, é a de saber se tais dados de tráfego,
que se reportam à vida privada dos respectivos titulares, poderão, ou não, ser
considerados como dados sensíveis, face à já atrás referida divergência existente entre
o artigo 8º, da Directiva 95/46/CE, que não inclui os dados da vida privada no elenco
dos dados sensíveis que enuncia, e os artigos 35º-3, da C.R.P., e 7º-1 e 2, da Lei n.º
67/98, que integram nos dados sensíveis os respeitantes à vida privada, tendo assim a

10
() Direito de Trabalho, volume I, 367 a 384, Coimbra Editora, 2007.
 Página 19 de 24

ordem jurídica portuguesa uma concepção mais ampla de dados sensíveis do que
aquela que tem o direito comunitário.
Na posição da CNPD os dados privados são dados sensíveis, não só porque a
enumeração de dados sensíveis, constante do artigo 8º, da Directiva 95/46/CE, não
deve ser considerada como taxativa, mas apenas como um conjunto mínimo de dados
sensíveis, que o legislador de cada Estado-membro, não pode reduzir, muito embora
possa, se assim o entender, ampliar, mas também porque a C.R.P. deve ser
considerada, como possuindo um nível vinculativo superior às regras do direito
comunitário.
Ora, se o primeiro argumento usado pela CNPD para defender que os dados relativos
à vida privada, incluindo os dados de tráfego das comunicações electrónicas, são
dados sensíveis, merece a nossa concordância, até porque conduz a um sistema mais
protector dos dados pessoais, o mesmo não sucede com o segundo argumento da
CNPD atrás referido (superioridade hierárquica da C.R.P. sobre o direito
comunitário), segundo argumento esse do qual dissentimos.
Dissenso esse que se funda no artigo 8º-4, da C.R.P., e tendo em conta que os termos
definidos pelo Direito da União, para a aplicabilidade, na ordem interna dos Estados-
membros, das disposições primárias e derivadas do direito comunitário, apontam,
claramente, para o primado deste direito comunitário, relativamente ao direito interno
dos Estados-membros, seja esse direito ordinário, seja ele mesmo direito
constitucional. Não servindo também aqui, para justificar a posição da CNPD, a
ressalva, ou, chamemos-lhe assim, “válvula de escape”, que constitui o inciso final,
do número 4, de tal artigo 8º, da C.R.P.: “com respeito pelos princípios fundamentais
do Estado Direito Democrático”. E isto porque nos não parece, que o artigo 8º, da
Directiva 95/46/CE, ofenda os princípios fundamentais do Estado Direito
Democrático que Portugal é (artigo 2º, da C.R.P.).
 Página 20 de 24

Com atinência ao controle dos dados de tráfego, a CNPD, na sua já atrás citada
deliberação de 21 de Outubro de 2002, desenvolveu critérios que recomendou que
fossem seguidos pelas entidades patronais, quando estas pretendessem controlar os
dados de tráfego das comunicações levadas a cabo pelos seus trabalhadores em
período laboral, sugerindo que se começasse sempre por uma abordagem geral de tais
comunicações, passando-se depois, se necessário, a uma descriminação por sectores.
Se se revelar indispensável o controle das comunicações de um trabalhador
determinado, propôs a CNPD, que tal controle se efectivasse na presença do
trabalhador visado, ou de um representante dos trabalhadores.

No que toca à retenção ou conservação dos dados de tráfego perfilam-se nela dois
interesses contra-postos e a saber: de um lado, o interesse dos titulares dos dados em
que estes não sejam tratados por tempo indefinidos e, do outro lado, outros interesses,
designadamente os atinentes à prova, aconselhando uma conservação ou retenção de
tais dados de tráfego.
Assim, e sopesando estes dois interesses, a Directiva 2002/58/CE, estabeleceu, no seu
artigo 6º, que, como regra geral, os dados de tráfego relativos a cada comunicação
devem ser destruídos, logo que a comunicação esteja concluída, com a ressalva de um
período de 6 meses de conservação para efeitos de facturação.
A Directiva 2006/24/CE, de 15 de Março, alargou o período de retenção ou
conservação, de 6 meses para 2 anos, em relação à investigação de crimes graves.
A CNPD, no seu Parecer n.º 38/2007, de 16 de Julho de 2007, que recaiu sobre o
projecto de proposta de lei de transposição de tal Directiva de 2006/24/CE, projecto
esse que apontava também para um período máximo de conservação dos dados de
tráfego de 2 anos, defendeu que esse período de 2 anos era excessivo, preconizando
 Página 21 de 24

também uma definição mais rigorosa dos crimes, cuja investigação seja justificativa
de uma conservação de dados por um período mais alargado.
A Lei 32/2008, de 17 de Julho, que transpôs para a ordem jurídica interna portuguesa
a Directiva 2006/24/CE, fixou, no seu artigo 6º, um período de 1 ano, a contar da data
da conclusão da comunicação, para serem conservados os dados de tráfego, previstos
no número 1, do mesmo artigo, ao mesmo tempo que, na alínea g), do número 1, do
artigo 2º, precisou o conceito de crime grave, remetendo para isso para conceitos
constantes e definidos no Código Penal e no Código de Processo Penal, acolhendo
assim, o atrás referido Parecer n.º 38/2007, da CNPD, acolhimento este que esta
autoridade administrativa aliás expressamente reconheceu já ter-se verificado. (11)

3)Dados de Emissão

Quanto à emissão das comunicações electrónicas o princípio é o da liberdade de

emissão delas, enquanto afloramento da liberdade de expressão de pensamento,
havendo contudo uma questão, que é a da aplicabilidade de tal princípio aos menores.
Parece evidente que, e esta é também a posição da CNPD, se a incapacidade legal dos
menores termina de um momento para o outro, e precisamente naquele instante em
que o menor atinge os 18 anos de idade, o mesmo não sucede com a sua incapacidade
real, que sofre naturalmente progressivas e contínuas diminuições, com o correlativo
aumento da capacidade do menor, à medida que o tempo vai decorrendo.
Assim, seria irrealista pensar, por exemplo, que um jovem de 17 anos, não tem
capacidade para emitir uma comunicação electrónica, tendo que chamar, para isso, o
seu representante legal, para suprir essa incapacidade legal, não tendo pois esse menor

11()
SILVEIRA, Luís Lingnau Novais da, Relatório Português (datado de 16 de Outubro de 2009) do VII Encontro Ibero-
americano, que teve lugar em Madrid, no dia 03 de Novembro de 2009.
 Página 22 de 24

liberdade legal de emissão de comunicações electrónicas, embora tenha capacidade

real para o fazer.
É evidente que não é, nem pode ser, assim, conclusão esta a que, muito embora não
haja legislação interna que reconheça a graduação da capacidade dos menores, à
medida que a idade destes aumenta, não pode deixar de conduzir também o disposto
no artigo 27º, da Convenção da ONU, Sobre os Direitos da Criança.

4)Dados de Recepção

A recepção de comunicações electrónicas é também, tal como a emissão delas, regida

pelo princípio de liberdade, que constitui, neste caso, um afloramento da mais ampla
liberdade de informação.
A Directiva 2002/58/CE institui, a este respeito, e de uma forma inovadora, a regra do
“opt-in”, de acordo com a qual a recepção de comunicações electrónicas está sujeita
ao prévio consentimento do respectivo destinatário.
A Comissão Nacional de Protecção de Dados já se pronunciou acerca da aplicação
desta regra do “opt-in”, ao marketing político, através de e-mail.
Verificou a Comissão Nacional de Protecção de Dados, que a maioria dos partidos
políticos, fosse pelo que fosse, não cumpria esta regra, remetendo diversa propaganda
política através de e-mail, sem prévia solicitação, nem consentimento, dos
destinatários.
Face a essa situação a CNPD, emitiu, em 09 de Julho de 2002, a deliberação geral n.º
143/2002, na qual esclareceu que o envio de propaganda política, através de e-mail,
dependia sempre do prévio consentimento dos destinatários, precisando até que nem
sequer seria legítimo enviar um e-mail prévio aos destinatários, a perguntar se
desejavam receber propaganda política via e-mail, pois que, mesmo essa pergunta, se
 Página 23 de 24

efectuada por e-mail, já teria que obedecer ao princípio do “opt-in”, ou seja, já teria
que ela própria ser previamente autorizada pelos respectivos destinatários. Assim, a
questão de saber se os destinatários pretendem receber propaganda política via e-mail,
tem que ser colocada por outra via, designadamente por anúncio público, pela
comunicação social, ou por cartazes.
Esta posição da CNPD foi reiterada em 20 de Setembro de 2005, através de nova
deliberação (relatada por Eduardo Campos), no qual esta autoridade concluiu que, por
força da Directiva 2002/58/CE, de 12 de Julho, e do artigo 22º-1, do Decreto-Lei
7/2004, de 07 de Janeiro, o envio (por parte de toda e qualquer entidade, empresarial
ou sem fins lucrativos) de mensagens (de qualquer natureza), mesmo de cariz cívico
ou político por correio electrónico (independentemente da tecnologia adoptada),
carece de consentimento (livre, específico e informado) prévio, por parte do
destinatário, devendo, em todos os casos de utilização dos endereços e contactos
electrónicos dos titulares para envio de mensagens por qualquer via electrónica, os
tratamentos de dados pessoais, devem, nos termos do artigo 27º, da LPDP, ser
notificados junto da CNPD.

IV - Conclusão

A protecção dos dados pessoais em geral autonomizou-se do direito da privacidade, do

qual é “filha”, ganhando foros de cidadania, estando hoje completamente regulada
juridicamente em normas positivadas, no topo das quais, a nível do direito interno
português, se situa a C.R.P., constituindo a protecção em questão, um DLG de natureza
pessoal.
Tal armadura legal terá por certo que evoluir muito rapidamente, pois que, os espantosos
avanços tecnológicos que todos os dias nos surpreendem, constituem uma ameaça à vida
 Página 24 de 24

privada e à protecção dos dados pessoais, concretizando assim uma visão que George
Orwell já havia tido, em termos ficcionais, em Junho de 1949, quando escreveu o seu
livro 1984, que eternizou a figura do Big Brother.