A Proteção de Dados Pessoais em Portugal e nos Outros Países de Língua Portuguesa, uma cartografia das Fontes Legislativas

por Manuel David Masseno - 22/04/2018

 

Entre uma realidade consolidada[1]

 

Em Portugal, quem acompanhar o que vai saindo nos Media pensará que estamos às portas dum Mundus Novus, o do Regulamento n.º 2016/679, do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), completado pela Diretiva 2016/680, do Parlamento e do Conselho, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e pela Diretiva 2016/681, do Parlamento e do Conselho, relativa à utilização dos dados dos registos de identificação dos passageiros (PNR) para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave, ambas da mesma data. Aliás, muitos querem habilitar-se a ser um dos Novi Homines [ac Mulieres], os DPO – encarregados da proteção de dados.

Porém, esta é já a terceira geração legislativa na matéria. Com a primeira a corresponder à da Lei n.º 10/91, de 29 de abril, que aprovou a Lei da Proteção de Dados Pessoais face à Informática, densificando e pondo em ato o então disposto na Constituição da República Portuguesa (Art.º 35.º – Utilização da informática) e na Convenção do Conselho da Europa sobre a proteção das pessoas relativamente ao tratamento automatizado de dados de carácter pessoal, n.º 108, de 28 de janeiro de 1981, Enquanto a segunda deu lugar a um microssistema, com núcleo na Lei n.º 67/98, de 26 de outubro, que aprovou a Lei da Proteção de Dados Pessoais, transpondo a Diretiva 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Para mais, é essencial lembrar que as bases fundamentais se manterão. Especificamente, refiro-me à Constituição da República, com o referido Art.º 35.º, ao qual acresce agora o Art.º 26.º (“Outros direitos pessoais”), incorporando direitos de personalidade como “a reserva da intimidade da vida privada e familiar”, e ao Tratado sobre o Funcionamento da União Europeia, o qual, depois do Tratado de Lisboa, passou a conter um fundamento explícito e próprio para o direito à proteção dos dados de caráter pessoal (Art.º 16.º), acrescendo ao já previsto na Carta dos Direitos Fundamentais da União Europeia (Art.ºs 7.º – Respeito pela vida privada e familiar e 8.º – Proteção de dados pessoais), agora com o mesmo nível vinculativo que os Tratados, por força do Tratado da União Europeia (Art.º 6.º n.º 1); e, bem assim, do disposto na Convenção para a Proteção dos Direitos do Homem e das Liberdades Fundamentais, do Conselho da Europa, de 4 de novembro de 1950 (Art.º 8.º – Direito ao respeito pela vida privada e familiar), a partir do qual foi sendo construída uma muito relevante Jurisprudência pelo Tribunal Europeu dos Direitos do Homem.

Além de ser preciso ter na devida conta que o Diploma resultante do processo legislativo desencadeado pela Proposta de Lei n.º 120/XIII, de 26 de março último, que assegurará a execução, na ordem jurídica interna, do Regulamento (UE) 2016/679, dará resposta apenas a algumas das questões suscitadas pela aplicabilidade direta do Regulamento. Com efeito, a atual Lei da Proteção de Dados Pessoais constitui o fulcro dum microssistema muito amplo, sendo necessário um esforço muito sério e consequente de modo a retirar as necessárias consequências da sua substituição pelo Regulamento Geral sobre a Proteção de Dados, para cada caso, por parte dos Operadores do Direito.

Assim e designadamente, em matéria de tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas persistirá Lei n.º 41/2004, de 18 de agosto, tal como atualizada pela Lei n.º 46/2012, de 29 de agosto, as quais transpuseram a Diretiva 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) e a Diretiva 2009/136/CE, do Parlamento Europeu e do Conselho, de 25 de novembro de 2009; no domínio penal e processual penal, a Lei n.º 32/2008, de 17 de julho, que transpôs a Diretiva 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março de 2006, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações, e que altera a Diretiva 2002/58/CE [entretanto anulada pelo Acórdão do Tribunal de Justiça da União Europeia (Grande Secção), 8 de abril de 2014, nos processos apensos Digital Rights Ireland Ltd (C‑293/12) e Kärntner Landesregierung (C‑594/12)], sem efeitos diretos para a vigência da Lei portuguesa], a Lei n.º 109/2009, de 15 de setembro, que aprovou a Lei do Cibercrime, transpondo para a ordem jurídica interna a Decisão Quadro n.º 2005/222/JAI, do Conselho, de 24 de fevereiro, relativa a ataques contra sistemas de informação, e adaptou ao direito interno a Convenção sobre Cibercrime do Conselho da Europa, de 23 de novembro de 2001, a Lei n.º 37/2015, de 5 de maio, que estabelece os princípios gerais que regem a organização e o funcionamento da identificação criminal, transpondo para a ordem jurídica interna a Decisão-Quadro 2009/315/JAI, do Conselho, de 26 de fevereiro de 2009, relativa à organização e ao conteúdo do intercâmbio de informações extraídas do registo criminal entre os Estados membros, e a Lei n.º 5/2008, de 12 de fevereiro, que aprovou a criação de uma base de dados de perfis de ADN para fins de identificação civil e criminal; no que se refere ao tratamento de dados de saúde e dados genéticos, a Lei n.º 12/2005, de 26 de janeiro, sobre informação genética pessoal e informação de saúde, a que acresce a Lei .º 5/2012, de 23 de janeiro, que regula os requisitos de tratamento de dados pessoais para constituição de ficheiros de âmbito nacional, contendo dados de saúde, com recurso a tecnologias de informação e no quadro do Serviço Nacional de Saúde, mas também a Lei n.º 53/2017, de 14 de julho, que cria e regula o Registo Oncológico Nacional, bem como a Lei n.º 26/2016, de 22 de agosto, aprova o regime de acesso à informação administrativa e ambiental e de reutilização dos documentos administrativos, transpondo a Diretiva 2003/4/CE, do Parlamento Europeu e do Conselho, de 28 de janeiro, e a Diretiva 2003/98/CE, do Parlamento Europeu e do Conselho, de 17 de novembro, e ainda a Lei n.º 7/2009, de 12 de fevereiro, que aprovou o Código do Trabalho, além da já referida Lei n.º 5/2008; nos Registos, que, sobretudo por força da primeira versão do Programa Simplex, passaram a estar explicitamente neste âmbito, o Decreto-Lei n.º 324/2007, de 28 de setembro, alterando o Decreto-Lei n.º 131/95, de 6 de junho, que aprovou o Código do Registo Civil, a Lei n.º 7/2007, de 5 de fevereiro, que aprovou a disciplina do cartão de cidadão, o Decreto-Lei n.º 247-B/2008, de 30 de dezembro, alterando o Decreto-Lei n.º 129/98, de 13 de maio, no que se refere ao Registo Nacional de Pessoas Coletivas, o Decreto-Lei n.º 76-A/2006, de 29 de março, que modificou o Decreto-Lei n.º 403/86, de 3 de dezembro, relativo ao Código do Registo Comercial, e ainda o Decreto-Lei n.º 116/2008, de 4 de julho, alterando Decreto-Lei n.º 224/84, de 6 de julho, sobre o Código do Registo Predial; na Videovigilância, com expressão para todos os sensores, agora em contexto de Internet das Coisas, a Lei n.º 1/ 2005, de 10 de janeiro, como alterada pela Lei n.º 9/2012, de 23 de fevereiro, regulando a videovigilância pelas forças de segurança em locais públicos de utilização comum, a Lei n.º 34/2013, de 16 de maio, que disciplina a utilização de sistemas de videovigilância pelos serviços de segurança privada e de autoproteção, o Decreto-Lei n.º 207/2005, de 29 de Novembro, sobre os meios de vigilância eletrónica rodoviária utilizados pelas forças de segurança, ou o Decreto-Lei n.º 135/2014, de 8 de setembro, o qual estabelece o regime jurídico dos sistemas de segurança privada dos estabelecimentos de restauração e de bebidas que disponham de salas ou de espaços destinados a dança; e ainda noutros setores, como na no disciplinado pela da Lei n.º 34/2009, de 14 de julho, que criou o regime jurídico aplicável ao tratamento de dados referentes ao sistema judicial, incluindo os referentes aos meios de resolução alternativa de litígios, e na Lei Geral Tributária, aprovada pelo Decreto-Lei n.º 398/98, de 17 de dezembro, incluindo as regras relativas ao tratamento e segurança dos dados dos contribuintes.

 

Com réplicas

Depois de Portugal, é Cabo Verde o país com uma maior atenção a esta problemática. Assim, na respetiva Constituição, de 1980, encontramos enunciados ainda mais detalhados que os presentes na Lei Fundamental portuguesa, na qual se inspirou, com um preceito dedicado à “Utilização de meios informáticos e proteção de dados pessoais” (Art.º 44.º), complementado por um outro, apenas sobre o “Habeas data” (Art.º 45.º). Por sua vez, no plano infraconstitucional, vigora a Lei n.º 133/V/2001, de 22 de janeiro, que estabelece o regime jurídico geral de proteção de dados pessoais das pessoas singulares, já atualizada pela Lei n.º 41/VIII/2013, de 17 de setembro, com um conteúdo muito próximo do europeu e português. Este Diploma é complementado pela Lei n.º 42/VIII/2013, de 17 de setembro, que regula a composição, a competência, a organização e o funcionamento da Comissão Nacional de Proteção de Dados, e pela Lei n.º 86/VIII/2015, de 14 de abril, regula a instalação e utilização de sistemas de videovigilância em espaços públicos e em locais de acesso vedado ou condicionado ao público.

Com um conteúdo material semelhante, temos em Macau a Lei n.º 8/2005, de 22 de agosto, que define a Lei da Proteção de Dados Pessoais, a qual veio concretizar o “direito à reserva da intimidade da vida privada e familiar” (Art.º 30.º) e a “liberdade e o sigilo dos meios de comunicação” (Art.º 32.º), previstos na Lei Básica da Região Administrativa Especial de Macau da República Popular da China, de 31 de março de 1993. Embora, falte uma Autoridade Independente, pois o Gabinete para a Proteção de Dados Pessoais foi criado e regulado pelo Despacho do Chefe do Executivo n.º 83/2007, de 7 de março de 2007, sob cuja tutela funciona.

E primeiros passos

Por sua vez, a Constituição da República de Angola, de 2010, além de consagrar o “Direito à identidade, à privacidade e à intimidade” (Art.º 32.º), a propósito do “Habeas data” (Art.º 69.º), enuncia as regras essenciais sobre proteção de dados. Logo depois, foi publicada a Lei n.º 22/11, de 17 de junho, a Lei da Proteção de Dados Pessoais, também com uma clara influência portuguesa e europeia, embora tenha sido necessário esperar pelo Decreto Presidencial n.º 214/2016, de 16 de outubro, para a aprovação do Estatuto Orgânico da Agência Angolana de Proteção de Dados, a qual ainda não está em funções e cuja independência não é assegurada. Adicionalmente e no que se refere à segurança e proteção de dados nas comunicações eletrónicas, vigora a Lei n.º 7/2017, de 16 de fevereiro, relativa à Proteção das Redes e Sistemas Informáticos.

Por sua vez, embora a Constituição da República Democrática de São Tomé e Príncipe, de 1975, mesmo depois da Revisão de 2003, apenas determine que a “A identidade pessoal e a reserva da intimidade da vida privada e familiar são invioláveis” (Art.º 24.º –   Direito à Identidade e à Intimidade), o país já dispõe da Lei n.º 3/2016, de 10 de maio, que visa garantir e proteger os dados pessoais das pessoas singulares, também em linha com o modelo europeu e português, a qual foi completada com a Lei n.º 7/2017, de 6 de abril, que regula a organização e o funcionamento da Agência Nacional de Proteção de Dados Pessoais enquanto autoridade administrativa independente, sem qualquer interferência governamental, antecedidas pelo Decreto-Lei n.º 37/2008, de 25 de novembro, que regulamenta a Base de Dados dos Passaportes.

Quanto a Moçambique, a Constituição de 2004, se, a propósito dos “Outros direitos pessoais”, determina que “Todo o cidadão tem direito […] à reserva da sua vida privada.” (Art.º 41.º), contem regras sobre a “Utilização da informática” (Art.º 71.º), com um alcance semelhante aos das primeiras versões da Lei Fundamental portuguesa. Na falta da, prevista, lei geral sobre proteção de dados, a Lei n.º 3/2017, de 9 de janeiro, que estabelece o regime jurídico das transações eletrónicas, do comércio eletrónico e do governo eletrónico, disciplina o essencial da matéria, ainda que na perspetiva dos deveres do responsável pela proteção de dados ou do subcontratante, embora com uma clara influência da terminologia em Inglês.

Semelhante é a situação em Timor-Leste, cuja Constituição, de 2010, além de também consagrar o “Direito à honra e à privacidade” (Art.º 36.º), regula a “Proteção de dados pessoais” (Art.º 38.º), sempre em termos muito próximos aos da Constituição portuguesa, ainda que de uma forma mais sucinta. Também na ausência duma lei geral sobre proteção de dados e nomeadamente, encontramos projeções destas regras na Lei do Parlamento n.º 5/2010, de 21 de abril, Recenseamento Geral da População e Recenseamento Geral da Habitação 2010, atualizada pela Lei do Parlamento n.º 1/2015, de 8 de julho, assim como na Lei do Parlamento n.º 6/2016, de 25 de maio, a Lei do Recenseamento Eleitoral.

 

E também incógnitas

Se a Constituição da República da Guiné-Bissau, de 1984, se limita a dispor que “A todos é reconhecido o direito […] à reserva da intimidade da vida privada e familiar” (Art.º 44.º n.º 1), o que é compreensível em atenção à sua quase permanente instabilidade governativa e parlamentar, assim como às prioridades dos respetivos níveis de desenvolvimento humano, económico e tecnológicos, o mesmo não serve para explicar a outra omissão… a do Brasil.

Efetivamente, se do elenco dos Direitos e Deveres Fundamentais Individuais e Coletivos previsto na Constituição Federal, de 1988, (Art.º 5.º), apenas consta que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação” (X) e que “conceder-se-á habeas data” (LXXII), três décadas não chegaram para estas matérias virem a ser disciplinadas pela Lei ordinária.

Assim, o chamado Marco Civil da Internet, aprovado pela Lei n.º 12.965, 23 de abril de 2014, depois de enunciar a “proteção da privacidade” (II) e a “proteção dos dados pessoais, na forma da lei” (III) entre os “Princípios da disciplina do uso da internet no Brasil” (Art.º 3.º), procura assegurar alguns direitos que limitam o tratamento de dados (Art.º 7.º), e tornar aplicável a Lei brasileira a “qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais” que ocorra no seu território (Art.º 11.º). O Marco Civil for regulamentado pelo Decreto n.º 8.771, de 11 de maio de 2016, o qual definiu “dado pessoal” e “tratamento de dados” (Art.º 14.º I e II), mas só para fins relacionados com a segurança dos mesmos.

Encontramos ainda algumas regras pertinentes no Código de Defesa do Consumidor, aprovado pela Lei n.º 8.078, de 11 de setembro de 1990, e na Lei de Acesso a Informações Públicas, a Lei n.º 12.527, de 18 de novembro de 2011, em cujos termos “O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais” (Art.º 31.º), mas as “informações pessoais [a que se refere, são apenas as] relativas à intimidade, vida privada, honra e imagem” (§ 1.º).

Aliás, procurando responder dar resposta a este quase vazio, estão em tramitação na Câmara dos Deputados, o PL [Projeto de Lei] n.º 4060/2012 (Dep. Milton Monti), ao qual foi apensado o PL n.º 5276/2016, proveniente do Poder Executivo, e no Senado, o PLS n.º 330/2013 (Se. Antônio Carlos Valadares), o PLS [Projeto de Lei do Senado] n.º 131/2014 (CPI da Espionagem) e o PLS n.º 181/2014 (Sen. Vital do Rêgo) deram lugar a um substitutivo (Sen. Aloysio Nunes Ferreira), desde 13 de outubro de 2015, não existindo previsões de quando serão votados em definitivo.

E algumas reflexões

Terminada este breve esboço, é de constatar uma evolução constante na Lusofonia, ainda que com tempos diferenciados, quase sempre com uma significativa referência a Portugal, devida tanto à pioneira previsão constitucional quanto à sua constante adequação aos modelos europeus. A exceção é o Brasil, isolado na sua dimensão continental e dependente duma Jurisprudência casuística e fragmentária.


[1] A forma de escrita e hiperlinks informados pelo autor foram mantidos pela Revista Eletrônica Direito & TI, visando a preservar o estilo e liberdade de escrita do mesmo.


Sobre o texto: é versão ampliada, sobretudo no que respeita às Fontes portuguesas, e com adição de referências hipertextuais, do artigo “Da Proteção de Dados na Lusofonia, um portulano”, em publicação na “Edição especial lusófona” de maio/junho sobre Proteção de Dados da revista Vida Judiciária.


Manuel David Masseno é Professor Adjunto e Pesquisador Sênior no Laboratório UbiNET do Instituto Politécnico de Beja, em Portugal, onde trata de matérias sobre Proteção de Dados desde 1993. Desde 2016, tem lecionado nos Cursos sobre Proteção de Dados do ICJP da Faculdade de Direito da Universidade de Lisboa. Além disso, integra o Grupo Permanente sobre Segurança e Privacidade da APSDI – Associação para a Promoção e Desenvolvimento da Sociedade da Informação e, além de Diretor para as Relações Internacionais do IBDI – Instituto Brasileiro de Direito da Informática, é Consultor da Comissão de Direito Digital e Compliance da OAB São Paulo, assim como do Grupo de Trabalho sobre Direito Digital e Compliance da FIESP – Federação das Indústrias do Estado de São Paulo. Pertence ainda ao EDEN – Europol Data Protection Experts Network. E-mail: mdmasseno@gmail.com.

 

Comentários

Veja também:

Morocha Virtual: alguns aspectos da violência de gênero na Internet
Imagens que vendem sonhos e ostentação
Privacidade – rápidas considerações sobre a evolução da legislação brasileira
Whatsapp: é possível cumprir decisões judiciais?

2015 - Todos os direitos Reservados