Deliberação n.º 14 /2002 – Regime relativo ao tratamento de dados pessoais em ficheiros manuais (2002).

Ago 27, 2021 | Decisões CNPD

Consulte aqui o documento original

I. Introdução

A Lei 10/91, de 29 de Abril, era aplicável, apenas, ao tratamento de dados pessoais por meios total ou parcialmente automatizados. Novos instrumentos legislativos vieram alterar toda a filosofia de protecção de dados pessoais, estendendo o nível de protecção conferida aos dados pessoais com tratamento automatizado aos dados pessoais contidos em ficheiros manuais ou a eles destinados.

A Convenção 108 do Conselho da Europa(), ciente de que os dados de carácter pessoal também deveriam ser objecto de protecção, consignou – no seu artigo 3.º n.º al. c) – que a Convenção podia ser aplicável ao seu tratamento se os Estados, no momento da sua assinatura ou do depósito do seu instrumento de ratificação, de aceitação, de aprovação ou de adesão ou em qualquer momento posterior, assim o comunicarem em declaração dirigida ao Secretário-Geral do Conselho da Europa. O âmbito de aplicação da Convenção ao tratamento de dados manuais poderá ser extensiva a todos os dados manuais ou os Estados podem optar por limitar a aplicação dos seus princípios a certas categorias de ficheiros, em conformidade com lista que deve ser depositada (art. 3.º n.º 3).

O artigo 3.º n.º 1 da Directiva 95/46/CE() veio estabelecer a sua aplicação “ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinado”.

O Considerando n.º 15 da Directiva concretiza o sentido da sua aplicação: “se os dados tratados estiverem contidos ou se destinarem a ficheiros estruturados segundo critérios específicos relativos às pessoas, a fim de permitir um acesso fácil dos dados pessoais em causa”.

Foi a “centralização” estruturada de informação pessoal e o acesso fácil que levou o legislador a considerar que se justifica a adopção de medidas de protecção em relação aos ficheiros não automatizados.

A 4.º Revisão Constitucional, operada pela Lei Constitucional n.º 1/97, de 20 de Setembro, foi sensível a esta realidade e estabeleceu – no seu artigo 35.º n.º 7 – que “os dados pessoais constantes de ficheiros manuais gozam de protecção idêntica à prevista nos números anteriores, nos termos da lei”.

Para além se pretender responder às exigências da Directiva 95/46/CE, reconheceuse – em sede revisão constitucional() – que “desde há muito tempo a combinação entre o tratamento parcial automatizado e o tratamento em ficheiros manuais permite, em muitos países, em Portugal, em determinado momento, iludir também as proibições constitucionais e iludir as proibições de acesso e de tratamento que constam da Constituição e da lei. Com esta norma, acaba-se com a possibilidade desse tipo de práticas perversas e alarga-se o âmbito de protecção dos dados pessoais, qualquer que seja o suporte em que se encontram”.

Por isso, deve entender-se que o objectivo do preceito constitucional é o de garantir que a lei venha a estabelecer uma protecção para os dados manuais similar àquela que está prevista para os tratamentos automatizados. Durante um período transitório – até 5 anos posteriores à entrada em vigor da Lei 67/98 – o legislador ordinário entendeu que se justificava uma menor protecção, em particular no que diz respeito às “condições de legitimidade do tratamento” (cf. art. 50.º da Lei 67/98, de 26 de Outubro).

II. O regime aplicável aos tratamentos não automatizados

(Lei 67/98, de 26 de Outubro) Na discussão e aprovação da Lei 67/98() – proposta de Lei n.º 173/VII – os oradores salientaram, com especial realce, o novo âmbito de aplicação da lei ao tratamento de dados pessoais contidos em ficheiros manuais ou a estes destinados. Na sequência das alterações constitucionais, reconheceu-se a necessidade de cautelas especiais “na protecção de dados pessoais contidos tanto em ficheiros informáticos como em ficheiros de papel” adiantando-se que “os dados em suporte de papel numa Administração Pública como a nossa não são despiciendos, tendo uma importância sensível”(deputado José Magalhães, loc. cit. pág. 2681).

O artigo 4.º n.º 1 da Lei 67/98, seguindo muito de perto a Directiva 95/46/CE e concretizando os princípios contidos na letra do artigo 35.º n.º 7 da CRP, estabelece que esta lei se aplica “ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros manuais ou a estes destinados”.

Daqui resulta, sem qualquer dúvida, que a lei – na sequência do preceito constitucional – entendeu que ao tratamento de dados pessoais em ficheiros manuais deveriam ser aplicáveis as disposições da Lei 67/98.

Como referem Garcia Marques e Lourenço Martins() “os dados constantes de outros suportes (de papel) que não sejam ficheiros manuais – e desde que a eles (ficheiros) se não destinem – não cabem no âmbito da previsão do n.º 7 do artigo 35.º (nem do n.º 1 do artigo 3.º da Directiva ou do artigo 4.º, n.º 1 da Lei 67/98). Do que resulta que a tais dados pessoais – constantes, v . g . de “ dossiers ” administrativos -, não é extensível o regime de protecção idêntica à prevista para os dados pessoais que são objecto de tratamentos automatizados”. Ou seja, só estão abrangidos no âmbito da lei os dados pessoais contidos em tratamentos “estruturados”, podendo estar excluídos os «expedientes administrativos ou os suportes procedimentais» não estruturados.

Existem, na Lei 67/98, previsões que consagram especialidades quando está em causa o «tratamento não automatizados» e que merecem uma análise diferenciada e mais detalhada. Estamos a referir-nos aos artigos 27.º n.º 5 e 50.º

Deve adiantar-se que o artigo 50.º – sendo uma « disposição transitória » – só é aplicável aos “tratamentos de dados existentes em ficheiros manuais à data da entrada em vigor” da Lei 67/98. Regime dos ficheiros manuais existentes à data da entrada em vigor da Lei 67/98

O legislador pretendeu, com as disposições transitórias, conferir às entidades responsáveis um “período de adaptação” a uma nova realidade estabelecendo um prazo – até 5 anos (o artigo 32.º n.º 2 da Directiva 95/46/CE admitia um período transitório de 12 anos sobre a data da adopção da Directiva) – que lhes permitisse tomar as medidas necessárias para, nesse prazo, poderem cumprir, de forma efectiva, todas as exigências da Lei 67/98.

Pensamos que o legislador pretendeu evitar que, no dia da entrada em vigor da lei, as entidades que estivessem a tratar dados pessoais em ficheiros manuais fossem confrontadas com a obrigação de alterarem procedimentos de tratamento ou, até, impedidos de tratar dados necessários ao exercício da sua actividade. O objectivo do legislador foi o de criar as condições para que as entidades, de uma forma gradual, pudessem beneficiar de um período de adaptação às novas realidades de protecção da privacidade, sem que fosse colocada em causa – com as novas alterações – o exercício da sua actividade económica.

Vejamos, então, cada número do artigo 50.º(). As previsões deste preceito têm disposições similares no artigo 32.º n.º 2 da Directiva, mas as alterações introduzidas apresentam algumas dificuldades de interpretação acrescidas. Dispõe este preceito que “os tratamentos de dados existentes em ficheiros manuais à data da entrada em vigor da presente lei devem cumprir o disposto nos artigos 7.º, 8.º 10.º e 11.º no prazo de cinco anos”().

As entidades responsáveis têm um prazo de 5 anos para cumprir, com todo o rigor, aquelas disposições. O que se pretendeu com a remissão expressa a cada um dos preceitos?

Cada um dos artigos indicados tem um alcance próprio. a) O artigo 7.º n.º 1 proíbe o tratamento de dados referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica, bem como o tratamento de dados relativos à saúde e à vida sexual, incluindo os dados genéticos.

Estando em causa o tratamento estruturado, exclusivamente manual (), de dados sobre convicções políticas, filiação sindical, fé religiosa ou dados de saúde não era da competência da CNPDPI, na vigência da Lei 10/91 , pronunciar-se sobre as “condições de legitimidade” para o tratamento, por não ser aplicável aquela lei aos tratamentos manuais.

Por isso, esse tratamento seria possível no domínio da lei anterior. Não poderia a CNPDPI questionar qualquer entidade sobre a existência de «fichas manuais» (sem relacionamento com quaisquer suportes automatizados) e obrigá-la a observar as disposições da Lei 10/91.

Com a entrada em vigor da Lei 67/98 os ficheiros manuais existentes () podem continuar a ser utilizados, pelo período de 5 anos, sem que seja possível obrigar as entidades responsáveis a cumprir as referidas “condições de legitimidade”. Não estão obrigadas, por exemplo, a obter o consentimento dos titulares dos dados (cf. art. 7.º n.º 2), o tratamento não precisa de estar fundamentado em «disposição legal», estão dispensados de observar as condições estabelecidas em cada uma das alíneas do n.º 3 do artigo 7.º ou algumas das condições do n.º 4().

b) Em relação ao artigo 8.º as questões são similares. As entidades que já tinham ficheiros manuais e que tratavam informação sobre suspeitas de actividades ilícitas ou infracções penais, decisões que apliquem penas ou medidas de segurança podem continuar a tratar os dados, independentemente de autorização da CNPD ou de qualquer exigência sobre «condições de legitimidade» e sem que possa haver lugar a “juízos de ponderação” entre os seus interesses e os direitos, liberdades e garantias dos titulares dos dados().

c) A não aplicação dos artigos 10.º e 11.º – relativos, respectivamente, ao direito de informação e acesso – tem que ser compatibilizado com o n.º 2 do artigo 50.º O responsável não está obrigado e vinculado – no momento da recolha directa de dados – a fornecer as informações a que se refere o artigo 10.º n.º 1, nem a fazer constar nos documentos de recolha de dados as referidas informações.

Não está obrigado, caso não recolha os dados junto do titular e os pretenda comunicar terceiros, a cumprir o artigo 10.º n.º 3.

Em matéria de direito de informação e acesso apenas está obrigado a cumprir o disposto no artigo 50.º n.º 2 (correspondente ao artigo 32.º n.º 2 § segundo in fine da Directiva).

Afigura-se-nos que era dispensável, no n.º 1, qualquer referência aos artigos 10.º e 11.º sendo suficiente o disposto no n.º 2 para delimitar as obrigações do responsável em sede de direito de informação, acesso e correcção. No entanto, a formulação adoptada não parece trazer dúvidas interpretativas.

d) A leitura comparativa do artigo 32.º n.º 2 da Directiva e do artigo 50.º da Lei 67/98 pode suscitar duas dúvidas de interpretação. Será aplicável aos ficheiros manuais existentes o disposto nos artigos 5.º (correspondente ao artigo 6.º da Directiva) e 6.º (correspondente ao artigo 7.º da Directiva) da Lei 67/98?

Em relação à obrigação de cumprir o disposto no artigo 5.º da Lei 67/98 afigura-se-nos que, face à solução adoptada no nosso direito interno, não existem razões para dispensar as entidades responsáveis de cumprir tais condições. O tratamento lícito e com observância do princípio da boa fé, o respeito pelos princípios da adequação, pertinência e exactidão podem ser fundamento bastante para – nos termos do artigo 50.º n.º 2 – o titular dos dados exigir o apagamento ou bloqueio. Ou seja, muito embora os responsáveis estejam dispensados – na fase transitória – de cumprir alguma das disposições legais sobre “condições de legitimidade” não implica que não cumpram as disposições relativas à “qualidade dos dados”. E deverão observar as “condições de legitimidade de tratamento” contidas no artigo 6.º? Parece pouco lógico que o legislador tenha dispensado os responsáveis de observar as disposições relativas à legitimidade de tratamento de dados sensíveis (previstas no artigo 7.º) e sobre suspeitas de actividades ilícitas, infracções penais e decisões que apliquem penas e medidas de segurança (constantes do artigo 8.º) e os tenha obrigado a deixar de tratar, imediatamente após a entrada de vigor da Lei 67/98, os outros dados não integrados no “núcleo duro” da informação sensível se não se verificasse uma das condições do artigo 6.º. Acresce, por outro lado, que a Directiva 95/46/CE – no seu artigo 32.º n.º 2 – admitiu um período transitório para a aplicação dos artigos 7.º e 8.º (a que correspondem os artigos 6.º, 7.º e 8.º da Lei 67/98), estabelecendo um regime uniforme em relação às condições de legitimidade.

Deve entender-se, portanto, que a razão que determina a dispensa da verificação das “condições de legitimidade” para o tratamento de dados manuais existentes se prende, no contexto da Directiva 95/46/CE, com o objectivo de manter uma certa tolerância em relação à subsistência e utilização dos ficheiros manuais e evitar que esses ficheiros – por não verificar qualquer condição estabelecida nos artigo 6.º a 8.º (que não era exigível no domínio da Lei 10/91) – sejam imediatamente impedidos de auxiliar as entidades responsáveis no âmbito da sua actividade económica. Se o período transitório se destina a conferir uma adaptação às novas realidades jurídicas do tratamento de dados pessoais justifica-se que se reconheça a possibilidade de continuarem a ser tratados os dados pessoais em ficheiros manuais, mas com observância e salvaguarda de outros princípios fundamentais de protecção de dados: da transparência e respeito pela reserva da vida privada (artigo 1.º), os relativos à “qualidade dos dados”(artigo 5.º), direito de informação, acesso, rectificação, apagamento e bloqueio de dados (art. 35.º n.º 1da CRP e 50.º n.º 2 da Lei 67/98), bem como o direito de oposição (art. 12.º da Lei 67/98). e) O n.º 3 do artigo 50.º – que corresponde em termos gerais à previsão do artigo 32.º n.º 3 da Directiva – não é totalmente compatível com o disposto no n.º 1. Porém, o preceito permite concluir que os dados conservados unicamente para fins de investigação histórica, podem ter que cumprir as disposições dos artigos 7.º, 8.º e 9.º

Só não terão que cumprir aquelas disposições se não forem reutilizados para outras finalidades e houver autorização da CNPD. Podemos ilustrar esta previsão com um exemplo. Como se sabe, muita da informação sobre filiação política e partidária tratada – nomeadamente por serviços públicos – antes de 25 de Abril de 1974 está em suporte manual (vg. fichas manuais) e pode servir para finalidades de investigação histórica. De acordo com este preceito, qualquer reutilização para finalidade diversa da investigação histórica deve cumprir as exigências dos artigo 7.º, 8.º e 9.º

III. Notificação dos tratamentos à CNPD

Interessa, agora, abordar a questão de saber qual o regime aplicável em matéria de notificação dos tratamentos à CNPD. O artigo 50.º não tem disposições transitórias específicas em relação à notificação de tratamentos, muito embora – como se referiu – não haja lugar a “controlo” da CNPD em relação aos termos em que é feito o tratamento dos dados referidos nos artigo 7.º e 8.º da Lei 67/98.

Porém, por uma questão de facilidade na abordagem da questão agora em análise, vejamos, em primeiro lugar o regime de notificação do tratamento de dados manuais iniciados a partir da entrada em vigor da Lei 67/98.

1. Notificação dos tratamentos em ficheiros manuais iniciados a partir da vigência da Lei 67/98

O artigo 27.º regula o regime relativo à notificação de tratamentos, estabelecendo o seu n.º 1 que o responsável pelo tratamento deve “notificar a CNPD antes da realização de um tratamento ou conjunto de tratamentos, total ou parcialmente automatizados, destinados à prossecução de uma mais finalidades interligadas”. Por seu turno, o n.º 5 do mesmo artigo estabelece, de forma expressa, um regime específico: os «tratamentos não automatizados dos dados pessoais previstos no n.º 1 do artigo 7.º estão sujeitos a notificação quando tratados ao abrigo da alínea a) do n.º 3 do mesmo artigo».

Da redacção do preceito podem ser alinhadas duas ideias:

a. Que o legislador teve intenção de estabelecer um regime diverso em relação à notificação dos «tratamentos não automatizados», consignando uma situação em que os tratamentos não podem deixar de ser notificados à CNPD();

b. Para além de a situação prevista no preceito em análise se revelar extremamente rara, não se vislumbra que tenha havido uma razão relevante (e lógica) que possa servir de fundamento à opção do legislador.

Esta última ideia levou-nos a compulsar os trabalhos preparatórios relativos à transposição da Directiva, tendo verificado que – numa versão datada de 30/9/97 – o artigo 26.º n.º 5 (a que corresponde o actual artigo 27.º n.º 5) tinha a seguinte redacção: “os tratamentos não automatizados dos dados pessoais previstos no n.º 1 do artigo 6.º estão sujeitos a notificação quando tratados ao abrigo da alínea a) do n.º 2 do mesmo artigo”.

Por seu turno, o artigo 6.º n.º 2 dispunha o seguinte: “Pode excepcionalmente ser permitido o tratamento dos dados referidos no número anterior(), por disposição legal com prévio parecer da CNPD ou mediante autorização desta, em qualquer dos casos com garantia de não discriminação e desde que se verifique uma das seguintes condições:

a) O titular dos dados tiver dado o seu consentimento expresso para esse tratamento, salvo nos casos em que a lei ou a CNPD não considerarem suficientemente válido esse consentimento;”

Já se compreende melhor, em função desta redacção, qual era o objectivo a atingir.

Pretendia-se que – através da notificação – a CNPD pudesse “controlar” estes tratamentos e, em particular, a «liberdade» do consentimento.

Sem podermos afirmar que, em bom rigor, estamos perante uma «lacuna» devemos reconhecer que a disposição legal é absolutamente inconciliável e que não terá sido esta, por certo, a solução pretendida pelo legislador(). Por isso, interessa determinar o sentido objectivo da lei vigente.

Para avançarmos em relação a tamanha dificuldade colocada, só podemos socorrernos dos princípios aplicáveis em matéria de interpretação da lei. O artigo 9.º do Código Civil manda o intérprete “reconstituir a partir dos textos o pensamento legislativo, tendo sobretudo em conta a unidade do sistema jurídico e as circunstâncias em que a lei foi elaborada”.

Em anotação a este preceito Pires de Lima e Antunes Varela() consideram que o legislador se afastou do pensamento dos objectivistas “que não atendem sequer às circunstâncias históricas em que a norma nasceu”, salientando, por outro lado, que devem ser afastados os excessos dos subjectivistas “que prescindem por completo da letra da lei”.

O legislador assumiu um papel «prudente e comedido»() e evitou falar em “vontade do legislador ou na vontade da lei para, discretamente, se referir apenas ao pensamento legislativo ”().

Conforme se refere no Parecer da PGR n.º 73/92() “a actividade de interpretação de normas jurídicas começa, com efeito, com a diligência de compreensão do seu texto, e só acaba com a interligação e valoração, que está para além dele.
Naquela actividade de interligação e valoração relevam elementos lógicos, isto é, sistemáticos, históricos e racionais ou ideológicos.

O elemento sistemático compreende a consideração de outras disposições que formam o complexo normativo do instituto em que se integra a norma interpretanda, isto é, que regulam a mesma matéria (contexto da lei), assim como a consideração de disposições legais que regulam problemas normativos paralelos ou institutos afins (lugares paralelos). Compreende ainda o lugar sistemático que compete à norma interpretada no ordenamento global, assim como a sua consonância com o espírito de unidade intrínseca de todo o ordenamento jurídico.

O elemento histórico compreende a história dos preceitos, isto é, a evolução dos institutos jurídicos, as fontes da lei e os trabalhos preparatórios.

O elemento racional e teleológico traduz-se na razão de ser das normas, isto é, nas soluções que o legislador visou ao editá-las”.

Concluiu a sua ideia referindo que “o sentido prevalente da lei coincidirá com a vontade real do legislador inequivocamente resultante do respectivo texto, do exórdio dos diplomas e de eventuais trabalhos preparatórios ou, se tal não suceder, deverá o intérprete determiná-lo à luz, além do mais, de critérios objectivos, como são os que constam do n.º 3 da disposição em apreço”.

Já se tem entendido que “não é difícil que uma lei encontre nos « trabalhos preparatórios » uma falsa justificação, ou que lá apareça desvirtuado o seu espírito.

Mas nem por isso o intérprete será vinculado pelas considerações erróneas ou limitadas dos redactores da lei, antes deverá apreciar a norma no seu valor objectivo, e em conexão com o sistema do direito”. Podem, também, considerar-se os trabalhos preparatórios “como indício de certa vontade legislativa, mas devem ser utilizados com cautela e circunspecção”(). Parece-nos, porém, que não existem elementos claros que apontem no sentido de que o legislados queria afastar a obrigação de notificação para os casos previstos no artigo 27.º n.º 5 da Lei 67/98.

Não dispomos de elementos seguros para poder afirmar, como refere Francisco Ferrara(), que estejamos perante «desacertos» originados por “defeitos de coordenação e em esquecimento”, correntes do processo legislativo().

Por isso, entendemos que será prudente, no caso em apreço, não «lançar mão» da interpretação abrogante do preceito em causa e considerar que as entidades responsáveis devem notificar os tratamentos quando forem feitos nos termos do artigo 27.º n.º 5.

Será oportuno enunciar as seguintes conclusões preliminares :

a. A Directiva 95/46/CE, no seu artigo 18.º n.º 5, admitiu que todos ou alguns dos tratamentos não automatizados de dados pessoais sejam notificados, eventualmente, de forma simplificada;
b. O artigo 28.º da Lei 67/98, sem se referir à forma de tratamento (automatizados/não automatizados), estabelece os casos em que há «controlo prévio» da CNPD;
c. O artigo 27.º n.º 2 admite que a CNPD pode autorizar simplificações ou isenções.

Tendo em atenção tudo quanto ficou o exposto, pensamos que podemos assentar nos seguintes princípios a adoptar em relação à notificação de tratamentos não automatizados iniciados a partir da entrada em vigor da Lei 67/98:

a. Para que a CNPD possa exercer o controlo prévio e autorizar os tratamentos é necessário que as entidades responsáveis procedam à respectiva comunicação/notificação, nos casos previstos no artigo 28.º da Lei 67/98;
b. Igual exigência deve ser adoptada em relação à transferência de dados pessoais para Estado que não assegure protecção adequada (cf. art. 20.º n.º 1 e 2);
c. Tendo em atenção a previsão do artigo 27.º n.º 5 deve entender-se que também as situações aí previstas – apesar de se revelarem muitos raras – estão sujeitas a notificação à CNPD.

Nos termos do artigo 27.º n.º 2 a CNPD pode, ainda, autorizar a simplificação ou a isenção de notificação para determinadas categorias de tratamentos. Pensamos que se justificaria, eventualmente, a simplificação de algumas notificações, tal como está previsto no artigo 18.º n.º 5 da Directiva 95/46/CE.

2. Notificação dos tratamentos em ficheiros manuais existentes à data da entrada em vigor da Lei 67/98

Deve anotar-se, desde logo, que a dispensa de cumprimento do artigo 28.º não foi incluído nas disposições transitórias.

Considerando os princípios relativos à notificação para novos tratamentos e as disposições transitórias constantes do artigo 50.º deve entender-se que a adopção de um período transitório para o cumprimento do artigo 7.º e 8.º faz com que seja dispensável a notificação em relação aos tratamentos existentes e em que estejam em causa dados sensíveis (art. 7.º) e dados sobre suspeitas de actividades ilícitas, infracções penais e contra-ordenações (art. 8.º). Efectivamente, não estando os responsáveis obrigados a cumprir as «condições de legitimidade» – verificadas pela

CNPD nos termos destes preceitos() – não faz qualquer sentido que haja notificação à CNPD uma vez que tal notificação não produziria qualquer efeito prático.

As grandes dificuldades de interpretação aparecem quando se pergunta se devem ser notificados os tratamentos existentes e que estão sujeitos a controlo prévio, nos termos das alíneas b) a d) do artigo 28.º, bem como aqueles que se destinam a fluxos transfronteiras para Estados que não oferecem garantias adequadas. Por uma questão de “unidade do sistema” admite-se que seria curial não obrigar a notificação à CNPD os tratamentos previstos na alínea b) do artigo 28.º Se o legislador dispensou de notificação e controlo o tratamento de dados sensíveis e sobre infracções penais – que podem oferecer especiais riscos de violação da privacidade – não se compreende porque razão devem os tratamentos relativos ao “crédito e solvabilidade” ser submetidos a um controlo específico e mais exigente.

Já em relação ao controlo em matéria de interconexão (al. c), de desvio da finalidade (al. d) e fluxo transfronteiras (art. 19.º e 20.º) não se vislumbra que estas operações de tratamento possam ser realizadas sem autorização da CNPD. Para além de o controlo destas operações se inserir nas competências da CNPD (art. 23.º alíneas c) a e) – que não foi objecto de referência nas disposições transitórias – admite-se que haja um controlo por parte da CNPD na medida em que estas operações podem envolver riscos para a privacidade dos titulares dos dados e, por isso, reclamarem o estabelecimento de condições que assegurem o cumprimento dos princípios da lealdade, boa-fé e da transparência.

Parece ser legítimo concluir, igualmente, que os ficheiros que contenham dados indicados nos artigo 7.º e 8.º e que tenham como finalidade única a investigação histórica devam ser notificados à CNPD por forma a que esta possa controlar a eventual «reutilização» dos dados.

CONCLUSÕES

1. Os ficheiros manuais existentes podem continuar a ser utilizados, pelo período de 5 anos, sem que seja possível obrigar as entidades responsáveis a cumprir as “condições de legitimidade” estabelecidas nos artigos 7.º e 8.º da Lei 67/98.

2. Devem cumprir, porém, as condições relativas à “qualidade dos dados” (artigo 5.º);

3. Em matéria de direito de informação e acesso os responsáveis apenas estão obrigadas a cumprir o disposto no artigo 50.º n.º 2, ficando dispensados, nomeadamente, de assegurar o direito de informação em relação aos dados já recolhidos. A nova recolha de dados realizada a partir da entrada em vigor da lei – com integração dos dados no ficheiro manual existente – deve passar a assegurar o direito de informação no moldes definidos na Lei 67/98 (cf. artigo 35.º n.º 1 e 7 da CRP e artigos 2.º e 10.º n.º 1 da Lei 67/98).

4. Os dados conservados unicamente para fins de investigação histórica, podem ter que cumprir as disposições dos artigos 7.º, 8.º e 9.º Só não terão que cumprir aquelas disposições se não forem reutilizados para outras finalidades e houver autorização da CNPD.

5. Em relação à notificação de tratamentos não automatizados iniciados a partir da entrada em vigor da Lei 67/98 entende-se que:

a. Devem ser objecto de notificação os tratamentos não automatizados, nos termos previstos no artigo 27.º n.º 5 da Lei 67/98;
b. Devem ser notificados, igualmente, os casos previstos no artigo 28.º da Lei 67/98;
c. Devem ser objecto de notificação as transferência de dados pessoais para Estado que não assegure protecção adequada (cf. art. 20.º n.º 1 e 2);
d. Os restantes tratamentos estão dispensados de notificação à CNPD.

6. Em relação à notificação de tratamentos existentes à data da entrada em vigor da Lei 67/98 entende-se que deveriam ser notificados os tratamentos incluídos na previsão do artigo 27.º n.º 5 , das alíneas c) e d) do artigo 28.º e aqueles tratamentos que sejam objecto de fluxo transfronteiras para países que não oferecem garantias adequadas (art. 19.º e 20.º). Os ficheiros que contenham dados indicados nos artigo 7.º e 8.º e que tenham como finalidade única a investigação histórica devem ser notificados à CNPD por forma a que esta possa controlar a eventual «reutilização» dos dados (art. 50.º n.º 3).

IV. Medidas a adoptar

Como vimos, o direito constituído não é susceptível permitir uma interpretação lógica e escorreita em matéria de tratamento de ficheiros manuais, quer em relação aos ficheiros existentes à data da entrada em vigor da Lei 67/98, quer em relação aos ficheiros iniciados a partir da sua vigência.

A CNPD entende que a Lei 67/98 deve ser alterada, por forma a dissipar as dúvidas enunciadas e outras que a CNPD terá oportunidade de, em breve, evidenciar. A CNPD deve, no âmbito das suas competências (cf. art. 23.º n.º 4 da Lei 67/98), propor à Assembleia da República as alterações adequadas ao exercício das suas atribuições e competências, bem como à defesa da privacidade dos cidadãos.

A CNPD considera que, até à eventual alteração da Lei 67/98, o entendimento constante deste documento deve ser amplamente divulgado para permitir uma informação uniforme por parte das diversas entidades e agentes que têm formulado perguntas sobre estas questões. Até que a lei seja alterada, seria desejável que a CNPD pudesse preparar uma Deliberação sobre esta questão, correspondendo ao espírito subjacente ao disposto no artigo 23.º n.º 1 al. p) da Lei 67/98. Efectivamente, à CNPD caberá “promover a divulgação e esclarecimento dos direitos relativos à protecção de dados” em relação ao seu tratamento em ficheiros manuais.

A alteração legislativa deveria, no domínio dos ficheiros manuais, consignar os seguintes princípios :

1. Manter uma disposição transitória que, de forma expressa, consignasse a dispensa de cumprimento dos artigos 6.º, 7.º e 8.º. Efectivamente, e para assegurar a unidade do sistema, deveria ser estendida a dispensa de observância do artigo 6.º, à semelhança do que prevê a Directiva 95/46/CE.
2. Dado o lapso de tempo decorrido poderia ser equacionado, eventualmente, o alargamento do prazo transitório.
3. Em relação à notificação à CNPD em relação aos tratamentos existentes , poderia ser feita uma dispensa geral, desde que os tratamentos não fossem feitos para finalidades diversas das determinantes da recolha, não fossem objecto de interconexão com outros tratamentos, nem houvesse fluxo transfronteiras para Estados que não ofereçam garantias adequadas. Admite-se como possível a dispensa geral de notificação.

3. Em relação a novos tratamentos deveria ser alterado o artigo 27.º n.º 5. Propenderíamos a consignar uma obrigatoriedade de notificação dos tratamentos de dados previstos no artigo 7.º n.º 1() e 8.º da Lei 67/98, bem como as demais situações previstas no artigo 28.º n.º 1 alíneas b) a d) e as situações, já referidas, em que haja fluxo transfronteiras.

Lisboa, 15 de Janeiro de 2002 Amadeu Guerra (relator), Catarina Sarmento e Castro, Alexandre Pinheiro, Cristina Baptista, Luís Durão Barroso, Mário Varges Gomes, Luís Lingnau da Silveira (Presidente)