A primeira Revista de Direito Público Online em Portugal

40 anos de “Utilização da Informática” - O artigo 35.º da Constituição da República Portuguesa

40 years of “Use of Information Technology” – Article 35 of the Constitution of the Portuguese Republic

 

Palavras-chave:
Proteção de dados pessoais
Direito à autodeterminação informativa
Direito à Internet
Direito à partilha e ao relacionamento digitais
Direito a participar na sociedade virtual

Resumo: Este artigo traça a evolução do artigo 35.º da Constituição da República Portuguesa relativo à “utilização da informática”. O seu objetivo é estudar, de modo especial, o direito à autodeterminação informativa e o direito à Internet. Faz-se também menção a algumas matérias que mereceram consagração constitucional: a autoridade de proteção de dados, os dados pessoais sensíveis e o número nacional único.

Key words:
Data protection
Informational self-determination
Right to Internet
Right to share information and to relate digitally
Right to join the digital society

Abstract: This article traces the evolution of the article 35th of the Constitution of the Portuguese Republic on the “Use of Information Technology”. It specially addresses the right to informational self-determination and the right to Internet. The article also mentions some issues deserving constitutional reference: the data protection authority, personal sensitive data and the single national number.

Sumário:
Introdução
1. A Constituição de 1976 e os registos mecanográficos
2. O artigo 35.º e as revisões constitucionais
3. O Direito à autodeterminação informativa
4. O Direito à Internet
5. A Comissão Nacional de Proteção de Dados (35.º, n.º 2)
6. Os dados sensíveis (35.º, n.º 3)
7. O número nacional único (35.º, n.º 5)
8. A legislação em matéria de proteção de dados pessoais
9. A jurisprudência constitucional e o artigo 35.º da Constituição
Conclusão - o artigo 35.º e o futuro

 

Introdução

Desde o seu texto originário, aprovado em 1976, que a Constituição da República Portuguesa integra um preceito com a epígrafe “Utilização da informática”, com este havendo sido pioneira na consagração constitucional de direitos que especificamente protegem os dados pessoais dos cidadãos em relação ao uso das novas tecnologias. Como a epígrafe indicia, o artigo 35.º veio regular juridicamente problemas levantados pelo uso do computador, constituindo uma primeira expressão, com dignidade constitucional, do Direito da Informática ou, talvez, hoje, preferivelmente, do Direito da Eletrónica2 .

Este artigo instituiu um direito fundamental à autodeterminação informativa, traduzido num conjunto de direitos relacionados com o tratamento automático das informações pessoais dos cidadãos, que visam, simultaneamente, protegê-las perante ameaças de recolha e de divulgação, assim como de outras utilizações possibilitadas pelas novas tecnologias, e, também, assegurar aos respetivos titulares um conjunto de poderes de escolha nesse âmbito.

À época, é sobretudo a capacidade de memória, pelo volume de informação armazenada em ficheiros mecanográficos, na sua maioria de titularidade pública, que preocupa o legislador constituinte, mas, também, a facilidade de pesquisa. O legislador constituinte demonstra estar consciente de que o computador evoluíra de mero instrumento de cálculo, para instrumento de tratamento de informação pessoal. Prova disso mesmo são os ficheiros estruturados de dados informatizados que começam a ser reunidos e utilizados, nos anos 70, por grandes empresas (que prestam serviços a muitos clientes, ou têm muitos trabalhadores) e pela Administração Pública3 .

Atualmente, deve ser também objeto de atenção, ao lado do volume crescente e diversidade de informação, a galopante rapidez com que a informação é recolhida e partilhada, por vezes de forma instantânea, em tempo real, por múltiplos utilizadores. A estas preocupações são associadas uma cada vez mais fácil acessibilidade destes mecanismos (pelo seu custo cada vez menor, pela simplicidade do uso), seja por organismos públicos, ou por entidades privadas, e um acesso globalizado à escala do planeta. Nalguns casos, como no das informações que circulam na rede, também a sua tendencial perpetuidade pode esbarrar com os direitos e liberdades dos cidadãos.

Algumas revisões constitucionais foram adaptando a previsão constitucional do artigo 35.º à evolução da realidade tecnológica, hoje de informação, comunicação e interação, de tal forma que este mesmo artigo, na versão em vigor, também garante a todos a utilização da rede das redes, dando dignidade constitucional a um direito fundamental à Internet4 .

 

1. A Constituição de 1976 e os registos mecanográficos

Na sua versão originária, o artigo 35.º da Constituição contemplava apenas três números5 .

No primeiro, consagrou-se o direito de informação e acesso do titular dos dados pessoais, que consistia em “tomar conhecimento do que constar dos registos mecanográficos a seu respeito”, então ainda desenhado sem quaisquer limitações, e, no mesmo número, institui-se o seu direito de retificação e de atualização dos dados. Importante foi, ainda, a consagração da ideia da finalidade a que se destinam os dados, que permanecerá como princípio enformador e calibrador dos tratamentos de dados pessoais.

O n.º 2 estabeleceu a proibição do tratamento de dados que versasse sobre convicções políticas, fé religiosa e vida privada, ressalvando os casos em que o seu tratamento fosse meramente estatístico. Esta listagem de dados cujo tratamento se pode revestir de especial sensibilidade viria a ser alargada em futuras revisões constitucionais, mas, simultaneamente, seriam previstas condições excecionais do seu tratamento, para além das finalidades estatísticas realizadas com dados não identificativos.

Por último, proibia-se a instituição de um número nacional único identificativo de cada cidadão, a que daremos atenção num próximo ponto.

Quando este impulso constituinte se concretiza, tinha já por pano de fundo as primeiras iniciativas do Conselho da Europa que centravam a sua preocupação nos perigos do registo e utilização de informações pessoais: depois de, em 1968, ter dado início a um estudo, conduzido por um Comité sobre a Proteção da Vida Privada face aos Bancos de Dados Eletrónicos, que se preocupava com os potenciais perigos dos computadores, em 1973, o Conselho da Europa aprovou a Resolução (73)22, sobre “Proteção da Vida Privada das Pessoas Singulares face aos Bancos de Dados Eletrónicos no Sector Privado”. Seguiu-se-lhe, em 1974, a Resolução (74)29, “Proteção da Vida Privada das Pessoas Singulares face aos Bancos de Dados Eletrónicos no Sector Público”. Estas Resoluções antecederam a Convenção 108, “Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados Pessoais” que viria a ser aprovada pelo Conselho de Ministros do Conselho da Europa, e aberta à assinatura dos Estados, em 28 de janeiro de 1981. Também no início dos anos 70, surgiram os primeiros textos legislativos na matéria: em 1970, no Land de Hesse, na Alemanha, e em 1973, a primeira lei nacional de proteção de dados, na Suécia, seguida pelo “Privacy Act” norte americano, em 19746 .

À fixação constitucional deste direito não terá sido alheia, também, a vontade constituinte de reagir aos receios provocados pela adoção do projeto de Registo Nacional de Identificação, aprovado pela Lei n.º 2/73, que instituía o número universal e exclusivo de cada cidadão, chave única para o acesso a todos os seus dados pessoais, projeto suspenso logo após a o 25 de abril de 1974.

 

2. O artigo 35.º e as revisões constitucionais

As revisões constitucionais refletiram, sobretudo, a evolução da tecnologia e as modificações condicionadas pelas normas aprovadas por organismos europeus que vinculam Portugal. Neste ponto daremos conta de algumas alterações que o comprovam7.

Relativamente ao texto original constante do artigo 35.º, então com apenas 3 números, a primeira revisão, de 1982, aditou os números 2 e 4 e alterou os números 1 e 3.

O legislador da revisão de 1982 foi sensível à evolução tecnológica e substituiu a referência a “registos mecanográficos” por “registos informáticos”. Esta última passa a estar em consonância com o funcionamento das bases de dados, algumas de porte considerável, já em funcionamento, abandonando-se a referência à mecanografia. A alteração ao número 1 ilustra bem a necessidade de adaptação do texto constitucional a um novo tempo, substituindo-se uma redação que a todos os cidadãos dava o direito de tomar conhecimento do que constasse de registos mecanográficos a seu respeito, para lhes dar o mesmo direito, agora, relativamente aos registos informatizados.

O novo número 2 veio proibir os fluxos transfronteiras de dados, o acesso de terceiros a dados pessoais e a sua interconexão, salvo quando a lei previsse exceções. Assim se alargava a proteção concedida aos titulares dos dados, que passam a ver reconhecida dignidade constitucional a estes direitos. Como veremos, compromissos europeus ditarão a diminuição da amplitude deste direito relativamente aos fluxos transfronteiras de dados pessoais.

O texto original do n.º 2, que proibia o tratamento de dados relativos a convicções políticas, fé religiosa ou vida privada, salvo para fins estatísticos não identificáveis, passa a proibir também o tratamento de dados relativos a convicções filosóficas, filiação partidária ou sindical, passando a n.º 3, alargando o leque previsto de dados cujo tratamento é, à partida, considerado sensível.

Um novo número 4 passou a remeter para a lei a definição do conceito de dados pessoais, o que significa que dessa noção dependerá a concretização do agora disposto no novo n.º 2, relativamente aos fluxos transfronteiras, ao acesso por terceiros e à interconexão, como terá ocasião de decidir a jurisprudência constitucional8.

A segunda revisão constitucional, através da Lei Constitucional n.º 1/89, alterou a redação dos números 1, 2 e 4, e aditou o n.º 6, do artigo 35.º.

No n.º 1, o aditamento final passa a excecionar o direito de acesso pelo próprio aos dados pessoais que lhe respeitem, quando esteja em causa o segredo de Estado ou de Justiça. É a reação do legislador da revisão aos termos irrestritos do acesso que fora consagrado no n.º 1 do artigo 35.º para o acesso aos dados próprios9.

Reflexo das normas previstas na Convenção 108, aprovada a 28 de janeiro de 1981, do Conselho da Europa, para a proteção das pessoas singulares no que diz respeito ao tratamento automatizado de dados de carácter pessoal, cuja ratificação ainda não tivera lugar, a redação do n.º 1, introduzida na revisão constitucional de 1982, deixa, em 89, de proibir de forma genérica os fluxos transfronteiras de dados pessoais, para prever que a lei regulará o fluxo de dados transfronteiras, estabelecendo formas adequadas de proteção. Assim, a maior exigência do texto constitucional de 82, que instituíra como regra a proibição, admitindo exceções, passa a consagrar uma regra que se aproxima da norma menos exigente da Convenção que, no artigo 12.º, n.º 1, previa os fluxos transfronteiras de dados, embora admitisse derrogações (n.º 3).

Consequentemente, do n.º 2 desaparece, com a revisão de 1989, a referência anteriormente feita à proibição, salvo exceção legal, de fluxos de dados transfronteiras, regime que, agora, apenas se mantém para o acesso aos dados de terceiros e para a interconexão.

De acordo com a alteração ao n.º 4, o legislador teria, ainda, de concretizar a noção de bases e bancos de dados, disposição que criava uma nova imposição constitucional10.

Já a revisão de 1997 introduziu alterações nos números 1, 2, 3, 4, e 6, e acrescentou o número 7, fixando o texto atualmente em vigor11. As modificações foram sobretudo determinadas pela necessidade da transposição da Diretiva 95/46/CE para o direito interno, já que o teor de algumas normas constitucionais impedia a sua transposição para a ordem jurídica portuguesa, por conflituarem com a normativa europeia. Mas as modificações contemplaram, ainda, uma importante alteração, provocada pela expansão do uso da Internet a que se assistiu nos anos 90.

No primeiro número, remeteu-se para a lei a determinação das exceções necessárias ao direito de acesso. Recorde-se que o acesso pelo próprio, originalmente, era livre, sendo, depois, impostas, na revisão de 82, limitações derivadas do segredo de Estado ou de Justiça. O texto atual prevê que o legislador possa determinar as exceções necessárias. Foi, ainda, atualizada a linguagem técnica, que deixa de fazer referência aos “ficheiros ou registos informáticos”, para se referir apenas a “dados informatizados”.

No n.º 2 (anterior n.º 4), passou a fazer-se referência a uma entidade administrativa independente para proteção dos dados pessoais, assunto que nos merecerá maior desenvolvimento em ponto autónomo12. O mesmo número eliminou a necessidade de o legislador definir bases e bancos de dados. Também aqui, a linguagem da Constituição se aproximou da Diretiva referindo-se a “tratamento automatizado” de dados pessoais. Passa, também, a ser possível a lei definir as condições dos tratamentos de dados, incluindo a sua conexão. Deste modo pretende-se flexibilizar as interconexões necessárias, designadamente, ao funcionamento da Administração Pública13 . Recorde-se que esta flexibilização já ocorrera, na revisão de 89, relativamente aos fluxos transfronteiras que haviam deixado de ser, por via de regra, proibidos, podendo a lei fixar as condições para o seu tratamento.

Já no n.º 3, aditou-se ao elenco de dados cujo tratamento se pode revelar sensível a menção à origem étnica, que a Diretiva incluía, e especificam-se as situações em que estes dados podem ser tratados: “salvo mediante consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou para processamento de dados estatísticos não individualmente identificáveis”. A proibição deixou, desta forma, de ser praticamente absoluta, juntando-se ao tratamento destes dados para efeito meramente estatístico, o tratamento nos casos agora descritos na norma. A inserção das exceções à proibição de tratamento destas categorias de dados também é resultado do disposto no artigo 8.º da Diretiva, já que esta, ao contrário da Constituição que proibia o seu tratamento, excecionava a proibição nas situações agora identificadas. Deste modo, para tornar possível a transposição da Diretiva, o texto constitucional passou a prever a não aplicabilidade da proibição naquelas circunstâncias.

O n.º 4, anterior n.º 2, substituiu “registo informático” por “tratamento de dados”, também nos termos da Diretiva, assim, podendo abranger novas tecnologias para tratamento da informação. A proibição do acesso aos dados de terceiros passa a poder sofrer derrogações previstas na lei. Também aqui se pretende ajustar o preceito constitucional à Diretiva que possibilitava o tratamento de dados de terceiros, para fim de marketing, sem consentimento prévio, apenas se exigindo a possibilidade do exercício posterior de um direito de oposição ao tratamento.

É no número 6 que a revisão de 1997 vem a consagrar o direito fundamental à Internet, estabelecendo que “a todos é garantido livre acesso às redes informáticas de uso público”, a que daremos atenção num outro ponto14. Com este novo número amplia-se o objeto material do artigo 35.º da Constituição15.

Finalmente, através do novo n.º 7, a Constituição equipara a proteção a atribuir aos ficheiros manuais de dados pessoais à que é concedida aos dados objecto de tratamentos automatizados. Também esta foi uma alteração determinada pelo sentido da Diretiva, que manda aplicar aos dados manuais estruturados em ficheiros o mesmo regime previsto para os dados informatizados. Apesar do alargamento do objeto do artigo 35.º aos dados pessoais tratados em ficheiros manuais, este manteve, até hoje, a epígrafe “Utilização da informática”. A incongruência foi apresentada, na Comissão Eventual de Revisão Constitucional, pelo Deputado José Magalhães, para fundamentar o sentido da proposta de modificação da epígrafe para “Proteção de Dados” que, contudo, não foi aprovada16.

As revisões de 1992, de 2001, de 2004 e de 2005 não introduziram alterações ao artigo 35.º da Constituição.

 

3. O direito à autodeterminação informativa

Como afirmámos já, a Constituição consagrou, no artigo 35.º, um direito à proteção de dados pessoais, construído com autonomia relativamente à proteção da reserva da intimidade da vida privada e familiar, constante do seu artigo 26.º17. Aliás, os tratamentos de dados relativos à vida privada são também enunciados em número especial do artigo 35.º, do qual constam esses e outros dados cujo tratamento se pode revelar particularmente sensível, merecendo regime de tratamento mais severo.

A imprescindibilidade desta dicotomia protecional, sem prejuízo de ambos constituírem direitos sobre informação, fora detetada, logo no final dos anos 60, pelo Conselho da Europa, que entendeu ser necessário um instrumento de proteção mais abrangente do que os existentes relativos à defesa da vida privada, como a Convenção Europeia dos Direitos do Homem (artigo 8.º, n.º 1: “qualquer pessoa tem direito ao respeito da sua vida privada e familiar, do seu domicílio e correspondência”), ou a Declaração Universal dos Direitos do Homem (artigo 12.º: “Ninguém sofrerá intromissões arbitrárias na sua vida privada, na sua família, no seu domicílio ou na sua correspondência, nem ataques à sua honra e reputação. Contra tais intromissões ou ataques toda a pessoa tem direito a proteção da lei”), para garantir o respeito relativamente às informações pessoais que já, à época, eram armazenadas em ficheiros eletrónicos. A Constituição da República Portuguesa veio seguir esta tendência, consagrando um especial conjunto de direitos no artigo 35.º, no catálogo dos direitos, liberdades e garantias. A necessidade desta proteção diferenciada viria, mais tarde, a ser também reconhecida pela Carta de Direitos Fundamentais da União Europeia (artigos 7.º e 8.º).

São vários os direitos a que o artigo 35.º da Constituição da República Portuguesa concede expressa dignidade constitucional, compondo um direito do indivíduo à autonomia informacional18: o direito de acesso aos tratamentos de dados pessoais para conhecimento dos dados que lhe respeitem; o direito de retificação dos dados pessoais, quando estejam errados ou incompletos, e o direito da sua atualização, de modo a que representem de modo fiel a informação do indivíduo; o direito a conhecer a finalidade dos tratamentos de dados, finalidade que é determinante, por exemplo, para se apurar da adequação, pertinência e proporcionalidade dos dados, ou do respetivo período de conservação ou, ainda, da eventual existência de desvios de finalidade (n.º 1); o direito ao não tratamento de dados dados cujo processamento se pode revelar especialmente sensível (n.º 3); o direito à não divulgação de dados objeto de tratamento, traduzido na proibição do acesso aos dados por terceiros (n.º 3), que obriga à imposição de um dever de segredo/sigilo profissional, que impende sobre quem trata os dados pessoais, seja como responsável, ou como técnico. O n.º 5 estabelece aquilo que foi considerado como uma garantia, ao dificultar o inter-relacionamento das informações mediante a proibição de um número único nacional identificativo de cada cidadão (n.º 5); a Constituição procede, por fim, à equiparação da proteção concedida aos dados pessoais em formato eletrónico (independentemente de se encontrarem estruturados) aos dados organizadamente estruturados em ficheiros manuais (n.º 7). Este último ponto surge como salvaguarda contra a utilização destes ficheiros por forma a que se contornasse o regime protetor dos dados pessoais eletronicamente tratados.19

Mais do que impondo um dever de segredo e de segurança (aspeto que origina a expressão “proteção de dados”, tradução da pioneira alemã Datenschutz) - que obriga os responsáveis dos tratamentos de informações pessoais, impondo-lhes que se abstenham da sua divulgação e que adotem condições seguras de tratamento, e, sobretudo, permitindo ao indivíduo negar informação pessoal, opondo-se à sua recolha, partilha e interconexão - o direito à autodeterminação informativa também dota o titular dos dados de instrumentos que lhe permitem dispor e controlar os dados pessoais objeto de tratamento que lhe respeitem, seja ele realizado pelo sector público ou pelo sector privado. O que significa que este direito, que vincula entidades públicas e privadas e de que são titulares, universalmente, todas as pessoas físicas (sem prejuízo da existência de outros direitos de segredo de que beneficiam as pessoas coletivas), não é, somente, um direito de caráter defensivo em face da realização de tratamentos de dados pessoais, como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição de dados pessoais (no elenco definido no artigo 4.º, n.º 2, do Regulamento da Proteção de Dados). É, ainda, um direito de conformar esses tratamentos, podendo cada indivíduo determinar o que podem os outros, em cada momento, saber e usar a seu respeito, controlando a partilha e utilização dos seus dados pessoais.

 

4. O direito à Internet

Como já fizemos notar, o n.º 6 do artigo 35.º da Constituição prevê que a todos seja garantido o livre acesso às redes informáticas de uso público20 . Disposição introduzida na revisão constitucional de 1997, esta reflete a sensibilidade do legislador da revisão perante a evolução da tecnologia, a sua repercussão na vida pessoal e social, e as suas implicações jurídicas.21

O Direito não poderia alhear-se das transformações operadas por uma rede mundial de computadores, uma realidade crescentemente ligada à nossa existência individual e social, que interfere com a comunicação entre os indivíduos, e com as relações pessoais e de trabalho, tendo reflexos, designadamente, no conhecimento, na educação e na cultura, no acesso a serviços administrativos, na economia. Esta nova esfera de atuação foi-se tornando progressivamente acessível, num registo de comunicação interativo, em que todos são emissores e recetores, de modo instantâneo, à escala mundial.

O direito consagrado no n.º 6 do artigo 35.º deve ser encarado nas suas múltiplas facetas, por um lado, como direito de acesso à rede, às infraestruturas tecnológicas que tornam possível os serviços de comunicação, mas também, por outro, como direito de utilização das funcionalidades comunicação, de informação, de conhecimento, de participação, de interação, de partilha e de relacionamento digital da Internet – designadamente mediante uso do correio eletrónico, de redes sociais, de motores de busca e da World Wide Web em geral. É o direito de acesso a um novo caminho ou espaço de comunicação, e o direito de existir nele.

Se o uso generalizado da Internet acarreta, nalguns casos, novas ameaças para velhos direitos, como o direito à honra, ao bom nome, à autodeterminação sexual, bem como à intimidade da vida privada, ou se é espaço virtual de incitação à violência e terrorismo, ou de emissão de mensagens racistas, ou pode, também, fazer perigar o direito à autodeterminação informativa, o seu uso também veio, ao invés, permitir novas formas, desmaterializadas e em rede, de exercício de velhos direitos do mundo analógico.

Isto porque o direito de acesso à Internet pode ser considerado um direito fundamental instrumental, potenciador e amplificador de outros direitos e liberdades. Nestes direitos fundamentais pode incluir-se a liberdade de expressão e de comunicação, de informar, de se informar e de ser informado, o direito de associação, reunião e manifestação, o direito de acesso ao conhecimento, à educação e à cultura, bem como o direito de participação democrática, sendo o direito à Internet, igualmente, indispensável à concretização da democracia eletrónica, ou para o acesso à informação administrativa, ou a serviços administrativos eletrónicos, funcionando, neste caso, como pressuposto necessário ao exercício de um eDireito ao relacionamento do cidadão com a Administração Pública. Em suma, o direito à Internet, que o n.º 6 do artigo 35.º consagra, é, nesta perspetiva, um direito funcionalizado à garantia de outros direitos, ou ao pleno gozo destes.

Mas o direito à Internet é também um direito fundamental de conteúdo próprio, um direito de interação e de participação na estrutura social em rede, de relacionamento digital, ainda que intimamente ligado ao direito ao livre desenvolvimento da personalidade, já que o uso da rede, dos serviços de comunicação que propicia, e dos seus conteúdos, podem ser hoje indispensáveis à realização pessoal e social de cada indivíduo. Um tal direito é um direito de integrar a sociedade digital, através da inserção e da interação na infraestrutura tecnológica, humana e social, que é a rede.

Embora a rede das redes seja uma rede mundial, vem, ainda, longe o acesso universal (de todos, e de todos os povos) à rede. Mas, entre nós, considerar a consagração de um direito à Internet como integrando o catálogo de direitos, liberdades e garantias, obriga a que se sublinhe a importância do acesso universal à Internet, e, por isso, seja imperativo o combate à digital divide, decorrendo este do n.º 6 do artigo 35.º da Constituição.

 

5. A Comissão Nacional de Proteção de Dados (35.º, n.º 2)

A previsão constitucional da instituição de uma autoridade administrativa independente, hoje constante da parte final do número 2 do artigo 35.º, foi introduzida pela 4.ª revisão constitucional, de 199722.

A Assembleia Constituinte que aprovou a Constituição em 1976 chegara a prever um número para o artigo 35.º que estabelecia “Em lei ordinária será assegurada a defesa dos cidadãos contra a utilização abusiva da informática e criada a comissão de inspeção de informática, cujas funções são definidas pela Assembleia Legislativa Popular” 23 . No entanto, o plenário viria a eliminar este número, sob proposta da comissão de redação, por se haver, então, considerado que a existência deste órgão deveria constar da lei e não da Constituição24 . Na revisão constitucional de 1989, um dos projetos de alteração ao 35.º também previa a criação de um Conselho Nacional de Informática e Liberdades, que não foi aprovado25.

Veio a ser a Lei n.º 10/91, de 29 de abril, a criar a, então designada, Comissão Nacional de Proteção de Dados Pessoais Informatizados (CNPDI), que entrou em funcionamento em 1994. Apesar da opção inicial, a revisão constitucional de 1997 conferiu dignidade constitucional à autoridade administrativa que, dotada de independência, garante a proteção dos dados pessoais dos cidadãos. A Lei n.º 67/98, de 26 de outubro (alterada pela Lei n.º 103/2015) estabelece as competências da Comissão Nacional de Proteção de Dados, encontrando-se a sua organização e o seu funcionamento regulados na Lei n.º 43/2004, de 18 de agosto.

A sua caracterização como autoridade independente reflete a circunstância desta entidade administrativa não estar sujeita a direção, superintendência ou tutela do poder político, pautando a sua ação por critérios de natureza essencialmente técnica, e assegurando o estatuto dos seus membros a independência e imparcialidade da sua atuação, em virtude de lhes serem atribuídas garantias de inamovibilidade e de irresponsabilidade, e a sujeição a um especial regime de incompatibilidades.

Dotada de competências de controlo administrativo prévio, no caso de tratamentos que representem maior risco, bem como de regulamentação, de fiscalização e de sancionamento, o modelo adotado é resultado da transposição da Diretiva 95/46/CE.

Discute-se atualmente, após a aprovação do recente Regulamento Geral sobre a Proteção de Dados26, acerca da necessidade de uma nova legislação em matéria de proteção de dados que, nomeadamente, clarifique as novas competências da autoridade nacional de proteção de dados. Isto, apesar de o Regulamento ser diretamente aplicável na ordem jurídica portuguesa. Uma modificação significativa nas suas competências, consequência do desenho traçado pelo Regulamento, traduzir-se-á na adoção de um novo modelo de supervisão, que, em termos gerais, elimina a supervisão prévia traduzida num controlo administrativo antecipado de modelo autorizativo, substituindo um regime preventivo por um mais reativo, deixando-se parte da função verificativa à autorresponsabilização dos responsáveis pelos tratamentos de dados, ou a empresas e profissionais de certificação reconhecida pelo Estado27. O novo modelo tem inegáveis vantagens para aqueles – cidadãos, empresas, instituições públicas - que pretendam iniciar uma atividade, pública ou privada, que requeira o tratamento de dados pessoais, por afastar os entraves administrativos e temporais a que sempre se sujeita uma atividade dependente de autorização, incluindo os que necessitem de, no âmbito da prestação de serviços no mercado interno, fazer circular dados indispensáveis à circulação de bens e de serviços. Mas, não pode deixar de suscitar interrogações sobre o seu reflexo futuro na efetiva proteção dos dados pessoais, em face da reconhecida evolução tecnológica e das limitações da resposta dos titulares dos dados perante as sempre renovadas, e cada vez mais refinadas, ameaças.

 

6. Os dados sensíveis (35.º, n.º 3)

O n.º 3 do artigo 35.º da Constituição proíbe o tratamento de um conjunto de dados considerados sensíveis, concedendo ao titular dos dados pessoais um direito ao seu não tratamento. São aí enunciados os dados referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem étnica. A proteção suplementar que lhes é especialmente concedida é justificada pelo facto de o seu tratamento poder implicar riscos acrescidos para direitos e liberdades fundamentais. A evolução do artigo sofreu influência da Diretiva 95/46/CE. O Regulamento, que veio revogar a Diretiva, mantém o essencial quanto às categorias de dados pessoais, acrescentando “orientação sexual” (conservando-se, também, “vida sexual”), mantendo o regime em que são previstas exceções à proibição de tratamento.

Admite-se, na atual redação do artigo 35.º, n.º 3, da Constituição, o tratamento desde dados cujo tratamento se pode revelar sensível, mediante autorização da lei, desde que com garantias de não discriminação, ou com o consentimento expresso do titular dos dados. Relativamente à exceção prevista no caso de haver consentimento do titular dos dados para o tratamento de informações sensíveis, é bom destacar que o Regulamento sobre a Proteção de Dados veio intensificar as exigências relativamente ao consentimento, que deve traduzir-se num ato positivo claro, indicador de uma vontade livre, específica, informada e inequívoca (artigo 7.º; considerando 32; do Regulamento). Por outro lado, note-se que sendo o consentimento solicitado numa relação jurídica em que seja patente um desequilíbrio entre as partes, deve considerar-se, em face deste, que o seu consentimento não é livre e voluntário. É o que acontece, por exemplo, nas relações laborais, em que o titular dos dados é o trabalhador, parte mais fraca na relação jurídica estabelecida28. A Constituição também autoriza, desde a sua versão originária, o processamento destes dados sensíveis para fins estatísticos, exigindo a sua anonimização29.

A atual Lei da Proteção de Dados acrescentou ao elenco constitucionalmente previsto os dados relativos à origem racial e vida sexual, os dados genéticos e os dados de saúde. A este último caso já se havia referido a jurisprudência constitucional, no Acórdão n.º 355/97, caracterizando-os como dados sensíveis, ainda que estes não estivessem expressamente incluídos no elenco do artigo 35.º, n.º 3. Fê-lo recorrendo à noção de vida privada, dele expressamente constante, integrando os dados de saúde nessa especial categoria de dados pessoais. No mesmo Acórdão, ao explicar-se a ampliação da categoria de dados sensíveis aos dados de saúde através da fórmula da “vida privada”, adianta-se que “os dados de saúde integram a categoria de dados relativos à vida privada, tais como as informações referentes à origem étnica, à vida familiar, à vida sexual, condenações em processo criminal, situação patrimonial e financeira”.

 

7. O número nacional único (35.º, n.º 5)

A proibição constitucional do número nacional único, hoje constante do artigo 35.º n.º 5, da Constituição, mas que já podia ser encontrada na versão aprovada em 1976, no então n.º 3, tem a sua origem na reação ao projeto de criação de um registo individual do cidadão, sendo, em nosso entender, uma disposição datada30. A Lei n.º 2/73, de 10 de fevereiro, criou o registo nacional de identificação, prevendo instituir um ficheiro central da população, atribuindo a cada indivíduo um número de identificação único31, constituído por códigos numéricos significativos e imutáveis, e veio a ser regulamentada pelo Decreto-Lei n.º 555/73, de 26 de outubro, que definia, designadamente, a composição desse número (artigo 9.º). O número de identificação, das pessoas singulares, seria inserido em todos os documentos e registos oficiais de indivíduos nascidos depois de 1975. Do mesmo pacote legislativo fazia parte a Lei n.º 3/73, de 5 de abril que estabeleceu algumas “medidas respeitantes à proteção da intimidade da vida privada”.

A execução de tal ficheiro foi suspensa pelo I Governo Provisório após abril de 1974, vindo, entretanto, a Constituição a dispor sobre o assunto, o que conduziu ao abandono definitivo do projeto na parte referente aos indivíduos.

O perigo mais apontado à instituição de uma chave única de acesso é o possibilitar o acesso simultâneo a vários ficheiros que, em conjunto e interrelacionados, reconstituiriam um perfil do titular dos dados. No contexto histórico em que a proibição surge, a maior ameaça às informações pessoais do cidadão era resultado da possível existência de grandes ficheiros de dados pessoais, interconectados, detidos sobretudo por entidades públicas (como a administração dos serviços de identificação, para emissão do bilhete de identidade, ou a administração fiscal, a segurança social, as polícias), mas também algumas entidades privadas que tratam grandes volumes de dados relativamente a um elevado número de pessoas singulares, como os bancos ou as seguradoras.

Mais tarde, já após a aprovação da Constituição, a discussão sobre o número único foi retomada a propósito do Decreto-Lei n.º 463/79, que criava o número fiscal. Em 1981, a discussão chegou à Comissão Constitucional que aprovou o Parecer n.º 3/81, no qual propunha ao Conselho da Revolução que não declarasse a inconstitucionalidade da norma que o instituía o número fiscal, constante do mencionado Decreto-Lei. Esse número destinar-se-ia a identificar os cidadãos perante a Administração fiscal, sendo, por outro lado, ao contrário do número previsto na legislação de 1973, um número sequencial, não formado a partir de códigos específicos que pudessem ser reveladores de caraterísticas ou situações específicas (como a data ou local de nascimento, o sexo ou a nacionalidade), por isso, não significativo. No que respeitava ao número fiscal, a Comissão considerou que este número, quando relativo a pessoas singulares, possuía “uma chave de identificação própria, sem recurso a qualquer identificador comum a vários ficheiros, e não se encontra regulamentada em termos de permitir qualquer interconexão com outros ficheiros automatizados contendo dados de carácter pessoal”. Ficava afastado o diálogo, mediante utilização de um identificador comum, entre outros, com o número de identificação civil, da segurança social, ou da carta de condução, ou outros que possam tê-los como chave de identificação. Assim, concluía a Comissão, não era violada a proibição do (então) n.º 6 do artigo 35.º da Constituição, relativa à atribuição de um número nacional único aos cidadãos. No texto, a Comissão reconhecia que a opção por uma chave individualmente atribuída a cada cidadão, funcionando como acesso comum a vários ficheiros sectoriais, constituía um problema para as liberdades públicas e para a intimidade da vida privada dos cidadãos.

Esta era, à data, a maior ameaça provocada pela informática, que neste período se encontrava, fundamentalmente, ao serviço da máquina administrativa: a reunião de dados que isoladamente nada significariam, mas que, quando interconectados, representariam um retrato do indivíduo, e possibilitariam a sua vigilância.

De todo o modo, a proibição de um número único nacional não colide com a instituição de um cartão que em si mesmo reúne números sectoriais diversos respeitantes a vários tratamentos de dados diferentes, sem interconexão entre eles. E outros números, sectoriais, mas universais, existem já – o número da segurança social, o número de utente do serviço nacional de saúde, o número do cartão de cidadão, o número de contribuinte. Este último, atualmente, permite, em teoria, traçar um perfil muito claro do indivíduo com base no seu padrão de consumo, inclusive geográfico.

Atualmente, os verdadeiros perigos da vigilância não resultam do uso de um número único que sirva para identificar um indivíduo perante vários ficheiros, já que essa correlação de informação é possível mesmo sem essa atribuição, e correspondendo ao mesmo cidadão números diferentes. O que é necessário é que se disponha de regras de acesso e interconexão bem definidas, e de medidas técnicas e organizativas de segurança da informação.

Na revisão constitucional de 1997, os Deputados José Magalhães e Luís Marques Guedes relembraram o contexto histórico em que surgiu a disposição, chegando o último a considerar que esta seria, em 1997, perfeitamente dispensável32. No entanto, a redação manteve-se.

Por outro lado, a proibição de um número único dificulta a concretização da Administração eletrónica, sem, todavia, impedir eficazmente o tratamento massivo de informação (Big Data) por entidades públicas, sobretudo ligadas à segurança, por vezes sem o cumprimento das regras mais adequadas à proteção de dados pessoais33, e por entidades privadas.

 

8. A legislação em matéria de proteção de dados pessoais

Apesar da dignidade constitucional que lhe é atribuída, a proteção dos dados pessoais exige a intervenção do legislador, conforme estabelece o texto do artigo 35.º da Constituição. Assim, o texto constitucional não só define que é a lei que estabelece as exceções aos direitos ou condições de tratamento nele fixadas – por exemplo exceções à proibição ao acesso a dados pessoais de terceiros (n.º 2) -, como impõe ao legislador a definição do conceito de dados pessoais e das condições aplicáveis ao seu tratamento (n.º 4).

No primeiro caso, a ausência da sua definição terá apenas como consequência a inexistência de exceções ao regime constitucionalmente previsto. Mas relativamente à definição de dados pessoais, quando a lei não a concretize, porá em causa garantias constitucionalmente concedidas dela dependentes, como a proibição do acesso a dados pessoais de terceiros34. Foi isso que reconheceu o Acórdão do Tribunal Constitucional n.º 182/89, que deu por verificado o não cumprimento da Constituição, por omissão da medida legislativa prevista no artigo 35.º, n.º 4 – definição de dados pessoais -, indispensável para tornar plenamente exequível a garantia constante do n.º 2 do artigo 35.º, que estabelece a proibição do acesso de terceiros a dados pessoais.

Já anteriormente, no Parecer n.º 3/81, a Comissão Constitucional havia dado nota de que se mantinha por regular legislativamente a matéria da “defesa dos direitos fundamentais do indivíduo, nomeadamente da sua privacidade, relativamente à utilização abusiva da informática”. E o Parecer da Procuradoria Geral da República, de 27 de fevereiro de 1986, também já alertara para as consequências desta omissão, a propósito da tomada de posição acerca de um projeto de atribuição de um número único de funcionário35.

Apenas na sequência do Acórdão n.º 182/89 surge a primeira Lei da Proteção de Dados. Com a aprovação da Lei n.º 10/91, de 29 de abril, são cumpridas as imposições constitucionais36. Antes da sua aprovação, alguns projetos haviam sido apresentados, sem que, todavia, tivessem chegado a ver a luz do dia37. Esta Lei sofreu influência direta da previsão constitucional, mas é igualmente marcada pela Convenção 108 do Conselho da Europa, para a proteção das pessoas singulares no que diz respeito ao tratamento automatizado de dados de carácter pessoal, primeiro instrumento internacional juridicamente vinculativo em matéria de proteção de dados pessoais38. A Lei já instituía, nomeadamente, o direito de informação, de acesso, de correção ou de eliminação de dados desatualizados, e o princípio da finalidade do tratamento.

Mais tarde, a Lei n.º 67/98, de 26 de outubro, aprovou a nova Lei da Proteção de Dados Pessoais e revogou a Lei n.º 10/91. O novo regime jurídico teve por objetivo transpor para a ordem jurídica portuguesa a Diretiva 95/46/CE, de 24 de outubro, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. A Diretiva pretendeu harmonizar a defesa dos direitos e liberdades fundamentais das pessoas singulares em relação aos tratamentos dos dados pessoais e, simultaneamente, assegurar a livre circulação desses dados entre Estados membros, condição indispensável ao funcionamento do mercado interno europeu. As normas europeias procuraram resolver os problemas gerados pela vulgarização dos computadores pessoais e da sua utilização por entidades públicas e privadas. A realização de tratamentos de dados deixara de ser privilégio do Estado (Big Brother) e de grandes empresas privadas envolvendo muitos clientes ou muitos funcionários, para se tornar acessível a cidadãos e pequenas empresas (Little Brother).

Nos mais de 20 anos decorridos desde a aprovação da Diretiva, a evolução tecnológica e um novo enquadramento social do uso dos novos mecanismos ditaram que alguns aspetos da sua regulação se tornassem desajustados ou ineficazes. A globalização sem fronteiras dos tratamentos de dados, a generalização dos dispositivos ligados à Internet - seja para comunicação, para prestação ou para acesso a serviços, para pesquisa ou divulgação de informação, ou interação -, assim como o aumento da recolha e da partilha de dados pessoais, o armazenamento de dados na nuvem, a ligação umbilical e rastreável de dados pessoais aos dados das coisas tratados na Internet das coisas, ou a facilidade da constituição de perfis dos titulares dos dados, gerados com recurso a algoritmos computacionais que, de modo veloz e discreto, constroem Big Data, são novos contextos tecnológicos a que a Diretiva tinha dificuldade de responder39. Problemas como o de saber se estarão sujeitos às regras de dados pessoais as informações disponibilizadas por motores de busca na Internet, ou o da aplicação dessas regras a tratamentos de dados que sejam realizados fora da União Europeia, são ilustrativos de novas questões jurídicas nascidas da nova realidade tecnológica.

Por outro lado, a integração económica e social, e o funcionamento do mercado interno alargado, originaram um significativo aumento dos fluxos transfronteiras de dados pessoais.

Procurando-se fazer face às dificuldades geradas pelos novos meios de informação e comunicação, foi aprovado o Regulamento Geral sobre a Proteção de Dados (UE) 2016/679, de aplicação direta nas ordens jurídicas nacionais dos Estados-Membros.

Entre as várias soluções adotadas, merece destaque o artigo 3.º, relativo ao âmbito de aplicação territorial, que obriga, por exemplo, os operadores presentes na Internet ao cumprimento das normas definidas no Regulamento, estejam estabelecidos dentro ou fora do espaço europeu, desde que prestem serviços que obriguem ao tratamento de dados pessoais de cidadãos europeus. Também são importantes o artigo 8.º, definindo condições especiais aplicáveis ao consentimento de crianças relativamente aos serviços da sociedade da informação, e o artigo 17.º, prevendo de modo expresso um “direito ao esquecimento”, traduzido no apagamento de dados pessoais. Repare-se, igualmente, que o artigo 22.º, em matéria de proibição de decisões individuais automatizadas, vem, agora, referir, expressamente, a exclusão da definição automatizada de perfis como base para a tomada de decisões automáticas. Também a nova perspetiva de obrigar os responsáveis pelos tratamentos de dados pessoais a utilizar as medidas técnicas e organizativas mais adequadas à proteção de dados, desde a conceção do tratamento (privacy by design), merece especial chamada de atenção.

Embora o Regulamento revogue a Diretiva 95/46/CE que foi transposta para as ordens jurídicas dos Estados membros em legislação interna, daí não se segue a revogação necessária da legislação nacional existente, que se manterá em vigor desde que não disponha em sentido contrário ao estabelecido no Regulamento. Por outro lado, o facto de o Regulamento ser diretamente aplicável não proíbe a emissão de normas internas dos Estados-membros. O próprio Regulamento prevê especificações ou restrições das suas regras pelo Direito de um Estado-Membro, de modo a que possa estipular as circunstâncias de situações específicas de certos tratamentos de dados pessoais. Note-se que esse entendimento resulta, quer da abertura resultante leitura de alguns considerandos do Regulamento (por exemplo do 8.º, do 10.º, do 19.º, do 45.º), quer, de modo determinante, do disposto em normas do Regulamento, como o artigo 88.º que expressamente prevê a possibilidade da emissão de “normas mais específicas” para garantia da proteção de dados pessoais do trabalhador tratados no contexto laboral, assim como o artigo 6.º ou o artigo 90.º.

 

9. A jurisprudência constitucional e o artigo 35.º da Constituição

Sem preocupação de exaustividade, atentemos na jurisprudência do Tribunal Constitucional, selecionando algumas decisões que conheceram de questões de constitucionalidade relativas a normas com reflexo na disciplina dos dados pessoais objeto de tratamentos automatizados. Antes disso, faremos referência breve à Comissão Constitucional.

A Comissão Constitucional, no já mencionado Parecer n.º 3/81, pronunciou-se acerca da constitucionalidade da norma que instituía um número fiscal de contribuinte. Este seria “um número sequencial, não significativo, para uso exclusivo no tratamento de informação de índole fiscal”. A Comissão, para apurar se esta matéria deveria estar sujeita à reserva legislativa da Assembleia da República prevista, então, no artigo 167.º alínea c) da Constituição, procurou determinar se estaria enquadrada no âmbito do direito à reserva da intimidade da vida privada, ou se estaríamos perante dados pessoais especialmente sensíveis do (então) artigo 35.º, n.º 2, ou, ainda, se a instituição do número de fiscal de contribuinte violaria a proibição do número nacional único, constante do (então) artigo 35.º, n.º 3 da Constituição. A Comissão veio a considerar que nem todos os tratamentos informatizados, ainda que contendo informações nominativas, respeitariam a direitos, liberdades e garantias, já que nem todos “os bancos de dados pessoais recolhem e tratam informações respeitantes à intimidade da vida privada e familiar, à liberdade de consciência, religião e culto, ao direito à deslocação e de emigração, às liberdades de reunião, de associação e de imprensa, à constituição e condições de ingresso em partidos políticos, etc.”. Resulta do Parecer que a Comissão entendeu que apenas os dados referentes a informações relativas à reserva da vida privada e outros direitos fundamentais, estariam sujeitos à reserva legislativa da Assembleia da República prevista, então, no artigo 167.º alínea c) da Constituição. Nesta altura, recorde-se, a jurisprudência e a doutrina ainda não haviam recortado um direito à proteção de dados pessoais com o sentido mais abrangente hoje reconhecido, de proteção da autodeterminação informativa, que a partir de 1983 começa a ganhar força, com a já mencionada decisão do BVerfGE.

A abordagem das questões atinentes a informações pessoais na jurisprudência do Tribunal Constitucional tem sido maioritariamente feita por invocação do direito à reserva da intimidade da vida privada (artigo 26.º da Constituição), ou do direito de inviolabilidade/sigilo das telecomunicações (artigo 34.º da Constituição). Nalgumas das decisões está mesmo em causa um tratamento automatizados de dados.

Do primeiro caso são exemplo o Acórdão n.º 128/92 (a norma em apreciação previa como fundamento de resolução do contrato de arrendamento a aplicação reiterada ou habitual do locado a práticas ilícitas, imorais ou desonestas), o Acórdão n.º 278/95 (em causa estava o segredo bancário: tanto a acusação como o despacho de pronúncia por crime de natureza fiscal utilizaram, como meio de prova, dados informativos remetidos por instituição bancária por referência a contas bancárias do arguido), o Acórdão n.º 319/95 (no caso, estava em análise a submissão do recorrente a exame de pesquisa de álcool no ar expirado efetuado por agente de autoridade a fim de verificar a prática de crime de condução de veículo sob influência de álcool), o Acórdão n.º 255/2002 (o Tribunal apreciou norma que permitia a utilização de equipamentos eletrónicos de vigilância e controlo por parte das entidades que prestam serviços de Segurança Privada), o Acórdão n.º 306/2003 (a questão analisada prendia-se com a possibilidade de o empregador exigir informações relativas à saúde ou estado de gravidez do candidato a emprego ou trabalhador, quando particulares exigências inerentes à natureza da atividade profissional o justifiquem).

Nalguns casos, como no Acórdão n.º 555/2007, e do Acórdão n.º 230/2008, nos quais se discutia a constitucionalidade da norma que estabelece que deve o empregador afixar, de forma visível, o mapa de quadro de pessoal da empresa, ou, no caso de apresentação por meio informático, disponibilizar a sua consulta durante um período de 30 dias, o Tribunal revelou mesmo entender ser o direito à proteção de dados consumido no direito à reserva da intimidade da vida privada (o direito à autodeterminação informativa estaria já consagrado no artigo 26.º sobre o direito à reserva da intimidade da vida privada).

Quanto à inviolabilidade das comunicações, o exemplo mais recente é o Acórdão n.º 403/2015 (neste aresto analisou-se a conformidade constitucional de norma que admitia o acesso aos oficiais de informação do SIS e SIED a dados de tráfego, de localização ou outros dados conexos das comunicações, sempre que tal se verificasse necessário, adequado e proporcional para o cumprimento das atribuições legais dos serviços de informação).

Outros Acórdãos há, como o Acórdão n.º 241/2002 (no qual se analisou norma que, em processo civil, viabilizava ao juiz a obtenção de dados pessoais de um trabalhador - informações relativas aos dados de tráfego e à faturação detalhada de linha telefónica instalada na sua morada - contidos nos sistemas informáticos dos operadores de telecomunicações), que invocam simultaneamente os parâmetros dos artigos 26.º e 34.º da Constituição. Neste exemplo, estavam em causa informações relativas aos dados de tráfego e faturação detalhada, que são dados pessoais.

Apesar da abundante jurisprudência do Tribunal Constitucional invocando os referidos parâmetros constantes do artigo 26.º e do artigo 34.º, o Tribunal também já recorreu diretamente à previsão do artigo 35.º da Constituição para proteger o cidadão em face do uso abusivo das suas informações pessoais, uma vez que o âmbito de proteção deste e daqueles direitos não é coincidente, existindo norma especificamente dedicada à proteção dos dados pessoais.

Uma dessas situações surge no Acórdão n.º 355/97, no qual estava em causa norma relativa à constituição de ficheiros automatizados com registos oncológicos. Neste Acórdão, o Tribunal considerou que os dados de saúde eram dados sobre a reserva da intimidade da vida privada. Embora considerando ser possível resolver o problema de constitucionalidade mediante invocação do artigo 26.º, por estarem em causa dados de saúde, que o Tribunal considerou integrarem a categoria de dados relativos à intimidade da vida privada, ainda assim, o Tribunal recorreu, e bem, por se tratar de um tratamento de dados automatizados, ao artigo 35.º, que “reconhece e garante um conjunto de direitos fundamentais, que aglutina nesse preceito, como o direito de acesso aos registos informáticos para conhecimento dos dados pessoais deles constantes (nº 1 do artigo 35º), o direito de sigilo em relação aos responsáveis de ficheiros automatizados e a terceiros dos dados pessoais informatizados e do direito à sua não interconexão (nº 2) e o direito ao não tratamento informático de certos tipos de dados pessoais (nº 3), referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa ou vida privada - salvo quando se trate de processamento de dados estatísticos não individualmente identificáveis”.

Já o Acórdão n.º 213/2008 decidiu não existir violação do artigo 35.º, n.º 4, pela norma que previa a admissão e valoração de provas documentais relativas a dados pessoais do arguido respeitantes à sua vida privada, retirados de uma base informatizada sem o respetivo consentimento. Nele se afirmou: “Note-se, contudo, que esta proibição (do 35.º, n.º 4) não impede o acesso apenas aos dados íntimos duma pessoa, mas a todos os dados a ela relativos, mesmo que em nada afetem a sua privacidade. O que se pretende preservar é a informação individual de uma pessoa, independentemente desta respeitar ou não à sua intimidade, prevenindo-se um potencial risco de violação de direitos fundamentais do cidadão, nomeadamente o direito à reserva da intimidade da vida privada (vide, neste sentido HELENA MONIZ, em “Notas sobre a proteção de dados pessoais perante a informática”, na R.P.C.C., Ano 7, n.º 2, pág. 250-251). Protege-se o chamado direito à autodeterminação informacional, o qual tem um círculo de aplicação, apenas parcialmente coincidente com o círculo de aplicação do direito à reserva da intimidade da vida privada, e que funciona como direito de garantia deste”.

O artigo 35.º também foi utilizado como parâmetro no Acórdão n.º 368/2002, a propósito das normas que versam sobre dados de saúde, ao instituírem as fichas clínicas e de aptidão, no âmbito da segurança, higiene e medicina do trabalho.

Como se deixou já expresso, a invocação do artigo 35.º para proteção da autonomia do indivíduo relativamente às suas informações pessoais em caso de tratamento automatizado não deve depender da presença de um tratamento de dados que envolva informações que também possam caber no âmbito de proteção do direito à reserva da intimidade da vida privada ou, sequer, do direito à inviolabilidade do segredo das telecomunicações40. O seu âmbito de proteção extravasa o objeto daqueles. Isto é, ainda que não esteja em causa um tratamento de dados pessoais relativo a dados da intimidade da vida privada, ou ao conteúdo ou dados de tráfego das telecomunicações, os tratamentos de dados pessoais ficam sujeitos ao disposto no artigo 35.º da Constituição, sendo garantido ao respetivo titular os direitos aí consignados (sempre, naturalmente, com a diferença de regime que possa resultar do facto de serem, ou não, dados especialmente sensíveis), e devendo a sua afetação cumprir as exigências constitucionais relativas aos direitos, liberdades e garantias.

 

Conclusão - O artigo 35.º e o futuro

Pelo seu objeto, incindivelmente ligado à utilização das sempre renovadas tecnologias de comunicação e informação, o artigo 35.º da Constituição será sempre um preceito em devir, já que até mesmo a linguagem que utiliza se refere, necessariamente, a uma realidade em cada momento tecnologicamente datada41. A demonstrá-lo, basta que atentemos nas múltiplas alterações e aditamentos que o artigo foi sofrendo nas revisões constitucionais. A começar pela modificação da linguagem técnica utilizada, que evoluiu da referência originária a “registos mecanográficos” para passar, com a primeira revisão constitucional, em 1982, a fazer menção aos “registos informáticos”. O uso desta noção está, ele mesmo, ultrapassado pela realidade tecnológica: a informática é, atualmente, apenas uma parte das tecnologias de informação e de comunicação. O que também torna redutora a sua utilização na epígrafe do texto (“Utilização da informática”), por não refletir a as atuais circunstâncias tecnológicas.

A permanente evolução da tecnologia - e as modificações sociais que a acompanham - dita que o Direito que a enquadra, mesmo quando se trata de um Direito tendencialmente mais estável, como o que é composto por normas de uma Lei Fundamental, fique sujeito a necessárias adaptações.

O conteúdo do artigo 35.º é, igualmente, determinado pelas normas europeias, muito sensíveis às temáticas das novas tecnologias e aos direitos dos cidadãos nestes domínios. Isso mesmo encontra reflexo em muitas das alterações acima mencionadas

Esta necessidade de adaptação evolutiva não belisca a relevância desta proteção constitucional, a que o legislador constituinte reservou preceito autónomo, que vai além da proteção da reserva da intimidade da vida privada dos cidadãos, conferida no artigo 26.º da Constituição. Pelo contrário, instrumentos europeus recentes, de proteção de direitos fundamentais, como a Carta de Direitos Fundamentais da União Europeia, não deixam de sublinhar esta distinção, consagrando em disposições distintas a defesa da vida privada (artigo 7.º da Carta de Direitos Fundamentais da União Europeia - direito à intimidade da vida privada e familiar), e a defesa dos dados pessoais (artigo 8.º da Carta de Direitos Fundamentais da União Europeia - proteção de dados pessoais), assumindo, neste último, a fundamentalidade dos direitos da proteção de dados pessoais em si mesmo considerados.

A consagração constitucional de um direito à proteção de dados pessoais, e de um direito à Internet, é garantia destes direitos, que radicam na dignidade da pessoa humana e na autodeterminação do indivíduo.

Garantia em face das cada vez maiores ameaças resultantes da evolução tecnológica que sempre descobrirá novas formas de tratamento e de utilização da informação pessoal. E garantia perante a evolução social tecnologicamente determinada, que é resultado da transformação da relação globalizada, quotidiana e instantânea de cada um com as tecnologias de informação e comunicação. Também contribui para esta transformação social da relação com as tecnologias o facto de a sua utilização ser hoje mais acessível a destinatários de informações pessoais, mas também aos respetivos titulares que percecionam como indispensável a sua utilização para o relacionamento social e para o exercício de direitos.

E é associada a essa indispensabilidade que o Direito também oferece a garantia de acesso à rede como mecanismo técnico e, em simultâneo, de inserção digital necessária, designadamente, ao desenvolvimento pessoal e social de cada um.

Em suma, pioneira na atribuição de dignidade constitucional ao direito da proteção de dados pessoais, logo na sua versão originária de 1976, resulta do percurso empreendido que a Constituição não se alheou da evolução tecnológica, procurando ajustar-se a novos tempos, tendo o legislador constituinte por objetivo a garantia dos direitos e liberdades do cidadão na sua relação com a constante novidade das tecnologias de informação, comunicação e interação.

 

 

***

 

 

1 Docente da Faculdade de Direito da Universidade de Coimbra, ccastro@fd.uc.pt(Pátio da Universidade, 3004- 545, Coimbra), e Juíza do Tribunal Constitucional (Rua de “O Século”, 111, 1249-117, Lisboa).

2 Sobre Direito da Informática e Direito Eletrónico: JOSÉ CARLOS DE ARAÚJO ALMEIDA FILHO, Direito Eletrônico ou Direito da Informática?, Informática Pública, Vol. 7, 2005, disponível em http://www.ip.pbh.gov.br/ANO7_N2_PDF/IP7N2_almeida.pdf, consultado a 14 de dezembro de 2016.

3 Uma breve caracterização pode ser encontrada em: J. SEABRA LOPES, A Proteção de Dados Pessoais no Contexto Internacional e Comunitário, Legislação – Cadernos de Ciência de Legislação, INA, n.º 8, Outubro-Dezembro 1993, pp. 9 e ss.. Sobre a evolução posterior escreveu o mesmo autor: O artigo 35.º da Constituição: da génese à atualidade e ao futuro previsível, Fórum da Proteção de Dados, n.º 2, janeiro de 2016, pp. 15 e ss..

4 As mesmas preocupações de adaptação à realidade tecnológica ditaram alterações, por exemplo, ao artigo 34.º da Constituição da República Portuguesa.

5 O projeto deste artigo foi apresentado pela Comissão dos Direitos e Deveres Fundamentais. No texto original fazia-se referência a “ordenadores informáticos”, depois substituída por “registos mecanográficos”, na sequência de uma proposta do Partido Socialista (Diário da Assembleia da República n.º 38, de 28 de agosto de 1975).

6 Mais tarde, seria aprovada a Recomendação da OCDE, de 23 de setembro de 1980, que estabelece as Linhas Diretrizes a que devem obedecer as legislações nacionais em matéria de proteção de dados pessoais.

7 Sobre as revisões constitucionais e o seu reflexo no artigo 35.º da Constituição: JOSÉ MAGALHÃES, Dicionário da Revisão Constitucional, Publicações Europa-América, Lisboa, 1989, pp. 374-375. Em especial sobre a Constituição de 1976, as revisões constitucionais e o artigo 35.º: ALEXANDRE SOUSA PINHEIRO, Privacy e Protecção de Dados Pessoais: a Construção Dogmática do Direito à Identidade Informacional , Associação Académica da Faculdade de Direito de Lisboa, Lisboa, 2015, pp. 665 e ss.

8 Acórdão n.º 182/89, disponível, como os demais adiante citados, em http://www.tribunalconstitucional.pt.

9 Veja-se, por exemplo, o que refere JOSÉ AUGUSTO SACADURA GARCIA MARQUES, Informática e Vida Privada, Boletim do Ministério da Justiça, n.º 373, fevereiro 1988, pp. 5 e ss (p. 32).

10 O que veio a ser feito na Lei n.º 10/91, de 29 de abril.

11 Sendo as modificações introduzidas por projetos do PS (n.º 3/VII) e do PCP (n.º 4/VII): Discussão e Votação dos projetos – DAR n.º 78.º/VII, II Série- RC.

12 Ponto 5.

13 No mesmo sentido, ALEXANDRE SOUSA PINHEIRO, Privacy e Protecção de Dados Pessoais: a Construção Dogmática do Direito à Identidade Informacional, Associação Académica da Faculdade de Direito de Lisboa, Lisboa, 2015, p. 717.

14 Veja-se o Ponto 4. É interessante a leitura da intervenção do Deputado José Magalhães, na Comissão Eventual de Revisão Constitucional, que defendeu a inserção deste número (DAR n.º 78.º/VII, II Série- RC, p. 66. Este Diário da Assembleia da República encontra-se disponível em http://app.parlamento.pt/darpages/dardoc.aspx?doc=6148523063446f764c324679626d56304c334e706447567a4c315a4a5355786c5a79394551564a4a5353394551564a4a5355467963585670646d38765356596c4d6a42535a585a7063384f6a627955794d454e76626e4e306158523159326c76626d46734c3052425569314a53533153517930774e7a67756347526d&nome=DAR-II-RC-078.pdf, consultado a 2 de dezembro de 2016).

15 No mesmo sentido, JOSÉ MAGALHÃES, Dicionário da Revisão Constitucional, Publicações Europa-América, Lisboa, 1989, p. 375.

16 Em nosso entender, a epígrafe proposta seria, ela mesma, redutora, na medida em que na revisão constitucional de 1997 se procedeu ao alargamento do âmbito do artigo num outro sentido: acomodou-se um direito à Internet, perfeitamente autonomizado da proteção de dados, ainda que a Internet pressuponha e facilite tratamentos de dados pessoais. A discussão sobre a epígrafe pode ser encontrada em DAR n.º 78.º/VII, II Série- RC, pp 62 e 63; p.66.

17 Sobre o direito à reserva da intimidade da vida privada e a jurisprudência do Tribunal Constitucional: PAULO MOTA PINTO, A proteção da vida privada e a jurisprudência do Tribunal Constitucional, Relatório apresentado na Conferência Trilateral dos Tribunais Constitucionais de Portugal, Espanha e Itália, 2006, disponível em http://www.tribunalconstitucional.pt/tc/conteudo/files/textos/textos0202035.pdf, consultado a 2 de Dezembro de 2016. O Acórdão n.º 128/92 do Tribunal Constitucional (disponível em http://www.tribunalconstitucional.pt) referiu-se, pela primeira vez, ao direito à reserva sobre a intimidade da vida privada.

18 Que a jurisprudência alemã ajudou, de forma muito marcante, a delimitar, enquanto informationelle Selbstbestimmung, na decisão do BVerfGE de 1983, sobre os Censos. Para maior desenvolvimento: ALEXANDRE SOUSA PINHEIRO, Privacy e Protecção de Dados Pessoais: a Construção Dogmática do Direito à Identidade Informacional, Associação Académica da Faculdade de Direito de Lisboa, Lisboa, 2015; CATARINA SARMENTO E CASTRO, Direito da Informática, Privacidade e Dados Pessoais, Almedina, Coimbra, 2005.

19 Expressando esta mesma opinião: J. SEABRA LOPES, A Proteção de Dados Pessoais no Contexto Internacional e Comunitário, Legislação – Cadernos de Ciência de Legislação, INA, n.º 8, outubro-dezembro 1993, pp. 9 e ss. (pp. 26-27).

20 Para maiores desenvolvimentos, CATARINA SARMENTO E CASTRO, O Direito à Internet, Cyberlaw by CIJIC, n.º 2, junho 2016, disponível em http://www.cijic.org/wp-content/uploads/2016/06/DIREITO----INTERNET_Catarina-Sarmento-e-Castro.pdf.

21 A discussão pode ser acompanhada no DAR n.º 78.º/VII, II Série- RC, pp. 63 e ss..

22 O artigo 267.º, n.º 3, da Constituição, prevê que a lei possa criar entidades administrativas independentes.

23 Era uma proposta do Partido Socialista (Diário da Assembleia da República n.º 38, de 28 de agosto de 1975).

24 Diário da Assembleia Constituinte, n.º 38, pp. 1059-1061, e n.º 130, p. 4373; veja-se, ainda, o Parecer n.º 3/81, da Comissão Constitucional, 14.º Volume, Imprensa Nacional Casa da Moeda, 1983, pp. 163 e ss..

25 Apresentado pelo PCP. Projeto n.º 2/V, Diário da Assembleia da República, Separata 1/V, 31 de dezembro de 1987.

26 Regulamento Geral sobre a Proteção de Dados (UE) 2016/679, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (revoga a Diretiva 95/46/CE), aprovado a 27 de abril de 2016, e que entrará em vigor a 25 de maio de 2018.

27 Sobre tal alteração: FILIPA CALVÃO, O Modelo de Supervisão de Tratamentos de Dados Pessoais na União Europeia: da Atual Diretiva ao Futuro Regulamento, Fórum da Proteção de Dados, n.º 1, julho 2015, pp. 35 e ss.

28 Sobre o tratamento de dados pessoais no âmbito do trabalho, e, em especial, sobre o consentimento, veja-se o Parecer do Grupo do Artigo 29.º, Parecer n.º 8/2001, de 13 de setembro de 2001, disponível em: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2001/wp48_en.pdf, consultado a 24 de novembro de 2016.

29 Sobre o tratamento de dados para fins estatísticos, a importância dos dados estatísticos, a anonimização, a pseudonimização, o segredo estatístico, e os desafios lançados pela necessidade de informação para fins de investigação científica, pode ver-se: CATARINA SARMENTO E CASTRO, A Limitação do Segredo Estatístico: segredo estatístico versus publicidade, Indicadores Locais de Desenvolvimento Sustentável. O Caso de Estarreja (Coord. Sara Moreno Pires, Alexandra Aragão, Teresa Fidélis, Irineu Mendes), Instituto Jurídico da Faculdade de Direito, 2017, pp. 152 e ss..

30 Neste sentido, JOSÉ JOAQUIM GOMES CANOTILHO / VITAL MOREIRA, Constituição da República Portuguesa Anotada, Volume I, 4.º Edição, Coimbra Editora, Coimbra, 2007, pp. 547 e ss. (p. 556). Em sentido contrário, PAULA RIBEIRO DE FARIA, Anotação ao Artigo 35.º da Constituição, Constituição Portuguesa Anotada, Tomo I, 2.ª Edição, Coimbra Editora, Coimbra, 2010, pp. 779 e ss. (pp. 802 e ss.). Isso mesmo relembra o Deputado José Magalhães, na discussão sobre o preceito, na Comissão Eventual de Revisão Constitucional, disponível no DAR n.º 78.º/VII, II Série- RC, p. 62.

31 Deixamos de lado as referências a pessoas coletivas e ao ficheiro central de pessoas coletivas, também visadas nalgumas disposições.

32 Comissão Eventual para a Revisão Constitucional, DAR n.º 78.º/VII, II Série- RC, p. 65.

33 Veja-se, por exemplo, que o Tribunal de Justiça da União Europeia, por decisão de 8 de abril de 2014 (Acórdão Digital Rights Ireland, Lda) declarou inválida a Diretiva 2006/24/CE sobre conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, por desrespeito ao princípio da proporcionalidade previsto na Carta de Direitos Fundamentais da União Europeia.

34 Considerando haver uma incoerência neste raciocínio, expresso pelo Tribunal Constitucional, no Acórdão n.º 182/89: ALEXANDRE SOUSA PINHEIRO, Privacy e Protecção de Dados Pessoais: a Construção Dogmática do Direito à Identidade Informacional, Associação Académica da Faculdade de Direito de Lisboa, Lisboa, 2015.

35 Parecer n.º 88/1985, disponível em http://www.ministeriopublico.pt/iframe/pareceres-do-conselho-consultivo-da-pgr, consultado a 26 de novembro de 2016.

36 A Lei n.º 28/94, de 29 de abril, aprovou alterações à Lei da Proteção de Dados. Uma das mais significativas foi a de se abandonar a necessidade de autorização da CNPDI para os fluxos transfronteiras de dados pessoais, quando estivessem em causa transferências no território de estados contratantes da Convenção 108, já que, segundo os termos desta, não seria possível estabelecer, nesses casos, uma necessidade de autorização.

37 Sobre esta Lei: JOSÉ AUGUSTO GARCIA MARQUES, Legislar sobre Proteção de Dados em Portugal, Legislação - Cadernos de Ciência de Legislação, INA, n.º 8, Outubro-Dezembro 1993, pp. 37 e ss..

38 Isto, apesar de, na altura, a Convenção não ter ainda entrado em vigor em Portugal: assinada a 14 de abril de 1981, Portugal apenas ratificou a Convenção em 1993, havendo entrado em vigor em Portugal em 1994.

39 Sobre alguns dos desafios das novas tecnologias: CATARINA SARMENTO E CASTRO, A Jurisprudência do Tribunal de Justiça da União Europeia, o Regulamento Geral sobre a Proteção de Dados Pessoais e as Novas Perspetivas para o Direito ao Esquecimento na Europa, Estudos em Homenagem ao Conselheiro Presidente Rui Moura Ramos, Vol. I, Almedina, Coimbra, 2016, pp. 1047 e ss..

40 Considerando que o direito à autodeterminação informativa do artigo 35.º não se restringe à tutela da vida privada de cada um: ALEXANDRE SOUSA PINHEIRO, Privacy e Proteção de Dados Pessoais: a Construção Dogmática do Direito à Identidade Informacional, Associação Académica da Faculdade de Direito de Lisboa, 2015; PAULA RIBEIRO FARIA, Anotação ao Artigo 35.º da Constituição, Constituição Portuguesa Anotada, Tomo I, 2.ª Edição, Coimbra Editora, Coimbra, 2010, p. 785; JOSÉ JOAQUIM GOMES CANOTILHO / VITAL MOREIRA, Constituição da República Portuguesa Anotada, Volume I, 4.º Edição, Coimbra Editora, Coimbra, 2007, p. 551; HELENA MONIZ, Notas sobre a Proteção de Dados Pessoais Perante a Informática – o Caso Especial dos Dados Pessoais Relativos à Saúde, Revista Portuguesa de Ciência Criminal, Ano 7, Abril-Junho 1997, p. 245. Em sentido contrário: PAULO MOTA PINTO, A Proteção da Vida Privada na Jurisprudência do Tribunal Constitucional, 2006, p. 2, disponível em: http://www.tribunalconstitucional.pt/tc/conteudo/files/textos/textos0202035.pdf, consultado a 2 de dezembro de 2016.

41 Neste sentido já se pronunciava, por exemplo, JOSÉ AUGUSTO SACADURA GARCIA MARQUES, Legislar sobre Proteção de Dados em Portugal, Legislação - Cadernos de Ciência de Legislação, INA, n.º 8, Outubro-Dezembro 1993, pp. 37 e ss.. Veja-se os desafios que a tecnologia coloca à Constituição, por exemplo, em: JEFFREY ROSEN, Introduction: Technological Change and the Constitutional Future, Constitution 3.0 – Freedom and Technological Change, Brookings, Institution Press, Washington, 2011, pp. 1 e ss..

 

 

***