Professional Documents
Culture Documents
Manual da Legislao
Europeia sobre Proteo
de Dados
00 800 6 7 8 9 10 11
(*) As informaes prestadas so gratuitas, tal como a maior parte das chamadas, embora
alguns operadores, cabinas telefnicas ou hotis as possam cobrar.
Manual da Legislao
Europeia sobre Proteo
de Dados
Prefcio
O presente Manual da Legislao Europeia sobre Proteo de Dados foi elaborado
pela Agncia dos Direitos Fundamentais da Unio Europeia(FRA) e pelo Conselho da Europa, em conjunto com a Secretaria do Tribunal Europeu dos Direitos do
Homem. Tratase do terceiro numa srie de manuais jurdicos elaborados em conjunto pela FRA e pelo Conselho da Europa. Em maro de 2011, foi publicado um primeiro manual sobre a legislao europeia antidiscriminao e, em junho de 2013,
um segundo manual sobre a legislao europeia em matria de asilo, fronteiras e
imigrao.
Decidimos manter esta nossa colaborao num tema extremamente atual, que nos
afeta a todos, todos os dias: a proteo de dados pessoais. A Europa goza de um
dos sistemas mais protetores neste domnio, que assenta na Conveno 108 do
Conselho da Europa, em instrumentos da Unio Europeia (UE) e na jurisprudncia
do Tribunal Europeu dos Direitos do Homem (TEDH) e do Tribunal de Justia da Unio
Europeia (TJUE).
O presente manual visa divulgar e melhorar os conhecimentos sobre as regras relativas proteo de dados nos Estados-Membros da Unio Europeia e do Conselho
da Europa, servindo como principal ponto de referncia para os leitores. Tem por
destinatrios profissionais do Direito no especializados nesta rea, juzes, autoridades nacionais de proteo de dados e outras pessoas que trabalham no campo da
proteo de dados.
Com a entrada em vigor do Tratado de Lisboa em dezembro de 2009, a Carta dos
Direitos Fundamentais da UE tornouse juridicamente vinculativa, o que conferiu
proteo de dados pessoais o estatuto de direito fundamental autnomo. Para proteger este direito fundamental, crucial compreender melhor a Conveno 108 do
Conselho da Europa e os instrumentos da UE, que abriram caminho para a proteo
de dados na Europa, bem como a jurisprudncia do TJUE e do TEDH.
Morten Kjaerum
Diretor
Diretor Geral
de Direitos Humanos e Estado de Direito da Agncia dos Direitos Fundamentais
da Unio Europeia
Conselho da Europa
ndice
PREFCIO
.................................................................................................................................................................................................................................. 3
............................................................................................................................................ 9
............................................................................................................................................................... 11
......................................... 67
....................................................................................................................................................................................... 70
........................................................................................................ 75
.............................................................................................................. 76
................................................................... 77
.................................................................................................................................................................. 79
...................................................................................................................... 79
............................................................................................ 85
........................................................................................................ 92
.......................................................................................................... 96
........................................................................................................................................................ 99
.....................................................................................................................................................................101
4.3.2. Notificao
......................................................................................................................................................................104
...........................................................................................................................................................106
...........................................................................106
................................................................................................................................................107
.......................................................................................................................................................112
.................................................................................................................................................119
..........................................................................................127
............................................................129
........................................................................................................130
.............................................................................................................................................................................135
.....................................................142
......................................................................................143
.............................................................................................................................................146
..................................................................................................148
...............................................................................................................148
....................................................................................155
..............................................................................158
7.2. Legislao da UE sobre proteo dedados em matria policial e penal ........ 159
Pontos-chave ................................................................................................................................................................................................... 159
7.2.1. A Deciso-Quadro relativa proteo de dados
........................................................................160
......................................................................................................................................................................... 193
......................................................................................................................................................................................... 207
BCR
Carta
CCTV
CE
Comunidade Europeia
CdE
Conselho da Europa
Conveno para a Proteo das Pessoas relativamente ao Tratamento Automatizado de Dados de Carter Pessoal (Conselho da
Europa)
CRM
C-SIS
DUDH
EEE
EFTA
ENISA
ENU
ESMA
eTEN
eu-LISA
EuroPriSe
FRA
GPS
ICC
MDE
N-SIS
10
OCDE
ONG
Organizao no-governamental
ONU
PIN
PNR
SEPA
SIA
SIS
STCE
SWIFT
TEDH
TFUE
TJUE
Tratado UE
UE
Unio Europeia
VIS
11
12
1.
Contexto e antecedentes
dalegislao europeia sobre
proteo de dados
UE
Questes
abrangidas
Conciliao de direitos
TJUE, acrdo de 9 de novembro de
2010 nos processos apensos C-92/09
e C-93/09, Volker und Markus Schecke
GbR e Hartmut Eifert/Land Hessen
TJUE, acrdo de 16 de dezembro
de 2008 no processo C-73/07,
Tietosuojavaltuutettu/Satakunnan
Markkinaprssi Oy e Satamedia Oy
CdE
Liberdade de
expresso
Liberdade das
artes e das
cincias
Proteo da
propriedade
Acesso aos
documentos
13
A Conveno108 do CdE o primeiro instrumento internacional juridicamente vinculativo que regula expressamente a proteo de dados.
Ao nvel da UE, a proteo de dados foi regulada pela primeira vez pela Diretiva de
Proteo de Dados.
14
Declarao Universal dos Direitos do Homem (DUDH) das Naes Unidas, de10dedezembrode1948.
Ver, por exemplo, TEDH, acrdo Malone c. Reino Unido de 2 de agosto de 1984, petio n.8691/79;
TEDH, acrdo Copland c. Reino Unido de 3deabrilde2007, petio n.62617/00.
Ver, por exemplo, TEDH, acrdo Klass e o. c. Alemanha de 6 de setembro de 1978, petio
n.5029/71; TEDH, acrdo Uzun c. Alemanha de 2deSetembrode2010, petio n.35623/05.
Ver, por exemplo, TEDH, acrdo Leander c. Sucia de 26 de maro de 1987, petio n.9248/81; TEDH,
acrdo S. and Marper c. Reino Unido de 4dedezembrode2008, peties n.s30562/04 e 30566/04.
Ver, por exemplo, TEDH, acrdo I. c. Finlndia de 17 de julho de 2008, petio n.20511/03; TEDH,
acrdo K.U. c. Finlndia de 2dedezembrode2008, petio n.2872/02.
15
CEDH.7 Em 1981, foi aberta a assinatura a Conveno para a proteo das pessoas
relativamente ao tratamento automatizado de dados de carter pessoal (Conveno
108)8. A Conveno 108 era, e ainda , o nico instrumento internacional juridicamente vinculativo no domnio da proteo de dados.
A Conveno 108 aplica-se a todos os tratamentos de dados pessoais realizados
tanto pelo setor privado como pelo setor pblico, incluindo os tratamentos de dados
efetuados pelas autoridades policiais e judicirias. Protege as pessoas contra os
abusos que podem acompanhar a recolha e o tratamento de dados pessoais e procura simultaneamente regular o fluxo transfronteirio de dados pessoais. Quanto
recolha e tratamento de dados pessoais, os princpios estabelecidos na Conveno
respeitam, em especial, recolha e tratamento automatizado de dados de forma
leal e lcita, armazenados para finalidades determinadas e legtimas, no podendo
ser utilizados para fins incompatveis com essas finalidades nem conservados por
tempo superior ao necessrio. Dizem tambm respeito qualidade dos dados, estabelecendo, em especial, que tm de ser adequados, pertinentes e no excessivos
(proporcionalidade), bem como exatos.
Alm de prever garantias relativas recolha e tratamento de dados pessoais, a Conveno probe, na ausncia de garantias jurdicas adequadas, o tratamento de dados
sensveis, tais como dados sobre a raa, a opinio poltica, a sade, as convices
religiosas, a vida sexual ou o registo criminal de uma pessoa.
A Conveno consagra igualmente o direito das pessoas a saberem que existem
informaes armazenadas a seu respeito e, se necessrio, a que as mesmas sejam
retificadas. S so admitidas restries aos direitos estabelecidos na Conveno
quando estiverem em causa interesses superiores, como a proteo da segurana
do Estado.
16
CdE, Comit de Ministros (1973), Resolution(73)22 on the protection of the privacy of individuals
vis--vis electronic data banks in the private sector (Resoluo(73)22 relativa proteo da
privacidade das pessoas singulares perante os bancos eletrnicos de dados no setor privado), de
26desetembrode1973; CdE, Comit de Ministros (1974), Resolution(74)29 on the protection of the
privacy of individuals vis--vis electronic data banks in the public sector (Resoluo(74)29 relativa
proteo da privacidade das pessoas singulares perante os bancos eletrnicos de dados no setor
pblico), 20deSetembrode1974.
CdE, Conveno para a Proteo das Pessoas relativamente ao Tratamento Automatizado de Dados de
Carter Pessoal, Conselho da Europa, STCE n.108,1981.
Embora a Conveno preveja o livre fluxo de dados pessoais entre os Estados signatrios, tambm impe algumas restries aos fluxos para Estados cuja regulamentao no proporcione uma proteo equivalente.
O Comit de Ministros do CdE adotou vrias recomendaes (que no so juridicamente vinculativas) para desenvolver os princpios gerais e as regras estabelecidos
na Conveno108 (ver captulos7 e 8).
Todos os Estados-Membros da UE ratificaram a Conveno108. Em1999, a Conveno foi alterada para permitir a adeso da UE.9 Em2001, foi adotado um protocolo
adicional Conveno108 que estabelece disposies sobre fluxos transfronteirios
de dados para Estados no signatrios, os chamados pases terceiros, e sobre a criao obrigatria de autoridades nacionais de controlo de proteo de dados. 10
Perspetivas
Na sequncia da deciso de modernizar a Conveno108, foi realizada uma consulta
pblica em2011 que permitiu confirmar os dois principais objetivos daquele trabalho: reforar a proteo da privacidade no espao digital e fortalecer o mecanismo
de acompanhamento da Conveno.
A Conveno108 est aberta adeso de Estados que no sejam membros do CdE,
incluindo pases no europeus. O potencial da Conveno para se afirmar como uma
norma universal e o seu carter aberto poderiam servir de base para promover a
proteo de dados a nvel mundial.
Atualmente, 45 das 46 Partes Contratantes da Conveno108 so Estados membros do CdE. O Uruguai foi o primeiro pas no europeu a aderir Conveno108 em
agostode2013 e Marrocos, que foi convidado a aderir Conveno pelo Comit de
Ministros, est a formalizar a sua adeso.
CdE, Alteraes Conveno para a Proteo das Pessoas relativamente ao Tratamento Automatizado
de Dados de Carter Pessoal (STCE n.108) que permitem a adeso das Comunidades Europeias,
adotadas pelo Comit de Ministros em Estrasburgo, em15dejunhode1999; artigo23., n. 2, da
Conveno108 na redao em vigor.
10 CdE, Protocolo Adicional Conveno para a Proteo das Pessoas relativamente ao Tratamento
Automatizado de Dados de Carter Pessoal, respeitante s autoridades de controlo e aos fluxos
transfronteirios de dados, STCE n. 181, 2001.
17
18
11
12
13
TJUE, acrdo de 24 de novembro de 2011, nos processos apensos C-468/10 e C-469/10, Asociacin
Nacional de Establecimientos Financieros de Crdito (ASNEF) e Federacin de Comercio Electrnico y
Marketing Directo (FECEMD) v. Administracin del Estad, n.s 28 e 29.
A Diretiva de Proteo de Dados visa dar corpo aos princpios do direito privacidade j consagrados na Conveno108 e alargar a sua aplicao. O facto de os
15Estados-Membros da UE em 1995 serem tambm Partes Contratantes da Conveno 108 exclui a adoo de regras contraditrias nestes dois instrumentos jurdicos. No entanto, a Diretiva de Proteo de Dados explora a possibilidade, prevista
no artigo 11. da Conveno108, de adotar novos instrumentos de proteo. Em
especial, o estabelecimento de autoridades de controlo independentes como meio
de melhorar o cumprimento das regras sobre proteo de dados revelouse um
importante contributo para a aplicao eficaz da legislao europeia sobre proteo de dados. (Consequentemente, este elemento foi incorporado no direito do CdE
em2001 pelo Protocolo Adicional Conveno108).
O mbito de aplicao territorial da Diretiva de Proteo de Dados no se limita aos
28Estados-Membros da UE, incluindo tambm os Estados que no so membros da
UE mas que fazem parte do Espao Econmico Europeu(EEE)14 a saber, a Islndia, o
Listenstaine e a Noruega.
O TJUE no Luxemburgo tem competncia para determinar se um Estado-Membro
cumpriu as suas obrigaes ao abrigo da Diretiva de Proteo de Dados e para proferir decises a ttulo prejudicial sobre a validade e a interpretao da Diretiva, a fim
de assegurar a sua aplicao efetiva e uniforme nos Estados-Membros. Uma importante exceo aplicao da Diretiva a chamada exceo domstica, que diz
respeito ao tratamento de dados pessoais por uma pessoa singular no exerccio de
atividades exclusivamente pessoais ou domsticas.15 Este tratamento geralmente
considerado parte das liberdades pessoais.
Correspondendo ao direito primrio da UE em vigor data da adoo da Diretiva
de Proteo de Dados, o mbito de aplicao material da Diretiva abrange apenas
matrias do mercado interno. Das matrias que ficam fora do seu mbito de aplicao importa destacar a cooperao no domnio policial e da justia penal. A proteo
de dados nestas matrias baseiase em instrumentos jurdicos diferentes, que so
descritos pormenorizadamente no captulo 7.
Uma vez que a Diretiva de Proteo de Dados s podia ter por destinatrios os Estados Membros da UE, era necessrio um outro instrumento jurdico para assegurar
a proteo de dados nos casos de tratamento de dados pessoais pelas instituies
14
Acordo sobre o Espao Econmico Europeu, JO1994L1, que entrou em vigor em 1dejaneirode1994.
15
19
20
16
17
18
Perspetivas
Em janeiro de 2012, a Comisso Europeia props um pacote de reforma legislativa
sobre a proteo de dados, afirmando que era necessrio modernizar as atuais
regras sobre proteo de dados luz da rpida evoluo tecnolgica e da globalizao. O pacote de reforma legislativa consiste numa proposta de Regulamento geral
19
20
Ver verses consolidadas de Comunidades Europeias (2012), Tratado da Unio Europeia, JOC326,
2012; e de Comunidades Europeias (2012), TFUE, JOC326, 2012.
21
22
21
22
23
Ver, por exemplo, TJUE, acrdo de 9 de novembro de 2010 nos processos apensos C-92/09 e C-93/09,
Volker und Markus Schecke GbR e Hartmut Eifert/Land Hessen, n. 48.
24
Ibid. n. 50.
exerccio deste direito seno quando esta ingerncia estiver prevista na lei e constituir uma providncia que, numa sociedade democrtica, seja necessria para [] a
proteo dos direitos e das liberdades de terceiros.
Consequentemente, tanto o TEDH como o TJUE tm afirmado repetidamente que a
aplicao e a interpretao do artigo8. da CEDH e do artigo8. da Carta exigem
a conciliao com outros direitos.25 Vrios exemplos importantes ilustraro como
poder ser feita esta conciliao.
25
TEDH, acrdo Von Hannover c. Alemanha (n. 2) [GS] de 7 de fevereiro de 2012, peties
n.s40660/08 e 60641/08; TJUE, acrdo de 24denovembrode2011 nos processos apensos
C-468/10 e C-469/10, Asociacin Nacional de Establecimientos Financieros de Crdito (ASNEF) e
Federacin de Comercio Electrnico y Marketing Directo (FECEMD)/Administracin del Estado, n.48;
TJUE, acrdo de 29dejaneirode2008 no processo C-275/06, Productores de Msica de Espaa
(Promusicae)/Telefnica de Espaa SAU, n.68. Ver tambm Conselho da Europa (2013), Case law of
the European Court of Human Rights concerning the protection of personal data, DP (2013) Case law,
disponvel em: www.coe.int/t/dghl/standardsetting/dataprotection/Judgments/DP 2013 Case Law_
Eng_FINAL.pdf.
26
23
27
24
TEDH, acrdo Axel Springer AG c. Alemanha [GS] de 7defevereirode2012, petio n.39954/08, n.s
90 e 91.
29
25
publicao de uma fotografia sua e do seu marido tirada durante umas frias
numa estncia de esqui no constitua uma violao do direito ao respeito pela
vida privada nos termos do artigo8. da CEDH. A fotografia era acompanhada
por um artigo que mencionava, entre outros assuntos, os problemas de sade
do Prncipe Rainier. O TEDH concluiu que os tribunais nacionais tinham conseguido conciliar o direito das editoras liberdade de expresso com o direito
dos requerentes ao respeito pela sua vida privada. A qualificao da doena do
Prncipe Rainier como um acontecimento da sociedade contempornea pelos
tribunais nacionais no podia ser considerada desrazovel e o TEDH reconheceu
que a fotografia, considerada no contexto do artigo, contribua, pelo menos em
certa medida, para um debate de interesse geral. O TEDH concluiu que no tinha
havido uma violao do artigo8. da CEDH.
Na jurisprudncia do TEDH, um dos critrios cruciais relativamente conciliao
destes direitos o contributo da expresso em causa para um debate de interesse
pblico geral.
Exemplo: No processo que deu origem ao acrdo Mosley c. Reino Unido,30 um
jornal semanal de circulao nacional publicou fotografias ntimas do requerente. Este alegou uma violao do artigo8. da CEDH porque no lhe tinha
sido possvel requerer uma medida cautelar antes da publicao das fotografias em causa devido inexistncia de qualquer obrigao de notificao prvia do jornal em caso de publicao de material suscetvel de violar o direito
privacidade. Embora a divulgao do referido material se destinasse a fins de
entretenimento e no a fins pedaggicos, beneficiava inquestionavelmente
da proteo do artigo10. da CEDH, que poderia ser afastada pelos requisitos
do artigo8. da CEDH nos casos em que as informaes tivessem natureza
ntima e privada e no existisse qualquer interesse pblico na sua divulgao.
No entanto, era necessrio exercer especial cuidado na apreciao de restries
que poderiam funcionar como uma espcie de censura antes da publicao.
Relativamente ao efeito inibidor que uma obrigao de notificao prvia poderia produzir, s dvidas quanto sua eficcia e ampla margem de apreciao
naquela rea, o TEDH entendeu que o artigo8. no exige o estabelecimento de
uma obrigao de notificao prvia juridicamente vinculativa. Nesta conformidade, o TEDH concluiu que no tinha havido qualquer violao do artigo8..
30
26
TEDH, acrdo Mosley c. Reino Unido de 10 de maio de 2011, petio n.48009/08, n.s 129 e 130.
Exemplo: No processo que deu origem ao acrdo Biriuk c. Litunia,31 a requerente pedia a condenao de um jornal dirio no pagamento de uma indemnizao por ter publicado um artigo em que revelava a sua seropositividade.
Esta informao tinha sido alegadamente confirmada pelos mdicos do hospital
local. O TEDH no considerou que o artigo em causa contribusse para qualquer
debate de interesse geral e reiterou a importncia fundamental da proteo dos
dados pessoais, sobretudo de dados mdicos, para que uma pessoa pudesse
gozar o seu direito ao respeito pela vida privada e familiar garantido pelo
artigo8. da CEDH. O TEDH atribuiu especial importncia ao facto de, segundo o
artigo publicado no jornal, o pessoal mdico de um hospital ter fornecido informaes sobre a infeo da requerente pelo VIH, violando manifestamente o seu
dever de sigilo mdico. Consequentemente, o Estado no tinha conseguido proteger o direito da requerente ao respeito pela sua vida privada. O TEDH concluiu
que tinha havido uma violao do artigo8..
32
33
27
aos documentos das instituies, rgos e organismos da Unio, seja qual for o
suporte desses documentos. Nos termos do artigo52., n. 2, da Carta, o direito de
acesso aos documentos tambm exercido de acordo com as condies e os limites
previstos no artigo15., n. 3, do TFUE. Este direito poder entrar em conflito com
o direito proteo de dados se o acesso aos documentos revelar dados pessoais
de terceiros. Por conseguinte, os pedidos de acesso a documentos ou informaes
podero ter de ser analisados luz do direito proteo de dados das pessoas cujos
dados constam dos documentos solicitados.
Exemplo: No acrdo Comisso/Bavarian Lager,34 o TJUE definiu o mbito da
proteo de dados pessoais no contexto do acesso aos documentos das instituies da UE e a relao entre os Regulamentos n.s1049/2001 (Regulamento Acesso aos Documentos) e 45/2001 (Regulamento Proteo de Dados).
A Bavarian Lager, constituda em 1992, importa cerveja alem engarrafada
para o Reino Unido, que se destina principalmente a consumo em pubs e bares.
Porm, deparouse com algumas dificuldades porque a legislao britnica favorece, na prtica, os produtores nacionais. Em resposta a uma queixa da Bavarian
Lager, a Comisso Europeu decidiu instaurar uma ao contra o Reino Unido por
incumprimento das suas obrigaes, na sequncia da qual as disposies controvertidas foram alteradas em conformidade com o direito da UE. A Bavarian
Lager solicitou ento Comisso vrios documentos, entre os quais uma cpia
da ata de uma reunio na qual tinham participado representantes da Comisso,
das autoridades britnicas e da Confdration des Brasseurs du March Commun(CBMC). A Comisso concordou em divulgar certos documentos relacionados com a reunio, mas truncou cinco nomes que constavam da ata, dado
que duas pessoas se tinham expressamente oposto divulgao da sua identidade e a Comisso no tinha conseguido contactar as outras trs. Por deciso
de 18demarode2004, a Comisso indeferiu um novo pedido de acesso
ata integral da reunio apresentado pela Bavarian Lager, com fundamento, em
especial, na proteo da vida privada das pessoas em causa, tal como garantida pelo Regulamento Proteo de Dados. Insatisfeita com esta deciso, a
Bavarian Lager instaurou uma ao no Tribunal de Primeira Instncia, que anulou a deciso da Comisso por acrdo de8denovembrode2007 (acrdo
Bavarian Lager/Comisso no processo T-194/04), tendo concludo, em especial,
que o simples facto de o nome da pessoa em causa figurar na lista dos participantes numa reunio em nome da entidade que essa pessoa representava
34
28
TJUE, acrdo de 29 de junho de 2010 no processo C-28/08P, Comisso Europeia/The Bavarian Lager
Co. Ltd, n.s60, 63, 76, 78 e 79.
35
Ver, contudo, as deliberaes detalhadas em Autoridade Europeia para a Proteo de Dados (AEPD)
(2011), Public access to documents containing personal data after the Bavarian Lager ruling (Acesso
do pblico a documentos que contm dados pessoais aps o acrdo Bavarian Lager) Bruxelas,
24demarode2011, disponvel em: www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/
Documents/EDPS/Publications/Papers/BackgroundP/11-03-24_Bavarian_Lager_EN.pdf.
29
Exemplo: No processo que deu origem ao acrdo Trsasg a Szabadsgjogokrt c. Hungria,36 a requerente, uma ONG de defesa dos direitos humanos,
tinha pedido ao Tribunal Constitucional acesso a informaes sobre um processo
pendente. Sem consultar o membro do Parlamento que tinha instaurado o processo, o Tribunal Constitucional indeferiu o pedido de acesso, alegando que a
divulgao a terceiros de informaes sobre as queixas que lhe eram submetidas dependia de autorizao do autor da queixa. Os tribunais nacionais confirmaram este indeferimento, alegando que a proteo dos dados pessoais
em causa no podia ser afastada por outros interesses legtimos, incluindo a
acessibilidade a informaes pblicas. A requerente tinha agido como um fiscal social, cujas atividades mereciam uma proteo semelhante conferida
aos rgos de comunicao social. Relativamente liberdade de imprensa, o
TEDH tinha afirmado sistematicamente que o pblico tinha o direito a receber
informaes de interesse geral. As informaes pretendidas pela requerente
estavam imediatamente disponveis, pelo que no era necessrio proceder
recolha de dados. Assim sendo, o Estado tinha a obrigao de no impedir o
fluxo de informaes pretendido pela requerente. Em resumo, o TEDH considerou que os obstculos destinados a dificultar o acesso a informaes de interesse pblico poderiam desencorajar aqueles que trabalham na rea da comunicao social ou em reas conexas de desempenhar o seu papel crucial de
fiscal pblico. O TEDH concluiu que tinha havido uma violao do artigo 10..
No direito da UE, a importncia da transparncia inquestionvel. O princpio da
transparncia est consagrado nos artigos1. e 10. do Tratado UE e no artigo15.,
n. 1, do TFUE. 37 Segundo o considerando2 do Regulamento (CE) n.1049/2001,
permite assegurar uma melhor participao dos cidados no processo de deciso
e garantir uma maior legitimidade, eficcia e responsabilidade da Administrao
perante os cidados num sistema democrtico.38
Seguindo este raciocnio, o Regulamento (CE) n. 1290/2005 do Conselho relativo
ao financiamento da poltica agrcola comum e o Regulamento (CE) n.259/2008
da Comisso que estabelece as regras da sua execuo exigem a publicao de
informaes sobre os beneficirios de certos fundos da UE no setor agrcola e os
30
36
37
38
TJUE, acrdo de 6 de maro de 2003 no processo C-41/00P, Interporc Im- und Export GmbH/Comisso
das Comunidades Europeias, n.39; e TJUE, acrdo de 29dejunhode2010 no processo C-28/08P,
Comisso Europeia/The Bavarian Lager Co. Ltd., n. 54.
montantes recebidos por cada beneficirio.39 Esta publicao dever contribuir para
o controlo pblico da utilizao de fundos pblicos pela Administrao. A proporcionalidade desta publicao foi contestada por vrios beneficirios.
Exemplo: No processo que deu origem ao acrdo Volker und Markus Schecke
e Hartmut Eifert/Land Hessen,40 o TJUE foi chamado a pronunciarse sobre a proporcionalidade da publicao, exigida pela legislao da Unio, dos nomes dos
beneficirios de subsdios agrcolas da UE e dos montantes por eles recebidos.
O Tribunal de Justia, salientando que o direito proteo de dados no uma
prerrogativa absoluta, considerou que a publicao num stio Internet de dados
nominativos relativos aos beneficirios de dois fundos agrcolas da UE e dos
montantes exatos que receberam constitui uma ingerncia na sua vida privada
e, em especial, na proteo dos seus dados pessoais.
O Tribunal de Justia considerou que tal ingerncia nos direitos consagrados
nos artigos 7. e 8. da Carta estava prevista na lei e prosseguia um objetivo
de interesse geral reconhecido pela UE, ou seja, aumentar a transparncia da
utilizao dos fundos comunitrios. Contudo, o TJUE entendeu que a publicao
dos nomes das pessoas singulares que beneficiavam de ajudas agrcolas da UE
provenientes destes dois fundos e os montantes exatos que receberam constitua uma medida desproporcional e no se justificava luz do artigo 52., n. 1,
da Carta. Por conseguinte, o Tribunal de Justia declarou a invalidade parcial da
legislao da UE relativa publicao de informao sobre os beneficirios de
fundos agrcolas europeus.
40
TJUE, acrdo de 9 de novembro de 2010 nos processos apensos C-92/09 e C-93/09, Volker und
Markus Schecke GbR e Hartmut Eifert/Land Hessen, n.s4752, 58, 6667, 75, 86 e92.
31
32
41
42
43
44
45
33
O tribunal espanhol apresentou um pedido de deciso prejudicial ao TJUE, perguntando se a legislao comunitria estabelece a obrigao de comunicar
esses dados pessoais no contexto de uma ao cvel para garantir a efetiva
proteo dos direitos de autor. O referido tribunal invocou as Diretivas2000/31,
2001/29 e 2004/48, lidas luz dos artigos 17. e 47. da Carta. O Tribunal de
Justia concluiu que estas trs Diretivas, assim como a Diretiva relativa privacidade e s comunicaes eletrnicas (Diretiva2002/58), no se opem a que os
Estados-Membros estabeleam a obrigao de divulgar dados pessoais no contexto de uma ao cvel para garantir a efetiva proteo dos direitos de autor.
O TJUE sublinhou que, consequentemente, o caso suscitava a questo da necessidade de conciliar as exigncias ligadas proteo de diferentes direitos fundamentais, nomeadamente o direito ao respeito pela vida privada, por um lado,
e os direitos proteo da propriedade e a uma tutela jurisdicional efetiva, por
outro.
O Tribunal de Justia concluiu que o direito comunitrio exige que os [EstadosMembros], na transposio das diretivas supramencionadas, zelem por que seja
seguida uma interpretao das mesmas que permita assegurar o justo equilbrio entre os direitos fundamentais protegidos pela ordem jurdica comunitria. Seguidamente, na execuo das medidas de transposio dessas diretivas,
compete s autoridades e aos rgos jurisdicionais dos Estados-Membros no
s interpretar o seu direito nacional em conformidade com essas mesmas diretivas mas tambm seguir uma interpretao destas que no entre em conflito
com os referidos direitos fundamentais ou com os outros princpios gerais do
direito comunitrio, como o princpio da proporcionalidade.46
46
34
Ibid., n.s65 e68; ver tambm TJUE, acrdo de 16 de fevereiro de 2012 no processo C-360/10,
SABAM/Netlog N.V.
2.
Terminologia sobre
proteo de dados
UE
Dados pessoais
Diretiva de Proteo de Dados, artigo 2.,
al. a)
Questes
abrangidas
Definio legal
Tratamento de dados
Diretiva de Proteo de Dados, artigo 2.,
al. b)
CdE
Categorias
especficas de
dados pessoais
(dados sensveis)
Dados
anonimizados e
pseudonimizados
Definies
35
UE
Utilizadores dos dados
Diretiva de Proteo de Dados, artigo 2.,
al. d)
Questes
abrangidas
Responsvel pelo
tratamento
Subcontratante
Destinatrio
CdE
Terceiro
Definio e
requisitos de
validade do
consentimento
Recomendao sobre os
dados mdicos, artigo 6.,
e vrias recomendaes
posteriores
Nota: *Conselho da Europa, Comit de Ministros (2010), Recomendao Rec(2010)13 aos Estados
membros sobre a proteo das pessoas singulares relativamente ao tratamento automatizado
dedados de carter pessoal no contexto da definio de perfis (Recomendao sobre a definio
de perfis), 23denovembrode2010.
36
Consideramse dados pessoais os dados relativos a uma pessoa identificada ou, pelo
menos, identificvel: o titular dos dados ou a pessoa em causa
Considerase que uma pessoa identificvel se for possvel obter informaes adicionais, sem um esforo desproporcionado, que permitam a identificao do titular dos
dados.
A autenticao consiste no ato de provar que uma certa pessoa possui uma certa identidade e/ou est autorizada a realizar certas atividades.
Considerase que os dados foram anonimizados se j no contiverem quaisquer elementos de identificao; consideramse pseudonimizados se os elementos de identificao estiverem encriptados.
Contrariamente ao que acontece com os dados anonimizados, os dados pseudonimizados so dados pessoais.
Uma pessoa
O direito proteo de dados nasceu do direito ao respeito pela vida privada. O conceito de vida privada est associado aos seres humanos. As pessoas singulares so,
portanto, as principais beneficirias da proteo de dados. Alm disso, segundo o
Parecer do Grupo de Trabalho do artigo29., apenas as pessoas vivas esto protegidas pela legislao europeia sobre proteo de dados.48
A jurisprudncia do TEDH relativa ao artigo8. da CEDH ilustra a dificuldade em
separar completamente assuntos da vida privada e da vida profissional.49
47
Diretiva Proteo de Dados, artigo 2., al. a); Conveno108, artigo2., alneaa).
48
Grupo de Trabalho do artigo 29. (2007), Parecer 4/2007 sobre o conceito de dados pessoais, WP136,
20dejunhode2007, p.23.
49
Ver, por exemplo, TEDH, acrdo Rotaru c. Romnia [GS] de 4demaiode2000, n. 43, petio
n.28341/95; TEDH, acrdo Niemitz c. Alemanha, de 16dedezembrode1992, n. 29, petio
n.13710/88.
37
Exemplo: No processo que deu origem ao acrdo Amann c. Sua,50 as autoridades intercetaram uma chamada telefnica de natureza profissional para o
requerente. Com base nessa chamada telefnica, as autoridades lanaram uma
investigao sobre o requerente e submeteram uma ficha sobre o mesmo,
destinada ao registo de fichas de segurana. Embora a interceo respeitasse
a uma chamada telefnica de natureza profissional, o TEDH considerou que o
armazenamento de dados sobre esta chamada estava relacionado com a vida
privada do requerente, tendo sublinhado que o termo vida privada no
podia ser objeto de uma interpretao restritiva, sobretudo porque o respeito
pela vida privada abrangia o direito de estabelecer e desenvolver relaes com
outros seres humanos. Alm disso, no existia qualquer razo de princpio que
justificasse a excluso de atividades de natureza profissional ou comercial do
conceito de vida privada. Esta interpretao mais ampla do conceito correspondia da Conveno108. O TEDH considerou ainda que, no caso do requerente, a ingerncia das autoridades no estava em conformidade com a lei dado
que a legislao nacional no estabelecia disposies especficas e detalhadas
sobre a recolha, gravao e armazenamento de informaes. Por conseguinte,
concluiu que tinha havido uma violao do artigo8. da CEDH.
Alm disso, se a vida profissional tambm pode ser objeto da proteo de dados,
questionvel que apenas as pessoas singulares possam beneficiar dessa proteo.
Os direitos garantidos pela CEDH no respeitam apenas s pessoas singulares.
Existe jurisprudncia do TEDH em que este se pronunciou sobre alegados casos
de violao do direito de pessoas coletivas a proteo contra a utilizao dos seus
dados nos termos do artigo8. da CEDH. Porm, o TEDH apreciou os factos luz do
direito ao respeito pelo domiclio e pela correspondncia e no ao respeito pela vida
privada.
Exemplo: O processo que deu origem ao acrdo Bernh Larsen Holding AS e
outros c. Noruega51 dizia respeito a uma queixa apresentada por trs empresas norueguesas relativa a uma deciso das autoridades fiscais ordenando que
estas fornecessem aos inspetores fiscais uma cpia de todos os dados armazenados num servidor utilizado em conjunto pelas trs empresas.
38
50
51
O TEDH concluiu que a imposio de tal obrigao sobre as empresas requerentes constitua uma ingerncia no exerccio dos seus direitos ao respeito pelo
domiclio e pela correspondncia. Contudo, o TEDH entendeu que as autoridades fiscais tinham implementado garantias eficazes e adequadas contra
abusos: as empresas requerentes tinham sido notificadas com grande antecedncia, estavam presentes e tiveram a oportunidade de se pronunciar durante
a diligncia no local e o material deveria ser destrudo quando a inspeo fiscal
estivesse concluda. Neste caso, tinha sido alcanado um equilbrio justo entre
o direito das empresas requerentes ao respeito pelo domiclio e pela correspondncia e o seu interesse em proteger a privacidade das pessoas que
trabalhavam para elas, por um lado, e o interesse pblico em assegurar uma
inspeo eficiente para efeitos de liquidao do imposto, por outro. O TEDH concluiu que tinha havido, assim, uma violao do artigo8..
De acordo com a Conveno 108, a proteo de dados respeita, em primeira linha,
proteo das pessoas singulares; no entanto, as Partes Contratantes podem alargar
essa proteo a pessoas coletivas, tais como sociedades comerciais e associaes,
no seu direito interno. A legislao da UE sobre proteo de dados no abrange, de
um modo geral, a proteo de pessoas coletivas relativamente ao tratamento de
dados que lhes digam respeito. Esta matria pode ser regulada pelas autoridades
nacionais competentes.52
Exemplo: No acrdo Volker und Markus Schecke e Hartmut Eifert/Land Hessen,53 o TJUE, reportandose publicao de dados pessoais relativos aos beneficirios de ajudas agrcolas, entendeu que as pessoas coletivas s podem invocar a proteo dos artigos7. e 8. da Carta a respeito de tal identificao desde
que a denominao legal da pessoa coletiva identifique uma ou mais pessoas
singulares. [O] respeito pelo direito vida privada (sic) relativamente ao tratamento de dados pessoais, reconhecido pelos artigos7. e 8. da Carta, abrange
todas as informaes relativas a qualquer pessoa singular identificada ou identificvel [].54
52
53
TJUE, acrdo de 9denovembrode2010 nos processos apensos C-92/09 e C-93/09, Volker und
Markus Schecke GbR e Hartmut Eifert/Land Hessen, n. 53.
54
Ibid. n. 52.
39
40
55
Ver TEDH, acrdo Amann c. Sua [GS] de 16 de fevereiro de 2000, n. 65 et al., petio n.27798/95.
56
Ver tambm TEDH, acrdo Odivre c. Frana [GS] de 13 de fevereiro de 2003, petio n.42326/98; e
TEDH, acrdo Godelli c. Itlia de 25deSetembrode2012, petio n. 33783/09.
57
58
41
claramente identificar e multar aqueles que ultrapassam os limites de velocidade, previsvel que se tente proceder quela identificao. Embora as autoridades locais no tenham diretamente ao seu dispor meios de identificao, os
dados sero transmitidos autoridade competente a polcia que possui tais
meios. O considerando26 tambm prev expressamente um cenrio em que
previsvel que outros destinatrios dos dados, para alm do utilizador imediato,
possam tentar identificar a pessoa. luz do considerando26, os atos da autoridade local equivalem recolha de dados sobre pessoas identificveis e, como
tal, necessitam de uma base legal ao abrigo da legislao sobre proteo de
dados.
No direito do CdE, a identificabilidade entendida de modo semelhante. O artigo1.,
n. 2, da Recomendao sobre os dados de pagamento,59 por exemplo, estabelece
que uma pessoa no ser considerada identificvel se a identificao implicar um
esforo desrazovel a nvel de tempo, custos ou trabalho.
Autenticao
A autenticao o procedimento atravs do qual uma pessoa pode provar que
possui uma certa identidade e/ou est autorizada a praticar certos atos, tais como
movimentar uma conta bancria ou entrar numa rea de acesso reservado. A autenticao pode ser efetuada atravs da comparao de dados biomtricos, tais como
a fotografia ou as impresses digitais constantes do passaporte, com os dados da
pessoa que se apresenta, por exemplo, nos servios de controlo da imigrao; de
perguntas cuja resposta s deveria ser conhecida da pessoa com uma certa identidade ou autorizao, tais como o nmero de identificao pessoal (PIN) ou a palavrapasse; ou exigindo a apresentao de um determinado objeto que deveria estar
exclusivamente na posse da pessoa com uma certa identidade ou autorizao, tais
como um carto com chip especial ou a chave de um cofre bancrio. Para alm das
palavraspasse e dos cartes com chip, por vezes em conjunto com PIN, as assinaturas eletrnicas so um instrumento particularmente eficaz para a identificao e
autenticao de uma pessoa nas comunicaes eletrnicas.
59
42
CdE, Comit de Ministros (1990), Recommendation No.R Rec(90) 19 on the protection of personal
data used for payment and other related operations (Recomendao n.R Rec(90)19 sobre
a proteo de dados pessoais utilizados para fins de pagamento e outras operaes conexas),
de13deSetembrode1990.
60
Ver TEDH, acrdo Amann c.a Sua de 16defevereirode2000, n. 65, petio n.27798/95.
61
Acrdo de 9 de novembro de 2010 nos processos apensos C-92/09 e C-93/09, Volker und Markus
Schecke GbR e Hartmut Eifert/Land Hessen, n. 59.
43
44
62
63
64
TEDH, acrdo Peck c. Reino Unido de 28 de janeiro de 2003, petio n. 44647/98; TEDH, acrdo
Kpke c. Alemanha de 5deoutubrode2010, petio n.420/07.
65
Diretiva Proteo de Dados, considerandos16 e 17; TEDH, acrdo P.G. e J.H. c. Reino Unido de
25deSetembrode2001, petio n.44787/98, n.s 59 e 60; TEDH, acrdo Wisse c. Frana de
20dedezembrode2005, petio n.71611/01.
66
67
Diretiva Proteo de Dados, artigo6., n. 1, al. e); Conveno108, artigo 5., al.e).
45
Dados anonimizados
Os dados consideramse anonimizados se todos os elementos de identificao tiverem sido eliminados de um conjunto de dados pessoais. No pode ser deixado nas
informaes nenhum elemento que possa servir, exercendo um esforo razovel,
para reidentificar a(s) pessoa(s) em questo.68 Quando os dados so eficazmente
anonimizados, deixam de ser dados pessoais.
Se os dados pessoais deixarem de servir a sua finalidade inicial, a Diretiva de Proteo de Dados e a Conveno 108 permitem que estes sejam conservados sem anonimizao para fins histricos, estatsticos ou cientficos, desde que sejam aplicadas
garantias adequadas contra a sua utilizao abusiva.69
Dados pseudonimizados
As informaes pessoais contm elementos de identificao, tais como o nome, a
data de nascimento, o sexo e a morada. Quando as informaes pessoais so pseudonimizadas, os elementos de identificao so substitudos por um pseudnimo. A
pseudonimizao realizada, por exemplo, atravs da encriptao dos elementos
de identificao constantes dos dados pessoais.
As definies legais da Conveno108 e da Diretiva de Proteo de Dados no
mencionam expressamente os dados pseudonimizados. No entanto, o Relatrio
Explicativo da Conveno108 refere, no seu artigo 42., que o requisito relativo ao
prazo mximo de armazenamento dos dados na sua forma nominativa no significa
que, passado algum tempo, esses dados devem ser irrevogavelmente separados
do nome da pessoa a quem dizem respeito, mas apenas que no dever ser fcil
estabelecer a ligao entre os dados e os elementos de identificao. Este objetivo
poder ser alcanado atravs da pseudonimizao dos dados. Para aqueles que no
possuam a chave de desencriptao, os dados pseudonimizados s dificilmente
podem ser identificveis. A ligao a uma identidade ainda existe sob a forma do
pseudnimo mais a chave de desencriptao. Para quem esteja autorizado a utilizar
46
68
Ibid., considerando26.
69
47
Nos termos do direito do CdE, o direito nacional pode incluir o tratamento manual na
definio de tratamento.
48
70
Conveno 108, artigo 2., al. c); Diretiva Proteo de Dados, artigo2., al.b) e artigo3., n. 1.
71
A proteo de dados no direito da UE no est de modo algum limitada ao tratamento automatizado de dados. Consequentemente, nos termos do direito da UE, a
proteo de dados aplicvel ao tratamento de dados pessoais contidos em ficheiros em papel especialmente estruturados.72 Este alargamento da proteo de dados
devese ao facto de que:
os ficheiros em papel podem ser estruturados de modo a permitir a localizao
das informaes de forma fcil e rpida; e
o armazenamento de dados pessoais em ficheiros em papel estruturados permite contornar com maior facilidade as restries impostas pela lei ao tratamento automatizado de dados.73
No mbito do direito do CdE, a Conveno108 regula, antes de mais, o tratamento
de dados em ficheiros automatizados.74 No entanto, tambm prev a possibilidade
de alargamento da proteo ao tratamento manual no direito interno. Muitas Partes
na Conveno108 aproveitaram esta possibilidade e dirigiram declaraes naquele
sentido ao SecretrioGeral do CdE.75 O alargamento da proteo de dados nos termos dessa declarao tem de abranger todas as operaes de tratamento manual
de dados, no podendo restringirse ao tratamento de dados em ficheiros manuais.76
No que respeita natureza das operaes de tratamento includas, tanto o direito
da UE como o direito do CdE estabelecem uma definio abrangente do termo tratamento: Tratamento de dados pessoais [] qualquer operao [] tais como
a recolha, registo, organizao, conservao, adaptao ou alterao, recuperao, consulta, utilizao, comunicao por transmisso, difuso ou qualquer outra
forma de colocao disposio, com comparao ou interconexo, bem como o
bloqueio, apagamento ou destruio77 efetuada sobre dados pessoais. O termo
tratamento tambm inclui os atos atravs dos quais a responsabilidade pelos
dados transferida de um responsvel pelo tratamento para outro responsvel pelo
tratamento.
72
73
Ibid., considerando27.
74
75
76
77
Diretiva Proteo de Dados, artigo 2., al. b). No mesmo sentido, ver tambm a Conveno108,
artigo2., al. c).
49
Exemplo: Os empregadores recolhem e tratam dados sobre os seus funcionrios, incluindo informaes relativas aos seus salrios. A base legal para este
tratamento legtimo o contrato de trabalho.
Os empregadores so obrigados a reencaminhar os dados sobre os salrios do
seu pessoal para as autoridades fiscais. Este reencaminhamento tambm constitui tratamento na aceo da Conveno108 e da Diretiva. Contudo, a base
legal para esta comunicao no o contrato de trabalho. Ter de existir outra
base legal para as operaes de tratamento que resultam na transferncia de
dados sobre salrios do empregador para as autoridades fiscais. Em regra, esta
base legal encontrase nas disposies da legislao fiscal nacional. Na ausncia
destas disposies, a transferncia dos dados constituiria um tratamento ilegal.
50
A pessoa que decide proceder ao tratamento de dados pessoais de terceiros o responsvel pelo tratamento nos termos da legislao sobre proteo de dados; se a
deciso for tomada em conjunto por vrias pessoas, estas podero ser consideradas
responsveis conjuntos pelo tratamento.
Um subcontratante uma entidade juridicamente distinta que trata os dados pessoais por conta do responsvel pelo tratamento.
Um terceiro destinatrio uma pessoa ou entidade juridicamente distinta do responsvel pelo tratamento, mas que recebe dados pessoais fornecidos por este.
78
51
52
79
80
Ibid. n. 27.
81
Ibid. n. 47.
82
83
Ver tambm Grupo de Trabalho do artigo 29. (2010), Parecer 1/ 2010 sobre os conceitos de
responsvel pelo tratamento e subcontratante, WP169, Bruxelas, 16defevereirode2010, p.19.
85
86
Grupo de Trabalho do artigo 29. (2010), Parecer 1/2010 sobre os conceitos de responsvel pelo
tratamento e subcontratante, WP169, Bruxelas, 16defevereirode2010, p.23.
53
Subcontratante
No direito da UE, o subcontratante definido como algum que trata dados pessoais
por conta do responsvel pelo tratamento.88 As atividades confiadas ao subcontratante podem limitarse a uma tarefa ou contexto muito especfico ou serem muito
genricas e abrangentes.
No direito do CdE, o termo subcontratante utilizado na mesma aceo que no
direito da UE.
Para alm de tratarem dados por conta de outrem, os subcontratantes tambm
sero responsveis pelo tratamento por direito prprio em relao s operaes de
tratamento que realizarem para os seus prprios fins (por ex., a administrao dos
seus prprios funcionrios, vendas e contas).
54
87
Grupo de Trabalho do artigo 29. (2006), Parecer 10/2006 sobre o tratamento de dados pessoais pela
Sociedade das Telecomunicaes Financeiras Interbancrias no Mundo (Society for Worldwide Interbank
Financial Telecommunication SWIFT), WP128, Bruxelas, 22denovembrode2006.
88
55
inicial ter de explicar como foi possvel que o subcontratante violasse o seu mandato. Com efeito, o Grupo de Trabalho do artigo29. presume geralmente a existncia de responsabilidade conjunta pelo tratamento nestes casos, dado que esta
qualificao permite proteger melhor os interesses das pessoas em causa.89 Uma
importante consequncia da responsabilidade conjunta pelo tratamento seria a
responsabilidade solidria dos responsveis pelo tratamento pelos danos causados, proporcionando assim s pessoas em causa um leque mais vasto de meios de
recurso.
Podero tambm suscitarse questes sobre a diviso da responsabilidade nos casos
em que o responsvel pelo tratamento seja uma pequena empresa e o subcontratante seja uma grande sociedade comercial com o poder de ditar as condies dos
seus servios. Nestes casos, porm, o Grupo de Trabalho do artigo29. considera
que o desequilbrio econmico no justifica a reduo do grau de responsabilidade
e que a definio do conceito de responsvel pelo tratamento deve ser mantida.90
Por uma questo de clareza e transparncia, os elementos concretos da relao
entre o responsvel pelo tratamento e o subcontratante devem constar de um contrato reduzido a escrito.91 A inexistncia de tal contrato corresponde a uma violao
da obrigao do responsvel pelo tratamento de fornecer documentao sobre as
responsabilidades mtuas, estando sujeita a sanes.92
Os subcontratantes podero querer delegar certas tarefas noutros subcontratantes. Esta delegao permitida por lei e depender, em concreto, das clusulas
do contrato celebrado entre o responsvel pelo tratamento e o subcontratante,
nomeadamente se sempre exigida a autorizao do primeiro ou se ser suficiente
informlo.
No mbito do direito do CdE, a interpretao dos conceitos de responsvel pelo
tratamento e subcontratante, tal como explicado anteriormente, plenamente
56
89
Grupo de Trabalho do artigo 29. (2010), Parecer 1/2010 sobre os conceitos de responsvel pelo
tratamento e subcontratante, WP169, Bruxelas, 16defevereirode2010, p.30; e Grupo de
Trabalho do artigo29. (2006), Parecer10/2006 sobre o tratamento de dados pessoais pela Sociedade
das Telecomunicaes Financeiras Interbancrias no Mundo (Society for Worldwide Interbank Financial
Telecommunication SWIFT), WP128, Bruxelas, 22denovembrode2006.
90
Grupo de Trabalho do artigo 29. (2010), Parecer 1/2010 sobre os conceitos de responsvel pelo
tratamento e subcontratante, WP169, Bruxelas, 16defevereirode2010, p.31.
91
92
Grupo de Trabalho do artigo 29. (2010), Parecer 1/2010 sobre os conceitos de responsvel pelo
tratamento e subcontratante, WP169, Bruxelas, 16defevereirode2010, p.32.
aplicvel, conforme demonstram as recomendaes que tm sido adotadas em conformidade com a Conveno108.93
93
94
Grupo de Trabalho do artigo 29. (2010), Parecer 1/2010 sobre os conceitos de responsvel pelo
tratamento e subcontratante, WP169, Bruxelas, 16defevereirode2010, p.36.
57
2.4. Consentimento
Pontos-chave
58
95
96
Ver, por exemplo, Conveno 108, Recomendao sobre os dados estatsticos, ponto 6.
59
Consentimento livre
A existncia de consentimento livre s vlida se a pessoa em causa puder exercer uma verdadeira escolha e no existir nenhum risco de fraude, intimidao, coao ou consequncias negativas importantes se o consentimento for recusado.99
Exemplo: Em muitos aeroportos, os passageiros so submetidos a scneres
corporais no acesso rea de embarque.100 Uma vez que os dados dos passageiros esto a ser tratados durante a utilizao do scner, o tratamento deve
basearse num dos fundamentos legais previstos no artigo7. da Diretiva de Proteo de Dados (ver seco4.1.1). Passar ou no pelos scneres corporais por
vezes apresentado aos passageiros como uma opo, o que permitiria inferir
que o tratamento poderia ser justificado pelo seu consentimento. No entanto,
os passageiros podero recear que a recusa de passar pelos scneres corporais levante suspeitas ou desencadeie medidas de controlo adicionais, como as
revistas pessoais. Muitos passageiros daro o seu consentimento utilizao do
scner porque, ao fazlo, evitaro potenciais problemas ou atrasos. Provavelmente, este consentimento no ser suficientemente livre.
Por conseguinte, um fundamento legal slido s poder ser um ato do legislador, com base no artigo7., alnea e), da Diretiva de Proteo de Dados, criando
assim para os passageiros a obrigao de cooperar devido a um interesse
pblico superior. Essa legislao poder, ainda assim, prever uma escolha entre
97
98
99
Ver tambm Grupo de Trabalho do artigo29. (2011), Parecer 15/2011 sobre a definio de
consentimento, WP187, Bruxelas, 13dejulhode2011, p.14.
60
61
dos clientes que deram o seu consentimento. No existe uma relao de subordinao entre a empresa e o cliente e as consequncias do no consentimento no so
suficientemente graves para inibir a liberdade de escolha da pessoa em causa.
Por outro lado, sempre que a obteno de bens ou servios suficientemente importantes depender da divulgao de certos dados pessoais a terceiros, o consentimento da pessoa em causa para a divulgao dos seus dados no pode, em regra,
ser considerado uma deciso livre e, como tal, no vlido nos termos da legislao
sobre proteo de dados.
Exemplo: O consentimento manifestado pelos passageiros a uma companhia
area para que transfira os chamados registos de identificao dos passageiros
(PNR), nomeadamente dados sobre a sua identidade, hbitos alimentares ou
problemas de sade, aos servios de imigrao de um determinado pas estrangeiro no pode ser considerado vlido nos termos da legislao sobre proteo
de dados, uma vez que os passageiros que desejam visitar esse pas no tm
escolha. Para esses dados serem transferidos licitamente, a base legal ter de
ser outra, muito provavelmente uma lei especial.
Consentimento informado
A pessoa em causa deve possuir informaes suficientes antes de tomar a sua deciso. A suficincia ou insuficincia das informaes fornecidas s poder ser determinada caso a caso. Em regra, essas informaes incluiro uma descrio rigorosa
e facilmente compreensvel do objeto do consentimento e tambm das consequncias do consentimento e da recusa do consentimento. A linguagem utilizada deve
ser adaptada aos destinatrios previsveis das informaes.
Alm disso, a pessoa em causa deve poder aceder com facilidade a essas informaes. A acessibilidade e a visibilidade das informaes so elementos importantes.
Num ambiente em linha, os avisos com vrios nveis podero ser uma boa soluo,
dado que a pessoa em causa ter assim acesso a uma verso concisa das informaes, bem como a uma verso mais completa.
Consentimento especfico
Para ser vlido, o consentimento tambm tem de ser especfico. Esta caracterstica
est intrinsecamente ligada qualidade das informaes fornecidas sobre o objeto
62
103 TJUE, acrdo de 5 de maio de 2011 no processo C543/09, Deutsche Telekom AG/Bundesrepublik
Deutschland; ver, em especial, n.s 53 e 54.
104 Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12dejulhode2002, relativa ao
tratamento de dados pessoais e proteo da privacidade no sector das comunicaes eletrnicas,
JO2002L201 (Diretiva relativa privacidade e s comunicaes eletrnicas).
105 TJUE, acrdo de 5 de maio de 2011 no processo C543/09, Deutsche Telekom AG/Bundesrepublik
Deutschland; ver, em especial, n. 61.
106 Ibid., ver especialmente, n.62.
63
64
3.
Os princpios fundamentais
da legislao europeia
sobre proteo de dados
UE
Questes abrangidas
CdE
O princpio da
especificao e da
limitao da finalidade
Os princpios relativos
qualidade dos dados:
Pertinncia dos dados
Exatido dos dados
65
UE
Questes abrangidas
Limitao da conservao
dos dados
Derrogao para
fins estatsticos e de
investigao cientfica
O princpio do tratamento
leal
CdE
Conveno 108, artigo 5.,
al. e)
Conveno 108, artigo 9.,
n.3
Conveno 108, artigo 5.,
al. a)
TEDH, acrdo Haralambie
c. Romnia de 27 de
outubro de 2009, petio
n.21737/03.
TEDH, acrdo K.H. e outros
c. Eslovquia de 6 de
novembro de 2009, petio
n.32881/04
O princpio da
responsabilidade
66
108 TEDH, acrdo Amann c. Sua [GS] de 16 de fevereiro de 2000, n.50, petio n. 27798/95; ver
tambm TEDH, acrdo Kopp c. Sua de 25demarode1998, n. 55, petio n.23224/94 e TEDH,
acrdo Iordachi e outros c. Moldvia de 10defevereirode2009, n.50, petio n.25198/02.
67
109 TEDH, acrdo Amann c. Sua [GS] de 16 de fevereiro de 2000, petio n.27798/95, n. 56; ver
tambm TEDH, acrdo Malone c. Reino Unido de 2deagostode1984, petio n.8691/79, n. 66;
TEDH, acrdo Silver e outros c. Reino Unido de 25demarode1983, peties n.s5947/72, 6205/73,
7052/75, 7061/75, 7107/75, 7113/75, n. 88.
110 TEDH, acrdo The Sunday Times c. Reino Unido de 26deabrilde1979, petio n.6538/74, n. 49; ver
tambm TEDH, acrdo Silver e outros c. Reino Unido de 25demarode1983, peties n.s5947/72,
6205/73, 7052/75, 7061/75, 7107/75, 7113/75, n. 88.
111 TEDH, acrdo Rotaru c. Romnia [GS] de 4 de abril de 2000, petio n.28341/95, n. 57; ver
tambm TEDH, acrdo Association for European Integration and Human Rights e Ekimdzhiev c.
Bulgria de 28dejunhode2007, petio n.62540/00; TEDH, acrdo Shimovolos c. Rssia de
21dejunhode2011, petio n.30194/09; e TEDH, acrdo Vetter c. Frana de 31demaiode2005,
petio n.59842/00.
112 TEDH, acrdo Taylor-Sabori c. Reino Unido de 22deoutubrode2002, petio n. 47114/99.
68
113 TEDH, acrdo Peck c. Reino Unido de 28dejaneirode2003, petio n. 44647/98, especialmente
n.85.
114 TEDH, acrdo Leander c. Sucia de 11dejulhode1985, petio n.9248/81, n. 58.
115 TEDH, acrdo Khelili c. Sua de 18deoutubrode2011, petio n.16188/07.
69
dado que ela nunca tinha sido condenada pela prtica desse crime e, como tal,
no podia ser considerada uma resposta a uma necessidade social imperiosa
na aceo do artigo 8. da CEDH. Considerando que competia s autoridades
provar a exatido dos dados armazenados sobre a requerente e tendo em conta
a gravidade da ingerncia no exerccio dos direitos da mesma, o TEDH entendeu
que a manuteno da palavra prostituta nos arquivos policiais durante anos
no tinha sido necessria numa sociedade democrtica. O TEDH concluiu que
tinha havido uma violao do artigo 8. da CEDH.
Exemplo: No acrdo Leander c. Sucia,116 o TEDH considerou que a investigao secreta de pessoas que se candidatavam a cargos importantes para a
segurana nacional no era, enquanto tal, contrria ao requisito da necessidade
numa sociedade democrtica. Perante as garantias especiais estabelecidas no
direito nacional para proteger os interesses da pessoa em causa por exemplo, controlos exercidos pelo Parlamento e pelo Chanceler da Justia , o TEDH
concluiu que o sistema sueco de controlo do pessoal cumpria os requisitos do
artigo8., n. 2, da CEDH. Tendo em conta a larga margem de apreciao ao seu
dispor, o Estado demandado podia considerar que, no caso do requerente, os
interesses de segurana nacional prevaleciam sobre os interesses individuais. O
TEDH concluiu que no tinha havido uma violao do artigo8. da CEDH.
70
71
considerado lcito ao abrigo do direito da UE, necessrio que, pelo menos, as condies do artigo8., n. 2, da CEDH estejam preenchidas; no entanto, o direito da UE
poder estabelecer requisitos adicionais para casos especficos.
A correspondncia entre o princpio do tratamento lcito nos termos do direito da UE
e as disposies relevantes da CEDH reforada pelo artigo6., n. 3, do Tratado UE,
que estabelece que [d]o direito da Unio fazem parte, enquanto princpios gerais,
os direitos fundamentais tal como os garante a Conveno Europeia para a Proteo
dos Direitos do Homem e das Liberdades Fundamentais.
A utilizao posterior dos dados para uma finalidade incompatvel com a finalidade original exige outra base legal.
A transferncia de dados para terceiros constitui uma nova finalidade que exige uma
outra base legal.
119 Conveno 108, artigo 5., al. b); Diretiva Proteo de Dados, artigo6., n. 1, al.b).
120 Ver tambm Grupo de Trabalho do artigo 29. (2013), Parecer 03/2013 sobre a limitao da finalidade,
WP203, Bruxelas, 2deabrilde2013.
72
tente ou, pelo menos, atravs de documentao interna, que dever ser disponibilizada pelo responsvel pelo tratamento s autoridades de controlo para inspeo e
pessoa em causa para consulta.
O tratamento de dados pessoais para finalidades indeterminadas e/ou ilimitadas
ilcito.
Sempre que os dados forem tratados para uma nova finalidade, necessria uma
base legal especfica, sendo irrelevante o facto de os dados terem sido inicialmente
adquiridos ou tratados para outra finalidade legtima. Por seu lado, o tratamento
legtimo restringese finalidade inicialmente especificada, pelo que qualquer nova
finalidade do tratamento exigir uma base legal autnoma. A divulgao de dados
a terceiros ter de ser ponderada com especial cuidado, uma vez que a divulgao
constitui habitualmente uma nova finalidade e, por conseguinte, exige uma base
legal distinta da base legal para a recolha dos dados.
Exemplo: Uma companhia area recolhe dados dos seus passageiros para efetuar reservas, com vista a assegurar a correta operao do voo. A companhia
area necessitar de dados sobre: os nmeros dos lugares dos passageiros;
limitaes fsicas especiais, tais como necessidade de uma cadeira de rodas;
e requisitos alimentares especiais, tais como alimentos kosher ou halal. Se for
pedido s companhias areas que transfiram esses dados (contidos no PNR)
para as autoridades de imigrao no aeroporto de destino, esses dados estaro
a ser utilizados para fins de controlo da imigrao, que so diferentes da finalidade para que foram inicialmente recolhidos. Como tal, a transferncia desses
dados para uma autoridade de imigrao exigir uma base legal autnoma.
Na definio do mbito e dos limites de uma determinada finalidade, a Conveno108 e a Diretiva de Proteo de Dados recorrem ao conceito de compatibilidade:
a utilizao de dados para finalidades compatveis permitida com fundamento na
base legal inicial. O conceito de compatvel, porm, no est definido, devendo
ser interpretado caso a caso.
Exemplo: A venda dos dados dos clientes da empresa Sunshine, que foram
adquiridos no mbito da gesto do relacionamento com os clientes (CRM),
a uma empresa de marketing direto, a Moonlight, que pretende utilizar estes
dados para apoiar as campanhas de marketing de empresas terceiras, uma
finalidade nova, que incompatvel com a CRM, a finalidade inicial da recolha
73
121 Um exemplo deste tipo de disposies nacionais a Lei da Proteo de Dados austraca
(Datenschutzgesetz), Jornal OficialI n. 165/1999, n.46, disponvel em ingls em: www.dsk.gv.at/
DocView.axd?CobId=41936.
74
O princpio da limitao da conservao dos dados exige que os dados sejam apagados
logo que deixem de ser necessrios para as finalidades para que foram recolhidos.
As derrogaes ao princpio da limitao da conservao dos dados tm de ser estabelecidas por lei e exigem garantias especiais para assegurar a proteo dos titulares
dos dados.
122 Conveno 108, artigo 5., al. c); Diretiva Proteo de Dados, artigo6., n. 1, al.c).
75
eletrnica especial, como um cdigo de barras, no chip do carto, que o passageiro passaria em frente do dispositivo de leitura para confirmar se o carto era
ou no vlido. Este sistema no registaria o nome dos utilizadores, o transporte
utilizado ou a hora da utilizao. No seriam recolhidos quaisquer dados pessoais, o que a soluo ideal em termos do princpio da pertinncia, uma vez
que um dos seus corolrios a obrigao de minimizar a recolha de dados.
76
Exemplo: Os protocolos de cirurgia no podem ser alterados (por outras palavras, atualizados), ainda que as concluses neles mencionadas posteriormente se revelem incorretas. Nesses casos, apenas sero admissveis aditamentos s observaes constantes do protocolo, desde que seja claramente
indicado que constituem contributos efetuados numa fase posterior.
Por outro lado, existem situaes em que o controlo regular da exatido dos dados,
incluindo a sua atualizao, uma necessidade absoluta devido aos potenciais
danos que a pessoa em causa poder sofrer se os dados no forem exatos.
Exemplo: Se uma pessoa quiser fazer um contrato com uma instituio bancria,
o banco verifica geralmente a situao financeira do potencial cliente. Para tal,
existem bases de dados especiais que contm dados sobre o historial de crdito de pessoas singulares. Se essa base de dados contiver dados incorretos ou
desatualizados sobre uma pessoa, esta poder enfrentar srios problemas. Por
este motivo, os responsveis pelo tratamento dessas bases de dados tm de
envidar esforos especiais para cumprir o princpio da exatido dos dados.
Alm disso, permitida a recolha e o armazenamento de dados que no digam respeito a factos, mas sim a suspeitas, tal como nos inquritos criminais, desde que o
responsvel pelo tratamento disponha de uma base legal para recolher essas informaes e essa suspeita seja suficientemente justificada.
77
Salvo nos casos expressamente permitidos por lei, proibido o tratamento secreto e
dissimulado de dados pessoais.
As pessoas em causa tm direito de acesso aos seus dados sempre que estes forem
objeto de tratamento.
78
3.4.1. Transparncia
Este princpio impe sobre o responsvel pelo tratamento a obrigao de manter
as pessoas em causa informadas sobre o modo como os seus dados esto a ser
utilizados.
Exemplo: No processo que deu origem ao acrdo Haralambie c. Romnia,125
o requerente requereu o acesso ao processo que os servios secretos tinham
conservado sobre ele, mas o seu pedido s foi deferido cinco anos depois. O
TEDH reiterou que as pessoas que eram objeto de processos individuais detidos
pelas autoridades pblicas tinham um interesse vital em aceder aos mesmos.
As autoridades tinham o dever de estabelecer um procedimento eficaz para
obter acesso quelas informaes. O TEDH considerou que nem a quantidade de
processos transferidos, nem as deficincias do sistema de arquivo justificavam
um atraso de cinco anos no deferimento do pedido de acesso do requerente ao
seu processo. As autoridades no tinham colocado disposio do requerente
um procedimento eficaz e acessvel que lhe permitisse obter acesso ao seu processo individual dentro de um prazo razovel. O TEDH concluiu que tinha havido
uma violao do artigo8. da CEDH.
As operaes de tratamento tm de ser explicadas de forma facilmente acessvel
s pessoas em causa, a fim de garantir que estas compreendem o que ir acontecer
aos seus dados. As pessoas em causa tambm tm o direito de ser informadas pelo
responsvel pelo tratamento, caso o solicitem, se os seus dados esto a ser tratados
e, em caso afirmativo, que dados esto a ser tratados.
79
80
Compete aos responsveis pelo tratamento assegurar a conformidade das suas operaes de tratamento com a legislao sobre proteo de dados.
81
obrigao de aplicar uma poltica de segurana, mais concretamente de garantir a aplicao de uma poltica de segurana relativa ao tratamento dos dados
pessoais. Deste modo, no que respeita s disposies sobre segurana da referida Diretiva, o legislador considerou que era necessrio estabelecer expressamente a obrigao de possuir e aplicar uma poltica de segurana.
Segundo o parecer do Grupo de Trabalho do artigo29.,129 a essncia do princpio da
responsabilidade a obrigao que recai sobre o responsvel pelo tratamento de:
colocar em prtica medidas que, em circunstncias normais, garantiriam a observncia das regras sobre proteo de dados no contexto das operaes de tratamento; e
estar em condies de disponibilizar rapidamente s pessoas em causa e s
autoridades de controlo documentao que comprove as medidas adotadas para
garantir a observncia das regras sobre proteo de dados.
O princpio da responsabilidade exige, assim, que os responsveis pelo tratamento
demonstrem ativamente o cumprimento, no se limitando a aguardar que as pessoas em causa ou as autoridades de controlo apontem deficincias.
129 Grupo de Trabalho do artigo 29., Parecer3/2010 sobre o princpio da responsabilidade, WP173,
Bruxelas, 13dejulhode2010.
82
4.
As regras da legislao
europeia sobre proteo
de dados
UE
Questes
abrangidas
CdE
Recomendao sobre a
definio de perfis, artigos
3.4, al. b) e 3.6
Relao (pr)
Recomendao sobre a
contratual
definio de perfis, artigo
3.4, al. b)
Deveres legais do Recomendao sobre a
responsvel pelo definio de perfis, artigo
tratamento
3.4, al. a)
Interesses vitais da Recomendao sobre a
pessoa em causa definio de perfis, artigo
3.4, al. b)
Interesse pblico Recomendao sobre a
e exerccio de
definio de perfis, artigo
autoridade pblica 3.4, al. b)
Interesses
legtimos de
terceiros
Recomendao sobre a
definio de perfis, artigo
3.4, al. b)
83
UE
Questes
abrangidas
CdE
Notificaes de
violao de dados
pessoais
Obrigao de
confidencialidade
84
Transparncia em
geral
Informao
Derrogaes
obrigao de
informar
Notificao
Recomendao sobre a
definio de perfis, artigo
9.2, al. a)
Controlo prvio
Encarregado da
Recomendao sobre a
proteo de dados definio de perfis, artigo
pessoais
8.3
Cdigos de conduta
Os princpios tm necessariamente natureza geral. A sua aplicao a situaes concretas deixa uma certa margem de interpretao e escolha quanto aos meios. Nos
termos do direito do CdE, cabe s Partes da Conveno 108 clarificar esta margem
de interpretao no seu direito nacional. A situao no direito da UE diferente: para
implementar a proteo de dados no mercado interno, foi considerado necessrio
definir logo regras mais detalhadas ao nvel da UE, a fim de harmonizar o nvel de
proteo de dados conferido pela legislao nacional dos Estados-Membros. A Diretiva de Proteo de Dados estabelece, ao abrigo dos princpios enunciados no seu
artigo6. uma srie de regras detalhadas que tm de ser fielmente implementadas
no direito nacional. Por conseguinte, as observaes que se seguem sobre regras
detalhadas de proteo de dados ao nvel europeu respeitam predominantemente
ao direito da UE.
interesses vitais do titular dos dados exigirem o tratamento dos seus dados; ou
O tratamento lcito de dados sensveis est sujeito a um regime especial, mais rigoroso.
85
Consentimento
Relativamente ao direito do CdE, o consentimento no mencionado no artigo8.
da CEDH nem na Conveno108. No entanto, referido na jurisprudncia do TEDH
e em vrias recomendaes do CdE. Quanto ao direito da UE, o consentimento est
firmemente estabelecido no artigo7., al.a), da Diretiva de Proteo de Dados como
base para o tratamento legtimo de dados, sendo tambm expressamente mencionado no artigo8. da Carta.
Relao contratual
Outra base para o tratamento legtimo de dados pessoais nos termos do direito da
UE, enumerada no artigo 7., alnea b), da Diretiva de Proteo de Dados, a sua
necessidade para a execuo de um contrato no qual a pessoa em causa parte.
Esta disposio tambm abrange as relaes prcontratuais. Por exemplo: uma
parte pretende celebrar um contrato, mas ainda no o fez, possivelmente porque
ainda necessrio verificar alguns factos. Se uma parte precisar de tratar dados
para este fim, esse tratamento legtimo desde que seja necessrio para a execuo de diligncias prvias formao do contrato decididas a pedido da pessoa em
causa.
No que respeita ao direito do CdE, a proteo dos direitos e das liberdades de terceiros mencionada no artigo8., n. 2, da CEDH como um dos fundamentos da
ingerncia legtima no exerccio do direito proteo de dados.
86
Proteo de Dados). Esta disposio diz respeito aos responsveis pelo tratamento
no setor privado; s obrigaes legais dos responsveis pelo tratamento no setor
pblico aplicvel o artigo7., alneae), da Diretiva. H muitos casos em que os
responsveis pelo tratamento do setor privado so obrigados, por lei, a tratar dados
sobre terceiros; por exemplo, os mdicos e os hospitais tm o dever legal de armazenar dados sobre o tratamento dos doentes durante vrios anos, os empregadores tm de tratar dados sobre os seus funcionrios para fins de segurana social
e impostos e as empresas tm de tratar dados sobre os seus clientes para fins de
impostos.
No contexto da transferncia obrigatria de dados dos passageiros pelas companhias areas para autoridades estrangeiras de controlo da imigrao, foi suscitada a
questo da possibilidade de as obrigaes legais estabelecidas no direito estrangeiro
constiturem uma base legtima para o tratamento de dados nos termos do direito
da UE (esta questo analisada em maior detalhe na seco6.2).
As obrigaes legais do responsvel pelo tratamento tambm constituem uma
base para o tratamento legtimo de dados nos termos do direito do CdE. Tal como
salientado anteriormente, as obrigaes legais de um responsvel pelo tratamento
do setor privado restringemse ao caso especfico dos interesses legtimos de terceiros, conforme mencionado no artigo 8., n. 2, da CEDH. Por conseguinte, o exemplo
acima apresentado tambm relevante para o direito do CdE.
87
88
89
A utilizao de dados pessoais por autoridades que atuam na esfera pblica tambm
est sujeita ao artigo8. da CEDH.
90
Estados-Membros no podem acrescentar novos princpios relativos legitimao dos tratamentos de dados pessoais ao artigo 7. da Diretiva 95/46 nem
prever exigncias suplementares que venham alterar o alcance de um dos
seis princpios previstos nesse artigo.139O Tribunal de Justia admitiu que, [n]
o que se refere ponderao necessria por fora do artigo 7., alnea f), da
Diretiva95/46/CE, possvel tomar em considerao o facto de que a gravidade
da violao dos direitos fundamentais da pessoa em causa pelo referido tratamento pode variar em funo da questo de saber se os dados j constam, ou
no, de fontes acessveis ao pblico.
Contudo, o artigo 7., alnea f), desta diretiva opese a que um Estado-Membro
exclua de forma categrica e generalizada a possibilidade de algumas categorias de dados pessoais serem tratadas, sem permitir uma ponderao dos direitos e interesses opostos em causa num caso especfico.
luz destas consideraes, o Tribunal de Justia concluiu que o artigo 7., alnea f), da Diretiva95/46 deve ser interpretado no sentido de que se ope a
uma legislao nacional que, na inexistncia do consentimento da pessoa em
causa e para autorizar o tratamento dos seus dados pessoais necessrio para
prosseguir interesses legtimos do responsvel pelo tratamento ou do terceiro
ou terceiros a quem os dados sejam comunicados, exige, alm do respeito
dos direitos e liberdades fundamentais dessa pessoa, que os referidos dados
constem de fontes acessveis ao pblico, excluindo assim de forma categrica
e generalizada todo e qualquer tratamento de dados que no constem dessas
fontes.140
possvel encontrar formulaes semelhantes em recomendaes do CdE. A Recomendao sobre a definio de perfis considera legtimo o tratamento de dados
pessoais para fins de definio de perfis, se tal for necessrio para prosseguir interesses legtimos de terceiros, desde que no prevaleam os direitos e liberdades
fundamentais das pessoas em causa.141
139 TJUE, acrdo de 24 de novembro de 2011 nos processos apensos C-468/10 e C-469/10, Asociacin
Nacional de Establecimientos Financieros de Crdito (ASNEF) e Federacin de Comercio Electrnico y
Marketing Directo (FECEMD) Administracin del Estado, n.s 30 e 32.
140 Ibid., n.s 40, 44, 48 e 49.
141 Recomendao sobre a definio de perfis, artigo3.4, al. b).
91
92
93
Interesse pblico
Segundo o artigo8., n. 4, da Diretiva de Proteo de Dados, os Estados-Membros
podem prever outros casos em que permitido o tratamento de dados sensveis,
desde que:
o tratamento dos dados seja realizado por motivos de interesse pblico
importante;
esteja previsto em disposies legislativas nacionais ou numa deciso da autoridade de controlo; e
as disposies legislativas nacionais ou a deciso da autoridade de controlo estabeleam as garantias necessrias para proteger eficazmente os interesses das
pessoas em causa.149
146 Ibid., artigo 8., n. 2, al. b).
147 Ibid., artigo 8., n. 2, al. d).
148 Ibid., artigo 8., n. 2, al. e).
149 Ibid., artigo 8., n. 4.
94
As regras sobre a segurana do tratamento impem sobre o responsvel pelo tratamento e o subcontratante a obrigao de colocarem em prtica medidas tcnicas e
organizativas para evitar interferncias no autorizadas nas operaes de tratamento.
pelos custos; e
Por conseguinte, tanto a legislao do CdE sobre proteo de dados como a legislao da UE sobre proteo de dados impem sobre os responsveis pelo tratamento
150 Grupo de Trabalho do artigo 29. (2007), Documento de trabalho sobre o tratamento de dados pessoais
ligados sade em registos de sade eletrnicos (RSE), WP131, Bruxelas, 15defevereirode2007.
95
96
97
98
4.2.2. Confidencialidade
No mbito do direito da UE, a segurana do tratamento de dados igualmente salvaguardada pelo dever geral imposto sobre todas as pessoas, sejam elas responsveis pelo tratamento ou subcontratantes, de assegurar a confidencialidade dos
dados.
Exemplo: Uma funcionria de uma companhia de seguros recebe um telefonema no local de trabalho de algum que afirma ser um cliente, solicitando
informaes sobre o seu contrato de seguro.
O dever de manter a confidencialidade dos dados dos clientes exige que a funcionria tome, pelo menos, medidas mnimas de segurana antes de divulgar
dados pessoais. Neste sentido, poderia, por exemplo, oferecerse para telefonar,
ela prpria, para o nmero constante do processo do cliente.
O artigo 16. da Diretiva de Proteo de Dados relativo confidencialidade s aplicvel no contexto da relao entre o responsvel pelo tratamento e o subcontratante. O facto de os responsveis pelo tratamento estarem ou no sujeitos a um
dever de confidencialidade, no sentido de que no podem divulgar os dados a terceiros, tratado nos artigos7. e 8. da Diretiva.
O dever de confidencialidade no abrange as situaes em que uma pessoa toma
conhecimento dos dados na qualidade de particular e no de funcionrio do responsvel pelo tratamento ou do subcontratante. Neste caso, o artigo 16. da Diretiva de
Proteo de Dados no aplicvel porque, com efeito, a utilizao de dados pessoais
por particulares est completamente fora do mbito de aplicao da Diretiva quando
tal utilizao estiver abrangida pela chamada exceo domstica.156 Esta exceo consiste na utilizao de dados pessoais por uma pessoa singular no exerccio
de atividades exclusivamente pessoais ou domsticas.157 Porm, desde o acrdo
99
Bodil Lindqvist do TJUE,158 esta exceo tem de ser objeto de uma interpretao restritiva, especialmente em relao divulgao de dados. Em especial, a exceo
domstica no ser aplicvel divulgao de dados pessoais a um nmero ilimitado
de destinatrios na Internet (para informaes mais detalhadas sobre este processo,
ver seces2.1.2, 2.2, 2.3.1 e6.1).
No mbito do direito do CdE, a obrigao de confidencialidade est implcita no conceito de segurana dos dados no artigo7. da Conven108, que trata da segurana
dos dados.
Relativamente aos subcontratantes, a confidencialidade significa que estes s podero utilizar os dados pessoais que lhes foram confiados pelo responsvel pelo tratamento em conformidade com as instrues dadas por este. No que respeita aos funcionrios do responsvel pelo tratamento ou do subcontratante, a confidencialidade
exige que estes utilizem os dados pessoais unicamente de acordo com as instrues
dos respetivos superiores hierrquicos.
A obrigao de confidencialidade tem de ser includa em qualquer contrato celebrado entre os responsveis pelo tratamento e os seus subcontratantes. Alm disso,
os responsveis pelo tratamento e os subcontratantes tero de tomar medidas
especficas para impor sobre os seus funcionrios um dever de confidencialidade,
normalmente atravs da incluso de clusulas de confidencialidade no contrato de
trabalho do funcionrio.
Em muitos Estados-Membros da UE e Partes na Conveno108, a violao de deveres profissionais de confidencialidade punvel nos termos da lei penal.
100
4.3.1. Informao
Nos termos do direito do CdE e do direito da UE, os responsveis pelas operaes
de tratamento so obrigados a informar previamente a pessoa em causa do tratamento planeado.161 Esta obrigao no depende de um pedido da pessoa em
159 Conveno 108, artigo 8., alnea a).
160 Ibid., artigo 9., n. 2; e Diretiva Proteo de Dados, artigo 13., n. 1.
161 Conveno 108, artigo 8., al. a); Diretiva Proteo de Dados, artigos 10. e 11..
101
Contedo da informao
As informaes tm de incluir a finalidade do tratamento, bem como a identidade e
o contacto do responsvel pelo tratamento.162 A Diretiva de Proteo de Dados exige
o fornecimento de informaes adicionais desde que sejam necessrias, tendo em
conta as circunstncias especficas da recolha dos dados, para garantir pessoa em
causa um tratamento leal dos mesmos. Os artigos 10. e 11. da Diretiva descrevem, entre outros aspetos, as categorias de dados tratados e os destinatrios desses dados, bem como a existncia do direito de acesso aos dados e de retificao
dos mesmos. Sempre que forem recolhidos dados junto das pessoas em causa, as
informaes devem esclarecer se a resposta s perguntas tem carter obrigatrio ou
facultativo, bem como as possveis consequncias de no responder.163
Do ponto de vista do direito do CdE, o fornecimento destas informaes poder ser
considerado uma boa prtica ao abrigo do princpio do tratamento leal dos dados e,
nesse sentido, tambm faz parte do direito do CdE.
O princpio do tratamento leal exige que as informaes sejam facilmente compreensveis pelas pessoas em causa. Tem de ser utilizada uma linguagem adequada
aos destinatrios. O nvel e o tipo de linguagem utilizados teriam de variar em funo da audincia prevista (por exemplo, adultos ou crianas, pblico em geral ou
acadmicos especializados).
Algumas pessoas em causa desejaro receber apenas informaes resumidas sobre
o modo e a finalidade do tratamento dos seus dados, enquanto outras exigiro uma
explicao detalhada. A conciliao deste aspeto da informao leal analisada num
parecer do Grupo de Trabalho do artigo29. que promove a ideia dos chamados
avisos com vrios nveis,164 dando pessoa em causa a possibilidade de decidir que
grau de pormenor prefere.
162 Conveno 108, artigo 8., al. a); Diretiva Proteo de Dados, artigo 10., al. a) e b).
163 Diretiva Proteo de Dados, artigo 10., al. c).
164 Grupo de Trabalho do artigo 29. (2004), Parecer 10/2004 sobre a prestao mais harmonizada da
informao, WP100, Bruxelas, 25denovembrode2004.
102
103
4.3.2. Notificao
O legislador nacional pode impor sobre os responsveis pelo tratamento a obrigao
de notificar as autoridades de controlo competentes das suas operaes de tratamento para que estas possam ser publicadas. Em alternativa, o legislador nacional
pode estabelecer que os responsveis pelo tratamento podero nomear um encarregado da proteo dos dados pessoais, que ser responsvel, em especial, por
manter um registo das operaes de tratamento efetuadas pelo responsvel pelo
tratamento.167 Este registo interno tem de ser colocado disposio dos membros
do pblico que o solicitem.
104
Desenvolvendo o princpio da responsabilidade, a Diretiva de Proteo de Dados menciona vrios instrumentos de promoo do cumprimento:
105
106
107
108
5.
Os direitos das pessoas
em causa e a tutela
doseuexerccio
UE
Direito de acesso
Diretiva de Proteo de Dados, artigo 12.
TJUE, acrdo de 7 de maio de 2009
no processo C-553/07, College van
burgemeester en wethouders van
Rotterdam/M.E.E. Rijkeboer
Questes
abrangidas
CdE
Direito de
retificao,
apagamento
(eliminao) ou
bloqueio
Direito de oposio
Diretiva de Proteo de Dados, artigo 14.,
n. 1, al. a)
109
UE
Diretiva de Proteo de Dados, artigo 14.,
n. 1, al. b)
Controlo independente
Carta, artigo 8., n. 3
Diretiva de Proteo de Dados, artigo 28.
Regulamento Proteo de Dados
(Instituies da UE),captulo V
Questes
abrangidas
CdE
Direito de oposio
utilizao
posterior dos
dados para fins de
marketing
Direito de oposio
a decises
automatizadas
Recomendao sobre
marketing direto, artigo 4.1
Autoridades
nacionais de
controlo
Pedido ao
responsvel pelo
tratamento
Pedidos deduzidos
perante a
autoridade de
controlo
Recomendao sobre a
definio de perfis, artigo
5.5
Tribunais (em
CEDH, artigo 13.
geral)
Tribunais nacionais Conveno 108, Protocolo
Adicional, artigo 1., n. 4
TJUE
110
UE
Recursos e sanes
Carta, artigo 47.
Diretiva de Proteo de Dados, artigos 22.
e 23.
TJUE, acrdo de 10 de abril de 1984
no processo C-14/83, Sabine von
Colson e Elisabeth Kamann/Land
Nordrhein-Westfalen
TJUE, acrdo de 26 de fevereiro de 1986
no processo C-152/84, M.H. Marshall
Southampton and South-West Hampshire
Area Health Authority
Regulamento Proteo de Dados
(Instituies da UE), artigos 34. e 49.
TJUE, acrdo de 29 de junho de 2010 no
processo C28/08P, Comisso Europeia/The
Bavarian Lager Co. Ltd
Questes
abrangidas
Por infraes
legislao nacional
sobre proteo de
dados
CdE
Por violaes da
legislao da UE
por instituies e
rgos da UE
A eficcia das regras jurdicas, em geral, e dos direitos das pessoas em causa, em
especial, depende, em grande parte, da existncia de mecanismos adequados de
fiscalizao do seu cumprimento e de tutela do seu exerccio, respetivamente. Nos
termos da legislao europeia sobre proteo dos dados, o direito nacional tem de
atribuir pessoa em causa os poderes necessrios para proteger os seus dados. O
direito nacional deve igualmente criar autoridades de controlo independentes para
ajudar as pessoas em causa a exercerem os seus direitos e para controlar o tratamento de dados pessoais. Alm disso, o direito a uma tutela jurisdicional efetiva, tal
como garantido pela CEDH e pela Carta, exige que todas as pessoas tenham acesso
aos tribunais.
Qualquer pessoa ter o direito, nos termos da legislao nacional, de pedir a qualquer
responsvel pelo tratamento informaes sobre se este est a tratar dados que lhe
digam respeito.
Os titulares dos dados tero o direito, nos termos da legislao nacional, de obterem
junto do responsvel pelo tratamento dos seus dados:
111
a retificao (ou bloqueio, consoante os casos) dos seus dados, caso estes estejam
incorretos;
As pessoas em causa tero ainda o direito de manifestar ao responsvel pelo tratamento a sua oposio:
a decises automatizadas (tomadas com base em dados pessoais tratados exclusivamente por meios automatizados);
112
113
114
115
116
117
118
pelo tratamento, uma vez que ele o responsvel pela legitimidade do tratamento.
O princpio da responsabilidade exige que o responsvel pelo tratamento esteja em
condies de demonstrar, a todo o tempo, que as suas operaes de tratamento
de dados tm uma base legal legtima; caso contrrio ter de interromper esse
tratamento.
Se o tratamento dos dados for contestado com fundamento na inexatido dos dados
ou na ilicitude do tratamento, a pessoa em causa pode exigir, nos termos do princpio do tratamento leal, que os dados em causa sejam bloqueados. Isto significa
que os dados no sero eliminados, mas que o responsvel pelo tratamento dever
absterse de os utilizar durante o perodo de bloqueio. Este bloqueio ser particularmente necessrio nos casos em que a continuao da utilizao de dados inexatos
ou detidos ilegitimamente seja suscetvel de prejudicar a pessoa em causa. O legislador nacional deve regular, em maior pormenor, as condies da constituio e do
cumprimento da obrigao de bloquear a utilizao dos dados.
As pessoas em causa tm ainda o direito de obter do responsvel pelo tratamento a
notificao a terceiros de qualquer bloqueio, retificao ou apagamento, caso estes
tenham recebido dados antes destas operaes de tratamento. Uma vez que o responsvel pelo tratamento deve documentar a comunicao de dados a terceiros,
dever ser possvel identificar os destinatrios dos dados e pedir a eliminao dos
mesmos. Porm, se os dados tiverem sido entretanto publicados, por exemplo, na
Internet, poder ser impossvel obter totalmente o apagamento dos dados, uma vez
que no ser possvel encontrar os destinatrios dos mesmos. Nos termos da Diretiva de Proteo de Dados, obrigatrio contactar os destinatrios dos dados para
os informar da retificao, apagamento ou bloqueio dos dados, salvo se isso for
comprovadamente impossvel ou implicar um esforo desproporcionado.186
186 Diretiva Proteo de Dados, artigo 12., al. c), ltima parte do perodo.
119
120
190 Ver tambm TEDH, acrdo M.S. c. Sucia de 27deagostode1997, petio n.20837/92, em que
foram comunicados dados mdicos sem consentimento e sem a possibilidade de oposio; TEDH,
acrdo Leander c. Sucia de 26demarode1987, petio n.9248/81; ou TEDH, acrdo Mosley c.
Reino Unido de 10demaiode2011, petio n.48009/08.
191 Recomendao sobre a definio de perfis, artigo5.3.
121
tambm estabelece este direito.192 Este tipo de oposio deve ser manifestado
antes de os dados serem disponibilizados a terceiros para fins de marketing direto.
Por conseguinte, deve ser dada pessoa em causa a oportunidade de se opor antes
de os dados serem transferidos.
apreciar queixas e auxiliar as pessoas em causa que aleguem violaes dos seus
direitos proteo de dados;
intervir, se necessrio
dirigindo advertncias ou censuras aos responsveis pelo tratamento e subcontratantes ou aplicandolhes uma multa,
proibindo o tratamento;
192 CdE, Comit de Ministros (1985), Recommendation Rec(85)20 to member states on the protection
of personal data used for the purposes of direct marketing (Recomendao Rec(85)20 aos Estados
membros sobre a proteo de dados de carter pessoal utilizados para fins de marketing direto), de
25deoutubrode1985, artigo 4., n. 1.
122
123
195 Diretiva Proteo de Dados, artigo 28., n. 1, ltimo perodo; Conveno 108, Protocolo Adicional, artigo
1., n.3.
196 Ver FRA (2010), Fundamental rights: challenges and achievements in2010 (Direitos Fundamentais:
desafios e progressos em 2010), Relatrio anual2010, p.59. A FRA abordou esta questo em maior
detalhe no seu relatrio Data protection in the European Union: the role of National Data Protection
Authorities (Proteo de dados na Unio Europeia: o papel das autoridades nacionais de proteo de
dados), que foi publicado em maio de2010.
197 TJUE, acrdo de 9 de maro de 2010 no processo C-518/07, Comisso Europeia/Repblica Federal da
Alemanha, n. 27.
198 Ibid., n.s 17 e 29.
124
125
126
O direito a uma tutela jurisdicional efetiva exige, nos termos do direito da UE, que o
direito nacional preveja recursos judiciais em caso de violao dos direitos proteo de dados, independentemente da possibilidade de recorrer a uma autoridade
de controlo.
Antes de recorrer aos tribunais, necessrio contactar primeiro o responsvel pelo tratamento. A obrigatoriedade de contactar a autoridade de controlo antes de recorrer
aos tribunais uma matria que dever ser regulada pelo direito nacional.
As pessoas em causa podem, em ltimo recurso e sob determinadas condies, submeter casos de violao da legislao sobre proteo de dados apreciao do TEDH.
As pessoas em causa tambm podem recorrer ao TJUE, mas apenas em casos muito
excecionais.
Os direitos garantidos pela legislao sobre proteo de dados s podem ser exercidos pela pessoa cujos direitos esto em jogo, ou seja, algum que seja, ou pelo
menos alegue ser, a pessoa em causa. Essas pessoas podem fazer-se representar
no exerccio dos seus direitos por pessoas que preencham os requisitos estabelecidos no direito nacional. Os menores tm de ser representados pelos progenitores
ou tutores. As pessoas tambm se podem fazer representar junto das autoridades
de controlo por associaes que tenham por objetivo lcito promover os direitos
proteo de dados.
127
128
satisfazer o pedido e informar o autor do pedido do modo como este foi satisfeito; ou
comunicar ao autor do pedido os motivos pelos quais o seu pedido no foi
satisfeito.
129
130
131
132
instituies, rgos ou organismos da UE. Esses esclarecimentos designamse decises prejudiciais. Embora no satisfaam diretamente a pretenso do autor da
queixa, estas decises permitem aos rgos jurisdicionais nacionais assegurarse de
que esto a aplicar a interpretao correta do direito da UE.
Se uma parte no processo nacional pedir o reenvio de uma questo para o TJUE,
apenas os tribunais nacionais que atuam em ltima instncia, cujas decises j no
so suscetveis de recurso, so obrigados a dar cumprimento a esse pedido.
Exemplo: No processo que deu origem ao acrdo Krntner Landesregierung e
o.,212 o Tribunal Constitucional austraco pediu ao TJUE para se pronunciar sobre
a validade dos artigos3. a 9. da Diretiva2006/24/CE (Diretiva Conservao
de Dados) luz dos artigos7., 9. e 11. da Carta e sobre a compatibilidade de
certas disposies da Lei Federal Austraca sobre Telecomunicaes que transpe a Diretiva Conservao de Dados com determinados aspetos da Diretiva de
Proteo de Dados e do Regulamento Proteo de Dados (Instituies da UE).
M. Seitlinger, um dos demandantes no processo perante o Tribunal Constitucional, afirmou que utilizava o telefone, a Internet e o correio eletrnico para
fins profissionais e na sua vida privada. Consequentemente, a informao que
enviava e recebia passava por redes pblicas de telecomunicaes. Nos termos da Lei das Telecomunicaes austraca, de 2003, o seu prestador de servios de telecomunicaes obrigado a recolher e a armazenar dados sobre
a sua utilizao da rede. M. Seitlinger apercebeuse de que esta recolha e este
armazenamento dos seus dados pessoais no eram, de modo algum, tecnicamente necessrios para levar a informao do ponto A para o ponto B na rede.
A recolha e o armazenamento desses dados tambm no eram remotamente
necessrios para fins de faturao. M. Seitlinger no tinha certamente dado o
seu consentimento para esta utilizao dos seus dados pessoais. O nico motivo
para a recolha e o armazenamento de todos estes dados adicionais era a Lei das
Telecomunicaes austraca, de 2003.
Por conseguinte, M. Seitlinger props uma ao no Tribunal Constitucional austraco, alegando que as obrigaes impostas por lei sobre o seu prestador de
servios de telecomunicaes violavam os seus direitos fundamentais ao abrigo
do artigo8. da Carta da UE.
212 TJUE, acrdo de 8 de abril de 2014, processos apensos C-293/12 e C-594/12, Digital Rights Ireland e
Seitling e Outros.
133
O TJUE s se pronuncia sobre os elementos constitutivos do pedido de deciso prejudicial que lhe foi apresentado. O rgo jurisdicional nacional continua a ser competente para decidir o litgio no processo principal.
Em princpio, o Tribunal de Justia tem de responder s questes que lhe so colocadas. No se pode recusar a proferir uma deciso prejudicial alegando que a sua resposta no seria relevante nem oportuna face ao processo original. No entanto, pode
fazlo se a questo no estiver abrangida pela sua esfera de competncia.
Por ltimo, se uma instituio ou rgo da UE alegadamente violar direitos proteo de dados que sejam garantidos pelo artigo16. do TFUE no decurso de operaes de tratamento de dados, a pessoa em causa pode recorrer ao Tribunal Geral do
TJUE (artigo32., n.s 1 e 4, do Regulamento Proteo de Dados relativamente s
Instituies da UE). O mesmo acontece com as decises da AEPD sobre essas violaes (artigo32., n. 3, do Regulamento Proteo de Dados [Instituies da UE]).
Embora o Tribunal Geral do TJUE seja competente para decidir litgios relacionados
com o Regulamento Proteo de Dados (Instituies da UE), se o demandante for
uma pessoa que atue na qualidade de funcionrio de uma instituio ou rgo da
UE, ter de recorrer para o Tribunal da Funo Pblica da UE.
Exemplo: O processo que deu origem ao acrdo Comisso Europeia/The Bavarian Lager Co. Ltd213 ilustra os meios de recurso disponveis contra atividades ou
decises das instituies e rgos da UE relevantes para a proteo de dados.
A Bavarian Lager solicitou Comisso Europeia o acesso ata completa de
uma reunio realizada pela Comisso, alegadamente relacionada com questes jurdicas relevantes para a empresa. A Comisso tinha indeferido o pedido
de acesso da empresa com fundamento em interesses superiores de proteo
de dados.214 A Bavarian Lager tinha recorrido desta deciso para o TJUE, mais
concretamente para o Tribunal de Primeira Instncia (o antecessor do Tribunal
Geral) ao abrigo do artigo32. do Regulamento Proteo de Dados (Instituies
da UE). No acrdo de 8denovembrode2007 proferido no processo T194/04,
213 TJUE, acrdo de 29dejunhode2010 no processo C28/08P, Comisso Europeia/The Bavarian Lager Co.
Ltd.
214 Para uma anlise do argumento, ver: AEPD (2011), Public access to documents containing personal data
after the Bavarian Lager ruling, Bruxelas, AEPD, disponvel em: www.secure.edps.europa.eu/EDPSWEB/
webdav/site/mySite/shared/Documents/EDPS/Publications/Papers/BackgroundP/11-03-24_Bavarian_
Lager_EN.pdf.
134
5.3.4. Sanes
No mbito do direito do CdE, o artigo 10. da Conveno108 dispe que as Partes
devem estabelecer sanes e vias de recurso apropriadas em face de violaes das
disposies do direito interno que confiram eficcia aos princpios bsicos da proteo de dados consagrados na Conveno.215 No mbito do direito da UE, o artigo24.
da Diretiva de Proteo de Dados estabelece que os Estados-Membros tomaro as
medidas adequadas para assegurar a plena aplicao das disposies da presente
diretiva e determinaro, nomeadamente, as sanes a aplicar em caso de violao
das disposies adotadas [].
Ambos os instrumentos conferem aos Estados-Membros uma ampla margem
de discricionariedade na escolha das sanes e das vias de recurso adequadas.
Nenhum destes instrumentos jurdicos contm orientaes especficas sobre a natureza ou o tipo de sanes consideradas adequadas, nem d exemplos de sanes.
No entanto,
embora os Estados-Membros da UE gozem de uma certa margem de
discricionariedade na determinao das medidas mais adequadas para
salvaguardar os direitos que o direito da UE atribui s pessoas, tendo em
conta o princpio da cooperao leal estabelecido no artigo4., n. 3, do
Tratado UE, devem ser respeitados os requisitos mnimos da eficcia,
equivalncia, proporcionalidade e dissuaso.216
O TJUE tem entendido repetidamente que a liberdade conferida ao legislador nacional para determinar as sanes aplicveis no absoluta.
215 TEDH, acrdo I. c. Finlndia de 17dejulhode2008, petio n.20511/03; TEDH, acrdo K.U. c.
Finlndia de 2dedezembrode2008, petio n.2872/02.
216 Ver FRA (2012), Opinion of the EuropeanUnionAgencyforFundamentalRights on the proposed
data protection reform package (Parecer da Agncia dos Direitos Fundamentais da Unio Europeia
sobre a proposta do pacote de reforma legislativa sobre proteo de dados), 2/2012, Viena,
1deoutubrode2012, p.27.
135
217 TJUE, acrdo de 10 de abril de 1984, processo C-14/83, Sabine von Kolson and Elisabeth Kamann c.
Land Nordrhein-Westfalen.
136
6.
Fluxos transfronteirios
dedados
UE
Questes
abrangidas
Definio
CdE
Entre
Estados-Membros
da UE
Entre Partes
Contratantes da
Conveno 108
Diretiva de Proteo de Dados, artigo 25.
Para pases
terceiros com um
nvel de proteo
adequado
Diretiva de Proteo de Dados, artigo 26.,
Para pases
n. 1
terceiros em casos
especficos
Restries ao fluxo de dados para pases terceiros
Clusulas
Diretiva de Proteo de Dados, artigo 26.,
n. 2
contratuais
Diretiva de Proteo de Dados, artigo 26.,
n. 4
Diretiva de Proteo de Dados, artigo 26.,
n. 2
Regras vinculativas
para as empresas
137
UE
Exemplos:
Acordo PNR UE-EUA
Acordo SWIFT UE-EUA
Questes
abrangidas
CdE
Acordos
internacionais
especiais
O artigo 2., n. 1, do Protocolo Adicional Conveno 108 descreve o fluxo transfronteirio de dados como a transferncia de dados pessoais para um destinatrio
que est sujeito a uma jurisdio estrangeira. O artigo25., n. 1, da Diretiva de
Proteo de Dados regula a transferncia para um pas terceiro de dados pessoais
objeto de tratamento, ou que se destinem a ser objeto de tratamento aps a sua
transferncia []. Essa transferncia de dados s permitida se forem observadas as regras estabelecidas no artigo2. do Protocolo Adicional Conveno108,
devendo os Estados-Membros da UE cumprir tambm os artigos25. e 26. da Diretiva de Proteo de Dados.
Exemplo: No acrdo Bodil Lindqvist,218 o TJUE considerou que a referncia,
feita numa pgina da Internet, a vrias pessoas e a sua identificao pelo nome
218 TJUE, acrdo de 6 de novembro de 2003 no processo C-101/01, Bodil Lindqvist, n.s 27, 68 e 69.
138
ou por outros meios, por exemplo, o nmero de telefone ou informaes relativas s suas condies de trabalho e aos seus passatempos constitui um tratamento de dados pessoais por meios total ou parcialmente automatizados na
aceo do artigo3., n. 1, da Diretiva 95/46..
O Tribunal de Justia sublinhou ento que a Diretiva tambm estabelece regras
especficas que visam assegurar o controlo, pelos Estados-Membros, das transferncias de dados de carter pessoal para pases terceiros.
Porm, tendo em conta, por um lado, o estdio de evoluo da Internet data
da elaborao da diretiva e, por outro, a ausncia, na Diretiva, de critrios aplicveis utilizao da Internet, no se pode presumir que o legislador comunitrio tinha a inteno de incluir prospetivamente no conceito de transferncia
para um pas terceiro de dados a insero [...] de dados numa pgina Internet,
mesmo que estes se tornem deste modo acessveis s pessoas de pases terceiros que possuam os meios tcnicos para acederem a esses dados.
Caso contrrio, se a Diretiva fosse interpretada no sentido de que existe uma
transferncia para um pas terceiro de dados cada vez que so carregados
dados de carter pessoal numa pgina Internet, essa transferncia seria necessariamente uma transferncia para todos os pases terceiros onde existem os
meios tcnicos necessrios para aceder Internet. O regime especial previsto
[na Diretiva] tornarseia, necessariamente, no que respeita s operaes na
Internet, um regime de aplicao geral. Com efeito, desde que a Comisso verificasse [...] que um pas terceiro no assegura um nvel de proteo adequado,
os Estados-Membros seriam obrigados a impedir qualquer colocao na Internet de dados de carter pessoal.
O princpio segundo o qual a mera publicao de dados (pessoais) no deve ser considerada um fluxo transfronteirio de dados tambm aplicvel aos registos pblicos e aos meios de comunicao social online, tais como os jornais (eletrnicos) e a
televiso. Apenas a comunicao dirigida a destinatrios especficos est abrangida
pelo conceito de fluxo transfronteirio de dados.
139
No mbito do direito do CdE, o fluxo de dados pessoais entre as Partes da Conveno dever ser livre, nos termos do artigo12., n. 2, da Conveno 108. O legislador
nacional no poder restringir a exportao de dados pessoais para uma Parte Contratante, salvo se:
a natureza especial dos dados assim o exigir;219 ou
A restrio for necessria para evitar que a transferncia se subtraia s disposies legais internas em matria de fluxo transfronteirio de dados para pases
terceiros.220
No mbito do direito da UE, as restries e proibies ao livre fluxo de dados entre
os Estados-Membros por razes relativas proteo de dados so proibidas pelo
artigo1., n. 2, da Diretiva de Proteo de Dados. A rea do livre fluxo de dados
foi alargada pelo Acordo sobre o Espao Econmico Europeu (EEE),221 que integra a
Islndia, o Listenstaine e a Noruega no mercado interno.
Exemplo: Se uma filial de um grupo internacional de empresas, estabelecido em
vrios Estados-Membros da UE, entre os quais a Eslovnia e a Frana, transferir
dados pessoais da Eslovnia para a Frana, a legislao eslovena no pode restringir ou proibir esse fluxo de dados.
219 Conveno 108, artigo 12., n. 3, al. a).
220 Ibid., artigo 12., n. 3, al. b).
221 Deciso do Conselho e da Comisso de 13 de dezembro de 1993 relativa celebrao do Acordo sobre
o Espao Econmico Europeu entre as Comunidades Europeias, os seus Estadosmembros e a Repblica
da ustria, a Repblica da Finlndia, a Repblica da Islndia, o Principado do Liechtenstein, o Reino da
Noruega, o Reino da Sucia e a Confederao Sua, JO1994L1.
140
Para que a proteo de dados num pas terceiro seja considerada adequada, os princpios fundamentais da proteo de dados devero ter sido efetivamente implementados no direito nacional desse pas.
Nos termos do direito da UE, a adequao da proteo de dados num pas terceiro
apreciada pela Comisso Europeia. Nos termos do direito do CdE, o modo de apreciao dessa adequao deixado ao critrio do legislador nacional.
141
142
225 Comisso Europeia (2002), Deciso 2002/2/CE de 20 de dezembro de 2001 nos termos da
Diretiva95/46/CE do Parlamento Europeu e do Conselho relativa adequao do nvel de proteo
proporcionado pela lei canadiana sobre dados pessoais e documentos eletrnicos (Personal Information
and Eletronic Documents Act), JO2002L2.
226 Por exemplo, o Acordo entre os Estados Unidos da Amrica e a Unio Europeia sobre a utilizao e
a transferncia dos registos de identificao dos passageiros para o Departamento da Segurana
Interna dos Estados Unidos ( JO2012L215, pp.514) ou o Acordo entre a Unio Europeia e os Estados
Unidos da Amrica sobre o tratamento de dados de mensagens de pagamentos financeiros e a sua
transferncia da Unio Europeia para os Estados Unidos, para efeitos do Programa de Deteo do
Financiamento do Terrorismo, JO2010L8, pp.11-16.
227 Comisso Europeia (2000), Deciso 2000/520/CE da Comisso, de 26 de julho de 2000, nos termos
daDiretiva 95/46/CE do Parlamento Europeu e do Conselho e relativa ao nvel de proteo assegurado
pelos princpios de porto seguro e pelas respetivas questes mais frequentes (FAQ) emitidos pelo
Departamento do Comrcio dos Estados Unidos da Amrica, JO2000L215.
143
144
Antes de exportar dados para pases terceiros que no assegurem um nvel adequado
de proteo de dados, o responsvel pelo tratamento pode ter de submeter o fluxo de
dados pretendido apreciao da autoridade de controlo.
O responsvel pelo tratamento que pretende exportar dados tem de demonstrar duas
coisas durante esta apreciao:
que existe uma base legal para a transferncia de dados para o destinatrio; e
que foram adotadas medidas para garantir um nvel adequado de proteo dos
dados no destinatrio.
As medidas que visam garantir um nvel adequado de proteo de dados no destinatrio podero incluir:
229 Ver, em especial, Grupo de Trabalho do artigo 29. (2005), Documento de trabalho sobre uma
interpretao comum do artigo 26., n. 1, da Diretiva 95/46/CE de 24 de outubro de1995, WP114,
Bruxelas, 25denovembrode2005.
145
As transferncias de dados para autoridades estrangeiras tambm podem ser reguladas por um acordo internacional especial.
146
147
235 O teor e a estrutura adequados das regras vinculativas para as empresas so explicados em Grupo
de Trabalho do artigo29. (2008), Working document setting up a framework for the structure of
Binding Corporate Rules (Documento de trabalho que estabelece um quadro para a estrutura das regras
vinculativas para as empresas), WP154, Bruxelas, 24dejunhode2008; e em Grupo de Trabalho do
artigo 29. (2008), Working document setting up a table with the elements and principles to be found
in Binding Corporate Rules (Documento de trabalho que estabelece um quadro com os elementos e os
princpios das regras vinculativas para as empresas), WP153, Bruxelas, 24dejunhode2008.
236 Grupo de Trabalho do artigo29. (2007), Recommendation 1/2007 on the standard application
for approval of binding corporate rules for the transfer of personal data (Recomendao1/2007
sobre o formulrio do pedido de aprovao das regras vinculativas para as empresas em matria de
transferncia de dados pessoais), WP133, Bruxelas, 10dejaneirode2007.
148
Para garantir uma proteo adequada dos dados PNR, nos termos da Diretiva95/46/CE, foi adotado em 2004 um pacote legislativo sobre PNR237. Este pacote
incluiu uma deciso de adequao do tratamento de dados efetuado pelo Departamento de Segurana Interna norte-americano.
Em consequncia da anulao pelo TJUE do pacote PNR238, a UE e os Estados Unidos
assinaram dois acordos separados com dois objetivos: em primeiro lugar, proporcionar uma base legal para a divulgao de dados PNR s autoridades dos Estados
Unidos; em segundo, assegurar um nvel adequado de proteo de dados no pas
destinatrio.
O primeiro acordo entre os pases da UE e os Estados Unidos sobre o modo como os
dados so partilhados e geridos, assinado em 2012, apresentava vrias falhas, pelo
que foi substitudo no mesmo ano por um novo acordo a fim de reforar a segurana jurdica.239 O novo acordo oferece melhorias significativas. Restringe e clarifica
as finalidades para que as informaes podem ser utilizadas, tais como a preveno
e o combate ao terrorismo e criminalidade transnacional grave, e fixa o perodo
de conservao dos dados: aps seis meses, os dados devem ser anonimizados. .
Se os seus dados forem utilizados abusivamente, qualquer pessoa tem o direito de
recurso administrativo e judicial nos termos da legislao dos EUA. Tm igualmente
o direito de acesso aos seus prprios dados PNR e de solicitar a sua retificao pelo
Departamento da Segurana Interna, incluindo a possibilidade de supresso, se as
informaes estiverem incorretas.
O Acordo, que entrou em vigor em 1 de julho de 2012, manterse em vigor durante
um perodo de seteanos, at 2019.
237 Deciso do Conselho 2004/496/CE, de 17demaiode2004, relativa celebrao de um acordo entre
a Comunidade Europeia e os Estados Unidos da Amrica sobre o tratamento e transferncia de dados
contidos no registo de identificao de passageiros (PNR) por parte das transportadoras areas para o
Servio das Alfndegas e Proteo das Fronteiras do Departamento de Segurana Interna dos Estados
Unidos, JO2004L183, p.83, e Deciso da Comisso 2004/535/CE, de 14demaiode2004, sobre o
nvel de proteo adequado dos dados pessoais contidos nos Passenger Name Record transferidos para
o Bureau of Customs and Border Protection dos Estados Unidos, JO2004L235, p.11-22.
238 TJUE, acrdo de 30demaiode2006, nos processos apensos C-317/04 e C-318/04, Parlamento
Europeu c.Conselho da Unio Europeia, pontos57, 58 e 59, no qual o Tribunal considerou que tanto a
deciso de adequao como o cordo relativo ao tratamento de dados estavam excludos do mbito de
aplicao da Diretiva.
239 Deciso 2012/472/UE do Conselho, de 26deabrilde2012, relativa celebrao do Acordo entre
os Estados Unidos da Amrica e a Unio Europeia sobre a utilizao e a transferncia dos registos
de identificao dos passageiros para o Departamento da Segurana Interna dos Estados Unidos.
JO2012L215/4. O texto do Acordo encontrase reproduzido em anexo a esta Deciso, JO2012L215,
p.514.
149
240 Deciso 2012/381/UE do Conselho, de 13 de dezembro de 2011, relativa celebrao do Acordo entre
a Unio Europeia e a Austrlia sobre o tratamento e a transferncia de dados do registo de identificao
dos passageiros (PNR) pelas transportadoras areas para o Servio Aduaneiro e de Proteo das
Fronteiras australiano, JO2012L186/3. O texto do Acordo, que substituiu um acordo anterior de 2008,
encontrase reproduzido em anexo a esta Deciso, JO2012L186, p.4-16.
241 Ver, em especial, a Comunicao da Comisso, de 21 de setembro de 2010, sobre a abordagem global
relativa transferncia de dados do registo de identificao dos passageiros (PNR) para pases terceiros,
COM(2010)492final, Bruxelas, 21deSetembrode2010. Ver tambm o Parecer7/2010, do Grupo de
Trabalho do Artigo29, sobre esta Comunicao da Comisso.
242 Proposta de Diretiva do Parlamento Europeu e do Conselho relativa utilizao dos dados dos registos
de identificao dos passageiros para efeitos de preveno, deteo, investigao e represso das
infraes terroristas e da criminalidade grave, COM(2011)32final, Bruxelas, 2defevereirode2011.
Em abrilde2011, o Parlamento Europeu solicitou FRA um parecer sobre esta Proposta e a
sua conformidade com a Carta dos Direitos Fundamentais da Unio Europeia. Ver: FRA (2011),
Opinion1/2011 Passenger Name Record (Parecer 1/2011 Registo de identificao dos passageiros),
Viena, 14de junhode2011.
243 A UE est atualmente a negociar um novo acordo PNR com o Canad, que susbtituir o acordo de 2006
atualmente em vigor.
244 Ver, neste contexto, Grupo de Trabalho do artigo 29. (2011), Opinion 14/2011 on data protection
issues related to the prevention of money laundering and terrorist financing (Parecer14/2011 sobre
questes de proteo de dados relacionadas com a preveno do branqueamento de capitais e do
financiamento do terrorismo), WP186, Bruxelas, 13 de junho de 2011; Grupo de Trabalho do artigo 29.
(2006), Parecer10/2006 sobre o tratamento de dados pessoais pela Sociedade das Telecomunicaes
Financeiras Interbancrias no Mundo (Society for Worldwide Interbank Financial Telecommunication
SWIFT), WP128, Bruxelas, 22denovembrode2006; Comisso para a Proteo da Vida Privada belga
(Commission de la protection de la vie prive) (2008), Control and recommendation procedure initiated
with respect to the company SWIFT scrl, Deciso de 9dedezembrode2008.
150
151
152
7.
Proteo de dados no
contexto da atividade
policial e da justia
penal
UE
Questes
abrangidas
Em geral
Atividade policial
CdE
Conveno 108
Recomendao sobre a atividade policial
TEDH, acrdo B.B. c. Frana de 17 de
dezembro de 2009, petio n.5335/06
TEDH, acrdo S. e Marper c. Reino Unido
de 4 de dezembro de 2008, peties
n.s30562/04 e 30566/04
Deciso Europol
Deciso Eurojust
Para dados
especiais:
impresses digitais,
ADN, hooliganismo,
etc.
Por agncias
especiais
Conveno 108
Recomendao sobre a atividade policial
Conveno 108
Recomendao sobre a atividade policial
Regulamento Frontex
153
UE
Deciso Schengen II
Regulamento VIS
Regulamento Eurodac
Deciso SIA
Questes
abrangidas
CdE
Por sistema de
Conveno 108
informao comum Recomendao sobre a atividade policial
especial
TEDH, acrdo Dalea c. Frana de 2 de
fevereiro de 2010, petio n.964/07
154
155
156
procurou responder a esta questo fornecendo orientaes sobre o modo de recolha dos dados para fins relacionados com o trabalho da polcia; o modo de conservao dos ficheiros de dados nesta rea; as pessoas que devero ter acesso a estes
ficheiros, incluindo as condies da transferncia de dados para autoridades policiais
estrangeiras; o modo como as pessoas em causa devero poder exercer os seus
direitos proteo de dados; e o modo de implementao do controlo por autoridades independentes. Tambm considerada a obrigao de garantir uma segurana
adequada dos dados.
A Recomendao no prev uma recolha ilimitada, indiscriminada de dados por
parte das autoridades policiais, limitandoa ao que for necessrio para prevenir um
perigo real ou pr termo a um crime especfico. A recolha de outros dados teria de
se basear em legislao nacional especfica. O tratamento de dados sensveis dever
limitarse ao que for absolutamente necessrio no contexto de um determinado
inqurito.
Sempre que forem recolhidos dados pessoais sem o conhecimento da pessoa em
causa, esta dever ser informada da recolha de dados assim que essa divulgao j
no comprometer a investigao. A recolha de dados atravs de meios tcnicos de
vigilncia ou de outros meios automatizados tambm se dever basear em disposies legais especficas.
Exemplo: No processo que deu origem ao acrdo Vetter c. Frana,253 o requerente tinha sido acusado de homicdio por testemunhas annimas. Uma vez
que o requerente visitava regularmente a casa de um amigo, a polcia instalou
a dispositivos de escuta com a autorizao do juiz de instruo. Com base nas
conversas gravadas, o requerente foi detido e julgado por homicdio. Requereu
ao tribunal que a gravao fosse declarada inadmissvel como meio probatrio, alegando, em especial, que no estava prevista na lei. Segundo o TEDH, o
que importava determinar era se a utilizao de dispositivos de escuta estava
de acordo com a lei. A colocao de dispositivos de escuta em espaos privados estava manifestamente fora do mbito de aplicao do artigo 100. e
segs. do Cdigo de Processo Penal, dado que estas disposies respeitavam
interceo de linhas telefnicas. O artigo 81. do Cdigo no estabelecia, com
uma clareza razovel, o mbito ou o modo de exerccio da discricionariedade
das autoridades na autorizao da monitorizao de conversas privadas. Nesta
157
158
Ao nvel da UE, a proteo de dados no setor policial e da justia penal s est regulada
no contexto da cooperao transfronteiria entre as autoridades policiais e judicirias.
Foram estabelecidos regimes especiais de proteo de dados para o Servio Europeu de Polcia (Europol) e a Unidade Europeia de Cooperao Judiciria (Eurojust), dois
rgos da UE que apoiam e promovem a aplicao efetiva da lei transfronteiras.
254 Conselho da Europa, Comit de Ministros (2001), Conveno sobre o Cibercrime, STCE n.185,
Budapeste, 23denovembrode2001, que entrou em vigor em 1dejulhode2004.
255 Ibid., artigo 15., n. 1.
159
Existem tambm regimes especiais de proteo de dados para os sistemas de informao comuns que foram estabelecidos ao nvel da UE para fins de intercmbio transfronteirio de informaes entre as autoridades policiais e judicirias competentes. So
exemplos importantes o SchengenII, o Sistema de Informao sobre Vistos(VIS) e o
Eurodac, um sistema centralizado que contm os dados dactiloscpicos de nacionais de
pases terceiros que apresentem um pedido de asilo num dos Estados-Membros da UE.
160
161
A Deciso Prm
Um exemplo importante da cooperao transfronteiras institucionalizada atravs do
intercmbio de dados detidos por autoridades nacionais a Deciso2008/615/JAI
do Conselho relativa ao aprofundamento da cooperao transfronteiras, em particular no domnio da luta contra o terrorismo e a criminalidade transfronteiras (Deciso
262 Conselho da Unio Europeia (2009), Deciso-Quadro 2009/315/JAI do Conselho, de
26defevereirode2009, relativa organizao e ao contedo do intercmbio de informaes extradas
do registo criminal entre os Estados-Membros, JO2009L93; Conselho da Unio Europeia (2000),
Deciso 2000/642/JAI do Conselho, de 17deoutubrode2000, relativa a disposies de cooperao
entre as unidades de informao financeira dos Estados-Membros em matria de troca de informaes,
JO2000L271.
263 Comisso Europeia (2012), Comunicao da Comisso ao Parlamento Europeu e ao Conselho Reforar
a cooperao em matria de aplicao da lei na UE: o modelo europeu de intercmbio de informaes
(EIXM), COM(2012)735final, Bruxelas, 7dedezembrode2012.
162
163
Conselho que cria o Servio Europeu de Polcia (Deciso Europol).266 A Europol tem
por objetivo apoiar a preveno e a investigao da criminalidade organizada, do
terrorismo e de outras formas graves de criminalidade, enumeradas no anexo
Deciso Europol, que afetem dois ou mais Estados-Membros.
A fim de atingir os seus objetivos, a Europol criou o Sistema de Informaes Europol,
que proporciona uma base de dados para os Estados-Membros trocarem dados e
informaes de natureza penal atravs das respetivas UNE. O Sistema de Informaes Europol apenas pode ser utilizado para disponibilizar dados relativos a: pessoas
que sejam suspeitas da prtica de uma infrao penal da competncia da Europol ou
que tinham sido condenadas por alguma dessas infraes; ou pessoas relativamente
s quais haja indcios factuais de que tenham praticado essas infraes. A Europol e
as UNE podem introduzir diretamente dados no Sistema de Informaes Europol e
consultlos. Apenas a parte que introduziu os dados no sistema pode proceder sua
alterao, retificao ou apagamento.
Quando tal seja necessrio para o desempenho das suas funes, a Europol pode
conservar, alterar e utilizar dados relativos a infraes penais em ficheiros de anlise. Os ficheiros de anlise so criados para efeitos de compilao, tratamento ou
utilizao de dados com o objetivo de apoiar investigaes criminais concretas conduzidas pela Europol em conjunto com os Estados-Membros da UE.
Em resposta aos novos desenvolvimentos, foi criado o Centro Europeu da Cibercriminalidade no seio da Europol em 1dejaneirode2013.267 O centro serve de ponto de
convergncia europeu das informaes sobre cibercriminalidade, contribuindo para
reaes mais rpidas no caso dos crimes em linha, desenvolvendo e implementando
funcionalidades forenses digitais e aplicando as melhores prticas no domnio da
investigao de cibercrimes. O centro dedica especial ateno aos cibercrimes que:
266 Conselho da Europa (2009), Deciso do Conselho, de 6 de abril de 2009, que cria o Servio Europeu de
Polcia (Europol), JO2009L121. Ver tambm a Proposta da Comisso para um regulamento que prev,
por conseguinte, um quadro jurdico para uma nova Europol, que substitui e sucede Europol criada
pela Deciso 2009/371/JAI do Conselho, de 6deabrilde2009, que cria o Servio Europeu de Polcia
(Europol) , bem como CEPOL criada pela Deciso 2005/681/JAI do Conselho, que cria a Academia
Europeia de Polcia (CEPOL), COM(2013)173final.
267 Ver tambm AEPD (2012), Parecer da Autoridade Europeia para a Proteo de Dados sobre a
Comunicao da Comisso Europeia ao Conselho e ao Parlamento Europeu relativa criao de um
Centro Europeu da Cibercriminalidade, Bruxelas, 29dejunhode2012 [apenas est disponvel em PT a
sntese do parecer].
164
Eurojust
Criada em 2002, a Eurojust um rgo da UE com sede na Haia, que promove a cooperao judiciria no mbito de investigaes e procedimentos penais relacionados
165
com formas graves de criminalidade que impliquem dois ou mais EstadosMembros.270 A Eurojust competente para:
incentivar e melhorar a coordenao das investigaes e procedimentos penais
entre as autoridades dos vrios Estados-Membros;
facilitar a execuo de pedidos e decises relacionados com cooperao
judiciria.
As funes da Eurojust so desempenhadas por membros nacionais. Cada EstadoMembro destaca um juiz ou procurador para a Eurojust, cujo estatuto est sujeito ao
direito nacional e a quem so atribudas as competncias exigidas para o desempenho das funes necessrias ao incentivo e melhoria da cooperao judiciria. Alm
disso, os membros nacionais atuam colegialmente para desempenhar funes especiais da Europol.
A Eurojust pode tratar dados pessoais, desde que tal seja necessrio para alcanar os seus objetivos. Porm, este tratamento est limitado a informaes especficas sobre pessoas suspeitas da prtica ou da participao em infraes penais
da competncia da Eurojust ou condenadas por tais infraes. A Eurojust tambm
pode tratar certas informaes sobre testemunhas ou vtimas de infraes penais
abrangidas pela sua esfera de competncia.271 Em casos excecionais, a Eurojust pode
tratar, durante um perodo de tempo limitado, outros dados pessoais relativos s circunstncias em que foi cometida uma infrao quando os mesmos seja de interesse
imediato para uma investigao em curso. No mbito da sua competncia, a Eurojust
pode cooperar e trocar dados pessoais com outras instituies, rgos e agncias da
UE. A Eurojust pode igualmente cooperar e trocar dados pessoais com organizaes
e pases terceiros.
Relativamente proteo de dados, a Eurojust deve garantir um nvel de proteo
pelo menos equivalente aos princpios consagrados na Conveno 108 do Conselho
270 Conselho da Unio Europeia (2002), Deciso 2002/187/JAI do Conselho, de 28defevereirode2002,
relativa criao da Eurojust a fim de reforar a luta contra as formas graves de criminalidade,
JO2002L63; Conselho da Unio Europeia (2003), Deciso 2003/659/JAI do Conselho, de
18dejunhode2003, que altera a Deciso2002/187/JAI do Conselho relativa criao da Eurojust
a fim de reforar a luta contra as formas graves de criminalidade, JO2003L245; Conselho da Unio
Europeia (2009), Deciso 2009/426/JAI do Conselho, de 16dedezembrode2008, relativa ao reforo
da Eurojust e que altera a Deciso 2002/187/JAI do Conselho relativa criao da Eurojust a fim de
reforar a luta contra as formas graves de criminalidade, JO2009L138 (Decises Eurojust).
271 Verso consolidada da Deciso 2002/187/JAI do Conselho, na redao que lhe foi dada pela
Deciso2003/659/JAI do Conselho e pela Deciso 2009/426/JAI do Conselho, artigo 15., n. 2.
166
167
274 Acordo entre os Governos dos Estados da Unio Econmica Benelux, da Repblica Federal da
Alemanha e da Repblica Francesa relativo supresso gradual dos controlos nas fronteiras comuns,
JO2000L239.
275 Comunidades Europeias (1997), Tratado de Amesterdo que altera o Tratado da Unio Europeia,
os Tratados que instituem as Comunidades Europeias e alguns atos relativos a esses Tratados,
JO1997C340.
276 Regulamento (CE) n.1987/2006 do Parlamento Europeu e do Conselho, de 20dedezembrode2006,
relativo ao estabelecimento, ao funcionamento e utilizao do Sistema de Informao de Schengen
de segunda gerao, JO2006L381 (SISII) e Conselho da Unio Europeia (2007), Deciso2007/533/JAI
do Conselho, de 12dejunhode2007, relativa ao estabelecimento, ao funcionamento e utilizao do
Sistema de Informao Schengen de segunda gerao (SISII), JO2007L205.
168
169
170
das fronteiras externas. O VIS trata dados relativos a pedidos de vistos de curta
durao apresentados por pessoas que pretendem visitar ou que se encontram em
trnsito pelo espao Schengen. O VIS permite que as autoridades fronteirias verifiquem, com o auxlio de dados biomtricos, se a pessoa que apresenta o visto ou
no o seu legtimo titular e identifiquem pessoas sem documentos ou com documentos obtidos fraudulentamente.
Nos termos do Regulamento (CE) n.767/2008 do Parlamento Europeu e do Conselho relativo ao Sistema de Informao sobre Vistos (VIS) e ao intercmbio de dados
entre os Estados-Membros sobre os vistos de curta durao (Regulamento VIS),
apenas podem ser registados no VIS dados sobre o requerente, os seus vistos, fotografias, impresses digitais, ligaes para pedidos anteriores e processos de pedidos
de visto das pessoas que o acompanham.280 O acesso ao VIS para introduzir, alterar
ou apagar dados est reservado s autoridades responsveis pela emisso de vistos dos Estados-Membros, enquanto o acesso para consulta dos dados concedido
s autoridades responsveis pela emisso de vistos e s autoridades competentes
para realizar controlos nos pontos de passagem das fronteiras externas e controlos
em matria de imigrao e de asilo. Em certas condies, as autoridades policiais
nacionais competentes e a Europol podem requerer o acesso a dados introduzidos
no VIS para efeitos de preveno, deteo e investigao de infraes terroristas e
infraes penais.281
Eurodac
O nome do Eurodac tem origem na palavra dactilograma, ou seja, impresso digital. Tratase de um sistema centralizado que contm os dados dactiloscpicos de
nacionais de pases terceiros que pedem asilo num dos Estados-Membros da UE.282
O sistema est operacional desde janeiro de 2003 e visa ajudar a determinar que
280 Artigo 5. do Regulamento (CE) n.767/2008 do Parlamento Europeu e do Conselho, de
9dejulhode2008, relativo ao Sistema de Informao sobre Vistos (VIS) e ao intercmbio de dados
entre os Estados-Membros sobre os vistos de curta durao (Regulamento VIS), JO2008L218.
281 Conselho da Unio Europeia (2008), Deciso 2008/633/JAI do Conselho, de 23dejunhode2008,
relativa ao acesso para consulta ao Sistema de Informao sobre Vistos (VIS) por parte das autoridades
designadas dos Estados-Membros e por parte da Europol para efeitos de preveno, deteo e
investigao de infraes terroristas e outras infraes penais graves, JO2008L218.
282 Regulamento (CE) n.2725/2000 do Conselho, de 11dedezembrode2000, relativo criao
do sistema Eurodac de comparao de impresses digitais para efeitos da aplicao efetiva da
Conveno de Dublim, JO2000L316; Regulamento (CE) n.407/2002 do Conselho, de 28 de fevereiro
de 2002, que fixa determinadas regras de execuo do Regulamento CE) n.2725/2000 relativo
criao do sistema Eurodac de comparao de impresses digitais para efeitos da aplicao efetiva da
Conveno de Dublim, JO2002L62 (Regulamento Eurodac).
171
172
Eurosur
O Sistema Europeu de Vigilncia das Fronteiras (Eurosur)284 pretende melhorar o controlo das fronteiras externas do espao Schengen atravs da deteo, preveno e
combate imigrao ilegal e criminalidade transfronteiria. O Eurosur visa reforar
o intercmbio de informaes e a cooperao operacional entre os centros nacionais
de coordenao e a Frontex, a agncia da UE responsvel pelo desenvolvimento e
aplicao do novo modelo de gesto integrada das fronteiras.285 Os seus objetivos
gerais so os seguintes:
reduzir o nmero de migrantes ilegais que entram na UE sem serem detetados;
reduzir o nmero de mortes de migrantes ilegais, salvando mais vidas no mar;
reforar a segurana interna da UE no seu todo atravs da contribuio para a
preveno da criminalidade transfronteiria.286
Entrou em funcionamento em 2dedezembrode2013 em todos os EstadosMembros com fronteiras externas e comear a ser implementado a partir de
1dedezembrode2014 nos restantes. O Regulamento ser aplicvel vigilncia das fronteiras externas terrestres e martimas e das fronteiras areas dos
Estados-Membros.
173
287 Conselho da Unio Europeia (1995), Ato do Conselho, de 26 de julho de 1995, que institui a Conveno
sobre a utilizao da informtica no domnio aduaneiro, JO1995C316, com a redao que lhe foi
dada pela Deciso2009/917/JAI do Conselho, de 30denovembrode2009, relativa utilizao da
informtica no domnio aduaneiro, JO2009L323 (Deciso SIA). Regulamento (CE) n. 515/97 do
Conselho, de 13demarode1997, relativo assistncia mtua entre as autoridades administrativas
dos Estados-membros e colaborao entre estas e a Comisso, tendo em vista assegurar a correta
aplicao das regulamentaes aduaneira e agrcola.
288 Ibid.
174
8.
Outra legislao europeia
especfica sobre proteo
de dados
UE
Questes
abrangidas
Comunicaes
eletrnicas
Relaes de
emprego
Dados mdicos
Ensaios clnicos
Estatsticas
CdE
Conveno 108
Recomendao
sobre os servios de
telecomunicaes
Conveno 108
Recomendao sobre o
emprego
TEDH, acrdo Copland c.
Reino Unido de 3 de abril de
2007, petio n.62617/00
Conveno 108
Recomendao sobre os
dados mdicos
TEDH, acrdo Z. c. Finlndia
de 25 de fevereiro de 1997,
petio n.22009/93
Conveno 108
Recomendao sobre os
dados estatsticos
Estatsticas oficiais Conveno 108
Recomendao sobre os
dados estatsticos
175
UE
Questes
abrangidas
Dados financeiros
CdE
Conveno 108
Recomendao 90(19)
sobre dados pessoais
utilizados para fins de
pagamento e outras
operaes conexas
TEDH, acrdo Michaud c.
Frana de 6 de dezembro de
2012, petio n.12323/11
O tratamento de dados pessoais no contexto da prestao de servios de comunicaes ao nvel da UE regulado pela Diretiva Privacidade Eletrnica.
176
Em1995, o CdE adotou uma Recomendao relativa proteo de dados no domnio das telecomunicaes, em especial dos servios telefnicos.289 Segundo esta
recomendao, a recolha e o tratamento de dados pessoais no contexto das telecomunicaes devem ter unicamente como finalidades: ligao de um utilizador
rede, disponibilizao do servio de telecomunicaes em causa, faturao, verificao, garantia do melhor funcionamento tcnico possvel e desenvolvimento da rede
e do servio.
Foi tambm dada especial ateno utilizao das redes de comunicaes para
enviar mensagens de marketing direto. Em regra, no permitido enviar mensagens de marketing direto a qualquer assinante que tenha expressamente manifestado a sua vontade de no receber mensagens publicitrias. Os sistemas de
chamada automatizados que transmitem mensagens publicitrias prgravadas s
podem ser utilizados se o assinante tiver dado o seu consentimento expresso. O
direito nacional estabelecer regras detalhadas neste domnio.
No que respeita ao quadro jurdico da UE, aps uma primeira tentativa em1997, a
Diretiva relativa privacidade e s comunicaes eletrnicas (Diretiva Privacidade
Eletrnica) foi adotada em 2002 e alterada em 2009, com o objetivo de complementar e adaptar as disposies da Diretiva de Proteo de Dados ao setor das telecomunicaes.290 A Diretiva Privacidade Eletrnica exclusivamente aplicvel aos
servios de comunicaes em redes eletrnicas pblicas.
A Diretiva Privacidade Eletrnica distingue trs grandes categorias de dados gerados
durante uma comunicao:
os dados que constituem o teor das mensagens enviadas durante a comunicao; estes dados so estritamente confidenciais;
289 CdE, Comit de Ministros (1995), Recommendation Rec(95)4 to member states on the protection of
personal data in the area of telecommunication services, with particular reference to telephone services
(Recomendao Rec(95)4 aos Estados membros sobre a proteo de dados pessoais no domnio das
telecomunicaes, em especial dos servios telefnicos), de 7defevereirode1995.
290 Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao
tratamento de dados pessoais e proteo da privacidade no setor das comunicaes eletrnicas
(Diretiva relativa privacidade e s comunicaes eletrnicas), JO2002L201, com a redao que lhe foi
dada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25denovembrode2009,
que altera a Diretiva2002/22/CE relativa ao servio universal e aos direitos dos utilizadores em matria
de redes e servios de comunicaes eletrnicas, a Diretiva2002/58/CE relativa ao tratamento de
dados pessoais e proteo da privacidade no setor das comunicaes eletrnicas e o Regulamento
(CE) n.2006/2004 relativo cooperao entre as autoridades nacionais responsveis pela aplicao da
legislao de defesa do consumidor, JO2009L337.
177
178
179
180
A Recomendao do CdE relativa aos dados sobre emprego contm regras especficas
aplicveis proteo de dados no contexto das relaes de emprego.
A validade do consentimento, que tem de ser prestado livremente, como base legal do
tratamento de dados sobre os funcionrios poder ser questionvel, tendo em conta
o desequilbrio econmico existente entre o empregador e os funcionrios. As circunstncias em que o consentimento prestado devem ser cuidadosamente examinadas.
181
182
183
304 TEDH, acrdo Z. c. Finlndia de 25 de fevereiro de 1997, petio n.22009/93, n.s 94 e 112;
ver tambm TEDH, acrdo M.S. c. Sucia de 27deagostode1997, petio n.20837/92; TEDH,
acrdo L.L. c. Frana de 10 de outubro de 2006, petio n. 7508/02; TEDH, acrdo I. c. Finlndia
de 17dejulhode2008, petio n.20511/03; TEDH, acrdo K.H. e outros c. Eslovquia de
28deabrilde2009, petio n.32881/04; TEDH, acrdo Szuluk c. Reino Unido de 2dejunhode2009,
petio n.36936/05.
305 Ver tambm TEDH, acrdo Biriuk c. Litunia de 25denovembrode2008, petio n.23373/03.
184
A Recomendao do CdE sobre dados mdicos, de 1997 aplica os princpios da Conveno108 ao tratamento de dados no domnio mdico em maior detalhe.306 As
regras propostas esto em conformidade com as disposies da Diretiva de Proteo de Dados em matria de legitimidade das finalidades do tratamento de dados
mdicos, das necessrias obrigaes de segredo profissional das pessoas que utilizam dados sobre a sade, e dos direitos das pessoas em causa transparncia e
ao acesso, retificao e apagamento. Alm disso, os dados mdicos licitamente tratados por profissionais da sade no podem ser transferidos para as autoridades
policiais, a menos que estejam previstas garantias suficientes para prevenir a divulgao dos dados em violao do direito ao respeito pela vida privada garantido pelo
artigo8. da CEDH.307
Por seu lado, a Recomendao sobre dados mdicos contm disposies especiais
sobre os dados mdicos dos nascituros e dos incapazes e sobre o tratamento de
dados genticos. A investigao cientfica expressamente identificada como um
motivo legtimo de conservao dos dados por um perodo mais longo do que
aquele durante o qual so necessrios, embora, neste caso, seja normalmente exigida a sua anonimizao. O artigo12. da Recomendao sobre dados mdicos prope regras detalhadas para as situaes em que os investigadores necessitam de
dados pessoais e os dados anonimizados no so suficientes.
A pseudonimizao poder ser um meio adequado de satisfazer as necessidades
cientficas e proteger simultaneamente os interesses dos doentes em causa. O conceito de pseudonimizao no contexto da proteo de dados explicado de forma
mais detalhada na seco2.1.3.
Est em curso um debate intensivo ao nvel nacional e da UE sobre iniciativas
relativas ao armazenamento de dados sobre o tratamento mdico de um doente
num ficheiro eletrnico de sade.308 Um aspeto especial da existncia de sistemas
nacionais de ficheiros eletrnicos de sade a sua disponibilidade transfronteiria: um tpico de particular interesse na UE no contexto dos cuidados de sade
transfronteirios.309
306 CdE, Comit de Ministros (1997), Recommendation Rec(97)5 to member states on the protection of
medical data (Recomendao Rec(97)5 aos Estados membros sobre a proteo dos dados mdicos),
13defevereirode1997.
307 TEDH, acrdo Avilkina e outros c. Rssia de 6dejunhode2013, petio n. 1585/09, n.53 (no
definitivo).
308 Grupo de Trabalho do artigo29. (2007), Documento de trabalho sobre o tratamento de dados pessoais
ligados sade em registos de sade eletrnicos (RSE), WP131, Bruxelas, 15defevereirode2007.
309 Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9demarode2011, relativa ao
exerccio dos direitos dos doentes em matria de cuidados de sade transfronteirios, JO2011L88.
185
Os dados recolhidos para fins estatsticos no podem ser utilizados para qualquer outro
fim.
Os dados legitimamente recolhidos para qualquer fim podem ser tambm utilizados
para fins estatsticos, desde que o direito nacional estabelea garantias adequadas que
sejam respeitadas pelos utilizadores. Para este efeito, deve ser prevista, em especial,
a anonimizao ou pseudonimizao dos dados antes da transmisso para terceiros.
186
187
188
entrevistadores que recolham dados junto das pessoas em causa ou de outras pessoas tambm devem estar sujeitos a esta obrigao.
Se um inqurito estatstico que utilize dados pessoais no estiver previsto na lei,
as pessoas em causa tero de dar o seu consentimento para a utilizao dos seus
dados a fim de a legitimar ou, pelo menos, deveriam ter a oportunidade de se opor
a essa utilizao. Se forem recolhidos dados pessoais para fins estatsticos mediante
a realizao de entrevistas, os entrevistados devem ser claramente informados se a
divulgao dos dados ou no obrigatria nos termos do direito nacional. Os dados
sensveis devem ser recolhidos de modo a impedir a identificao da pessoa, salvo
se tal for expressamente permitido pelo direito nacional.
Se no for possvel realizar um inqurito estatstico sem dados anonimizados e
forem efetivamente necessrios dados pessoais, os dados recolhidos para este fim
devero ser anonimizados logo que possvel. Os resultados do inqurito estatstico
no podero, pelo menos, permitir a identificao das pessoas em causa, salvo se
tal no apresentar manifestamente qualquer risco.
Uma vez concluda a anlise estatstica, os dados pessoais utilizados devero ser
eliminados ou anonimizados. Neste caso, a Recomendao sobre dados estatsticos prope que os dados de identificao sejam conservados separadamente dos
outros dados pessoais. Isto significa, por exemplo, que os dados devero ser pseudonimizados e a chave de encriptao ou a lista com os sinnimos identificadores
deve ser conservada separadamente dos dados pseudonimizados.
necessrio incorporar mecanismos de proteo de dados nos sistemas de pagamento eletrnicos (a chamada privacidade desde a conceo).
189
317 TEDH, acrdo Michaud c. Frana de 6 de dezembro de 2012, petio n. 12323/11; ver tambm TEDH,
acrdo Niemietz c. Alemanha de 16dedezembrode1992, petio n.13710/88, n.29, e TEDH,
acrdo Halford c. Reino Unido de 25dejunhode1997, petio n.20605/92, n. 42.
318 CdE, Comit de Ministros (1990), Recommendation No.R(90)19 on the protection of personal data used
for payment and other related operations, 13desetembrode1990.
190
investimento.319 Outros instrumentos jurdicos apoiam o combate ao abuso de informao privilegiada e manipulao de mercado.320 As questes mais importantes
nestas reas com relevncia para a proteo de dados so:
a conservao de registos sobre transaes financeiras;
a transferncia de dados pessoais para pases terceiros;
a gravao de conversas telefnicas ou comunicaes eletrnicas, incluindo o
dever de fornecer s autoridades competentes registos telefnicos e do trfego
de dados;
a divulgao de informaes pessoais, incluindo a publicao de sanes;
os poderes de controlo e inqurito das autoridades competentes, incluindo a realizao de inspees in loco e o acesso a instalaes privadas para apreender
documentos;
os mecanismos de comunicao de violaes, ou seja, os sistemas de denncia;
e
a cooperao entre as autoridades competentes dos Estados-Membros e a
Autoridade Europeia dos Valores Mobilirios e dos Mercados (ESMA).
319 Comisso Europeia (2011), Proposta de Diretiva do Parlamento Europeu e do Conselho relativa aos
mercados de instrumentos financeiros, que revoga a Diretiva 2004/39/CE do Parlamento Europeu
e do Conselho, COM(2011)656final, Bruxelas, 20deoutubrode2011; Comisso Europeia (2011),
Proposta de Regulamento do Parlamento Europeu e do Conselho relativo aos mercados de instrumentos
financeiros, que altera o Regulamento [EMIR] relativo aos derivados OTC, s contrapartes centrais e aos
repositrios de transaes, COM(2011)652final, Bruxelas, 20deoutubrode2011; Comisso Europeia
(2011), Proposta de Diretiva do Parlamento Europeu e do Conselho relativa ao acesso atividade das
instituies de crdito e superviso prudencial das instituies de crdito e empresas de investimento
e que altera a Diretiva2002/87/CE do Parlamento Europeu e do Conselho relativa superviso
complementar de instituies de crdito, empresas de seguros e empresas de investimento de um
conglomerado financeiro, COM(2011)453final, Bruxelas, 20dejulhode2011.
320 Comisso Europeia (2011), Proposta de Regulamento do Parlamento Europeu e do Conselho
relativo ao abuso de informao privilegiada e manipulao de mercado (abuso de mercado),
COM(2011)651final, Bruxelas, 20deoutubrode2011; Comisso Europeia (2011), Proposta de Diretiva
do Parlamento Europeu e do Conselho relativa s sanes penais aplicveis ao abuso de informao
privilegiada e manipulao de mercado (abuso de mercado), COM(2011)654final, Bruxelas,
20deoutubrode2011.
191
192
Leitura complementar
Captulo
Araceli Mangas, M. (ed.) (2008), Carta de los derechos fundamentales de la Unin
Europea, Bilbau, Fundacin BBVA.
Berka, W. (2012), Das Grundrecht auf Datenschutz im Spannungsfeld zwischen
Freiheit und Sicherheit, Viena, Manzsche Verlags- und Universittsbuchhandlung.
EDRi, An introduction to data protection, Bruxelas, disponvel em: www.edri.org/
files/paper06_datap.pdf.
Frowein, J. E Peukert, W. (2009), Europische Menschenrechtskonvention, Berlim,
N.P. Engel Verlag.
Grabenwarter, C. e Pabel,K. (2012), Europische Menschenrechtskonvention, Munique, C.H. Beck.
Harris, D., OBoyle,M., Warbrick,C. e Bates,E. (2009), Law of the European Convention on Human Rights, Oxford, Oxford UniversityPress.
Jarass, H. (2010), Charta der Grundrechte der Europischen Union, Munique, C.H.
Beck.
Mayer, J. (2011), Charta der Grundrechte der Europischen Union, Baden-Baden,
Nomos.
193
Captulo 2
Carey, P. (2009), Data protection: A practical guide to UK and EU law, Oxford, Oxford
University Press.
Delgado, L. (2008), Vida privada y proteccin de datos en la Unin Europea, Madrid,
Dykinson S.L.
Desgens-Pasanau,G. (2012), La protection des donnes caractre personnel, Paris,
LexisNexis.
Di Martino, A. (2005), Datenschutz im europischen Recht, Baden-Baden, Nomos.
Gabinete do Comissrio para a Informao do Reino Unido (2012), Anonymisation:
managing data protection risk. Code of practice, disponvel em: www.ico.org.uk/
for_organisations/data_protection/topic_guides/anonymisation.
Morgan, R. e Boardman,R. (2012), Data protection strategy: Implementing data protection compliance, Londres, Sweet & Maxwell.
194
Leitura complementar
Captulos 3 a 5
Autoridade de Proteo de Dados do Reino Unido, Privacy Impact Assessment, disponvel em: www.ico.org.uk/for_organisations/data_protection/topic_guides/
privacy_impact_assessment.
Brhann,U. (2012), Richtlinie 95/46/EG zum Schutz natrlicher Personen bei der
Verarbeitung personenbezogener Daten und zum freien Datenverkehr in: Grabitz,
E., Hilf, M. e Nettesheim, M. (eds.), Das Recht der Europischen Union, BandIV, A.30,
Munique, C.H. Beck.
Conde Ortiz,C. (2008), La proteccin de datos personales, Cdis, Dykinson.
Coudray, L. (2010), La protection des donnes personnelles dans lUnion europenne, Saarbrcken, ditions universitaires europennes.
Dammann, U. e Simitis,S. (1997), EG-Datenschutzrichtlinie, Baden-Baden, Nomos.
FRA (Agncia dos Direitos Fundamentais da Unio Europeia) (2010), Data Protection
in the European Union: the role of National Data Protection Authorities (Strengthen
ing the fundamental rights architecture in the EUII), Luxemburgo, Servio de Publicaes da Unio Europeia (Servio de Publicaes).
FRA (2010), Developing indicators for the protection, respect and promotion of the
rights of the child in the European Union (edio para a Conferncia), Viena, FRA.
FRA (2011), Access to justice in Europe: an overview of challenges and opportunities,
Luxemburgo, Servio de Publicaes.
Simitis, S. (2011), Bundesdatenschutzgesetz, Baden-Baden, Nomos.
195
Captulo 6
Gutwirth, S., Poullet,Y., De Hert,P., De Terwangne,C. e Nouwt,S. (2009), Reinventing data protection?, Berlim, Springer.
Kuner, C. (2007), European data protection law, Oxford, Oxford University Press.
Kuner, C. (2013), Transborder data flow regulation and data privacy law, Oxford,
Oxford University Press.
Captulo 7
Europol (2012), Data Protection at Europol, Luxemburgo, Servio de Publicaes, disponvel em: www.europol.europa.eu/sites/default/files/publications/europol_dpo_
booklet_0.pdf.
Eurojust, Data protection at Eurojust: A robust, effective and tailor-made regime, a
Haia, Eurojust.
Drewer, D., Ellermann,J. (2012), Europols data protection framework as an asset in
the fight against cybercrime, ERA Forum, vol.13, n.3, p.381395.
Gutwirth, S., Poullet,Y. e De Hert,P. (2010), Data protection in a profiled world, Dordrecht, Springer.
Gutwirth, S., Poullet,Y., De Hert,P. e Leenes,R. (2011), Computers, privacy and data
protection: An element of choice, Dordrecht, Springer.
Konstadinides, T. (2011), Destroying democracy on the ground of defending it? The
Data Retention Directive, the surveillance state and our constitutional ecosystem,
European Law Review, vol.36, n.5, p.722776.
Santos Vara, J. (2013), The role of the European Parliament in the conclusion of the
Transatlantic Agreements on the transfer of personal data after Lisbon, Centre for
the Law of External Relations, CLEER Working Papers 2013/2, disponvel em: www.
asser.nl/upload/documents/20130226T013310-cleer_13-2_web.pdf.
196
Leitura complementar
Captulo 8
Bllesbach, A., Gijrath,S., Poullet,Y. e Hacon,R. (2010), Concise European IT law,
Amesterdo, Kluwer Law International.
Gutwirth, S., Leenes,R., De Hert,P. e Poullet,Y. (2012), European data protection: In
good health?, Dordrecht, Springer.
Gutwirth, S., Poullet,Y. e De Hert,P. (2010), Data protection in a profiled world, Dordrecht, Springer.
Gutwirth, S., Poullet,Y., De Hert,P. e Leenes,R. (2011), Computers, privacy and data
protection: An element of choice, Dordrecht, Springer.
Konstadinides, T. (2011), Destroying democracy on the ground of defending it? The
Data Retention Directive, the surveillance state and our constitutional ecosystem,
European Law Review, vol.36, n.5, p.722776.
Rosemary, J. e Hamilton,A. (2012), Data protection law and practice, Londres, Sweet
& Maxwell.
197
Jurisprudncia
Jurisprudncia selecionada do Tribunal Europeu
dos Direitos do Homem
Acesso a dados pessoais
Acrdo Gaskin c. Reino Unido de 7 de junho de 1989, petio n. 10454/83
Acrdo Godelli c. Itlia de 25 de setembro de 2012, petio n.33783/09
Acrdo K.H. e outros c. Eslovquia de 28 de abril de 2009, petio n.32881/04
Acrdo Leander c. Sucia de 26 de maro de 1987, petio n.9248/81
Acrdo Odivre c. Frana [GS] de 13 de fevereiro de 2003, petio n.42326/98
Conciliao da proteo de dados com a liberdade de expresso
Acrdo Axel Springer AG c. Alemanha [GS] de 7 de fevereiro de 2012, petio
n.39954/08
Acrdo Von Hannover c. Alemanha de 24 de junho de 2004, petio n.59320/00
Acrdo Von Hannover c. Alemanha (n.2) [GS] de 7 de fevereiro de 2012, peties
n.s40660/08 e 60641/08
Desafios na proteo de dados na Internet
Acrdo K.U. c. Finlndia de 2 de dezembro de 2008, petio n.2872/02
Correspondncia
Acrdo Amann c. Sua [GS] de 16 de fevereiro de 2000, petio n.27798/95
199
Acrdo Bernh Larsen Holding AS e outros c. Noruega de 14 de maro de 2013, petio n.24117/08
Acrdo Cemalettin Canli c. Turquia de 18 de novembro de 2008, petio
n.22427/04
Acrdo Dalea c. Frana de 2 de fevereiro de 2010, petio n.964/07
Acrdo Gaskin c. Reino Unido de 7 de junho de 1989, petio n. 10454/83
Acrdo Haralambie c. Romnia de 27 de outubro de 2009, petio n.21737/03
Acrdo Khelili c. Sua de 18 de outubro de 2011, petio n.16188/07
Acrdo Leander c. Sucia de 26 de maro de 1987, petio n.9248/81
Acrdo Malone c. Reino Unido de 2 de agosto de 1984, petio n. 8691/79
Acrdo McMichael c. Reino Unido de 24 de fevereiro de 1995, petio n. 16424/90
Acrdo M. G. c. Reino Unido de 24 de setembro de 2002, petio n. 39393/98
Acrdo Rotaru c. Romnia [GS] de 4 de maio de 2000, petio n.28341/95
Acrdo S. e Marper c. Reino Unido de 4 de dezembro de 2008, peties
n.s30562/04 e 30566/04
Acrdo Shimovolos c. Rssia de 21 de junho de 2011, petio n.30194/09
Acrdo Turek c. Eslovquia de 14 de fevereiro de 2006, petio n.57986/00
Bases de dados de registos criminais
Acrdo B.B. c. Frana de 17 de dezembro de 2009, petio n.5335/06
Acrdo M.M. c. Reino Unido de 13 de novembro de 2012, petio n. 24029/07
Bases de dados de ADN
Acrdo S. e Marper c. Reino Unido de 4 de dezembro de 2008, peties
n.s30562/04 e 30566/04
Dados GPS
Acrdo Uzun c. Alemanha de 2 de setembro de 2010, petio n.35623/05
Dados sobre a sade
Acrdo Biriuk c. Litunia de 25 de novembro de 2008, petio n.23373/03
Acrdo I. c. Finlndia de 17 de julho de 2008, petio n.20511/03
Acrdo L.L. c. Frana de 10 de outubro de 2006, petio n.7508/02
Acrdo M.S. c. Sucia de 2 de julho de 2002, petio n.34209/96
Acrdo Szuluk c. Reino Unido de 2 de junho de 2009, petio n. 36936/05
Acrdo Z. c. Finlndia de 25 de fevereiro de 1997, petio n.22009/93
200
Jurisprudncia
Identidade
Acrdo Ciubotaru c. Moldvia de 27 de abril de 2010, petio n. 27138/04
Acrdo Godelli c. Itlia de 25 de setembro de 2012, petio n.33783/09
Acrdo Odivre c. Frana [GS] de 13 de fevereiro de 2003, petio n.42326/98
Informaes sobre atividades profissionais
Acrdo Michaud c. Frana de 6 de dezembro de 2012, petio n.12323/11
Acrdo Niemietz c. Alemanha de 16 de dezembro de 1992, petio n.13710/88
Interceo das comunicaes
Acrdo Amann c. Sua [GS] de 16 de fevereiro de 2000, petio n.27798/95
Acrdo Copland c. Reino Unido de 3 de abril de 2007, petio n.62617/00
Acrdo Cotlet c. Romnia de 3 de junho de 2003, petio n.38565/97
Acrdo Kruslin c. Frana de 24 de abril de 1990, petio n.11801/85
Acrdo Lambert c. Frana de 24 de agosto de 1998, petio n.23618/94
Acrdo Liberty e outros c. Reino Unido de 1 de julho de 2008, petio n.58243/00
Acrdo Malone c. Reino Unido de 2 de agosto de 1984, petio n. 8691/79
Acrdo Halford c. Reino Unido de 25 de junho de 1997, petio n. 20605/92
Acrdo Szuluk c. Reino Unido de 2 de junho de 2009, petio n. 36936/05
Obrigaes dos responsveis pela proteo dos direitos humanos
Acrdo B.B. c. Frana de 17 de dezembro de 2009, petio n.5335/06
Acrdo I. c. Finlndia de 17 de julho de 2008, petio n.20511/03
Acrdo Mosley c. Reino Unido de 10 de maio de 2011, petio n. 48009/08
Fotografias
Acrdo Sciacca c. Itlia de 11 de janeiro de 2005, petio n.50774/99
Acrdo Von Hannover c. Alemanha de 24 de junho de 2004, petio n.59320/00
Direito a ser esquecido
Acrdo Segerstedt-Wiberg e outros c. Sucia de 6 de junho de 2006, petio
n.62332/00
Direito de oposio
Acrdo Leander c. Sucia de 26 de maro de 1987, petio n.9248/81
201
202
Jurisprudncia
Amostras de voz
Acrdo P.G. e J.H. c. Reino Unido de 25 de setembro de 2001, petio n. 44787/98
Acrdo Wisse c. Frana de 20 de dezembro de 2005, petio n.71611/01
203
204
Jurisprudncia
205
Lista de processos
Jurisprudncia do Tribunal de Justia da Unio Europeia
Asociacin Nacional de Establecimientos Financieros de Crdito
(ASNEF) e Federacin de Comercio Electrnico y Marketing
Directo (FECEMD)/Administracin del Estado, nos processos
apensos C-468/10 e C-469/10,
24 de novembro de 2011.......................................................18, 23, 83, 86, 90, 91, 204
Bodil Lindqvist, P. C-101/01,
6 de novembro de 2003...................................................35, 36, 45, 48, 52, 100, 137, 138, 203
College van burgemeester en wethouders van Rotterdam/M.E.E.
Rijkeboer, P. C-553/07, 7 de maio de 2009...............................................109, 115, 205
Comisso Europeia/Hungria, P. C-288/12, 8 de abril de 2012....................110, 126, 204
Comisso Europeia/Reino da Sucia, P. C-270/11, 30 de maio de 2013.................... 203
Comisso Europeia/Repblica da ustria, P. C-614/10,
16 de outubro de 2012....................................................................................110, 125, 205
Comisso Europeia/Repblica Federal da Alemanha, P. C-518/07,
9 de maro de 2010.........................................................................................110, 124, 204
Comisso Europeia/The Bavarian Lager Co. Ltd, P. C28/08P,
29 de junho de 2010...................................................................13, 28, 30, 111, 134, 205
Deutsche Telekom AG/Bundesrepublik Deutschland, P. C-543/09,
5 de maio de 2011................................................................................................ 36, 63, 205
Digital Rights Ireland e Seitling and Outro, nos processos apensos
C-293/12 e C594/12, 8 de abril de 2014 .................................................. 133, 180, 204
207
208
Lista de processos
209
210
Lista de processos
211
212
10.2811/73790
TK-01-13-772-PT-C