O novo Regulamento Geral sobre proteção de dados pessoais da União Europeia

Recife, 22 e 23 de setembro de 2016

O novo Regulamento Geral sobre proteção de dados pessoais da União Europeia Manuel David Masseno 1

O novo Regulamento Geral…

A – Um Ponto de Chegada 

no dia 4 de maio último, foi publicado o Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), bem como 

a Diretiva 2016/680 do Parlamento Europeu e do Conselho, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados 2

O novo Regulamento Geral… 



um processo formalmente iniciado, em 25 de janeiro de 2012, com a apresentação das Propostas da Comissão, embora a primeira Comunicação da Comissão date de dois anos antes (COM(2010) 609 final) antes e com efeitos até 25 de maio de 2018, o microsistema está centrado na Diretiva 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados 

a Decisão-Quadro 2008/977/JAI, do Conselho, de 27 de novembro de 2008, relativa à proteção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal 3

O novo Regulamento Geral…

1 – Os Fundamentos 



as raízes, a Convenção do Conselho da Europa para a Proteção dos Indivíduos face ao Tratamento Automático de Dados Pessoais Convenção 108, de 28 de janeiro de 1981 a ratio, explícita, impedir que a diversidade de disciplinas nacionais comprometesse a concretização do Mercado Interno, daí a sua base habilitante (Art.º 100º A do Tratado que institui a Comunidade Europeia): 

“Os Estados-membros não podem restringir ou proibir a livre circulação de dados pessoais entre Estadosmembros por razões relativas à protecção assegurada por força do n.º 1.” (Art.º 1.º n.º 2 da Diretiva de 1995) 4

O novo Regulamento Geral… 

com o Tratado de Lisboa (2007 - 2009) temos uma nova Revolução Coperniciana, aprofundando Maastricht: 





antes de todo, os Direitos Fundamentais passaram a estar no centro da Integração Europeia, deslocando os objetivos económicos (Art.ºs 2.º, 6.º e… 7.º do TUE - Tratado da União Europeia) 100º A adicionalmente, a Carta dos Direitos Fundamentais da União Europeia, proclamada a 7 de dezembro de 2000, foi recebida com o mesmo valor formal que o TUE e o TFUE – Tratado sobre o Funcionamento da União Europeia (Art.º 6.º n.º 1)

especificamente, a Proteção de Dados Pessoais, enquanto Direito à Autodeterminação Informacional, foi constitucionalizada 5

O novo Regulamento Geral… 

assim, no TFUE:  “1. Todas as pessoas têm direito à proteção dos dados de carácter pessoal que lhes digam respeito. 2. O Parlamento Europeu e o Conselho, deliberando de acordo com o processo legislativo ordinário, estabelecem as normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos e organismos da União, bem como pelos Estados-Membros no exercício de atividades relativas à aplicação do direito da União, e à livre circulação desses dados. A observância dessas normas fica sujeita ao controlo de autoridades independentes.” (Art.º 16.º) 6

O novo Regulamento Geral… 

na Carta:  “1. Todas as pessoas têm direito à proteção dos dados de carácter pessoal que lhes digam respeito. 2. Esses dados devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respetiva retificação. 3. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade independente.” (Art.º 8.º)

7

O novo Regulamento Geral…

2 – A Jurisprudência do Tribunal de Justiça 





sublinhar, sempre, a centralidade do TJUE – Tribunal de Justiça da União Europeia, em todo o Processo de Integração, com os Princípios do Ordenamento da UE a terem sido identificados/criados por aquele o TJUE interveio na matéria, sobretudo, através do reenvio prejudicial (Art.º 267.º do TFUE) e de recursos de anulação de atos das Instituições (Art.º 263.º, também do TFUE) como sempre, com uma orientação finalística, a de consolidar o Ordenamento da União, inclusive nas relações deste com os dos Estados-membros 8

O novo Regulamento Geral… 

cumpre distinguir duas fases, a anterior e a posterior a Lisboa: 

a primeira, enunciativa do sentido da Diretiva de 95: 









o Acórdão de 6 de novembro de 2003, Processo C101/01, Lindqvist o Acórdão de 29 de janeiro de 2008, Processo C275/06, Productores de Música de España (Promusicae) c. Telefónica de España SAL o Acórdão de 16 de dezembro de 2008, Processo C73/07, Tietosuojavaltuutettu c. Satakunnan Markkinapörssi Oy e Satamedia o Acórdão de 9 de novembro de 2010, Processos apensos C-92/09 e C-93/09, Schecke & Eifert c. Land Hessen e, relativamente a Portugal, o Acórdão de 30 de maio de 2013, Processo C-342/12, Worten c. Autoridade para as Condições de Trabalho 9

O novo Regulamento Geral… 

a segunda, incorporando as consequências da constitucionalização da Carta: 







o Acórdão de 8 de Abril de 2014, Processos Apensos C-293/12 e C-594/12, Digital Rights Ireland Ltd c. Minister for Communications, Marine and Natural Resources e outros & Kärntner Landesregierung e outros o Acórdão de 13 de maio de 2014, Processo C131/12, Google Spain SL e Google Inc. c. Agencia Española de Protección de Datos (AEPD) e Mario Costeja o Acórdão de 1 de outubro de 2015, Processo C230/14, Weltimmo s. r. o. c. Nemzeti Adatvédelmi és Információszabadság Hatóság e ainda o Acórdão de 6 de outubro de 2015, Processo C362/14, Maximillian Schrems c. Data Protection Commissioner 10

O novo Regulamento Geral…

B – Os Tópicos Fundamentais 1 – um Regulamento, já não uma Diretiva 

possivelmente, a principal mudança, deixando de existir 28 regimes harmonizados, para haver um único instrumento (Art.º 288.º §§ 2 e 3 do TFUE) 







ainda que com margens para derrogação por parte dos Estados-membros exigiu o dito procedimento de cooperação e coerência, entre as Autoridades nacionais (Art.ºs 62 a 67.º)

resposta à Globalização, sobretudo face aos EUA e suas empresas, evitar ao máximo o ‘forum shopping’ resulta do reconhecimento da Proteção de Dados como uma matéria ao nível da União, depois do Tratado de Lisboa 11

O novo Regulamento Geral…

2 – o âmbito de aplicação territorial 



também resposta às Empresas Globais da Internet, que procuram sempre aproveitar a falta de regras comuns entre os países assim, o Regulamento aplica-se (Art.º 3.º): 



aos tratamentos de dados feitos fora do território dos Estados-membros da UE, por responsáveis pelo tratamento ou sub-contratantes com estabelecimentos nestes (‘Cloud’… ou África) (n.º 1) aos tratamentos de dados de residentes na UE, por responsáveis pelo tratamento ou sub-contratantes sem estabelecimentos na UE, se estes forem destinatários de ofertas de bens e serviços, mesmo sem pagamento direto, ou se existir controle de seu comportamento, desde que na EU (‘Big Data’) (n.º 2, a) e b) 12

O novo Regulamento Geral…

3 – os dados pessoais e os dados sensíveis 

a distinção é mantida e é aprofundada: 



“«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.” (Art.º 4.º 1) “É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.” (Art.º 9.º n.º 1) 13

O novo Regulamento Geral…

4 – a privacidade desde a conceção 

“Tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados.” (Art.º 25.º n.º 1) 14

O novo Regulamento Geral…

5 – as PET - tecnologias de reforço da privacidade (Art.ºs ) 

“«Pseudonimização», o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável” (Art.º 4.º 5)



a pseudonimização e a encriptação são indicadas como alternativas para a redução de riscos, no dados recolhidos sem consentimento prévio do titular / OSINT (Art.º 6.º n.º 4 e) e para fins de segurança (Art.ºs 32.º n.º 1 a) e 34.º n.º 3 a)



porque não, de modo generalizado, apesar dos custos? 15

O novo Regulamento Geral…

6 – os Princípios do Tratamento dos Dados 

são explicitados e identificados (Art.º 5.º n.º 1):    

 



“licitude, lealdade e transparência” (a) “limitação das finalidades” (b) “minimização dos dados” (c) “exatidão” (d) “limitação da conservação” (e) “integridade e confidencialidade” (f)

não são só linhas orientadoras, pela sua positivização reforçada, articulando-se com as condições de licitude do tratamento (Art.º 6.º)

16

O novo Regulamento Geral…

7 – o consentimento dos titulares dos dados 

nova formulação: 





“«Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento” (Art.º 4.º 11)

continua como a regra para o tratamento lícito de dados pessoais (Art.º 6.º n.º 1 a) porque não foi o Regulamento mais longe, com regras comuns obrigatórias? 



no mundo da Internet da Coisas, das Redes Sociais e dos Apps, o consentimento é ilusório… necessário manter firme o Princípio da autodeterminação informacional 17

O novo Regulamento Geral…

8 – o direito ao esquecimento  

matéria para amanhã… em síntese extrema, se estabelecem critérios de decisão no que se refere ao objetivo de uma articulação entre os Direitos Fundamentais à Autodeterminação Informacional e à Liberdade de Informação, esta também inerente a uma Sociedade Democrática 

Estabelecendo ainda que “Os Estados-Membros conciliam por lei o direito à proteção de dados pessoais nos termos do presente regulamento com o direito à liberdade de expressão e de informação, incluindo o tratamento para fins jornalísticos e para fins de expressão académica, artística ou literária.” (Art.º 85.º n.º 1) 18

O novo Regulamento Geral…

9 – o direito à portabilidade dos dados 







um menos relativamente ao ‘direito ao esquecimento’, embora implicando a eliminação dos dados detidos pela empresa deixada (Art.º 20.º), sendo ainda um corolário da limitação do tratamento (Art.º 18.º) em especial, relevante para os ecosistemas criados pelas Grandes Empresas da Internet, a GAMFA (Google, Apple, Microsoft, Facebook) mais do que a promover a concorrência, destina-se a eliminar barreiras à entrada em cada um dos mercados relevantes, designadamente no que se refere às redes sociais e à ‘Cloud’ embora com problemas práticos devido à falta de interoperabilidade tecnológica, cuja exigência será um próximo passo na regulação europeia 19

O novo Regulamento Geral…

10 – a definição e os efeitos de perfis 

entendida como: 



“«Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações” (Art.º 4.º 4)

no domínio das Analíticas, até preditivas: 

“O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar” (Art.º 22.º n.º 1), embora com derrogações... 20

O novo Regulamento Geral…

11 – as Sanções 



ao optar por um Regulamento, a Comissão europeia renunciou introduzir sanções penais neste domínio (Art.º 83.º n.º 1 do TFUE), embora os Estados-membros as possam manter ou criar (Art.º 84.º n.º 1) mas… foram criadas sanções pecuniárias administrativas, inspiradas pela regras em matéria de Direito da Concorrência, aplicadas pelos EstadosMembros, que podem ir “até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado”… (Art.º 83.º n.º 5) 21