Fra 2014 Handbook Data Protection PT

MANUAL
Manual da Legislao
Europeia sobre Proteo
de Dados
Agncia dos Direitos Fundamentais da Unio Europeia, 2014

Conselho da Europa, 2014
A redao do presente manual foi concluda em abril de 2014.
As atualizaes sero publicadas no stio da Internet da FRA em: fra.europa.eu, no stio da Internet
do Conselho da Europa em: coe.int/dataprotection e no stio da Internet do Tribunal Europeu dos
Direitos do Homem, sob o menu Case-Law, em: echr.coe.int
Reproduo autorizada, excepto para fins comercials, mediante indicao da fonte.
Europe Direct um servio que responde

s suas perguntas sobre a Unio Europeia
Linha telefnica gratuita (*):
00 800 6 7 8 9 10 11
(*) As informaes prestadas so gratuitas, tal como a maior parte das chamadas, embora
alguns operadores, cabinas telefnicas ou hotis as possam cobrar.
Crdito das fotos (portada e interior): iStockphoto

Mais informaes sobre a Unio Europeia encontram-se disponveis na rede Internet, via servidor
Europa (http://europa.eu).
Uma ficha catalogrfica figura no fim desta publicao.
Luxemburgo: Servio das Publicaes da Unio Europeia, 2014
ISBN 978-92-871-9939-3 (Conselho da Europa)
ISBN 978-92-9239-498-1 (FRA)
doi:10.2811/73790
Printed in Belgium
Impresso em papel branqueado sem cloro elementar (ECF)
O presente manual foi redigido em Ingls. O Conselho da Europa (CE) e o Tribunal Europeu dos
Direitos do Homem (TEDH) no assumem qualquer responsabilidade pela qualidade das tradues
para outras lnguas. As opinies expressas no presente manual no vinculam o CE nem o TEDH.
O manual faz referncia a alguns comentrios e manuais. O CE e o TEDH no assumem qualquer
responsabilidade pelo seu contedo e a sua incluso nesta lista no constitui uma manifestao
de aprovao dessas publicaes. Podem ser consultadas outras listas de publicaes nas pginas
Internet da biblioteca do TEDH em: echr.coe.int.
Manual da Legislao
Europeia sobre Proteo
de Dados
Prefcio
O presente Manual da Legislao Europeia sobre Proteo de Dados foi elaborado
pela Agncia dos Direitos Fundamentais da Unio Europeia(FRA) e pelo Conselho da Europa, em conjunto com a Secretaria do Tribunal Europeu dos Direitos do
Homem. Tratase do terceiro numa srie de manuais jurdicos elaborados em conjunto pela FRA e pelo Conselho da Europa. Em maro de 2011, foi publicado um primeiro manual sobre a legislao europeia antidiscriminao e, em junho de 2013,
um segundo manual sobre a legislao europeia em matria de asilo, fronteiras e
imigrao.
Decidimos manter esta nossa colaborao num tema extremamente atual, que nos
afeta a todos, todos os dias: a proteo de dados pessoais. A Europa goza de um
dos sistemas mais protetores neste domnio, que assenta na Conveno 108 do
Conselho da Europa, em instrumentos da Unio Europeia (UE) e na jurisprudncia
do Tribunal Europeu dos Direitos do Homem (TEDH) e do Tribunal de Justia da Unio
Europeia (TJUE).
O presente manual visa divulgar e melhorar os conhecimentos sobre as regras relativas proteo de dados nos Estados-Membros da Unio Europeia e do Conselho
da Europa, servindo como principal ponto de referncia para os leitores. Tem por
destinatrios profissionais do Direito no especializados nesta rea, juzes, autoridades nacionais de proteo de dados e outras pessoas que trabalham no campo da
proteo de dados.
Com a entrada em vigor do Tratado de Lisboa em dezembro de 2009, a Carta dos
Direitos Fundamentais da UE tornouse juridicamente vinculativa, o que conferiu
proteo de dados pessoais o estatuto de direito fundamental autnomo. Para proteger este direito fundamental, crucial compreender melhor a Conveno 108 do
Conselho da Europa e os instrumentos da UE, que abriram caminho para a proteo
de dados na Europa, bem como a jurisprudncia do TJUE e do TEDH.
Manual da Legislao Europeia sobre Proteo de Dados
Gostaramos de agradecer ao Instituto de Direitos Humanos Ludwig Boltzmann pelo

seu contributo na redao deste manual. Gostaramos igualmente de expressar a
nossa gratido ao gabinete da Autoridade Europeia para a Proteo de Dados pelo
seu apoio durante a fase de redao do manual. Agradecemos em particular unidade de proteo de dados da Comisso Europeia pelo seu envolvimento durante a
preparao deste manual. Por ltimo, gostaramos de expressar o nosso agradecimento Comisso Nacional de Proteco de Dados CNPD, pela reviso da traduo
deste Manual para Portugus.
Philippe Boillat
Morten Kjaerum
Diretor
Diretor Geral
de Direitos Humanos e Estado de Direito da Agncia dos Direitos Fundamentais
da Unio Europeia
Conselho da Europa
ndice
PREFCIO
.................................................................................................................................................................................................................................. 3
ABREVIATURAS, SIGLAS E ACRNIMOS

COMO UTILIZAR ESTE MANUAL
............................................................................................................................................ 9
............................................................................................................................................................... 11
1. CONTEXTO E ANTECEDENTES DALEGISLAO EUROPEIA SOBRE PROTEO

DE DADOS ................................................................................................................................................................................................................ 13
1.1. O direito proteo de dados .................................................................................................................................. 14
Pontos-chave ....................................................................................................................................................................................................... 14
1.1.1. A Conveno Europeia dos Direitos do Homem ............................................................................. 14
1.1.2. Conveno 108 do Conselho da Europa ................................................................................................ 15
1.1.3. Legislao da Unio Europeia sobre proteo dedados ......................................................... 18
1.2. Conciliao de direitos ....................................................................................................................................................... 22

Ponto-chave ......................................................................................................................................................................................................... 22
1.2.1.
1.2.2.
1.2.3.
1.2.4.
Liberdade de expresso ........................................................................................................................................ 23

Acesso aos documentos ....................................................................................................................................... 27
Liberdade das artes e das cincias .............................................................................................................. 31
Proteo da propriedade ...................................................................................................................................... 33
2. TERMINOLOGIA SOBRE PROTEO DE DADOS ........................................................................................................ 35

2.1. Dados pessoais .......................................................................................................................................................................... 36
Pontos-chave ....................................................................................................................................................................................................... 36
2.1.1. Principais aspetos do conceito de dados pessoais ....................................................................... 37
2.1.2. Categorias especficas de dados pessoais ........................................................................................... 44
2.1.3. Dados anonimizados e pseudonimizados ............................................................................................ 45
2.2. Tratamento de dados ......................................................................................................................................................... 48

Pontos-chave ....................................................................................................................................................................................................... 48
2.3. Os utilizadores de dados pessoais ...................................................................................................................... 50
Pontos-chave ....................................................................................................................................................................................................... 50
2.3.1. Responsveis pelo tratamento esubcontratantes ...................................................................... 51
2.3.2. Destinatrios e terceiros ........................................................................................................................................ 57
2.4. Consentimento ........................................................................................................................................................................... 58

Pontos-chave ....................................................................................................................................................................................................... 58
2.4.1. Os elementos de um consentimento vlido ...................................................................................... 59
2.4.2. O direito de revogar o consentimento a todo otempo ........................................................... 64
3. OS PRINCPIOS FUNDAMENTAIS DA LEGISLAO EUROPEIA SOBRE

PROTEO DE DADOS .............................................................................................................................................................................. 65
3.1. O princpio do tratamento lcito .............................................................................................................................. 66
Pontos-chave ....................................................................................................................................................................................................... 66
3.1.1. Os requisitos de justificao da ingerncia aoabrigo da CEDH
......................................... 67
3.1.2. As condies do estabelecimento de restries lcitas ao abrigo da Carta

da UE
....................................................................................................................................................................................... 70
3.2. O princpio da especificao edalimitao da finalidade ..................................................... 72

Pontos-chave ....................................................................................................................................................................................................... 72
3.3. Princpios relativos qualidade dosdados .............................................................................................. 74
Pontos-chave ....................................................................................................................................................................................................... 74
3.3.1. O princpio da pertinncia dos dados
3.3.2. O princpio da exatido dos dados
........................................................................................................ 75
.............................................................................................................. 76
3.3.3. O princpio da limitao da conservao dosdados
................................................................... 77
3.4. O princpio do tratamento leal ................................................................................................................................. 78

Pontos-chave ....................................................................................................................................................................................................... 78
3.4.1. Transparncia
.................................................................................................................................................................. 79
3.4.2. Criar uma relao de confiana
...................................................................................................................... 79
3.5. O princpio da responsabilidade ............................................................................................................................. 81

Pontos-chave ....................................................................................................................................................................................................... 81
4. AS REGRAS DA LEGISLAO EUROPEIA SOBRE PROTEO DE DADOS .................................... 83
4.1. Regras sobre o tratamento lcito .......................................................................................................................... 85
Pontos-chave ....................................................................................................................................................................................................... 85
4.1.1. Tratamento lcito de dados no sensveis
4.1.2. Tratamento lcito de dados sensveis
............................................................................................ 85
........................................................................................................ 92
4.2. Regras sobre a segurana do tratamento ................................................................................................ 95

Pontos-chave ....................................................................................................................................................................................................... 95
4.2.1. Elementos da segurana dos dados
4.2.2. Confidencialidade
.......................................................................................................... 96
........................................................................................................................................................ 99
4.3. Regras sobre a transparncia dotratamento ................................................................................... 100

Pontos-chave ................................................................................................................................................................................................... 100
4.3.1. Informao
.....................................................................................................................................................................101
4.3.2. Notificao
......................................................................................................................................................................104
4.4. Regras sobre a promoo documprimento ...................................................................................... 105

Pontos-chave ................................................................................................................................................................................................... 105
4.4.1. Controlo prvio
...........................................................................................................................................................106
4.4.2. Encarregados da proteo dos dados pessoais

4.4.3. Cdigos de conduta
...........................................................................106
................................................................................................................................................107
5. OS DIREITOS DAS PESSOAS EM CAUSA E A TUTELA DOSEUEXERCCIO ............................... 109

5.1. Os direitos dos titulares dos dados ................................................................................................................ 111
Pontos-chave ................................................................................................................................................................................................... 111
5.1.1. Direito de acesso
.......................................................................................................................................................112
5.1.2. Direito de oposio
.................................................................................................................................................119
5.2. Controlo independente ................................................................................................................................................. 122

Pontos-chave ................................................................................................................................................................................................... 122
5.3. Recursos e sanes .......................................................................................................................................................... 127
Pontos-chave ................................................................................................................................................................................................... 127
5.3.1. Pedidos ao responsvel pelo tratamento
..........................................................................................127
5.3.2. Pedidos deduzidos perante a autoridade decontrolo

5.3.3. Pedido deduzido perante o tribunal
5.3.4. Sanes
............................................................129
........................................................................................................130
.............................................................................................................................................................................135
6. FLUXOS TRANSFRONTEIRIOS DEDADOS .................................................................................................................. 137

6.1. Natureza dos fluxos transfronteirios dedados ............................................................................ 138
Pontos-chave ................................................................................................................................................................................................... 138
6.2. Livre fluxo de dados entre os EstadosMembros ou entre as Partes
Contratantes .............................................................................................................................................................................. 140
Pontos-chave ................................................................................................................................................................................................... 140
6.3. Livre fluxo de dados para pases terceiros ........................................................................................... 141
Pontos-chave ................................................................................................................................................................................................... 141
6.3.1. Livre fluxo de dados devido a uma proteo adequada
6.3.2. Livre fluxo de dados em casos especficos
.....................................................142
......................................................................................143
6.4. Restries ao fluxo de dados para pases terceiros .................................................................. 145

Pontos-chave ................................................................................................................................................................................................... 145
6.4.1. Clusulas contratuais
.............................................................................................................................................146
6.4.2. Regras vinculativas para as empresas

6.4.3. Acordos internacionais especiais
..................................................................................................148
...............................................................................................................148
7. PROTEO DE DADOS NO CONTEXTO DA ATIVIDADE POLICIAL E DA JUSTIA

PENAL ....................................................................................................................................................................................................................... 153
7.1. Legislao do CdE sobre proteo de dados no domnio policial e da
justia penal ................................................................................................................................................................................ 154
Pontos-chave ................................................................................................................................................................................................... 154
7.1.1. A Recomendao sobre a atividade policial
....................................................................................155
7.1.2. Conveno de Budapeste sobre o Cibercrime
..............................................................................158
7.2. Legislao da UE sobre proteo dedados em matria policial e penal ........ 159
Pontos-chave ................................................................................................................................................................................................... 159
7.2.1. A Deciso-Quadro relativa proteo de dados
........................................................................160
7.2.2. Instrumentos jurdicos mais especficos sobre a proteo de dados no

mbito da cooperao transfronteiria entre autoridades policiais e
judicirias ..........................................................................................................................................................................162
7.2.3. Proteo de dados na Europol e na Eurojust ..................................................................................163
7.2.4. Proteo de dados nos sistemas de informao comuns ao nvel da UE ............167
8. OUTRA LEGISLAO EUROPEIA ESPECFICA SOBRE PROTEO DE DADOS ..................... 175

8.1. Comunicaes eletrnicas ........................................................................................................................................ 176
Pontos-chave ................................................................................................................................................................................................... 176
8.2. Dados sobre o emprego ............................................................................................................................................. 181
Pontos-chave ................................................................................................................................................................................................... 181
8.3. Dados mdicos ....................................................................................................................................................................... 183
Ponto-chave ..................................................................................................................................................................................................... 183
8.4. Tratamento de dados para fins estatsticos ........................................................................................ 186
Pontos-chave ................................................................................................................................................................................................... 186
8.5. Dados financeiros ................................................................................................................................................................ 189
Pontos-chave ................................................................................................................................................................................................... 189
LEITURA COMPLEMENTAR
......................................................................................................................................................................... 193
JURISPRUDNCIA ..................................................................................................................................................................................................... 199

Jurisprudncia selecionada do Tribunal Europeu dos Direitos do Homem ........................... 199
Jurisprudncia selecionada do Tribunal de Justia da Unio Europeia ........................................ 203
LISTA DE PROCESSOS
......................................................................................................................................................................................... 207
Abreviaturas, siglas e acrnimos

AEPD
Autoridade Europeia para a Proteo de Dados
BCR
Regras vinculativas para as empresas
Carta
Carta dos Direitos Fundamentais da Unio Europeia
CCTV
Circuito fechado de televiso
CE
Comunidade Europeia
CdE
Conselho da Europa
CEDH Conveno Europeia dos Direitos do Homem

Conveno 108
Conveno para a Proteo das Pessoas relativamente ao Tratamento Automatizado de Dados de Carter Pessoal (Conselho da
Europa)
CRM
Gesto do relacionamento com os clientes
C-SIS
Parte central do Sistema de Informao Schengen
DUDH
Declarao Universal dos Direitos do Homem
EEE
Espao Econmico Europeu
EFTA
Associao Europeia de Comrcio Livre
ENISA
Agncia Europeia para a Segurana das Redes e da Informao
ENU
Unidade Nacional Europol
ESMA
Autoridade Europeia dos Valores Mobilirios e dos Mercados
eTEN
Redes Transeuropeias de Telecomunicaes
eu-LISA
Agncia Europeia para os Sistemas Informticos de Grande Escala
EuroPriSe
Selo Europeu de Privacidade
FRA
Agncia dos Direitos Fundamentais da Unio Europeia
GPS
Sistema de posicionamento global
ICC
Instncia Comum de Controlo
MDE
Mandado de Deteno Europeu
N-SIS
Parte nacional do Sistema de Informao Schengen
10
OCDE
Organizao para a Cooperao e Desenvolvimento Econmico
ONG
Organizao no-governamental
ONU
Organizao das Naes Unidas
PIN
Nmero de identificao pessoal
PNR
Registo de identificao dos passageiros
SEPA
Espao nico de Pagamentos em Euros
SIA
Sistema de Informao Aduaneiro
SIS
Sistema de Informao Schengen
STCE
Srie de Tratados do Conselho da Europa
SWIFT
Sociedade das Telecomunicaes Financeiras Interbancrias no

Mundo
TEDH
Tribunal Europeu dos Direitos do Homem
TFUE
Tratado sobre o Funcionamento da Unio Europeia
TJUE
Tribunal de Justia da Unio Europeia (antes de dezembro de

2009, designavase Tribunal de Justia das Comunidades Europeias, TJCE)
Tratado UE
Tratado da Unio Europeia
UE
Unio Europeia
VIS
Sistema de Informao sobre Vistos
Como utilizar este manual

O presente manual apresenta uma viso geral da legislao aplicvel proteo de
dados em relao Unio Europeia (UE) e ao Conselho da Europa (CdE).
O manual visa auxiliar os profissionais do Direito que no so especializados na rea
da proteo de dados; destinase a juristas, advogados, juzes e outros profissionais,
bem como a pessoas que trabalham para outros organismos, como organizaes
no-governamentais (ONG), que podero ser confrontados com questes jurdicas
relacionadas com proteo de dados.
Trata-se de um primeiro ponto de referncia sobre a legislao da UE e a Conveno
Europeia dos Direitos do Homem (CEDH) em matria de proteo de dados, explicando de que modo esta rea do Direito regulada na legislao da UE e na CEDH,
bem como na Conveno do CdE para a Proteo das Pessoas relativamente ao Tratamento Automatizado de Dados de Carter Pessoal (Conveno108) e em outros
instrumentos do CdE. No incio de cada captulo apresentado um quadro com as
disposies legais aplicveis, incluindo jurisprudncia importante, ao abrigo dos dois
sistemas jurdicos europeus. De seguida, so apresentados sucessivamente os instrumentos legislativos destes dois ordenamentos jurdicos aplicveis a cada tpico.
Deste modo, o leitor poder aperceberse facilmente das semelhanas e diferenas
entre os dois sistemas jurdicos.
Os quadros que figuram no incio de cada captulo enumeram os tpicos que nele
sero abordados e identificam as disposies legais aplicveis e outro material relevante, nomeadamente jurisprudncia. A ordem dos tpicos poder ser ligeiramente
diferente da estrutura do texto de cada captulo se tal for considerado conveniente
para assegurar uma apresentao concisa do seu contedo. Os quadros abrangem
o direito do CdE e o direito da UE, o que dever ajudar os leitores a encontrar as
informaes mais importantes aplicveis ao seu caso, especialmente se estiverem
unicamente sujeitos ao direito do CdE.
Os profissionais de Estados no pertencentes UE que sejam membros do CdE e
partes na CEDH e na Conveno 108 podem encontrar as informaes relevantes
para o seu prprio pas consultando diretamente as seces sobre o CdE. Os profissionais dos Estados-Membros da UE tero de consultar as duas seces, dado que
esto sujeitos a ambos os ordenamentos jurdicos. A seco Leitura complementar do manual contm uma lista de material de referncia mais especializado que
poder ser til para aqueles que necessitem de mais informaes sobre uma questo especfica.
11
O direito do CdE apresentado atravs de breves referncias a processos do Tribunal

Europeu dos Direitos do Homem(TEDH), que foram selecionados de entre o vasto
nmero de acrdos e decises do TEDH sobre questes relacionadas com proteo
de dados.
O direito da UE abrange as medidas legislativas adotadas, as disposies relevantes dos Tratados e a Carta dos Direitos Fundamentais da Unio Europeia, tal como
interpretadas na jurisprudncia do Tribunal de Justia da Unio Europeia(TJUE, que
se designava Tribunal de Justia das Comunidades Europeias [TJCE] antes de 2009).
A jurisprudncia descrita ou citada no presente manual fornece exemplos de um
importante conjunto de acrdos e decises do TEDH e do TJUE. As orientaes
apresentadas no final deste manual visam ajudar o leitor a pesquisar jurisprudncia
na Internet.
Alm disso, so apresentados exemplos prticos com cenrios hipotticos em caixas
de texto para ilustrar melhor a aplicao das regras europeias sobre proteo de
dados na prtica, sobretudo nos casos em que no existe jurisprudncia especfica
do TEDH ou do TJUE sobre a matria em causa.
O manual comea com uma breve descrio do papel dos dois sistemas jurdicos
estabelecidos pela CEDH e pelo direito da UE (captulo1). Os captulos2 a 8 abrangem as seguintes questes:
terminologia sobre proteo de dados;
princpios fundamentais da legislao europeia sobre proteo de dados;
regras da legislao europeia sobre proteo de dados;
direitos dos titulares dos dados e a tutela do seu exerccio;
fluxos transfronteirios de dados;
proteo de dados no contexto da atividade policial e da justia penal;
outra legislao europeia especfica sobre proteo de dados.
12
1.

Contexto e antecedentes
dalegislao europeia sobre
proteo de dados
UE
Questes
abrangidas
O direito proteo de dados

Diretiva95/46/CE relativa proteo
das pessoas singulares no que diz
respeito ao tratamento de dados
pessoais e livre circulao desses
dados (Diretiva de Proteo de Dados),
JOL 281, 1995
Conciliao de direitos
TJUE, acrdo de 9 de novembro de
2010 nos processos apensos C-92/09
e C-93/09, Volker und Markus Schecke
GbR e Hartmut Eifert/Land Hessen
TJUE, acrdo de 16 de dezembro
de 2008 no processo C-73/07,
Tietosuojavaltuutettu/Satakunnan
Markkinaprssi Oy e Satamedia Oy
TJUE, acrdo de 29 de janeiro de 2008

no processo C275/06, Productores
de Msica de Espaa (Promusicae)/
Telefnica de Espaa SAU
TJUE, acrdo de 29 de junho de 2010
no processo C28/08P, Comisso
Europeia/The Bavarian Lager Co. Ltd
CdE
CEDH, artigo 8. (direito ao

respeito pela vida privada e
familiar, pelo domiclio e pela
correspondncia)
Conveno para a Proteo
das Pessoas relativamente
ao Tratamento Automatizado
de Dados de Carter Pessoal
(Conveno 108)
Em geral
Liberdade de
expresso
Liberdade das
artes e das
cincias
Proteo da
propriedade
Acesso aos
documentos
TEDH, acrdo Axel Springer AG

c. Alemanha de 7 de fevereiro de
2012
TEDH, acrdo Mosley c. Reino
Unido de 10 de maio de 2011
TEDH, acrdo Vereinigung
bildender Knstler c. ustria de 25
de janeiro de 2007
TEDH, acrdo Trsasg a

Szabadsgjogokrt c. Hungria de
14 de abril de 2009
13
1.1. O direito proteo de dados

Pontos-chave

Nos termos do artigo8. da CEDH, o direito proteo contra a recolha e utilizao de

dados pessoais faz parte do direito ao respeito pela vida privada e familiar, pelo domiclio e pela correspondncia.
A Conveno108 do CdE o primeiro instrumento internacional juridicamente vinculativo que regula expressamente a proteo de dados.
Ao nvel da UE, a proteo de dados foi regulada pela primeira vez pela Diretiva de
Proteo de Dados.
No direito da UE, a proteo de dados reconhecida como um direito fundamental.
O direito proteo contra intromisses de terceiros, especialmente do Estado, na

vida privada foi consagrado pela primeira vez num instrumento jurdico internacional
no artigo12. da Declarao Universal dos Direitos do Homem (DUDH) das Naes
Unidas, de 1948, relativo ao respeito pela vida privada e familiar.1 A DUDH influenciou a formulao de outros instrumentos sobre direitos humanos na Europa.
1.1.1. A Conveno Europeia dos Direitos do Homem

Criado no rescaldo da II Guerra Mundial, o Conselho da Europa rene os Estados da
Europa com o objetivo de promover o Estado de direito, a democracia, os direitos
humanos e o desenvolvimento social. Para este efeito, adotou a Conveno Europeia dos Direitos do Homem (CEDH) em 1950, que entrou em vigor em 1953.
Os Estados esto sujeitos a uma obrigao internacional de cumprimento da CEDH.
Todos os Estados membros do CdE incorporaram ou deram cumprimento CEDH no
seu direito nacional, pelo que so obrigados a atuar em conformidade com as disposies da Conveno.
Em 1959, foi criado em Estrasburgo, Frana, o Tribunal Europeu dos Direitos do
Homem (TEDH) para garantir que as Partes Contratantes cumprem as obrigaes
assumidas ao abrigo da CEDH. O TEDH assegura o cumprimento das obrigaes
assumidas pelos Estados ao abrigo da Conveno atravs da apreciao de queixas apresentadas por cidados, grupos de cidados, ONG ou pessoas coletivas que
1
14
Declarao Universal dos Direitos do Homem (DUDH) das Naes Unidas, de10dedezembrode1948.
Contexto e antecedentes dalegislao europeia sobre proteo de dados
aleguem violaes da Conveno. Em 2013, o Conselho da Europa era constitudo

por 47Estados membros, 28 dos quais so tambm Estados-Membros da UE. Para
apresentar uma petio ao TEDH, no necessrio ser nacional de um dos Estados
membros. O TEDH tambm pode conhecer de aes instauradas por um ou mais
Estados membros do CdE contra outro Estado membro.
O direito proteo de dados pessoais faz parte dos direitos tutelados pelo artigo8.
da CEDH, que garante o direito ao respeito pela vida privada e familiar, pelo domiclio
e pela correspondncia e estabelece as condies em que so permitidas restries
a este direito.2
Atravs da sua jurisprudncia, o TEDH pronunciouse sobre muitas situaes em que
foi suscitada a questo da proteo de dados, entre as quais importa destacar questes relacionadas com a interceo de comunicaes,3 vrias formas de vigilncia4 e
proteo contra o armazenamento de dados pessoais pelas autoridades pblicas.5 O
TEDH esclareceu que o artigo8. da CEDH no s obriga os Estados a absteremse de
praticar atos suscetveis de violar este direito consagrado na Conveno como impe
tambm, em certos casos, uma obrigao positiva de assegurar ativamente o respeito efetivo pela vida privada e familiar.6 Muitos destes casos sero mencionados,
em pormenor, nos captulos adequados.
1.1.2. Conveno 108 do Conselho da Europa

O surgimento da tecnologia da informao na dcada de 60 foi acompanhado por
uma crescente necessidade de adotar regras mais pormenorizadas para salvaguardar as pessoas atravs da proteo dos seus dados (pessoais). Em meados da
dcada de 70, o Comit de Ministros do Conselho da Europa adotou vrias resolues sobre a proteo de dados pessoais que faziam referncia ao artigo 8. da
CdE, Conveno Europeia dos Direitos do Homem, STCEn..005,1950.
Ver, por exemplo, TEDH, acrdo Malone c. Reino Unido de 2 de agosto de 1984, petio n.8691/79;
TEDH, acrdo Copland c. Reino Unido de 3deabrilde2007, petio n.62617/00.
Ver, por exemplo, TEDH, acrdo Klass e o. c. Alemanha de 6 de setembro de 1978, petio
n.5029/71; TEDH, acrdo Uzun c. Alemanha de 2deSetembrode2010, petio n.35623/05.
Ver, por exemplo, TEDH, acrdo Leander c. Sucia de 26 de maro de 1987, petio n.9248/81; TEDH,
acrdo S. and Marper c. Reino Unido de 4dedezembrode2008, peties n.s30562/04 e 30566/04.
Ver, por exemplo, TEDH, acrdo I. c. Finlndia de 17 de julho de 2008, petio n.20511/03; TEDH,
acrdo K.U. c. Finlndia de 2dedezembrode2008, petio n.2872/02.
15
CEDH.7 Em 1981, foi aberta a assinatura a Conveno para a proteo das pessoas
relativamente ao tratamento automatizado de dados de carter pessoal (Conveno
108)8. A Conveno 108 era, e ainda , o nico instrumento internacional juridicamente vinculativo no domnio da proteo de dados.
A Conveno 108 aplica-se a todos os tratamentos de dados pessoais realizados
tanto pelo setor privado como pelo setor pblico, incluindo os tratamentos de dados
efetuados pelas autoridades policiais e judicirias. Protege as pessoas contra os
abusos que podem acompanhar a recolha e o tratamento de dados pessoais e procura simultaneamente regular o fluxo transfronteirio de dados pessoais. Quanto
recolha e tratamento de dados pessoais, os princpios estabelecidos na Conveno
respeitam, em especial, recolha e tratamento automatizado de dados de forma
leal e lcita, armazenados para finalidades determinadas e legtimas, no podendo
ser utilizados para fins incompatveis com essas finalidades nem conservados por
tempo superior ao necessrio. Dizem tambm respeito qualidade dos dados, estabelecendo, em especial, que tm de ser adequados, pertinentes e no excessivos
(proporcionalidade), bem como exatos.
Alm de prever garantias relativas recolha e tratamento de dados pessoais, a Conveno probe, na ausncia de garantias jurdicas adequadas, o tratamento de dados
sensveis, tais como dados sobre a raa, a opinio poltica, a sade, as convices
religiosas, a vida sexual ou o registo criminal de uma pessoa.
A Conveno consagra igualmente o direito das pessoas a saberem que existem
informaes armazenadas a seu respeito e, se necessrio, a que as mesmas sejam
retificadas. S so admitidas restries aos direitos estabelecidos na Conveno
quando estiverem em causa interesses superiores, como a proteo da segurana
do Estado.
16
CdE, Comit de Ministros (1973), Resolution(73)22 on the protection of the privacy of individuals
vis--vis electronic data banks in the private sector (Resoluo(73)22 relativa proteo da
privacidade das pessoas singulares perante os bancos eletrnicos de dados no setor privado), de
26desetembrode1973; CdE, Comit de Ministros (1974), Resolution(74)29 on the protection of the
privacy of individuals vis--vis electronic data banks in the public sector (Resoluo(74)29 relativa
proteo da privacidade das pessoas singulares perante os bancos eletrnicos de dados no setor
pblico), 20deSetembrode1974.
CdE, Conveno para a Proteo das Pessoas relativamente ao Tratamento Automatizado de Dados de
Carter Pessoal, Conselho da Europa, STCE n.108,1981.
Embora a Conveno preveja o livre fluxo de dados pessoais entre os Estados signatrios, tambm impe algumas restries aos fluxos para Estados cuja regulamentao no proporcione uma proteo equivalente.
O Comit de Ministros do CdE adotou vrias recomendaes (que no so juridicamente vinculativas) para desenvolver os princpios gerais e as regras estabelecidos
na Conveno108 (ver captulos7 e 8).
Todos os Estados-Membros da UE ratificaram a Conveno108. Em1999, a Conveno foi alterada para permitir a adeso da UE.9 Em2001, foi adotado um protocolo
adicional Conveno108 que estabelece disposies sobre fluxos transfronteirios
de dados para Estados no signatrios, os chamados pases terceiros, e sobre a criao obrigatria de autoridades nacionais de controlo de proteo de dados. 10
Perspetivas
Na sequncia da deciso de modernizar a Conveno108, foi realizada uma consulta
pblica em2011 que permitiu confirmar os dois principais objetivos daquele trabalho: reforar a proteo da privacidade no espao digital e fortalecer o mecanismo
de acompanhamento da Conveno.
A Conveno108 est aberta adeso de Estados que no sejam membros do CdE,
incluindo pases no europeus. O potencial da Conveno para se afirmar como uma
norma universal e o seu carter aberto poderiam servir de base para promover a
proteo de dados a nvel mundial.
Atualmente, 45 das 46 Partes Contratantes da Conveno108 so Estados membros do CdE. O Uruguai foi o primeiro pas no europeu a aderir Conveno108 em
agostode2013 e Marrocos, que foi convidado a aderir Conveno pelo Comit de
Ministros, est a formalizar a sua adeso.
CdE, Alteraes Conveno para a Proteo das Pessoas relativamente ao Tratamento Automatizado
de Dados de Carter Pessoal (STCE n.108) que permitem a adeso das Comunidades Europeias,
adotadas pelo Comit de Ministros em Estrasburgo, em15dejunhode1999; artigo23., n. 2, da
Conveno108 na redao em vigor.
10 CdE, Protocolo Adicional Conveno para a Proteo das Pessoas relativamente ao Tratamento
Automatizado de Dados de Carter Pessoal, respeitante s autoridades de controlo e aos fluxos
transfronteirios de dados, STCE n. 181, 2001.
17
1.1.3. Legislao da Unio Europeia sobre proteo

dedados
O direito da UE constitudo pelos tratados e pelo direito secundrio. Os tratados,
nomeadamente o Tratado da Unio Europeia (TUE) e o Tratado sobre o Funcionamento da Unio Europeia (TFUE), foram aprovados por todos os Estados-Membros
da UE e tambm so conhecidos por direito primrio da UE. Os regulamentos,
diretivas e decises da UE foram adotados pelas instituies da UE ao abrigo da
competncia que lhes foi atribuda pelos tratados; estes instrumentos so frequentemente designados por direito secundrio da UE.
O principal instrumento jurdico da UE sobre proteo de dados a Diretiva 95/46/CE
do Parlamento Europeu e do Conselho, de 24deoutubrode1995, relativa proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e
livre circulao desses dados (Diretiva de Proteo de Dados).11 Esta Diretiva foi adotada em 1995, numa altura em que vrios Estados-Membros tinham j adotado leis
nacionais sobre proteo de dados. A livre circulao de mercadorias, capitais, servios e pessoas no mercado interno exigia o livre fluxo de dados, que s seria possvel
se os Estados-Membros pudessem confiar na existncia de um nvel uniformemente
elevado de proteo de dados.
Uma vez que o objetivo da aprovao da Diretiva de Proteo de Dados era a harmonizao12 da legislao sobre proteo de dados a nvel nacional, previsto um
grau de especificidade comparvel ao da legislao nacional sobre proteo de
dados (ento) em vigor. Para o TJUE, a Diretiva95/46 visa [] tornar equivalente
em todos os Estados-Membros o nvel de proteo dos direitos e liberdades das pessoas no que diz respeito ao tratamento de dados pessoais [] A aproximao das
legislaes nacionais aplicveis na matria no deve fazer diminuir a proteo que
asseguram, devendo, pelo contrrio, ter por objetivo garantir um elevado nvel de
proteo na Unio Assim, [] a harmonizao das referidas legislaes nacionais no
se limita a uma harmonizao mnima, mas conduz a uma harmonizao que , em
princpio, completa.13. Consequentemente, os Estados-Membros dispem apenas
de uma pequena margem de manobra na aplicao da Diretiva.
18
11
Diretiva de Proteo de Dados ( JOL281, 1995, p.31).
12
Ver, por exemplo, Diretiva de Proteo de Dados, considerandos 1, 4, 7 e 8.
13
TJUE, acrdo de 24 de novembro de 2011, nos processos apensos C-468/10 e C-469/10, Asociacin
Nacional de Establecimientos Financieros de Crdito (ASNEF) e Federacin de Comercio Electrnico y
Marketing Directo (FECEMD) v. Administracin del Estad, n.s 28 e 29.
A Diretiva de Proteo de Dados visa dar corpo aos princpios do direito privacidade j consagrados na Conveno108 e alargar a sua aplicao. O facto de os
15Estados-Membros da UE em 1995 serem tambm Partes Contratantes da Conveno 108 exclui a adoo de regras contraditrias nestes dois instrumentos jurdicos. No entanto, a Diretiva de Proteo de Dados explora a possibilidade, prevista
no artigo 11. da Conveno108, de adotar novos instrumentos de proteo. Em
especial, o estabelecimento de autoridades de controlo independentes como meio
de melhorar o cumprimento das regras sobre proteo de dados revelouse um
importante contributo para a aplicao eficaz da legislao europeia sobre proteo de dados. (Consequentemente, este elemento foi incorporado no direito do CdE
em2001 pelo Protocolo Adicional Conveno108).
O mbito de aplicao territorial da Diretiva de Proteo de Dados no se limita aos
28Estados-Membros da UE, incluindo tambm os Estados que no so membros da
UE mas que fazem parte do Espao Econmico Europeu(EEE)14 a saber, a Islndia, o
Listenstaine e a Noruega.
O TJUE no Luxemburgo tem competncia para determinar se um Estado-Membro
cumpriu as suas obrigaes ao abrigo da Diretiva de Proteo de Dados e para proferir decises a ttulo prejudicial sobre a validade e a interpretao da Diretiva, a fim
de assegurar a sua aplicao efetiva e uniforme nos Estados-Membros. Uma importante exceo aplicao da Diretiva a chamada exceo domstica, que diz
respeito ao tratamento de dados pessoais por uma pessoa singular no exerccio de
atividades exclusivamente pessoais ou domsticas.15 Este tratamento geralmente
considerado parte das liberdades pessoais.
Correspondendo ao direito primrio da UE em vigor data da adoo da Diretiva
de Proteo de Dados, o mbito de aplicao material da Diretiva abrange apenas
matrias do mercado interno. Das matrias que ficam fora do seu mbito de aplicao importa destacar a cooperao no domnio policial e da justia penal. A proteo
de dados nestas matrias baseiase em instrumentos jurdicos diferentes, que so
descritos pormenorizadamente no captulo 7.
Uma vez que a Diretiva de Proteo de Dados s podia ter por destinatrios os Estados Membros da UE, era necessrio um outro instrumento jurdico para assegurar
a proteo de dados nos casos de tratamento de dados pessoais pelas instituies
14
Acordo sobre o Espao Econmico Europeu, JO1994L1, que entrou em vigor em 1dejaneirode1994.
15
Diretiva de Proteo de Dados, artigo 3., n. 2, segundo travesso.
19
e rgos da UE. O Regulamento (CE) n.45/2001 relativo proteo das pessoas

singulares no que diz respeito ao tratamento de dados pessoais pelas instituies e
pelos rgos comunitrios e livre circulao desses dados (Regulamento Proteo
de Dados [Instituies da UE]) desempenha esta funo.16
Alm disso, mesmo em reas abrangidas pela Diretiva de Proteo de Dados, surge
muitas vezes a necessidade de estabelecer disposies mais detalhadas em matria
de proteo de dados para assegurar a necessria clareza na conciliao com outros
interesses legtimos. Dois exemplos so a Diretiva2002/58/CE relativa ao tratamento de dados pessoais e proteo da privacidade no setor das comunicaes
eletrnicas (Diretiva relativa privacidade e s comunicaes eletrnicas)17 e a Diretiva2006/24/CE relativa conservao de dados gerados ou tratados no contexto
da oferta de servios de comunicaes eletrnicas publicamente disponveis ou de
redes pblicas de comunicaes, e que altera a Diretiva2002/58/CE (Diretiva da
Conservao de Dados, invalidada em 8deabrilde2014).18 Sero analisados outros
exemplos no captulo8. Estas disposies tm de estar conformes com a Diretiva de
Proteo de Dados.
A Carta dos Direitos Fundamentais da Unio Europeia

Os tratados originais das Comunidades Europeias no continham qualquer referncia
aos direitos humanos ou sua proteo. Contudo, face aos processos instaurados
no ento Tribunal de Justia das Comunidades Europeias (TJCE) com fundamento em
alegadas violaes dos direitos humanos no mbito da legislao da UE, este desenvolveu uma nova abordagem. A fim de conceder proteo s pessoas singulares,
incorporou os direitos fundamentais nos chamados princpios gerais de direito europeu. Segundo o TJUE, estes princpios gerais refletem as disposies sobre proteo
dos direitos humanos constantes das constituies nacionais e dos tratados sobre
direitos humanos, em especial a CEDH. O TJUE afirmou que asseguraria a conformidade do direito da UE com estes princpios.
20
16
Regulamento (CE) n. 45/2001 do Parlamento Europeu e do Conselho, de 18dedezembrode2000,

relativo proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas
instituies e pelos rgos comunitrios e livre circulao desses dados ( JOL8, 2001).
17
Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao

tratamento de dados pessoais e proteo da privacidade no sector das comunicaes eletrnicas
(Diretiva relativa privacidade e s comunicaes eletrnicas), JOL201, 2002.
18
Diretiva 2006/24/CE do Parlamento Europeu e do Conselho, de 15 de maro de 2006, relativa

conservao de dados gerados ou tratados no contexto da oferta de servios de comunicaes
eletrnicas publicamente disponveis ou de redes pblicas de comunicaes, e que altera a
Diretiva2002/58/CE (Diretiva Conservao de Dados), JOL105, 2006. Considerada invlida pelo TJUE
em8deabrilde2014.
Reconhecendo que as suas polticas poderiam afetar os direitos humanos e num

esforo para aproximar os cidados da Unio, a UE proclamou, em2000, a Carta dos
Direitos Fundamentais da Unio Europeia (Carta). Esta Carta incorpora todos os direitos civis, polticos, econmicos e sociais dos cidados europeus, sintetizando as tradies constitucionais e as obrigaes internacionais comuns aos Estados-Membros.
Os direitos descritos na Carta esto divididos em seis seces: dignidade, liberdades,
igualdade, solidariedade, cidadania e justia.
Embora originalmente no passasse de um documento poltico, a Carta tornouse
juridicamente vinculativa19 como direito primrio da UE (ver artigo6., n. 1, do TUE)
com a entrada em vigor do Tratado de Lisboa em1dedezembrode2009.20
O direito primrio da UE tambm atribui UE competncia genrica para legislar
sobre matrias relacionadas com a proteo de dados (artigo16. do TFUE).
Para alm de garantir o respeito pela vida privada e familiar (artigo7.), a Carta consagra tambm o direito proteo de dados (artigo8.), elevando expressamente o
nvel desta proteo ao de um direito fundamental no direito da UE. As instituies
da UE e os Estados-Membros tm de observar e garantir este direito, que tambm
aplicvel aos Estados-Membros quando aplicam o direito da Unio (artigo51. da
Carta). Tendo sido formulado vrios anos aps a adoo da Diretiva de Proteo de
Dados, o artigo8. da Carta deve ser interpretado no sentido de incorporar a legislao da UE sobre proteo de dados preexistente. Por conseguinte, a Carta no s
menciona expressamente o direito proteo de dados no artigo8., n. 1, como
tambm faz referncia a princpios fundamentais da proteo de dados no artigo8.,
n. 2. Por ltimo, o artigo8., n. 3, da Carta assegura a fiscalizao da aplicao destes princpios por uma autoridade independente.
Perspetivas
Em janeiro de 2012, a Comisso Europeia props um pacote de reforma legislativa
sobre a proteo de dados, afirmando que era necessrio modernizar as atuais
regras sobre proteo de dados luz da rpida evoluo tecnolgica e da globalizao. O pacote de reforma legislativa consiste numa proposta de Regulamento geral
19
UE (2012), Carta dos Direitos Fundamentais da Unio Europeia, JOC326, 2012.
20
Ver verses consolidadas de Comunidades Europeias (2012), Tratado da Unio Europeia, JOC326,
2012; e de Comunidades Europeias (2012), TFUE, JOC326, 2012.
21
sobre a proteo de dados21, que dever substituir a Diretiva de Proteo de Dados,

bem como numa nova Diretiva de Proteo de Dados,22 que conter disposies
sobre a proteo de dados na rea da cooperao policial e judiciria em matria
penal. data da publicao do presente manual, estava em curso o debate sobre o
pacote de reforma legislativa.
1.2. Conciliao de direitos

Ponto-chave

O direito proteo de dados no um direito absoluto; tem de ser conciliado com

outros direitos.
O direito fundamental proteo de dados pessoais, consagrado no artigo8. da

Carta, no uma prerrogativa absoluta, mas deve ser tomado em considerao
relativamente sua funo na sociedade.23 Assim, o artigo52., n. 1, da Carta
admite a introduo de restries ao exerccio de direitos como os consagrados nos
seus artigos7. e 8., desde que essas restries estejam previstas na lei, respeitem
o contedo essencial desses direitos e liberdades e, na observncia do princpio da
proporcionalidade, sejam necessrias e correspondam efetivamente a objetivos de
interesse geral reconhecidos pela Unio Europeia, ou necessidade de proteo dos
direitos e liberdades de terceiros.24
No sistema da CEDH, a proteo de dados garantida pelo artigo8. (direito ao respeito pela vida privada e familiar) e, tal como no sistema da Carta, este direito tem
de ser exercido respeitando o mbito de outros direitos concorrentes. Nos termos
do artigo8., n. 2, da CEDH, No pode haver ingerncia da autoridade pblica no
22
21
Comisso Europeia (2012), Proposta de Regulamento do Parlamento Europeu e do Conselho relativo

proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e livre
circulao desses dados (Regulamento geral sobre a proteo de dados), COM(2012)11final, Bruxelas,
25dejaneirode2012.
22
Comisso Europeia (2012), Proposta de Diretiva do Parlamento Europeu e do Conselho relativo

proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades
competentes para efeitos de preveno, investigao, deteo e represso de infraes penais ou
de execuo de sanes penais, e livre circulao desses dados (Diretiva geral sobre a proteo de
dados), COM(2012)10final, Bruxelas, 25dejaneirode2012.
23
Ver, por exemplo, TJUE, acrdo de 9 de novembro de 2010 nos processos apensos C-92/09 e C-93/09,
Volker und Markus Schecke GbR e Hartmut Eifert/Land Hessen, n. 48.
24
Ibid. n. 50.
exerccio deste direito seno quando esta ingerncia estiver prevista na lei e constituir uma providncia que, numa sociedade democrtica, seja necessria para [] a
proteo dos direitos e das liberdades de terceiros.
Consequentemente, tanto o TEDH como o TJUE tm afirmado repetidamente que a
aplicao e a interpretao do artigo8. da CEDH e do artigo8. da Carta exigem
a conciliao com outros direitos.25 Vrios exemplos importantes ilustraro como
poder ser feita esta conciliao.
1.2.1. Liberdade de expresso

Um dos direitos que entrar provavelmente em conflito com o direito proteo de
dados o direito liberdade de expresso.
A liberdade de expresso um direito protegido pelo artigo11. da Carta (Liberdade de expresso e de informao). Este direito abrange a liberdade de opinio
e a liberdade de receber e de transmitir informaes ou ideias, sem que possa haver
ingerncia de quaisquer poderes pblicos e sem considerao de fronteiras. O
artigo11. corresponde ao artigo10. da CEDH. Nos termos do artigo52., n. 3, da
Carta, na medida em que contenha direitos correspondentes aos direitos garantidos pela CEDH, o sentido e o mbito desses direitos so iguais aos conferidos por
essa Conveno. As restries que podem ser licitamente impostas sobre o direito
garantido pelo artigo11. da Carta no podero, portanto, ultrapassar as previstas
no artigo10., n. 2, da CEDH, ou seja, tm de estar previstas na lei e constituir providncias necessrias, numa sociedade democrtica para a [] proteo da honra ou
dos direitos de outrem. Este conceito abrange o direito proteo de dados.
A relao entre a proteo de dados pessoais e a liberdade de expresso regulada pelo artigo9. da Diretiva de Proteo de Dados, sob a epgrafe Tratamento
de dados pessoais e liberdade de expresso. 26 Nos termos deste artigo, os
25
TEDH, acrdo Von Hannover c. Alemanha (n. 2) [GS] de 7 de fevereiro de 2012, peties
n.s40660/08 e 60641/08; TJUE, acrdo de 24denovembrode2011 nos processos apensos
C-468/10 e C-469/10, Asociacin Nacional de Establecimientos Financieros de Crdito (ASNEF) e
Federacin de Comercio Electrnico y Marketing Directo (FECEMD)/Administracin del Estado, n.48;
TJUE, acrdo de 29dejaneirode2008 no processo C-275/06, Productores de Msica de Espaa
(Promusicae)/Telefnica de Espaa SAU, n.68. Ver tambm Conselho da Europa (2013), Case law of
the European Court of Human Rights concerning the protection of personal data, DP (2013) Case law,
disponvel em: www.coe.int/t/dghl/standardsetting/dataprotection/Judgments/DP 2013 Case Law_
Eng_FINAL.pdf.
26
Diretiva de Proteo de Dados, artigo9..
23
Estadosmembros so chamados a instituir determinadas isenes ou derrogaes

proteo de dados, e portanto ao direito fundamental vida privada, prevista nos
captulosII, IV eVI dessa diretiva. Essas derrogaes devem ser criadas para fins
exclusivamente jornalsticos ou de expresso artstica ou literria, que se enquadram no mbito do direito fundamental liberdade de expresso, apenas na medida
em que sejam necessrias para conciliar o direito vida privada com as normas que
regem a liberdade de expresso.
Exemplo: No processo que deu origem ao acrdo Tietosuojavaltuutettu/
Satakunnan Markkinaprssi Oy e Satamedia Oy,27 foi pedido ao TJUE que interpretasse o artigo 9. da Diretiva de Proteo de Dados e definisse a relao
entre a proteo de dados e a liberdade de imprensa. O Tribunal de Justia analisou a divulgao pela Markkinaprssi e pela Satamedia dos dados fiscais de
cerca de 1,2milhes de pessoas singulares licitamente obtidos junto das autoridades fiscais finlandesas. Em especial, o Tribunal de Justia teve de determinar
se o tratamento dos dados pessoais disponibilizados pelas autoridades fiscais
para que os utilizadores de telemveis recebessem dados fiscais relativos a
outras pessoas singulares deve ser considerado uma atividade realizada para
fins exclusivamente jornalsticos. Tendo concludo que as atividades da Satakunnan constituam tratamento de dados pessoais na aceo do artigo3., n. 1,
da Diretiva de Proteo de Dados, o Tribunal de Justia passou ento a interpretar o artigo9. da Diretiva. Em primeiro lugar, chamou a ateno para a importncia da liberdade de expresso nas sociedades democrticas e defendeu que
os conceitos relacionados com essa liberdade, como o de jornalismo, deveriam
ser interpretados de forma ampla. Seguidamente, observou que, para obter
uma ponderao equilibrada entre os dois direitos fundamentais, as isenes
e derrogaes proteo de dados devem ser aplicadas apenas na medida
estritamente necessria. Naquelas circunstncias, o Tribunal de Justia considerou que atividades como as que eram desenvolvidas pela Markkinaprssi e
pela Satamedia relativas a dados contidos em documentos que so pblicos nos
termos da legislao nacional podem ser qualificadas de atividades jornalsticas se tiverem por finalidade a divulgao ao pblico de informaes, opinies ou ideias, independentemente do respetivo meio de transmisso. O Tribunal de Justia tambm entendeu que essas atividades no esto reservadas
s empresas de comunicao social e podem ter fins lucrativos. Contudo, o TJUE
27
24
TJUE, acrdo de 16dedezembrode2008 no processo C-73/07, Tietosuojavaltuutettu/Satakunnan

Markkinaprssi Oy e Satamedia Oy, n.s56, 61 e 62.
considerou que competia ao rgo jurisdicional nacional apreciar se era esse o

caso no processo principal.
O TEDH proferiu vrios acrdos histricos sobre a conciliao entre o direito proteo de dados e o direito liberdade de expresso.
Exemplo: No acrdo Axel Springer AG c. Alemanha,28 o TEDH entendeu que a
proibio imposta por um tribunal nacional sobre o proprietrio de um jornal
que pretendia publicar um artigo sobre a deteno e condenao de um ator
muito conhecido violava o artigo10. da CEDH. O TEDH reiterou os critrios
que tinha estabelecido na sua jurisprudncia no domnio da conciliao entre o
direito liberdade de expresso e o direito ao respeito pela vida privada.
em primeiro lugar, se o acontecimento a que o artigo publicado se referia era
de interesse geral: a deteno e condenao de uma pessoa era um facto
judicial pblico e, como tal, de interesse pblico;
em segundo lugar, se a pessoa em causa era uma figura pblica: a pessoa
em causa era um ator suficientemente conhecido para ser considerado uma
figura pblica; e
em terceiro lugar, o modo como as informaes foram obtidas e se eram fidedignas: as informaes tinham sido fornecidas pelos servios do Ministrio
Pblico e nenhuma das partes contestava a exatido das informaes contidas em ambas as publicaes.
Por conseguinte, o TEDH considerou que as restries publicao impostas
sobre a empresa no eram razoavelmente proporcionais ao objetivo legtimo de
proteger a vida privada do requerente. O TEDH concluiu que tinha havido uma
violao do artigo 10. da CEDH.
Exemplo: No acrdo Von Hannover c. Alemanha (n.2),29 o TEDH concluiu que
o facto de os tribunais nacionais terem indeferido o pedido de medidas cautelares apresentado pela Princesa Carolina do Mnaco requerendo a proibio da
28
TEDH, acrdo Axel Springer AG c. Alemanha [GS] de 7defevereirode2012, petio n.39954/08, n.s
90 e 91.
29
TEDH, acrdo Von Hannover c. Alemanha (n.2) [GS] de 7defevereirode2012, peties

n.s40660/08 e 60641/08, n.s118 e124.
25
publicao de uma fotografia sua e do seu marido tirada durante umas frias
numa estncia de esqui no constitua uma violao do direito ao respeito pela
vida privada nos termos do artigo8. da CEDH. A fotografia era acompanhada
por um artigo que mencionava, entre outros assuntos, os problemas de sade
do Prncipe Rainier. O TEDH concluiu que os tribunais nacionais tinham conseguido conciliar o direito das editoras liberdade de expresso com o direito
dos requerentes ao respeito pela sua vida privada. A qualificao da doena do
Prncipe Rainier como um acontecimento da sociedade contempornea pelos
tribunais nacionais no podia ser considerada desrazovel e o TEDH reconheceu
que a fotografia, considerada no contexto do artigo, contribua, pelo menos em
certa medida, para um debate de interesse geral. O TEDH concluiu que no tinha
havido uma violao do artigo8. da CEDH.
Na jurisprudncia do TEDH, um dos critrios cruciais relativamente conciliao
destes direitos o contributo da expresso em causa para um debate de interesse
pblico geral.
Exemplo: No processo que deu origem ao acrdo Mosley c. Reino Unido,30 um
jornal semanal de circulao nacional publicou fotografias ntimas do requerente. Este alegou uma violao do artigo8. da CEDH porque no lhe tinha
sido possvel requerer uma medida cautelar antes da publicao das fotografias em causa devido inexistncia de qualquer obrigao de notificao prvia do jornal em caso de publicao de material suscetvel de violar o direito
privacidade. Embora a divulgao do referido material se destinasse a fins de
entretenimento e no a fins pedaggicos, beneficiava inquestionavelmente
da proteo do artigo10. da CEDH, que poderia ser afastada pelos requisitos
do artigo8. da CEDH nos casos em que as informaes tivessem natureza
ntima e privada e no existisse qualquer interesse pblico na sua divulgao.
No entanto, era necessrio exercer especial cuidado na apreciao de restries
que poderiam funcionar como uma espcie de censura antes da publicao.
Relativamente ao efeito inibidor que uma obrigao de notificao prvia poderia produzir, s dvidas quanto sua eficcia e ampla margem de apreciao
naquela rea, o TEDH entendeu que o artigo8. no exige o estabelecimento de
uma obrigao de notificao prvia juridicamente vinculativa. Nesta conformidade, o TEDH concluiu que no tinha havido qualquer violao do artigo8..
30
26
TEDH, acrdo Mosley c. Reino Unido de 10 de maio de 2011, petio n.48009/08, n.s 129 e 130.
Exemplo: No processo que deu origem ao acrdo Biriuk c. Litunia,31 a requerente pedia a condenao de um jornal dirio no pagamento de uma indemnizao por ter publicado um artigo em que revelava a sua seropositividade.
Esta informao tinha sido alegadamente confirmada pelos mdicos do hospital
local. O TEDH no considerou que o artigo em causa contribusse para qualquer
debate de interesse geral e reiterou a importncia fundamental da proteo dos
dados pessoais, sobretudo de dados mdicos, para que uma pessoa pudesse
gozar o seu direito ao respeito pela vida privada e familiar garantido pelo
artigo8. da CEDH. O TEDH atribuiu especial importncia ao facto de, segundo o
artigo publicado no jornal, o pessoal mdico de um hospital ter fornecido informaes sobre a infeo da requerente pelo VIH, violando manifestamente o seu
dever de sigilo mdico. Consequentemente, o Estado no tinha conseguido proteger o direito da requerente ao respeito pela sua vida privada. O TEDH concluiu
que tinha havido uma violao do artigo8..
1.2.2. Acesso aos documentos

Nos termos do artigo 11. da Carta e do artigo10. da CEDH, a liberdade de informao abrange no s o direito a transmitir como tambm a receber informaes.
cada vez mais reconhecida a importncia da transparncia do Estado para o funcionamento de uma sociedade democrtica. Consequentemente, nas duas ltimas
dcadas, o direito de acesso a documentos na posse de autoridades pblicas foi
reconhecido como um direito importante de todos os cidados da UE e de qualquer
pessoa singular ou coletiva com residncia ou sede num Estado-Membro.
No mbito do direito do CdE, h que referir os princpios consagrados na Recomendao sobre o acesso a documentos oficiais, que serviu de inspirao aos autores
da Conveno sobre o Acesso a Documentos Oficiais (Conveno205).32 No mbito
do direito da UE, o direito de acesso aos documentos garantido pelo Regulamento n.1049/2001 relativo ao acesso do pblico aos documentos do Parlamento
Europeu, do Conselho e da Comisso (Regulamento Acesso a Documentos).33 O
artigo42. da Carta e o artigo15., n. 3, do TFUE alargaram este direito de acesso
31
TEDH, acrdo Biriuk c. Litunia de 25 de novembro de 2008, petio n.23373/03.
32
Conselho da Europa, Comit de Ministros (2002), Recommendation Rec(2002)2 to member states

on access to official documents (Recomendao Rec(2002)2 aos Estados membros sobre o acesso a
documentos oficiais), de 21defevereirode2002; Conselho da Europa, Conveno sobre o Acesso a
Documentos Oficiais, de 18dejunhode2009, STCE n.205. A Conveno ainda no entrou em vigor.
33
Regulamento (CE) n. 1049/2001 do Parlamento Europeu e do Conselho, de 30 de maio de 2001,

relativo ao acesso do pblico aos documentos do Parlamento Europeu, do Conselho e da Comisso,
JOL145, 2001.
27
aos documentos das instituies, rgos e organismos da Unio, seja qual for o
suporte desses documentos. Nos termos do artigo52., n. 2, da Carta, o direito de
acesso aos documentos tambm exercido de acordo com as condies e os limites
previstos no artigo15., n. 3, do TFUE. Este direito poder entrar em conflito com
o direito proteo de dados se o acesso aos documentos revelar dados pessoais
de terceiros. Por conseguinte, os pedidos de acesso a documentos ou informaes
podero ter de ser analisados luz do direito proteo de dados das pessoas cujos
dados constam dos documentos solicitados.
Exemplo: No acrdo Comisso/Bavarian Lager,34 o TJUE definiu o mbito da
proteo de dados pessoais no contexto do acesso aos documentos das instituies da UE e a relao entre os Regulamentos n.s1049/2001 (Regulamento Acesso aos Documentos) e 45/2001 (Regulamento Proteo de Dados).
A Bavarian Lager, constituda em 1992, importa cerveja alem engarrafada
para o Reino Unido, que se destina principalmente a consumo em pubs e bares.
Porm, deparouse com algumas dificuldades porque a legislao britnica favorece, na prtica, os produtores nacionais. Em resposta a uma queixa da Bavarian
Lager, a Comisso Europeu decidiu instaurar uma ao contra o Reino Unido por
incumprimento das suas obrigaes, na sequncia da qual as disposies controvertidas foram alteradas em conformidade com o direito da UE. A Bavarian
Lager solicitou ento Comisso vrios documentos, entre os quais uma cpia
da ata de uma reunio na qual tinham participado representantes da Comisso,
das autoridades britnicas e da Confdration des Brasseurs du March Commun(CBMC). A Comisso concordou em divulgar certos documentos relacionados com a reunio, mas truncou cinco nomes que constavam da ata, dado
que duas pessoas se tinham expressamente oposto divulgao da sua identidade e a Comisso no tinha conseguido contactar as outras trs. Por deciso
de 18demarode2004, a Comisso indeferiu um novo pedido de acesso
ata integral da reunio apresentado pela Bavarian Lager, com fundamento, em
especial, na proteo da vida privada das pessoas em causa, tal como garantida pelo Regulamento Proteo de Dados. Insatisfeita com esta deciso, a
Bavarian Lager instaurou uma ao no Tribunal de Primeira Instncia, que anulou a deciso da Comisso por acrdo de8denovembrode2007 (acrdo
Bavarian Lager/Comisso no processo T-194/04), tendo concludo, em especial,
que o simples facto de o nome da pessoa em causa figurar na lista dos participantes numa reunio em nome da entidade que essa pessoa representava
34
28
TJUE, acrdo de 29 de junho de 2010 no processo C-28/08P, Comisso Europeia/The Bavarian Lager
Co. Ltd, n.s60, 63, 76, 78 e 79.
no comprometia a vida privada e no representava qualquer risco para a vida

privada dessa pessoa.
Em sede de recurso interposto pela Comisso, o TJUE anulou o acrdo do
Tribunal de Primeira Instncia. O TJUE considerou que o Regulamento Acesso
aos Documentos cria um regime especfico e reforado de proteo de uma
pessoa cujos dados pessoais poderiam, eventualmente, ser comunicados ao
pblico. Segundo o TJUE, quando por meio de um pedido baseado no Regulamento Acesso aos Documentos se pretende obter o acesso a documentos
que incluem dados pessoais, as disposies desse Regulamento passam a ser
integralmente aplicveis. O TJUE concluiu ento que tinha sido com razo que
a Comisso tinha indeferido o pedido de acesso ata completa da reunio realizada emoutubrode1996. Na ausncia do consentimento dos cinco participantes naquela reunio, a Comisso tinha dado cumprimento bastante ao seu
dever de transparncia ao divulgar uma verso do documento em causa do
qual tinham sido expurgados os seus nomes.
Acresce que, segundo o TJUE, [n]o tendo a Bavarian Lager fornecido nenhuma
justificao expressa e legtima nem nenhum argumento convincente demonstrativo da necessidade da transferncia desses dados pessoais, a Comisso
no pde ponderar os diferentes interesses das partes em causa. Tambm no
podia verificar se no existiam motivos para supor que os interesses legtimos
das pessoas em causa podiam ser prejudicados, tal como exigido pelo Regulamento de Proteo de Dados.
De acordo com este acrdo, a ingerncia no exerccio do direito proteo de
dados relativamente ao acesso aos documentos exige uma justificao especfica e
legtima. O direito de acesso aos documentos no pode afastar automaticamente o
direito proteo de dados.35
No seguinte acrdo do TEDH, foi analisado um aspeto especfico de um pedido de
acesso.
35
Ver, contudo, as deliberaes detalhadas em Autoridade Europeia para a Proteo de Dados (AEPD)
(2011), Public access to documents containing personal data after the Bavarian Lager ruling (Acesso
do pblico a documentos que contm dados pessoais aps o acrdo Bavarian Lager) Bruxelas,
24demarode2011, disponvel em: www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/
Documents/EDPS/Publications/Papers/BackgroundP/11-03-24_Bavarian_Lager_EN.pdf.
29
Exemplo: No processo que deu origem ao acrdo Trsasg a Szabadsgjogokrt c. Hungria,36 a requerente, uma ONG de defesa dos direitos humanos,
tinha pedido ao Tribunal Constitucional acesso a informaes sobre um processo
pendente. Sem consultar o membro do Parlamento que tinha instaurado o processo, o Tribunal Constitucional indeferiu o pedido de acesso, alegando que a
divulgao a terceiros de informaes sobre as queixas que lhe eram submetidas dependia de autorizao do autor da queixa. Os tribunais nacionais confirmaram este indeferimento, alegando que a proteo dos dados pessoais
em causa no podia ser afastada por outros interesses legtimos, incluindo a
acessibilidade a informaes pblicas. A requerente tinha agido como um fiscal social, cujas atividades mereciam uma proteo semelhante conferida
aos rgos de comunicao social. Relativamente liberdade de imprensa, o
TEDH tinha afirmado sistematicamente que o pblico tinha o direito a receber
informaes de interesse geral. As informaes pretendidas pela requerente
estavam imediatamente disponveis, pelo que no era necessrio proceder
recolha de dados. Assim sendo, o Estado tinha a obrigao de no impedir o
fluxo de informaes pretendido pela requerente. Em resumo, o TEDH considerou que os obstculos destinados a dificultar o acesso a informaes de interesse pblico poderiam desencorajar aqueles que trabalham na rea da comunicao social ou em reas conexas de desempenhar o seu papel crucial de
fiscal pblico. O TEDH concluiu que tinha havido uma violao do artigo 10..
No direito da UE, a importncia da transparncia inquestionvel. O princpio da
transparncia est consagrado nos artigos1. e 10. do Tratado UE e no artigo15.,
n. 1, do TFUE. 37 Segundo o considerando2 do Regulamento (CE) n.1049/2001,
permite assegurar uma melhor participao dos cidados no processo de deciso
e garantir uma maior legitimidade, eficcia e responsabilidade da Administrao
perante os cidados num sistema democrtico.38
Seguindo este raciocnio, o Regulamento (CE) n. 1290/2005 do Conselho relativo
ao financiamento da poltica agrcola comum e o Regulamento (CE) n.259/2008
da Comisso que estabelece as regras da sua execuo exigem a publicao de
informaes sobre os beneficirios de certos fundos da UE no setor agrcola e os
30
36
TEDH, acrdo Trsasg a Szabadsgjogokrt c. Hungria de 14deabrilde2009, petio n.37374/05,

n.s 27, 3638.
37
UE (2012), Verses consolidadas do Tratado da Unio Europeia e do TFUE, JO2012C326.
38
TJUE, acrdo de 6 de maro de 2003 no processo C-41/00P, Interporc Im- und Export GmbH/Comisso
das Comunidades Europeias, n.39; e TJUE, acrdo de 29dejunhode2010 no processo C-28/08P,
Comisso Europeia/The Bavarian Lager Co. Ltd., n. 54.
montantes recebidos por cada beneficirio.39 Esta publicao dever contribuir para
o controlo pblico da utilizao de fundos pblicos pela Administrao. A proporcionalidade desta publicao foi contestada por vrios beneficirios.
Exemplo: No processo que deu origem ao acrdo Volker und Markus Schecke
e Hartmut Eifert/Land Hessen,40 o TJUE foi chamado a pronunciarse sobre a proporcionalidade da publicao, exigida pela legislao da Unio, dos nomes dos
beneficirios de subsdios agrcolas da UE e dos montantes por eles recebidos.
O Tribunal de Justia, salientando que o direito proteo de dados no uma
prerrogativa absoluta, considerou que a publicao num stio Internet de dados
nominativos relativos aos beneficirios de dois fundos agrcolas da UE e dos
montantes exatos que receberam constitui uma ingerncia na sua vida privada
e, em especial, na proteo dos seus dados pessoais.
O Tribunal de Justia considerou que tal ingerncia nos direitos consagrados
nos artigos 7. e 8. da Carta estava prevista na lei e prosseguia um objetivo
de interesse geral reconhecido pela UE, ou seja, aumentar a transparncia da
utilizao dos fundos comunitrios. Contudo, o TJUE entendeu que a publicao
dos nomes das pessoas singulares que beneficiavam de ajudas agrcolas da UE
provenientes destes dois fundos e os montantes exatos que receberam constitua uma medida desproporcional e no se justificava luz do artigo 52., n. 1,
da Carta. Por conseguinte, o Tribunal de Justia declarou a invalidade parcial da
legislao da UE relativa publicao de informao sobre os beneficirios de
fundos agrcolas europeus.
1.2.3. Liberdade das artes e das cincias

Outro direito que necessrio conciliar com o direito ao respeito pela vida privada
e proteo de dados a liberdade das artes e das cincias, expressamente protegida pelo artigo13. da Carta. Este direito , antes de mais, um corolrio do direito
39
Regulamento (CE) n.1290/2005 do Conselho, de 21 de junho de 2005, relativo ao financiamento

da poltica agrcola comum, JO2005L209; e Regulamento (CE) n.259/2008 da Comisso, de
18demarode2008, que estabelece as regras de execuo do Regulamento (CE) n.1290/2005 do
Conselho no que respeita publicao de informao sobre os beneficirios de fundos provenientes do
Fundo Europeu Agrcola de Garantia (FEAGA) e do Fundo Europeu Agrcola de Desenvolvimento Rural
(Feader), JO2008L76.
40
TJUE, acrdo de 9 de novembro de 2010 nos processos apensos C-92/09 e C-93/09, Volker und
Markus Schecke GbR e Hartmut Eifert/Land Hessen, n.s4752, 58, 6667, 75, 86 e92.
31
liberdade de pensamento e de expresso e deve ser exercido luz do disposto no

artigo1. da Carta (Dignidade do ser humano). O TEDH considera que a liberdade das
artes est protegida pelo artigo10. da CEDH.41 O direito garantido pelo artigo13.
da Carta tambm poder estar sujeito s restries permitidas pelo artigo10. da
CEDH.42
Exemplo: No processo que deu origem ao acrdo Vereinigung bildender
Knstler c. ustria,43 os tribunais austracos proibiram a associao requerente
de continuar a exibir um quadro que continha fotografias das cabeas de vrias
figuras pblicas em posies sexuais. Um deputado austraco, cuja fotografia
tinha sido utilizada no quadro, instaurou uma ao contra a associao requerente, pedindo que esta fosse proibida de exibir o quadro. O tribunal nacional
deu provimento a este pedido. O TEDH reiterou que o artigo10. da CEDH era
aplicvel transmisso de ideias que ofendessem, chocassem ou perturbassem
o Estado ou qualquer segmento da populao. Aqueles que criavam, executavam, distribuam ou exibiam obras de arte contribuam para o intercmbio de
ideias e opinies e o Estado tinha a obrigao de no restringir injustificadamente a sua liberdade de expresso. Uma vez que o quadro era uma collage e
utilizava fotografias apenas da cabea das pessoas, sendo os corpos representados de forma irrealista e exagerada, que obviamente no pretendia refletir
nem mesmo aludir realidade, o TEDH afirmou igualmente que o quadro no
poderia ser considerado uma representao de aspetos da vida privada da pessoa em causa, mas apenas de aspetos relacionados com a sua imagem pblica
como poltico e que, nessa qualidade, a pessoa representada no quadro tinha de
mostrar maior tolerncia s crticas. Aps ponderao dos diferentes interesses
em causa, o TEDH considerou que a proibio absoluta da continuao da exibio do quadro era desproporcionada. O TEDH concluiu que tinha havido uma
violao do artigo10. da CEDH.
No que respeita s cincias, a legislao europeia sobre proteo de dados reconhece o valor especial da cincia para a sociedade. Por este motivo, as restries
gerais utilizao de dados pessoais so menos rigorosas. Tanto a Diretiva de Proteo de Dados como a Conveno 108 permitem a conservao de dados para fins
de investigao cientfica quando j no sejam necessrios para o fim para o qual
32
41
TEDH, acrdo Mller e outros c. Sua de 24demaiode1988, petio n.10737/84.
42
Anotaes relativas Carta dos Direitos Fundamentais, JO2007C303.
43
TEDH, acrdo Vereinigung bildender Knstler c. ustria, de 25dejaneirode2007, petio

n.68345/01; ver, em especial, n.s26 e34.
foram inicialmente recolhidos. Alm disso, a utilizao posterior de dados pessoais

para fins de investigao cientfica no ser considerada uma finalidade incompatvel. Cabe ao legislador nacional estabelecer disposies mais detalhadas, incluindo
as garantias necessrias, para conciliar o interesse na investigao cientfica com o
direito proteo de dados (ver tambm as seces3.3.3 e 8.4).
1.2.4. Proteo da propriedade

O direito proteo da propriedade est consagrado no artigo1. do Primeiro Protocolo CEDH e tambm no artigo17., n. 1, da Carta. Um aspeto importante do
direito de propriedade a proteo da propriedade intelectual, expressamente
mencionada no artigo17., n. 2, da Carta. Existem vrias diretivas na ordem jurdica da UE que visam a proteo efetiva da propriedade intelectual, em especial dos
direitos de autor. A propriedade intelectual abrange no apenas a propriedade literria e artstica como tambm direitos sobre patentes, marcas e direitos conexos.
Tal como deixa bem claro a jurisprudncia do TJUE, a proteo do direito fundamental propriedade privada tem de ser conciliado com a proteo de outros direitos
fundamentais, especialmente com o direito proteo de dados.44 H casos em
que as instituies responsveis pela proteo dos direitos de autor exigiram que
os prestadores de servios de Internet divulgassem a identidade dos utilizadores de
plataformas de partilha de ficheiros. Muitas vezes, essas plataformas permitem aos
utilizadores da Internet descarregar gratuitamente temas musicais que esto protegidos pelo direito de autor.
Exemplo: O processo que deu origem ao acrdo Promusicae/Telefnica de
Espaa45 dizia respeito recusa de um prestador de servios de acesso Internet, a Telefnica, em divulgar Promusicae, uma associao sem fins lucrativos
que agrupa produtores musicais e editores de gravaes musicais e audiovisuais, os dados pessoais de certas pessoas a quem prestava servios de acesso
Internet. A Promusicae pretendia obter as referidas informaes para assim
poder mover uma ao cvel contra aquelas pessoas, que alegadamente utilizavam um programa de troca de ficheiros que permitia o acesso a fonogramas
cujos direitos de explorao pertenciam a membros da associao.
44
TEDH, acrdo Ashby Donald e outros c. Frana de 10dejaneirode2013, petio n.36769/08.
45
TJUE, acrdo de 29 de janeiro de 2008 no processo C-275/06, Productores de Msica de Espaa

(Promusicae)/Telefnica de Espaa SAU, n.s 54 e 60.
33
O tribunal espanhol apresentou um pedido de deciso prejudicial ao TJUE, perguntando se a legislao comunitria estabelece a obrigao de comunicar
esses dados pessoais no contexto de uma ao cvel para garantir a efetiva
proteo dos direitos de autor. O referido tribunal invocou as Diretivas2000/31,
2001/29 e 2004/48, lidas luz dos artigos 17. e 47. da Carta. O Tribunal de
Justia concluiu que estas trs Diretivas, assim como a Diretiva relativa privacidade e s comunicaes eletrnicas (Diretiva2002/58), no se opem a que os
Estados-Membros estabeleam a obrigao de divulgar dados pessoais no contexto de uma ao cvel para garantir a efetiva proteo dos direitos de autor.
O TJUE sublinhou que, consequentemente, o caso suscitava a questo da necessidade de conciliar as exigncias ligadas proteo de diferentes direitos fundamentais, nomeadamente o direito ao respeito pela vida privada, por um lado,
e os direitos proteo da propriedade e a uma tutela jurisdicional efetiva, por
outro.
O Tribunal de Justia concluiu que o direito comunitrio exige que os [EstadosMembros], na transposio das diretivas supramencionadas, zelem por que seja
seguida uma interpretao das mesmas que permita assegurar o justo equilbrio entre os direitos fundamentais protegidos pela ordem jurdica comunitria. Seguidamente, na execuo das medidas de transposio dessas diretivas,
compete s autoridades e aos rgos jurisdicionais dos Estados-Membros no
s interpretar o seu direito nacional em conformidade com essas mesmas diretivas mas tambm seguir uma interpretao destas que no entre em conflito
com os referidos direitos fundamentais ou com os outros princpios gerais do
direito comunitrio, como o princpio da proporcionalidade.46
46
34
Ibid., n.s65 e68; ver tambm TJUE, acrdo de 16 de fevereiro de 2012 no processo C-360/10,
SABAM/Netlog N.V.
2.

Terminologia sobre
proteo de dados
UE
Dados pessoais
Diretiva de Proteo de Dados, artigo 2.,
al. a)
Questes
abrangidas
Definio legal
TJUE, acrdo de 6 de novembro de 2003

no processo C-101/01, Bodil Lindqvist
n. 1, al. e)
Tratamento de dados
al. b)
Conveno 108, artigo 2.,

al. a)
TEDH, acrdo Bernh Larsen
Holding AS e outros c.
Noruega de 14 de maro de
2013, petio n.24117/08

nos processos apensos C-92/09 e C-93/09,
Volker und Markus Schecke GbR e Hartmut
Eifert/Land Hessen
TJUE, acrdo de 29 de janeiro de 2008 no
processo C-275/06, Productores de Msica
de Espaa (Promusicae)/Telefnica de
Espaa SAU
n. 1
CdE
Categorias
especficas de
dados pessoais
(dados sensveis)
Conveno 108, artigo 6.
Dados
anonimizados e
pseudonimizados

al. e)
Definies

al. c)
Conveno 108, Relatrio

explicativo, artigo 42.

35
UE
Utilizadores dos dados
al. d)

al. e)
al. g)
al. f)
Consentimento
al. h)
TJUE, acrdo de 5 de maio de 2011 no
processo C-543/09, Deutsche Telekom AG/
Bundesrepublik Deutschland
Questes
abrangidas
Responsvel pelo
tratamento
Subcontratante
Destinatrio
CdE

al. d)
Recomendao sobre a
definio de perfis, artigo
1., al. g) *
Recomendao sobre a
1., al. h)
Conveno 108, Protocolo
Adicional, artigo 2., n. 1
Terceiro
Definio e
requisitos de
validade do
consentimento
Recomendao sobre os
dados mdicos, artigo 6.,
e vrias recomendaes
posteriores
Nota: *Conselho da Europa, Comit de Ministros (2010), Recomendao Rec(2010)13 aos Estados
membros sobre a proteo das pessoas singulares relativamente ao tratamento automatizado
dedados de carter pessoal no contexto da definio de perfis (Recomendao sobre a definio
de perfis), 23denovembrode2010.
2.1. Dados pessoais

Pontos-chave
36
Consideramse dados pessoais os dados relativos a uma pessoa identificada ou, pelo
menos, identificvel: o titular dos dados ou a pessoa em causa
Considerase que uma pessoa identificvel se for possvel obter informaes adicionais, sem um esforo desproporcionado, que permitam a identificao do titular dos
dados.
A autenticao consiste no ato de provar que uma certa pessoa possui uma certa identidade e/ou est autorizada a realizar certas atividades.
Terminologia sobre proteo de dados
Existem categorias especficas de dados (os chamados dados sensveis), elencados

na Conveno108 e na Diretiva de Proteo de Dados, os quais exigem uma proteo
acrescida e, como tal, esto sujeitos a um regime jurdico especial.
Considerase que os dados foram anonimizados se j no contiverem quaisquer elementos de identificao; consideramse pseudonimizados se os elementos de identificao estiverem encriptados.
Contrariamente ao que acontece com os dados anonimizados, os dados pseudonimizados so dados pessoais.
2.1.1. Principais aspetos do conceito de dados

pessoais
No direito da UE, assim como no direito do CdE, o termo dados pessoais definido
como informaes relativas a uma pessoa singular identificada ou identificvel,47 ou
seja, informaes sobre uma pessoa cuja identidade evidente ou que pode, pelo
menos, ser determinada atravs da obteno de informaes adicionais.
Se forem tratados dados sobre essa pessoa, esta designada titular dos dados.
Uma pessoa
O direito proteo de dados nasceu do direito ao respeito pela vida privada. O conceito de vida privada est associado aos seres humanos. As pessoas singulares so,
portanto, as principais beneficirias da proteo de dados. Alm disso, segundo o
Parecer do Grupo de Trabalho do artigo29., apenas as pessoas vivas esto protegidas pela legislao europeia sobre proteo de dados.48
A jurisprudncia do TEDH relativa ao artigo8. da CEDH ilustra a dificuldade em
separar completamente assuntos da vida privada e da vida profissional.49
47
Diretiva Proteo de Dados, artigo 2., al. a); Conveno108, artigo2., alneaa).
48
Grupo de Trabalho do artigo 29. (2007), Parecer 4/2007 sobre o conceito de dados pessoais, WP136,
20dejunhode2007, p.23.
49
Ver, por exemplo, TEDH, acrdo Rotaru c. Romnia [GS] de 4demaiode2000, n. 43, petio
n.28341/95; TEDH, acrdo Niemitz c. Alemanha, de 16dedezembrode1992, n. 29, petio
n.13710/88.
37
Exemplo: No processo que deu origem ao acrdo Amann c. Sua,50 as autoridades intercetaram uma chamada telefnica de natureza profissional para o
requerente. Com base nessa chamada telefnica, as autoridades lanaram uma
investigao sobre o requerente e submeteram uma ficha sobre o mesmo,
destinada ao registo de fichas de segurana. Embora a interceo respeitasse
a uma chamada telefnica de natureza profissional, o TEDH considerou que o
armazenamento de dados sobre esta chamada estava relacionado com a vida
privada do requerente, tendo sublinhado que o termo vida privada no
podia ser objeto de uma interpretao restritiva, sobretudo porque o respeito
pela vida privada abrangia o direito de estabelecer e desenvolver relaes com
outros seres humanos. Alm disso, no existia qualquer razo de princpio que
justificasse a excluso de atividades de natureza profissional ou comercial do
conceito de vida privada. Esta interpretao mais ampla do conceito correspondia da Conveno108. O TEDH considerou ainda que, no caso do requerente, a ingerncia das autoridades no estava em conformidade com a lei dado
que a legislao nacional no estabelecia disposies especficas e detalhadas
sobre a recolha, gravao e armazenamento de informaes. Por conseguinte,
concluiu que tinha havido uma violao do artigo8. da CEDH.
Alm disso, se a vida profissional tambm pode ser objeto da proteo de dados,
questionvel que apenas as pessoas singulares possam beneficiar dessa proteo.
Os direitos garantidos pela CEDH no respeitam apenas s pessoas singulares.
Existe jurisprudncia do TEDH em que este se pronunciou sobre alegados casos
de violao do direito de pessoas coletivas a proteo contra a utilizao dos seus
dados nos termos do artigo8. da CEDH. Porm, o TEDH apreciou os factos luz do
direito ao respeito pelo domiclio e pela correspondncia e no ao respeito pela vida
privada.
Exemplo: O processo que deu origem ao acrdo Bernh Larsen Holding AS e
outros c. Noruega51 dizia respeito a uma queixa apresentada por trs empresas norueguesas relativa a uma deciso das autoridades fiscais ordenando que
estas fornecessem aos inspetores fiscais uma cpia de todos os dados armazenados num servidor utilizado em conjunto pelas trs empresas.
38
50
TEDH, acrdo Amann c. Sua [GS] de 16defevereirode2000, n. 65, petio n.27798/95.
51
TEDH, acrdo Bernh Larsen Holding AS e outros c. Noruega de 14demarode2013,

petio n.24117/08. Ver tambm, porm, TEDH, acrdo Liberty e outros c. Reino Unido de
1dejulhode2008, petio n.58243/00.
O TEDH concluiu que a imposio de tal obrigao sobre as empresas requerentes constitua uma ingerncia no exerccio dos seus direitos ao respeito pelo
domiclio e pela correspondncia. Contudo, o TEDH entendeu que as autoridades fiscais tinham implementado garantias eficazes e adequadas contra
abusos: as empresas requerentes tinham sido notificadas com grande antecedncia, estavam presentes e tiveram a oportunidade de se pronunciar durante
a diligncia no local e o material deveria ser destrudo quando a inspeo fiscal
estivesse concluda. Neste caso, tinha sido alcanado um equilbrio justo entre
o direito das empresas requerentes ao respeito pelo domiclio e pela correspondncia e o seu interesse em proteger a privacidade das pessoas que
trabalhavam para elas, por um lado, e o interesse pblico em assegurar uma
inspeo eficiente para efeitos de liquidao do imposto, por outro. O TEDH concluiu que tinha havido, assim, uma violao do artigo8..
De acordo com a Conveno 108, a proteo de dados respeita, em primeira linha,
proteo das pessoas singulares; no entanto, as Partes Contratantes podem alargar
essa proteo a pessoas coletivas, tais como sociedades comerciais e associaes,
no seu direito interno. A legislao da UE sobre proteo de dados no abrange, de
um modo geral, a proteo de pessoas coletivas relativamente ao tratamento de
dados que lhes digam respeito. Esta matria pode ser regulada pelas autoridades
nacionais competentes.52
Exemplo: No acrdo Volker und Markus Schecke e Hartmut Eifert/Land Hessen,53 o TJUE, reportandose publicao de dados pessoais relativos aos beneficirios de ajudas agrcolas, entendeu que as pessoas coletivas s podem invocar a proteo dos artigos7. e 8. da Carta a respeito de tal identificao desde
que a denominao legal da pessoa coletiva identifique uma ou mais pessoas
singulares. [O] respeito pelo direito vida privada (sic) relativamente ao tratamento de dados pessoais, reconhecido pelos artigos7. e 8. da Carta, abrange
todas as informaes relativas a qualquer pessoa singular identificada ou identificvel [].54
52
Diretiva Proteo de Dados, considerando24.
53
TJUE, acrdo de 9denovembrode2010 nos processos apensos C-92/09 e C-93/09, Volker und
Markus Schecke GbR e Hartmut Eifert/Land Hessen, n. 53.
54
Ibid. n. 52.
39
Identificabilidade de uma pessoa

Nos termos do direito da UE, bem como nos termos do direito do CdE, considerase
que as informaes contm dados sobre uma pessoa se:
essa pessoa estiver identificada nessas informaes; ou
essa pessoa, embora no esteja identificada, estiver descrita nestas informaes
de forma que permita descobrir quem a pessoa em causa efetuando pesquisas
adicionais.
Ambos os tipos de informaes so protegidos da mesma forma na legislao europeia sobre proteo de dados. O TEDH tem afirmado repetidamente que o conceito
de dados pessoais o mesmo na CEDH e na Conveno 108, especialmente no
que respeita exigncia de serem relativos a pessoas singulares identificadas ou
identificveis.55
As definies legais de dados pessoais no esclarecem em que casos se considera
que uma pessoa est identificada.56 Evidentemente, a identificao exige elementos
que descrevam uma pessoa de forma a distinguila de todas as outras e de a tornar
reconhecvel enquanto indivduo. O nome de uma pessoa um exemplo perfeito
desse tipo de elementos descritivos. Em casos excecionais, outros elementos de
identificao podero produzir o mesmo efeito que um nome. Por exemplo, no caso
das figuras pblicas, poder ser suficiente mencionar o cargo da pessoa (por ex.,
Presidente da Comisso Europeia).
Exemplo: No acrdo Promusicae,57 o TJUE afirmou que pacfico que a transmisso, pedida pela Promusicae, dos nomes e endereos de determinados utilizadores de [uma certa plataforma de partilha de ficheiros na Internet] implica
a disponibilizao de dados pessoais, isto , de informaes sobre pessoas singulares identificadas ou identificveis, de acordo com a definio constante do
artigo 2., alnea a), da Diretiva95/46 []. Essa transmisso de informaes,
que, segundo a Promusicae, so armazenadas pela Telefnica o que a mesma
40
55
Ver TEDH, acrdo Amann c. Sua [GS] de 16 de fevereiro de 2000, n. 65 et al., petio n.27798/95.
56
Ver tambm TEDH, acrdo Odivre c. Frana [GS] de 13 de fevereiro de 2003, petio n.42326/98; e
TEDH, acrdo Godelli c. Itlia de 25deSetembrode2012, petio n. 33783/09.
57
TJUE, acrdo de 29dejaneirode2008 no processo C-275/06, Productores de Msica de Espaa

(Promusicae)/Telefnica de Espaa SAU, n. 45.
no contesta , constitui um tratamento de dados pessoais, na aceo do artigo

2., primeiro pargrafo, da Diretiva2002/58, em conjugao com o artigo 2.,
alnea b), da Diretiva95/46.
Uma vez que muitos nomes no so nicos, a determinao da identidade de uma
pessoa poder exigir outros elementos de identificao para garantir que uma pessoa no seja confundida com outra. Muitas vezes so utilizadas informaes como
a data e o local de nascimento. Em alguns pases, foram tambm estabelecidos
nmeros personalizados para distinguir melhor os cidados entre si. Os dados biomtricos, como as impresses digitais, as fotografias digitais ou o reconhecimento
da ris, esto a tornarse cada vez mais importantes para identificar as pessoas na era
tecnolgica.
Para a aplicabilidade da legislao europeia sobre proteo de dados, porm, no
necessria uma identificao de alta qualidade da pessoa em causa, bastando que
esta seja identificvel. Uma pessoa considerada identificvel se uma informao
contiver elementos de identificao que permitam identificar essa pessoa, direta ou
indiretamente.58 Segundo o considerando 26 da Diretiva de Proteo de Dados, o critrio a probabilidade de utilizadores previsveis das informaes (incluindo terceiros destinatrios) terem ao seu dispor e aplicarem meios razoveis de identificao
(ver seco2.3.2).
Exemplo: Uma autoridade local decide recolher dados sobre os veculos que
ultrapassam o limite de velocidade nas ruas daquela localidade. Para tal, fotografa os veculos, registando automaticamente a hora e o local, a fim de transmitir os dados autoridade competente para que esta possa aplicar multas
queles que violaram os limites de velocidade. Uma das pessoas em causa
apresenta uma queixa, alegando que nenhuma disposio da legislao sobre
proteo de dados habilita a autoridade local a recolher esses dados. A autoridade local entende que no est a recolher dados pessoais, afirmando que
as matrculas so dados sobre pessoas annimas. A autoridade local no tem
competncia para consultar o registo automvel geral para saber a identidade
do proprietrio ou condutor do veculo.
Este argumento incompatvel com o disposto no considerando26 da Diretiva de Proteo de Dados. Uma vez que a finalidade da recolha dos dados
58
Diretiva Proteo de Dados, artigo2., al.a).
41
claramente identificar e multar aqueles que ultrapassam os limites de velocidade, previsvel que se tente proceder quela identificao. Embora as autoridades locais no tenham diretamente ao seu dispor meios de identificao, os
dados sero transmitidos autoridade competente a polcia que possui tais
meios. O considerando26 tambm prev expressamente um cenrio em que
previsvel que outros destinatrios dos dados, para alm do utilizador imediato,
possam tentar identificar a pessoa. luz do considerando26, os atos da autoridade local equivalem recolha de dados sobre pessoas identificveis e, como
tal, necessitam de uma base legal ao abrigo da legislao sobre proteo de
dados.
No direito do CdE, a identificabilidade entendida de modo semelhante. O artigo1.,
n. 2, da Recomendao sobre os dados de pagamento,59 por exemplo, estabelece
que uma pessoa no ser considerada identificvel se a identificao implicar um
esforo desrazovel a nvel de tempo, custos ou trabalho.
Autenticao
A autenticao o procedimento atravs do qual uma pessoa pode provar que
possui uma certa identidade e/ou est autorizada a praticar certos atos, tais como
movimentar uma conta bancria ou entrar numa rea de acesso reservado. A autenticao pode ser efetuada atravs da comparao de dados biomtricos, tais como
a fotografia ou as impresses digitais constantes do passaporte, com os dados da
pessoa que se apresenta, por exemplo, nos servios de controlo da imigrao; de
perguntas cuja resposta s deveria ser conhecida da pessoa com uma certa identidade ou autorizao, tais como o nmero de identificao pessoal (PIN) ou a palavrapasse; ou exigindo a apresentao de um determinado objeto que deveria estar
exclusivamente na posse da pessoa com uma certa identidade ou autorizao, tais
como um carto com chip especial ou a chave de um cofre bancrio. Para alm das
palavraspasse e dos cartes com chip, por vezes em conjunto com PIN, as assinaturas eletrnicas so um instrumento particularmente eficaz para a identificao e
autenticao de uma pessoa nas comunicaes eletrnicas.
59
42
CdE, Comit de Ministros (1990), Recommendation No.R Rec(90) 19 on the protection of personal
data used for payment and other related operations (Recomendao n.R Rec(90)19 sobre
a proteo de dados pessoais utilizados para fins de pagamento e outras operaes conexas),
de13deSetembrode1990.
Natureza dos dados

Qualquer tipo de informao pode ser considerado dados pessoais desde que seja
relativa a uma pessoa.
Exemplo: A avaliao do desempenho profissional de um funcionrio realizada
pelo superior hierrquico e guardada no respetivo processo individual constitui
dados pessoais sobre o funcionrio, ainda que traduza apenas, no todo ou em
parte, a opinio pessoal desse superior hierrquico, como, por ex., o funcionrio no dedicado ao seu trabalho e no factos objetivos, como, por ex., o
funcionrio esteve ausente ao servio durante cinco semanas nos ltimos seis
meses.
Os dados pessoais abrangem as informaes respeitantes vida privada de uma
pessoa, bem como informaes sobre a sua vida profissional ou pblica.
No acrdo Amann,60 o TEDH considerou que o termo dados pessoais no abrangia apenas assuntos da esfera privada de uma pessoa (ver seco2.1.1). Esta interpretao do termo dados pessoais tambm relevante para a Diretiva de Proteo de Dados:
Exemplo: No acrdo Volker und Markus Schecke e Hartmut Eifert/Land Hessen,61 o TJUE afirmou que [a] este respeito, irrelevante que os dados publicados sejam relativos a atividades profissionais []. O Tribunal Europeu dos
Direitos do Homem declarou, a este propsito, relativamente interpretao do
artigo8. da CEDH, que a expresso vida privada no devia ser interpretada
de forma restritiva e que nenhuma razo de princpio permite excluir as atividades profissionais do conceito de vida privada.
Os dados tambm so relativos a pessoas se o teor da informao revelar indiretamente dados sobre uma pessoa. Em alguns casos, quando existe uma estreita ligao entre um objeto ou acontecimento por ex., um telemvel, um automvel, um
acidente por um lado, e uma pessoa por ex., o seu proprietrio, utilizador, vtima
60
Ver TEDH, acrdo Amann c.a Sua de 16defevereirode2000, n. 65, petio n.27798/95.
61
Acrdo de 9 de novembro de 2010 nos processos apensos C-92/09 e C-93/09, Volker und Markus
Schecke GbR e Hartmut Eifert/Land Hessen, n. 59.
43
por outro, as informaes sobre um objeto ou sobre um acontecimento tambm

deveriam ser consideradas dados pessoais.
Exemplo: No processo que deu origem ao acrdo Uzun c. Alemanha,62 o requerente e outro homem foram colocados sob vigilncia atravs de um dispositivo
GPS (sistema de posicionamento global) montado no veculo do outro homem
devido suspeita de envolvimento num ataque bombista. Neste caso, o TEDH
entendeu que a observao do requerente atravs de GPS correspondia a uma
ingerncia na sua vida privada, tal como protegida pelo artigo8. da CEDH. No
entanto, a vigilncia por GPS tinha sido efetuada em conformidade com a lei e
era proporcional ao objetivo legtimo de investigar vrios casos de tentativa de
homicdio e, por conseguinte, era necessria numa sociedade democrtica. O
TEDH concluiu que no tinha havido uma violao do artigo8. da CEDH.
Suporte dos dados

O suporte onde os dados pessoais so armazenados ou utilizados no relevante
para a aplicabilidade da legislao sobre proteo de dados. As comunicaes escritas ou orais podem conter dados pessoais, assim como imagens,63 incluindo imagens64 ou som65 captados por sistemas de circuito fechado de televiso(CCTV). As
informaes registadas eletronicamente, bem como as informaes em suporte de
papel, podem ser dados pessoais; at mesmo as amostras de tecido humano podem
conter dados pessoais, na medida em que registam o ADN de uma pessoa.
2.1.2. Categorias especficas de dados pessoais

No direito da UE, bem como no direito do CdE, existem categorias especficas de
dados pessoais que, por natureza, podero representar um risco para as pessoas em
causa quando so tratados, pelo que exigem uma proteo reforada. Por conseguinte, o tratamento destas categorias especficas de dados (dados sensveis) s
poder ser permitido se tiverem sido implementadas garantias especficas.
44
62
TEDH, acrdo Uzun c. Alemanha de 2desetembrode2010, petio n.35623/05.
63
TEDH, acrdo Von Hannover c. Alemanha de 24dejunhode2004, petio n.59320/00; TEDH,

acrdo Sciacca c. Itlia de 11dejaneirode2005, petio n.50774/99.
64
TEDH, acrdo Peck c. Reino Unido de 28 de janeiro de 2003, petio n. 44647/98; TEDH, acrdo
Kpke c. Alemanha de 5deoutubrode2010, petio n.420/07.
65
Diretiva Proteo de Dados, considerandos16 e 17; TEDH, acrdo P.G. e J.H. c. Reino Unido de
25deSetembrode2001, petio n.44787/98, n.s 59 e 60; TEDH, acrdo Wisse c. Frana de
20dedezembrode2005, petio n.71611/01.
Quanto definio de dados sensveis, tanto a Conveno 108 (artigo6.) como a

Diretiva de Proteo de Dados (artigo8.) identificam as seguintes categorias:
dados pessoais que revelem a origem racial ou tnica;
dados pessoais que revelem as opinies polticas, as convices religiosas ou
outras; e
dados relativos sade e vida sexual.
Exemplo: No acrdo Bodil Lindqvist,66 o TJUE afirmou que a indicao do
facto de uma pessoa se ter lesionado num p e estar com baixa por doena a
meio tempo constitui um dado de carter pessoal relativo sade na aceo do
artigo8., n. 1, da Diretiva95/46.
A Diretiva de Proteo de Dados qualifica tambm os dados relativos filiao sindical como dados sensveis, j que esta informao pode ser um bom indicador da
filiao ou das convices polticas.
A Conveno 108 tambm considera sensveis os dados pessoais relativos a condenaes penais.
O artigo 8., n. 7, da Diretiva de Proteo de Dados encarrega os Estados-Membros
da UE de determinar as condies em que um nmero nacional de identificao ou
qualquer outro elemento de identificao de aplicao geral poder ser objeto de
tratamento.
2.1.3. Dados anonimizados e pseudonimizados

De acordo com o princpio da limitao da conservao dos dados consagrado na
Diretiva de Proteo de Dados e na Conveno108 (e desenvolvido no captulo3),
os dados tm de ser conservados de forma a permitir a identificao das pessoas
em causa apenas durante o perodo necessrio para a prossecuo das finalidades
para que foram recolhidos ou para que so tratados posteriormente.67 Consequentemente, se o responsvel pelo tratamento pretendesse armazenar os dados depois
66
TJUE, acrdo de 6denovembrode2003 no processo C-101/01, Bodil Lindqvist, n. 51.
67
Diretiva Proteo de Dados, artigo6., n. 1, al. e); Conveno108, artigo 5., al.e).
45
de estarem desatualizados ou de terem deixado de servir a sua finalidade inicial,

teria de os anonimizar.
Dados anonimizados
Os dados consideramse anonimizados se todos os elementos de identificao tiverem sido eliminados de um conjunto de dados pessoais. No pode ser deixado nas
informaes nenhum elemento que possa servir, exercendo um esforo razovel,
para reidentificar a(s) pessoa(s) em questo.68 Quando os dados so eficazmente
anonimizados, deixam de ser dados pessoais.
Se os dados pessoais deixarem de servir a sua finalidade inicial, a Diretiva de Proteo de Dados e a Conveno 108 permitem que estes sejam conservados sem anonimizao para fins histricos, estatsticos ou cientficos, desde que sejam aplicadas
garantias adequadas contra a sua utilizao abusiva.69
Dados pseudonimizados
As informaes pessoais contm elementos de identificao, tais como o nome, a
data de nascimento, o sexo e a morada. Quando as informaes pessoais so pseudonimizadas, os elementos de identificao so substitudos por um pseudnimo. A
pseudonimizao realizada, por exemplo, atravs da encriptao dos elementos
de identificao constantes dos dados pessoais.
As definies legais da Conveno108 e da Diretiva de Proteo de Dados no
mencionam expressamente os dados pseudonimizados. No entanto, o Relatrio
Explicativo da Conveno108 refere, no seu artigo 42., que o requisito relativo ao
prazo mximo de armazenamento dos dados na sua forma nominativa no significa
que, passado algum tempo, esses dados devem ser irrevogavelmente separados
do nome da pessoa a quem dizem respeito, mas apenas que no dever ser fcil
estabelecer a ligao entre os dados e os elementos de identificao. Este objetivo
poder ser alcanado atravs da pseudonimizao dos dados. Para aqueles que no
possuam a chave de desencriptao, os dados pseudonimizados s dificilmente
podem ser identificveis. A ligao a uma identidade ainda existe sob a forma do
pseudnimo mais a chave de desencriptao. Para quem esteja autorizado a utilizar
46
68
Ibid., considerando26.
69
Ibid., artigo6., n. 1, al. e); Conveno108, artigo5., al.e).
essa chave, a re-identificao possvel com facilidade. necessrio assegurar a

proteo contra a utilizao de chaves de encriptao por pessoas no autorizadas.
Uma vez que a pseudonimizao dos dados um dos meios mais importantes de
assegurar a proteo de dados em grande escala, sempre que no for possvel evitar totalmente o uso de dados pessoais, a lgica e os efeitos dessa medida tm de
ser explicados mais detalhadamente.
Exemplo: A frase Charles Spencer, nascido em 3 de abril de 1967, tem quatro
filhos: dois rapazes e duas raparigas pode ser pseudonimizada, por exemplo,
da seguinte forma:
C.S.1967 tem quatro filhos: dois rapazes e duas raparigas; ou
324 tem quatro filhos: dois rapazes e duas raparigas; ou
YESz320l tem quatro filhos: dois rapazes e duas raparigas.
Os utilizadores que acedam a estes dados pseudonimizados no tero geralmente
capacidade para identificar Charles Spencer, nascido em 3deabrilde1967 a partir de 324 ou YESz3201. Por conseguinte, os dados pseudonimizados esto
mais protegidos contra utilizaes abusivas.
Porm, no primeiro exemplo, a proteo menor. Se a frase C.S.1967 tem quatro filhos: dois rapazes e duas raparigas for utilizada na pequena aldeia onde vive
Charles Spencer, este poder ser facilmente reconhecido. O mtodo de pseudonimizao afeta a eficcia da proteo de dados.
So utilizados dados pessoais com elementos de identificao encriptados em muitos contextos como forma de manter secreta a identidade das pessoas. uma tcnica particularmente til quando os responsveis pelo tratamento necessitam de se
certificar de que esto a lidar com as mesmas pessoas em causa, mas no precisam, nem devem, conhecer a verdadeira identidade dessas pessoas. o caso, por
exemplo, de um investigador que acompanha a evoluo do estado de sade de
determinados doentes, cuja identidade conhecida apenas do hospital onde recebem tratamento e que fornece os respetivos processos clnicos pseudonimizados
ao investigador. A pseudonimizao , assim, um instrumento muito til no arsenal
da tecnologia de proteo da privacidade. Pode ser um elemento muito importante
47
na implementao da privacidade desde a conceo, que implica a incorporao da

proteo de dados no tecido dos sistemas avanados de tratamento de dados.
2.2. Tratamento de dados

Pontos-chave

O termo tratamento respeita sobretudo ao tratamento automatizado.
Nos termos do direito da UE, o termo tratamento respeita igualmente ao tratamento

manual em ficheiros estruturados.
Nos termos do direito do CdE, o direito nacional pode incluir o tratamento manual na
definio de tratamento.
A proteo de dados ao abrigo da Conveno108 e da Diretiva de Proteo de

Dados incide essencialmente sobre o tratamento automatizado de dados.
No mbito do direito do CdE, a definio de tratamento automatizado reconhece, porm, que podero existir necessariamente algumas etapas de utilizao
manual dos dados pessoais entre as operaes automatizadas. Do mesmo modo,
no mbito do direito da UE, o tratamento automatizado de dados definido como
operaes efetuadas sobre dados pessoais [...] por meios total ou parcialmente
automatizados.70
Exemplo: No acrdo Bodil Lindqvist,71 o TJUE entendeu que:
a referncia, feita numa pgina da Internet, a vrias pessoas e a sua identificao pelo nome ou por outros meios, por exemplo, o nmero de telefone ou
informaes relativas s suas condies de trabalho e aos seus passatempos
constitui um tratamento de dados pessoais por meios total ou parcialmente
automatizados na aceo do artigo 3., n. 1, da Diretiva95/46.
O tratamento manual de dados tambm exige proteo de dados.
48
70
Conveno 108, artigo 2., al. c); Diretiva Proteo de Dados, artigo2., al.b) e artigo3., n. 1.
71
TJUE, acrdo de 6 de novembro de 2003 no processo C-101/01, Bodil Lindqvist, n. 27.
A proteo de dados no direito da UE no est de modo algum limitada ao tratamento automatizado de dados. Consequentemente, nos termos do direito da UE, a
proteo de dados aplicvel ao tratamento de dados pessoais contidos em ficheiros em papel especialmente estruturados.72 Este alargamento da proteo de dados
devese ao facto de que:
os ficheiros em papel podem ser estruturados de modo a permitir a localizao
das informaes de forma fcil e rpida; e
o armazenamento de dados pessoais em ficheiros em papel estruturados permite contornar com maior facilidade as restries impostas pela lei ao tratamento automatizado de dados.73
No mbito do direito do CdE, a Conveno108 regula, antes de mais, o tratamento
de dados em ficheiros automatizados.74 No entanto, tambm prev a possibilidade
de alargamento da proteo ao tratamento manual no direito interno. Muitas Partes
na Conveno108 aproveitaram esta possibilidade e dirigiram declaraes naquele
sentido ao SecretrioGeral do CdE.75 O alargamento da proteo de dados nos termos dessa declarao tem de abranger todas as operaes de tratamento manual
de dados, no podendo restringirse ao tratamento de dados em ficheiros manuais.76
No que respeita natureza das operaes de tratamento includas, tanto o direito
da UE como o direito do CdE estabelecem uma definio abrangente do termo tratamento: Tratamento de dados pessoais [] qualquer operao [] tais como
a recolha, registo, organizao, conservao, adaptao ou alterao, recuperao, consulta, utilizao, comunicao por transmisso, difuso ou qualquer outra
forma de colocao disposio, com comparao ou interconexo, bem como o
bloqueio, apagamento ou destruio77 efetuada sobre dados pessoais. O termo
tratamento tambm inclui os atos atravs dos quais a responsabilidade pelos
dados transferida de um responsvel pelo tratamento para outro responsvel pelo
tratamento.
72
Diretiva Proteo de Dados, artigo3., n. 1.
73
Ibid., considerando27.
74
Conveno 108, artigo 2., alnea b).
75
Ver as declaraes efetuadas ao abrigo da Conveno 108, artigo3., n. 2, al.c).
76
Ver a redao da Conveno 108, artigo 3., n. 2.
77
Diretiva Proteo de Dados, artigo 2., al. b). No mesmo sentido, ver tambm a Conveno108,
artigo2., al. c).
49
Exemplo: Os empregadores recolhem e tratam dados sobre os seus funcionrios, incluindo informaes relativas aos seus salrios. A base legal para este
tratamento legtimo o contrato de trabalho.
Os empregadores so obrigados a reencaminhar os dados sobre os salrios do
seu pessoal para as autoridades fiscais. Este reencaminhamento tambm constitui tratamento na aceo da Conveno108 e da Diretiva. Contudo, a base
legal para esta comunicao no o contrato de trabalho. Ter de existir outra
base legal para as operaes de tratamento que resultam na transferncia de
dados sobre salrios do empregador para as autoridades fiscais. Em regra, esta
base legal encontrase nas disposies da legislao fiscal nacional. Na ausncia
destas disposies, a transferncia dos dados constituiria um tratamento ilegal.
2.3. Os utilizadores de dados pessoais

Pontos-chave
50
A pessoa que decide proceder ao tratamento de dados pessoais de terceiros o responsvel pelo tratamento nos termos da legislao sobre proteo de dados; se a
deciso for tomada em conjunto por vrias pessoas, estas podero ser consideradas
responsveis conjuntos pelo tratamento.
Um subcontratante uma entidade juridicamente distinta que trata os dados pessoais por conta do responsvel pelo tratamento.
Um subcontratante passa a ser considerado responsvel pelo tratamento se utilizar os

dados para os seus fins e no em conformidade com as instrues do responsvel pelo
tratamento.
Qualquer pessoa que receba dados de um responsvel pelo tratamento um

destinatrio.
Um terceiro uma pessoa singular ou coletiva que no atua sob as instrues do

responsvel pelo tratamento (e no pessoa em causa, titular dos dados).
Um terceiro destinatrio uma pessoa ou entidade juridicamente distinta do responsvel pelo tratamento, mas que recebe dados pessoais fornecidos por este.
2.3.1. Responsveis pelo tratamento

esubcontratantes
A consequncia mais importante da qualificao como responsvel pelo tratamento
ou subcontratante a responsabilidade pelo cumprimento das obrigaes que a
legislao sobre proteo de dados impe sobre cada um deles. Por conseguinte, s
quem puder ser responsabilizado ao abrigo da lei aplicvel que poder desempenhar aquelas funes. No setor privado, geralmente uma pessoa singular ou coletiva; no setor pblico, geralmente uma autoridade. Outras entidades, como organismos ou instituies sem personalidade jurdica, s podem ser responsveis pelo
tratamento ou subcontratantes quando tal estiver previsto em disposies legais
especiais.
Exemplo: Se a diviso de marketing da empresa Sunshine planear proceder ao
tratamento de dados para fins de um estudo de mercado, o responsvel por
esse tratamento ser a empresa Sunshine e no a diviso de marketing. A diviso de marketing no pode ser o responsvel pelo tratamento porque no tem
personalidade jurdica autnoma.
Nos grupos de empresas, a empresame e cada uma das filiais so consideradas
responsveis pelo tratamento ou subcontratantes distintos, dado que so pessoas
coletivas distintas. Uma vez que estas entidades possuem personalidades jurdicas
distintas, a transferncia de dados entre os membros de um grupo de empresas
necessitar de uma base legal especial. No existe nenhuma prerrogativa que permita o intercmbio de dados pessoais, enquanto tal, entre entidades jurdicas distintas do mesmo grupo de empresas.
Neste contexto, importa mencionar o papel das pessoas singulares. No mbito do
direito da UE, as pessoas singulares, quando tratam dados pessoais sobre terceiros
no exerccio de atividades exclusivamente pessoais ou domsticas, no esto sujeitas s regras da Diretiva de Proteo de Dados e no so consideradas responsveis
pelo tratamento.78
No entanto, existe jurisprudncia que defende, ainda assim, a aplicabilidade da
legislao sobre proteo de dados quando uma pessoa singular, no contexto da
utilizao da Internet, publica dados sobre terceiros.
78
Diretiva Proteo de Dados, considerando12 e artigo3., n. 2, ltimo travesso.
51
Exemplo: O TJUE considerou no acrdo Bodil Lindqvist79 que:

a referncia, feita numa pgina da Internet, a vrias pessoas e a sua identificao pelo nome ou por outros meios [] constitui um tratamento de dados pessoais por meios total ou parcialmente automatizados na aceo do artigo3.,
n. 1, da Diretiva95/46.80
Este tratamento de dados pessoais no constitui uma atividade exclusivamente
pessoal ou domstica, que est fora do mbito de aplicao da Diretiva de
Proteo de Dados, dado que esta exceo deve [] ser interpretada como
tendo unicamente por objeto as atividades que se inserem no mbito da vida
privada ou familiar dos particulares, o que no manifestamente o caso do tratamento de dados de carter pessoal que consiste na sua publicao na Internet
de maneira que esses dados so disponibilizados a um nmero indefinido de
pessoas.81
Responsvel pelo tratamento

No mbito do direito da UE, um responsvel pelo tratamento definido como
algum que individualmente ou em conjunto com outrem, determine as finalidades
e os meios de tratamento dos dados pessoais.82 Na sua deciso, o responsvel pelo
tratamento explica porqu e como os dados sero tratados. No mbito do direito do
CdE, a definio de responsvel refere ainda que o responsvel decide as categorias de dados de carter pessoal que devem ser registadas.83
Na sua definio de responsvel, a Conveno108 menciona um outro aspeto da
responsabilidade pelo tratamento que merece ateno. Esta definio faz referncia
questo da competncia para proceder licitamente ao tratamento de certos dados
para um determinado fim. Contudo, sempre que tenham lugar operaes de tratamento alegadamente ilegais e seja necessrio identificar o responsvel pelo tratamento, este ser a pessoa ou entidade (como uma empresa ou uma autoridade)
que decidiu que os dados deveriam ser tratados, independentemente de ter ou
52
79
TJUE, acrdo de 6denovembrode2003 no processo C-101/01, Bodil Lindqvist.
80
Ibid. n. 27.
81
Ibid. n. 47.
82
Diretiva Proteo de Dados, artigo 2., al. d).
83
Conveno 108, artigo 2., al. d).
no competncia legal para o fazer84. Por conseguinte, os pedidos de apagamento

devem ser sempre dirigidos ao responsvel real pelo tratamento.
Responsabilidade conjunta pelo tratamento

A definio de responsvel pelo tratamento na Diretiva de Proteo de Dados
prev a possibilidade de existirem vrias entidades juridicamente distintas que, em
conjunto com outras, desempenhem o papel de responsvel pelo tratamento, o que
significa que decidem, em conjunto, tratar os dados para uma finalidade comum.85
Porm, isto s ser possvel nos casos em que exista uma base legal para o tratamento conjunto de dados para uma finalidade comum.
Exemplo: Uma base de dados sobre clientes em situao de incumprimento
gerida em conjunto por vrias instituies de crdito um exemplo comum
de responsabilidade conjunta pelo tratamento. Quando algum apresenta um
pedido de crdito a um banco que um dos responsveis conjuntos pelo tratamento, os bancos consultam a base de dados para os ajudar a tomar decises
informadas sobre a solvabilidade do requerente.
Os regulamentos no esclarecem se a responsabilidade conjunta pelo tratamento
exige que a finalidade comum seja a mesma para cada um dos responsveis pelo
tratamento ou se suficiente que as finalidades coincidam apenas em parte. Porm,
ainda no existe jurisprudncia relevante ao nvel europeu e as consequncias em
matria de responsabilidade tambm no esto claramente definidas. O Grupo de
Trabalho do artigo29. defende uma interpretao mais ampla do conceito de responsabilidade conjunta pelo tratamento com o objetivo de adotar uma certa flexibilidade para ter em conta a crescente complexidade da realidade do tratamento de
dados.86 Um caso que envolve a Sociedade das Telecomunicaes Financeiras Interbancrias no Mundo (Society for Worldwide Interbank Financial Telecommunication
SWIFT) ilustra a posio do Grupo de Trabalho.
Exemplo: Naquele que ficou conhecido como o caso SWIFT, algumas instituies bancrias europeias contrataram a SWIFT, inicialmente na qualidade de
84
Ver tambm Grupo de Trabalho do artigo 29. (2010), Parecer 1/ 2010 sobre os conceitos de
responsvel pelo tratamento e subcontratante, WP169, Bruxelas, 16defevereirode2010, p.19.
85
Diretiva Proteo de Dados, artigo2., al.d).
86
Grupo de Trabalho do artigo 29. (2010), Parecer 1/2010 sobre os conceitos de responsvel pelo
tratamento e subcontratante, WP169, Bruxelas, 16defevereirode2010, p.23.
53
subcontratante, para realizar transferncias de dados no decurso de transaes

bancrias. A SWIFT divulgou os dados dessas transaes bancrias, que estavam armazenados num centro de servios de computao nos Estados Unidos,
ao Departamento do Tesouro dos EUA sem ordem expressa das instituies
bancrias que a tinham contratado. Ao apreciar a legalidade desta situao,
o Grupo de Trabalho do artigo29. chegou concluso de que as instituies
bancrias europeias que tinham contratado a SWIFT, assim como a prpria
SWIFT, tinham de ser consideradas responsveis conjuntas pelo tratamento e,
como tal, partilhavam a responsabilidade, perante os seus clientes europeus,
pela divulgao dos seus dados s autoridades norteamericanas.87 Ao decidir
proceder divulgao, a SWIFT tinha assumido ilegalmente o papel de responsvel pelo tratamento; evidente que as instituies bancrias no tinham
cumprido cabalmente a sua obrigao de supervisionar o subcontratante e, por
conseguinte, no podiam ser completamente exoneradas da sua responsabilidade como responsveis pelo tratamento. Esta situao gera responsabilidade
conjunta pelo tratamento.
Subcontratante
No direito da UE, o subcontratante definido como algum que trata dados pessoais
por conta do responsvel pelo tratamento.88 As atividades confiadas ao subcontratante podem limitarse a uma tarefa ou contexto muito especfico ou serem muito
genricas e abrangentes.
No direito do CdE, o termo subcontratante utilizado na mesma aceo que no
direito da UE.
Para alm de tratarem dados por conta de outrem, os subcontratantes tambm
sero responsveis pelo tratamento por direito prprio em relao s operaes de
tratamento que realizarem para os seus prprios fins (por ex., a administrao dos
seus prprios funcionrios, vendas e contas).
54
87
Grupo de Trabalho do artigo 29. (2006), Parecer 10/2006 sobre o tratamento de dados pessoais pela
Sociedade das Telecomunicaes Financeiras Interbancrias no Mundo (Society for Worldwide Interbank
Financial Telecommunication SWIFT), WP128, Bruxelas, 22denovembrode2006.
88
Diretiva Proteo de Dados, artigo 2., al.e).
Exemplos: A Everready uma empresa especializada no tratamento de dados

para fins de administrao de dados sobre recursos humanos para outras
empresas. Nesta funo, a Everready um subcontratante.
Porm, quando a Everready trata os dados dos seus prprios funcionrios, ela
a responsvel pelas operaes de tratamento de dados para fins de cumprimento das suas obrigaes enquanto empregador.
A relao entre responsvel pelo tratamento e subcontratante

Tal como vimos, o responsvel pelo tratamento aquele que determina as finalidades e os meios do tratamento.
Exemplo: O diretor da empresa Sunshine decide que a empresa Moonlight,
especializada em anlises do mercado, dever realizar uma anlise de mercado
dos dados dos clientes da Sunshine. Embora a tarefa de determinar os meios
do tratamento seja, assim, delegada Moonlight, a empresa Sunshine continua
a ser o responsvel pelo tratamento e a Moonlight um mero subcontratante,
dado que, nos termos do contrato, a Moonlight s poder utilizar os dados dos
clientes da Sunshine para as finalidades que esta determinar.
Se o poder de determinar os meios do tratamento for delegado a um subcontratante, o responsvel pelo tratamento deve, ainda assim, poder interferir nas decises daquele sobre esses meios. A responsabilidade global continua a recair sobre
o responsvel pelo tratamento, o qual est obrigado a supervisionar o subcontratante para assegurar que as decises tomadas por este cumprem a legislao sobre
proteo de dados. Por conseguinte, um contrato que proba o responsvel pelo
tratamento de interferir nas decises do subcontratante seria provavelmente interpretado como dando origem a uma situao de responsabilidade conjunta pelo tratamento, em que ambas as partes partilham a responsabilidade que a lei atribui aos
responsveis pelo tratamento.
Alm disso, se um subcontratante no respeitar os limites de utilizao dos dados
estipulados pelo responsvel pelo tratamento, passar a ser considerado, ele prprio, responsvel pelo tratamento, pelo menos na parte respeitante s operaes
realizadas em violao das instrues do responsvel pelo tratamento. Neste caso,
o subcontratante passar muito provavelmente a ser considerado um responsvel
pelo tratamento, que age ilicitamente. Por sua vez, o responsvel pelo tratamento
55
inicial ter de explicar como foi possvel que o subcontratante violasse o seu mandato. Com efeito, o Grupo de Trabalho do artigo29. presume geralmente a existncia de responsabilidade conjunta pelo tratamento nestes casos, dado que esta
qualificao permite proteger melhor os interesses das pessoas em causa.89 Uma
importante consequncia da responsabilidade conjunta pelo tratamento seria a
responsabilidade solidria dos responsveis pelo tratamento pelos danos causados, proporcionando assim s pessoas em causa um leque mais vasto de meios de
recurso.
Podero tambm suscitarse questes sobre a diviso da responsabilidade nos casos
em que o responsvel pelo tratamento seja uma pequena empresa e o subcontratante seja uma grande sociedade comercial com o poder de ditar as condies dos
seus servios. Nestes casos, porm, o Grupo de Trabalho do artigo29. considera
que o desequilbrio econmico no justifica a reduo do grau de responsabilidade
e que a definio do conceito de responsvel pelo tratamento deve ser mantida.90
Por uma questo de clareza e transparncia, os elementos concretos da relao
entre o responsvel pelo tratamento e o subcontratante devem constar de um contrato reduzido a escrito.91 A inexistncia de tal contrato corresponde a uma violao
da obrigao do responsvel pelo tratamento de fornecer documentao sobre as
responsabilidades mtuas, estando sujeita a sanes.92
Os subcontratantes podero querer delegar certas tarefas noutros subcontratantes. Esta delegao permitida por lei e depender, em concreto, das clusulas
do contrato celebrado entre o responsvel pelo tratamento e o subcontratante,
nomeadamente se sempre exigida a autorizao do primeiro ou se ser suficiente
informlo.
No mbito do direito do CdE, a interpretao dos conceitos de responsvel pelo
tratamento e subcontratante, tal como explicado anteriormente, plenamente
56
89
tratamento e subcontratante, WP169, Bruxelas, 16defevereirode2010, p.30; e Grupo de
Trabalho do artigo29. (2006), Parecer10/2006 sobre o tratamento de dados pessoais pela Sociedade
das Telecomunicaes Financeiras Interbancrias no Mundo (Society for Worldwide Interbank Financial
Telecommunication SWIFT), WP128, Bruxelas, 22denovembrode2006.
90
91
Diretiva Proteo de Dados, artigo 17., n.s 3 e 4.
92
aplicvel, conforme demonstram as recomendaes que tm sido adotadas em conformidade com a Conveno108.93
2.3.2. Destinatrios e terceiros

A diferena entre estas duas categorias de pessoas ou entidades, estabelecidas pela
Diretiva de Proteo de Dados, reside sobretudo na sua relao com o responsvel
pelo tratamento e, consequentemente, na sua autorizao para aceder a dados pessoais na posse do responsvel pelo tratamento.
Um terceiro algum juridicamente distinto do responsvel pelo tratamento.
Por conseguinte, a divulgao de dados a um terceiro exige sempre uma base legal
especfica. Nos termos do artigo2., alneaf), da Diretiva de Proteo de Dados, um
terceiro a pessoa singular ou coletiva, a autoridade pblica, o servio ou qualquer outro organismo que no a pessoa em causa, o responsvel pelo tratamento, o
subcontratante e as pessoas que, sob a autoridade direta do responsvel pelo tratamento ou do subcontratante, esto habilitadas a tratar dos dados. Deste modo, as
pessoas que trabalham para uma organizao juridicamente distinta do responsvel pelo tratamento ainda que pertena ao mesmo grupo ou empresame sero
consideradas terceiros ou pertencentes a um terceiro. Por outro lado, os balces de um banco que procedem ao tratamento das contas dos clientes sob a autoridade direta da sede no sero considerados terceiros.94
Destinatrio um termo mais amplo do que terceiro. Na aceo do artigo2.,
alneag), da Diretiva de Proteo de Dados, um destinatrio a pessoa singular ou
coletiva, a autoridade pblica, o servio ou qualquer outro organismo que receba
comunicaes de dados, independentemente de se tratar ou no de um terceiro.
O destinatrio poder ser uma pessoa ou entidade no pertencente ao responsvel
pelo tratamento ou ao subcontratante caso em que seria ento um terceiro ou
pertencente ao responsvel pelo tratamento ou ao subcontratante, tal como um
funcionrio ou outra diviso da mesma empresa ou autoridade.
A distino entre destinatrios e terceiros s importante devido s condies para
que a divulgao dos dados seja vlida. Os funcionrios de um responsvel pelo tratamento ou subcontratante podem, sem necessidade de cumprimento de qualquer
93
Ver, por exemplo, Recomendao sobre a definio de perfis, artigo1..
94
57
outro requisito legal, ser destinatrios de dados pessoais se estiverem envolvidos

nas operaes de tratamento do empregador. Por outro lado, um terceiro, sendo
uma entidade juridicamente distinta do responsvel pelo tratamento ou do subcontratante, no est autorizado a utilizar dados pessoais tratados pelo responsvel
pelo tratamento, salvo se existir uma base legal especfica para tal no caso concreto.
Consequentemente, os terceiros destinatrios necessitaro sempre de uma base
legal para receberem licitamente dados pessoais.
Exemplo: O funcionrio de um subcontratante, que utiliza dados pessoais no
mbito das tarefas que o empregador lhe confiou, um destinatrio de dados,
mas no um terceiro, pois utiliza os dados por conta e sob as instrues do
subcontratante.
Porm, se esse mesmo funcionrio decidir utilizar os dados a que tem acesso
na qualidade de funcionrio do subcontratante para os seus prprios fins e os
vender a outra empresa, ter agido como um terceiro. J no estar a seguir
as ordens do subcontratante (o empregador). Enquanto terceiro, o funcionrio
necessitaria de uma base legal para adquirir e vender os dados. Neste exemplo,
essa base legal certamente inexistente, pelo que os atos do funcionrio so
ilegais.
2.4. Consentimento
Pontos-chave
58
O consentimento, enquanto base legal do tratamento de dados pessoais, tem de ser

livre, informado e especfico.
O consentimento tem de ser dado de forma inequvoca. O consentimento pode ser

dado explicitamente ou implicitamente atravs de atos que no deixem dvidas de
que a pessoa em causa concorda com o tratamento dos seus dados.
O tratamento de dados sensveis com base no consentimento exige um consentimento

explcito.
O consentimento pode ser revogado a todo o tempo.
Entendese por consentimento qualquer manifestao de vontade, livre, especfica

e informada da pessoa em causa.95 Em muitos casos, a base legal do tratamento
legtimo de dados (ver seco4.1).
2.4.1. Os elementos de um consentimento vlido

O direito da UE estabelece trs requisitos da validade do consentimento, que visam
assegurar que as pessoas em causa pretendiam genuinamente autorizar a utilizao
dos seus dados.
a pessoa em causa no pode estar sob qualquer presso quando presta o seu
consentimento;
a pessoa em causa deve ter sido devidamente informada sobre o objeto e as
consequncias do consentimento; e
o mbito do consentimento deve ser razoavelmente concreto.
O consentimento s ser vlido na aceo da legislao sobre proteo de dados se
todos estes requisitos estiverem preenchidos.
A Conveno 108 no contm uma definio de consentimento; esta tarefa incumbe
ao legislador nacional. No entanto, no direito do CdE, os elementos de um consentimento vlido correspondem aos referidos anteriormente, tal como previsto nas
recomendaes adotadas ao abrigo da Conveno108.96 Os requisitos de validade
do consentimento so iguais aos requisitos de validade da declarao negocial estipulados no direito civil europeu.
Outros requisitos de validade do consentimento previstos no direito civil, tais como a
capacidade jurdica, tambm sero naturalmente aplicveis no contexto da proteo
de dados, na medida em que so requisitos jurdicos fundamentais. O consentimento
invlido de pessoas sem capacidade jurdica no constitui uma base legal para o tratamento de dados sobre essas pessoas.
95
Diretiva Proteo de Dados, artigo 2., al.h).
96
Ver, por exemplo, Conveno 108, Recomendao sobre os dados estatsticos, ponto 6.
59
O consentimento pode ser dado de forma explcita97 ou no explcita. O primeiro no

deixa dvidas quanto inteno da pessoa em causa e pode ser dado verbalmente
ou por escrito; o segundo deduzido a partir das circunstncias. O consentimento
tem de ser dado sempre de forma inequvoca,98 o que significa que no devem existir dvidas razoveis de que a pessoa em causa pretendia comunicar a sua permisso para o tratamento dos seus dados. O consentimento deduzido da mera inrcia,
por exemplo, no constitui um consentimento inequvoco. Quando esteja em causa
o tratamento de dados sensveis, o consentimento tem de ser obrigatoriamente
explcito e inequvoco.
Consentimento livre
A existncia de consentimento livre s vlida se a pessoa em causa puder exercer uma verdadeira escolha e no existir nenhum risco de fraude, intimidao, coao ou consequncias negativas importantes se o consentimento for recusado.99
Exemplo: Em muitos aeroportos, os passageiros so submetidos a scneres
corporais no acesso rea de embarque.100 Uma vez que os dados dos passageiros esto a ser tratados durante a utilizao do scner, o tratamento deve
basearse num dos fundamentos legais previstos no artigo7. da Diretiva de Proteo de Dados (ver seco4.1.1). Passar ou no pelos scneres corporais por
vezes apresentado aos passageiros como uma opo, o que permitiria inferir
que o tratamento poderia ser justificado pelo seu consentimento. No entanto,
os passageiros podero recear que a recusa de passar pelos scneres corporais levante suspeitas ou desencadeie medidas de controlo adicionais, como as
revistas pessoais. Muitos passageiros daro o seu consentimento utilizao do
scner porque, ao fazlo, evitaro potenciais problemas ou atrasos. Provavelmente, este consentimento no ser suficientemente livre.
Por conseguinte, um fundamento legal slido s poder ser um ato do legislador, com base no artigo7., alnea e), da Diretiva de Proteo de Dados, criando
assim para os passageiros a obrigao de cooperar devido a um interesse
pblico superior. Essa legislao poder, ainda assim, prever uma escolha entre
97
Diretiva Proteo de Dados, artigo8., n. 2.
98
Ibid., artigo 7., al. a) e artigo 26., n. 1.
99
Ver tambm Grupo de Trabalho do artigo29. (2011), Parecer 15/2011 sobre a definio de
consentimento, WP187, Bruxelas, 13dejulhode2011, p.14.
100 Este exemplo retirado de Ibid., p.17.
60
o scner e o controlo manual, mas apenas como parte de medidas adicionais

de controlo fronteirio necessrias no caso concreto. Foi este o entendimento
consagrado pela Comisso Europeia em dois regulamentos sobre scneres de
segurana em 2011.101
A liberdade do consentimento tambm poder estar ameaada em situaes de
subordinao, em que exista um desequilbrio econmico ou de outro tipo significativo entre o responsvel pelo tratamento que obtm o consentimento e a pessoa
em causa que d o consentimento.102
Exemplo: Uma grande empresa tenciona criar um diretrio com os nomes de
todos os funcionrios, a sua funo na empresa e a sua morada profissional,
tendo como nico objetivo melhorar as comunicaes internas. O diretor de
Recursos Humanos prope a incluso de uma fotografia de cada funcionrio
no diretrio, o que permitiria, por exemplo, reconhecer com maior facilidade os
colegas numa reunio. Os representantes dos funcionrios exigem que, para tal,
seja previamente obtido o consentimento de cada funcionrio.
Nesta situao, o consentimento do funcionrio deve ser considerado a base
legal para o tratamento das fotografias no diretrio porque bvio que a publicao da fotografia no diretrio, em si mesma, no tem consequncias negativas e, alm disso, pouco provvel que o empregador penalize o funcionrio se
este no concordar com a publicao da sua fotografia no diretrio.
Porm, isto no significa que o consentimento nunca poder ser vlido em casos em
que a recusa desse consentimento tenha consequncias negativas. Por exemplo, se
a recusa de consentimento para emisso de um carto de cliente de um supermercado tiver como nica consequncia a impossibilidade de aproveitar certos descontos, o consentimento uma base legal vlida para o tratamento dos dados pessoais
101 Regulamento (UE) n.1141/2011 da Comisso, de 10denovembrode2011, que altera o Regulamento
(CE) n.272/2009 que complementa as normas de base comuns para a proteo da aviao civil, no
que respeita utilizao de scneres de segurana nos aeroportos da Unio Europeia, JO2011L293, e
Regulamento de Execuo (UE) n.1147/2011 da Comisso, de 11denovembrode2011, que altera o
Regulamento (UE) n.185/2010 que estabelece as medidas de execuo das normas de base comuns
sobre a segurana da aviao, no que respeita utilizao de scneres de segurana nos aeroportos da
UE, JO2011L294.
102 Ver tambm Grupo de Trabalho do artigo 29. (2001), Parecer 8/2001 sobre o tratamento de dados
pessoais no mbito do emprego, WP48, Bruxelas, 13 de setembro de2001; e Grupo de Trabalho do
artigo29. (2005), Documento de trabalho sobre uma interpretao comum do n. 1 do artigo 26.
Diretiva 95/46/CE de 24de outubro de1995, WP114, Bruxelas, 25denovembrode2005.
61
dos clientes que deram o seu consentimento. No existe uma relao de subordinao entre a empresa e o cliente e as consequncias do no consentimento no so
suficientemente graves para inibir a liberdade de escolha da pessoa em causa.
Por outro lado, sempre que a obteno de bens ou servios suficientemente importantes depender da divulgao de certos dados pessoais a terceiros, o consentimento da pessoa em causa para a divulgao dos seus dados no pode, em regra,
ser considerado uma deciso livre e, como tal, no vlido nos termos da legislao
sobre proteo de dados.
Exemplo: O consentimento manifestado pelos passageiros a uma companhia
area para que transfira os chamados registos de identificao dos passageiros
(PNR), nomeadamente dados sobre a sua identidade, hbitos alimentares ou
problemas de sade, aos servios de imigrao de um determinado pas estrangeiro no pode ser considerado vlido nos termos da legislao sobre proteo
de dados, uma vez que os passageiros que desejam visitar esse pas no tm
escolha. Para esses dados serem transferidos licitamente, a base legal ter de
ser outra, muito provavelmente uma lei especial.
Consentimento informado
A pessoa em causa deve possuir informaes suficientes antes de tomar a sua deciso. A suficincia ou insuficincia das informaes fornecidas s poder ser determinada caso a caso. Em regra, essas informaes incluiro uma descrio rigorosa
e facilmente compreensvel do objeto do consentimento e tambm das consequncias do consentimento e da recusa do consentimento. A linguagem utilizada deve
ser adaptada aos destinatrios previsveis das informaes.
Alm disso, a pessoa em causa deve poder aceder com facilidade a essas informaes. A acessibilidade e a visibilidade das informaes so elementos importantes.
Num ambiente em linha, os avisos com vrios nveis podero ser uma boa soluo,
dado que a pessoa em causa ter assim acesso a uma verso concisa das informaes, bem como a uma verso mais completa.
Consentimento especfico
Para ser vlido, o consentimento tambm tem de ser especfico. Esta caracterstica
est intrinsecamente ligada qualidade das informaes fornecidas sobre o objeto
62
do consentimento. Neste contexto, so relevantes as expectativas razoveis de uma

pessoa em causa mdia. Se estiverem previstas novas operaes de tratamento ou
alteraes que no poderiam razoavelmente ter sido previstas quando a pessoa em
causa deu inicialmente o seu consentimento, necessrio pedir-lhe novamente o
seu consentimento.
Exemplo: No acrdo Deutsche Telekom AG,103 o TJUE pronunciouse sobre a
questo da necessidade de um prestador de servios de telecomunicaes,
que estava obrigado a transmitir dados pessoais dos assinantes nos termos do
artigo12. da Diretiva relativa privacidade e s comunicaes eletrnicas,104
obter novamente o consentimento das pessoas em causa, dado que os destinatrios no tinham sido originalmente identificados quando o consentimento
foi prestado.
O TJUE considerou que o referido artigo no impunha a obteno de um novo
consentimento das pessoas em causa antes da transmisso dos dados, uma vez
que estas tinham, nos termos desta disposio, a possibilidade de dar apenas o
seu consentimento em relao finalidade do tratamento, que a publicao
dos seus dados, e no podiam escolher entre as diferentes listas em que esses
dados poderiam ser publicados.
Tal como salientou o Tribunal de Justia, resulta de uma interpretao contextual e sistemtica do artigo12. da diretiva relativa privacidade e s comunicaes eletrnicas que o consentimento nos termos do n. 2 deste artigo diz
respeito ao fim a que se destina a publicao dos dados de carter pessoal
numa lista pblica e no identidade de um fornecedor de lista em concreto.105 Acresce que a prpria publicao dos dados de carter pessoal numa
lista com uma finalidade especial que se pode revelar prejudicial para o assinante106e no a identidade do autor desta publicao.
103 TJUE, acrdo de 5 de maio de 2011 no processo C543/09, Deutsche Telekom AG/Bundesrepublik
Deutschland; ver, em especial, n.s 53 e 54.
104 Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12dejulhode2002, relativa ao
tratamento de dados pessoais e proteo da privacidade no sector das comunicaes eletrnicas,
JO2002L201 (Diretiva relativa privacidade e s comunicaes eletrnicas).
105 TJUE, acrdo de 5 de maio de 2011 no processo C543/09, Deutsche Telekom AG/Bundesrepublik
Deutschland; ver, em especial, n. 61.
106 Ibid., ver especialmente, n.62.
63
2.4.2. O direito de revogar o consentimento a todo

otempo
A Diretiva de Proteo de Dados no menciona o direito geral de revogar o consentimento a todo o tempo. No entanto, presumese, em regra, que esse direito existe
e que a pessoa em causa dever poder exerclo discricionariamente. No deve
ser exigida qualquer justificao para a revogao nem deve existir qualquer risco
de consequncias negativas, exceto as que resultam da cessao dos benefcios
eventualmente decorrentes da utilizao de dados objeto do consentimento dado
anteriormente.
Exemplo: Um cliente concorda em receber material promocional num endereo
que fornece a um responsvel pelo tratamento. Se o cliente revogar o consentimento, o responsvel pelo tratamento tem de parar imediatamente de enviar
material promocional. No devem existir quaisquer consequncias punitivas,
tais como taxas.
Se um cliente beneficiar de um desconto de 5% no preo de um quarto de
hotel em troca do seu consentimento para a utilizao dos seus dados para efeitos de envio de material promocional, a revogao posterior desse consentimento no deve gerar a obrigao de devolver esses descontos.
64
3.

Os princpios fundamentais
da legislao europeia
sobre proteo de dados
UE
Diretiva de Proteo de Dados, artigo

6., n. 1, al. a) e b)
Questes abrangidas
CdE
O princpio do tratamento Conveno 108, artigo 5.,

lcito
al. a) e b)
TEDH, acrdo Rotaru c.
Romnia [GS] de 4 de
maio de 2000, petio
n.28341/95.
TJUE, acrdo de 16 de dezembro de

2008 no processo C-524/06, Huber/
Alemanha
e C-93/09, Volker und Markus
Schecke GbR e Hartmut Eifert/Land
Hessen
TEDH, acrdo Taylor-Sabori

c. Reino Unido de 22 de
outubro de 2002, petio
n.47114/99
TEDH, acrdo Peck c. Reino
Unido de 28 de janeiro de
2003, petio n. 44647/98
TEDH, acrdo Khelili c. Sua
de 18 de outubro de 2011,
petio n.16188/07.

6., n. 1, al. b)

6., n. 1, al. c)
6., n. 1, al. d)
O princpio da
especificao e da
limitao da finalidade
Os princpios relativos
qualidade dos dados:
Pertinncia dos dados
Exatido dos dados
TEDH, acrdo Leander c.

Sucia de 26 de maro de
1987, petio n.9248/81.
al. b)

al. c)
al. d)
65
UE
Questes abrangidas

6., n. 1, al. e)
6., n. 1, al. e)
Limitao da conservao
dos dados
Derrogao para
fins estatsticos e de
investigao cientfica
O princpio do tratamento
leal

6., n. 1, al. a)
CdE
al. e)
n.3
al. a)
TEDH, acrdo Haralambie
c. Romnia de 27 de
outubro de 2009, petio
n.21737/03.
TEDH, acrdo K.H. e outros
c. Eslovquia de 6 de
novembro de 2009, petio
n.32881/04

6., n. 2
O princpio da
responsabilidade
Os princpios estabelecidos no artigo 5. da Conveno 108 consagram a essncia

da legislao europeia sobre proteo de dados. Surgem igualmente no artigo 6.
da Diretiva de Proteo de Dados, constituindo o ponto de partida para disposies
mais detalhadas nos artigos seguintes da Diretiva. Toda a legislao sobre proteo de dados adotada posteriormente ao nvel do CdE ou da UE tem de cumprir
estes princpios, que devem tambm pautar a interpretao dessa legislao. Podero ser estabelecidas derrogaes e restries a estes princpios fundamentais ao
nvel nacional,107 desde que estejam previstas na lei, prossigam um objetivo legtimo e sejam necessrias numa sociedade democrtica. Estas trs condies so
cumulativas.
3.1. O princpio do tratamento lcito

Pontos-chave

Para compreender o princpio do tratamento lcito, necessrio analisar as condies

do estabelecimento de restries lcitas ao direito proteo de dados luz do artigo
52., n. 1, da Carta e aos requisitos de justificao da ingerncia nos termos do artigo
8., n. 2, da CEDH.
107 Conveno 108, artigo 9., n. 2; Diretiva Proteo de Dados, artigo13., n. 2.
66
Os princpios fundamentais da legislao europeia sobre proteo de dados
Nesta conformidade, o tratamento de dados pessoais s lcito se:

estiver de acordo com a lei;
prosseguir um objetivo legtimo; e
for necessrio numa sociedade democrtica para alcanar o objetivo legtimo.
Na legislao sobre proteo de dados da UE e do CdE, o princpio do tratamento

lcito o primeiro princpio identificado e encontrase formulado em termos praticamente idnticos no artigo 5. da Conveno 108 e no artigo 6. da Diretiva de Proteo de Dados.
Nenhuma destas disposies contm uma definio de tratamento lcito. Para
compreender este termo jurdico, necessrio analisar o conceito de ingerncia justificada na aceo da CEDH, tal como interpretado pelo TEDH, bem como as condies do estabelecimento de restries lcitas nos termos do artigo 52. da Carta.
3.1.1. Os requisitos de justificao da ingerncia

aoabrigo da CEDH
O tratamento de dados pessoais poder constituir uma ingerncia no exerccio do
direito ao respeito pela vida privada da pessoa em causa. Porm, este no um
direito absoluto, devendo, pelo contrrio, ser conciliado com outros interesses legtimos, sejam de outras pessoas (interesses privados) ou da sociedade no seu todo
(interesses pblicos).
A ingerncia das autoridades pblicas justificada nas seguintes condies:
De acordo com a lei

Segundo a jurisprudncia do TEDH, considerase que a ingerncia est de acordo com
a lei se tiver por base uma disposio do direito interno com determinadas caractersticas. Os interessados tm de ter acesso lei e esta deve ter efeitos previsveis.108
Considerase que uma regra previsvel se for formulada com preciso suficiente
para permitir a qualquer pessoa pautar o comportamento, solicitando, se necessrio,
108 TEDH, acrdo Amann c. Sua [GS] de 16 de fevereiro de 2000, n.50, petio n. 27798/95; ver
tambm TEDH, acrdo Kopp c. Sua de 25demarode1998, n. 55, petio n.23224/94 e TEDH,
acrdo Iordachi e outros c. Moldvia de 10defevereirode2009, n.50, petio n.25198/02.
67
um parecer profissional.109 O grau de preciso exigido da lei neste contexto

depender da matria em causa.110
Exemplo: No acrdo Rotaru c. Romnia,111 o TEDH concluiu que tinha havido
uma violao do artigo 8. da CEDH porque o direito romeno permitia a recolha,
registo e arquivo, em ficheiros secretos, de informaes que afetassem a segurana nacional sem estabelecer limites ao exerccio desses poderes pelas autoridades, que era assim discricionrio. Por exemplo, o direito nacional no definia
o tipo de informaes que poderiam ser tratadas, os grupos de pessoas que
poderiam ser objeto de medidas de vigilncia, as circunstncias em que essas
medidas poderiam ser adotadas ou o procedimento a seguir. Face as estas deficincias, o TEDH concluiu que o direito interno no cumpria o requisito de previsibilidade previsto no artigo8. da CEDH e que este artigo tinha sido violado.
Exemplo: No processo que deu origem ao acrdo Taylor-Sabori c. Reino Unido,112 o requerente tinha sido alvo de medidas de vigilncia policial. Utilizando
um clone do pager do requerente, a polcia conseguiu intercetar mensagens
que lhe tinham sido enviadas. O requerente foi ento detido e acusado de associao criminosa pela distribuio de uma substncia controlada. Parte das provas reunidas pelo Ministrio Pblico consistia em transcries contemporneas
das mensagens do pager efetuadas pela polcia. No entanto, data do julgamento do requerente, a interceo de comunicaes transmitidas atravs de
um sistema privado de telecomunicaes no estava regulada no direito britnico. Por conseguinte, a ingerncia no exerccio dos seus direitos no estava de
acordo com a lei. O TEDH concluiu que tinha havido uma violao do artigo8.
da CEDH.
109 TEDH, acrdo Amann c. Sua [GS] de 16 de fevereiro de 2000, petio n.27798/95, n. 56; ver
tambm TEDH, acrdo Malone c. Reino Unido de 2deagostode1984, petio n.8691/79, n. 66;
TEDH, acrdo Silver e outros c. Reino Unido de 25demarode1983, peties n.s5947/72, 6205/73,
7052/75, 7061/75, 7107/75, 7113/75, n. 88.
110 TEDH, acrdo The Sunday Times c. Reino Unido de 26deabrilde1979, petio n.6538/74, n. 49; ver
tambm TEDH, acrdo Silver e outros c. Reino Unido de 25demarode1983, peties n.s5947/72,
6205/73, 7052/75, 7061/75, 7107/75, 7113/75, n. 88.
111 TEDH, acrdo Rotaru c. Romnia [GS] de 4 de abril de 2000, petio n.28341/95, n. 57; ver
tambm TEDH, acrdo Association for European Integration and Human Rights e Ekimdzhiev c.
Bulgria de 28dejunhode2007, petio n.62540/00; TEDH, acrdo Shimovolos c. Rssia de
21dejunhode2011, petio n.30194/09; e TEDH, acrdo Vetter c. Frana de 31demaiode2005,
petio n.59842/00.
112 TEDH, acrdo Taylor-Sabori c. Reino Unido de 22deoutubrode2002, petio n. 47114/99.
68
Na prossecuo de um objetivo legtimo

O objetivo legtimo poder ser um dos interesses pblicos identificados ou os direitos e liberdades dos outros.
Exemplo: No processo que deu origem ao acrdo Peck c. Reino Unido,113 o
requerente tentou suicidar-se na rua cortando os pulsos, sem se aperceber
de que o ato tinha sido filmado por uma cmara CCTV. A polcia, que estava a
observar as cmaras CCTV, salvouo e, depois, facultou as imagens comunicao social, que as publicou sem ocultar a face do requerente. O TEDH considerou
que no existiam motivos relevantes ou suficientes que justificassem a divulgao direta das imagens pelas autoridades ao pblico sem obter previamente o
consentimento do requerente ou sem ocultar a sua identidade. O TEDH concluiu
que tinha havido uma violao do artigo8. da CEDH.
Necessrio numa sociedade democrtica

O TEDH afirmou que o conceito de necessidade significa que a ingerncia corresponde a uma necessidade social imperiosa e, em especial, que proporcional ao
objetivo legtimo prosseguido.114
Exemplo: No processo que deu origem ao acrdo Khelili c. Sua,115 durante um
controlo policial, a polcia encontrou cartes de visita na posse da requerente,
onde se lia: Mulher atraente, simptica, de 38anos, gostaria de conhecer
um cavalheiro para beber um copo ou sair de vez em quando. Tel.n.[...]. A
requerente alegou que, depois de ter descoberto o carto, a polcia inseriu o
seu nome nos registos policiais como prostituta, uma profisso que ela negou
constantemente possuir. A requerente pediu que a palavra prostituta fosse
eliminada dos registos informticos da polcia. O TEDH reconheceu, em princpio,
que a conservao de dados pessoais com fundamento na possibilidade de a
pessoa em causa cometer outro crime poder, em certos casos, ser proporcional. Porm, no caso da requerente, a alegao de exerccio ilegal da prostituio
parecia demasiado vaga e genrica, no se fundamentava em factos concretos
113 TEDH, acrdo Peck c. Reino Unido de 28dejaneirode2003, petio n. 44647/98, especialmente
n.85.
114 TEDH, acrdo Leander c. Sucia de 11dejulhode1985, petio n.9248/81, n. 58.
115 TEDH, acrdo Khelili c. Sua de 18deoutubrode2011, petio n.16188/07.
69
dado que ela nunca tinha sido condenada pela prtica desse crime e, como tal,
no podia ser considerada uma resposta a uma necessidade social imperiosa
na aceo do artigo 8. da CEDH. Considerando que competia s autoridades
provar a exatido dos dados armazenados sobre a requerente e tendo em conta
a gravidade da ingerncia no exerccio dos direitos da mesma, o TEDH entendeu
que a manuteno da palavra prostituta nos arquivos policiais durante anos
no tinha sido necessria numa sociedade democrtica. O TEDH concluiu que
tinha havido uma violao do artigo 8. da CEDH.
Exemplo: No acrdo Leander c. Sucia,116 o TEDH considerou que a investigao secreta de pessoas que se candidatavam a cargos importantes para a
segurana nacional no era, enquanto tal, contrria ao requisito da necessidade
numa sociedade democrtica. Perante as garantias especiais estabelecidas no
direito nacional para proteger os interesses da pessoa em causa por exemplo, controlos exercidos pelo Parlamento e pelo Chanceler da Justia , o TEDH
concluiu que o sistema sueco de controlo do pessoal cumpria os requisitos do
artigo8., n. 2, da CEDH. Tendo em conta a larga margem de apreciao ao seu
dispor, o Estado demandado podia considerar que, no caso do requerente, os
interesses de segurana nacional prevaleciam sobre os interesses individuais. O
TEDH concluiu que no tinha havido uma violao do artigo8. da CEDH.
3.1.2. As condies do estabelecimento de restries

lcitas ao abrigo da Carta da UE
A estrutura e a redao da Carta e da CEDH so diferentes. Embora no mencione
ingerncias no exerccio de direitos garantidos, a Carta contm uma disposio sobre
restries ao exerccio dos direitos e liberdades por ela reconhecidos.
De acordo com o artigo52., n. 1, as restries ao exerccio dos direitos e liberdades
reconhecidos pela Carta e, consequentemente, ao exerccio do direito proteo de
dados pessoais, tal como o tratamento de dados pessoais, s so admissveis se:
forem previstas por lei;
respeitarem o contedo essencial do direito proteo de dados;
forem necessrias, na observncia do princpio da proporcionalidade; e
116 TEDH, acrdo Leander c. Sucia de 11dejulhode1985, petio n.9248/81, n. 59 e 67.
70
corresponderem a objetivos de interesse geral reconhecidos pela Unio ou

necessidade de proteo dos direitos e liberdades de terceiros.
Exemplos: No acrdo Volker und Markus Schecke,117 o TJUE concluiu que, ao
imporem a obrigao de publicar dados pessoais relativos a cada pessoa singular beneficiria de ajudas de [certos fundos agrcolas] sem fazer distines em
funo de critrios pertinentes, como os perodos durante os quais receberam
essas ajudas, a sua frequncia ou ainda o tipo ou a importncia das mesmas, o
Conselho e a Comisso tinham excedido os limites impostos pelo princpio da
proporcionalidade.
Por conseguinte, o TJUE considerou que era necessrio declarar a invalidade de
certas disposies do Regulamento (CE) n.1290/2005 do Conselho e de declarar a invalidade total do Regulamento n.259/2008.118
Apesar da redao ser diferente, as condies de licitude do tratamento previstas
no artigo52., n. 1, da Carta evocam o artigo8., n. 2, da CEDH. Com efeito, deve
considerarse que as condies enumeradas no artigo 52., n. 1, da Carta cumprem
as condies estipuladas no artigo8., n. 2, da CEDH, dado que o artigo52., n. 3,
da Carta refere, no primeiro perodo, que, [n]a medida em que a presente Carta
contenha direitos correspondentes aos direitos garantidos pela Conveno Europeia
para a Proteo dos Direitos do Homem e das Liberdades Fundamentais, o sentido e
o mbito desses direitos so iguais aos conferidos por essa Conveno.
Porm, nos termos do ltimo perodo do artigo52., n. 3, [e]sta disposio no
obsta a que o direito da Unio confira uma proteo mais ampla. No contexto da
comparao entre o artigo8., n. 2, da CEDH e o primeiro perodo do artigo52.,
n. 3, a nica concluso possvel a de que os requisitos de justificao da ingerncia nos termos do artigo8., n. 2, da CEDH correspondem aos requisitos mnimos
para o estabelecimento de restries lcitas ao direito de proteo dos dados nos
termos da Carta. Consequentemente, para que o tratamento de dados pessoais seja
117 TJUE, acrdo de 9 de novembro de 2010 nos processos apensos C-92/09 e C-93/09, Volker und
Markus Schecke GbR e Hartmut Eifert/Land Hessen, n.s 89 e 86.
118 Regulamento (CE) n.1290/2005 do Conselho, de 21dejunhode2005, relativo ao financiamento
da poltica agrcola comum, JO2005L209; Regulamento (CE) n.259/2008 da Comisso, de
18demarode2008, que estabelece as regras de execuo do Regulamento (CE) n.1290/2005 do
Conselho no que respeita publicao de informao sobre os beneficirios de fundos provenientes do
Fundo Europeu Agrcola de Garantia (FEAGA) e do Fundo Europeu Agrcola de Desenvolvimento Rural
(Feader), JO2008L76.
71
considerado lcito ao abrigo do direito da UE, necessrio que, pelo menos, as condies do artigo8., n. 2, da CEDH estejam preenchidas; no entanto, o direito da UE
poder estabelecer requisitos adicionais para casos especficos.
A correspondncia entre o princpio do tratamento lcito nos termos do direito da UE
e as disposies relevantes da CEDH reforada pelo artigo6., n. 3, do Tratado UE,
que estabelece que [d]o direito da Unio fazem parte, enquanto princpios gerais,
os direitos fundamentais tal como os garante a Conveno Europeia para a Proteo
dos Direitos do Homem e das Liberdades Fundamentais.
3.2. O princpio da especificao

edalimitao da finalidade
Pontos-chave

A finalidade do tratamento de dados tem de estar visivelmente definida antes das

operaes de tratamento terem incio.
Nos termos do direito da UE, a finalidade do tratamento tem de estar especificamente

definida; o direito do CdE deixa esta questo ao critrio do legislador nacional.
O tratamento para finalidades indeterminadas no cumpre a legislao sobre proteo

de dados.
A utilizao posterior dos dados para uma finalidade incompatvel com a finalidade original exige outra base legal.
A transferncia de dados para terceiros constitui uma nova finalidade que exige uma
outra base legal.
Essencialmente, o princpio da especificao e da limitao da finalidade significa

que a legitimidade do tratamento de dados pessoais depender da finalidade do
tratamento.119 Essa finalidade dever ter sido especificada e claramente comunicada
pelo responsvel pelo tratamento antes do incio do tratamento de dados.120 No
mbito do direito da UE, esta comunicao dever ter lugar por meio de uma declarao ou, por outras palavras, de uma notificao, autoridade de controlo compe-
119 Conveno 108, artigo 5., al. b); Diretiva Proteo de Dados, artigo6., n. 1, al.b).
120 Ver tambm Grupo de Trabalho do artigo 29. (2013), Parecer 03/2013 sobre a limitao da finalidade,
WP203, Bruxelas, 2deabrilde2013.
72
tente ou, pelo menos, atravs de documentao interna, que dever ser disponibilizada pelo responsvel pelo tratamento s autoridades de controlo para inspeo e
pessoa em causa para consulta.
O tratamento de dados pessoais para finalidades indeterminadas e/ou ilimitadas
ilcito.
Sempre que os dados forem tratados para uma nova finalidade, necessria uma
base legal especfica, sendo irrelevante o facto de os dados terem sido inicialmente
adquiridos ou tratados para outra finalidade legtima. Por seu lado, o tratamento
legtimo restringese finalidade inicialmente especificada, pelo que qualquer nova
finalidade do tratamento exigir uma base legal autnoma. A divulgao de dados
a terceiros ter de ser ponderada com especial cuidado, uma vez que a divulgao
constitui habitualmente uma nova finalidade e, por conseguinte, exige uma base
legal distinta da base legal para a recolha dos dados.
Exemplo: Uma companhia area recolhe dados dos seus passageiros para efetuar reservas, com vista a assegurar a correta operao do voo. A companhia
area necessitar de dados sobre: os nmeros dos lugares dos passageiros;
limitaes fsicas especiais, tais como necessidade de uma cadeira de rodas;
e requisitos alimentares especiais, tais como alimentos kosher ou halal. Se for
pedido s companhias areas que transfiram esses dados (contidos no PNR)
para as autoridades de imigrao no aeroporto de destino, esses dados estaro
a ser utilizados para fins de controlo da imigrao, que so diferentes da finalidade para que foram inicialmente recolhidos. Como tal, a transferncia desses
dados para uma autoridade de imigrao exigir uma base legal autnoma.
Na definio do mbito e dos limites de uma determinada finalidade, a Conveno108 e a Diretiva de Proteo de Dados recorrem ao conceito de compatibilidade:
a utilizao de dados para finalidades compatveis permitida com fundamento na
base legal inicial. O conceito de compatvel, porm, no est definido, devendo
ser interpretado caso a caso.
Exemplo: A venda dos dados dos clientes da empresa Sunshine, que foram
adquiridos no mbito da gesto do relacionamento com os clientes (CRM),
a uma empresa de marketing direto, a Moonlight, que pretende utilizar estes
dados para apoiar as campanhas de marketing de empresas terceiras, uma
finalidade nova, que incompatvel com a CRM, a finalidade inicial da recolha
73
de dados dos clientes pela Sunshine. Consequentemente, a venda de dados

empresa Moonlight necessita da sua prpria base legal.
Em contrapartida, a utilizao de dados de CRM pela empresa Sunshine para
as suas prprias finalidades de marketing que consiste em enviar mensagens
de marketing sobre os seus prprios produtos para os seus prprios clientes
normalmente aceite como uma finalidade compatvel.
A Diretiva de Proteo de Dados declara expressamente que o tratamento posterior para fins histricos, estatsticos ou cientficos no considerado incompatvel
desde que os Estados-membros estabeleam garantias adequadas.121
Exemplos: A empresa Sunshine recolheu e armazenou dados de CRM sobre os
seus clientes. A utilizao posterior destes dados pela empresa Sunshine para
fins de anlise estatstica do comportamento de compra dos seus clientes
admissvel, uma vez que as estatsticas so fins compatveis. No necessria
outra base legal, nomeadamente o consentimento das pessoas em causa.
Se esses dados fossem transmitidos a um terceiro, a empresa Starlight, para fins
exclusivamente estatsticos, essa transmisso seria admissvel sem necessidade
de uma nova base legal, mas apenas sob a condio de terem sido estabelecidas garantias adequadas, tais como a dissimulao da identidade das pessoas
em causa, uma vez que a identidade no geralmente necessria para fins
estatsticos.
3.3. Princpios relativos qualidade

dosdados
Pontos-chave

O responsvel pelo tratamento tem de aplicar os princpios relativos qualidade dos

dados em todas as operaes de tratamento.
121 Um exemplo deste tipo de disposies nacionais a Lei da Proteo de Dados austraca
(Datenschutzgesetz), Jornal OficialI n. 165/1999, n.46, disponvel em ingls em: www.dsk.gv.at/
DocView.axd?CobId=41936.
74
O princpio da limitao da conservao dos dados exige que os dados sejam apagados
logo que deixem de ser necessrios para as finalidades para que foram recolhidos.
As derrogaes ao princpio da limitao da conservao dos dados tm de ser estabelecidas por lei e exigem garantias especiais para assegurar a proteo dos titulares
dos dados.
3.3.1. O princpio da pertinncia dos dados

Apenas sero objeto de tratamento os dados que forem adequados, pertinentes e
no excessivos relativamente s finalidades para que so recolhidos e para que so
tratados posteriormente.122 As categorias de dados escolhidas para tratamento tm
de ser necessrias concretizao do objetivo geral das operaes de tratamento
que foi comunicado e o responsvel pelo tratamento deve restringir rigorosamente
a recolha de dados s informaes que sejam diretamente pertinentes para a finalidade especfica prosseguida pelo tratamento.
Na sociedade contempornea, o princpio da pertinncia dos dados implica a ponderao de um outro aspeto: o recurso a tecnologias especiais de proteo da privacidade permite, por vezes, evitar a utilizao de quaisquer dados pessoais ou utilizar
dados pseudonimizados, o que constitui uma soluo que promove o respeito pela
privacidade. Esta uma soluo particularmente desejvel em sistemas de tratamento mais vastos.
Exemplo: Uma cmara municipal oferece um carto com chip (passe) a utilizadores regulares do sistema municipal de transportes pblicos mediante o
pagamento de uma determinada importncia. O carto contm o nome do utilizador em forma escrita na face do carto e em forma eletrnica no chip. Sempre que utiliza o autocarro ou o eltrico, o passageiro tem de passar o carto por
um dispositivo de leitura instalado no autocarro ou eltrico. Os dados lidos pelo
dispositivo so eletronicamente comparados com uma base de dados com os
nomes das pessoas que compraram o passe.
Este sistema no cumpre da melhor forma o princpio da pertinncia: para verificar se uma pessoa est ou no autorizada a utilizar determinados meios de
transporte, no necessrio comparar os dados pessoais constantes do chip
do carto com uma base de dados. Bastaria, por exemplo, incluir uma imagem
122 Conveno 108, artigo 5., al. c); Diretiva Proteo de Dados, artigo6., n. 1, al.c).
75
eletrnica especial, como um cdigo de barras, no chip do carto, que o passageiro passaria em frente do dispositivo de leitura para confirmar se o carto era
ou no vlido. Este sistema no registaria o nome dos utilizadores, o transporte
utilizado ou a hora da utilizao. No seriam recolhidos quaisquer dados pessoais, o que a soluo ideal em termos do princpio da pertinncia, uma vez
que um dos seus corolrios a obrigao de minimizar a recolha de dados.
3.3.2. O princpio da exatido dos dados

Um responsvel pelo tratamento que tenha em seu poder informaes pessoais
no dever utilizar essas informaes sem tomar medidas para se certificar, com um
grau de certeza razovel, que os dados so exatos e esto atualizados.
A obrigao de assegurar a exatido dos dados tem de ser interpretada no contexto
da finalidade do tratamento dos dados.
Exemplo: Uma empresa de comercializao de mobilirio recolheu dados sobre
a identidade e a morada de um cliente para fins de faturao. Seis meses
depois, esta empresa pretende lanar uma campanha de marketing e deseja
contactar antigos clientes. Para tal, a empresa pretende ter acesso ao registo
de residentes nacionais, que conter provavelmente moradas atualizadas, dado
que os residentes esto obrigados por lei a comunicar a sua atual morada ao
registo. Apenas tm acesso aos dados deste registo as pessoas e entidades que
apresentem uma justificao vlida para tal.
Nesta situao, a empresa no pode utilizar o argumento de que est obrigada
a manter a exatido e atualidade dos dados para fundamentar o seu direito a
consultar o registo de residentes a fim de recolher novos dados sobre a morada
de todos os seus antigos clientes. Os dados foram recolhidos para fins de faturao; neste caso, relevante a morada data da venda. No existe qualquer
base legal para recolher novos dados sobre a morada, uma vez que o marketing
no um interesse que prevalea sobre o direito proteo de dados e, como
tal, no pode justificar o acesso aos dados constantes do registo.
Podero existir tambm casos em que a atualizao de dados armazenados seja
proibida por lei porque a finalidade do armazenamento dos dados principalmente
documentar acontecimentos.
76
Exemplo: Os protocolos de cirurgia no podem ser alterados (por outras palavras, atualizados), ainda que as concluses neles mencionadas posteriormente se revelem incorretas. Nesses casos, apenas sero admissveis aditamentos s observaes constantes do protocolo, desde que seja claramente
indicado que constituem contributos efetuados numa fase posterior.
Por outro lado, existem situaes em que o controlo regular da exatido dos dados,
incluindo a sua atualizao, uma necessidade absoluta devido aos potenciais
danos que a pessoa em causa poder sofrer se os dados no forem exatos.
Exemplo: Se uma pessoa quiser fazer um contrato com uma instituio bancria,
o banco verifica geralmente a situao financeira do potencial cliente. Para tal,
existem bases de dados especiais que contm dados sobre o historial de crdito de pessoas singulares. Se essa base de dados contiver dados incorretos ou
desatualizados sobre uma pessoa, esta poder enfrentar srios problemas. Por
este motivo, os responsveis pelo tratamento dessas bases de dados tm de
envidar esforos especiais para cumprir o princpio da exatido dos dados.
Alm disso, permitida a recolha e o armazenamento de dados que no digam respeito a factos, mas sim a suspeitas, tal como nos inquritos criminais, desde que o
responsvel pelo tratamento disponha de uma base legal para recolher essas informaes e essa suspeita seja suficientemente justificada.
3.3.3. O princpio da limitao da conservao

dosdados
Tanto o artigo 6., n. 1, alnea e), da Diretiva de Proteo de Dados como o artigo 5.,
alnea e), da Conveno 108 exigem que os Estados-Membros assegurem que os
dados pessoais sejam conservados de forma a permitir a identificao das pessoas
em causa apenas durante o perodo necessrio para a prossecuo das finalidades
para que foram recolhidos ou para que so tratados posteriormente. Assim, os
dados tm de ser apagados quando essas finalidades forem atingidas.
No acrdo S. e Marper, o TEDH concluiu que os princpios nucleares dos instrumentos relevantes do Conselho da Europa, bem como a lei e a prtica de outras Partes
77
Contratantes, exigem que a conservao dos dados seja proporcional finalidade da

recolha e limitada no tempo, especialmente no setor policial.123
Porm, a limitao temporal do armazenamento de dados pessoais s aplicvel
aos dados conservados sob uma forma que permita a identificao das pessoas em
causa. Deste modo, possvel armazenar licitamente dados que j no sejam necessrios mediante a sua anonimizao ou pseudonimizao.
A conservao de dados para fins cientficos, histricos ou estatsticos constitui uma
derrogao ao princpio da limitao da conservao dos dados expressamente
prevista na Diretiva de Proteo de Dados.124 Contudo, a continuao do armazenamento e utilizao de dados pessoais nestes casos deve ser acompanhada por
garantias especiais estabelecidas no direito nacional.
3.4. O princpio do tratamento leal

Pontos-chave

O tratamento leal significa que o tratamento tem de ser transparente, especialmente

em relao s pessoas em causa.
Os responsveis pelo tratamento so obrigados a informar as pessoas em causa pelo

menos sobre a finalidade do tratamento e sobre a sua prpria identidade e morada
antes do tratamento dos seus dados.
Salvo nos casos expressamente permitidos por lei, proibido o tratamento secreto e
dissimulado de dados pessoais.
As pessoas em causa tm direito de acesso aos seus dados sempre que estes forem
objeto de tratamento.
O princpio do tratamento leal regula, acima de tudo, a relao entre o responsvel

pelo tratamento e o titular dos dados.
123 TEDH, acrdo S. e Marper c. Reino Unido de 4dedezembrode2008, peties n.s30562/04 e

30566/04; ver tambm, por exemplo, TEDH, acrdo M.M. c. Reino Unido de 13denovembrode2012,
petio n.24029/07.
124 Diretiva Proteo de Dados, artigo6., n. 1, al.e).
78
3.4.1. Transparncia
Este princpio impe sobre o responsvel pelo tratamento a obrigao de manter
as pessoas em causa informadas sobre o modo como os seus dados esto a ser
utilizados.
Exemplo: No processo que deu origem ao acrdo Haralambie c. Romnia,125
o requerente requereu o acesso ao processo que os servios secretos tinham
conservado sobre ele, mas o seu pedido s foi deferido cinco anos depois. O
TEDH reiterou que as pessoas que eram objeto de processos individuais detidos
pelas autoridades pblicas tinham um interesse vital em aceder aos mesmos.
As autoridades tinham o dever de estabelecer um procedimento eficaz para
obter acesso quelas informaes. O TEDH considerou que nem a quantidade de
processos transferidos, nem as deficincias do sistema de arquivo justificavam
um atraso de cinco anos no deferimento do pedido de acesso do requerente ao
seu processo. As autoridades no tinham colocado disposio do requerente
um procedimento eficaz e acessvel que lhe permitisse obter acesso ao seu processo individual dentro de um prazo razovel. O TEDH concluiu que tinha havido
uma violao do artigo8. da CEDH.
As operaes de tratamento tm de ser explicadas de forma facilmente acessvel
s pessoas em causa, a fim de garantir que estas compreendem o que ir acontecer
aos seus dados. As pessoas em causa tambm tm o direito de ser informadas pelo
responsvel pelo tratamento, caso o solicitem, se os seus dados esto a ser tratados
e, em caso afirmativo, que dados esto a ser tratados.
3.4.2. Criar uma relao de confiana

Os responsveis pelo tratamento devem documentar o modo como se propem
tratar os dados de forma lcita e transparente e colocar esses documentos disposio das pessoas em causa e do pblico em geral. As operaes de tratamento no
podem ser realizadas em segredo e no devem ter efeitos negativos imprevistos.
Os responsveis pelo tratamento devem certificarse de que os clientes ou cidados
so informados sobre a utilizao dos seus dados. Os responsveis pelo tratamento
devem ainda, na medida do possvel, atuar de forma a cumprir prontamente os
desejos da pessoa em causa, especialmente quando a base legal do tratamento de
dados for o seu consentimento.
125 TEDH, acrdo Haralambie c. Romnia de 27deoutubrode2009, petio n.21737/03.
79
Exemplo: No processo que deu origem ao acrdo K.H. e outros c. Eslovquia,126

as autoras da petio eram oito mulheres de etnia cigana que tinham sido tratadas em dois hospitais na regio ocidental da Eslovquia durante a gravidez
e o parto. Depois disso, nenhuma delas conseguia engravidar, no obstante o
terem tentado repetidamente. Os tribunais nacionais ordenaram aos hospitais
que autorizassem as autoras da petio e os seus representantes a consultar
e a transcrever manualmente excertos dos registos mdicos, mas negaram
provimento ao pedido de fotocopiar os documentos, alegadamente para evitar que fossem danificados. As obrigaes positivas dos Estados ao abrigo do
artigo8. da CEDH abrangem necessariamente a obrigao de disponibilizar s
pessoas em causa cpias dos seus ficheiros de dados. Cabia ao Estado estabelecer providncias para a fotocpia dos ficheiros de dados pessoais ou, se fosse
o caso, apresentar argumentos convincentes que justificassem o indeferimento
do pedido. No caso das autoras da petio, os tribunais nacionais justificaram a
proibio de fotocopiar os registos mdicos essencialmente com base na necessidade de proteger contra danos as informaes relevantes. No entanto, o TEDH
no compreendia como que as autoras da petio, que tinham tido j acesso a
todo o processo clnico, poderiam ter danificado as informaes que lhes diziam
respeito. Alm disso, esse risco poderia ter sido evitado por outros meios,
nomeadamente limitando os grupos de pessoas com acesso ao processo. O
Estado no demonstrou a existncia de motivos suficientemente convincentes
para negar o acesso efetivo das autoras da petio a informaes sobre a sua
sade. O TEDH concluiu que tinha havido uma violao do artigo8..
No que respeita aos servios de Internet, as funcionalidades dos sistemas de tratamento de dados devem permitir s pessoas em causa compreender verdadeiramente o que est a acontecer com os seus dados.
O princpio do tratamento leal significa ainda que os responsveis pelo tratamento
esto preparados para ir alm dos requisitos legais mnimos obrigatrios, caso os
legtimos interesses da pessoa em causa assim o exijam.
126 TEDH, acrdo K.H. e outros c. Eslovquia de 6denovembrode2009, petio n.32881/04.
80
3.5. O princpio da responsabilidade

Pontos-chave

A responsabilidade exige a implementao ativa de medidas pelos responsveis pelo

tratamento para promoverem e salvaguardarem a proteo de dados nas suas atividades de tratamento.
Compete aos responsveis pelo tratamento assegurar a conformidade das suas operaes de tratamento com a legislao sobre proteo de dados.
Os responsveis pelo tratamento devem estar em condies de demonstrar, a todo o

tempo, a conformidade com as disposies sobre proteo de dados s pessoas em
causa, ao pblico em geral e s autoridades de controlo.
Em 2013, a Organizao para a Cooperao e Desenvolvimento Econmico(OCDE)

adotou diretrizes sobre a privacidade que salientam a importncia do papel que os
responsveis pelo tratamento desempenham para garantir, na prtica, a eficcia
da proteo de dados. De acordo com essas diretrizes, o princpio da responsabilidade significa que o responsvel pelo tratamento de dados deve ser responsvel pelo cumprimento de medidas que concretizem os princpios materiais nelas
enunciados.127
Enquanto a Conveno108 no faz qualquer referncia responsabilidade dos responsveis pelo tratamento, deixando essencialmente esta questo ao critrio do
legislador nacional, o artigo6., n. 2, da Diretiva de Proteo de Dados estabelece
que incumbe ao responsvel pelo tratamento assegurar a observncia dos princpios
relacionados com a qualidade dos dados enunciados no n. 1.
Exemplo: A alterao de 2009128 Diretiva 2002/58/CE (Diretiva Privacidade
Eletrnica) constitui um exemplo legislativo que salienta o princpio da responsabilidade. De acordo com o artigo4. na redao em vigor, a Diretiva impe a
127 OCDE (2013), Guidelines governing the protection of privacy and transborder flows of personal data
(Diretrizes aplicveis proteo da privacidade e aos fluxos transfronteirios de dados pessoais),
artigo14..
128 Diretiva2009/136/CE do Parlamento Europeu e do Conselho, de 25denovembrode2009, que altera
a Diretiva2002/22/CE relativa ao servio universal e aos direitos dos utilizadores em matria de
redes e servios de comunicaes eletrnicas, a Diretiva2002/58/CE relativa ao tratamento de dados
pessoais e proteo da privacidade no setor das comunicaes eletrnicas e o Regulamento (CE)
n.2006/2004 relativo cooperao entre as autoridades nacionais responsveis pela aplicao da
legislao de defesa do consumidor, JO2009L337, p.11.
81
obrigao de aplicar uma poltica de segurana, mais concretamente de garantir a aplicao de uma poltica de segurana relativa ao tratamento dos dados
pessoais. Deste modo, no que respeita s disposies sobre segurana da referida Diretiva, o legislador considerou que era necessrio estabelecer expressamente a obrigao de possuir e aplicar uma poltica de segurana.
Segundo o parecer do Grupo de Trabalho do artigo29.,129 a essncia do princpio da
responsabilidade a obrigao que recai sobre o responsvel pelo tratamento de:
colocar em prtica medidas que, em circunstncias normais, garantiriam a observncia das regras sobre proteo de dados no contexto das operaes de tratamento; e
estar em condies de disponibilizar rapidamente s pessoas em causa e s
autoridades de controlo documentao que comprove as medidas adotadas para
garantir a observncia das regras sobre proteo de dados.
O princpio da responsabilidade exige, assim, que os responsveis pelo tratamento
demonstrem ativamente o cumprimento, no se limitando a aguardar que as pessoas em causa ou as autoridades de controlo apontem deficincias.
129 Grupo de Trabalho do artigo 29., Parecer3/2010 sobre o princpio da responsabilidade, WP173,
Bruxelas, 13dejulhode2010.
82
4.

As regras da legislao
europeia sobre proteo
de dados
UE
Questes
abrangidas
CdE
Regras sobre o tratamento lcito de dados no sensveis

Consentimento
al. a)
al. b)
al. c)
al. d)
Diretiva de Proteo de Dados, artigo 7., al.
e) e artigo 8., n. 4
TJUE, acrdo de 16 de dezembro de 2008
no processo C-524/06, Huber/Alemanha
alnea f) e artigo 8., n.s 2 e 3
e C-469/10, Asociacin Nacional de
Establecimientos Financieros de Crdito
(ASNEF) e Federacin de Comercio
Electrnico y Marketing Directo (FECEMD)/
Administracin del Estado
Recomendao sobre a
definio de perfis, artigos
3.4, al. b) e 3.6
Relao (pr)
Recomendao sobre a
contratual
3.4, al. b)
Deveres legais do Recomendao sobre a
responsvel pelo definio de perfis, artigo
tratamento
3.4, al. a)
Interesses vitais da Recomendao sobre a
pessoa em causa definio de perfis, artigo
3.4, al. b)
Interesse pblico Recomendao sobre a
e exerccio de
autoridade pblica 3.4, al. b)
Interesses
legtimos de
terceiros
Recomendao sobre a
3.4, al. b)
83
UE
Questes
abrangidas
Regras sobre o tratamento lcito de dados sensveis

Proibio geral de
n. 1
tratamento
Derrogaes
n.s 2 a 4
proibio geral
Tratamento de
n. 5
dados sobre
condenaes
(penais)
Tratamento de
n. 7
nmeros de
identificao
Regras sobre a segurana do tratamento
Diretiva de Proteo de Dados, artigo 17.
Obrigao
de garantir a
segurana do
tratamento
Diretiva Privacidade Eletrnica, artigo 4.,
n. 2
CdE


TEDH, acrdo I. c. Finlndia
de 17 de julho de 2008,
petio n.20511/03
Notificaes de
violao de dados
pessoais
Obrigao de
confidencialidade
Regras sobre a transparncia do tratamento
Diretiva de Proteo de Dados, artigos 10.

e 11.
e 11.
e 19.
Regras sobre a promoo do cumprimento
n. 2
84
Transparncia em
geral
Informao
Derrogaes
obrigao de
informar
Notificao

al. a)
al. a)
Recomendao sobre a
9.2, al. a)
Controlo prvio
Encarregado da
Recomendao sobre a
proteo de dados definio de perfis, artigo
pessoais
8.3
Cdigos de conduta
As regras da legislao europeia sobre proteo de dados
Os princpios tm necessariamente natureza geral. A sua aplicao a situaes concretas deixa uma certa margem de interpretao e escolha quanto aos meios. Nos
termos do direito do CdE, cabe s Partes da Conveno 108 clarificar esta margem
de interpretao no seu direito nacional. A situao no direito da UE diferente: para
implementar a proteo de dados no mercado interno, foi considerado necessrio
definir logo regras mais detalhadas ao nvel da UE, a fim de harmonizar o nvel de
proteo de dados conferido pela legislao nacional dos Estados-Membros. A Diretiva de Proteo de Dados estabelece, ao abrigo dos princpios enunciados no seu
artigo6. uma srie de regras detalhadas que tm de ser fielmente implementadas
no direito nacional. Por conseguinte, as observaes que se seguem sobre regras
detalhadas de proteo de dados ao nvel europeu respeitam predominantemente
ao direito da UE.
4.1. Regras sobre o tratamento lcito

Pontos-chave

Os dados pessoais podem ser objeto de um tratamento lcito se:

o tratamento se basear no consentimento do titular dos dados;
interesses vitais do titular dos dados exigirem o tratamento dos seus dados; ou
interesses legtimos de terceiros forem a razo do tratamento, mas apenas se

no prevalecer o interesse na proteo de direitos fundamentais dos titulares dos
dados.
O tratamento lcito de dados sensveis est sujeito a um regime especial, mais rigoroso.
A Diretiva de Proteo de Dados estabelece dois grupos de regras distintos para o

tratamento lcito de dados: um para dados no sensveis no artigo7. e outro para
dados sensveis no artigo8..
4.1.1. Tratamento lcito de dados no sensveis

O captulo II da Diretiva 95/46, sob a epgrafe Condies gerais de licitude do tratamento de dados pessoais, estabelece que, sem prejuzo das derrogaes admitidas
ao abrigo do artigo13., qualquer tratamento de dados pessoais deve ser conforme,
em primeiro lugar, aos princpios relativos qualidade dos dados enunciados no
artigo6. da Diretiva de Proteo de Dados e, em segundo lugar, a um dos princpios
85
relativos legitimidade do tratamento de dados, enumerados no artigo7.130 Estas

disposies descrevem os casos de tratamento legtimo de dados pessoais no
sensveis.
Consentimento
Relativamente ao direito do CdE, o consentimento no mencionado no artigo8.
da CEDH nem na Conveno108. No entanto, referido na jurisprudncia do TEDH
e em vrias recomendaes do CdE. Quanto ao direito da UE, o consentimento est
firmemente estabelecido no artigo7., al.a), da Diretiva de Proteo de Dados como
base para o tratamento legtimo de dados, sendo tambm expressamente mencionado no artigo8. da Carta.
Relao contratual
Outra base para o tratamento legtimo de dados pessoais nos termos do direito da
UE, enumerada no artigo 7., alnea b), da Diretiva de Proteo de Dados, a sua
necessidade para a execuo de um contrato no qual a pessoa em causa parte.
Esta disposio tambm abrange as relaes prcontratuais. Por exemplo: uma
parte pretende celebrar um contrato, mas ainda no o fez, possivelmente porque
ainda necessrio verificar alguns factos. Se uma parte precisar de tratar dados
para este fim, esse tratamento legtimo desde que seja necessrio para a execuo de diligncias prvias formao do contrato decididas a pedido da pessoa em
causa.
No que respeita ao direito do CdE, a proteo dos direitos e das liberdades de terceiros mencionada no artigo8., n. 2, da CEDH como um dos fundamentos da
ingerncia legtima no exerccio do direito proteo de dados.
Deveres legais do responsvel pelo tratamento

O direito da UE menciona expressamente outro princpio relativo legitimidade do
tratamento de dados: se for necessrio para cumprir uma obrigao legal qual
o responsvel pelo tratamento esteja sujeito (artigo7., alneac), da Diretiva de
130 TJUE, acrdo de 20demaiode2003 nos processos apensos C-465/00, C-138/01 e C-139/01,
sterreichischer Rundfunk e o., n.65; TJUE, acrdo de 16dedezembrode2008 no processo C524/06,
Huber/Alemanha, n.48; TJUE, acrdo de 24denovembrode2011 nos processos apensos C-468/10
e C-469/10, Asociacin Nacional de Establecimientos Financieros de Crdito (ASNEF) e Federacin de
Comercio Electrnico y Marketing Directo (FECEMD)/Administracin del Estado, n.26.
86
Proteo de Dados). Esta disposio diz respeito aos responsveis pelo tratamento
no setor privado; s obrigaes legais dos responsveis pelo tratamento no setor
pblico aplicvel o artigo7., alneae), da Diretiva. H muitos casos em que os
responsveis pelo tratamento do setor privado so obrigados, por lei, a tratar dados
sobre terceiros; por exemplo, os mdicos e os hospitais tm o dever legal de armazenar dados sobre o tratamento dos doentes durante vrios anos, os empregadores tm de tratar dados sobre os seus funcionrios para fins de segurana social
e impostos e as empresas tm de tratar dados sobre os seus clientes para fins de
impostos.
No contexto da transferncia obrigatria de dados dos passageiros pelas companhias areas para autoridades estrangeiras de controlo da imigrao, foi suscitada a
questo da possibilidade de as obrigaes legais estabelecidas no direito estrangeiro
constiturem uma base legtima para o tratamento de dados nos termos do direito
da UE (esta questo analisada em maior detalhe na seco6.2).
As obrigaes legais do responsvel pelo tratamento tambm constituem uma
base para o tratamento legtimo de dados nos termos do direito do CdE. Tal como
salientado anteriormente, as obrigaes legais de um responsvel pelo tratamento
do setor privado restringemse ao caso especfico dos interesses legtimos de terceiros, conforme mencionado no artigo 8., n. 2, da CEDH. Por conseguinte, o exemplo
acima apresentado tambm relevante para o direito do CdE.
Interesses vitais do titular dos dados

No mbito do direito da UE, o artigo7., alnead), da Diretiva de Proteo de Dados
estabelece que o tratamento de dados pessoais lcito se for necessrio para a
proteo de interesses vitais da pessoa em causa. Estes interesses, que esto intimamente ligados sobrevivncia da pessoa em causa, poderiam constituir a base
para a utilizao legtima de dados sobre a sade ou de dados sobre pessoas desaparecidas, por exemplo.
No mbito do direito do CdE, os interesses vitais do titular dos dados no so mencionados no artigo8. da CEDH como fundamento da ingerncia legtima no exerccio do direito proteo de dados. No entanto, algumas recomendaes do CdE
que complementam a Conveno108 em domnios especficos mencionam expressamente os interesses vitais da pessoa em causa como base para o tratamento
87
legtimo de dados.131 Evidentemente, os interesses vitais da pessoa em causa so

considerados implicitamente includos no conjunto de razes que justificam o tratamento de dados: a proteo de direitos fundamentais nunca deve colocar em risco
os interesses vitais da pessoa protegida.
Interesse pblico e exerccio de autoridade pblica

Uma vez que existem muitos sistemas de organizao dos assuntos pblicos, o
artigo7., alnea e), da Diretiva de Proteo de Dados estabelece que o tratamento
de dados pessoais ser lcito se for necessrio para a execuo de uma misso de
interesse pblico ou o exerccio da autoridade pblica de que investido o responsvel pelo tratamento ou um terceiro a quem os dados sejam comunicados [].132
Exemplo: No processo que deu origem ao acrdo Huber/Alemanha,133 H. Huber,
um nacional austraco residente na Alemanha, pediu ao Servio Federal para as
Migraes e os Refugiados que suprimisse do Registo Central de Estrangeiros
(oAZR) os dados que lhe diziam respeito. Este registo, que contm dados
pessoais sobre nacionais de outros pases da UE que sejam residentes na Alemanha por um perodo superior a trs meses, utilizado para fins estatsticos e
pelas autoridades policiais e judicirias no mbito da investigao e ao penal
relativamente a atividades criminosas ou que constituam uma ameaa segurana pblica. O rgo jurisdicional de reenvio perguntou se o tratamento de
dados pessoais realizado num registo como o Registo Central de Estrangeiros,
a que tambm tm acesso outras autoridades pblicas, compatvel com o
direito da UE na medida em que no existe um registo semelhante para nacionais alemes.
O TJUE refere, em primeiro lugar, que, nos termos do artigo7., alnea e), da Diretiva, o tratamento de dados pessoais s lcito se for necessrio para a execuo de uma misso de interesse pblico ou o exerccio de uma autoridade
pblica.
Segundo o Tribunal de Justia, face ao objetivo de assegurar um nvel de proteo equivalente em todos os Estados-Membros, o conceito de necessidade, tal
como ele resulta do artigo7., alnea e), da Diretiva95/46 [] no pode ter um
131 Recomendao sobre a definio de perfis, artigo3.4, al. b).
132 Ver tambm Diretiva Proteo de Dados, considerando32.
133 TJUE, acrdo de 16dedezembrode2008 no processo C-524/06, Huber/Alemanha.
88
contedo varivel consoante o Estado-Membro. Logo, tratase de um conceito

autnomo de direito comunitrio que deve receber uma interpretao suscetvel de cumprir plenamente o objetivo dessa diretiva, definido no seu artigo1.,
n. 1.134
O Tribunal de Justia chama a ateno para o facto de o direito de livre circulao de um cidado da Unio no territrio de um Estado-Membro de que no
nacional no incondicional, podendo estar sujeito a restries e condies previstas no Tratado e nas disposies adotadas em sua aplicao. Por isso, embora
a utilizao de um registo como o AZR com a finalidade de dar apoio s autoridades encarregues da aplicao da legislao sobre o direito de residncia seja,
em princpio, legtima, esse registo s pode conter as informaes que forem
necessrias para essa finalidade especfica. O Tribunal de Justia conclui que um
tal sistema de tratamento de dados pessoais cumpre o direito da UE se contiver
unicamente os dados necessrios aplicao dessa legislao e se o seu carter centralizado permitir uma aplicao mais eficaz dessa legislao. Compete
ao rgo jurisdicional nacional verificar se essas condies esto preenchidas
no caso concreto. Se a resposta for negativa, a conservao e o tratamento de
dados pessoais num registo como oAZR para fins estatsticos no podem, em
qualquer caso, ser considerados necessrios na aceo do artigo7., alnea e),
da Diretiva95/46/CE.135
Por ltimo, relativamente questo da utilizao dos dados contidos no registo
para fins de combate criminalidade, o Tribunal de Justia entende que este
objetivo envolve necessariamente a represso dos crimes e delitos cometidos,
independentemente da nacionalidade dos seus autores. O registo em causa
no contm dados pessoais de nacionais do Estado-Membro em questo e esta
diferena de tratamento constitui uma discriminao proibida pelo artigo18.
do TFUE. Consequentemente, esta disposio, tal como interpretada pelo Tribunal de Justia, [opese] instaurao, por um Estado-Membro, de um sistema de tratamento de dados pessoais especfico para os cidados da Unio
que no so nacionais desse Estado-Membro, com o objetivo de combater a
criminalidade136
134 Ibid., n. 52.

135 Ibid., n.s54, 58, 59, 66-68.
136 Ibid., n.s 78 e 81.
89
A utilizao de dados pessoais por autoridades que atuam na esfera pblica tambm
est sujeita ao artigo8. da CEDH.
Interesses legtimos prosseguidos pelo responsvel pelo tratamento

ou por um terceiro
A pessoa em causa no a nica com interesses legtimos. O artigo7., alnea f),
da Diretiva de Proteo de Dados estabelece que o tratamento de dados pessoais
lcito se for necessrio para prosseguir interesses legtimos do responsvel pelo
tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde
que no prevaleam os interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos [].
No acrdo que se segue, o TJUE pronunciouse expressamente sobre o artigo7.,
alnea f), da Diretiva.
Exemplo: No acrdo ASNEF e FECEMD,137 o TJUE esclareceu que o direito nacional no pode prever outras condies de licitude do tratamento de dados pessoais para alm das previstas no artigo 7., alnea f), da Diretiva. Naquele processo, estava em causa uma disposio da legislao espanhola sobre proteo
de dados nos termos da qual outros particulares s poderiam invocar um interesse legtimo no tratamento de dados pessoais se as informaes constassem
j de fontes acessveis ao pblico.
Em primeiro lugar, o Tribunal de Justia salientou que a Diretiva95/46 visa tornar equivalente em todos os Estados-Membros o nvel de proteo dos direitos
e liberdades das pessoas no que diz respeito ao tratamento de dados pessoais.
A aproximao das legislaes nacionais aplicveis nesta matria no deve
fazer diminuir a proteo que asseguram, devendo, pelo contrrio, ter por objetivo assegurar um elevado nvel de proteo na Unio.138 Consequentemente,
o TJUE concluiu que decorre do objetivo que consiste em assegurar um alto
nvel de proteo equivalente em todos os Estados-Membros que o artigo 7.
da Diretiva95/46 prev uma lista exaustiva e taxativa dos casos em que um
tratamento de dados pessoais pode ser considerado lcito. Alm disso, os
137 TJUE, acrdo de 24 de novembro de 2011 nos processos apensos C-468/10 e C-469/10, Asociacin
Marketing Directo (FECEMD) Administracin del Estado.
138 Ibid., n. 28. Ver Diretiva Proteo de Dados, considerandos8 e10.
90
Estados-Membros no podem acrescentar novos princpios relativos legitimao dos tratamentos de dados pessoais ao artigo 7. da Diretiva 95/46 nem
prever exigncias suplementares que venham alterar o alcance de um dos
seis princpios previstos nesse artigo.139O Tribunal de Justia admitiu que, [n]
o que se refere ponderao necessria por fora do artigo 7., alnea f), da
Diretiva95/46/CE, possvel tomar em considerao o facto de que a gravidade
da violao dos direitos fundamentais da pessoa em causa pelo referido tratamento pode variar em funo da questo de saber se os dados j constam, ou
no, de fontes acessveis ao pblico.
Contudo, o artigo 7., alnea f), desta diretiva opese a que um Estado-Membro
exclua de forma categrica e generalizada a possibilidade de algumas categorias de dados pessoais serem tratadas, sem permitir uma ponderao dos direitos e interesses opostos em causa num caso especfico.
luz destas consideraes, o Tribunal de Justia concluiu que o artigo 7., alnea f), da Diretiva95/46 deve ser interpretado no sentido de que se ope a
uma legislao nacional que, na inexistncia do consentimento da pessoa em
causa e para autorizar o tratamento dos seus dados pessoais necessrio para
prosseguir interesses legtimos do responsvel pelo tratamento ou do terceiro
ou terceiros a quem os dados sejam comunicados, exige, alm do respeito
dos direitos e liberdades fundamentais dessa pessoa, que os referidos dados
constem de fontes acessveis ao pblico, excluindo assim de forma categrica
e generalizada todo e qualquer tratamento de dados que no constem dessas
fontes.140
possvel encontrar formulaes semelhantes em recomendaes do CdE. A Recomendao sobre a definio de perfis considera legtimo o tratamento de dados
pessoais para fins de definio de perfis, se tal for necessrio para prosseguir interesses legtimos de terceiros, desde que no prevaleam os direitos e liberdades
fundamentais das pessoas em causa.141
139 TJUE, acrdo de 24 de novembro de 2011 nos processos apensos C-468/10 e C-469/10, Asociacin
Marketing Directo (FECEMD) Administracin del Estado, n.s 30 e 32.
140 Ibid., n.s 40, 44, 48 e 49.
141 Recomendao sobre a definio de perfis, artigo3.4, al. b).
91
4.1.2. Tratamento lcito de dados sensveis

O direito do CdE deixa a cargo do legislador nacional a definio das medidas de proteo adequadas para a utilizao de dados sensveis, enquanto o direito da UE, no
artigo8. da Diretiva de Proteo de Dados, estabelece um regime pormenorizado
para o tratamento de categorias de dados que revelem: a origem racial ou tnica,
as opinies polticas, as convices religiosas ou filosficas, a filiao sindical, bem
como dados relativos sade e vida sexual. O tratamento de dados sensveis ,
em princpio, proibido.142 No entanto, o artigo8., n.s 2 e 3, da Diretiva contm uma
lista taxativa de derrogaes a esta proibio. Entre estas derrogaes contamse
o consentimento explcito da pessoa em causa, os interesses vitais da pessoa em
causa, os interesses legtimos de terceiros e o interesse pblico.
Contrariamente ao que acontece no caso do tratamento de dados no sensveis,
uma relao contratual com a pessoa em causa no considerada uma base geral
para o tratamento legtimo de dados sensveis. Por conseguinte, se for necessrio
tratar dados sensveis no contexto de um contrato com a pessoa em causa, esta
dever dar o seu consentimento explcito para a utilizao destes dados, para alm
de manifestar a sua vontade em celebrar o prprio contrato. Porm, se a pessoa em
causa pedir explicitamente bens ou servios que revelem necessariamente dados
sensveis, esse pedido deve ser equiparado a um consentimento explcito.
Exemplo: Se um passageiro de uma companhia area, no contexto da reserva
de um voo, solicitar a disponibilizao de uma cadeira de rodas e comida kosher,
a companhia area est autorizada a utilizar estes dados ainda que o passageiro
no tenha assinado uma clusula adicional declarando que consente na utilizao de dados que revelam informaes sobre a sua sade e as suas convices
religiosas.
Consentimento explcito da pessoa em causa

O primeiro requisito de licitude do tratamento de quaisquer dados, sejam eles dados
sensveis ou no sensveis, o consentimento da pessoa em causa. No caso dos
dados sensveis, esse consentimento tem de ser explcito. O direito nacional pode,
contudo, estabelecer que o consentimento para a utilizao de dados sensveis
no constitui base legal suficiente para permitir o seu tratamento,143 por exemplo,
142 Diretiva Proteo de Dados, artigo 8., n. 1.
143 Ibid., artigo 8., n. 2, al. a).
92
quando, em casos excecionais, o tratamento envolve riscos extraordinrios para a

pessoa em causa.
Existe um caso especial em que at mesmo o consentimento implcito reconhecido como base legal para o tratamento de dados sensveis. O artigo8., n. 2, alnea e), da Diretiva estabelece que o tratamento no proibido se disser respeito
a dados manifestamente tornados pblicos pela pessoa em causa. Esta disposio
tem evidentemente subjacente o entendimento de que o ato de tornar pblicos os
seus dados deve ser interpretado como consentimento implcito para a utilizao
desses dados.
Interesses vitais da pessoa em causa

Tal como acontece no caso dos dados no sensveis, os dados sensveis podem ser
objeto de tratamento devido aos interesses vitais da pessoa em causa.144
Para que o tratamento de dados sensveis seja legtimo nestes casos, necessrio
que fosse impossvel submeter a questo deciso da pessoa em causa, porque,
por exemplo, esta estava inconsciente ou estava ausente e no tinha sido possvel
contactla.
Interesses legtimos de terceiros

Tal como acontece no caso dos dados no sensveis, os interesses legtimos de terceiros podero constituir a base para o tratamento de dados sensveis. Porm, no
que respeita aos dados sensveis, e conforme estabelecido no artigo 8., n. 2, da
Diretiva de Proteo de Dados, s assim ser nos seguintes casos:
quando o tratamento for necessrio para proteger interesses vitais de uma outra
pessoa145 se a pessoa em causa estiver fsica ou legalmente incapaz de dar o seu
consentimento;
quando os dados sensveis forem relevantes no domnio da legislao do trabalho, tais como dados sobre a sade no contexto de um local de trabalho
144 Ibid., artigo 8., n. 2, al. c).

145 Ibid.
93
especificamente perigoso, ou dados sobre as convices religiosas no contexto

de feriados;146
quando fundaes, associaes ou outros organismos sem fins lucrativos de
carter poltico, filosfico, religioso ou sindical tratam dados sobre os seus membros, patrocinadores ou outras partes interessadas (esses dados so sensveis
porque revelaro provavelmente as convices religiosas ou polticas das pessoas em questo);147
quando os dados sensveis forem utilizados no contexto de um processo judicial
ou administrativo para declarar, exercer ou defender um direito.148
Acresce que, de acordo com o artigo 8., n. 3, da Diretiva de Proteo de Dados,
sempre que forem utilizados dados sobre a sade para fins de diagnstico e tratamento mdico por um profissional da sade, a derrogao abrange a gesto
destes servios. A ttulo de garantia especial, estabelecido que apenas as pessoas sujeitas a obrigaes profissionais especficas de confidencialidade sero
consideradas profissionais da sade.
Interesse pblico
Segundo o artigo8., n. 4, da Diretiva de Proteo de Dados, os Estados-Membros
podem prever outros casos em que permitido o tratamento de dados sensveis,
desde que:
o tratamento dos dados seja realizado por motivos de interesse pblico
importante;
esteja previsto em disposies legislativas nacionais ou numa deciso da autoridade de controlo; e
as disposies legislativas nacionais ou a deciso da autoridade de controlo estabeleam as garantias necessrias para proteger eficazmente os interesses das
pessoas em causa.149
146 Ibid., artigo 8., n. 2, al. b).
147 Ibid., artigo 8., n. 2, al. d).
148 Ibid., artigo 8., n. 2, al. e).
149 Ibid., artigo 8., n. 4.
94
Um exemplo elucidativo so os sistemas eletrnicos de registos de sade, que esto

prestes a ser implementados em muitos Estados-Membros. Estes sistemas permitem que os dados de sade recolhidos pelos profissionais de sade durante o tratamento de um doente sejam disponibilizados a outros profissionais que prestam
cuidados de sade ao mesmo doente, geralmente a nvel nacional.
O Grupo de Trabalho do artigo29. concluiu que as regras atualmente em vigor para
o tratamento de dados sobre doentes no permitem a criao de tais sistemas, no
sendo possvel invocar, neste contexto, o artigo8., n. 3, da Diretiva de Proteo
de Dados. Partindo do princpio de que a existncia de tais sistemas eletrnicos de
registos de sade constitui um interesse pblico importante, poderia, contudo, ter
por base o artigo8., n. 4, da Diretiva, exigindo uma base legal explcita para a sua
criao que previsse tambm as garantias necessrias para assegurar o funcionamento do sistema em condies de segurana.150
4.2. Regras sobre a segurana do tratamento

Pontos-chave

As regras sobre a segurana do tratamento impem sobre o responsvel pelo tratamento e o subcontratante a obrigao de colocarem em prtica medidas tcnicas e
organizativas para evitar interferncias no autorizadas nas operaes de tratamento.
O nvel de segurana dos dados necessrio determinado:
pelas funcionalidades de segurana disponveis no mercado para um determinado

tipo de tratamento;
pelos custos; e
pela sensibilidade dos dados objeto de tratamento.
A segurana do tratamento de dados igualmente salvaguardada pelo dever geral

imposto sobre todas as pessoas, sejam elas responsveis pelo tratamento ou subcontratantes, de assegurar a confidencialidade dos dados.
Por conseguinte, tanto a legislao do CdE sobre proteo de dados como a legislao da UE sobre proteo de dados impem sobre os responsveis pelo tratamento
150 Grupo de Trabalho do artigo 29. (2007), Documento de trabalho sobre o tratamento de dados pessoais
ligados sade em registos de sade eletrnicos (RSE), WP131, Bruxelas, 15defevereirode2007.
95
e os subcontratantes a obrigao de tomarem medidas adequadas para garantir a

segurana dos dados.
4.2.1. Elementos da segurana dos dados

De acordo com as disposies relevantes do direito da UE:
Os Estados-Membros estabelecero que o responsvel pelo tratamento
deve pr em prtica medidas tcnicas e organizativas adequadas para
proteger os dados pessoais contra a destruio acidental ou ilcita, a perda
acidental, a alterao, a difuso ou acesso no autorizados, nomeadamente
quando o tratamento implicar a sua transmisso por rede, e contra qualquer
outra forma de tratamento ilcito.151
O direito do CdE contm uma disposio semelhante:
Para a proteo dos dados de carter pessoal registados em ficheiros
automatizados devem ser tomadas medidas de segurana apropriadas
contra a destruio, acidental ou no autorizada, e a perda acidental e
tambm contra o acesso, a modificao ou a difuso no autorizados.152
Em muitos casos, foram tambm definidas normas setoriais, nacionais e internacionais para o tratamento de dados. O Rtulo Europeu de Proteo da Privacidade
(EuroPriSe), por exemplo, um projeto eTEN (Redes Transeuropeias de Telecomunicaes) da UE que explorou a possibilidade de certificar certos produtos, especialmente software, que cumpram a legislao europeia sobre proteo de dados. A
Agncia Europeia para a Segurana das Redes e da Informao (ENISA) foi criada
com o objetivo de reforar a capacidade da UE, dos Estados-Membros da UE e da
comunidade empresarial para evitar, gerir e responder a problemas de segurana
das redes e da informao.153 A ENISA publica regularmente anlises sobre as atuais
ameaas segurana e conselhos sobre a resposta a dar s mesmas.
Para garantir a segurana dos dados, no basta dispor do equipamento certo (hard
ware e software), sendo igualmente necessrias regras organizacionais internas

152 Conveno 108, artigo 7..
153 Regulamento (CE) n. 460/2004 do Parlamento Europeu e do Conselho, de 10demarode2004, que
cria a Agncia Europeia para a Segurana das Redes e da Informao, JO2004L77.
96
adequadas. Essas regras internas deveriam, de preferncia, abranger as seguintes

questes:
fornecimento regular de informaes a todos os funcionrios sobre as regras
relativas segurana dos dados e as suas obrigaes nos termos da legislao
sobre proteo de dados, especialmente em matria de confidencialidade;
distribuio clara das responsabilidades e uma descrio clara das competncias em matria de tratamento de dados, especialmente no que diz respeito
s decises de tratamento de dados pessoais e de transferncia de dados para
terceiros;
utilizao de dados pessoais unicamente em conformidade com as instrues da
pessoa competente ou com regras gerais;
proteo contra o acesso a instalaes e a hardware e software do responsvel
pelo tratamento ou do subcontratante, incluindo controlos sobre a autorizao
de acesso;
certificao de que as autorizaes de acesso a dados pessoais foram concedidas pela pessoa competente e exigem documentao adequada;
protocolos automatizados sobre o acesso a dados pessoais por meios eletrnicos
e controlo regular desses protocolos pelo servio de controlo interno;
documentao exaustiva para outras formas de divulgao diferentes do acesso
automatizado a dados, a fim de demonstrar que no ocorreram quaisquer transmisses ilegais de dados.
A disponibilizao de uma formao e educao adequada sobre segurana dos
dados aos membros do pessoal tambm uma medida preventiva de segurana
importante e eficaz. igualmente necessrio instituir procedimentos de verificao,
a fim de assegurar que as medidas adequadas estabelecidas no papel foram implementadas e funcionam na prtica (por exemplo, auditorias internas ou externas).
Entre as medidas destinadas a melhorar o nvel de segurana de um responsvel pelo tratamento ou subcontratante contamse instrumentos como, por exemplo, os encarregados da proteo de dados pessoais, a educao dos funcionrios
97
em matria de segurana, auditorias regulares, testes de penetrao e selos de

qualidade.
Exemplo: No processo que deu origem ao acrdo I. c. Finlndia,154 a requerente
no conseguiu provar que outros funcionrios do hospital onde ela trabalhava
tinham tido ilegitimamente acesso aos seus registos de sade. Por este motivo,
os tribunais nacionais julgaram improcedente a ao por ela instaurada com
fundamento na violao do seu direito proteo de dados. O TEDH concluiu
que tinha havido uma violao do artigo8. da CEDH, dado que o sistema de
registo de processos clnicos do hospital no permitia obter retroativamente
esclarecimentos sobre a utilizao dos registos dos doentes, uma vez que revelava apenas as cinco consultas mais recentes e esta informao era eliminada
assim que o processo regressasse aos arquivos. Segundo o TEDH, era decisivo
o facto de o sistema de registo existente no hospital no cumprir claramente os
requisitos legais estabelecidos no direito nacional, um aspeto ao qual os tribunais nacionais no tinham atribudo a devida importncia.
Notificaes de violao de dados pessoais

Vrios pases europeus introduziram na sua legislao sobre proteo de dados um
novo instrumento para lidar com violaes da segurana dos dados: a obrigao de
os prestadores de servios de comunicaes eletrnicas notificarem violaes de
dados pessoais s provveis vtimas e s autoridades de controlo. Nos termos do
direito da UE, esta notificao obrigatria para os prestadores de servios de telecomunicaes.155 A notificao de violaes de dados pessoais s pessoas em causa
visa evitar a ocorrncia de danos: a notificao de violaes de dados pessoais e das
suas possveis consequncias minimiza o risco de efeitos negativos para as pessoas
em causa. Em casos de negligncia grosseira, tambm deve ser aplicada uma coima
aos prestadores de servios.
154 TEDH, acrdo I. c. Finlndia de 17 de julho de 2008, petio n.20511/03.

155 Ver Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12dejulhode2002, relativa ao
tratamento de dados pessoais e proteo da privacidade no setor das comunicaes eletrnicas
(Diretiva relativa privacidade e s comunicaes eletrnicas), JO2002L201, art. 4., n. 3, com
a redao que lhe foi dada pela Diretiva2009/136/CE do Parlamento Europeu e do Conselho, de
25denovembrode2009, que altera a Diretiva2002/22/CE relativa ao servio universal e aos direitos
dos utilizadores em matria de redes e servios de comunicaes eletrnicas, a Diretiva2002/58/CE
relativa ao tratamento de dados pessoais e proteo da privacidade no setor das comunicaes
eletrnicas e o Regulamento (CE) n.2006/2004 relativo cooperao entre as autoridades nacionais
responsveis pela aplicao da legislao de defesa do consumidor, JO2009L337.
98
Ser necessrio implementar antecipadamente procedimentos internos para uma

gesto e comunicao eficaz de violaes de dados pessoais, uma vez que o prazo
para cumprimento da obrigao de comunicao s pessoas em causa e/ou autoridade de controlo previsto no direito nacional geralmente muito curto.
4.2.2. Confidencialidade
No mbito do direito da UE, a segurana do tratamento de dados igualmente salvaguardada pelo dever geral imposto sobre todas as pessoas, sejam elas responsveis pelo tratamento ou subcontratantes, de assegurar a confidencialidade dos
dados.
Exemplo: Uma funcionria de uma companhia de seguros recebe um telefonema no local de trabalho de algum que afirma ser um cliente, solicitando
informaes sobre o seu contrato de seguro.
O dever de manter a confidencialidade dos dados dos clientes exige que a funcionria tome, pelo menos, medidas mnimas de segurana antes de divulgar
dados pessoais. Neste sentido, poderia, por exemplo, oferecerse para telefonar,
ela prpria, para o nmero constante do processo do cliente.
O artigo 16. da Diretiva de Proteo de Dados relativo confidencialidade s aplicvel no contexto da relao entre o responsvel pelo tratamento e o subcontratante. O facto de os responsveis pelo tratamento estarem ou no sujeitos a um
dever de confidencialidade, no sentido de que no podem divulgar os dados a terceiros, tratado nos artigos7. e 8. da Diretiva.
O dever de confidencialidade no abrange as situaes em que uma pessoa toma
conhecimento dos dados na qualidade de particular e no de funcionrio do responsvel pelo tratamento ou do subcontratante. Neste caso, o artigo 16. da Diretiva de
Proteo de Dados no aplicvel porque, com efeito, a utilizao de dados pessoais
por particulares est completamente fora do mbito de aplicao da Diretiva quando
tal utilizao estiver abrangida pela chamada exceo domstica.156 Esta exceo consiste na utilizao de dados pessoais por uma pessoa singular no exerccio
de atividades exclusivamente pessoais ou domsticas.157 Porm, desde o acrdo
156 Diretiva Proteo de Dados, artigo 3., n. 2, segundo travesso.

157 Ibid.
99
Bodil Lindqvist do TJUE,158 esta exceo tem de ser objeto de uma interpretao restritiva, especialmente em relao divulgao de dados. Em especial, a exceo
domstica no ser aplicvel divulgao de dados pessoais a um nmero ilimitado
de destinatrios na Internet (para informaes mais detalhadas sobre este processo,
ver seces2.1.2, 2.2, 2.3.1 e6.1).
No mbito do direito do CdE, a obrigao de confidencialidade est implcita no conceito de segurana dos dados no artigo7. da Conven108, que trata da segurana
dos dados.
Relativamente aos subcontratantes, a confidencialidade significa que estes s podero utilizar os dados pessoais que lhes foram confiados pelo responsvel pelo tratamento em conformidade com as instrues dadas por este. No que respeita aos funcionrios do responsvel pelo tratamento ou do subcontratante, a confidencialidade
exige que estes utilizem os dados pessoais unicamente de acordo com as instrues
dos respetivos superiores hierrquicos.
A obrigao de confidencialidade tem de ser includa em qualquer contrato celebrado entre os responsveis pelo tratamento e os seus subcontratantes. Alm disso,
os responsveis pelo tratamento e os subcontratantes tero de tomar medidas
especficas para impor sobre os seus funcionrios um dever de confidencialidade,
normalmente atravs da incluso de clusulas de confidencialidade no contrato de
trabalho do funcionrio.
Em muitos Estados-Membros da UE e Partes na Conveno108, a violao de deveres profissionais de confidencialidade punvel nos termos da lei penal.
4.3. Regras sobre a transparncia

dotratamento
Pontos-chave

Antes de dar incio ao tratamento de dados pessoais, o responsvel pelo tratamento

deve, no mnimo, informar as pessoas em causa da sua prpria identidade e da finalidade do tratamento, salvo se a pessoa em causa j possuir essas informaes.
158 TJUE, acrdo de 6 de novembro de 2003 no processo C-101/01, Bodil Lindqvist.
100
Sempre que os dados forem recolhidos junto de terceiros, a obrigao de fornecer

informaes no existe se:

o tratamento dos dados estiver previsto na lei; ou
o fornecimento das informaes se revelar impossvel ou implicar um esforo

desproporcionado.
Antes de dar incio ao tratamento de dados pessoais, o responsvel pelo tratamento

deve ainda:

notificar a autoridade de controlo das operaes de tratamento planeadas; ou
providenciar a documentao a nvel interno das operaes de tratamento por

um encarregado da proteo de dados pessoais independente, caso a legislao
nacional preveja este tipo de procedimento.
O princpio do tratamento leal exige a transparncia do tratamento. Para este efeito,

o direito do CdE estabelece que qualquer pessoa poder tomar conhecimento da
existncia de ficheiros automatizados de dados, da sua finalidade e do responsvel
pelo ficheiro.159 Os meios de concretizao desta disposio so deixados ao critrio
do legislador nacional. O direito da UE mais especfico, assegurando a transparncia perante a pessoa em causa atravs da obrigao de informao a que est
sujeito o responsvel pelo tratamento e perante o pblico em geral atravs da
notificao.
Ambos os sistemas jurdicos permitem o estabelecimento de derrogaes e restries s obrigaes do responsvel pelo tratamento no direito nacional sempre que
essas restries constituam uma medida necessria proteo de certos interesses
pblicos ou proteo da pessoa em causa ou dos direitos e liberdades de outrem,
desde que sejam necessrias numa sociedade democrtica.160 Estas derrogaes
podero, por exemplo, ser necessrias no contexto de uma investigao criminal,
mas tambm se podero justificar noutras circunstncias.
4.3.1. Informao
Nos termos do direito do CdE e do direito da UE, os responsveis pelas operaes
de tratamento so obrigados a informar previamente a pessoa em causa do tratamento planeado.161 Esta obrigao no depende de um pedido da pessoa em
159 Conveno 108, artigo 8., alnea a).
160 Ibid., artigo 9., n. 2; e Diretiva Proteo de Dados, artigo 13., n. 1.
161 Conveno 108, artigo 8., al. a); Diretiva Proteo de Dados, artigos 10. e 11..
101
causa, devendo o responsvel pelo tratamento tomar a iniciativa de fornecer as

informaes, independentemente de a pessoa em causa ter ou no mostrado interesse nas mesmas.
Contedo da informao
As informaes tm de incluir a finalidade do tratamento, bem como a identidade e
o contacto do responsvel pelo tratamento.162 A Diretiva de Proteo de Dados exige
o fornecimento de informaes adicionais desde que sejam necessrias, tendo em
conta as circunstncias especficas da recolha dos dados, para garantir pessoa em
causa um tratamento leal dos mesmos. Os artigos 10. e 11. da Diretiva descrevem, entre outros aspetos, as categorias de dados tratados e os destinatrios desses dados, bem como a existncia do direito de acesso aos dados e de retificao
dos mesmos. Sempre que forem recolhidos dados junto das pessoas em causa, as
informaes devem esclarecer se a resposta s perguntas tem carter obrigatrio ou
facultativo, bem como as possveis consequncias de no responder.163
Do ponto de vista do direito do CdE, o fornecimento destas informaes poder ser
considerado uma boa prtica ao abrigo do princpio do tratamento leal dos dados e,
nesse sentido, tambm faz parte do direito do CdE.
O princpio do tratamento leal exige que as informaes sejam facilmente compreensveis pelas pessoas em causa. Tem de ser utilizada uma linguagem adequada
aos destinatrios. O nvel e o tipo de linguagem utilizados teriam de variar em funo da audincia prevista (por exemplo, adultos ou crianas, pblico em geral ou
acadmicos especializados).
Algumas pessoas em causa desejaro receber apenas informaes resumidas sobre
o modo e a finalidade do tratamento dos seus dados, enquanto outras exigiro uma
explicao detalhada. A conciliao deste aspeto da informao leal analisada num
parecer do Grupo de Trabalho do artigo29. que promove a ideia dos chamados
avisos com vrios nveis,164 dando pessoa em causa a possibilidade de decidir que
grau de pormenor prefere.
162 Conveno 108, artigo 8., al. a); Diretiva Proteo de Dados, artigo 10., al. a) e b).
163 Diretiva Proteo de Dados, artigo 10., al. c).
164 Grupo de Trabalho do artigo 29. (2004), Parecer 10/2004 sobre a prestao mais harmonizada da
informao, WP100, Bruxelas, 25denovembrode2004.
102
Momento do fornecimento das informaes

A Diretiva de Proteo de Dados contm disposies ligeiramente diferentes sobre o
momento em que as informaes tm de ser fornecidas, consoante os dados sejam
recolhidos junto da pessoa em causa (artigo10.) ou de um terceiro (artigo 11.).
Quando os dados so recolhidos junto da pessoa em causa, as informaes tm de
ser fornecidas, o mais tardar, no momento da recolha. Quando os dados so recolhidos junto de terceiros, as informaes tm de ser fornecidas, o mais tardar, ou no
momento em que o responsvel pelo tratamento regista os dados ou antes de os
dados serem divulgados a um terceiro pela primeira vez.
Derrogaes obrigao de informar

O direito da UE prev uma derrogao geral obrigao de informar as pessoas em
causa quando estas j tenham conhecimento dessas informaes.165 Esta derrogao aplicvel em situaes em que a pessoa em causa j ter, de acordo com as
circunstncias do caso concreto, conhecimento de que os seus dados sero tratados
para um determinado fim por um determinado responsvel pelo tratamento.
O artigo 11. da Diretiva, que diz respeito obrigao de informar a pessoa em causa
quando os dados no tenham sido recolhidos junto desta, estabelece ainda que essa
obrigao no existir, especialmente no caso do tratamento com finalidades estatsticas, histricas ou de investigao cientfica, se:
o fornecimento dessas informaes se revelar impossvel;
implicar esforos desproporcionados; ou
o registo ou a divulgao dos dados estiver expressamente previsto na lei.166
Apenas o artigo 11., n. 2, da Diretiva de Proteo de Dados estabelece que no
necessrio informar as pessoas em causa das operaes de tratamento se estas
estiverem previstas na lei. Tendo em conta a presuno geral de que todos os cidados conhecem a lei, poderseia afirmar que, sempre que os dados forem recolhidos
junto da pessoa em causa nos termos do artigo10. da Diretiva, esta tem conhecimento das informaes. Porm, uma vez que o conhecimento da lei apenas uma
165 Diretiva Proteo de Dados, artigo10. e 11., n. 1.
166 Ibid., considerando40 e artigo 11., n. 2.
103
presuno, o princpio do tratamento leal exigiria, nos termos do artigo10., que a

pessoa em causa fosse informada, ainda que o tratamento de dados esteja previsto
na lei, sobretudo porque a informao da pessoa em causa no uma tarefa particularmente difcil quando os dados so recolhidos diretamente junto desta.
Relativamente ao direito do CdE, a Conveno108 prev expressamente derrogaes ao seu artigo8.. Mais uma vez, as derrogaes estabelecidas nos artigos 10.
e 11. da Diretiva de Proteo de Dados podero ser encarados como exemplos de
boas prticas para as derrogaes estabelecidas no artigo 9. da Conveno108.
Diferentes formas de fornecer informaes

De preferncia, as informaes deveriam ser comunicadas, verbalmente ou por
escrito, a cada pessoa em causa. Se os dados forem recolhidos junto da pessoa em
causa, as informaes devem ser fornecidas no momento da recolha. Contudo, nos
casos em que os dados sejam recolhidos junto de terceiros, tendo em conta as dificuldades prticas que evidentemente se colocam ao contacto direto com as pessoas
em causa, as informaes tambm podem ser fornecidas atravs da sua publicao
por meios adequados.
Uma das formas mais eficientes de fornecer informaes ser a incluso de avisos
adequados na pgina inicial do responsvel pelo tratamento (por exemplo, a poltica
de privacidade de um stio Web). No entanto, uma parte considervel da populao
no utiliza a Internet e este facto deve ser tomado em considerao na poltica de
informao de uma empresa ou de uma autoridade pblica.
4.3.2. Notificao
O legislador nacional pode impor sobre os responsveis pelo tratamento a obrigao
de notificar as autoridades de controlo competentes das suas operaes de tratamento para que estas possam ser publicadas. Em alternativa, o legislador nacional
pode estabelecer que os responsveis pelo tratamento podero nomear um encarregado da proteo dos dados pessoais, que ser responsvel, em especial, por
manter um registo das operaes de tratamento efetuadas pelo responsvel pelo
tratamento.167 Este registo interno tem de ser colocado disposio dos membros
do pblico que o solicitem.
167 Ibid., artigo 18., n. 2, segundo travesso.
104
Exemplo: As notificaes efetuadas por um encarregado interno da proteo

dos dados pessoais, bem como a documentao por ele elaborada, tm de descrever as principais caractersticas do tratamento de dados em questo. Esta
descrio incluir informaes sobre o responsvel pelo tratamento, a finalidade do tratamento, a base legal do tratamento, as categorias de dados tratados, os provveis terceiros destinatrios, se esto ou no previstos fluxos transfronteirios de dados e, em caso afirmativo, que dados seriam abrangidos.
A publicao das notificaes pela autoridade de controlo tem de assumir a forma
de um registo especial. Para cumprir o seu objetivo, o acesso a este registo tem de
ser fcil e gratuito. O mesmo aplicvel documentao mantida pelo encarregado
da proteo dos dados pessoais do responsvel pelo tratamento.
O legislador nacional poder estabelecer isenes obrigao de notificar a autoridade de controlo competente ou de nomear um encarregado interno de proteo
dos dados pessoais relativamente a operaes de tratamento que no sejam suscetveis de representar um risco especfico para as pessoas em causa, conforme estipulado no artigo 18., n. 2, da Diretiva de Proteo de Dados.168
4.4. Regras sobre a promoo

documprimento
Pontos-chave

Desenvolvendo o princpio da responsabilidade, a Diretiva de Proteo de Dados menciona vrios instrumentos de promoo do cumprimento:

controlo prvio das operaes de tratamento planeadas por parte da autoridade

de controlo nacional;
encarregados da proteo dos dados pessoais que prestaro ao responsvel pelo

tratamento um apoio especializado na rea da proteo de dados;
cdigos de conduta que especificam as regras sobre proteo de dados aplicveis

num segmento da sociedade, especialmente no mundo empresarial.
No mbito do direito do CdE, so propostos instrumentos semelhantes de promoo

do cumprimento na Recomendao sobre a definio de perfis.
168 Ibid., artigo 18., n. 2, primeiro travesso.
105
4.4.1. Controlo prvio

Nos termos do artigo 20. da Diretiva de Proteo de Dados, a autoridade de controlo deve verificar se existem operaes de tratamento que possam representar
riscos especficos para os direitos e liberdades das pessoas em causa quer devido
finalidade do tratamento quer s circunstncias em que tem lugar antes do incio
do tratamento. O legislador nacional tem de determinar as operaes de tratamento
sujeitas a controlo prvio. Este controlo poder resultar na proibio das operaes
de tratamento ou numa ordem de alterao de determinadas caractersticas das
operaes propostas. O artigo20. da Diretiva pretende evitar que operaes de
tratamento que representem riscos desnecessrios tenham sequer incio, dado que
a autoridade de controlo tem competncia para proibir estas operaes. Para que
este mecanismo seja eficaz, indispensvel que a autoridade de controlo seja efetivamente notificada. A fim de assegurar que os responsveis pelo tratamento cumprem a sua obrigao de notificao, ser necessrio atribuir poderes coercivos s
autoridades de controlo, nomeadamente o poder de aplicar coimas aos responsveis
pelo tratamento.
Exemplo: Se uma empresa efetuar operaes de tratamento que, nos termos
da legislao nacional, estejam sujeitas a controlo prvio, esta empresa ter
de apresentar documentao sobre as operaes de tratamento planeadas
autoridade de controlo. A empresa no poder dar incio s operaes de tratamento antes de receber uma resposta positiva da autoridade de controlo.
Em alguns Estados-Membros, a legislao nacional estabelece que possvel
dar incio s operaes de tratamento se a autoridade de controlo no se pronunciar dentro de um certo prazo, por exemplo, trsmeses.
4.4.2. Encarregados da proteo dos dados pessoais

A Diretiva de Proteo de Dados prev a possibilidade de o legislador nacional estabelecer que os responsveis pelo tratamento podem nomear uma pessoa para
exercer as funes de encarregado da proteo dos dados pessoais.169 Este encarregado ser responsvel por assegurar que os direitos e liberdades das pessoas em
causa no so suscetveis de serem prejudicados pelas operaes de tratamento.170
169 Ibid., artigo 18., n. 2, segundo travesso.

170 Ibid.
106
Exemplo: Nos termos do artigo 4f, n. 1, da Lei Federal da Proteo de Dados

alem (Bundesdatenschutzgesetz), as empresas privadas que tenham 10 ou
mais funcionrios afetos, a ttulo permanente, ao tratamento automatizado de
dados pessoais so obrigadas a nomear um encarregado interno da proteo
dos dados pessoais.
A fim de concretizar este objetivo, fundamental que o titular deste cargo disponha
de um certo grau de independncia no seio da organizao do responsvel pelo tratamento, tal como expressamente referido na Diretiva. Seria igualmente necessrio
estabelecer, no contexto dos direitos no trabalho, mecanismos de proteo contra
vicissitudes como o despedimento sem justa causa, a fim de apoiar o exerccio eficaz deste cargo.
Com vista a promover o cumprimento da legislao nacional sobre proteo de
dados, algumas recomendaes do CdE tambm adotaram o conceito de encarregado interno da proteo dos dados pessoais.171
4.4.3. Cdigos de conduta

A fim de promoverem o cumprimento, o setor empresarial e outros setores podem
formular regras detalhadas para regular as suas atividades normais de tratamento
de dados. Graas aos seus conhecimentos especializados, os membros do setor
estaro em melhor posio para encontrar solues prticas e que, consequentemente, tero maior probabilidade de serem adotadas. Nesta conformidade, os Estados-Membros assim como a Comisso Europeia so incentivados a promover a
elaborao de cdigos de conduta destinados a contribuir, em funo das caractersticas dos diferentes setores, para a boa execuo das disposies nacionais tomadas
pelos Estados-Membros nos termos da Diretiva.172
A fim de assegurar a conformidade destes cdigos de conduta com as disposies
nacionais adotadas nos termos da Diretiva de Proteo de Dados, os Estados-Membros tm de estabelecer um procedimento para a apreciao dos cdigos. Este procedimento exigiria normalmente a participao da autoridade nacional, de associaes profissionais e de outras organizaes representativas de outras categorias de
responsveis pelo tratamento.173
171 Ver, por exemplo, Recomendao sobre a definio de perfis, artigo8.3.
172 Ver a Diretiva Proteo de Dados, artigo 27., n. 1.
173 Ibid., artigo 27., n. 2.
107
Os projetos de cdigos comunitrios, assim como as alteraes ou prorrogaes de

cdigos comunitrios existentes, podem ser submetidos apreciao do Grupo de
Trabalho do artigo 29.. Aps aprovao por este Grupo de Trabalho, a Comisso
Europeia pode garantir uma publicidade adequada desses cdigos.174
Exemplo: A Federao Europeia de Marketing Direto e Interativo (FEDMA) elaborou um Cdigo de Conduta Europeu relativo ao uso de dados pessoais em
operaes de marketing direto, que foi aprovado pelo Grupo de Trabalho do
artigo29.. Em 2010, foi aditado ao cdigo um anexo relativo s comunicaes
de marketing eletrnicas.175
174 Ibid., artigo 27., n. 3.

175 Grupo de Trabalho do artigo 29. (2010), Parecer4/2010 sobre o cdigo de conduta europeu relativo ao
uso de dados pessoais em operaes de marketing direto, WP174, Bruxelas, 13dejulhode2010.
108
5.

Os direitos das pessoas
em causa e a tutela
doseuexerccio
UE
Direito de acesso
TJUE, acrdo de 7 de maio de 2009
no processo C-553/07, College van
burgemeester en wethouders van
Rotterdam/M.E.E. Rijkeboer
Questes
abrangidas
CdE
Direito de acesso Conveno 108, artigo 8.,

aos prprios dados al. b)
Direito de
retificao,
apagamento
(eliminao) ou
bloqueio

al. c)
TEDH, acrdo Cemalettin
Canli c. Turquia de 18 de
n.22427/04
TEDH, acrdo SegerstedtWiberg e outros c. Sucia de
6 de junho de 2006, petio
n.62332/00
TEDH, acrdo Ciubotaru c.
Moldvia de 27 de abril de
2010, petio n. 27138/04
Direito de oposio
n. 1, al. a)
Direito de oposio Recomendao sobre a

devido situao definio de perfis, artigo
particular da
5.3
pessoa em causa
109
UE
n. 1, al. b)
Controlo independente
Carta, artigo 8., n. 3
Regulamento Proteo de Dados
(Instituies da UE),captulo V
Questes
abrangidas
CdE
Direito de oposio
utilizao
posterior dos
dados para fins de
marketing
Direito de oposio
a decises
automatizadas
Recomendao sobre
marketing direto, artigo 4.1
Autoridades
nacionais de
controlo

Adicional, artigo 1.
Pedido ao
responsvel pelo
tratamento
Pedidos deduzidos
perante a
autoridade de
controlo

al. b)
Recomendao sobre a
5.5

TJUE, acrdo de 9 de maro de 2010 no
processo C-518/07, Comisso Europeia/
Repblica Federal da Alemanha
TJUE, acrdo de 16 de outubro de 2012
no processo C-614/10, Comisso Europeia/
Repblica da ustria
TJUE, acrdo de 8 de abril de 2014 no
processo C-288/12, Comisso Europeia/
Hungria
Recursos e sanes

n. 4
(Instituies da UE), artigo 32., n. 2
Carta, artigo 47.
n. 3
TFUE, artigo 263., n. 4

Adicional, artigo 1., n. 2,
al. b)
Tribunais (em
CEDH, artigo 13.
geral)
Tribunais nacionais Conveno 108, Protocolo
TJUE

(Instituies da UE), artigo 32., n. 1
TFUE, artigo 267.
TEDH
110
CEDH, artigo 34.
Os direitos das pessoas em causa e a tutela doseuexerccio
UE
Recursos e sanes
Carta, artigo 47.
e 23.
TJUE, acrdo de 10 de abril de 1984
no processo C-14/83, Sabine von
Colson e Elisabeth Kamann/Land
Nordrhein-Westfalen
TJUE, acrdo de 26 de fevereiro de 1986
no processo C-152/84, M.H. Marshall
Southampton and South-West Hampshire
Area Health Authority
(Instituies da UE), artigos 34. e 49.
TJUE, acrdo de 29 de junho de 2010 no
processo C28/08P, Comisso Europeia/The
Bavarian Lager Co. Ltd
Questes
abrangidas
Por infraes
legislao nacional
sobre proteo de
dados
CdE
CEDH, artigo 13. (apenas

para Estados membros do
CdE)
TEDH, acrdo K.U. c.
Finlndia de 2 de maro de
2008, petio n.2872/02
TEDH, acrdo Biriuk
c. Litunia de 25 de
n.23373/03
Por violaes da
legislao da UE
por instituies e
rgos da UE
A eficcia das regras jurdicas, em geral, e dos direitos das pessoas em causa, em
especial, depende, em grande parte, da existncia de mecanismos adequados de
fiscalizao do seu cumprimento e de tutela do seu exerccio, respetivamente. Nos
termos da legislao europeia sobre proteo dos dados, o direito nacional tem de
atribuir pessoa em causa os poderes necessrios para proteger os seus dados. O
direito nacional deve igualmente criar autoridades de controlo independentes para
ajudar as pessoas em causa a exercerem os seus direitos e para controlar o tratamento de dados pessoais. Alm disso, o direito a uma tutela jurisdicional efetiva, tal
como garantido pela CEDH e pela Carta, exige que todas as pessoas tenham acesso
aos tribunais.
5.1. Os direitos dos titulares dos dados

Pontos-chave

Qualquer pessoa ter o direito, nos termos da legislao nacional, de pedir a qualquer
responsvel pelo tratamento informaes sobre se este est a tratar dados que lhe
digam respeito.
Os titulares dos dados tero o direito, nos termos da legislao nacional, de obterem
junto do responsvel pelo tratamento dos seus dados:
111
acesso aos seus prprios dados;
a retificao (ou bloqueio, consoante os casos) dos seus dados, caso estes estejam
incorretos;
o apagamento ou o bloqueio dos seus dados, consoante os casos, se o tratamento

dos dados for ilcito.
As pessoas em causa tero ainda o direito de manifestar ao responsvel pelo tratamento a sua oposio:

a decises automatizadas (tomadas com base em dados pessoais tratados exclusivamente por meios automatizados);
ao tratamento dos seus dados se essa atividade produzir resultados

desproporcionados;
utilizao dos seus dados para fins de marketing direto.
5.1.1. Direito de acesso

No direito da UE, o artigo 12. da Diretiva de Proteo de Dados contm os elementos do direito de acesso das pessoas em causa, incluindo o direito de obter do responsvel pelo tratamento confirmao de terem ou no sido tratados dados que
lhes digam respeito, e informaes pelo menos sobre os fins a que se destina esse
tratamento, as categorias de dados sobre que incide e os destinatrios ou categorias
de destinatrios a quem so comunicados os dados, bem como a retificao, o
apagamento ou o bloqueio dos dados cujo tratamento no cumpra o disposto na
presente diretiva, nomeadamente devido ao carter incompleto ou inexato desses
dados.
No direito do CdE, estes direitos tambm existem e tm de estar previstos no direito
nacional (artigo 8. da Conveno 108). Em vrias recomendaes do CdE, utilizado o termo acesso e os diferentes aspetos do direito de acesso so descritos e a
sua implementao no direito interno proposta nos moldes referidos no pargrafo
anterior.
Nos termos do artigo 9. da Conveno 108 e do artigo 13. da Diretiva de Proteo
de Dados, a obrigao dos responsveis pelo tratamento de responder a um pedido
de acesso das pessoas em causa poder ser objeto de restries devido a interesses jurdicos superiores de outrem. Estes interesses jurdicos superiores podero
envolver interesses pblicos, tais como a segurana nacional, a segurana pblica
e a represso de infraes penais, bem como interesses privados que prevaleam
112
sobre os interesses de proteo dos dados. As derrogaes e restries tm de ser

necessrias numa sociedade democrtica e proporcionais ao objetivo prosseguido.
Em casos muito excecionais, por exemplo por indicao mdica, a prpria proteo
da pessoa em causa poder exigir a restrio da transparncia, especialmente no
que respeita restrio do direito de acesso de todas as pessoas em causa.
Sempre que os dados sejam tratados exclusivamente para fins de investigao cientfica ou para fins estatsticos, a Diretiva de Proteo de Dados permite que o legislador nacional restrinja os direitos de acesso; porm, tero de ser implementadas
garantias jurdicas adequadas. Em especial, necessrio assegurar que no sero
tomadas quaisquer medidas ou decises em relao a pessoas determinadas no
contexto desse tratamento de dados e que manifestamente no exista qualquer
perigo de violao do direito vida privada da pessoa em causa.176 O artigo9., n.
3, da Conveno 108 contm disposies semelhantes.
O direito de acesso aos prprios dados

No direito do CdE, o direito de acesso aos prprios dados expressamente reconhecido pelo artigo 8. da Conveno 108. O TEDH tem afirmado repetidamente
que todas as pessoas tm o direito de acesso a informaes sobre os seus prprios dados pessoais detidos ou utilizados por terceiros e que este direito resulta da
necessidade de respeitar a vida privada.177 No acrdo Leander,178 o TEDH concluiu
que o direito de acesso a dados pessoais armazenados por autoridades pblicas
poderia, no entanto, ser objeto de restries em certas situaes.
No direito da UE, o direito de acesso aos prprios dados expressamente reconhecido pelo artigo12. da Diretiva de Proteo de Dados e, como direito fundamental,
no artigo8., n. 2, da Carta.
O artigo 12., alnea a), da Diretiva estabelece que os Estados-Membros devero
garantir a todas as pessoas em causa o direito de acesso aos seus dados pessoais
e a informaes. Em especial, todas as pessoas em causa tm o direito de obter do
176 Diretiva Proteo de Dados, artigo13., n. 2.

177 TEDH, acrdo Gaskin c. Reino Unido de 7 de julho de 1989, petio n.10454/83; TEDH, acrdo
Odivre c. Frana [GS] de 13defevereirode2003, petio n.42326/98; TEDH, acrdo K.H. e
outros c. Eslovquia de 28deabrilde2009, petio n.32881/04; TEDH, acrdo Godelli c. Itlia de
25desetembrode2012, petio n.33783/09.
178 TEDH, acrdo Leander c. Sucia de 11 de julho de 1985, petio n.9248/81.
113
responsvel pelo tratamento a confirmao de terem ou no sido tratados dados

que lhes digam respeito e informaes que abranjam, pelo menos, o seguinte:
os fins a que se destina o tratamento;
as categorias de dados sobre que incide;
os dados sujeitos a tratamento;
os destinatrios ou as categorias de destinatrios a quem so comunicados os
dados;
quaisquer informaes disponveis sobre a origem dos dados sujeitos a
tratamento;
no caso de decises automatizadas, a lgica subjacente ao tratamento automatizado dos dados.
O legislador nacional pode alargar o leque de informaes a prestar pelo responsvel pelo tratamento, nele incluindo, por exemplo, a indicao da base legal para o
tratamento de dados.
Exemplo: O acesso da pessoa em causa aos seus prprios dados pessoais
permitelhe determinar se esses dados so ou no exatos. Por conseguinte,
indispensvel que a pessoa em causa seja informada sobre as categorias de
dados objeto de tratamento, bem como sobre o contedo desses dados. Assim
sendo, no basta que o responsvel pelo tratamento informe a pessoa em
causa de que o tratamento incide sobre o seu nome, morada, data de nascimento e esfera de interesse. O responsvel pelo tratamento tem igualmente de
informar a pessoa em causa de que est a tratar o nome: N.N.; uma morada:
1040Viena, Schwarzenbergplatz11, ustria; a data de nascimento: 10.10.1974;
e a esfera de interesse (de acordo com a declarao da pessoa em causa):
msica clssica. O ltimo elemento contm tambm informaes sobre a origem dos dados.
A comunicao dos dados sujeitos a tratamento e de quaisquer informaes disponveis sobre a origem dos dados pessoa em causa tem de ser efetuada de forma
inteligvel, o que significa que o responsvel pelo tratamento poder ter de dar uma
explicao mais pormenorizada sobre o que o tratamento. Por exemplo, a mera
114
indicao de abreviaturas tcnicas ou de termos mdicos em resposta a um pedido

de acesso no ser, em princpio, suficiente, ainda que s estejam armazenadas
essas abreviaturas ou esses termos.
Na resposta a um pedido de acesso, o responsvel pelo tratamento tem de fornecer informaes sobre a origem dos dados por ele tratados, na medida em que
tais informaes estejam disponveis. Esta obrigao tem de ser entendida luz
dos princpios do tratamento leal e da responsabilidade. O responsvel pelo tratamento no pode destruir informaes sobre a origem dos dados para se eximir
sua comunicao, nem pode ignorar as normas aplicveis e as necessidades reconhecidas na sua rea de atividade em matria de documentao. Se o responsvel
pelo tratamento no conservar nenhuma documentao sobre a origem dos dados
tratados, no estar, em princpio, a cumprir as suas obrigaes ao abrigo do direito
de acesso.
Sempre que sejam realizadas avaliaes automatizadas, ser necessrio explicar
a lgica geral da avaliao, incluindo os critrios especficos que foram aplicados
avaliao da pessoa em causa.
A Diretiva no esclarece se o direito de acesso s informaes abrange o passado
e, em caso afirmativo, que perodo no passado. A este propsito, tal como sublinhado na jurisprudncia do TJUE, o direito de acesso aos prprios dados no pode
ser injustificadamente restringido mediante a fixao de prazos para o seu exerccio.
As pessoas em causa tambm devem ter uma oportunidade razovel de obter informaes sobre operaes de tratamento de dados realizadas anteriormente.
Exemplo: No processo que deu origem ao acrdo Rijkeboer,179 foi perguntado
ao TJUE se a restrio do direito de acesso a informaes sobre os destinatrios
ou categorias de destinatrios de dados pessoais e sobre o contedo dos dados
comunicados ao ano anterior data do pedido de acesso era compatvel com o
artigo12., alnea a), da Diretiva.
Com vista a determinar se o artigo 12., alnea a), da Diretiva permite a imposio de tal restrio no tempo, o Tribunal de Justia decidiu interpretar o artigo
luz dos objetivos da Diretiva. Em primeiro lugar, afirmou que o direito de
acesso era necessrio para que a pessoa em causa pudesse exercer o direito
179 TJUE, acrdo de 7 de maio de 2009 no processo C-553/07, College van burgemeester en wethouders
van Rotterdam/M.E.E. Rijkeboer.
115
a obter do responsvel pelo tratamento a retificao, apagamento ou bloqueio

dos seus dados (artigo12., alnea b)), ou a notificao aos terceiros a quem
os dados tivesses sido comunicados dessa retificao, apagamento ou bloqueio
(artigo12., alnea c)). O direito de acesso tambm era necessrio para que a
pessoa em causa pudesse exercer o seu direito de oposio ao tratamento dos
seus dados pessoais (artigo14.), ou o direito de recurso quando sofresse um
prejuzo (artigos22. e 23.).
A fim de garantir o efeito til das disposies supramencionadas, o Tribunal de
Justia considerou que esse direito deve necessariamente abranger o passado.
Com efeito, se assim no fosse, a pessoa interessada no estaria em condies
de eficazmente exercer o seu direito de obter a retificao, supresso ou bloqueio dos dados que se presume serem ilcitos ou incorretos ou de intentar uma
ao em justia e de ser ressarcida pelo prejuzo sofrido.
O direito de retificao, apagamento e bloqueio dos dados

Todas as pessoas devem poder beneficiar do direito de acesso aos dados que lhes
dizem respeito e que esto em fase de tratamento, a fim de assegurarem, nomeadamente, a sua exatido e a licitude do tratamento.180 Em conformidade com estes
princpios, as pessoas em causa devem ter o direito, nos termos da legislao nacional, de obterem do responsvel pelo tratamento a retificao, o apagamento ou o
bloqueio dos seus dados se considerarem que o seu tratamento no cumpre o disposto na Diretiva, nomeadamente devido ao carter incompleto ou inexato desses
dados.181
Exemplo: No processo que deu origem ao acrdo Cemalettin Canli c. Turquia,182
o TEDH considerou que as incorrees existentes num relatrio policial elaborado no contexto de um processo penal constituam uma violao do artigo8.
da CEDH.
O requerente tinha estado envolvido, por duas vezes, em processos penais
devido sua alegada participao em organizaes ilegais, mas nunca tinha
sido condenado. Quando o requerente foi novamente detido e formalmente
180 Diretiva Proteo de Dados, considerando 41.
181 Ibid., artigo 12., al. b).
182 TEDH, acrdo Cemalettin Canli c. Turquia de 18 de novembro de 2008, petio n.22427/04, n.s 33,
42 e 43; TEDH, acrdo Dalea c. Frana de 2defevereirode2010, petio n.964/07.
116
acusado de outro crime, a polcia apresentou ao tribunal criminal um relatrio

intitulado Formulrio de informaes sobre outros crimes, em que o requerente era identificado como membro de duas organizaes ilegais. O requerente
pediu que o relatrio e os registos policiais fossem alterados, mas o seu pedido
foi indeferido. O TEDH entendeu que as informaes constantes do relatrio
policial estavam abrangidas pelo mbito do artigo8. da CEDH, uma vez que as
informaes pblicas sistematicamente recolhidas e armazenadas em arquivos
detidos pelas autoridades tambm poderiam estar abrangidas pelo conceito de
vida privada. Alm disso, o relatrio policial estava incorreto e no tinha sido
elaborado e apresentado ao tribunal criminal de acordo com a lei. O TEDH concluiu que tinha havido uma violao do artigo 8..
Exemplo: No processo que deu origem ao acrdo Segerstedt-Wiberg e outros
c. Sucia,183 os requerentes tinham sido membros de certos partidos polticos
liberais e comunistas e suspeitavam que as autoridades policiais mantinham
informaes sobre eles nos seus registos de segurana. O TEDH deu como provado que o armazenamento dos dados em questo tinha base legal e prosseguia um objetivo legtimo. Relativamente a alguns dos requerentes, o TEDH
considerou que a conservao dos dados durante todo aquele tempo constitua uma ingerncia desproporcionada nas suas vidas privadas. Por exemplo,
no caso de H. Schmid, as autoridades tinham conservado a informao de
que, em 1969, ele tinha alegadamente defendido o uso de violncia na resistncia ao controlo policial durante as manifestaes. O TEDH entendeu que
esta informao no poderia ter prosseguido qualquer interesse de segurana
nacional relevante, sobretudo dada a sua natureza histrica. O TEDH concluiu
que tinha havido uma violao do artigo8. da CEDH em relao a quatro dos
cincorequerentes.
Em alguns casos, bastar que a pessoa em causa se limite a pedir a retificao, por
exemplo, de erros ortogrficos no nome, de uma nova morada ou nmero de telefone. No entanto, se esses pedidos estiverem relacionados com questes jurdicas,
tais como a identidade jurdica da pessoa em causa ou a morada correta para efeitos
de entrega de documentos legais, os pedidos de retificao podero no ser suficientes e o responsvel pelo tratamento poder ter o direito de exigir provas da
alegada inexatido. Essas exigncias no podero impor sobre a pessoa em causa
um nus de prova desrazovel, impedindoa, assim, de obter a retificao dos seus
183 TEDH, acrdo Segerstedt-Wiberg e outros c. Sucia de 6dejunhode2006, petio n.62332/00,
n.s 89 e 90; ver tambm, por exemplo, TEDH, acrdo M.K. c. Frana de 18deabrilde2013, petio
n.19522/09.
117
dados. O TEDH concluiu pela existncia de violaes do artigo8. da CEDH em vrios

casos em que o requerente tinha sido impedido de contestar a exatido das informaes mantidas em registos secretos.184
Exemplo: No processo que deu origem ao acrdo Ciubotaru c. Moldvia,185 o
requerente solicitou a alterao da sua origem tnica de moldava para romena,
pedido esse que foi indeferido alegadamente por falta de provas. O TEDH considerou que era aceitvel que os Estados exigissem provas objetivas da identidade tnica de uma pessoa no momento do seu registo. Quando o pedido se
baseasse em factos puramente subjetivos e infundados, as autoridades poderiam recusar esse registo. Contudo, o pedido do requerente no se baseara apenas na perceo subjetiva da sua prpria etnicidade, tendo aquele apresentado
ligaes objetivamente comprovveis ao grupo tnico romeno, tais como a lngua, o nome, empatia e outras. No entanto, a legislao nacional exigia que o
requerente apresentasse provas de que os seus pais pertenciam a esse grupo
tnico. Tendo em conta a realidade histrica da Moldvia, esta exigncia tinha
criado um obstculo inultrapassvel ao registo de uma identidade tnica diferente daquela que as autoridades soviticas tinham registado em relao aos
pais. Ao recusar a apreciao do pedido apresentado pelo requerente luz de
provas objetivas, o Estado no tinha cumprido a obrigao positiva de assegurar
o efetivo respeito pela sua vida privada. O TEDH concluiu que tinha havido uma
violao do artigo8. da CEDH.
Na pendncia de uma ao cvel ou de um procedimento instaurado perante uma
autoridade pblica para decidir se determinados dados esto ou no corretos, a
pessoa em causa pode solicitar que seja inserida uma anotao no seu ficheiro de
dados indicando que a exatido dos dados foi contestada e que se aguarda uma
deciso oficial sobre a questo. Durante este perodo, o responsvel pelo tratamento no pode apresentar estes dados como informaes certas ou definitivas,
especialmente a terceiros.
Os pedidos de apagamento ou eliminao dos dados baseiamse muitas vezes na
alegao de que o tratamento de dados no tem uma base legtima. Essas alegaes surgem geralmente quando o consentimento foi revogado ou quando certos
dados j no necessrios prossecuo da finalidade para que foram recolhidos. O
nus da prova de que o tratamento dos dados legtimo recair sobre o responsvel
184 TEDH, acrdo Rotaru c. Romnia de 4demaiode2000, petio n.28341/95.
185 TEDH, acrdo Ciubotaru c. Moldvia de 27deabrilde2010, petio n.27138/04, n.s 51 e 59.
118
pelo tratamento, uma vez que ele o responsvel pela legitimidade do tratamento.
O princpio da responsabilidade exige que o responsvel pelo tratamento esteja em
condies de demonstrar, a todo o tempo, que as suas operaes de tratamento
de dados tm uma base legal legtima; caso contrrio ter de interromper esse
tratamento.
Se o tratamento dos dados for contestado com fundamento na inexatido dos dados
ou na ilicitude do tratamento, a pessoa em causa pode exigir, nos termos do princpio do tratamento leal, que os dados em causa sejam bloqueados. Isto significa
que os dados no sero eliminados, mas que o responsvel pelo tratamento dever
absterse de os utilizar durante o perodo de bloqueio. Este bloqueio ser particularmente necessrio nos casos em que a continuao da utilizao de dados inexatos
ou detidos ilegitimamente seja suscetvel de prejudicar a pessoa em causa. O legislador nacional deve regular, em maior pormenor, as condies da constituio e do
cumprimento da obrigao de bloquear a utilizao dos dados.
As pessoas em causa tm ainda o direito de obter do responsvel pelo tratamento a
notificao a terceiros de qualquer bloqueio, retificao ou apagamento, caso estes
tenham recebido dados antes destas operaes de tratamento. Uma vez que o responsvel pelo tratamento deve documentar a comunicao de dados a terceiros,
dever ser possvel identificar os destinatrios dos dados e pedir a eliminao dos
mesmos. Porm, se os dados tiverem sido entretanto publicados, por exemplo, na
Internet, poder ser impossvel obter totalmente o apagamento dos dados, uma vez
que no ser possvel encontrar os destinatrios dos mesmos. Nos termos da Diretiva de Proteo de Dados, obrigatrio contactar os destinatrios dos dados para
os informar da retificao, apagamento ou bloqueio dos dados, salvo se isso for
comprovadamente impossvel ou implicar um esforo desproporcionado.186
5.1.2. Direito de oposio

O direito de oposio abrange o direito de oposio a decises individuais automatizadas, o direito de oposio devido situao particular da pessoa em causa e o
direito de oposio utilizao posterior dos dados para efeitos de marketing direto.
186 Diretiva Proteo de Dados, artigo 12., al. c), ltima parte do perodo.
119
O direito de oposio a decises individuais automatizadas

As decises automatizadas so decises tomadas com base em dados pessoais tratados exclusivamente por meios automatizados. Se essas decises forem suscetveis de afetar consideravelmente as vidas das pessoas a que dizem respeito, dado
incidirem, por exemplo, sobre a sua solvabilidade, capacidade profissional, comportamento ou a confiana de que so merecedoras, necessria uma proteo especial para evitar consequncias indesejadas. A Diretiva de Proteo de Dados estabelece que no devem ficar sujeitas a decises automatizadas questes que sejam
importantes para as pessoas e que estas devem ter o direito de analisar a deciso
automatizada.187
Exemplo: Um exemplo prtico importante de tomada de decises automatizadas a classificao do risco de crdito. Para tomar uma deciso rpida sobre
a solvabilidade de um futuro cliente, so recolhidos junto deste certos dados,
como a profisso e a situao familiar, que so depois combinados com dados
sobre essa pessoa provenientes de outras fontes, como os sistemas de informao de crdito. Estes dados so introduzidos automaticamente num algoritmo
de classificao, que calcula um valor global que representa a solvabilidade do
potencial cliente. Deste modo, o funcionrio da empresa pode decidir, numa
questo de segundos, se a pessoa em causa ou no aceitvel como cliente.
No obstante, nos termos da Diretiva, os Estados-Membros devero estabelecer
que uma pessoa poder ficar sujeita a uma deciso individual automatizada se os
interesses da pessoa em causa no estiverem em risco, por a deciso lhe ter sido
favorvel, ou se estiverem salvaguardados por outros meios adequados.188O direito
de oposio a decises automatizadas tambm est previsto no direito do CdE,
nomeadamente na Recomendao sobre a definio de perfis.189
187 Ibid., artigo 15., n. 1.

188 Ibid., artigo 15., n. 2.
189 Recomendao sobre a definio de perfis, artigo 5.5.
120
O direito de oposio devido situao particular da pessoa

emcausa
No existe um direito geral de oposio das pessoas em causa ao tratamento dos
seus dados.190 O artigo 14., n.4, da Diretiva de Proteo de Dados, porm, atribui
pessoa em causa o direito de se opor por razes preponderantes e legtimas relacionadas com a sua situao particular. Foi reconhecido um direito semelhante na
Recomendao sobre a definio de perfis do CdE.191 Estas disposies visam a conciliao entre os direitos proteo de dados das pessoas em causa e os interesses
legtimos de terceiros no tratamento dos dados das pessoas em causa.
Exemplo: Um banco conserva dados sobre os clientes em situao de incumprimento. Um cliente cujos dados constam desta base de dados pede outro
emprstimo. A base de dados consultada, efetuada uma avaliao da situao financeira do cliente e o emprstimo recusado. No entanto, o cliente pode
opor-se ao registo dos seus dados pessoais na base de dados e pedir a sua eliminao se conseguir provar que o incumprimento resultara simplesmente de
um erro que tinha sido corrigido imediatamente aps o cliente se ter apercebido
do mesmo.
Se a pessoa em causa exercer fundamentadamente o seu direito de oposio, o responsvel pelo tratamento deixar de poder tratar os dados em questo. Porm, a
legitimidade das operaes de tratamento dos dados da pessoa em causa efetuadas
antes da oposio no ser afetada.
O direito de oposio utilizao posterior dos dados para fins

demarketing direto
O artigo 14., alnea b), da Diretiva de Proteo de Dados prev o direito especfico
de oposio utilizao dos prprios dados para fins de marketing direto (mala
direta na terminologia da Diretiva). A Recomendao do CdE sobre marketing direto
190 Ver tambm TEDH, acrdo M.S. c. Sucia de 27deagostode1997, petio n.20837/92, em que
foram comunicados dados mdicos sem consentimento e sem a possibilidade de oposio; TEDH,
acrdo Leander c. Sucia de 26demarode1987, petio n.9248/81; ou TEDH, acrdo Mosley c.
Reino Unido de 10demaiode2011, petio n.48009/08.
191 Recomendao sobre a definio de perfis, artigo5.3.
121
tambm estabelece este direito.192 Este tipo de oposio deve ser manifestado
antes de os dados serem disponibilizados a terceiros para fins de marketing direto.
Por conseguinte, deve ser dada pessoa em causa a oportunidade de se opor antes
de os dados serem transferidos.
5.2. Controlo independente

Pontos-chave

A fim de assegurar uma proteo de dados eficaz, necessrio criar autoridades de

controlo independentes ao abrigo do direito nacional.
As autoridades de controlo nacionais devem agir com total independncia, devendo

essa independncia ser garantida pela lei que as criou e estar refletida na sua estrutura
orgnica.
As autoridades de controlo desempenham funes especficas, entre as quais:

fiscalizar e promover a proteo de dados a nvel nacional;
aconselhar as pessoas em causa e os responsveis pelo tratamento, bem como o

Governo e o pblico em geral;
apreciar queixas e auxiliar as pessoas em causa que aleguem violaes dos seus
direitos proteo de dados;
supervisionar os responsveis pelo tratamento e os subcontratantes;
intervir, se necessrio
dirigindo advertncias ou censuras aos responsveis pelo tratamento e subcontratantes ou aplicandolhes uma multa,
ordenando a retificao, bloqueio ou apagamento dos dados,
proibindo o tratamento;
reencaminhar casos para o tribunal.
192 CdE, Comit de Ministros (1985), Recommendation Rec(85)20 to member states on the protection
of personal data used for the purposes of direct marketing (Recomendao Rec(85)20 aos Estados
membros sobre a proteo de dados de carter pessoal utilizados para fins de marketing direto), de
25deoutubrode1985, artigo 4., n. 1.
122
Ao exigir um controlo independente, a Diretiva de Proteo de Dados institui um

importante mecanismo para garantir uma proteo de dados eficaz. A Diretiva criou
um instrumento de fiscalizao do cumprimento da legislao sobre proteo de
dados que no constava inicialmente da Conveno108 ou das Diretrizes da OCDE
sobre a privacidade.
Uma vez que a existncia de um mecanismo de controlo independente se revelou
indispensvel para o desenvolvimento de uma proteo de dados eficaz, as Diretrizes da OCDE sobre a privacidade foram revistas em 2013 e uma nova disposio
apela aos Estados membros para criarem e manterem autoridades de fiscalizao
do cumprimento da legislao sobre privacidade com a estrutura de governao, os
recursos e os conhecimentos tcnicos necessrios para exercerem eficazmente as
suas competncias e tomarem decises objetivas, imparciais e coerentes.193
No mbito do direito do CdE, o Protocolo Adicional Conveno 108 estabeleceu a
obrigatoriedade da criao de autoridades de controlo. Este instrumento define, no
artigo 1., o quadro jurdico das autoridades de controlo independentes que as Partes Contratantes tm de implementar no direito interno. Na descrio das funes
e competncias destas autoridades, utiliza uma frmula semelhante da Diretiva
de Proteo de Dados. Em princpio, o funcionamento das autoridades de controlo
deveria, assim, ser idntico no mbito do direito da UE e do CdE.
No mbito do direito da UE, as competncias e a estrutura orgnica das autoridades
de controlo foram inicialmente descritas no artigo28., n. 1, da Diretiva de Proteo
de Dados. O Regulamento Proteo de Dados (Instituies da UE)194 cria a AEPD, a
autoridade de controlo do tratamento de dados pelos rgos e instituies da UE.
Ao descrever as funes e responsabilidades da autoridade de controlo, este Regulamento tira partido da experincia adquirida desde a promulgao da Diretiva de
Proteo de Dados.
A independncia das autoridades de proteo de dados garantida pelo artigo16.,
n. 2, do TFUE e pelo artigo8., n. 3, da Carta. Esta ltima disposio considera
expressamente que o controlo por uma autoridade independente um elemento
193 OCDE (2013), Guidelines governing the protection of privacy and transborder flows of personal data,
artigo 19.., al. c).
194 Regulamento (CE) n. 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000,
instituies e pelos rgos comunitrios e livre circulao desses dados, JO2001L8, artigos 41. a
48..
123
essencial do direito fundamental proteo de dados. Por seu lado, a Diretiva de

Proteo de Dados exige que os Estados-Membros criem autoridades de controlo
para fiscalizar a aplicao das suas disposies, atuando com total independncia.195
No s a lei que cria a autoridade de controlo tem de conter disposies que garantam expressamente a sua independncia, como a estrutura orgnica especfica
dessa autoridade tem de demonstrar essa independncia.
Em 2010, o TJUE pronunciouse pela primeira vez sobre o mbito da exigncia de
independncia das autoridades de controlo no domnio da proteo de dados.196 Os
exemplos que se seguem ilustram o seu raciocnio.
Exemplo: No processo que deu origem ao acrdo Comisso/Alemanha,197 a
Comisso Europeia tinha pedido ao TJUE que declarasse que a Alemanha tinha
transposto incorretamente a exigncia de total independncia das autoridades de controlo responsveis pela proteo de dados e, como tal, no tinha
cumprido as obrigaes que lhe incumbiam por fora do artigo 28., n. 1, da
Diretiva de Proteo de Dados. No entender da Comisso, o problema residia no
facto de a Alemanha ter submetido tutela do Estado as autoridades responsveis pela fiscalizao do tratamento de dados pessoais fora do setor pblico nos
diferentes Estados federados (Lnder).
A apreciao do mrito da ao dependia, segundo o Tribunal de Justia, do
alcance da exigncia de independncia prevista naquela disposio e, consequentemente, da sua interpretao.
O Tribunal de Justia sublinhou que a expresso com total independncia
constante do artigo28., n. 1, da Diretiva tinha de ser interpretada com base na
prpria redao da disposio, bem com nos objetivos e na sistemtica da Diretiva de Proteo de Dados.198 O Tribunal de Justia salientou que as autoridades
195 Diretiva Proteo de Dados, artigo 28., n. 1, ltimo perodo; Conveno 108, Protocolo Adicional, artigo
1., n.3.
196 Ver FRA (2010), Fundamental rights: challenges and achievements in2010 (Direitos Fundamentais:
desafios e progressos em 2010), Relatrio anual2010, p.59. A FRA abordou esta questo em maior
detalhe no seu relatrio Data protection in the European Union: the role of National Data Protection
Authorities (Proteo de dados na Unio Europeia: o papel das autoridades nacionais de proteo de
dados), que foi publicado em maio de2010.
197 TJUE, acrdo de 9 de maro de 2010 no processo C-518/07, Comisso Europeia/Repblica Federal da
Alemanha, n. 27.
198 Ibid., n.s 17 e 29.
124
de controlo eram as guardis dos direitos relacionados com o tratamento de

dados pessoais garantidos pela Diretiva e que a sua instituio nos EstadosMembros era, portanto, considerada um elemento essencial da proteo das
pessoas no que diz respeito ao tratamento de dados pessoais.199 O Tribunal de
Justia concluiu que no exerccio das suas funes, as autoridades de controlo
devem agir de forma objetiva e imparcial. Para tal, devem estar ao abrigo de
qualquer influncia externa, incluindo a influncia, direta ou indireta, do Estado
ou dos Lnder, e no apenas da influncia dos organismos controlados.200
O TJUE tambm concluiu que a expresso total independncia devia ser interpretada luz da independncia da AEPD, tal como definida no Regulamento
Proteo de Dados (Instituies da UE). Conforme sublinhou o Tribunal de Justia, o artigo44., n. 2, deste Regulamento explicita o conceito de independncia, acrescentado que, no exerccio das suas funes, a AEPD no solicita nem
aceita instrues seja de quem for. Fica assim excluda a tutela estatal de uma
autoridade de controlo independente.201
Nesta conformidade, o TJUE entendeu que as instituies alems de proteo
de dados ao nvel dos Estados federados responsveis pela fiscalizao do tratamento de dados pessoais por organismos no pblicos no eram suficientemente independentes porque estavam sujeitas tutela do Estado.
Exemplo: No acrdo Comisso/ustria,202 o TJUE chamou a ateno para problemas semelhantes relativos posio de certos membros do pessoal da autoridade austraca para a proteo de dados (Comisso para a Proteo de Dados,
DSK). O Tribunal de Justia concluiu que, neste caso, a legislao austraca impedia a Autoridade Austraca para a Proteo de Dados de exercer as suas funes
com total independncia na aceo da Diretiva de Proteo de Dados. A independncia da DSK no estava suficientemente garantida porque o seu pessoal
era constitudo por funcionrios da Chancelaria Federal, que tinha poderes de
superviso sobre a DSK e o direito de ser informada, a todo o tempo, sobre o
seu trabalho.
199 Ibid., n. 23.

200 Ibid. n. 25.
201 Ibid. n. 27.
202 TJUE, acrdo de 16 de outubro de 2012 no processo C-614/10, Comisso Europeia/Repblica da
ustria, n.s 59 e 63.
125
Exemplo: No acrdo Comisso/Hungria, o TJUE salientou que a exigncia

[], de que importa garantir que cada autoridade de fiscalizao exerce com
total independncia as funes que lhe esto atribudas, implica a obrigao do
Estado-Membro em causa de respeitar a durao do mandato dessa autoridade
at ao termo inicialmente previsto para o mesmo. O Tribunal de Justia concluiu que a Hungria, ao fazer cessar antecipadamente o mandato da autoridade de fiscalizao da proteo de dados pessoais, no cumpriu as obrigaes
que lhe incumbem por fora da Diretiva 95/46/CE [].203
As autoridades de controlo dispem, nos termos do direito nacional, de poderes,
designadamente, para:204
aconselhar os responsveis pelo tratamento e as pessoas em causa sobre todas
as questes relacionadas com proteo de dados;
investigar operaes de tratamento e intervir em conformidade;
dirigir uma advertncia ou uma censura ao responsvel pelo tratamento;
ordenar a retificao, o bloqueio, o apagamento ou a destruio dos dados;
impor uma proibio temporria ou definitiva sobre o tratamento;
reencaminhar o caso para o tribunal.
A fim de exercer as suas funes, a autoridade de controlo tem de ter acesso a todos
os dados pessoais e informaes necessrios realizao de um inqurito, bem
como a quaisquer instalaes onde o responsvel pelo tratamento guarde informaes relevantes.
Os procedimentos e o efeito jurdico das concluses da autoridade de controlo
variam consideravelmente entre os diferentes ordenamentos jurdicos internos.
Estas concluses podem assumir diversas formas, que vo desde recomendaes
semelhantes s recomendaes do Provedor de Justia a decises imediatamente
executrias. Por conseguinte, quando for analisada a eficincia dos recursos disponveis num ordenamento jurdico, necessrio ter tambm em conta o seu contexto.
203 TJUE, acrdo de 8 de abril de 2014, processo C-288/12, Comisso Europeia c. Hungria, n.s 50 e67.
204 Diretiva Proteo de Dados, artigo 28.; ver tambm Conveno 108, Protocolo Adicional, artigo 1..
126
5.3. Recursos e sanes

Pontos-chave

Nos termos da Conveno 108 e da Diretiva de Proteo de Dados, o direito nacional

tem de estabelecer recursos e sanes adequados contra violaes do direito proteo de dados.

O direito a uma tutela jurisdicional efetiva exige, nos termos do direito da UE, que o
direito nacional preveja recursos judiciais em caso de violao dos direitos proteo de dados, independentemente da possibilidade de recorrer a uma autoridade
de controlo.
O direito nacional deve estabelecer sanes eficazes, equivalentes, proporcionais

e dissuasoras.
Antes de recorrer aos tribunais, necessrio contactar primeiro o responsvel pelo tratamento. A obrigatoriedade de contactar a autoridade de controlo antes de recorrer
aos tribunais uma matria que dever ser regulada pelo direito nacional.
As pessoas em causa podem, em ltimo recurso e sob determinadas condies, submeter casos de violao da legislao sobre proteo de dados apreciao do TEDH.
As pessoas em causa tambm podem recorrer ao TJUE, mas apenas em casos muito
excecionais.
Os direitos garantidos pela legislao sobre proteo de dados s podem ser exercidos pela pessoa cujos direitos esto em jogo, ou seja, algum que seja, ou pelo
menos alegue ser, a pessoa em causa. Essas pessoas podem fazer-se representar
no exerccio dos seus direitos por pessoas que preencham os requisitos estabelecidos no direito nacional. Os menores tm de ser representados pelos progenitores
ou tutores. As pessoas tambm se podem fazer representar junto das autoridades
de controlo por associaes que tenham por objetivo lcito promover os direitos
proteo de dados.
5.3.1. Pedidos ao responsvel pelo tratamento

Os direitos mencionados na seco3.2 tm de ser exercidos, em primeira instncia,
junto do responsvel pelo tratamento. Seria intil recorrer diretamente autoridade
nacional de controlo ou a um tribunal nacional, uma vez que a autoridade se limitaria
a informar que seria necessrio contactar primeiro o responsvel pelo tratamento
e o tribunal indeferiria liminarmente a petio. Os requisitos formais de um pedido
127
juridicamente relevante ao responsvel pelo tratamento, especialmente se ou no

exigida a forma escrita, deveriam ser regulados pelo direito nacional.
A entidade a quem o pedido foi dirigido na qualidade de responsvel pelo tratamento deve responder ao pedido, ainda que no seja efetivamente o responsvel
pelo tratamento. Em qualquer caso, a pessoa em causa deve receber uma resposta
no prazo estipulado no direito nacional, ainda que consista apenas na informao
de que no esto a ser tratados quaisquer dados sobre o autor do pedido. Em conformidade com as disposies do artigo 12., alnea a), da Diretiva de Proteo de
Dados e do artigo 8., alnea b), da Conveno 108, esse pedido deve ser tratado
sem demora excessiva. Consequentemente, o legislador nacional deve estipular um
prazo de resposta que seja suficientemente curto, mas que, ainda assim, permita ao
responsvel pelo tratamento lidar adequadamente com o pedido.
Antes de responder ao pedido, a entidade contactada na qualidade de responsvel
pelo tratamento tem de confirmar a identidade do autor do pedido para determinar se este efetivamente quem afirma ser e, deste modo, evitar uma grave violao do dever de confidencialidade. Quando os requisitos relativos confirmao
da identidade no estiverem especificamente regulados no direito nacional, tero
de ser estabelecidos pelo responsvel pelo tratamento. No entanto, o princpio do
tratamento leal oporseia a que os responsveis pelo tratamento estabelecessem
condies demasiado onerosas para comprovar a identidade (e a autenticidade do
pedido, tal como discutido na seco2.1.1).
O direito nacional deve igualmente estabelecer se os responsveis pelo tratamento
podem ou no exigir do autor do pedido o pagamento de uma determinada taxa
antes de responderem ao pedido: o artigo12., alneaa), da Diretiva e o artigo8.,
alneab), da Conveno108 estabelecem que a resposta aos pedidos de acesso
deve ser dada sem [] custos excessivos. Em muitos pases europeus, a legislao
nacional estabelece que a resposta aos pedidos apresentados ao abrigo da legislao sobre proteo de dados no deve comportar quaisquer custos, desde que no
implique um esforo excessivo e extraordinrio; por seu lado, os responsveis pelo
tratamento esto geralmente protegidos, pela legislao nacional, contra o abuso do
direito de obter resposta.
Se a pessoa, instituio ou rgo contactado na qualidade de responsvel pelo tratamento no negar que possui essa qualidade, est obrigado, dentro do prazo estipulado no direito nacional, a:
128
satisfazer o pedido e informar o autor do pedido do modo como este foi satisfeito; ou
comunicar ao autor do pedido os motivos pelos quais o seu pedido no foi
satisfeito.
5.3.2. Pedidos deduzidos perante a autoridade

decontrolo
Se uma pessoa tiver apresentado um pedido de acesso ou deduzido oposio junto
do responsvel pelo tratamento e no receber uma resposta oportuna e satisfatria, pode apresentar um pedido de assistncia autoridade nacional de controlo.
Durante o procedimento perante a autoridade de controlo, importa esclarecer se
a pessoa, instituio ou rgo a quem o autor do pedido se dirigiu estava efetivamente obrigado a responder ao pedido e se essa resposta foi correta e suficiente. O
interessado tem de ser informado pela autoridade de controlo do seguimento dado
ao seu pedido.205 Os efeitos jurdicos das decises das autoridades nacionais de controlo so estabelecidos pelo direito nacional: essas decises podem ter fora executiva, ou seja, podem ser executadas coercivamente, ou poder ser necessrio recorrer aos tribunais se o responsvel pelo tratamento no der cumprimento s decises
(parecer, censura, etc.) da autoridade de controlo.
Se os direitos proteo de dados garantidos pelo artigo16. do TFUE forem alegadamente violados por instituies ou rgos da UE, a pessoa em causa pode apresentar uma reclamao junto da AEPD,206 a autoridade independente de controlo
responsvel pela proteo de dados nos termos do Regulamento Proteo de Dados
(Instituies da UE) que estabelece as funes e as competncias desta autoridade.
A falta de resposta da AEPD no prazo de seis meses equivale a uma deciso de indeferimento da reclamao.
As decises da autoridade nacional de controlo devem ser suscetveis de recurso
judicial, tendo legitimidade para interpor recurso tanto a pessoa em causa como os
responsveis pelo tratamento, dado terem sido partes no procedimento perante a
autoridade de controlo.
206 Regulamento (CE) n. 45/2001 do Parlamento Europeu e do Conselho, de 18dedezembrode2000,
instituies e pelos rgos comunitrios e livre circulao desses dados, JO2001L8.
129
Exemplo: A autoridade de proteo de dados do Reino Unido proferiu uma

deciso em 24dejulhode2013 na qual pedia polcia de Hertfordshire que
cessasse a utilizao de um sistema de vigilncia de chapas de matrcula que
considerava contrrio lei. Os dados recolhidos pelas cmaras eram armazenados em bases de dados locais das autoridades policiais e numa base de dados
centralizada. As fotografias das chapas de matrcula eram conservadas durante
dois anos e as fotografias dos veculos durante 90dias. O Comissrio para Informao entendeu que uma utilizao to alargada de cmaras e outras formas
de vigilncia no era proporcional ao problema que se pretendia resolver.
5.3.3. Pedido deduzido perante o tribunal

Nos termos da Diretiva de Proteo de Dados, se uma pessoa apresentar um pedido
a um responsvel pelo tratamento ao abrigo da legislao sobre proteo de dados
e no ficar satisfeita com a sua resposta, dever ter o direito de recorrer para um
tribunal nacional.207
A obrigatoriedade de contactar a autoridade de controlo antes de recorrer aos tribunais uma matria que dever ser regulada pelo direito nacional. Porm, na maioria
dos casos, as pessoas que pretendem exercer os seus direitos proteo de dados
tero toda a vantagem em contactar primeiro a autoridade de controlo, uma vez que
o procedimento aplicvel aos pedidos de assistncia dever ser gratuito e sem burocracias. As informaes especializadas documentadas na deciso da autoridade de
controlo (parecer, censura, etc.) tambm podero ajudar a pessoa em causa a fazer
valer os seus direitos perante os tribunais.
No mbito do direito do CdE, as violaes dos direitos proteo de dados, alegadamente cometidas a nvel nacional por uma Parte Contratante da CEDH e que constituam simultaneamente uma violao do artigo8. da CEDH, podero ser tambm
submetidas ao TEDH aps esgotadas todas as vias de recurso internas. As peties
relativas a violaes do artigo8. da CEDH apresentadas ao TEDH tero de preencher
ainda outras condies de admissibilidade (artigos34. a 37. da CEDH).208
Embora as peties ao TEDH s possam ter por objeto violaes das Partes Contratantes, tambm podem abordar indiretamente atos ou omisses de particulares, na
207 Diretiva Proteo de Dados, artigo22..

208 CEDH, artigos 34. a 37., disponvel em: www.echr.coe.int/Pages/home.aspx?p=caselaw/
analysis&c=#n1347458601286_pointer.
130
medida em que uma Parte Contratante no tenha cumprido as obrigaes positivas

que lhe incumbem por fora da CEDH e no tenha assegurado uma proteo suficiente contra violaes dos direitos proteo de dados no direito nacional.
Exemplo: No processo que deu origem ao acrdo K.U. c. Finlndia,209 o requerente, menor, alegou que tinha sido publicado um anncio de natureza sexual
sobre ele num stio de encontros na Internet. O prestador de servios no revelou a identidade da pessoa que tinha publicado a informao devido s obrigaes de confidencialidade estabelecidas no direito finlands. O requerente
alegou que o direito finlands no assegurava um nvel de proteo suficiente
contra este tipo de atos praticados por particulares, nomeadamente a colocao de dados incriminadores sobre o requerente na Internet. O TEDH entendeu
que os Estados estavam no s obrigados a absterse de ingerncias arbitrrias na vida privada das pessoas, como estavam tambm sujeitos a obrigaes
positivas que envolviam a adoo de medidas destinadas a garantir o respeito
pela vida privada, mesmo no mbito das relaes entre particulares. No caso do
requerente, uma proteo efetiva e prtica exigiria a adoo de medidas eficazes para identificar e levar justia o autor da infrao. Contudo, o Estado no
tinha assegurado essa proteo, tendo o TEDH concludo que tinha havido uma
violao do artigo 8. da CEDH.
Exemplo: No processo que deu origem ao acrdo Kpke c. Alemanha,210 a
requerente tinha sido submetida, sem o seu conhecimento, a videovigilncia,
na sequncia de suspeitas de que tinha cometido furto no local de trabalho. O
TEDH concluiu que nada indicava que as autoridades nacionais no tinham conseguido encontrar um equilbrio justo, no mbito da sua margem de apreciao, entre o direito da requerente ao respeito pela sua vida privada ao abrigo
do artigo 8., por um lado, e o interesse do empregador na proteo dos seus
direitos de propriedade e o interesse pblico numa boa administrao da justia.
Consequentemente, a petio foi declarada inadmissvel.
Se o TEDH concluir que um Estado Parte violou algum dos direitos protegidos pela
CEDH, esse Estado obrigado a executar a sentena daquele Tribunal. As medidas
de execuo da sentena devem, em primeiro lugar, pr termo violao e reparar, tanto quanto possvel, as consequncias negativas que dela tenham resultado
209 TEDH, acrdo K.U. c. Finlndia de 2 de maro de 2009, petio n.2872/02.
210 TEDH, acrdo Kpke c. Alemanha (deciso sobre a admissibilidade) de 5deoutubrode2010, petio
n.420/07.
131
para o requerente. A execuo das sentenas poder tambm exigir a adoo de

medidas de carter geral para prevenir violaes semelhantes quelas que o TEDH
deu como provadas, quer atravs de alteraes legislao, jurisprudncia ou outras
medidas.
Sempre que o TEDH concluir pela existncia de uma violao da CEDH, o artigo41.
da CEDH estabelece que o Tribunal poder atribuir uma reparao razovel ao
requerente, a expensas do Estado Parte.
No mbito do direito da UE,211 as vtimas de infraes da legislao nacional sobre
proteo de dados que implementa a legislao da UE neste domnio podem, em
certos casos, recorrer ao TJUE. H dois cenrios em que a pessoa em causa poder
recorrer ao TJUE com fundamento na violao dos seus direitos proteo de dados.
No primeiro cenrio, a pessoa em causa dever ter sido vtima direta de um ato
administrativo ou regulamentar da UE que viole o seu direito proteo de dados.
Nos termos do artigo263., n. 4, do TFUE:
Qualquer pessoa singular ou coletiva pode interpor [...] recursos contra os
atos de que seja destinatria ou que lhe digam direta e individualmente
respeito, bem como contra os atos regulamentares que lhe digam
diretamente respeito e no necessitem de medidas de execuo.
Deste modo, as vtimas de tratamento ilcito de dados pessoais por um rgo da UE
podem recorrer diretamente para o Tribunal Geral do TJUE, que o rgo competente para conhecer de litgios relacionados com o Regulamento Proteo de Dados
(Instituies da UE). Tambm existe a possibilidade de recorrer diretamente para o
TJUE se a situao jurdica de uma pessoa for diretamente afetada por uma disposio legal da UE.
O segundo cenrio diz respeito competncia do TJUE (Tribunal de Justia) para proferir decises a ttulo prejudicial nos termos do artigo 267. do TFUE.
No decurso de um processo nacional, as pessoas em causa podem requerer ao
rgo jurisdicional nacional que pea esclarecimentos ao Tribunal de Justia sobre
a interpretao dos Tratados da UE e sobre a interpretao e validade de atos das
211 UE (2007), Tratado de Lisboa que altera o Tratado da Unio Europeia e o Tratado que institui a
Comunidade Europeia, assinado em Lisboa em 13 de dezembro de 2007, JO2007C306. Ver tambm as
verses consolidadas do Tratado da Unio Europeia, JO2012C326 e do TFUE, JO2012C326.
132
instituies, rgos ou organismos da UE. Esses esclarecimentos designamse decises prejudiciais. Embora no satisfaam diretamente a pretenso do autor da
queixa, estas decises permitem aos rgos jurisdicionais nacionais assegurarse de
que esto a aplicar a interpretao correta do direito da UE.
Se uma parte no processo nacional pedir o reenvio de uma questo para o TJUE,
apenas os tribunais nacionais que atuam em ltima instncia, cujas decises j no
so suscetveis de recurso, so obrigados a dar cumprimento a esse pedido.
Exemplo: No processo que deu origem ao acrdo Krntner Landesregierung e
o.,212 o Tribunal Constitucional austraco pediu ao TJUE para se pronunciar sobre
a validade dos artigos3. a 9. da Diretiva2006/24/CE (Diretiva Conservao
de Dados) luz dos artigos7., 9. e 11. da Carta e sobre a compatibilidade de
certas disposies da Lei Federal Austraca sobre Telecomunicaes que transpe a Diretiva Conservao de Dados com determinados aspetos da Diretiva de
Proteo de Dados e do Regulamento Proteo de Dados (Instituies da UE).
M. Seitlinger, um dos demandantes no processo perante o Tribunal Constitucional, afirmou que utilizava o telefone, a Internet e o correio eletrnico para
fins profissionais e na sua vida privada. Consequentemente, a informao que
enviava e recebia passava por redes pblicas de telecomunicaes. Nos termos da Lei das Telecomunicaes austraca, de 2003, o seu prestador de servios de telecomunicaes obrigado a recolher e a armazenar dados sobre
a sua utilizao da rede. M. Seitlinger apercebeuse de que esta recolha e este
armazenamento dos seus dados pessoais no eram, de modo algum, tecnicamente necessrios para levar a informao do ponto A para o ponto B na rede.
A recolha e o armazenamento desses dados tambm no eram remotamente
necessrios para fins de faturao. M. Seitlinger no tinha certamente dado o
seu consentimento para esta utilizao dos seus dados pessoais. O nico motivo
para a recolha e o armazenamento de todos estes dados adicionais era a Lei das
Telecomunicaes austraca, de 2003.
Por conseguinte, M. Seitlinger props uma ao no Tribunal Constitucional austraco, alegando que as obrigaes impostas por lei sobre o seu prestador de
servios de telecomunicaes violavam os seus direitos fundamentais ao abrigo
do artigo8. da Carta da UE.
212 TJUE, acrdo de 8 de abril de 2014, processos apensos C-293/12 e C-594/12, Digital Rights Ireland e
Seitling e Outros.
133
O TJUE s se pronuncia sobre os elementos constitutivos do pedido de deciso prejudicial que lhe foi apresentado. O rgo jurisdicional nacional continua a ser competente para decidir o litgio no processo principal.
Em princpio, o Tribunal de Justia tem de responder s questes que lhe so colocadas. No se pode recusar a proferir uma deciso prejudicial alegando que a sua resposta no seria relevante nem oportuna face ao processo original. No entanto, pode
fazlo se a questo no estiver abrangida pela sua esfera de competncia.
Por ltimo, se uma instituio ou rgo da UE alegadamente violar direitos proteo de dados que sejam garantidos pelo artigo16. do TFUE no decurso de operaes de tratamento de dados, a pessoa em causa pode recorrer ao Tribunal Geral do
TJUE (artigo32., n.s 1 e 4, do Regulamento Proteo de Dados relativamente s
Instituies da UE). O mesmo acontece com as decises da AEPD sobre essas violaes (artigo32., n. 3, do Regulamento Proteo de Dados [Instituies da UE]).
Embora o Tribunal Geral do TJUE seja competente para decidir litgios relacionados
com o Regulamento Proteo de Dados (Instituies da UE), se o demandante for
uma pessoa que atue na qualidade de funcionrio de uma instituio ou rgo da
UE, ter de recorrer para o Tribunal da Funo Pblica da UE.
Exemplo: O processo que deu origem ao acrdo Comisso Europeia/The Bavarian Lager Co. Ltd213 ilustra os meios de recurso disponveis contra atividades ou
decises das instituies e rgos da UE relevantes para a proteo de dados.
A Bavarian Lager solicitou Comisso Europeia o acesso ata completa de
uma reunio realizada pela Comisso, alegadamente relacionada com questes jurdicas relevantes para a empresa. A Comisso tinha indeferido o pedido
de acesso da empresa com fundamento em interesses superiores de proteo
de dados.214 A Bavarian Lager tinha recorrido desta deciso para o TJUE, mais
concretamente para o Tribunal de Primeira Instncia (o antecessor do Tribunal
Geral) ao abrigo do artigo32. do Regulamento Proteo de Dados (Instituies
da UE). No acrdo de 8denovembrode2007 proferido no processo T194/04,
213 TJUE, acrdo de 29dejunhode2010 no processo C28/08P, Comisso Europeia/The Bavarian Lager Co.
Ltd.
214 Para uma anlise do argumento, ver: AEPD (2011), Public access to documents containing personal data
after the Bavarian Lager ruling, Bruxelas, AEPD, disponvel em: www.secure.edps.europa.eu/EDPSWEB/
webdav/site/mySite/shared/Documents/EDPS/Publications/Papers/BackgroundP/11-03-24_Bavarian_
Lager_EN.pdf.
134
Bavarian Lager/Comisso, o Tribunal de Primeira Instncia anulou a deciso da

Comisso de indeferir o pedido de acesso. A Comisso Europeia recorreu desta
deciso para o Tribunal de Justia, que, em Grande Seco, decidiu anular o acrdo do Tribunal de Primeira Instncia e confirmar o indeferimento do pedido de
acesso.
5.3.4. Sanes
No mbito do direito do CdE, o artigo 10. da Conveno108 dispe que as Partes
devem estabelecer sanes e vias de recurso apropriadas em face de violaes das
disposies do direito interno que confiram eficcia aos princpios bsicos da proteo de dados consagrados na Conveno.215 No mbito do direito da UE, o artigo24.
da Diretiva de Proteo de Dados estabelece que os Estados-Membros tomaro as
medidas adequadas para assegurar a plena aplicao das disposies da presente
diretiva e determinaro, nomeadamente, as sanes a aplicar em caso de violao
das disposies adotadas [].
Ambos os instrumentos conferem aos Estados-Membros uma ampla margem
de discricionariedade na escolha das sanes e das vias de recurso adequadas.
Nenhum destes instrumentos jurdicos contm orientaes especficas sobre a natureza ou o tipo de sanes consideradas adequadas, nem d exemplos de sanes.
No entanto,
embora os Estados-Membros da UE gozem de uma certa margem de
discricionariedade na determinao das medidas mais adequadas para
salvaguardar os direitos que o direito da UE atribui s pessoas, tendo em
conta o princpio da cooperao leal estabelecido no artigo4., n. 3, do
Tratado UE, devem ser respeitados os requisitos mnimos da eficcia,
equivalncia, proporcionalidade e dissuaso.216
O TJUE tem entendido repetidamente que a liberdade conferida ao legislador nacional para determinar as sanes aplicveis no absoluta.
215 TEDH, acrdo I. c. Finlndia de 17dejulhode2008, petio n.20511/03; TEDH, acrdo K.U. c.
Finlndia de 2dedezembrode2008, petio n.2872/02.
216 Ver FRA (2012), Opinion of the EuropeanUnionAgencyforFundamentalRights on the proposed
data protection reform package (Parecer da Agncia dos Direitos Fundamentais da Unio Europeia
sobre a proposta do pacote de reforma legislativa sobre proteo de dados), 2/2012, Viena,
1deoutubrode2012, p.27.
135
Exemplo: No acrdo Von Colson e Kamann/Land Nordrhein-Westfalen,217 o

TJUE salientou que todos Estados-Membros destinatrios de uma diretiva so
obrigados a adotar, no seu ordenamento jurdico interno, todas as medidas
necessrias para assegurar a sua eficcia plena, em conformidade com o objetivo por ela prosseguido. O Tribunal de Justia considerou que, apesar de caber
aos Estados Membros a escolha das formas e meios de assegurar a implementao de uma diretiva, essa liberdade no afeta as obrigaes a que esto sujeitos. Em especial, uma tutela jurdica eficaz ter de proporcionar ao titular as condies para exercer e fazer valer o direito em questo em toda a sua extenso
material. Para proporcionarem uma proteo genuna e eficaz, os recursos jurdicos tm de desencadear processos penais e/ou indemnizatrios que resultem
em sanes com um efeito dissuasor.
Relativamente s sanes por violaes do direito da UE por instituies ou rgos
da Unio, dado o mbito de aplicao especial do Regulamento Proteo de Dados
(Instituies da UE), apenas esto previstas sanes de natureza disciplinar. Nos
termos do artigo49. do Regulamento, [q]ualquer incumprimento, intencional ou por negligncia, das obrigaes decorrentes do presente regulamento, por
um funcionrio ou outro agente das Comunidades Europeias, passvel de sano
disciplinar[].
217 TJUE, acrdo de 10 de abril de 1984, processo C-14/83, Sabine von Kolson and Elisabeth Kamann c.
Land Nordrhein-Westfalen.
136
6.

Fluxos transfronteirios
dedados
UE
Fluxos transfronteirios de dados

n. 1
Questes
abrangidas
Definio
CdE


Livre fluxo de dados
n. 2
Entre
Estados-Membros
da UE
Entre Partes
Contratantes da
Conveno 108
Para pases
terceiros com um
nvel de proteo
adequado
Para pases
n. 1
terceiros em casos
especficos
Restries ao fluxo de dados para pases terceiros
Clusulas
n. 2
contratuais
n. 4
n. 2

n.2

al. a)
al. b)
Guia da elaborao de
clusulas contratuais
Regras vinculativas
para as empresas
137
UE
Exemplos:
Acordo PNR UE-EUA
Acordo SWIFT UE-EUA
Questes
abrangidas
CdE
Acordos
internacionais
especiais
Para alm de prever o livre fluxo de dados entre os Estados-Membros, a Diretiva de

Proteo de Dados tambm contm disposies sobre os requisitos da transferncia
de dados pessoais para pases terceiros fora da UE. O CdE tambm reconheceu a
importncia de estabelecer regras aplicveis aos fluxos transfronteirios de dados
para pases terceiros e adotou o Protocolo Adicional Conveno108 em 2001. Este
Protocolo rene as principais disposies regulamentares adotadas pelas Partes na
Conveno e pelos Estados-Membros da UE em matria de fluxo transfronteirio de
dados.
6.1. Natureza dos fluxos transfronteirios

dedados
Pontos-chave

Uma transferncia transfronteiria de dados uma transferncia de dados pessoais

para um destinatrio que est sujeito a uma jurisdio estrangeira.
O artigo 2., n. 1, do Protocolo Adicional Conveno 108 descreve o fluxo transfronteirio de dados como a transferncia de dados pessoais para um destinatrio
que est sujeito a uma jurisdio estrangeira. O artigo25., n. 1, da Diretiva de
Proteo de Dados regula a transferncia para um pas terceiro de dados pessoais
objeto de tratamento, ou que se destinem a ser objeto de tratamento aps a sua
transferncia []. Essa transferncia de dados s permitida se forem observadas as regras estabelecidas no artigo2. do Protocolo Adicional Conveno108,
devendo os Estados-Membros da UE cumprir tambm os artigos25. e 26. da Diretiva de Proteo de Dados.
Exemplo: No acrdo Bodil Lindqvist,218 o TJUE considerou que a referncia,
feita numa pgina da Internet, a vrias pessoas e a sua identificao pelo nome
218 TJUE, acrdo de 6 de novembro de 2003 no processo C-101/01, Bodil Lindqvist, n.s 27, 68 e 69.
138
Fluxos transfronteirios dedados
ou por outros meios, por exemplo, o nmero de telefone ou informaes relativas s suas condies de trabalho e aos seus passatempos constitui um tratamento de dados pessoais por meios total ou parcialmente automatizados na
aceo do artigo3., n. 1, da Diretiva 95/46..
O Tribunal de Justia sublinhou ento que a Diretiva tambm estabelece regras
especficas que visam assegurar o controlo, pelos Estados-Membros, das transferncias de dados de carter pessoal para pases terceiros.
Porm, tendo em conta, por um lado, o estdio de evoluo da Internet data
da elaborao da diretiva e, por outro, a ausncia, na Diretiva, de critrios aplicveis utilizao da Internet, no se pode presumir que o legislador comunitrio tinha a inteno de incluir prospetivamente no conceito de transferncia
para um pas terceiro de dados a insero [...] de dados numa pgina Internet,
mesmo que estes se tornem deste modo acessveis s pessoas de pases terceiros que possuam os meios tcnicos para acederem a esses dados.
Caso contrrio, se a Diretiva fosse interpretada no sentido de que existe uma
transferncia para um pas terceiro de dados cada vez que so carregados
dados de carter pessoal numa pgina Internet, essa transferncia seria necessariamente uma transferncia para todos os pases terceiros onde existem os
meios tcnicos necessrios para aceder Internet. O regime especial previsto
[na Diretiva] tornarseia, necessariamente, no que respeita s operaes na
Internet, um regime de aplicao geral. Com efeito, desde que a Comisso verificasse [...] que um pas terceiro no assegura um nvel de proteo adequado,
os Estados-Membros seriam obrigados a impedir qualquer colocao na Internet de dados de carter pessoal.
O princpio segundo o qual a mera publicao de dados (pessoais) no deve ser considerada um fluxo transfronteirio de dados tambm aplicvel aos registos pblicos e aos meios de comunicao social online, tais como os jornais (eletrnicos) e a
televiso. Apenas a comunicao dirigida a destinatrios especficos est abrangida
pelo conceito de fluxo transfronteirio de dados.
139
6.2. Livre fluxo de dados entre os

EstadosMembros ou entre as Partes
Contratantes
Pontos-chave

A transferncia de dados pessoais para outro pas membro do Espao Econmico

Europeu ou para outra Parte Contratante da Conveno 108 no pode ser objeto de
restries.
No mbito do direito do CdE, o fluxo de dados pessoais entre as Partes da Conveno dever ser livre, nos termos do artigo12., n. 2, da Conveno 108. O legislador
nacional no poder restringir a exportao de dados pessoais para uma Parte Contratante, salvo se:
a natureza especial dos dados assim o exigir;219 ou
A restrio for necessria para evitar que a transferncia se subtraia s disposies legais internas em matria de fluxo transfronteirio de dados para pases
terceiros.220
No mbito do direito da UE, as restries e proibies ao livre fluxo de dados entre
os Estados-Membros por razes relativas proteo de dados so proibidas pelo
artigo1., n. 2, da Diretiva de Proteo de Dados. A rea do livre fluxo de dados
foi alargada pelo Acordo sobre o Espao Econmico Europeu (EEE),221 que integra a
Islndia, o Listenstaine e a Noruega no mercado interno.
Exemplo: Se uma filial de um grupo internacional de empresas, estabelecido em
vrios Estados-Membros da UE, entre os quais a Eslovnia e a Frana, transferir
dados pessoais da Eslovnia para a Frana, a legislao eslovena no pode restringir ou proibir esse fluxo de dados.
219 Conveno 108, artigo 12., n. 3, al. a).
220 Ibid., artigo 12., n. 3, al. b).
221 Deciso do Conselho e da Comisso de 13 de dezembro de 1993 relativa celebrao do Acordo sobre
o Espao Econmico Europeu entre as Comunidades Europeias, os seus Estadosmembros e a Repblica
da ustria, a Repblica da Finlndia, a Repblica da Islndia, o Principado do Liechtenstein, o Reino da
Noruega, o Reino da Sucia e a Confederao Sua, JO1994L1.
140
No entanto, se essa filial eslovena desejar transferir os mesmos dados pessoais

para a empresame nos Estados Unidos, o exportador de dados esloveno ter
de se submeter ao procedimento estabelecido na legislao eslovena para o
fluxo transfronteirio de dados para pases terceiros sem um nvel adequado de
proteo de dados, a menos que a empresame tenha aderido aos princpios de
porto seguro, um cdigo de conduta voluntrio sobre a garantia de um nvel
adequado de proteo de dados (ver seco6.3.1).
Os fluxos transfronteirios de dados para pases membros do EEE para fins no
relacionados com o mercado interno, tais como a investigao criminal, no esto,
porm, sujeitos s disposies da Diretiva de Proteo de Dados e, como tal, no
esto abrangidos pelo princpio do livre fluxo de dados. No que respeita ao direito
do CdE, todas as reas esto includas no mbito de aplicao da Conveno108
e do Protocolo Adicional Conveno108, embora as Partes Contratantes possam
estabelecer derrogaes. Todos os pases membros do EEE tambm so Partes na
Conveno108.
6.3. Livre fluxo de dados para pases terceiros

Pontos-chave

A transferncia de dados pessoais para pases terceiros no estar sujeita a restries

nos termos da legislao nacional sobre proteo de dados se:

tiver sido apurado que o destinatrio possui um nvel adequado de proteo de

dados; ou
for necessria tendo em conta os interesses especficos da pessoa em causa ou

os interesses superiores legtimos de terceiros, especialmente interesses pblicos
importantes.
Para que a proteo de dados num pas terceiro seja considerada adequada, os princpios fundamentais da proteo de dados devero ter sido efetivamente implementados no direito nacional desse pas.
Nos termos do direito da UE, a adequao da proteo de dados num pas terceiro
apreciada pela Comisso Europeia. Nos termos do direito do CdE, o modo de apreciao dessa adequao deixado ao critrio do legislador nacional.
141
6.3.1. Livre fluxo de dados devido a uma proteo

adequada
O direito do CdE permite que o direito interno preveja o livre fluxo de dados para
Estados no contratantes se o Estado ou organizao destinatrio assegurar um
nvel de proteo adequado para a transferncia de dados pretendida.222 Compete
ao legislador nacional determinar de que modo o nvel de proteo num pas estrangeiro dever ser apreciado e quem dever realizar essa apreciao.
No direito da UE, o livre fluxo de dados para pases terceiros com um nvel adequado
de proteo de dados est previsto no artigo25., n. 1, da Diretiva de Proteo de
Dados. A exigncia de adequao e no de equivalncia permite o reconhecimento
de vrios sistemas de proteo dos dados. Segundo o artigo25., n. 6, da Diretiva, a
Comisso Europeia competente para apreciar o nvel de proteo de dados em pases estrangeiros e, para este efeito, consulta o Grupo de Trabalho do artigo29., que
tem dado um contributo substancial para a interpretao dos artigos25. e 26..223
A constatao de um nvel adequado de proteo pela Comisso Europeia tem efeito
vinculativo. Se a Comisso Europeia publicar uma constatao de um nvel adequado
de proteo relativamente a um determinado pas no Jornal Oficial da Unio Europeia, todos os pases membros do EEE e os respetivos rgos esto vinculados por
essa deciso, o que significa que o fluxo de dados para esse pas no est sujeito a
procedimentos de controlo ou autorizao perante as autoridades nacionais.224
A Comisso Europeia tambm pode apreciar partes do sistema jurdico de um pas
ou limitar a sua apreciao a temas especficos. Por exemplo, a Comisso adotou
uma constatao de um nvel adequado de proteo apenas relativa legislao
222 Conveno 108, Protocolo Adicional, artigo 2., n. 1.

223 Ver, por exemplo, Grupo de Trabalho do artigo 29. (2003), Working document on transfers of personal
data to third countries: applying Article26(2) of the EU Data Protection Directive to binding corporate
rules for international data transfers (Documento de trabalho sobre as transferncias de dados pessoais
para pases terceiros: a aplicao do artigo26., n. 2, da Diretiva Proteo de Dados da UE a regras
vinculativas para as empresas em matria de transferncias internacionais de dados), WP74, Bruxelas,
3dejunhode2003; e Grupo de Trabalho do artigo 29. (2005), Documento de trabalho sobre uma
interpretao comum do artigo 26., n. 1, da Diretiva 95/46/CE de 24 de outubro de1995, WP114,
Bruxelas, 25 de novembro de 2005.
224 Para uma lista continuamente atualizada de pases que foram objeto de uma constatao de um nvel de
proteo adequado, consultar a pgina inicial da Comisso Europeia, DireoGeral da Justia, disponvel
em: http://ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_
en.htm.
142
comercial canadiana.225 Existem tambm vrias constataes de um nvel adequado

de proteo para transferncias baseadas em acordos entre a UE e pases estrangeiros. Estas decises referemse exclusivamente a um nico tipo de transferncia de
dados, tal como a transmisso dos registos de identificao dos passageiros pelas
companhias areas para autoridades estrangeiras de controlo fronteirio quando
voam da UE para certos destinos no estrangeiro (ver seco6.4.3). Mais recentemente, as transferncias de dados baseadas em acordos especiais entre a UE e pases terceiros dispensam geralmente a constatao de um nvel adequado de proteo, presumindose que o prprio acordo assegura esse nvel de proteo.226
Uma das mais importantes decises sobre a adequao da proteo no diz respeito a um conjunto de disposies legais,227 mas sim a regras, semelhantes a um
cdigo de conduta, conhecidas como os princpios de porto seguro. Estes princpios foram definidos pela UE e pelos Estados Unidos da Amrica para as empresas
norteamericanas. A adeso aos princpios de porto seguro tem lugar atravs de
um compromisso assumido voluntariamente perante o Departamento do Comrcio
norteamericano e documentado numa lista publicada por este. Uma vez que um dos
elementos mais importantes da adequao a eficcia da implementao da proteo de dados, o acordo de porto seguro tambm prev um certo grau de superviso estatal: apenas podem aderir ao sistema porto seguro as empresas que estejam sujeitas superviso da Comisso Federal do Comrcio norteamericana.
6.3.2. Livre fluxo de dados em casos especficos

No mbito do direito do CdE, o artigo2., n. 2, do Protocolo Adicional Conveno
108 permite a transferncia de dados pessoais para pases terceiros onde no exista
225 Comisso Europeia (2002), Deciso 2002/2/CE de 20 de dezembro de 2001 nos termos da
Diretiva95/46/CE do Parlamento Europeu e do Conselho relativa adequao do nvel de proteo
proporcionado pela lei canadiana sobre dados pessoais e documentos eletrnicos (Personal Information
and Eletronic Documents Act), JO2002L2.
226 Por exemplo, o Acordo entre os Estados Unidos da Amrica e a Unio Europeia sobre a utilizao e
a transferncia dos registos de identificao dos passageiros para o Departamento da Segurana
Interna dos Estados Unidos ( JO2012L215, pp.514) ou o Acordo entre a Unio Europeia e os Estados
Unidos da Amrica sobre o tratamento de dados de mensagens de pagamentos financeiros e a sua
transferncia da Unio Europeia para os Estados Unidos, para efeitos do Programa de Deteo do
Financiamento do Terrorismo, JO2010L8, pp.11-16.
227 Comisso Europeia (2000), Deciso 2000/520/CE da Comisso, de 26 de julho de 2000, nos termos
daDiretiva 95/46/CE do Parlamento Europeu e do Conselho e relativa ao nvel de proteo assegurado
pelos princpios de porto seguro e pelas respetivas questes mais frequentes (FAQ) emitidos pelo
Departamento do Comrcio dos Estados Unidos da Amrica, JO2000L215.
143
um nvel adequado de proteo de dados, desde que a transferncia esteja prevista

no direito interno e seja necessria para:
os interesses especficos da pessoa em causa; ou
os interesses legtimos prevalecentes de terceiros, em especial interesses pblicos importantes.
No mbito do direito da UE, o artigo26., n. 1, da Diretiva de Proteo de Dados
contm disposies semelhantes s do Protocolo Adicional Conveno 108.
Nos termos da Diretiva, os interesses da pessoa em causa podero justificar o livre
fluxo de dados para um pas terceiro se:
a pessoa em causa tiver dado, de forma inequvoca, o seu consentimento
exportao dos dados;
A pessoa em causa celebrar ou se preparar para celebrar um contrato que
exija claramente a transferncia dos dados para um destinatrio no estrangeiro;
tiver sido celebrado, no interesse da pessoa em causa, um contrato entre o responsvel pelo tratamento e um terceiro; ou
a transferncia for necessria para proteger os interesses vitais da pessoa em
causa.
para a transferncia de dados de um registo pblico; tratase de um exemplo de
interesse prevalecente na possibilidade de o pblico em geral ter acesso a informaes armazenadas em registos pblicos.
Os interesses legtimos de terceiros podero justificar o livre fluxo transfronteirio de
dados:228
devido a um interesse pblico importante no relacionado com a segurana
nacional ou pblica, uma vez que no esto abrangidos pela Diretiva de Proteo
de Dados; ou
228 Diretiva Proteo de Dados, artigo 26., n. 1, al. d).
144
para a declarao, o exerccio ou a defesa de um direito num processo judicial.

Os casos supramencionados devem ser entendidos como derrogaes regra de
que a livre transferncia de dados para outros pases exige um nvel adequado de
proteo de dados no pas destinatrio. As derrogaes tm de ser sempre interpretadas restritivamente. Este entendimento tem sido reiterado pelo Grupo de Trabalho
do artigo29. no contexto do artigo26., n. 1, da Diretiva de Proteo de Dados,
especialmente se a suposta base legal da transferncia de dados for o consentimento.229 O Grupo de Trabalho do artigo29. concluiu que as regras gerais sobre a
relevncia jurdica do consentimento tambm so aplicveis ao artigo26., n. 1, da
Diretiva. Se, por exemplo, no contexto das relaes laborais, existirem dvidas sobre
se o consentimento prestado pelos funcionrios , de facto, um consentimento livre,
as transferncias de dados no podem ter por base o artigo26., n. 1, alnea a), da
Diretiva. Nestes casos, ser aplicvel o artigo26., n. 2, que exige que as autoridades nacionais responsveis pela proteo de dados autorizem as transferncias de
dados.
6.4. Restries ao fluxo de dados para pases

terceiros
Pontos-chave

Antes de exportar dados para pases terceiros que no assegurem um nvel adequado
de proteo de dados, o responsvel pelo tratamento pode ter de submeter o fluxo de
dados pretendido apreciao da autoridade de controlo.
O responsvel pelo tratamento que pretende exportar dados tem de demonstrar duas
coisas durante esta apreciao:
que existe uma base legal para a transferncia de dados para o destinatrio; e
que foram adotadas medidas para garantir um nvel adequado de proteo dos
dados no destinatrio.
As medidas que visam garantir um nvel adequado de proteo de dados no destinatrio podero incluir:
229 Ver, em especial, Grupo de Trabalho do artigo 29. (2005), Documento de trabalho sobre uma
interpretao comum do artigo 26., n. 1, da Diretiva 95/46/CE de 24 de outubro de1995, WP114,
Bruxelas, 25denovembrode2005.
145
clusulas contratuais entre o responsvel pelo tratamento que exporta os dados e

o destinatrio dos dados no estrangeiro; ou
regras vinculativas para as empresas, geralmente aplicveis a transferncias de

dados no seio de um grupo multinacional de empresas.
As transferncias de dados para autoridades estrangeiras tambm podem ser reguladas por um acordo internacional especial.
A Diretiva de Proteo de Dados e o Protocolo Adicional Conveno 108 permitem

que o direito interno estabelea regimes jurdicos aplicveis aos fluxos transfronteirios de dados para pases terceiros que no assegurem um nvel adequado de proteo de dados, desde que o responsvel pelo tratamento tenha adotado medidas
especiais para assegurar a existncia de garantias adequadas em matria de proteo de dados no destinatrio e possa provar este facto autoridade competente.
Este requisito s expressamente mencionado no Protocolo Adicional Conveno108; no entanto, tambm considerado um procedimento corrente no quadro
da Diretiva de Proteo de Dados.
6.4.1. Clusulas contratuais

Tanto o direito do CdE como o direito da UE mencionam as clusulas contratuais
entre o responsvel pelo tratamento que exporta os dados e o destinatrio no pas
terceiro como possveis meios de garantir um nvel suficiente de proteo de dados
no destinatrio.
Ao nvel da UE, a Comisso Europeia, com o auxlio do Grupo de Trabalho do
artigo29., definiu clusulas contratuaistipo que foram oficialmente certificadas
por uma deciso da Comisso como prova de um nvel adequado de proteo de
dados.230 Uma vez que as decises da Comisso so obrigatrias, em todos os seus
elementos, para os Estados-Membros, as autoridades nacionais responsveis pelo
controlo dos fluxos transfronteirios de dados devem ter em conta estas clusulas
contratuaistipo nos seus procedimentos.231 Deste modo, se o responsvel pelo tratamento que exporta os dados e o destinatrio no pas terceiro estabelecerem e
assinarem as referidas clusulas, esta medida dever ser suficiente para demonstrar
autoridade de controlo que foram implementadas garantias adequadas.

231 TFUE, artigo 288..
146
A existncia de clusulas contratuaistipo no quadro jurdico da UE no obsta a que os

responsveis pelo tratamento formulem outras clusulas contratuais ad hoc. Porm,
destas teria de resultar o mesmo nvel de proteo que assegurado pelas clusulas
contratuaistipo. Os elementos mais importantes das clusulas contratuais-tipo so
os seguintes:
uma clusula de terceiro beneficirio que permite s pessoas em causa exercer
direitos contratuais embora no sejam parte no contrato;
a concordncia do destinatrio ou importador dos dados em se submeter ao procedimento da autoridade nacional de controlo e/ou tribunais do responsvel pelo
tratamento que exporta os dados.
Existem atualmente dois conjuntos de clusulastipo para transferncias entre responsveis pelo tratamento entre as quais o responsvel pelo tratamento que
exporta os dados poder escolher. 232 Para as transferncias de responsveis
pelo tratamento para subcontratantes, existe apenas um conjunto de clusulas
contratuaistipo.233
No contexto do direito do CdE, o Comit Consultivo da Conveno 108 elaborou um
guia sobre a elaborao de clusulas contratuais.234
232 O conjunto I consta do anexo Deciso 2001/497/CE da Comisso, de 15dejunhode2001, relativa

s clusulas contratuaistipo aplicveis a transferncias de dados pessoais para pases terceiros, nos
termos da Diretiva95/46/CE, JO2001L181; o conjunto II consta do anexo Deciso2004/915/CE
da Comisso, de 27dedezembrode2004, que altera a Deciso2001/497/CE no que se refere
introduo de um conjunto alternativo de clusulas contratuais tpicas aplicveis transferncia de
dados pessoais para pases terceiros, JO2004L385.
233 Comisso Europeia (2010), Deciso 2010/87 da Comisso, de 5defevereirode2010, relativa
a clusulas contratuaistipo aplicveis transferncia de dados pessoais para subcontratantes
estabelecidos em pases terceiros nos termos da Diretiva95/46/CE do Parlamento Europeu e do
Conselho, JO2010L39.
234 CdE, Comit Consultivo da Conveno 108 (2002), Guide to the preparation of contractual clauses
governing data protection during the transfer of personal data to third parties not bound by an adequate
level of data (Guia da elaborao de clusulas contratuais sobre a proteo de dados durante a
transferncia de dados pessoais para terceiros no sujeitos a um nvel adequado de proteo de dados).
147
6.4.2. Regras vinculativas para as empresas

As regras vinculativas para as empresas (RVE) multilaterais envolvem geralmente
vrias autoridades europeias de proteo de dados ao mesmo tempo.235 Para que
as RVE sejam aprovadas, o respetivo projeto tem de ser enviado, juntamente com
o formulrio normalizado do pedido de aprovao, para a autoridade principal,236
que identificvel com base no formulrio. Seguidamente, esta autoridade informa
todas as autoridades de controlo dos pases membros do EEE onde se encontrem
estabelecidas filiais do grupo, embora a sua participao no processo de avaliao
das RVE seja voluntria. Embora no seja obrigatrio, todas as autoridades de proteo de dados envolvidas devem incorporar o resultado da avaliao nos seus procedimentos formais de autorizao.
6.4.3. Acordos internacionais especiais

A UE celebrou acordos especiais para dois tipos de transferncias de dados:
Registos de identificao dos passageiros

As companhias areas recolhem dados sobre os registos de identificao dos passageiros (PNR) durante o processo de reserva, nomeadamente o nome, morada,
dados do carto de crdito e nmero do lugar dos passageiros. Nos termos do
direito norteamericano, as companhias areas so obrigadas a disponibilizar estes
dados ao Departamento de Segurana Interna antes da partida. Esta obrigao
aplicvel a voos com origem ou destino aos Estados Unidos.
235 O teor e a estrutura adequados das regras vinculativas para as empresas so explicados em Grupo
de Trabalho do artigo29. (2008), Working document setting up a framework for the structure of
Binding Corporate Rules (Documento de trabalho que estabelece um quadro para a estrutura das regras
vinculativas para as empresas), WP154, Bruxelas, 24dejunhode2008; e em Grupo de Trabalho do
artigo 29. (2008), Working document setting up a table with the elements and principles to be found
in Binding Corporate Rules (Documento de trabalho que estabelece um quadro com os elementos e os
princpios das regras vinculativas para as empresas), WP153, Bruxelas, 24dejunhode2008.
236 Grupo de Trabalho do artigo29. (2007), Recommendation 1/2007 on the standard application
for approval of binding corporate rules for the transfer of personal data (Recomendao1/2007
sobre o formulrio do pedido de aprovao das regras vinculativas para as empresas em matria de
transferncia de dados pessoais), WP133, Bruxelas, 10dejaneirode2007.
148
Para garantir uma proteo adequada dos dados PNR, nos termos da Diretiva95/46/CE, foi adotado em 2004 um pacote legislativo sobre PNR237. Este pacote
incluiu uma deciso de adequao do tratamento de dados efetuado pelo Departamento de Segurana Interna norte-americano.
Em consequncia da anulao pelo TJUE do pacote PNR238, a UE e os Estados Unidos
assinaram dois acordos separados com dois objetivos: em primeiro lugar, proporcionar uma base legal para a divulgao de dados PNR s autoridades dos Estados
Unidos; em segundo, assegurar um nvel adequado de proteo de dados no pas
destinatrio.
O primeiro acordo entre os pases da UE e os Estados Unidos sobre o modo como os
dados so partilhados e geridos, assinado em 2012, apresentava vrias falhas, pelo
que foi substitudo no mesmo ano por um novo acordo a fim de reforar a segurana jurdica.239 O novo acordo oferece melhorias significativas. Restringe e clarifica
as finalidades para que as informaes podem ser utilizadas, tais como a preveno
e o combate ao terrorismo e criminalidade transnacional grave, e fixa o perodo
de conservao dos dados: aps seis meses, os dados devem ser anonimizados. .
Se os seus dados forem utilizados abusivamente, qualquer pessoa tem o direito de
recurso administrativo e judicial nos termos da legislao dos EUA. Tm igualmente
o direito de acesso aos seus prprios dados PNR e de solicitar a sua retificao pelo
Departamento da Segurana Interna, incluindo a possibilidade de supresso, se as
informaes estiverem incorretas.
O Acordo, que entrou em vigor em 1 de julho de 2012, manterse em vigor durante
um perodo de seteanos, at 2019.
237 Deciso do Conselho 2004/496/CE, de 17demaiode2004, relativa celebrao de um acordo entre
a Comunidade Europeia e os Estados Unidos da Amrica sobre o tratamento e transferncia de dados
contidos no registo de identificao de passageiros (PNR) por parte das transportadoras areas para o
Servio das Alfndegas e Proteo das Fronteiras do Departamento de Segurana Interna dos Estados
Unidos, JO2004L183, p.83, e Deciso da Comisso 2004/535/CE, de 14demaiode2004, sobre o
nvel de proteo adequado dos dados pessoais contidos nos Passenger Name Record transferidos para
o Bureau of Customs and Border Protection dos Estados Unidos, JO2004L235, p.11-22.
238 TJUE, acrdo de 30demaiode2006, nos processos apensos C-317/04 e C-318/04, Parlamento
Europeu c.Conselho da Unio Europeia, pontos57, 58 e 59, no qual o Tribunal considerou que tanto a
deciso de adequao como o cordo relativo ao tratamento de dados estavam excludos do mbito de
aplicao da Diretiva.
239 Deciso 2012/472/UE do Conselho, de 26deabrilde2012, relativa celebrao do Acordo entre
os Estados Unidos da Amrica e a Unio Europeia sobre a utilizao e a transferncia dos registos
de identificao dos passageiros para o Departamento da Segurana Interna dos Estados Unidos.
JO2012L215/4. O texto do Acordo encontrase reproduzido em anexo a esta Deciso, JO2012L215,
p.514.
149
Em dezembro de 2011, o Conselho da Unio Europeia aprovou a celebrao de um

Acordo atualizado entre a UE e a Austrlia sobre o tratamento e a transferncia de
dados PNR.240 Este acordo representa mais um passo na agenda da UE, que inclui
diretrizes globais sobre PNR,241 o estabelecimento de um sistema PNR da UE242 e a
negociao de acordos com pases terceiros.243
Dados de mensagens de pagamentos financeiros

A Sociedade das Telecomunicaes Financeiras Interbancrias no Mundo (Society
for Worldwide Interbank Financial Telecommunication SWIFT) sedeada na Blgica,
que o subcontratante para a maioria das transferncias monetrias globais provenientes de bancos europeus, possua um centro espelho nos Estados Unidos e foi
confrontada com um pedido de divulgao de dados ao Departamento do Tesouro
norteamericano para fins de investigao do terrorismo.244
Da perspetiva da UE, no existia base legal suficiente para divulgar estes dados
essencialmente europeus, aos quais era possvel aceder nos Estados Unidos apenas
240 Deciso 2012/381/UE do Conselho, de 13 de dezembro de 2011, relativa celebrao do Acordo entre
a Unio Europeia e a Austrlia sobre o tratamento e a transferncia de dados do registo de identificao
dos passageiros (PNR) pelas transportadoras areas para o Servio Aduaneiro e de Proteo das
Fronteiras australiano, JO2012L186/3. O texto do Acordo, que substituiu um acordo anterior de 2008,
encontrase reproduzido em anexo a esta Deciso, JO2012L186, p.4-16.
241 Ver, em especial, a Comunicao da Comisso, de 21 de setembro de 2010, sobre a abordagem global
relativa transferncia de dados do registo de identificao dos passageiros (PNR) para pases terceiros,
COM(2010)492final, Bruxelas, 21deSetembrode2010. Ver tambm o Parecer7/2010, do Grupo de
Trabalho do Artigo29, sobre esta Comunicao da Comisso.
242 Proposta de Diretiva do Parlamento Europeu e do Conselho relativa utilizao dos dados dos registos
de identificao dos passageiros para efeitos de preveno, deteo, investigao e represso das
infraes terroristas e da criminalidade grave, COM(2011)32final, Bruxelas, 2defevereirode2011.
Em abrilde2011, o Parlamento Europeu solicitou FRA um parecer sobre esta Proposta e a
sua conformidade com a Carta dos Direitos Fundamentais da Unio Europeia. Ver: FRA (2011),
Opinion1/2011 Passenger Name Record (Parecer 1/2011 Registo de identificao dos passageiros),
Viena, 14de junhode2011.
243 A UE est atualmente a negociar um novo acordo PNR com o Canad, que susbtituir o acordo de 2006
atualmente em vigor.
244 Ver, neste contexto, Grupo de Trabalho do artigo 29. (2011), Opinion 14/2011 on data protection
issues related to the prevention of money laundering and terrorist financing (Parecer14/2011 sobre
questes de proteo de dados relacionadas com a preveno do branqueamento de capitais e do
financiamento do terrorismo), WP186, Bruxelas, 13 de junho de 2011; Grupo de Trabalho do artigo 29.
(2006), Parecer10/2006 sobre o tratamento de dados pessoais pela Sociedade das Telecomunicaes
Financeiras Interbancrias no Mundo (Society for Worldwide Interbank Financial Telecommunication
SWIFT), WP128, Bruxelas, 22denovembrode2006; Comisso para a Proteo da Vida Privada belga
(Commission de la protection de la vie prive) (2008), Control and recommendation procedure initiated
with respect to the company SWIFT scrl, Deciso de 9dedezembrode2008.
150
porque um dos centros de tratamento de dados da SWIFT estava localizado nesse

pas.
Em 2010, foi celebrado um acordo especial entre a UE e os Estados Unidos, conhecido como o Acordo SWIFT, a fim de proporcionar a necessria base legal e assegurar
a proteo dos dados.245
Nos termos deste acordo, os dados financeiros armazenados pela SWIFT continuam
a ser fornecidos ao Departamento do Tesouro norteamericano para efeitos de preveno, investigao, deteo ou represso do terrorismo ou do seu financiamento.
O Departamento do Tesouro norteamericano pode solicitar dados financeiros
SWIFT, devendo o pedido:
identificar o mais claramente possvel os dados financeiros;
fundamentar claramente a necessidade dos dados;
ser formulado de modo a reduzir ao mnimo o volume de dados requerido;
absterse de solicitar dados relacionados com o Espao nico de Pagamentos em
Euros (SEPA).
O Departamento do Tesouro norteamericano deve enviar Europol uma cpia de
cada pedido e esta verifica se o pedido est ou no conforme com os princpios do
Acordo SWIFT246. Se esta conformidade for confirmada, a SWIFT tem de fornecer
os dados financeiros diretamente ao Departamento do Tesouro norteamericano.
O departamento tem de manter os dados financeiros num ambiente fsico seguro
ao qual apenas tenham acesso os analistas encarregados da investigao do terrorismo ou do seu financiamento e os dados financeiros no podem estar interligados
com qualquer outra base de dados. Em regra, os dados financeiros fornecidos pela
SWIFT devero ser eliminados no prazo mximo de cinco anos a contar da receo.
Os dados financeiros relevantes para investigaes ou aes penais especficas
245 Deciso 2010/412/UE do Conselho, de 13 de julho de 2010, relativa celebrao do Acordo entre
a Unio Europeia e os Estados Unidos da Amrica sobre o tratamento de dados de mensagens de
pagamentos financeiros e a sua transferncia da Unio Europeia para os Estados Unidos para efeitos
do Programa de Deteo do Financiamento do Terrorismo, JO2010L195, p.3 e4. O texto do Acordo
encontrase reproduzido em anexo a esta Deciso, JO2010L195, p.5-14.
246 A Instncia Comum de Controlo (ICC) da Europol realizou inspees s atividades da Europol nesta rea,
cujos resultados esto disponveis em http://europoljsb.consilium.europa.eu/reports/inspection-report.
aspx?lang=en.
151
podero ser conservados pelo perodo de tempo necessrio a essas investigaes

ou aes penais.
O Departamento do Tesouro norteamericano pode transferir informaes extradas
de dados recebidos pela SWIFT para autoridades especficas de aplicao da lei, de
segurana pblica ou de combate ao terrorismo, dentro ou fora dos Estados Unidos, exclusivamente para fins de investigao, deteo, preveno ou represso do
terrorismo e do seu financiamento. Sempre que a transferncia ulterior de dados
financeiros envolva um cidado ou residente de um Estado-Membro da UE, qualquer
partilha dos dados com as autoridades de um pas terceiro carece do consentimento
prvio das autoridades competentes do Estado-Membro interessado. Podem ser
estabelecidas excees quando a partilha dos dados for essencial para a preveno
de uma ameaa imediata e grave contra a segurana pblica.
O respeito pelos princpios do Acordo SWIFT acompanhado por supervisores independentes, incluindo uma pessoa designada pela Comisso Europeia.
As pessoas em causa tm o direito de obter a confirmao, atravs da autoridade
de proteo de dados da UE competente para o efeito, de que os direitos relativos
proteo dos seus dados foram respeitados. As pessoas em causa tm tambm o
direito de retificao, apagamento ou bloqueio dos seus dados recolhidos e armazenados pelo Departamento do Tesouro norteamericano ao abrigo do Acordo SWIFT.
No entanto, os direitos de acesso das pessoas em causa podero estar sujeitos a
certas limitaes legais. Se o acesso for recusado, a pessoa em causa deve ser informada, por escrito, da recusa e do seu direito de interpor recurso administrativo e
judicial nos Estados Unidos.
O Acordo SWIFT vigora por um perodo de cinco anos, at agosto de 2015 e renovado automaticamente por perodos sucessivos de um ano, salvo se uma das Partes
notificar a outra, com pelo menos seis meses de antecedncia, da sua inteno de
no prorrogar o Acordo.
152
7.

Proteo de dados no
contexto da atividade
policial e da justia
penal
UE
Questes
abrangidas
Em geral
Atividade policial
CdE
Conveno 108
Recomendao sobre a atividade policial
TEDH, acrdo B.B. c. Frana de 17 de
dezembro de 2009, petio n.5335/06
TEDH, acrdo S. e Marper c. Reino Unido
de 4 de dezembro de 2008, peties
n.s30562/04 e 30566/04
TEDH, acrdo Vetter c. Frana de 31 de

maio de 2005, petio n.59842/00
Cibercrime
Conveno sobre o cibercrime
Proteo de dados no contexto da cooperao transfronteiria entre as autoridades policiais e
judicirias
Deciso-Quadro relativa
Em geral
Conveno 108
proteo de dados
Deciso Prm
Deciso Europol
Deciso Eurojust
Para dados
especiais:
impresses digitais,
ADN, hooliganismo,
etc.
Por agncias
especiais
Conveno 108
Conveno 108
Regulamento Frontex
153
UE
Deciso Schengen II
Regulamento VIS
Regulamento Eurodac
Deciso SIA
Questes
abrangidas
CdE
Por sistema de
Conveno 108
informao comum Recomendao sobre a atividade policial
especial
TEDH, acrdo Dalea c. Frana de 2 de
fevereiro de 2010, petio n.964/07
O CdE e a UE aprovaram instrumentos legais especficos para conciliar o interesse

das pessoas singulares na proteo de dados e o interesse da sociedade na recolha
de dados para fins de combate criminalidade e de garantia da segurana nacional
e pblica.
7.1. Legislao do CdE sobre proteo de

dados no domnio policial e da justia
penal
Pontos-chave

A Conveno 108 e a Recomendao sobre a atividade policial do CdE abrangem a

proteo de dados em todas as reas da atividade policial.
A Conveno sobre o Cibercrime (Conveno de Budapeste) um instrumento jurdico

internacional vinculativo que diz respeito a crimes cometidos contra e atravs de redes
eletrnicas.
Ao nvel europeu, a Conveno 108 abrange todos os domnios do tratamento de

dados pessoais e as suas disposies visam regular o tratamento de dados pessoais
em geral. Consequentemente, a Conveno108 aplicvel proteo de dados no
domnio policial e da justia penal, embora as Partes Contratantes possam limitar a
sua aplicao.
As funes que a lei atribui s autoridades policiais e judicirias implicam muitas
vezes o tratamento de dados pessoais, o que poder ter srias consequncias para
as pessoas em questo. A Recomendao sobre a atividade policial, adotada pelo
CdE em 1987, fornece orientaes s Partes Contratantes sobre a concretizao dos
154
Proteo de dados no contexto da atividade policial e da justia penal
princpios consagrados na Conveno 108 no contexto dos dados pessoais tratados

pelas autoridades policiais.247
7.1.1. A Recomendao sobre a atividade policial

O TEDH tem afirmado sistematicamente que o armazenamento e a conservao
de dados pessoais pelas autoridades policiais ou de segurana nacional constituem
uma ingerncia nos direitos protegidos pelo artigo 8., n. 1, da CEDH. Muitos acrdos do TEDH respeitam justificao destas ingerncias.248
Exemplo: No processo que deu origem ao acrdo B.B. c. Frana,249 o TEDH
considerou que a incluso de uma pessoa condenada pela prtica de crimes
sexuais numa base de dados judicial estava abrangida pelo artigo8. da CEDH.
No entanto, uma vez que tinham sido implementadas garantias suficientes em
matria de proteo de dados, tais como o direito da pessoa em causa requerer o apagamento dos dados, o perodo limitado de conservao dos dados e o
acesso limitado a tais dados, tinha sido encontrado um equilbrio justo entre os
interesses privados e pblicos concorrentes em jogo. O TEDH concluiu que no
tinha havido uma violao do artigo8. da CEDH.
Exemplo: No processo que deu origem ao acrdo S. e Marper c. Reino Unido,250 ambos os requerentes tinham sido acusados da prtica de certos crimes,
mas no tinham sido condenados. No obstante, a polcia tinha conservado e
armazenado as suas impresses digitais, perfis de ADN e amostras de clulas.
A lei permitia a conservao de dados biomtricos por tempo indeterminado
nos casos em que uma pessoa fosse suspeita da prtica de um crime, ainda
que esta fosse posteriormente absolvida ou o processo fosse arquivado. O TEDH
entendeu que a conservao generalizada e indiscriminada de dados pessoais
sem qualquer limitao temporal e em que os casos em que as pessoas absolvidas podiam requerer a eliminao eram muito limitados constitua uma inge247 CdE, Comit de Ministros (1987), Recommendation Rec(87)15 to member states regulating the use of
personal data in the police sector (Recomendao Rec(87)15 aos Estados membros sobre a utilizao
de dados pessoais no setor policial), 17desetembrode1987.
248 Ver, por exemplo, TEDH, acrdo Leander c. Sucia de 26 de maro de 1987, petio n.9248/81; TEDH,
acrdo M.M. c. Reino Unido de 13denovembrode2012, petio n.24029/07; TEDH, acrdo M.K. c.
Frana de 18deabrilde2013, petio n.19522/09.
249 TEDH, acrdo B.B. c. Frana de 17dedezembrode2009, petio n.5335/06.
250 TEDH, acrdo S. e Marper c. Reino Unido de 4dedezembrode2008, peties n.s30562/04 e
30566/04, n.s 119 e 125.
155
rncia desproporcional no exerccio do direito dos requerentes ao respeito pela

vida privada. O TEDH concluiu que tinha havido uma violao do artigo8. da
CEDH.
Muitos outros acrdos do TEDH respeitam justificao da ingerncia no exerccio
do direito proteo de dados sob a forma de vigilncia.
Exemplo: No processo que deu origem ao acrdo Allan c. Reino Unido,251 as
conversas privadas de um recluso com uma amiga na sala de visitas da priso
e com um coarguido numa cela tinham sido gravadas pelas autoridades sem o
seu conhecimento. O TEDH considerou que a utilizao de dispositivos de gravao udio e vdeo na cela do requerente, na sala de visitas da priso e na pessoa
de um outro recluso correspondia a uma ingerncia no seu direito ao respeito
pela vida privada. Uma vez que no existia um regime jurdico que regulasse
a utilizao de dispositivos de gravao oculta pela polcia data relevante, a
referida ingerncia no estava de acordo com a lei. O TEDH concluiu que tinha
havido uma violao do artigo 8. da CEDH.
Exemplo: No processo que deu origem ao acrdo Klass e outros c. Alemanha,252
os requerentes alegaram que vrios atos legislativos alemes que permitiam
a vigilncia secreta da correspondncia e das telecomunicaes violavam o
artigo 8. da CEDH, especialmente porque a pessoa em causa no era informada
das medidas de vigilncia adotadas e no podiam recorrer aos tribunais aps
a cessao dessas medidas. O TEDH entendeu que uma ameaa de vigilncia
constitua necessariamente uma ingerncia na liberdade de comunicao entre
os utentes dos servios postais e de telecomunicaes. Porm, considerou que
tinham sido implementadas garantias suficientes contra abusos. O legislador
alemo tinha motivos para considerar tais medidas necessrias numa sociedade
democrtica no interesse da segurana nacional e para fins de preveno de
distrbios ou da criminalidade. O TEDH concluiu que no tinha havido uma violao do artigo 8. da CEDH.
Uma vez que o tratamento de dados pelas autoridades policiais pode ter um
impacto significativo sobre as pessoas em questo, existe uma necessidade ainda
maior de definir regras detalhadas sobre proteo de dados para a manuteno
de bases de dados nesta rea. A Recomendao sobre a atividade policial do CdE
251 TEDH, acrdo Allan c. Reino Unido de 5denovembrode2002, petio n. 48539/99.
252 TEDH, acrdo Klass e outros c. Alemanha de 6desetembrode1978, petio n.5029/71.
156
procurou responder a esta questo fornecendo orientaes sobre o modo de recolha dos dados para fins relacionados com o trabalho da polcia; o modo de conservao dos ficheiros de dados nesta rea; as pessoas que devero ter acesso a estes
ficheiros, incluindo as condies da transferncia de dados para autoridades policiais
estrangeiras; o modo como as pessoas em causa devero poder exercer os seus
direitos proteo de dados; e o modo de implementao do controlo por autoridades independentes. Tambm considerada a obrigao de garantir uma segurana
adequada dos dados.
A Recomendao no prev uma recolha ilimitada, indiscriminada de dados por
parte das autoridades policiais, limitandoa ao que for necessrio para prevenir um
perigo real ou pr termo a um crime especfico. A recolha de outros dados teria de
se basear em legislao nacional especfica. O tratamento de dados sensveis dever
limitarse ao que for absolutamente necessrio no contexto de um determinado
inqurito.
Sempre que forem recolhidos dados pessoais sem o conhecimento da pessoa em
causa, esta dever ser informada da recolha de dados assim que essa divulgao j
no comprometer a investigao. A recolha de dados atravs de meios tcnicos de
vigilncia ou de outros meios automatizados tambm se dever basear em disposies legais especficas.
Exemplo: No processo que deu origem ao acrdo Vetter c. Frana,253 o requerente tinha sido acusado de homicdio por testemunhas annimas. Uma vez
que o requerente visitava regularmente a casa de um amigo, a polcia instalou
a dispositivos de escuta com a autorizao do juiz de instruo. Com base nas
conversas gravadas, o requerente foi detido e julgado por homicdio. Requereu
ao tribunal que a gravao fosse declarada inadmissvel como meio probatrio, alegando, em especial, que no estava prevista na lei. Segundo o TEDH, o
que importava determinar era se a utilizao de dispositivos de escuta estava
de acordo com a lei. A colocao de dispositivos de escuta em espaos privados estava manifestamente fora do mbito de aplicao do artigo 100. e
segs. do Cdigo de Processo Penal, dado que estas disposies respeitavam
interceo de linhas telefnicas. O artigo 81. do Cdigo no estabelecia, com
uma clareza razovel, o mbito ou o modo de exerccio da discricionariedade
das autoridades na autorizao da monitorizao de conversas privadas. Nesta
253 TEDH, acrdo Vetter c. Frana de 31demaiode2005, petio n.59842/00.
157
conformidade, o requerente no tinha usufrudo do grau mnimo de proteo a

que os cidados tinham direito ao abrigo do princpio do Estado de direito numa
sociedade democrtica. O TEDH concluiu que tinha havido uma violao do
artigo 8. da CEDH.
A Recomendao conclui que, no armazenamento de dados pessoais, deveria ser
feita uma distino clara entre: dados administrativos e dados policiais; diferentes tipos de pessoas em causa, tais como arguidos, condenados, vtimas e testemunhas; e dados considerados factos objetivos e dados baseados em suspeitas ou
especulao.
A finalidade dos dados policiais deveria ser rigorosamente limitada. Isto tem consequncias para a comunicao de dados policiais a terceiros: a legitimidade da transferncia ou comunicao desses dados dentro do setor policial deveria depender da
existncia ou no de um interesse legtimo em partilhar a informao. A transferncia ou comunicao desses dados fora do setor policial s deveria ser permitida
quando existisse uma autorizao ou obrigao legal clara nesse sentido. A transferncia ou comunicao internacional deveria restringirse s autoridades policiais
estrangeiras e basearse em disposies legais especiais, possivelmente acordos
internacionais, salvo se fosse necessria para a preveno de um perigo grave e
iminente.
O tratamento de dados pela polcia deve estar sujeito a um controlo independente
para assegurar o cumprimento da legislao interna sobre proteo de dados. As
pessoas em causa devem ter todos os direitos de acesso previstos na Conveno
108. Nos casos em que os direitos de acesso das pessoas em causa tenham sido
restringidos em conformidade com o artigo 9. da Conveno 108 no interesse de
uma investigao policial eficaz, o direito nacional deve atribuir pessoa em causa o
direito de recorrer para a autoridade nacional de controlo responsvel pela proteo
de dados ou para outro rgo independente.
7.1.2. Conveno de Budapeste sobre o Cibercrime

Uma vez que as atividades criminais utilizam e afetam cada vez mais sistemas
eletrnicos de tratamento de dados, so necessrias novas disposies legais na
rea do direito penal para responder a este desafio. Por conseguinte, o CdE adotou
um instrumento jurdico internacional a Conveno sobre o Cibercrime (tambm
conhecida como a Conveno de Budapeste) para responder questo dos crimes
158
cometidos contra e atravs de redes eletrnicas.254 Esta Conveno tambm est

aberta adeso de pases que no sejam membros do CdE e, em meados de 2013,
quatroEstados no pertencentes ao CdE Austrlia, Repblica Dominicana, Japo
e Estados Unidos eram partes na Conveno e 12outros pases no membros
tinham assinado a Conveno ou tinham sido convidados a aderir.
A Conveno sobre o Cibercrime continua a ser o tratado internacional mais
influente em matria de violaes da lei atravs da Internet ou de outras redes de
informao. Exige que as Partes atualizem e harmonizem o seu direito penal contra
a pirataria informtica e outras violaes de segurana, incluindo violao de direitos de autor, burla informtica, pornografia infantil e outras ciberatividades ilcitas.
A Conveno tambm prev poderes processuais que abrangem buscas em redes
informticas e a interceo de comunicaes no contexto da luta contra o cibercrime. Por ltimo, viabiliza uma cooperao internacional eficaz. Foi adotado um
protocolo adicional Conveno relativo incriminao de atos de natureza racista e
xenfoba praticados atravs de sistemas informticos.
Embora a Conveno no seja, per se, um instrumento de promoo da proteo de
dados, incrimina atos suscetveis de violar o direito das pessoas proteo dos seus
dados. Estabelece ainda sobre as Partes Contratantes a obrigao de, ao implementarem a Conveno, preverem uma proteo adequada dos direitos humanos e das
liberdades garantidos pela CEDH, nomeadamente o direito proteo de dados.255
7.2. Legislao da UE sobre proteo

dedados em matria policial e penal
Pontos-chave

Ao nvel da UE, a proteo de dados no setor policial e da justia penal s est regulada
no contexto da cooperao transfronteiria entre as autoridades policiais e judicirias.
Foram estabelecidos regimes especiais de proteo de dados para o Servio Europeu de Polcia (Europol) e a Unidade Europeia de Cooperao Judiciria (Eurojust), dois
rgos da UE que apoiam e promovem a aplicao efetiva da lei transfronteiras.
254 Conselho da Europa, Comit de Ministros (2001), Conveno sobre o Cibercrime, STCE n.185,
Budapeste, 23denovembrode2001, que entrou em vigor em 1dejulhode2004.
255 Ibid., artigo 15., n. 1.
159
Existem tambm regimes especiais de proteo de dados para os sistemas de informao comuns que foram estabelecidos ao nvel da UE para fins de intercmbio transfronteirio de informaes entre as autoridades policiais e judicirias competentes. So
exemplos importantes o SchengenII, o Sistema de Informao sobre Vistos(VIS) e o
Eurodac, um sistema centralizado que contm os dados dactiloscpicos de nacionais de
pases terceiros que apresentem um pedido de asilo num dos Estados-Membros da UE.
A Diretiva de Proteo de Dados no aplicvel no domnio policial e da justia

penal. A seco7.2.1 descreve os instrumentos jurdicos mais importantes nesta
rea.
7.2.1. A Deciso-Quadro relativa proteo de dados

A Deciso-Quadro 2008/977/JAI do Conselho relativa proteo dos dados pessoais
tratados no mbito da cooperao policial e judiciria em matria penal (DecisoQuadro relativa proteo de dados)256 visa assegurar a proteo dos dados pessoais das pessoas singulares quando estes so tratados para efeitos de preveno,
investigao ou represso de infraes penais ou de execuo de sanes penais.
Os Estados-Membros e a UE so representados por autoridades competentes que
trabalham no setor policial ou da justia penal. Estas autoridades so agncias ou
organismos da UE, bem como autoridades dos Estados-Membros.257 A aplicabilidade da Deciso-Quadro est limitada garantia da proteo dos dados no mbito
da cooperao transfronteiria entre estas autoridades e no abrange a segurana
nacional.
A Deciso-Quadro relativa Proteo de Dados baseiase, em grande parte, nos
princpios e definies constantes da Conveno 108 e da Diretiva de Proteo de
Dados.
Os dados s podem ser utilizados por uma autoridade competente e exclusivamente para a finalidade para que foram transmitidos ou disponibilizados. O EstadoMembro destinatrio obrigado a respeitar as restries ao intercmbio de dados
eventualmente impostas pela legislao do Estado-Membro transmitente. Porm, em
certos casos, o Estado destinatrio pode utilizar os dados para uma finalidade diferente. As autoridades competentes tm o dever especfico de registar e documentar as transmisses, com vista a ajudar a identificar claramente as responsabilidades
256 Conselho da Unio Europeia (2008), Deciso-Quadro 2008/977/JAI do Conselho, de
27denovembrode2008, relativa proteo dos dados pessoais no mbito da cooperao policial e
judiciria em matria penal (Deciso-Quadro relativa proteo de dados), JO2008L350.
257 Ibid., artigo 2., al. h)
160
emergentes de queixas. A transferncia ulterior de dados recebidos no mbito da

cooperao transfronteira para terceiros exige o consentimento do Estado-Membro
de onde os dados provm, embora estejam previstas excees para casos urgentes.
As autoridades competentes devem tomar as medidas de segurana necessrias
para proteger os dados pessoais contra qualquer forma ilcita de tratamento.
Cada Estado-Membro deve assegurar a designao de uma ou vrias autoridades
nacionais de controlo responsveis pelo aconselhamento e pela fiscalizao da aplicao das disposies adotadas nos termos da Deciso-Quadro relativa proteo
de dados. Qualquer pessoa pode apresentar autoridade de controlo um pedido de
proteo dos seus direitos e liberdades no que diz respeito ao tratamento de dados
pessoais pelas autoridades competentes.
A pessoa em causa tem o direito de ser informada sobre o tratamento dos seus
dados pessoais, bem como o direito de acesso, retificao, apagamento ou bloqueio.
Quando o exerccio destes direitos for recusado por razes preponderantes, a pessoa em causa deve ter o direito de recorrer para a autoridade nacional de controlo
competente e/ou para um tribunal. Qualquer pessoa que sofra um prejuzo devido
a violaes das disposies nacionais de execuo da Deciso-Quadro relativa
proteo de dados tem o direito de obter uma indemnizao do responsvel pelo
tratamento.258 De um modo geral, as pessoas em causa devem poder recorrer judicialmente em caso de violao dos direitos garantidos pela legislao nacional de
execuo da Deciso-Quadro relativa proteo de dados.259
A Comisso Europeia props uma reforma legislativa, que consiste num Regulamento geral sobre a proteo de dados,260 e numa Diretiva geral sobre a proteo
de dados.261 Esta nova diretiva ir substituir a atual Diretiva de Proteo de Dados e
aplicar princpios e regras gerais cooperao policial e judiciria em matria penal.
258 Ibid., artigo 19..
259 Ibid., artigo 20..
260 Comisso Europeia (2012), Proposta de Regulamento do Parlamento Europeu e do Conselho relativo
proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e livre
circulao desses dados (Regulamento geral sobre a proteo de dados), COM(2012)11final, Bruxelas,
25dejaneirode2012.
261 Comisso Europeia (2012), Proposta de Diretiva do Parlamento Europeu e do Conselho relativo
proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades
competentes para efeitos de preveno, investigao, deteo e represso de infraes penais ou
de execuo de sanes penais, e livre circulao desses dados (Diretiva geral sobre a proteo de
dados), COM(2012)10final, Bruxelas, 25dejaneirode2012.
161
7.2.2. Instrumentos jurdicos mais especficos sobre

a proteo de dados no mbito da cooperao
transfronteiria entre autoridades policiais e
judicirias
Para alm da Deciso-Quadro relativa proteo de dados, existem outros instrumentos jurdicos que regulam o intercmbio de informaes detidas pelos EstadosMembros em reas especficas, tais como a Deciso-Quadro2009/315/JAI do Conselho relativa organizao e ao contedo do intercmbio de informaes extradas
do registo criminal entre os Estados-Membros e a Deciso do Conselho relativa a
disposies de cooperao entre as unidades de informao financeira dos EstadosMembros em matria de troca de informaes.262
Importa salientar que a cooperao transfronteiria263 entre as autoridades competentes envolve, cada vez mais, o intercmbio de dados sobre imigrao. Esta rea
do direito no se enquadra no domnio policial e da justia penal, mas , em muitos
aspetos, relevante para o trabalho das autoridades policiais e judicirias. O mesmo
vlido em relao aos dados sobre mercadorias importadas para a UE ou exportadas
da UE. A eliminao dos controlos fronteirios internos dentro da UE exacerbou o
risco de fraude, obrigando os Estados-Membros a intensificar a cooperao, sobretudo atravs do reforo do intercmbio transfronteirio de informaes, a fim de
detetar e reprimir mais eficazmente atos que violem a legislao aduaneira nacional
e da UE.
A Deciso Prm
Um exemplo importante da cooperao transfronteiras institucionalizada atravs do
intercmbio de dados detidos por autoridades nacionais a Deciso2008/615/JAI
do Conselho relativa ao aprofundamento da cooperao transfronteiras, em particular no domnio da luta contra o terrorismo e a criminalidade transfronteiras (Deciso
262 Conselho da Unio Europeia (2009), Deciso-Quadro 2009/315/JAI do Conselho, de
26defevereirode2009, relativa organizao e ao contedo do intercmbio de informaes extradas
do registo criminal entre os Estados-Membros, JO2009L93; Conselho da Unio Europeia (2000),
Deciso 2000/642/JAI do Conselho, de 17deoutubrode2000, relativa a disposies de cooperao
entre as unidades de informao financeira dos Estados-Membros em matria de troca de informaes,
JO2000L271.
263 Comisso Europeia (2012), Comunicao da Comisso ao Parlamento Europeu e ao Conselho Reforar
a cooperao em matria de aplicao da lei na UE: o modelo europeu de intercmbio de informaes
(EIXM), COM(2012)735final, Bruxelas, 7dedezembrode2012.
162
Prm), que incorporou o Tratado de Prmno direito da UE em2008.264 O Tratado de

Prm era um acordo internacional sobre cooperao policial assinado em 2005 pela
ustria, Blgica, Frana, Alemanha, Luxemburgo, Pases Baixos e Espanha.265
A Deciso Prm visa ajudar os Estados-Membros a melhorar a partilha de informaes para fins de preveno e de luta contra a criminalidade em trs domnios: terrorismo, criminalidade transfronteiras e migrao ilegal. Para esse efeito, a Deciso
estabelece disposies relativas:
ao acesso automatizado a perfis de ADN, a dados dactiloscpicos e a certos
dados do registo nacional de veculos;
ao fornecimento de dados relacionados com eventos importantes de alcance
transfronteirio;
ao fornecimento de informaes para a preveno de atentados terroristas;
a outras medidas de aprofundamento da cooperao policial transfronteiras.
As bases de dados disponibilizadas ao abrigo da Deciso Prm so inteiramente
reguladas pelo direito nacional, mas o intercmbio de dados simultaneamente
regulado pela Deciso e, mais recentemente, pela Deciso-Quadro relativa proteo de dados. Os rgos competentes para fiscalizar estes fluxos de dados so as
autoridades nacionais de controlo responsveis pela proteo de dados.
7.2.3. Proteo de dados na Europol e na Eurojust

Europol
A Europol, o servio de polcia da UE, tem a sua sede na Haia, existindo uma Unidade
Nacional Europol (UNE) em cada Estado-Membro. A Europol foi criada em1998;
o seu atual estatuto jurdico como instituio da UE tem por base a Deciso do
264 Conselho da Unio Europeia (2008), Deciso 2008/615/JAI do Conselho, de 23dejunhode2008,
relativa ao aprofundamento da cooperao transfronteiras, em particular no domnio da luta contra o
terrorismo e a criminalidade transfronteiras, JO2008L210.
265 Conveno entre o Reino da Blgica, a Repblica Federal da Alemanha, o Reino de Espanha, a Repblica
Francesa, o GroDucado do Luxemburgo, o Reino dos Pases Baixos e a Repblica da ustria relativa ao
aprofundamento da cooperao transfronteiras, em particular no domnio da luta contra o terrorismo
e a criminalidade transfronteiras, disponvel em: http://register.consilium.europa.eu/pdf/en/05/st10/
st10900.en05.pdf.
163
Conselho que cria o Servio Europeu de Polcia (Deciso Europol).266 A Europol tem
por objetivo apoiar a preveno e a investigao da criminalidade organizada, do
terrorismo e de outras formas graves de criminalidade, enumeradas no anexo
Deciso Europol, que afetem dois ou mais Estados-Membros.
A fim de atingir os seus objetivos, a Europol criou o Sistema de Informaes Europol,
que proporciona uma base de dados para os Estados-Membros trocarem dados e
informaes de natureza penal atravs das respetivas UNE. O Sistema de Informaes Europol apenas pode ser utilizado para disponibilizar dados relativos a: pessoas
que sejam suspeitas da prtica de uma infrao penal da competncia da Europol ou
que tinham sido condenadas por alguma dessas infraes; ou pessoas relativamente
s quais haja indcios factuais de que tenham praticado essas infraes. A Europol e
as UNE podem introduzir diretamente dados no Sistema de Informaes Europol e
consultlos. Apenas a parte que introduziu os dados no sistema pode proceder sua
alterao, retificao ou apagamento.
Quando tal seja necessrio para o desempenho das suas funes, a Europol pode
conservar, alterar e utilizar dados relativos a infraes penais em ficheiros de anlise. Os ficheiros de anlise so criados para efeitos de compilao, tratamento ou
utilizao de dados com o objetivo de apoiar investigaes criminais concretas conduzidas pela Europol em conjunto com os Estados-Membros da UE.
Em resposta aos novos desenvolvimentos, foi criado o Centro Europeu da Cibercriminalidade no seio da Europol em 1dejaneirode2013.267 O centro serve de ponto de
convergncia europeu das informaes sobre cibercriminalidade, contribuindo para
reaes mais rpidas no caso dos crimes em linha, desenvolvendo e implementando
funcionalidades forenses digitais e aplicando as melhores prticas no domnio da
investigao de cibercrimes. O centro dedica especial ateno aos cibercrimes que:
266 Conselho da Europa (2009), Deciso do Conselho, de 6 de abril de 2009, que cria o Servio Europeu de
Polcia (Europol), JO2009L121. Ver tambm a Proposta da Comisso para um regulamento que prev,
por conseguinte, um quadro jurdico para uma nova Europol, que substitui e sucede Europol criada
pela Deciso 2009/371/JAI do Conselho, de 6deabrilde2009, que cria o Servio Europeu de Polcia
(Europol) , bem como CEPOL criada pela Deciso 2005/681/JAI do Conselho, que cria a Academia
Europeia de Polcia (CEPOL), COM(2013)173final.
267 Ver tambm AEPD (2012), Parecer da Autoridade Europeia para a Proteo de Dados sobre a
Comunicao da Comisso Europeia ao Conselho e ao Parlamento Europeu relativa criao de um
Centro Europeu da Cibercriminalidade, Bruxelas, 29dejunhode2012 [apenas est disponvel em PT a
sntese do parecer].
164
so praticados por grupos criminosos organizados para gerar grandes lucros,

como a fraude em linha;
causam danos graves s vtimas, como a explorao sexual de crianas em linha;
afetam infraestruturas e sistemas de informao crticos da UE.
O regime de proteo de dados aplicvel s atividades da Europol reforado. No
seu artigo27., a Deciso Europol estabelece a aplicabilidade dos princpios consagrados na Conveno108 e na Recomendao sobre a atividade policial em matria de tratamento de dados automatizados e no automatizados. A transmisso de
dados entre a Europol e os Estados-Membros tambm tem de respeitar as regras
previstas na Deciso-Quadro relativa proteo de dados.
A fim de assegurar o cumprimento da legislao sobre proteo de dados aplicvel e, em especial, que o tratamento de dados pessoais no viola os direitos das
pessoas, a Instncia Comum de Controlo (ICC) fiscaliza e controla as atividades da
Europol.268 Todas as pessoas tm o direito de acesso a quaisquer dados pessoais que
a Europol mantenha a seu respeito, bem como o direito de requerer a verificao,
retificao ou apagamento dos mesmos. Se uma pessoa no ficar satisfeita com a
deciso da Europol sobre o exerccio destes direitos, poder recorrer para o Comit
de Recursos da ICC.
Se ocorrerem danos devido existncia de erros de facto ou de direito nos dados
conservados ou tratados pela Europol, a parte lesada s poder recorrer ao tribunal
competente do Estado-Membro onde ocorreu o facto gerador do dano.269 A Europol
reembolsar o Estado-Membro se os danos resultarem do incumprimento das suas
obrigaes legais.
Eurojust
Criada em 2002, a Eurojust um rgo da UE com sede na Haia, que promove a cooperao judiciria no mbito de investigaes e procedimentos penais relacionados
268 Deciso Europol, artigo 34.

269 Ibid., artigo 52.
165
com formas graves de criminalidade que impliquem dois ou mais EstadosMembros.270 A Eurojust competente para:
incentivar e melhorar a coordenao das investigaes e procedimentos penais
entre as autoridades dos vrios Estados-Membros;
facilitar a execuo de pedidos e decises relacionados com cooperao
judiciria.
As funes da Eurojust so desempenhadas por membros nacionais. Cada EstadoMembro destaca um juiz ou procurador para a Eurojust, cujo estatuto est sujeito ao
direito nacional e a quem so atribudas as competncias exigidas para o desempenho das funes necessrias ao incentivo e melhoria da cooperao judiciria. Alm
disso, os membros nacionais atuam colegialmente para desempenhar funes especiais da Europol.
A Eurojust pode tratar dados pessoais, desde que tal seja necessrio para alcanar os seus objetivos. Porm, este tratamento est limitado a informaes especficas sobre pessoas suspeitas da prtica ou da participao em infraes penais
da competncia da Eurojust ou condenadas por tais infraes. A Eurojust tambm
pode tratar certas informaes sobre testemunhas ou vtimas de infraes penais
abrangidas pela sua esfera de competncia.271 Em casos excecionais, a Eurojust pode
tratar, durante um perodo de tempo limitado, outros dados pessoais relativos s circunstncias em que foi cometida uma infrao quando os mesmos seja de interesse
imediato para uma investigao em curso. No mbito da sua competncia, a Eurojust
pode cooperar e trocar dados pessoais com outras instituies, rgos e agncias da
UE. A Eurojust pode igualmente cooperar e trocar dados pessoais com organizaes
e pases terceiros.
Relativamente proteo de dados, a Eurojust deve garantir um nvel de proteo
pelo menos equivalente aos princpios consagrados na Conveno 108 do Conselho
270 Conselho da Unio Europeia (2002), Deciso 2002/187/JAI do Conselho, de 28defevereirode2002,
relativa criao da Eurojust a fim de reforar a luta contra as formas graves de criminalidade,
JO2002L63; Conselho da Unio Europeia (2003), Deciso 2003/659/JAI do Conselho, de
18dejunhode2003, que altera a Deciso2002/187/JAI do Conselho relativa criao da Eurojust
a fim de reforar a luta contra as formas graves de criminalidade, JO2003L245; Conselho da Unio
Europeia (2009), Deciso 2009/426/JAI do Conselho, de 16dedezembrode2008, relativa ao reforo
da Eurojust e que altera a Deciso 2002/187/JAI do Conselho relativa criao da Eurojust a fim de
reforar a luta contra as formas graves de criminalidade, JO2009L138 (Decises Eurojust).
271 Verso consolidada da Deciso 2002/187/JAI do Conselho, na redao que lhe foi dada pela
Deciso2003/659/JAI do Conselho e pela Deciso 2009/426/JAI do Conselho, artigo 15., n. 2.
166
da Europa na redao em vigor. Em casos de intercmbio de dados, devem ser

respeitadas regras e limitaes especficas, que so estabelecidas em acordos ou
mecanismos de cooperao em conformidade com as Decises Eurojust do Conselho e as Regras da Eurojust relativas proteo dados.272
Foi criada uma ICC independente da Eurojust, que responsvel pelo controlo do
tratamento de dados pessoais efetuado por esta. As pessoas que no estiverem
satisfeitas com a resposta dada pela Eurojust a um pedido de acesso, retificao,
bloqueio ou apagamento de dados pessoais podem recorrer para a ICC. Se a Eurojust
tratar ilicitamente dados pessoais, ser responsvel, em conformidade com a legislao nacional do Estado-Membro onde se situa a sua sede, os Pases Baixos, por
quaisquer danos causados pessoa em causa.
7.2.4. Proteo de dados nos sistemas de informao

comuns ao nvel da UE
Para alm do intercmbio de dados entre os Estados-Membros e a criao de autoridades da UE especializadas com o objetivo de combater a criminalidade transfronteiria, foram estabelecidos vrios sistemas de informao comuns ao nvel da UE para
servir de plataforma ao intercmbio de dados entre as autoridades nacionais e da UE
competentes para determinados fins de aplicao da lei, nomeadamente no domnio aduaneiro e da imigrao. Alguns destes sistemas resultaram de acordos multilaterais que foram posteriormente complementados por sistemas e instrumentos
jurdicos da UE, tais como o Sistema de Informao de Schengen, o Sistema de Informao sobre Vistos, o Eurodac, o Eurosur ou o Sistema de Informao Aduaneiro.
A Agncia Europeia para a Gesto Operacional de Sistemas Informticos de Grande
Escala (eu-LISA),273 criada em2012, responsvel pela gesto operacional a longo
prazo do Sistema de Informao de Schengen de segunda gerao (SISII), do Sistema de Informao sobre Vistos (VIS) e do Eurodac. A principal funo da euLISA
consiste em assegurar o funcionamento eficaz, seguro e ininterrupto dos sistemas
informticos. igualmente responsvel pela adoo das medidas necessrias para
garantir a segurana dos sistemas e dos dados.
272 Disposies do Regulamento Interno da Eurojust relativas ao Tratamento e Proteo de Dados

Pessoais, JO2005C68/01, 19demarode2005, p.1.
273 Regulamento (UE) n.1077/2011 do Parlamento Europeu e do Conselho, de 25deoutubrode2011,
que cria uma Agncia europeia para a gesto operacional de sistemas informticos de grande escala no
espao de liberdade, segurana e justia, JO2011L286.
167
O Sistema de Informao de Schengen

Em 1985, vrios Estados-Membros das antigas Comunidades Europeias celebraram
o Acordo entre os Estados da Unio Econmica Benelux, a Alemanha e a Frana
relativo supresso gradual dos controlos nas suas fronteiras comuns (Acordo
de Schengen), com o objetivo de criar um espao de livre circulao de pessoas,
sem controlos fronteirios, dentro do territrio Schengen.274 A fim de neutralizar
a ameaa para a segurana pblica suscetvel de resultar da abertura das fronteiras, foram reforados os controlos nas fronteiras externas do espao Schengen e
estabelecida uma estreita cooperao entre as autoridades policiais e judicirias
nacionais.
Em virtude da adeso de outros Estados ao Acordo de Schengen, o sistema Schengen foi finalmente integrado no quadro jurdico da UE pelo Tratado de Amesterdo.275 Esta deciso foi implementada em 1999. A mais recente verso do Sistema de Informao de Schengen, o chamado SISII, entrou em funcionamento em
9deabril de 2013. Este sistema serve agora todos os Estados-Membros da UE e
ainda a Islndia, o Listenstaine, a Noruega e a Sua.276 A Europol e a Eurojust tambm tm acesso ao SISII.
O SISII composto por um sistema central (CSIS), um sistema nacional (NSIS) em
cada Estado-Membro e uma infraestrutura de comunicao ente o sistema central e
os sistemas nacionais. O CSIS contm certos dados introduzidos pelos Estados-Membros sobre pessoas e objetos. O CSIS utilizado pelas autoridades nacionais responsveis pelo controlo fronteirio e pela emisso de vistos, bem como pelas autoridades policiais, aduaneiras e judicirias nacionais em todo o espao Schengen. Cada
um dos Estados-Membros gere uma cpia nacional do CSIS os Sistemas Nacionais
de Informao de Schengen (NSIS) que constantemente atualizada, atualizando
assim o CSIS. O NSIS consultado e emitir uma indicao quando:
274 Acordo entre os Governos dos Estados da Unio Econmica Benelux, da Repblica Federal da
Alemanha e da Repblica Francesa relativo supresso gradual dos controlos nas fronteiras comuns,
JO2000L239.
275 Comunidades Europeias (1997), Tratado de Amesterdo que altera o Tratado da Unio Europeia,
os Tratados que instituem as Comunidades Europeias e alguns atos relativos a esses Tratados,
JO1997C340.
276 Regulamento (CE) n.1987/2006 do Parlamento Europeu e do Conselho, de 20dedezembrode2006,
relativo ao estabelecimento, ao funcionamento e utilizao do Sistema de Informao de Schengen
de segunda gerao, JO2006L381 (SISII) e Conselho da Unio Europeia (2007), Deciso2007/533/JAI
do Conselho, de 12dejunhode2007, relativa ao estabelecimento, ao funcionamento e utilizao do
Sistema de Informao Schengen de segunda gerao (SISII), JO2007L205.
168
a pessoa no tiver o direito de entrar ou permanecer no territrio Schengen;

a pessoa ou objeto for procurado por autoridades policiais ou judicirias;
tiver sido participado o desaparecimento da pessoa; ou
tiver sido participado o furto ou extravio das mercadorias, nomeadamente notas
de banco, automveis, carrinhas, armas de fogo e documentos de identificao.
Caso seja emitida uma indicao, devem ser iniciadas atividades de seguimento
atravs dos Sistemas Nacionais de Informao de Schengen.
O SIS II possui novas funcionalidades, nomeadamente a possibilidade de introduzir:
dados biomtricos, tais como impresses digitais e fotografias; ou novas categorias
de indicaes, tais como embarcaes, aeronaves, contentores ou meios de pagamento furtados; e melhores indicaes sobre pessoas e objetos; cpias dos mandados de deteno europeus (MDE) emitidos contra pessoas procuradas para efeitos
de deteno, entrega ou extradio.
A Deciso 2007/533/JAI do Conselho relativa ao estabelecimento, ao funcionamento
e utilizao do Sistema de Informao Schengen de segunda gerao (Deciso
Schengen II) incorpora a Conveno 108: Os dados pessoais tratados em aplicao da presente deciso so protegidos nos termos da Conveno do Conselho da
Europa para a Proteo das Pessoas relativamente ao Tratamento Automatizado de
Dados de Carter Pessoal.277 Sempre que as autoridades policiais nacionais utilizem
dados pessoais em aplicao da Deciso SchengenII, as disposies da Conveno
108, bem como da Recomendao sobre a atividade policial, tm de ser implementadas no direito nacional.
A autoridade nacional de controlo competente em cada Estado-Membro responsvel pela superviso do NSIS interno. Deve, em especial, verificar a qualidade dos
dados que o Estado-Membro introduz no CSIS atravs do NSIS. A autoridade nacional
de controlo deve assegurar a realizao de uma auditoria s operaes de tratamento de dados no NSIS interno pelo menos de quatro em quatro anos. As autoridades nacionais de controlo e a AEPD cooperam e asseguram a superviso coordenada do SIS, sendo a AEPD responsvel pela superviso do C-SIS. Por uma questo
relativa ao estabelecimento, ao funcionamento e utilizao do Sistema de Informao Schengen de
segunda gerao, JO2007L205, artigo 57.
169
de transparncia, enviado um relatrio conjunto de atividades para o Parlamento

Europeu, o Conselho e a euLISA de dois em dois anos.
As pessoas podem exercer os seus direitos de acesso relativos ao SIS II em qualquer
Estado-Membro, dado que cada N-SIS uma cpia exata do CSIS.
Exemplo: No processo que deu origem ao acrdo Dalea c. Frana,278 foi recusado ao requerente um visto para visitar Frana, dado que as autoridades francesas tinham comunicado ao Sistema de Informao Schengen que a entrada
dessa pessoa deveria ser recusada. O requerente procurou exercer, sem xito,
os seus direitos de acesso e retificao ou apagamento dos dados perante a
Comisso para a Proteo de Dados francesa e, em ltima instncia, perante o
Conselho de Estado. O TEDH considerou que a incluso do requerente no Sistema de Informao de Schengen tinha sido efetuada de acordo com a lei e
tinha prosseguido o objetivo legtimo de defender a segurana nacional. Uma
vez que o requerente no demonstrara os danos efetivamente sofridos em
resultado da recusa de entrada no espao Schengen e dada que tinham sido
adotadas medidas suficientes para o proteger de decises arbitrrias, a ingerncia no exerccio do seu direito ao respeito pela vida privada tinha sido proporcional. Por conseguinte, a queixa do requerente ao abrigo do artigo8. foi
declarada inadmissvel.
O Sistema de Informao sobre Vistos

O Sistema de Informao sobre Vistos (VIS), tambm da responsabilidade da euLISA, foi desenvolvido com o objetivo de apoiar a implementao de uma poltica
comum em matria de vistos ao nvel da UE.279 O VIS permite aos Estados Schengen
trocar dados sobre vistos atravs de um sistema que estabelece a ligao entre os
consulados desses Estados em pases no pertencentes UE e pontos de passagem
278 TEDH, acrdo Dalea c. Frana (deciso sobre a admissibilidade) de 2defevereirode2010, petio
n.964/07.
279 Conselho da Unio Europeia (2004), Deciso do Conselho de 8dejunhode2004 que estabelece
o Sistema de Informao sobre Vistos (VIS), JO2004L213; Regulamento (CE) n.767/2008 do
Parlamento Europeu e do Conselho, de 9dejulhode2008, relativo ao Sistema de Informao sobre
Vistos(VIS) e ao intercmbio de dados entre os Estados-Membros sobre os vistos de curta durao,
JO2008L218 (Regulamento VIS); Conselho da Unio Europeia (2008), Deciso2008/633/JAI do
Conselho, de 23dejunhode2008, relativa ao acesso para consulta ao Sistema de Informao sobre
Vistos(VIS) por parte das autoridades designadas dos Estados-Membros e por parte da Europol para
efeitos de preveno, deteo e investigao de infraes terroristas e outras infraes penais graves,
JO2008L218.
170
das fronteiras externas. O VIS trata dados relativos a pedidos de vistos de curta
durao apresentados por pessoas que pretendem visitar ou que se encontram em
trnsito pelo espao Schengen. O VIS permite que as autoridades fronteirias verifiquem, com o auxlio de dados biomtricos, se a pessoa que apresenta o visto ou
no o seu legtimo titular e identifiquem pessoas sem documentos ou com documentos obtidos fraudulentamente.
Nos termos do Regulamento (CE) n.767/2008 do Parlamento Europeu e do Conselho relativo ao Sistema de Informao sobre Vistos (VIS) e ao intercmbio de dados
entre os Estados-Membros sobre os vistos de curta durao (Regulamento VIS),
apenas podem ser registados no VIS dados sobre o requerente, os seus vistos, fotografias, impresses digitais, ligaes para pedidos anteriores e processos de pedidos
de visto das pessoas que o acompanham.280 O acesso ao VIS para introduzir, alterar
ou apagar dados est reservado s autoridades responsveis pela emisso de vistos dos Estados-Membros, enquanto o acesso para consulta dos dados concedido
s autoridades responsveis pela emisso de vistos e s autoridades competentes
para realizar controlos nos pontos de passagem das fronteiras externas e controlos
em matria de imigrao e de asilo. Em certas condies, as autoridades policiais
nacionais competentes e a Europol podem requerer o acesso a dados introduzidos
no VIS para efeitos de preveno, deteo e investigao de infraes terroristas e
infraes penais.281
Eurodac
O nome do Eurodac tem origem na palavra dactilograma, ou seja, impresso digital. Tratase de um sistema centralizado que contm os dados dactiloscpicos de
nacionais de pases terceiros que pedem asilo num dos Estados-Membros da UE.282
O sistema est operacional desde janeiro de 2003 e visa ajudar a determinar que
280 Artigo 5. do Regulamento (CE) n.767/2008 do Parlamento Europeu e do Conselho, de
9dejulhode2008, relativo ao Sistema de Informao sobre Vistos (VIS) e ao intercmbio de dados
entre os Estados-Membros sobre os vistos de curta durao (Regulamento VIS), JO2008L218.
relativa ao acesso para consulta ao Sistema de Informao sobre Vistos (VIS) por parte das autoridades
designadas dos Estados-Membros e por parte da Europol para efeitos de preveno, deteo e
investigao de infraes terroristas e outras infraes penais graves, JO2008L218.
282 Regulamento (CE) n.2725/2000 do Conselho, de 11dedezembrode2000, relativo criao
do sistema Eurodac de comparao de impresses digitais para efeitos da aplicao efetiva da
Conveno de Dublim, JO2000L316; Regulamento (CE) n.407/2002 do Conselho, de 28 de fevereiro
de 2002, que fixa determinadas regras de execuo do Regulamento CE) n.2725/2000 relativo
criao do sistema Eurodac de comparao de impresses digitais para efeitos da aplicao efetiva da
Conveno de Dublim, JO2002L62 (Regulamento Eurodac).
171
Estado-Membro deveria ser responsvel pela anlise de um determinado pedido

de asilo ao abrigo do Regulamento (CE) n.343/2003 do Conselho que estabelece
os critrios e mecanismos de determinao do Estado-Membro responsvel pela
anlise de um pedido de asilo apresentado num Estado-Membro por um nacional
de um pas terceiro (Regulamento DublimII).283 Os dados pessoais constantes do
Eurodac s podem ser utilizados para efeitos de facilitar a aplicao do Regulamento
DublimII; qualquer outra utilizao est sujeita a sanes.
O Eurodac consiste numa unidade central, gerida pela eu-LISA, para registar e comparar impresses digitais, e um sistema de transmisso eletrnica de dados entre
os Estados-Membros e a base de dados central. Os Estados-Membros recolhem e
transmitem as impresses digitais de todos os nacionais de pases terceiros ou aptridas com, pelo menos, 14 anos que peam asilo no seu territrio ou que sejam
intercetadas por ocasio da passagem no autorizada da sua fronteira externa. Os
Estados-Membros podem igualmente recolher e transmitir as impresses digitais de
nacionais de pases terceiros ou aptridas cuja permanncia no seu territrio no
esteja autorizada.
Os dados dactiloscpicos so registados na base de dados Eurodac sob forma pseudonimizada. Em caso de concordncia, o pseudnimo, juntamente com o nome do
primeiro Estado-Membro que transmitiu os dados dactiloscpicos, divulgado ao
segundo Estado-Membro. O segundo Estado-Membro contactar ento o primeiro
Estado-Membro porque, nos termos do Regulamento Dublim II, o primeiro EstadoMembro responsvel pelo tratamento do pedido de asilo.
Os dados pessoais registados no Eurodac que digam respeito a requerentes de asilo
so conservados por um perodo de 10 anos a contar da data em que as impresses
digitais foram recolhidas, salvo se a pessoa em causa adquirir a cidadania de um
Estado-Membro da UE. Neste caso, os dados devem ser imediatamente apagados.
Os dados relativos a nacionais de pases estrangeiros que tenham sido intercetados
por ocasio da passagem no autorizada da fronteira externa so conservados por
um perodo de doisanos. Se a pessoa em causa obtiver uma autorizao de residncia, abandonar o territrio da UE ou adquirir a cidadania de um Estado-Membro, os
dados devem ser imediatamente apagados.
283 Regulamento (CE) n.343/2003 do Conselho, de 18defevereirode2003, que estabelece os critrios

e mecanismos de determinao do Estado-Membro responsvel pela anlise de um pedido de asilo
apresentado num Estado-Membro por um nacional de um pas terceiro (Regulamento DublimII),
JO2003L50.
172
Para alm de todos os Estados-Membros da UE, a Islndia, a Noruega, o Listenstaine

e a Sua tambm utilizam o Eurodac com base em acordos internacionais.
Eurosur
O Sistema Europeu de Vigilncia das Fronteiras (Eurosur)284 pretende melhorar o controlo das fronteiras externas do espao Schengen atravs da deteo, preveno e
combate imigrao ilegal e criminalidade transfronteiria. O Eurosur visa reforar
o intercmbio de informaes e a cooperao operacional entre os centros nacionais
de coordenao e a Frontex, a agncia da UE responsvel pelo desenvolvimento e
aplicao do novo modelo de gesto integrada das fronteiras.285 Os seus objetivos
gerais so os seguintes:
reduzir o nmero de migrantes ilegais que entram na UE sem serem detetados;
reduzir o nmero de mortes de migrantes ilegais, salvando mais vidas no mar;
reforar a segurana interna da UE no seu todo atravs da contribuio para a
preveno da criminalidade transfronteiria.286
Entrou em funcionamento em 2dedezembrode2013 em todos os EstadosMembros com fronteiras externas e comear a ser implementado a partir de
1dedezembrode2014 nos restantes. O Regulamento ser aplicvel vigilncia das fronteiras externas terrestres e martimas e das fronteiras areas dos
Estados-Membros.
284 Regulamento (UE) n. 1052/2013 do Parlamento Europeu e do Conselho, de 22deoutubrode2013,

que cria o Sistema Europeu de Vigilncia das Fronteiras (Eurosur), JO2013L295.
285 Regulamento (UE) n.1168/2011 do Parlamento Europeu e do Conselho, de 25deoutubrode2011,
que altera o Regulamento (CE) n.2007/2004 do Conselho que cria uma Agncia Europeia de Gesto da
Cooperao Operacional nas Fronteiras Externas dos Estados-Membros da Unio Europeia (Regulamento
Frontex), JO2011L394.
286 Ver tambm: Comisso Europeia (2008), Comunicao da Comisso ao Parlamento Europeu, ao
Conselho, ao Comit Econmico e Social Europeu e ao Comit das Regies intitulada Anlise da
criao de um Sistema Europeu de Vigilncia das Fronteiras (Eurosur), COM(2008)68final, Bruxelas,
13defevereirode2008; Comisso Europeia (2011), Impact Assessment accompanying the Proposal
for a Regulation of the European Parliament and of the Council establishing the European Border
Surveillance System (Eurosur) (Avaliao de impacto que acompanha a Proposta de Regulamento
do Parlamento Europeu e do Conselho que cria o Sistema Europeu de Vigilncia das Fronteiras
[Eurosur]), Documento de trabalho dos servios da Comisso, SEC(2011)1536 final, Bruxelas,
12dedezembrode2011, p.18.
173
Sistema de Informao Aduaneiro

Outro importante sistema de informao comum estabelecido ao nvel da UE o Sistema de Informao Aduaneiro (SIA).287 Durante o processo de criao de um mercado interno, foram abolidos todos os controlos e formalidades em relao s mercadorias que entravam no territrio da UE, o que exacerbou o risco de fraude. Este
risco foi contrabalanado pela intensificao da cooperao entre as administraes
aduaneiras dos Estados-Membros. O SIA tem por objetivo auxiliar os Estados-Membros na preveno, investigao e represso de violaes graves da legislao aduaneira e agrcola nacional e da UE.
As informaes contidas no SIA abrangem dados pessoais relacionados com mercadorias, meios de transporte, empresas, pessoas e retenes, apreenses ou confiscos de mercadorias e de dinheiro lquido. Estas informaes s podem ser utilizadas
para efeitos de observao e informao, realizao de controlos especficos ou de
anlise estratgia ou operacional relativamente a pessoas suspeitas de violarem disposies aduaneiras.
O acesso ao SIA concedido s autoridades aduaneiras, fiscais, agrcolas, policiais e
de sade pblica nacionais, bem como Europol e Eurojust.
O tratamento de dados pessoais tem de cumprir as regras especficas estabelecidas
pelo Regulamento n.515/97 e pela Deciso SIA,288 bem como as disposies da
Diretiva de Proteo de Dados, do Regulamento Proteo de Dados (Instituies da
UE), da Conveno108 e da Recomendao sobre a atividade policial. A Autoridade
de Controlo Comum (ACC) do SIA supervisiona a aplicao da Deciso SAI, enquanto
a AEPD responsvel pela superviso da observncia do Regulamento n.45/2001
e convoca, pelo menos uma vez por ano, uma reunio com todas as autoridades
nacionais de proteo de dados, competentes pelas questes de superviso do sistema aduaneiro.
287 Conselho da Unio Europeia (1995), Ato do Conselho, de 26 de julho de 1995, que institui a Conveno
sobre a utilizao da informtica no domnio aduaneiro, JO1995C316, com a redao que lhe foi
dada pela Deciso2009/917/JAI do Conselho, de 30denovembrode2009, relativa utilizao da
informtica no domnio aduaneiro, JO2009L323 (Deciso SIA). Regulamento (CE) n. 515/97 do
Conselho, de 13demarode1997, relativo assistncia mtua entre as autoridades administrativas
dos Estados-membros e colaborao entre estas e a Comisso, tendo em vista assegurar a correta
aplicao das regulamentaes aduaneira e agrcola.
288 Ibid.
174
8.

Outra legislao europeia
especfica sobre proteo
de dados
UE
Diretiva de Proteo de Dados

Diretiva Privacidade Eletrnica
Questes
abrangidas
Comunicaes
eletrnicas

n. 2, al. b)
Relaes de
emprego

n. 3
Dados mdicos
Diretiva Ensaios Clnicos

Diretiva de Proteo de Dados, artigo 6., n.
1, al. b) e artigo 13., n. 2
Ensaios clnicos
Estatsticas
Regulamento (CE) n. 223/2009 relativo s

Estatsticas Europeias
TJUE, acrdo de 16 de dezembro de 2008
no processo C-524/06, Huber/Alemanha
CdE
Conveno 108
Recomendao
sobre os servios de
telecomunicaes
Conveno 108
Recomendao sobre o
emprego
TEDH, acrdo Copland c.
Reino Unido de 3 de abril de
2007, petio n.62617/00
Conveno 108
Recomendao sobre os
dados mdicos
TEDH, acrdo Z. c. Finlndia
de 25 de fevereiro de 1997,
petio n.22009/93
Conveno 108
Recomendao sobre os
dados estatsticos
Estatsticas oficiais Conveno 108
Recomendao sobre os
dados estatsticos
175
UE
Questes
abrangidas
Diretiva 2004/39/CE relativa aos mercados

de instrumentos financeiros
Dados financeiros
Regulamento (UE) n. 648/2012 relativo

aos derivados do mercado de balco, s
contrapartes centrais e aos repositrios de
transaes
Regulamento (CE) n. 1060/2009 relativo s
agncias de notao de risco
Diretiva 2007/64/CE relativa aos servios de
pagamento no mercado interno
CdE
Conveno 108
Recomendao 90(19)
sobre dados pessoais
utilizados para fins de
pagamento e outras
operaes conexas
TEDH, acrdo Michaud c.
Frana de 6 de dezembro de
2012, petio n.12323/11
Em vrios casos, foram adotados instrumentos jurdicos especiais ao nvel europeu,

que aplicam, em maior detalhe, as regras gerais da Conveno 108 ou da Diretiva de
Proteo de Dados a situaes concretas.
8.1. Comunicaes eletrnicas

Pontos-chave

A Recomendao do CdE, de 1995 contm regras especficas sobre a proteo de

dados na rea das telecomunicaes, em especial no mbito dos servios telefnicos.
O tratamento de dados pessoais no contexto da prestao de servios de comunicaes ao nvel da UE regulado pela Diretiva Privacidade Eletrnica.
A confidencialidade das comunicaes eletrnicas abrange no apenas o teor da

comunicao como tambm dados de trfego, tais como informaes sobre quem
comunicou com quem, quando e por quanto tempo, e dados de localizao, tais como
o local de onde os dados foram comunicados.
As redes de comunicaes comportam um risco acrescido de ingerncia injustificada

na esfera pessoal dos utilizadores, dado que oferecem possibilidades tcnicas adicionais de escuta e vigilncia das comunicaes que tm lugar nessas redes. Consequentemente, foi considerado necessrio adotar uma regulamentao especial
em matria de proteo de dados para responder aos riscos especficos suportados
pelos utilizadores dos servios de comunicao.
176
Outra legislao europeia especfica sobre proteo de dados
Em1995, o CdE adotou uma Recomendao relativa proteo de dados no domnio das telecomunicaes, em especial dos servios telefnicos.289 Segundo esta
recomendao, a recolha e o tratamento de dados pessoais no contexto das telecomunicaes devem ter unicamente como finalidades: ligao de um utilizador
rede, disponibilizao do servio de telecomunicaes em causa, faturao, verificao, garantia do melhor funcionamento tcnico possvel e desenvolvimento da rede
e do servio.
Foi tambm dada especial ateno utilizao das redes de comunicaes para
enviar mensagens de marketing direto. Em regra, no permitido enviar mensagens de marketing direto a qualquer assinante que tenha expressamente manifestado a sua vontade de no receber mensagens publicitrias. Os sistemas de
chamada automatizados que transmitem mensagens publicitrias prgravadas s
podem ser utilizados se o assinante tiver dado o seu consentimento expresso. O
direito nacional estabelecer regras detalhadas neste domnio.
No que respeita ao quadro jurdico da UE, aps uma primeira tentativa em1997, a
Diretiva relativa privacidade e s comunicaes eletrnicas (Diretiva Privacidade
Eletrnica) foi adotada em 2002 e alterada em 2009, com o objetivo de complementar e adaptar as disposies da Diretiva de Proteo de Dados ao setor das telecomunicaes.290 A Diretiva Privacidade Eletrnica exclusivamente aplicvel aos
servios de comunicaes em redes eletrnicas pblicas.
A Diretiva Privacidade Eletrnica distingue trs grandes categorias de dados gerados
durante uma comunicao:
os dados que constituem o teor das mensagens enviadas durante a comunicao; estes dados so estritamente confidenciais;
289 CdE, Comit de Ministros (1995), Recommendation Rec(95)4 to member states on the protection of
personal data in the area of telecommunication services, with particular reference to telephone services
(Recomendao Rec(95)4 aos Estados membros sobre a proteo de dados pessoais no domnio das
telecomunicaes, em especial dos servios telefnicos), de 7defevereirode1995.
290 Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao
tratamento de dados pessoais e proteo da privacidade no setor das comunicaes eletrnicas
(Diretiva relativa privacidade e s comunicaes eletrnicas), JO2002L201, com a redao que lhe foi
dada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25denovembrode2009,
que altera a Diretiva2002/22/CE relativa ao servio universal e aos direitos dos utilizadores em matria
de redes e servios de comunicaes eletrnicas, a Diretiva2002/58/CE relativa ao tratamento de
dados pessoais e proteo da privacidade no setor das comunicaes eletrnicas e o Regulamento
(CE) n.2006/2004 relativo cooperao entre as autoridades nacionais responsveis pela aplicao da
legislao de defesa do consumidor, JO2009L337.
177
os dados necessrios para estabelecer e manter a comunicao, os chamados

dados de trfego, tais como informaes sobre os parceiros, a hora e a durao
da comunicao;
dentro dos dados de trfego, existem dados especificamente relacionados com
a localizao do dispositivo de comunicao, os chamados dados de localizao;
estes dados so simultaneamente dados sobre a localizao dos utilizadores dos
dispositivos de comunicao e particularmente relevantes em relao aos utilizadores de dispositivos de comunicao mvel.
Os dados de trfego s podem ser utilizados pelo prestador de servios para efeitos
de faturao e se forem necessrios, em termos tcnicos, para prestar o servio.
Porm, com o consentimento da pessoa em causa, estes dados podem ser divulgados a outros responsveis pelo tratamento que ofeream servios de valor acrescentado, tais como o fornecimento de informaes sobre a estao de metro ou a
farmcia mais prxima em relao localizao do utilizador ou a previso meteorolgica para este local.
Outro acesso a dados sobre comunicaes em redes eletrnicas, tal como o acesso
para fins de investigao de crimes, deve, segundo o artigo15. da Diretiva Privacidade Eletrnica, cumprir o requisito da ingerncia justificada no exerccio do direito
proteo de dados, conforme estabelecido no artigo8., n. 2, da CEDH e confirmado
pela Carta nos seus artigos8. e 52..
Em 2009, foram introduzidas as seguintes alteraes Diretiva Privacidade
Eletrnica:291
As restries ao envio de mensagens de correio eletrnico para fins de marketing direto foram alargadas aos servios SMS, MMS e a outros tipos de aplicaes similares; o envio de mensagens de correio eletrnico para fins de marketing proibido, a menos que tenha sido obtido o consentimento prvio. Sem tal
consentimento, este tipo de mensagem s pode ser enviado a antigos clientes
que tenham fornecido o seu endereo de correio eletrnico e no se opuserem.
291 Diretiva2009/136/CE do Parlamento Europeu e do Conselho, de 25denovembrode2009, que altera

a Diretiva2002/22/CE relativa ao servio universal e aos direitos dos utilizadores em matria de
redes e servios de comunicaes eletrnicas, a Diretiva2002/58/CE relativa ao tratamento de dados
pessoais e proteo da privacidade no setor das comunicaes eletrnicas e o Regulamento (CE)
n.2006/2004 relativo cooperao entre as autoridades nacionais responsveis pela aplicao da
legislao de defesa do consumidor, JO2009L337.
178
Foi imposta sobre os Estados-Membros a obrigao de estabelecerem vias de

recurso judicial em caso de violao da proibio de envio de comunicaes no
solicitadas.292
A instalao de testemunhos de conexo (cookies), um software que monitoriza e regista as aes dos utilizadores dos computadores, deixa de ser permitida
sem o consentimento destes. O direito nacional deve regular mais detalhadamente o modo de manifestao e obteno do consentimento, a fim de oferecer
um nvel suficiente de proteo.293
Sempre que ocorra uma violao de dados pessoais em virtude de acesso no autorizado, perda ou destruio de dados, a autoridade de controlo competente deve ser
imediatamente informada. Os assinantes devem ser informados da possibilidade de
sofreram danos devido a uma violao de dados pessoais.294
A Diretiva Conservao de Dados295 (invalidada em 8deabrilde2014) obrigava os
prestadores de servios de comunicaes a manter os dados de trfego disponveis,
especificamente para fins de combate aos crimes graves, durante um perodo no
inferior a seis meses e no superior a dois anos, independentemente destes dados
serem ou no ainda necessrios para efeitos de faturao ou para prestar tecnicamente o servio.
Os Estados-Membros da UE designaro autoridades pblicas independentes, que
so responsveis pelo controlo da segurana dos dados conservados.
292 Ver a Diretiva alterada, artigo 13..

293 Ver Ibid., artigo 5.; ver tambm Grupo de Trabalho do artigo 29. (2012), Parecer 4/2012 sobre
a iseno de consentimento para a utilizao de testemunhos de conexo, WP194, Bruxelas,
7dejunhode2012.
294 Ver tambm Grupo de Trabalho do artigo29. (2011), Working Document 01/2011 on the current EU
personal data breach framework and recommendations for future policy developments (Documento
de Trabalho 01/2011 sobre o atual quadro jurdico da UE em matria de violao de dados pessoais e
recomendaes sobre as polticas a adotar no futuro), WP184, Bruxelas, 5deabrilde2011.
295 Diretiva 2006/24/CE do Parlamento Europeu e do Conselho, de 15demarode2006, relativa
conservao de dados gerados ou tratados no contexto da oferta de servios de comunicaes
eletrnicas publicamente disponveis ou de redes pblicas de comunicaes, e que altera a
Diretiva2002/58/CE, JO2006L105.
179
A conservao dos dados de telecomunicaes , sem dvida, uma ingerncia no

exerccio do direito proteo de dados.296 A justificabilidade desta ingerncia tem
sido contestada em vrios processos judiciais nos Estados-Membros da UE297.
Exemplo: No processo Digital Rights Ireland e Seitlinger e Outros298, o TJUE
declarou invlida a Diretiva Conservao de Dados. De acordo com o Tribunal, esta diretiva comporta uma ingerncia nestes direitos fundamentais de
grande amplitude e particular gravidade na ordem jurdica da Unio, sem que
essa ingerncia seja enquadrada com preciso por disposies que permitam
garantir que a mesma se limita efetivamente ao estritamente necessrio.
Uma questo crucial no contexto das comunicaes eletrnicas a ingerncia das
autoridades pblicas. S permitida a utilizao de meios de vigilncia ou interceo
das comunicaes, tais como dispositivos de escuta, se tal estiver previsto na lei e se
constituir uma medida necessria numa sociedade democrtica para salvaguardar
a segurana do Estado, a segurana pblica e os interesses monetrios do Estado,
reprimir infraes penais ou proteger a pessoa em causa ou os direitos e liberdades
de terceiros.
Exemplo: No processo que deu origem ao acrdo Malone c. Reino Unido299, o
requerente tinha sido acusado de recetao. Durante o julgamento, foi revelado
que uma conversa telefnica do requerente tinha sido intercetada com base
num mandado emitido pelo ministro da Administrao Interna. Embora a forma
como a comunicao do requerente tinha sido intercetada fosse lcita nos termos do direito nacional, o TEDH entendeu que no estavam previstas regras
jurdicas sobre o mbito e o modo de exerccio do poder discricionrio atribudo
s autoridades pblicas neste domnio e que, consequentemente, a ingerncia
resultante da existncia da prtica em causa no estava de acordo com a lei.
O TEDH concluiu que tinha havido uma violao do artigo 8. da CEDH.
296 AEPD (2011), Parecer de 31 de maio de 2011 sobre o Relatrio de avaliao da Comisso ao Conselho
e ao Parlamento Europeu sobre a Diretiva relativa conservao de dados (Diretiva 2006/24/CE),
31demaio de 2011.
297 Alemanha, Tribunal Constitucional Federal (Bundesverfassungsgericht), 1BvR256/08,
2demarode2010; Romnia, Tribunal Constitucional da Romnia (Curtea Constituional a Romniei),
n.1258, 8deoutubrode2009; Tribunal Constitucional da Repblica Checa (stavn soud esk
republiky), 94/2011Coll., 22demarode2011.
298 TJUE, acrdo de 8 de abril de 2014, processos apensos C-293/12 e C-594/12, Digital Rights Ireland e
Seitling e Outros, ponto 65.
299 TEDH, acrdo Malone c. Reino Unido de 2 de agosto de 1984, petio n. 8691/79.
180
8.2. Dados sobre o emprego

Pontos-chave

A Recomendao do CdE relativa aos dados sobre emprego contm regras especficas
aplicveis proteo de dados no contexto das relaes de emprego.
Na Diretiva de Proteo de Dados, as relaes de emprego s so expressamente

mencionadas no contexto do tratamento de dados sensveis.
A validade do consentimento, que tem de ser prestado livremente, como base legal do
tratamento de dados sobre os funcionrios poder ser questionvel, tendo em conta
o desequilbrio econmico existente entre o empregador e os funcionrios. As circunstncias em que o consentimento prestado devem ser cuidadosamente examinadas.
No existe um quadro jurdico especfico na UE aplicvel ao tratamento de dados no

contexto do emprego. Na Diretiva de Proteo de Dados, as relaes de emprego s
so expressamente mencionadas no artigo8., n. 2, que diz respeito ao tratamento
de dados sensveis. Relativamente ao CdE, a Recomendao relativa aos dados
sobre emprego foi adotada em 1989 e est em fase de atualizao.300
Um documento de trabalho do Grupo de Trabalho do artigo29. contm um estudo
dos problemas de proteo de dados mais comuns no mbito do emprego.301 O
grupo de trabalho analisou a relevncia do consentimento enquanto base legal do
tratamento de dados sobre o emprego,302 tendo concludo que o desequilbrio econmico entre o empregador que pede o consentimento e o funcionrio que d esse
consentimento suscitar frequentemente dvidas sobre se o consentimento foi ou
no prestado livremente. Por conseguinte, na apreciao da validade do consentimento no mbito do emprego, importa analisar cuidadosamente as circunstncias
em que o consentimento solicitado.
300 Conselho da Europa, Comit de Ministros (1989), Recommendation Rec(89)2 to member states on
the protection of personal data used for employment purposes (Recomendao Rec(89)2 aos Estados
membros sobre a proteo dos dados pessoais utilizados para fins de emprego), 18 de janeiro de1989.
Ver ainda Comit Consultivo da Conveno 108, Study on Recommendation No.R(89)2 on the
protection of personal data used for employment purposes and to suggest proposals for the revision of
the above-mentioned Recommendation (Estudo sobre a Recomendao n. R (89) 2 sobre a proteo
dos dados pessoais utilizados para fins de emprego e que apresenta propostas para a reviso desta
Recomendao), 9desetembrode2011.
301 Grupo de Trabalho do artigo 29. (2001), Parecer 8/2001 sobre o tratamento de dados pessoais no
mbito do emprego, WP48, Bruxelas, 13deSetembrode2001.
302 Grupo de Trabalho do artigo 29. (2005), Documento de trabalho sobre uma interpretao
comum do artigo 26., n. 1, da Diretiva 95/46/CE de 24 de outubro de1995, WP114, Bruxelas,
25denovembrode2005.
181
Um problema de proteo de dados comum no tpico ambiente de trabalho dos dias

de hoje a extenso legtima do controlo das comunicaes eletrnicas dos funcionrios no local de trabalho. frequente afirmarse que este problema poderia ser
facilmente resolvido com a proibio do uso de equipamento de comunicao para
fins pessoais no local de trabalho. Porm, esta proibio geral poderia ser desproporcionada e pouco realista. O acrdo do TEDH que se segue revestese de especial
interesse neste contexto:
Exemplo: No processo que deu origem ao acrdo Copland c. Reino Unido,303
a utilizao do telefone, do correio eletrnico e da Internet pela funcionria de
uma faculdade tinha sido monitorizada sem o seu conhecimento para determinar se ela estava a utilizar excessivamente o equipamento da faculdade para
fins pessoais. O TEDH considerou que as chamadas telefnicas efetuadas a
partir de estabelecimentos comerciais estavam abrangidas pelos conceitos de
vida privada e correspondncia. Por conseguinte, as chamadas telefnicas e as
mensagens de correio eletrnico enviadas do local de trabalho, bem como as
informaes obtidas atravs da monitorizao da utilizao da Internet para fins
pessoais estavam protegidas pelo artigo 8. da CEDH. No caso da requerente,
as circunstncias em que os empregadores podiam monitorizar a utilizao do
telefone, correio eletrnico e Internet pelos funcionrios no estavam reguladas. Consequentemente, a ingerncia no estava de acordo com a lei. O TEDH
concluiu que tinha havido uma violao do artigo 8. da CEDH.
De acordo com a Recomendao do CdE sobre o emprego, os dados pessoais recolhidos para fins de emprego deveriam ser obtidos diretamente junto do funcionrio
em causa.
Os dados pessoais recolhidos para fins de recrutamento devem limitarse s informaes necessrias para avaliar a aptido dos candidatos e o seu potencial profissional.
A recomendao tambm menciona expressamente dados subjetivos relativos
ao desempenho ou ao potencial de funcionrios especficos. Os dados subjetivos
devem basearse em avaliaes justas e honestas e no devem ser formulados em
termos vexatrios. Tratase de exigncias ditadas pelos princpios do tratamento leal
dos dados e da exatido dos dados.
303 TEDH, acrdo Copland c. Reino Unido de 3deabrilde2007, petio n.62617/00.
182
Um aspeto especfico da legislao sobre proteo de dados no contexto da relao

empregador/funcionrio o papel desempenhado pelos representantes dos funcionrios. Estes representantes s podero receber os dados pessoais dos funcionrios
na medida necessria para representar os seus interesses.
Os dados pessoais sensveis recolhidos para fins de emprego s podero ser objeto
de tratamento em casos especficos e de acordo com as garantias estabelecidas no
direito interno. Os empregadores s podero fazer perguntas aos funcionrios ou
aos candidatos a emprego sobre o seu estado de sade ou submetlos a exames
mdicos se tal for necessrio para determinar a sua aptido para o desempenho
das funes, cumprir os requisitos da medicina preventiva ou possibilitar a atribuio de prestaes sociais. Os dados sobre a sade no podem ser obtidos de fontes
diferentes do funcionrio em causa, salvo quando tenha sido obtido o seu consentimento expresso e informado ou quando o direito nacional o preveja.
Nos termos da Recomendao sobre o emprego, os funcionrios deveriam ser informados sobre a finalidade do tratamento dos seus dados pessoais, o tipo de dados
pessoais armazenados, as entidades a quem os dados so regularmente comunicados e a base legal dessa comunicao. Os empregadores deveriam ainda informar antecipadamente os funcionrios sobre a introduo ou adaptao de sistemas
automatizados de tratamento dos seus dados pessoais ou de monitorizao dos
seus movimentos ou da sua produtividade.
Os funcionrios devem ter o direito de acesso aos seus dados de emprego, bem
como o direito de retificao ou apagamento dos mesmos. Em caso de tratamento
de dados subjetivos, os funcionrios devem ter ainda o direito de contestar a avaliao. No entanto, estes direitos podero ser temporariamente limitados para fins de
investigao interna. O direito nacional deve estabelecer procedimentos adequados
a que o funcionrio possa recorrer em caso de recusa de acesso, retificao ou apagamento dos seus dados de emprego pessoais.
8.3. Dados mdicos

Ponto-chave

Os dados mdicos so dados sensveis e, como tal, gozam de proteo especfica.
183
Os dados pessoais sobre o estado de sade da pessoa em causa so qualificados

como dados sensveis pelo artigo 8., n. 1, da Diretiva de Proteo de Dados e pelo
artigo6. da Conveno108. Por conseguinte, os dados mdicos esto sujeitos a um
regime de tratamento de dados mais rigoroso do que os dados no sensveis.
Exemplo: No processo que deu origem ao acrdo Z. c. Finlndia,304 o ex-marido da requerente, que era seropositivo, tinha cometido uma srie de crimes
sexuais, tendo vindo a ser condenado pelo crime de homicdio no premeditado
por ter exposto deliberadamente as suas vtimas ao risco de infeo pelo VIH.
O tribunal nacional decidiu que a verso integral do acrdo e os autos deveriam ser mantidos confidenciais durante 10 anos, no obstante a requerente ter
pedido a fixao de um perodo de confidencialidade mais longo. O tribunal de
recurso negou provimento a estes pedidos e o seu acrdo continha os nomes
completos da requerente e do seu ex-marido. O TEDH entendeu que esta ingerncia no era considerada necessria numa sociedade democrtica porque
a proteo dos dados mdicos revestiase de importncia fundamental para o
gozo do direito ao respeito pela vida privada e pela vida familiar, especialmente
quando estivessem em causa informaes sobre infees pelo VIH, dado o
estigma associado a esta doena em muitas sociedades. Consequentemente,
o TEDH concluiu que a concesso de acesso identidade e ao estado de sade
da requerente, conforme descritos no acrdo do tribunal de recurso, decorridos
apenas 10anos desde a data do acrdo violaria o artigo8. da CEDH.
O artigo 8., n. 3, da Diretiva de Proteo de Dados permite o tratamento de dados
mdicos quando tal for necessrio para efeitos de medicina preventiva, diagnstico
mdico, prestao de cuidados ou tratamentos mdicos ou gesto de servios de
sade. Porm, o tratamento s admissvel se for realizado por um profissional de
sade sujeito a uma obrigao de segredo profissional ou por outra pessoa sujeita a
uma obrigao equivalente.305
304 TEDH, acrdo Z. c. Finlndia de 25 de fevereiro de 1997, petio n.22009/93, n.s 94 e 112;
ver tambm TEDH, acrdo M.S. c. Sucia de 27deagostode1997, petio n.20837/92; TEDH,
acrdo L.L. c. Frana de 10 de outubro de 2006, petio n. 7508/02; TEDH, acrdo I. c. Finlndia
de 17dejulhode2008, petio n.20511/03; TEDH, acrdo K.H. e outros c. Eslovquia de
28deabrilde2009, petio n.32881/04; TEDH, acrdo Szuluk c. Reino Unido de 2dejunhode2009,
petio n.36936/05.
305 Ver tambm TEDH, acrdo Biriuk c. Litunia de 25denovembrode2008, petio n.23373/03.
184
A Recomendao do CdE sobre dados mdicos, de 1997 aplica os princpios da Conveno108 ao tratamento de dados no domnio mdico em maior detalhe.306 As
regras propostas esto em conformidade com as disposies da Diretiva de Proteo de Dados em matria de legitimidade das finalidades do tratamento de dados
mdicos, das necessrias obrigaes de segredo profissional das pessoas que utilizam dados sobre a sade, e dos direitos das pessoas em causa transparncia e
ao acesso, retificao e apagamento. Alm disso, os dados mdicos licitamente tratados por profissionais da sade no podem ser transferidos para as autoridades
policiais, a menos que estejam previstas garantias suficientes para prevenir a divulgao dos dados em violao do direito ao respeito pela vida privada garantido pelo
artigo8. da CEDH.307
Por seu lado, a Recomendao sobre dados mdicos contm disposies especiais
sobre os dados mdicos dos nascituros e dos incapazes e sobre o tratamento de
dados genticos. A investigao cientfica expressamente identificada como um
motivo legtimo de conservao dos dados por um perodo mais longo do que
aquele durante o qual so necessrios, embora, neste caso, seja normalmente exigida a sua anonimizao. O artigo12. da Recomendao sobre dados mdicos prope regras detalhadas para as situaes em que os investigadores necessitam de
dados pessoais e os dados anonimizados no so suficientes.
A pseudonimizao poder ser um meio adequado de satisfazer as necessidades
cientficas e proteger simultaneamente os interesses dos doentes em causa. O conceito de pseudonimizao no contexto da proteo de dados explicado de forma
mais detalhada na seco2.1.3.
Est em curso um debate intensivo ao nvel nacional e da UE sobre iniciativas
relativas ao armazenamento de dados sobre o tratamento mdico de um doente
num ficheiro eletrnico de sade.308 Um aspeto especial da existncia de sistemas
nacionais de ficheiros eletrnicos de sade a sua disponibilidade transfronteiria: um tpico de particular interesse na UE no contexto dos cuidados de sade
transfronteirios.309
306 CdE, Comit de Ministros (1997), Recommendation Rec(97)5 to member states on the protection of
medical data (Recomendao Rec(97)5 aos Estados membros sobre a proteo dos dados mdicos),
13defevereirode1997.
307 TEDH, acrdo Avilkina e outros c. Rssia de 6dejunhode2013, petio n. 1585/09, n.53 (no
definitivo).
308 Grupo de Trabalho do artigo29. (2007), Documento de trabalho sobre o tratamento de dados pessoais
ligados sade em registos de sade eletrnicos (RSE), WP131, Bruxelas, 15defevereirode2007.
309 Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9demarode2011, relativa ao
exerccio dos direitos dos doentes em matria de cuidados de sade transfronteirios, JO2011L88.
185
Outra rea em debate em relao a novas disposies so os ensaios clnicos, ou

seja, testar novos medicamentos em doentes num ambiente de investigao
documentado; este tpico tambm tem implicaes considerveis em matria de proteo de dados. Os ensaios clnicos de medicamentos para uso humano
so regulados pela Diretiva 2001/20/CE do Parlamento Europeu e do Conselho, de
4deabrild2001, relativa aproximao das disposies legislativas, regulamentares e administrativas dos Estados-Membros respeitantes aplicao de boas prticas clnicas na conduo dos ensaios clnicos de medicamentos para uso humano
(Diretiva Ensaios Clnicos).310 Em dezembrode2012, a Comisso Europeia props um
regulamento para substituir a Diretiva Ensaios Clnico, com o objetivo de tornar mais
uniformes e eficientes os procedimentos dos ensaios.311
Existem muitas outras iniciativas, nomeadamente iniciativas legislativas, pendentes
na UE respeitantes aos dados pessoais no setor da sade.312
8.4. Tratamento de dados para fins

estatsticos
Pontos-chave

Os dados recolhidos para fins estatsticos no podem ser utilizados para qualquer outro
fim.
Os dados legitimamente recolhidos para qualquer fim podem ser tambm utilizados
para fins estatsticos, desde que o direito nacional estabelea garantias adequadas que
sejam respeitadas pelos utilizadores. Para este efeito, deve ser prevista, em especial,
a anonimizao ou pseudonimizao dos dados antes da transmisso para terceiros.
Na Diretiva de Proteo de Dados, o tratamento de dados para fins estatsticos

mencionado no contexto de possveis derrogaes aos princpios da proteo de
310 Diretiva 2001/20/CE do Parlamento Europeu e do Conselho, de4deabrilde2001, relativa
aproximao das disposies legislativas, regulamentares e administrativas dos Estados-Membros
respeitantes aplicao de boas prticas clnicas na conduo dos ensaios clnicos de medicamentos
para uso humano, JO2001L121.
311 Comisso Europeia (2012), Proposta de Regulamento do Parlamento Europeu e do Conselho relativo
aos ensaios clnicos de medicamentos para uso humano e que revoga a Diretiva 2001/20/CE,
COM(2012)369 final, Bruxelas, 17dejulhode2012.
312 AEPD (2013) Parecer da Autoridade Europeia para a Proteo de Dados sobre a Comunicao da
Comisso intitulada Plano de ao para a sade em linha 20122020 - Cuidados de sade inovadores
para o sculo XXI, Bruxelas, 27demarode2013.
186
dados. O artigo6., n. 1, alnea b), da Diretiva permite que o legislador nacional

preveja uma derrogao ao princpio da limitao da finalidade a favor do tratamento ulterior de dados para fins estatsticos, desde que estabelea tambm todas
as garantias necessrias. O artigo13., n. 2, da Diretiva permite que o legislador
nacional estabelea restries aos direitos de acesso se os dados forem tratados
exclusivamente para fins estatsticos; mais uma vez, o direito nacional deve prever
garantias adequadas. Neste contexto, a Diretiva de Proteo de Dados estabelece a
exigncia de que nenhum dos dados adquiridos ou criados durante a investigao
estatstica seja utilizado para tomar decises concretas sobre as pessoas em causa.
Embora os dados licitamente recolhidos por um responsvel pelo tratamento para
qualquer finalidade possam ser reutilizados por este responsvel pelo tratamento
para os seus prprios fins estatsticos as chamadas estatsticas secundrias esses
dados teriam de ser anonimizados ou pseudonimizados, dependendo do contexto,
antes da sua transmisso para terceiros para fins estatsticos, salvo se a pessoa em
causa tivesse dado o seu consentimento ou se essa transmisso estivesse expressamente prevista na legislao nacional. o que resulta da exigncia de adoo de
garantias adequadas prevista no artigo 6., n. 1, alnea b), da Diretiva de Proteo
de Dados.
Os casos mais importantes de utilizao de dados para fins estatsticas so as estatsticas oficiais, produzidas pelos servios de estatstica nacionais e da UE com base
em leis nacionais e da UE sobre estatsticas oficiais. De acordo com estas leis, os
cidados e as empresas so geralmente obrigados a divulgar dados s autoridades
estatsticas. Os funcionrios dos servios de estatstica esto sujeitos a obrigaes
especiais de segredo profissional que so rigorosamente respeitadas, na medida em
que so essenciais para o elevado nvel de confiana que necessrio para que os
cidados disponibilizem os dados s autoridades estatsticas.
O Regulamento (CE) n.223/2009 relativo s Estatsticas Europeias (Regulamento
Estatsticas Europeias) contm regras essenciais para a proteo de dados no contexto das estatsticas oficiais e, como tal, tambm pode ser considerado relevante
para as disposies sobre estatsticas oficiais ao nvel nacional.313 O Regulamento
313 Regulamento (CE) n.223/2009 do Parlamento Europeu e do Conselho, de 11demarode2009,

relativo s Estatsticas Europeias e que revoga o Regulamento (CE, Euratom) n.1101/2008 relativo
transmisso de informaes abrangidas pelo segredo estatstico ao Servio de Estatstica das
Comunidades Europeias, o Regulamento (CE) n.322/97 relativo s estatsticas comunitrias e a
Deciso 89/382/CEE, Euratom do Conselho que cria o Comit do Programa Estatstico das Comunidades
Europeias, JO2009L87.
187
estabelece o princpio de que as operaes estatsticas oficiais exigem uma base

legal suficientemente especfica.314
Exemplo: No acrdo Huber/Alemanha,315 o TJUE considerou que a recolha e o
armazenamento de dados pessoais por uma autoridade para fins estatsticos
no era, por si s, motivo suficiente para que o tratamento fosse lcito. A lei que
previa o tratamento de dados pessoais tambm teria de cumprir o requisito da
necessidade, o que no acontecia naquele caso.
No contexto do CdE, a Recomendao sobre dados estatsticos, de 1997 abrange
a produo de estatsticas nos setores pblico e privado.316 Esta recomendao
subscreve princpios que coincidem com as principais regras da Diretiva de Proteo de Dados acima descritas. So enunciadas regras mais detalhadas em relao s
seguintes questes.
Enquanto os dados recolhidos pelo responsvel pelo tratamento para fins estatsticos no podem ser utilizados para qualquer outro fim, os dados recolhidos para
fins no estatsticos podem ser posteriormente objeto de utilizao estatstica. A
Recomendao sobre dados estatsticos permite inclusivamente a comunicao de
dados a terceiros se for exclusivamente para fins estatsticos. Nestes casos, as partes devem chegar a acordo sobre o mbito da utilizao posterior legtima para fins
estatsticos e reduzir esse acordo a escrito. Uma vez que este acordo no pode substituir o consentimento da pessoa em causa, presumese que existiro garantias adequadas adicionais previstas no direito nacional para minimizar o risco de utilizao
abusiva dos dados pessoais, tais como a obrigao de anonimizar ou pseudonimizar
os dados antes da transmisso.
As pessoas profissionalmente envolvidas na investigao cientfica deveriam estar
sujeitas a obrigaes especiais de segredo profissional como acontece habitualmente no caso das estatsticas oficiais nos termos do direito nacional. Os
314 Este princpio ser desenvolvido no Cdigo de Prtica do Eurostat, que dever, nos termos do artigo11.
do Regulamento Estatsticas Europeias, fornecer orientaes tnicas sobre a produo de estatsticas
oficiais, incluindo a utilizao ponderada de dados pessoais, disponvel em: http://epp.eurostat.
ec.europa.eu/portal/page/portal/about_eurostat/introduction.
315 TJUE, acrdo de 16 de dezembro de 2008 no processo C-524/06, Huber/Alemanha; ver, em especial,
n. 68.
316 Conselho da Europa, Comit de Ministros (1997), Recommendation Rec(97)18 to member states on the
protection of personal data collected and processed for statistical purposes (Recomendao Rec(97)10
aos Estados membros sobre a proteo dos dados pessoais recolhidos e tratados para fins estatsticos),
30deSetembrode1997.
188
entrevistadores que recolham dados junto das pessoas em causa ou de outras pessoas tambm devem estar sujeitos a esta obrigao.
Se um inqurito estatstico que utilize dados pessoais no estiver previsto na lei,
as pessoas em causa tero de dar o seu consentimento para a utilizao dos seus
dados a fim de a legitimar ou, pelo menos, deveriam ter a oportunidade de se opor
a essa utilizao. Se forem recolhidos dados pessoais para fins estatsticos mediante
a realizao de entrevistas, os entrevistados devem ser claramente informados se a
divulgao dos dados ou no obrigatria nos termos do direito nacional. Os dados
sensveis devem ser recolhidos de modo a impedir a identificao da pessoa, salvo
se tal for expressamente permitido pelo direito nacional.
Se no for possvel realizar um inqurito estatstico sem dados anonimizados e
forem efetivamente necessrios dados pessoais, os dados recolhidos para este fim
devero ser anonimizados logo que possvel. Os resultados do inqurito estatstico
no podero, pelo menos, permitir a identificao das pessoas em causa, salvo se
tal no apresentar manifestamente qualquer risco.
Uma vez concluda a anlise estatstica, os dados pessoais utilizados devero ser
eliminados ou anonimizados. Neste caso, a Recomendao sobre dados estatsticos prope que os dados de identificao sejam conservados separadamente dos
outros dados pessoais. Isto significa, por exemplo, que os dados devero ser pseudonimizados e a chave de encriptao ou a lista com os sinnimos identificadores
deve ser conservada separadamente dos dados pseudonimizados.
8.5. Dados financeiros

Pontos-chave

Embora os dados financeiros no sejam dados sensveis na aceo da Conveno 108

ou da Diretiva de Proteo de Dados, o seu tratamento exige garantias especiais para
assegurar a exatido e a segurana dos dados.
necessrio incorporar mecanismos de proteo de dados nos sistemas de pagamento eletrnicos (a chamada privacidade desde a conceo).
A exigncia de mecanismos de autenticao adequados coloca problemas especficos

em matria de proteo de dados nesta rea.
189
Exemplo: No processo que deu origem ao acrdo Michaud c. Frana,317 o

requerente, um advogado francs, contestou a obrigao que lhe era imposta
pelo direito francs de comunicar suspeitas sobre possveis atividades de
branqueamento de capitais dos seus clientes. Segundo o TEDH, exigir que os
advogados comunicassem s autoridades administrativas informaes relativas a outra pessoa que tivessem chegado ao seu conhecimento atravs de
conversas com essa pessoa constitua uma ingerncia no direito dos advogados ao respeito pela correspondncia e vida privada nos termos do artigo8. da
CEDH, uma vez que este conceito abrangia atividades de natureza profissional e
comercial. Contudo, essa ingerncia estava de acordo com a lei e prosseguia um
objetivo legtimo, ou seja, a preveno de distrbios e da criminalidade. Uma
vez que os advogados s estavam obrigados a comunicar suspeitas em casos
muito especficos, o TEDH considerou que esta obrigao era proporcional e
concluiu que no tinha havido uma violao do artigo8..
O CdE adaptou o quadro jurdico geral da proteo de dados, conforme estabelecido na Conveno 108, ao contexto dos pagamentos na Recomendao Rec(90)19
de1990.318 Esta recomendao clarifica o mbito da recolha e utilizao lcitas de
dados no contexto dos pagamentos, especialmente atravs de cartes de pagamento. Alm disso, prope aos legisladores nacionais regras detalhadas sobre os
limites da comunicao de dados de pagamento a terceiros, limites temporais da
conservao dos dados, transparncia, segurana dos dados e fluxos transfronteirios de dados e, por ltimo, superviso e vias de recurso. As solues propostas
correspondem s disposies do quadro jurdico geral da UE em matria de proteo
de dados aprovado posteriormente sob a forma da Diretiva de Proteo de Dados.
Esto a ser criados vrios instrumentos jurdicos para regular os mercados de instrumentos financeiros e as atividades das instituies de crdito e das sociedades de
317 TEDH, acrdo Michaud c. Frana de 6 de dezembro de 2012, petio n. 12323/11; ver tambm TEDH,
acrdo Niemietz c. Alemanha de 16dedezembrode1992, petio n.13710/88, n.29, e TEDH,
acrdo Halford c. Reino Unido de 25dejunhode1997, petio n.20605/92, n. 42.
318 CdE, Comit de Ministros (1990), Recommendation No.R(90)19 on the protection of personal data used
for payment and other related operations, 13desetembrode1990.
190
investimento.319 Outros instrumentos jurdicos apoiam o combate ao abuso de informao privilegiada e manipulao de mercado.320 As questes mais importantes
nestas reas com relevncia para a proteo de dados so:
a conservao de registos sobre transaes financeiras;
a transferncia de dados pessoais para pases terceiros;
a gravao de conversas telefnicas ou comunicaes eletrnicas, incluindo o
dever de fornecer s autoridades competentes registos telefnicos e do trfego
de dados;
a divulgao de informaes pessoais, incluindo a publicao de sanes;
os poderes de controlo e inqurito das autoridades competentes, incluindo a realizao de inspees in loco e o acesso a instalaes privadas para apreender
documentos;
os mecanismos de comunicao de violaes, ou seja, os sistemas de denncia;
e
a cooperao entre as autoridades competentes dos Estados-Membros e a
Autoridade Europeia dos Valores Mobilirios e dos Mercados (ESMA).
319 Comisso Europeia (2011), Proposta de Diretiva do Parlamento Europeu e do Conselho relativa aos
mercados de instrumentos financeiros, que revoga a Diretiva 2004/39/CE do Parlamento Europeu
e do Conselho, COM(2011)656final, Bruxelas, 20deoutubrode2011; Comisso Europeia (2011),
Proposta de Regulamento do Parlamento Europeu e do Conselho relativo aos mercados de instrumentos
financeiros, que altera o Regulamento [EMIR] relativo aos derivados OTC, s contrapartes centrais e aos
repositrios de transaes, COM(2011)652final, Bruxelas, 20deoutubrode2011; Comisso Europeia
(2011), Proposta de Diretiva do Parlamento Europeu e do Conselho relativa ao acesso atividade das
instituies de crdito e superviso prudencial das instituies de crdito e empresas de investimento
e que altera a Diretiva2002/87/CE do Parlamento Europeu e do Conselho relativa superviso
complementar de instituies de crdito, empresas de seguros e empresas de investimento de um
conglomerado financeiro, COM(2011)453final, Bruxelas, 20dejulhode2011.
320 Comisso Europeia (2011), Proposta de Regulamento do Parlamento Europeu e do Conselho
relativo ao abuso de informao privilegiada e manipulao de mercado (abuso de mercado),
COM(2011)651final, Bruxelas, 20deoutubrode2011; Comisso Europeia (2011), Proposta de Diretiva
do Parlamento Europeu e do Conselho relativa s sanes penais aplicveis ao abuso de informao
privilegiada e manipulao de mercado (abuso de mercado), COM(2011)654final, Bruxelas,
20deoutubrode2011.
191
H outras questes nestas reas que tambm so expressamente abordadas, tais

como a recolha de dados sobre a situao financeira das pessoas em causa321 ou o
pagamento transfronteirio atravs de transferncia bancria, que implica necessariamente fluxos de dados pessoais.322
321 Regulamento (CE) n.1060/2009 do Parlamento Europeu e do Conselho, de 16deSetembrode2009,

relativo s agncias de notao de risco, JO2009L302; Comisso Europeia, Proposta de Regulamento
do Parlamento Europeu e do Conselho que altera o Regulamento (CE) n.1060/2009 relativo s
agncias de notao de risco, COM(2010)289final, Bruxelas, 2dejunhode2010.
322 Diretiva 2007/64/CE do Parlamento Europeu e do Conselho, de 13denovembrode2007, relativa aos
servios de pagamento no mercado interno, que altera as Diretivas97/7/CE, 2002/65/CE, 2005/60/CE
e 2006/48/CE e revoga a Diretiva97/5/CE, JO2007L319.
192
Leitura complementar
Captulo
Araceli Mangas, M. (ed.) (2008), Carta de los derechos fundamentales de la Unin
Europea, Bilbau, Fundacin BBVA.
Berka, W. (2012), Das Grundrecht auf Datenschutz im Spannungsfeld zwischen
Freiheit und Sicherheit, Viena, Manzsche Verlags- und Universittsbuchhandlung.
EDRi, An introduction to data protection, Bruxelas, disponvel em: www.edri.org/
files/paper06_datap.pdf.
Frowein, J. E Peukert, W. (2009), Europische Menschenrechtskonvention, Berlim,
N.P. Engel Verlag.
Grabenwarter, C. e Pabel,K. (2012), Europische Menschenrechtskonvention, Munique, C.H. Beck.
Harris, D., OBoyle,M., Warbrick,C. e Bates,E. (2009), Law of the European Convention on Human Rights, Oxford, Oxford UniversityPress.
Jarass, H. (2010), Charta der Grundrechte der Europischen Union, Munique, C.H.
Beck.
Mayer, J. (2011), Charta der Grundrechte der Europischen Union, Baden-Baden,
Nomos.
193
Mowbray, A. (2012), Cases, materials, and commentary on the European Convention

on Human Rights, Oxford, Oxford University Press.
Nowak, M., Januszewski,K. e Hofsttter,T. (2012), All human rights for all Vienna
manual on human rights, Anturpia, intersentia N. V., Neuer Wissenschaftlicher
Verlag.
Picharel, C. e Coutron,L. (2010), Charte des droits fondamentaux de lUnion europenne et convention europenne des droits de lhomme, Bruxelas, Emile Bruylant.
Simitis, S. (1997), Die EU-Datenschutz-Richtlinie Stillstand oder Anreiz?, Neue
Juristische Wochenschrift, n.5, p.281288.
Warren, S. e Brandeis,L. (1890), The right to privacy, Harvard Law Review, vol.4,
n.5, p.193220, disponvel em: www.english.illinois.edu/-people-/faculty/debaron/582/582%20readings/right%20to%20privacy.pdf.
White, R. e Ovey,C. (2010), The European Convention on Human Rights, Oxford,
Oxford University Press.
Captulo 2
Carey, P. (2009), Data protection: A practical guide to UK and EU law, Oxford, Oxford
University Press.
Delgado, L. (2008), Vida privada y proteccin de datos en la Unin Europea, Madrid,
Dykinson S.L.
Desgens-Pasanau,G. (2012), La protection des donnes caractre personnel, Paris,
LexisNexis.
Di Martino, A. (2005), Datenschutz im europischen Recht, Baden-Baden, Nomos.
Gabinete do Comissrio para a Informao do Reino Unido (2012), Anonymisation:
managing data protection risk. Code of practice, disponvel em: www.ico.org.uk/
for_organisations/data_protection/topic_guides/anonymisation.
Morgan, R. e Boardman,R. (2012), Data protection strategy: Implementing data protection compliance, Londres, Sweet & Maxwell.
194
Ohm, P. (2010), Broken promises of privacy: Responding to the surprising failure of

anonymization, UCLA Law Review, vol.57, n.6, p.17011777.
Tinnefeld, M., Buchner,B. e Petri,T. (2012), Einfhrung in das Datenschutzrecht:
Datenschutz und Informationsfreiheit in europischer Sicht, Munique, Oldenbourg
Wissenschaftsverlag.
Captulos 3 a 5
Autoridade de Proteo de Dados do Reino Unido, Privacy Impact Assessment, disponvel em: www.ico.org.uk/for_organisations/data_protection/topic_guides/
privacy_impact_assessment.
Brhann,U. (2012), Richtlinie 95/46/EG zum Schutz natrlicher Personen bei der
Verarbeitung personenbezogener Daten und zum freien Datenverkehr in: Grabitz,
E., Hilf, M. e Nettesheim, M. (eds.), Das Recht der Europischen Union, BandIV, A.30,
Munique, C.H. Beck.
Conde Ortiz,C. (2008), La proteccin de datos personales, Cdis, Dykinson.
Coudray, L. (2010), La protection des donnes personnelles dans lUnion europenne, Saarbrcken, ditions universitaires europennes.
Dammann, U. e Simitis,S. (1997), EG-Datenschutzrichtlinie, Baden-Baden, Nomos.
FRA (Agncia dos Direitos Fundamentais da Unio Europeia) (2010), Data Protection
in the European Union: the role of National Data Protection Authorities (Strengthen
ing the fundamental rights architecture in the EUII), Luxemburgo, Servio de Publicaes da Unio Europeia (Servio de Publicaes).
FRA (2010), Developing indicators for the protection, respect and promotion of the
rights of the child in the European Union (edio para a Conferncia), Viena, FRA.
FRA (2011), Access to justice in Europe: an overview of challenges and opportunities,
Luxemburgo, Servio de Publicaes.
Simitis, S. (2011), Bundesdatenschutzgesetz, Baden-Baden, Nomos.
195
Captulo 6
Gutwirth, S., Poullet,Y., De Hert,P., De Terwangne,C. e Nouwt,S. (2009), Reinventing data protection?, Berlim, Springer.
Kuner, C. (2007), European data protection law, Oxford, Oxford University Press.
Kuner, C. (2013), Transborder data flow regulation and data privacy law, Oxford,
Oxford University Press.
Captulo 7
Europol (2012), Data Protection at Europol, Luxemburgo, Servio de Publicaes, disponvel em: www.europol.europa.eu/sites/default/files/publications/europol_dpo_
booklet_0.pdf.
Eurojust, Data protection at Eurojust: A robust, effective and tailor-made regime, a
Haia, Eurojust.
Drewer, D., Ellermann,J. (2012), Europols data protection framework as an asset in
the fight against cybercrime, ERA Forum, vol.13, n.3, p.381395.
Gutwirth, S., Poullet,Y. e De Hert,P. (2010), Data protection in a profiled world, Dordrecht, Springer.
Gutwirth, S., Poullet,Y., De Hert,P. e Leenes,R. (2011), Computers, privacy and data
protection: An element of choice, Dordrecht, Springer.
Konstadinides, T. (2011), Destroying democracy on the ground of defending it? The
Data Retention Directive, the surveillance state and our constitutional ecosystem,
European Law Review, vol.36, n.5, p.722776.
Santos Vara, J. (2013), The role of the European Parliament in the conclusion of the
Transatlantic Agreements on the transfer of personal data after Lisbon, Centre for
the Law of External Relations, CLEER Working Papers 2013/2, disponvel em: www.
asser.nl/upload/documents/20130226T013310-cleer_13-2_web.pdf.
196
Captulo 8
Bllesbach, A., Gijrath,S., Poullet,Y. e Hacon,R. (2010), Concise European IT law,
Amesterdo, Kluwer Law International.
Gutwirth, S., Leenes,R., De Hert,P. e Poullet,Y. (2012), European data protection: In
good health?, Dordrecht, Springer.
Gutwirth, S., Poullet,Y. e De Hert,P. (2010), Data protection in a profiled world, Dordrecht, Springer.
Gutwirth, S., Poullet,Y., De Hert,P. e Leenes,R. (2011), Computers, privacy and data
protection: An element of choice, Dordrecht, Springer.
Konstadinides, T. (2011), Destroying democracy on the ground of defending it? The
Data Retention Directive, the surveillance state and our constitutional ecosystem,
European Law Review, vol.36, n.5, p.722776.
Rosemary, J. e Hamilton,A. (2012), Data protection law and practice, Londres, Sweet
& Maxwell.
197
Jurisprudncia
Jurisprudncia selecionada do Tribunal Europeu
dos Direitos do Homem
Acesso a dados pessoais
Acrdo Gaskin c. Reino Unido de 7 de junho de 1989, petio n. 10454/83
Acrdo Godelli c. Itlia de 25 de setembro de 2012, petio n.33783/09
Acrdo K.H. e outros c. Eslovquia de 28 de abril de 2009, petio n.32881/04
Acrdo Leander c. Sucia de 26 de maro de 1987, petio n.9248/81
Acrdo Odivre c. Frana [GS] de 13 de fevereiro de 2003, petio n.42326/98
Conciliao da proteo de dados com a liberdade de expresso
Acrdo Axel Springer AG c. Alemanha [GS] de 7 de fevereiro de 2012, petio
n.39954/08
Acrdo Von Hannover c. Alemanha de 24 de junho de 2004, petio n.59320/00
Acrdo Von Hannover c. Alemanha (n.2) [GS] de 7 de fevereiro de 2012, peties
n.s40660/08 e 60641/08
Desafios na proteo de dados na Internet
Acrdo K.U. c. Finlndia de 2 de dezembro de 2008, petio n.2872/02
Correspondncia
Acrdo Amann c. Sua [GS] de 16 de fevereiro de 2000, petio n.27798/95
199
Acrdo Bernh Larsen Holding AS e outros c. Noruega de 14 de maro de 2013, petio n.24117/08
Acrdo Cemalettin Canli c. Turquia de 18 de novembro de 2008, petio
n.22427/04
Acrdo Dalea c. Frana de 2 de fevereiro de 2010, petio n.964/07
Acrdo Gaskin c. Reino Unido de 7 de junho de 1989, petio n. 10454/83
Acrdo Haralambie c. Romnia de 27 de outubro de 2009, petio n.21737/03
Acrdo Khelili c. Sua de 18 de outubro de 2011, petio n.16188/07
Acrdo Malone c. Reino Unido de 2 de agosto de 1984, petio n. 8691/79
Acrdo McMichael c. Reino Unido de 24 de fevereiro de 1995, petio n. 16424/90
Acrdo M. G. c. Reino Unido de 24 de setembro de 2002, petio n. 39393/98
Acrdo Rotaru c. Romnia [GS] de 4 de maio de 2000, petio n.28341/95
Acrdo S. e Marper c. Reino Unido de 4 de dezembro de 2008, peties
n.s30562/04 e 30566/04
Acrdo Shimovolos c. Rssia de 21 de junho de 2011, petio n.30194/09
Acrdo Turek c. Eslovquia de 14 de fevereiro de 2006, petio n.57986/00
Bases de dados de registos criminais
Acrdo B.B. c. Frana de 17 de dezembro de 2009, petio n.5335/06
Acrdo M.M. c. Reino Unido de 13 de novembro de 2012, petio n. 24029/07
Bases de dados de ADN
n.s30562/04 e 30566/04
Dados GPS
Acrdo Uzun c. Alemanha de 2 de setembro de 2010, petio n.35623/05
Dados sobre a sade
Acrdo Biriuk c. Litunia de 25 de novembro de 2008, petio n.23373/03
Acrdo I. c. Finlndia de 17 de julho de 2008, petio n.20511/03
Acrdo L.L. c. Frana de 10 de outubro de 2006, petio n.7508/02
Acrdo M.S. c. Sucia de 2 de julho de 2002, petio n.34209/96
Acrdo Szuluk c. Reino Unido de 2 de junho de 2009, petio n. 36936/05
Acrdo Z. c. Finlndia de 25 de fevereiro de 1997, petio n.22009/93
200
Jurisprudncia
Identidade
Acrdo Ciubotaru c. Moldvia de 27 de abril de 2010, petio n. 27138/04
Acrdo Godelli c. Itlia de 25 de setembro de 2012, petio n.33783/09
Acrdo Odivre c. Frana [GS] de 13 de fevereiro de 2003, petio n.42326/98
Informaes sobre atividades profissionais
Acrdo Michaud c. Frana de 6 de dezembro de 2012, petio n.12323/11
Acrdo Niemietz c. Alemanha de 16 de dezembro de 1992, petio n.13710/88
Interceo das comunicaes
Acrdo Amann c. Sua [GS] de 16 de fevereiro de 2000, petio n.27798/95
Acrdo Copland c. Reino Unido de 3 de abril de 2007, petio n.62617/00
Acrdo Cotlet c. Romnia de 3 de junho de 2003, petio n.38565/97
Acrdo Kruslin c. Frana de 24 de abril de 1990, petio n.11801/85
Acrdo Lambert c. Frana de 24 de agosto de 1998, petio n.23618/94
Acrdo Liberty e outros c. Reino Unido de 1 de julho de 2008, petio n.58243/00
Acrdo Malone c. Reino Unido de 2 de agosto de 1984, petio n. 8691/79
Acrdo Halford c. Reino Unido de 25 de junho de 1997, petio n. 20605/92
Acrdo Szuluk c. Reino Unido de 2 de junho de 2009, petio n. 36936/05
Obrigaes dos responsveis pela proteo dos direitos humanos
Acrdo B.B. c. Frana de 17 de dezembro de 2009, petio n.5335/06
Acrdo Mosley c. Reino Unido de 10 de maio de 2011, petio n. 48009/08
Fotografias
Acrdo Sciacca c. Itlia de 11 de janeiro de 2005, petio n.50774/99
Direito a ser esquecido
Acrdo Segerstedt-Wiberg e outros c. Sucia de 6 de junho de 2006, petio
n.62332/00
Direito de oposio
201
Acrdo Mosley c. Reino Unido de 10 de maio de 2011, petio n. 48009/08

Acrdo M.S. c. Sucia de 2 de julho de 2002, petio n.34209/96
Categorias sensveis de dados
Acrdo Michaud c. Frana de 6 de dezembro de 2012, petio n.12323/11
n.s30562/04 e 30566/04
Controlo e fiscalizao do cumprimento (papel dos diferentes intervenientes,
incluindo as autoridades de proteo de dados)
Acrdo K.U. c. Finlndia de 2 de dezembro de 2008, petio n.2872/02
Acrdo Von Hannover c. Alemanha (n.2) [GS] de 7 de fevereiro de 2012, peties
n.s40660/08 e 60641/08
Mtodos de vigilncia
Acrdo Allan c. Reino Unido de 5 de novembro de 2002, petio n. 48539/99
Acrdo Association 21 Dcembre 1989 e outros c. Romnia de 24 de maio de
2011, peties n.s33810/07 e 18817/08
Acrdo Bykov c. Rssia [GS] de 10 de maro de 2009, petio n.4378/02
Acrdo Kennedy c. Reino Unido de 18 de maio de 2010, petio n. 26839/05
Acrdo Klass e outros c. Alemanha de 6 de setembro de 1978, petio n.5029/71
Acrdo Taylor-Sabori c. Reino Unido de 22 de outubro de 2002, petio
n.47114/99
Acrdo Uzun c. Alemanha de 2 de setembro de 2010, petio n.35623/05
Acrdo Vetter c. Frana de 31 de maio de 2005, petio n.59842/00
Videovigilncia
Acrdo Kpke c. Alemanha de 5 de outubro de 2010, petio n.420/07
Acrdo Peck c. Reino Unido de 28 de janeiro de 2003, petio n. 44647/98
202
Jurisprudncia
Amostras de voz
Acrdo P.G. e J.H. c. Reino Unido de 25 de setembro de 2001, petio n. 44787/98
Acrdo Wisse c. Frana de 20 de dezembro de 2005, petio n.71611/01
Jurisprudncia selecionada do Tribunal de Justia

da Unio Europeia
Jurisprudncia relacionada com a Diretiva de Proteo de Dados
Acrdo de 16 de dezembro de 2008 no processo C-73/07, Tietosuojavaltuutettu/
Satakunnan Markkinaprssi Oy e Satamedia Oy
[Conceito de atividades jornalsticas na aceo do artigo 9. da Diretiva de Proteo
de Dados]
Acrdo de 9 de novembro de 2010 nos processos apensos C-92/09 e C-93/09,

Volker und Markus Schecke GbR e Hartmut Eifert/Land Hessen
[Proporcionalidade da obrigao legal de publicar dados pessoais sobre os beneficirios de certos fundos agrcolas da UE]
Acrdo de 6 de novembro de 2003 no processo C-101/01, Bodil Lindqvist

[Legitimidade da publicao por particulares de dados sobre a vida privada de terceiros
na Internet]
Acrdo de 13 de maio de 2014 no processo C-131/12, Google Spain, S.L., Google

Inc./Agencia Espaola de Proteccin de Datos, Mario Costeja Gonzlez, pedido de
deciso prejudicial apresentado pela Audiencia Nacional (Espanha) em
9 de maro de 2012, 25 de maio de 2012, pendente
[Obrigao das empresas que exploram os motores de pesquisa de se absterem de
mostrar dados pessoais nos resultados da pesquisa, caso tal seja solicitado pelo titular
dos dados]
Acrdo de 30 de maio de 2013 no processo C-270/11, Comisso Europeia/Reino da

Sucia
[Multa pela no transposio de uma diretiva]
203
Acrdo de 29 de janeiro de 2008 no processo C-275/06, Productores de Msica de

Espaa (Promusicae)/Telefnica de Espaa SAU
[Obrigao dos prestadores de servios de acesso Internet de divulgarem a identidade de utilizadores dos programas de partilha de ficheiros KaZaA associao de
proteo da propriedade intelectual]
Acrdo de 8 de abril de 2014 no processo C-288/12, Comisso Europeia/Hungria

[Legitimidade da exonerao da autoridade nacional de proteo de dados]
Concluses do advogadogeral P. Mengozzi apresentadas em 13 de junho de 2013 no

processo C-291/12, Michael Schwarz/Stadt Bochum
[Violao do direito primrio da UE pelo Regulamento (CE) n.2252/2004 que estabelece que a imagem das impresses digitais tem de ser armazenada nos passaportes]
Acrdo de 8 de abril de 2014 nos processos apensos C-293/12 e C594/12, Digital

Rights Ireland e Seitling and Outros
[Violao do direito primrio da UE pela Diretiva Conservao de Dados]
Acrdo de 16 de fevereiro de 2012 no processo C-360/10, SABAM/Netlog N.V.

[Obrigao dos prestadores de servios de redes sociais de impedirem a utilizao ilcita de obras musicais e audiovisuais pelos utilizadores da rede]
Acrdo de 20 de maio de 2003 nos processos apensos C-465/00, C-138/01 e

C-139/01, Rechnungshof/sterreichischer Rundfunk e o., e Neukomm e Lauermann/
sterreichischer Rundfunk
[Proporcionalidade da obrigao legal de publicar dados pessoais sobre os salrios de
funcionrios de certas instituies relacionadas com o setor pblico]
Acrdo de 24 de novembro de 2011 nos processos apensos C-468/10 e C-469/10,

Asociacin Nacional de Establecimientos Financieros de Crdito (ASNEF) e Federacin de Comercio Electrnico y Marketing Directo (FECEMD)/Administracin del
Estado
[Correta transposio do artigo 7., alnea f), da Diretiva de Proteo de Dados interesses legtimos de terceiros para o direito nacional]
Acrdo de 9 de maro de 2010 no processo C-518/07, Comisso Europeia/Repblica

Federal da Alemanha
[Independncia de uma autoridade nacional de controlo]
204
Jurisprudncia
Acrdo de 16 de dezembro de 2008 no processo C-524/06, Huber/Alemanha

[Legitimidade da conservao de dados sobre estrangeiros num registo estatstico]
Acrdo de 5 de maio de 2011 no processo C-543/09, Deutsche Telekom AG/

Bundesrepublik Deutschland
[Necessidade de novo consentimento]
Acrdo de 7 de maio de 2009 no processo C-553/07, College van burgemeester en

wethouders van Rotterdam/M.E.E. Rijkeboer
[Direito de acesso do titular dos dados]
Acrdo de 16 de outubro de 2012 no processo C-614/10, Comisso Europeia/Repblica da ustria

[Independncia de uma autoridade nacional de controlo]
Jurisprudncia relacionada com o Regulamento Proteo de Dados

(Instituies da UE)
Acrdo de 29 de junho de 2010 no processo C28/08P, Comisso Europeia/The
Bavarian Lager Co. Ltd
[Acesso aos documentos]
Acrdo de 6 de maro de 2003 no processo C-41/00P, Interporc Im- und Export

GmbH/Comisso das Comunidades Europeias
[Acesso aos documentos]
Acrdo do Tribunal da Funo Pblica de 15 de junho de 2010 no processo F-35/08,

Pachtitis/Comisso
[Utilizao de dados pessoais no contexto do emprego em instituies da UE]
Acrdo do Tribunal da Funo Pblica de 5 de julho de 2011 no processo F46/09,

V/Parlamento
[Utilizao de dados pessoais no contexto do emprego em instituies da UE]
205
Lista de processos
Jurisprudncia do Tribunal de Justia da Unio Europeia
Asociacin Nacional de Establecimientos Financieros de Crdito
(ASNEF) e Federacin de Comercio Electrnico y Marketing
Directo (FECEMD)/Administracin del Estado, nos processos
apensos C-468/10 e C-469/10,
24 de novembro de 2011.......................................................18, 23, 83, 86, 90, 91, 204
Bodil Lindqvist, P. C-101/01,
6 de novembro de 2003...................................................35, 36, 45, 48, 52, 100, 137, 138, 203
College van burgemeester en wethouders van Rotterdam/M.E.E.
Rijkeboer, P. C-553/07, 7 de maio de 2009...............................................109, 115, 205
Comisso Europeia/Hungria, P. C-288/12, 8 de abril de 2012....................110, 126, 204
Comisso Europeia/Reino da Sucia, P. C-270/11, 30 de maio de 2013.................... 203
Comisso Europeia/Repblica da ustria, P. C-614/10,
16 de outubro de 2012....................................................................................110, 125, 205
Comisso Europeia/Repblica Federal da Alemanha, P. C-518/07,
9 de maro de 2010.........................................................................................110, 124, 204
Comisso Europeia/The Bavarian Lager Co. Ltd, P. C28/08P,
29 de junho de 2010...................................................................13, 28, 30, 111, 134, 205
Deutsche Telekom AG/Bundesrepublik Deutschland, P. C-543/09,
5 de maio de 2011................................................................................................ 36, 63, 205
Digital Rights Ireland e Seitling and Outro, nos processos apensos
C-293/12 e C594/12, 8 de abril de 2014 .................................................. 133, 180, 204
207
Google Spain, S.L., Google Inc./Agencia Espaola de Proteccin

de Datos, Mario Costeja Gonzlez, processo C131/12, pedido
de deciso prejudicial apresentado pela Audiencia Nacional
(Espanha) em 9 de maro de 2012, 25 de maio de 2012, pendente................... 203
Huber/Alemanha, P. C-524/06,
16 de dezembro de 2008 ................................................. 65, 83, 86, 88, 175, 188, 205
Interporc Im- und Export GmbH/Comisso das Comunidades
Europeias, P. C-41/00P, 6 de maro de 2003...................................................... 30, 205
M.H. Marshall Southampton and South-West Hampshire Area Health
Authority, P. C-152/84, 26 de fevereiro de 1986.......................................................111
Michael Schwarz/Stadt Bochum, P. C-291/12, concluses do
advogadogeral P. Mengozzi apresentadas em 13 de junho de 2013................... 204
Pachtitis/Comisso, P. F-35/08, acrdo do Tribunal da Funo
Pblica de 15 de junho de 2010...................................................................................... 205
Parlamento Europeu c.Conselho da Unio Europeia, nos processos
apensos C-317/04 e C-318/04, acrdo de 30 de maio de 2006........................... 149
Productores de Msica de Espaa (Promusicae)/Telefnica de Espaa
SAU, P. C-275/06, 29 de janeiro de 2008................................. 13, 23, 33, 35, 40, 204
Rechnungshof/sterreichischer Rundfunk e o., e Neukomm e
Lauermann/sterreichischer Rundfunk, nos processos apensos
C-465/00, C-138/01 e C-139/01, 20 de maio de 2003.......................................86, 204
SABAM/Netlog N.V., P. C-360/10, 16 de fevereiro de 2012...................................34, 204
Sabine von Colson e Elisabeth Kamann/Land Nordrhein-Westfalen,
P.C-14/83, 10 de abril de 1984............................................................................. 111, 136
Tietosuojavaltuutettu/Satakunnan Markkinaprssi Oy e Satamedia
Oy, P. C-73/07, 16 de dezembro de 2008.......................................................13, 24, 203
V/Parlamento, P. F46/09, Acrdo do Tribunal da Funo Pblica de
5 de julho de 2011.............................................................................................................. 205
Volker und Markus Schecke GbR e Hartmut Eifert/Land Hessen,
nos processos apensos C-92/09 e C-93/09,
9 de novembro de 2010............................................................13, 22, 31, 35, 39, 43, 65, 71, 203
208
Lista de processos
Jurisprudncia do Tribunal Europeu dos Direitos do Homem

Allan c. Reino Unido de 5 de novembro de 2002, petio n. 48539/99..........156, 202
Amann c. Sua [GS] de 16 de fevereiro de 2000,
petio n.27798/95............................................................. 38, 40, 43, 67, 68, 199, 201
Ashby Donald e outros c. Frana de 10 de janeiro de 2013,
petio n.36769/08............................................................................................................33
Association 21 Dcembre 1989 e outros c. Romnia de
24 de maio de 2011, peties n.s33810/07 e 18817/08...................................... 202
Association for European Integration and Human Rights e Ekimdzhiev
c. Bulgria de 28 de junho de 2007, petio n.62540/00........................................68
Avilkina e outros c. Rssia de 6 de junho de 2013, petio n. 1585/09.................... 185
Axel Springer AG c. Alemanha [GS] de 7 de fevereiro de 2012,
petio n.39954/08........................................................................................... 13, 25, 199
B.B. c. Frana de 17 de dezembro de 2009,
petio n.5335/06............................................................................... 153, 155, 200, 201
Bernh Larsen Holding AS e outros c. Noruega
de 14 de maro de 2013, petio n.24117/08............................................35, 38, 200
Biriuk c. Litunia de 25 de novembro de 2008,
petio n.23373/03................................................................................ 27, 111, 184, 200
Bykov c. Rssia [GS] de 10 de maro de 2009, petio n.4378/02........................... 202
Cemalettin Canli c. Turquia de 18 de novembro de 2008,
petio n.22427/04.......................................................................................109, 116, 200
Ciubotaru c. Moldvia de 27 de abril de 2010,
petio n. 27138/04.......................................................................................109, 118, 201
Copland c. Reino Unido de 3 de abril de 2007,
petio n.62617/00.................................................................................15, 175, 182, 201
Cotlet c. Romnia de 3 de junho de 2003, petio n.38565/97................................. 201
Dalea c. Frana de 2 de fevereiro de 2010,
petio n.964/07.................................................................................. 116, 154, 170, 200
Gaskin c. Reino Unido de 7 de julho de 1989,
petio n. 10454/83.......................................................................................113, 199, 200
Godelli c. Itlia de 25 de setembro de 2012,
petio n.33783/09................................................................................40, 113, 199, 201
209
Halford c. Reino Unido de 25 de junho de 1997, petio n. 20605/92.............190, 201

Haralambie c. Romnia de 27 de outubro de 2009,
petio n.21737/03........................................................................................... 66, 79, 200
I. c. Finlndia de 17 de julho de 2008,
petio n.20511/03...............................................15, 84, 98, 135, 184, 200, 201, 202
Iordachi e outros c. Moldvia de 10 de fevereiro de 2009, petio n. 25198/02......67
K.H. e outros c. Eslovquia de 28 de abril de 2009,
petio n.32881/04.........................................................................66, 80, 113, 184, 199
K.U. c. Finlndia de 2 de dezembro de 2008,
petio n.2872/02................................................................15, 111, 131, 135, 199, 202
Kennedy c. Reino Unido de 18 de maio de 2010, petio n. 26839/05.................... 202
Khelili c. Sua de 18 de outubro de 2011, petio n.16188/07.....................65, 69, 200
Klass e outros c. Alemanha de 6 de setembro de 1978,
petio n.5029/71...........................................................................................15, 156, 202
Kpke c. Alemanha de 5 de outubro de 2010, petio n.420/07..............44, 131, 202
Kopp c. Sua de 25 de maro de 1998, petio n. 23224/94........................................67
Kruslin c. Frana de 24 de abril de 1990, petio n.11801/85.................................... 201
L.L. c. Frana de 10 de outubro de 2006, petio n.7508/02.............................184, 200
Lambert c. Frana de 24 de agosto de 1998, petio n.23618/94............................ 201
Leander c. Sucia de 26 de maro de 1987,
petio n.9248/81.................................................15, 65, 69, 70, 113, 121, 155, 199, 200, 201
Liberty e outros c. Reino Unido de 1 de julho de 2008,
petio n.58243/00.................................................................................................. 38, 201
M. G. c. Reino Unido de 24 de setembro de 2002, petio n. 39393/98.................. 200
M.K. c. Frana de 18 de abril de 2013, petio n.19522/09................................117, 155
M.M. c. Reino Unido de 13 de novembro de 2012,
petio n. 24029/07.........................................................................................78, 155, 200
M.S. c. Sucia de 27 de agosto de 1997 petio n.34209/96..................121, 200, 202
Malone c. Reino Unido de 2 de agosto de 1984,
petio n. 8691/79.......................................................................... 15, 68, 180, 200, 201
McMichael c. Reino Unido de 24 de fevereiro de 1995, petio n. 16424/90........ 200
Michaud c. Frana de 6 de dezembro de 2012,
petio n.12323/11..............................................................................176, 190, 201, 202
Mosley c. Reino Unido de 10 de maio de 2011,
petio n. 48009/08.........................................................................13, 26, 121, 201, 202
210
Lista de processos
Mller e outros c. Sua de 24 de maio de 1988, petio n.10737/84........................32

Niemietz c. Alemanha de 16 de dezembro de 1992,
petio n.13710/88......................................................................................... 37, 190, 201
Odivre c. Frana [GS] de 13 de fevereiro de 2003,
petio n.42326/98................................................................................40, 113, 199, 201
P.G. e J.H. c. Reino Unido de 25 de setembro de 2001,
petio n. 44787/98..................................................................................................44, 203
Peck c. Reino Unido de 28 de janeiro de 2003,
petio n. 44647/98.................................................................................... 44, 65, 69, 202
Rotaru c. Romnia [GS] de 4 de maio de 2000,
petio n.28341/95..................................................................37, 65, 68, 118, 200, 202
S. e Marper c. Reino Unido de 4 de dezembro de 2008,
peties n.s30562/04 e 30566/04................................... 15, 78, 153, 155, 200, 202
Sciacca c. Itlia de 11 de janeiro de 2005, petio n.50774/99...........................44, 201
Segerstedt-Wiberg e outros c. Sucia de 6 de junho de 2006,
petio n.62332/00....................................................................................... 109, 117, 201
Shimovolos c. Rssia de 21 de junho de 2011, petio n.30194/09..................68, 200
Silver e outros c. Reino Unido de 25 de maro de 1983,
peties n.s5947/72, 6205/73, 7052/75, 7061/75, 7107/75, 7113/75.............68
Szuluk c. Reino Unido de 2 de junho de 2009,
petio n. 36936/05...................................................................................... 184, 200, 201
Trsasg a Szabadsgjogokrt c. Hungria de 14 de abril de 2009...........................13, 30
Taylor-Sabori c. Reino Unido de 22 de outubro de 2002,
petio n. 47114/99........................................................................................... 65, 68, 202
The Sunday Times c. Reino Unido de 26 de abril de 1979, petio n.6538/74.........68
Turek c. Eslovquia de 14 de fevereiro de 2006, petio n.57986/00..................... 200
Uzun c. Alemanha de 2 de setembro de 2010,
petio n.35623/05..................................................................................15, 44, 200, 202
Vereinigung bildender Knstler c. ustria, de 25 de janeiro de 2007,
petio n.68345/01.....................................................................................................13, 32
211
Vetter c. Frana de 31 de maio de 2005,

petio n.59842/00................................................................................68, 153, 157, 202
Von Hannover c. Alemanha (n.2) [GS] de 7 de fevereiro de 2012,
peties n.s40660/08 e 60641/08......................................................23, 25, 199, 202
Von Hannover c. Alemanha de 24 de junho de 2004, petio
n.59320/00................................................................................................44, 199, 201, 202
Wisse c. Frana de 20 de dezembro de 2005, petio n.71611/01....................44, 203
Z. c. Finlndia de 25 de fevereiro de 1997, petio n.22009/93............. 175, 184, 200
Jurisprudncia dos tribunais nacionais
Alemanha, Tribunal Constitucional Federal
(Bundesverfassungsgericht), 1BvR256/08, 2 de maro de2010....................... 180
Romnia, Tribunal Constitucional da Romnia (Curtea Constituional
a Romniei), n.1258, 8 de outubro de2009............................................................ 180
Tribunal Constitucional da Repblica Checa (stavn soud esk
republiky), 94/2011Coll., 22 de maro de2011........................................................ 180

212
Agncia dos Direitos Fundamentais da Unio Europeia

Conselho da Europa Tribunal Europeu dos Direitos do Homem

2014 212 pginas 14,8 21 cm
ISBN 978-92-9239-498-1 (FRA)
doi:10.2811/73790
Sobre a Agncia dos Direitos Fundamentais da Unio Europeia, est disponvel um vasto conjunto
de informao, que pode ser consultado atravs do stio da Internet da FRA em (fra.europa.eu).
Encontram-se disponveis numerosas outras informaes sobre o Conselho da Europa na rede
Internet, via servidor hub.coe.int.
Sobre a jurisprudncia do Tribunal Europeu dos Direitos do Homem, est disponvel mais informao
no stio da Internet do Tribunal: echr.coe.int. O portal de pesquisa HUDOC d acesso aos julgamentos
e decises em ingls e/ou francs, tradues para lnguas adicionais, sumrios legais, comunicados
de imprensa e outra informao sobre os trabalhos do Tribunal.
COMO OBTER PUBLICAES DA UNIO EUROPEIA

Publicaes gratuitas:
um exemplar:
via EU Bookshop (http://bookshop.europa.eu);
mais do que um exemplar/cartazes/mapas:
nas representaes da Unio Europeia (http://ec.europa.eu/represent_pt.htm),
nas delegaes em pases fora da UE (http://eeas.europa.eu/delegations/index_pt.htm),
contactando a rede Europe Direct (http://europa.eu/europedirect/index_pt.htm)
ou pelo telefone 00 800 6 7 8 9 10 11 (gratuito em toda a UE) (*).
Publicaes pagas:
via EU Bookshop (http://bookshop.europa.eu);
Assinaturas pagas:
atravs de um dos agentes de vendas do Servio das Publicaes da Unio Europeia
(http://publications.europa.eu/others/agents/index_pt.htm).
(*) As informaes prestadas so gratuitas, tal como a maior parte das chamadas, embora alguns operadores, cabinas
telefnicas ou hotis as possam cobrar.
Como obter publicaes do Conselho da Europa

O Servio de Publicaes do Conselho da Europa produz obras em todas as reas de referncia
da organizao, incluindo direitos do Homem, cincia jurdica, sade, tica, assuntos sociais,
ambiente, educao, cultura, desporto, juventude e patrimnio arquitetnico. Os livros
e as publicaes eletrnicas deste vasto catlogo podem ser encomendados em linha
(http://book.coe.int/).
Uma sala de leitura virtual permite que os utilizadores consultem gratuitamente excertos
das principais obras acabadas de publicar ou o texto completo de certos documentos
oficiais.
Esto disponveis informaes sobre as convenes do Conselho da Europa, bem como os
textos completos das mesmas, no stio web do Gabinete do Tratado: http://conventions.
coe.int/.
10.2811/73790
TK-01-13-772-PT-C
A rpida evoluo das tecnologias da informao e da comunicao refora a necessidade de

assegurar uma proteo slida dos dados pessoais um direito garantido por instrumentos
da Unio Europeia (UE) e do Conselho da Europa (CdE). Os avanos tecnolgicos expandem as
fronteiras, por exemplo, da vigilncia, da interceo das comunicaes e do armazenamento dos
dados; todas estas atividades colocam desafios significativos ao direito proteo de dados.
O presente manual visa familiarizar os profissionais do Direito que no so especializados em
proteo de dados com esta rea do Direito. Apresenta uma viso geral dos quadros jurdicos
da UE e do CdE aplicveis. Explica a jurisprudncia mais importante, resumindo as principais
decises do Tribunal Europeu dos Direitos do Homem (TEDH) e do Tribunal de Justia da Unio
Europeia(TJUE). Nos casos em que ainda no existe jurisprudncia, apresenta exemplos prticos
com cenrios hipotticos. Em resumo, o presente manual visa ajudar a garantir uma defesa
vigorosa e determinada do direito proteo de dados.
AGNCIA DOS DIREITOS FUNDAMENTAIS DA UNIO EUROPEIA

Schwarzenbergplatz 11 1040 Viena ustria
Tel. +43 (1) 580 30-60 Fax +43 (1) 580 30-693
fra.europa.eu info@fra.europa.eu
CONSELHO DA EUROPA
TRIBUNAL EUROPEU DOS DIREITOS DO HOMEM
67075 Estrasburgo Cedex Frana
Tel. +33 (0) 3 88 41 20 00 Fax +33 (0) 3 88 41 27 30
echr.coe.int publishing@echr.coe.int

ISBN 978-92-9239-498-1 (FRA)

Fra 2014 Handbook Data Protection PT

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Fra 2014 Handbook Data Protection PT

Uploaded by

Copyright:

Available Formats

MANUAL

Agncia dos Direitos Fundamentais da Unio Europeia, 2014

Europe Direct um servio que responde

Crdito das fotos (portada e interior): iStockphoto

Manual da Legislao Europeia sobre Proteo de Dados

Gostaramos de agradecer ao Instituto de Direitos Humanos Ludwig Boltzmann pelo

ABREVIATURAS, SIGLAS E ACRNIMOS

1. CONTEXTO E ANTECEDENTES DALEGISLAO EUROPEIA SOBRE PROTEO

1.2. Conciliao de direitos ....................................................................................................................................................... 22

Liberdade de expresso ........................................................................................................................................ 23

2. TERMINOLOGIA SOBRE PROTEO DE DADOS ........................................................................................................ 35

2.2. Tratamento de dados ......................................................................................................................................................... 48

2.4. Consentimento ........................................................................................................................................................................... 58

3. OS PRINCPIOS FUNDAMENTAIS DA LEGISLAO EUROPEIA SOBRE

3.1.2. As condies do estabelecimento de restries lcitas ao abrigo da Carta

3.2. O princpio da especificao edalimitao da finalidade ..................................................... 72

3.3.3. O princpio da limitao da conservao dosdados

3.4. O princpio do tratamento leal ................................................................................................................................. 78

3.4.2. Criar uma relao de confiana

3.5. O princpio da responsabilidade ............................................................................................................................. 81

4.2. Regras sobre a segurana do tratamento ................................................................................................ 95

4.3. Regras sobre a transparncia dotratamento ................................................................................... 100

4.4. Regras sobre a promoo documprimento ...................................................................................... 105

4.4.2. Encarregados da proteo dos dados pessoais

5. OS DIREITOS DAS PESSOAS EM CAUSA E A TUTELA DOSEUEXERCCIO ............................... 109

5.1.2. Direito de oposio

5.2. Controlo independente ................................................................................................................................................. 122

5.3.2. Pedidos deduzidos perante a autoridade decontrolo

6. FLUXOS TRANSFRONTEIRIOS DEDADOS .................................................................................................................. 137

6.4. Restries ao fluxo de dados para pases terceiros .................................................................. 145

6.4.2. Regras vinculativas para as empresas

7. PROTEO DE DADOS NO CONTEXTO DA ATIVIDADE POLICIAL E DA JUSTIA

7.1.2. Conveno de Budapeste sobre o Cibercrime

7.2.2. Instrumentos jurdicos mais especficos sobre a proteo de dados no

8. OUTRA LEGISLAO EUROPEIA ESPECFICA SOBRE PROTEO DE DADOS ..................... 175

JURISPRUDNCIA ..................................................................................................................................................................................................... 199

Abreviaturas, siglas e acrnimos

Autoridade Europeia para a Proteo de Dados

Regras vinculativas para as empresas

Carta dos Direitos Fundamentais da Unio Europeia

Circuito fechado de televiso

CEDH Conveno Europeia dos Direitos do Homem

Gesto do relacionamento com os clientes

Parte central do Sistema de Informao Schengen

Declarao Universal dos Direitos do Homem

Espao Econmico Europeu

Associao Europeia de Comrcio Livre

Agncia Europeia para a Segurana das Redes e da Informao

Unidade Nacional Europol

Autoridade Europeia dos Valores Mobilirios e dos Mercados

Redes Transeuropeias de Telecomunicaes

Agncia Europeia para os Sistemas Informticos de Grande Escala

Selo Europeu de Privacidade

Agncia dos Direitos Fundamentais da Unio Europeia

Sistema de posicionamento global

Instncia Comum de Controlo

Mandado de Deteno Europeu

Parte nacional do Sistema de Informao Schengen

Organizao para a Cooperao e Desenvolvimento Econmico

Organizao das Naes Unidas

Nmero de identificao pessoal

Registo de identificao dos passageiros

Espao nico de Pagamentos em Euros

Agncia dos Direitos Fundamentais da Unio Europeia, 2014