CNPD: O alerta para as inconstitucionalidades no Orçamento de Estado de 2020

PUBLICAÇÕES SÉRVULO 02 Abr 2020

A 14 de janeiro de 2020 a Comissão Nacional de Proteção de Dados (doravante “CNPD”) emitiu um parecer quanto à Proposta de Lei n.º 5/XI/1.ª (GOV) que aprovou o Orçamento de Estado para 2020, expressando preocupação pela possível inconstitucionalidade de certas previsões em matéria de proteção de dados pessoais (Parecer/2020/4). Não obstante, em plena pandemia causada pelo COVID-19, a Lei n.º 2/2020, de 31 de Março entrou em vigor ontem, dia 1 de Abril, não tendo o Presidente da República suscitado qualquer dúvida sobre a sua constitucionalidade antes de proceder à sua promulgação.

Mereceu particular atenção da CNPD o tema da interconexão entre as bases de dados pessoais que organismos públicos e outras entidades detêm sobre os cidadãos. Relembramos que a interconexão consiste na possibilidade de relacionar a informação constante de uma base de dados pessoais com a informação constante de outra, quer quando mantidas pelo mesmo responsável pelo tratamento (mas utilizadas para finalidades diferentes), quer quando mantidas por responsáveis pelo tratamento diferentes.

A proposta de lei previa, nomeadamente, a interconexão entre as bases de dados da Segurança Social, da Autoridade Tributária (doravante “AT”) e os registos públicos.

A CNPD alertou para o facto de se prever “genericamente o estabelecimento de bases de dados, não apenas sem especificar as bases de dados objeto da interconexão mas também sem identificar as entidades, serviços ou organismos públicos cujas bases de dados são objeto dessa operação”, constituindo nalguns casos verdadeiras normas em branco. Tal poderá consubstanciar uma violação do princípio da legalidade não permitindo “cumprir o grau de densidade normativa exigida à restrição de direitos, liberdade e garantias, que estas interconexões sempre representam”, em particular o direito à proteção de dados pessoais e o direito fundamental ao respeito pela vida privada (consagrados nos artigos 26.º e 35.º da Constituição da República Portuguesa).

A CNPD recomendou, assim, que fossem legalmente definidos os elementos essenciais para o tratamento de dados pessoais em causa (p.e. identificando a entidade responsável por cada interconexão e as categorias de dados) sob pena da sua ilicitude nos termos da legislação em vigor, incluindo o RGPD.

Para a CNPD as “bases de dados da AT não podem constituir um repositório de informação sobre os cidadãos (…) por não ser essa a finalidade da sua constituição”. O acesso a estas bases deve ter uma natureza estritamente subsidiária, sendo que “apenas na medida em que não seja possível ou não exista informação sobre bens (suficientes para a execução da dívida) do executado naqueles registos” é que se poderá a ela aceder.

Ora, segundo o artigo 6.º (3) do RGPD, nos casos em que o tratamento dos dados visa o exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento, é necessária uma lei que preveja regras específicas para determinar os responsáveis pelo tratamento, o tipo de dados pessoais a tratar, os titulares dos dados em questão, as entidades a que os dados pessoais podem ser comunicados, os limites a que as finalidades do tratamento devem obedecer, os prazos de conservação e outras medidas destinadas a garantir a licitude e equidade do tratamento.

De igual modo, segundo as orientações do (já extinto) Grupo de Trabalho do Artigo 29.º para a Proteção de Dados (e substituído pelo Comité Europeu para a Proteção de Dados), sempre que um responsável pelo tratamento pretenda fundamentar a necessidade do tratamento no cumprimento de obrigação jurídica que lhe é imposta por lei, o responsável deve poder encontrar claramente nesta não só a natureza como o objeto do tratamento a que está obrigado. Se a norma legal que impõe o tratamento não for suficientemente clara quanto aos limites desse tratamento e deixar ao responsável pelo tratamento um grau indevido de discricionariedade quanto à forma cumprir a obrigação legal, dificilmente o tratamento poderá ter como fundamento jurídico o cumprimento de obrigação jurídica imposta por lei. Isto não significa que o tratamento não possa ser considerado legítimo com base em outro fundamento jurídico previsto no RGPD, tal como o interesse legítimo do responsável pelo tratamento. Todavia, este fundamento jurídico só poderá ser utilizado se o interesse legítimo prevalecer sobre os interesses, direitos e liberdades dos titulares dos dados, sob reserva da aplicação do chamado “teste da ponderação complementar”, da responsabilidade do responsável pelo tratamento. Ademais, sempre que o tratamento tenha como fundamento o mero interesse legítimo do responsável pelo tratamento, o titular tem o direito legal de se opor ao mesmo, ao contrário do que sucede quando tenha por base o cumprimento de obrigação jurídica imposta por lei. Assim, a obrigação legal de proceder ao tratamento de dados pessoais deve estar plasmada na lei da forma mais clara e concreta possível.

Espera-se que o legislador nacional seja capaz de garantir que as normas por si elaboradas o são em conformidade com os limites legais e constitucionais aplicáveis. Se aplicados devidamente, estes limites poderão constituir um ativo importante para que não se contrariem direitos e liberdades fundamentais dos cidadãos previstos na Constituição.

Inês de Sá | is@servulo.com

Catarina Mira Lança | cml@servulo.com