O âmbito de aplicação material da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular - os casos especiais das redes sociais e da videovigilância

O ÂMBITO DE APLICAÇÃO MATERIAL DA LEGISLAÇÃO DE PROTEÇÃO DE DADOS PESSOAIS E O TRATAMENTO DE IMAGEM POR PESSOA SINGULAR SEM FINALIDADES LUCRATIVAS

OS CASOS ESPECIAIS DAS REDES SOCIAIS E DA VIDEOVIGILÂNCIA

Versão revista e resumida de dissertação de mestrado

OUTUBRO 2014

À memória e sorriso da Ana.

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

AGRADECIMENTOS

A presente análise consiste na versão revista da dissertação de mestrado defendida já em 2014 na Faculdade de Direito da Universidade Nova de Lisboa. Deixo o meu especial agradecimento ao Exmo. Senhor Professor Doutor Alexandre Sousa Pinheiro pelo apoio e à Exma. Senhora Professora Arguente da versão original do presente trabalho pelas críticas assertivas e construtivas. Muito obrigado ainda à Trinity College, em especial ao Exmo. Senhor Professor Doutor William Binchy, a Rui Varela e Ricardo Figueira pelas explicações de conceitos tecnológicos e debates. À família e amigos agradeço o constante incentivo. Obrigada.

“Handle so, dass du die Menschheit in jeder Form jederzeit zugleich als Zweck, niemals bloß als Mittel brauchst.” Immanuel Kant Grundlegung zur Metaphysik der Sitten (1785), Kant’s gesammelte Schriften cit IV

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

ÍNDICE

Advertências .................................................................................................................................. 9   Índice de abreviaturas .................................................................................................................. 10   Introdução .................................................................................................................................... 13   I. Enquadramento ........................................................................................................................ 17   I.1. Conceitos: “imagem”, “imagem digital” e “dado biométrico” ............................................. 17   I.2. Conceito “videovigilância” ................................................................................................... 18   I.3. Evolução histórica da proteção da imagem da pessoa na Europa ......................................... 20   I.3.1. Imagem e dado pessoal ...................................................................................................... 21   I.4. Evolução história da proteção da imagem da pessoa nos EUA ............................................ 26   II. Âmbito de aplicação material – Diretiva ................................................................................ 28   II.1. O caso Lindqvist .................................................................................................................. 28   II.2. Atividades exclusivamente pessoais ou domésticas ............................................................ 30   II.2.1. Redes sociais ..................................................................................................................... 33   II.2.2. Videovigilância ................................................................................................................. 33   II.2.3. O argumento do escopo de proteção da Diretiva .............................................................. 36   II.2.4. As obrigações impostas aos EM ....................................................................................... 38   II.3. Ordenamento jurídico fora da UE - Canadá ........................................................................ 40   III. Âmbito de aplicação material – LPD .................................................................................... 41   III.1. A interpretação histórica e literal........................................................................................ 41   III.2. Atividades exclusivamente pessoais ou domésticas ........................................................... 42   III.2.2. Escopo de proteção das normas contidas na LPD ........................................................... 46   III.2.3. As inconstitucionalidades ................................................................................................ 48   III.3. Outros ordenamentos jurídicos da UE ................................................................................ 49   III.3.1. Espanha ............................................................................................................................ 49   III.3.2. Irlanda .............................................................................................................................. 50   III.3.3. Itália ................................................................................................................................. 51   IV. Âmbito de aplicação material - Regulamento Geral ............................................................. 53   IV.1. Enquadramento ................................................................................................................... 53   IV.1.1. Interpretação proposta ..................................................................................................... 54   IV.2. Videovigilância e outras formas de captação de imagem de locais públicos ..................... 55  

V. Conclusão ............................................................................................................................... 56   Bibliografia .................................................................................................................................. 58  

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

ADVERTÊNCIAS

Sobre a problematização do âmbito material da Diretiva 95/46/CE, assim como da LPD, a presente análise deparou-se com a existência de escassas referências doutrinarias e jurisprudenciais em Portugal e no estrangeiro. A regra geral adotada para referências bibliográficas fundamenta-se nas normas portuguesas homologadas pelo Instituto Português da Qualidade. Os textos disponíveis na internet são identificados com o seu endereço e última data de consulta no índice bibliográfico. Em itálico encontram-se citações, termos em língua estrangeira, latinismos ou palavras que se considerou de realçar. A expressão “atividade sem qualquer fim lucrativo” ou “sem fim comercial” ou “económico” mencionada na presente análise significa atividade sem fim lucrativo primário ou secundário. A atividade prosseguida por organizações que não visam o lucro como fim primário, mas sem o qual não subsistiriam (fundações ou associação sem fins lucrativos) é considerada atividade com fim lucrativo, ainda que secundário. As referências ao Facebook ou a outra rede social são efetuadas apenas por facilidade de exposição.

9

ÍNDICE DE ABREVIATURAS

A.A.F.D.L.:

Associação Académica da Faculdade de Direito de Lisboa

Ac.:

Acórdão

AEPD:

Autoridade Europeia para a Proteção de Dados, também identificada como European Data Protection Supervisor (EDPS)

AEsPD:

Agencia Española de Protección de Datos

ALR.:

American Law Review

AR:

Assembleia da República

BFDUC:

Boletim da Faculdade de Direito da Universidade de Coimbra

BMJ:

Boletim do Ministério da Justiça

CCiv.:

Código Civil português aprovado pelo Decreto-lei n.º 47 344 de 25 de novembro de 1966, com as alterações posteriores

CDFUE:

Carta dos Direitos Fundamentais da UE proclamada em 7 de dezembro de 2000, pelo Parlamento Europeu, pelo Conselho Europeu e pela Comissão Europeia, publicada no Jornal Oficial das Comunidades Europeias de 18 de dezembro de 2000

CE:

Comunidade Europeia

CEDH:

Convenção para a Proteção dos Direitos do Homem e das Liberdades Fundamentais adotada em Roma em 1950 e com entrada em vigor na ordem jurídica portuguesa em 1978

CNPD:

Comissão Nacional de Proteção de Dados

Comité:

Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos

CE:

Comunidade Europeia

Convenção 108: Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal adotada em Estrasburgo a 28 de janeiro de 1981 e com entrada em vigor na ordem jurídica portuguesa em 1994, com as alterações posteriores CP:

Código Penal aprovado pelo Decreto-Lei n.º 400/82, de 23 de setembro, com as alterações posteriores

10

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

CPDPI:

Código de Proteção de Dados Pessoais Italiano aprovado pelo Decreto

CRP:

legislativo n.º 196 de 30 junho de 2003 Constituição da República Portuguesa, na versão em vigor

CT:

Código do Trabalho (Lei n.º 7/2009, de 12 de fevereiro na versão em vigor)

Diretiva:

Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados

Diretiva 95/46/CE: Diretiva DL:

Decreto-lei

DR:

Diário da República

DUDH:

Declaração Universal dos Direitos do Homem adotada em 10 de dezembro de 1948

EDPS:

European Data Protection Supervisor, também identificada como AEPD

EM:

Estados-membros da União Europeia

Estudo:

Estudo Comparativo sobre Abordagens Diferentes Relativamente aos Novos Desafios

em

Matéria

de

Privacidade,

em

especial

à

Luz

dos

Desenvolvimentos Tecnológicos da Comissão Europeia, 2010 GT do Art. 29.º:

Órgão consultivo europeu independente em matéria de proteção de dados e de privacidade criado pelo disposto no art. 29.º da Diretiva 95/46/CE

HLR:

Harvard Law Review

JO:

Jornal Oficial da UE

LPD:

Lei de Proteção de Dados Pessoais (Lei n.º 67/98, de 26 de outubro)

OCDE:

Organização para a Cooperação e Desenvolvimento Económico

Opinião:

Opinião de 18 de março de 2010 da Autoridade Europeia para a Proteção de Dados sobre a promoção da confiança na sociedade da informação através do reforço da proteção dos dados e da privacidade

Parecer:

Parecer 5/2009 do Grupo do Art. 29.º sobre “online social networking” adotado em junho de 2009

PGR:

Procuradoria Geral da República

PIPEDA:

Personal Information Protection and Electronic Documents Act (S.C. 2000, c. 5) correspondente à legislação de proteção de dados pessoais aplicável ao setor privado no Canadá

11

Regulamento Geral: Proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados de 25 de janeiro de 2012, com as alterações aprovadas pela Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos (Comité) em novembro de 2013 e aprovada pelo Parlamento Europeu a 12 de março de 2014 RFDUL:

Revista da Faculdade de Direito da Universidade de Lisboa

ROA:

Revista da Ordem dos Advogados

STA:

Supremo Tribunal Administrativo

STJ:

Supremo Tribunal de Justiça

TCAS:

Tribunal Central Administrativo Sul

TEDH:

Tribunal Europeu dos Direitos do Homem

TC:

Tribunal Constitucional

TJ:

Tribunal de Justiça

TRC:

Tribunal da Relação de Coimbra

TRP:

Tribunal da Relação do Porto

UE:

União Europeia

12

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

INTRODUÇÃO

A tecnologia caminha no sentido de permitir a permanente captação de imagens de pessoas, em espaços privados e públicos, permitindo a identificação automática, criação de modelos 3D, difusão imediata e ilimitada no espaço e no tempo1, com registo perpétuo e acesso ilimitado2. Entre os comportamentos3 de pessoas singulares sem intenções lucrativas passíveis de enquadramento no conceito de tratamento do dados pessoais destacamos, pela sua importância e massificação, a partilha de imagens digitais4 em redes sociais5 e a utilização de videovigilância6. Questiona-se quais os preceitos normativos que a ordem jurídica portuguesa coloca ao serviço do cidadão para que este se proteja contra a utilização abusiva do seu retrato. O direito contra a utilização abusiva da imagem7 goza de proteção constitucional, no art. 26.º da CRP, goza de proteção enquanto direito de personalidade, no art. 79.º do CCiv., e de proteção penal através dos crimes pp. pelos art.s 192.º e 193.º do CP..

1

ASCENÇÃO, Oliveira – “Sociedade de Informação e Mundo Globalizado” – Globalização e Direito, Studia Ivridica 73, BDFUC V. 12, Coimbra, 2013, p.167. SOUSA PINHEIRO, Alexandre – “Privacy e Protecção de dados pessoais: a construção dogmática do direito à identidade informacional” – Vol. I, Dissertação de Doutoramento em Ciências Jurídico-Politicas sob orientação Professor Doutor Jorge Miranda, FDUL, 2011. Estudo Comparativo sobre Abordagens Diferentes Relativamente aos Novos Desafios em Matéria de Privacidade, em Especial à Luz dos Desenvolvimentos Tecnológicos da Comissão Europeia, 2010 (“Estudo”) p. 13 Hoje é possível efetuar modelos 3D a partir da imagem da pessoa captada diretamente pela câmara de um simples iPad e imprimi-los nas impressoras 3D, cfr. Occipital (2013-09-25) “Occipital Demos The Structure Sensor At Denver New Tech”. 2

BLACKMAN, Josh – “Omniveillance, Google, Privacy in Public, and The Right to Your Digital Identity: A Tort For Recording and Disseminating an Individual’s Image over the Internet” – Hein Online, 49 Santa Clara Law Review, 2009 p. 314, 3

RIDEOUT, Victoria J., FOEHR, Ulla G. e ROBERTS, Donald F. – “Generation M2” – Fundação Kaiser Family, janeiro de 2010. 4

SOUSA PINHEIRO, Alexandre, ob. cit. n. 1 p. 282 (capitulo dedicado a redes sociais)

5

GRIMMELMANN, James – “Saving Facebook” – Iowa Law Review, 2009.

6

CHAMBEL, Élia – “A videovigilância e o direito à imagem” – in Estudos de Homenagem ao Professor Doutor Germano Marques da Silva, Livraria Almedina, Coimbra, 2004, p. 505 e ss. 7

O direito à imagem é corolário da proteção do direito à reserva da intimidade da vida privada e do direito à honra, os quais são consequência do direito ao livre desenvolvimento da personalidade, que, por sua vez, se baseia na dignidade da pessoa humana. Assim, a limitação do direito à imagem constitui uma violação à dignidade da pessoa humana sendo admissível apenas no âmbito de um conflito de direitos resolvido de acordo com o princípio da proporcionalidade (art. 18.º/2 e 3 da CRP). O direito à imagem visa primordialmente a autodeterminação informativa da pessoa sobre a sua imagem “Cabe a cada pessoa decidir se, quando e sob que condições deve o seu retrato ser exposto ou divulgado.” in FESTAS, David O. – “Do Conteúdo Patrimonial do Direito à Imagem”. Coimbra: Coimbra Editora, 2009.

13

A questão coloca-se na área da proteção de dados pessoais, já que preenchidos determinados pressupostos o retrato da face constitui não só um dado pessoal, como um dado pessoal sensível (cfr. art. 35.º/2 da CRP, art. 7.º/1 da LPD)8. A proteção do dado pessoal presente em imagens visa impedir que o seu tratamento através de meios automatizados constitua uma ameaça à privacidade sem fundamento legítimo9. Em consequência questiona-se: até que ponto a legislação de proteção de dados pessoais se aplica ao tratamento de imagem que contenham dados pessoais efetuado por pessoa singular sem fins lucrativos? Apesar dos direitos fundamentais à proteção de dados pessoais plasmados no art. 35.º da CRP terem como sujeitos passivos todas as pessoas singulares e colectivas, independentemente da atividade ser ou não da vida privada e do fim ser ou não económico10, a verdade é que o regime tanto da Diretiva 95/46/CE, como da LPD excluem dos respetivos âmbitos de aplicação o tratamento efetuado por pessoa singular “no exercício de actividades exclusivamente pessoais ou domésticas”. Em consequência, o presente artigo visa analisar se o tratamento sem fins lucrativos de imagem por pessoa singular nas redes sociais ou através de videovigilância recai no âmbito de aplicação da legislação de proteção de dados pessoais. 1. Delimitação do objeto e âmbito de estudo

O objeto de estudo consiste nas regras sobre o âmbito de aplicação material da Diretiva 95/46/CE, da LPD e do Regulamento Geral para efeitos de tratamento de dados pessoais contidos em imagens efetuado por pessoa singular sem fins económicos. Fora do âmbito do presente estudo encontra-se: a)

A partilha de informação entre os órgãos de polícia criminal;

b)

O tratamento de imagem para fins exclusivamente jornalísticos ou de expressão artística ou literária11;

8

Autorizações da CNPD n.º 8/2007, 700/2007 e 4126/2012.

9

SARMENTO E CASTRO, Catarina – “Direito da Informática, Privacidade e Dados Pessoais”. Coimbra: Edições Almedina, S.A., 2005, p. 21 10

GOUVEIA, Jorge Bacelar – “Os direitos fundamentais à proteção de dados pessoais informatizados” – Lisboa, Sep. Revista OA. 1991 pág. 709 11

De acordo com o Acórdão do TJ de 16 de Dez. 2008, caso Satamedia, atividades jornalísticas referidas no art. 9.º da Diretiva são aquelas que têm como única finalidade a divulgação de informações ou opiniões ao público em geral. A maioria das páginas de redes sociais não têm como única finalidade a divulgação de informações ou opiniões, têm outras finalidades como a criação e desenvolvimento de relações sociais e nesse sentido não se subsumirão ao conceito de “atividades jornalísticas” referido no art. 9.º da Diretiva.

14

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

c)

O tratamento de imagem de pessoas falecidas;

d)

O tratamento de imagem de pessoas coletivas;

e)

O tratamento de imagem de pessoas notórias ou que desempenhem cargos socialmente relevantes; e

f)

A eficácia perante terceiros da situação jurídica do autorizado à limitação do direito de imagem. O âmbito de análise reconduz-se ao regime jurídico português, porém, verificando-se a

publicação no JO do Regulamento Geral, a presente análise estender-se-á ao regime em vigor nos EM. 2. Razão de ordem e de método

A ordem de exposição inicia-se com o enquadramento histórico do regime de proteção do direito à imagem, sendo destacada a (i) evolução na Europa por ser a matriz do regime português e a (ii) evolução nos EUA devido à sua importância histórica. Seguem-se os capítulos dedicados à análise da problemática do âmbito de aplicação material por diploma legal: Diretiva, LPD e Regulamento. Apesar da relevância do Regulamento Geral optou-se por não dividir o presente estudo em dois grandes grupos: o respeitante ao Direito Interno Português e outro ao Direito Internacional e Direito da UE, uma vez que aquele diploma passará a ser diretamente aplicável em Portugal após a sua publicação. A propósito da análise de cada problemática fazem-se referências a outros ordenamentos jurídicos relevantes. Não se apresenta um só capítulo dedicado aos ordenamentos jurídicos estrangeiros porque enquanto os EM estavam vinculados ao âmbito de transposição da Diretiva12, os países fora da UE que se inspiraram na sua redação não. No capítulo dedicado à Diretiva analisar-se-á o regime do Canadá por sofrer influência especialmente do regime da EU. No capítulo dedicado à LPD serão analisados o regime: espanhol por interpretar a household exception de forma muito restritiva, irlandês, por interpretar a household exception de forma muito alargada, e italiano por se considerar como um dos regimes mais próximos de uma aplicação coerente do princípio da proporcionalidade no balanço entre os direitos fundamentais em causa. A análise da problemática termina com as conclusões.

12

“A harmonização das referidas legislações nacionais não se limita, portanto, a uma harmonização mínima, mas conduz a uma harmonização que é, em princípio, total.” in Ac. TJ de 6 de nov. 2003, Processo C-101/01 caso Lindqvist.

15

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

I. ENQUADRAMENTO

I.1. Conceitos: “imagem”, “imagem digital” e “dado biométrico” A palavra imagem provém do latim “imagĭne”, é um vocábulo polissémico e dos seus significados destaca-se: “representação (gráfica, plástica, fotográfica) de algo ou alguém”13. David Freitas distingue o conceito imagem do conceito retrato, considerando ser este a representação daquela14. A distinção referida pelo autor é clara na área do direito de personalidade e atenuada na área da proteção de dados pessoais, em que o conceito imagem é utilizado também como retrato15. Na presente análise procurar-se-á adotar o conceito retrato sempre que o conceito imagem não for preferível por facilidade de exposição. A imagem passou a ter valor económico para fins de marketing16, surgindo (i) o mercado de bases de dados17 biométricos da face18 e (ii) o conceito de “imagem digital”19. No Parecer 02/2012 de 22 de março de 2012 do GT do Art. 29.º encontramos o conceito de imagem digital como “a representação de uma imagem bidimensional em formato digital. No entanto, a recente evolução da tecnologia de reconhecimento facial exige que sejam incluídas imagens tridimensionais, além das imagens estáticas e em movimento (ou seja, fotografias e vídeos gravados ou ao vivo).”20 A imagem digital pode conter dados sensíveis na medida em que pode revelar informações como a origem racial e étnica, a religião ou a saúde das pessoas em causa.21 Tais informações podem ser extraídas da imagem digital sem necessidade de recurso a tecnologia reunidos determinados pressupostos (caso da fotografia da face de pessoa reconhecida por colega) ou com recurso a tecnologia. A tecnologia utilizada para determinar a 13

“imagem” in Infopédia. Porto: Porto Editora, 2003-2013.. Sobre a perspetiva psíquica da imagem ver E. Chambel ob. cit. n. 6, p. 518-520. 14

Ob. cit. n. 7, p. 51.

15

Cfr. art. 3.º a) quando refere “incluindo som e imagem” e art. 4.º ao referir “difusão de imagens”, ambos da LPD. 16

SOLOVE, Daniel – “Privacy and Power: Computer Databases and Metaphors for Information Privacy”, 53 Stan. Law Review, 2000-2001 p. 1403-1413. 17

“(...) a multiplicação de bases de dados e as novas tecnologias que permitem o controlo remoto dos indivíduos colocam novos desafios à proteção dos direitos fundamentais dos europeus no que respeita aos dados pessoais e à privacidade.” em Agenda Digital para a Europa, 2010. 18

ACQUISTI, Alessandro “Why privacy matters”, TED talk, junho 2013.

19

Parecer 02/2012 de 22/03/2012 do GT do Art. 29.º sobre o reconhecimento facial nos serviços em linha e móveis. 20

Parecer 02/2012 cit. n. 19.

21

Parecer 02/2012 cit. n. 19, pág. 5. e Parecer 3/2012 de 27 de abril do GT do Art. 29.º sobre a evolução das tecnologias biométricas, p. 24.

17

identidade da pessoa, extrair informações sobre a origem racial, étnica, saúde e/ou emoções recorre a medição de dados biométricos presentes nas imagens digitais. Segundo o GT do Art. 29.º no Parecer 4/2007, dados biométricos são definidos como “propriedades biológicas, características fisiológicas, traços físicos ou acções reproduzíveis, na medida em que essas características e/ou acções sejam simultaneamente únicas a essa pessoa e mensuráveis, mesmo que os padrões utilizados na prática para medi-las tecnicamente envolvam um certo grau de probabilidade.” 22 São exemplos de dados biométricos a estrutura facial, a voz, a geometria das mãos, ou até outra característica comportamental como uma forma particular de andar ou falar. Os dados biométricos podem ser utilizados para: a)

Estabelecer a ligação entre a informação e uma pessoa determinada. Para identificação de uma pessoa através de reconhecimento facial com grau elevado de precisão23.; e/ou

b)

Recolher características fisiológicas e psicológicas, tais como a origem racial, étnica, as emoções e o bem-estar. Neste sentido, o Parecer 3/2012 de 27 de abril do GT do Art. 29.º sobre a evolução das

tecnologias biométricas considera que a imagem da face pode ser considerada dado sensível, na acepção do art. 8.º da Diretiva, na medida em que revele a origem racial ou étnica ou dados relativos à saúde. Nos últimos anos a utilização da tecnologia de reconhecimento facial pelo Estado, empresas, entidades sem finalidades lucrativas e pessoas singulares tem vindo a crescer cfr. Parecer 3/2012 de 27 de abril já referido24. Em consequência o risco de inexistência de proteção dos dados pessoais aumenta25. I.2. Conceito “videovigilância” “A violação de direitos fundamentais pela videovigilância deve ser entendida, cada vez mais, como uma verdade real, apesar de encoberta.” Élia Chambel26 O conceito de videovigilância é relevante na presente dissertação porque (i) a CNPD tem interpretado o âmbito de aplicação material da LPD a propósito dos casos de videovigilância e (ii) porque a definição do conceito de “videovigilância” será relevante para enquadramento da 22

Parecer 4/2007 de 20 de junho do GT Art. 29.º sobre o conceito de dados pessoais.

23

VASILESCU, M. Alex e TERZOPOULOS – “Multilinear Image Analysis for Facial Recognition” in Proceedings. 16th International Conference Pattern Recognition, Canadá, 2002, Vol. 2, p. 512-514. 24

Parecer cit. n. 21.

25

Sobre os riscos em causa, ver Parecer 3/2012 cit. n. 21, p. 24-27.

26

Ob. cit. n. 6, p. 506.

18

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

atividade no conceito de “actividades exclusivamente pessoais ou domésticas” da Diretiva, LPD e Regulamento Geral. Considera-se que “videovigilância” significa hoje qualquer tecnologia que permita a captação da imagem (independentemente de analógica, digital ou outra, da distância a que a imagem é captada27, de gravação ou não28, de zoom, do local de armazenamento dos dados captados se aplicável, de captação de som, da visualização efetiva de dados pessoais29 e da sequência temporal em que a totalidade ou parte das imagens possam ser visualizadas) utilizada para recolha de informação unicamente com propósitos de segurança de pessoas e bens, incluindo a prevenção de criminalidade30.

27

Garcia Marques e Lourenço Martins defendem que videovigilância consiste numa forma de vigilância à distância GARCIA MARQUES e LOURENÇO MARTINS – “Direito da Informática” – Coimbra: 2.ª Edição, Edições Almedina S.A., 2006, p. 170. Considera-se que o critério distância não é eliminatório na subsunção de uma realidade no conceito de videovigilância. 28

Opinião divergente parecer ter Élia Chambel, ob. cit. n. 6, p. 508 quando ao definir as características apresentadas pela videovigilância indica “que permitam a gravação sequencial ou simultânea de várias imagens (...)” 29

Mesmo a tecnologia que utiliza RFID numa ótica de privacy by design não disponibilizando as imagens de quem foi “RFID tag” também se considera videovigilância. Ver WICKRAMASURIYA, Jehan; ALHAZZAZI, Mohanned; DATT, Mahesh; MEHROTRA, Sharad; e VENKATASUBRAMANIAN, Nalini - “Privacy-Protecting Video Surveillance” - Department of Information & Computer Science University of California, Irvine, CA, USA. 30

O que não significa que no futuro o legislador português não considere outros fins. Sobre o conceito “videovigilância” e questões que o seu regime encerra cfr. [Nome da Concorrente] in “O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância”; tese de mestrado; Lisboa, FDUNL, 2014. Em Portugal sobre o tema ver também Garcia Marques e Lourenço Martins (ob. cit. n. 27, p. 170) e Élia Chambel ob. cit. n. 6, p. 507 e 523. Entre muitas Deliberações da CNPD, ver Deliberação n.º 661/2010 de 20 de setembro de 2010. Cfr. na jurisprudência portuguesa entre outros o Ac. do TCAS de 20 de Maio de 2010 (Processo n.º 03190/07) disponível em www.dgsi.pt. No estrangeiro, ver MANUNTA, Giovanni – “International Course Cranfield University” – RMCS Shrivenham, 1997, p. 5. No sentido de que a tecnologia analógica está ultrapassada veja-se: CHATTOPADHYAYR, Dhiman; DASGUPTA, Ranjan; BANERJEE, Rohan; CHAKRABORTY, Ankur – “Event Driven Video Surveillance System using City Cloud A solution compliant with Sensor Web Enablement Architecture”, 2013; NORRIS, Clive; McCAHILL, Mike e WOOD, David – “The Growth of CCTV: a global perspective on the international diffusion of video surveillance in publicly accessible space” em The Politics of CCTV in Europe and Beyond, Vol. 2 (2/3) p. 110-135. FERENBOK, Joseph e CLEMENT, Andrew – “Hidden Changes from CCTV to “Smart” vídeo surveillance” in A. Doyle, R. Lippert & D. Lyon (Eds.), Eyes Everywhere: The Global Growth of Camera Surveillance – Devon Willan Publishing, p. 4. De notar que o conceito de videovigilância utilizado na Lei n.º 34/2013, de 16 de maio exige a gravação e, nesses termos, difere do conceito utilizado para efeitos da LPD atendendo à sua finalidade: criação de provas para efeitos penais.

19

I.3. Evolução histórica da proteção da imagem da pessoa na Europa “Independentemente de quaisquer conotações bem se compreende que as pessoas não queiram – ou possam não querer – ser reconhecidas na rua ou em qualquer local público, mercê da divulgação não autorizada da própria imagem” Menezes Cordeiro31 A imagem comunica uma mensagem positiva, negativa ou neutra. Nesse sentido, a captação e reprodução da imagem traz consigo preocupações com a intimidade da vida privada32. O Direito respondeu ao desenvolvimento da fotografia33 e da imprensa34 com o processo de reconhecimento do direito à imagem enquanto direito de personalidade na Europa no séc. XIX35. Apesar da tutela da Pessoa na Europa se ter iniciado no âmbito dos direitos fundamentais, o direito à imagem surge no direito civil enquanto direito de personalidade36. Em Portugal o direito à imagem surge no art. 79.º do CCiv. de 1966 com o regime atual e só depois no direito constitucional com sua introdução no art. 26.º/1 da CRP em 198237 e sendo protegido contra a utilização abusiva da informática no art. 35.º da CRP. Note-se que (i) na revisão constitucional de 1997 é proibido o tratamento de dados referentes à origem étnica através da informática (art. 35.º/3) salvo consentimento expresso do titular, e (ii) na revisão constitucional de 2004, o texto constitucional do art. 26.º/2 é clarificado no sentido em que a obrigação constitucional do Estado legislar para garantir a proteção da imagem não existe só quanto à sua utilização, mas também quanto à sua captação abusiva38. No séc. XX o Direito respondeu à internet com a tutela da imagem enquanto dado pessoal.

31

CORDEIRO, Menezes – Tratado de Direito Civil IV Volume Parte Geral Pessoas – Coimbra: Edições Almedina, S.A., 3.ª Edição, 2011, p. 28. 32

Idem p. 26

33

O processo fotográfico foi tornado público em 1839. Sobre o tema ver WALTER, Benjamin - Petit histoire de la photographie, Études Photographiques 1 - (1996) 34

O fotojornalismo data de 1880, cfr. Alexandre Sousa Pinheiro ob. cit. n. 1, Vol. I, p. 343.

35

Ob. cit. n. 9.

36

Para desenvolvimento da história dos direitos de personalidade e em concreto do direito à imagem ver Menezes Cordeiro ob. cit. n. 31; David Festas, ob. cit. n. 7 e Alexandre Sousa Pinheiro, ob. cit. n. 1, p. 538-557. 37

Sobre o direito à imagem enquanto direito constitucional ver MIRANDA, Jorge e MEDEIROS, Rui – “Constituição Portuguesa Anotada”, Tomo I, 2.ª Edição, Coimbra: Coimbra Editora, 2010, pp. 603-632 e 779-801. 38

20

Idem.

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

Porém hoje, séc. XXI, o tratamento da imagem por pessoa singular passou a ser um ato massificado39. Hoje a imagem pode ser: (i) captada por câmaras fotográficas e de filmar instaladas em smartphones, tablets, computadores40, em câmaras de videovigilância públicas e privadas41 e no futuro próximo em óculos Google Glass42, quadcopters43, ou perucas Sony44 e (ii) rápida e imediatamente divulgada nas redes sociais, noutros locais de internet, em holograma45 ou através de modelos 3D. A vigilância é hoje efetuada por particulares e já não só pelo Estado46. Passou-se do surveillance para o sousveillance47. I.3.1. Imagem e dado pessoal

“(...) as razões que levaram à aprovação das primeiras leis de protecção de dados, nos anos 70, residiam no facto de as novas tecnologias, sob forma de tratamento electrónico de dados, permitirem um acesso mais fácil e mais generalizado a dados pessoais do que as formas tradicionais de tratamento. Consequentemente, a protecção de dados ao abrigo da Directiva pretende proteger as formas de tratamento que tipicamente apresentam um maior risco de “acesso fácil aos dados pessoais.”48 Grupo do Art. 29.º

39

Ob. cit. n. 6, p. 506 e 509.

40

VANHEMERT, Kyle - “Google+ monitor your video calls and tells you what to say” – in Wired, 8 de Jan. 2014. 41

Ob. cit. n. 6, p. 505 e ss.

42

WEBER, Karsten – “Surveillance, Sousveillance, Equiveillance: Google Glasses” – in Social Science Research Network, 30 junho de 2012. 43

“Gizmag reviews the Phantom 2 Vision quadcopter” in YouTube, novembro 2013

44

CLARK, Liat - “Sony's brainwave-reading, navigational SmartWig: not just for making you look good” – in Wired, 28 novembro 2013. 45

VENKATARAMANAN, Madhumita – “How to transmit real-time holograms” – in Wired, 06 agosto 2013 46

Ob. cit. n. 6, p. 506 e “The people’s panopticon” in The Economist de 16 de novembro 2013

47

MANN, Steve - “Sousveillance”, 2002, disponível em e MANN, Steve; NOLAN, Jason e WELLMAN, Barry – “Sousveillance: Inventing and Using Wearable Computing Devices for Data Collection in Surveillance Environments” in Surveillance & Society 1(3): 331-355, 2003. 48

Parecer n.º 4/2007 cit. n. 35.

21

Com o advento da sociedade de informação do séc. XX, incluindo o boom tecnológico que lhe está associado49, o fluxo de informação pessoal a circular aumentou exponencialmente, livre de constrangimentos e sem legislação reguladora da sua utilização. Perante a massificação da informação, empresas, o “novo” Estado Social e particulares aperceberam-se das vantagens do tratamento da imagem na identificação de pessoas, na criação e desenvolvimento de relações sociais50, de mercados de marketing, de análise de estratégias de consumo, de plataformas sociais associadas a publicidade, de segurança privada, de localização, etc.. 51 A par das vantagens económicas surgem os sentimentos de invasão de privacidade52. A esfera privada de cada um e a liberdade de decidir o que se faz, o que se compra ou quando encontram-se paulatinamente a ser alteradas53. Segue-se a exposição cronológica da evolução da proteção da imagem enquanto suporte de dado pessoal54. Em 1970 surge na Alemanha a primeira lei estadual de proteção de dados e em 1973 na Suécia a primeira legislação nacional, ambas para proteção do indivíduo contra abusos tecnológicos55. Em 1976, Portugal é o primeiro país a prever no seu texto constitucional o direito à autodeterminação informativa como direito fundamental previsto no art. 35.º da CRP56 visando proteger os cidadãos dos perigos de lesão da sua privacidade que uma utilização abusiva da informática poderá causar. Nas palavras de Gomes Canotilho, os direitos fundamentais presentes no art. 35.º da CRP visam impedir que o homem se torne num “simples objecto de

49

Para uma análise da evolução da tecnologia associada ao computador e à internet consultar: GARCIA MARQUES e LOURENÇO MARTINS ob. cit. n. 27, p.19-126; obras cit. n. 9 p. 17-21 e SOUSA PINHEIRO, ob. cit. n. 1, Vol. I. Na literatura estrangeira ver ALLAN, Roy A. – A History of the Personal Computer. Londres e Ontário: Allan Publishing, 2001, pp. 4-7 e Solove, ob. cit. n. 16. 50

Ob. cit. n. 5 e Sousa Pinheiro ob. cit. n. 2, Vol. I, p. 282 (capitulo dedicado a redes sociais).

51

SOUSA PINHEIRO, Alexandre - “A Protecção de Dados na Proposta de Regulamento Comunitário apresentada pela Comissão Europeia (2012): Primeiras Reflexões” – in Revista Direito & Política., FDL, n.º Out-Dez 2012 e Daniel Solove, ob. cit. n. 16. 52

Ac. do TEDH de 28 de janeiro de 2003, caso Peck vs. Reino Unido. Sobre o caso veja-se Garcia Marques e Lourenço Martins, ob. cit. n. 27, p. 197. 53

Cfr. TED Talk de Alessandro Acquisti ob. cit. n. 18 e Josh Blackman ob. cit. n. 2, p. 314.

54

Sobre o tema veja-se Alexandre Sousa Pinheiro, ob. cit. n. 1, Vol. II, p. 615 e ss. e JESUS, Inês - “O Novo Regime Jurídico de Protecção de Dados Pessoais na Europa” - dez. 2012, “Enquadramento jurídico” p. 1-3. 55

Ob. cit. n. 51 e Inês Jesus, ob. cit. n. 54.

56

Ob. cit. n. 37; ob. cit. n. 31; Sousa Pinheiro ob. cit. n. 1 e ob. cit. n. 9.

22

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

informações”57. Jorge Bacelar Goveia sublinha que os direitos fundamentais de proteção de dados pessoais presentes no art. 35.º tem como sujeitos passivos “todas as pessoas jurídicas em geral, físicas ou colectivas”58. Ao nível internacional tem relevo a Convenção 108 de 1981, o primeiro instrumento internacional que visa proteger dados pessoais59. A Convenção é aplicável ao tratamento de dados pessoais no sector público e privado (art. 3.º/1 e 2/b da Convenção) já considerando como princípio fundamental a proteção da vida privada (art. 1.º) e prevendo que o tratamento de dados de carácter pessoal que revelasse a origem racial [como a fotografia] só pudesse existir desde que o direito interno previsse garantias adequadas (art. 6.º). A Convenção permite a derrogação do seu regime para proteção do titular dos dados e dos direitos e liberdades de outrem (art. 9.º). Em 1983 o Tribunal Constitucional alemão reconhece e autonomiza o direito à autodeterminação informativa enquanto direito de personalidade: poder do individuo decidir acerca da utilização das suas informações pessoais por terceiros, devendo ser o próprio a determinar o quê, como, quando, em que medida e qual o seu âmbito da revelação60. Base do Direito à Proteção de Dados, o direito à autodeterminação funda-se na decisão do titular dos dados, e não de terceiros, sobre o fornecimento das informações pessoais e sobre a finalidade da sua utilização, não sendo considerado um direito absoluto61. Por volta de 1987, o TEDH cria a partir da proteção da privacidade (art. 8.º da CEDH) os princípios base da proteção de dados pessoais6263. Em 1991 surge a Lei n.º 10/91 de 27 de abril, a primeira Lei de Proteção de Dados Portuguesa, após a verificação da inconstitucionalidade por omissão pelo Ac. do TC n.º 182/89

57

CANOTILHO, José J. e MOREIRA, Vital – “Constituição da Republica Portuguesa Anotada” – Vol. I, Coimbra: Coimbra Editora, 2007, p. 216. 58

Gouveia, Jorge Bacelar ob. cit. n. 10.

59

Entrada em vigor no ordenamento jurídico português em 1 de Janeiro de 1994, cfr. Resolução da AR n.º 23/93 de 09/07 e Retificação n.º 10/93 de 20/08 e ratificação por Decreto do Presidente da República n.º 21/93, de 09/07. 60

Alexandre Sousa Pinheiro ob. cit. n. 1, Vol. II, p. 557 e ss. e Catarina Sarmento e Castro ob. cit. n. 9.

61

Ob. cit. n. 9.

62

Casos Niemietz v. Alemanha (16 Dez. 1992, A-251-B), Leander v. Suécia (7 Mai 1987 A-116) e Gaskin v. Reino Unido (7 Jul. 1989 A-160) constroem a noção de vida privada para além do círculo íntimo da vida pessoal, afirmam o direito a viver escondido do mundo exterior e tratam do direito de acesso à informação sobre o individuo. Ver também casos Friedel v. Austria (31 Jan. 1996 A325-B), Z v. Finlândia (25 Fev. 1997), MS v. Suécia (27 Ago. 1999), Amann v. Suíça (16 Fev. 2000). 63

O artigo “The Right to Privacy” de Warren e Brandeis de 1890 nos EUA é apontado como um dos documentos fundacionais da “privacy” que terá influenciado também a evolução da proteção de dados na Europa, cfr. WARREN, Samuel D. e BRANDEIS, Louis D. – “The right to privacy” – in Harvard Law Review, Vol. IV, n.º 5, 1890 e Alexandre Sousa Pinheiro, ob. cit. n. 1, Vol. I.

23

de 2 de março de 1989. Segundo Garcia Marques o diploma não previa o tratamento de dados pessoas com suporte em som ou imagem64. Surgem legislações nos EM com níveis distintos de proteção da informação pessoal. A divergência de legislações implicava custos acrescidos para empresas que operassem em mais do que um EM, constituindo um entrave à liberdade de circulação na UE65. Em consequência, a 24 de outubro de 1995 surge a primeira regulação na UE de proteção de pessoas singulares – a Diretiva 95/46/CE – abrangendo o tratamento de dados pessoais com suporte em imagem e/ou som (cfr. Considerandos 14 e 17). Segundo Manuel Heredero Higueiras66 a discussão em torno da videovigilância e da proteção dos dados pessoais em suporte de imagem e som surge na Diretiva por influência francesa, uma vez que à data França discutia a sua lei nacional de segurança privada. Em Portugal, a transposição da Diretiva 95/46/CE deu lugar à LPD de 1998 tutelando já os dados pessoais em suporte imagem e o som. Em 2007, a CNPD adopta expressamente a posição de que o tratamento da fotografia da face é considerado um tratamento de dados sensíveis, cfr. entre muitas decisões Autorização n.º 8/2007 (Caso Centro Hospitalar de Vila Nova de Gaia) sendo a primeira de que se tem registo (e cujo template de resposta foi depois multiplicado cfr. Autorização n.º 700/2007) e destacando-se a Autorização n.º 4126/2012 (Caso Loveblip) por se referir a uma rede social. Em 2009 o Grupo do Art. 29.º só considerava o retrato enquanto dado sensível se utilizado com propósitos definidos de revelar dados sensíveis67, mas já admitia os perigos da sua difusão devido às tecnologias de reconhecimento facial68. A necessidade de existência de tal propósito deixou de ser elemento essencial para considerar o retrato enquanto suporte de dados sensíveis, cfr. Parecer 2/2012 de 22/03 e Parecer 3/2012 de 27/04 (ponto 3.8 p. 17). A desarmonia das legislações de transposição da Diretiva 95/46/CE, os novos desenvolvimentos tecnológicos e a respetiva reação sociológica, assim como a ânsia exacerbada

64

Garcia Marques e Lourenço Martins, ob. cit. n. 27, p. 173.

65

Cfr. Considerandos 5 a 7 da Diretiva.

66

Cfr. cit. de Garcia Marques e Lourenço Martins ob. cit. n. 27, p. 173-174.

67

Cfr. “The Working Party in general does not consider images on the Internet to be sensitive data unless the images are clearly used to reveal sensitive data about individuals” in Parecer 5/2009, do GT do Art. 29.º sobre “online social networking” adotada em junho 2009, p. 8. 68

Cfr. “The publication of images on the Internet does however raise increasing privacy concerns as facial recognition technologies improve.” in Parecer cit. n. 67, p. 8.

24

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

de proteção após o 11 de setembro de 2001 e o 7 de julho de 200569, levaram a que o regime atual se tornasse ineficaz para proteger a liberdade de circulação de dados pessoais70. Em janeiro de 2012 surgiu a proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados71. Seguiu-se em janeiro de 2013 a apresentação da proposta do Comité para alteração do citado regulamento72, cuja versão final foi aprovada em novembro de 201373 pelo Comité e em 12 de Março de 2014 pelo Parlamento Europeu (“Regulamento Geral”). No Regulamento Geral a face já é identificada como dado biométrico com um regime severo associado74. Neste cenário, o direito à proteção do dado pessoal com suporte em imagem têm-se desenvolvido em torno do conflito dos seguintes direitos75: a)

Direito à circulação da informação (enquanto direito a pedir, receber ou partilhar informações - significado do direito à liberdade de expressão e de informação)76; e

b)

Direito sobre a informação (enquanto direito a consentir, a aceder, a atualizar, assim como a solicitar o seu apagamento – significado do direito à autodeterminação informativa e ao livre desenvolvimento da personalidade)77. Conclui-se que em Portugal o tratamento de imagem é qualificado como tratamento de

dados sensíveis se revelador de “convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica”, bem como do estado de saúde ou/e da vida sexual de pessoa identificada ou identificável, cfr. art. 7.º/2 da LPD78.

69

Ob. cit. n. 27, p. 177.

70

Cfr. Considerandos 5, 6 e 7 da Proposta de regulamento do Parlamento Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dado, jan. 2012 71

Proposta de jan. 2012 cit. n. 70.

72

Proposta do Comité para alteração da Proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dado, de janeiro 2013 73

Regulamento Geral aprovado pelo Comité em nov. 2013 e pelo Parlamento Europeu a 12 de março de 2014. 74

Cfr. art. 4.º/11 do Regulamento Geral.

75

Ob. cit. n. 9, p. 27.

76

Sobre o direito à informação ver Alexandre Sousa Pinheiro, ob. cit. n. 1, Vol. II, p. 562

77

Ob. cit. n. 9, p. 27.

78

Imagem como suporte de dados da vida privada, cfr. Ac. do STA de 11 de janeiro de 2011 (Processo 0724/10) disponível em www.dgsi.pt. No sentido de que a imagem da face será considerada dado sensível ver Catarina Sarmento e Castro ob. cit. n. 9, p. 97.

25

I.4. Evolução história da proteção da imagem da pessoa nos EUA “The mere possession of information does not give one power; it is the ability to process that information and the capabilities to use the data that matters.” Daniel Solove79 Tal como na Europa, o desenvolvimento da fotografia e do fotojornalismo contribuíram para o desenvolvimento da problemática em torno da imagem nos EUA80. O marco na história da proteção da imagem nos EUA consiste no artigo “The Right to Privacy” de Samuel Warren e Louis Brandeis81 de 1890, onde os autores buscam (i) o “tort” – ilícito civil extracontratual – para responsabilizar terceiros (fotógrafos) por atos (captação da imagem sem autorização) atentatórios da esfera privada do individuo e (ii) providências para evitar os danos – “injunctions” que a revelação das imagens pudessem causar. A jurisprudência dos EUA82 construiu a proteção da imagem em torno do “right to privacy”83 e do “right of publicity”84 retirados por interpretação da IV Emenda Constitucional que introduziu o art. 6.º no Bill of Rights85. O “right to privacy” 86 protege os valores pessoais respeitantes à personalidade do ser humano, entre eles a imagem87. Porém o nível de proteção é distinto do desenvolvido na Europa e após o 11 de setembro 2001, por motivos de segurança pública, a videovigilância intensificou-se sendo utilizada por públicos e privados88. Aplicável a entidades públicas e privadas, incluindo pessoas singulares, independentemente de propósito lucrativo, existem quatro ilícitos (“torts”) respeitantes à divulgação de imagens: (i) o “public disclosure of private facts” e (ii) o “intrusion upon seclusion”, (iii) “appropriation of name or likeness” e (iv) “placing a person in a false light” os quais tentam criar um equilíbrio entre a informational privacy e a liberdade de expressão89. 79

Ob. cit. n. 16.

80

Ob. cit. n. 2.

81

Ob. cit. n. 63.

82

Como exemplo Caso Marks vs. Jaffa, Pavesich de 1893 do Tribunal de Nova Iorque. cfr. CLEMONS, L.S. em “The Right Of Privacy In Relation To The Publication of Photographs”. Marq. L. Rev. 14 (1930) p. 194 83

Para aprofundamento do tema da privacy e da proteção de dados pessoais nos EUA na doutrina portuguesa veja-se Alexandre Sousa Pinheiro, ob. cit. n. 1. 84

Ob. cit. n. 7 p. 154.

85

IV Emenda Constitucional disponível em

86

GUTWIRTH, Serge e GELLERT, Raphael -"Beyond accountability, the return to privacy?" Managing Privacy Through Accountability. Ed. Daniel Guagnin, Leon Hempel, Carla Ilten, Carla, Inga Kroener, Daniel Neyland, Hector Postigo,. Palgrave Macmillan, 2012. 261-283, p 5. 87

Neste sentido ob. cit. n. 7, p. 160 e ob. cit. n. 2.

88

KRAVETS, David - “Report: U.S. Surveillance Society Running Rampant” - in Wired, 01.12.09

89

Ob. cit. n. 2. p. 319

26

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

A captação de imagem nos EUA será lícita ou ilícita dependendo da informação que (i) a pessoa possa expectar razoavelmente ser ou não privada e (ii) a sociedade reconheça tal expectativa como razoável. É neste ponto que Josh Blackman afirma90 que, ainda que se possa admitir que a pessoa possa hoje ser fotografada e filmada em locais públicos nos EUA, tal não significa que espere ser automaticamente identificada através de reconhecimento facial. Ainda assim, nos EUA a legalidade da captação de imagens por privados depende das leis adotadas a nível federal. Do acervo legislativo dos EUA destaca-se o Face Act de 201391 (mas com aplicação restrita aos social media service).

90

Ob. cit. n. 2, p. 365.

91

FACE Act of 2013: H.R. 2645

27

II. ÂMBITO DE APLICAÇÃO MATERIAL – DIRETIVA

Nos termos do disposto nos Considerandos 14, 15 e 16 e art. 3.º/2, o regime da Diretiva 95/46/CE não se aplica ao tratamento de som e imagem: a)

Efetuado no exercício de atividades não sujeitas a aplicação do direito comunitário (tais como as previstas nos títulos V e VI do Tratado da UE, e, em qualquer caso, ao tratamento de dados que tenha como objeto a segurança pública, a defesa, a segurança do Estado (incluindo o bem-estar económico do Estado quando esse tratamento respeitar a questões da sua segurança) e às atividades do Estado no domínio do direito penal (1.º trav.); nem

a)

Efetuado por pessoa singular, no exercício de atividades exclusivamente pessoais ou domésticas (2.º trav.).

II.1. Caso Lindqvist A interpretação de que a Diretiva se aplica ao tratamento de dados pessoais efetuado por pessoa singular no âmbito de atividade sem fim lucrativo foi discutida no Ac. de 6 de novembro de 2003 do TJ (Processo C-101/01)92 – caso Lindqvist. Antes já o Ac. de 20 de maio de 2003 do TJ93 se debruçara sobre o âmbito de aplicação da Diretiva 95/46/CE, mas não a respeito de atividades de pessoas singulares. No caso concreto, B. Lindqvist, catequista, com a finalidade única de ajudar os paroquianos na preparação para o crisma, criou uma página web e disponibilizou de forma ilimitada dados pessoais de terceiros sem o respetivo consentimento, nem notificação ao organismo público de proteção de dados. Questionou-se se a atuação de Lindqvist caía ou não em alguma das exceções de aplicação da Diretiva 95/46/CE previstas no seu art. 3.º/294. Apesar das conclusões do Advogado-Geral seguirem no sentido da não aplicação da Diretiva (o que era inconveniente como nota Maria del Carmen Guerrero Picó95), o TJ96 92

Ac. cit. n. 12.

93

Ac. do TJ de 20 de maio de 2003 (processos C-465700, C-138/01 e C-139-01).

94

Considera-se defensável a não aplicação da Diretiva 95/46/CE ao tratamento de dados pessoais efetuado por pessoa singular sem finalidades económicas por se tratar de atividade “cuja regulação não está sujeita a regulação do direito comunitário” com base em argumentos distintos dos analisados no caso Lindqvist. Sobre o tema e argumentos que o sustentam, ver [Nome da Concorrente] in ob. cit. n. 30. 95

“Los argumentos aportados por el TJCE en la sentencia de mayo salvaron los inconvenientes señalados” in GUERRERO PICÓ, Maria del Carmen – “El Derecho Fundamental a la Protección de los Datos de Carácter Personal en la Constitución Europea” – Universidad de Granada, 2012. A autora refere-se à sentença de “mayo” que respeita ao Ac. de 20 de maio de 2003, cit. n. 120, proferida depois das Conclusões do Advogado Geral António Tizzano (advogado dos dois processos: deste e do caso

28

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

concluiu que o tratamento em causa recaia no âmbito de aplicação da Diretiva, considerando que: a)

A redação do art. 3.º/2/1.º travessão é interpretativa-taxativa. Uma vez que a atividade de disponibilizar dados de terceiros através da internet não é própria do Estado, nem alheia ao domínio de atividades dos particulares, a atividade de Lindqvist está sujeita à aplicação da Diretiva 95/46/CE, cfr. art. 3.º/2/1.º travessão97;

b)

Na aferição da exceção referida no art. 3.º/2/2.º a expressão “actividades exclusivamente pessoais ou domésticas” deve ser interpretada de acordo com o conceito de vida privada. A divulgação de forma ilimitada de dados pessoais por B. Lindqvist não pode ser considerado um comportamento pertencente à vida privada, pelo que não se aplicará a exceção.

c)

A aplicação da Diretiva ao caso concreto não viola o art. 100.º-A do Tratado, uma vez que o preceito não se fiscaliza pela análise do impacto do caso concreto no mercado interno, pois tal consistiria num manto de incertezas com o qual a proteção de dados pessoais não se compadece (cfr. ponto 41 do Ac. em causa). O raciocínio a efetuar consiste em avaliar se a Diretiva tem “efetivamente por objecto melhorar as condições do estabelecimento e do funcionamento do mercado interno” através desse âmbito de aplicação, o que a parte não efetuou98; e

d)

Competia “às autoridades e aos órgãos jurisdicionais nacionais encarregados de aplicar a regulamentação nacional que procede à transposição da Diretiva assegurar um justo equilíbrio entre os direitos e interesses em causa, incluindo os direitos fundamentais protegidos pela ordem jurídica comunitária” (cfr. ponto 90 do Ac.). Os art.s 13.º e 18.º da Diretiva 95/46/CE preveem que os EM possam restringir o alcance das obrigações e direitos, como seja a publicidade do tratamento ou até a isenção ou simplificação da comunicação à autoridade de controlo independente. Caberia ao direito interno articular os direitos fundamentais em causa com o regime da Diretiva.

Lindqvist) e que nos dois considerara que as situações em causa estavam fora do âmbito de aplicação da Diretiva. 96

Sobre o âmbito de aplicação da Diretiva 95/46/CE por aplicação do art. 3.º/2/1.º travessão veja-se também Ac. do TJ de 16 de dez. de 2008 (Processo C-73/07) segundo o qual o tratamento de dados efetuado pela Administração Fiscal foi considerado excluído do âmbito de aplicação da Diretiva e Ac. do TJ de 30 de maio de 2006 (Processos apensos C-317/04 e C-318/04) que considerou que a Comissão não poderia, com base na Diretiva, adotar uma decisão de adequação que permita o tratamento de dados com objetivos de segurança pública. 97

Cfr. ponto 43. do Ac. de 6 de nov. de 2003 do TJ cit. n. 12.

98

Cfr. ponto 40. do Ac. de 6 de nov. de 2003 do TJ cit. n. 12.

29

Da jurisprudência do TJ conclui-se que se reveste de extrema importância analisar as medidas adotadas na LPD para articular os direitos fundamentais em causa, como a liberdade de expressão e a reserva da intimidade da vida privada (cfr. capítulo dedicado à LPD). Partindo-se do pressuposto que o legislador comunitário de 1995 pretendeu abranger no âmbito da Diretiva o tratamento de dados pessoais por pessoa singular sem qualquer fim lucrativo: a)

Pergunta-se qual a interpretação da expressão “actividades exclusivamente pessoais ou domésticas”;

b)

Desde 1995 até ao presente o tratamento por pessoas singular de imagem sem fim lucrativos alterou-se significativamente, pelo que importa aferir se as novas realidades ainda caiem no âmbito de aplicação pensado para a Diretiva; e

c)

Pergunta-se se atendendo ao regime da Diretiva, terão ou não os EM espaço para articular os direitos fundamentais em causa com as novas realidades tecnológicas.

II.2. Atividades exclusivamente pessoais ou domésticas Por aplicação do disposto no art. 3.º/2/2.º trav. da Diretiva, o TJ no caso Lindqvist considerou que o “tratamento de dados de carácter pessoal que consiste na sua publicação na Internet de maneira a que esses dados são disponibilizados a um número indefinido de pessoas” não se insere no âmbito da vida privada ou familiar dos particulares, sem esclarecer o modo de aferição do limite admissível para subsunção do comportamento no conceito vida privada ou definir vida privada. Segundo o referido Ac. atividades exclusivamente pessoais ou domésticas deveriam ser interpretadas de acordo com o conceito vida privada. No plano internacional, o direito à vida privada e familiar consta do art. 12.º da DUDH, do art. 1.º da Convenção 108, do art. 17.º do Pacto Internacional sobre os Direitos Civis e Políticos, no n.º 1 do art. 8.º da CEDH, no art. 7.º da CDFUE, porém nenhum dos preceitos define o termo vida privada. Segundo o TEDH, nomeadamente, no Ac. de 16 de dezembro de 1992 (caso Niemietz c. Alemanha) vida privada não se encontra limitada “a um círculo íntimo” mas deve “englobar, numa certa medida, o direito do indivíduo de ligar e desenvolver relações com os seus semelhantes.”99.

99

Note-se que a proteção de vida privada para efeitos de consideração do conceito de dados pessoais é desenvolvida desde a esfera mais íntima até à mais pública. Nesse sentido cfr. casos do TJ Volker e Markus Schecke v. Eifert , Schwarz v. Bochum e Google v. AEsPD e Mario Costa González “(…) the protection of private life under the Charter, with regard to the processing of personal data, covers all information relating to an individual of whether he acts in a private sphere or as an economic operator or, for example, as a politician.” in Opinião de 25 de junho de 2013 do Advogado Geral do TJUE, caso C-131/12 (Google Spain SL e Google Inc. v. AEsPD e Mario Costa González). Porém, o que nos

30

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

Da jurisprudência do TJ relevante para interpretação do conceito de vida privada para efeitos de definição das atividades excluídas do regime da Diretiva destaca-se (i) o caso Lindqvist já referido e (ii) o caso Google v. AEsPD. Do caso Google v. AEsPD destaca-se o excerto da opinião do Advogado Geral Jaaskinen100 : “In fact, anyone today reading a newspaper on a tablet compute or following social media on a smartphone appears to be engaged in processing of personal data with automatic means, and could potentially fall within the scope of application of the Directive to the extent this takes place outside his purely private capacity” (negrito nosso). Do excerto resulta nomeadamente que o seguimento de social media parece estar sujeito à aplicação da Diretiva por não se considerar atividade que se possa enquadrar como pertencente à vida privada. Além da jurisprudência referida, segundo o Parecer 5/2009 de 12 de junho do GT do Art. 29.º sobre redes sociais em linha, as seguintes atividades não são atividades exclusivamente pessoais ou domésticas, estando sujeitas à aplicação da Diretiva: a)

Utilização de serviço de rede social (“SRS”) como plataforma de colaboração de uma empresa ou associação (“If an SNS user acts on behalf of a company or association, or uses the SNS mainly as a platform to advance commercial, political or charitable goals, the exception does not apply.”) ou em nome de uma empresa ou associação101;

b)

Utilização do SRS como plataforma para atingir objetivos comerciais, políticos ou de beneficência;

c)

Utilização do SRS através de perfil com acesso permitido a todos os membros da SNS102;

d)

Utilização do SRS de forma a que os seus dados sejam acessíveis através dos motores de pesquisa da internet ou transmitidos a outros SNS (como por exemplo sempre que uma entidade pede para ter acesso à lista de contatos e a pessoa singular acede);

e)

Utilização do SRS através de perfil com número elevado de contatos, sendo esta situação considerada como um indício103; ou

interessa na presente análise consiste apenas na interpretação do conceito de vida privada para efeitos de definição das atividades excluídas do âmbito de aplicação do diploma e não na sua interpretação para efeitos da definição do conceito “dados pessoais”. 100

Opinião de 25 de junho de 2013 do Advogado Geral do TJUE, caso C-131/12 (Google Spain SL e Google Inc. v. AEsPD e Mario Costa González) ponto 29. 101

“users may extend beyond a purely personal or household activity, for example when the SNS is used as a collaboration platform for an association or a company” in Parecer cit. n 67. 102

“Here, the user assumes the full responsibilities of a data controller who is disclosing personal data to another data controller (SNS) and to third parties (other SNS users or potentially even other data controllers with access to the data” in Parecer cit. n. 67.

31

f)

Utilização do SRS com tratamento de informação de terceiros cujos direitos prevaleçam perante os direitos dos utilizadores, especialmente se dados sensíveis104. Segundo o Parecer “Em alguns casos, é possível que as atividades de um utilizador de um

SRS não estejam cobertas pela isenção doméstica, podendo considerar-se que o utilizador assumiu algumas das responsabilidades de um responsável pelo tratamento dos dados.”105 Porém, muitos utilizadores difundem dados pessoais de terceiros a círculos além da família, amigos ou conhecidos (cfr. James Grimmelmann106) e (ii) sem o respectivo consentimento quando legalmente necessário. Em consequência utilizadores de redes sociais tratarão informação de terceiros cujos direitos prevalecem perante os direitos dos utilizadores e são portanto responsáveis pelo tratamento sujeitos à aplicação da Diretiva. Neste sentido ver Jacqueline Lipton107. De acordo com a Opinião108 da EDPS, assumindo como válida a interpretação efectuada no Parecer do GT do Art. 29.º109, o próprio Parecer e seguindo a interpretação do TJ do caso Lindqvist, não serão atividades exclusivamente pessoais ou domésticas: a)

A difusão ilimitada;

b)

A utilização para fins (a) políticos, (b) beneficência e (c) profissionais ou comerciais que sejam a atividade da pessoa singular;

c)

O tratamento de informação de terceiros cujos direitos prevaleçam perante os direitos dos utilizadores, especialmente se dados sensíveis. Conclui-se que não existe uma limitação de difusão de informação a qualquer esfera íntima

ou privada, mas apenas em relação à esfera pública, uma vez que o número elevado de contactos de um perfil de utilizador de rede social é um mero indício da atividade não ser exclusivamente

103

Ou quando se pode afirmar que não está a ser feita uma seleção de facto na aceitação de contactos, ou seja, o utilizador aceita «contactos» independentemente da relação com esses utilizadores cfr. Parecer cit. n. 67. 104

“3.1.3 The application of the household exemption is also constrained by the need to guarantee the rights of third parties, particularly with regard to sensitive data.” in Parecer cit. n. 67. 105

Parecer 5/2009 cit. n. 67

106

Ob. cit. n. 5.

107

LIPTON, Jacqueline D. – “Digital Multi-Media and the Limits of Privacy Law” - Case Western Reserve Journal of International Law, 2010, p. 13 108

“The development of social networks has enabled users to upload onto the Internet information about themselves and third parties. In doing so, according to Article 29 Working Party31, Internet users act as data controllers ex Article 2(d) of the Data protection Directive for the data that they upload. However, in most cases such processing falls within the household exception ex Article 3.2. of the Directive.” in Opinion of the European Data Protection Supervisor on Promoting Trust in the Information Society by Fostering Data Protection and Privacy de 18 de março de 2010 (“Opinião”). 109

32

Parecer 5/2009 cit. n. 67.

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

pessoal ou doméstica, segundo o Parecer e a Opinião. Em sentido oposto veja-se a interpretação da AEsPD no Informe 0615/2008110 . II.2.1. Redes sociais

Em face do exposto, a divulgação de fotografias e vídeos contendo dados pessoais sem autorização dos titulares quando legalmente necessárias, sem finalidades lucrativas, em redes sociais é atividade não exclusivamente pessoal ou doméstica, estando portanto sujeita à aplicação da Diretiva, independentemente do número de contactos no perfil do utilizador. A European Union Agency for Network and Information Security (ENISA) recomendou: “SNSs present several scenarios which were not foreseen when current legislation (especially data protection law) was created. The regulatory framework governing SNSs should be reviewed and, where necessary, revised.”111 II.2.2. Videovigilância

Perante o exposto, no que toca à videovigilância, a sua utilização não será uma atividade exclusivamente pessoal uma vez que (Ponto I.2 da presente análise) visa a captação de imagens de terceiros que possam ou não pertencer ao meio pessoal ou doméstico, que cometam ilícitos e atuar como medida dissuasora de tais comportamentos. No entanto, poderá ser exclusivamente doméstica, se: a)

As imagens captadas forem apenas do domicílio112;

b)

Não existir difusão ilimitada;

c)

Não existir utilização para fins (a) políticos, (b) beneficência e (c) profissionais ou comerciais que sejam a atividade da pessoa singular;

d)

Os direitos de imagem, de proteção de dados pessoais e de intimidade da vida privada dos titulares dos dados cuja imagem é captada não prevalecerem perante os direitos do utilizador do sistema de videovigilância.

110

“Será personal cuando los datos tratados afecten a la esfera más íntima de la persona, a sus relaciones familiares y de amistad y que la finalidad del tratamiento no sea otra que surtir efectos en esos ámbitos.” cfr. Informe 0615/2008 da AEsPD disponível em www.agdp.es/portalwebAGPD. 111

“Position Paper No.1 Security Issues and Recommendations for Online Social Networks” da ENISA de outubro de 2007. 112

Assim se percebe que a catequista tenha criado a partir da sua casa a página de internet com dados pessoais de terceiros e lhe tenha sido aplicado a Diretiva. “Abrange-se na exceção prevista nesta disposição a vigilância à distância do interior da casa de cada um de nós” in Catarina Sarmento e Castro, ob. cit. n. 9, p. 126 e 127 focando-se só no tratamento captação.

33

A utilização de videovigilância com captação apenas de imagens do domicílio coloca em confronto os direitos do utilizador do sistema de vigilância com os direitos dos titulares dos dados pessoais captados pelas câmaras de vigilância. Como direitos dos titulares dos dados pessoais referem-se: (i) o direito de imagem (art. 26.º/1 CRP), (ii) o direito à reserva da intimidade da vida privada (art. 26.º/1 CRP) e (iii) os direitos de proteção de dados pessoais, direito à autodeterminação informativa (art. 35.º da CRP). Como direitos do utilizador do sistema de videovigilância no seu domicílio indica-se o direito a proteger os seus direitos à (i) integridade pessoal (art. 25.º/1 da CRP) (ii) direito à inviolabilidade do domicílio (art. 34.º da CRP), (iii) o direito à reserva da intimidade da vida privada (art. 26.º CRP) e (iv) o direito à liberdade de expressão (art. 37.º da CRP). A avaliação da “prevalência” dos direitos das pessoas filmadas pelas câmaras de videovigilância perante os direitos do utilizador da câmara efetua-se de acordo com o princípio da proporcionalidade113 para delimitação dos direitos em conflito (art. 18.º/2 e 3 da CRP) e deverá ser efectuada casuisticamente. Sem prejuízo do exposto, o princípio da proporcionalidade impõe que a utilização de videovigilância seja adequada para proteger os direitos à (i) integridade pessoal (art. 25.º/1 da CRP) (ii) o direito à inviolabilidade do domicílio114 (art. 34.º da CRP) e (ii) o direito à reserva da intimidade da vida privada (art. 26.º CRP). O subprincípio da necessidade parte da ideia de que o cidadão, neste caso o titular do direito à imagem, tem direito à menor desvantagem possível, impondo-se a escolha do meio que atinge o objectivo prefixado (a defesa dos direitos do utilizador da videovigilância no seu domicílio) com as consequências menos negativas para o titular dos dados. Neste sentido, o privado que grava as imagens através de sistema CCTV no seu domicílio com garantias de segurança superiores às que existissem se gravasse as imagens num servidor externo (o que apenas se afere casuisticamente) sem divulgação a terceiros, salvaguardará os

113

Parecer n.º P000602003 da PGDR de 16-10-2003. Sobre a aplicação do princípio da proporcionalidade no TEDH “Tratando-se de uma vigilância secreta, a lei deve fixar a extensão e as modalidades do exercício das funções da autoridade com nitidez suficiente para proteger o indivíduo contra o arbítrio – Decisão de 27 de Junho de 1994, Queixa n.º 21 482/93, Déc. Rap. 78-A, pág. 119. 114

ASCENSÃO, Oliveira – “A reserva da intimidade da vida privada e familiar”, RFDUL, Vol. XLIII, 1, 11 e FERNANDES, Rosa – “A inviolabilidade do domicílio” – Relatório apresentado no âmbito do Curso de Mestrado da Universidade Católica Portuguesa, 2004.

34

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

direitos dos titulares das imagens captadas de forma a evitar consequências negativas ou riscos acrescidos115, ao mesmo tempo que acautela os seus próprios direitos. Por fim, o subprincípio da proporcionalidade impõe que se efetue um juízo de ponderação entre as desvantagens dos meios e as vantagens dos fins, (relação custo/benefícios) evitando-se a aplicação de medidas excessivas para alcançar os fins pretendidos. Neste ponto há que notar que o titular dos dados não perde o direito à sua imagem porque entrou em domicílio alheio. Se o titular do direito à inviolabilidade do domicílio tem o direito de consentir a entrada no seu domicílio a quem o entender, a pessoa que decide entrar em domicílio alheio tem o direito de decidir em consciência e de forma informada se pretende entrar. Em consequência, o princípio da proporcionalidade impõe que o titular das câmaras de videovigilância no seu domicílio obtenha o consentimento expresso do titular dos dados para os vários tratamentos em causa, recaindo sobre ele o dever de informar quais os tratamentos dos dados efectuados (por exemplo se há tratamento de dados biométricos), a finalidade, se existe transferência para terceiros, quais as medidas de segurança adoptadas, exercício do direito de acesso, etc. Por outro lado, o direito de informação e o dever de obtenção de autorização deverá articular-se com a realidade prática e, nesse sentido, claramente se compreende que poucos irão ler um texto extenso localizado na entrada da casa de terceiro116. Dependendo do tipo de tratamento em causa e da evolução tecnológica poderá ser excessivo para o utilizador da videovigilância interpelar expressamente cada pessoa que entre no seu domicílio. Igualmente poderá ser excessivo impor a obtenção de autorização prévia das autoridades independentes caso se pretenda gravar as imagens em servidor cloud, caso exista (i) consentimento expresso dos titulares dos dados e (ii) sejam respeitadas as regras de segurança. Em conformidade com o exposto, cada caso deverá ser analisado isoladamente. Considera-se que a divulgação das imagens captadas por sistema de videovigilância a terceiros localizados fora do domicílio com acesso a tais dados117 viola o princípio da proporcionalidade, na sua vertente da necessidade, uma vez que o utilizador da videovigilância

115

Os riscos acrescidos poderão advir da gravação de imagens em servidor ou outro local a que terceiros tenham acesso quando comparado com a segurança de gravação em local no próprio domicílio. O risco deverá ser avaliado caso a caso, já que a transferência de dados para determinados servidores com garantias de segurança poderá constituir um risco inferior à gravação dos dados em casa (já que não existindo garantias de segurança adicionais os dados gravados em casa poderão ser facilmente roubados ou acedidos por terceiros). 116

Excepto se as campainhas apenas “tocarem” depois do titular declarar que aceita os termos e condições de entrada no domicílio, o que no futuro não será de rejeitar. 117

Caso a transferência seja efetuada para um servidor que preste garantias suficientes de que terceiros não têm acesso aos dados, não se poderá considerar a existência de uma transferência de dados para terceiros com acesso aos dados.

35

criou uma desvantagem, um risco adicional para o titular do dados pessoais não necessário para alcançar o fim: a proteção da sua integridade, da intimidade da vida privada e do seu domicílio (o fim seria alcançado com a captação e gravação das imagens sem visionamento por terceiros). Caso não exista consentimento expresso do titular dos dados para a captação e transferência dos seus dados para terceiros de forma informada, o tratamento em causa violará os direitos dos titulares dos dados que prevalecem perante o direito do utilizador da câmara de videovigilância, estando o tratamento sujeito à aplicação da legislação de proteção de dados pessoais. De notar que a transferência de dados pessoais para local fora do domicílio e respectiva divulgação a terceiros tem como consequência o seguinte: a)

A obrigação de informação/obtenção de consentimento expresso aumenta;

b)

O utilizador do sistema de videovigilância perde o controlo total sobre os dados, pelo que recai sobre ele a obrigação de garantir que os terceiros a quem ele divulga a informação cumprem as exigências de segurança e de finalidade do tratamento em causa;

c)

Deixa de existir uma ligação direta ao local físico domicílio, passando o domicílio a corresponder apenas ao local das imagens que se encontram já no exterior. Considerar que o facto das imagens serem obtidas no domicílio faz por si só despoletar a aplicação da isenção considerando-se qualquer tratamento “actividade exclusivamente doméstica” irá contra a rácio da norma, desresponsabilizando os responsáveis pelo tratamento (utilizador da câmara de videovigilância) caso as imagens sejam divulgadas e os direitos de terceiros violados. Ora aplicando-se o raciocínio de que a Diretiva se aplica ao tratamento efectuado por pessoas singulares sem fins lucrativos, é exatamente este o tipo de casos que a Diretiva pretenderá evitar. Neste ponto, as medidas de segurança dos meios utilizados pelo utilizador do sistema de

videovigilância contra acesso indevido assumirão um papel fundamental na definição de aplicação ou não do regime da LPD. Em face do exposto, concluiu-se que existirão casos de videovigilância que recairão no âmbito de aplicação da Diretiva. II.2.3. O argumento do escopo de proteção da Diretiva

“When the Commission proposal for the Directive was made in 1990, the internet in the present sense of the World Wide Web did not exist, and nor were there any search engines. At the time the Directive was adopted in 1995 the internet had barely begun and the first rudimentary search engines started to appear but nobody could foresee how profoundly it would revolutionise the world. Nowadays, almost anyone with a smartphone or a computer could be considered to be engaged in activities on the internet to which the Directive could potentially apply.”

36

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

Advogado Geral Jaaskinen118 Apesar do exposto, considera-se que o tratamento massificado de imagem e som por privados, através da internet, smartphones, ou videovigilância, sem fim comercial, com possibilidade de reconhecimento facial cai fora das situações pensadas para o âmbito de aplicação previsto no art. 3.º da Diretiva 95/46/CE. As obrigações do responsável pelo tratamento de dados foram construídas para aplicação a entidades com ligações a realidades comerciais ou económicas, a pessoas singulares que exerçam atividades profissionais ou comerciais (como empresários em nome individual) ou com ligações a uma organização de pessoas que necessite de valores monetários (ligação indireta) e não a pensar na utilização massiva da imagem por pessoas singulares, sem qualquer fim comercial, em redes sociais ou na rua a todo o momento119. O exposto fundamenta-se no seguinte: a)

Aquando da redação da Diretiva não se pensava que a utilização da internet e seus efeitos nas relações entre particulares fossem os presentes. Tal como se referiu o mIRC foi criado em 1995120, o Picasa121 e o LinkedIn122 em 2002, o MySpace em 2003123, o Facebook em 2004124, o YouTube em 2005125, o Twitter em 2006126 e o Google+ em 2011127. A Diretiva data de 1995128.

b)

Assim se compreendem as dificuldades129 da EDPS130 e do Grupo do Art. 29.º131 em concretizarem as obrigações dos particulares enquanto responsáveis pelo tratamento de

118

Opinião de 25 de junho de 2013 do Advogado Geral do TJUE, caso C-131/12, cit. n. 157, ponto 10.

119

Cfr. Estudo cit. n. 1, p. 23: “In both respects, there is the danger, on the one hand, of exempting from the law, activities that directly impact on privacy and data protection; and on the other hand, of applying “heavy” rules, designed to regulate (presumably) well-organised institutions, to simple actions carried out by ordinary individuals as part of their everyday activities. This was in fact one of the criticisms of the ECJ’s Lindqvist judgment, which applied the full force of the main Directive to a small website of a local Swedish Church parish” (sublinhado nosso). 120

[2014-01-11] Nem permitia a difusão de imagem ou som.

121

[2014-01-11]

122

[2014-01-11]

123

[2014-01-11]

124

[2014-01-11]

125

[2014-01-11]

126

[2014-01-11]

127

[2014-01-11]

128

Cfr. Opinião de 25 de junho de 2013 do Advogado Geral do TJUE no Caso C-131/12, cit. n. 157, pontos 10 e 29. e Estudo cit. n. 1, p. 23. 129

Tanto o Parecer do Grupo do Art. 29.º, como a Opinião da EDPS datam após o caso Lindqvist, pelo que o seu conteúdo não convinha ser redutor da proteção já interpretada pelo Tribunal. 130

Cfr. Opinião cit. n. 108. Na Opinião refere-se que os utilizadores poderão ser considerados responsáveis pelo tratamento de dados conjuntamente com os prestadores do serviço, mas “albeit to

37

dados. “[Não concretizaram.132 ]” Tais dificuldades surgem porque a Diretiva não fora pensada para essas situações. c)

No argumento literal, histórico e sistemático de interpretação dos artigos 8.º/2/d) e 18.º/4 da Diretiva. Tais preceitos preveem expressamente um tratamento excepcional para uma fundação, associação ou outro organismo sem fim lucrativo primário: (i) isentando da proibição de tratamento de certas categorias específicas de dados (art. 8.º/2/d)) e prevendo a possibilidade dos EM isentarem da obrigação de notificação à autoridade de controlo os tratamentos de dados hoje qualificados como sensíveis (art. 18.º/4). Tais exceções não foram expressamente previstas para o tratamento de dados pessoais por pessoa singular no âmbito de uma atividade sem qualquer fim lucrativo.

II.2.4. As obrigações impostas aos EM

Perante o exposto, coloca-se a questão da viabilidade de interpretação extensiva ou analógica do regime da Diretiva para abarcar a nova realidade sociológica e tecnológica. Porém, a interpretação analógica de preceitos comunitários não é admitida no domínio dos direitos fundamentais133 , restando a hipótese da interpretação extensiva. Segundo o caso Caffaro do TJ de 11 de setembro de 2008, a Diretiva deverá ser interpretada à luz dos seu objectivo e do sistema que institui. Ora, o sistema instituído não é compatível com o tratamento massificado de imagens digitais por pessoas singulares uma vez que a necessidade dos EM adaptarem as leis de transposição às novas realidades não se coaduna com as obrigações impostas pela Diretiva, nomeadamente com a impossibilidade de: a)

Alargar o regime de isenção ou derrogação previsto no art. 9.º da Diretiva a outros tratamentos além dos aí mencionados134 ;

different degrees and with different sets of obligations”. Contudo, da Diretiva não constam diferentes graus de obrigações aplicáveis a utilizadores dos aplicáveis aos fornecedores de SNS, ou vice-versa, nem tais obrigações são referidas na Opinião. 131

“In some instances, the activities of a user of an SNS may not be covered by the household exemption and the user might be considered to have taken on some of the responsibilities of a data controller.” in Parecer 5/2009 cit. n. 67, ponto 3.1. No Parecer não são estabelecidas obrigações para os utilizadores que sejam considerados responsáveis pelos tratamentos de dados. 132

Neste sentido, Alexandre Sousa Pinheiro ob. cit. n. 1 e Jacqueline Lipton ob. cit. n. 107.

133

Cfr. LANGENBUCHER, Katja C. – “Argument by Analogy in European Law” - Cambridge Law Journal, 1998, p. 519. 134

Pense-se até no caso de existência de fins lucrativos: no caso do Professor de Direito que efetua download de imagens de pessoas da internet para o seu computador para mostrar aos seus alunos numa aula de direito penal por exemplo (exemplo da Opinião de 25 de junho de 2013 do Advogado Geral do TJUE no Caso do TJ C-131/12, cit. n. 157, ponto 29.) A sua atividade, apesar de poder não ser ilícita ao

38

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

b)

Isentar ou simplificar a obrigação de notificação prévia da autoridade de controlo prevista no art. 18.º da Diretiva para o tratamento de dados pessoais efectuado por pessoa singular sem finalidades lucrativas, quando tais tratamentos “são susceptíveis de prejudicar os direitos e liberdades das pessoas em causa” (art. 18.º/2/1.º trav.)135. De notar que estes direitos são os referidos no Considerando 1 da Diretiva “os direitos fundamentais reconhecidos nas Constituições e leis” dos EM, bem como na CEDH, logo o direito de imagem previsto no art. 26.º da CRP e art. 79.º do CCiv.; e

c)

Restringir o âmbito de aplicação da Diretiva, cfr. Ac. de 6 de novembro de 2003136. Em face do exposto, conclui-se que os comportamentos massivos de utilização e difusão de

imagem de terceiros por pessoa singular sem fins lucrativos através da internet não estão regulados, existindo sim uma espécie de “lacuna no direito comunitário”137, caso os EM não a suprissem através do seu direito interno, claro138 . Interpretação contrária, tornaria o artigo 18.º da Diretiva inconstitucional por violação do direito fundamental à liberdade de expressão (art. 37.º da CRP), por proteger de forma desproporcionada e desadequada (violando o princípio da proporcionalidade cfr. art. 18.º/2) o direito à vida privada e o direito à imagem (art. 26.º da CRP), uma vez que a obrigação de notificação prévia à autoridade de controlo não é um meio adequado nem eficaz para evitar o tratamento de imagem contendo dados sensíveis por pessoas singulares (o que se vê pelo não cumprimento da disposição pelas pessoas singulares). Neste sentido já Lipton discutiu o âmbito de aplicação da Diretiva aos utilizadores de plataformas sociais139, Richard Thomas140 considera mesmo a Diretiva “outdated, in terms of technology and regulatory approach”, e “Its scope is becoming increasingly unclear, for example in on-line and surveillance contexts.” e a própria Comissão admitiu em 2009: “(...) the Directive as it stands will not suffice in the long term.”141 .

abrigo do CCiv., cairia no âmbito de aplicação da Diretiva. Sobre o tema, ver Ac. do TJ de 16 de dez. 2008, caso Satamedia cit. n. 11. 135

Cfr. Parecer cit. n. 67.

136

“A harmonização das referidas legislações nacionais não se limita, portanto, a uma harmonização mínima, mas conduz a uma harmonização que é, em princípio, total” in Ac. cit. n. 12. 137

A propósito de lacunas na legislação da UE: Katja C. Langenbucher, ob. cit. n. 133.

138

CARBONNIER – “Droit Civil” - Edição 22.ª, Paris, 1995, p. 247.

139

Cfr. ob. cit. n. 107.

140

Cfr. THOMAS, Richard – “Foreword” - em Review of the European Union Data Protection Directive de Neil Robinson, Hans Graux, Maarten Botterman, e Lorenzo Valeri, maio, 2009. 141

Idem.

39

II.3. Ordenamento jurídico fora da UE - Canadá A proteção de dados pessoais é regulada no Canadá pelo “Personal Information Protection and Electronic Documents Act” de 2000 (PIPEDA)142. Nos termos da secção 4.2(b) do PIPEDA, o seu regime não é aplicável a “(b) any individual in respect of personal information that the individual collects, uses or discloses for personal or domestic purposes and does not collect, use or disclose for any other purpose”. A redação do PIPEDA difere apenas da redação da Diretiva 95/46/CE (“This Directive shall not apply to the processing of personal data: (…) by a natural person in the course of a purely personal or household activity.”) na utilização da expressão “purely” na Diretiva e sua substituição por “and does not collect, use or disclose for any other purpose” no PIPEDA. No entanto, o PIPEDA só regula o tratamento de dados efetuado por pessoas singulares se existir uma ligação a uma atividade comercial ou profissional, sendo estas atividades o antónimo de personal or domestic purposes (cfr. secção 2.1 - definição de “organização” e secção 4.1 e 4.2 (b) do PIPEDA)143 Ora vejamos, a redação da secção 4.2(b) do PIPEDA data de 2000, antes do caso Lindqvist, e as intenções que estão por detrás da adoção do PIPEDA movem-se por demonstrar à Europa que o Canadá garante um adequado nível de proteção dos dados pessoais dos cidadãos Europeus (pretendendo-se instituir um âmbito de aplicação equivalente ao da Diretiva) sendo a sua redação claramente e grandemente influenciada pelo texto da Diretiva144. A expressão “exclusivamente” da Diretiva foi interpretada como pretendendo apenas reforçar o caráter único da isenção ao tratamento dos dados pessoais no domínio do pessoal por oposição ao profissional e comercial e não o nível de intimidade/pessoalidade da atividade ligada à ideia de vida privada e da sua repartição em esferas de difusão, como acabou por ser interpretado em Espanha145. Concluiu-se que nos termos do PIPEDA, nem o tratamento de dados pessoais na internet, nem a utilização de videovigilância é por aquele diploma regulado, desde que tal tratamento seja efetuado por pessoas singular sem ligação a uma atividade com fins lucrativos. 142

[2014-01-11]

143

Definição de organização inclui pessoa singular com ligação a atividade comercial, mas já não inclui as que não tenham ligação a atividade comercial, cfr. “Questions and Answers regarding the application of PIPEDA, Alberta and British Columbia's Personal Information Protection Acts” do Officer of the Privacy Commissioner of Canada e Guia sobre a utilização de videovigilância a utilizar de acordo com o PIPEDA enquanto documento dirigido apenas às organizações. 144

McCLENNAM, Jennifer P. e SCHICK, Vadim - "O, Privacy: Canada's Importance in the Development of the International Data Privacy Regime" - Georgetown Journal of International Law 38, 2007. 145

40

Informe cit. n. 110.

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

III. ÂMBITO DE APLICAÇÃO MATERIAL – LPD

O âmbito de aplicação material da LPD encontra-se previsto no seu art. 4.º. Será importante analisar se o legislador português: (i)

Pretendeu ou não regular os tratamentos efetuados por pessoa singular com ou sem fim lucrativo, excluindo os referidos no art. 4.º/2 da LPD que tenham fim lucrativo, como a venda entre familiares, por exemplo; e, em consequência

(ii)

Qual a interpretação de exclusivamente pessoais ou domésticas do art. 4.º/2 da LPD.

III.1. A interpretação histórica e literal Em relação à interpretação do âmbito de aplicação da LPD, o Parecer 1/98 da CNPD a respeito do Anteprojeto da LPD refere: “A proposta segue o texto da Diretiva nos mecanismos de determinação dos tratamentos abrangidos por lei”146 . Por outro lado, a Proposta de Lei 173/VII menciona a propósito do âmbito de aplicação que a Diretiva se aplica tanto ao sector público, como ao sector privado, nada mais sendo referido147 . “Sector privado” significa “conjunto de empresas ou organizações pertencentes a particulares”148 e não a atividade de uma só pessoa singular sem fins lucrativos. Interpretando o art. 4.ª/2 da LPD de acordo com o argumento histórico e literal conclui-se que se encontra excluído do âmbito de aplicação da LPD o tratamento de dados pessoais efetuado no âmbito de atividade exclusivamente pessoais ou domésticas com fim lucrativo (venda de pertenças entre particulares), tendo a LPD o âmbito de aplicação semelhante ao do PIPEDA, sendo aplicável ao setor privado com propósitos comerciais/profissionais (ainda que indiretos)149, não sendo a LPD aplicável ao tratamento de dados no âmbito de atividade sem fim lucrativo. Neste sentido, atividades exclusivamente pessoais ou domésticas são as que se desenvolvem

apenas

no

foro

pessoal

ou

doméstico

por

oposição

ao

foro

profissional/comercial com propósitos económicos, aplicando-se a LPD caso o tratamento vise os dois foros. Logo, tanto o tratamento de dados através de redes sociais, como de

146

Disponível em www.cnpd.pt

147

Disponível em www.cnpd.pt

148

Cfr. Infópedia. Portio Porto Editora, 2003-2014.

149

Note-se a “Justificação” da proposta de alteração do art. 2.º/2/d) apresentada pelo Comité em 16/01/2013 para alterar a proposta da Comissão de 2012 que levou ao Regulamento Geral, quando refere “O tratamento de dados pessoais por pessoa singular para fins privados e domésticos pode, por vezes, ter um interesse lucrativo (por exemplo quando vendem pertences de particular a particular) mas, ainda assim, deverá ser excluído do âmbito de aplicação do regulamento, desde que não haja qualquer ligação a uma atividade profissional ou comercial”

41

videovigilância estariam fora do âmbito de aplicação da LPD, desde que não visem propósitos lucrativos. A interpretação do âmbito de aplicação da LPD tem sido efetuada em Portugal pela CNPD a propósito da utilização de videovigilância. Porém, a CNPD150 considera que a LPD se aplica ao tratamento de dados pessoais efetuados por particulares no âmbito do exercício de atividades sem fins comerciais, como seja a videovigilância privada, desde que tal atividade não seja “exclusivamente privada ou doméstica”, motivo pelo qual se afere a captação de imagem de (i) trabalhadores, (ii) via pública, (iii) partes comuns do prédio ou (iv) outras propriedades privadas. Segundo Alexandre Sousa Pinheiro151 e Catarina Sarmentos e Castro152 tudo dependerá da finalidade do tratamento, caindo no âmbito da LPD se o tratamento tiver como fim: a)

Fiscalização do desempenho de trabalhadores; e

b)

Meio de acesso visual à via pública/a propriedade não exclusivamente própria. Mais recentemente tanto o TRP no seu Ac. de 9 de janeiro de 2013153 como o TRC no Ac.

de 6 de março de 2013154 chamaram à colação o regime da LPD para efeitos de enquadramento da permissão ou não de captação e difusão de som numa relação entre pessoas singulares, no caso concreto, apesar de não analisarem diretamente a questão. III.2. Atividades exclusivamente pessoais ou domésticas Considerando a interpretação da CNPD e da doutrina de que a LPD se aplica ao tratamento se dados pessoais efectuado por pessoa singular sem fins lucrativos, importa definir o que se entende por “actividades exclusivamente pessoais ou domésticas” (cfr. 4.º/2 da LPD), já que o tratamento de dados pessoais efectuado por pessoas singulares no âmbito destas atividades encontra-se excluído do âmbito de aplicação do diploma. Utilizando a interpretação sistemática e história e assumindo como válidas as interpretações efectuadas pelo TJ155 no caso Lindqvist e caso Google v. AEsPD156, na Opinião

150

Neste sentido, entre muitas, Deliberação da CNPD n.º 456/2012 sobre videovigilância em moradia particular: [2014-01-11] 151

Sousa Pinheiro ob. cit. 1, Vol. II, p. 850.

152

Ob. cit. n. 9, p. 126 e 127.

153

Ac. do TRP de 9 de janeiro de 2013, Processo 1516/08.6PBGMR.P1, disponível em www.dgsi.pt [2014-01-11] 154

Ac. do TRC de 6 de março de 2013, Processo 119/11.2GDAND.C1, disponível em www.dgsi.pt [2014-01-11] 155

Ac. cit. n. 12.

156

Opinião do Advogado Geral cit. n. 100.

42

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

da EDPS157 e no Parecer do GT do Art. 29.º 158 , a interpretação de “actividades exclusivamente pessoais ou domésticas” deverá ser efectuada com recurso ao conceito de vida privada. Vida privada tem sido interpretada com recurso à ideia das esferas de Hubmann (Sphärentheorie)159 (cfr. Informe 0615/2008 da AEsPD160 e doutrina161 ) a qual já se encontra ultrapassada162 mas que por facilidade de exposição teórica se utilizará e segundo a qual a atividade do ser humano divide-se na: a)

Esfera da vida íntima: factos subtraídos ao conhecimento de terceiros;

b)

Esfera da vida privada: factos que cada um partilha com um núcleo limitado de pessoas; e

c)

Esfera da vida pública: “factos susceptíveis de serem conhecidos por todos, que respeita à participação de cada um na vida da colectividade”163. Vejamos o plano interno.

157

Opinião EDPS cit. n. 108

158

Parecer cit. n. 67.

159

HUBMANN, Heinrich, Personlichkeitsrecht, 1.ª Edição,1953, p. 216 e ss.. e OSLANDER, Daniela – “Das recht am eigenen bild im allgeneinen personlichkeitsrecht” – 1993. 160

Informe cit. n. 110.

161

Para aprofundar o conceito de vida privada ver Mota Pinto, Paulo – “O Direito à Reserva sobre a Intimidade da Vida Privada” – BDFUC: Coimbra Editora, 1995, p. 479-586. A proteção constitucional apenas da esfera íntima é defendida por Rita Cabral (CABRAL, Rita Amaral “O Direito à Intimidade da Vida Privada” – Separata dos Estudos em homenagem ao Prof. Paulo Cunha, Lisboa, 1988, p. 30) e RABINDRANTH (Capelo de Sousa – “O Direito Geral de Personalidade” Coimbra Editora, 1995, p. 323) porém tal posição não vingou cfr. Ac.s n.º 128/92 e 337/97 do TC. Menezes Cordeiro considera que o CCiv. protege as esferas privada, secreta e íntima, mas não diretamente as pública e social-individual, cfr. ob. cit. n. 31. p. 265. No direito estrangeiro ver Heinrich Hubmann e Daniela Oslander obs. cits. 159. Na área da proteção de dados pessoais sobre o conceito de vida privada cfr. Garcia Marques, ob. cit. n. 27 p. 134-170 e Paulo Mota Pinto a propósito da extensão da vida privada para efeito de interpretação de dados genéticos “A Proteção da Vida Privada e a Constituição” – BFDUC n. 76 (2000): Coimbra Editora, S.A., 2001, porém não analisa o conceito aplicado ao âmbito de aplicação da Diretiva. Para Garcia Marques “comportamentos verificados em local público não estão sob tutela da privacidade, o que não significa que não disponham de outras formas de protecção, nomeadamente (...) v.g. o direito à imagem” in ob. cit. n. 27, p. 158. Tal significaria que todos os tratamentos de fotografias em público não estariam sujeitos à aplicação da Diretiva, mas estariam sujeitos à aplicação do instituto da responsabilidade civil por violação do direito à imagem. Paulo Mota Pinto refere em “A Proteção da Vida Privada e a Constituição” supra cit., que não é pela pessoa se encontrar em público que deixará de ter vida privada protegida. Não se concorda com a teoria de Garcia Marques uma vez que o titular de dados pessoais não deixa de ser titular dos direitos fundamentais à proteção de dados pessoais referidos no art. 35.º da CRP por estar em público. 162

Ac. STJ de 09/28/2011, Processo 22/09.6YGLSB.S2 disponível em www.dgsi.pt. Tanto Paulo Mota Pinto (obras citadas) como Alexandre Sousa Pinheiro (ob. cit. n. 1, Vol. II, p. 542 e ss. em especial 903 e ss.) colocam em causa o “rigor e a utilidade da “teoria das três esferas”. 163

COSTA ANDRADE, Manuel - “Sobre as Proibições de Prova em Processo Penal” - Coimbra Editora, 1992.

43

A CRP considera o direito à reserva da intimidade da vida privada e familiar como direito fundamental, no seu art. 26.º. Segundo Gomes Canotilho: «o direito à reserva da intimidade da vida privada e familiar analisa-se principalmente em dois direitos menores: (a) o direito a impedir o acesso de estranhos a informações sobre a vida privada e familiar e (b) o direito a que ninguém divulgue as informações que tenha sobre a vida privada e familiar de outrem»164 enquanto direito que protege não só a esfera intima165. No CCiv. o “Direito à reserva sobre a intimidade da vida privada” encontra-se regulado no art. 80.º166 enquanto direito de personalidade. A jurisprudência, da qual destacamos o Ac. do STJ de 20 de junho de 2012167, acolheu a interpretação de “reserva da vida privada que a lei protege” efetuada pelo Conselho Consultivo da PGR168: “actos que devem ser subtraídos à curiosidade pública, por naturais razões de resguardo e melindre, como os sentimentos, os afectos, os costumes da vida e as vulgares práticas quotidianas, (...)as renúncias que implica e até por vezes o modo particular de ser, o gosto pessoal de simplicidade (...); os sentimentos, acções e abstenções que fazem parte de um certo modo de ser e estar e que são condição da realização e do desenvolvimento da personalidade. Tratar-se-á, numa delimitação possível ou de simples referência de critérios, dos sectores ou acontecimentos da vida de cada indivíduo relativamente aos quais é legítimo supor que a pessoa manifeste uma exigência de discrição como expressão de um direito ao resguardo”. Parecerá que a divulgação de dados pessoais a pessoas para além do grupo de amigos não será um comportamento que manifeste “uma exigência de discrição como expressão de um direito ao resguardo” O STJ conclui no Ac. de 20 de junho citado que a tutela da reserva da vida privada “«abrange quer o acesso, quer a divulgação de aspectos atinentes à esfera íntima e pessoal das partes, nomeadamente relacionados com a vida familiar, afectiva e sexual, com o estado de saúde e com as convicções políticas e religiosas» (...) «mas já não abrangerá a actividade profissional » (sublinhado nosso). A propósito de atividades excluídas do âmbito de aplicação da LPD no regime português cita-se:

164

GOMES CANOTILHO, José e MOREIRA, Vital - Constituição da República Portuguesa Anotada, Vol I, Coimbra: Coimbra Editora, 2007 ob. cit., n. 60, p. 467. 165

Ac.s n.º 128/92 e 337/97 do TC.

166

Art. 80.º: “1 - Todos devem guardar reserva quanto à intimidade da vida privada de outrem. 2 - A extensão da reserva é definida conforme a natureza do caso e a condição das pessoas.” 167

Ac. do STJ de 20 de junho de 2012, Processo 417/10.2TTVNF.P1.S1.

168

44

Parecer n.º 95/2003, do Conselho Consultivo da PGR, in DR, II Série, n.º 54, de 4 de março de 2004.

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

A Deliberação n.º32/96 de 4 de junho169: “A excepção abrange apenas os ficheiros de

(a)

dados pessoais usados exclusivamente por uma única pessoa singular e não obviamente por uma pluralidade de pessoas no seio de uma empresa.”; e (b)

O Ac. do STA de 5 junho de 1997, Processo 041023: “(...) a expressão uso pessoal ou doméstico só pode querer referir-se aos ficheiros contendo informações exclusivamente destinadas a uso por pessoa individual (e não por pessoa colectiva, (...) ou no âmbito doméstico (no sentido de restrito ao domicílio familiar)(...).”170 ambas as decisões a propósito do âmbito de aplicação da Lei 10/91 de 29 de abril171, a qual continha o art. 3.º/2/a) com redação semelhante ao art. 4.º/2 da LPD. A concretização do conceito de vida privada para efeitos de interpretação do âmbito de

aplicação da LPD no regime jurídico português está, assim, em aberto. III.2.1.1 Tratamento de dados pessoais em redes sociais Independentemente da extensão de vida privada utilizada para interpretar “atividades exclusivamente pessoais ou domésticas” do art. 4.º/2 da LPD, assumindo a interpretação sistemática e acolhendo a interpretação efectuada pelo Parecer do GT do Art. 29.º o tratamento de informação de terceiros cujos direitos prevaleçam perante os direitos dos utilizadores não consistirá numa atividade exclusivamente pessoal ou doméstica. No ordenamento jurídico português tal acontecerá nos casos de violação do direito à imagem previstos no art. 79.º/1 e 3. Assim, se uma pessoa singular (i) captar ou copiar ou (ii) efetuar upload de foto da face de terceiro ou (iii) transmitir sem consentimento em redes sociais, numa das situações não excecionadas pelo art. 79.º/2 do CCiv., estará sujeito à aplicação da LPD, porque nesse sentido os direitos de terceiros prevalecem sobre os seus172. Em consequência, muitos serão os casos de tratamento de imagens em redes sociais por pessoas singulares e sem fins lucrativos que cairão no âmbito de aplicação da LPD, cfr. James Grimmelmann173 .

169

“não pode ser interpretada no sentido de permitir o tratamento de dados pessoais no interior e para uso de uma empresa” cfr. Deliberação n.º 32/96, de 4 de Junho, 3.º Relatório da CNPD, 1996, p. 235. 170

Ac. do STA de 5 de junho de 1997, Processo 041023, disponível em www.dgsi.pt.

171

“2. Exceptuam-se da aplicação prevista no artigo anterior os ficheiros de dados pessoais que contenham exclusivamente informações destinadas: a) A uso pessoal ou doméstico (...)” 172

No sentido de que a household exception não se aplica sempre que os direitos de terceiro prevaleçam ver AEsPD no Informe n.º 0615/2008 cit. n. 110 e Parecer GT cit. n. 67. 173

Cfr. James Grimmelmann, ob. cit. n. 5.

45

III.2.1.2 Videovigilância Vimos no Ponto I.2 da presente análise que a utilização de videovigilância não poderá ser enquadrada como atividade exclusivamente pessoal, mas poderá ser exclusivamente doméstica se for cumprido o referido no Capitulo II.2.2, para o qual se remete. Consequentemente, existirão utilizações de videovigilância que também não serão qualificadas como atividade exclusivamente doméstica, estando portanto sujeitas à aplicação da LPD. III.2.2. Escopo de proteção das normas contidas na LPD

“(...) it is clear that the development of the internet into a comprehensive global stock of information which is universally accessible and searchable was not foreseen by the Community legislator” Advogado Geral Jaaskinen174 Em consequência do exposto, a LPD será aplicável ao tratamento de dados pessoais em suporte imagem em redes sociais e através de videovigilância se os direitos de terceiro prevalecerem. Considerando que a intenção do legislador foi aplicar a LPD ao tratamento de imagem e som efetuado por pessoa singular na sua relação entre particulares, então terá que se admitir que o escopo de proteção das normas da LPD não fora pensado para o tratamento massificado por particulares da imagem através da internet, de smartphones, de Google Glass, de impressoras 3D, videovigilância, etc. com a facilidade de recorrerem a base de dados para efeitos de reconhecimento facial. De acordo com o art. 3.º/a), b) d) e art. 4.º/1 e 2, da LPD, qualquer pessoa antes de tirar uma fotografia ou fazer um vídeo em que capte a face de terceiros sem o respectivo consentimento nos casos do art. 79.º/1 e 3 do CCiv. será considerada responsável pelo tratamento de dados pessoais. Nesse sentido, deverá cumprir as obrigações previstas na LPD, a saber: a)

Solicitar autorização prévia à CNPD para tratamento de dados sensíveis, (cfr. art. 7.º/1 e 2 e 28.º da LPD, sempre que não caia na exceção do art. 7.º/3c)) e ainda que tenha autorização das pessoas segundo parte da doutrina175;

174

Cfr. Opinião do Advogado Geral do TJ de 25 de junho de 2013 no Processo C-131/12 cit. n. 100 ponto 27. 175

Cfr. interpretação de Catarina Sarmento do art. 7.º/2 da LPD: “a CNPD apenas poderá autorizar o tratamento de dados sensíveis quando exista consentimento do titular dos dados” no sentido de que ainda que exista consentimento será necessária autorização da CNPD para controlo das condições em que o consentimento é prestado cfr. ob. cit. n. 9 p. 218 e 219. Neste sentido também Alexandre Sousa Pinheiro,

46

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

b)

Notificar a CNPD antes de tirar a fotografia caso a utilize para mais do que uma finalidade interligada (cfr. art. 27.º/1 da LPD);

c)

Solicitar autorização à CNPD no caso de tratamento do retrato para fim diferente do determinante da recolha (art. 28.º.º/1/d) da LPD). Por exemplo, o utilizador captou a imagem e gravou-a em ficheiro no computador para ser oferecida enquanto prenda numa moldura e pretende agora publica-la no Facebook a que podem aceder os “amigos” e os “amigos” dos “amigos” que já não são seus “amigos”;

d)

Solicitar autorização à CNPD em caso de interconexão de dados ou transferência de dados (art.s 19.º, 20.º, 28.º/1/c da LPD) - casos de partilha de informação do LinkedIn com o Facebook ou quando se aceita efetuar “login com a sua conta do Facebook” onde, na realidade, os dados dos “amigos” são muitas vezes transferidos para uma terceira entidade;

e)

Cumprir as obrigações de informação (art. 10.º da LPD); e

f)

Cumprir as obrigações de segurança no tratamento com medidas especiais, quando aplicável (art. 15.º da LPD), ou seja, salvaguardar-se que o seu prestador de serviço garante que terceiros não terão acesso às imagens, etc. Em caso de incumprimento, a pessoa singular está sujeita a coimas entre os 250€ e os

2.500€ por infração, sem considerar o agravamento cfr. art. 37.º/2 e sob pena de prática de crime cfr. art. 43.º ambos da LPD. A este propósito, mas com sentido distinto, pronunciou-se Alexandre Sousa Pinheiro176 : “(...) não se pode sustentar que a LPD não é aplicável a tratamentos efetuados em redes sociais, por estes respeitarem a tratamentos pessoais ou domésticos.” porque “a forma como se procede à utilização da informação – especialmente provinda de terceiros – permite a difusão e a circulação de dados pessoais junto de “comunidades de utilizadores” – usualmente designados “amigos” ou, em casos específicos “fãs” – em tratamentos que não se confinam ao “pessoal ou doméstico” Conclui o Autor afirmando que recaem no âmbito de aplicação do regime da LPD tratamentos de dados pessoais efectuados por pessoa singular que não se coadunam com a obrigação de notificação e autorização impostas, pelo que a proteção de dados é hoje

ob. cit. n. 1, Vol. II, p. 868. Contra ambos Garcia Martins e Lourenço Marques “o “consentimento expresso” do titular deve ser visto entre as fontes” do tratamento e não como “condição material” de acesso ao tratamento (...)” no sentido de não ser necessária uma autorização posterior da CNPD, ob. cit. n. 27, p. 349 176

Sousa Pinheiro ob. cit. n. 1, Vol. II, p. 850.

47

insuficiente para garantir “a protecção de informação pessoal em ambientes de rede”. Também nesse sentido parece seguir Garcia Marques e Lourenço Martins177. É neste ponto que diferimos dos Autores citados já que consideramos que o escopo de proteção da LPD não fora pensado para as novas realidades técnicas e para a sua utilização massificada, e nesse sentido, não sendo possível efetuar interpretação extensiva ou analógica178 , não cairão tais realidades no âmbito de aplicação da LPD. Vale neste ponto da presente análise o que foi referido a propósito do escopo de proteção das normas previstas na Diretiva. Ninguém aquando da redação da LPD pensou que a utilização da internet tomaria as proporções atuais e teria tal impacto nas relações entre particulares. O regime da LPD aplicável hoje ao tratamento massivo de imagem por pessoas singulares sem fins lucrativos torna-se inconstitucional nos termos que se seguem. III.2.3. As inconstitucionalidades

Apesar de se defender que o tratamento de dados pessoais efectuado por pessoa singular deva ser regulado, a forma como o foi na LPD não cria hoje (perante os avanços tecnológicos) o equilíbrio necessário entre o direito à liberdade de expressão (art. 37.º da CRP) e o direito à reserva da intimidade da vida privada e direito de imagem (art. 26.º da CRP). Neste sentido existe hoje uma violação do princípio da proporcionalidade (art. 18.º/2 e 3 da CRP), na sua (i) vertente da adequação, já que as medidas previstas na LPD não são idóneas para atingir o fim a que se propõem (provado pelo incumprimento generalizado), na (ii) vertente do subprincípio da necessidade, uma vez que existirão medidas que implicarão consequências menos negativa, como por exemplo no caso da divulgação de imagens em redes sociais a obrigatoriedade do “tag” e de condicionar a visibilidade da imagem à obtenção de autorização do utilizador identificado, etc.. e (iii) na vertente do subprincípio da proporcionalidade em sentido estrito, já que o custo de cumprir o regime presente é superior ao benefício que trás à privacidade. Considera-se que a interpretação do âmbito de aplicação previsto no art. 4.º/2 da LPD como abrangendo o tratamento de imagem de terceiros efetuado por pessoa singular nos casos do art. 79.º/1 e 3 do CCiv. (em que os direitos dos terceiros prevaleçam perante os direitos da pessoa singular em causa) sem qualquer fim ligado à esfera pública (profissional, comercial, religioso, político, etc.) será inconstitucional, por violação do direito à liberdade de expressão

177 178

Ob. cit. n. 27, p. 155 e 156.

ASCENSÃO, Oliveira – “O Direito - Introdução e Teoria Geral”, Almedina, Reimpressão da 13.ª Edição de Março/2005, Coimbra, 2013. BAPTISTA MACHADO, João – “Introdução ao Direito e ao Discurso Legitimador”, 21.ª Reimpressão, Coimbra: Coimbra, 2013.

48

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

previsto no art. 37.º da CRP179 e do principio da proporcionalidade (art. 18.º/2 e 3 da CRP) pelas razões já expostas. Também se considera inconstitucional por iguais razões e fundamentos a interpretação do art. 7.º/2 da LPD no sentido de impor à pessoa singular que trate dado sensível de terceiro com o seu consentimento e sem fins lucrativos (ainda que na esfera pública) o pedido de autorização prévia à CNPD180. Perante a não aplicação do regime, a direito à imagem encontra-se sem proteção contra o tratamento efetuado por pessoa singular sem fim lucrativo através de meios automatizados, incorrendo o Estado Português em inconstitucionalidade por omissão181 por violação dos artigos 26.º/1 e 2 e 35.º/2, por aplicação do art. 283.º/1 todos da CRP. III.3. Outros ordenamentos jurídicos da UE Sobre as razões pelas quais se escolheu identificar o seguintes regimes cfr. Capítulo I.1.1.12. III.3.1. Espanha

Nos termos do art. 2.º/2/a) da Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal182 (transpôs a Diretiva 95/46/CE) “A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.” não se aplica o seu regime. No Informe 0615/2008183 AEsPD refere: “En definitiva, para que nos hallemos ante la exclusión prevista en el artículo 2 LOPD, lo relevante es que se trate de una actividad propia de una relación personal o familiar, equiparable a la que podría realizarse sin la utilización de Internet” (...) “Será personal cuando los datos tratados afecten a la esfera más íntima de la persona, a sus relaciones familiares y de amistad y que la finalidad del tratamiento no sea otra que surtir efectos en esos ámbitos.”.

179

Ob. cit. n. 37. p. 851. e VIEIRA de ANDRADE, Carlos – “A problemática dos Direitos das Pessoas e a Comunicação Social na Perspectiva Jurídica” Seminário sobre os Direitos da Pessoa e a Comunicação Social, Fundação Clouste Gulbenkian, Serviço de Comunicação, jan. 1995, p. 88 e ss. 180

Ob. cit. n. 9, p. 218 e 219.

181

MIRANDA, Jorge – “A fiscalização da inconstitucionalidade por omissão” – Estudos em Homenagem a Miguel Galvão Teles, Coimbra: Almedina, 2012, V. 1, p. 687. 182

[2014-01-11]

183

Informe cit. n. 110.

49

Nesse sentido a maioria das situações de tratamento de imagem em redes sociais cairão no âmbito de aplicação da legislação espanhola de proteção de dados pessoais. Note-se que a figura da “autorização” prevista na LPD não existe na legislação espanhola184. No que diz respeito às situações de videovigilância em Espanha, importa ter presente a “Instrucción 1/2006, de 8 de noviembre” da AEsPD, “sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.”185 e o Guía de Videovigilancia da AEsPD186. Segundo a AEsPD apenas as Fuerzas y Cuerpos de Seguridad del Estado tem legitimidade para utilização de câmaras de videovigilancia (terminologia utilizada pela AEsPD) para captação de imagens na via pública. Por outro lado, a instalação de videovigilância em propriedade privada para fins de segurança obriga necessariamente à contratação dos serviços de empresas de segurança autorizadas pelo Ministério, cfr. art. 5 da Ley 23/1992 de 30 de julio e a notificação da AEsPD caso a empresa tenha acesso a ficheiros de imagens gravadas. III.3.2. Irlanda

Nos termos da secção 4(c) do “Data Protection Acts, 1988”187 , “Data Protection Act (Amendment), 2003”188 na versão em vigor189, a legislação de proteção de dados pessoais que transpôs a Diretiva 95/46/CE não se aplica aos “personal data kept by an individual and concerned only with the management of his personal, family or household affairs or kept by an individual only for recreational purposes” (sublinhado e negrito nosso). Neste sentido, o tratamento de dados pessoais por pessoas singulares em redes sociais com finalidades recreativos, encontra-se fora do âmbito de aplicação da legislação de proteção de dados pessoais, tal como no Canadá (análise já exposta).

184

Cfr. “Informe 0630/2009” [2014-01-11] em prejuízo da tutela dos dados pessoais. No sentido de que a AEsPD terá adotado posições menos protecionistas dos titulares dos dados pessoais veja-se GALVAÑ BARCELÓ, Juan C. – “LOPD y Videovigilancia: Puedo Instalar Cámaras o No?” – 18 dezembro 2010. Sobre o tema ver MIGUEL ASENSIO, Pedro A. – “La protección de datos personales a la luz de la reciente jurisprudencia del TJCE”. Revista de la Facultad de Derecho de la Universidad de Granada, 3ª época, N.º 7, 2004. 185

[2014-01-11]

186

[2014-01-11] 187

[2014-01-11]

188

[2014-01-11]

189

[2014-01-11]

50

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

O âmbito de aplicação difere do da LPD porque atividades “recreativas” em Portugal poderão não ser tuteladas pelo conceito de vida privada, e nesse sentido, o regime Irlandês tem um âmbito de aplicação mais restrito quando comparado com o português. No caso de utilização de sistemas de videovigilância associados a uma empresa de segurança que tenha acesso às imagens, tanto a pessoa singular como a empresa de segurança são considerados responsáveis pelo tratamento, sendo necessário uma espécie de autorização prévia, nos termos do disposto nas secções 1, 12.A, 16 e 17 do “Data Protection Acts, 1988” 190 , “Data Protection Act (Amendment), 2003”191 na versão em vigor192, S.I. No. 144 of 2012193 e cfr. Information Note on Data Protection and CCTV194 e Data Protection and CCTV 195 III.3.3. Itália

Em Itália a transposição da Diretiva 95/46/CE deu origem ao Decreto legislativo n.º 196, de 30 de junho de 2003 (Codice in Materia di Protezione dei Dati Personali “CPDPI”) 196. Nos termos do art. 5.º/3 do CPDPI “Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.”197. O legislador italiano estabeleceu uma distinção no tratamento de dados efetuados por pessoa singular no âmbito de atividades exclusivamente pessoais: (i) a regulação geral aplica-se apenas ao tratamento de dados destinados a comunicação ou difusão sistemática e (ii) quando os dados não se destinem a comunicação ou divulgação sistemática a terceiros, a pessoa singular encontrar-se-á sujeita apenas aos princípios do CPDPI e à responsabilidade civil que decorram

190

Endereço cit. n. 188.

191

Endereço cit. n. 189.

192

Endereço cit. n. 190.

193

Cfr. secção 3. (1) do S.I. No. 144 [2014-01-11]

of

2012

194

[2014-01-11] 195

[2014-01-11]

196

[2014-01-11] 197

Art. 5.º/3 “This Code shall only apply to the processing of personal data carried out by natural persons for exclusively personal purposes if the data are intended for systematic communication or dissemination. The provisions concerning liability and security referred to in Sections 15 and 31 shall apply in any case.”

51

da inobservância de tais princípios:“Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.”. É de aplaudir a solução italiana que compatibiliza de forma proporcional os direitos fundamentais em causa.

52

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

IV. ÂMBITO DE APLICAÇÃO MATERIAL - REGULAMENTO GERAL

IV.1. Enquadramento O cumprimento da Diretiva, no que diz respeito ao tratamento de imagem e som por pessoas singulares não tem tido o alcance desejado198. Na sequência da introdução em 2007 pelo Tratado de Lisboa do art. 16.º do TFUE e da CDFUE como elemento vinculativo199 e na sequência da Agenda Digital para a Europa200 e da Estratégia Europa 2020201 surgiu em discussão desde 25 de janeiro de 2012 a proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados202 para substituição da Diretiva (“Proposta”). O Comité propôs as primeiras alterações à Proposta em 16 de janeiro de 2013203 e aprovou um segundo texto de alterações em novembro de 2013204 o qual foi aprovado a 12 de Março de 2014 pelo Parlamento Europeu. O objetivo principal do Regulamento Geral consiste em “assegurar a livre circulação da informação pessoal” na UE (cfr. art. 1.º/3 do Regulamento)205, tendo-se pretendido criar para o efeito regras de proteção de dados pessoais que assegurem a confiança dos utilizadores nas atividades em linha206, sendo este um objetivo instrumental para atingir aquele. Segundo Anna Hedh, a Comissão tem intenção de limitar a liberdade de expressão mesmo nos casos em que o tratamento de dados seja efetuado sem propósitos comerciais207, bastando que a informação seja disponibilizada a um número ilimitado de pessoas.

198

Cfr. “Abordagem global da proteção de dados pessoais na UE” de 6 de julho de 2011 e Considerando 7 do Regulamento Geral. 199

A sublinhar a nova base legal veja-se Inês Jesus, ob. cit. n. 54.

200

“Os europeus não se dedicarão a atividades em linha cada vez mais sofisticadas sem terem a certeza de que eles próprios, ou os seus filhos, podem confiar plenamente nas redes.” in Agenda Digital para a Europa, 2010, ob. cit. n. 17. 201

“Criar um verdadeiro mercado único de conteúdos e serviços em linha (por exemplo, serviços Web seguros e mercados de conteúdos digitais transfronteiras a nível da UE, que ofereçam níveis elevados de confiança e segurança, um quadro normativo equilibrado com regimes jurídicos claros, (...) e que possa influenciar a governação global da Internet” in Estratégia Europa 2020. 202

Proposta de regulamento cit. n. 70.

203

Proposta do Comité cit. n. 72.

204

Regulamento Geral aprovado cit. n. 73.

205

Alexandre Sousa Pinheiro, ob. cit. 51.

206

“A falta de confiança no ambiente em linha está entretanto a dificultar seriamente o desenvolvimento da economia em linha na Europa.” em Agenda cit. n. 17. 207

DAHLLOF, Staffan – “New Data Rules will collide with Fundamental Rights, Commission admits” in Europe Wobbing 26 de janeiro 2013

53

Em 2010, sobre o âmbito de aplicação da regulação da UE a atividades de pessoas singulares sem fins comerciais a Comissão recomendou: “It should be possible to apply data protection rules more lightly to relatively trivial activities on the Internet. It is particularly problematic to try and subject ordinary, individual users of the Internet to the full force of the rules applicable to “controllers”.208 (sublinhado nosso) IV.1.1. Interpretação proposta

O tratamento de dados pessoais efetuado por pessoa singular para exercício de “atividades exclusivamente pessoais ou doméstica” continua isento da aplicação da normas da União sobre proteção de dados pessoais. As grandes novidades introduzidas pelo Regulamento Geral consistem (i) na introdução de uma aparente209 nova situação de isenção para o tratamento de dados pessoais por pessoas singulares: “This exemption also shall apply to a publication of personal data where it can be reasonably expected that it will be only accessed by a limited number of persons;” (cfr. art. 2.º/2/d)) e (ii) na inserção de mais indícios para concretização de atividades exclusivamente pessoais ou domésticas: “a private sale” e “without any connection with a professional or commercial activity” (cfr. Considerando 15). As sucessivas alterações dos Considerandos e do texto do art. 2.º/2/d) demonstram que a disponibilização dos dados por pessoas singulares a um número indefinido de pessoas consiste no critério primordial a avaliar para não aplicação da “household exception” (Critério da Difusão dos Dados). Por esse motivo se alterou a localização do Critério da Difusão dos Dados do Considerando 15 do texto da primeira proposta do Comité para o art. 2.º/2/d) no texto que veio a ser aprovado. Considera-se que a “household exception” dever ter uma aplicação mais abrangente: ainda que os direitos de terceiros prevaleçam a isenção deverá ser aplicada, desde que os dados sejam acessíveis por um número limitado de pessoas.

208

Continuação da cit.: “This would leave open the possibility of adopting (or where they already exist, retaining) a tort [civil wrong or fault] regime under which individuals can be held liable for wrongful or unjustified public disclosure of private information or “intrusion” over the Internet or through other ubiquitous communication systems such as SMS or MMS.” (...) “We believe that in many EU Member States, solutions on these lines are already possible (partly on the basis of civil law),” Demonstra a clara opção de deixar ao direito civil dos EM a regulação da violação de dados pessoais tratados na relação entre privados sem propósitos comerciais, in Estudo ob. cit. n. 1, p. 23. 209

Aparente porque se considerou que os tratamentos de dados pessoais por pessoas singulares em plataformas como redes sociais estavam isentos da sua aplicação já na Diretiva. E porque as alterações introduzidas vêm na realidade concretizar os conceitos de “atividades exclusivamente pessoais ou domésticas”.

54

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

Do exposto resulta que o tratamento de imagens efetuado por pessoas singular através de redes sociais ou de videovigilância do seu domicílio, desde que seja disponibilizado a um número limitado de pessoas e não seja efetuado no âmbito de atividades profissionais ou comerciais, estará isento da aplicação do Regulamento Geral, cfr. Considerando 15 e art. 2.º/2/d). IV.2. Videovigilância e outras formas de captação de imagem de locais públicos A questão reside em saber se à utilização (i) de videovigilância ou (ii) de óculos Google Glass210 ou (iii) qualquer equipamento que permita211 a captação permanente de imagens de espaços públicos será aplicável o Regulamento Geral, se as imagens forem disponibilizadas a um número limitado de pessoas sem fins lucrativos. Considera-se que a expressão “This exemption also shall apply to a publication of personal data where it can be reasonably expected that it will be only accessed by a limited number of persons” referida no art. 2.º/2/d) do Regulamento Geral apenas isenta da sua aplicação o tratamento de dados que corresponda a ofensa de direitos de terceiros que prevaleçam numa situação de difusão limitada, e que antes se considerava abrangido pela Diretiva. A expressão referida deverá ser interpretada e limitada pela frase anterior (by a natural person in the course of an exclusively personal or household activity). Assim, a exceção aplicar-se-á se no âmbito de atividades exclusivamente pessoais ou domésticas se existir difusão limitada de dados, alargando-se a exceção à esfera individual-social. Apesar de as imagens não serem disponibilizadas a um número indefinido de pessoas, a captação de imagens de terceiros que passam na rua por uma pessoa singular com caráter de permanência para propósitos de segurança e de prevenção de criminalidade (isto é: videovigilância) não poderá ser qualificada como comportamento que se subsuma ao “relacionamento social normal que as diversas pessoas estabelecem com amigos (...) e conhecidos”212. Assim, videovigilância de locais públicos encontra-se sujeita à aplicação do Regulamento Geral, ainda que a difusão seja limitada. Portanto, a aplicação ou não do Regulamento Geral dependerá da finalidade da utilização do equipamento. Nesse sentido, a captação de imagens através de smartphones, óculos Google Glass, ou outro dispositivo com propósitos lúdicos poderá enquadrar-se em comportamento que se adote no âmbito do relacionamento social normal que as diversas pessoas estabelecem com amigos e conhecidos, não lhe sendo aplicável o Regulamento Geral.

210

Weber ob. cit. n. 42.

211

Liat Clark, ob. cit. n. 44.

212

Parecer do Conselho Consultivo da PGR cit. n. 168.

55

V. CONCLUSÃO

“Toda a história do direito à imagem, desde o seu nascimento, tem sido de reacção a desafios tecnológicos e sociais suscitados pela vida em sociedade” David Festas213

A vigilância permanente da sociedade é focada na distopia de Jeremy Bentham “Panóptico”214, desenvolvida por Foucault215, assim como na obra “1984” de George Orwell216 e continua a ser tema desenvolvido por Warhol em Sleep de 1963, por Steven Spielberg em Minority Report de 2002 ou Ridley Scott em Body of Lies de 2008. Todas as obras notam que a confiança na tecnologia não poderá ser cega, que o homem é imperfeito e que qualquer solução passará pela aplicação correta dos valores fundamentais. O tratamento de imagem própria ou de terceiros por pessoa singular através de smartphones, Google Glass, quadcopters, hologramas, internet, videovigilância, impressão 3D e com capacidade de reconhecimento facial massificado não existia em 1995 e 1998. Hoje existe. As novas formas de abuso do tratamento da imagem são substancialmente diferentes. Da análise da Diretiva concluiu-se que o seu regime não abrange hoje a regulação de tratamento massificado de dados pessoais por pessoas singulares sem finalidades lucrativas. Por outro lado, a aplicação de determinadas normas da LPD, nomeadamente o disposto no artigo 7.º, aos casos de tratamento de dados pessoais por pessoas singulares sem fins lucrativos expostos resultará na violação do princípio da proporcionalidade (art. 18.º/2 e 3 da CRP) por proteção desadequada do direito à reserva da intimidada da vida privada em detrimento do direito fundamental à liberdade de expressão. Hoje, quanto mais se considere que o âmbito de aplicação da LPD é alargado maior se acentuará a violação do direito à liberdade de expressão, e quanto mais se restringir mais desprotegidos se encontrarão os dados pessoais tratados no âmbito de atividade isenta do regime da LPD. Perante a não aplicação do regime da LPD aos casos identificados, conclui-se pela existência de inconstitucionalidade por omissão (art. 283.º da CRP) por inexistência de medidas legislativas necessárias para tornar exequível a garantia da proteção dos direitos fundamentais

213

Ob. cit. n. 7.

214

BENTHAM, Jeremy – “The Panopticon” - Writings. Ed. Miran Bozovic, London: Verso, 1995.

215

FOUCAULT, Michel – “Surveiller et Punir” – Paris: Gallimard, 1975.

216

ORWELL, George – “1984” – 1949.

56

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

de proteção de dados pessoais, do direito à imagem e do direito à reserva da intimidade da vida privada e familiar e do direito à liberdade de expressão, nos termos do disposto nos artigos 26.º/2 e 3 e 35.º/2 e 3, 37.º, 18.º/2 e 3 e 283.º da CRP. Conclui-se que a proteção do direito à imagem enquanto dado pessoal nos casos de atividades que recaiam fora do âmbito de aplicação da LPD será efectuada de acordo com a norma que o próprio interprete criaria, se houvesse de legislar dentro do espírito do sistema (art. 9.º/3 do CCiv.). No que diz respeito ao futuro Regulamento Geral, atendendo ao texto recentemente aprovado e se este se consagrar como versão final, considera-se que o seu regime só abrange o tratamento de imagem por pessoa singular nos casos (i) de videovigilância de locais privados, (ii) utilização de óculos Google Glass em locais públicos e privados e outros dispositivos recreativos e (iii) redes sociais, desde que exista difusão ilimitada da imagem ou propósitos comerciais. A videovigilância de locais públicos por pessoa singular cairá no âmbito de aplicação do Regulamento Geral. “hoped that technology itself might be put into service to regulate the use of technology” Joel Reidenberg.217

217

REIDENBERG, Joel R. (1998): Lex informatica: “The formulation of information policy rules through technology.” Texas Law Review, 76 (3), pp. 553-584.

57

BIBLIOGRAFIA

•

ACQUISTI, Alessandro, “Why privacy matters”, TED talk, junho 2013, disponível em [201401-11]

•

AGENCIA ESPAÑOLA de PROTECCIÓN de DATOS - Estudo da AEsPD e do Instituto Nacional de Tecnologías de la Comunicación (INTECO) de 2009, disponível em

•

ALLAN, Roy A. – A History of the Personal Computer. Londres e Ontário: Allan Publishing, 2001

•

ASCENSÃO, José Oliveira (a)

“Sociedade de Informação e Mundo Globalizado” – Globalização e Direito, Studia Ivridica 73, BDFUC V. 12, Coimbra, 2013, p.167.

(b)

“A reserva da intimidade da vida privada e familiar, RFDUL, Vol. XLIII, 1, 11

(c)

“O Direito - Introdução e Teoria Geral”, Almedina, Reimpressão da 13.ª Edição de Março/2005, Coimbra, 2013.

•

BAPTISTA MACHADO, João – “Introdução ao Direito e ao Discurso Legitimador”, 21.ª Reimpressão, Coimbra: Coimbra, 2013.

•

BENJAMIN, Walter - “Petit histoire de la photographie” - Études Photographiques 1, 1996, disponível em [2013-10-14]

•

BENTHAM, Jeremy – “The Panopticon” - Writings. Ed. Miran Bozovic, London: Verso, 1995, disponível em [2014-01-11]

•

BLACKMAN, Josh – “Omniveillance, Google, Privacy in Public, and The Right to Your Digital Identity: A Tort For Recording and Disseminating an Individual’s Image over the Internet”, Hein Online, 49 Santa Clara Law Review, 2009

•

CABRAL, Rita Amaral - “O Direito à Intimidade da Vida Privada” – Separata dos Estudos em homenagem ao Prof. Paulo Cunha, Lisboa, 1988

•

CANOTILHO, José Joaquim Gomes e MOREIRA, Vital - Constituição da República Portuguesa Anotada, Vol I, Coimbra: Coimbra Editora, 2007

58

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

•

CAPELO DE SOUSA, Rabindranath – “O Direito Geral de Personalidade” - Coimbra Editora, 1995

•

CARBONNIER – “Droit Civil” - Edição 22.ª, Paris, 1995

•

CHAMBEL, Élia – “A videovigilância e o direito à imagem” – in Estudos de Homenagem ao Professor Doutor Germano Marques da Silva, Livraria Almedina, Coimbra, 2004

•

CLARK, Liat - “Sony's brainwave-reading, navigational SmartWig: not just for making you look good” – in Wired, 28 novembro 2013 [2014-01-11]

•

CLEMONS, L.S. em “The Right Of Privacy In Relation To The Pubication of Photographs”. Marq. L. Rev. 14, 1930 disponível em [2014-01-11]

•

CLIVE Norris, McCAHILL, Mike e WOOD, David – “The Growth of CCTV: a global perspective on the international diffusion of video surveillance in publicly accessible space” em The Politics of CCTV in Europe and Beyond, Vol 2 (2/3) disponível em [2014-01-11]

•

COMISSÃO EUROPEIA a)

Estudo Comparativo sobre Abordagens Diferentes Relativamente aos Novos Desafios em Matéria de Privacidade, em Especial à Luz dos Desenvolvimentos Tecnológicos,

2010,

disponível

em

[201401-11] b)

Agenda

Digital

para

a

Europa,

2010,

disponível

em

[2014-01-13] •

CORDEIRO, Menezes – Tratado de Direito Civil IV Volume Parte Geral Pessoas. Coimbra: Edições Almedina, S.A.. 3.ª Edição. 2011

•

COSTA ANDRADE, Manuel – “Sobre as Proibições de Prova em Processo Penal”, Coimbra Editora, 1992.

•

DAHLLOF, Staffan – “New Data Rules will colide with Fundamental Rights, Commission admits” in Europe Wobbing, 26 de janeiro 2013, disponível em [2014-01-11]

59

•

DHIMAN Chattopadhyayr, Dhiman; Dasgupta, Ranjan; Banerjee, Rohan; Chakraborty, Ankur – “Event Driven Video Surveillance System using City Cloud A solution compliant with

Sensor

Web

Enablement

Architecture”,

2013,

disponível

em

[2014-01-11] •

FERENBOK, Joseph e CLEMENT, Andrew – “Hidden Changes from CCTV to “Smart” vídeo surveillance” em A. Doyle, R. Lippert & D. Lyon (Eds.), Eyes Everywhere: The Global Growth of Camera Surveillance – Devon Willan Publishing, disponível em [2014-01-11]

•

FERNANDES, Rosa, “A inviolabilidade do domicílio” – Relatório apresentado no âmbito do Curso de Mestrado da Universidade Católica Portuguesa, 2004, disponível em [2014-01-10]

•

FESTAS, David – “Do Conteúdo Patrimonial do Direito à Imagem”. Coimbra: Coimbra Editora, 2009

•

FOUCAULT, Michel – “Surveiller et Punir” – Paris: Gallimard, 1975

•

GALVAÑ BARCELÓ, Juan C. – “LOPD y Videovigilancia: Puedo Instalar Cámaras o No?” – 18 dezembro 2010, disponível em [2014-01-13]

•

GARCIA MARQUES e LOURENÇO MARTINS – “Direito da Informática” – Coimbra: 2.ª Edição, Edições Almedina S.A., 2006

•

GRIMMELMANN, James – “Saving Facebook” - Iowa Law Review, 2009. Disponível em [2014-01-13]

•

GRUPO de TRABALHO do ARTIGO 29.º (a)

Parecer 2/2012 de 22/03/2012 do GT do Art. 29.º sobre o reconhecimento facial nos serviços em linha e móveis disponível em http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinionrecommendation/files/2012/wp192_pt.pdf [2014-01-10];

(b)

Parecer 3/2012 de 27 de Abril do Grupo de Trabalho do Art. 29.º sobre a evolução das tecnologias biométricas, p. 24, disponível em http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinionrecommendation/files/2012/wp193_pt.pdf [2014-01-10];

60

O âmbito de aplicação da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular: os casos especiais das redes sociais e da videovigilância

(c)

Parecer 4/2007 de 20 de Junho do Grupo de Trabalho do Artigo 29.º sobre o conceito

de

dados

pessoais

disponível

em

“http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_pt.pdf [2014-01-10]; e (d)

Parecer 5/2009, do GT do Art. 29.º sobre “online social networking” adotada em junho

2009,

p.

8,

disponível

em

[2014-01-11]. •

GUERRERO PICÓ, Maria del Carmen – “El Derecho Fundamental a la Protección de los Datos de Carácter Personal en la Constitución Europea” – Universidad de Granada, 2012 disponível em [2014-01-13]

•

GUTWITRH, Serge – “Privacy and the Information Age” – Lanham: Rowman & Littlefield, 2002, p. 89.

•

GUTWIRTH, Serge e GELLERT, Raphael - "Beyond accountability, the return to privacy?" - Managing Privacy Through Accountability. Ed. Daniel Guagnin, Leon Hempel, Carla Ilten, Carla, Inga Kroener, Daniel Neyland, Hector Postigo. Palgrave Macmillan,

2012.

261-283,

p

5.

Disponível

em

[2014-01-13] •

HUBMANN, Heinrich, Personlichkeitsrecht, 1.ª Edição,1953.

•

Infopédia.

Porto:

Porto

Editora,

2013.

[2013-10-10] •

JESUS, Inês O. A. - “O Novo Regime Jurídico de Protecção de Dados Pessoais na Europa” - Dez. 2012, disponível em [2014-01-11]

•

KANT, Immanuel – Grundlegung zur Metaphysik der Sitten (1785) em Kant’s gesammelte Schriften cit IV, 1903

•

KRAVETS, David - “Report: U.S. Surveillance Society Running Rampant” - in Wired, 01.12.09 [2014-0111]

•

LANGENBUCHER, Katja C. – “Argument by Analogy in European Law” - Cambridge Law

Journal,

1998,

disponível

em

[2014-01-13]

61

•

LIPTON, Jacqueline D., em – “Digital Multi-Media and the Limits of Privacy Law” Case Western Reserve Journal of International Law, Forthcoming; 2010, disponível em