Categories
Direito Direito do Trabalho Direito Europeu

Os Emails de Trabalhadores – algumas notas sobre o controlo do Empregador

O direito à privacidade é um corolário da dignidade da pessoa humana.

 

Começaremos, da nossa parte, por referir que competirá sempre à entidade empregadora demonstrar (e provar) que qualquer operação de escrutínio e eventual utilização de e-mails (dados de tráfego dos mesmos e, bem assim, documentos anexos àqueles primeiros) do trabalhador, foram realizadas (ou obtidas) de forma lícita e regular (e, até, que tal prova é, em si mesma, lícita[1]).

Nunca é demais relembrar que a dignidade da pessoa humana é o bastião da nossa Lei Fundamental, da D.U.D.H., da C.E.D.H.

Considerem-se, ab initio, os artigos 26.º, n.º 1, 32.º, n.º 8, 34.º, nrs.º 1 e 4 e 35.º, n.º 8, todos da Constituição da República Portuguesa. Bem assim, os artigos 12.º e 8.º, da D.U.D.H. e da C.E.D.H, respectivamente. E, por fim, os artigos 16.º, 17.º, 21.º e 22.º do C.T., os artigos 80.º e outros decorrentes do artigo 70.º do C.C. e o artigo 4.º, entre outros, da Lei 41/2004 e suas sucessivas alterações.

E, fosse parco o que acabou de se invocar, veja-se, ainda, o próprio R.G.P.D.

Os preceitos legais evocados determinam, enquanto Direitos Fundamentais, o direito à reserva da vida privada e à protecção da correspondência e comunicações dos cidadãos.

Estribando-se, desde já, o conceito de correspondência, diremos que este abrange, na esteira da melhor Jurisprudência Nacional e Comunitária[2], as mensagens de correio electrónico, sendo tal orientação pacífica (tanto jurisprudencial, como doutrinalmente).

“O e-mail, enquanto processo de comunicação, é perfeitamente assimilável aos outros tipos de comunicação clássicos, com a única diferença que é um pouco mais vulnerável. As mensagens electrónicas transmitem-se por um canal fechado de comunicação, pressupondo por parte dos intervenientes uma razoável expectativa de segredo. Deve, desta forma, estar protegido pelo direito ao sigilo das comunicações e a facilidade técnica para a sua intercepção não o extingue, pois a garantia jurídica deste sigilo é independente da garantia técnica do segredo.

A vulneração das comunicações, para além de supor a lesão de um direito fundamental, gera um clima de insegurança, que tem uma repercussão directa tanto na dignidade da pessoa como no livre desenvolvimento da sua personalidade.

O artigo 34.º da CRP aplica-se ao e-mail, sendo que se trata de um direito inviolável, existindo uma proibição de ingerência nos meios de comunicação. A garantia prevista legalmente é bastante ampla porque se proíbe toda a intromissão, abrangendo quer a liberdade de envio e de recepção de correspondência, assim como a proibição de retenção ou de apreensão e, ainda, a interferência telefónica ou através de outra forma. Tudo isto implica o direito a que ninguém as viole ou as devasse, no sentido de que a tomada de conhecimento não autorizado do conteúdo da correspondência é, em si própria, ilícita. A lei vai mais além e proíbe a sua divulgação, estabelecendo o direito de que terceiros que a elas tenham acesso as não divulguem.

A protecção que é dada por lei a este direito é formal na medida em que o sigilo impende sobre a comunicação, independentemente do seu conteúdo ser privado ou não. A protecção prevista neste artigo abrange não só o conteúdo da comunicação como o seu tráfego e engloba também os anexos dos e-mails.[3]

Ou, nas palavras de outra Ilustre Autora:

“Considerando o conceito amplo empregue pelo legislador, incluir-se-ão nesta norma [artigo 22.º do C.T.] designadamente o correio electrónico (…) Autorizada que tenha sido a utilização para fins pessoais (ou não tendo esta sido interdita), está vedado à entidade empregadora inteirar-se ou difundir o conteúdo das mensagens de natureza pessoal ou os acessos levados a cabo pelo trabalhador com carácter extra profissional (o que significa, também, que ainda que o empregador tenha, por qualquer motivo, acesso a tal conteúdo, não o poderá fazer valer contra o trabalhador, v.g. em sede de procedimento disciplinar (…).[4]

Assim norteados e enquanto ponto de partida, deverá a entidade empregadora dispor de uma política de utilização de correio electrónico por parte dos seus trabalhadores. Ou seja, para que tal controlo possa existir, impõe-se, desde logo, que exista um qualquer regulamento, carta de boa conduta, circular, ou qualquer tipo de instrução que restrinja ou regule, seja de que forma for, a utilização de correio electrónico.

Em suma – e sem prejuízo da diferenciação a que nos proporemos infra sobre emails pessoais e profissionais:

 

Para que a entidade empregadora possa controlar o correio electrónico dos seus trabalhadores é mister que, previamente, tenha definido regras claras sobre a sua utilização e o modo de operar a correspondente fiscalização.

 

“No caso de não existir uma política clara sobre a utilização destes meios (…) parece-nos que o e-mail estará protegido pelo direito ao sigilo das comunicações gozando, em princípio, da inviolabilidade. O empregador não pode aceder ao mesmo, nem aos ficheiros dos trabalhadores de forma indiscriminada nem com fins preventivos para controlar ou assegurar o seu bom uso. Se o fizer estará a violar os artigos 34.º da CRP e 22.º do CT.” [5]

Acompanhando a Ilustre Autora, para que possa existir uma tal fiscalização, ou controlo é míster que, aprioristicamente, exista “uma política clara acerca da utilização destes meios com o estabelecimento de limites proporcionais e de acordo com o princípio da boa-fé que os trabalhadores conhecem, respeitando-se assim os princípios da informação e publicidade”.[6]

É que, relembrando, estamos no campo de Direitos Fundamentais, nomeadamente Direitos, Liberdades e Garantias, cujo estrito respeito se impõe, directamente, a todas as entidades, públicas ou privadas, por força do artigo 18.º da C.R.P.

Ora, a compressão de tais direitos, além de apresentar carácter absolutamente excepcional, importa a verificação de determinados pressupostos.

Nesta sequência, somos, também, da opinião que deverá existir uma distinção clara entre o que sejam:

  1. Mensagens de correio electrónico profissionais;
  2. Mensagens de correio electrónico pessoais (ou extra-profissionais)
  3. Contas de correio electrónico profissionais;
  4. Contas de correio electrónico pessoais (ou extra-profissionais);
  5. Dados de tráfego.

Está vedada, na nossa modesta opinião, qualquer fiscalização ou controlo, por parte da empregadora, do teor das mensagens, ou contas, de correio electrónico de carácter pessoal.

Apenas poderá ser de admitir o eventual controlo de parte dos dados de tráfego de contas ou mensagens de correio electrónico pessoais se o envio das mesmas for proibida no seio da entidade empregadora.

Repare-se que, neste conspecto, não estará a entidade empregadora legitimada à fiscalização do teor da mensagem ou anexos, outrossim a perceber se, de facto e através dos dados de tráfego, o trabalhador utilizou activamente, ou não, contas de email pessoais, no seio da empresa, com os meios do empregador e durante o seu horário de expediente. Ou, ainda, se anexou num email profissional um tipo de ficheiro proibido (que poderá ser descortinado pela extensão do documento digital sem recorrer à sua leitura: “.jpeg” por exemplo, no caso das imagens).

Prosseguindo: “(…) a doutrina é consensual na afirmação de que o empregador jamais poderá utilizar as possibilidades de controlo que as novas tecnologias lhe oferecem sem respeitar os princípios da lealdade, transparência, pertinência e proporcionalidade. (…) É maioritariamente defendido que o procedimento de controlo deve ser adoptado na presença do trabalhador visado e, de preferência, com intervenção de um representante da comissão de trabalhadores (…)” [7]

Prima facie, exige-se que a entidade empregadora adeque o seu comportamento (de controlo/fiscalização) por referência aos ditames da boa-fé (e boa-fé, no seu sentido mais amplo). A qual se estriba (entre o mais infra abordado) nos princípios de publicidade, informação, lealdade e transparência, todos eles previstos, inclusivamente, no R.G.P.D.

Destes decorre a obrigação da entidade empregadora, num primeiro momento, criar regras específicas e claras sobre a utilização das contas de correio electrónico, definindo quais as actividades permitidas e quais as proibidas, qual o tempo de permanência em rede admitido, quais os tipos de anexos permitidos, entre tantas outras que entenda, de acordo com as concretas circunstâncias, adequadas à salutar utilização daqueles meios. E, acrescenta-se, devem tais regras obedecer ao princípio da proporcionalidade, latu senso: necessidade, adequação e proporcionalidade em sentido estrito.

A par desta concretização, que institui o trabalhador no necessário conhecimento das condutas permitidas e proibidas (ao utilizar tais meios), devem ser definidas regras precisas sobre a possibilidade de fiscalização e, bem assim, o modo da mesma operar:

 

Quando? Em que termos? Por que meios? Para que fim? E quais as formalidades a observar?

 

Novamente, há que considerar aqui o referido princípio da proporcionalidade no estabelecimento de tal possibilidade e modo de a concretizar, sob pena de perigarmos (ou até violarmos), também por esta via, aqueles Direitos Fundamentais.

Só assim estará a entidade empregadora instituída no direito de controlar as mensagens de correio electrónico (isto, claro, dentro de outros apertados limites que abordaremos infra por oportunidade de exposição). Assim não acontecendo, qualquer controlo (seja de contas profissionais, seja de contas pessoais, seja de dados de tráfego) é ilícito, porque violador de preceitos constitucionais imperativos e inderrogáveis.

A este passo, não podemos deixar de salientar que, com o R.G.P.D. tal exigência vê-se reforçada, por via dos direitos (e deveres) aí consagrados, parecendo-nos que tais comunicações configuram, para os efeitos ali previstos e de forma tendencial, dados pessoais.[8]

Repare-se, en passant, na Secção 1 do Capítulo Terceiro do R.G.P.D., em especial nos artigos 12.º a 14.º.

Compreende-se que, quaisquer controlo ou utilização de emails dos trabalhadores (que contenham informações sobre uma pessoa identificada ou identificável) devem cumprir requisitos estreitos de transparência e informação ao titular dos dados (in casu, os trabalhadores).

Por outro lado, não basta que tal política seja implementada para que, qual passo de mágica, esteja a entidade empregadora instituída no direito de fiscalizar, controlar e utilizar tais emails: “Defende-se que o controlo destes e-mails reveste particular acuidade e parece que nestes casos, o acesso ao e-mail deve ser a última instância a ser utilizada pelo empregador, sendo que este acesso deve ser realizado na presença do trabalhador e de um seu representante (a não ser que o dispense). O acesso deve limitar-se à visualização do assunto, à data e hora do envio, podendo o trabalhador qualificar certos e-mails como pessoais, ficando o empregador inibido de os ler. Assim, a intervenção nos e-mails dos trabalhadores só poderá ser legítima quando for necessária e proporcionada (…). Se existirem medidas menos intrusivas, o empregador deve recorrer às mesmas, sendo que a medida deve ser ponderada no sentido de que a intercepção se limite ao menor número de mensagens possível e se circunscreva temporalmente.” [9]

Ora, o controlo realizado a tais comunicações deverá, assim, ser feito na presença e com o consentimento do trabalhador. Comportamento diverso poderá redundar em inconstitucionalidade, podendo determinar que se sonegue ao trabalhador a possibilidade, ou melhor o direito de indicar à sua entidade empregadora quais os emails pessoais (ou extra profissionais) e quais os de cariz profissional (antes mesmos destes serem lidos), acautelando uma intromissão injustificada em assuntos de índole pessoal e privada. Tal presença permite, inclusivamente, que o trabalhador afira da própria consulta e dos seus intentos, evitando que a mesma seja aleatória e indiscriminada, outrossim que se cinja a um objectivo concreto, previamente definido e balizado.

É que, aqui chegados, importa atentar noutra exigência para a visualização e fiscalização das comunicações (seja do seu conteúdo, seja dos seus dados de tráfego). As mesmas, além de constituírem uma ultima ratio, devem reportar-se a um objectivo previamente definido, a ele se restringindo.

Esse objectivo, que poderá, por exemplo, ser definido nas tão em voga “Políticas de Privacidade”, tem de ser determinado e claro.

 

A fiscalização, ou visualização de emails do trabalhador será sempre um meio e não um fim em si mesmo.

 

Concomitante, esse meio terá de respeitar a intenção previamente firmada e nunca ser concretizado postumamente. O que significa que esse fim não pode ser definido a posteriori, consoante aquilo que vier a resultar da visualização de tais emails.

Isto é, se, por exemplo, o fito da fiscalização perceber o tempo de permanência em rede, não poderá (depois de realizada) ver a sua finalidade expandida, passando a abarcar o envio de anexos não permitidos (que, em consequência daquela, se verificou ter acontecido).

A finalidade do controlo é, assim, pedra de toque nestes casos. Estas disposições valem, em toda a sua amplitude e de forma plena, no âmbito do controlo das comunicações por parte do empregador, não podendo, por conseguinte, ser postergadas.

“(…) o empregador não pode controlar tudo e a todo o momento porque há que ter em atenção a Lei da Protecção de Dados Pessoais, nomeadamente o princípio da finalidade e da compatibilidade com a finalidade declarada, e todos os princípios que devem ser seguidos em relação ao poder de controlo electrónico do empregador, principalmente o princípio da proporcionalidade.

(…) este tipo de controlo não pode ser permanente, devendo respeitar o princípio da proporcionalidade. Assim, e em princípio, a abertura destes e-mails deve ser excepcional, devendo ocorrer na presença do trabalhador (…)

É, assim, necessária a presença de uma razão objectiva para o exercício do poder de controlo do empregador, não podendo realizar-se controlos arbitrários, indiscriminados, ou exaustivos dos e-mails dos trabalhadores. Se tal ocorre, este controlo é ilícito porque viola os princípios que têm de estar presentes aquando da adopção de medidas de controlo: princípio da proporcionalidade, da transparência e da boa fé.

Por outro lado, o empregador tem de respeitar o princípio da adequação, não tomando conhecimento superior ao necessário e recorrendo às técnicas menos intrusivas, de acordo com o princípio da proporcionalidade.”  [10] 

“(…) a doutrina é praticamente unânime na afirmação de que é ilícito o controlo permanente das mensagens por parte do empregador”.[11]

 

Este controlo por parte da entidade empregadora, além de não poder ser arbitrário, deve, atento o princípio da proporcionalidade em sentido lato, ser restrito ao mínimo necessário e adequado à prossecução do fim que visa alcançar.

 

O mesmo será dizer que não poderá, destarte, ser exaustiva.

A corroborar o que se vem aqui expondo, veja-se, a nível comunitário, a Recomendação CM/Rec (2015) 5, de 1 de Abril de 2015:

“14.3. O acesso, por parte dos empregadores, às mensagens electrónicas profissionais dos seus funcionários, que hajam sido, previamente, informados de tal possibilidade, pode ocorrer, quando necessário, por questões de segurança ou outras razões legítimas. No caso de funcionários ausentes, os empregadores devem adoptar todas as medidas necessárias e implementar os procedimentos apropriados tendo em vista garantir o acesso a mensagens electrónicas profissionais, apenas quando tal acesso é necessário por motivos profissionais. O acesso deve ocorrer da forma menos intrusiva possível e apenas depois do funcionário a quem respeita ter sido informado.

14.4. O conteúdo, enviado ou recebido, de comunicações electrónicas privadas no trabalho não pode ser monitorizado em qualquer circunstância” – tradução livre. [12]

Ademais, ainda que estivessem estabelecidas as ditas regras de utilização do correio electrónico, o acesso, abertura e divulgação do conteúdo de mensagens de carácter pessoal deviam obedecer àquelas que teriam, por seu lado, de ser bem claras e restritas, tal como defende a Deliberação 1638/2013 da Comissão Nacional da Protecção de Dados: “sejam quais forem as regras definidas pela empresa para a utilização do correio electrónico para fins privados, o empregador não tem o direito de abrir, automaticamente, o correio electrónico dirigido ao trabalhador. Não é o facto de certas mensagens ficarem gravadas em servidores da propriedade do empregador que lhe dá o direito de aceder àquelas mensagens, as quais não perdem a sua natureza pessoal ou confidencial, mesmo quando esteja em causa investigar e provar uma eventual infracção disciplinar.”

Conquanto, o trabalhador tem o direito de confiar que as comunicações, ainda que gravados no computador ou no servidor da empregadora, não vão ser utilizados para fins que desconhece, designadamente, para fins disciplinares, tanto mais se nenhuma regulamentação existir quanto à mesma.

No mesmo sentido daquilo que se vem expondo, a supra aludida Deliberação da CNPD determina que “a subordinação jurídica no âmbito da relação laboral, quando confrontada com a utilização das tecnologias e com o tratamento dos dados pessoais do trabalhador, deve ser adequada às exigências legais atinentes ao regime de protecção de dados, assumindo particular relevância, nomeadamente, os princípios do fim, da adequação, da necessidade, da proporcionalidade, da transparência e da boa-fé, bem como os direitos de informação, acesso e oposição.

 

E repare-se, por fim, que o controlo por parte do empregador – mesmo quando seja devidamente balizado em disposições regulamentares internas – encontra-se sujeito às normas aplicáveis à Protecção de Dados.

 

Deste modo, sempre representaria fraude à Lei um determinado empregador abster-se de regulamentar e definir as regras de controlo de tais dados, para, depois, se valer de tal omissão e controlar indiscriminadamente os mesmos.

Atento o disposto nos arts. 3.º, als. a) e b), 4.º n.º 4 e 27.º, todos da Lei da Protecção de Dados Pessoais, o controlo, pelo empregador, das comunicações efectuadas por correio electrónico (…) deverá ser notificado previamente à Comissão Nacional de Protecção de Dados, devendo ser observados os princípios que constam daquele diploma, designadamente deve ser informado o trabalhador da existência de tratamento, das suas finalidades, da existência de controlo, do grau de tolerância admitido e das consequências da má utilização ou utilização indevida dos meios de comunicação colocados à sua disposição”.[13]

Por seu turno, determina, a título meramente exemplificativo, o R.G.P.D. que qualquer operação de tratamento de dados (entre as quais, recolha, conservação, utilização) deverá respeitar princípios como os da minimização, da protecção de dados pessoais por defeito e desde a concepção e da necessidade (necessidade de conhecer).

Em termos absolutos, sempre se dirá que: “a protecção (…) abrange não só o conteúdo da comunicação como o seu tráfego, tal como a espécie, a hora, a duração, os intervenientes, e a intensidade da utilização, isto é, determinados elementos externos[14].

Nesta linha, os dados de tráfego gozam de protecção indistintamente, sejam, ou não, dados de tráfego de contas pessoais, ou de contas profissionais.

Aliás, o Acórdão n.º 241/02 de 29 de Maio, do Tribunal Constitucional, que considerou que a protecção da Lei Fundamental se estende não apenas às comunicações, outrossim engloba, também, os dados de tráfego – pese embora tal Acórdão verse sobre comunicações telefónicas, certo é que, mutatis mutandis, é aplicável ao que vimos expondo.

Acórdão este que encontra paralelo na Jurisprudência do T.E.D.H. (caso Malone), que entendeu que o simples registo de números de telefone, por reporte às chamadas realizadas, constitui uma ingerência ilegítima na privacidade das pessoas, incluindo em especial o destinatário da chamada, na medida em que o direito ao segredo das comunicações abrange estes dados. O que, mais uma vez com a necessária ponderação e adequação, vale, também, para as mensagens de correio electrónico.

E, mesmo que assim não fosse, sempre haveria de ser realizada uma distinção entre os dados de tráfego dos emails pessoais e das contas profissionais.

É que, os dados de tráfego dos emails pessoais não podem, por qualquer maneira, ser controlados, fiscalizados, ou visualizados pela entidade empregadora, porquanto não lhe respeitam, nem com ela têm qualquer ligação.

“Nestes casos [de mensagens pessoais] as mensagens estão protegidas pelo direito ao sigilo das comunicações nos termos constitucionais e também pelo artigo 22.º do CT, sendo, assim, invioláveis. O empregador não pode controlar o conteúdo destas mensagens nem mesmo em situações excepcionais em que há suspeitas de abuso. Qualquer acto de intercepção da comunicação contida nesta parte da caixa postal constituirá uma violação dos preceitos referidos anteriormente, sendo que a prova obtida será considerada nos termos do artigo 32.º, n.º 8, da CRP. E isto independentemente do conteúdo revestir carácter privado ou não já que a tutela constitucional é realizada em termos objectivos, independentemente do conteúdo.” [15]

Por outro lado, mesmo considerando que os dados de tráfego dos emails profissionais possam, dentro de determinadas regras, ser controlados, não seriam, de todo em todo, quaisquer tipos de dados de tráfego que o poderiam ser.

Sempre importaria excluir-se a possibilidade de nesses referidos dados de tráfego admissíveis, ser incluído o destinatário das comunicações: “sustenta-se (…) que não deve ser possível (…) o controlo dos destinatários dos e-mails na medida em que se trata de um terceiro e de dados pessoais deste, além de que este pode até desconhecer qual a política de e-mail da empresa.” [16]

Sumariando, lapidarmente, as principais questões que aqui fomos abordando, permitimo-nos lançar mão de palavras, certamente, mais sábias que as nossas:

“A recolha e tratamento de dados relativos a correio eletrónico (emails, anexos e dados de tráfego) está sujeita à tutela da Lei 67/98, bem como da Lei 41/2004.

O conteúdo dos emails enviados ou rececionados pelo trabalhador, quer de conta de correio pessoal, quer de conta de correio profissional que tenham natureza pessoal/extraprofissional, estão abrangidos pela tutela dos direitos à privacidade e à confidencialidade das mensagens conferida pela CRP e pelo CT/2009.

Sendo disponibilizado ao trabalhador conta de correio eletrónico profissional, mas sem definição de regras quanto à sua utilização, mormente sem que seja proibida a sua utilização para efeitos pessoais (arts. 22º, nº 2, e 106º, nº 1, do CT/2009), não pode o empregador aceder ao conteúdo dos emails, e dos seus anexos, enviados ou rececionados nessa conta, mesmo que não estejam marcados como pessoais ou dos seus dados externos não resulte que sejam pessoais.

Pelo menos nas situações em que o empregador, ao abrigo do disposto nos citados arts. 22º, nº 2, e 106º, nº 1, não haja regulamentado e proibido a utilização de contas de correio eletrónico pessoais, o controlo dos dados de tráfego dos emails enviados ou rececionados em tais contas é sempre inadmissível.

No que se reporta a contas de correio eletrónico profissionais com utilização indistinta para fins profissionais e pessoais, o empregador pode tomar conhecimento da data e hora do envio do email, dos dados externos dos anexos (que não do seu conteúdo), mas não do remetente e/ou destinatário do email que seja terceiro.

Em qualquer caso, o acesso e tratamento de correio eletrónico (emails, anexos e dados de tráfego) pelo empregador tem que observar os princípios consagrados na Lei 67/98, designadamente os princípios da finalidade, da transparência e da notificação da CNPD.

A violação da proibição de recolha e utilização dos dados de correio eletrónico (conteúdo dos emails, anexos e dados de tráfego) e/ou dos princípios previstos na Lei 67/98 determina a nulidade da prova obtida por via dessa recolha, bem como da que assente, direta ou indiretamente, no conhecimento adveniente dessa prova nula.” [17]

 

____________________________________________________________________________

[1] Neste sentido e mutatis mutandis, Douto Acórdão do Venerando Tribunal da Relação do Porto de 17/12/2014, em que foi Relator o Juiz Desembargador António José Ramos, disponível em dgsi.pt

[2] Por todos os nacionais: Acórdão do S.T.J. de 05-07-2007, em que foi Relator Mário Pereira, disponível em dgsi.pt. Por todos os comunitários: Caso de Copland vs Reino-Unido, da 4.ª Secção do T.E.D.H., de 03 de Abril de 2007, disponível em http://hudoc.echr.coe.int/eng?i=001-79996#{“itemid”:[“001-79996”]} .

[3] Teresa Alexandra Coelho Moreira, in “A privacidade dos trabalhadores e as novas tecnologias de informação e comunicação: contributo para um estudo do controlo do poder electrónico do empregador”, Tese de Doutoramento, Abril de 2009, Universidade do Minho, págs. 658 e 659.

[4] Sónia Kietzman Lopes, “Confidencialidade de mensagens e acesso a informação”, in Direitos Fundamentais e de Personalidade do Trabalhador, Colecção Formação Inicial, Jurisdição do Trabalho e da Empresa, CEJ, Junho de 213, disponível em cej.pt, pág. 40.

[5] Teresa Alexandra Coelho Moreira, op. cit., pág. 625.

[6] Teresa Alexandra Coelho Moreira, op. cit., pág. 624.

[7] Sónia Kietzman Lopes, op. cit., págs. 41 e 42.

[8] Vide artigo publicado no presente Blog, “Os fundamentos do tratamento de dados pessoais à Luz do R.G.P.D.”

[9] Teresa Alexandra Coelho Moreira, op. cit., pág. 626

[10] Teresa Alexandra Coelho Moreira, op. cit., pág. 624

[11] Sónia Kietzman Lopes, op. cit., pág. 40.

[12] “14.3. Access by employers to the professional electronic comunications of their employees who have been informed in advance of the existence of that possibility can occur, where necessary, for security or other legitimate reasons. In case of absent employees, employers should take the necessary measures and foresse the appropriate procedures aimed at enabling acess to professional electronic communications only when such access is of professional necessity. Access should be undertaken in the least intrusive way possible and only after havien informed the employees concerned.

14.4. The contente, sending and receiving of private electronic communications at work should not be monitored under any circumstances.” – texto original, cuja versão integral se encontra disponível em: http://www.dgpj.mj.pt/sections/noticias/conselho-da-europa_3

[13] Sónia Kietzman Lopes, op. cit., pág. 42.

[14] Teresa Alexandra Coelho Moreira, op. cit, pág. 617.

[15] Teresa Alexandra Coelho Moreira, op. cit., pág. 625.

[16] Teresa Alexandra Coelho Moreira, op. cit., pág. 628.

[17] Sumário do Douto Acórdão do Venerando Tribunal da Relação do Porto, de 15/12/2016, em que foi Relator a Juíza Desembargadora Paula Leal de Carvalho e disponível em dgsi.pt.

Categories
Direito Direito Europeu

Comentário ao acórdão do Tribunal de Justiça de 5 de Junho de 2018, processo C-210/16 – Administrador de página de Facebook enquanto entidade responsável pelo tratamento de dados de pessoas singulares

Nos dias que antecederem a vigência do Regulamento Geral sobre Proteção de Dados – Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, em vigor desde 25 de Maio de 2018 – as solicitações de revisão de definições de privacidade, designadamente de consentimento de armazenamento e tratamento de dados pessoais rececionadas nas diferentes contas de utilizadores de email, Facebook, Instagram, instituições bancárias, entre uma parafernália de muitas outras presentes a cada inspiração do nosso ritual quotidiano, indiciavam histericamente o advento de uma espécie de apocalipse digital no espaço da União Europeia.
Como adiante vislumbraremos, o que (nos) parecia inicialmente uma reação manifestamente exagerada ao normativo que entraria em vigor, era, afinal, mais justificável e plausível do que à partida poderíamos suspeitar.
Na senda destas matérias, escrutinaremos os termos e conclusões da decisão do Tribunal de Justiça da União Europeia, proferida no acórdão de 5 de junho de 2018.
O vertente caso diz respeito à delimitação das responsabilidades de diferentes entidades no processo de tratamento de dados de pessoas singulares, no campo específico de uma página de fãs alocada na rede social Facebook.
Em conformidade, no âmbito da resolução do litígio principal que contrapunha a Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), na qualidade de autoridade de controlo alemã, à Wirtschaftsakademie, prestadora de serviços de formação através de uma página de fãs alojada na Facebook, o Tribunal Administrativo Federal Alemão lançou mão do mecanismo de reenvio prejudicial, previsto no artigo 267.º do Tratado de Funcionamento da União Europeia, com vista à obtenção de esclarecimentos atinentes à interpretação e validade das diretrizes europeias constantes da Diretiva 95/46/CE, legislação em vigor à data do litígio e do respetivo reenvio para o Tribunal de Justiça.
Visto que a Diretiva nos termos da qual é decidida e fundamentada a questão que abordaremos foi revogada pelo supra referido Regulamento, não remeteremos para os respetivos artigos, ainda que o espírito e alcance do seu conteúdo tenha sido transposto e reforçado no regulamento que a substitui.
No escopo da necessária contextualização da questão principal, cumpre definir as páginas de fãs enquanto contas de utilizadores que podem ser configuradas na rede Facebook, por particulares ou por empresas.
Após este registo inicial, é concedida, ao respetivo autor da página, a utilização plena da plataforma criada.
O autor fica com total margem de liberdade para se apresentar ao universo de utilizadores da rede, bem como, às pessoas que visitem a sua página de fãs, com o intuito de difundir comunicações de qualquer tipo, no seio do mercado de meios de comunicação e de opinião.
Os administradores de páginas de fãs podem obter estatísticas anónimas sobre os visitantes destas páginas, com recurso à ferramenta Facebook Insight, a qual disponibilizada gratuitamente pela Facebook, nos termos de condições de utilização pré definidos e não alteráveis ou controláveis pelo utilizador da conta.
Estes dados são recolhidos através de ficheiros testemunhos (os designados cookies), cada um dos quais comporta um código utilizador único, que ficam ativos durante dois anos e armazenados pela Facebook no disco rígido do computador ou em qualquer outro suporte dos visitantes da página de fãs.
O mencionado código utilizador, o qual diretamente relacionado com os dados de conexão dos utilizadores registados na Facebook, é recolhido e tratado automaticamente no momento de abertura das páginas de fãs.
Ora, é precisamente neste vértice que assenta o fundamento da questão controvertida convergente nos termos do litígio principal.
Assim, resulta expressamente da decisão de reenvio que nem a Wirtschaftsakademie, nem a Facebook Ireland Ltd – também interveniente no processo principal – fizerem qualquer referência à operação de armazenamento, bem como, nem sequer ao funcionamento deste cookie ou ao posterior tratamento dos dados, aquando da abertura da página pelos respetivos visitantes, pelo menos, no decurso temporal pertinente no qual se move a factualidade contraposta no processo principal.
Face ao exposto, dando cabal cumprimento às normas europeias constantes da Diretiva na altura vigente, e as quais transpostas para o ordenamento jurídico alemão, a ULD, enquanto entidade encarregada de fiscalizar a conformidade da atuação da República Federal da Alemanha na aplicação, em território nacional alemão, das disposições adotadas de acordo com o Direito da União, ordenou à Wirtschaftsakademie, que desativasse a página de fãs que esta tinha criado no endereço www.facebook.com/wirtschaftsakademie, sob pena de lhe ser aplicada uma sanção pecuniária compulsória, com fundamento na ausência de menção expressa dirigida aos respetivos visitantes virtuais da recolha das suas informações pessoais e posterior tratamento dessa informação.
A ULD imputava este dever em iguais moldes à Wirtschaftsakademie e à Facebook.
Inconformada, a Wirtschaftsakademie reclamou da decisão, alegando que à luz da legislação aplicável, não era responsável pelos termos do tratamento dos dados efetuado pela Facebook, nem pelos cookies não mencionados aos visitantes da página, os quais instalados autonomamente pela empresa americana (Facebook).
A reclamação, indeferida pela ULD com fundamento que com a criação da sua página de fãs a Wirtschaftsakademie contribuía ativa e voluntariamente para a recolha, pela Facebook, de dados pessoais relativos aos visitantes desta página de fãs, tirando proveito e benefício das estatísticas disponibilizadas, deu lugar à interposição de recurso para o Tribunal Administrativo Alemão.
O Tribunal Administrativo Alemão anulou a decisão impugnada, afirmando que o administrador de uma página de fãs na Facebook não é um organismo responsável na aceção da diretiva, não podendo ser o destinatário direto de medidas sancionatórias, punitivas da infração cometida.
Mais acresce que o Tribunal Administrativo Superior Alemão negou provimento ao recurso interposto pela autoridade ULD, justificando a sua decisão no caráter ilegal da proibição absoluta do tratamento de dados tal como enunciada na decisão impugnada. Na medida em que, nestes casos, estava prevista a aplicação de um procedimento gradual, permitia-se apenas, numa primeira etapa, a adoção de medidas destinadas a sanar as infrações constatadas durante o tratamento de dados.
O Tribunal Administrativo Superior acrescentou ainda que só a Facebook tomava decisões quanto à finalidade e aos meios relativos à recolha e ao tratamento de dados pessoais utilizados no âmbito da ferramenta Facebook Insight, pelo que a Wirtschaftsakademie, ao apenas receber informações estatísticas que tinham sido anonimizadas, nunca poderia ser considerada entidade responsável neste domínio.
Esgotando as vias jurisdicionais internas, a ULD interpôs recurso para o Tribunal Administrativo Federal.
Em consonância com a decisão do Tribunal Administrativo Superior, o Tribunal Administrativo Federal observou que a Wirtschaftsakademie não podia ser considerada, em si mesma, responsável pelo tratamento de dados, na aceção da Diretiva e do quadro interno que a transpunha.
Paralelamente, o Tribunal Federal atentou que este conceito deve, em princípio, ser interpretado de maneira extensiva no interesse de uma proteção eficaz do direito à vida privada, como admitido pelo Tribunal de Justiça da União Europeia na respetiva jurisprudência recente nestas matérias.
Por outro lado, o órgão jurisdicional alemão suscitou dúvidas quanto aos poderes de que a ULD dispunha neste caso face à Facebook Germany, pois a nível da União, a Facebook Ireland é que é considerada a entidade responsável pela recolha e pelo tratamento de dados pessoais no grupo Facebook.
Em último estádio, levantou ainda questões sobre o impacto, para fins do exercício dos poderes de intervenção da ULD, das apreciações feitas pela autoridade de controlo a que a Facebook Ireland está sujeita quanto à legalidade do tratamento de dados pessoais em causa.
Tendo em consideração as inquietações insurgidas no âmbito da questão a solucionar em matéria de tratamento de dados pessoais, e fazendo jus ao princípio da primazia de aplicabilidade do Direito da União Europeia, o órgão julgador Alemão suspendeu a instância nacional e diligenciou pela remessa das suas dúvidas de interpretação e validade das normas europeias orientadoras deste painel, para o Tribunal de Justiça da União Europeia, último reduto da jurisdição da União.
A título primordial, o Tribunal alemão pretendia ver esclarecido se, no caso de infração das regras relativas à proteção dos dados pessoais, os termos constantes da diretiva permitiriam imputar a responsabilidade a um qualquer organismo na sua qualidade de administrador de uma página de fãs alojada numa rede social, por ter feito a sua escolha recair sobre esta específica rede social com vista à difusão da sua oferta de informação.
Neste sentido, o TJUE recorda que a tutela dos dados pessoais encontra fundamento na garantia de um elevado nível de proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente da sua vida privada, tal como resulta da jurisprudência Ryneš (acórdão de dezembro de 2014), e que com o intuito de assegurar a robustez e eficácia de tal proteção, é adotada uma conceção abrangente do conceito de responsável pelo tratamento, (cfr. jurisprudência Google de 13 de maio de 2014), a qual engloba a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais.
No presente caso, a imputação da responsabilidade à Facebook Inc. e, porque estamos em território da União, à Facebook Ireland, a título principal, enquanto entidades responsáveis pelo tratamento, na aceção da Diretiva e consistentemente mantida pelo Regulamento, não suscita qualquer dúvida.
Concomitantemente, no que concerne ao administrador de uma página alojada na rede, o qual sempre celebra com a Facebook Ireland um contrato específico relativo à abertura de tal página e aceita, a este título, as respetivas condições de utilização, incluindo a política em matéria de cookies, o TJUE afirma que esta entidade administradora da página ao participar, através da sua ação de parametrização, em função, designadamente, da sua audiência alvo, e de objetivos de gestão ou de promoção das suas atividades, na determinação das finalidades e dos meios do tratamento dos dados pessoais dos visitantes da sua página de fãs, não fica exonerado das suas responsabilidades em matéria de proteção de dados pessoais.
O Tribunal de Justiça conclui pelo reconhecimento de uma responsabilidade conjunta do operador da rede social e do administrador de uma página de fãs alojada nessa rede, afirmando perentoriamente que o administrador de uma página de fãs alojada numa rede social é uma entidade responsável no quadro da União pelo tratamento dos dados em questão.
Das conclusões do presente acórdão, resulta ainda que uma empresa estabelecida fora da União, como a sociedade americana Facebook, mas que disponha de vários estabelecimentos em diferentes Estados‑Membros, continua sujeita à autoridade de controlo de um Estado‑Membro (neste caso a ULD). O TJUE afirma que é conferida a esta autoridade a faculdade de exercício dos poderes que lhe são conferidos ao abrigo do Direito da União em relação a um estabelecimento desta empresa situado no território deste Estado‑Membro (neste caso a Facebook Germany), ainda que, em resultado da distribuição interna das funções do grupo, por um lado, este estabelecimento só seja responsável pela venda de espaços publicitários e por outras atividades de marketing no território do referido Estado‑Membro e que, por outro, a responsabilidade exclusiva pela recolha e pelo tratamento dos dados pessoais incumba, para todo o território da União, a um estabelecimento situado noutro Estado‑Membro (neste caso, Facebook Ireland).
O Tribunal de Justiça constata assim que, para efeitos de garantia de cumprimento de regras em matéria de proteção de dados, em território alemão, a ULD é autoridade com competência para exercer as suas funções face à Wirtschaftsakademie, bem como face à Facebook Germany.
O Tribunal de Justiça decide ainda que, quando a autoridade de controlo de um Estado-Membro (neste caso, a ULD na Alemanha) pretenda exercer, em relação a um organismo estabelecido no território deste Estado-Membro (neste caso, a Wirtschaftsakademie), os poderes de intervenção que lhe estejam legalmente acometidos, na sequência de violações às regras relativas à proteção de dados pessoais imputáveis a um terceiro responsável pelo tratamento desses dados e que tem sede noutro Estado-Membro (neste caso, a Facebook Ireland), esta autoridade de controlo é competente para apreciar, de maneira autónoma em relação à autoridade de controlo deste último Estado-Membro (Irlanda), a legalidade de tal tratamento de dados, podendo exercer os seus poderes de intervenção em relação ao organismo estabelecido no seu território sem ter de solicitar previamente a intervenção da autoridade de controlo do outro Estado-Membro.
Numa sociedade global altamente tecnológica que evolui a ritmo de incessante sofisticação, cada vez serão mais e de superior complexidade os desafios com que os legisladores e aplicadores do Direito se terão que deparar nas mais variadas frentes, designadamente em sede da matéria que aqui nos ocupou atinente à tutela dos dados pessoais.
Concluímos que não deixa, no entanto, de ser irónico, que na rede social onde tantos se expõe voluntariamente nos mais variadíssimos modos, não protegendo a sua identidade, nem os seus próprios dados, tantos desses possam igualmente ser responsabilizados a título individual, enquanto administradores de páginas, por não salvaguardarem, ainda que negligentemente, os dados de tantos outros na mesma situação, dos quais os supostos dados armazenados, na maioria das vezes anónimos ou encriptados de forma indecifrável para a sociedade em geral, constituiriam a menor das violações à sua privacidade.

Categories
Direito Europeu

Os fundamentos do tratamento de dados pessoais à luz do R.G.P.D.

Mais Direito?

Menos Dados Pessoais!

Queira o leitor perdoar-nos alguma da intencional despreocupação com que aqui abordámos este tema, negligenciado, porventura, alguma complexidade técnica nos termos utilizados e que poderia, à primeira vista, parecer exigir-se.

Este aparente acto de rebeldia, não o é na verdade. Ou não cuidasse este artigo, afinal, desse Leviathan comummente conhecido como R.G.P.D., imbuído por princípios como o da simplicidade e clareza da linguagem.

De outra banda e ainda neste enquadramento introdutório, queira o Leitor compreender que a presente análise não se quer, nem é (minimamente) exaustiva.  Bem andará o Leitor que a tenha por apontamentos soltos sobre o R.G.P.D., como uma primeira aproximação ao tema que carece de ulterior análise com maior e mais certeiro detalhe.

Aliás, é apanágio da realidade – aqui, eventualmente, com notória premência – colocar inúmeras e diversas questões, acentuando pormenores distintos em cada caso concreto, porventura irrelevantes para outros, que seria hercúlea tarefa tentar antever, discriminar e escrutinar todos eles.

Centrando ideias: logo no primeiro considerando e artigo do R.G.P.D. se afirma (melhor será, até, dizer que se relembra) que a protecção dos dados pessoais é um direito fundamental das pessoas singulares. Ou seja, as pessoas colectivas ficam, à primeira vista, excluídas do âmbito de protecção conferido pelo R.G.P.D.

Qualquer um de nós terá, por defeito, consciência aproximada do que sejam os dados pessoais. Mas, seria essa consciência tão abrangente, na perspectiva do Homem Médio, quanto a protagonizada pelo Legislador Europeu? Não nos restam dúvidas de que não.

É que, para efeitos do R.G.P.D., entendem-se por dados pessoais: “informação relativa a uma pessoa singular, identificada ou identificável”. Acrescentámos nós e à míngua de limitação expressa patente no Regulamento: qualquer informação.

Se a primeira parte da definição não seria alvo de dúvidas, o Legislador Europeu consciente da dificuldade (quiçá do perigo) que representaria um conceito tão subjectivo quanto “identificável”, avança, de imediato, que será “identificável uma pessoa singular que possa ser identificada, directa ou indirectamente, em especial por referência a um identificador”.

Diríamos nós: na dúvida sobre se a pessoa é ou não identificável – e na esteira da Jurisprudência das cautelas – a resposta tenderá a ser afirmativa. É que até a informação mais irrelevante poderá demonstrar-se, no concreto (e eventualmente em conjugação com a demais), como suficiente à possibilidade de identificação do titular dos dados:

“different pieces of information, which collected together can lead to the identification of a particular person, also constitute personal data” – Comissão Europeia dixit.

Seguindo de perto a sapiência da vox populi e no que respeita ao tratamento de dados, entendemos que, também aqui, melhor será prevenir do que (tentar) remediar.

Afinal, o “tratamento” mais não é – melhor será pensar que menos não é – do que “qualquer operação, ou conjunto de operações, efectuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados”.

Refutando quaisquer dúvidas (ou inadvertida análise), o Regulamento acrescenta que dentro destas operações se incluem: “a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição”.

Novamente: caso tenha dúvidas se procede, ou não, ao tratamento de dados arriscamo-nos a afirmar que, em princípio, a resposta será positiva.

Finalizando esta conceptualização inicial, saliente-se que será responsável pelo tratamento “a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais” – cfr. artigo 4.º do R.G.P.D.

Aqui chegados, é imperioso compreender, então, quando é que o tratamento de dados pessoais poderá ser lícito.

Existem, num primeiro momento, seis fundamentos base cuja verificação, isolada ou cumulativa, é obrigatória para que o tratamento seja conforme ao Regulamento.

Antes de os abordar, damos nota da essencialidade da consciencialização de que o Regulamento não se basta pela mera possibilidade do fundamento se verificar. Ao invés, o responsável pelo tratamento de dados terá de ser capaz de demonstrar, no concreto, a sua existência e respectivos termos.

Permitimo-nos, para melhor compreensão da curial importância deste aspecto, alertar para que o Regulamento acarreta, quanto ao nosso panorama nacional, uma mudança radical de paradigma no modelo de regulação: passamos de uma perspectiva hétero-regulatória, para uma perspectiva auto-regulatória.

É que sobre aqueles que procedam ao tratamento de dados impende, genericamente, um ónus de garantir (e demonstrar) a conformidade com o Regulamento. Seja quanto a este ponto, seja quanto aos demais.

O que, como se compreende, não é de somenos.

Pois bem, os ditos fundamentos base para o tratamento encontram-se devidamente enumerados no artigo 6.º do R.G.P.D.:

  1. Consentimento;

  2. Contrato;

  3. Obrigação Jurídica;

  4. Interesses vitais;

  5. Interesse Público;

  6. Interesses legítimos.

Refira-se, a este passo, que qualquer operação de tratamento terá de ser realizada para uma determinada, concreta e identificada finalidade (ou finalidades).

Esta finalidade poderá, prima facie, parecer coincidir com fundamento. Contudo, tal não é “factualidade assente” ou dogma irrefutável.

Imagine-se o seguinte (e propositadamente simples) exemplo: eu pretendo tratar dados para a criação de uma base de dados; será esta a minha finalidade; mas, o meu fundamento deverá ser, naturalmente, o consentimento do titular dos dados.

Diremos nós que, pelo menos por imperativos de honestidade intelectual, a finalidade deverá ser identificada em momento anterior ao fundamento. É aquela que permitirá aferir este. Percorrer o caminho inverso poderá levar a que, contrariamente ao sentido que nos aponta o Regulamento, a finalidade acabe maquilhada para se adequar, de forma mais ou menos forçada, àquele.

Não se olvide, concomitantemente, que a existência de fundamento, para uma finalidade específica, deverá sempre ser considerada conjuntamente com os demais princípios do Regulamento.

Desde logo e de forma não exclusiva, com os princípios da Minimização e da Necessidade. Sem grande compromisso, diremos que estes são corolários doutro de amplitude mais lata, o da proporcionalidade, pese embora nos pareça, também, que é intenção do Regulamento que a fasquia seja colocada num patamar um pouco mais elevado do que aquele que poderia resultar – numa análise, eventualmente, mais leviana – deste último princípio mais lato.

De forma ligeira, a pergunta que se imporá é: eu preciso (mesmo!!) de todos estes dados para prosseguir esta finalidade? O meu fundamento e finalidades são (mesmo!!) suficientes para recolher todos estes dados?

Veja-se, a título de exemplo que: para a execução de um contrato de trabalho e cumprimento de obrigações legais, a entidade empregadora até poderá ter necessidade de saber o número de dependentes a cargo do trabalhador. Mas: precisará (mesmo) de saber o nome deles? Precisará (mesmo) de saber se o trabalhador tenciona ter (outros) filhos e a que trecho?

A resposta dependerá, naturalmente, de cada concreto caso, pois que a necessidade só poderá ser aferida no contexto de cada uma das realidades em causa.

Consentimento

Voltando aos fundamentos – e quanto ao primeiro -, recorde-se o Leitor que o responsável pelo tratamento deverá poder demonstrar que o titular dos dados prestou o seu consentimento à operação de tratamento.

A exigência extravasa, do que se colhe do artigo 7.º do R.G.P.D., a existência do acto, outrossim impõe que o mesmo seja demonstrável (ou demonstrado) por aquele que procede ao tratamento dos dados pessoais.

Ademais, a validade do consentimento depende de um acto positivo claro, corporizador de uma manifestação de vontade que se quer livre, específica, informada e inequívoca, congregando todas as actividades de tratamento realizadas.

Parafraseando o Regulamento, “o silêncio, as opções pré-validadas, ou a omissão não deverão, por conseguinte, constituir um consentimento” – vide considerando 32.

E acrescenta o artigo 7.º do R.G.P.D.: “se o consentimento (…) for dado no contexto de uma declaração escrita que diga também respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo inelegível e de fácil acesso numa linguagem clara e simples.”

Do que vai pululando a este respeito, permitimo-nos lançar mão da feliz concretização da I.C.O. (Information Commissioner’s Office):

Consent means offering individuals real choice and control. Genuine consent should put individuals in charge (…)”.

E, é um facto, o Regulamento aperta o cerco quando acrescenta, no número 4 do seu artigo 7.º, que “ao avaliar se o consentimento é dado livremente, há que verificar com a máxima atenção se, designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato”.

Deverá, de igual forma e trocando por miúdos, ser fácil ao titular dos dados compreender que presta consentimento.

Não só em termos gerais, mas quanto a todos os dados em causa e aspectos do tratamento. Quais os dados, finalidades, modo de tratamento, prazo de conservação, os terceiros ou subcontrantes a quem os dados poderão ser cedidos e por aí em diante.

E deverá, ainda, ser tão simples prestar consentimento, quanto retirá-lo.

É que o regulamento estipula, justamente, que “o titular dos dados tem o direito de retirar o seu consentimento a qualquer altura” – cfr. número 3 do artigo 7.º do Regulamento.

Esclareça-se que retirado o consentimento, todas as operações de tratamento que hajam sido realizadas de permeio, desde que fundadas no consentimento prestado (e nos estreitos limites deste), se têm por lícitas.

Enfim, falamos aqui de um elevado padrão – ou melhor, de um elevadíssimo padrão – para a validade do consentimento e sua manutenção.

Contrato

Quanto ao segundo fundamento, a matiz é bastante simples e, por demais, óbvia. A necessidade dos dados pessoais emerge de um contrato em que o titular dos dados é parte.

Ou, até “para diligências pré-contratuais a pedido do titular dos dados” – vide artigo 6.º, alínea b) do Regulamento.

Não se deve, ainda assim, olvidar que a necessidade tem, efectivamente, de existir.

Arriscar-nos-emos a dizer que caso eu consiga a mesma finalidade sem a necessidade de tratar dados pessoais, então o tratamento (que, ainda assim, se faça) será desconforme ao R.G.P.D.

Cumprimento de obrigações jurídicas

Quanto ao cumprimento de obrigações jurídicas, parece-nos que, da literalidade do fundamento, não existirão grandes dúvidas.

Todavia, a obrigação jurídica/legal deverá ser devida e cautelosamente identificada.

Só assim poderá aferir-se, também aqui, da necessidade dos dados e sua extensão.

Veja-se, exemplificativamente e sem grande compromisso, um eventual cenário de notificação para penhora de salário a uma entidade empregadora. Será adequado que a entidade empregadora envie o recibo de vencimento ao Senhor Agente de Execução? Ou, a obrigação jurídica bastar-se-á com a indicação do montante pago? Ou, in extremis, deverá o recibo ser rasurado/apagado em tudo que contenha informação que não seja necessária?

Interesses vitais

Quanto aos interesses vitais, tal fundamento acabará reservado, na grande maioria das situações, a entidades específicas.

Até porque, este fundamento pressupõe que o tratamento seja necessário para a defesa dos interesses vitais do titular dos dados.

Exemplificando, novamente, este fundamento poderá aplicar-se no caso do paciente que chega inconsciente a um centro hospitalar, carecendo de cuidados médicos.

Não deixa, todavia, de ser curioso notar a orientação preconizada pela I.C.O.: este fundamento não será aplicável, caso o titular dos dados esteja em condições de, por si mesmo, prestar o consentimento e, ainda que, ele o recuse.

Interesse Público

Centrando-nos, agora, no interesse público, a operação de tratamento de dados pessoais será lícita quando for necessária ao exercício de funções de interesse público, ou exercício de autoridade pública de que está investido o responsável pelo tratamento.

Aventurar-nos-emos a referir que o fundamento operará sempre que ao tratamento subjaza um determinado interesse público, legalmente previsto.

Interesses Legítimos

Por outro lado, os legítimos interesses do responsável pelo tratamento – ou até de terceiros – poderão, também, servir como fundamento à operação.

Contudo, os interesses do responsável pelo tratamento deverão sempre ser contrapostos aos direitos do titular dos dados. Se os últimos prevalecerem sobre os  primeiros, então não existirá fundamento.

Como uma primeira aproximação e sem preclusão de outros factores que podem impor ponderação em cada caso, deverá o responsável identificar, ab initio, qual o seu interesse legítimo. Seguidamente, deverá ser capaz de demonstrar a necessidade do tratamento, ou seja que não consegue alcançar a mesma finalidade com métodos distintos. Por fim, deverá contrapor tudo isto aos direitos e interesses do titular dos dados.

Condições Especiais e Categorias Especiais de Dados

Tentando, agora, concluir, não poderíamos deixar de assinalar que a estes fundamentos poderão acrescer condições especiais. Como acontece, por exemplo, quando os dados respeitem a crianças em relação aos serviços da sociedade de informação – artigo 8.º do R.G.P.D.

Existindo, do mesmo modo, disposições específicas para determinado tipo (ou categoria) de dados.

Nesse conspecto, define o artigo 9.º, n.º 1, do R.G.P.D. que os dados que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, os dados genéticos, os dados biométricos, os dados relativos à vida ou orientação sexual constituem categorias especiais de dados.

E, via de regra, o tratamento de tais dados é proibido, admitindo-se, contudo, parcas excepções elencadas no número 2 do mesmo artigo.

Por fim, só se admite, igualmente, o tratamento de dados pessoais relacionados com condenações penais e infracções ou com medidas de segurança, desde que efectuado sob controlo de uma autoridade pública, ou se o mesmo for autorizado por norma legal que preveja garantias adequadas aos direitos e liberdades dos titulares dos dados.

Em suma:

Por tudo quanto acabou de se expor, cremos que o Regulamento – pese embora represente uma séria dor-de-cabeça, a título de implementação, para generalidade dos agentes económicos que, de algum modo, procedam ao tratamento de dados, independentemente do motivo – será um bastião e exemplo quanto à protecção dos nossos direitos fundamentais.

Se o mesmo cumprirá todos os seus desideratos é pergunta a que só daqui a uns anos poderemos responder.

Todavia e independentemente daquele que vier a ser o sentido da resposta, o certo é que o primeiro grande, real e decisivo passo foi dado e não antevemos como seja, agora, possível deixar de trilhar o caminho em que o Regulamento nos lançou.

 

Ao fim e ao cabo:

Mais Direito?

Menos Dados Pessoais!