0020 | II Série C - Número 001 | 20 de Setembro de 2003

COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS

Parecer n.º 28/2003 relativo à apreciação da proposta de lei n.º 53/IX que autoriza o Governo a legislar em matéria de tratamento e interconexão dos dados constantes das informações a prestar pelas instituições de crédito mutuantes em relação aos contratos de empréstimo à habitação bonificados

I - Introdução

1 - Dando cumprimento a decisão de S. Ex.ª o Presidente da Assembleia da República, o seu Chefe de Gabinete enviou, para parecer, a proposta de lei n.º 53/IX, que tem por objecto autorizar o Governo "a legislar em matéria de tratamento e interconexão dos dados constantes das informações a prestar pelas instituições de crédito mutuantes em relação a cada um dos contratos de empréstimo à habitação bonificados" (artigo 1.º).
A autorização legislativa tem em anexo, em conformidade com o que é corrente e recomendável, o texto do decreto-lei que se pretende aprovar ao abrigo da mencionada autorização legislativa.
O teor deste diploma é, salvo diferenças pontuais que se referirão no lugar próprio, muito próximo daquele sobre o qual esta Comissão já teve oportunidade de se pronunciar no seu Parecer n.º 10/02, de 22 de Outubro.
2 - Aquando da apresentação, ao Plenário da Assembleia da República, da proposta de lei n.º 53/IX, o Ministro dos Assuntos Parlamentares referiu que a Comissão Nacional de Protecção de Dados já se pronunciara sobre o diploma regulador da matéria, ao apreciar projecto elaborado pelo Governo anterior, e que o projecto de decreto-lei anexo àquela proposta já tivera em conta o respectivo parecer.
A proposta de lei em causa transformou-se, entretanto, na Lei n.º 21/2003, de 26 de Junho.
Considera-se que o significado objectivo do presente parecer é o de apreciar se as recomendações constantes do parecer desta Comissão n.º 10/02, de 22 de Outubro, foram devidamente atendidas no projecto de decreto-lei a emanar ao abrigo desta lei de autorização.
Nesta medida, terá sentido remeter o presente parecer, não só à Assembleia da República, como também ao Governo.

II - A lei de autorização

Nos pareceres que produziu sobre as várias versões do diploma em causa, esta Comissão não se pronunciou, expressamente, sobre a necessidade de habilitação parlamentar para regular a matéria a que respeita - muito embora na primeira declaração de voto formulada no parecer n.º 15/99, de 9 de Novembro, pelo vogal Amadeu Ribeiro Guerra, essa posição se afigure subjacente.
O Governo optou por enveredar por essa via, apresentando à Assembleia da República a proposta de lei n.º 53/IX, que veio a transformar-se na Lei n.º 21/2003, de 26 de Junho.
Essa parece, na verdade, ter sido a solução mais conforme com o artigo 165.º, n.º 1, alínea b) da Constituição, dado estar em causa - nomeadamente no concernente à interconexão e à transmissão de dados a terceiros que se pretende permitir - matéria de direitos, liberdades e garantias.

III - O decreto-lei projectado

1 - Como se referiu, o texto do decreto-lei projectado é muito próximo daquele sobre o qual esta Comissão emitiu o seu parecer n.º 10/02, de 22 de Outubro.
2 - E nele se pretendeu atender, nomeadamente, às principais recomendações constantes desse parecer.

Assim:

- No artigo 4.º substituiu-se a epígrafe "Acesso aos dados" por "Transmissão de dados" e eliminou-se a referência à Direcção-Geral do Tesouro, que é a própria responsável pelo tratamento de dados em causa;
- Acrescentou-se um artigo 6.º, relativo a "Medidas de segurança", que é do seguinte teor:

"Artigo 6.º
Medidas de segurança

1. A transmissão da informação é efectuada por via electrónica, sendo assegurada a autenticação das entidades bem como o controlo do acesso entre os sistemas informáticos intervenientes.
2. O acesso aos dados só é permitido a pessoas, devidamente credenciadas pelas entidades intervenientes, mediante atribuição de código do utilizador e de palavra-passe".

Acrescentou-se, ademais, ao artigo 4.º, um n.º 2, especificando o modo de transmissão de dados a organismos das regiões autónomas.

3 - Apesar do que acaba de se expor, afigura-se que o teor do texto em referência suscita ainda duas questões, que merecem ser ponderadas aquando da elaboração do decreto-lei autorizado.

a) A redacção do artigo 4.º apresenta-se ambígua, não resultando totalmente explícito se o que se pretende é que a Direcção-Geral dos Impostos e a Inspecção-Geral de Finanças recebam os dados tratados pela Direcção-Geral do Tesouro mediante comunicação ("transmissão") por parte desta, ou através de "acesso", on-line.
No primeiro sentido aponta a epígrafe do artigo (aliás sugerida por esta Comissão).
Mas a utilização da expressão "podem aceder" no n.º 1 do preceito pode fazer surgir a dúvida.
Semelhantemente equívoca se apresenta a redacção do artigo 6.º, acerca das "medidas de segurança", no qual se fala, por um lado, de "transmissão", mas também de "acesso".
Haveria que deixar claro o regime pretendido.
E considera-se, a este respeito, que o mais adequado e seguro seria o da "transmissão" ou "comunicação" de dados por parte da Direcção-Geral do Tesouro, responsável pelo tratamento em questão.
b) Não parece, a propósito das medidas de segurança previstas no artigo 6.º, suficientemente precisa a expressão "controlo de acesso entre os sistemas informáticos intervenientes".
Caberia, designadamente, e tal como se apontara no parecer desta Comissão n.º 10/2002, indicar com maior especificação as "medidas de segurança adequadas" que o n.º 2 do artigo 9.º da Lei n.º 67/98 exige em relação a qualquer operação de interconexão de dados, tal como a consignada no artigo 8.º do texto em apreciação.
E isto, designadamente, tendo em vista impedir que os dados oriundos da Direcção-Geral do Tesouro possam ser utilizados para fins diversos dos previstos no diploma em apreciação.