Dos Registos na Sociedade em Rede: apontamentos iniciais referentes à Proteção de Dados Pessoais e Segurança da Informação

por Manuel David Masseno - 05/10/2015

* Primeira parte da Aula ministrada no Curso de Pós-graduação em Direito Notarial e Registo Predial ‘Prof. Doutor Manuel Henrique Mesquita’, no CENoR – Centro de Estudos Notariais e Registais, da Faculdade de Direito da Universidade de Coimbra, em Portugal, no dia 14/09/2015.

Antes de abordar diretamente o tema, considero necessário enunciar um par de pré-entendimentos. Primeiro, temos a consideração dos Registos enquanto Sistemas de Tratamento de Dados Pessoais. Aliás, os Registos sempre o foram, ainda que fragmentários e com origens históricas distintas, ainda que destinados a dar publicidade a situações jurídicas determinadas

Ainda hoje assim o é, como resulta, explicitamente, do Art.º 1.º do CRPredial – Código do Registo Predial (Decreto-Lei n.º 224/84, de 6 de julho), em cujos termos “O registo predial destina-se essencialmente a dar publicidade à situação jurídica dos prédios, tendo em vista a segurança do comércio jurídico imobiliário”, do também Art.º 1.º do CRComercial – Código do Registo Comercial (Decreto-Lei n.º 403/86, de 3 de dezembro), “O registo comercial destina-se a dar publicidade à situação jurídica dos comerciantes individuais, das sociedades comerciais, das sociedades civis sob forma comercial e dos estabelecimentos individuais de responsabilidade limitada, tendo em vista a segurança do comércio jurídico.”, e ainda dos Art.ºs 1.º e 2.º do CRCivil – Código do Registo Civil (Decreto-Lei n.º 131/95, de 6 de junho)[i].

Para o compreender este enquadramento, adequado ao estado atual das Fontes europeias, logo das portuguesas, bem como das angolanas, mas já não das brasileiras, é necessário recordar o que se entende por dados pessoais e por tratamento de dados pessoais:

“‘Dados pessoais’: qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável (‘titular dos dados’); é considerada identificável a pessoa que possa ser identificada directa ou indiretamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;

‘Tratamento de dados pessoais’ (‘tratamento’): qualquer operação ou conjunto de operações sobre dados pessoais, efectuadas com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição.”, nos precisos termos das alíneas a) e b) da LPDP – Lei de Proteção de Dados Pessoais, Lei 67/98, de 26 de outubro de 1998.

Entretanto, emergiu a Sociedade em Rede, i.e., “uma sociedade cuja estrutura social é composta por redes assentes nas tecnologias da informação e da comunicação”, para seguir a definição de Manuel Castells[ii]. Em extrema síntese, na Sociedade em Rede, o controle dos fluxos de informação passou a ser central, também para as relações entre os Poderes, Públicos e Privados, e as Liberdades das pessoas. Daí, a “constitucionalização” da proteção de dados, que se deu muito cedo em Portugal (Art.º 35.º da Constituição da República Portuguesa, de 1976), por razões históricas relacionadas com a experiência autoritária anterior, e também na União Europeia (Art.º 16.º do Tratado sobre o Funcionamento da União Europeia e Art.º 8.º da Carta dos Direitos Fundamentais da União Europeia)[iii].

Assim, na Constituição da República Portuguesa (versão atual), conforme ao Art.º 35.º:

“1. Todos os cidadãos têm o direito de acesso aos dados informatizados que lhes digam respeito, podendo exigir a sua rectificação e actualização, e o direito de conhecer a finalidade a que se destinam, nos termos da lei.

  1. A lei define o conceito de dados pessoais, bem como as condições aplicáveis ao seu tratamento automatizado, conexão, transmissão e utilização, e garante a sua proteção, designadamente através de entidade administrativa independente.
  2. A informática não pode ser utilizada para tratamento de dados referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem étnica, salvo mediante consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou para processamento de dados estatísticos não individualmente identificáveis.
  3. É proibido o acesso a dados pessoais de terceiros, salvo em casos excepcionais previstos na lei.
  4. É proibida a atribuição de um número nacional único aos cidadãos.
  5. A todos é garantido livre acesso às redes informáticas de uso público, definindo a lei o regime aplicável aos fluxos de dados transfronteiras e as formas adequadas de proteção de dados pessoais e de outros cuja salvaguarda se justifique por razões de interesse nacional.
  6. Os dados pessoais constantes de ficheiros manuais gozam de proteção idêntica à prevista nos números anteriores, nos termos da lei.”

Por sua vez, de acordo com o Art.º 8.º do Tratado sobre o Funcionamento da União Europeia, desde o Tratado de Lisboa, de 2007:

“1. Todas as pessoas têm direito à proteção dos dados de carácter pessoal que lhes digam respeito.

  1. O Parlamento Europeu e o Conselho, deliberando de acordo com o processo legislativo ordinário, estabelecem as normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos e organismos da União, bem como pelos Estados-Membros no exercício de atividades relativas à aplicação do direito da União, e à livre circulação desses dados. A observância dessas normas fica sujeita ao controlo de autoridades independentes.”

Complementarmente, no Art.º 16.º da Carta dos Direitos Fundamentais da União Europeia foram enunciados os traços fundamentais, sobretudo no que se refere ao Direito material:

“1. Todas as pessoas têm direito à proteção dos dados de carácter pessoal que lhes digam respeito.

  1. Esses dados devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respetiva retificação.
  2. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade independente.”

A este propósito, cumpre recordar que, de acordo com o Art.º 6.º do Tratado da União Europeia:

“A União reconhece os direitos, as liberdades e os princípios enunciados na Carta dos Direitos Fundamentais da União Europeia, de 7 de Dezembro de 2000, com as adaptações que lhe foram introduzidas em 12 de dezembro de 2007, em Estrasburgo, e que tem o mesmo valor jurídico que os Tratados.”

No nosso domínio, uma consequência desta perspectiva consiste na recolocação sistémica das disciplinas aplicáveis ao Registos no âmbito do Tratamento de Dados Pessoais. Aliás e a meu ver, em Portugal, o Legislador ordinário deu uma resposta, explícita, neste sentido quando disciplinou os Registos enquanto Bases de Dados, em formato eletrónico, aquando da efetivação do “Programa Simplex” de modernização da Administração Pública <http://www.simplex.pt/>.

Designadamente, tal ocorreu aquando da reforma do CRComercial – Código do Registo Comercial – Decreto-Lei n.º 76-A/2006, de 29 de março; do CRCivil – Código do Registo Civil – Decreto-Lei n.º 324/2007, de 28 de setembro; e do CRPredial – Código do Registo Predial – Decreto-Lei n.º 116/2008, de 4 de julho.

Em consequência disto mesmo, o IRN – Instituto dos Registos e do Notariado, I.P., foi constituído como ‘responsável pelo tratamento dos dados’, juntamente com os Conservadores (Art.º 8.º). Esta reorientação também ocorreu com outros sistemas de informação públicos, próximos do nosso objeto: como o Regime do Registo Nacional de Pessoas Coletivas (Decreto-Lei n.º 129/98, de 13 de maio, sobretudo desde a reforma introduzida pelo Decreto-Lei n.º 247-B/2008, de 30 de dezembro); e ainda a disciplina do Cartão de Cidadão (Lei n.º 7/2007, de 5 de fevereiro).

O segundo pré-entendimento necessário consiste em dever a Segurança da Informação ser tida como um pressuposto básico da Segurança Jurídica, ou seja, o cumprimento dos fins dos Registos no que se refere à Segurança Jurídica, tem por base a garantia da Segurança do Sistema de Informações que lhe subjaz. Daí o estabelecimento de critérios, organizacionais e técnicos, que efetivem a respetiva confidencialidade, isto é, o acesso aos dados apenas é permitido a utilizadores autorizados; integridade, com garantia de atualização e correção permanentes dos dados; e, resiliência, enquanto disponibilidade permanente da informação, apesar de quaisquer ameaças[iv].

Por outro lado – e como veremos –, o Tratamento de Dados Pessoais, pelas razões supra indicadas, comporta a exigência de critérios mais elevados de Segurança da Informação, predispostos tanto nas Fontes próprias como nas relativas aos Registos. Tudo isto sem esquecer as novas vulnerabilidades dos dados em formato digital, tanto perante acidentes quanto face a ações maliciosas, inclusive as operadas desde o exterior.

Assim, a partir deste contexto introdutório, de pré-entendimentos, em especial quanto às Fontes europeias e portuguesas, pretende-se analisar, muito sinteticamente, as implicações dos regimes de Proteção de Dados Pessoais e de garantia da Segurança da Informação nas disciplinas dos Registos.


 

[i] Para uma reflexão sobre esta problemática, embora considerando um diálogo das Fontes, “avant la lettre”, entre as disciplinas dos Registos e as da Proteção de Dados Pessoais, é indispensável o estudo de LOPES, Joaquim de Seabra. (2003). “Publicidade e protecção da privacidade nos registos públicos: um equilíbrio delicado”. In AA.VV. / Faculdade de Direito da Universidade do Porto. Estudos em Homenagem ao Professor Doutor Jorge Ribeiro de Faria. Coimbra: Coimbra Editora, pp. 331-358.

[ii] CASTELLS, Manuel. (2002). A Era da Informação: economia, sociedade e cultura, vol. 1. Lisboa: Fundação Calouste Gulbenkian.

[iii] Em Portugal, a Obra de referência continua a ser a de CASTRO, Catarina Sarmento e. (2005). Direito da Informática, Privacidade e Dados Pessoais. Coimbra: Almedina.

[iv] Para uma primeira aproximação a esta problemática, vide Vaz, Ana. (2007). “Segurança da Informação, Protecção da Privacidade e dos Dados Pessoais” in Nação & Defesa, n.º 117, pp. 35-63.


* Manuel David Masseno é Professor Adjunto do Instituto Politécnico de Beja, em Portugal, onde é também Pesquisador Sénior no Laboratório UbiNET – Segurança Informática e Cibercrime e Membro da Coordenação do MESI – Mestrado em Engenharia de Segurança Informática. Membro no Corpo Docente do Dottorato di RicercaComparazione e diritti della persona” da Universidade de Salerno, na Itália. Diretor para as Relacões Internacionais do IBDI – Instituto Brasileiro de Direito da Informática e Membro Consultor da CDECAT – Comissão de Direito Eletrônico e Crimes de Alta Tecnologia da Ordem dos Advogados do Brasil / Seção de São Paulo. Diretor para Portugal / Europa da ABIME – Associação Brasileira de Imprensa de Mídia Eletrônica. Membro dos Conselhos Editoriais da International Review of Law, Computers & Technology e do European Journal of Law and Technology, ambas no Reino Unido, da RBMAD – Revista Brasileira de Meio Ambiente Digital e Sociedade da Informação e da Безпека інформації / Information Security, na Ucrânia. E-mail: mdmasseno@gmail.com.

Comentários

Veja também:

O desafio da proteção aos dados pessoais do trabalhador: conceitos, princípios e direitos
Aeronaves remotamente pilotadas (Drones) e enfrentamento da criminalidade no Brasil
A segurança cibernética deve estar na agenda de escritórios de advocacia?
Governança digital no Brasil: aspectos iniciais

2015 - Todos os direitos Reservados