ricardo meneses nogueira urjais gomes
Post on 17-Jan-2022
2 Views
Preview:
TRANSCRIPT
Ricardo Meneses Nogueira Urjais Gomes
Impacto do R.G.P.D. nos Sistemas de
Informação de Organizações do Sector da
Economia Social
Projeto de Dissertação
Mestrado em Sistemas de Informação
Trabalho efetuado sob a orientação de
Professor Filipe de Sá-Soares
Professor Francisco Andrade
Janeiro de 2018
RESUMO
A entrada em vigor do novo Regulamento Europeu de Proteção de Dados (RGPD) vem marcar
um novo paradigma no que respeita à proteção de dados pessoais na Europa. Este novo
Regulamento transporta algumas diferenças face à regulamentação existente, como o
estabelecimento de princípios de privacy-by-design, o fortalecimento das obrigações dos
responsáveis pelo tratamento para com as autoridades de controlo, o reforço da transparência
desse mesmo tratamento e, por fim, a possibilidade de cobrança de coimas em valores sem
precedentes na Europa para as violações de dados pessoais. Não só as organizações que
susbsistem do mercado da venda e aquisição dos dados pessoais estão na obrigação de ser
conformes o RGDP, mas todas aquelas que lidem, dentro de certas condições, com dados
pessoais. Dentro deste grande grupo, encontram-se as organizações da economia social. O
sector da economia social em Portugal abrange entidades como Misericórdias, Fundações,
Cooperativas, Mutualistas e outros. A economia social actua em muitas atividades, de entre as
quais a ação social é aquela que a população em geral reconhece como mais valiosa e de maior
importância, por atuar na protecção dos excluídos, frágeis e desacompanhados.
Tendo em conta o novo RGPD e a atividade das entidades da economia social, surge a questão
de qual terá de ser a preparação destas organizações para atingirem a conformidade com as
novas regras de proteção de dados, sabendo que muitas das suas actividades se relacionam com
indivíduos desprotegidos e desorientados, o que eleva as responsabilidades dessas organizações
quanto à preservação dos dados dessas pessoas.
O presente trabalho visa perceber os processos organizacionais das entidades da economia
social e em que fases deste processo é que existe tratamento de dados pessoais, levantar as
principais provisões do RGPD que possam afectar os processos de negócio e actividades das
instituições da economia social e, por fim, avaliar os actuais procedimentos destas instituições,
perceber se estão em concordância com o RGPD e indicar recomendações de atuação que as
coloquem no patamar de cumprimento com o RGPD. O método de investigação será um estudo
de caso e os dados para investigação serão obtidos a partir de entrevistas e recolha de
documentos. A recomendação de medidas que ajudem as organizações da economia social a
serem conformes ao RGPD poderá ajudar outras organizações que actuem no mesmo sector de
atividade a alcançarem a conformidade com o Regulamento e, eventualmente, criar um
benchmark de provisões para organizações que actuem no mesmo sector.
ABSTRACT
The implementation of the new General Data Protection Regulation (GDPR) comes to set a
new paradigm regarding the protection of personal data in Europe. This new regulation carries
significant differences in relation to the existing regulation, such as the establishment of
privacy-by-design principles, the strengthening of obligations from data controlers to the data
protection authorities, the reinforcement of the treatment’s transparency, and finnaly, the
possibility of imposing fines with unprecedent values in Europe for data breaches events. Not
only the organizations which subsist on the market of sale and acquisition of personal data are
requied to comply with GDPR, but all those which, in certain conditions, deal with personal
data. Amoung this great group are social economy organizations. The social economy sector,
in Portugal, covers entities such as Misericórdias, Foundtions, Cooperatives, Mutualists, and
others. The social economy acts in many activities, among which social action is the one which
population generally recognizes as more valuable and of greater importance, for acting in the
protection of those excluded, fragile and unaccompanied.
Considering the new GDPR and the activities performed by social economy organizations, the
question arises as to how these organization should get prepared to comply with new data
protection rules, knowing that many of their activities relate to individuals who are unprotected
and disoriented, which increases the organizations responsibility for the preservation of these
people’s data.
This study aims to understand the organizational processes of social economy entities and in
which of these processes phases is the processing of personal data, gather the main provisions
from the GDPR that may affect the organizational processes and activities of social economy
organizations, and, at last, to evaluate the current procedures of these organizations, to
understand if they are in agreement with the GDPR and to indicate possible recommendations
of actions that makes them GDPR compliant. The research method will be a case study and the
data from research will be obtained from interviews and collection of documents. The
recommendation for measures to assist social economy organizations in complying with the
RGPD could help other organizations operating in the same sector of activity to achieve
compliance with the Regulation and possibly establish a benchmark of provisions for
organizations operating in the same sector.
ÍNDICE
Resumo ....................................................................................................................................... iii
Abstract .......................................................................................................................................v
Lista de Figuras .......................................................................................................................... xi
Lista de Tabelas........................................................................................................................ xiii
Lista de Abreviaturas, Siglas e Acrónimos ............................................................................... xv
1. Introdução ......................................................................................................................... 17
1.1. Contextualização ....................................................................................................... 17
1.2. Objetivos da Investigação.......................................................................................... 18
1.3. Abordagem de Investigação ...................................................................................... 19
1.4. Organização do Documento ...................................................................................... 19
2. Proteção da Privacidade e Dados Pessoais e Desafios Tecnológicos Existentes .............. 20
2.1. Introdução .................................................................................................................. 20
2.2. Privacidade e Dados Pessoais.................................................................................... 20
2.2.1. A Proteção de Dados na Europa no Pós-Guerra ............................................ 22
2.2.2. A Diretiva 95/46/CE....................................................................................... 23
2.2.3. e-Privacy 2002 e 2009 .................................................................................... 26
2.2.4. História da Proteção de Dados em Portugal – da Constituição à atualidade.. 29
2.2.5. A Interpretação de Dados Pessoais para o WP29 .......................................... 31
2.3. Novos Desafios para a Proteção de Dados ................................................................ 33
2.3.1. Redes Sociais.................................................................................................. 34
2.3.2. Cloud Computing ........................................................................................... 36
2.3.3. Marketing Comportamental ........................................................................... 38
2.3.4. Big Data.......................................................................................................... 39
2.3.4.1. SmartTVs ....................................................................................................... 42
2.3.4.2. Aplicações para Smartphone .......................................................................... 43
2.3.5. Inteligência Artificial ..................................................................................... 46
2.3.6. Drones ............................................................................................................ 47
2.4. RGPD ........................................................................................................................ 48
2.4.1. Alterações Introduzidas pelo RGPD face à Diretiva 95/46/CE ..................... 50
2.4.1.1. Âmbito de Aplicação...................................................................................... 50
2.4.1.2. Definições....................................................................................................... 51
2.4.1.3. Princípios Relativos ao Tratamento de Dados Pessoais................................. 52
2.4.1.4. Obrigações Gerais para o Tratamento ............................................................ 55
2.4.1.5. Transferências de Dados Pessoais para Países Terceiros ............................... 56
2.4.1.6. Códigos de Conduta e Certificação ................................................................ 57
2.4.1.7. Autoridade de Controlo .................................................................................. 57
2.4.1.8. Comité Europeu para a Proteção de Dados .................................................... 59
2.4.1.9. Vias de Recurso, Responsabilidades e Sanções ............................................. 59
2.4.1.10. Disposições relativas a Situações Específicas de Tratamento ....................... 60
2.4.1.11. Conclusão ....................................................................................................... 61
2.4.2. Inovações do RGPD face à Diretiva 95/46/CE .............................................. 61
2.4.2.1. Definições....................................................................................................... 62
2.4.2.2. Princípios........................................................................................................ 62
2.4.2.3. Novos Direitos dos Titulares dos Dados ........................................................ 63
2.4.2.4. Segurança e Notificações ............................................................................... 64
2.4.2.5. Avaliações de Impacto do Tratamento dos Dados ......................................... 67
2.4.2.6. Encarregado de Proteção de Dados ................................................................ 68
2.4.2.7. Códigos de Conduta e Certificação ................................................................ 70
2.4.2.8. Transferências de Dados Pessoais para Países Terceiros ............................... 71
2.4.2.9. Entrada em Vigor e Revogação...................................................................... 72
2.4.3. Conclusão ....................................................................................................... 73
3. Economia Social ............................................................................................................... 75
3.1. Introdução .................................................................................................................. 75
3.2. A Evolução da Economia Social ............................................................................... 75
3.3. Economia Social, Terceiro Sector e Economia Solidária.......................................... 80
3.4. O Mercado da Economia Social em Portugal............................................................ 82
3.4.1. Contribuição da Economia Social para o País e Necessidades de Financiamento
82
3.4.2. Peso e Contribuição dos Tipos de Entidade para a Economia Social ............ 85
3.4.3. Razões para a Falta de Financiamento em Portugal....................................... 89
3.5. Respostas Sociais em Portugal .................................................................................. 90
3.6. Conclusão .................................................................................................................. 92
Referências ............................................................................................................................... 94
LISTA DE FIGURAS
Figura 1 - Entidades da Economia Social, por Atividade (CASES e I.N.E. [2013]) ............... 84
Figura 2 - Emprego Remunerado na Economia Social (CASES e I.N.E. [2013]) .................. 84
Figura 3 - Recursos, Despesas e Necessidade Líquida de Financiamento da Economia Social (
CASES e I.N.E. [2013]) ........................................................................................................... 85
Figura 4 - Associações e Outras OES, por Atividade (CASES e I.N.E.[ 2013]) ..................... 86
Figura 5 - Representação do Mercado da Economia Social em Portugal (Quintão [2011]) .... 88
LISTA DE TABELAS
Tabela 1 - Principais indicadores por grupos de entidades da Economia Social (CASES e I.N.E.
[2013]) ...................................................................................................................................... 86
Tabela 2 - Peso das Contribuições para a Economia Social (Adaptado de Loureiro e Silva
[2017]) ...................................................................................................................................... 88
Tabela 3 - Grupos de Intervenção e Respostas Sociais ............................................................ 91
LISTA DE ABREVIATURAS, SIGLAS E ACRÓNIMOS
ANIMAR Associação Portuguesa para o Desenvolvimento Local
CASES Cooperativa António Sérgio para a Economia Social
CASES Conta Satélite para a Economia Social (ver onde aparece primeiro)
CCTV Closed-Circuit Television
CDE Conselho da Europa
CE Conselho Europeu
CEDH Convenção Europeia dos Direitos Humanos
CEE Comunidade Económica Europeia
CERCI Cooperativas de Educação e Reabilitação de Cidadãos com Incapacidades
CIRIEC Centre International de Recherches et d'Information sur l'Economie
Publique, Sociale et Coopérative
COE Council of Europe (Conselho da Europa)
CONFECOOP Confederação Cooperativa Portuguesa
CONFRAGI Confederação Nacional das Cooperativas Agrícolas
CNES Conselho Nacional para a Economia Social
CNIS Confederação Nacional das Instituições de Solidariedade
CNPD Comissão Nacional de Proteção de Dados
CNPDPI Comissão Nacional de Proteção de Dados Pessoais Informatizados
CPCCRD Confederação Portuguesa das Colectividades de Cultura, recreio e Desporto
CPIRAPPD Convention for the Protection of Individuals with Regard to Automatic
Processing of Personal Data
DPO Data Protection Officer (Encarregado de Proteção de Dados)
DUDH Declaração Universal dos Direitos do Homem
EDPS European Data Protection Supervisor
F3M F3M Information Systems
IoT Internet of Things
INE Instituto Nacional de Estatística
INSCOOP Instituto António Sérgio para o Sector Cooperativo
IPQ Instituto Português da Qualidade
IPSS Instituições Particulares de Solidariedade Social
IVA Imposto de Valor Acrescentado
NSA National Security Agency
OES Organizações da economia social
ONGA Organizações não-governamentais para o ambiente
ONGD Organizações não-governamentais para o desenvolvimento
ONU Organização das Nações Unidas
RFID Radio-Frequency Identification
RGPD Regulamento Geral de Proteção de Dados
SIDA Síndrome de Imunodeficiência Adquirida
SNS Serviço Nacional de Saúde
TFUE Tratado sobre o Funcionamento da União Europeia
UE União Europeia
UMP União das Misericórdias Portuguesas –procurar primeira apariçao
VAB Valor Acrescentado Bruto
VIH Vírus de Imunodeficiência Humana
WP29 Working Party do 29º artigo da Diretiva 95/46/CE
17
1. INTRODUÇÃO
1.1. Contextualização
A privacidade e a proteção de dados pessoais são uma preocupação permanente dos regimes
democráticos. A privacidade de cada um está prevista por lei e faz parte da fundação da
Organização das Nações Unidas(ONU). A constante evolução tecnológica, e o facto de que a
legislação normalmente é subsequente a estas evoluções, torna a privacidade e proteção de
dados pessoais uma preocupação incessante, para a qual não existem soluções definitivas e
irreversíveis.
Na era atual, onde os dados pessoais dos cidadãos fomentam novos mercados, é importante que
os legisladores, por um lado, mantenham o primado da integridade e protecção dos cidadãos
inviolável, nomeadamente no que concerne aos seus dados pessoais, e por outro, que não inibam
o desenvolvimento tecnológico.
A fundação da Comunidade Económica Europeia e a regulamentação europeia, através de
Diretivas comunitárias desencadeou uma série de iniciativas que colocaram os países europeus
alinhados quanto a objetivos comuns. No âmbito da proteção dos dados pessoais, o primeiro
grande feito foi a Diretiva 95/46/CE que veio estabelecer os princípios da proteção de dados,
alguns deles vigorando ainda hoje. No entanto, com o surgimento posterior do mercado digita l,
os dados pessoais passaram a ser informação muito valiosa para as organizações que os detêm,
tornando-se então necessário proteger os cidadãos de eventuais atropelos às suas liberdades e
direitos fundamentais. O RGDP vem atualizar a Diretiva 95/46/CE, por forma a tornar o quadro
de protecção de dados sólido e mais coerente na União Europeia [Parlamento Europeu e
Conselho da União Europeia 2016]. Este novo regulamento entrará em vigor a 25 de maio de
2018.
Apesar deste Regulamento visar no seu considerando 7 a economia digital na Europa, todas as
organizações que processem dados estarão sob obrigação de o cumprir. E não só as
organizações que operam no mercado digital processam dados. As organizações da economia
social lidam com muitos dados pessoais, alguns deles bastante mais sensíveis do que aqueles
tratados por outras organizações. Ao desenvolverem atividade em muitas áreas, e muitas delas
ligadas com cultos e congregações ou ação social, as organizações da economia social lidam
com aspectos muito íntimos da vida das pessoas e deverão atualizar-se, se necessário, para
18
conseguirem cumprir com o RGDP, sem deixarem de ser efetivas nas atividades que
desempenham.
Importa, assim, perceber como é que as organizações do terceiro sector se deverão preparar
para alterarem, se necessário, os seus processos organizacionais, para se encontrarem em
conformidade com o RGPD.
Para conseguir estudar as organizações da economia social é necessário chegar até elas e
estabelecer parcerias para que seja possível conhecer as suas estruturas e processos. Esta
intermediação é concretizada pela empresa F3M, SA. Esta, é líder destacada em Portugal no
fornecimento de software para a área da economia social, tendo uma base de 3000 instituições
clientes, estando também dotada de serviços de consultoria. É no âmbito da prestação de um
serviço em RGDP aos seus clientes da economia social que surge este trabalho.
1.2. Objetivos da Investigação
A finalidade deste estudo é responder à questão “Como é que as organizações do sector da
economia social se devem preparar para o cumprimento do RGPD?”. Para tal, o primeiro
objetivo a atingir será a construção de uma base teórica sólida, tanto no âmbito da privacidade
e protecção de dados pessoais, englobando o RGPD, e a economia social em Portugal. Este
conhecimento transversal e de suporte é importante pois é o que permite o enquadramento
teórico e normativo para o cumprimento dos objetivos seguintes.
O segundo objetivo será conseguir elencar quais os processos organizacionais das entidades da
economia social que lidam com tratamento de dados. Para atingir este objetivo será
necessárioselecionar uma tipologia de organizção da economia social, seja uma IPSS, uma
Misericórdia ou qualquer outra entidade descrita na Lei de Bases da Economia Social e
descrever os seus processos selecionando aqueles que digam respeito ao tratamento de dados
pessoais. Neste ponto poderão ser abordadas diversas clientes da F3M que lidem com diferentes
informações pessoais. Por exemplo, os dados necessários a recolher e tratar para receber uma
criança numa creche serão diferentes daqueles necessários para admitir um idoso num lar ou
para acompanhar pessoas toxicodependentes. Após esta coleção, e mediante o esforço que tal
venha a envolver, serão selecionadas todas ou algumas entidades da economia social que sejam
clientes da F3M.
O terceiro objetivo será, para as entidades selecionadas no objetivo anterior, obter uma
tipificação das principais provisões do RGPD para os processos organizacionais. Após o
19
levantamento dos processos de negócio ser efetuado, com o destaque dado às operações sobre
dados pessoais (recolha, consulta, arquivamento, cedência, etc.), serão levantadas as principa is
provisões do RGPD que irão incidir sobre esses mesmos dados e processos.
Por fim, após conhecer os processos organizacionais e saber quais as provisões levantadas pelo
RGPD nos mesmos, poder-se-á abordar o objetivo final, que é elencar soluções diversas
(organizacionais, contratuais, regulamentares e outras) que respondam às deficiências que
eventualmente se encontrem nos processos de negócio das organizações da economia social e
permitam, em tempo útil, que as organizações se atualizem e entrem em conformidade com o
RGPD.
1.3. Abordagem de Investigação
Por forma a dar resposta à questão de investigação {julgo que deverá ser só uma questão – a de
investigação} e ao cumprimento dos objectivos {não se dá resposta a objectivos – cumprem-se
ou atingem-se} formulados no ponto anterior, é necessário selecionar uma abordagem de
investigação. Dado que a realização desta dissertação ocorre em parceira com a F3M, S.A. e
surge para dar resposta às necessidades específicas desta empresa e dos clientes para com o
RGPD, a metodologia de investigação seguirá uma abordagem qualitativa, particularizada num
estudo de caso.
A escolha por este método é justificada pela atualidade do fenómeno a investigar e pela natureza
das fontes a utilizar na sua compreensão, como entrevistas, observação e recolha de
documentação diversa que permita o estudo da problemática e a consequente elaboração de
soluções.
1.4. Organização do Documento
A organização do presente projeto de dissertação está estruturada da seguinte forma:
No primeiro capítulo é dado um enquadramento da temática a analisar, justificando a
pertinência da mesma como objecto de estudo, enumerando os objectivos que são propostos
cumprir e qual a método de investigação que lhe dará suporte.
No segundo capítulo encontra-se a descrição da temática da privacidade e da protecção dos
dados pessoais, dando-se ênfase particular aos primórdios legais da protecção de dados
pessoais, as tecnologias que espelham a preocupação crescente que a evolução tecnológica
20
coloca face à privacidade e à protecção de dados pessoais, e, por fim, introduz-se o RGPD,
tanto nos seus aspectos que já são herdados de leis anteriores, como nas novas provisões que
introduz.
No terceiro capítulo descreve-se o panorama da economia social em Portugal, abordando as
suas origens e a sua actualidade, focando também as respostas sociais que as instituições deste
setor que atuam na ação social oferecem.
No quarto capítulo é apresentado o método de investigação para fazer face ao problema em
estudo, sendo também apresentadas as técnicas que suportam a recolha de dados.
O quinto capítulo refere-se ao Plano de Trabalhos e ao enquadramento dos objetivos a atingir
na calendarização desta dissertação.
Por fim, as Referências encontram-se no sexto capítulo
2. PROTEÇÃO DA PRIVACIDADE E DADOS PESSOAIS E
DESAFIOS TECNOLÓGICOS EXISTENTES
2.1. Introdução
O respeito pela privacidade dos cidadãos encontra-se estabelecido praticamente desde a
fundação da ONU. Nos regimes democráticos, a privacidade dos cidadãos é tida como um
garante de liberdade, tomando parte importante dos Estados de direito. De um modo generalista,
poder-se-á dizer que a privacidade se refere a dar ao índividuo o podr discricionário sobre os
eventos da sua vida privada, delegando ou partilhando esse poder se quiser e até onde quiser.
A privacidade pode ter várias interpretações e o próprio conceito foi evoluindo. Uma dessas
evoluções refere-se à privacidade dos dados pessoais, que será o objecto de estudo do presente
capítulo. Neste capítulo são abordados os principais enquadramentos histórios e legais da
privacidade dos dados pessoais, em Portugal e na Europa, sendo ainda abordadas algumas
tecnologias com impactos na protecção dos dados pessoais e que contribuem para a sustentação
da necessidade de uma reformulação e atualização do quadro de protecção de dados na Europa
atualmente em vigor.
2.2. Privacidade e Dados Pessoais
21
O desenvolvimento tecnológico, económico e sócio-politico dos anos mais recentes estão a
esbater as fronteiras do espaço pessoal e a fomentar a recolha e análise automática de dados
pessoais, podendo ameaçar os direitos e liberdades fundamentais dos cidadãos [Rouvroy 2008].
Apesar deste tema ter mais ênfasenos anos mais recentes, especialmente após o escândalo das
revelações de vigilância global por parte da NSA em 2013, a privacidade das informações
pessoais é um dos direitos fundamentais dos cidadãos, presente na Declaração Universal dos
Direitos do Homem, no seu artigo n.º 12 [United Nation General Assembly 1948]. No entanto,
ainda antes do início do Século XX, foi documentado o primeiro conceito moderno de
privacidade. Brandeis [1890] traduziu no seu artigo “The Right to Privacy” a primeira
conceptualização moderna do direito à privacidade, advogando que a lei comum, conferindo o
direito aos cidadãos de divulgarem os seus pensamentos, sentimentos e emoções, materializa o
“right to be left alone”, em tradução livre, o direito a ser deixado em paz. A liberdade de
divulgação daquilo que é produção do indivíduo, seja uma carta, uma publicação ou uma
emoção, cabe apenas ao próprio indivíduo e nenhum outro o poderá fazer, sem o seu
consentimento. O autor refere ainda, mesmo divulgando informações da sua vida intima, o
direito comum confere ao indivíduo o controlo da publicidade dessas mesmas informações
[Brandeis 1890].O direito à privacidade é uma garantia de proteção dos valores fundamenta is
de uma sociedade democrática, uma vez que os cidadãos veem protegidos os seus direitos à
autodeterminação, à liberdade de escolha, orientação sexual, comportamento social, etc.
[Rouvroy 2008]. Deriva-se daqui que a privacidade pode ter vários universos de análise, como
o direito a ser deixado em paz [Brandeis 1890], o direito de controlar a própria vida ou o direito
à proteção dos dados pessoais de cada um [Rouvroy 2008].
Privacidade e dados pessoais são então dois conceitos muito próximos. A proteção de dados é,
simultaneamente, mais abrangente e mais específica do que o direito à privacidade [Friedewald
et al. 2010]. A abrangência da proteção de dados resulta não só da proteção da privacidade, mas
também da proteção conferida a outros interesses e direitos dos cidadãos, tais como, liberdade
de expressão, liberdade religiosa e outros [Friedewald et al. 2010]. Esta proteção de privacidade
pode dizer respeito, entre outros, à privacidade comunicacional, informacional, relacional e
emocional [Rouvroy 2008]. Por outro lado, a proteção de dados é mais específica uma vez que
é aplicada cada vez que são processados dados pessoais [Friedewald et al. 2010]. As regras
quanto à proteção de dados não são, por definição, proibitivas, mas sim, limitativas, uma vez
que estas regras servem para controlar o modo como os dados pessoais são processados, tendo
22
em conta a transparência do tratamento e a responsabilização (accountability)1 de quem trata
esses dados [Friedewald et al. 2010].
Torna-se, no entanto, necessário definir concisamente, o que são dados pessoais. Seguidamente,
será apresentada uma historização paralela entre o conceito de privacidade, e a regulamentação
que a marca, e a evolução da definição de dados pessoais.
2.2.1. A Proteção de Dados na Europa no Pós-Guerra
Em 1949, um ano após a apresentação da Declaração Universal dos Direitos do Homem
(DUDH), foi fundado o Conselho da Europa (COE). Este organismo,fundado por alguns dos
países que são atualmente parte da União Europeia (UE), ratificou a DUDH em 1953, criando
o seu próprio documento: a Convenção Europeia dos Direitos Humanos (CEDH) [Council of
Europe (COE) 1952]. No seu preâmbulo, o documento já se compromete a dar os primeiro s
passos para uma aplicação abrangente de alguns dos direitos mencionados na DUDH,
vinculando os países subscritores à Convenção. Neste documento, foi então estabelecido no seu
artigo 8º que (1) “ Qualquer pessoa tem direito ao respeito da sua vida privada e familiar, do
seu domicílio e da sua correspondência” e em (2) “Não pode haver ingerência da autoridade
pública no exercício deste direito senão quando esta ingerência estiver prevista na lei e
constituir uma providência que, numa sociedade democrática, seja necessária para a segurança
nacional, para a segurança pública, para o bem-estar económico do país, a defesa da ordem e a
prevenção das infracções penais, a protecção da saúde ou da moral, ou a protecção dos direitos
e das liberdades de terceiros.”Apesar de estar lançado o primeiro instrumento legal e
vinculativo na Europa no que concerne à proteção da privacidade dos cidadãos, também é
verdade que a evolução tecnológica foi avançando e os instrumentos de proteção de até então
tornaram-se obsoletos.
Em 1981 o Conselho Europeu, entretanto ampliado, publica a Convention for the Protection of
Individuals with regard to Automatic Processing of Personal Data (CPIRAPPD) [Council of
Europe (COE) 1981]. Da pesquisa efetuada, é neste documento que surge a primeira definição
explícita ao que podem ser considerados dados pessoais. De acordo com [Council of Europe
(COE) 1981] “dados pessoais” referem-se a qualquer informação relacionada com um
1 Accountability não tem tradução literária para a Língua Portuguesa. A utilização do radical “account” transporta
para significados como “ter em consideração”, “dar conta de”. No “English – Portuguese Cambridge Dictionary”,
accountability é traduzido como “responsabilidade”, “prestação de contas”.
23
indivíduo identificado ou identificável (titular dos dados) e “processamento automático” refere-
se às “seguintes operações se realizadas total ou parcialmente por meios automatizados :
armazenamento de dados, realização de operações lógicas e/ou aritméticas sobre esses dados,
sua alteração, apagamento, recuperação ou disseminação”. Neste documento, é também feita a
primeira referência ao que se irão classificar como categorias especiais de dados. Estes dados
pessoais “especiais” serão aqueles que divulguem informação do titular respeitando à sua
origem racial, opiniões politicas, crenças religiosas, dados sobre a saúde ou vida sexual. Neste
documento, o artigo 5º lança também fundações do que se revelarão as normas e leis de proteção
de dados pessoais. Sob esta convenção, os dados devem ser “obtidos e processados de forma
legal e justa”, “armazenados apenas para propósitos específicos e legítimos” limitando o abuso
dos mesmos, “serem adequados, relevantes e não excessivos em função do uso que lhes será
dado”, “corretos e atualizados” e “preservados de forma que permita a identificação das pessoas
em questão por um período não superior ao requerido para a finalidade para a qual esses dados
são armazenados”. São ainda apresentados os requisitos para permitir o acesso aos dados a
serem tratados (artigo 8º) entre outras regras de cooperação entre estados membro,
transferências de dados entre Estados-Membros, proibições, direitos e salvaguardas dos
titulares dos dados. Deve-se notar que, pelo COE não ter autoridade para criar leis vinculativas,
previu nesta convenção que os estados integrantes deveriam criar leis nacionais que refletissem
o transposto na convenção, tal como se pode observar no artigo 4º. Passados 20 anos, o COE
atualizou a CPIRAPPD com o Additional Protocol to the Convention for the Protection of
Individuals with regard to Automatic Processing of Personal Data regarding Supervisory
Authorities and Transborder Data Flows, do qual saíram as primeiras instruções para que os
estados integrantes criassem autoridades de proteção de dados independentes e com limitações
adicionais no que concerne à exportação de dados pessoais para estados não-membros do COE
[Council of Europe (COE) 2001]. Esta emenda à CPIRAPPD refletia, assim, a preocupação
crescente da altura, em relação ás transferências de dados pessoais.
Contudo, a primeira ferramenta moderna e de ampla adopção, no que concerne à privacidade e
proteção de dados pessoais na Europa foi a Diretiva 95/46/CE.
2.2.2. A Diretiva 95/46/CE
A assinatura do Tratado de Maastricht, em 1992, que fundou a União Europeia como é hoje
conhecida, previu logo no seu preâmbulo que a cooperação entre os Estados-Membros deveria
ultrapassar a mera cooperação económica que era a tónica até então, e focar-se também na
24
cooperação institucional e social [União Europeia 1992]. Consciente das diferenças entre os
Estados-Membros em relação aos seus níveis de proteção da privacidade e da superficialidade
das leis existentes até então [Banisar e Davies 1999], três anos depois a União Europeia aprova
a “Diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de Outubro de 1995 relativa
à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados”, onde refere expressamente no seu artigo 1º que “os Estados-Membros
assegurarão, em conformidade com a presente diretiva, a proteção das liberdades e dos direitos,
fundamentais das pessoas singulares, nomeadamente, do direito à vida privada, no que diz
respeito ao tratamento de dados pessoais” [Parlamento Europeu e Conselho Europeu 1995].
Nesta Diretiva tem-se pela primeira vez institucionalizada em larga escala europeia a definição
de dados pessoais e de tratamento de dados pessoas De acordo com o artigo 2º (Definições),
dados pessoais é “qualquer informação relativa a uma pessoa singular identificada ou
identificável («pessoa em causa»); é considerado identificável todo aquele que possa ser
identificado, direta ou indiretamente, nomeadamente por referência a um número de
identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica,
psíquica, económica, cultural ou social;” e tratamento de dados pessoais ou simplesmente
tratamento, refere-se a “qualquer operação ou conjunto de operações efetuadas sobre dados
pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização,
conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por
transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou
interconexão, bem como o bloqueio, apagamento ou destruição”. Ainda relacionado com os
dados pessoais, o considerando 26) refere “… que, para determinar se uma pessoa é
identificável, importa considerar o conjunto dos meios suscetíveis de serem razoavelmente
utilizados (…)”. Este considerando parece transparecer a preocupação do legislador em matéria
de evolução tecnológica. Tal como referido em [WP29 2007], os meios suscetíveis de serem
utilizados hoje, poderão não ser suficientes para identificar o titular dos dados, no entanto, se o
tratamento for previsto para 10 anos, ao nono ano já poderá haver tecnologia que permita a
identificação dos titulares. Nesta Diretiva encontra-se, assim, uma maior pormenorização do
que são dados pessoais e de tratamento de dados pessoais, em relação ao descrito na
CPIRAPPD.
Esta Diretiva vem ainda conceber uma série de princípios para o tratamento, direitos aos
titulares dos dados e impor obrigações aos tratadores que vieram alterar o paradigma do
tratamento de dados na Europa. Entre os direitos dos titulares dos dados podem-se elencar: o
25
direito de acesso, que determina que os titulares dos dados devem ter acesso aos seus dados que
estão a ser tratados, qual a finalidade do tratamento e qual a lógica inerente a esse tratamento ,
e se, caso o tratamento não cumprir as regras da Diretiva, os dados forem inexatos ou
incompletos, retificarem, apagarem ou bloquearem os dados (artigo 12º) e o direito de oposição
da pessoa em causa (artigo 14º) que refere que o titular dos dados se pode opor, em qualquer
momento, ao tratamento dos dados a si respeitantes, salvo disposição em contrário no direito
nacional, assim como o direito de se opor ao tratamento automatizado dos seus dados com vista
a avaliar determinados aspetos da sua personalidade (artigo 15º).
Entre as obrigações e princípios dos tratadores de dados, devem-se referir o princípio do
consentimento (artigo 7º), que determina que a legitimidade do tratamento apenas pode ser
obtida quando é dado consentimento do titular dos dados para esse mesmo tratamento, salvo
exceções de âmbito de autoridades públicas e outras; o princípio da qualidade dos dados (artigo
6º), que determina que os dados são recolhidos para finalidades determinadas, explícitos e
cingidos a essas mesmas finalidades, salvo exceções elencadas no documento e que os dados
são adequados, pertinentes e não excessivos face ao fim que se lhes dará, e que discrimina quais
as categorias específicas de dados que podem ter restrições várias ao tratamento, salvo
consentimento do titular dos mesmos (artigo 8º); o princípio da transparência para com o titula r
aquando da recolha dos dados pessoais (artigos 10º e 11º); a obrigação de confidencialidade e
segurança no tratamento (artigos 16º e 17º); a obrigação de notificação prévia à autoridade de
controlo do(s) processo(s) de tratamento(s) de dados pessoais, e as respetivas isenções
possíveis, de acordo com o artigo 18º.
A Diretiva refere também uma série de derrogações e restrições tanto a direitos dos cidadãos
como nas obrigações dos tratadores (artigo 13º), o âmbito dos recursos contenciosos (artigo
22º), a responsabilidade do tratador (artigo 23º) e as sanções previstas para violação das
disposições da Diretiva (artigo 24º). A Directiva 95/46/CE promove ainda o estabelecimento
de regras que medeiam as transferências de dados pessoais para tratamento em países terceiros
(artigo 25º), assim como as derrogações às mesmas (Artigo 26º). A criação de códigos de
conduta para diferentes associações e sectores empresariais e profissionais também é abordada,
nomeadamente no artigo 27º da Diretiva 95/46/CE. Além disso, a Diretiva 95/46/CE
implementa a obrigatoriedade da criação de uma autoridade de controlo como entidade
independente e fiscalizadora do zelo para com a Diretiva por parte dos tratadores de dados.
No seu artigo 29º a Diretiva 95/46/CE, prevê a criação de uma comissão independente
(futuramente denominada por Working Party 29, ou, Grupo de Trabalho do Artigo 29) que tem
26
como papel ser um órgão consultivo e de apoio independente à Comissão Europeia sobre
matérias que visem a Diretiva ou uma outra qualquer que vise a proteção de dados pessoais e é
composto por um representante da autoridade de controlo de cada Estado-Membro, por um
representante da autoridade criada para as instituições e organismos comunitários (o European
Data Protection Supervisor [EDPS]) e por um representante da Comissão Europeia. {esta
frase é muitíssimo longa – é preciso rever, reorganizando o material em várias frases}.
É possível verificar o acréscimo de alerta das instituições europeias desde a CPIRAPPD, em
1981 até à Diretiva 95/46, em termos de fluxos transfronteiriços dos dados, da própria
magnitude do tratamento dos dados, das tecnologias disponíveis e da própria noção daquilo que
são os dados estritamente respeitantes a cada um.
No entanto, dada a natureza do documento (uma Diretiva), era necessário que os Estados-
Membros aprovassem leis nacionais que visasseem alcançar os objetivos previstos na Diretiva,
dentro de um dado espaço temporal. Uma vez que o instrumento das Diretivas prevê o fim a
atingir pelos Estados-Membros, mas não os meios para o fazer, ainda persiste alguma falta de
harmonização das políticas dos Estados-Membros para fazerem vigorar a Diretiva 95/46 [Dix
2013], o que, além de outros fatores, motivará como se verá mais à frente, a adoção do novo
Regulamento Geral de Proteção de Dados.
2.2.3. e-Privacy 2002 e 2009
A Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho, relativa ao
tratamento de dados pessoais e à proteção da privacidade no sector das comunicações
eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas), mais conhecida
como e-Privacy Directive foi aprovada sete anos após a Diretiva 95/46 e vem completar a
precedente Diretiva Europeia 97/66/CE, que dizia respeito sobretudo à oferta de serviços de
telecomunicações [Parlamento Europeu e Conselho Europeu 1997], sem, no entanto, a
emendar.
A Diretiva 2002/58/CE é direcionada ao “tratamento de dados pessoais no contexto da
prestação de serviços de comunicações eletrónicas publicamente disponíveis nas redes públicas
de comunicações da Comunidade” [Parlamento Europeu e Conselho Europeu 2002]. Tal como
descrito nos pontos 1 e 2 do seu artigo 1º: “ A presente diretiva harmoniza as disposições dos
Estados-Membros necessárias para garantir um nível equivalente de proteção dos direitos e
liberdades fundamentais, nomeadamente o direito à privacidade, no que respeita ao tratamento
27
de dados pessoais no sector das comunicações eletrónicas, e para garantir a livre circulação
desses dados e de equipamentos e serviços de comunicações eletrónicas na Comunidade.” e
“Para efeitos do n.º 1, as disposições da presente diretiva especificam e complementam a
Diretiva 95/46/CE. Além disso, estas disposições asseguram a proteção dos legítimos interesses
dos assinantes que são pessoas coletivas.” [Parlamento Europeu e Conselho Europeu 2002].
Deverá ser prestada particular atenção ao ponto 3 do artigo 5º desta Diretiva. Pode-se ler no
referido ponto que “os Estados-Membros velarão por que a utilização de redes de comunicações
eletrónicas para a armazenagem de informações ou para obter acesso à informação armazenada
no equipamento terminal de um assinante ou utilizador só seja permitida na condição de serem
fornecidas ao assinante ou ao utilizador em causa informações claras e completas,
nomeadamente sobre os objetivos do processamento, em conformidade com a Diretiva
95/46/CE, e de lhe ter sido dado, pelo controlador dos dados, o direito de recusar esse
processamento. Tal não impedirá qualquer armazenamento técnico ou acesso que tenham como
finalidade exclusiva efetuar ou facilitar a transmissão de uma comunicação através de uma rede
de comunicações eletrónicas, ou que sejam estritamente necessários para fornecer um serviço
no âmbito da sociedade de informação que tenha sido explicitamente solicitado pelo assinante
ou pelo utilizador”. A interpretação deste ponto do artigo 5º remete para o uso dos
identificadores de conexão, mais conhecidos por cookies, por parte dos websites dos termina is
de comunicação (computadores, na altura) dos titulares dos dados. Ao ler o recital 25 desta
Diretiva, obtêm-se mais detalhes acerca da interpretação deste ponto. Refere este recital que,
sempre que as cookies, se destinem, por exemplo, a facilitar a prestação de serviços de
informação, a sua utilização é autorizada, desde que se salvaguarde os princípios e direitos da
Diretiva 95/46/CE. No entanto, atentando ao último parágrafo deste recital, é possível ver que
“O acesso ao conteúdo de um sítio web específico pode ainda depender da aceitação, com
conhecimento de causa, de um testemunho de conexão («cookie») ou dispositivo análogo, caso
seja utilizado para um fim legítimo.” Este último parágrafo, de acordo com o Working Party 29
[WP29 2006] pode ser contraditório com a posição de que os utilizadores poderão recusar o
armazenamento de cookies nos seus terminais, sem que tal impeça o acesso ao serviço prestado.
Em 2009 foi aprovada a emenda à Diretiva E-Privacy de 2002. Com efeito a nova “Diretiva
2009/136/CE do Parlamento Europeu e do Conselho de 25 de Novembro de 2009 que altera a
Diretiva 2002/22/CE relativa ao serviço universal e aos direitos dos utilizadores em matéria de
redes e serviços de comunicações eletrónicas, a Diretiva 2002/58/CE relativa ao tratamento de
dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas e o
28
Regulamento(CE) n.º 2006/2004 relativo à cooperação entre as autoridades nacionais
responsáveis pela aplicação da legislação de defesa do consumidor”, mais conhecida por Cookie
Directive, veio apertar os controlos de segurança presentes no E-Privacy 2002, nomeadamente
no seu artigo 4º criando, entre outras, a obrigação de notificação à autoridade nacional de
proteção de dados de qualquer violação de dados pessoais, e ao titular dos dados ou assinante,
caso essa violação possa afetar negativamente os dados pessoais e alterando o ponto 3 do artigo
5º, que se refere ao armazenamento de cookies [Parlamento Europeu e Conselho Europeu
2009]. Esta alteração da lei das cookies veio forçar o regime opt-in (aquele em que a aceitação
de algo tem de ser dada por aceitação expressa e do silêncio não se pode presumir aceitação)
para o armazenamento de cookies nos terminais dos titulares e utilizadores.
Todavia, são apontadas algumas críticas à Cookie Directive. Papakonstantinou e Hert [2011]
referem que o próprio âmbito da Diretiva é limitado. As Diretivas E-Privacy são direcionadas
para as comunicações eletrónicas e não para os serviços da sociedade da informação, assim,
todas as atividades relacionadas com o comércio eletrónico podem escapar a esta
regulamentação e, por isso, a própria lei procura imiscuir-se no mundo do comércio eletrónico
ao procurar regular atividades da área da Internet, como as cookies ou o spam
[Papakonstantinou e Hert 2011]. De facto, a própria Comissão Europeia reconhece a
insuficiência das Diretivas E-Privacy ao afirmar na comunicação para a Estratégia para o
Mercado Único Digital na Europa [Europeia 2015] que quanto à Diretiva E-Privacy “ poderá
ser necessário reavaliar uma vez acordadas as regras gerais da UE em matéria de proteção de
dados, em particular visto que a maioria dos artigos da atual Diretiva Privacidade e
Comunicações Eletrónicas apenas é aplicável a prestadores de serviços de comunicações
eletrónicas, ou seja, empresas de telecomunicações tradicionais. Por conseguinte, os
prestadores de serviços da sociedade da informação que utilizam a Internet para fornecer
serviços de comunicação não estão, em geral, abrangidos pela diretiva.”.
A 10 de janeiro de 2017, a Comissão Europeia divulgou a sua proposta para o novo E-Privacy
2017, no entanto, desta vez sob a forma de Regulamento, o que, ao contrário das Diretivas, não
carece de transposição nacional e tem uma data específica a partir da qual os Estados-Membros
têm de implementar esse regulamento. Esta proposta já foi revista pelo Working Party 29
29
(WP29 daqui em diante)2, que emitiu o seu parecer sobre o mesmo. Este regulamento E-Privacy
ainda não foi formalizado para implementação e encontra-se por isso em fase de discussão.
2.2.4. História da Proteção de Dados em Portugal – da Constituição à atualidade
A privacidade de informações e a proteção de dados pessoais estão consagradas em Portugal
desde o documento da Constituição Portuguesa de 1976 [Assembleia Constituinte 1976]. No
artigo 33º, a Constituição já previa o direito aos cidadãos da reserva da sua vida privada e
familiar. No artigo 34º encontram-se referências à inviolabilidade do sigilo da correspondência
e outros meios de comunicação. Este artigo parece basear-se no artigo 8º da Convenção
Europeia dos Direitos Humanos. Porém, e antes da publicação da CPIRAPPD, já a Constituição
Portuguesa previa a proteção de dados pessoais informatizados. No seu artigo 35º, a
Constituição também já refere o direito aos cidadãos de terem conhecimento de todos os
registos mecanográficos que lhes digam respeito e qual o fim para os quais essas informações
estão destinadas, podendo exigir a retificação ou a atualização dos dados, e ainda, a proibição
do tratamento de dados respeitantes a convicções políticas, fé religiosa ou vida privada, salvo
quando o fim deste tratamento é o uso estatístico. É interessante verificar como este último
ponto da Constituição Portuguesa é similar, e anterior, ao artigo 6º do CPIRAPPD que define
o conceito de categorias especiais de dados pessoais.
No entanto, apenas em Abril de 1991 surge a primeira lei Portuguesa focada na Proteção de
Dados Pessoais face à Informática [Assembleia da República 1991]. Nesta lei é então
formalizado o significado de dados pessoais e tratamento automatizado. Segundo o artigo 2º
“dados pessoais – quaisquer informações relativas a pessoa singular identificada ou
identificável, considerando-se identificável a pessoa cuja identificação não envolva custos ou
prazos desproporcionados” e “Tratamento Automatizado – as seguintes operações efetuadas,
no todo ou em parte, com a ajuda de processos automatizados: registos de dados, aplicações de
operações lógicas e ou aritméticas a esses dados, bem como a sua modificação, supressão e
extração ou difusão”. Ao longo do mesmo artigo podem-se encontrar outras definições que até
então não estavam definidas na legislação Portuguesa. É também ao abrigo desta lei que é
criado o embrião da atual Comissão Nacional de Proteção de Dados, a Comissão Nacional de
2 O "Grupo de Trabalho do Artigo 29" (neste estudo denominado como WP29) é o nome abreviado do Grupo de
Trabalho de Proteção de Dados estabelecido pelo Artigo 29 da Diretiva 95/46 / CE. Fornece à Comissão Europeia
conselhos independentes sobre questões de protecção de dados e ajuda no desenvolvimento de políticas
harmonizadas de protecção de dados nos Estados -Membros da EU [European Data Protection Supervisor sem
data]
30
Proteção de Dados Pessoais Informatizados (CNPDPI). Também nesta lei (que se deve notar,
é predecessora da Diretiva 95/46/CE) já preconizava procedimentos para o legítimo tratamento
de dados, tais como, o direito ao acesso aos dados por parte dos titulares, a obrigatoriedade de
indicação de qual a finalidade do tratamento dos dados, a indicação do tempo de conservação
dos dados pessoais, as categorias dos dados pessoais que estão restritas a tratamentos, entre
outros. A redação da lei nestes termos, mais evoluída em relação à Constituição de 1976, parece
refletir já bastantes indicações do CPIRAPPD, nomeadamente no que concerne à nomeação da
autoridade pública de proteção de dados, apesar de Portugal não estar integrado no Conselho
Europeu.
Em 1986 Portugal passa a integrar a Comunidade Económica Europeia (CEE). Em 1995, tal
como já referenciado, é aprovada a Diretiva 95/46 CE, a qual Portugal (juntamente com os
restantes Estados-Membros) teria de ratificar para a lei nacional. Esta ratificação acontece com
a promulgação da Lei 67/98 de 26 de Outubro [Assembleia da República 1998], tendo sido
posteriormente atualizada pela Lei nº 103/2015.
A Lei nº 67/98 regula o tratamento de dados pessoais por meios automáticos, semiautomáticos
e não automáticos de dados pessoais. No seu artigo 2º a definição de dados pessoais inclui uma
salvaguarda do artigo 33º da Diretiva 95/46/CE, ao incluir som e imagem, como possíveis dados
pessoais do titular e a frisar a independência do suporte em que os dados se apresentam. As
restantes definições, nomeadamente, de tratamento de dados pessoais, ficheiros de dados
pessoais, subcontratante3, e outras, são as transcrições da Diretiva de 95/46/CE.
A descrição do responsável de tratamento encontra-se alinhada com o espírito da Diretiva
95/46/CE, concretizando a provisão para o Estado Português. No artigo 18º encontra-se
expresso claramente que as transferências de dados pessoais dentro de países membros da UE
são permitidas. No entanto, no artigo 19º é notado que, caso os dados pessoais sejam
transferidos para um país terceiro, esta transferência tem de garantir que o tratamento é
realizado segundo a Lei 67/98, nesse país terceiro. Cabe à CNPD (Comissão Nacional de
Proteção de Dados) decidir se o país terceiro para o qual os dados serão transmitidos oferece o
nível de proteção adequado aos dados pessoais.
3 Na redação da Lei nº 67/98, subcontrante é “a pessoa singular ou colectiva, a autoridade pública, o serviço ou
qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento; ”[Assembleia da
República 1998]
31
O responsável do tratamento é ainda obrigado notificar a CNPD antes de proceder ao tratamento
dos dados pessoais (artigo 27º), tendo esta notificação que ser enviada num formulár io
tipificado no artigo 29º da mesma Lei.
No 7º artigo desta Lei é descrita a proibição do tratamento de dados sensíveis. Esta proibição
abrange o “tratamento de dados relacionados com convicções, políticas ou filosóficas, filiação
partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica, bem como o
tratamento de dados relativos à saúde e à vida sexual, incluindo os dados genéticos.” Esta
proibição pode ser derrogada pelos motivos enunciados pelo 3º ponto deste artigo ou mediante
consentimento do titular ou motivo de interesse público.
Na Secção II do Capítulo II estão descritos os direitos dos titulares: direito de informação,
direito de acesso, direito de oposição e direito de recusa a decisões individuais automatizadas.
Relativamente a sanções, tal como previsto no artigo 24º da Diretiva 95/46/CE, a Lei 67/98
prevê coimas de 50.000$ (250€) a 3.000.000$ (15.000€) para organizações que não cumpram
os requisitos de notificação à Autoridade de Controlo e coimas entre 100.000$ (500€) e
1.000.000$ (5000€) quando estiver em causa a qualidade dos dados e legitimidade do seu
tratamento, as condições de legitimidade do tratamento de dados e outras obrigações, sendo que
o não cumprimento de algumas destas pode fazer dobrar o valor.
2.2.5. A Interpretação de Dados Pessoais para o WP29
Tal como foi mencionado acima, o WP29 é um grupo de trabalho criado para aconselhar e
emitir pareceres sobre a Proteção de Dados à luz da Diretiva 95/46/CE. No seu documento
[WP29 2007] o WP29 faz um esclarecimento sobre o entendimento que deve ser dado ao
conceito de dados pessoais. Para o grupo, a interpretação do conceito de dados pessoais, tal
como está descrito na Diretiva 95/46/CE, assenta em quatro pilares principais: “qualquer
informação”, “relativa a”, “identificada ou identificável” e “pessoa singular”. Detalhando a
opinião do WP29 relativa a estes quatro pilares {não escrever na primeira pessoa!} observa-se
que:
• “Qualquer informação”: na opinião do WP29, “qualquer informação”, deve ser
analisada quanto à sua natureza, conteúdo e formato. A natureza diz respeito a
“qualquer informação” objetiva ou subjetiva. Objetiva, segundo o WP29, refere-se a
dados concretos, mensuráveis da pessoa em questão, como por exemplo, ter uma
determinada substância no sangue. Por outro lado, informação subjetiva diz respeito a
32
opiniões e formulação de avaliações quanto ao indivíduo em causa. Esta natureza
subjetiva é particularmente relevante para o tratamento de dados pessoais em sectores
da banca, seguros ou o no emprego [WP29 2007]. A informação, que pode ou não ser
verdadeira, continua a ser uma informação pessoal. Quanto ao conteúdo, a informação
pessoal diz respeito a dados sensíveis, toda a informação que “toca a esfera privada e
familiar da pessoa” e informações que digam respeito a qualquer tipo de atividade da
pessoa, relações de trabalho e comportamento económico e social, independentemente
do seu papel (consumidor, paciente, etc.) Quanto ao formato “o conceito de dados
pessoais inclui informação disponível em qualquer formato, alfabético, numérico,
gráfico, fotográfico ou acústico, por exemplo. Inclui informação em suporte papel, bem
como informação armazenada, por exemplo, na memória de um computador através do
código binário ou numa vídeo cassete.” A opinião menciona também a independênc ia
da estruturação dos dados numa base de dados para que estes sejam considerados dados
pessoais.
• “Relativa a”: na opinião do WP29, este pilar deve ser analisado segundo três prismas :
conteúdo, finalidade e resultado. De acrodo com o WP29, ‘conteúdo’ está presente nos
casos em que (…) se dá informação sobre determinada pessoa, independentemente de
qualquer objetivo por parte do responsável pelo tratamento ou de um terceiro, ou do
impacto dessa informação na pessoa em causa”, por outro lado ‘finalidade’ existe
quando os dados são utilizados, tendo em conta todas as circunstâncias do caso
específico, com a finalidade de avaliar, tratar de determinada forma ou influenciar o
estatuto ou o comportamento de uma pessoa.”. Quanto ao “resultado”, dados cujo uso
“resulte” no impacto para o titular dos mesmos deverão ser considerados dados
pessoais, mesmo que o propósito do tratamento desses dados não seja, objetivamente,
afetar o titular desses dados. Estas três condições não devem ser consideradas
cumulativamente, mas sim alternativamente.
• “Identificada ou Identificável”: O WP29, recorrendo a uma outra recomendação dada
à Comissão, refere “claramente que a medida em que determinados identificadores são
suficientes para obter a identificação é algo que depende do contexto da situação em
causa.” Quando a Diretiva faz referência a pessoas “diretamente” identificáveis, o
WP29 faz referência específica ao uso do nome da pessoa, ainda que este nome tenha
de ser usado em combinação com outros dados (morada, data de nascimento, etc.), para
permitir a identificação indubitável da pessoa. Por outro lado, a referência a pessoas
“indiretamente” identificáveis é feita através de “combinações únicas”. Reporta o
33
WP29 que “Nos casos em que, prima facie, o alcance dos identificadores disponíve is
não permite a ninguém isolar uma determinada pessoa, essa pessoa poderá ainda assim
ser “identificável” porque essa informação combinada com outras informações
(independentemente destas últimas estarem ou não à disposição do responsável pelo
tratamento) permitirá distinguir a pessoa.” O que parece sobressair desta análise do
WP29 é que o único identificador “direto” é o nome da pessoa, pois o nome, para o
cidadão comum e suas relações sociais, é o que o identifica, mais do que o número de
contribuinte ou o de sócio de uma qualquer associação e que, por outro lado, quando,
pela associação de outros dados pessoais, for possível selecionar um indivíduo dentro
de uma determinada amostra, este individuo é indiretamente identificável. Por exemplo,
um professor é indiretamente identificável pelo seu número de calçado quando o
professor está a ser analisado na sala de aula (contando que na sala de aula estão
crianças até aos seis anos de idade).
• Pessoa singular: no entendimento do WP29, a Diretiva 95/46/CE aplica-se unicamente
a pessoas vivas, no entanto, caso o tratamento de dados de pessoas falecidas possa
implicar dados sobre pessoas vivas, o tratamento dos dados destas pessoas falecidas
poderá ser feito de acordo com o estipulado pela Diretiva 95/46/CE. É também debatida
a interação entre dados de pessoas coletivas e nascituros, com dados de pessoas
singulares.
Retira-se, assim, do parecer da WP29 sobre a interpretação dada aos dados pessoais que,
quaisquer dados, objetivos (cuja interpretação do significado ou valor é unânime) ou subjetivos
(uma opinião, avaliação ou consideração da pessoa em causa), sejam eles verdadeiros ou falsos,
se refiram à identidade, características ou comportamento, ou se essas informações forem
utilizadas para determinar a forma como a pessoa é tratada ou avaliada e que identifiquem,
direta ou indiretamente a pessoa em causa, são dados pessoais.
Esta noção de dados pessoais e todo este universo de análise do contexto em que se está a
analisar a “personificação” dos dados será importante para os trabalhos que se seguem neste
estudo.
2.3. Novos Desafios para a Proteção de Dados
Apesar de a Diretiva 95/46/CE ser um marco importante no que toca à privacidade dos dados
pessoais dos cidadãos europeus, também é evidente que os dias de hoje são muito diferentes do
que eram em 1995. O uso da Internet massificou-se, apareceram novos negócios, a literacia
34
eletrónica também aumentou, assim como a quantidade e os tipos de informação guardada nos
computadores e na Internet. De entre tecnologias emergentes e que colocam riscos à proteção
de dados pessoais poder-se-ão elencar: as redes sociais [Weiss 2009] [Acquisti e Gross 2006],
cloud computing [Chen e Zhao 2012] [WP29 2012], marketing compartmental [WP29 2010]
[WP29 2016b], Big Data [WP29 2013b] [Bolognini e Bistolfi 2017], com o caso particular das
smartTVs [Irion e Helberger 2017] e as aplicações móveis para smartphone, como duas
tecnologias muito presentes na vida do cidadão comum [WP29 2013a], Inteligência Artific ia l
[Burden 2017] [Ishii 2017], até mesmo os drones [WP29 2015].
Seguidamente, o funcionamento das tecnologias mencionadas será descrito e serão elencadas
algumas vulnerabilidades que possam eventualmente estar presentes nestas tecnologias, ou na
sua utilização, e que podem colocar riscos à preservação da privacidade dos cidadãos.
2.3.1. Redes Sociais
Quando foram criados os instrumentos de legislação respeitantes à coleção de dados,
nomeadamente a Diretiva 95/46/CE e E-Privacy 2002, a massificação das redes sociais era uma
imagem ainda difícil de prever. Tanto que, apenas em 2009 é que o WP29 se pronunciou pela
primeira vez sobre a proteção de dados nas redes sociais [WP29 2009]. No entanto, com a sua
massificação, também começaram a aparecer os abusos relacionados com a sua utilização, tais
como, exposição indesejável, fraudes de identidades, cyber-bullying ou danos reputacionais, o
que levou os próprios utilizadores dessas redes sociais a exigirem a implementação de controlos
para os salvaguardarem destes danos [Weiss 2009].
No estudo levado a cabo por Weiss [2009], recorrendo a entrevistas a especialistas na área
tecnológica e com conhecimentos profundos em leis de privacidade, segurança e tecnologias
promotoras da segurança e em desenvolvimento de aplicações de redes sociais, o autor indica
que as principais preocupações elencadas foram a falta de transparência sobre a finalidade dada
aos dados pessoais, a falta de controlo para o utilizador sobre o uso e proliferação dos seus
dados pessoais e a utilização não autorizada dos dados pessoais por parte de terceiros.
No mesmo estudo, foram apresentadas como principais soluções aos desafios da privacidade
nas redes sociais um maior foco na transparência por parte dos fornecedores de serviços de
redes sociais sobre a utilização dos dados pessoais, a disposição formalizada de políticas de
privacidade que possam ser comprováveis que estão a ser seguidas de forma automatizada e a
35
utilização de técnicas de comunicação pró-ativa que despertem para os riscos da privacidade
dos dados pessoais [Weiss 2009].
Quando questionados sobre quais os desenvolvimentos tecnológicos que colocariam mais
riscos para a privacidade da informação dos utilizadores, os mesmos entrevistados designaram
a amálgama de aplicações e as interações entre elas, juntamente com os dados a elas subjacentes
e a utilização de tecnologias vulneráveis e imaturas que lhes dão suporte, como os
desenvolvimentos tecnológicos mais arriscados [Weiss 2009].
Em 2006, alguns anos antes da massificação mundial do Facebook (ainda assim, já tinha 10
milhões de utilizadores dos Estados Unidos da América), Acquisti e Gross [2006] realizaram
um estudo num campus universitário, com um grupo de alunos em que a grande maioria já era
membro do Facebook. Neste estudo, os autores tentaram discernir qual a atitude dos
participantes no estudo em relação à privacidade. Assim, aferiram que de facto, para os
participantes, as políticas de privacidade foram sinalizadas pelos entrevistados como sendo
menos importantes para o debate público e para o seu dia a dia pessoal, do que políticas
económicas ou educacionais. No entanto, quando confrontados com uma série de eventos
específicos a acontecer nas suas vidas, as respostas relativas a violações de dados da sua vida
privada (morada, orientação sexual, nome de companheiro/a, filosofias políticas, etc.) foram as
que reuniram maiores preocupações. Ainda assim, 16% dos entrevistados que se mostraram
mais preocupados com os eventos de violações dos dados pessoais, são precisamente aqueles
que disponibilizam a informação que temem que seja violada no Facebook [Acquisti e Gross
2006]. Na senda do mesmo estudo, 30% dos entrevistados que utilizavam o Facebook no estudo
relataram ainda não estarem a par das possibilidades que o Facebook lhes dava para alterarem
as suas definições de privacidade.
Em 2009, tal como referido, o WP29 divulgou o seu parecer em relação ao cumprimento do
regulamento então em vigor (Diretiva 95/46/CE) por parte dos fornecedores de serviços de
redes sociais. Em síntese, não exaustiva, o WP29 sugeriu que os fornecedores de serviços de
redes sociais deviam fornecer aos utilizadores meios para poderem consentir livremente o
acesso ao seu perfil e ao seu conteúdo para além dos contactos por si selecionados, para limita r
o risco de acesso de terceiros [WP29 2009]. Ainda de encontro ao disposto na Diretiva
95/46/CE, os fornecedores de serviços de redes sociais deviam informar os utilizadores das
finalidades do tratamento dos seus dados pessoais, incluído: a utilização dos dados para
marketing direto, a eventual partilha de dados com terceiros, a utilização de dados sensíveis e
um panorama dos perfis criados. O fornecedor devia ainda advertir os utilizadores sobre riscos
36
de privacidade para si e para os outros. O fornecedor de serviços de redes sociais devia também
ponderar se teriam de forçar os utilizadores a utilizarem a sua identidade verdadeira ou um
pseudónimo.
Em síntese, por um lado tem-se que as redes sociais deverão tornar-se mais privacy friendly
para com os seus utilizadores e devem-lhes ser dados mais poderes para controlar a sua
atividade nas redes sociais. Por outro, os utilizadores destas mesmas redes sociais não parecem
estar conscientes da transversalidade da privacidade dos dados e parecem ter atitudes
negligentes quanto às suas preocupações com a privacidade e as efetivas atitudes que tomam
quanto a ela. O WP29 já refletiu algumas destas preocupações ao colocar no seu parecer uma
recomendação explícita dos riscos que os utilizadores correm ao colocarem as suas informações
nas redes sociais e ao colocarem informações de terceiros. Tem-se assim que tanto os
fornecedores destes serviços de redes sociais, como os próprios utilizadores desses serviços,
devem tomar consciência da miríade de precauções que devem tomar, relacionadas com dados
pessoais dos titulares das contas, dados de terceriros, transparência e consciencialização dos
riscos. Dada a vantagem financeira obtida pela utilização dos serviços de redes sociais, os
fornecedores destes serviços deverão revestir-se de uma atitude responsável e pró-ativa de
cumprimento da sua parte quanto ao esforço de consciencializar os seus clientes para os riscos
de utilização das suas plataformas.
2.3.2. Cloud Computing
A computação em nuvem (cloud computing), segundo [WP29 2012], “consiste num conjunto
de tecnologias e modelos de serviços centrados na utilização e fornecimento via Internet de
aplicações informáticas, de capacidade de tratamento e armazenamento e de espaço de
memória.”. Os serviços na cloud podem ser distinguidos entre três tipos de serviços: Cloud
Software as a Service, Cloud Plataform as a Service e Cloud Infrastructure as a Service [Jannati
e Bahrak 2017]. Na perspetiva do cliente, a segurança das informações é uma preocupação que
tem limitado a adoção destes serviços [Chen e Zhao 2012]. De acordo com Chen e Zhao [2012]
os principais riscos para a privacidade dos dados em plataformas cloud prendem-se sobretudo
com a dispersão de infraestrutura física para armazenamento de aplicações e dados, com a
multiplicidade e diversidade de fornecedores de alojamento e a inerente dificuldade em
uniformizar medidas de segurança, com o acesso a múltiplos utilizadores os dados de um
utilizador correm o risco de ser acedidos por outros utilizadores sem acesso para tal, a difíc il
conjugação entre a rapidez de resposta do serviço cloud e o armazenamento cada vez maior de
37
informação e as medidas de segurança para preservar a integridade e a confidencialidade da
informação.
Á luz da Diretiva 95/46/CE, o WP29 [WP29 2012] considera o subscritor de uma plataforma
de cloud computing como o responsável pelo tratamento dos dados, que eventualmente
depositar na plataforma, e o fornecedor de serviços cloud como o subcontratante desse
subscritor e esclarece quais as responsabilidades face à lei para estas duas entidades. O parecer
do WP29 [WP29 2012] relativo às soluções de computação na cloud convergem com a visão
de Chen e Zhao [2012]. Assim, para [WP29 2012] os principais riscos associados à computação
na cloud eram:
• Falta de controlo: o cliente da plataforma perde a “exclusividade” do controlo dos
dados, estando por isso sujeito, entre outros, à eventual falta de integridade do
subcontratado (atendendo à grande quantidade de fontes de dados podem ocorrer
eventuais conflitos de interesse), falta de confidencialidade por parte do subcontratante
(poderão haver interferências ao nível do controlo da legislação aplicada aos dados,
por parte de leis sem validade no contexto da União Europeia, o que viola
imediatamente a legislação europeia) ou falta de capacidade de intervenção do cliente
da plataforma devido à complexidade da cadeia de externalização;
• Falta de transparência sobre o tratamento dos dados: o cliente não ser informado que o
tratamento que o fornecedor da plataforma de cloud computing envolve múltiplos
subcontratantes, os dados pessoais são tratados dentro da UE, mas em países
diferentes, o que pode levar a colisões no direito aplicável em matéria de proteção de
dados, e por fim, os dados podem ser transferidos para países fora da UE, que podem
não garantir a proteção necessária aos dados pessoais, tal como é exigido na Diretiva
95/46/CE.
O WP29 não voltou a emitir nenhum parecer no âmbito da cloud computing, no entanto, os
estudos de Chen, Paxson e Katz [2010] e Savola, Juhola e Uusitalo [2010], que são
relativamente contemporâneos da opinião do WP29, partilham a conclusão de que as questões
relacionadas com a confiança e a transparência são as principais questões a resolver na cloud
computing.
Constanta-se, assim, que o próprio WP29 já estava consciente da massificação do uso da
computação em cloud, como esteve anos antes em relação às redes sociais. De facto, em termos
de cumprimento da legislação europeia a cloud computing é de complexa em termos de
38
responsabilidades, princípios (como a transparência do tratamento e da recolha dos dados) e
delimitação de fronteiras da informação. Ao permitir a disseminação da informação por
múltiplos servidores a informação fica dispersa e difícil de rastrear em termos de cumprimento
da legislação. Por outro lado, a dependência destes serviços de muitas plataformas de
tratamento e o facto de conservarem informações de muitas fontes, pode tornar suscetível o
acesso indevido à informação com fins que podem lesar os titulares dos dados.
2.3.3. Marketing Comportamental
A publicidade comportamental assenta no rastreamento do comportamento dos utilizadores da
Internet e serviços associados a esta utilização, para a criação e inclusão de perfis de
preferências e comportamentos desses mesmos utilizadores [WP29 2010]. Dada a enorme
recolha de dados, muito refinados, por parte dos utilizadores de serviços web, os algoritmos de
machine learning assumem um papel chave nos processos de otimização dos anúncios [Perlich
et al. 2014]. Desde a Diretiva E-Privacy 2009 que os fornecedores de serviços da Internet, tal
como pode ser consultado no artigo 5º dessa Diretiva, podem obter acesso a informação
armazenada no terminal do assinante do serviço (titular dos dados) desde que os titulares dos
dados tenham dado o seu consentimento expresso para este tratamento. Por outro lado, a
utilização de identificadores para a criação de perfis de utilizadores, podem ser considerado s
dados pessoais, ao abrigo da Diretiva 95/46/CE.
O parecer de [WP29 2010] aponta práticas como os mecanismos de “autoexclusão”, por
exemplo, são uma subversão do ónus do consentimento, ao admitirem que, se um utilizador não
aciona a sua autoexclusão junto de um fornecedor de redes de publicidade, é porque daí resulta
o seu consentimento na implantação de cookies no seu terminal de acesso. Outra recomendação
deste organismo é a obrigação por parte dos fornecedores de redes de publicidade de obterem
o consentimento informado dos utilizadores para qualquer tipo de dados recolhidos dos seus
equipamentos, mesmo que não sejam dados pessoais pois tal como indica o considerando 24
da Diretiva 95/46/CE “o equipamento terminal dos utilizadores (...) e todas as informaçõe s
armazenadas nesse equipamento constituem parte integrante da esfera privada dos utilizadores
e devem ser protegidos…”, logo, sendo alvo do artigo 5º dessa mesma Diretiva.
No entanto, em 2016, o WP29 volta a emitir um parecer relacionado com a E-Privacy de 2002,
onde alerta para outros fenómenos que, até então, não ocorriam na recolha das cookies [WP29
2016b]. No novo parecer, o WP29 mantém a opinião de que o consentimento prévio do titula r
dos dados deverá ser requerimento necessário à obtenção de metadados e técnicas de
39
rastreamento [WP29 2016b] e chama a atenção para algumas práticas da indústria das
comunicações eletrónicas, para a instituição de mecanismos que, realmente satisfazem os
requisitos legais de consentimento, mas que não proporcionam aos utilizadores uma efetiva
livre escolha em relação a esse processamento, como é o caso das 4cookie walls ou tracking
walls. Estes mecanismos levam ao veto do acesso ao serviço prestado que não aceitem as
cookies, incluindo as cookies de rastreamento com fins comerciais, e que apresentam altos
riscos para a privacidade dos utilizadores e recomenda uma proibição específica para este tipo
de mecanismos “pegar ou largar” [WP29 2016b]. Este tipo de práticas é, à altura da escrita
deste trabalho, levado a cabo por páginas web de empresas como o Facebook, Hotmail ou o
Gmail. Ainda que o WP29 tenha emitido estes pareceres acerca destes mecanismos, verifica-se
que a proposta para a Diretiva E-Privacy para 2017 não contém qualquer tipo de proibição
explicita a estes mecanismos de cookie walls, facto que o WP29 menciona novamente em
[WP29 2017a] [Borgesius, Kruikemeier e Boerman 2017].
Verifica-se então pelas sucessivas recomendações do WP29 que a utilização de dados pessoais,
e que se referem à utilização privada de um terminal de acesso a serviços da Internet, para os
objetivos de publicidade comportamental acarretam riscos severos para a segurança dos dados
dos utilizadores destes serviços. As políticas adotadas pelos provedores destes serviços
denotam um desejo claro de contornar aquilo que lhes é imposto pela Diretiva 95/46/CE e
particularmente pela Diretiva E-Privacy e suas emendas, alertando assim as próprias entidades
europeias para a vigilância apertada que deve ser feita aos provedores destes serviços, no
sentido de não fazerem uso abusivo dos serviços que prestam aos utilizadores nem de
contornarem as leis de proteção de dados a que estão sujeitos.
2.3.4. Big Data
Big Data refere-se ao aumento exponencial da disponibilidade da informação e no uso
automatizado dessa informação: estas informações estão dispostas em data sets de empresas e
governos e são extensivamente analisados usando algoritmos computacionais, com o fim de
tomar melhores e mais bem informadas decisões [WP29 2013b]. O exemplo escrito em 2.3.3 é
fruto do Big Data uma vez que um dos maiores valores do Big Data resulta da monitorização
4 Tracking walls e cookie walls são termos usados para descrever as barreiras colocadas por alguns websites à
navegação dos mesmos, que só é levantada mediante aceitação da política de cookies desses websites [Borgesius,
Kruikemeier e Boerman 2017]
40
do comportamento humano, coletiva e individualmente, e do seu potencial preditivo [European
Data Protection Supervisor 2016].
Esta capacidade de gerar e recolher informações sobre as pessoas coloca-se como um desafio
aos regulamentos de proteção de dados [Bolognini e Bistolfi 2017], já que o Big Data pode ser
usado para identificar tendências e padrões nos dados analisados, podendo, no entanto, também
ser usado para afetar diretamente as pessoas [WP29 2013b], bem como grupos que partilhem
certas características [Mantelero 2016].
A proliferação da computação ubíqua (RFID’s, wearables, smartphones e outros) fomenta a
recolha de informações, pessoais ou não, de forma constante e automática, potenciando os
esquemas de perfilhação [Rouvroy 2008], uma vez que, dispondo de mais dados sobre as
pessoas, mais fino e circunscrito será esse perfil. . Depois do escândalo de vigilância por parte
da NSA5, surgiram preocupações legítimas dos cidadãos sobre qual a real compensação entre
os riscos para os dados pessoais dos utilizadores e as oportunidades de descobertas da
exploração desses mesmos dados [Bolognini e Bistolfi 2017].
Certos estudos focam também que os sistemas de perfilação cada vez mais presentes com a
computação ubíqua podem imiscuir-se na própria formação do ser humano, podendo mesmo
serem capazes de interferir com crenças, preferências, comportamentos, etc., moldando o ser
individual face áquilo que a perfilação indica [Rouvroy 2008]. Um dos fins perversos do uso
destes mecanismos de perfilação baseados em machine learning e big data é o exemplo do
sistema de marcação em fotos da sua aplicação que marcava automaticamente os indivíduos de
raça negra como “gorilas” [The Economist 2016]. No entanto, é bom frisar que o uso
combinado de grandes volumes de informação pode ser muito benéfico, por exemplo, para a
pesquisas médicas, recorrendo a algoritmos e modelos de data mining [Bolognini e Bistolfi
2017]. Torna-se, assim, necessário encontrar o equilíbrio entre o uso destes datasets para
objetivos de pesquisa histórica, científica e de manutenção da ordem pública, com a privacidade
de cada um [Bolognini e Bistolfi 2017].
5 Em 2013, os jornais Guardian, Washington Post e outros, tiveram acesso a documentação que envolveu a
National Security Agency (NSA) dos Estados Unidos e a recolha de informações pessoais dos clientes da Verizon,
Facebook, Google, Microsoft, Yahoo, não só nos Estados Unidos, como em outros países do Mundo, para fins de
vigilância governamental [BBC 2014].
41
Tendo em conta o parecer emitido pelo WP29, os principais riscos para a privacidade das
pessoas e a proteção dos seus dados pessoais podem ser elencados na seguinte lista [WP29
2013b]:
• A grande escala de recolha dos dados, o elevado grau de detalhe da recolha, o
rastreamento e a perfilação dos dados e a possibilidade de combinação de dados de
diferentes fontes;
• O atraso dos níveis dos dados, relacionado com a delonga de mecanismos que refreiem,
em relação ao ímpeto do volume com que os dados são recolhidos;
• Transparência, na medida em que as pessoas podem ser sujeitas a decisões que não
controlam ou que não compreendem, se não lhes for fornecida informação suficiente;
• Imprecisões, descriminação, exclusão ou desequilíbrio económico e
• Maiores possibilidades para a vigilância governamental.
De modo a que o tratamento de dados no contexto de Big Data seja tido como legitimo, é
importante assegurar que os dados recolhidos e o tratamento que lhes é destinado sejam tidos
em conta, que o contexto em que os dados são recolhidos e as expectativas razoáveis do titula r
dos dados para o tratamento que lhes vai ser dado sejam coerentes, a natureza dos dados
recolhidos e o impacto que o tratamento dos mesmos poderá ter nos titulares não seja abusivo
e que o tratador dos dados aplique salvaguardas para assegurar um processamento legítimo e
que o acesso aos dados não é feito por ninguém sem autorização para tal [WP29 2013b]. No
fundo, trata-se de assegurar que, mesmo quando os dados recolhidos são massivos, muitas vezes
por sistemas ubíquos, com diversas fontes e de forma sistemática, a transparência dessa recolha
é garantida e o tratamento é licito e o titular dos dados tem o seu consentimento dado para que
esse tratamento ocorra.
Por forma a assegurar a privacidade dos dados pessoais, certos autores, tais como, Stalla-
Bourdillon e Knight [2017], Bolognini e Bistolfi [2017] e Mantelero [2016], apontam a
anonimização dos dados como o próximo passo para garantir a inviolabilidade dos dados
pessoais, ou como forma de se evadirem às regras de proteção de dados atualmente em vigor
[Rouvroy 2008].
Seguidamente, são apresentados dois casos particulares da aplicação das tecnologias de Big
Data em SmartTVs e aplicações para smartphones, por forma a verificar como o papel do
consentimento e a transparência da recolha são basilares ao tratamento licito dos dados
42
2.3.4.1. SmartTVs
Uma das diferenças entre os televisores de hoje em dia e aqueles que marcaram a revolução dos
eletrodomésticos dos anos 50 do século passado, é que os atuais podem estar ligados à Internet.
Ao serem dispositivos ligados à Internet, a possível recolha de informações sobre os hábitos de
consumo televisivo pode ser bastante mais detalhada e personalizada do que no passado. Esta
recolha de informação, tal como observado em 2.3.4, permite a criação de perfis de utilizadores,
que poderão servir para oferta de serviços personalizados e recomendações, mas também para
o marketing comportamental [Irion e Helberger 2017].
A Alemanha e a Holanda são os pioneiros na Europa na aplicação de medidas de proteção de
privacidade dos cidadãos face a SmartTVs6 e serviços de interação televisiva. Um teste levado
acabo na Alemanha por um instituto de testes, descobriu que, quando ligada à Internet, algumas
televisões reportavam dados de consumo para terceiros e alguns fabricantes enviavam anexa a
essa informação o número de identificação do equipamento, o que permitiria destacar os
titulares desses dados recolhidos [Irion e Helberger 2017]. Com efeito, as autoridades de
controlo alemãs divulgaram um relatório onde apontam obrigações das smartTVs, como por
exemplo, anonimizar os dados de consumo, a obrigação de ter o consentimento do utilizado r
para funções de perfilhação de consumo e fornece detalhes sobre a utilização a ser dada aos
dados dos subscritores, informações obrigatórias a prestar e sobre as possibilidades de criação
de dados pseudonomizados7 ao abrigo da lei em vigor. Casos similares podem ser reportados
em deliberações judicias na Holanda.
Os exemplos destes dois países mostram a tensão existente na conjugação entre os aspetos
relacionados com a privacidade e proteção de dados pessoais e as leis dos media audiovisua is.
Irion e Helberger [2017] recomendam que esta separação seja, se não eliminada, pelo menos
diluída, especialmente quando os valores tradicionais e objetivos dos media se cruzam com o
rastreamento e perfilaçãodos utilizadores destes media, isto porque, a interação das pessoas
com os media é um dos meios em que as pessoas formam a sua autonomia, a sua capacidade
de julgamento e opinião, devendo por isso ser minimizados os efeitos “marca de água” que os
mecanismos de perfilhação poderão suscitar na formação e desenvolvimento dos indivíduos.
6 SmarTVs é uma TV que oferece recursos interativos semelhantes aos envolvidos na Internet. Essa ligação à
internet é usada principalmente para transmitir programas de televisão e filmes de vários aplicativos e serviços
[Caleb 2017] 7 A utilização de pseudónimos (pseudonimização) consiste em substituir um atributo de um registo
(normalmente um atributo único) por outro. [WP29 2014a]
43
Além desta recomendação, aqueles autoresapontam soluções práticas como a possibilidade de
assistir televisão em modo anónimo, a obrigação de proteção dos dados de acessos de terceiros,
a garantia de recolha de dados mediante consentimento dos utilizadores e a garantia de que o
tratamento dos dados não resulta na inibição de receber informação destes provedores,
nomeadamente através da perfilhação. Em Fevereiro de 2017, a fabricante de SmarTVs Vizio
pagou 2.2 milhões de dólares para fazer cair as queixas que a acusavam de recolher e vender
dados de consumo das suas SmarTVs sem o consentimento dos utilizadores [Sapna 2017].
Tal como exemplificado pelo artigo acima, as recolhas massivas de dados, por via de
constituição de datasets do âmbito do Big Data, pode ter efeitos perversos para a privacidade
dos utilizadores. O número imenso de entidades que vivem da publicidade, marketing,
visualizações, etc., colocam o mercado das smartTVs sob a pressão de, por um lado, serem o
principal veículo de transmissão de informação da sociedade, por outro, terem um mercado
ultracompetitivo onde a geração de receitas tem de advir de soluções inovadoras. A utilização
da televisão para motivos de perfilhação pode revelar-se socialmente mais pérfida do que os
computadores ou os smartphones, porque a televisão está presente na sociedade das faixas
etárias mais baixas até às mais altas (contrariamente aos computadores que não são tão aceites
nas camadas mais envelhecidas da sociedade) e porque simboliza para muitas pessoas os
momentos de reunião e construção familiar, daí que seja particularmente perversa a recolha de
dados pessoais neste contexto. Tal como abordado em 2.3.3 os princípios que digam respeito
ao consentimento expresso e livre dos titulares dos dados a serem tratados pelas smartTVs, o
tratamento licito desses mesmos dados, a forma como o tratamento desses dados poderá afetar
os direitos e liberdades desses indivíduos e a forma como eles são recolhidos, devem ser
seguidos com rigor, e as próprias operadoras dos media deverão chamar a si a responsabilidade
de não excluir nenhum cidadão do acesso à informação, em resultado de alguma decisão
individual automatizada (perfilhação), tal como previsto no Artigo 15º da Diretiva 95/46/CE.
2.3.4.2. Aplicações para Smartphone
As aplicações para smartphone apresentam-se como um outro meio de emprego do Big Data,
para as quais o WP29 já emitiu o seu parecer relacionado com a proteção de dados pessoais
[WP29 2013a]. Deve-se notar que as denominadas “apps” são aplicações que correm nos
smartphones e que recebem enormes quantidades de dados, que por seu lado são processados
de forma a oferecer novos produtos e serviços ao utilizador. Estas applicações para smartphones
servem múltiplos propósitos como navegação na internet, entretenimento, redes sociais,
44
operações bancárias e serviços baseados na localização. Algumas destas aplicações conseguem
aceder a muitos dos sensores presentes nos smartphones, como bússola, acelerómetro, camaras
fotográficas e microfone, podendo ainda, aceder a informações de geo-localização [WP29
2013a]. Estas aplicações, uma vez instaladas nos smartphones, poderão aceder aos dados dos
contactos, enviar mensagens de correio eletrónico, mensagens escritas, enviar mensagens
instantâneas, alterar conteúdos da memória do smartphone, gravar áudio e aceder a fotografia s,
entre outros [WP29 2013a].
A possível utilização de informações de muitas formas e feitios por parte das apps, torna
essencial que, aquando do processo de tratamento de dados pessoais, os tratadores dos dados
sejam identificados. Por outro lado, mesmo que o país de estabelecimento do controlador esteja
fora da UE, uma vez que as informações tratadas se referem a um terminal que se encontra na
UE, a Diretiva 95/46/CE tem aplicação plena. O artigo 5º da Diretiva E-Privacy de 2009
estabelece claramente que o tratador de dados, que a leitura ou armazenamento de informações
num dispositivo de um titular (sejam dados pessoais ou não), apenas é legítimo caso o titula r
tenha dado o seu consentimento, logo que esse consentimento se baseie na informação clara e
objetiva por parte do tratador de dados sobre as finalidades desse tratamento.
Os principais riscos para a proteção de dados, no âmbito da recolha e tratamento de dados em
aplicações em smartphones e outros dispositivos podem ser elencados no seguinte [WP29
2013a]:
• Falta de transparência do tratamento;
• Falta de consentimento para o tratamento dos dados;
• A maximização (ao invés da minimização) dos dados recolhidos;
• Indefinição da finalidade para os quais os dados são recolhidos;
• Fragmentação do mercado do desenvolvimento de apps: desenvolvedores,
proprietários, app stores e fabricantes dos sistemas operativos e dos dispositivos e
• Terceiros envolvidos na recolha e processamento de dados, como fornecedores de
publicidade.
Estes riscos podem ser materializados, por exemplo, quando uma aplicação necessita de aceder
à geo-localização do dispositivo, é necessário usar os serviços de localização do sistema
operativo. Assim, quando a necessidade desta utilização é desencadeada, o sistema operativo
fornece os dados à aplicação e pode também fazer uso desses dados para melhorar os seus
45
próprios serviços de localização. Neste último propósito, o tratador dos dados é o sistema
operativo [WP29 2013a], no caso de uma aplicação necessitar, por exemplo, de aceder aos
dados de geo-localização para, por exemplo, fornecer uma lista de restaurantes perto do local
onde o utilizador se encontra. A recolha da informação de localização do utilizador deve ter
como único propósito a apresentação dos restaurantes que lhe estão próximos. O consentimento
do utilizador na utilização dos seus dados de geo-localização para este fim não deve estendido
para outros fins, como o da monitorização contínua da posição. Da mesma forma, no caso de
uma aplicação que tenha por missão a comunicação do utilizador com os membros da sua lista
de contactos, deverá caber ao utilizador selecionar os contactos que poderão ser acedidos por
essa aplicação, e não o contrário, ser o utilizador a bloquear os contactos aos quais a aplicação
tem acesso, invertendo o ónus da responsabilidade [WP29 2013a]. Como recomendações finais,
a opinião de [WP29 2013a], entre outras, reporta que:
• Os desenvolvedores de aplicações para smartphone deverão solicitar o consentimento
do utilizador para o tratamento dos dados necessários antes da instalação da própria
aplicação;
• Os desenvolvedores de aplicações para smartphone deverão solicitar o consentimento
granular do utilizador para os diferentes tipos de dados a tratar (lista de contactos,
localização, número de registo do dispositivo, mensagens escritas, correio eletrónico,
etc.;
• Os desenvolvedores de aplicações devem respeitar o princípio da minimização dos
dados e recolher apenas os dados na medida dos necessários para cumprir a função a
que se propõe e
• Os fabricantes de smartphones e sistemas operativos deverão dotar os seus aparelhos
de trigers que, após o utilizador desinstalar uma dada aplicação, seja enviado um aviso
ao desenvolvedor dessa aplicação para apagar todos os dados respeitantes a esse
utilizador.
Como se pode verificar pela opinião emitida em [WP29 2013a], a recolha de dados nos
smartphones envolve muitos atores, que cooperam entre si para tirarem o máximo proveito da
utilização de aplicações em smartphones. Os atores mencionados poderão ter a seu cargo a
responsabilidade do tratamento de dados mediante o contexto em que se encontre esse mesmo
tratamento. O importante a reter é que a quantidade de dados recolhidos, através das
informações guardadas e fornecidas pelo utilizador e através dos sensores dos telemóve is,
46
permite a construção de grandes combinações de dados (Big Data) e, consequentemente, a
perfilhação dos utilizadores e a inferência de outras informações relacionadas com o utilizado r,
que poderão prejudicá-lo em algumas liberdades e garantias. Assim, é necessário garantir ao
utilizador que os seus dados são usados, só e apenas com propósitos que lhe são claramente
transmitidos, ainda antes das aplicações serem instaladas e não se processam os dados para lá
daquilo do que será legitimo e tendo em conta os interesses e respeito pelas liberdades e
garantias do titular.
2.3.5. Inteligência Artificial
A inteligência artificial pode ser deduzida como o passo seguinte à Internet of Things (IoT) e
Big Data, como se verificará mais à frente. Colocado de modo simples e exemplificando, a
diferença entre IoT, Big Data e Inteligência Artificial pode ser caricaturada com o seguinte
exemplo. Imagine-se uma estrada: Iot, seria um conjunto de sensores que permitem contabiliza r
quantos carros, em tempo real, estão na estrada, por outro lado, Big Data seria a capacidade de
analisar se, tendo em conta os valores recolhidos pelos sensores de IoT, se haveria um
engarrafamento de transito ou não, Inteligência Artificial seria a capacidade de um ator,
recebendo os dados da velocidade e direção do veículo, ser capaz de tomar de decisão de
procurar um refúgio para não ser atropelado, recorrendo a algoritmos de Machine Learning,
capaz de o dotarem de tomar decisões.
A relação entre a inteligência artificial e o Big Data é bidirecional: a inteligência artificia l,
através de Machine Learning, precisa de uma grande quantidade de dados para aprender: dados
no domínio do Big Data. Na outra direção, o Big Data usa técnicas de inteligência artificial para
extrair valor de grandes conjuntos de dados. [European Data Protection Supervisor 2016].
Segundo [Ishii 2017], a incorporação de funções sofisticadas entidades dotadas de inteligênc ia
artificiale rápida evolução dos sistemas de inteligência artificial, exacerbada pela lenta evolução
do âmbito das ciências sociais, poderá ter impactos imprevisíveis no universo da privacidade e
da proteção dos dados pessoais As tecnologias indispensáveis à AI, baseadas em Machine
Learning, Deep Learning e outros, são as necessárias para criar perfis digitais (falado atras) e
modelos preditivos. Uma vez que estes perfis são baseados em dados recolhidos, a transparência
do uso dos mesos para com os cidadãos deve ser garantida, sem que o titular dos mesmos seja
sujeito a decisões que afetem a sua vida privada
47
De acordo com [Burden 2017], recolhendo uma série de opiniões junto de uma firma
multinacional de advocacia, as principais inconformidades com a lei, ainda que a lei a que se
refere não seja a Diretiva 95/46/CE mas sim o Regulamento Geral para a Proteção de Dados
(RGPD) que se falará no ponto Erro! A origem da referência não foi encontrada., que se
podem encontrar no desenvolvimento da Inteligência Artificial são: o consentimento informado
e explicito, devido sobretudo à dificuldade de obter consentimento sobre o tratamento de “dados
enriquecidos”, que são dados pessoais e que resultam da combinação de outros dados, para os
quais até haja eventualmente consentimento de serem utilizados; a minimização dos dados
(Artigo 6º da Diretiva 95/46/CE) que por si só vai contra o fundamental em Inteligênc ia
Artificial que consiste numa grande recolha e armazenamento de dados e que não será fácil de
articular com o propósito da recolha dos dados; e com a justificação para a conservação dos
mesmos [Burden 2017], com o disposto no Artigo 14º da Diretiva 95/46/CE que menciona o
direito de oposição ao tratamento. Por outro lado, coloca-se também em questão qual a
capacidade de supervisão de uma autoridade de controlo a organizações que usem
intensivamente machine learning, big data e inteligência artificial [European Data Protection
Supervisor 2016].
Tal como na maior parte das disposições para o Big Data, a Inteligência Artificial sobrevive
graças à recolha de dados pessoais. Para criar uma entidade capaz de ser um assistente de
trânsito policial, por exemplo, será provavelmente necessário que ele recolha dados de humanos
a conduzir, entender os seus padrões, perceber a reação da condução às condições climatéricas,
infirir causas para um condutor estar em incumprimento com os limites de velocidade, correndo
o risco de encontrar padrões que geram discriminação, como por exemplo, julgar todos os
condutores que têm um carro de uma determinada marca ou cilindrada, como propensos a
circular em excesso de velocidade, ou por outro lado, ajam de forma tão inteligente que iniciam
a recolha de dados para lá daquilo que os próprios condutores autorizam, com a justificação de
que a recolha daquele dado será útil para traçar perfis de condução de forma mais fina. Até que
ponto a Inteligência artificial conseguirá contornar estas limitações e continuar a gerar
conhecimento, sem causar dano na privacidade e dados pessoais das pessoas é um ponto que
ainda suscita muitos debates
2.3.6. Drones
Os exemplos mencionados anteriormente focam sobretudo aspetos de recolha de dados através
em formato digital, no entanto, a Diretiva 95/46/CE aplica-se também a outros tipos de
48
tecnologias que podem pôr em risco a segurança dos dados pessoais e a privacidade dos
cidadãos. Uma tecnologia relativamente nova que também levanta muitas questões relativas à
privacidade são os drones. Estes dispositivos aéreos não tripulados são usados civilmente para
fins diversos, como por exemplo, filmagens de eventos festivos e desportivos e engenharia e
mapeamento de território. O facto de serem aeronaves sujeita, em Portugal, a sua utilização ao
regulamento 1093/2016 da Autoridade Nacional de Aviação Civil. Além da sua utilização poder
colocar em causa a segurança aérea, também podem colocar em causa a privacidade de pessoas.
O WP29 emitiu o seu parecer [WP29 2015] em meados de 2015, apontando para os riscos do
processamento de dados pessoais por parte dos drones, como imagens, sons e geo-localização
de pessoas identificadas ou identificáveis. Ao serem equipados com camaras, equipamentos de
deteção ou equipamento de rádio frequência, os drones carregam em si um elevado potencial
para serem uma ameaça à privacidade dos indivíduos. Numa boa parte dos casos, é bastante
provável que os titulares dos dados sobre os quais possa ocorrer alguma violação possam nem
estar cientes que um drone os está a observar, e mesmo sabendo, é difícil saberem que tipo de
informação estão a processar: imagem, som ou outra, e quem é o operador do drone [WP29
2015]. Além disso, o facto de ser um aparelho voador, pequeno e relativamente silencio so,
promove a sua facilidade em invadir o espaço privado. De modo a não infringirem a Diretiva
95/46/CE, o WP29 aconselha os titulares e utilizadores dos drones, como tratadores dos dados
que eventualmente recolham alguma informação pessoal, a certificarem-se da base legal para a
recolha desses dados, seja ela o consentimento do(s) titular(es) dos dados, o cumprimento de
um contrato, uma obrigação legal ou um interesse legítimo e a possibilidade de ter de notifica r
a CNPD (em Portugal) para o processamento que está a efetuar, além de outras recomendações
[WP29 2015].
2.4. RGPD
Até este ponto do projeto de dissertação, o foco tem estado, sobretudo, no levantamento de
políticas de proteção de dados e privacidade na Europa, assim como a apresentação de exemplos
de tecnologias, bastante mais recentes do que a atual Diretiva 95/46/CE e a e-Privacy 2009, que
são alimentadas de informação pessoal, realidade esta que não era tão massiva até à entrada da
presente década.
O Tratado de Lisboa, que vem emendar o Tratado de Maastricht introduz o Tratado sobre o
Funcionamento da União Europeia (TFUE), que por sua vez emenda o Tratado de Roma, e
49
introduz no seu artigo 16º o “direito à proteção dos dados de caracter pessoal que lhes digam
respeito (a todas as pessoas)” [União Europeia 2008]. Em 2010 a Comissão Europeia emitiu
uma comunicação, onde fez uma reflexão sobre novos desafios específicos para a Diretiva então
em vigor e aos quais era necessário dar resposta [Comissão Europeia 2010]. A 25 de Janeiro de
2012, a Comissão Europeia emitiu um comunicado à imprensa [European Comission 2012],
onde revela a sua proposta para reestruturar a Diretiva 95/46/CE de modo a fortalecer a
privacidade online e sustentar a economia digital na Europa. Da leitura desse comunicado
depreendem-se as duas principais razões para esta atualização da Diretiva 95/46/CE: a primeira
prende-se com a globalização e a forma como o progresso tecnológico mudaram a maneira
como os dados são recolhidos, acedidos e usados; a segunda, como já referido, relaciona-se
com as diferentes transposições nacionais feitas pelos vinte e sete estados-membros, levando a
diferenças na execução da lei. Este documento que vem substituir a Diretiva 95/46/CE é o
“Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016,
relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais
e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre
a Proteção de Dados)”, doravante nomeado como “Regulamento Geral de Proteção de Dados”
ou “RGPD”.
Naquele comunicado de imprensa, a Comissão Europeia indicou quais as principais alterações
introduzidas pelo RGDP à questão da privacidade e Proteção de Dados, face à Diretiva
95/46/CE. De modo genérico, as principais diferenças introduzidas pelo novo RGPD, face à
Diretiva 95/46/CE são as seguintes [European Comission 2012]:
• Um único enquadramento de regras, válido para toda a UE. Eliminação da burocracia
de notificações às autoridades de controlo;
• Alteração do ónus do tratamento para os tratadores de dados: com o RGPD é
promovida mais responsabilidade e responsabilização para os tratadores de dados;
• Obrigação de notificações de violações de dados às autoridades de controlo, se
possível, em 24 horas (entretanto, na redacção final do RGPD este prazo foi atualizado
para um máximo de 72 horas, salvo em casos justificados);
• Os titulares terão acesso facilitado aos seus dados e é-lhes dada a possibilidade de
transferirem dados pessoais de um tratador para outro mais facilmente;
50
• O direito a ser esquecido permite aos titulares apagarem os seus dados, desde que não
haja motivos legítimos para os mesmos serem mantidos;
• O regulamento é aplicável a organizações que atuem fora da UE, desde que estejam
ativas na UE e ofereçam bens e serviços na UE e
• Sanções de até 1 milhão de euros ou 2% do volume de negócios de uma empresa
(valores entretanto atualizados).
Após o período de discussão subsequente, o Regulamento foi votado pelo Parlamento Europeu
em Maio de 2016, substituindo a Diretiva 95/46/CE em termos vinculativos a partir de 25 de
Maio de 2018 [Parlamento Europeu e Conselho da União Europeia 2016]. O WP29 emitiu em
2014 um parecer onde considera que a abordagem baseada no risco à proteção de dados na
Europa está mais presente no RGPD do que o que esteve na Diretiva 95/46/CE, nomeadamente
na forma como são apresentados os artigos 22º, 23º, 28º, 30º, 33º, 38º e 39º [WP29 2014b].
Seguidamente, nesta secção traçar-se-á um comparativo com a Diretiva 95/46/CE, em termos
das suas definições (dados pessoais, tratador e outros). Na subsecção 2.4.1, é importante
salvaguardar que não será feita uma transcrição do RGPD ou da Diretiva 95/46/CE, antes serão
focados aspetos comuns do RGPD e da Diretiva 95/46/CE, sendo salientadas as principa is
provisões do RGPD que são comuns à Diretiva 95/46/CE e os aspetos destes mesmos artigos
que têm alterações no RGPD. No subsecção 2.4.2serão apresentadas, em termos gerais, as
grandes adições do RGPD face à Diretiva 95/46/CE, sem escalpelizar capítulos individuais por
manifesto desajuste do esforço e âmbito de tal procedimento. Para este último passo, seguir-se-
á a estruturação apresentada por Tikkinen-Piri, Rohunen e Markkula [2017].
2.4.1. Alterações Introduzidas pelo RGPD face à Diretiva 95/46/CE
2.4.1.1. Âmbito de Aplicação
O RGPD introduz a perspetiva transnacional da proteção de dados. De acordo com o seu artigo
3º, ponto 2, o Regulamento é aplicável ao tratamento de dados pessoais de titulares residentes
na União, mesmo quando o responsável de tratamento não se encontra na União Europeia, se
estas atividades de tratamento estiverem relacionadas com a oferta de bens e serviços a esses
titulares de dados na União ou com o controlo do seu comportamento. No âmbito do
entendimento puro da Diretiva 95/46/CE, o âmbito de aplicação do Regulamento cingia-se às
51
organizações que tratassem dados nos Estados-Membros da União, independentemente de
quem eram os dados a ser tratados.
2.4.1.2. Definições
Naturalmente, o RGPD encerra mais definições do que aquelas postuladas pela Diretiva
95/46/CE. Todavia, a definição de dados pessoais no RGPD não encerra uma grande mudança
face à Diretiva 95/46/CE. Postula o artigo 4º do RGPD [Parlamento Europeu e Conselho da
União Europeia 2016] “«Dados pessoais», informação relativa a uma pessoa singula r
identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa
singular que possa ser identificada, direta ou indiretamente, em especial por referência a um
identificador, como por exemplo um nome, um número de identificação, dados de localização,
identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física,
fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular”. Comparado
com a definição do mesmo conceito da Diretiva 95/46/CE, o RGPD introduz mais elementos
que constituem elementos identificáveis do indivíduo: os dados de localização, os
identificadores por via eletrónica e os elementos genéticos. A inclusão destes elementos traduz
a preocupação com aspectos como endereços de IP, identificadores de dispositivos móveis,
geo-localização, impressões digitais, identificadores de retina ótica, etc., na identificação dos
cidadãos, provavelmente refletindo a preocupação com a quantidade de dados recolhidos e os
avanços tecnológicos reportados em [European Comission 2012]. De resto, os restantes
elementos são os mesmos da Diretiva 95/46/CE, apesar de algumas diferenças (mental vs.
psíquico), mas que não alteram o entendimento dos mesmos.
A definição de tratamento de dados pessoais mantem-se quase igual em relação à Diretiva
95/46/CE, com a alteração de uma palavra e inclusão de uma nova. Em [Parlamento Europeu e
Conselho da União Europeia 2016], tratamento refere-se a “«Tratamento», uma operação ou
um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais,
por meios automatizados ou não automatizados, tais como a recolha, o registo, (…), a
estruturação, (…), a limitação, (…)”. A inclusão de “limitação” parece substituir directamente
a palavra “bloqueio” da Diretiva 95/46/CE, talvez para permitir uma suavização a eventuais
limitações no tratamento dos dados, ao invés de bloquear totalmente o tratamento.
A definição de consentimento por parte do titular, apesar de não mudar em substância, é
bastante mais fina e objetiva do que aquela encontrada na Diretiva 95/46/CE, designadamente
pelo reforçar que o consentimento tem de derivar de uma declaração ou de um ato positivo
52
inequívoco [Parlamento Europeu e Conselho da União Europeia 2016]. Eventualmente, esta
indicação poderá advir do regime de opt-in postulado na cookie Directive (E-Privacy 2009) que
veio forçar a declaração positiva da aceitação como efetivo consentimento.
Além das definições enumeradas acima, o RGPD introduz novas definições, algumas das quais
serão abordadas em pontos posteriores.
2.4.1.3. Princípios Relativos ao Tratamento de Dados Pessoais
Em termos de princípios relativos ao tratamento dos dados pessoais, as provisões no RGPD
mantêm-se praticamente inalteradas. Os únicos reforços dados são à transparência do
tratamento em relação ao titular dos dados, à segurança do tratamento, “incluindo a proteção
contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação
acidental, adotando as medidas técnicas ou organizativas adequadas («integridade e
confidencialidade»);” e ainda à responsabilização por parte do responsável do tratamento
quanto à licitude do tratamento e a sua obrigação de o demonstrar [Parlamento Europeu e
Conselho da União Europeia 2016], que não estavam expressas na Diretiva 95/46/CE. De resto,
a minimização dos dados, a limitação das finalidades e a limitação da conservação regem-se
pelos mesmos moldes do previsto na Diretiva 95/46/CE.
Quanto à licitude do tratamento, no RGPD é reforçado que, para o tratamento ser lícito, o titula r
dos dados tem de dar o seu consentimento para a(s) finalidade(s) específica(s), ou seja, reforça
o princípio de que, para cada tratamento com diferentes finalidades, cada um desses tratamentos
tem de ter o consentimento do titular desses dados, e não a política de “caixa negra” em que um
consentimento abarca várias finalidades. O consentimento, no entanto, pode ser um requisito
difícil de obter quando respeita a “dados enriquecidos”8 [Burden 2017].
Em termos de tratamento de categorias de dados especiais (dados sensíveis) tal é previsto no
RGPD aproximadamente nos mesmos termos que já era previsto na Diretiva 95/46/CE, à
exceção da inclusão no RGPD dos dados genéticos e biométricos na categoria de dados
sensíveis. Tal como já o era na Diretiva 95/46/CE, o tratamento destes dados é proibido, a não
ser que o titular dos mesmos dê o seu consentimento para tal, o que já levou o WP29 a emitir a
sua opinião quanto à efetiva validade dos consentimentos dados em termos do ambiente laboral,
mesmo para o tratamento de dados sensíveis. Refere o WP29 que, o caso especifico em que as
8 Dados enriquecidos remete para os dados que são gerados a partir da combinação de outros dados recolhidos,
sejam de fontes diferentes ou com propós itos diferentes
53
entidades empregadoras sujeitam os seus funcionários a utilizar wearable devices para
monitorizarem a sua saúde e atividades dificilmente poderá ser tratada com um consentimento
legalmente válido e explicito do funcionário, dada a dependência financeira do empregado para
com o empregador [WP29 2017b]. Outras situações em que o tratamento destes dados é
legítimo são aquelas matérias relacionadas com legislação laboral, proteção social ou segurança
social, para proteger os interesses vitais do titular, ou outros casos específicos.
Relativamente ao acesso aos dados, entende-se que o RGPD, não introduzindo mudanças
drásticas em relação ao praticado na Diretiva 95/46/CE, no entanto, denota uma atenção
redobrada nas responsabilidades dos tratadores para com os titulares dos dados. No artigo 12º
do RGPD são estabelecidas obrigações do tratador para com o titular, tais como, o uso de
linguagem simples e clara na prestação de informações ao titular devidamente fundamentadas
pelos artigos 13º a 22º e 34º, a gratuitidade obrigatória a esta prestação de informações (salvo
pedidos infundados ou excessivos), a facilitação do exercício dos direitos dos titulares previstos
nos artigos 15º a 22º e ainda a obrigação de resposta aos pedidos de exercícios de direitos dos
titulares num prazo máximo de um mês, salvo motivo devidamente justificado, com possível
extensão até dois meses. Estas situações de gratuidade do exercício dos direitos (direito de
acesso, direito de oposição) já estavam previstas na Diretiva 95/46/CE. Aparentemente, e talvez
para fortalecer a aplicação destes direitos, a gratuidade, a obrigação dos tratadores para com os
titulares e o estabelecimento de prazos concisos (ao invés das “demoras injustificadas” da
Diretiva 95/46/CE), tem o seu próprio artigo no RGPD.
Relativamente às informações a facultar ao titular dos dados, quando os dados são recolhidos
junto dele, o RGPD (artigo 13º) vai bastante mais além do que a Diretiva 95/46/CE. As
provisões do artigo 10º da Diretiva 95/46/CE são praticamente transcritas para o RGPD (artigo
14º). No entanto, o RGPD acrescenta a obrigação de ser fornecido ao titular um contacto do
responsável do tratamento e do encarregado de proteção de dados (DPO, como se verá na
secção a seguir), a intenção, se a houver, de transferir os dados pessoais para um país terceiro
e o parecer da Comissão quanto às transferências para esse país terceiro (no cumprimento de
um nível de proteção adequado) ou, caso este parecer não exista, as garantias apropriadas ou
adequadas de que os dados serão alvo nesse país terceiro (artigo 46º do RGPD), o prazo de
conservação dos dados, os direitos que assistem ao titular, particularmente, o direito de
apresentação de reclamação à autoridade de controlo nacional (que não era forçada na Diretiva
95/46/CE), a eventual obrigação legal do titular ceder os seus dados e a existência de decisões
54
automatizadas. Estas disposições serão derrogadas se o titular já tiver obtido conhecimento
destas informações previamente.
Quando os dados que não são recolhidos junto do titular (artigo 14º), as provisões são as
mesmas previstas para o artigo 13º, acrescendo ainda que o tratador tem de informar quais as
categorias de dados que foram recolhidas, dispondo de o prazo de um mês para comunicar as
informações obrigatórias após a recolha dos dados, no primeiro contacto possível, ou
imediatamente antes de enviar esses dados recolhidos a outro destinatário, e qual a origem dos
dados pessoais, qual será o prazo de conservação dos dados, todos os direitos que assistem ao
titular (retificação, limitação, retirada de consentimento e outros), a existência de decisões
individuais automatizadas e a possibilidade de apresentação de reclamação à autoridade de
controlo. A obrigação da prestação de informações aos titulares pode ser derrogada se tal
implicar um esforço desproporcionado, se o tratamento tiver como finalidade processamento
estatístico, investigação científica ou arquivo de interesse púbico. Esta derrogação já estava
prevista na Diretiva 95/46/CE. Cradock, Stalla-Bourdillon e Millard [2017] criticam a escrita
do artigo 14º do RGPD, alegando que não é clara a interpretação do ponto 4, no que se refere
às categorias de dados pessoais que estão a ser tratadas e que não existe no RGPD uma
abordagem coerente e consistente que o permita fazer. A incerteza sobre o que constitui uma
categoria de dados pessoais em relação a esta obrigação de informação pode levar a menos
transparência para com os titulares dos dados e dá o caso específico do endereço de IP como
sintomático desta necessidade de clarificar o que são as categorias de dados pessoais no RGPD
[Cradock, Stalla-Bourdillon e Millard 2017].
Em termos de direitos de acesso, o artigo 15º do RGPD não vai muito mais longe do que vai o
artigo 12 º da Diretiva 95/46/CE. O direito de acesso cobre as informações já prestadas ao titula r
dos dados nos artigos 13º e 14º, quer em providenciar ao titular informações das finalidades do
tratamento dos dados, as categorias dos dados a serem tratados, os destinatários (se os houver),
o prazo de conservação dos dados, os direitos do titular, particularizando o direito de
apresentação de uma reclamação à autoridade nacional de controlo e a comunicação ao titula r
das garantias de segurança providenciadas por uma entidade num país terceiro, para o qual
eventualmente os dados sejam transferidos. Estes dois últimos elementos não estavam previstos
no correspondente artigo 12º da Diretiva 95/46/CE. Por outro lado, no artigo 12º da Diretiva
95/46/CE está previsto o direito à retificação ou apagamento dos dados pessoais que estejam
desatualizados ou inexatos. Tal direito é encontrado no artigo 16º do RGPD, dizendo apenas
respeito à retificação, mas não ao apagamento dos dados. No artigo 18º do RGPD, onde estão
55
descritas as situações em que o titular dos dados pode solicitar a limitação do tratamento dos
seus dados, está incluída a inexatidão dos mesmos. Tanto para as situações previstas no artigo
16º como no artigo 18º, o responsável pelo tratamento de dados está obrigado à notificação dos
titulares, conforme o artigo 19º.
As limitações ao tratamento e à plena aplicação dos direitos dos titulares e obrigações dos
tratadores por imposição do direito da União ou dos Estados membros está regulada no artigo
23º do RGPD e tem termo de comparação com o artigo 13º da Diretiva 95/46/CE, em relação
ao qual não existem diferenças significativas. As motivações para a suspensão de alguns
direitos e obrigações previstos no RGPD justificam-se sobretudo com matérias de segurança
pública (segurança do estado, defesa, investigação de ações penais), os interesses económicos,
a saúde pública, entre outros. Os Estados membros devem dispor de medidas legislativas
explícitas relativas a alguns dos elementos a serem suspensos (por exemplo, as finalidades do
tratamento ou às diferentes categorias de tratamento).
Em relação ao direito de oposição, o mesmo é contemplado no artigo 14º da Diretiva 95/46/CE
e no artigo 21º do RGPD. Pelo RGPD estender o âmbito em que o tratamento de dados pessoais
é legítimo (por exemplo, o interesse legítimo do tratador ou o tratamento com fins compatíve is
aos quais os dados foram recolhidos), naturalmente, o direito à oposição também será mais
abrangente no RGPD do que na Diretiva 95/46/CE. Partilhando a aplicação com a Diretiva
95/46/CE, o RGPD permite o direito à oposição, mediante as condições descritas no articulado.
O RGPD mantém em relação à Diretiva 95/46/CE o direito dado ao titular de não se sujeitar a
decisões individuais automatizadas, e a escrita da lei mantém-se uniforme. No RGPD este
direito é conferido pelo artigo 22º, e apenas é permitida a perfilhação dos titulares dos dados
caso estes tenham dado o seu consentimento expresso, essa perfilhação decorra de uma
obrigação contratual, ou alguma lei nacional o preveja, desde que estejam salvaguardados os
direitos e liberdades individuais. Os dados sensíveis não podem ser usados para perfilhação,
exceto se o motivo se prender com o interesse público ou o titular dos mesmos tenha dado o
seu consentimento.
2.4.1.4. Obrigações Gerais para o Tratamento
O artigo 17º da Diretiva 95/46/CE tem como título a “Segurança do tratamento” e é abordada
nos artigos 24º e 28º do RGPD, apesar de o RGPD ter o seu próprio artigo com título “Segurança
do Tratamento”, como se verá a seguir. Estes artigos focam, sobretudo, o papel do responsável
56
pelo tratamento dos dados, as suas responsabilidades e normas de conduta aplicáveis aos
subcontratados. Define o RGPD no artigo 2º que o responsável pelo tratamento é “a pessoa
singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente
ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados
pessoais…”. A redação do artigo 24º do RGPD difere da encontrada no artigo 17º da Diretiva
95/46/CE, na medida em que o artigo descrito na Diretiva 95/46/CE foca sobretudo que o
responsável pelo tratamento é responsável pela licitude do tratamento dos dados, enquanto no
RGPD este aspeto é focado, mas é também evidenciado que o responsável pelo tratamento tem
de tomar as medidas técnicas e organizativas que provem que o tratamento é realizado em
conformidade com o Regulamento. Para atestar esta conformidade, o responsável poderá
cumprir códigos de conduta ou procedimentos de certificação aprovados pela Comissão
Europeia, Autoridades de Controlo, Estados-Membros ou pelo Comité Europeu de Protecção
de Dados. Por outro lado, o artigo 28º do RGPD é bastante mais completo em termos de
obrigações do subcontratado para com o responsável de tratamento, incumbindo- lhe, entre
outros, a obrigação de notificar o responsável caso exista um outro subcontratante associado, a
obrigação de apagar ou entregar os dados pessoais tratados ao responsável uma vez terminado
o contrato de tratamento, e atuar apenas mediante instruções do responsável do tratamento.
O RGPD prevê no seu artigo 30º que os responsáveis pelo tratamento e subcontratantes (e se
for o caso, os representantes dos mesmos e do encarregado de proteção de dados) mantenham
um registo de todas as atividades de tratamento, se a organização responsável pelo tratamento
tiver mais de 250 trabalhadores ou o tratamento que é realizado seja suscetível de implica r
riscos para os direitos e liberdades dos titulares dos dados. Esta obrigação já estava prevista no
artigo 21º Diretiva 95/46/CE, no entanto, à luz desta diretiva, , seriam as autoridades de controlo
a ter de manter este registo, por outro lado, nos casos em que não fosse necessário notificar à
autoridade de controlo, cabia aos responsáveis pelo tratamento a responsabilidade de manter
esse registo, contendo este registo no entanto, parcas informações. Além disso, no RGPD, as
informações a constar deste registo são as mesmas que já eram previstas no artigo 21º da
Diretiva 95/46/CE, acrescendo apenas a informação relativa aos prazos para apagamento dos
dados.
2.4.1.5. Transferências de Dados Pessoais para Países Terceiros
As transferências de dados pessoais para países terceiros estão reguladas no RGPD nos artigos
44º, 45º e 46º, sendo que apenas as situações previstas nos artigos 44º e 45º encontram
57
similaridade na Diretiva 95/46/CE, nomeadamente, no seu artigo 25º. O artigo 44º do RGPD e
o ponto 1. do artigo 25º da Diretiva, na sua essência, referem-se à mesma situação, ou seja,
qualquer transferência de dados para países terceiros só deverá ocorrer se esse país terceiro
assegurar o cumprimento da lei de proteção de dados pessoais em vigor do país emissor. O
artigo 45º do RGPD encontra semelhanças no artigo 25º da Diretiva 95/46/CE, na medida em
que o primeiro regula as transferências com base numa decisão de adequação do país
destinatário por parte da Comissão, sendo esse o caso geral das permissões de transferênc ias
descritas no artigo 25 da Diretiva 95/46/CE. Por outro lado, na Diretiva 95/46/CE, mesmo sem
o parecer da Comissão quanto à adequação de um dado país terceiro para garantir a proteção
dos dados pessoais dos titulares, o artigo 26º prevê uma série de derrogações possíveis, cuja
responsabilidade recai sobretudo no próprio titular dos dados, o que não se verifica no novo
RGPD.
2.4.1.6. Códigos de Conduta e Certificação
Tal como já se encontrava previsto no artigo 27º da Diretiva 95/46/CE, o RGPD também prevê,
nos seus artigos 40º e 41º, a promoção de códigos de conduta que visam o cumprimento da lei
de proteção de dados. Estes códigos de conduta, elaborados por associações profissionais ou
outros organismos representantes de categorias de responsáveis pelo tratamento de dados, são
aprovados exclusivamente pela autoridade de controlo (artigo 27º da Diretiva 95/46/CE e artigo
40º do RGPD) ou por outra entidade, devidamente acreditada pela autoridade de controlo
(artigo 41º do RGPD).
2.4.1.7. Autoridade de Controlo
O RGPD prevê no seu articulado bastantes mais disposições relativas à Autoridade de Controlo
do que a Diretiva 95/46/CE. No RGPD, a Autoridade de Controlo é(são) a(s) autoridade(s)
pública(s) “independentes (às quais cabe) a responsabilidade pela fiscalização da aplicação do
presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas
singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União”.
As mais numerosas disposições no RGPD derivam de que as competências, atribuições,
composição e funcionamento das autoridades de controlo estão previstas pelas respetivas leis
nacionais, como a Lei 67/98, em vez de estarem maioritariamente presentes na Diretiva
95/46/CE. Se forem analisadas as disposições relativas à Comissão Nacional de Proteção de
58
Dados (CNPD), autoridade de controlo em Portugal, à luz da Lei 67/98, verifica-se que a CNPD
tem como principais atribuições o controlo e fiscalização da aplicação da lei, sendo-lhe dado
para isso poderes e investigação, inquérito e autoridade. As suas principais competências
prendem-se com autorizações ao tratamento dos dados e assuntos conexos, garantia de exercício
dos direitos por parte dos titulares dos dados, dar seguimento a pedidos e reclamações relativas
à lei de proteção de dados pessoais, deliberação sobre aplicação de coimas, promover e apreciar
códigos de conduta e promover a divulgação e esclarecimento dos direitos relativos à proteção
de dados. Por outro lado, no RGPD algumas destas atribuições são mantidas (artigo 57º), como
a sensibilização para os termos presentes na lei, aprovação de códigos de conduta,
encaminhamento de reclamações e garante do exercício dos direitos dos titulares outros. No
entanto, é evidente a supressão de responsabilidades de autorizações de tratamento e de
transferências de dados para países terceiros. Estas responsabilidades, tal como já foi
mencionado, passam a estar do lado dos responsáveis do tratamento, e a autoridade de controlo
mantém os poderes de auditoria aos responsáveis e subcontratantes (artigo 58º RGPD),
produção de advertências, emissão de pareceres, etc. Ou seja, em relação à Diretiva 95/46/CE
e, consequentemente, à Lei 67/98, os poderes e responsabilidades da autoridade de controlo são
acrescidas, mas não em termos de terem alguma relação com o tratamento, como por exemplo,
manter o registo de atividades de tratamento (artigo 21º da Directiva 95/46/CE), mas sim de o
investigar, corrigir, consultar e eventualmente punir. Em Portugal, ainda não existe decisão
vinculativa sobre qual o organismo a desempenhar o papel de autoridade de controlo, mas, ao
que tudo indica, manter-se-á a CNPD.
A preparação das autoridades de controlo nacionais para com as tecnologias de informação foi
estudada por Raab e Szekely [2017]. Pode-se verificar nesse estudo que, quando questionadas
as autoridades de controlo sobre os seus conhecimentos na área das tecnologias da informação
(como bases de dados ou internet), as mesmas revelam que têm baixos conhecimentos na área
ou, no melhor dos casos, que os precisam de melhorar. É assim importante que as próprias
autoridades de controlo, como entidades supervisoras, consigam pelo menos acompanhar a
evolução tecnológica para que o seu trabalho de supervisão seja efetivo [Raab e Szekely 2017].
No entanto, de acordo com Barnard-Wills [2017], nem todas as autoridades de controlo
conseguem acompanhar a evolução tecnológica e as suas ameaças para a privacidade dos dados
pessoais, e recomenda, por isso, maior cooperação entre as autoridades de controlo na
prospeção tecnológica.
59
O RGPD prevê ainda uma série de artigos referentes à cooperação entre autoridades de controlo
europeias e o Comité, que é abordado no ponto seguinte, nos artigos 60º a 67º.
2.4.1.8. Comité Europeu para a Proteção de Dados
Os artigos 68º, 69º e 70º estabelecem a criação, estatuto e atribuições do Comité Europeu para
a Proteção de Dados. Este Comité virá substituir o WP29, estabelecido no artigo 29º da Diretiva
95/46/CE, uma vez que, com a revogação da Diretiva 95/46/CE, o WP29 deixa de ter
fundamento legal para existência, sendo que o Comité terá mais poderes do que aqueles
prescritos ao WP29. O WP29 tinha apenas poderes consultivos, ao passo que o Comité deve
assegurar a aplicação coerente do regulamento (sem se substituir às autoridades de controlo
nacionais) através da emissão (por sua iniciativa ou a pedido da Comissão Europeia) de
diretrizes, recomendações, melhores práticas, pareceres e outros instrumentos, relacionados
com a proteção de dados pessoais na União e com todo o articulado do RGPD. Cabe ao Comité,
por exemplo, “definir mais concretamente os critérios e condições aplicáveis às decisões
baseadas na definição de perfis, nos termos do artigo 22º, n. 2;” ou definir “a respeito das
circunstâncias em que as violações de dados pessoais são suscetíveis de resultar num risco
elevado para os direitos e liberdades das pessoas singulares a que se refere o artigo 34º, n. 1”.
Os artigos 71º a 76º completam a definição do Comité.
2.4.1.9. Vias de Recurso, Responsabilidades e Sanções
O RGPD prevê, no seu artigo 77º, o direito de qualquer titular de dados apresentar uma queixa
à autoridade de controlo, sem prejuízo de utilizar qualquer outra via administrativa ou legal, se
o titular dos dados considerar que o tratamento dos seus dados viola o RGPD. Este direito já se
encontrava previsto no artigo 22º da Diretiva 95/46/CE e, em particular, no artigo 33º da Lei
67/98. No entanto, a escrita do artigo no RGPD parece reforçar o papel da autoridade de
controlo como primeiro meio de socorro em caso de contingência, enquanto na Diretiva
95/46/CE e na transposição portuguesa, o meio de contingência salientado são os meios
administrativos e jurisdicionais, designadamente os tribunais. Possivelmente, esta mudança
sintática não reflete a alteração semântica sugerida acima, mas caso refletisse, iria alinhar a
autoridade de controlo mais com o cariz fiscalizador e plataforma de supervisão que é
amplificada no RGPD. A contribuir para esta interpretação encontra-se o facto de, na Lei 67/98,
a única referência explícita à capacidade da CNPD analisar queixas e reclamações encontra-se
60
numa das suas dezassete competências (artigo 23º), enquanto no RGPD lhe é dedicado um
Artigo por inteiro.
O RGPD também prevê nos artigos 78º e 79º a possibilidade de ser intentada uma ação judicia l
contra a autoridade de controlo e contra o responsável pelo tratamento ou subcontratante,
respetivamente. Tais provisões não eram descritas na Diretiva 95/46/CE nem na Lei 67/98.
Nomeadamente, os titulares podem apresentar queixa judicial contra a autoridade de controlo
em caso de discórdia com as decisões juridicamente vinculativas da autoridade de controlo, se
a autoridade de controlo não tratar uma eventual reclamação de um titular de dados pessoais ou
não informar, no prazo de três meses, o titular dos dados sobre o andamento de um processo de
reclamação. Os titulares podem apresentar queixa contra o responsável de tratamento ou o
subcontratante se considerarem ter havido uma violação dos direitos conferidos pelo RGPD.
Já previsto na Diretiva 95/46/CE (artigo 23º) e na Lei n.º 67/98 (artigo 34º), o RGPD mantém
o artigo (artigo 82º) que permite ao titular dos dados receber uma indeminização do responsável
pelo tratamento ou do subcontratante, por danos materiais ou imateriais decorrentes de uma
violação dos seus dados pessoais.
Em termos sancionatórios, a diferença de valores praticada entre a Diretiva 95/46/CE e o
previsto na Lei portuguesa n.º 67/98 é abismal. Tal como foi observado no ponto 2.2.4, no
máximo, os montantes sancionatórios na lei portuguesa iam até aos 10 mil euros, nos casos
mais graves. No RGPD, os montantes sancionatórios a serem pagos, poderão ir, desde 2% do
volume de negócios do ano transato ao da infração (no caso de o responsável ser uma empresa)
ou 10 milhões de euros, dependendo de qual valor é maior, para alguns tipos de infrações, ou
até 4% do volume de negócios do ano transato ao da infração (no caso do responsável ser uma
empresa) ou 20 milhões de euros, dependendo de qual valor é maior, para outros tipos de
infrações. Deverá ser notado que estes são valores máximos. Por outro lado, a Lei 67/98 previa
penas de cadeia para certos tipos de violações de dados, casos que estão aparentemente
excluídos do RGPD, havendo, no entanto, liberdade legislativa dos Estados-Membros para
legislarem sobre este aspeto. Nota-se assim, em termos de sanções, um claro agravamento das
mesmas, em relação ao previsto na Diretiva 95/46/CE e na respetiva Lei Portuguesa 67/98. Tal
postura por parte do Regulamento é um reconhecimento dos perigos a que as violações dos
dados pessoais podem levar e do papel de responsabilidade que os responsáveis pelo tratamento
têm em mãos cada vez que lidam com dados pessoais.
2.4.1.10. Disposições relativas a Situações Específicas de Tratamento
61
Por fim, o RGPD prevê uma série de situações específicas onde os Estados-Membros terão a
opção de legislar. Situações decorrentes do tratamento e liberdade de expressão e de
informação, tratamento e acesso do público a documentos oficiais, tratamento do número de
identificação natural, tratamento em contexto laboral e outros, são indicadas no RGPD como
sendo da responsabilidade do Estado Membro legislar. Por comparação, na Diretiva 95/46/CE
apenas os tratamentos relativos ao tratamento e liberdade de expressão estavam mencionados
como casos específicos que cabe ao Estado Membro legislar.
2.4.1.11. Conclusão
Através desta comparação entre a Diretiva 95/46/CE e o novo RGPD, torna-se evidente que,
para os aspetos mencionados, o RGPD não vem acrescentar nada de totalmente disruptivo ou
transcendente. É evidente o facto de que há uma mudança de paradigma das autoridades de
controlo para, de uma postura ativa e dotando-se de mais poderes e deveres inspetivos. Também
existem mudanças importantes no âmbito territorial da aplicação da lei, sendo que os cidadãos
europeus estão agora mais protegidos pela lei de proteção de dados do que estavam antes. As
próprias definições de dados pessoais e tratamento foram estendidas a outros elementos.
Todavia, em termos de princípios relativos ao tratamento de dados, tanto em matéria de direitos
como de obrigações, aqueles que transitam da Diretiva 95/46/CE não sofrem alterações
drásticas. A alteração que fará efetivamente com que as organizações se acautelem quanto ao
legítimo tratamento de dados parece ser mesmo o montante das penas em que incorrem caso
ocorra alguma violação.
De relembrar, que neste ponto apenas foram comparadas as provisões que transitaram da
Diretiva 95/46/CE para o RGPD. O RGPD contém outras provisões, completamente novas, que
vão desde novos direitos que assistem aos titulares dos dados, incluindo crianças, até a novas
garantias de segurança que as organizações terão de pôr em prática para se encontrarem em
conformidade com o novo Regulamento. Estas novas provisões são tratadas na subsecção
seguinte.
2.4.2. Inovações do RGPD face à Diretiva 95/46/CE
O novo RGPD, além de mudar alguns aspetos contemplados na Diretiva 95/46/CE, acrescenta
provisões, que atravessam todo o Regulamento. Nestat subsecção procura-se apontar esses
acréscimos do RGPD e o que eles poderão significar.
62
2.4.2.1. Definições
A subsecção anterior sobre as definições incluíu as principais mudanças introduzidas pelo
RGPD relativamente à Diretiva 95/46/CE, no entanto, o RGPD também acrescenta novas
definições. Provavelmente, as novas definições mais importantes que se encontram no RGPD
são aquelas que se referem à pseudonimização e violação de dados pessoais.
À luz do RGPD, pseudonimização refere-se ao “tratamento de dados pessoais de forma que
deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações
suplementares, desde que essas informações suplementares sejam mantidas separadamente e
sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam
ser atribuídos a uma pessoa singular identificada ou identificável;”. O âmbito de aplicação da
pseudonimização será discutido mais à frente, no entanto, é percetível que o RGPD, sendo
tecnologicamente neutro (considerando 15)), avança com medidas que poderão ajudar a
cumprir as provisões regulamentares.
Por “violação de dados pessoais” o RGPD entende como sendo “uma violação da segurança
que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou
o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer
outro tipo de tratamento;”. Apesar de parecer um conceito relativamente fácil de consumar, a
sua descrição no Regulamento retira ambiguidades na interpretação, o que permitirá, por um
lado, uma análise mais objetiva das queixas por parte das autoridades de controlo e tribunais e
por outro, permitirá aos responsáveis pelo tratamento dos dados tomar medidas para a mitigação
de riscos.
Além destas novas definições, o RGPD contempla também definições de “dados genéticos”,
“dados biométricos”, “dados relativos à saúde” que também tem impacto no RGPD, mas que
aqui são deixados num plano secundário.
2.4.2.2. Princípios
Já foi reforçado na subsecção 2.4.1.3 a transparência para com o titular dos dados, a segurança
do tratamento e a responsabilização dada ao responsável pelo tratamento. No entanto, o RGPD
também tem novas provisões relativas aos princípios de tratamento. É sabido que o tratamento
só pode ocorrer se o titular tiver dado o seu consentimento, porém, o RGPD prevê no seu artigo
7º que o responsável pelo tratamento tem de conseguir provar que o titular dos dados deu o seu
consentimento, situação que não era tão clara na Diretiva 95/46/CE, o que levanta novamente
63
questões em relação ao tratamento dentro dos legítimos interesses do tratador e aos tratamentos
compatíveis posteriores.
No artigo 89º do RGPD descrevem-se os tratamentos para fins estatísticos e históricos como
interesses compatíveis. Ao abrigo deste direito, o titular pode ainda levantar o seu
consentimento a qualquer momento.
O artigo 8º do RGPD foca pela primeira vez o consentimento quando aplicado ao caso das
crianças. Diversos considerandos (58, 38,65) plasmados no RGPD focam a transparência que
deve ser dada às crianças e a proteção que lhes deve ser dada pela falta de consciência quanto
à importância dos dados pessoais.
O RGPD prevê, ainda, o caso de, se por alguma eventualidade, os dados pessoais deixarem de
ser necessários para os propósitos do tratamento para que foram recolhidos, o responsável pelo
tratamento não é obrigado a manter, obter ou tratar informações suplementares que lhe
permitam identificar o titular dos dados.
2.4.2.3. Novos Direitos dos Titulares dos Dados
O RGPD introduz dois novos direitos explícitos, explanados nos artigos 17º e 20º. O artigo 17º
refere-se ao direito de apagamento dos dados, mais conhecido por “direito a ser esquecido”.
Este novo direito, em parte, vem reforçar o que já está exposto no artigo 5º alínea e): “Os dados
pessoais são conservados (…) apenas durante o período necessário para as finalidades para os
quais são tratados.”, mas também oferece a possibilidade aos titulares de solicitarem o
apagamento dos seus dados desde que não infrinja o exercício da liberdade de expressão e da
informação, por motivos de interesse público, para fins de arquivamento histórico ou estatístico
ou, e principalmente, quando nenhuma obrigação legal imponha ao responsável pelo tratamento
a continuação do tratamento dos dados, ou outros motivos a consultar no Regulamento. Por
exemplo, após emissão de fatura, mesmo que o titular dos dados solicite o direito a ser
esquecido, o emissor não o poderá fazer devido à obrigação de conservar as faturas do IVA
pelo menos durante 10 anos. De resto, o titular pode solicitar o apagamento dos seus dados
desde que os seus dados não sejam mais necessários relativamente aos fins para os quais foram
recolhidos, que não haja interesses legítimos do tratador que prevaleçam sobre este direito do
titular, que não exista fundamento jurídico para o tratamento, se não quiser ser sujeito a
perfilhação, alvo de marketing direto, se os dados foram tratados ilicitamente ou se os dados
pessoais foram recolhidos no contexto de oferta de serviços da sociedade da informação a
64
crianças. Para Mantelero [2013], o direito a ser esquecido nasce da necessidade individual da
autodeterminação, de se desenvolver sem ser estigmatizado por uma qualquer ação decorrida
no passado. A prescrição desde direito no RGPD vem em consequência da decisão do tribuna l
europeu no caso “Alfacs Vacances vs. Google”, onde o primeiro exigiu o apagamento de dados
a si referentes do motor de pesquisa da Google [Mantelero 2013].
O artigo 20º, por outro lado, dá ao titular o direito de solicitar a portabilidade dos seus dados.
De acordo com este direito, o titular pode solicitar ao tratador de dados a receção dos dados que
lhe digam respeito, e que tenha fornecido a um responsável de tratamento num formato
estruturado, de uso corrente e de leitura automática (formato XML, por exemplo), e o posterior
direito de os transmitir a outro responsável pelo tratamento de dados, sem que o primeiro o
possa impedir, desde que o tratamento tenha sido lícito ou o tratamento tenha sido realizado
por meios automatizados. O titular dos dados pode também solicitar a portabilidade direta dos
dados pessoais entre responsáveis, desde que tal seja tecnicamente possível. Este direito não
pode atropelar direitos e liberdades de terceiros.
A portabilidade dos dados tem como vantagens a proteção ao consumidor, assim como para os
fornecedores de serviços on-line, pois pode ajudar a construir uma relação de confiança entre
consumidores e fornecedores [Van der Auwermeulen 2017]. Por outro lado, a portabilidade dos
dados poderá ter efeitos adversos na privacidade dos utilizadores, em particular nas questões
relacionadas com fraude de identidade, e riscos para a propriedade intelectual (de quem são os
dados e até onde é que serão considerados dados pessoais) [Van der Auwermeulen 2017]. Os
objetivos da integração do direito à portabilidade no RGPD são: primeiro, criar confiança no
ambiente online (através da dotação aos titulares dos dados o controlo dos mesmos), segundo,
mitigaros efeitos de lock-in (muito evidentes em serviços cloud ou telecomunicações, por
exemplo) e prevenir efeitos de monopolização do mercado dos dados pessoais [Van der
Auwermeulen 2017]. No entanto, a interpretação do direito de receção dos dados pessoais que
digam respeito ao titular e que o titular tenha fornecido ao responsável pelo tratamento levanta
algumas questões, nomeadamente no que se refere aos dados que resultam da fusão dos dados
fornecidos pelo titular e pelo provedor do serviço estarem ou não cobertos por este direito, algo
que ainda não está clarificado.
2.4.2.4. Segurança e Notificações
O artigo 25º foca mais um aspeto que não foi abordado pela Diretiva 95/46/CE. Em 2.4.1.4 foi
mencionado o artigo 24º do RGPD, tendo-se indicado que cabe ao responsável pelo tratamento
65
a implementação de medidas técnicas e organizativas para garantir a conformidade com o
RGPD, o que é estendido no novo artigo 25º.
O Artigo 25º impõe ao responsável pelo tratamento dos dados a responsabilidade de, “tendo em
conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto
e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para
os direitos e liberdades das pessoas singulares, (…)” aplicar, “tanto no momento de definição
dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e
organizativas adequadas como a pseudonimização, destinadas a aplicar com eficácia os
princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias
no tratamento, ” com vista a cumprir o Regulamento. Ainda no mesmo artigo, cabe ao
responsável pelo tratamento a implementação de medidas técnicas e organizativas que, por
omissão, garantam que os dados só serão tratados para os fins especificados, minimizem os
dados, delimitem a extensão até onde os mesmos são tratados, o prazo de conservação e a
acessibilidade aos mesmos. Ou seja, a privacidade tem de ser por omissão (privacy by default)
e por definição (privacy by design). Este tipo de procedimentos é útil para diminuir o impacto
de ataques informáticos premeditados, como por exemplo, o ramsonware [Green 2017].
De acordo com [Cavoukian 2012], a privacy by design rege-se por sete princípios basilares:
• Proátivo (não reativo);
• Privacidade como configuração padrão;
• Privacidade embebida no design;
• Funcionalidade plena – soma positiva, não soma nula;
• Segurança de ponta a ponta – protecção completa no ciclo de vida;
• Visibilidade e Transparância;
• Respeito pela privacidade do utilizador;
Tem-se assim que a Privacy by Design não é uma originalidade introduzida pelo RGPD. Já em
2013 Balboni e Macenaite [2013] estudaram a implementação de princípios de Privacy by
Design nas Financial Intelligence Units (unidades presentes nos Estados-Membros que visam
combater a lavagem de dinheiro e outros crimes financeiros que em Portugal está integrada na
Polícia Judiciária) quando estas passaram a usar a tecnologia Ma3tch para trocas de informação
entre entidades. De acordo com os autores, as principais medidas utilizadas são a anonimização
dos dados pessoais que são consultados através de uma função hash, a minimização dos dados
e segurança dos dados, nomeadamente ao nível da utilização de vários filtros disseminados por
66
todas as Financial Intelligence Units e na utilização de arquitecturas de informação
descentralizadas, onde partições da informação são alojadas em diferentes locais.
A maturação dos processos de segurança e privacidade, além de serem obrigatórios face ao
RGPD, também se revelam obrigatórios face aqueles que se querem proteger contra eventuais
violações de dados e interrupções de serviço [Franke 2017]. Ou seja, este novo paradigma de
regulamentação irá introduzir mudanças significativas em todo o mercado circundante e
acessório da segurança de dados pessoais.
A complementar claramente o artigo 25º, surge o artigo 32º, onde são indicadas medidas que
sustentam o privacy by design. Entre as medidas elencadas pode-se destacar a pseudonimização
ou cifragem dos dados.
Relativamente à pseudonimização e cifragem é necessário clarificar alguns pontos. Na opinião
do WP29 sobre técnicas de anonimização [WP29 2014a], é feita uma clara diferença entre os
dados que são pseudonimizados e os dados que são anonimizados. Para [WP29 2014a], a
pseudonimização pode ser materializada através da cifragem do atributo único com uma chave
secreta, com uma função hash ou outras técnicas. Ainda de acordo com [WP29 2014a] e
[Bolognini e Bistolfi 2017], a pseudonimização consiste em substituir um atributo de um registo
(normalmente um atributo único, como o número do Cartão de Cidadão, por exemplo) por
outro, o que, continua a permitir a identificação indireta do titular dos dados, para o emissor e
não deverá permitir para o receptor. Por outras palavras, apesar da pseudonimização reduzir os
riscos de re-identificação dos dados, não os reduz de forma significativa [Stalla-Bourdillon e
Knight 2017] e uma medida organizativa básica para evitar re-identificação dos dados
pseudonimizados será armazenar o sistema criptográfico ou a função hash separadamente dos
dados [Bolognini e Bistolfi 2017]. Os dados anonimizados não entram no âmbito do RGPD
(considerando 26), o que poderá levar muitos tratadores de dados a anonimizarem dados
pessoais que possam ter em arquivo ou que não percam valor comercial depois de
anonimizados, no entanto [Stalla-Bourdillon e Knight 2017] alegam que a exclusão dos dados
anónimos pode ser problemática porque existe uma adoção implícita de uma perspetiva de
anonimização estática, o que não deverá ser a regra pois os dados anonimizados podem tornar-
se pessoais outra vez mediante ligação com outros dados e a finalidade do tratamento [Stalla-
Bourdillon e Knight 2017] e sobretudo com a evolução dos sistemas de re-identificação
[Bolognini e Bistolfi 2017]. As mesmas preocupações sobre a re-identificação de dados
anónimos são levantadas pelo WP29 em [WP29 2014a].
67
O artigo 27º reporta à aplicação territorial do RGPD e segundo este artigo, quando estiver em
causa a oferta de bens e serviços ou o controlo do comportamento de cidadãos estabelecidos na
União Europeia, por um subcontratante ou responsável pelo tratamento estabelecido fora da
União Europeia, o responsável do tratamento ou o subcontratante deve designar na União um
seu representante, a não ser que a Comissão Europeia tenha considerado esse país como
cumpridor de um nível adequado de proteção. De facto, em Hare [2016] é possível verificar a
apreensão de que o mais recente acordo para transferência de dados entre a Europa e os Estados
Unidos (o Privacy-Shield) pudesse cair (o acordo foi entretanto aprovado e está em vigor) e o
trabalho conjunto dos Estados-Membros e instituições europeias para se defenderem contra a
vigilância por parte dos Estados Unidos. Esta “balcanização” de posições demonstra bem como
o novo Regulamento pode provocar tensões de alto nível institucional.
O articulado no artigo 31º (Cooperação com a Autoridade de Controlo) é novo e vem, de certa
forma, substituir o artigo 18º da Diretiva 95/46/CE. Esta afirmação pode ser corroborada pelo
considerando 89, que refere exatamente que a constante notificação do tratamento à Autoridade
de Controlo coloca muita carga administrativa e que por isso deve ser suprimida. Com o artigo
31º, os responsáveis pelo tratamento e subcontratantes têm a obrigação de cooperar com a
autoridade de controlo, a pedido desta. Por fim, e não tendo precedentes na Diretiva 95/46/CE
nem na Lei 67/98, mas presente no artigo 4º da E-Privacy 2002, o RGPD, no seu artigo 33º,
obriga o responsável pelo tratamento a notificar a autoridade de controlo, até 72 horas no
máximo, após ter conhecimento da ocorrência de uma violação de dados, a não ser que essa
violação não coloque em causa os direitos e liberdades fundamentais do titular, sendo que, caso
ocorra algum atraso no envio da notificação, após as 72 horas, a notificação deverá ser
acompanhada por uma justificação para o atraso. O responsável pelo tratamento é obrigado
também, à luz do artigo 34º a comunicar essa violação ao titular dos dados, se da violação
puderem resultar riscos elevados para os direitos e liberdades do titular.
2.4.2.5. Avaliações de Impacto do Tratamento dos Dados
Outra inovação introduzida pelo RGPD é a obrigatoriedade de o responsável pelo tratamento
realizar avaliações de impacto do tratamento dos dados para com o titular dos mesmos. A
obrigatoriedade está descrita no artigo 35º e refere que quando o tipo de tratamento a utiliza r,
especialmente envolvendo novas tecnologias, for suscetível de implicar riscos elevados para os
direitos e liberdades das pessoas, a avaliação de impacto deve ser realizada antes das operações
de tratamento. É referido no ponto 3. desse artigo que os tratamentos que digam respeito a
68
avaliações sistemáticas e completas dos dados pessoais, baseada em tratamentos automatizados,
operações de tratamento de grande escala de dados sensíveis ou de controlo de zonas acessíveis
ao público, têm obrigatoriamente de ter uma avaliação de impacto. A autoridade de controlo
deve criar listas de tratamentos isentos das avaliações de impacto e listas de tratamentos para
os quais é obrigatória a avaliação de impacto. O artigo descreve, ainda, os campos
obrigatoriamente constantes da avaliação de impacto e outras regras. Segundo Van Dijk, Gellert
e Rommetveit [2016], as questões que serão levantadas em termos de proteção de direitos e
violações irão extravasar as questões legais e serão compartilhadas entre atores de equipas
multidisciplinares. Os mesmos autores advogam que as avaliações de impacto do tratamento
dos dados não podem levar em conta apenas os métodos baseados no risco, mas também devem
ter a contribuição de advogados e do próprio público envolvido pela tecnologia.
O artigo 36º também é novo e surge em consequência do artigo 35º. Refere o artigo 36º que,
caso uma avaliação de impacto sobre os dados pessoais levada a cabo pelo responsável pelo
tratamento resultar num elevado risco para o titular dos dados (na ausência de medidas
mitigadoras por parte do responsável), este deve consultar a autoridade de controlo naciona l.
Caberá à autoridade nacional, se detetar irregularidades ou insuficiências na avaliação de
impacto do tratamento dos dados, elaborar recomendações e orientações ao responsável pelo
tratamento e ao subcontratante, se o houver.
2.4.2.6. Encarregado de Proteção de Dados
Os artigos 37º, 38º e 39º do RGPD regulam a obrigatoriedade, a posição e as funções do
Encarregado de Proteção de Dados (EPD)9. É importante notar que a Diretiva 95/46/CE já
previa a nomeação de um encarregado de proteção de dados, nomeadamente no artigo 18º, no
entanto, a sua nomeação não era obrigatória. Na Diretiva 95/46/CE a nomeação do encarregado
de proteção de dados permitia aos tratadores de dados isentarem-se da obrigação de notificação
dos tratamentos efetuados à autoridade nacional, passando as responsabilidades de
cumprimento com a lei para esse encarregado de proteção de dados e assegurar o registo de
tratamentos, que na normalidade dos casos, era responsabilidade da autoridade de controlo.
No entanto, no RGPD muda drasticamente o papel do DPO nas organizações. O artigo 37º vem
impor a obrigatoriedade de nomeação de um DPO por parte do responsável pelo tratamento e
9 Em ingles Data Protection Officer (DPO)
69
do subcontratante sempre que o “tratador” for um organismo público ou autoridade pública
{precisa de introduzir a salvaguarda de não aplicação a tribunais, etc.}, que as atividades
principais de tratamento exijam um controlo regular e sistemático dos titulares dos dados em
grande escala ou se as atividades principais consistem em operações de tratamento em grande
escala de dados sensíveis ou dados relacionados com condenações penais e infrações.
Como se pode observar, o entendimento da obrigatoriedade da nomeação do DPO não é
totalmente claro, pois contém muitas referências ambíguas, como por exemplo “o controlo
regular” ou “em grande escala”. Para clarificar o entendimento, o WP29 emitiu o “Guidelines
for Data Protection Officers (DPO’s)” [WP29 2016a]. Neste documento são dados diversos
exemplos para explicar o entendimento que deve ser dado ao artigo 37º. Por exemplo, por
“atividades principais” entende-se como operações chave e nucleares para atingir os objetivos
do responsável pelo tratamento ou do subcontratante. Outro exemplo refere-se ao
processamento de dados relacionados com a saúde ser uma das principais atividades de um
hospital, logo um hospital terá que nomear um DPO.
Para definir “grande escala”, o WP29 recomenda a análise de quatro fatores decisórios: número
de titulares (seja um número absoluto ou em percentagem da população), volume de dados e/ou
a gama de categorias de dados processados, a duração da atividade e a extensão geográfica da
mesma. Alguns exemplos de processamentos de dados em “larga escala” são: processamento
de dados dos utentes regularmente num hospital, processamento de dados de passageiros de um
sistema de transportes urbanos, processamento de dados de geo-localizaçao por parte de uma
grande cadeia de retalho ou alimentação para efeitos estatísticos e outros [WP29 2016a].
“Controlo regular” diz respeito a: controlo em curso, ou em intervalos de tempo fixos,
recorrente ou repetido em vários horários, ou constantemente ou periodicamente. “Sistemático
dos dados” diz respeito a ocorrer sob um sistema, pré-marcado, organizado ou metódico,
ocorrendo como parte de um todo, ou realizado como integrante de uma estratégia. Atividades
que materializam este “controlo regular e sistemático” são sobretudo a operações de perfilação
e marketing comportamental, mas também a rastreamento de localização, CCTV,10 redes de
telecomunicações, redireccionamento de mensagens de correio eletrónico, etc.
10 CCTV, de acordo com o dicionário de Cambridge, é a abreviação de Closed Circuit Television, que é um sistema
que envia sinais de televisão a um número limitado de monitores, normalmente usado em lojas ou espaços públicos
para prevenção da criminalidade [Cambridge Advanced Learner’s Dictionary & Thesaurus sem data]
70
O artigo 37º refere ainda que a pessoa a designar como DPO deve mostrar competências na
área do direito e das práticas de proteção de dados, podendo ou não fazer parte dos quadros da
organização. Um grupo de empresas pode designar um único DPO, do mesmo modo, os órgãos
ou autoridades públicas podem designar um único DPO para várias entidades, de acordo com
suas estruturas organizacionais. Estas competências transversais requeridas ao DPO serão
essenciais para garantir a segurança dos dados de todo o negócio, em oposição a departamentos
individuais e diferentes [Zerlang 2017].
O artigo 38º define o posicionamento do DPO na organização. Neste sentido, o responsável
pelo tratamento e o subcontratante, se o houver, têm de incluir o DPO em todas as questões
relacionadas com os dados pessoais e têm de dar suporte às atividades do DPO, fornecendo- lhe
os recursos necessários ao desempenho dessas atividades. Além disso, o responsável pelo
tratamento e o subcontratante asseguram que o DPO não recebe instruções que condicionem o
seu papel, não pode ser destituído ou penalizado por exercer as suas funções e, caso exerça
outras funções paralelas na organização, essas funções não podem resultar em conflitos de
interesse com o seu papel como DPO. Tendo o correto suporte do responsável e do
subcontratado, o DPO tem de assumir uma série de funções (Artigo 39º) nomeadamente :
informar e aconselhar o responsável pelo tratamento e o subcontratante das suas obrigações
para com o RGPD, ou seja, pode assumir um papel de coordenação entre as atividades a realizar
e a conformidade com o Regulamento, controlar a conformidade das atividades do responsável
do tratamento e do subcontratante com o RGPD e com as suas próprias politicas de privacidade
de dados, como atribuição de responsabilidades, sensibilização e formação do pessoal e
auditorias relacionadas), prestar aconselhamento no âmbito da realização de avaliações de
impacto (artigo 35º) e cooperar e comunicar com a autoridade de controlo (artigo 36º, por
exemplo).
Percebe-se, assim, que para o RGPD, e seguindo aquilo que já foi versado, a obrigatoriedade
da nomeação do DPO é mais um passo para a construção de entidades dentro das empresas
focadas sobretudo na segurança do tratamento dos dados e para a clara definição de papéis no
âmbito deste tratamentosendo este ator uma das entidades mais importantes no que respeita à
privacidade e proteção dos dados pessoais no RGPD.
2.4.2.7. Códigos de Conduta e Certificação
Em 2.4.1.6, já foi abordada a continua da existência de códigos de conduta para o cumprimento
das exigências de segurança do tratamento de dados, tal como a Diretiva 95/46/CE já previa.
71
No entanto, o RGPD prevê um novo instrumento de reconhecimento de conformidade ,
designadamente, a certificação. No artigo 42º é referido que os Estados-Membros têm como
responsabilidade a criação de procedimentos de certificação em matéria de proteção de dados,
assim como selos e marcas. Este é um instrumento novo e voluntário. É provável que estes tipos
de certificados sejam similares às trustmarks e selos fornecidos por empresas líderes no
mercado da certificação em segurança como a Symantec ou a TRUSTe. À luz do RGPD, as
certificações serão válidas por três anos, no máximo, e serão renováveis. Se a certificação for
aprovada pelo Comité, dado o caracter transnacional deste organismo, a certificação pode ser
válida no espaço da União Europeia pode dar direito a ostentar o Selo Europeu de Proteção de
Dados. A certificação só pode ser passada por organismos de certificação (artigo 43º), que por
sua vez só podem acreditados pelas autoridades nacionais de controlo ou pelos organismos
nacionais de creditação e estes organismos só podem ser creditados se tiverem demonstrado
independência e conhecimentos necessários em relação ao objeto de certificação, se tiverem
comprometido a respeitar os critérios de certificação e se tiverem procedimentos para emitir,
rever periodicamente e retirar certificações, selos e marcas de proteção de dados, além de outras
obrigações. A acreditação para emitir certificados é válida por cinco anos, renováveis. Para
[Rodrigues et al. 2016], é necessário, contudo, ter atenção à ambiguidade do papel das
Autoridades de Controlo na certificação e esta relação com o seu papel na execução do
Regulamento. [Lachaud 2016] também levanta reservas relativamente ao disposto no artigo 43º
do RGPD de tanto as Autoridades de Controlo como os Organismos Nacionais de Certificação
(IPQ em Portugal) poderem emitir certificação e os critérios para a legalidade dessa emissão
diferirem entre os Organismos Nacionais de Certificação e as Autoridades de Controlo. Ainda
segundo [Rodrigues et al. 2016], de modo a que os mecanismos de certificação sejam eficazes,
será necessária a existência de critérios partilhados e mecanismos de certificação transversais
às autoridades de controlo nacionais, alertando aqueles autores para o facto de que o Selo
Europeu de Proteção de Dados parecer uma opção atraente para a uniformização de critérios,
mas que requererá a coordenação e cooperação substanciais entre os Estados-Membros, sendo
necessário decidir se este selo serviria apenas o mercado da União ou se seria um selo
meramente exportável para países terceiros que desejariam certificar-se como conformes com
o RGPD. Por seu lado [Lachaud 2016] mantém reservas quanto ao real beneficio operacional
para as organizações obterem certificação no RGPD.
2.4.2.8. Transferências de Dados Pessoais para Países Terceiros
72
Já foi abordado em 2.4.1.5 as similaridades entre os artigos 44º e 45º do RGPD e o artigo 25º
da Diretiva 95/46/CE. Como notado, a responsabilidade primeira das transferências à luz da
Diretiva 95/46/CE recai sobre os Estados-Membros e na Comissão Europeia e, no caso das
derrogações, no titular. O artigo 46º do RGPD vem mudar esta assunção. O artigo 45º regula as
transferências para países terceiros com similitudes relativamente ao artigo 25º da Diretiva
95/46/CE, mas o artigo 6º vem acrescentar a possibilidade de os responsáveis pelo tratamento
ou subcontratantes transferirem os dados pessoais para um país terceiro mesmo sem uma
decisão da Comissão Europeia quanto ao nível de adequação do país terceiro em termos de
proteção de dados. Esta é mais uma decisão da abordagem de risco assumida por este
Regulamento e mais uma evidência da passagem do ónus da responsabilidade para os
tratadores. No entanto, para esta transferência à luz do artigo 46º, o responsável ou o
subcontratante terão de promover salvaguardas apropriadas. Estas salvaguardas poderão ser
obtidas por duas formas: salvaguardas que não necessitam da autorização da autoridade de
controlo e salvaguardas sob reserva de autorização da autoridade de controlo. As primeiras
sistematizam-se em: cláusulas padrão de proteção de dados adotadas pela Comissão Europeia,
cláusulas padrão de proteção de dados adotadas por uma autoridade de supervisão, regras
vinculativas para grupos multinacionais, códigos de conduta ou procedimentos de certificação
aprovados pela Comissão desde que estejam acompanhados por compromissos vinculativos
assumidos pelos responsáveis de tratamento ou subcontratantes. O segundo caso acontece se a
transferência se basear em cláusulas contratuais entre os responsáveis pelo tratamento ou
subcontratantes contratantes e os responsáveis pelo tratamento ou subcontratantes contratados.
O artigo 49º clarifica as derrogações aos dispostos entre os Artigos 44º e 48º, sendo que algumas
são herdadas da Diretiva 95/46/CE, mas outras são novas disposições como por exemplo, a
transferência para países terceiros poder ser realizada mediante os interesses legítimos do
responsável pelo tratamento ou subcontratante.
Fica assim evidente que no âmbito do RGPD a atribuição de responsabilidades visa mais agora
os responsáveis pelo tratamento, tornando a lei mais liberal ao não contrair exclusivamente para
as Autoridades de Controlo e Estados-Membros a responsabilidade das transferências de dados.
Esta medida, por certa forma, até pode ser benéfica para o mercado das transferências de dados
já que agora será mais ágil a organizações acordarem as suas transferências de dados, desde de
que façam cumprir a lei para não se predisporem a sanções.
2.4.2.9. Entrada em Vigor e Revogação
73
O artigo 94º descreve a relação do RGPD com a Diretiva 95/46/CE. Segundo este artigo, as
disposições do Regulamento revogam as disposições da Diretiva 95/46/CE, e o WP29 será
substituído pelo Comité Europeu para a Proteção de Dados. O artigo 99º regulamenta a entrada
em vigor do RGPD, estipulando a data para 25 de maio de 2018.
2.4.3. Conclusão
Analisando as mudanças e os novos princípios presentes no RGPD, são claramente evidentes
dois aspetos: o primeiro, é que agora os responsáveis pelo tratamento enfrentam menos
burocracia junto da CNPD para inicializarem o tratamento, mas por outro lado, têm mais
obrigações de demonstração junto da CNPD e dos titulares, em como estão a agir em
conformidade com o RGPD. A inclusão explícita de informações aquando da recolha dos dados
que até agora estavam ausentes das normas, como por exemplo, o prazo de conservação previsto
dos dados ou a intenção de transferência dos dados pessoais para terceiros, aumenta as
implicações de transparência dos responsáveis pelo tratamento para com o titular.
A dotação neste Regulamento de mais direitos ao titular também obriga os responsáveis a
trilharem caminhos mais estreitos no que concerne às suas intenções para com os dados dos
titulares. Por outro lado, a transferência de responsabilidades, nomeadamente ao nível da
demonstração de cumprimento para com o Regulamento, o privacy-by-design e as novas regras
nas transferências de dados para terceiros, colocam os responsáveis sob mais obrigações
também para com as autoridades de controlo.
Por fim, os encargos sancionatórios elevados a que se sujeitam os responsáveis pelo tratamento,
obriga a que o tratamento dos dados pessoais seja efetivamente regrado e ponderado.
Todas estas novas provisões, responsabilidades e direitos, não visam limitar o tratamento dos
dados pessoais, mas sim, fomentar e regulamentar a economia digital, tal como é exposto no
considerando 7 do RGPD: “Esta evolução exige um quadro de proteção de dados sólido e mais
coerente na União, apoiado por uma aplicação rigorosa das regras, pois é importante gerar a
confiança necessária ao desenvolvimento da economia digital no conjunto do mercado
interno.”. A conformidade para com o RGPD resumidamente, tem que ver com o dever de ser
responsável e transparente sobre como os dados pessoais são usados, quem são os titulares,
quem tem acesso aos dados, como se transferem através das fronteiras e ser capaz de
documentar todas estas informações [Data, Regulation e America 2018]. A construção de
corporate branding associado a políticas responsáveis de tratamento de dados poderão ser
74
efetivamente percecionadas como uma oportunidade de negócio e um potenciador de negócios
[Ashford 2017]. No entanto, alega [Zerlang 2017] que o cumprimento do Regulamento no
sector público pode ser comprometido pelas restrições impostas pelos orçamentos fixos para
estas organizações [Zerlang 2017].
Encerra-se este capítulo notando-se que a análise efetuada ao RGPD não abordou certos artigos
devido à pouca vantagem obtida em face do esforço e da extensão a que chegaria esta análise,
nebulando as alterações e novidades mais predominantes do novo Regulamento.
75
3. ECONOMIA SOCIAL
3.1. Introdução
A economia social é muitas vezes associada ao papel que entidades privadas desempenham, na
substituição do Estado, naqueles que são os seus deveres de proteção e cuidado dos mais
vulneráveis e excluídos. Contudo, a economia social não é somente representada por estas
organizações de caridade, mas também por muitas outras que desenvolvem atividade no âmbito
do desporto, cultos ou congregações e até na área do ensino e invstigação. Apesar de não ser
um setor cujo objetivo é a distribuição de lucros pelos detentores do capital, a economia social
tem vindo a ganhar representatividade na economia de Portugal, tendo inclusive estado em
contra-ciclo com a economia social na crise de 2008-2013.
O presente capítulo pretende, primeiramente, descrever o setor da economia social, desde as
suas origens até aos tempos atuais. Seguidamente será feito um enquadramento do mercado da
economia social em Portugal, lendo alguns indicadores económicos do memo, e por fim, serão
elencadas as principais respostas sociais dadas pelas organizações deste setor que atuam na
Ação Social.
3.2. A Evolução da Economia Social
A economia social em Portugal, assim como noutras regiões da Europa, existe desde há muitos
séculos. As primeiras iniciativas de economia social em Portugal, surgiram pela primeira
misericórdia, a de Lisboa, fundada pela Rainha D. Leonor, viúva de D. João II [União das
Misericórdias Portuguesas sem data]. Uma vez chegada a democracia à Europa, no século XIX,
as primeiras associações cívicas e políticas começaram a emergir [Evers e Laville 2004]. Esta
génese mais organizada da economia social baseia-se nos ideais da Revolução Francesa da
liberdade, fraternidade e igualdade [Caeiro 2008]. No final do século XIX, o desenvolvimento
de enquadramentos legais e formas de integração económica fomentaram a divisão entre estes
movimentos cívicos dentro de um terceiro sector que atuava nos domínios da caridade,
solidariedade e altruísmo: cooperativas, mutualistas e associações [Evers e Laville
2004;Parente e Quintão 2014]. Também em Portugal, por esta altura, são constituídas as
primeiras associações de socorros-mútuos, como a Associação dos Artistas Lisbonenses (1807),
76
a Caixa Económica Montepio Geral (1844) [da Costa 1991] ou a cooperativa Fraternal dos
Fabricantes de Tecidos e Artes Correlativistas (1844) [Fernandes et al. 2016].
No caso específico de Portugal, a proteção social fundou-se na diferenciação das formas de
apoio social segundo as populações a que se dirigia: os grupos que partilhavam de alguns
critérios (socioeconómicos ou ético-religiosos) e os restantes sectores que lhes eram estranhos,
a população pobre ou aqueles que necessitavam de apoio para viver. De entre as organizações
mencionadas acima, as Misericórdias assumiam o papel da assistência caritiva e as
Mutualidades o papel da previdência [Hespanha et al. 2000]. Em 1900, haveria cerca de 17
cooperativas em Portugal, passando para mais de 338 organizações cooperativas na década de
20 [Fernandes et al. 2016].
Durante o Estado Novo, entre 1933 e 1974, marcou uma outra fase da Economia Social em
Portugal. A liberdade de associação foi suprimida e a atividade corporativa absorveu os
movimentos de cooperativismo e mutualismo [Fernandes et al. 2016]. Este centralismo de
Estado restringiu a ação da previdência ao assistencialismo corporativista, diminuiu a
assistência a um assistencialismo caridoso concedido na base de critérios ético-religiosos e
isentou-se de compromissos políticos ou financeiros para com a proteção social da população
[Hespanha et al. 2000].
Na década de 60, no entanto, ocorreu a reforma da previdência social [Presidência da República
1962], onde o estado instituiu as primeirascategorias de instituições de previdência social
(caixas de previdência, casas do povo, casas de pescadores, associações de socorros mútuos
(mutualistas), e outras) e o lançamento das bases da política de saúde e assistência [Presidência
da República 1963], a partir da qual o Estado passou a partilhar alguns serviços generalizados
de proteção e serviço social com entidades particulares (Instituições Particulares de
Assistência) e onde a Igreja Católica teve um papel relevante e foi privilegiada, reforçando a
sua intervenção na área da saúde, ao nível das Misericórdias, e atividades de assistência social,
de onde nasceram entretanto muitas Instituições Particulares de Solidariedade Social (IPSS)
[Fernandes et al. 2016]. As mutualidades, no entanto, perderam representatividade social,
enquanto as cooperativas aumentaram de número face à década de 1920 [Fernandes et al. 2016].
Nesta década de 60, o sistema de previdência propõe-se a constituir-se de novas competências,
designadas de Ação Social, ações assistenciais orientadas para a assistência e defesa da família
ou concessão de apoios originários exclusivamente das contribuições retiradas dos rendimentos
do trabalho, e exclusivas para a população inserida no mercado de trabalho [Hespanha et al.
2000]. A dicotomia das práticas deste período (componente assistencial e componente
77
providencial derivada de regimes contributivos do trabalho), mesmo passados mais de 50 anos,
ainda prevalecem hoje em dia [Parente e Quintão 2014].
A partir de 1974, foram introduzidas grandes alterações no panorama da economia social em
Portugal. Logo na própria Constituição da República Portuguesa de 1976 [Assembleia
Constituinte 1976] passa a ser reconhecido o sector social e cooperativo e o termo Instituição
Privada de Solidariedade Social (IPSS) aparece cunhado pela primeira vez no artigo 63º,
atualizando assim o termo Instituições Particulares de Assistência [Quintão 2011], que estavam
instituídas em 1944 [Ministério do Interior 1944]. Contudo, muitos dos serviços continuavam
a depender das atividades da Igreja Católica e sistemas de previdência social, como se notava
na década de 60 [Fernandes et al. 2016].
Para o desenvolvimento do sector cooperativo, o Estado decidiu fundar o instituto público
“Instituto António Sérgio para o Sector Cooperativo” (INSCOOP), que até final dos anos 90
viu nascerem muitas associações cooperativistas [Parente e Quintão 2014]. Após o 25 de Abril,
os cidadãos passaram a pressionar muito mais o Estado, no sentido de satisfazer as suas
obrigações para com eles, no respeitante aos padrões mínimos sociais de proteção [Hespanha
et al. 2000]. Como tal, o Estado criou mecanismos e medidas que, por um lado, visavam a
eliminação da pobreza extrema (como o salário mínimo nacional, subsídio de desemprego e
pensões de reforma) e por outro, visavam subir paulatinamente o nível de bem estar social
[Hespanha et al. 2000]. Em termos de política de fundo para o sustento deste bem estar social,
são lançadas as bases para a criação do Serviço Nacional de Saúde (SNS) e da Segurança Social
[Hespanha et al. 2000]. Neste processo de criação do Serviço Nacional de Saúde os hospitais,
que eram maioritariamente geridos pelas Misericórdias, foram nacionalizados, levando as
Misericórdias a perderem preponderância na prestação de cuidados de saúde à população, como
até então acontecia [Parente e Quintão 2014]. A partir da instituição do I Governo
Constitucional, o Estado passa a impor padrões de legalidade duais no que concerne à proteção
social [Hespanha et al. 2000]. Esta dualidade assenta em dois fatores específicos: a necessidade
do Estado gerir o seu orçamento, e daí, procurar parceiros a quem confiar a delegação das suas
competências, e a própria imaturidade democrática do Estado e da população, que levaram o
Estado a ser conservador nas suas opções e a preferir delegar, em democracia, o mesmo papel
que alguns agentes já tinham na área da proteção social em ditadura [Hespanha et al. 2000].
Face a esta primazia patrocinada pelo Estado, as Misericórdias tornam-se as primeiras
instituições a se organizarem corporativamente, através da criação da União das Misericórdias
Portuguesas, em 1976, juntando-se à INSCOOP [Hespanha et al. 2000]. Mais tarde, em 1979,
78
foi a vez de criar a União das Instituições de Solidariedade Social e em 1984 fundou-se a União
das Mutualidades Portuguesas.
Em 1983, o Ministério dos Assuntos Sociais publica o Decreto-Lei 119/83 [Ministério dos
Assuntos Sociais - Secretaria de Estado da Segurança Social 1983] que vem criar o estatuto
específico das IPSS. Na introdução ao diploma citado, fundamenta-se a necessidade de mitiga r
os inconvenientes levantados pela excessiva delimitação do objetivo específico destas
instituições. De acordo com o artigo 2º, os objetivos visados por estas IPSS seriam: o apoio a
crianças e jovens, apoio à família, apoio à integração social e comunitária, a proteção dos
cidadãos na velhice e invalidez e em todas as situações de falta ou diminuição de meios de
subsistência ou de capacidade para o trabalho, promoção e proteção da saúde, nomeadamente,
através da prestação de cuidados de medicina preventiva, curativa e de reabilitação, educação
e formação profissional dos cidadãos e resolução dos problemas habitacionais das populações
[Ministério dos Assuntos Sociais - Secretaria de Estado da Segurança Social 1983]. A descrição
destes objetivos foi entretanto mudada, e tem na quinta alteração do Decreto-Lei 119/83
[Ministério da Solidariedade Emprego e Segurança Social 2014] o seu estado mais recente, sem
no entanto introduzir alterações de fundo aos objetivos a serem perseguidos por estas
instituições. Nesta última alteração foram também modificadas as formas e agrupamento das
instituições para: Associações de Solidariedade Social, Associações Mutualistas ou de Socorros
Mútuos, Fundações de Solidariedade Social, Irmandades da Misericórdia e outras que, nos
termos da Concordata celebrada entre a Santa Sé e a República Portuguesa em 18 de maio de
2004, assumam a forma de Institutos de Organizações ou Instituições da Igreja Católica,
designadamente Centros Sociais Paroquiais e Caritas Diocesanas e Paroquiais. As instituições
podem agrupar-se em Uniões, Federações e Confederações.
Com a entrada na UE, inicia-se em Portugal um período de estabilidade e de integração
económica, social e política que aproxima Portugal dos restantes países europeus, no que
concerne ao terceiro sector [Quintão 2011]. Em linha com o contexto europeu, verificou-se um
forte crescimento do número de organizações (associações e cooperativas). O cariz das
associações passou também a abranger novas áreas como o direito do ambiente, os direitos das
mulheres e outras formas mais tradicionais como associações desportivas e recreativas e
bombeiros voluntários. As fundações também aumentaram a sua presença no território
português, fundando em 1993 o Centro Português de Fundações [Fernandes et al. 2016]. Por
outro lado, as cooperativas foram crescendo até meados dos anos 80, seguindo um caminho de
regressão já nos anos 90, assim como as mutualidades que foram perdendo membros em
79
Portugal e na Europa [Quintão 2011]. Não contando com estatuto jurídico próprio, as
Associações de Desenvolvimento Local começam a proliferar, e em 1993 organizaram-se na
rede ANIMAR [Parente e Quintão 2014]. Também nos anos 90, foram criadas novas formas de
enquadramento jurídico, como as Cooperativas de Educação e Reabilitação de Cidadãos com
Incapacidades (CERCI) e as empresas de inserção [Quintão 2011], apesar de a primeira CERCI
(em Lisboa) ter sido fundada em 1975. A abertura ao exterior permitiu que em Portugal se
implantassem organizações do terceiro sector com intervenção internacional, como associações
de cooperação internacional, ajuda humanitária ou comércio justo [Quintão 2011]. Em 1998, o
Estado Português cria um estatuto específico para as Organizações não-governamentais para o
desenvolvimento (ONGD) e para o ambiente (ONGA) [Parente e Quintão 2014].
A partir dos anos 2000 testemunhou-se um novo crescimento significativo do sector da
economia social em Portugal, com muitas iniciativas e organizações a emergir. Em 2001 é
fundada a CNIS (Confederação Nacional das Instituições de Solidariedade) [Fernandes et al.
2016] e a até então INSCOOP é convertida em Cooperativa António Sérgio para a Economia
Social (CASES), em 2009. Esta plataforma passa a representar as entidades do sector social em
Portugal, contando atualmente, como membros, com a UMP, ANIMAR, CONFECOOP
(Confederação Cooperativa Portuguesa), CONFRAGI e o CNIS [CASES sem data b] e que tem
como objetivo “promover o fortalecimento do setor da economia social, aprofundando a
cooperação entre o Estado e as organizações que o integram, tendo em vista estimular o seu
potencial ao serviço do desenvolvimento socioeconómico do País, bem como a prossecução de
políticas na área do voluntariado” [CASES sem data a].
Em 2011, é criado o CNES (Conselho Nacional para a Economia Social) que é composto por
membros do governo (Primeiro-Ministro, membro do governo responsável pela economia
social, um representante do governo autónomo da Madeira e dos Açores), poder autárquico (um
representante da associação nacional dos municípios portugueses e da associação nacional das
freguesias), IPSS (representantes da ANIMAR, CONFRAGI, CONFECOOP, CNIS,
UMP[misericórdias], UMP[mutualidades], CPCCRD, e o presidente da CASES) e ainda cinco
personalidades a indicar pelo governo com reconhecida experiência e mérito na área social
[CNES sem data].
O CNES tem como função ser um órgão consultivo de avaliação e acompanhamento ao nível
das estratégias e das propostas políticas [Parente e Quintão 2014]. Em 2013, é publicada a
primeira conta satélite da economia social, elaborada pelo INE em colaboração com a CASES
[Fernandes et al. 2016] e é publicada a Lei de Bases da Economia Social [Assembleia da
80
República 2013], que estabelece as bases gerais do regime jurídico da economia social, bem
como medidas de incentivo à atividade em função dos princípios e dos fins que lhe são próprios.
Em 2014, Portugal foi pioneiro na aplicação de fundos comunitários para a catalisação de um
ecossistema de inovação social, que coincidiu com a quinta alteração à Lei de Bases das IPSS.
Em 2015 é publicado o Decreto-Lei nº120/2015, que estabelece os princípios orientadores e o
enquadramento a que deve obedecer a cooperação entre o Estado e as entidades do sector social
e solidário [Ministério da Solidariedade Emprego e Segurança Social 2015].
Segundo [Fernandes et al. 2016], “ O país tem vindo a demonstrar empenho e dinamismo no
desenvolvimento de um setor da economia social vivo, inovador, ao serviço do seu principa l
objetivo: a produção de um impacto social positivo e crescente.”
É assim neste contexto que se pode enquadrar a economia social em Portugal. Antes do 25 de
Abril, profundamente enraizada na iniciativa privada, das Misericórdias sobretudo, e após esta
data, ainda enraizada nos privados, contando no entanto, com mais participação estatal nas
respostas sociais a dar. Deve-se atentar que, no levantamento da primeira conta satélite da
economia social, contando com dados de 2013, em plena crise financeira nacional, este sector
revelou um comportamento em contraciclo com a economia nacional, registando o crescimento
de 10.6% no numero de entidades, face a 2010, e subindo o seu peso no emprego total da
população de 5.2% para 6%. Não se poderá descurar o facto de, numa época mais complicada
para as famílias, o fervor solidário possa ter sido efetivamente um instigador deste crescimento.
Em consequência, também não se pode menosprezar o facto de, no período mais crítico do
Século XXI no país, tenham sido os sectores atuantes da economia social daqueles que mais
iniciativa tiveram e pela qual mais procura houve, o que poderá traduzir fielmente a importânc ia
de base para a manutenção da coesão social e o valor de socorro e auxílio que a população lhe
reconhece.
3.3. Economia Social, Terceiro Sector e Economia Solidária
A Constituição da República Portuguesa de 1976 previu no seu 89º artigo, a coexistência de
três sectores proprietários dos meios de produção: público, cooperativo e privado [Assembleia
Constituinte 1976].
A economia social e a economia capitalista são ambas de natureza privada [Fernandes et al.
2016]. A economia capitalista assenta no princípio de que o valor produzido é detido pela
organização ou indivíduo que gere esses meios e essa apropriação é concretizada através de
81
processos de decisão assentes nas partes de capital detidos por essas organizações ou
indivíduos. Distintamente, na economia social, os processos de decisão não assentam nas partes
que cada um representa, mas sim em decisões igualitárias onde todos os indivíduos têm o
mesmo peso decisório. A apropriação da riqueza, no contexto da economia social, é
absolutamente coletiva, ou seja, o valor produzido não é detido por ninguém individualmente,
mas sim pela coletividade [Fernandes et al. 2016]. De acordo com Evers e Laville [2004], o
estatuto legal das associações da economia social (definidas em [Assembleia da República
2013] em Portugal como sendo as cooperativas, associações mutualistas, Misericórdias,
fundações, IPSS e outras) para as quais o fator determinante não é a não-obtenção de lucros,
mas sim as restrições colocadas à manipulação do mesmo. Tendo isto em perspetiva, a
demarcação não é feita entre sector lucrativo e não-lucrativo, mas sim entre organizações
capitalistas e socioeconómicas, onde estas últimas procuram a riqueza comum em vez do
benefício individual [Evers e Laville 2004].
A definição do Centro Internacional de Pesquisa e Informação sobre Economia Pública, Social
e Cooperativa para economia social é a seguinte: “conjunto de empresas privadas organizadas
formalmente, com autonomia de decisão e liberdade de filiação, criadas para servir as
necessidades dos seus associados através do mercado, fornecendo bens e serviços, incluindo
seguros e financiamentos, e em que a distribuição pelos sócios de eventuais lucros ou
excedentes realizados, assim como a tomada de decisões, não estão diretamente ligadas ao
capital ou às cotizações dos seus associados, correspondendo um voto a cada um deles. A
economia socialtambém inclui empresas privadas organizadas formalmente, com autonomia de
decisão e liberdade de filiação, que prestam serviços de ‘não mercado’ a agregados familiares
e cujos eventuais excedentes realizados não podem ser apropriados pelos agentes económicos
que as criam, controlam ou financiam” [Soares et al. 2012].
Outro universo a clarificar prende-se com as áreas de atuação da economia social pois a
economia privada e a economia pública têm espaços de intervenção precisos e muito
delimitados, sendo que a economia social acaba por se situar num espaço intermédio entre estas
duas [Quintão 2011]. A visão europeia da economia social tende a traduzir-se com uma
demarcação vincada entre a esfera estatal, mercados e comunidades e economias informais,
situando-se o terceiro sector dentro destas três forças. A especificidade da economia social pode
assim ser interpretado como conjugação hibrida das três forças (Estado, Comunidade e
Mercados), existindo sobre tensão destas três estruturas [Evers e Laville 2004]
82
Por fim, é necessário clarificar a utilização da palavra “terceiro sector” no âmbito da economia
social. A constituição da República Portuguesa não define qual dos sectores da economia é o
primeiro, segundo ou terceiro sector, o que deveria inibir a hierarquização dos mesmos
[Fernandes et al. 2016]. De facto, nas comunicações oficiais da União Europeia o termo é
praticamente ausente [Fernandes et al. 2016]. A denominação da economia social como
“terceiro sector” poderá ainda comportar algumas limitações, devido principalmente à confusão
que pode causar com o sector terciário das atividades económicas (o sector dos serviços)
[Quintão 2011].
O termo “terceiro sector” deve ser dividido nas suas parcelas para se entender melhor a
limitação e a má interpretação que o termo pode ter. “Terceiro” reporta-se aos dois sectores
económicos predominantes (Estado e Mercados), subestimando o polo da esfera doméstica
(tornando assim, este “terceiro sector”, na realidade, o “quarto sector”) [Quintão 2011]. Já
“Sector” notabiliza o plano económico, relegando para segundo plano as vertentes sociais e
políticas das associações civis [Quintão 2011]. Esta utilização da terminologia “terceiro sector”
é sobretudo influenciado pela literatura anglo-saxónica, onde não existe uma tradição de
“Estado Social” [Soares et al. 2012].
Um outro termo associado à economia social que tem sido usado é a economia solidária. Este
conceito desenvolveu-se nos anos 80 do século passado em França e apareceu publicada pela
primeira vez em 1993 [Caeiro 2008]. Resumidamente, a economia solidária distingue-se da
economia social, na sua preleção pela atuação junto de grupos excluídos [Soares et al. 2012],
atuando de forma mais interventiva junto destes.
No entanto, Soares et al. [2012], reportando a um estudo do CIRIEC (Centre International de
Recherches et d'Information sur l'Economie Publique, Sociale et Coopérative), referem que a
grande heterogeneidade conceptual em Portugal, que deriva das características específicas da
natureza do Estado-Providência Português, permite a utilização das designações “terceiro
setor”, “economia social” e “economia solidária”.
3.4. O Mercado da Economia Social em Portugal
3.4.1. Contribuição da Economia Social para o País e Necessidades de
Financiamento
83
Por forma a ser possível uma análise mais extensiva ao funcionamento do mercado da
Economia Social, serão aqui analisados os resultados da Conta Satélite da Economia Social de
2013, que reporta a dados de 2010, por ser um documento mais extensivo do que o mais recente
disponibilizado, em 2016, e que respeita a dados de 2013. Amiúde, serão feitas as comparações
possíveis com os dados mais recentes.
Em 2010, o sector da economia social contribuiu com 2.8% do Valor Acrescentado Bruto11
(VAB) para a economia nacional e com 5.5% do emprego nacional. Nesse ano, o sector era
constituído por 55.383 unidades, com a maior parcela das mesmas a desenvolverem atividade
na área do desporto, recreio e cultura, cultos e congregações e ação social. A restante
distribuição de atividades pode ser consultada na Figura 1. No entanto, a distribuição da
empregabilidade remunerada no sector da Economia Social não segue a proporcionalidade da
Figura 1. Analisando a Figura 2, percebe-se que a Ação Social, os Cultos e Congregações e o
Ensino e Investigação são os sectores que empregam mais população12.
Em 2013, a contribuição do sector para o VAB nacional foi igual à de 2010, mas aumentou
para 6% a percentagem de emprego remunerado. O sector aumentou o número de entidades
para cerca de 61.000, as atividades relacionadas com cultura, desporto e recreio continuavam a
ser as mais representados, surgindo a ação social em segundo lugar, alterando a sua posição
com as associações de cultos e congregações [I.N.E. 2016].
11 VAB - Corresponde ao saldo da conta de produção, a qual inclui em recursos, a produção, e em empregos, o
consumo intermédio, antes da dedução do consumo de capital fixo. Tem significado económico tanto para os
setores institucionais como para os ramos de atividade [INE 2015] 12 Outros dados relativos às remunerações ou aos parciais do Valor Acrescentado Bruto (VAB) poderão ser
consultados em [CASES e I.N.E. 2013].
84
Figura 1 - Entidades da Economia Social, por Atividade (CASES e I.N.E. [2013])
Figura 2 - Emprego Remunerado na Economia Social (CASES e I.N.E. [2013])
Em 2010, o sector registou uma necessidade líquida de financiamento de 570,7 milhões de
euros. Ou seja, o sector careceu de 570,7 milhões de euros em 2010 para fazer face às suas
despesas. Em termos de recursos, o sector totalizou 14.177,9 milhões de euros, onde grande
parte do valor (≈ 9.000 milhões de euros) se deveu à Produção, seguida de Transferências e
subsídios (≈ 3.000 milhões de euros) e Rendimentos de Propriedade (contribuindo com ≈ 1.500
milhões de euros) e o restante vindo de outros recursos. Em termos de despesas, o sector
totalizou 14.748,6 milhões de euros, onde o Consumo intermédio (31.4%), as Remunerações
(26.8%) e as Transferências Sociais (24.3%) foram os maiores contribuidores para esta despesa.
A Figura 3 resume esta informação.
85
Figura 3 - Recursos, Despesas e Necessidade Líquida de Financiamento da Economia Social ( CASES e I.N.E. [2013])
Em 2013, o total de recursos diminuiu para 13.896,7 milhões de euros, assim como o total das
despesas também baixou para 14.308,6 milhões de euros, saldando-se a necessidade de
financiamento em 412 milhões de euros [I.N.E. 2016]
3.4.2. Peso e Contribuição dos Tipos de Entidade para a Economia Social
No documento elaborado para a Conta Satélite para a Economia Social (CASES), as entidades
descritas na Lei de Bases da Economia Social foram agrupadas em: (i) cooperativas, (ii)
mutualidades, (iii) misericórdias, (iv) fundações e (v) associações e outras organizações da
economia social (OES), onde se incluem IPSS que não se incluam em nenhuma das entidades
anteriores, entidades altruísticas de âmbito cultural, recreativo e desportivo, entidades dos
subsectores comunitários e autogestionário e outras entidades (associações juvenis, defesa do
consumidor, ambiente, etc.).
Das cerca de 55 mil entidades atuantes no sector da Economia Social, as associações (onde se
incluem as IPSS) representavam 94% das entidades, seguidas das cooperativas (4,1%) e das
fundações (1%) [CASES e I.N.E. 2013]. Consultando a Figura 4, é possível verificar que as
associações, por terem bastante mais peso do que as restantes entidades, também são aquelas
que “ditam” o panorama nacional ilustrado no Erro! A origem da referência não foi
encontrada.. O peso significativo das associações também transparece no peso relativo para a
criação de emprego remunerado e contribuição do VAB, conforme se apresenta na Tabela 1.
86
Figura 4 - Associações e Outras OES, por Atividade (CASES e I.N.E.[ 2013])
Tabela 1 - Principais indicadores por grupos de entidades da Economia Social (CASES e I.N.E. [2013])
No que concerne à necessidade ou capacidade líquida de financiamento, é curioso constatar que
as cooperativas, mutualidades e fundações apresentaram capacidade de financiamento, ou seja,
os seus recursos superam as suas despesas, enquanto as associações e Misericórdias apresentam
necessidades de financiamento [CASES e I.N.E. 2013]. Uma vez que as associações
representam quase a totalidade das entidades da economia social em Portugal, naturalmente, o
saldo estrutural do sector é negativo nos 570 milhões de euros mencionados anteriormente.
Analisando os dados de cada uma das entidades, as cooperativas têm áreas de atividade muito
diversificadas (Comércio, Consultoria e Serviços; Desenvolvimento, Habitação e Ambiente ;
Atividades de Transformação); as mutualidades têm 89% da sua atividade concentrada na ação
social, mas grande parte do seu VAB advém da atividade financeira; as Misericórdias têm
94.2% da sua atividade na ação social e advém daí também a sua maior fatia do VAB; a maior
parte das fundações tem a sua atividade na Ação Social e, juntamente com as cooperativas, são
aquelas cujo VAB tem alguma dependência do Ensino e Investigação. Por fim, nas restantes
associações, a maior parte delas foca a sua atividade na cultura, desporto e lazer, cultos e
87
congregações e ação social, sendo que a sua diversidade se traduz nas contribuições para o
VAB, que também advém de atividades muito diversas [CASES e I.N.E. 2013].
No documento disponibilizado em 2013, o agrupamento por entidades não segue a mesma
lógica do documento de 2010. Enquanto em 2010, as “associações” eram a conjugação de IPSS
que não se encaixassem em nenhuma outra entidade, entidades altruísticas com fins
desportivos, culturais ou recreativos, entidades dos subsectores comunitários e autogestionár io
e outras entidades, em 2013, as entidades dos subsectores comunitários e autogestionários estão
separadas das restantes. Ainda assim, as associações continuam a representar a grande maioria
das entidades da economia social em Portugal, perdendo uma representatividade residual e
descendo para os 93,4% do total de entidades [I.N.E. 2016]. Se a estas se juntarem as entidades
dos subsetores comunitário e autogestionário, a representatividade sobe para os 94.8%, ainda
maior do que em 2010.
Se for comparado o sector da economia social com outros ramos da atividade económica em
Portugal constata-se que, em 2010, o peso do VAB (2,8%) foi superior a atividades como a
eletricidade, gás, vapor e ar frio, agricultura, silvicultura e pesca e ainda agroindústr ia ,
telecomunicações, industria têxtil e madeira, pasta e papel. A remuneração média dos
empregados no sector da economia social representou 83.1% da média nacional [CASES e
I.N.E. 2013]. Em 2013, a posição da economia social manteve-se à frente das mesmas indústr ia s
que em 2010, no entanto, a média de remunerações face à economia nacional subiu para 86.4%,
em contraciclo com quase todos os restantes sectores institucionais [I.N.E. 2016].
Por fim, importa esclarecer quais os mecanismos de financiamento da economia social em
Portugal. A identificação e sistematização dos recursos admitidos na economia social, permite
identificar três tipos genéricos de financiamento: i) modelo de beneficência, ii) modelo de
Estado e bem-estar e iii) modelo de cidadania [Loureiro e Silva 2017].
O modelo de beneficência promove o exercício da filantropia e doação através de incentivos
fiscais. No modelo de bem-estar cabe aos governos a proliferação das organizações da
economia social através da contratualização do fornecimento de bens e serviços produzidos por
essas instituições. No modelo de cidadania, o financiamento da economia social provém
sobretudo de fundos públicos que são providenciados pelo Estado [Loureiro e Silva 2017].
Estes três modelos não coexistem em exclusividade e estão presentes no modelo de economia
social portuguesa, como se pode observar na
Tabela 2.
88
Tabela 2 - Peso das Contribuições para a Economia Social (Adaptado de Loureiro e Silva [2017])
Recursos Portugal Média de 12 Países
Taxas 31% 43%
Contributos do Estado 41% 32%
Filantropia 10% 23%
Outras fontes 19% 2%
Nas definições da
Tabela 2, “taxas” incluem valores de pagamentos dos utentes às organizações da economia
social, como contrapartida pelos serviços prestados; “contributos do Estado” integra as quantias
pagas pelo estado às instituições em virtude dos serviços prestados; “filantropia” reporta-se a
importâncias contribuídas por entidades privadas e cidadãos a titulo voluntário e “outras fontes”
remete para fontes de financiamento alternativas, características a cada sector. Os doze países
com a qual é feita a comparação dos recursos são: Quirguizistão, Nova Zelândia, Japão, Brasil,
Austrália, Canadá, Israel, Portugal, Tailândia, Bélgica, República Checa e Moçambique
[Loureiro e Silva 2017].
De forma a fornecer uma perspetiva visual da distribuição das entidades da economia social,
pode-se atentar na Figura 5.
Figura 5 - Representação do Mercado da Economia Social em Portugal (Quintão [2011])
89
Como se pode observar a grande maioria das organizações da economia social em Portugal são
repreentadas maioritariamente pelas associações desportivas e associações culturais e
recreativas. Tal como referido pelo autor [Quintão 2011], a representatividade do número de
instituições é indicativa, sendo o principal propósito da Figura 5 a demonstração do panorama
geral da economia social.
3.4.3. Razões para a Falta de Financiamento em Portugal
Reconhecido pelo Laboratório de Investimento Social na sua Nota de Investigação n.º 2:
Fundamentos do Investimento Social “existe um problema comum no setor (da economia
social): faltam recursos financeiros adequados às necessidades específicas do setor social”
[Laboratório de Investimento Social 2014], como evidenciam os resultados da necessidade de
financiamento demonstrados na subsecção 3.4.1. De acordo com Fernandes et al. [2016], poder-
se-ão apontar essencialmente três fatores para a falta de financiamento da economia social em
Portugal: falta de aptidão das iniciativas sociais para receber esse financiamento, falta de um
ecossistema próprio para o desenvolvimento de um mercado de financiamento da economia
social e a existência de um sector público muito centralizador das atividades respeitantes à
economia social.
No que se refere à falta de aptidão das iniciativas sociais para receber financiamento, ,
Fernandes et al. [2016] destacam aspetos mais particulares, tais como, organizações pouco
informadas quanto aos meios de financiamento existentes; meios de atração do investimento
muito pouco desenvolvidos; falta de capacitação, profissionalização e capacidade de gestão que
comprometem o seu sucesso operacional; candidaturas a fundos com necessidade de melhoria
na sua qualidade e sustentação; medição de impacto ainda muito limitada e que compromete a
disponibilização e informação para os investidores e a pouca cultura de estabelecimento de
parcerias quer no desenvolvimento de atividades, quer na procura de financiamento, o que
condiciona o sucesso e o volume de financiamento, como alguns dos fatores que limitam a
aptidão do mercado da economia social.
Relativamente à falta de um ecossistema próprio para o desenvolvimento de um mercado de
financiamento da economia social, Fernandes et al. [2016] elencam, entre outros: um
financiamento ainda muito baseado em meios ou métodos tradicionais (doações, subsídios ou
contratualizações), falta de enquadramento legal e de construção da infraestrutura de mercado
(por exemplo, a impossibilidade de investimento via participações de capital nas entidades
tradicionais da economia social) e falta de cultura de investimento socialmente responsável.
90
Por último, no que concerne ao sector público muito centralizador, tal com notado em 3.2, os
sucessivos governos de Portugal não conseguiram abandonar as suas parcerias nos campos da
prestação de serviços e cuidados aos outros desde a ditadura. Traduzindo este facto, Fernandes
et al. [2016] apontam, por um lado, a cultura comodista e com falta de aptidão para inovar das
entidades da economia social e por outro, pela falta de orientação correta das práticas de
financiamento por parte do Estado. Apesar de tudo, o governo de Portugal está lentamente a
mudar de paradigma e a promover o empreendedorismo social [Parente e Quintão 2014], com
destaque para a Missão Portugal Inovação Social ou a previsão de aplicação de fundos nesta
área no âmbito do programa Portugal 2020 [Fernandes et al. 2016].
3.5. Respostas Sociais em Portugal
A ação social é a segunda maior atividade representada nas organizações da economia social,
sendo também a que mais contribui para o VAB da economia social. A ação social desenvolvida
por associações é a atividade para a qual a população em geral mais reconhece utilidade. Em
[Ministério do Trabalho e da Solidariedade Social 2007] encontra-se descrito o regime de
licenciamento e fiscalização dos estabelecimentos de apoio social. No artigo 3º do mesmo
descrevem-se os diferentes objetivos de ação social a que os estabelecimentos se devem propor
cumprir para serem considerados estabelecimentos de apoio social, designadamente:
a) A prevenção e reparação de situações de carência e desigualdade socioeconómica, de
dependência e de disfunção, exclusão ou vulnerabilidade sociais;
b) A integração e promoção comunitárias das pessoas e o desenvolvimento das respetivas
capacidades e
c) A especial proteção aos grupos mais vulneráveis, nomeadamente crianças, jovens, pessoas
com deficiência e idosos.
As respostas sociais que visam satisfazer os serviços mencionadas também se encontram
descritas em [Ministério do Trabalho e da Solidariedade Social 2007]. No entanto, em diversa
documentação ([Fernandes et al. 2016], [Soares et al. 2012], [República Portuguesa et al.
2017], mais atual do que [Ministério do Trabalho e da Solidariedade Social 2007], são
elencadas mais respostas sociais do que aquelas que estão estritamente descritas na lei. É
curioso indicar que toda esta documentação ([Fernandes et al. 2016], [Soares et al. 2012],
[República Portuguesa et al. 2017]) utiliza nas suas descrições de respostas sociais as sugestões
dadas por [Direção Geral da Segurança Social da Família e da Criança et al. 2006], que é um
91
documento predecessor da lei que descreve as próprias respostas sociais [Ministério do
Trabalho e da Solidariedade Social 2007].
No âmbito desta dissertação serão expostas as respostas sociais previstas em [Direção Geral da
Segurança Social da Família e da Criança et al. 2006], já que parecem ser aquelas usadas em
toda a documentação oficial da Segurança Social. Assim, as respostas sociais podem dividir-se
em três grandes grupos de orientação: Infância e Juventude, População Adulta, Família e
Comunidade e Grupo Fechado de Respostas Pontuais.
Na Tabela 3, encontram-se divididos cada um destes grupos de orientação e apresentadas as
respostas sociais previstas para cada um deles.
Tabela 3 - Grupos de Intervenção e Respostas Sociais
Grupos de Intervenção Respostas Sociais
Infância e Juventude
Crianças e Jovens Amas, Creches, Estabelecimento de Educação Pré-escolar,
Centro de Atividades de Tempos Livres
Crianças e Jovens com
Deficiência
Intervenção Precoce, Lar de Apoio, Transporte de Pessoas com
Deficiência
Crianças e Jovens em
Situação de Perigo
Centros de Apoio Familiar e Aconselhamento Parental, Equipas
de Rua de Apoio a Crianças e Jovens, Acolhimento Familiar
para Crianças e Jovens, Centros de Acolhimento Temporário,
Lares de Infância e Juventude, Apartamentos de Autonomização
População Adulta
Pessoas Idosas Serviço de Apoio Domiciliar, Centros de Convívio, Centros de
dia, Centros de noite, Acolhimento Familiar para Pessoas
Idosas, Residência, Lar de Idosos
Pessoas Adultas com
Deficiência
Centros de Atendimento/Acompanhamento e Animação para
Pessoas com Deficiência, Serviço de Apoio Domiciliário,
Centro de Atividades Ocupacionais, Acolhimentos Familiares
para Pessoas Adultas com Deficiência, Lares Residenciais,
Transporte de Pessoas Adultas com Deficiência
92
Pessoas em Situação de
Dependência
Serviços de Apoio Domiciliário, Apoio Domiciliar Integrado,
Unidades de Apoio Integrado
Pessoas com Doenças
do Foro Mental ou
Psiquiátrico
Fórum Sócio Ocupacional, Unidade de Vida Protegida, Unidade
de Vida Autónoma, Unidade de Vida Apoiada
Pessoas Sem-Abrigo Equipa de Rua para Pessoas sem Abrigo, Atelier Ocupacional
Família e Comunidade
Família e Comunidade
em Geral
Atendimento/ Acompanhamento Social, Grupo de Autoajuda,
Centro Comunitário, Centro de Férias e Lazer, Refeitórios/
Cantinas Sociais, Centros de apoio à Vida, Comunidade de
Inserção, Centro de Alojamento Temporário, Ajuda Alimentar
Pessoas com
VIH/SIDA e as suas
famílias
Centro de Atendimento/ Acompanhamento Psicossocial,
Serviço de Apoio Domiciliário, Residência para Pessoas
Infetadas com HIV/SIDA
Pessoas
Toxicodependentes
Equipa de Intervenção Direta, Apartamento de Reinserção
Social
Vítimas de Violência
Doméstica
Centros de Atendimento, Casas de Abrigo
Grupo Fechado de Respostas Pontuais
Grupo Fechado de
Respostas Pontuais
Apoio Domiciliário para a Guarda de Crianças, Apoio em
Regime Ambulatório, Imprensa Braille, Escola de cães-guia
3.6. Conclusão
O funcionamento da economia social em Portugal foi marcado por dois períodos distintos em
termos do grau do apoio do Estado neste sector. Apesar de, tal como já antes do 25 de Abril, a
maior parte da atividade da economia social ser movida por agentes privados, após esta data o
Estado passou a assumir um maior compromisso com a proteção social dos cidadãos. Em
ditadura, a lógica de funcionamento do governo era servir de “suplemento” à ação dos
particulares. Todavia, deve ser salvaguardado que, consultando a lei [Presidência da República
1963], o Estado já faz uma menção clara e explícita no capítulo V das responsabilidades de
93
financiamento do Estado para com os estabelecimentos de saúde e assistência. Depois do 25 de
abril de 1974, e mais particularmente depois da entrada de Portugal na CEE, a economia social
tem vindo a estabelecer a sua importância na economia nacional e na perceção de qualidade de
vida dos cidadãos. Talvez o impacto mais visível das atividades das entidades do terceiro sector
seja aquela que diz respeito à proteção dos outros: a ação social. Como se pode observar pelos
quadros apresentados em 3.5, as respostas sociais dadas pelas entidades desta área de atividade
são sobretudo orientadas à orientação de crianças e jovens e suprimento de carências aos
excluídos (idosos, dependentes e outros).
A proteção aos cidadãos mais suscetíveis implica que as instituições do terceiro sector levantem
as devidas salvaguardas para que os mesmos não sejam, em alguns casos, mais marginalizados
e excluídos, mais fragilizados e desprotegidos, ou que sofram qualquer estigma ou
consequência direta ou indireta futura, eles próprios ou as pessoas das suas relações, em razão
da divulgação inadvertida de dados pessoais que lhes digam respeito.
94
REFERÊNCIAS
Acquisti, A. e Gross, R. (2006) «Imagined communities: Awareness, information sharing, and privacy on the facebook», em Danezis, G. e Golle, P. (eds.) Lecture Notes in Computer Science
(including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics). Springer, Berlin, Heidelberg, pp. 36–58. doi: 10.1007/11957454_3.
Ashford, W. (2017) «GDPR compliance is business opportunity», (June), pp. 4–10.
Assembleia Constituinte (1976) Constituição da República Portuguesa. Disponível em: https://dre.pt/web/guest/legislacao-consolidada/-
/lc/337/201712031035/exportPdf/normal/1/cacheLevelPage?_LegislacaoConsolidada_WAR_drefrontofficeportlet_rp=indice.
Assembleia da República (1991) «Lei n.o 10/91 - Lei da Protecção de Dados Pessoais face à Informática», Diário da República, 98, pp. 2366–2372.
Assembleia da República (1998) «Lei no 67/98 de 26 de Outubro Lei da Protecção de Dados
Pessoais (transpõe para a ordem jurídica portuguesa a Directiva n. 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares
no que diz resp», Diário da República, (247), pp. 5536–5546. Disponível em: https://dre.pt/application/file/239889.
Assembleia da República (2013) «Lei n.o 30/2013 de 8 de maio - Lei de Bases da Economia
Social», Diário da República, (88), pp. 2727–2728.
Van der Auwermeulen, B. (2017) «How to attribute the right to data portability in Europe: A
comparative analysis of legislations», Computer Law and Security Review. Elsevier Ltd, 33(1), pp. 57–72. doi: 10.1016/j.clsr.2016.11.012.
Balboni, P. e Macenaite, M. (2013) «Privacy by design and anonymisation techniques in action:
Case study of Ma3tch technology», Computer Law and Security Review. Elsevier Ltd, 29(4), pp. 330–340. doi: 10.1016/j.clsr.2013.05.005.
Banisar, D. e Davies, S. (1999) «Global Trends in Privacy Protection: An International Survey
of Privacy, Data Protection, and Surveillance Laws and Developments», J of Computer & Information L, XVIII, pp. 1–111.
Barnard-Wills, D. (2017) «The technology foresight activities of European Union data protection authorities», Technological Forecasting and Social Change. Elsevier Inc., 116, pp. 142–150. doi: 10.1016/j.techfore.2016.08.032.
BBC (2014) Edward Snowden: Leaks that exposed US spy programme, BBC News. Disponíve l em: http://www.bbc.com/news/world-us-canada-23123964 (Acedido: 21 de Janeiro de 2018).
Bolognini, L. e Bistolfi, C. (2017) «Pseudonymization and impacts of Big (personal/anonymous) Data processing in the transition from the Directive 95/46/EC to the new EU General Data Protection Regulation», Computer Law and Security Review. Elsevier Ltd,
33(2), pp. 171–181. doi: 10.1016/j.clsr.2016.11.002.
Borgesius, F. J. Z., Kruikemeier, S. e Boerman, S. C. (2017) «Tracking Walls , Take-It-Or-
95
Leave-It Choices , the GDPR , and the ePrivacy Regulation», European Data Protection Law Review, 3(3), pp. 353–368.
Brandeis, W. and (1890) «“The Right to Privacy”», 5, IV(5), pp. 193–220. Disponível em:
http://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/Privacy_brand_warr2.html.
Burden, K. (2017) «EU update», Computer Law and Security Review, 33(5), pp. 729–738. doi:
10.1016/j.clsr.2017.08.005.
Caeiro, J. M. C. (2008) «Economia social: conceitos, fundamentos e tipologia», Revista Katálysis, Florianópolis, 11(1), pp. 61–72. Disponível em:
http://www.scielo.br/pdf/rk/v11n1/06.pdf.
Caleb, D. (2017) What is a smart TV, and why should you consider buying one?, Digital Trends.
Disponível em: https://www.digitaltrends.com/home-theater/what- is-a-smart-tv/ (Acedido: 21 de Janeiro de 2018).
Cambridge Advanced Learner’s Dictionary & Thesaurus (sem data) Definição de «CCTV».
Disponível em: https://dictionary.cambridge.org/pt/dicionario/ingles/cctv (Acedido: 21 de Janeiro de 2018).
CASES (sem data a) Estatutos. Disponível em: http://www.cases.pt/sobre-nos/quem-somos/estatutos/ (Acedido: 28 de Dezembro de 2017).
CASES (sem data b) Membros da CASES. Disponível em: http://www.cases.pt/sobre-
nos/quem-somos/membros-da-cases/ (Acedido: 28 de Dezembro de 2017).
CASES e I.N.E. (2013) Conta Satélite da Economia Social-2010. Editado por Instituto
Nacional de Estatística e Cooperarativa António Sérgio para a Economia Social. INE.
Cavoukian, A. (2012) Operationalizing Privacy by Design : A Guide to Implementing Strong Privacy Practices. Ontario, Canada. doi: 10.1145/2330667.2330669.
Chen, D. e Zhao, H. (2012) «Data Security and Privacy Protection Issues in Cloud Computing», em 2012 International Conference on Computer Science and Electronics Engineering, pp. 647–651. doi: 10.1109/ICCSEE.2012.193.
Chen, Y., Paxson, V. e Katz, R. H. (2010) What’s New About Cloud Computing Security ?
CNES (sem data) Composição do CNES. Disponível em:
http://cnes.org.pt/index/entidadesmembro (Acedido: 28 de Dezembro de 2017).
Comissão Europeia (2010) Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões - Uma abordagem global da
protecção de dados pessoais na União Europeia.
da Costa, F. F. (1991) Contributo português na ideação de uma economia social: ensaios.
Ministério do Planeamento e da Administração do Território, Instituto António Sérgio do Sector Cooperativo. Disponível em: https://books.google.pt/books?id=Ar3gOwAACAAJ.
Council of Europe (COE) (1952) Convention for the Protection of Human Rights and
Fundamental Freedoms.
96
Council of Europe (COE) (1981) «Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data», European Treaty Series, (108), pp. 1–9. Disponíve l em: https://rm.coe.int/1680078b37.
Council of Europe (COE) (2001) «Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory
authorities and transborder data flows», European Treaty Series, (181), pp. 1–4.
Cradock, E., Stalla-Bourdillon, S. e Millard, D. (2017) «Nobody puts data in a corner? Why a new approach to categorising personal data is required for the obligation to inform», Computer
Law and Security Review. Elsevier Ltd, 33(2), pp. 142–158. doi: 10.1016/j.clsr.2016.11.005.
Data, G., Regulation, P. e America, N. (2018) «Survey : GDPR compliance is lagging».
Van Dijk, N., Gellert, R. e Rommetveit, K. (2016) «A risk to a right? beyond data protection risk assessments», Computer Law and Security Review. Elsevier Ltd, 32(2), pp. 286–306. doi: 10.1016/j.clsr.2015.12.017.
Direção Geral da Segurança Social da Família e da Criança et al. (2006) Respostas Sociais - nomenclaturas/conceitos. Lisboa. Disponível em: http://www.ame-
eixo.com/resposta_social.php?Lang=pt.
Dix, A. (2013) «The Commission’s Data Protection Reform After Snowden’s Summer», Intereconomics, 48(5), pp. 268–271. doi: 10.1007/s10272-013-0470-y.
European Comission (2012) Commission proposes a comprehensive reform of data protection rules to increase users’ control of their data and to cut costs for business, European
Commission Press Release Database. Disponível em: http://europa.eu/rapid/press-release_IP-12-46_en.htm?locale=en.
European Data Protection Supervisor (2016) Artificial intelligence, Robotics, Privacy and Data
Protectuion, 38th International Privacy Conference.
European Data Protection Supervisor (sem data) Data Protection Glossary. Disponível em: https://edps.europa.eu/data-protection/data-protection/glossary/a_en (Acedido: 21 de Janeiro
de 2018).
Europeia, C. (2015) Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao
Comité Económico e Social Europeu e ao Comité das Regiões - Estratégia para o Mercado Único Digital na Europa.
Evers, A. e Laville, J.-L. (2004) The Third Sector in Europe. Editado por A. Evers e J.-L.
Laville. Cheltenham, UK: Edward Elgar Publishing Limited. doi: 10.4337/9781843769774.
Fernandes, J. M. et al. (2016) A Economia Social em Portugal. Grupo do Partido Popular
Europeu no Parlamento Europeu. Disponível em: http://www.uv.es/fatwirepub/userfiles/file/ES_Iberoamerica-vol2.pdf#page=233.
Franke, U. (2017) «The cyber insurance market in Sweden», Computers and Security. Elsevie r
Ltd, 68, pp. 130–144. doi: 10.1016/j.cose.2017.04.010.
Friedewald, M. et al. (2010) «Privacy, data protection and emerging sciences and technologies :
97
Towards a common framework», Innovation-The European Journal of Social Science Research, 23(1), pp. 61–67. doi: 10.1080/13511611003791182.
Green, A. (2017) «Ransomware and the GDPR», Network Security. Elsevier Ltd, 2017(3), pp.
18–19. doi: 10.1016/S1353-4858(17)30030-2.
Hare, S. (2016) «For your eyes only: U.S. technology companies, sovereign states, and the
battle over data protection», Business Horizons. «Kelley School of Business, Indiana University», 59(5), pp. 549–561. doi: 10.1016/j.bushor.2016.04.002.
Hespanha, P. et al. (2000) Entre o Estado e o Mercado - As fragilidades das instituições de
protecção social em Portugal. Editado por Quarteto Editora. Coimbra.
I.N.E. (2016) Conta Satélite da Economia Social-2013.
INE (2015) Detalhe do Conceito de VAB, Sistema Integrado de Metainformação. Disponíve l em: http://smi.ine.pt/Conceito/Detalhes/8288 (Acedido: 21 de Janeiro de 2018).
Irion, K. e Helberger, N. (2017) «Smart TV and the online media sector: User privacy in view
of changing market realities», Telecommunications Policy, 41(3), pp. 170–184. doi: 10.1016/j.telpol.2016.12.013.
Ishii, K. (2017) «Comparative legal study on privacy and personal data protection for robots equipped with artificial intelligence: looking at functional and technological aspects», AI and Society. Springer London, (C 2013), pp. 1–25. doi: 10.1007/s00146-017-0758-8.
Jannati, H. e Bahrak, B. (2017) «An improved authentication protocol for distributed mobile cloud computing services», International Journal of Critical Infrastructure Protection.
Elsevier B.V., 19, pp. 59–67. doi: 10.1016/j.ijcip.2017.10.003.
Laboratório de Investimento Social (2014) Fundamentos do Investimento Social.
Lachaud, E. (2016) «Why the certification process defined in the General Data Protection
Regulation cannot be successful», Computer Law and Security Review. Elsevier Ltd, 32(6), pp. 814–826. doi: 10.1016/j.clsr.2016.07.001.
Loureiro, J. C. e Silva, S. T. da (2017) A Economia Social e Civil - Estudos. Editado por
Imprensa da Universidade de Coimbra. Coimbra: Imprensa da Universidade de Coimbra. doi: https:// doi.org/10.14195/978-989-26-1423-6.
Mantelero, A. (2013) «The EU Proposal for a General Data Protection Regulation and the roots of the right to be forgotten», Computer Law and Security Review. Elsevier Ltd, 29(3), pp. 229–235. doi: 10.1016/j.clsr.2013.03.010.
Mantelero, A. (2016) «Personal data for decisional purposes in the age of analytics: From an individual to a collective dimension of data protection», Computer Law and Security Review.
Elsevier Ltd, 32(2), pp. 238–255. doi: 10.1016/j.clsr.2016.01.014.
Ministério da Solidariedade Emprego e Segurança Social (2014) «Decreto-Lei n.o 172-A/2014 de 14 de novembro», Diário da República, (221), pp. 2–26.
Ministério da Solidariedade Emprego e Segurança Social (2015) «Decreto-Lei n.o 120/2015 de
98
30 de junho», Diário da República, (125), pp. 4530–4532.
Ministério do Interior (1944) «Lei 1998, de 15 de Maio», Diário do Governo, (102), pp. 433–437.
Ministério do Trabalho e da Solidariedade Social (2007) «Decreto-Lei no64/2007 de 14 de Março», Diário da República, (52), pp. 1606–1613.
Ministério dos Assuntos Sociais - Secretaria de Estado da Segurança Social (1983) «Decreto Lei n.o 119/83 de 25 de fevereiro», Diário da República, pp. 643–656. doi: 10.5007/2175-8077.2010v12n28p40.
Papakonstantinou, V. e Hert, P. de (2011) «The Amended EU Law on ePrivacy and Electronic Communications After its 2011 implementation; New rules on Data Protection, spam, Data
Breaches and Protection of Intellectual Property Rights», Journal of Computer & Information Law, 29(1), pp. 1–47.
Parente, C. e Quintão, C. (2014) Empreendedorismo Social Em Portugal. Universida. Editado
por C. Parente. Porto. Disponível em: http://ler.letras.up.pt/uploads/ficheiros/12398.pdf.
Parlamento Europeu e Conselho da União Europeia (2016) «Regulamento (UE) 2016/679 do
Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulam», Jornal Oficial da União Europeia, L119, pp. 1–
88. Disponível em: https://www.igfse.pt/upload/docs/2014/Decisao472_2014AnoEuropeuparaoDesenvolvimento
2015.pdf.
Parlamento Europeu e Conselho Europeu (1995) «Directiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de Outubro de 1995 relativa à protecção das pessoas singulares no que diz
respeito ao tratamento de dados pessoais e à livre circulação desses dados», Jornal Oficial das Comunidades Europeias, 281, pp. 31–50.
Parlamento Europeu e Conselho Europeu (1997) «Directiva 97/66/CE do Parlamento Europeu
e do Conselho de 15 de Dezembro de 1997 relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das telecomunicações», Jornal Oficial das Comunidades
Europeias, 24, pp. 1–8.
Parlamento Europeu e Conselho Europeu (2002) «Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à
protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónica», Jornal Oficial das Comunidades Europeias, 201,
pp. 37–47.
Parlamento Europeu e Conselho Europeu (2009) «Directiva 2009/136/CE do Parlamento Europeu e do Conselho de 25 de Novembro de 2009 que altera a Directiva 2002/22/CE relativa
ao serviço universal e aos direitos dos utilizadores em matéria de redes e serviços de comunicações electrónicas, a Directiva 20», Jornal Oficial da União Europeia, 337, pp. 11–
36.
Perlich, C. et al. (2014) «Machine learning for targeted display advertising: Transfer learning in action», Machine Learning, 95(1), pp. 103–127. doi: 10.1007/s10994-013-5375-2.
99
Presidência da República (1962) «Lei n.o 2115: Promulga as bases da reforma da previdência social - Revoga a Lei no 1884», Diário do Governo, (138), pp. 1–5. Disponível em: http://www.legislacao.org/primeira-serie/lei-n-o-2115-previdencia-caixas-base- instituicoes-
6061.
Presidência da República (1963) «Lei no 2120: Promulga as bases da política de saúde», Diário
do Governo, (169), pp. 1–5.
Quintão, C. (2011) «O Terceiro Sector e a sua renovação em Portugal - Uma abordagem preliminar», IS Working Papers, (2), p. 18p. Disponível em:
http://seer.uenp.edu.br/index.php/argumenta/index.
Raab, C. e Szekely, I. (2017) «Data protection authorities and information technology»,
Computer Law and Security Review. Elsevier Ltd, 33(4), pp. 421–433. doi: 10.1016/j.clsr.2017.05.002.
República Portuguesa et al. (2017) Compromisso de Cooperação para o Setor Social e
Solidário.
Rodrigues, R. et al. (2016) «The future of privacy certification in Europe: an exploration of
options under article 42 of the GDPR», International Review of Law, Computers and Technology. Taylor & Francis, 30(3), pp. 248–270. doi: 10.1080/13600869.2016.1189737.
Rouvroy, A. (2008) «Privacy, Data Protection, and the Unprecedented Challenges of Ambient
Intelligence», Studies in Ethics, Law, and Technology, 2(1), pp. 1–51. doi: 10.2202/1941-6008.1001.
Sapna, M. (2017) Is Your Vizio Television Spying on You? What to Know, The New York Times. Disponível em: https://www.nytimes.com/2017/02/07/business/vizio-television-vizio-collected-viewers-habits-consent.html (Acedido: 22 de Janeiro de 2018).
Savola, R. M., Juhola, A. e Uusitalo, I. (2010) «Towards wider cloud service applicability by security, privacy and trust measurements», em 4th International Conference on Application of Information and Communication Technologies, AICT2010. Tashkent, Uzbekistan, pp. 1–6. doi:
10.1109/ICAICT.2010.5612067.
Soares, C. et al. (2012) A Economia Social e a sua Sustentabilidade como Fator de Inclusão
Social. Disponível em: http://www.poatfse.qren.pt/upload/docs/Diversos/ESTUDOS/Relator io Final.pdf.
Stalla-Bourdillon, S. e Knight, A. (2017) «Anonymous Data v. Personal Data - A False Debate:
An EU Perspective on Anonymization, Pseudonymization and Personal Data», Wisconsin International Law Journal, 34(2), pp. 1–40.
The Economist (2016) Frankenstein’s paperclips. Disponível em: https://www.economist.com/news/special-report/21700762-techies-do-not-believe-artificial-intelligence-will-run-out-control-there-are (Acedido: 17 de Dezembro de 2017).
Tikkinen-Piri, C., Rohunen, A. e Markkula, J. (2017) «EU General Data Protection Regulation: Changes and implications for personal data collecting companies», Computer Law and Security
Review. Elsevier Ltd, (2017). doi: 10.1016/j.clsr.2017.05.015.
100
União das Misericórdias Portuguesas (sem data) Misericórdias. Disponível em: https://www.ump.pt/misericordias.
União Europeia (1992) «Tratado da União Europeia», Jornal Oficial das Comunidades
Europeias, 191, pp. 1–112.
União Europeia (2008) «Versão Consolidada do Tratado sobre o Funcionamento da União
Europeia», Jornal Oficial da União Europeia, 115, pp. 47–199.
United Nation General Assembly (1948) Universal Declaration of Human Rights, United Nations. doi: 10.1080/13642989808406748.
Weiss, S. (2009) «Privacy threat model for data portability in social network applications», International Journal of Information Management, 29(4), pp. 249–254. doi:
10.1016/j.ijinfomgt.2009.03.007.
WP29 (2006) Opinion 8/2006 on the review of the regulato ry Framework for Electronic Communications and Services, with focus on the ePrivacy Directive.
WP29 (2007) Parecer 4/2007 sobre o conc eito de dados pessoais.
WP29 (2009) Parecer 5/2009 sobre as redes sociais em linha.
WP29 (2010) Parecer 2/2010 sobre publicidade comportamental em linha.
WP29 (2012) Opinion 05/2012 on Cloud Computing. Disponível em: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
recommendation/files/2012/wp196_en.pdf.
WP29 (2013a) «Opinion 02/2013 on apps on smart devices», October, (February), pp. 1–11.
WP29 (2013b) Opinion 03/2013 on purpose limitation.
WP29 (2014a) Parecer 05/2014 sobre técnicas de anonimização.
WP29 (2014b) Statement on the role of a risk-based approach in data protection legal
frameworks.
WP29 (2015) Opinion 01/2015 on Privacy and Data Protection Issues Relating to the Utilisation of Drones.
WP29 (2016a) Guidelines on Data Protection Officers (‘DPOs’).
WP29 (2016b) Opinion 03 /201 6 on the evaluation and review of the ePrivacy Directive
(2002/58/EC). Disponível em: http://ec.europa.eu/justice/data-protection/index_en.htm.
WP29 (2017a) Opinion 01/2017 on the Proposed Regulation for the ePrivacy Regulation (2002/58/EC).
WP29 (2017b) Opinion 2/2017 on data processing at work .
Zerlang, J. (2017) «GDPR: a milestone in convergence for cyber-security and compliance»,
Network Security. Elsevier Ltd, 2017(6), pp. 8–11. doi: 10.1016/S1353-4858(17)30060-0.
top related