20 DE MARÇO DE 1993
507
apropriadas, «os dados de caracter pessoal que revelem a origem racial, as opiniões políticas, as convicções religiosas ou outras, bem como os dados de carácter pessoal relativos à saúde ou à vida sexual [...] ou os dados de carácter pessoal relativos a condenações penais».
Do mesmo modo os princípios definidos no capítulo n da Convenção, a que temos vindo a fazer referência, podem ser derrogados desde que tal constitua «medida necessária numa sociedade democrática» com vista à protecção de segurança do Estado, segurança pública, interesses monetários do Estado e repressão das infracções fiscais, ou até, protecção da pessoa a quem os dados respeitam.
1.6 — O campo da aplicação da Convenção refere-se a «todo o conjunto de informações submetidas a um tratamento automatizado de dados de carácter pessoal nos sectores público e privado», admitindo a possibilidade da sua extensão a ficheiros manuais.
1.7 — A Convenção garante às pessoas a quem os dados respeitem o direito a conhecer da existência de um ficheiro automatizado, assim como o seu conteúdo e a referência do responsável do ficheiro, o direito de acesso às informações normativas e a sua comunicação inteligível, o direito de rectificação ou supressão de dados quando indevidamente tratados ou insusceptíveis de serem licitamente recolhidos (artigos 5.° e 6.° da Convenção), assim como o direito de recurso.
2 — Da conformidade da Convenção à Constituição da República Portuguesa:
2.1 — A Constituição da República foi pioneira na concepção da protecção de dados pessoais face à informática. A revisão de 1989 introduziu consensualmente as correcções necessárias à efectiva garantia dos direitos afirmados «institucionalmente.
As dificuldades que então se vislumbravam com a plena «abertura» do conhecimento de dados pessoais, qualquer que fosse a sua natureza, fosse essa, por exemplo, respeitante a informações relativas à investigação criminal ou à segurança nacional, foram superadas com a reserva do segredo de Estado e do segredo de justiça, naturalmente nos limites do artigo 18.° da Constituição.
As restrições referidos no texto constitucional compatibilizam-se com as derrogações possíveis dos artigos 5.°, 6.° e 8." da Convenção — capítulo n —, respectivamente respeitantes à qualidade dos dados, categorias especiais de dados e garantias adicionais para os titulares dos dados, as quais permitem na «medida necessária numa sociedade democrática» as referidas excepções da protecção da «segurança do Estado, da segurança pública, dos interesses monetários do Estado ou para repressão das infracções penais».
2.2 — A regra do n.° 2 do artigo 35." da Constituição, da proibição de acesso de terceiros a dados pessoais, base e bancos de dados, e respectiva interconexão, bem como a definição de dados pessoais e fluxo de dados transfronteiras (n.05 4 e 6 do referido artigo) remetem para a necessidade de compatibilização da legislação ordinária com a Convenção.
Como então deixámos referido em parecer sobre a proposta de lei sobre «a protecção de dados pessoais face à informática», que deu origem à Lei n.° 10/91, a definição do conceito de dados pessoais e as condições da criação e utilização e acesso a bases e bancos de dados são, por sua vez, remetidas para lei ordinária, para a qual igualmente se remete o cada vez mais complexo regime de fluxos transfronteiras, o que, na anterior formulação constitucional proibitiva, era, em concreto, impraticável, constituindo uma colisão insanável com o artigo 12.° da Convenção (nomeadamente
o n.° 2: «Nenhuma parte poderá, com o único fim de protecção da vida privada, proibir ou submeter a uma autorização especial os fluxos transfronteiras de dados de carácter pessoal destinados ao território de uma outra parte.»).
A alteração constitucional veio, assim, responder a uma necessidade e a uma garantia, também ela constitucional, de liberdade de informação, sem prejuízo das salvaguardas individuais e nacionais, ainda que seja neste domínio que a magnitude do tluxo de dados a circular nas linhas internacionais, via Marconi ou CTT, pela sua digitalização, tome impossível a distinção entre fluxos proibidos e permitidos (cf. Conclusões e Recomendações, Colóquio sobre Privacidade e Informática, 23 de Maio de 1985, Instituto de Damião de Góis).
No que respeita aos fluxos transfronteiras de dados, as regras constantes do artigo 12.° da Convenção não podem fugir às limitações que neste domínio o Comité de Peritos do Conselho da Europa (Les nouvelles technologies: Un défi pour la protection de la vie privée?, Estrasburgo, 1989) reconhece à Convenção, face à natureza cada vez mais transnacional dos modelos de circulação utilizados (desde a utilização dos satélites, videotex e libras ópticas) e à dificuldade de identificação nos países através dos quais os dados transitam antes de chegarem aos utilizadores, a que acrescem problemas de segurança e confidencialidade de dados que passam através de linhas telefónicas de países em que não se dá a suficiente atenção à protecção de dados.
Como nos diz conclusivamente o comité de peritos encarregado da avaliação e aplicação da Convenção, «o carácter transnacional do tratamento dos dados põe inevitavelmente problemas de competências no que respeita à lei aplicável. A Convenção é omissa sobre este problema. Apesar de tudo, parece recomendável chegar a regras de arbitragem a fim de resolver os diferendos no domínio dos fluxos transfronteiras». Por outro lado, também «o acesso de um utilizador a um sistema de dados situado no estrangeiro põe problemas no que respeita à aplicação extraterritorial da lei sobre a protecção dos dados do país do utilizador».
A complexidade deste tipo de problemas suscita a adopção e aprofudamento de soluções legais.
As proibições de tratamento de dados sensíveis (artigo 2.°) e a proibição do número único do cidadão, sendo mais ex-teasas do que o disposto na Convenção, inserem-se na filosofia da compatibilização de um minus protector desta e uma maior amplitude de defesa da privacidade do cidadão que os Estados queiram garantir.
2.3 — É particularmente relevante a recomendação do Comité dos Ministros dos Estados membros do Conselho da Europa de 9 de Setembro de 1991, relativa à comunicação a terceiras pessoas de dados de carácter pessoal detidos por organismos públicos, e que visa adaptar os princípios convencionais às necessidades da realidade presente.
Nesse enquadramento afirma-se que a comunicação de dados de caracter pessoal a terceiros só deve ter lugar quando uma lei específica o permita, ou seja público o seu acesso por uma disposição jurídica que regule o acesso à informação do sector público, ou quando a comunicação seja conforme à legislação interna sobre a protecção de dados, ou, ainda, quando a pessoa a quem os dados respeitem dê o seu consentimento expresso e claro.
Assim, e a menos que o direito interno organize meios de defesa adequados, os dados de carácter pessoal não devem ser transmitidos a terceiros para fias incompatíveis com os que motivaram a sua escolha.