Assunto: Projecto de lei intitulado «Lei da protecção dos dados pessoais»
1. Os senhores Deputados Hoi Sai Iun, Chui Sai Cheong, Leong Iok Wa, Jorge Manuel Fão, Iong Weng Ian, José Manuel de Oliveira Rodrigues, Vong Hin Fai e Philip Xavier apresentaram, no pretérito dia 15 de Junho do corrente ano de 2005, o projecto de lei intitulado «Lei da protecção dos dados pessoais».
O sobredito projecto foi admitido, nos termos regimentais, pela Senhora Presidente da Assembleia Legislativa pelo Despacho n.º 169/II/2005, do mesmo dia 15 de Junho.
Em reunião plenária realizada no dia 30 de Junho, o projecto de lei agora em análise foi apresentado e debatido na generalidade tendo merecido a aprovação na generalidade por unanimidade.
Por despacho da Senhora Presidente da Assembleia Legislativa, n.º 181/II/2005, de 30 de Junho, foi distribuída a esta Comissão para «efeitos de exame e emissão de parecer até ao dia 29 de Julho de 2005» o projecto de lei em epígrafe.
Dava-se assim por concluída esta primeira fase da tramitação formal do processo legislativo, passando-se, então, a um momento seguinte com a intervenção da Assembleia Legislativa centrada agora na comissão especializada competente.
2. A Comissão reuniu formalmente nos dias 4, 13, 19, 25 e 28 de Julho.
Entretanto, dada a complexidade da matéria e ainda pelo facto de os subscritores terem vindo a manter contactos informais com representantes do Governo, dos quais resultaram algumas das soluções preconizadas no articulado, a Comissão decidiu solicitar, através da Secretária para a Administração e Justiça, a elaboração de pareceres e comentários que se achasse por bem produzir.
Saliente-se, porque justo, a colaboração prestada por representantes do Executivo traduzida, para além de algumas soluções concretas resultantes da discussão de articulados preliminares, no envio de vasta legislação – de Portugal, de vários países da União Europeia, entre outros – e outra documentação relevante como a Directiva Europeia sobre o assunto e, bem assim, de um articulado preparado no âmbito dos serviços de Justiça o qual contribuiu sobremaneira para o texto final do projecto de lei agora em apreciação.
Atendendo ainda ao facto de o articulado versar sobre a qualificada matéria de direitos fundamentais e deter um âmbito transversal de aplicabilidade, foi o projecto de lei excepcionalmente submetido a apreciação pública. Sendo verdade que se poderia admitir a adequabilidade de um período de consulta mais alargado vero é também que a circunstância de a legislatura estar a findar não permitiu o alargamento do prazo. Refira-se, de qualquer modo, que todos os textos chegados entretanto fora do prazo de auscultação fixado não deixaram, por isso, de merecer a consideração devida por parte da Comissão.
Em anexo ao presente parecer constam todos os pareceres e textos de comentário e sugestões recebidos pela Assembleia Legislativa.
3. A Comissão realça o facto de vários Deputados terem vindo a acompanhar a questão da protecção dos dados pessoais tendo para o efeito efectuado uma visita de trabalho a Hong Kong, mais precisamente ao Privacy Commissioner for Personal Data, o qual foi criado em 1996, tendo aí obtido importantes esclarecimentos e documentação os quais foram tidos na devida conta e adaptados tendo em consideração que Hong Kong é um sistema jurídico de common law e não da família romano-germânica como é o caso de Macau.
Aliás, é mister sublinhar que os princípios estruturantes vigentes na vizinha RAE estão acolhidos no projecto de lei, nomeadamente a definição de dados pessoais, regime de notificações, princípio de não sujeição a decisões individuais automatizadas, aplicação a entidades públicas e privadas, entre muitos outros. O projecto de lei inovou, por contraponto à legislação de Hong Kong em importantes áreas como a da identificação da finalidade do tratamento dos dados e a criação de uma categoria de dados sensíveis.
Ainda no âmbito dos trabalhos preparatórios, que se prolongaram por mais de dois anos, a assessoria desta Assembleia elaborou diversos estudos sobre o assunto. Realce-se que foi por indicação da Senhora Presidente da Assembleia Legislativa que se procedeu ao primeiro estudo jurídico sobre o aliciante, complexo e actual tema da protecção jurídica dos dados pessoais.
4. No decurso da análise na especialidade a Comissão decidiu propor alterações ao texto do projecto de lei tendo em consideração o seu aperfeiçoamento. Neste âmbito foram tomadas na devida nota os vários pareceres e comentários entretanto recebidos.
Tendo, entretanto, sido contactados os subscritores do projecto de lei e obtida a sua adesão às alterações preconizadas pela Comissão, decidiu esta proceder à apresentação de um texto revisto em substituição do articulado do projecto de lei, a fim de facilitar uma melhor apreensão e ordenação das propostas preconizadas pela Comissão o qual apresenta já as alterações devidamente inseridas e ordenadas.
Doravante as referências ao articulado da proposta legislativa no presente Parecer são feitas, salvo menção expressa em contrário, à mencionada versão revista que consta em Anexo.
«Onde não há privacidade não existe dignidade»
5. O tema da protecção de dados pessoais é pertinente, actual e intimamente ligado com o advento de novas tecnologias, nomeadamente ao nível informático, embora não se esgote no armazenamento e tratamento informático dos dados pessoais. Por exemplo, pode uma entidade empregadora utilizar os dados recebidos por interessados a propósito de processos de recrutamento? E que utilização pode ser feita desses dados? Ou então pode uma entidade pública facultar os dados pessoais de determinado indivíduo a outra entidade pública? E em que termos?
Estas são apenas algumas questões apresentadas a título exemplificativo que poderão ser melhor respondidas com a aprovação de nova legislação geral sobre a protecção dos dados pessoais.
6. É mister sublinhar que «O tema em análise apenas será devidamente apreendido e compreendido se previamente inserido no seu devido contexto e no direito fundamental geral e complexo onde se ancora: o direito fundamental de protecção da privacidade».
De imediato se proclama que se está perante um direito fundamental complexo, sob diversos ângulos, e relativamente jovem, tendo sido já apelidado de direito fundamental do novo milénio.
É um direito complexo e não tradicional, comportando várias vertentes – as mais das vezes novas e surgidas á luz das novas tecnologias – que, por essa razão, não se pode ver reconduzido à clássica análise que se faz, por exemplo, a propósito do direito de reunião e de manifestação ou do direito de associação para citar apenas dois casos de direitos fundamentais clássicos.
Colocado este alerta preliminar é tempo de avançar, começando, precisamente, pelo tecido jurídico-normativo vigente.
7. Em primeiro lugar cabe relembrar aqui que, nos termos do artigo 30.º da Lei Básica «Aos residentes de Macau são reconhecidos (...) o direito à reserva da intimidade da vida privada e familiar.».
Todavia, o espectro constitucional de protecção, em diferentes níveis, da privacidade não se esgota neste preceito. Na verdade, também o artigo 32.º do mesmo diploma fundamental, entre outros, fornece garantias: «A liberdade e o sigilo dos meios de comunicação dos residentes de Macau são protegidos pela lei. Nenhuma autoridade pública ou indivíduo poderá violar a liberdade e o sigilo dos meios de comunicação dos residentes, sejam quais forem os motivos (...).».
Por outro lado, como se escreveu «Também a Declaração Conjunta não olvidou a questão – ou parte dela - tendo estabelecido, no ponto V, do seu Anexo I, o direito à inviolabilidade do domicílio e das comunicações.».
Ainda em sede de direito internacional merece referência o PIDCP (Pacto Internacional sobre os Direitos Civis e Políticos), o qual estatui, no seu artigo 17.º o princípio da proibição de invasão ilegal e arbitrária da privacidade:
«1. .Ninguém será objecto de intervenções arbitrárias ou ilegais na sua vida privada, na sua família, no seu domicílio ou na sua correspondência, nem de atentados ilegais á sua honra e à sua reputação.
2. Toda e qualquer pessoa tem direito à protecção da lei contra tais intervenções ou tais atentados.».
8. No plano da legislação ordinária o sistema jurídico local contém diversas disposições sobre o tema, em várias vertentes.
Desde logo é mister recordar, pela sua inelutável posição emblemática e porque é nesta sede que se aponta pela primeira vez para o caminho da elaboração de uma lei geral sobre protecção de dados, o Código Civil. Na verdade, esta trave mestra do sistema jurídico local, estatuiu em boa hora um conjunto de preceitos relativos a direitos fundamentais pessoais, ou, em terminologia juscivilística, direitos de personalidade.
No caso vertente vale a pena, por razões antes expostas e comodidade de referência, reproduzir alguns dos seus normativos:
1. Todos devem guardar reserva quanto à intimidade da vida privada de outrem.
2. A extensão da reserva é definida conforme a natureza do caso e a condição das pessoas; designadamente, a reserva será delimitada pelo âmbito que, por seus próprios actos, a pessoa mantenha reservado e, para as figuras públicas, pela relação existente entre os factos e o motivo da notoriedade.»
Mais estabelece este nobre código, e com relevo muito especial para o tema que ora nos ocupa:
1. Toda a pessoa tem direito a tomar conhecimento dos dados constantes de ficheiros ou registos informáticos a seu respeito e do fim a que se destinam, podendo exigir a sua rectificação ou actualização, salvo o disposto em normas especiais sobre segredo de justiça.
2. A recolha de dados pessoais para tratamento informático deve ser feita com vinculação estrita às finalidades a que se destinam esses dados, as quais devem ser dadas a conhecer ao seu titular.
3. O acesso a ficheiros e registos informáticos para conhecimento de dados pessoais relativos a terceiros e respectiva interconexão carecem de autorização, para cada caso, da autoridade pública encarregada de fiscalizar a recolha, armazenamento e utilização dos dados pessoais informatizados.»
Vários outros preceitos deste diploma se relacionam com vertentes da protecção da privacidade, nomeadamente os artigos 75.º (Missivas confidenciais), 76.º (Memórias familiares e outros escritos confidenciais).
9. A Assembleia Legislativa já se pronunciou, em forma de lei, sobre o tema merecendo realce, neste contexto, a Lei n.º 16/92/M, de 28 de Setembro, intitulada Sigilo das Comunicações e Reserva da Intimidade Privada.
Esta lei constituiu, sem favor, um marco na produção legislativa atinente ao tema em questão.
A sua origem funda-se em dois articulados apresentados à Assembleia Legislativa, um projecto e uma proposta de lei formalmente distintos tendo, a final, resultado a sua fusão. O articulado então aprovado – que aqui se não reproduz – prolongava-se por mais de 20 artigos e tratava de, entre outros, o dever de sigilo, devassa da vida privada, nomeadamente por meio de informática e, bem assim, de normas criminais.
Todavia, o destino desta lei não foi o mais feliz porquanto foi retalhada sucessivamente com a entrada em vigor do Código Penal e, posteriormente, do Código de Processo Penal.
Com efeito, em vigor não restam hoje mais do que meia dúzia de preceitos desta lei, nomeadamente os quatro primeiros. Ou seja, actualmente, é uma verdadeira manta de retalhos que de eficácia pouco se encontra.
Para além destas revogações retalhantes, operadas concretamente pelos Decreto-Lei n.º 58/95/M, de 14 de Novembro, que aprova o Código Penal e Decreto-Lei n.º 48/96/M, de 2 de Setembro, que aprova o Código de Processo Penal.
Cumpre, no entanto, informar que a tais revogações não sucedeu, necessariamente, a substituição das normas revogadas por outras novas insertas em tais códigos. Ou seja, normas há – por exemplo a do artigo 21.º - que foram simplesmente expurgadas do mundo jurídico vigente em Macau, sem que se perceba o porquê dessa opção.
Neste quadro, fácil se torna concluir pela inoperância, nomeadamente preventiva, da lei em questão.
10. A protecção jurídica da privacidade no ordenamento jurídico local não se esgota, no entanto, por aqui.
Na verdade, ao nível da tutela penal registe-se o Código Penal que, entre outros normativos de relevo, dedica um capítulo aos «Crimes contra a reserva da vida privada», artigos 184.º a 193.º, para os quais desde já se remete na integralidade, pela sua importância.
Para além destes dispositivos, encontramos um conjunto de outros preceitos penais avulsos que tutelam penalmente a privacidade, nomeadamente pela via da criminalização da violação de segredo ou aproveitamento indevido de funções, por exemplo na Lei n.º 11/2003, Declaração de Rendimentos e Interesses Patrimoniais.
11. Vários outros diplomas dedicam normas com incidência na protecção da privacidade, sendo fastidioso e não muito fácil, fazer o elenco total.
A título meramente exemplificativo pode-se mencionar, sem qualquer ordem de relevo ou de hierarquização:
a) A Lei de Bases de Política Familiar – artigo 6.º sobre privacidade da vida familiar;
b) A Lei da Liberdade Religiosa – artigo 6.º sobre reserva pessoal das convicções religiosas;
c) O Código do Procedimento Administrativo – vg o n.º 3 do artigo 67.º(Princípio da administração aberta);
d) A Resolução n.º 3/2000, Processo de Interpelação Sobre a Acção Governativa – n.º 2 do artigo 2.º;
e) A Resolução n.º 4/2000, Regulamento das Audições, – n.º 2 do artigo 2.º;
f) Vários outros diplomas como a Lei 8/2002, Lei n.º 2/96/M, de 3 de Junho, o Decreto-lei n.º 7/99/M, de 19 de Fevereiro, o Decreto-lei n.º 111/99/M, de 13 de Dezembro, o Decreto-lei n.º 12/98/M, de 6 de Abril, entre tantos mais incluindo regulamentos administrativos.
12. Uma primeira conclusão parcelar deve ser agora apresentada: o ordenamento jurídico de Macau consagra o princípio da protecção jurídica da privacidade, desde logo no seu patamar mais elevado, ou seja, na Lei Básica. Várias normas adicionam garantias a diversas vertentes desse princípio, todavia permanece uma lacuna de relevo, qual seja a do tratamento dos dados pessoais numa perspectiva englobalizadora. Aliás, a generalidade dos pareceres enviados a esta Comissão afinam por este mesmo diapasão como se pode constatar pela sua leitura dado que seguem em anexo ao presente parecer. Por outro lado, já anteriormente se havia sublinhado a existência desta lacuna.
13. Prosseguindo uma análise centrada agora no estado da questão em Macau, a primeira constatação a fazer é a seguinte: inexiste em Macau qualquer lei, de vocação geral, que, de uma forma integrada, tutele a protecção dos dados pessoais, contrariamente à tendência que se verifica em outros sistemas jurídicos, nomeadamente da Ásia, Europa e América, como adiante se verificará. Inexiste, do mesmo modo, uma instituição que centralize e se responsabilize por essa tutela. Também aqui diferentemente do que sucede noutros sistemas jurídicos.
Com efeito, para além de algumas normas esparsas surgidas a propósito de matérias específicas, por exemplo ao nível do estatuto jurídico do Bilhete de Identidade de Residente, da Declaração de Rendimentos e Interesses Patrimoniais ou do regime jurídico do Registo Criminal, não há, como supra se mencionou, um regime jurídico geral, nem existe um entidade que, transversalmente, cuide destas sensíveis questões.
Uma leitura breve daqueles diplomas, e de outros mais, permite concluir que há uma diversidade de regimes e, bem assim, diferenciação ao nível do grau de protecção dos dados pessoais.
Por outro lado, sendo diferentes os regimes e sendo também diferentes as entidades responsáveis pela manutenção dos dados, curial é concluir que, igualmente os critérios de abertura/confidencialidade, entre outros, diferentes sejam. Ora afigura-se que esta não é, com certeza, uma situação desejável para o nosso sistema jurídico, podendo gerar equívocos e, quiçá, sentimentos de perda de confiança nas instituições envolvidas.
14. Importa, todavia, aprofundar o tema recorrendo a alguns exemplos concretos de regimes vigentes na matéria.
«Um exemplo importante é-nos fornecido pelo Decreto-Lei n.º 12/98/M, de 6 de Abril, o qual procede ao desenvolvimento do regime jurídico estabelecido pela Lei n.º 2/96/M, de 3 de Junho que regula a Dádiva, a Colheita, e a Transplantação de Órgãos e Tecidos de Origem Humana.
Aí se prescrevem diversas normas de «blindagem» do registo informático então criado – o que bem se compreende atendendo ao melindre dos dados aí constantes – nomeadamente ao nível da finalidade desse registo, o direito à informação, princípio da confidencialidade, segurança da informação, entre outros mais. No entanto, e não obstante esta área se tratar, sem dúvidas, de uma das que mais tutela merece, pelo objecto do registo, este diploma estabelece, no seu artigo 14.º, sob epígrafe Regime especial, o seguinte:
«O disposto no presente diploma não prejudica regime mais restritivo, eventualmente estabelecido em legislação sobre protecção de dados pessoais informatizados.»
Ora,
15. Importa repegar num preceito já antes citado e que se acha sediado no Código Civil, mais precisamente no seu artigo 79.º:
3. O acesso a ficheiros e registos informáticos para conhecimento de dados pessoais relativos a terceiros e respectiva interconexão carecem de autorização, para cada caso, da autoridade pública encarregada de fiscalizar a recolha, armazenamento e utilização dos dados pessoais informatizados.»
Afigura-se que, tal
16. Afigura-se útil empreender uma breve viagem pelos domínios do direito comparado – e do direito internacional - e pelos ensinamentos que daí advêm, nomeadamente retirando pontos de referência e hipóteses de solução para algumas das questões mais complexas dado estarmos perante matéria que tem sido objecto de intenso esforço legislativo nos mais variados quadrantes geográficos e, por outro lado, em poucas outras áreas jurídicas é tão patente a utilização do direito comparado como nesta de que agora nos ocupamos podendo detectar-se uma tendência de harmonização legislativa para-mundial com excepções, embora mais na forma do que no conteúdo, presentes em alguns ordenamentos jurídicos da common law.
A atenção dispensada a esta protecção de dados pessoais noutras latitudes jurídicas é, pode afirmar-se sem receio, imensa. Na verdade, quer ao nível legislativo, quer ao nível de promoção e divulgação das garantias junto dos cidadãos quer, ainda, ao nível do debate científico, estamos perante uma potencial fonte inesgotável de ensinamentos e exemplos. Com efeito, quer em paragens longínquas como a União Europeia ou os Estados Unidos da América, quer em vizinhos bem próximos como Hong Kong, encontramos leis específicas, entidades especializadas e programas de divulgação das garantias.
17. Uma primeira nota para referenciar a Convenção n.º 108 do Conselho da Europa, de 28 de Janeiro de 1981, sobre Protecção das Pessoas Relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal.
Ao nível da União Europeia temos a directiva comunitária sobre a matéria, concretamente a Directiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Desta Directiva decorreu, naturalmente, a aprovação de leis nacionais que operaram a sua transposição para o direito interno dos vários Estados membros. Realce para a obrigação imposta aos Estados membros de assegurarem a existência de uma autoridade independente que garanta o controlo da protecção de dados.
Refira-se também, ainda que dotada de um mero valor de referência, as Guidelines elaboradas no âmbito da OCDE, as quais têm sido objecto de consideração por parte de ordenamentos jurídicos que se propõem elaborar legislação neste campo.
18.
19. Finlândia: Personal Data Act, 523/1999, com alterações
subsequentes (exemplar gentilmente fornecido pelo Cônsul Geral da Finlândia
20. Áustria : Acto Federal de Protecção de Dados, de
21. Alemanha: Federal Data Protection Act, de 20 de Dezembro de 1990, com várias alterações subsequentes. É uma lei com muitos pontos de contacto com as anteriores e que consagra um catálogo de garantias dos dados pessoais. O seu âmbito de aplicação estende-se a entidades públicas e privadas. Prevê uma entidade especialmente vocacionada para a tutela destes direitos, o Comissário Federal para a Protecção de Dados, eleito pelo Parlamento.
22. Vários outros países europeus, que não apenas os membros da União Europeia, dispõem de leis similares, com soluções muito próximas – por influência das citadas convenção europeia e directiva – nomeadamente o Reino Unido, a Suécia, Bélgica, Chipre, Dinamarca, Eslováquia, Eslovénia, Espanha, Estónia, Finlândia, França, Grécia, Hungria, Irlanda, Itália (que dispõe de um aturado e profundo código que abrange muitas outras matérias correlacionadas com a protecção de dados pessoais), Letónia, Lituânia, Luxemburgo, Malta, Países Baixos, Polónia, República Checa. De notar que, salvo pequenas excepções, a legislação vigente resulta directamente da implementação da já mencionada directiva comunitária e, mesmo nos outros casos, por exemplo o Reino Unido, uma leitura dessa legislação permite com facilidade detectar uma comunhão de princípios e estruturas com o que vem proclamado no acto comunitário.
23. Fora do âmbito da União Europeia pode apresentar-se
uma vasta lista de ordenamentos jurídicos que detêm legislação e princípios
relativamente similares, muitas das vezes com fortíssima inspiração na
referida directiva, Argentina, Austrália, Bulgária, Canadá, Guernsey,
Hong-Kong, Ilha de Man, Islândia, Japão, Jersey, Liechtenstein, Mónaco,
Noruega, Nova Zelândia, Roménia, Suíça, Tunísia. Muito especialmente os
casos da
Por outro lado, embora porventura com menos similitudes, outros Estados há que aprovaram legislação relativa à protecção de dados, Estados Unidos da América, Israel, Tailândia, Taiwan.
24. Dedique-se uma particular atenção ao panorama asiático.
Na Tailândia existe uma Lei denominada Information Accesss and Privacy Protection, Act of B.E. 2540, de 1997. Estabelece a criação de uma Official Information Comission, com poderes de supervisão e aconselhamento.
No Japão vigora The Act for Protection of Computer
Processed Personal Data held By Administrative Organs, de Dezembro de 1988.
Em
25. Agora com particular ênfase veja-se a situação de
É uma lei muito completa, dotada de vários mecanismos de garantia e onde se estabelece uma autoridade independente: o Office of the Privacy Commissioner for Personal Data, dotado de amplos poderes e revestido de uma imagem de eficácia e respeito. Com efeito, para além das soluções jurídicas, impressiona o modo como, no terreno, no plano dos factos, se actua em prol da protecção dos dados pessoais, divulgando direitos, actuando em diversas frentes, fazendo sugestões.
Como já antes se referiu a legislação está dotada de uma plêiade de princípios estruturantes os quais se acham, na sua grande maioria acolhidos no texto do projecto de lei, como a definição de dados pessoais, regime de notificações, princípio de não sujeição a decisões individuais automatizadas, aplicação a entidades públicas e privadas, entre muitos outros. 13, ainda que, naturalmente, com as devidas diferenças ao nível da forma e do estilo, derivadas do facto de o sistema jurídico de Hong Kong integrar a família jurídica da Common Law.
26. Nesta sede a Comissão propõe-se analisar um conjunto de grandes questões que resultam concretamente da apreciação do projecto de lei em apreço por forma a uma melhor compreensão do mesmo e da análise subsequente na especialidade, bem como para melhor habilitar a compreensão das alterações introduzidas pela Comissão.
Uma fatia importante do que poderia ser tratado nesta sede foi já abordado no capítulo de enquadramento dado que se entende que as questões aí objecto de análise detêm um âmbito de enquadramento e mais vasto do que a análise do projecto de lei em si mesmo considerado.
A Comissão pretende deixar aqui inscrito que está convicta da necessidade de promoção e divulgação da lei junto da sociedade e dos serviços públicos e, bem assim da desejabilidade de se encetar cursos de formação especialmente naqueles serviços que mais irão sentir o impacto da vigência da lei.
Deixe-se desde já o registo de que a Comissão acolhe na generalidade o articulado preconizado no projecto de lei, sem prejuízo das alterações que decidiu introduzir formalizadas em texto revisto de substituição nos termos noutro local explicados.
No decurso do processo de consulta foram levantadas
algumas dúvidas quanto à conformidade do texto do projecto de lei com a Lei Básica.
Nomeadamente no que respeita à questão da entidade competente. Desde logo se
esclareça que, do texto do projecto de lei não se retira qualquer caracterização
da entidade competente ou autoridade pública tal
Não se pode, pois, concordar com as críticas que
consideram haver uma violação da Lei Básica com a previsão da autoridade pública
ou que esta venha bulir com o sistema político vigente. Se mais argumentos
fossem necessários rememore-se apenas a existência da entidade de tutela da
privacidade e dos dados pessoais
27. Uma primeira questão a trazer à colação tem a ver
com as fontes utilizadas e numa outra perspectiva com a filosofia geral do
projecto de lei. Tal
É mister dizer que, ao eleger aquela legislação os
proponentes mais não fizeram do que, mediatamente, inspirar-se na Directiva
comunitária. Ora, é consabido que esta directiva é considerada
Recorde-se igualmente que os proponentes seguiram também em larga medida o articulado informal enviado por representantes do Executivo.
Por outro lado, sabe-se bem do sucesso que a legislação
congénere de
28. A Comissão nota que é sobremaneira importante a criação
de uma autoridade pública independente com poderes de fiscalização na matéria,
tal
Há a consciência que a actividade dessa autoridade pública dinamizará a protecção dos dados pessoais e permitirá, por outro lado, melhor detectar lacunas e insuficiências da lei de protecção de dados pessoais. Por este motivo, considera a Comissão que num prazo razoável contado após o início de funções da autoridade pública deverá iniciar-se um processo legislativo com vista à revisão da lei, tendo em consideração eventuais sugestões elaboradas por aquela autoridade.
Ainda no que
respeita à autoridade pública foi esta objecto de várias críticas, algumas
das quais dificilmente entendíveis 14 , que mereceram a cuidada ponderação da
Comissão. Ponderadas essas críticas, a Comissão decidiu diminuir a intervenção
da autoridade pública dado que considera que, num primeiro estádio
experimental é razoável não dotar aquela autoridade da totalidade dos poderes
de que normalmente dispõem noutras latitudes jurídicas como, por exemplo,
Esclareça-se que a leitura atenta do articulado permite dissipar algumas dúvidas quanto ao efectivo alcance da intervenção da autoridade pública. Com efeito, as mais das vezes, a autoridade só será chamada a prestar autorização quando inexistir norma habilitante para determinadas operações de recolha e tratamento de dados pessoais. Ou seja, em muitas situações havendo norma legal ou norma orgânica ou estatutária – por exemplo regulamentos que criam e/ou regem directamente os serviços públicos – não há lugar à apresentação de qualquer pedido de autorização junto da autoridade pública.
É verdade
que, com a entrada em vigor da lei de protecção de dados pessoais algumas
normas haverá que deverão ser alteradas
29. No que respeita à matéria das infracções administrativas ou mais concretamente quanto à sua inclusão no projecto de lei, a Comissão manifesta a sua concordância com os proponentes.
É vero que foram colocadas algumas dúvidas quanto à inclusão no projecto de lei da matéria das infracções administrativas. Ora, sobre este assunto é mister esclarecer o seguinte: a decisão a tomar é de índole política legislativa e não técnico-jurídica.
Com efeito, cumpre esclarecer sucintamente o seguinte:
1) A Assembleia Legislativa detém competência legislativa na matéria.
2) Esta Assembleia aprovou várias leis que estabelecem, por si mesmas, infracções administrativas, por exemplo, a Lei n.º 1/2003, a Lei n.º 7/2003 ou a Lei n.º 10/2003;.
3) O articulado em discussão é, neste particular, extremamente próximo daquele que foi fornecido pelo Executivo para referência, o qual contém um conjunto de normas relativas a infracções administrativas – artigos 40.º a 45.º - também estas muito próximas das disposições constantes do articulado da AL.
4) O regime geral das infracções administrativas não vem de modo algum limitar a possibilidade de um acto legislativo conter disposições sobre a matéria, pelo contrário, «Os regimes material e procedimental aplicáveis às infracções administrativas são fixados nas leis ou regulamentos 15 que as prevêem e sancionam.», n.º 1 do artigo 3.º do Decreto-Lei n.º 52/99/M de 4 de Outubro, Regime geral das infracções administrativas e respectivo procedimento.
5) É consabida e genericamente observada a reserva de lei formal em matéria de direitos fundamentais no quadro da Lei Básica 16 pelo que, tendo o articulado por objecto direitos fundamentais, mais curial será que a generalidade das questões seja objecto de regulamentação legal (qualquer que seja a proveniência do direito de iniciativa legislativa), nomeadamente o quadro sancionatório, seja este de natureza criminal, seja de natureza de infracção menor.
6) A designação
qualificativa de infracção administrativa não deve ser vista
Por conseguinte, se a opção recair sobre a manutenção de normas relativas a infracções administrativas no texto do projecto de lei nenhuma ferida jurídica lhe poderá ser imputada por esse facto. Pelo contrário, lograr-se-à uma melhor harmonia e completude do regime jurídico da protecção de dados pessoais.
Relativamente à forma a Comissão acolhe algumas das sugestões feitas em pareceres enviados pelo Governo, particularmente no que respeita à redacção dos montantes se bem que não haja logrado encontrar uma total harmonia de soluções entre os vários dos diplomas consultados.
30. No que tange ao impacto de uma lei de protecção de
dados face a outros direitos fundamentais
Pontue-se que, desde logo na própria Lei Básica, se impõe
uma restrição a estes direitos fundamentais quando no artigo 30.º estabelece,
«É inviolável a dignidade humana dos residentes de
A tutela dos direitos fundamentais ligados à privacidade implicam já hoje limitações, criteriosas e equilibradas, da liberdade de imprensa e de expressão 18. Veja-se, por exemplo, quanto à tutela penal, os seguintes exemplos retirados do Código Penal em vigor.
1. Quem, dirigindo-se a terceiro, imputar a outra pessoa, mesmo sob a forma de suspeita, um facto, ou formular sobre ela um juízo, ofensivos da sua honra ou consideração, ou reproduzir uma tal imputação ou juízo, é punido com pena de prisão até 6 meses ou com pena de multa até 240 dias.
2. A conduta não é punível quando:
a) A imputação for feita para realizar interesses legítimos; e
b) O agente provar a verdade da imputação ou tiver tido fundamento sério para, em boa-fé, a reputar verdadeira.
3. O disposto no número anterior não se aplica tratando-se da imputação de facto relativo à intimidade da vida privada ou familiar.
4. A boa-fé referida na alínea b) do n.º 2 exclui-se quando o agente não tiver cumprido o dever de informação, que as circunstâncias do caso impunham, sobre a verdade da imputação.
1. Se, no caso dos crimes previstos nos artigos 174.º, 175.º e 176.º,
a) a ofensa for praticada através de meios ou em circunstâncias que facilitem a sua divulgação, ou,
b) tratando-se da imputação de factos, se averiguar que o agente conhecia a falsidade da imputação, as penas da difamação ou injúria são elevadas de um terço nos seus limites mínimo e máximo.
Se o crime for cometido através de meio de comunicação social, o agente é punido com pena de prisão até 2 anos ou com pena de multa não inferior a 120 dias.
1. Quem, sem consentimento e com intenção de devassar a vida privada da pessoa, designadamente a intimidade da vida familiar ou sexual
a) interceptar, gravar, registar, utilizar, transmitir ou divulgar conversa ou comunicação telefónica,
b) captar, fotografar, filmar, registar ou divulgar imagem da pessoa ou de objectos ou espaços íntimos,
c) observar ou escutar às ocultas pessoa que se encontre em lugar privado, ou
d) divulgar factos relativos à vida privada ou a doença grave de outra pessoa,
é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.
2. O facto previsto na alínea d) do número anterior não
é punível quando for praticado
1. Quem criar, mantiver ou utilizar ficheiro automatizado de dados individualmente identificáveis e referentes a convicções políticas, religiosas ou filosóficas, à vida privada ou a origem étnica é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.
2. A tentativa é punível.
As penas previstas nos artigos 184.º a 189.º e no artigo anterior são elevadas de um terço nos seus limites mínimo e máximo se o facto for praticado:
a)
b) Através de meio de comunicação social.
31. A análise na especialidade que agora se inicia dá
Quando as alterações propostas não se revestirem apenas de características formais de redacção são reproduzidas para, desta forma, habilitar a uma melhor e mais rápida apreciação.
32. Análise do articulado proposto.
Artigo 1.º, Objecto
A Comissão manifesta a sua concordância com o disposto no presente artigo.
Artigo 2.º, Princípio geral
A Comissão manifesta igualmente a sua adesão ao
articulado proposto realçando a identificação dos direitos fundamentais
estabelecidos nos instrumentos de direito internacional, os quais,
Artigo 3.º, Âmbito de aplicação
No que respeita ao presente artigo a Comissão, para além
de ajustamentos menores, limita-se a aditar no número
«4. A presente lei aplica-se ao tratamento e dados pessoais que tenham por objectivo a segurança pública, sem prejuízo do disposto em normas especiais constantes de instrumentos de direito internacional e acordos inter-regionais a que a RAEM se vincule e de leis específicas relativas àquele sector e outros correlacionados.»
Refira-se que a aplicação da lei em apreço à segurança pública é naturalmente feita nos termos em que a lei o define, isto é, em virtude do afastamento de competências da autoridade pública nestas matérias, o escopo de aplicação da lei é nestes casos objecto de uma refracção no sentido de não haver sujeição a autorização da autoridade pública. Inversamente, os direitos fundamentais dos titulares dos dados e, bem assim, as suas garantias, são aplicáveis.
Artigo 4.º, Definições
A Comissão manifesta a sua adesão quanto à forma utilizada de elaboração de um catálogo de definições porquanto a complexidade da matéria em causa assim o aconselha. Refira-se que a totalidade das leis consultadas apontam para o mesmo caminho. Aponte-se, a título de mera exemplificação, a legislação de Hong Kong, Part I, 2, de Portugal, artigo 3.º, e bem assim, de Espanha, Alemanha e restantes membros da União Europeia, Taiwan, Argentina, Canadá.
A sugestão feita em parecer do Governo no sentido de
incluir uma definição de titular dos dados foi acolhida tal
«2) «Titular dos dados»: pessoa singular à qual se referem os dados objecto do tratamento;»
A alínea 4), anterior alínea 3) foi, na sequência de sugestão constante de parecer do Governo, objecto de uma nova redacção a qual não altera o conteúdo do preceito
A alínea 5), anterior alínea 4), foi dividida em duas partes por forma a beneficiar a sua interpretação constando a segunda parte de um novo número 2 procedendo-se ainda, nomeadamente, a um ajustamento de redacção quanto à identificação do responsável pelo tratamento devido à alteração efectuada na alínea 11), passando este novo número 2 a ter a seguinte redacção:
«2.
A alínea 11), anterior alínea 10) foi objecto de profundas reflexões no seio da Comissão a qual entendeu dever alterar a expressão «entidade competente» e, bem assim, a sua breve caracterização, por uma referência tributária do preceito do Código Civil que cura do assunto e, consequentemente, da sua caracterização a qual passa a ser feita por via do mesmo preceito do Código Civil, ou seja, uma entidade «encarregada de fiscalizar a recolha, armazenamento e utilização dos dados pessoais» e de autorizar o acesso e a interconexão de dados. Destarte, a redacção proposta é a seguinte:
«11) «Autoridade pública»: a entidade referida no n.º 3 do artigo 79.º do Código Civil;»
Considerando a apresentação de algumas dúvidas
relativamente ao que se deveria entender por disposição regulamentar de
natureza orgânica, a Comissão decidiu introduzir uma alínea com a definição
do conteúdo daquela expressão.
12) «Disposição regulamentar de natureza orgânica»: disposição constante de diploma de organização e funcionamento ou de estatuto de entidade competente para a prática de actos de tratamento de dados e outros actos referidos na presente lei.
Naturalmente, as referências que neste sentido eram feitas à «entidade competente» foram substituídas pela referência à «autoridade pública» tendo ainda sido introduzidos pequenos ajustamentos de redacção.
Artigo 5.º, Qualidade dos dados
Relativamente a este artigo a Comissão preconiza duas alterações em virtude de pareceres do Governo.
Assim, na alínea 2 do número 1, adita-se uma referência que visa proporcionar uma maior garantia quanto à recolha de dados e sua finalidade ao impor que a recolha deve estar directamente relacionada com o exercício da actividade do responsável pelo tratamento:
«2) Recolhidos para finalidades determinadas, explícitas e legítimas e directamente relacionadas com o exercício da actividade do responsável pelo tratamento, não podendo ser posteriormente tratados de forma incompatível com essas finalidades;»
Aditou-se um novo número ao artigo por sugestão expressa em parecer do Governo, a qual vem permitir uma maior flexibilidade, em determinados casos, quanto ao tempo de conservação dos dados. Esta sugestão replica o número do artigo 5.º da lei portuguesa.
«2. Mediante requerimento do responsável pelo tratamento, e caso haja interesse legítimo, a autoridade pública pode autorizar a conservação de dados para fins históricos, estatísticos ou científicos por período superior ao referido na alínea 5) do número anterior.»
Artigo 6.º, Condições de legitimidade do tratamento de dados
A Comissão manifesta o seu acordo quanto à redacção preconizada no projecto de lei tendo apenas introduzido uma ligeira alteração na alínea 4) por forma a evitar eventuais confusões interpretativas com o disposto na alínea 11) do artigo 4.º, pelo que passa a constar a expressão «no exercício de poderes de autoridade». Ou seja, está em causa o exercício de determinado tipo de poderes de que normalmente dispõem várias entidades públicas, nomeadamente forças policiais, e não a utilização de expressão autoridade pública no sentido muito específico que lhe empresta a alínea 11) do artigo 4) e subsequentes preceitos que àquela autoridade se referem.
Artigo 7.º, Tratamento de dados sensíveis
Este artigo representa inequivocamente uma das pedras basilares do sistema de protecção dos direitos fundamentais da privacidade pelo que recebem, naturalmente, uma acrescida tutela e cautela. É comum, nos percursos do direito comparado, encontrar dispositivos semelhantes. Destarte o tratamento destes dados está, em princípio, vedado e as excepções revestem-se de particulares cautelas, pelo que a Comissão acolhe os princípios vectores propostos no projecto de lei.
A Comissão introduziu algumas alterações com vista à benfeitoria da redacção e, desta forma, obviar algumas eventuais incertezas interpretativas, tendo decidido, nomeadamente, proceder à divisão do número 2 em alíneas independentes para cada uma das excepções preconizadas.
«2. O tratamento dos dados referidos no número anterior pode no entanto ser efectuado desde que com garantias de não discriminação e com as medidas de segurança previstas no artigo 16º., nas seguintes condições:
1) Mediante disposição legal ou disposição regulamentar de natureza orgânica que expressamente autorize o tratamento dos dados previstos no número anterior; ou,
2) Autorização da autoridade pública, quando por motivos de interesse público importante esse tratamento for indispensável ao exercício das atribuições e competências do seu responsável; ou,
3) Quando o titular dos dados tiver dado o seu consentimento expresso para esse tratamento.»
Por outro lado e tendo por objectivo uma melhor harmonização
com a disciplina do artigo 22.º, acrescentou a «disposição legal» «ou
regulamentar de natureza orgânica que expressamente autorize». Isto significa,
Com vista a flexibilizar eventuais espartilhos legais ou orgânicos, pode ainda proceder-se ao tratamento de dados, agora sim mediante autorização, desde que por motivos de interesse público se considere que o tratamento se ache indispensável ao exercício das atribuições e competências do seu responsável. Ou seja, a intervenção da autoridade pública só ocorre na falta de norma expressa autorizativa e apenas com vista a «colaborar» com o legítimo exercício de funções dos serviços responsáveis e não como forma de limitação do exercícios das suas funções como, diferentemente, alguns entenderam.
Por outro lado, foram introduzidas algumas alterações derivadas da redução de poderes da autoridade pública, para além de pequenos ajustamentos de redacção.
Artigo 8.º, Suspeitas de actividades ilícitas, infracções penais e infracções administrativas
Este artigo versa matérias que pela sua natureza poderão ser assaz sensíveis e, pela sua importância, merecem especiais cuidados muito particularmente na busca do equilíbrio entre direitos fundamentais e interesses públicos deveras relevantes. O processo preconizado no texto do projecto de lei impunha uma intervenção da autoridade pública como, de resto, ocorre em muitas outras jurisdições; todavia, e como anteriormente explanado, considerou-se que, no estádio actual, seria porventura mais adequado afastar a autoridade pública de intervenções consubstanciadas em autorizações e elaboração de necessários pareceres prévios. Destarte, a intervenção da autoridade pública nestas matérias é eliminada, alterando-se, em conformidade, os números 1 e 2, sem prejuízo de, no futuro, se dever reequacionar a opção agora tomada.
A Comissão procedeu ainda a alguns outros ajustamentos na redacção, nomeadamente nos seus dois primeiros números, a qual é a que segue.
«1 . A criação e manutenção de registos centrais relativos a pessoas suspeitas de actividades ilícitas, infracções penais, infracções administrativas e decisões que apliquem penas, medidas de segurança, multas e sanções acessórias só pode ser mantida por serviços públicos com competência específica prevista em disposição legal ou disposição regulamentar de natureza orgânica e observando normas procedimentais e de protecção de dados vigentes.
2 . O tratamento de dados pessoais relativos a suspeitas de actividades ilícitas, infracções penais, infracções administrativas e decisões que apliquem penas, medidas de segurança, multas e sanções acessórias pode ser efectuado desde que observadas as normas de protecção de dados e de segurança da informação, quando tal tratamento for necessário à execução de finalidades legítimas do seu responsável, desde que não prevaleçam os direitos, liberdades e garantias do titular dos dados».
Artigo 9.º, Interconexão de dados pessoais
A interconexão de dados representa uma das maiores
preocupações dos legisladores em qualquer quadrante, tal
Paralelamente à introdução de ajustamentos de redacção, para efeitos de uma melhor apreensão da disciplina constante do número 2, a Comissão entendeu proceder à divisão do número em alíneas, sublinhando, pela sua importância e repercussão, o princípio reitor da alínea 2) o qual não admite discriminação ou diminuição dos direitos fundamentais dos titulares dos dados.
Artigo 10.º, Direito de informação
Este artigo consagra um relevante direito fundamental de informação, o qual já se achava inscrito no artigo 79.º do Código Civil.
A Comissão acolhe o articulado do projecto de lei tendo introduzido algumas ligeiras alterações de redacção e, por outro lado, na sequência da eliminação da intervenção da autoridade pública em determinadas áreas, alterou o regime da dispensa de obrigação de informação constante do número 5. Substituiu ainda a natureza da intervenção por autorização da autoridade pública em outras áreas, passando a haver uma mera obrigação de notificação.
«5 . A obrigação de informação prevista na presente artigo pode ser dispensada nos seguintes casos:
1) Mediante disposição legal;
2) Por motivos de segurança e prevenção ou investigação criminal;
3) Quando, nomeadamente no caso do tratamento de dados com finalidades estatísticas, históricas ou de investigação científica, a informação do titular dos dados se revelar impossível ou implicar esforços desproporcionados ou ainda quando a lei ou regulamento administrativo determinar expressamente o registo dos dados ou a sua divulgação, devendo nestes casos ser notificada a autoridade pública.»
Artigo 11.º, Direito de acesso
O direito de acesso consubstancia um importante mecanismo de garantia para o titular dos dados como, aliás, já o artigo 79.º do Código Civil impõe pelo que este artigo representa uma das traves mestras de qualquer diploma sobre protecção de dados pessoais.
É com muita veemência que no desenho deste direito de acesso é mister cuidar de complexos problemas tais como o equilíbrio entre os direitos fundamentais do titular dos dados e vários interesses públicos relevantes e também na tensão entre aqueles direitos fundamentais e outros direitos fundamentais como a liberdade de expressão ou a liberdade de imprensa. É de resto, como se sabe, um terreno fértil de colisão de direitos fundamentais a protecção e tutela da privacidade.
No que respeita a esta última questão, a Comissão é de parecer que o articulado propicia bases para um bom equilíbrio entre os direitos fundamentais de privacidade e os de expressão e imprensa, aliás não se conhecem críticas e sugestões nos pareceres do Governo quanto a este particular aspecto. De resto, também aqui os proponentes seguiram a matriz da directiva europeia a qual, que se saiba, não foi contestada neste aspecto e foi transposta pelos Estados membros da União Europeia e «copiada» por legislação de várias outras jurisdições de fora do espaço europeu. Também em Hong Kong a legislação congénere não se alheou desta questão.
Na sequência da opção tomada de afastar a autoridade pública nas áreas da segurança e, bem assim, pese embora a Comissão não descortinar problemas quando correctamente interpretada, esclarecer algumas dúvidas colocadas quanto ao alcance do dever de informação relativamente a «diligências efectuadas», a Comissão procedeu a alterações em conformidade nos números 2 e 4.
«2 . No caso de tratamento de dados pessoais relativos à segurança e à prevenção ou investigação criminal, o direito de acesso é exercido através da autoridade competente no caso
4 . Nos casos previstos nos n.os 2 e 3, se a comunicação dos dados ao seu titular puder prejudicar a segurança, a prevenção ou a investigação criminal ou ainda a liberdade de expressão e informação ou a liberdade de imprensa, a autoridade competente no caso ou a autoridade pública, respectivamente, limitam-se a informar o titular dos dados apenas das diligências efectuadas que não sejam susceptíveis de acarretar prejuízo aos valores que se pretendem salvaguardar no presente número .»
Mencione-se ainda a introdução, a sugestão do Governo, de um aditamento ao que vem estatuído na alínea 5) do número 1, a qual visa uma maior flexibilização na obrigação de notificação a terceiros, dado que a Comissão considera que, neste primeiro estádio, as obrigações dos serviços públicos poderão ser algo atenuadas em matérias consideradas não residentes no núcleo essencial da lei que se pretende aprovar.
Artigo 12.º, Direito de oposição do titular dos dados
A Comissão manifesta a sua concordância com o artigo em apreço tendo introduzido algumas alterações de natureza formal, designadamente a divisão do artigo em números e, bem assim eliminado a previsão exemplificativa reportada a determinadas alíneas do artigo 6.º.
«1. Salvo disposição legal em contrário, o titular dos dados tem o direito de se opor em qualquer altura, por razões ponderosas e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objecto de tratamento, devendo, em caso de oposição justificada, o tratamento efectuado pelo responsável deixar de poder incidir sobre esses dados;
2. O titular dos dados tem ainda o direito de se opor, a seu pedido e gratuitamente, ao tratamento dos dados pessoais que lhe digam respeito previsto pelo responsável pelo tratamento para efeitos de marketing directo ou qualquer outra forma de prospecção comercial, ou de ser informado, antes de os dados pessoais serem comunicados pela primeira vez a terceiros para fins de marketing directo ou utilizados por conta de terceiros, e de lhe ser expressamente facultado o direito de se opor, sem despesas, a tais comunicações ou utilizações.».
Artigo 13.º, Direito de não sujeição a decisões individuais automatizadas
A Comissão manifesta a sua concordância com o espírito do presente artigo o qual encarna a preocupação que vem sendo sentida com uma acuidade crescente em medida directamente proporcional ao avanço tecnológico. Este espírito é correctamente expresso desde logo na epígrafe preconizada a qual segue, por exemplo, solução constante do articulado informal do Governo.
Refira-se que já a lei 15/96/M, de 12 de Agosto, estava imbuída deste mesmo tipo de preocupações vindo clarificar situações de prática de «actos em massa» para efeitos de garantias de impugnação fiscal. Com efeito, «A crescente despersonalização do procedimento administrativo fiscal, manifesta nos inúmeros actos em massa, processados através de meios exclusivamente informáticos, tem criado alguma incerteza jurídica, porquanto os destinatários desses actos – os contribuintes – desconhecem ou não conseguem determinar os seus interlocutores nas relações estabelecidas com a Administração Fiscal.». 20
O número 2 foi rearranjado por forma a dar guarida a uma sugestão expressa em parecer do Governo no sentido de admitir este tipo de decisões quando autorizada por lei e observados determinados requisitos.
«2 . Sem prejuízo do cumprimento das restantes disposições da presente lei, uma pessoa pode ficar sujeita a uma decisão tomada nos termos do n.º 1, se a mesma for:
1) Tomada no âmbito da celebração ou da execução de um contrato, e sob condição de o seu pedido de celebração ou execução do contrato ter sido satisfeito, ou de existirem medidas adequadas que garantam a defesa dos seus interesses legítimos, designadamente o seu direito de representação e expressão;
2) Autorizada por lei que estabeleça medidas que garantam a defesa dos direitos e interesses legítimos do titular dos dados.»
O número 3 foi eliminado dentro da opção de política legislativa de, naquilo que não é deveras essencial, reduzir o âmbito de actuação da autoridade pública.
Artigo 14.º, Direito de indemnização
A Comissão manifesta a sua concordância com o texto do projecto de lei.
Artigo 15.º, Segurança do tratamento
Também no que respeita a este artigo a Comissão manifesta a sua concordância com o texto do projecto de lei tendo-se limitado a introduzir um ajustamento na redacção do número 1.
Artigo 16.º, Medidas especiais de segurança
A Comissão concorda com o articulado proposto considerando que é adequado e prevenindo eventuais dúvidas esclarece que a manutenção da referência ao artigo 8.º no número 1 não é gralha mas sim uma opção porquanto apesar de a autoridade pública não deter determinadas competências nesta área tal não pode significar que o tratamento desses dados não estão sujeitos ao regime da lei que se aprovar sobre protecção de dados, nomeadamente quanto a medidas especiais de segurança que recaem sobre os responsáveis pelo tratamento.
Diferentemente sucede no número 4 porquanto aí o que prescrevia era uma competência específica da autoridade pública pelo que a referência ao artigo 8.º foi eliminada.
Artigo 17.º, Tratamento por subcontratante
A Comissão acolhe o articulado do projecto de lei.
Artigo 18.º, Sigilo profissional
A Comissão concorda com o texto do projecto de lei em apreciação tendo apenas introduzido uma mera alteração de redacção no número 1.
Artigo 19.º, Princípios
Este artigo estabelece os princípios a que deve obedecer a transferência de dados pessoais para local situado fora da RAEM assim consagrando a possibilidade, dentro de determinados parâmetros, de cooperação com outras jurisdições, a qual se afigura na actualidade cada vez mais relevante e necessária, nomeadamente mas não apenas ao nível da prevenção e combate ao crime transfronteiriço, como o terrorismo ou o branqueamento de capitais. O primeiro e principal critério determinante para a concretização de dados é o da adequação do nível de protecção no ordenamento jurídico receptor.
A Comissão operou pequenas alterações de mera redacção no número 2 em sequência de sugestão exposta em parecer do Governo.
Artigo 20.º, Derrogações
Neste artigo são consagradas derrogações à disciplina geral exposta no preceito anterior as quais visam garantir uma certa margem de flexibilização desde que verificadas determinadas condições.
No número 1 está em causa, fundamentalmente, a consideração do interesse do titular dos dados pelo que ou por seu consentimento expresso inequívoco ou pelas razões referidas nas alíneas 1) a 4) a transferência de dados é possível ainda que o ordenamento jurídico receptor não preencha os requisitos exigidos no artigo precedente. Por outro lado, nos termos da alínea 5), se os dados constarem de registo público a transferência também poderá ser efectuada.
Neste número 1 a Comissão, na esteira do que anteriormente explanou a propósito das competências da autoridade pública, substituiu a intervenção via autorização por uma obrigação de notificação, para além de ajustamento de redacção.
No que tange ao número 2.ª Comissão entende dever manter a necessidade de autorização da autoridade pública porquanto nestas situações não estará em causa o interesse do titular dos dados pelo que a intervenção autorizativa se deverá manter.
O número 3 estabelece um importante conjunto de excepções dado os relevantes interesses públicos em causa tendo acrescentado a esse conjunto, a sugestão do Governo, a protecção da saúde pública para além de ter alterado ligeiramente a redacção da norma.
Artigo 21.º, Obrigação de notificação
No que diz respeito a este artigo a Comissão procedeu a ligeiras alterações de redacção e eliminou no número 1 a referência expressa relativa à necessidade de a notificação à autoridade pública ser prévia tendo, no entanto, fixado o prazo e forma dessa notificação atendendo a que sobre a falta de notificação podem recair sanções. A Comissão optou por seguir o prazo geral para notificações previsto no artigo 71.º do Código do Procedimento Administrativo porquanto se afigura o mais adequado e impôs expressamente a forma escrita – que resultaria já do proémio do artigo 23.º - da notificação tendo em consideração que, nos termos do mesmo código, artigo 72.º, são admitidas formas não escritas que, nos casos desta futura lei não se acham adequadas pelo que assim se procura evitar eventuais dificuldades interpretativas na aplicação das normas da futura lei de protecção de dados pessoais.
«1 . O responsável pelo tratamento ou, se for caso disso, o seu representante deve notificar, por escrito e no prazo de 8 dias, a autoridade pública do início da realização de um tratamento ou conjunto de tratamentos, total ou parcialmente automatizados, destinados à prossecução de uma ou mais finalidades interligadas.».
Artigo 22.º, Controlo prévio
Este artigo assume particular relevo relativamente a determinado tipo de dados e de operações que sobre eles recaem tendo merecido, genericamente, a concordância da Comissão designadamente no que respeita à necessidade de intervenção da autoridade pública.
Ao nível da redacção foram introduzidas algumas pequenas alterações, nomeadamente por virtude de sugestões insertas em parecer do Governo, e bem, assim, na esteira da opção tomada no que respeita aos dados previstos no artigo 8.º foi eliminada, quanto a estes dados, a intervenção da autoridade pública.
Artigo 23.º, Conteúdo dos pedidos de parecer ou de autorização e da notificação
A Comissão considera que deve acolher a redacção preconizada no projecto de lei tendo em conta o regime geral, e particularmente das garantias, inscrito no articulado.
Artigo 24.º, Indicações obrigatórias
O presente artigo merece a concordância da Comissão, a qual introduziu pequenos acertos de redacção. É mister mencionar a manutenção da referência ao artigo 8.º porquanto, apesar do afastamento da autoridade pública, tal não significa que esses dados se achem dispensados de observar o restante regime preconizado no projecto de lei.
Artigo 25.º, Publicidade dos tratamentos
A Comissão concorda com o articulado proposto tendo introduzido alguns acertos de redacção resultantes sobretudo de opções legislativas tomadas no artigo 4.º
Artigo 26.º, Códigos de conduta
A abertura proposta neste e no próximo artigo a fenómenos de auto-regulação merece a concordância da Comissão. Na verdade, afigura-se potencialmente útil, como de resto é patente em múltiplos outros ordenamentos jurídicos, a admissão de códigos de conduta elaborados por determinados responsáveis pelo tratamento de dados, «Os códigos de conduta são um importante instrumento de auto-regulação, que facilita o cumprimento das normas e promove uma maior transparência de práticas e procedimentos.» 21
A Comissão introduziu algumas alterações de redacção no sentido de clarificação da norma obviando eventuais dificuldades interpretativas e, bem assim, precisando os objectivos pretendidos.
Artigo 27.º, Envio de projectos de códigos de conduta
Este artigo concretiza e detalha o princípio consagrado no preceito anterior e merece a concordância, em geral, da Comissão. Todavia, e por forma a clarificar nomeadamente a natureza dos Códigos de conduta, a Comissão propõe várias alterações quer na redacção quer no conteúdo.
Sublinhe-se que não se está perante um mecanismo de administritivização do procedimento ou do código de conduta não cabendo aqui, por conseguinte, qualquer prática de acto administrativo de autorização, aprovação ou de homologação os quais fazem uma transformação da natureza dos articulados a esses actos sujeitos, tal como ocorre, por exemplo, com a homologação do código deontológico dos Advogados. O que aqui está em causa é tão só uma abertura à auto-regulação permitindo-se, destarte, uma intervenção das associações que representem categorias de responsáveis pelo tratamento de dados, intervenção essa puramente facultativa e que terá como efeito um registo do código de conduta o qual será efectuado desde que, naturalmente, esteja em observância das disposições legais e regulamentares aplicáveis 22. Também se optou, dentro da ideia base de não atribuir, neste momento, um feixe de poderes demasiado grandes à autoridade pública, por não consagrar a regra de que é a autoridade pública quem tem competência para elaborar e aprovar códigos de conduta, o que ocorre, por exemplo, no caso de Hong Kong.
Ou seja, por iniciativa das associações poderão estas argumentar junto de potenciais titulares de dados a recolher que o seu código de conduta se acha registado e, portanto, está de acordo com os parâmetros exigidos pela normação pública.
Nesta conformidade, a Comissão optou por clarificar que haverá um registo desses códigos e também clarifica que esses códigos depois de registados não revestem a natureza de normas legais ou regulamentares.
«1. As associações profissionais e outras organizações representativas de categorias de responsáveis pelo tratamento de dados que tenham elaborado projectos de códigos de conduta podem, se assim o entenderem, submetê-los à autoridade pública para efeitos de registo.
2 . No caso da autoridade pública considerar que há conformidade dos projectos com as disposições legais e regulamentares vigentes em matéria de protecção de dados pessoais procede ao seu registo.
3. O registo dos códigos de conduta tem um efeito de mera declaração de conformidade legal não revestindo esses códigos natureza de normas legais ou regulamentares.»
Artigo 28.º, Princípio geral
Este artigo corresponde ao número 1 do artigo 28.º do articulado do projecto de lei tendo a Comissão optado pela cisão do mesmo e, para o efeito, procedeu a pequenos ajustamentos de redacção e, naturalmente na epígrafe.
Artigo 29.º, Tutela jurisdicional especial
Os dois primeiros números correspondem, com precisões de redacção aos números 2 e 3 do artigo 28.º da versão do projecto de lei. O número 3 é novo por acrescento da Comissão como adiante se notará. A epígrafe é, naturalmente, igualmente nova.
A Comissão concorda com a opção preconizada no projecto de lei traduzida na consagração de especiais garantias de tutela jurisdicional quando em causa está a protecção de direitos fundamentais. Na verdade, afigura-se adequado estatuir normas que dotem de uma maior garantia os direitos fundamentais que necessitem de ser amparados. Esta solução de especial garantismo processual com criação de novos mecanismos ou adaptação especializada de outros existentes está presente em vária legislação que se reporta a direitos fundamentais.
Assim, os processos de habeas corpus 23 previstos no Código de Processo Penal, o recurso previsto na Lei do Direito de Reunião e Manifestação 24, o processo estabelecido na lei que estabelece o regime de reconhecimento e perda do estatuto de refugiado, a Lei n.º 1/2004 25 ou o processo de jurisdição voluntária de tutela da personalidade, o qual está pensado para tutelar de uma forma autónoma e, em certo sentido, especial, os direitos de personalidade previstos e contidos, nomeadamente, no n.º 1 do artigo 67.º do Código Civil de Macau sendo claro o propósito do legislador em proteger esses direitos por recurso a «providências adequadas às circunstâncias do caso», ou seja, através de meios expeditos, de defesa do direito em causa e com o intuito de, quando seja o caso, repor o titular do direito no pleno gozo e exercício desse direito, O mecanismo judicial de tutela é precisamente o processo de jurisdição voluntária - com os corolários daí decorrentes, v.g. celeridade e simplicidade - de tutela da personalidade, previsto no artigo 1210.º do Código de Processo Civil . Processo este, saliente-se, não excludente de outros meios adequados às circunstâncias do caso26, designadamente procedimentos cautelares - entendimento este expressamente acolhido no n.º 4, do artigo 67.º do novo Código Civil de Macau. Sublinhe-se que, nos termos anteriormente expostos, vários dos direitos fundamentais dos titulares dos dados estão também consagrados como direitos de personalidade no Código Civil e, como tal, beneficiam desta tutela civil.
As alterações introduzidas pela Comissão
permitem clarificar algumas dúvidas colocadas em parecer da Procuradoria, por
exemplo quanto ao que deva entender por recurso directo previsto no número 1,
isto é o recurso é interposto logo para o Tribunal de Última Instância não
seguindo, pois, as normais vias de recurso, ou seja é um recurso per saltum, no
sentido de dispensar por completo o esgotamento prévio de quaisquer outras vias
impugnatórias ou de recurso, seja ordinário ou extraordinário. Por outro
lado,
O número 3 é novo e vem permitir clarificar o modo e os critérios de integração destes processos especiais fazendo-se particular apelo ao artigo 7.º do Código de Processo Civil:
«(Princípio da adequação formal)
Quando a tramitação processual prevista na lei não se adeque às especificidades da causa, deve o juiz oficiosamente, ouvidas as partes, determinar a prática dos actos que melhor se ajustem aos fins do processo.»
Vale a pena recordar aqui palavras expendidas no âmbito da Assembleia Legislativa a propósito deste princípio da adequação formal, «Flexibilizaram-se as fórmulas tramitacionais, passando pela previsão de «cláusulas gerais» permissivas de uma densificação particularizante à medida da justiça de cada caso concreto, através do novel princípio da adequação formal grande princípio norteador do P-CPC» 27. Mais se esclarecendo «Este princípio permite a prática de actos processuais inominados, não previstos na lei, desde que o juiz conclua, após audição das partes, que os trâmites estabelecidos na lei adjectiva não se adequem à materialidade da situação jurídica objecto da lide. Transparece, mais uma vez, a ideia de justiça material do caso concreto, fazendo aproximar a solução judicialmente encontrada da realidade substantiva, permitindo a obtenção, tanto quanto possível, de uma «justa composição do litígio». É, neste sentido, um princípio que reflecte o estipulado no n.º 2 do artigo 1.º do P-CPC («a todo o direito […] corresponde a acção adequada»), o qual, amplamente discutido supra no § 2.º, consubstancia, como é reconhecido, uma faceta importantíssima do direito fundamental à tutela jurisdicional efectiva — pode mesmo afirmar-se que a ideia da adequação da forma à substância do objecto processual constituirá o princípio-regra instrumental privilegiado para a densificação do referido corolário.» 28. Concluindo, «com a adequação formal fica constituído um poder vinculado do juiz — e não discricionário — que o obriga a inovar, a criar uma tramitação que pode basear-se, ou não, nas formas legalmente previstas.». 29
Destarte, a razão da escolha deste nobre princípio processual o qual deverá, no entanto, ser aplicado com as devidas adaptações e por outro lado, quer a sua aplicação quer a aplicação da legislação mencionada no preceito tem de observar o disposto nos números anteriores, isto é, a sua aplicação não poderá nunca precludir os caracteres do processo que se acham identificados como, por exemplo, a natureza de recurso directo ou o carácter urgente do mesmo. Propõe-se, assim, a seguinte redacção para o este novo número 3.
«3. À tramitação processual dos recursos de tutela jurisdicional especial previstos nos números anteriores aplica-se, com as devidas adaptações, o disposto no artigo 7.º do Código de Processo Civil e subsidiariamente, e com as necessárias adaptações, a lei de processo civil e a lei do processo administrativo respectivamente, com observância do disposto nos números anteriores.»
Artigo 30.º, Legislação subsidiária
Este artigo inicia a secção dedicada às infracções administrativas e merece a concordância da Comissão dado apontar para uma harmonização, ressalvadas naturalmente as especialidades inscritas no articulado em apreço, na matéria.
Artigo 31.º, Cumprimento do dever omitido
A Comissão acolhe o preceito proposto sublinhando a importância desta regra a qual reforça a intenção de garantir um efectivo cumprimento das disposições da futura lei de protecção de dados ao esclarecer que mais importante do que o pagamento da multa é o cumprimento do dever não observado atempadamente.
Artigo 32.º, Omissão ou defeituoso cumprimento de obrigações
Adere-se ao regime aqui preconizado tendo-se procedido apenas a correcções de gralhas e, bem assim, tal como anteriormente mencionado, a uma alteração formal quanto à definição dos montantes das multas.
Artigo 33.º, Outras infracções administrativas
A Comissão alterou a epígrafe, sufragando assim proposta constante de parecer enviado pelo Governo e alterou aspectos formais na redacção da norma concordando, destarte, com o conteúdo preconizado no projecto de lei.
Artigo 34.º, Concurso de infracções
A Comissão acolhe o texto do projecto de lei.
Artigo 35.º, Punição da negligência e da tentativa
O articulado proposto no projecto de lei merece a concordância da Comissão que se limitou a alterar a identificação dos artigos na sequência da renumeração efectuada.
Artigo 36.º, Aplicação das multas
A Comissão concorda com a disciplina
proposta no presente artigo mesmo desconhecendo-se o momento em que a autoridade
pública iniciará funções. Ou seja, até esse momento inexistirá entidade
que detenha competência para a aplicação das multas o que não é a situação
mais desejável. Todavia, não se vislumbram quaisquer razões para
retirar este tipo de competências à autoridade pública e/ou atribuí-las
a outrem. De resto, quer
O número 2 foi objecto de uma alteração cirúrgica a qual visa esclarecer melhor o sentido preconizado.
Artigo 37.º, Não cumprimento de obrigações relativas a protecção de dados
Este artigo é o primeiro da secção dedicada aos crimes, crimes esses que, relembre-se, apenas se reportam a violações de preceitos desta futura lei de protecção de dados e não de eventuais violações de outros preceitos inscritos em outra legislação ressalvados alguns casos de existência de legislação especial nos termos previstos no articulado. Rememore-se ainda que a moldura penal do projecto de lei é fiel à que constava do articulado informal elaborado no âmbito do Executivo e gentilmente enviado a esta Assembleia.
A Comissão introduziu pequenas benfeitorias na redacção por forma a melhor harmonizar a técnica legislativa usada no Código Penal.
Artigo 38.º, Acesso indevido
O artigo em análise merece o acolhimento da Comissão a qual, seguindo uma sugestão constante de parecer enviado pelo Governo, acrescentou a ressalva de aplicação de lei especial quanto à moldura penal aplicável.
Também neste artigo a Comissão introduziu pequenas benfeitorias na redacção por forma a melhor harmonizar a técnica legislativa usada no Código Penal.
Artigo 39.º, Viciação ou destruição de dados pessoais
A Comissão manifesta a sua concordância com o articulado proposto valendo as ambas as considerações expostas a propósito do artigo imediatamente precedente.
Artigo 40.º, Desobediência qualificada
Relativamente a este artigo a Comissão acolhe o articulado preconizado pelo projecto de lei.
Artigo 41.º, Violação do dever de sigilo
O articulado proposto merece a concordância da Comissão que nota que os proponentes do projecto seguiram a opção constante do articulado informal enviado por representantes do Executivo.
Todavia, também neste artigo a Comissão introduziu pequenas benfeitorias na redacção por forma a melhor harmonizar a técnica legislativa usada no Código Penal e, bem assim, a acolher sugestão relativa à ressalva de aplicação de lei penal especial.
Artigo 42.º, Punição da tentativa
Perfilhando sugestão formal inserta em parecer enviado pelo Governo a Comissão alterou a redacção do artigo concordando com a disciplina proposta no articulado do projecto de lei.
«Nos crimes previstos na presente secção, a tentativa é sempre punível.»
Artigo 43.º, Pena acessória
A Comissão acolhe a redacção prevista no projecto de lei considerando adequadas as penas acessórias previstas em função do objecto da futura lei de protecção de dados pessoais tendo introduzido alterações de redacção no proémio do artigo com vista a clarificar que estas penas podem ter aplicação acessoriamente a multas aplicadas em processos de infracção administrativa e a penas resultantes de processos crime previstos no projecto de lei. De resto, na senda desta clarificação foi criada uma nova secção como adiante melhor se explicará.
A redacção preconizada é, destarte, a seguinte:
«Conjuntamente com as multas e penas aplicadas nos termos das secções II e III deste capítulo pode, acessoriamente, ser ordenada:»
Artigo 44.º, Publicação de decisão condenatória
Este artigo merece a concordância da Comissão valendo aqui argumentos de natureza símile aos expostos a propósito do artigo anterior. Note-se que, neste preceito apenas estão em causa decisões condenatórias ditadas nos processos crime e nos processos por infracção administrativa previstos no projecto de lei e não, por exemplo, em processos de outra natureza.
Artigo 45.º, Disposição transitória
A disciplina aqui prevista afigura-se razoável permitindo mesmo um período de transição em determinadas matérias, o qual facilitará a adaptação, nomeadamente dos serviços públicos, ao novo regime jurídico.
Artigo 46.º, Entrada em vigor
A Comissão considera dever alargar o período de vacatio legis proposto, ainda que este possa ter resultado de sugestão informal anterior de representantes do Executivo, para 180 dias. Porquanto, e como em anterior parecer desta Comissão se inscreveu «O alargamento do período de vacatio justifica-se perante diplomas de especial complexidade, seja no seu conhecimento pelos destinatários, seja na tomada de medidas de execução pelos serviços competentes.». 30
Em suma, considera-se que cerca de meio ano é um prazo bastante razoável para efeitos de entrada em vigor desta lei permitindo o seu conhecimento pelos especiais destinatários e a tomada das medidas consideradas necessárias para uma adaptação aos dispositivos da lei.
33. Eliminação
Anterior artigo 36.º, Destino das receitas cobradas
Por proposta inscrita em parecer enviado pelo Governo a Comissão procedeu à eliminação do artigo 36.º da versão do projecto de lei porquanto idêntica norma se acha estabelecida na legislação geral relativa às infracções administrativas, ou seja no Decreto-Lei n.º 52/99/M, de 4 de Outubro, mais especificamente no seu artigo 15.º.
34. Criação de secção
A Comissão, analisados os preceitos constantes dos artigos 43.º e 44.º, constatando que há a intenção de aplicação quer nos casos das infracções administrativas quer nos casos das penas criminais, manifesta a sua concordância. Aliás, na esteira das soluções preconizadas no articulado informal do Governo e em várias leis estrangeiras consultadas. Todavia, procurando uma melhor clarificação do âmbito de aplicação pretendido, decidiu-se autonomizar uma nova secção, intitulada penas acessórias, para além de se ter introduzido alterações de redacção no artigo 43.º, já anteriormente identificadas no local adequado do presente parecer.
35. Outros ajustamentos de redacção
A Comissão introduziu ao longo do articulado do projecto de lei vários outros ajustamentos na redacção de alguns preceitos, para além dos que foram já anteriormente identificados, os quais visam tão somente uma benfeitoria da redacção, quer na versão em língua chinesa quer na versão em língua portuguesa, não importando qualquer alteração substancial no conteúdo tal como supra alertado.
36. A Comissão reitera a sua concordância quanto:
a) À necessidade de aprovação de uma lei de protecção de dados pessoais; e,
b) Ao conteúdo, em geral, do projecto de lei e soluções preconizadas, sem prejuízo das alterações introduzidas e que constam de articulado revisto em substituição do texto do projecto de lei.
No decurso dos seus trabalhos a Comissão contactou os subscritores do projecto de lei e obteve a sua adesão às alterações preconizadas por si preconizadas tendo optado, como antes referido, pela apresentação de um texto revisto em substituição do articulado do projecto de lei, com vista a facilitar uma melhor apreensão e ordenação das várias propostas na especialidade preconizadas pela Comissão, o qual apresenta já as alterações devidamente inseridas e ordenadas
A Comissão é de convicção que a entrada em funcionamento da autoridade pública independente constituirá um passo indispensável para uma integral e eficaz aplicabilidade do regime de protecção de dados pessoais.
É opinião da Comissão, como já antes mencionado, que dentro de um prazo razoável após o início de funções da autoridade pública, deve ser iniciado um procedimento legislativo de revisão da lei de protecção de dados pessoais o qual deverá usufruir da experiência de aplicação no terreno por parte da autoridade pública levando em conta, nomeadamente, sugestões por esta eventualmente formuladas.
Tendo em consideração a natureza e complexidade da futura lei de protecção de dados pessoais, a Comissão reitera igualmente a desejabilidade de se proceder, no futuro, a uma ampla divulgação da lei e, bem assim, da organização de cursos de formação.
37. Em conclusão formal, apreciado e analisado o projecto de lei, a Comissão é de parecer que o projecto de lei na sua versão constante do texto revisto em substituição do anterior articulado reúne os requisitos necessários para ser apreciado e votado, favoravelmente, na especialidade, pelo Plenário.
Macau, aos 28 de Julho de 2005.
A Comissão, Cheang Chi Keong (Presidente) — Leonel Alberto Alves — Kou Hoi In — Hoi Sai Iun — Philip Xavier — Vitor Cheung Lup Kwan — João Bosco Cheang — Iong Weng Ian (Secretária).