Importância da proteção de dados

A raiz da importância da proteção de dados pessoais encontra-se no direito à privacidade como causa e efeito do direito à liberdade, próprio de um regime democrático. Tal aspiração não é propriamente nova: ao falarmos de liberdade, falamos de liberdade de expressão, de pensamento e de participação públicas, de luta contra a discriminação e de eliminar influências externas na esfera individual. Enfim, trata-se da liberdade de desenvolvimento da personalidade, sem constrangimentos impostos por terceiros ou pelo próprio Estado, sendo que, nos dias que correm, a detenção de dados pessoais por gigantes tecnológicos tem um impacto ímpar na história da vida privada. 

O tema da proteção de dados pessoais nunca pode perder de vista o seu primeiro intuito: proteger as pessoas e a suas liberdades e promover essas liberdades enquanto base para a defesa da própria Democracia.

A evolução tecnológica do século XX, as experiências de regimes totalitários e autoritários e o seu impacto na vida privada, como forma de controlo político, vieram determinar a sua previsão constitucional ou em instrumentos internacionais, erigindo o direito à privacidade como direito fundamental que se quis impor na relação entre o indivíduo e o poder público. ^{1, 2}

Como veremos, no quadro da União Europeia, o pilar fundamental veio a ser a Diretiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995 (doravante diretiva), e, em Portugal, a Lei de Proteção de Dados pessoais, que a transpôs, a Lei 67/98, de 26 de outubro. Este quadro legal perdurou mais de uma década, até à entrada em vigor do Regulamento Geral sobre a proteção de dados pessoais³ (RGPD) e da Lei n.º 58/2019, de 8 de agosto, que assegura a execução do RGPD na ordem jurídica nacional.

No virar do século: princípios perenes, operacionalidade diminuída

O período de vida da Diretiva veio demonstrar que os princípios fundamentais, no que diz respeito à proteção de dados, se revestiam (e ainda revestem) de uma franca perenidade. Todavia, os desafios apresentados tornaram-se cada vez mais evidentes para o quadro legal existente.

A acelerada evolução tecnológica e a utilização generalizada da Internet para todo o tipo de serviços públicos e privados em que muitas empresas situavam os seus processamentos de dados em países terceiros com níveis de proteção não adequados, fugindo dessa forma aos standards de segurança da União Europeia (UE) –, tornavam necessário encontrar novas formas para a efetiva proteção de dados pessoais.

Por outro lado, o regime da Diretiva fundava-se numa lógica de controlo prévio por parte das autoridades nacionais de proteção de dados, o que trazia desafios quanto à celeridade do acompanhamento por parte dos reguladores de novas soluções de mercado e de investigação e desenvolvimento científicos. Este controlo atrasava, muitas vezes, as atividades de tratamento de dados subjacentes a um produto ou serviço e acabava por trazer prejuízos, quer a empresas, quer a instituições públicas que pretendiam levar a cabo esse tratamento. A necessidade, a nível europeu, de os agentes económicos terem de lidar com uma autoridade nacional em cada Estado-membro constituía também um obstáculo aos princípios da UE relativos à livre circulação e estabelecimento⁴. 

O século XXI trouxe um ritmo de elevada mudança e uma certa pulverização da privacidade, seja pela partilha voluntária por parte de dados da vida privada, pelo volume de dados tratados a reboque dessa partilha, ou pela conectividade constante de vários aspetos da vida das pessoas (redes sociais, dados de saúde e hábitos ou interesses, perfis de consumo, dispositivos pessoais e domésticos ligados em permanência à Internet – “Internet of Things” – que registam grandes quantidades daqueles dados do quotidiano das famílias). 

Tal realidade, conjugada com a agregação de uma multitude de serviços por parte de (poucos) grandes grupos multinacionais conglomerados e a sua capacidade de analisar estes enormes volumes de dados (nomeadamente com o auxílio da inteligência artificial) trazia, efetivamente, mais riscos para as liberdades pessoais⁵.

O advento do RGPD

O RGPD trouxe então uma mudança de paradigma do controlo administrativo prévio para controlo posterior, mais consentâneo com os princípios da UE relativamente à livre circulação de serviços, capitais e liberdade de estabelecimento e prestação de serviços. A outra face da moeda assentou num princípio de maior autorresponsabilização e autorregulação, acompanhado por um crescimento exponencial da moldura das coimas a aplicar, para que as novas normas pudessem ser levadas a sério pelos gigantes tecnológicos. 

O novo quadro sancionatório – até 20 milhões de euros ou 4% do volume de negócios – foi a alavanca para a preocupação generalizada do mercado com o cumprimento do RGPD⁶, dando lugar a uma corrida a mecanismos de conformidade regulatória (compliance), e até a um certo pânico associado ao cumprimento do Regulamento. As empresas e organizações centraram-se, e bem, em demonstrar que garantem medidas técnicas e organizativas para os tratamentos que levam a cabo e foram desenvolvidos métodos e técnicas de certificação dos sistemas de gestão de proteção de dados. Mas tal realidade, sobretudo nos primeiros anos de aplicação do RGDP, trouxe dois tipos de consequências aparentemente contraditórias: 

1. organizações em que o foco estava no cumprimento das formalidades para demonstrar que puseram em prática os mecanismos de proteção, sem cuidar de uma verdadeira política de proteção de dados⁷;
2. organizações que aplicaram medidas que vão além do escopo do RGPD, tornando mais difícil o acesso a informação legalmente devida a titulares ou interessados no procedimento, especialmente no setor público, originando pareceres, tanto da Comissão Nacional de Proteção de Dados (CNPD), como da Comissão de Acesso aos Documentos Administrativos (CADA), quanto ao alcance do acesso à informação⁸.

Só a prova do tempo dirá se o objetivo de proteção das pessoas singulares, no que diz respeito ao tratamento de dados, teve mais preponderância do que os objetivos relativos à livre circulação. Isto porque o conhecimento e os meios ao dispor da maioria dos utilizadores os deixa mais desprotegidos em relação a “termos e condições” de difícil leitura e a sistemas de inteligência artificial cuja auditoria é muito complexa, mesmo para as autoridades competentes. 

Proteção de dados e atividade parlamentar

A atividade parlamentar é, por definição, pública, designadamente no que diz respeito ao cumprimento das suas competências legislativa, de fiscalização política e relativa a órgãos externos, onde sobressaem as eleições e designações para vários desses órgãos. 

Comece-se pelo procedimento legislativo parlamentar, transparente e disponível em tempo real na página da Internet da Assembleia da República, que contém desde logo a identificação, não só dos proponentes⁹, mas também dos funcionários parlamentares que elaboraram documentos técnicos ou administrativos e de outras pessoas que tenham participado no procedimento, por exemplo em audições ou audiências em sede de comissão.

Mas também os mecanismos de participação cidadã (petições, iniciativas legislativas e iniciativas populares de referendo) comportam necessariamente o tratamento de dados de cidadãos, com fundamento legal para o tratamento nos diplomas que regem esses mecanismos, o que é importante, porque não está no domínio da vontade dos cidadãos o fornecimento dos seus dados para essas finalidades.

Todas estas dimensões estão sujeitas ao escrutínio público e esse é um indicador saudável do funcionamento de um sistema democrático. Tão pouco seria compreensível que fosse de outra forma, tendo em conta o percurso histórico de aproximação da Assembleia da República aos cidadãos, cuja tendência é necessariamente de aprofundamento.

A Assembleia da República tem cumprido a lei no que diz respeito às suas obrigações, desenvolvendo um sistema de gestão de proteção de dados, através da designação de um encarregado de proteção de dados e da determinação de pontos focais, com deveres específicos em cada unidade orgânica. Com esta metodologia, há um contributo para o registo de atividades de tratamento e para a adoção das medidas técnicas e organizativas adequadas à efetiva proteção de dados, de um ponto de vista estratégico, operacional e de avaliação de risco. 

Conclusão 

Um fã da obra de Orwell poderia dizer que a realidade tem vindo a ultrapassar a distopia de “1984”, em que o volume de dados tratados, de partilha e conhecimento da intimidade privada das pessoas ultrapassa, em larga medida, o descrito naquela obra, não por um regime totalitário, mas por outras entidades que muitas vezes não é possível identificar pelo titular dos dados. 

Mas a verdade é que também o Estado vai desenvolvendo plataformas de apoio ao cidadão que comportam o tratamento dos seus dados pessoais. Perante este estado da arte, será sempre necessário fazer uma justa ponderação dos interesses em presença, nunca perdendo de vista a preocupação que aqui foi referida inicialmente: as liberdades pessoais e a tutela do desenvolvimento da personalidade, como raiz da proteção de dados pessoais. 

Sabendo que na relação com o Estado, o cidadão se vê legalmente obrigado a disponibilizar os seus dados para determinada finalidade, e, portanto, deve ser protegido, a verdade é que a atividade pública em democracia não é, em regra, secreta. Será sempre necessário, a cada passo, conciliar o direito à privacidade e à proteção de dados pessoais com a transparência e com o direito à informação e ao acesso à mesma. A base legal como fundamento de legitimidade permite à Assembleia da República fazê-lo, no exercício das suas competências, e o sistema de gestão posto em prática permite também promover essa ponderação a todo o tempo.

José Filipe Sousa

---

[1] PINHEIRO, Alexandre Sousa, A proteção de dados no novo Código do Procedimento Administrativo. In Comentários ao Novo Código do Procedimento Administrativo, AAFDL, Lisboa, 2015.

[2] Exemplo disso são o artigo 8.º da Convenção Europeia dos Direitos do Homem de 1950 e o artigo 35.º da Constituição da República Portuguesa, mas também a Convenção 108 do Conselho da Europa e os artigos 7.º e 8.º da Carta dos Direitos Fundamentais da União Europeia.

[3] Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE).

[4] Vide considerando 9 do RGDP.

[5] Há bastante tempo que é possível saber com algum grau de certeza de que produtos um consumidor vai necessitar e adquirir no futuro. O processamento de dados em massa (big data) torna possível induzir não só consumos, como também comportamentos futuros, o que gera naturalmente alguma apreensão. Pense-se, por exemplo, num sistema de “créditos” de um seguro de saúde que melhora (ou piora?) as suas condições comerciais, de acordo com as sessões de exercício carregadas pelo tomador do seguro/titular dos dados através de um relógio desportivo ou aplicação informática com o mesmo fito.

[6] Até 2018, a moldura contraordenacional podia atingir no máximo 30 000 €.

[7] cfr CALVÃO, Filipa Urbano - RGPD. na Administração Pública – a perspetiva (de um membro) da CNPD. In Direito da Proteção de Dados, Perspetivas Públicas e Privadas, Almedina, Coimbra, 2023, pp 17

[8] Destacando-se os temas com mais exposição pública como o dos dados disponibilizados no âmbito da contratação pública (Parecer n.º 163/2020 da CADA), os dados pessoais de alunos e dados pessoais de docentes ou funcionários no âmbito do SIADAP (Diretriz n.º 1/2018 da CNPD, Parecer n.º 298/2021 da CADA, ou o conhecimento de listas de graduação de professores (Parecer n.º 203/2019 da CADA).

[9] Embora a caracterização deste facto como sendo um tratamento de dados não seja pacífica nem líquida, tendo em conta, por exemplo, a previsão do artigo 86.º do RGPD quanto aos dados pessoais que constam de documentos oficiais, cfr. OLIVEIRA, Alberto Augusto - Acesso e Proteção de dados pessoais na Administração Pública – a perspetiva da Comissão de Acesso aos Documentos Administrativos. In Direito da Proteção de Dados, Perspetivas Públicas e Privadas, Almedina, Coimbra, 2023, pp 59.