Vous êtes sur la page 1sur 106

[COMPILAÇÃO] Os ‘primórdios’ de uma Privacidade e Proteção de Dados Pessoais

Diogo Morgado Rebelo*


* Mestrando do curso de Direito e Informática da Escola de Direito da Universidade do
Minho. Licenciado pela Faculdade de Direito da Universidade Nova de Lisboa em 2017 e
Research Scholar da Universidade Católica Portuguesa na área do Direito da Proteção de
Dados Pessoais, Robótica e Inteligência Artificial até junho de 2018.

I. Um introito à Proteção de Dados Pessoais na conjetura das (Novas)


Tecnologias de Informação e Comunicação

O Direito consubstancia o caminho-meio de regulação da vida em sociedade através de


normas jurídicas que prescrevem o mote de condução das relações intersubjetivadas, numa
senda consonante com os valores reinantes numa determinada comunidade, contexto
histórico-social e desígnios ideológicos de justiça imanentes a um determinado círculo.
A hodierna tríade telemática – telecomunicações e informática – sociedade de informação
e ambiente ciber convolam uma enormidade de desafios legais conducentes desde logo à
problemática da tipologia de governação eletrónica. É que, os fluxos de informação por de
entre o ciberespaço – indubitavelmente globalizado – despoletam questões quanto ao âmbito
territorial da regulação. Dir-se-á que a polivalência territorial sob a qual incidem os fluxos de
informação, por de entre os diferentes modelos de governação adotados pelas entidades
governamentais e empresas, e na senda de manuseio de dados indexantes à pessoa humana (in
casu, respeitantes ao próprio titular dos dados pessoais), despoletam a necessidade de fixação
de balizas normativas num prisma crescentemente internacional, com a jusante necessidade de
recurso a fontes normativas concorrenciais ou suplementares ao direito interno.
Estamos defronte um perspetivar evolutivo de um novo paradigma social, jurídico e
político-administrativo, carecido de ajustamentos de entre os saberes jurídicos e a própria
tecnologia, numa senda concretizadora de um verdadeiro ‘Direito das Tecnologias de
Informação’. Assemelha-se conveniente a simbiose diante o crescendo acesso ubíquo a um
vastíssimo espectro de serviços e recursos informáticos – preconizado, a título exemplificativo,
com o fenómeno da ‘computação em nuvem’ (em inglês, cloud computing) que materializa a
possibilidade acesso, uso, armazenamento e partilha de informação entre os utilizadores na
Internet.
Pois bem, num perspetivar ‘check & balance(ador)’ entre os interesses económicos e a tutela
da posição jurídica dos utilizadores emergira o artigo 35.º CRP, num clarividente enjeito
protecionista quanto ao possível uso abusivo de dados ou monopolização desmedida em razão
de interesses comerciais, ideológicos ou políticos. Sucede que o acesso massivo à Web, passível
de controlo faccioso (refira-se), desencadeia concomitantemente inúmeros riscos ao nível da
privacidade, conquanto inúmeras são as ferramentas de busca eletrónica de dados indexados
direta ou indiretamente à pessoa humana.
Em suma, a desmaterialização dos fluxos num ciberespaço crescentemente universal,
conotado pela facilidade comunicacional de dados, dímere a questão da opção por uma ‘auto’
ou ‘hetero’-regulação, por referência à dimensão global da rede. Refira-se, contudo, que todo
um funcionamento internético deverá de ser consonante com os ditames jus-
constitucionalistas da liberdade de expressão e de informação, conquanto se atém por
necessário o preenchimento substantivo-normativo consonante com os quesitos do princípio
da proporcionalidade, necessidade e adequação – v. para o efeito, artigo 18.º, n.º 2 da norma
normarum.

1 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

II. Comunicações Eletrónicas e Direitos Humanos: o perigo do ‘Homo


Conectus’1

O perigo do ‘Homo Conectus’

As comunicações eletrónicas através das redes telemáticas trouxeram consigo uma nova
realidade. Fenómenos como a geolocalização e as redes sociais, mas também a computação
distribuída e os ambientes inteligentes, convolam consigo um conjunto de questões com
evidente relevância jurídica. São agora manifestas as possibilidades acrescidas de
monitorização, vigilância, controle eletrónico, levadas a cabo por entidades estaduais e
entidades privadas. O uso crescente das tecnologias nas nossas atividades diárias, traz consigo
um progressivo desaparecimento (ou pelo menos esbatimento) das fronteiras que existiam
entre os domínios da vida pessoal e profissional, entre a esfera pública e privada. O que tem
consequências numa senda pessoal e profissional, conquanto acarreta a possibilidade de
reforçadíssimos meios de controlo sob os cidadãos e trabalhadores, hodiernamente
monitorizados não somente nos locais de trabalho. Tem-se então que uma vigilância total e
impercetível se torna agora possível.
Neste novo paradigma, alguns importantes princípios de direito, relacionados com os
direitos fundamentais à privacidade e à proteção de dados pessoais, parecem deveras
comprometidos. Tomemos, a título exemplificativo, o direito ao apagamento e o direito a ser
deixado só. A maioria das comunicações são hoje efetuadas através das redes telemáticas e o
exercício do direito ao apagamento de dados afigura-se como uma quimera possibilidade. As
nossas publicações em ambientes virtuais tendem a tornar-se definitivas e irreversíveis. Isto
torna-se absolutamente claro quando nos confrontamos com os novos paradigmas de
computação distribuída – também conhecida ‘cloud computing’.

Computação distribuída ou ‘Cloud Computing’

A ‘Cloud Computing’ é uma nova modalidade de prestação de serviços com recurso a


servidores internos ou externos (principalmente externos, evidentemente), que possibilita um
acesso ubíquo a um vastíssimo espectro de serviços e recursos informáticos. A computação
distribuída (ou em nuvem) assume-se como um novo modo de fornecer tecnologias, serviços
e produtos informáticos, concedendo a possibilidade aos utilizadores de aceder, partilhar, e
armazenar informação através da Internet. A nuvem per si é uma rede de centros de dados –
cada um composto por milhares de computadores em rede – que conseguem executar
programas de software em computadores pessoais ou comerciais, usando um fornecimento de
acesso a sofisticadas aplicações, plataformas e serviços oferecidos via web. Ora, a
disponibilização de serviços de computação distribuída e a consequente deslocalização do
software e das funções de arquivo suscitará impreterivelmente uma rede complexa de relações
entre responsáveis pela administração de sistemas e os prestadores de serviços, e trará
indubitavelmente um incremento dos fluxos transfronteiriços de dados, com um consequente
aumento das dificuldades em assegurar as garantias dos direitos pessoais nos ambientes
distribuídos transfronteiriços. Assim sendo, a computação na nuvem representa um enorme
desafio para os sistemas jurídicos, tanto a nível nacional como internacional, podendo-se dizer
que se aterá como necessária a colaboração entre as autoridades estaduais e os parceiros civis

1
Referência da compilação: ANDRADE, Francisco Pacheco de, Comunicações Eletrónicas e Direitos Humanos:
o perigo do ‘Homo Conectus’, Andrade, Francisco Carneiro Pacheco, in “Direitos Humanos e sua efetivação
na era da Transnacionalidade”, Outubro 2012, Juruá Editora.

2 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

e comerciais (incluindo as associações de empregadores e sindicatos) de modo a efetivar a


tutela devida dos direitos dos cidadãos. Mas claro que a computação distribuída despoletará
ainda outras questões, designadamente a responsabilidade dos prestadores de serviços.
De todo o modo, é inquestionável que o paradigma, quer tecnológico, quer económico, se
encontra hoje profundamente alterado, relativamente àquele que motivou o atual regime
jurídico europeu sobre a prestação dos novos serviços da sociedade de informação.

Ambientes Inteligentes

Abrem-se agora novas perspetivas para a utilização acrescida de dados e de informação em


formato digital, a partir dos quais se torna possível a construção de um sofisticado sistema de
conhecimento. A utilização massiva de redes de comunicação e, sobretudo, de redes sem fios,
passíveis de serem acedidas a partir de qualquer local, traz consigo a possibilidade de
comunicação direta com qualquer habitante do planeta ou – sob uma perspetiva diferente – a
possibilidade de obtenção de dados a partir de qualquer pessoa ou objeto e em qualquer local.
De particular interesse será a análise das possibilidades abertas pela introdução das
tecnologias de ambientes inteligentes. Módulos sensoriais são usados para uma monitorização
móvel das pessoas. A utilização de ferramentas inteligentes e as perspetivas de Residência
Virtual e do Loca de Trabalho Virtual vieram para ficar, quantas vezes mitigadas como
ferramentas utilizadas com meros objetivos de eficiência. Sistemas de segurança e de poupança
na distribuição de gás ou eletricidade podem utilizar tecnologias ubíquas capazes de
desempenhar funções de análise inteligente do ambiente com recurso a serviços de recolha e
análise de dados e informação.
A Domótica e os Ambientes Inteligentes estão intimamente relacionados. Um bom
exemplo disso é o recente anúncio da parceria estabelecida entre a marca automóvel Toyota e
a Microsoft, tendente à construção de uma plataforma global para serviços telemáticos
utilizando o Windows Azure. A Toyota está a desenvolver um programa piloto destinado a ligar
pessoas, carros e casas, de modo a conseguir um controle integrado e a poupança de energia.
Do ponto de vista meramente económico, este projeto parece promissor. Mas claro está
subsumir-se-ão todo um conjunto de perigos conexos com a concentração, interconexão,
processamento e difusão de dados. Ficando claro que, a partir de agora, o automóvel e a rede
elétrica afiguram-se como verdadeiros meios de disseminação de dados sobre as pessoas e os
seus hábitos.
É evidente que estas tecnologias trazem consigo o risco de um uso intenso de dados
pessoais. Estamos perante uma real ameaça de um tratamento intensivo e constante de dados
pessoais, o que nos conduz ao espectro de uma progressiva transformação das pessoas em
pessoas eletrónicas, objeto de constante monitorização (ou vigilância) pelos sistemas
informáticos. E ainda que não considerássemos a possibilidade dos ‘web bugs’ – programas que
recolhem dados e que se introduzem nos sistemas informáticos através de uma página ‘web’ ou
de uma mensagem de correio eletrónico – ou ‘spyware programs’ – programas espiões capazes
de se auto instalarem em ambientes eletrónicos sem o consentimento dos utilizadores e sem
que estes se apercebam – permanecem múltiplas e acrescidas possibilidades de construção e
manutenção de perfis pessoais a partir de dados de utilização dos sistemas. A recolha massiva
de dados pelos Ambientes Inteligentes (a Internet das Coisas), a disponibilização da troca de
dados entre vários sistemas, aparelhos e bases de dados permite uma fácil monitorização das
escolhas e atividades do utilizador, através de sistemas cada vez mais sofisticados, dotados até
de capacidades de adaptação e aprendizagem.

3 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Os Ambientes inteligentes transformam-se assim em sujeitos ativos, ou entidades


eletrónicas construídas em torno de aparelhos, programas e sensores. Estes entes eletrónicos
poderão até estar totalmente invisíveis e a sua presença não ser percecionada pelas próprias
pessoas, o que viabiliza a constante aquisição de dados e informação sobre as mesmas e sobre
os seus contextos de interação. E isto pode ser realizado através de vulgares dispositivos
dotados de capacidade computacional (e.g., ecrãs, câmaras de vídeo, acelerómetros, PDAs –
Personal Digital Assistant), o que nos obriga a um repensar da abordagem das questões
relacionadas com a transparência dos sistemas, o consentimento dos utilizadores e as
finalidades da recolha dos dados.

Agentes de Software e construção de conhecimento

Em conformidade com o que se dissera anteriormente, o uso intensivo de uma tecnologia


cada vez mais sofisticada traz consigo um aumento das possibilidades de monitorização,
vigilância e controle de dados. Na verdade, temos de nos confrontar com um perigo novo, o
do controle não só dos nossos movimentos como também dos nossos dados, o perigo do
‘datasurveillance’. Este perigo aparece muito potenciado pela utilização dos ‘agentes de software’,
capazes de recolher, aceder, armazenar e processar dados e subsequente transmissão destes a
terceiros (que se encontram investidos na posição de humanos ou agentes eletrónicos).
Nesta senda, uma distinção de grande relevo prático assenta numa diferenciação de entre
‘objetos’ e ‘agentes’. A questão que importa relevar decorre precisamente do grau de autonomia
– que é superior nos agentes do que nos objetos, refira-se. Mas também deverá ser considerada
a questão da definição dos mecanismos de comunicação e da linguagem utilizados.
De todo o modo, o objeto consubstancia uma entidade capaz de “armazenar um estado interno,
disponibilizar um conjunto de métodos que atuam sobre esse mesmo estado e comunicar através da passagem de
mensagens”. Possui um determinado nível de autonomia no sentido de que possui controle sobre
o seu próprio comportamento. Os centros de controle de decisão são diferentes nos objetos e
nos agentes. E, no mais, poder-se-á dizer que enquanto os objetos têm um comportamento
estático, os agentes apresentam um comportamento dinâmico. Uma outra diferença reside na
definição dos mecanismos de diálogo, mais complexo nos agentes do que nos objetos. E se se
pode referir que tanto os objetos como os agentes têm uma identidade, um estado e um
comportamento que lhe são próprios, a verdade é que tudo isso se torna mais complexo no
caso dos agentes, conquanto estes podem ser descritos em termos de existência de um
conjunto de caraterísticas que integram conhecimentos, crenças, desejos, intenções, objetivos
e até obrigações.
Um ‘agente’ é então um programa informático que atua de um modo flexível, por conta do
seu dono, utilizador ou cliente, de modo a alcançar determinados objetivos. Para tal, deve
apresentar um conjunto de características ou propriedade. As principais características que
diferenciam os ‘agentes’ de outros programas de software são: a autonomia (entendida como a
capacidade de tomar decisões sobre quais as ações a realizar sem terem que questionar
constantemente o utilizador); a reatividade (capacidade de responder apropriadamente às
circunstâncias prevalecentes em ambientes dinâmicos e imprevisíveis); a proatividade
(capacidade de atuar em antecipação de metas futuras, de modo a que os seus objetivos sejam
atingidos); capacidade de comunicação, capacidade de cooperação e sociabilidade, capacidade
de raciocínio, comportamento adaptivo e confiança. E refira-se que os agentes não se limitam
a meras trocas de mensagens (como as que ocorrem nas EDI – ‘Electronic Data Interchange’).
Outrossim, são capazes de dialogar em ambientes conversacionais complexos e de assumirem
diferentes papeis bem como de se adaptarem a situações diversas.

4 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Na verdade, os ‘agentes de software’ começam a desempenhar um conjunto


progressivamente alargado de funções até então somente da incumbência do próprio ser
humano. Neste seguimento: o interregno suscita-se: deverão merecer a consideração de reais
controladores, sujeitos às mesmas obrigações e responsabilidades que os sujeitos de direito?
Clarividente que ainda não foi suficientemente ponderada a questão da atribuição da
personalidade jurídica a autómatos. No entanto, as figuras em causa possuem uma capacidade
de atuação autónoma, aquela que inclusive integra a possibilidade de atuação lesiva da esfera
jurídica do próprio ser humano. Ademais, estes agentes apresentam algo equivalente à
‘vontade’ ou ‘estados emocionais’, a partir dos quais se processa uma atuação das máquinas
em moldes totalmente autónomos, o que não poderá de forma alguma ser esquecido.
Questões como as da distribuição de dados (e da computação distribuída), ou da
monitorização através de câmaras e sensores, assim como a construção e utilização de perfis
de utilizadores, são uma porta aberta a intrusões ilegítimas, a ataques à privacidade e ao uso
ilegítimo de dados pessoais. E a questão nem se resume ao acesso dos dados. Importa denotar
o processo de cruzamento dos dados e da informação, assim como a real possibilidade de uma
permanente construção de conhecimento (mesmo relacionado com contextos).
Para além do uso de tecnologias sofisticadas- processadores e bases de dados, redes
telemáticas, bem como sistemas de busca e procura de informação, mineração de dados,
‘agentes softwares inteligentes’, inteligência ambiente, tudo isto tendo por consequência uma
inevitável perda de controle sobre o uso dos dados e informação pessoal. O até aqui
proclamado ‘princípio da transparência’ está seriamente em risco. Mesmo nas situações em
que alguém exerce – ainda que legitimamente – poderes sobre outrem (como sucede por
exemplo na relação empregador-trabalhador) haverá que perguntar: os legítimos poderes de
controlo são exercidos e permitem a recolha indiscriminada de informação pessoal e a criação
de perfis do utilizador?

A Privacidade e a Proteção de Dados Pessoais nas Comunicações Eletrónicas

Esta capacidade de recolha, processamento e transmissão de dados e informações pessoais,


tornando-os acessíveis a terceiros e permitindo até identificar em cada momento a localização
da pessoa, acarreta um elevado risco para os direitos humanos. A Declaração Universal dos
Direitos do Homem consagra, no seu artigo 12.º, o direito de não sofrer “intromissões arbitrárias
na sua vida privada, na sua família, no seu domicílio e na sua correspondência”. Não obstante, em
conformidade com o que se dissera anteriormente, a sociedade de informação comporta um
conjunto de riscos evidentes para esses direitos.
Como vimos, a utilização de comunicações eletrónicas, ambientes inteligentes, ‘agentes de
software’, trouxeram consigo um acréscimo exponencial do risco de perda de privacidade. A
este respeito, necessário se torna estabelecer quais as esferas da personalidade do utilizador
que poderão ser afetadas. Ademais, foi expressamente reconhecido pelo artigo 8.º da
Convenção Europeia dos Direitos Humanos a existência de um Direito Fundamental à
Privacidade. E, posteriormente, também no seu artigo 7.º, a Carta de Direitos Fundamentais
da União Europeia, visou claramente a proteção do indivíduo contra intrusões ilegítimas por
parte de autoridade públicas, empresas ou até mesmo por parte de outros indivíduos. Sucede,
neste seguimento, que os temas Privacidade e Proteção de Dados Pessoais, ainda que
comumente interligados e frequentemente tratados em conjunto até pela doutrina jurídica,
podem exigir diferentes abordagens. Por exemplos, enquanto o direito à privacidade pode
exigir uma proibição relativa à vigilância em certos espaços ou situações, a proteção de dados
em correspetiva implica outro tipo de restrições relativamente aos procedimentos de recolha
e tratamento dos dados.

5 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Ora bem, a incidência de questões como a distribuição de dados, a necessária monitorização


destes através de câmaras e sensores, o estabelecimento de perfis do utilizador, poderão tornar-
se uma porta aberta para intromissões na privacidade e utilização ilegítima de dados pessoais.
Para além disso, há que não perder de vista que não importam apenas os dados recolhidos,
mas também aquele conhecimento que é gerado na sequência da correlação destes. A questão
do conhecimento torna-se realmente importante, já que permite a transformação dos dados
em informação e a sua relacionação com o contexto, assim se atribuindo um significado à
totalidade de elementos recolhidos. Para além disso, poderemos ter diferentes perspetivas
sobre o sistema e a utilização que dele é feita.

A Privacidade

O Direito à intimidade e á vida privada estão intimamente relacionados com a


personalidade. Trata-se do direito que cada pessoa tem a poder decidir por si só o quê (e
quando) deve ser partilhado com terceiras pessoas. Este é um direito intimamente ligado à
liberdade pessoal, à construção da identidade, ao controle que cada um deve ter sobre os
aspetos da identidade que deseja projetar para o seu mundo. No Ordenamento Jurídico
Português, este direito à privacidade aparece expressamente reconhecido e consagrado nos
artigos 26.º, n.º 1 da norma normarum e 70.º do Código Civil (aqui entendido como um
verdadeiro direito à personalidade).
Ora, esta direito à privacidade aparece agora, devido aos desenvolvimentos tecnológicos,
como particularmente ameaçado, porquanto crescentes são as possibilidades tecnológicas de
monitorização constante do indivíduo, especialmente pela utilização dos RFIDs e de outras
tecnologias que possibilitam seguir tudo o que fazemos, onde quer que estejamos e onde quer
que vamos, ou seja, uma constante observação e monitorização, o estabelecimento de relações
entre pessoas e objetos que permitem seguir a pessoa. Acrescem ainda as possibilidades de
recolha ou mineração de dados (data mining) e de construção de perfis do utilizador, a utilização
de sensores capazes de monitorar aspetos como a pressão arterial, a temperatura do corpo, os
batimentos cardíacos, as expressões faciais, incluindo até a possibilidade de uma constante
observação de escolhas, comportamentos, emoções, tornando as pessoas cada vez menos
capazes de viver de acordo com as suas escolhas e comportamentos totalmente livres e
autónomos. E, para além do mais, este aumento das possibilidades de monitorização traz
consigo um progressivo esbatimento da distinção esfera pública e esfera privada, assim como
o perigo da ‘Vigilância dos Dados’ (em inglês, datasurveillance). Pelo exposta, sente-se hoje em
dia uma enorme necessidade de proteção da intimidade e da vida privada, procurando asseverar
as garantias de confidencialidade e fortalecer os dois aspetos diferenciados da reserva à
intimidade da vida privada: o aspeto negativo, materializável na exclusão do conhecimento por
terceiros daquilo que é próprio do indivíduo; o aspeto positivo da intimidade, assegurando-se
um controle do individuo sobre a informação que lhe é própria.

Dados Pessoais

Dados Pessoais são dados relativos a uma pessoa singular, identificada ou identificável,
investida na posição jurídica de titular dos dados. Nos termos do artigo 35.º, n.º 2 da CRP, “a
lei define o conceito de dados pessoais, bem como as condições aplicáveis ao seu tratamento automatizado,
conexão, transmissão e utilização, e garante a sua proteção, designadamente através de autoridade
administrativa independente”. Designadamente, no que concerne ao disposto no n.º 3 do antedito
preceito da norma normarum, consagrara-se uma proibição geral de tratamento de dados de
pendor sensível, a ver: “a informática não pode ser utilizada para o tratamento de dados referentes a

6 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem ética, salvo
mediante consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou
para o processamento de dados estatísticos não individualmente identificáveis”.
Portanto, são algumas as exceções constitucionalmente previstas quanto ao tratamento
desta tipologia específica de dados. Importa, neste seguimento, conceder especial importância
às situações em que o próprio titular dos dados pessoais haja prestado consentimento através
da manifestação de uma vontade concreta, livre e informada 2. Pois bem, sucede que a prestação
de consentimento pressupõe um cristalizar efetivo do princípio da informação do titular (num
enjeito de nomenclatura melhorada, a consagração de um direito à informação), conquanto o
titular deverá de saber a tipologia e os procedimentos envoltos ao tratamento dos dados que
lhe dizem respeito. Ademais, o quesito do consentimento livre e informado não se considerará
como preenchido quando e se precedido apenas da indicação de uma finalidade vaga e
genérica. Por maioria de razão, esta exigência haverá de integrar necessariamente um direito
de controlo do tratamento preconizado, numa senda constitutiva de verdadeiros poderes à
remoção, atualização ou retificação das informações. Finalmente, como corolário dos ditames
subjacentes ao princípio da lealdade, os dados objeto de tratamento deverão de ser corretos,
precisos e utilizados em conformidade com a finalidade que foi indicada no momento da
recolha. A sua alteração, a da finalidade, pressuporá – independentemente da índole mais ou
menos substancial da modificação - sempre o pedido de novo consentimento por parte do
titular. O seu tratamento deverá de ser seguro e confidencial, e tais traços já se identificam
quanto à Proposta de Regulamento relativa ao Tratamento de Dados Pessoais nas
Comunicações Eletrónicas.
Ora bem, um cristalizar pleno de um consentimento livre e informado pressupõe um
efetivar do princípio da transparência 3 e da finalidade4reconhecidos doutrinária e
jurisprudencialmente. O primeiro, aquele relativo à necessária transparência, determina que a
pessoa responsável pelo tratamento deverá de estar plenamente identificada, sendo da
incumbência desta a prestação clara e percetível de todo o conjunto das informações relativas
à finalidade, prazos de tratamento, conservação dos dados, assim como da possível
comunicação ou transferência destes a terceiros. Para além disso, este enunciado
principiológico pressupõe a existência - em conformidade com o que se dissera anteriormente-
de um direito à informação e acesso aos dados (artigos 13.º e 14.º do RGPD), e sempre que
tal se seja exigível nos termos legais, o cumprimento do conjunto das obrigações de registo,
autorização e de notificação à Comissão Nacional de Proteção de Dados. Também de enorme
relevo é a obrigação de conformidade com o princípio da finalidade (v. supra). Este materializa
a significância que reduz o tratamento dos dados ao seu uso de acordo com a finalidade que
foi considerada no momento da sua recolha. E esta finalidade deverá de ser explícita,
determinada e legítima – i.e., não poderá de ser contrária à própria lei. Então, os objetivos
precisos e concretos do tratamento dos dados têm que ser indicados e os dados não poderão
de ser objeto de tratamento numa finalística contrária á determinação dos propósitos tal como
definidos no momento inicial. Conclui-se então que o consentimento legitima deverá de ser
prestado de forma inequívoca e informada, em consonância com os princípios gerais relativos
ao tratamento de dados pessoais 5. artigo 5.º do RGPD.

2 Cf. artigo 4.º, n.º 11 e artigo 7.º do Regulamento (EU) 2016/679, do Parlamento Europeu e do Conselho, de 27
de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais
(doravante sob abreviatura RGPD).
3 Cf. artigos 5.º, n.º 1, alínea a) e 12.º do RGPD.
4 Cf. artigo 5.º, n.º 1, alínea b) do RGPD.
5 Cf. ibidem, normativo supra referenciado.

7 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Não obstante, a consideração deste princípio da finalidade não pode ser dissociada de um
outro requisito de suma importância. É que os dados recolhidos, nos termos do artigo 5.º, n.º
1, alínea c) do Regulamento Geral, têm de ser aqueles estritamente necessários e adequados à
prossecução das finalidades, conquanto o tratamento e processamento não pode extrapolar os
meios comuns de concretização dos propósitos previamente definidos. Ou seja, tem de existir
uma concordância defronte os ditames do princípio da proporcionalidade (artigo 18.º, n.º 2 da
CRP) entre os dados que são recolhidos e a própria finalidade que presidiu à recolha. Ademais,
haverá que considerar os critérios de apreciação da necessidade de recolha em conformidade
com as pressupostas finalidades.
Existem ainda um conjunto de direitos que o regulamento reconhece na esfera do titular
dos dados pessoais. Em especial, para efeitos destes mecanismos mais avançados de
comunicação eletrónica, importa realçar o direito ao apagamento dos dados, mais vulgarizado
por direito ao esquecimento, p. no artigo 17.º do RGPD. Bem entendidas as exigências que
pairam na sua ratio, haverá que estabelecer um prazo adequado para a conservação dos dados,
de modo a evitar uma apropriação perpétua de aspetos muito vastos da vida pessoal do titular
dos dados pessoais. Isto implica que alguns autores expressamente pelejem por uma
necessidade de asseguração de uma ‘autodeterminação informativa’ ou até de um ‘Direito à
autodeterminação informacional’. Pois bem, a efetivação de um direito desta índole pressupõe
o respeito concomitante defronte o direito de acesso, este p. no artigo 15.º do RGPD. Com
isto asseverar-se-á que o titular dos dados pessoais tem o poder-dever de verificar se os dados
relativos à sua pessoa (indexantes diretos ou indiretos) são conformes nos parâmetros da sua
correção, e subsequentemente, subsistirá na sua esfera jurídica o direito á retificação (cfr. artigo
16.º do RGPD) ao apagamento (cfr. artigo 17.º, supra) e eventualmente à portabilidade dos
dados (cfr. artigo 20.º do RGPD). Caso os dados objeto de tratamento sejam incorretos ou a
sua conservação extrapole o prazo necessário à prossecução das intentas finalidades, o titular
respetivo tem o direito à eliminação destes ou, pelo menos, o acesso a que estes sejam
bloqueados. O Novo Regulamento Geral de Proteção de Dados Pessoais prevê ainda o direito
de oposição do titular, nos seus artigos 18.º, n.º 1 e 21.º do RGPD.
Uma exceção ao requisito do consentimento livre e informado ocorrerá quando o titular
dos dados estiver temporariamente impedido de expressar o consentimento em razão do seu
estado de coma ou de estar nos cuidados intensivos (cfr. para os devidos efeitos, exceção à
proibição geral de tratamento dos dados sensíveis, p. no artigo 9.º n.º 2, alínea e) do RGPD).
Particulares considerações poderão ser tecidas no que contende diretamente com dados de
saúde, sensíveis na perspetiva do titular dos dados pessoais (cfr. artigo 9.º, n.º 2, alínea h) do
RGPD). Em conformidade com a alínea ante citada, será admitido o tratamento quando este
se afigure “necessário para efeitos de medicina preventiva (...), diagnóstico médico, a prestação de cuidados ou
tratamentos de saúde (...)”. Ainda assim, mesmo considerando que a recolha e tratamento destes
dados se conceba como benéfica e legalmente possível nos termos do Regulamento, não se
deverá de preterir a obrigação de observância de princípios fundamentais relativos ao
tratamento de dados pessoais, a ver, a necessária transparência e limitação do objeto de
tratamento em razão da finalidade.
Clarividente que algumas são as dificuldades de concretização de alguns direitos a que o
Regulamento se refere na perspetiva do titular dos dados pessoais, designadamente no que
respeito ao direito ao apagamento (cfr. artigo 17.º RGPD, conforme supra). Em Portugal, a
própria Comissão Nacional de Proteção de Dados determinará os prazos de utilização dos
dados, tendo como ponto de referência as finalidades que subjazem ao processo de tratamento.
Findo o prazo pré-estabelecido, os dados deverão de ser eliminados, assim se asseverando um
respeito efetivo pelo direito ao apagamento. Outro importante apontamento (já referido por
sinal) será o do direito à retificação naquelas situações em que o próprio titular verifique que

8 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

os dados não se encontram atualizados ou sejam conservados além do período necessário e


previamente fixado pela Comissão Nacional.
Haverá, por último, salientar em jeito de sinopse que o Novo Regulamento Geral de
Proteção de Dados Pessoais relativo às pessoas singulares, determina que os dados objeto de
tratamento numa comunicação eletrónica, inteligente ou não deverão de ser: (a) processados e
recolhidos de modo legal e leal; (b) recolhidos para finalidades específicas, explicitas e
legítimas, e nunca de modo incompatível com essas finalidades; (c) adequados, relevantes e
não excessivos, com relação às finalidades para as quais foram recolhidos e processados; (d)
precisos, corretos e, sempre que necessário, atualizados. Neste ponto todas as medidas
razoáveis deverão de ser tomadas de forma a assegurar que os dados incorretos ou
incompletos, atendendo mais uma vez às finalidades que subjazeram á sua recolha e
processamento, sejam corrigidos ou apagados; (e) os dados deverão por último ser mantidos
de modo a que permitam a identificação dos titulares respetivos apenas pelo tempo necessário
à prossecução das finalidades que presidiram à recolha e processamento respetivos.
Em suma, no domínio da Proteção de Dados Pessoais, a principal preocupação prende-se
com o controle que cada indivíduo terá (ou não) sobre os seus próprios dados, considerando-
se para tal tanto a lei como a tecnologia, sobretudo as chamadas tecnologias indutoras de
transparência. Neste sentido, reveste-se de primordial importância um direito a que alguma
doutrina se vem referindo ultimamente, tendo em vista o integral cumprimento dos requisitos
da ‘autodeterminação informacional’: trata-se de um direito que cada individuo tem em não
ser sujeito a decisões individuais automatizadas tomadas apenas por sistemas aplicativos.

Eficácia dos Direitos Fundamentais

O artigo 8.º da Convenção Europeia dos Direitos do Homem consagra expressamente a


existência, a nível europeu, de um direito fundamental à privacidade, a ver: “qualquer pessoa tem
o direito ao respeito da sua vida privada e familiar, do seu domicílio e da sua correspondência”. No seu n.º 2
visa-se a tutela da pessoa contra quaisquer intrusões ilegítimas e indevidas por parte quer das
autoridades públicas quer de terceiros. Também a Carta Europeia de Direitos Fundamentais
da União Europeia, no seu artigo 7.º, consagra o direito ao respeito pela vida privada e familiar,
incluindo o respeito pelo domicílio e pelas suas comunicações. Mas também o direito á
proteção dos dados pessoais foi consagrado como um direito fundamental na Carta de Direitos
Fundamentais da União Europeia (ante enunciado diploma). Segundo o artigo 8.º: “todas as
pessoas têm direito à proteção de dados de carácter pessoal que lhe digam respeito”.
Pois bem, em conformidade com o que se dissera anteriormente, a privacidade é hoje em
dia um bem jurídico carecido de tutela reforçada porquanto alvo se ameaças constantes. As
possibilidades tecnológicas de constante monitorização das pessoas, nomeadamente
preconizadas com recurso às tecnologias de RFIDs – sistemas de identificação por
radiofrequência - e de geolocalização – p.ex., as tecnologias de GPS (em inglês, ‘Geo-Localization
positioning systems’), torna possível que alguém ou alguma coisa siga tudo aquilo (ou o quer que)
façamos. A este respeito, torna-se particularmente grave e perigosa a utilização de IOTs
(Internet das Coisas) ou o estabelecimento de relações pessoas-objetos (ou até mesmo de
relações mútuas entre objetos, a ver, M2M Communications – em inglês, machine-to-machine
communications’).
Face a este panorama, uma importante pergunta terá de ser feita e que se prende não só
com o direito à privacidade da pessoa, mas também com aquilo que poderá de ser considerada
como uma razoável expetativa de privacidade dos titulares dos dados pessoais em face de todas
estas novidades tecnológicas crescentemente implementadas no mercado. Como bem rederem
De Hert, Gutwirth e outros, será razoável esperar que a nossa privacidade seja respeitada

9 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

quando tudo o que nós fazemos está (ou poderá estar) sendo constantemente monitorizado?
Não será verdade que o que nós vamos tendo, cada vez mais, é uma clarividente expetativa de
sermos monitorizados? Deveremos então de nos conformar com isso e atuar nesse sentido?
Torna-se cada vez mais difícil a recolha de dados (usando as possibilidades acrescidas de
busca ou até de mineração dos dados – ‘data mining’ – e, com base nesses dados e observando
as escolhas, o comportamento, as emoções, construir verdadeiros perfis de utilizador,
induzindo as pessoas a terem determinados comportamentos e tornando-as, no fundo, cada
vez menos capazes de adotar comportamentos verdadeiramente autónomos e de viver de
acordo com as suas livres opções. Pois bem, este incremento da capacidade de monitorização
e sua aplicação nos seus mais variados níveis, traz consigo um progressivo esbatimento das
fronteiras entre a esfera pública e a esfera privada, entre o domínio pessoal e o domínio
profissional. E consequentemente, potencia os riscos da vigilância eletrónicas, da vigilância de
dados ou, o fenómeno vulgarizado de ‘Datasurveillance’. E obviamente que teremos de nos
perguntar se ainda haverá alguma margem para minimamente assegurarmos as garantias de
confidencialidade e termos em consideração os dois aspetos distintivos do direito à intimidade:
(a) o aspeto negativo do direito à intimidade – que visa impedir que terceiros tenham qualquer
conhecimento daquilo que é próprio e exclusivo da pessoa; (b) o aspeto positivo do direito à
intimidade – que visa assegurar o controle que cada pessoa deverá de empreender quanto à
informação pessoal que lhe diga respeito.
Ora bem, mesmo admitindo que o uso de sistemas informáticos e de comunicações
eletrónicas deva respeitar um determinado quadro legal impondo um conjunto de deveres e
obrigações relativos aos direitos fundamentais e suas garantias, haverá que reconhecer que,
ainda assim, permanecerão sempre evidentes riscos associados ao uso do elemento
tecnológico, tendo em conta as atuais facilidades de monitorização e de constituição de perfis
de utilizador e de ‘datasurveillance’ – ou seja, recorde-se, de um processo de constante vigilância
assente na recolha, processamento, uso e transmissão de dados relativos a uma pessoa singular.
Mas a este respeito, talvez tenhamos que estabelecer com maior nitidez uma distinção a operar
entre os requisitos de privacidade e os requisitos da proteção de dados, entre as garantias de
opacidade (que associamos à ideia de privacidade) e as garantias de transparência
(absolutamente necessárias em matérias de proteção de dados).
Face ao exposto, torna-se claro que uma mera consagração legal de direito pode já não ser
mais suficiente. É fundamental encontrar meios de assegurar a eficácia dos direitos. Há que
dizer, ainda a este propósito, que além do importante papel desempenhado pela Lei e pelos
Regulamentos, um novo e importantíssimo papel normativo pode e deve de ser desempenhado
per si pela própria Tecnologia. Torna-se cada vez mais evidente a necessidade de
desenvolvimento de tecnologias compatíveis com o Direto, ou até de tecnologias que
promovam elas próprias os direitos. É que se, por um lado, a tecnologia pode ser encarada
como um verdadeiro pesadelo para o Direito (de modo muito particular ameaçadora para os
direitos humanos), trazendo consigo inúmeras ameaças aos direitos fundamentais das pessoas,
por outro lado, não podemos deixar de nos questionar se essa mesma tecnologia não deverá
de ser considerada como uma parte incontornável na busca de respostas e soluções para
problemas jurídicos por ela própria levantados, promovendo soluções tecnológicas e usos em
conformidade com os requisitos legais e com os direitos fundamentais, nomeadamente no que
à privacidade e proteção de dados pessoais diz respeito. Como muito bem refere Jane Winn,
tal como os standards técnicos tornaram possíveis as comunicações em rede, aumentando
exponencialmente o risco de os dados serem processados em desconformidade com os
requisitos do direito de proteção dos dados pessoais, também se torna agora possível que as
tecnologias sejam concebidas em moldes mais conformes com os requisitos legais,
aumentando-se consentaneamente a oferta e o acesso a tecnologias promotores e

10 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

potenciadores de um verdadeiro direito à privacidade. Esta ideia vem aliás naquilo que fora
defendido por Lawrence Lessig que já no início do século proclamava a existência de múltiplas
dimensões normativas abarcando domínios situados muito além do raio de atuação do Estado,
por via legislativa ou até regulamentar. De acordo com este conceituado autor, matérias não
jurídicas, como p.ex. aquelas respeitantes às arquiteturas das redes comunicacionais, podem
ter severas implicações no atinente à regulação estadual e aos direitos pessoais. E no entanto a
visão pugnada idem até pode ser merecedora de algumas criticas passíveis de serem tecidas,
tendo em conta que relevantes dificuldades decorrem da constatação de que a questão da
proteção dos direitos humanos face às comunicações eletrónicas não poderá de ser
considerada de modo minimamente eficiente a nível nacional, e muito menos a nível local,
como foi aliás reconhecido pelos deputados da Assembleia Nacional de França no mês de
outubro do ano de 2010. Vejamos: há uma necessidade urgente de convocar uma convenção
internacional dedicada á proteção da vida privada e aos dados pessoais, colocando a um nível
internacional as novas questões decorrentes da existência de uma sociedade global
interconectada.
Para além das possibilidades acrescidas de recolha e de disseminação de dados pessoais, de
utilização crescente de ambientes inteligentes e das capacidades cada vez mais poderosas de
recurso a instrumentos de geo-localização, será que ainda faz algum sentido a tradicional
distinção entre esfera pessoal, a esfera privada e a esfera íntima? A questão da transparência
está certamente em causa, mas não é de modo algum a única que deverá de ser colocada em
cima da mesa. Será que não temos de considerar a noção de Territórios Digitais? Melhor
explicando, uma balizada concetual-territorial como esta seria caraterizada quanto à sua
estrutura da seguinte forma: o corpo enformar-se-ia como um território da pessoa, no qual o
indivíduo deverá ter o controle total; a casa ou o lar como segundo território da pessoa, em
relação ao qual o individuo e o grupo a que este pertence mantém algum controlo, propriedade
e poder de regulação; e o terceiro território correspondendo àquele espaço ou esfera pública.
Não obstante, esta noção de territórios digitais pressuporia ou implicaria a possibilidade de
escolha, por parte do individuo – titular dos dados pessoais, refira-se – sobre quanta
informação é disponibilizada, a quem e com que finalidades.
Em suma, tudo isto nos leva a pensar que o tradicional papel protetor do Estado deverá de
ser repensado. E provavelmente teremos que admitir um progressivo e cada vez mais alargado
envolvimento tanto da tecnologia como dos indivíduos nesta função de proteção dos direitos
fundamentais. Como bem refere Antoni Roig, os investigadores da área da tecnologia tenderão
a deslocar a proteção da privacidade para as mãos dos indivíduos, concedendo-lhes
mecanismos e ferramentas tecnológicas de proteção dos direitos que a constituição e os
instrumentos internacionais lhes reconhecem. Ou seja, a privacidade e a proteção dos dados
pessoais tenderão a tornar-se não apenas numa questão de políticas públicas e de intervenção
do legislador-regulador, mas também – e cada vez mais – uma relevante questão tecnológica e
de prestação de serviços da sociedade de informação, e, em última análise, a eficácia dos
direitos dependerá cada vez mais das escolhas e comportamentos dos indivíduos. E só assim
poderemos continuar a falar de direito à autodeterminação informacional.
Mas é evidente que em inúmeras situações (a começar pelas relações laborais) terá que ser
encontrado um equilíbrio, nem sempre fácil, entre poderes e deveres, direitos e obrigações. E
teremos de concordar que o respeito pelo princípio da transparência assumirá um enorme
relevo e que haverá um aumento significativo dos casos em que se torna necessário (ou pelo
menos fortemente aconselhável) a elaboração (p.ex., ao nível da empresa ou até em sede de
negociação coletiva) de regras de boa conduta relativas à utilização da informática.

11 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Conclusões

A generalização das comunicações eletrónicas comporta riscos e possibilidades acrescidas


de monitorização, vigilância e controle eletrónico. O indivíduo ligado em rede aparece cada
vez mais como um verdadeiro ‘Homo Conectus’ cujos direitos fundamentais parecem algo
comprometidos. A disponibilização de serviços de computação distribuída e a consequente
deslocalização do software e das funções de arquivo virá a criar, necessariamente, uma rede
complexa de relações e trará um inevitável incremento dos fluxos transfronteiriços dos dados,
com um consequente aumento das dificuldades em assegurar as garantias dos direitos pessoais
nos ambientes distribuídos transfronteiriços. No mais, a introdução no mercado de tecnologias
de ambientes inteligentes – como sucede, p.ex., com a Internet das Coisas (IOTs), e a
consentânea disponibilização e troca de dados entre sistemas, aparelhos e bases de dados, bem
como a utilização de módulos sensoriais, permite uma constante monitorização móvel das
pessoas Com a progressiva evolução dos sistemas computacionais e a progressiva substituição
dos ‘objetos computacionais’ por ‘agentes de software’, as máquinas ganham uma autonomia
crescente, surgindo agora como verdadeiros entes coletores, processadores e distribuidores de
dados e, em última análise, de verdadeiros traçamentos de perfis de utilizadores, potenciando-
se a possibilidade de intrusões ilegítimas, de ataques à privacidade, ou de uso ilegítimo de dados
pessoais. Face a todos estes desenvolvimentos tecnológicos, teremos de nos questionar sobre
a real eficácia dos direitos fundamentais numa sociedade pós-moderna tal-qual hodiernamente
configurada. E uma reflexão haverá de ser preconizada sobre os verdadeiros espaços de
normatividade nos tempos que correm. Perguntemo-nos: será que podemos continuar a
confiar apenas no Estado de (Direito) como garante e protetor de direitos fundamentais? Cada
vez mais o direito se vê confrontado com questões novas decorrentes da utilização de
modernas e mais sofisticadas tecnologias de ponta. O que nos reconduz a termos que encarar
a existência de múltiplas dimensões normativas abarcando domínios situados muito além do
raio de atuação do Estado, por via legislativa ou regulamentar. Por um lado, a questão da
proteção dos direitos humanos face às comunicações eletrónicas não poderá ser considerada
de modo minimamente eficiente nem a um nível nacional, e muito menos em termos locais. A
transnacionalidade faz sentir aqui os seus efeitos e sente-se – cada vez mais – a necessidade de
serem instituídas regras internacionais nestas matérias. Por outro lado, teremos e admitir
progressivamente o cada vez mais largado envolvimento tanto da tecnologia como dos
indivíduos nessa função de proteção dos direitos fundamentais. Na verdade, o direito à
autodeterminação informacional só se tornará efetivo com a intervenção ativa dos agentes
económicos (cabendo à tecnologia um papel determinante na medida em que venha a oferecer
soluções tecnológicas que potenciam uma maior e melhor tutela dos direitos humanos) e dos
cidadãos. Necessário se torna que todos estejamos cientes da magnitude dos desafios que se
nos colocam e da necessidade de exigirmos que sejam adotadas regras jurídicas (nacionais e
internacionais), bem como soluções tecnológicas e até regras de boa conduta, que promovam
os direitos humanos.

A (quimera) ‘Privacidade’ e a Proteção de Dados nos Ambientes Inteligentes6

Na medida em que se atenham como indubitáveis os benefícios económicos e sociais que


a introdução no mercado de ‘Ambientes Inteligentes’ (de ora em diante sob abreviatura ‘AmI’)
convola, de não menor e verosímil asserção se considerarão os riscos conexos com estes

6 Referência da compilação: HERT, Paul [et. al.], Legal safeguards for ambient intelligence: personal and ubiquitous
computing, 2009, 13.6: 435-444.
Disponível em https://www.vs.inf.ethz.ch/events/uc07privacy/papers/03-legal.pdf.

12 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

mecanismos modernos. É da incumbência da Doutrina aprovisionar o desenvolvimento


teórico e subsequente inserção normativo-legal das necessárias e adequadas ‘Salvaguardas no
Mundo dos Ambientes Inteligentes’ – em inglês, sob acrónimo SWAMI (‘Safeguards in a World
of Ambient Intelligence’). A epítome que acompanha o presente sumário centrar-se-á nos desafios
que estas novas e modernas tecnologias de ponta despoletam sob a temática da Privacidade e
Proteção de Dados Pessoais. Para o efeito considere-se, a título de introito cogitativo,
situações fáticas de pendor hipotético cuja inserção sistémica viabilizará uma melhor
compreensão dos interregnos em voga. A primeira hipótese idealizada fora por referência as
ameaças que subjazem às deslocações quotidianas – por de entre diferentes hiatos espácio-
temporais – de um agregado familiar e em razão do constante processo de monitorização a
que os membros que o compõem são sujeitos. Sob cenário 2, perspetive-se a situação em que,
no decurso de uma excursão de idosos, se concebem como verosímeis os perigos que resultam
de erros ou interceções ilícitas que possam eventualmente ocorrer nos sistemas de controlo de
tráfego rodoviário. Adicionalmente, num presumível ambiente de reunião de acionistas,
projetar-se um suposto processo economicamente ruinosos de ‘fusão’ (em inglês, ‘merger’), na
sequência da interferência ilegítima de quem não de direito, alegadamente infrator.
Concomitantemente a tamanha intrusão, atenta também a posição dominante que a empresa
ocupara no mercado, revelar-se-iam infrutíferas todas as tentativas de encobrimento num
ímpeto contrário à mediatização da ocorrência. A fim, por de entre o mote preconizador deste
elencar exemplificativo, conjeture-se que, no ambiente envolto ao funcionamento do noticiário
matinal, são exibidas três reportagens que representam o envolvimento de um grupo de
pessoas em manifestações contra o processo de definição de perfis (em inglês, ‘personalised
profiling’). Analise-se, num contorno expositivo, todas as questões que subjazem ás ameaças
que pairam sob as realidades do Século XXI e que, decerto, acompanharão o século vindouro.
A ante enunciação dos casos (conforme supra) tem-se como reveladora do conjunto de
riscos intrínsecos à utilização dos ‘AmI’ em sede dos processos de monitorização e controlo,
bem como diante dos subsequentes contornos ambivalentes em matérias de privacidade,
confiança, segurança, identidade e inclusão que se colocam em relação às ameaças e defronte
o cometimento de ataques maliciosos.

O rastreamento e monitorização das pessoas singulares


Dir-se-á, primeiramente, que a utilização de ‘AmI’ envolve o uso omnipresente e frequente
de Circuitos fechados de televisão (‘CCTV’), smart dust, tecnologias de radiofrequência, de entre
outros. Ora, estas tecnologias possibilitam o rastreamento aquando e por de onde as pessoas
singulares possam circular, numa conjetura reveladora das suas matrizes comportamentais e
consequentemente, das suas preferências. Sucede que, se por um lado se afiguram como
inegáveis as vantagens desta tipologia de tratamento de dados – numa senda caraterizadora do
fenómeno ‘chilling effect’ -, em correspetiva, estas mesmas materializarão tantas vezes óbices
desproporcionalmente restritivos daquele que é o círculo fundamental do ‘direito à liberdade’
constitucionalmente consagrado (cf., para o efeito, artigo 27.º da norma normarum).
Pois bem, no cerne regulatório do âmbito subjetivo que paira sobre estas matérias, incumbe
a priori proceder a uma distinção ponderada de entre a núcleo incisivo, de matriz pública e/ou
privada, diretamente contendente com as posições jurídicas de vantagem dos titulares dos
dados pessoais. É que, na égide de todas as correlações de data sets, informações sobre o meio
ambiente envolvente são captadas, armazenadas, processadas e exteriorizadas sob a forma de
decisões automatizadas. Tais procedimentos não raras vezes são empregues a uma escala de

13 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Big Data7 e em situações que imbricam diretamente não somente com o preconizar dos
desígnios laborais, mas também com factis substancialmente respeitante ao direito à reserva
sobre a intimidade da vida privada (v. cenário 1, supra). Neste seguimento, difícil se concebe o
ato de traçar as balizas distintivas da esfera de atuação ‘publicitável’ de uma outra, de rango
intrinsecamente ‘priva(tístico)’.
A incomensurável coleta e intercâmbio massivo de informações (sob a forma de atributos
mecanicamente interpretáveis na modalidade de parâmetros ou observações – reproduzíveis
computacionalmente em constantes ou variáveis - como resultado da interação continua
homem-máquina), potencia o denominado fenómeno da ‘Definição de Perfis’. Tal efetua-se
num ímpeto conformador defronte os propósitos dos diversos agentes ecónomos ou até
mesmo das próprias instituições governamentais, os quais intentam aceder ao maior número
de informações possíveis num curto espaço de tempo. Assim se carateriza o ato de
‘personificação’ do titular dos dados pessoais. Clarividente que situações de risco para a
segurança e defesa nacionais 8 justificam algumas das restrições, conquanto e só na medida em
que estas sejam efetuadas no limiar do “estritamente necessári(o) à salvaguarda de outros direitos ou
interesses constitucionalmente protegidos” (cfr. artigo 18.º, n.º 2 da CRP).
Em correspetiva, os riscos que decorrem do uso crescente destas avançadas tecnologias de
informação e comunicação não se cingem ao ato de captação e transferência dos dados a
terceiros. Outrossim, inúmeras são as preocupações que decorrem do auxílio às ‘máquinas de
auto-aprendizagem’. A ver, por exemplo, a padronização dos hábitos de consumo ou as
atividades preconizadas ao nível das redes sociais pelos subscritores destas ocultam os
propósitos subterfugiados de indução à aquisição de determinados bens e serviços (v. p.ex.,
plataformas online como a Amazon e a Netflix) ou, respetivamente, a intrusão naquelas que
serão as vindouras opções políticas dos eleitores (v., p.ex., caso da Cambridge Analytica).
Assemelha-se então que o crescente uso de tecnologias de computação cognitiva respeitantes
aos ‘AmI’ - mormente no cômputo dos denominados ‘Territórios Digitais’ - espelha aquelas
que são as assimetrias que conotam a relação estabelecida de entre os cidadãos-utilizadores e
as próprias empresas (‘eBusiness’), e dest(es) com o Estado (‘eGovernment’) 9. No mais, o mote
de processamento carece de uma maior transparência e opacidade 10. Então, ainda que
imbuídos na investidura de auxiliares das tarefas de pendor remotamente humanista, estes
sistemas de ‘AmI’ reforçam a sua precisão decisória por referência ao prévio traçamento do
perfil do utilizador correspondente e os seus outputs algorítmicos consubstanciam somente e
irrefutavelmente a réplica das informações ante obtidas pelo próprio software, tantas vezes sem
que o consentimento do titular dos dados pessoais seja livre, explícito e adequado11.
Alguns efeitos nefastos poderão ser ainda mencionados neste seguimento, conquanto basta
idealizar a hipótese em que o serviço de transporte negado é a uma pessoa singular com
fundamento no cruzamento erróneo do conjunto de informações a ela respeitantes. No mais,
e quando uma pessoa se encontra sujeita a decisões automatizadas (cuja permissão é remota
mediante a verificação do conjunto de exceções expressamente previstas nos termos do

7 Por operação de tratamento de dados a uma escala de Big Data assumir-se-ão todo um conjunto de processos
compagináveis com a velocidade (‘velocity’), volume (‘volume’) e variedade (‘variety’) das informações a que
correspondem os atributos apreendidos pelos mecanismos físicos.
8 Atinentes à prossecução das finalidades de prevenção, repressão e combate à criminalidade altamente organizada

e ao terrorismo.
9 Refira-se, a título de nota, que são as entidades empresariais, públicas ou privadas, aquelas organizações que

possuem a maioria da quantidade dos dados relativos a pessoas singulares identificadas ou identificáveis e, portanto,
meritórios da sua qualificação como pessoais (cf. artigo 4.º, n.º 1 do RGPD).
10 Cf. Artigo 5.º do RGPD, relativos aos princípios gerais aplicáveis em matéria de Direito da Proteção dos Dados

Pessoais.
11 Cf. Artigo 4.º, n.º 11 e artigo 7.º, ambos do RGPD.

14 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Regulamento Geral12), poderá efetivamente ser-lhe negada a entrada no território do Estado-


Membro caso as autoridades portuárias desconfiem da sua fiabilidade na qualidade de cidadão
exemplar, como sucede no caso dos antecedentes criminais ou na hipótese de existirem fortes
indícios de perturbação da ordem social quanto à prática de atos de terrorismo. Os
equipamentos tecnológicos, no hodierno estado de arte das Tecnologias de Informação e
Comunicação, exteriorizam decisões que influem sobre a esfera da vida privada da pessoa
singular, e em relação às quais esta poderá efetivamente não se encontrar ciente.
É longínquo o período a que reporta a introdução de algumas das tecnologias eletrónicas
de monitorização e controlo comunitário – em especial, os mecanismos RFID, as camaras de
videovigilância, etc. Não obstante, a massificação e tráfego melhorados então verificados
nestas indústrias revolucionariam as tipologias de comunicação pessoa-objeto ou intra-objetos.
Tal fenómeno convularia os consentâneos benefícios ao nível do rastreamento e simplificação
do ato de realização das estatísticas de mercado, com a consequente personificação melhorada
do mercado de bens e serviços disponível na Web. Todavia, a interconexão da ação humana
com os objetos facilitara, a jusante, o processo de identificação da pessoa singular com a qual
o objeto ‘(semi)-automático’ se relaciona 13.
Em suma, alguns são os interregnos suscitados por estas novas tecnologias de ponta. Senão
vejamos, a título primordial, as seguintes questões: qual a medida necessária para um
determinado identificador operar como um verdadeiro indexante (direto ou indireto) para
efeitos de consideração como um dado pessoal? Existe alguma diferenciação de entre as
técnicas de Pseudonimização e Anonimização quanto à inserção semântico-jurídica na
definição em voga (a de dados pessoais)? A estas e outras questões responderemos na delonga
do presente relatório.

12Cf. Artigo 22.º do RGPD.


13A título exemplificativo, a utilização das aplicações Android ou da AppStore, contribuem em grande medida para
o fenómeno da ‘geolocalização’, com as suas nuances jurídicas, conforme infra.

15 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

IV. A Proteção de Dados Pessoais na União Europeia: do mercado interno à


cidadania de direitos. Em especial, a proteção de dados pessoais como uma
questão jusfundamental identitária das matrizes ‘supra-estaduais’ atinentes à
concretização de uma verdadeira ‘União de direitos’14

O RGPD e o despertar da ‘princesa adormecida’: a questão da propriedade dos


dados

No dia 25 de maio de 2018, o Regulamento (UE) 2016/679, do Parlamento Europeu e do


Conselho, passou a ser diretamente aplicável no ordenamento jurídico dos vários Estados-
Membros da União Europeia 15. Ora bem, a aplicação comunitária direta deste instrumento
normativo despoletara a perceção dos cidadãos quanto ao facto de os dados pessoais
materializarem verdadeiros elementos indexantes – direta ou indiretamente - defronte a
identidade da pessoa singular. No mais, quando correlacionados conjuntamente com outra
tipologia de informações, possibilitam a previsão do conjunto de comportamentos vindouros.
Tem-se então que a associação de conceitos e conteúdos segundo um operar de modelagem
algorítmica, ainda que não efetuada por referência direta à pessoa do titular, pode ser meritória
da qualificação como dado pessoal – como sucede, p.ex., em relação aos endereços IP16, ao
valor de retribuição mensal auferido, com os registos de voz assumidos na qualidade de
condição de acesso a uma determinada conta bancária, mas também com os registos das
histórias clínicas dos pacientes, das dívidas e créditos, assim como a disponibilização do
curriculum vitae. No mais, a implementação e subsequente aplicação de toda esta nova
regulamentação cristalizara na esfera particular a expetativa estável em como as matérias
concernentes ao núcleo essencial da ‘privacidade’ são objeto de tutela por parte do Direito da
União Europeia, em especial no que às ‘decisões exclusivamente automatizadas’ diz respeito.
Efetivamente, a livre circulação de dados é indispensável para o desenvolvimento da
chamada ‘economia digital’. Na verdade, a introdução destes mecanismos inteligentes no
mercado viabilizara – em conformidade com o que se dissera anteriormente – o acesso a todo
um conjunto de soluções tecnológicas que potenciam a utilização mais eficiente e inteligente
de recursos no conjunto de atividades até então da incumbência do próprio ser humano.
Mormente, no que imbrica com a utilização crescente de algoritmos de aprendizagem – em
estruturas empresariais como as da Google, do Facebook, da Amazon ou da Apple – sinalizara
a emergência de novas oportunidades de negócio. Assim, os dados (inclusivamente aqueles de
caráter pessoal) encontram-se na base da revolução algorítmica percetível no mundo de hoje
em constante mutação. Serão eles o verdadeiro instrumento de câmbio nas transações?
Segundo a Professora Alessandra – numa posição compaginável com o Professor Pedro
Froufe – a esfera daquelas que são as matrizes fundamentais da vida privada e respeitantes ao
titular dos dados pessoais não pode ser objeto de comercialização (sobretudo à revelia daqueles
que são os visados pelo tratamento, na aceção do artigo 4.º, n.º 2 do RGPD). Sucede que uma
intromissão inadmissível no núcleo fundamental do direito à privacidade acompanha o uso
crescente dos mecanismos de ligação em rede e, subsequentemente, maior será a

14 Referência da compilação: SILVEIRA, Alessandra e FROUFE, Pedro, A Proteção de Dados Pessoais na União
Europeia: do mercado interno à cidadania de direitos a proteção de dados pessoais como uma questão jusfundamental identitária das
matrizes ‘supra-estaduais’ atinentes à concretização de uma verdadeira ‘União de direitos’, Centro de Estudos em Direito da
União Europeia Escola de Direito – Universidade do Minho UNIO - EU Law Journal. Vol. 4, No. 2, Julho 2018,
pp 4-20. ®2018. Disponível em
http://www.unio.cedu.direito.uminho.pt/Uploads/UNIO%204%20.%20Vol%201/Unio%204%20n.%202%20P
T/Alessandra%20Silveira%20&%20Pedro%20Froufe.pdf.
15 Artigo 99.º do Regulamento.
16 Cf., para os devidos efeitos, Processo C-582/14: Acórdão do Tribunal de Justiça (Segunda Secção) de 19 de

outubro de 2016.

16 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

disponibilização de aplicações num ímpeto de monitorização e definição dos perfis do titular


dos dados pessoais. Definitivamente, traçados deverão de ser institucionalmente um conjunto
de limites quanto a estas operações de tratamento automatizado, porquanto o respeito da vida
privada (artigo 7.º da Carta) e a proteção dos dados pessoais (artigo 8.º) são conjeturadas como
condições impreteríveis à verificação empírica de fluxos comerciais globais estáveis, seguros e
competitivos. Assim, conjeturam-se necessária a previsão maleável de todo um conjunto de
instrumentos normativos que disciplinem, em especial, a responsabilidade e a transparência
em determinados setores de atividade. Tamanhos intentos materializar-se-iam através da
institucionalização de um conjunto de normas não comprometedoras do processo de
investigação, inovação e de desenvolvimento da digitalização, agregadas a uma moldagem
tecnologicamente revolucionária e potenciadora da bonificação vantajosa adjacente ao uso de
algoritmos de aprendizagem autónoma no campo da robótica.
Não obstante, mecanismos de deteção e controlo de intrusões indesejadas ou
desconformes para com os ditames legais deverão de ser tecnicamente desenvolvidos no
sentido de obstaculizar todo um conjunto de riscos potenciais conexos em especial com a
matéria da privacidade. A interconetividade crescente da ‘Internet das Coisas’ (doravante sob
abreviatura IoT), assim como a utilização crescente de dispositivos móveis, convola em si um
conjunto de ameaças importantes à privacidade em razão do posicionamento de dispositivos
conectados em espaços tradicionalmente protegidos e íntimos, com capacidade de extrair
informações relativas a dados pessoais sensíveis e, aliás, habilitados à sua transmissão
automatizada e contínua em tempo real. Nesta senda, maiores serão as vulnerabilidades em
face do cometimento de ciberataques – o que prejudica as empresas de todas as dimensões e
compromete a confiança na economia digital e nas instituições democráticas. Então, o impacto
das tecnologias digitais depende, em grande medida, da forma como os cidadãos, as empresas
e as autoridades públicas decidirem utilizá-las e da forma como for definido o seu
enquadramento normativo17. Assim sendo, a evolução que subjaz à proteção de dados
pessoais, em especial no que contende com as novas tecnologias avançadas, convertera-se
numa questão jusfundamental identitária dos nossos tempos. Matérias conexas com os dados
pessoais informatizados adquiririam uma centralidade jurídico-constitucional porquanto o
Mercado Único Digital atido se tem como um interesse público primário a ser prosseguido no
panorama da competitividade da União Comunitária. Tal evolucionismo deverá de ser
preconizado em condições justas e equilibradas, em cumulação com as necessárias
salvaguardas aos direitos dos titulares dos dados pessoais.

O mercado interno e a teleologia dos direitos fundamentais: a questão da


cidadania

O direito tem o seu tempo, refira-se, ainda dificilmente compaginável com a velocidade do
desenvolvimento tecnológico. No âmbito do processo de integração europeia, a importância
de um efetivo regime uniformizado de proteção de dados pessoais – apto a debater-se com os
avanços tecnológicos e, simultaneamente, concretizador do direito fundamental consagrado –
direta e autonomamente – no artigo 8.º da Carta – deverá de ser observada e compreendida á
luz do sentido e dos objetivos que têm orientado o aprofundamento da integração. Sucede
que, com a reforma de Lisboa, o Tratado da União Europeia (‘TUE’) associara expressamente

17 O risco pré-existe quanto ao mote preconizado de uma eventual regulamentação excessiva (em inglês,
‘overregulation’), num setor altamente variável e imprevisível como o das Tecnologias de Informação e Comunicação.
Involuntariamente, em razão do pendor maioritariamente tecnicista destas matérias, eventuais lacunas poderão
emergir de um ponto de vista legal. Não obstante, realce-se que toda uma regulamentação nestas matérias deverá
de ser acompanhada de comissões técnicas especializadas, num enjeito claramente complementar de conhecimentos
certeiros e precisos quanto á sua eficácia.

17 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

o espaço comunitário a uma ‘economia social de mercado altamente competitiva’, e com o


propósito de implementação de políticas de ‘pleno emprego e progresso social’ 18.
Numa União tal como a descrita, supra, tornava-se imprescindível salvaguardar a livre
circulação de informações pessoais. É em virtude do aumento da circulação transfronteiriça
de pessoas, de mercadorias, de capitais, e da prestação de serviços que se verificara um
aumento da recolha e da circulação de dados pessoais – e esse aumento do(s) fluxo(s) de
informação (e de utilização económica dos dados), impôs a necessidade de existir, no espaço
europeu, um nível de proteção equivalente de entre os vários Estados-Membros. Ou seja, a
proteção de dados decorreu da necessidade de fazer circular informações pessoais no mercado
interno em condições de segurança para os titulares dos dados. Este nível de proteção
equivalente deveria de resultar, no mínimo, da adoção de legislações harmonizadas. Pois bem,
é neste contexto que surge a Diretiva 95/46/CE: (i) impondo aos Estados-Membros a
obrigação de adotarem legislação interna que oferecesse garantias de proteção semelhantes em
todo o espaço europeu e; (ii) estipulando os procedimentos e os comportamentos-regra
relativamente ao fluxo de dados pessoais a transferir para Estados Terceiros (os quais passaram
a ser classificados pela Comissão Europeia de um modo diferenciado, consoante oferecessem
– ou não – um ‘nível de proteção adequado’ em matéria de dados pessoais19. Não obstante, a
uniformização normativa revelara-se insuficiente diante da espantosa circulação de dados
informatizados, impondo-se a introdução de um regime jurídico de aplicação uniformizada no
espaço da União, tendente a devolver o controlo dos dados pessoais aos seus titulares.
É que, a fragmentação de regimes nacionais resultante das várias transposições da Diretiva
95/46/CE foi uma das causas que, tecnicamente e sob o prisma da segurança e uniformidade
jurídicas, justificaram a necessidade de reforma. Assim sendo, sempre foi manifestada a
intenção de se avançar com um Regulamento (desde logo uniformizador) que revogasse e
substituísse a Diretiva 95/46/CE. O desenvolvimento da sociedade técnica de informação e
os avanços de uma economia digital aceleraram a necessidade de desenvolver-se um regime
apto a – nas circunstâncias atuais e no contexto do desenvolvimento tecnológico/digital e, que
vivemos, garantir a efetividade do direito fundamental á proteção dos dados pessoais e em
termos (tendencialmente) uniformes por via de um Regulamento.
O mercado interno requer, cada vez mais, a circulação de dados e tratamento destes cada
vez mais sofisticado. Então haverá que se proceder a uma padronização e controlo dos
comportamentos técnicos e digitais, numa senda tendente a evitar que abusos sejam
cometidos.
Neste seguimento, o RGPD acaba por ser o elemento central de uma verdadeira reforma
de regime em matéria de proteção de dados pessoais – uma reforma que reflete as
preocupações de conciliação da necessária competitividade e flexibilidade das
empresas/agentes económicos europeus com reforço da proteção efetiva dos direitos
fundamentais. Trata-se efetivamente de uma conciliação difícil e necessariamente dependente
de circunstâncias casuísticas.

18 Cf. artigo 3.º, n.º 3 do TUE. Refira-se que a importância e a atenção concedidas à efetividade de um direito
fundamental à proteção de dados pessoais não se justificam apenas pela pressão dos tempos tecnológicos vividos
e pela emergência progressiva dos homos digitais. A montante, o sentido cada vez mais político do aprofundamento
da integração, bem como a prioridade colocada na construção de uma cidadania europeia, favorecera o
desenvolvimento de uma ‘cultura de direitos europeia’. Podemos, em suma, afirmar que o paradigma referencial de
um mercado interno é, hoje em dia, o de um mercado onde se movimentam e circulam cidadãos que também são,
circunstancialmente, agentes económicos e consumidores.
19 Cf. artigos 44.º e ss. RGPD.

18 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Os algoritmos de aprendizagem como intermediários do mercado: a questão da


escolha ilimitada
Os computadores permitiram a existência da Internet – e esta havia mobilizado uma
infinidade de dados e o problema da escolha ilimitada. Ora, a aprendizagem automática utiliza
essa infinidade de dados para ajudar a resolver o problema da escolha ilimitada.
Hodiernamente, os computadores aprendem simulando o raciocínio por analogia. No que
contende diretamente com o comércio eletrónico, a personalização automatizada tornara-se
obrigatória. É por isso que o sucesso ou o fracasso de uma empresa – e, em última análise, de
todo um mercado ou economia – depende cada vez mais da qualidade dos seus algoritmos de
aprendizagem. E estes, por seu turno, dependem cada vez mais dos nossos dados: quantos
mais dados tiverem, mais aprendem.
Ora, na medida em que os algoritmos de aprendizagem se tornam os intermediários no
mercado, concentram cada vez mais o poder. E assim os algoritmos da Google determinam
qual a informação que pretendemos obter na forma de resultados das pesquisas efetuadas no
motor de busca, a Amazon ‘prevê’ qual a tipologia de produtos que nos apraz adquirir, os
algoritmos da Match.com sugerem o par ideal para quem o procuramos. O step decisivo na
escolha continua a ser o do ser humano, não obstante, 99% da seleção daquilo que
consumimos fora previamente efetuada por algoritmos – tal qual explica o Professor Pedro
Domingos no algoritmo-mestre. Assim surge um novo efeito em cadeia: as entidades
empresariais que tenham mais clientes/subscritores (de ser viços gratuitos ou pré-pagos) –
obterá os melhores algoritmos e alcançará o maior número de clientes potenciais. E assim
sucessivamente se gera um círculo virtuoso (ou vicioso, na perspetiva de direito da
concorrência). O interregno emerge de cogitação e referência retórica: como lidar com o
monopólio digital?
De qualquer forma, a aprendizagem automática não se traduz senão numa tecnologia de
ponta – e que, portanto, aquilo que importa é o que decidimos fazer com ela e com a sua
utilização. Questionemo-nos: que dados poderão efetivamente ser armazenados no
computador? Qual a quantidade necessária satisfatória dos nossos interesses em termos dos
outcomes algorítmicos? Tomemos como exemplo a modelagem algorítmica preditiva do
Facebook. À medida que os algoritmos desta plataforma digital são com maior frequência,
maior e melhor será a experiência dos próprios internautas. Indaga-se aqui a conclusão
segundo a qual inexistem serviços gratuitos ao nível da Web 20. De facto, não há qualquer
problema em comercializarmos os nossos dados, conquanto tal seja efetuado de forma livre e
esclarecida. Não obstante, a maioria das pessoas não tem consciência da quantidade de dados
que são diariamente recolhidos a seu respeito – nem dos potenciais custos e benefícios
envolvidos – e enquanto isso as grandes empresas foram atuando sem dar nas vistas. Tudo
isto faz parte de um modelo de negócio através do qual os internautas pagam com os seus
dados pessoais por um serviço, quantas vezes de apriorística gratuitidade e sem consequências
(aparentemente) danosas – o que não sucedeu, e.g., com o caso das fake news na Rússia.
Tratando-se de um negócio, a solução seria simples: se o Facebook e congéneres exercem
um monopólio digital sobre o qual não incide a tributação, importa fazer incidir a fiscalidade
europeia sobre as plataformas digitais dessa natureza, através do pagamento de tributos pelo
negócio da publicidade direcionada. E, além disso, responsabilizar as empresas pelas
irregularidades cometidas no âmbito da preterição das várias disposições contraordenacionais
previstas no artigo 83.º do RGPD.

20 A Googleprevê as nossas pesquisas, a Amazon conhece as nossas preferências literárias, a Apple sabe das músicas
que descarregamos. Ora, estas empresas recolhem, manipulam e transmitem de forma onerosa as nossas
informações a entidades terceiras. De realçar que esta problemática viria a ser alterada com a aplicação do Novo
Regulamento geral de Proteção de Dados Pessoais.

19 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Urge, portanto, discutir tais questões sem maniqueísmos ou reservas mentais. Importa
consciencializar as pessoas para que façam as suas escolhas individuais quanto ao que querem
ou não partilhar, sobretudo em razão do facto de cada vez mais os algoritmos de aprendizagem
decidirem quem obtém o crédito, quem compra o quê, quem fica com qual emprego, quem –
dos empregados – auferirá e usufruirá de um aumento salarial, que ações sobem e descem no
mercado financeiro, onde estão os agentes de polícia, ou até mesmo compatibilidades
amorosas em sites ou aplicações de encontros 21.
No cômputo regulamentar do RGPD são asseguradas quimeras garantias que contendem
diretamente com estas matérias, mormente no que respeita ao direito de oposição (artigo 21.º
e 22.º, n.º 3) e à não sujeição a decisões individuais automatizadas, incluindo a definição de
perfis (artigo 22.º do RGPD, em especial). Ou seja, o titular dos dados pessoais tem direito22
a não estar sujeito a qualquer decisão exclusivamente automatizada dos seus dados. Assim, o
novo paradigma de regulamentação europeia é o da oposição ao profiling realizado com objetivo
de avaliar e tipificar os indivíduos com base nos seus dados, na medida em que tal
processamento possa afetar este similar ou significativamente. Tal sucede na medida em que:
(1) tem de haver uma intervenção humana por parte do responsável pelo tratamento; (ii) deverá
ser verosímil a manifestação empírica do contraditório tendente a expor os argumentos e a
possibilitar a contestação (em terminologia legal, ‘oposição) da decisão maquinizada.
A questão da discriminação algorítmica – v. supra – verificara-se com o mediatizado caso
do Facebook e da Cambridge Analytica23. Neste case study surgira o problema da
regulamentação de algoritmos inteligentes. E a dificuldade reside sobretudo no facto de não
existir uma ligação necessária entre inteligência e vontade própria. Ao contrário dos seres
humanos, os algoritmos não têm vontade própria, atuam ao serviço dos objetos que lhes são
definidos. Conjetura-se que, embora espetacular, a inteligência artificial tem pouca semelhança
com os processos mentais dos seres humanos – como, aliás, exemplifica o neurocientista
português António Damásio, Professor na Universidade de Southern Califórnia. Nesta
medida, então podemos afirmar perentoriamente que nem todos os impactos da inteligência
artificial são facilmente reguláveis ou traduzíveis normativamente – e por isso a
regulamentação tradicional pode não funcionar 24.
Num estudo recente, a Agência Europeia de Direitos Fundamentais intenta desenvolver as
matrizes principiológicos envoltas à discriminação algorítmica, sugerindo a jusante medidas
tendentes a minimizar os seus efeitos sobre os direitos fundamentais, a saber: (a) verificar a
qualidade dos dados; (b) zelar pela transparência e escrutínio público sobre a forma como os
algoritmos foram configurados; (c) realizar avaliações de impacto sobre o risco potencial de
afetação discriminatória para os titulares dos dados pessoais; (d) certificação em como o
processo de programação algorítmica foi perspetivado na modelagem e o mote em que opera 25.

21 Estas declarações entroncam diretamente nas matérias controversas de ‘discriminação algorítmica’ – em função
do sexo, idade, origem racial, religião, orientação sexual, etc.
22 Esta é a aceção da Professora Alessandra Oliveira. Temos que, em sentido contrário, o titular dos dados pessoais

somente a título excecional poderá de ser sujeito a decisões exclusivamente automatizadas. A regre geral do n.º 1
do artigo 22.º do Regulamento Geral deverá de ser acecionado como uma verdadeira proibição geral (o que se
induz da leitura sistemática do considerando 71).
23 A Cambridge Analytica é uma empresa privada de análise de dados e comunicação estratégica.
24 Assim, v. exemplo das fake news proliferadas na rede social Facebook. O algoritmo do Facebook tem por objetivo

maximizar o envolvimento do internauta de forma a que lhes sejam exibidos determinados tipos de anúncios de
forma personalizada. Ao algoritmo é-lhe indiferente a veracidade ou falsidade do teor ou conteúdo que as notícias
apresentam. Porventura, este tipo de notícias, em razão da sua apriorística matriz mediática, são também aquelas
mais visionadas e partilhadas pelos utilizadores. Em última análise, dir-se-á então que ‘os algoritmos de
aprendizagem são estúpidos – como explica Pedro Domingos – porquanto carecidos de senso comum e ética
(caraterísticas humanas) como também de empatia e criatividade.
25 São dúbios os moldes compreensivos e simplistas que caraterizariam as explicações que subjazem ao processo

de exteriorização de outputs combinados.

20 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Assim, o RGPD não autoriza os juristas a estarem descansados com a revolução


tecnológica e digital. Os sistemas complexos de inteligência artificial que estão a ser ‘forjados’
não são apenas máquinas, conquanto aprendem a reconhecer padrões e a adotar estratégias
que escapam à compreensão humana. Ademais, podem ser os próprios humanos a entregar-
lhes o controlo voluntariamente, porquanto têm grande facilidade para receber ordens e
deslumbrar-se com o que não conhecem – v. para o efeito Étienne de la Boétie, Discurso da
servidão voluntária, quanto às considerações que levam o ser humano a abdicar da sua capacidade
de decidir.
Não foi por outra razão que o Parlamento Europeu e a Comissão Europeia, com base no
artigo 114.º TFUE, apresentaram uma proposta sobre as questões jurídicas relacionadas com
o desenvolvimento das novas tecnologias de robótica e inteligência artificial (em relação aos
próximos 10-15 anos)26. Sob a mesma temática, a Comissão Europeia e o Parlamento Europeu
adotaram a Comunicação ‘Inteligência Artificial para a Europa’. Encontra-se nesta senda
patenteada a ideia em que “todos os envolvidos no desenvolvimento e comercialização de tais aplicações
assumam responsabilidade jurídica pela qualidade da tecnologia que produzem e em todas as fases do processo”,
i.e., as novas tecnologias sustentáveis deverão de expressar-se na forma de um ambiente digital
tendencialmente seguro, equitativo e aberto.

O processamento de dados e a tomada de decisões: a questão da democracia


Hodiernamente, o poder político e constitucional já não se exerce da mesma forma,
porquanto inexiste um marco territorial que se lhe associe diretamente, configurando aquilo
que se convencionara como o fenómeno da ‘desterritorialização do poder’. Temos que o
direito de voto expresso numa dada circunscrição eleitoral deixara de ser eficaz porque os
representantes eleitos por esta via não dispõem de influência nas decisões que sobre tais
circunscrições se projetam. As estruturas do Estado não conseguem gerir dinâmicas
transnacionais que não controlam. O atual ‘estado de arte’ das democracias – imbuídas no
desenvolvimento tecnológico paralelo – limita-se à gerência de uma tipologia de administração
de rotina convolável num sistema de poder global sem representação política e isento de
qualquer controlo. Yuval Harari afirmara que com o aumento do volume e da velocidade dos
dados, instituições respeitáveis como o sistema eleitoral, os partidos e os parlamentos podem
tornar-se obsoletas por se revelarem incapazes de processar dados com a eficácia necessária.
Por conseguinte, em paralelo, os eleitores sentem que os mecanismos democráticos já não os
capacitam – o poder atém-se como incontrolável. A título exemplificativo, no Reino Unido os
eleitores perspetivam que o controlo decisório centra-se nas instituições da União Europeia e
então o seu sentido de voto foi favorável ao Brexit. Nos Estados Unidos, por conseguinte, os
eleitores pensam que o poder é monopolizado pelo ‘sistema federal’ e então nas últimas
eleições direcionaram o seu sentido de voto em abono do atual presidente Donald Trump.
Realce-se, contudo, que democracias e ditaduras estão similarmente sobrepujadas e a ‘arte de
governar’ converteu-se na mera gestão de assuntos correntes.
Quando ligamos a nossa experiência ao grande fluxo de dados e deixamos os algoritmos
descobrirem o sentido do que nos rodeia, imiscuímos o nosso livre-arbítrio – as livres escolhas
– com base em juízos racionais e perdemos a dignidade humana. Sucede então que o valor da
democracia não reside nas experiências vivenciadas. Outrossim, na capacidade de as
transformamos em dados que devem de circular livremente.

26Refira-se que esta proposta contempla, nos seus meandros explicativos, a hipótese de reconhecimento da figura
da ‘pessoa eletrónica’, dispare das pessoas singulares e coletivas. Pois bem, a criação de um estatuto jurídico
específico para os robôs autónomos mais sofisticados despoleta as questões que têm que ver com o mote em que
se procederia a imputação de responsabilidade, civil e criminal, defronte a ocorrência de determinados eventos
danosos.

21 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Não se tem por adquirido que a revolução tecnológica conduza ao efetivo empoderamento
dos cidadãos e ao aperfeiçoamento das instituições democráticas. Para tal suceder, acebe-se
como necessária uma alteração da cultura cívica. Em tese, através da Internet parece ser
possível a criação de uma esfera pública global que permita o diálogo político entre os cidadãos
e as suas preocupações para além das próprias fronteiras digitais. A questão reside em cogitar
o mote em como otimizar o potencial da Internet de forma a assegurar a legitimidade
democrática assente no valor do Estado de Direito 27.
Em suma, a revolução digital não acarreta somente desvantagens. Poderia efetivamente
transformar a representação democrática através da alteração dos espaços e dos tempos da
ação política. As ferramentas digitais poderão ulteriormente ser empregues numa senda
tendente à viabilização de outras formas de envolvimento dos cidadãos no quotidiano.
Importa, contudo, perceber até que ponto as entidades públicas se encontram genuinamente
interessadas em aumentar e melhorar o nível de participação cívica, mas também se os próprios
cidadãos demonstram interesse em contribuir ativamente para os processos de decisão
democrática que afetem o seu quotidiano.

Proteção de Dados Pessoais e universalidade: a questão jusfundamental identitária


Desde 25 de maio de 201828 que o Regulamento tem sido alvo de inúmeras críticas em
razão da complexidade da sua aplicação defronte a realidade do tecido empresarial,
especialmente no que concerne à sua ‘imperiosidade’ nas grandes estruturas empresariais
norte-americanas.
Cumpre, antes do mais, recordar que o RGPD concretiza as dimensões essenciais de um
direito fundamental previsto no artigo 8.º da Carta (‘CDFUE’), aplicando-se universalmente a
quem estiver no espaço da União. Somente nesta perspetiva jusfundamental é que o RGPD
pode ser completamente percecionado: “todas as pessoas têm direito à proteção dos dados de caráter
pessoal que lhe digam respeito”, i.e., todas as pessoas que se encontrem no território da União (e
não apenas os residentes) são titulares daquele direito fundamental por força do princípio da
universalidade. Assim, não há como negar que o RGPD reforça e amplia os direitos dos
titulares de dados pessoais – e fá-lo desde a conceção29 e por defeito30. Denote-se que também
foram introduzidos vários quesitos de transparência ao longo das várias disposições do
Regulamento.
Ora, em relação ao âmbito de aplicação territorial, a aplicabilidade do RGPD, importa
balizar que a sua incidência reporta, de entre outros fatores, na localização do estabelecimento
do responsável pelo tratamento de dados ou subcontratante. Pois bem, de precisar que a noção
de estabelecimento pressupõe o exercício efetivo de uma atividade com base na instalação
estável, sendo que a forma jurídica de tal estabelecimento não releva para os devidos efeitos
(e.g., filial, sucursal, etc.). Caso a pessoa singular se encontre no território de algum Estado-
Membro da União Europeia, ainda que nacional de um pais terceiro, estará sujeita às mesmas
disposições regulamentares: (i) quando sujeita à oferta de prestação de bens ou serviços; (ii)

27 O Estado de Direito é hoje em dia conjeturável num cenário globalizado (conotado pela fragmentação,
financeirização e pela digitalização que não lhe é propriamente favorável. Posicionar-se a favor do Estado de Direito
significa – por de entre os meandros do mundo digital dos dias de hoje - “pretender que as instituições políticas tenham
rigorosamente por finalidade a garantia dos direitos fundamentais dos indivíduos” – Ct. Alessandra Oliveira. Em correspetiva,
para efeitos do presente resumo, dir-se-á que a privacidade e, adicionalmente, a proteção de dados pessoais convola
a questão da cristalização de um dever conexo com os direitos que lhes estão associados, perspetiva esta cujo
desenvolvimento se posterga para momento ulterior.
28 Data que reporta à aplicação do Regulamento Comunitário nos vários Estados-Membros, destarte a sua

vigência se tenha anteposto ao dia 25 de maio do ano de 2016 – vacatio de adaptação.


29 Numa abordagem pró-ativa tendente a garantir a proteção durante todo o processo de desenvolvimento de um

novo produto.
30 Num perspetivar tendente a assegurar que apenas serão recolhidos, utilizados e conservados os dados em

quantidade necessária).

22 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

em relação ao controlo do seu comportamento. De mencionar a título adicional que o


Regulamento também se tem por aplicável em relação aos responsáveis pelo tratamento não
estabelecidos na União, embora este instrumento normativo seja subsumível por força do
direito internacional público (artigo 3.º, n.º 3 do RGPD). Pois bem, esta solução tem na sua
égide o facto de a Internet não deter limites territoriais, também pelo em razão de a eficácia da
proteção de dados pessoais se encontrar dependente aquando o seu exercício seja
tendencialmente universal e em condições de concorrência equitativas.
Maiores também são as exigências em relação à questão do consentimento (v. infra).
Adiante-se que o silêncio e a inatividade deixam de ser considerados como consentimentos
prestados validamente. A vivência em sociedades democráticas incumbe ao próprio titular dos
dados pessoais a atribuição da relevância devida. De qualquer forma, enquanto o Regulamento
sobre a privacidade nas Comunicações Eletrónicas não entrar em vigor, a efetividade do
RGPD estagna em certa medida. Em relação a este instrumento de realçar será a necessidade
de manutenção dos níveis de proteção dos dados objeto de transmissão quanto aos quesitos
da confidencialidade e neutralidade, assim como na manutenção das mesmas exigências em
relação ao consentimento.
Diante do expresso (supra) podemos concluir que o RGPD concretiza a solução adotada
pela CDFUE quando autonomizou o direito à proteção de dados pessoais (artigo 8.º)
relativamente ao direito à reserva sobre a intimidade da vida privada (artigo 7.º). Assim sendo,
para o Direito da União Europeia nem todos os dados pessoais são suscetíveis – pela sua
natureza – de causar prejuízo à privacidade da pessoa em causa. Não obstante, deverão de ser
tutelados em igual medida. Melhor explicitando, a natureza ou tipologia dos dados seja díspar
justifica a autonomia conferida à proteção dos dados pessoais em relação à privacidade no
ordenamento da União Europeia. Neste domínio, a CDFUE dá um passo adiante em relação
às várias Constituições dos Estados-Membros e em relação à Convenção Europeia dos
Direitos do Homem, na medida em que consagra um direito fundamental que protege dados
que não têm necessariamente um pendor íntimo ou privado, conquanto se atém como
necessário o preenchimento do quesito e a sua consideração como dados pessoais.
Assim se perspetivara um avanço civilizacional que o RGPD ora densifica – e que, pelo
impacto da sua aplicação territorial, beneficia (potencialmente) o resto do mundo.

Os ‘quadrantes’ de um espaço comunitário cojetur(ável) como uma verdadeira


‘União de Direitos’ por referência aos enunciados principiológicos plasmados
nos seus instrumentos institutivos31

Na União Europeia, a tutela efetiva – em especial, no que concerne às matérias respeitantes


aos Direitos Fundamentais – repercute-se na incumbência jurisdicional (versada nos Tratados
institutivos) que é reconhecida aos Tribunais integrantes da estrutura orgânica comunitária- a
ver, o Tribunal de Justiça da União Europeia (‘TJUE’) e o Tribunal Europeu dos Direitos do
Homem (‘TEDH’).
No mais, ao nível estadual, o exercício do Direito Público encontra-se subordinado à
atividade preconizada pelos órgãos e instituições da União Europeia 32. Por conseguinte, o
controlo da atuação estadual logra de ser exercido pelos próprios particulares, investidos na

31 Auxílio de compilação (Referência): SILVEIRA, Alessandra e CANOTILHO, Mariana, Carta Europeia dos Direitos
Fundamentais Comentada, anotação ao artigo 51.º, Almedina, 2013, pp. 572-579.
32 A pertença dos Estados membros a uma ordem supracomunitária implicara a transferência de parte da soberania.

Assim, o exercício das funções estaduais – plasmados no artigo 9.º da CRP – será efetuado nos meandros de uma
competência partilhada. Cf. artigo 4.º, n.º 2, alínea a) e artigo 2.º do TFUE. Assim, no âmbito do exercício de
competências partilhadas entre a União Europeia e os seus Estados-Membros, ambos podem adotar atos
juridicamente vinculativos, embora a natureza do exercício em voga e nas quadrantes internas seja residual.

23 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

qualidade de cidadãos, defronte quem competente ao nível da União, assim como diante dos
órgãos jurisdicionais internos. E tal decorre da apriorística preterição do conjunto de
disposições conducentes a uma tutela dos direitos plasmados na Carta33.
Em especial, a aplicação do Direito da União Europeia às matérias respeitantes aos Dados
Pessoais decorre dos artigos 2.º e 6º, e de primordial colação, do artigo 16.º34 - todos do TFUE-
sendo desígnios dos seus órgãos e instituições a fixação de todo um conjunto de regras que
materializem uma tutela efetiva dos titulares dos dados pessoais.
Ora, é a previsão e integração substantiva em voga no cômputo jusfundamental da União
Europeia – a Carta Europeia dos Direitos Fundamentais – e o seu balizar político-institucional
no Tratado de Funcionamento, o mote traduzível da conotação sémica que ao direito à
proteção dos dados pessoais é atribuída como um direito distinto e autónomo daquele outro
respeitante à reserva sobre a intimidade da vida privada 35. Assim, o espaço comunitário deverá
de ser percecionado como uma verdadeira ‘União de Direitos’ – cujas regras vinculam os seus
organismos e instituições, os Estados-Membros e até os particulares - e que reúne através dos
seus atos os valores reinantes nos sistemas jurídicos numa ótica de interconstitucionalidade,
tal-qual proferido por Gomes Canotilho.

O ‘Direito à reserva sobre a intimidade da vida privada’ e o maior


protecionismo europeu: considerações sobre a proteção de dados pessoais
informatizados no Direito da União Europeia. Em especial: o sentido, a
evolução e a reforma legislativa36

O Estado de Direito e a conjetura ‘sémico-vivificante’ de uma Carta Europeia


no decurso da litigância inerente ao exercício dos direitos de cidadania

Com a entrada em vigor do Tratado de Lisboa, os Tratados constitutivos da União


Europeia acabariam finalmente por ser dotados de um catálogo de direitos fundamentais. Até
então, o TJUE tivera de recortar jurisprudencialmente a proteção dos direitos fundamentais
na ordem jurídica europeia, enquanto o poder político enveredava (decididamente) por essa
via. Nessa latência minudente, o papel que os princípios gerais desempenham na proteção dos
direitos fundamentais na União Europeia é unívoco e sem paralelo em qualquer Estado-
Membro, na medida em que deriva, historicamente, da originária ausência de codificação dos
direitos fundamentais nos Tratados Constitutivos. Pois bem, decorre do artigo 6.º do TUE

33 Cf. para os devidos efeitos, artigo 53.º da CDFUE, do qual resulta um nível de proteção mais elevado
para os cidadãos dos Estados-Membros. A Carta vincula diretamente as entidades públicas e privadas
no ordenamento jurídico português por força do efeito direto consagrado no artigo 8.º da norma
normarum. Em especial, quanto à autonomização e individualização do direito à proteção dos dados
pessoais, v. infra.
34 “1. Todas as pessoas têm direito à proteção dos dados dos dados de caráter pessoal que lhes digam respeito. 2. O

Parlamento Europeu e o Conselho, deliberando de acordo com o processo legislativo ordinário, estabelecem as normas
relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos e
organismos da União, bem como pelos Estados-Membros no exercício das atividades relativas à aplicação do direito da
União, e a livre circulação desses mesmos dados.
A observância dessas normas fica sujeito ao controlo de autoridades independentes. (...) As normas adotadas com base no
presente artigo não prejudicam as normas específicas previstas no artigo 39.º do Tratado da União Europeia”.
35 Cf. artigos 7.º e 8.º da CDFUE.
36 SILVEIRA, Alessandra e MARQUES, João, Do direito a estar só ao direito ao esquecimento. Considerações sobre a

Proteção de Dados Pessoais informatizados no Direito da União Europeia: sentido, evolução e reforma legislativa, in
Revista da Faculdade de Direito UFPR. ISSN: 0104-3315 (impresso) 2236-7284 (eletrônico).
Disponível em https://revistas.ufpr.br/direito/article/view/48085.

24 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

que o ‘bloco de jusfundamentalidade’ da União’ 37, congrega normas de distintas fontes: (1)
normas de proveniência internacional relativas à proteção dos direitos humanos (constantes
sobretudo da CEDH); (2) normas de proveniência europeia (constantes de Tratados, em
especial no que tange à Convenção Europeia dos Direitos do Homem; e (3) as normas de
proveniência nacional 38. Nesta medida, a entrada em vigor da CDFUE não desconsidera o
acervo da União em matéria de proteção dos direitos fundamentais, desenvolvido a partir do
seu reconhecimento enquanto princípios gerais – apenas lhe dando continuidade.
Ocorre que a aplicação concreta de normas de direitos fundamentais de distintas fontes
nem sempre é simples nem inequívoca, pois ainda que o núcleo essencial das disposições
normativas – ou o ‘coração das normas’ – pareça idêntico nos distintos ordenamentos –
internacional, europeu e nacional – as diferenças sistémicas podem produzir diferentes
standards, i.e., diferentes níveis de proteção relativamente ao mesmo direito fundamental. E é
por isso que as normas relativas a direitos fundamentais de proveniência internacional (como
a CEDH) e de proveniência nacional (diferentes Constituições dos Estados-Membros) devem
ser compatibilizadas com a estrutura e objetivos da ordem jurídica europeia. Assim, as
particularidades do modelo de proteção dos direitos fundamentais na União – fundado em
normas de direitos fundamentais de distintas fontes e no seu reconhecimento enquanto
princípios gerais – conduziram à consagração do princípio do nível mais elevado. Em
conformidade com os seus ditames, se para a solução de uma situação concreta forem
mobilizáveis normas de vários ordenamentos jurídicos (ainda que a propósito do mesmo
direito fundamental) será aplicável a norma do ordenamento que conceda a proteção mais
elevada ao titular do direito em causa. Trata-se de um princípio desenvolvido
doutrinariamente, a partir de uma interpretação sistemática das disposições da CDFUE. O
TJUE ainda não desenvolveu substancialmente esta asserção. Não obstante, quando se depara
com distintos standards de proteção, por vezes, concluiu que os limiares aplicáveis decorrerão
de uma Constituição nacional, das tradições constitucionais comuns 39, razão pela qual urge
que o TJUE esclareça o conteúdo dos princípios em causa.
Destarte o antedito, o problema que se coloca nas jurisdições internas tem que ver com a
determinação do padrão de jusfundamentalidade aplicável – que até poderá ser o da
Constituição interna – ainda que sempre se deva ater como ponto de referência o Direito da
União, vinculativo quanto ao projetar decisório do nível de proteção mais elevado. Aqui o
reenvio prejudicial 40, revela-se indispensável á determinação do conteúdo normativo aplicável
num contexto de ‘interjusfundamentalidade’. É que a entrada em vigor da CDFUE oferece
um catálogo de direitos fundamentais a todos os que se submetem á jurisdição da União – que
passam a reconhecer, previamente, os seus direitos neste contexto. Contudo, não altera a
essência da construção pretoriana dos direitos fundamentais da União, resultante do diálogo
entre jurisdições, conquanto os direitos fundamentais continuam a ser aplicados segundo os
critérios próprios do direito da União – objeto de um processo de filtragem pelo e segundo o
modelo jurídico da integração europeia. Assim, a proteção jusfundamental na União Europeia
depende da assimilação – sobretudo por parte dos operadores judiciários dos Estados-

37 O bloco referenciado supra – in corpo do texto – serve de parâmetro para as decisões orgânicas e
funcionalmente europeias, entenda-se, em relação ao Tribunal de Justiça da União Europeia e tribunais
nacionais.
38 As normas de proveniência nacional são aquelas integrantes do sistema jurídico, designadamente nas

Constituições dos vários Estados-Membros, cujos enunciados principiológicos – de valor jurídico


reforçado, diga-se – correspondem às tradições constitucionais comuns.
39 Tais indagações não são assim tão frequentes quanto o corpo do texto possa eventualmente levar a

crer.
40 Cf. Artigo 267.º do TFUE.

25 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Membros – de que num contexto de ‘interconstitucionalidade’41 –– não basta solucionar o


problema de direitos fundamentais à luz da Constituição Nacional, porquanto o problema
respeita ora a todos os cidadãos da União, os quais podem beneficiar por via do precedente
vinculativo do TJUE, de uma proteção mais elevada. Pois bem, a efetividade de uma ‘União
de Direitos’ ficaria fortemente ameaçada se os tribunais nacionais resolvessem a questão da
jusfundamentalidade que recai no âmbito material da União, exclusivamente à luz da ordem
jurídico-constitucional interna, conquanto estar-se-ia a impedir que todos os cidadãos
europeus beneficiassem do padrão de jusfundamentalidade (mais elevado) aplicável àquela
situação concreta.

O compaginar harmonizável dos standards protecionistas de uma ‘tutela jus-favorável’


por de entre a ‘hierarquia-horizontal’ de direitos
Mas neste contexto – o da tão proclamada interconstitucionalidade – a questão coloca-se:
em que situações concretas será aplicável o padrão de jusfundamentalidade da União? E este
interregno tem que ver precisamente com as chamadas ‘cláusulas horizontais’, ou seja, com as
disposições gerais que regem a interpretação e aplicação da CDFUE. Resulta da Jurisprudência
assente do TJUE, hodiernamente contemplada no e p. artigo 51.º da ‘Carta’, que os direitos
fundamentais protegidos pela União Europeia podem ser invocados pelo particular quando a
medida impugnada (de pendor europeu ou nacional) integra o âmbito de aplicação material do
Direito da União Europeia. Assim, se a proteção jusfundamental da União Europeia depende
de a situação ser ou não abrangida pelo âmbito de aplicação do direito da União, importará
desde logo identificar desde logo a natureza e extensão deste âmbito. E um ‘balizar’
substantivo-concetual resume-se à seguinte asserção conclusiva: o âmbito de aplicação do
direito da União Europeia é não mais do que aquele que decorre das suas competências – tal-
qual contempladas no artigo 2.º do TFUE. Por conseguinte, desde que a União tenha
competências num determinado domínio – seja ele o do consumo, o ambiente, a energia, o
mercado interno, a política social, etc. 42), o padrão de jusfundamentalidade aplicável às
situações concretas é o da União Europeia. Assim, atenhamos como ponto de referência a
medida adotada pelas autoridades europeias ou nacionais, conquanto esta se tem por inclusa
no âmbito de aplicação do Direito da União – reitere-se, delimitável segundo as suas próprias
competências.
Ora, sucede que este problema não se colocava (tão evidentemente) na União Europeia
conquanto os tratados constitutivos nunca definiram os critérios que presidem à repartição de
competências entre Estados-Membros e União43. Nesta senda, o artigo 51.º, n.º 1 da CDFUE
relaciona (expressamente) a proteção jusfundamental da União Europeia com o âmbito de
aplicação comunitário, traçável (reitere-se) segundo e a partir das suas competências44.

41 Ct. Gomes Canotilho (em diálogo falado com a Professora Alessandra Silveira) – conforme referência da própria
em aula.
42 Abesbilico se deixa o público leitor na cogitação a que ora remete a presente nota de rodapé, numa apriorística

ótica de desleixe defronte a ausência simbiótica da referência às matérias conexas com o Direito da Proteção de
Dados Pessoais. Pois bem, afirme-se que as notas de rodapé são para serem lidas e daqui se conclui que, nos termos
conformes ao artigo 16.º do TFUE, a União Europeia incorpora no seu cômputo de atuação material tudo aquilo
que aos dados pessoais respeita, assim como as matérias que imbricam ou contendem diretamente com um respeito-
conciliatório do circulo da esfera privada.
43 Cf. para o efeito, artigos 5.º do TUE e artigos 2.º a 6.º do TFUE.
44 Reiterando, num melhor precisar – em contornos sumários: dir-se-á que o âmbito de aplicação da Carta é aquele

que decorre das competências da União – independentemente do facto de a medida questionada ser imputável às
autoridades europeias ou nacionais. Não obstante, nas suas conclusões do Processo Zambrano, a Advogada-Geral
Eleanor Sharpston densifica esta ideia e sugere mesmo a dispensabilidade do exercício da competência europeia,
numa ótica segundo a qual a proteção jusfundamental da União dependeria da existência de uma competência
material – sobretudo exclusiva ou partilhada – num determinado domínio, ainda que essa competência não tivesse
ainda sido exercida pela União. Conforme explica a Advogada-Geral, a União teria a responsabilidade de garantir a

26 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Assim, se a União Europeia exerceu a sua competência através de um ato jurídico


obrigatório45, existirá efetivamente um link a partir do qual a proteção jusfundamental da
União pode ser invocada. Não obstante, se tal densificação normativa inexistir, a própria
competência até então não exercida indiciará que (ainda assim) estaremos defronte o âmbito
de aplicação dos normativos envoltos ao Direito da União.
Daqui decorre então que a proteção jusfundamental da União Europeia se atém como
convolada para a esfera de atuação dos Estados-Membros quando aplicam o Direito da União
– e que tal nível de proteção decorrente da CDFUE irá efetivamente coexistir com os standards
de proteção decorrentes das Constituições nacionais e da CEDH, sob a égide originária que
reporta ao fenómeno da interjusfundamentalidade. Pois bem, tamanho fenómeno evidencia a
sobreposição dos vários níveis de proteção de direitos fundamentais na União Europeia46, com
a subsequente penetração nos ordenamentos nacionais – sempre e na medida em que as
autoridades nacionais cinjam os seus desígnios no cômputo funcional das matérias
contempladas pelo Direito da União Europeia.
Assim se denega perentoriamente a visão dualista segundo a qual aos órgãos e instituições
da União Europeia – mormente os que prosseguem desígnios de pendor jurisdicional –
deverão de restringir o seu campo de atuação material aos seus atos, num enjeito contraposto
aos órgãos nacionais, aqueles que erroneamente fruiriam somente das atribuições de
‘pelejarem’ por uma aplicação individualizada do direito interno. Pois bem, do exposto deriva
que o âmbito de aplicação dos direitos fundamentais da União Europeia encontra-se
intimamente relacionado com a sua esfera de competências 47. E é também por isso que o artigo
51.º, n.º 1 da CDFUE exorta-se à observância do princípio da subsidiariedade (contemplado
no seu n.º 2), persistindo na ideia segundo a qual a ‘Carta’ não amplia o âmbito de aplicação
do Direito da União, e jusante, também não despoleta novas competências a nível comunitário
nem procede a consentâneas alterações. Ou seja, o artigo 51.º da ‘Carta’ tenta introduzir
antídotos contra os receios de ampliação dos poderes da União via proteção de direitos
fundamentais. Melhor dizendo, intenta dissuadir que os direitos fundamentais contemplados
na CDFUE sejam interpretados como um reconhecimento implícito de novas faculdades para
a União (e em todas as matérias sobre as quais se protejam direitos fundamentais).
Em suma, não existe mote passível de conduzir a um obstaculizar da aplicação dos
consagrados direitos fundamentais no âmbito da União Europeia. O certo é que as ‘Cartas de
Direitos’ – o ‘catálogo de direitos’ e a ‘carta de competências’ – vivificam-se por força da
litigância inerente ao exercício dos direitos de cidadania. E outra não poderia de ser a conjetura
conquanto os próprios litigantes empenhados estão numa promoção da aplicação do Direito
da União a nível interno, assim se otimizando a tutela jurisdicional efetiva que dele decorre.
Prova disso é o fenómeno da horizontalidade dos direitos fundamentais protegidos pela ordem
jurídica europeia, independentemente de qualquer referência concreta neste sentido -, pois,
nos termos do artigo 51.º, n.º 1 do CDFUE, os particulares não figuram como destinatários
das obrigações constantes das suas disposições. Ademais, refira-se que o impacto da
densificação das matérias de direitos fundamentais no âmbito da União Europeia deve-se e
muito ao âmbito sémico da conotação relevante atribuída à própria cidadania europeia (v. para
o efeito, artigo 20.º do TFUE), assim como na solução dos constrangimentos da chamada

proteção dos direitos fundamentais na sua esfera de competências, sem depender dos timings da iniciativa das suas
instituições e do processo político.
45 Cf. artigo 288.º do TFUE, no qual se encontram elencados o conjunto de atos jurídicos da incumbência dos

órgãos e instituições comunitárias, a ver: regulamentos, diretivas e decisões.


46 Em inglês, sob expressão ‘Multilevel protection of fundamental rights’.
47 Não foi por outra razão que a entrada em vigor do catálogo de direitos fundamentais na União Europeia foi

acompanhada da definição do ‘catálogo das competências da União’, nos termos e por referência aos tratados
constitutivos.

27 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

‘discriminação inversa’ entre os cidadãos ‘dinâmicos’ e ‘estáticos’. Tais desdobramentos


somente são dimensionáveis e encontram solução nos casos concretos, especialmente quando
a autoridade judicial nacional denota algumas dificuldades em estabelecer um nexo lógico com
o Direito da União atido no prisma da sua jusfundamentalidade. Assim, dir-se-á que, em
relação a questões dúbias relativas a direitos fundamentais internos, o juiz pode primar por
uma aplicação autónoma e independentizada dos direitos contemplados na ‘Carta’.

Os ‘quadrantes’ de um espaço comunitário conjetur(ável) como uma verdadeira


‘União do Direito à privacidade’ e a referência independentizada ao enunciado
principiológico plasmado no seu instrumento constitutivo: em especial, a tutela da
proteção dos dados pessoais nos termos do artigo 16.º do TFUE.
Desenvolvamos algumas considerações tecidas anteriormente com um maior grau de
precisão. A competência da União Europeia (UE) para regular a matéria relativa à proteção de
dados de caráter pessoal está patente no artigo 16.º do TFUE e imbrica diretamente com o
correto funcionamento do mercado interno.
Temos então que a competência para o estabelecimento de normas relativas à proteção de
dados decorre da necessidade de fazer circular informações pessoais entre os Estados-
Membros, sendo uma consequência do bom funcionamento de um mercado interno e do
aumento do fluxo transfronteiriço de dados – que, per si, acompanha a livre circulação de
pessoas, mercadorias, serviços e capitais. Nos termos do n.º 1 do antedito normativo do
Tratado de Funcionamento: “todas as pessoas têm direito á proteção dos dados de caráter pessoal que lhes
digam respeito”. E decorre do seu n.º 2 que o Parlamento Europeu e o Conselho estabelecem as
normas relativas à proteção de pessoas singulares no que contende (1) com o tratamento de
dados pessoais pelas instituições, órgãos e organismos da UE e (2) com a livre circulação dos
dados entre os Estados-Membros, complementado com as regras específicas respeitantes às
transferências para países terceiros. Trata-se, portanto, de uma competência partilhada com os
Estados-Membros no domínio do mercado interno 48, cujo exercício, tal-qual resulta do artigo
2.º, n.º 2 do TFUE, preclude ou inibe a iniciativa legislativa dos Estados-Membros. Assim, no
âmbito de competências partilhadas entre a UE e os seus Estados-Membros, ambos podem
legislar e adotar atos juridicamente vinculativos naquele domínio. Porém, os Estados-
Membros só exercem a sua competência subsidiariamente, e só o fazem na medida material
em que o Direito da União Europeia o permita.
Pois bem, como a União Europeia ocupara-se das matérias respeitantes ao tratamento dos
dados pessoais – e, adicionalmente, cumulativamente com as regras respeitantes ao tratamento
dos dados – as temáticas em voga acecionar-se-ão nos termos conformes com o Direito da
União. O diploma que disciplina hodiernamente a proteção de dados a nível interno é a Lei n.º
67/98, de 26 de outubro49.
Contudo, conforme veremos infra, a partir de 25 de maio do ano de 2018, as matérias de
que ora nos referimos serão abrangidas pelo Regulamento Geral (que tem vindo a ser
referenciado segundo o acrónimo de RGPD). O que diferencia uma diretiva de um
regulamento comunitário? Vejamos: no âmbito das competências partilhadas, a União
Europeia adota regulamentos e diretivas – atos jurídicos p. no artigo 288.º do TFUE. A
diferença entre estes atos reside no facto de que as diretivas apenas harmonizam as normas
aplicáveis nos vários Estados-Membros da União Europeia, conquanto a sua eficácia no plano
interna carece de transposição legislativa, enquanto os regulamentos uniformizam o direito

48Cf. artigo 4.º, n.º 2, alínea a) do TFUE.


49Cf. Este diploma materializa a transposição de diretivas europeias, que devem de ser interpretadas e aplicadas
segundo os critérios definidos pelo Direito da União. Irá ser objeto de alterações brevemente em razão da
implementação e aplicação do Novo Regulamento Geral de Proteção de Dados Pessoais.

28 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

aplicável num determinado domínio, sem necessidade de intermediação legislativa das


autoridades nacionais. Assim, não será propriamente árduo perceber que somente uma
proteção equivalente em todos os Estados-Membros, garantida por regras internas
harmonizadas ou compagináveis na sua égide, poder(á) assegurar a livre circulação de dados
no mercado interno.
Foi nesta impetuosidade que surgira então a Diretiva 95/46/CE, a ver: (a) num ensejo de
obrigar os Estados-Membros á adoção de garantias semelhantes em todo o espaço da UE,
mormente no que contende com as matérias respeitantes à proteção de dados pessoais; (b) na
tentativa de estabelecimento de procedimentos-regra quanto ao fluxo de dados pessoais para
países terceiros50 51.
A propósito da competência partilhada incumbe ainda fazer menção à Carta de Direitos
Fundamentais da União Europeia, em vigor desde dezembro do ano de 2009. As disposições
dela constantes vinculam as instituições europeias e os próprios Estados-Membros a respeitar
e a promover a aplicação dos direitos fundamentais nela previstos 52. A particularidade desta
fonte de Direito Comunitário reside na independentização ou autonomização do direito à
privacidade- nos termos conformes ao seu artigo 7.º - defronte o direito à proteção de dados
pessoais – segundo os ditames do seu artigo 8.º. Então, para o Direito da União Europeia nem
todos os dados são passíveis, pela sua natureza, de causar prejuízo à vida privada da pessoa em
causa. Não obstante deverão de ser objeto de uma proteção equivalente. Ora, isso traduz a
relevância atribuída pelo Direito da União ao direito fundamental à proteção de dados pessoais,
em face do seu entroncar com a reserva à intimidade da vida privada53.
Sucede que o direito à privacidade (‘privacy’), originariamente reconhecido como o direito a
estar só (em inglês, the right to be alone’), sofrera consideráveis desenvolvimentos desde as suas
primeiras referências doutrinárias nos EUA do século XIX e, desde então, não mais se
compadece com as necessidade de proteção dos internautas que definitivamente não querem
estar sós, outrossim esquecidos.
No que concerne aos direitos fundamentais, importa ressalvar algumas particularidades que
envolvem a sua aplicação num contexto de interconstitucionalidade. Nos termos do Direito
da União Europeia, o modelo de proteção dos direitos fundamentais baseia-se no
reconhecimento dos princípios gerias do Direito da União e no apelo a normas
jusfundamentais de distintas fontes: (a) normas de proveniência europeia (os Tratados
constitutivos e, em especial, a Carta Europeia dos Direitos Fundamentais); (b) as normas de
proveniência nacional – integrantes das várias Constituições dos Estados-Membros e
imanentes às tradições constitucionais comuns destes; (c) normas de proveniência
internacional – relativas á proteção dos direitos humanos. Não obstante, nada disto ‘deteriora’
a primazia do Direito da União, em consonância com o disposto no artigo 53.º da CDFUE54.
Ora, o desenvolvimento dos meios tecnológicos e o crescente recurso a meios eletrónicos
despoletaram um desatualizar das garantias até então previstas contra o tratamento e a

50 O âmbito material da Diretiva 95/46/CE restringe-se ao mercado interno, não sendo subsumível às matérias ou
domínios de cooperação judiciária e policial em matéria penal. Por isso, a Decisão-Quadro 2008/97/JAI completa
a referida diretiva em matéria penal.
51 Especificamente sobre as matérias relativas à proteção de dados pessoais, importa realçar que outros diplomas

complementa(ram) a ante enunciada diretiva no corpo do texto, mormente aqueles respeitantes à transmissão de
dados pessoais nas comunicações eletrónicas e aquele que fixa o regime aplicável (indiretamente, porque de uma
diretiva se trata) em relação ao comércio eletrónico.
52 Cf. artigo 51.º, n.º 1 do TFUE.
53 O avanço institucional da Carta tem que ver precisamente com a consagração de um direito fundamental que

tutela os dados, não privados, e muito menos íntimos. Para o efeito, a proteção supraconstitucional rege-se somente
pela qualificação destes (hoje segundo o artigo 4.º do RGPD) como dados pessoais.
54 Segundo a disposição referida no corpo do texto, deverão de ser aplicadas as normas que balizem os níveis de

proteção mais elevado no padrão jusfundamentalista e aplicável segundo. Regime comunitário correspondente.

29 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

utilização abusiva de dados pessoais informatizados. Com base no cômputo de iniciativas da


Comissão Europeia: (i) instituíra-se o Novo Regulamento Geral de Proteção de Dados
Pessoais, que estabelece um enquadramento geral da proteção de dados na UE; (ii) e previu-
se uma diretiva que congrega um conjunto de normas sobre a proteção de dados pessoais em
matéria penal (relacionados com a prevenção, investigação, detenção e execução penal dos
dados relativos aos crimes). No presente resumo, abordaremos a evolução dos Acórdãos do
Tribunal de Justiça da União Europeia (doravante TJUE) via incidente processual de reenvio
prejudicial (tal-qual p. no artigo 267.º do TFUE).

O sentido e evolução da proteção de dados pessoais informatizados no Direito da


União Europeia à luz da Jurisprudência do Tribunal de Justiça
Decorre da jurisprudência assente do TJUE que a expressão dados de caráter pessoal
corresponderia, no direito da União, a qualquer informação relativa a uma pessoa singular,
identificada ou identificável, direta ou indiretamente 55. Em termos sumários, diga-se que
resultava já da anterior Diretiva que os dados pessoais não são apenas aqueles que de forma
direta possibilitam a identificação de uma pessoa – p.ex, a identificação pessoal, o nome ou o
endereço 56– mas também aqueles dados que permitam indagar potenciam a identificação da
pessoa singular por associação de conteúdos e conceitos – p.ex. o endereço IP (‘Internet
Protocol’) de acesso de um computador a uma rede, matrícula de um automóvel, etc.
Nos meandros determinísticos – não vinculativos diretamente aos Estados-Membros – o
Direito da União Europeia apenas exclui o tratamento de dados realizados por pessoas
singulares no exercício de atividades exclusivamente domésticas, como seja o caso de uma lista
de endereços para fins de correspondência – i.e., cartões de Natal, etc. O tratamento desses
dados implica todo um conjunto de operações, as quais deverão de ser consideradas como
subsumíveis aos vários normativos (do atual Regulamento) independentemente da tecnologia
utilizada57. Diga-se que a obrigação de respeitar e de garantir o exercício das várias dimensões
que integram o direito à proteção de dados pessoais impende sobre o responsável pelo
tratamento dos dados, i.e., incumbe à pessoa singular ou coletiva, autoridade pública, serviço
ou organismo que determina as finalidades do tratamento zelar pelo cumprimento das várias
disposições nesta matéria. E a fiscalização do cumprimento das normas ficará a cargo de uma
autoridade independente, instituída em cada Estado-Membro, com poderes interventivos
(adiante-se). Quanto ao regime de direitos, haverá que elencar: (i) o direito de acesso aos dados
objeto de tratamento; (ii) o direito à informação; (iii) o direito ao apagamento; (iv) o direito à
retificação de dados inexatos ou incompletos, bem como a sua atualização; (v) o direito à
sujeição a decisões automatizadas; (vi) direito de oposição ao tratamento; e o (vii) direito do
não tratamento de dados sensíveis.
O âmbito dos direitos suprarreferidos fora objeto de desenvolvimentos pela jurisprudência
do Tribunal de Justiça da União Europeia em sede de reenvio prejudicial – nos termos
conformes ao artigo 267.º do TFUE. Por meio deste incidente processual, o juiz nacional que
tenha a seu cargo um processo regido pelo Direito da União pode (e em certas circunstâncias
deve) submeter ao TJUE as questões de interpretação que se lhe afigurem relevantes para o
ato de interpretação de disposições europeias ou aferição da validade de atos jurídicos europeus

55 Cf. artigos 16.º TFUE, artigo 9.º TUE, artigo 8.º CDFUE, Artigo 16.º TFUE, e em especial, artigo 4.º, n.º 1 do
RGPD.
56 Importa denotar que o acórdão Lindqvist, de 6 de novembro de 2003, Processo C-101/1, no seu considerando

98, estabelece que: “nada se opõe a que um Estado-Membro alargue o alcance da legislação nacional que procede à transposição da
Diretiva 95/46 a domínios não incluídos no seu campo de aplicação, desde que nenhuma outra disposição do direito comunitário a tal
obste”. Ademais, algumas disposições constantes de diretivas setoriais, como a Diretiva 2002/59, aplicam-se
explicitamente á proteção de dados relativos a pessoas coletivas.
57 Neste cômputo referencial referir-nos-emos a todo um conjunto de técnicas de captação, transmissão e

manipulação de dados.

30 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

que relevem para uma boa e justa decisão da causa. Por essa mesma razão, a referência a alguns
dos acórdãos emblemáticos em matéria de proteção de dados afigura-se indispensável para a
compreensão da reforma legislativa de que trataremos infra. Analisemos por agora um conjunto
de acórdãos do Tribunal de Justiça.

(1) Acórdão Lindqvist


O primeiro acórdão do TJUE que aplicou a Diretiva 45/96/CE 58 foi o acórdão Lindqvist,
de 6 de novembro de 2003. As questões prejudiciais foram colocadas por um tribunal sueco
no âmbito do processo penal contra a Sra. Lindqvist, à data acusada de violar a legislação sueca
que transpunha a Diretiva em voga.
Em causa estaria a publicitação – por parte da visada – de um conjunto de dados de cariz
pessoal numa página da Internet, relativos a um determinado grupo de pessoas que com ela
trabalhava a título gratuito na qualidade de catequistas numa paróquia protestante. Pensando
na utilidade que daí advinha para a comunidade, a acusada disponibilizara dados dos seus
dezoito colegas – a título enunciativo, os nomes completos, a situação familiar, as funções que
exerciam, os hobbies, respetivos contactos telefónicos, etc. – e, a montante, em relação a uma
colega em especial indicara inclusivamente a situação de baixa em razão de uma lesão que havia
contraído no membro inferior. Sucede que a Sra. Lindqvist não informou os seus colegas sobre
a criação da página, nem tão pouco obtivera o consentimento destes para o ato de introdução
dos dados pessoais. Ademais, não declarara à autoridade sueca competente para a proteção de
dados a transmissão ou disponibilização do conjunto de informações em causa via informática.
Por essa mesma razão, foi acusada pelo Ministério Público sueco de ter procedido ao
tratamento de dados pessoais sem comunicação à correspondente autoridade de controlo,
também numa preterição dos vários normativos em voga – em especial – respeitantes às
matérias conexas com o tratamento de dados sensíveis, assim como da transferência de dados
pessoais para países terceiros. Em momento consentâneo à tomada de conhecimento do
desagrado dos seus colegas em relação ao seu comportamento, Lindqvist suprimira as ditas
informações, negando, contudo, ter cometido qualquer infração. Não obstante, desde logo
fora condenada ao pagamento de uma sanção pecuniária.
O tribunal nacional que apreciou o caso em sede de recurso reenviou ao TJUE a fim de
saber se a operação levada a efeito por Lindqvist constituía a hipótese de tratamento de dados
pessoais na aceção plasmada no artigo 3.º da Diretiva 95/46/CE. O Tribunal ad hoc entendera
que a criação de uma página na Internet, a sua instalação num servidor, bem como a introdução
de informações pessoais disponíveis a todos quantos aqueles que se conectem com a Internet
enformava indubitavelmente um fatis specie subsumível ao tratamento de dados pessoais.
Ademais, a instância em causa desconsiderou por completo a possibilidade de verificação do
exercício de uma atividade exclusivamente pessoal ou doméstica excepcionalizada no cômputo
temático da própria diretiva, tão-quão tal exceção tenha por objeto as atividades que se
imiscuem no círculo da vida privada ou familiar59. No mais, de suma relevância, importa
denotar que – contrariamente às considerações tecidas pelo advogado-geral da à data arguida60

58 Cf. Processo apenso C-101/01, de 6 de novembro de 2003.


59 O que manifestamente nãos e afigurava verosímil defronte a disponibilização não consentida de um conjunto de
informações relativas a outrem numa plataforma social ao nível da Internet.
60 Cfr. Considerandos 34, 41, 42 e 44. Segundo o advogado-geral, a questão que ora se suscita não integra o âmbito

de aplicação da diretiva porquanto a atividade, sem qualquer intento de lucro económico, destinava-se a suportar
exclusivamente a atividade de catequista, a título gratuito e extrapola o cerne de qualquer relação laboral, no seio
de uma comunidade paroquial. Ora, este desígnio de catequista em nada se conexiona com o normal
estabelecimento e funcionamento do mercado interno – segundo o advogado. Parafraseando: “se atribuirmos á
diretiva, para além da finalidade de favorecer a livre circulação dos dados pessoais no mercado interno, objetivos suplementares e
autónomos relacionados com imperativos de carácter social e a proteção dos direitos fundamentais (em especial, o direito à reserva sobre

31 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

– o TJUE entendeu que o âmbito de aplicação da diretiva não se limita ao exercício de uma
atividade económica, conquanto no seu cômputo operante o ato jurídico disciplina a circulação
de dados pessoais também no exercício de atividades sociais, e por de entre os meandros
contextuais mais amplos de uma integração europeia orientada pela proteção de direitos
fundamentais.
Também a indicação de que uma das catequistas se lesionara no seu membro inferior
configura um tratamento de dados pessoais relativos à saúde da pessoa singular, cuja
divulgação demandaria o consentimento explícito do titular, i.e., uma efetiva e clara
manifestação de uma declaração de vontade livre, explicita e informada. Tal sucede na medida
em que meritória da qualificação como um dado sensível. De qualquer forma, o TJUE
entendeu que a operação em causa não constituía (em si mesma) uma transferência de dados
do território de um Estado-Membro para um país terceiro na aceção do artigo 25.º da Diretiva.
Se cada carregamento de dados pessoais na Internet configurasse uma situação de transferência
de dados para países terceiros, então os Estados-Membros estariam vinculados a prevenir que
nenhum dado pessoal fosse introduzido online. Tal indagação estupidificante extrapolava o
nível de exigência plasmado nas várias disposições da diretiva e, aliás, seria impraticável.

(2) Acórdão Scarlet


No Acórdão em epígrafe, o TJUE foi chamado a interpretar as disposições não somente
da Diretiva 95/46/CE, como também: da Diretiva 2000/31 – relativa ao comércio eletrónico;
da Diretiva 2001/29 – relativa aos direitos de autor e direitos conexos na sociedade de
informação; da Diretiva 2002/58 – relativa aos dados pessoais no setor das comunicações
eletrónicas; e da Diretiva 2004/48 – relativa aos direitos de propriedade intelectual.
O pedido foi apresentado no âmbito de um litigio que opunha a Scarlet (fornecedor belga
de serviços de acesso à Internet – FAI) à Sabam (sociedade de gestão belga que representa
autores, compositores e editores de obras musicais, autorizando a utilização, por terceiros, das
suas obras protegidas). O mote da discórdia devia-se ao facto de a Sabam ter concluído que os
internautas que utilizavam os serviços da Scarlet teledescarregavam na Internet, sem autorização
e sem pagar direitos, obras constantes do seu catálogo, por meio de um software peer-to-peer61. A
Sabam demandara a Scarlet, porquanto entendera que esta se encontrava nas melhores
condições para adotar as medidas tendentes a cessar as violações dos direitos de autor
cometidas pelos clientes desta última. Resumindo: o processo principal prendia-se, portanto,
com a recusa da Scarlet em instalar um sistema de filtragem de todas as comunicações
eletrónicas que transitavam pelos seus serviços, num enjeito indistintivamente subjetivo
(porquanto adotáveis seriam as medidas em relação a todo o tipo de clientela), com caráter
preventivo, exclusivamente a expensas suas e sem qualquer limitação temporal, a fim de
impedir o intercâmbio de ficheiros que violassem os direitos de autor.
Na decisão, o TJUE considerou que a medida inibitória não assegurava o justo equilíbrio
entre o direito á propriedade intelectual de que gozam os autores 62, por um lado, e por outro
os direitos à liberdade de imprensa63, a proteção de dados pessoais 64, a liberdade de receber e

a intimidade da vida privada), corre-se o risco (sublinhado nosso) de pôr em causa a própria validade da diretiva, dado que a sua
base jurídica seria nesse caso absolutamente inadequada” – cit. considerando 42.
61 O software peer-to-peer consubstancia um meio de partilha de conteúdos independente e munido de funções de

busca e de teledescarga avançadas.


62 Cf. artigo 17.º da CDFUE.
63 Cf. artigo 16.º da CDFUE. A incompatibilidade e primazia defronte o direito reconhecido legitimamente na

esfera jurídica dos autores tem que ver precisamente com o facto de a instalação do sistema informático haver de
ser complexa, onerosa e o seu caráter incompreensivelmente permanente ao longo de um determinado hiato
temporal.
64 Cf. artigo 8.º da CDFUE.

32 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

transmitir informações ou ideias65 ou até mesmo colocaria em causa a liberdade de


informação66. Em suma, as exigências resultantes das matérias comunitárias relativas à
proteção de dados pessoais deverão de ser interpretadas no sentido em que se opõem a uma
medida inibitória que ordena a um FAI a instalação de um sistema de filtragem.

(3) Acórdão Google Spain

Um pequeno esboço acerca das considerações tecidas pelo advogado-geral Niilo Jääskinen: em
especial, a ‘territorialidade principiológica’ das matrizes plasmadas na Diretiva 95/46/CE
Dir-se-á, como primeiro apontamento, que um motor de pesquisa na Internet
aprioristicamente não cria novos conteúdos autónomos, limitando-se a indexar a fonte (em
formato de hiperligação) onde os respetivos conteúdos – correlacionados com e através da
inserção dos termos na pesquisa - poderão ser acedidos por terceiros via Web. Os resultados
exibidos são recolhidos por referência aos conteúdos previamente tratados pela plataforma, a
qual preconiza um retrieving das informações existentes nos sítios da Internet e,
subsequentemente, analisa e indexa esses conteúdos nos próprios dispositivos de pesquisa.
Evidentemente que o conteúdo que ora se arroga integra o cômputo substantivo dos dados
pessoais relativos aos utilizadores, conquanto tais páginas incluam informações meritórias
dessa mesma qualificação jurídica. No mais, de forma a facilitar a utilização dos resultados,
estas plataformas de pesquisa apresentam conteúdos adicionais agregados à hiperligação do
sítio web correspondente6768- o denominado ‘sítio-fonte’. Refira-se que esta informação pré-
visualizável pode (pelo menos parcialmente) ser recuperada com recurso aos dispositivos do
prestador de serviços de pesquisa e não instantaneamente. Daqui poderá indagar-se que a
informação se encontra efetivamente na posse do motor de busca.
Pois bem, no que contende diretamente com o âmbito de aplicação territorial da outrora
Diretiva 95/46/CE, alguns foram os considerandos apresentados pelo Advogado-Geral na
senda conclusiva de insuficiente consagração dos ‘meandros’ de aplicação, tal-qual plasmados
no e pelo artigo 4.º do ato europeu à data vigente69. Explicitem-se previamente algumas
reflexões sobre o assunto. Ora, a ubiquidade e o acesso universal ao conjunto de informações
relativos a uma pessoa singular ao nível da Internet, potenciada se atém pelas e através das
funcionalidades que os motores de busca apresentam, porquanto a sua identificação seria
abismalmente dificultada em razão da inexistência destas plataformas online de pesquisa.
Hodiernamente, os motores de busca apresentam incomensuráveis apetências para o ato de

65 Cf. artigo 11.º da CDFUE. A afronta considerada tem que ver com o facto de a medida inibitória – tal qual
solicitada pela Sabam – implicaria a análise sistemática de todos os conteúdos, bem como a recolha/identificação
dos endereços IP dos utilizadores que estão na origem do envio apriorístico de conteúdos ilícitos.
66 São dúbias as considerações de eficácia técnico-económica da implementação de um sistema de filtragem como

requerido pelos autores do processo. Regira-se, para os devidos efeitos, que a implementação de um sistemas como
estes suscetível era de ocasionar a confusão do conteúdo lícito e ilícito que subjaz à realização de uma determinada
comunicação eletrónica e, in casu, respeitante à partilha e transmissão de ficheiros peer-to-peer.
67 Cf. considerandos 32 a 35 das Conclusões do Advogado-Geral.
68 São vários os formatos de disponibilização dos conteúdos, a ver: excertos de texto, conteúdos audiovisuais ou

até mesmo imagens instantâneas das páginas-fonte.


69 A este respeito, recordar a decisão proferida no Acórdão Lindqvist pelo TJUE [v. supra, com a numeração (1)].

Nesta, o douto tribunal declarara que “a operação que consiste em fazer constar, numa página Internet, dados de caráter pessoal,
consubstancia (...) o ato de tratamento de dados pessoais (sublinhado nosso), conquanto “implica, segundo os procedimentos
técnicos e informáticos aplicados atualmente, a realiza(ção) da operação de carregamento dessa página num servidor”, (assim como)
todo um “conjunto das operações necessárias de forma a efetivar o acesso de todos os utilizadores” da Web. Recorde-se que, em
consonância com o considerando 26 do Acórdão ora analisado num enjeito de prolepse, a maioria das tipologias
de tratamento em causa reportam ao recurso de técnicas automatizadas. Assim, a referência plasmada num sítio da
Internet, a várias pessoas, bem como a sua identificação pelo nome ou por outros meios, constitui inegavelmente
uma operação de tratamento de dados pessoais por meios total ou parcialmente automatizados, na aceção do artigo
3.º, n.º 1 da Diretiva (em conformidade com o que se depreende das conclusões proferidas pelo tribunal). V. para
os devidos efeitos, considerando 61 das Conclusões.

33 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

traçamento e definição de perfis dos utilizadores, na medida em que o ato de indexação indireta
a que se dedicam envolve indubitavelmente – nalgumas, senão na maioria das vezes – a
pesquisa e consentânea recolha de dados pessoais, tantas vezes de pendor sensível 70. Nas
considerações apresentadas diante do Tribunal de Justiça, Niilo realçara a importância em se
determinar a exata medida de responsabilidade dos prestadores de serviços de motores de
pesquisa71. Incumbe – a este respeito, e no propósito de se balizarem as matrizes relevantes
quanto ao então âmbito de aplicação territorial da Diretiva– referir que “as receitas do prestador
de serviço de motor de pesquisa na Internet não proveem dos utilizadores que inserem os termos da pesquisa no
(respetivo) motor” [parênteses nosso]. Haverá que mencionar que a lucratividade destas ‘gigantes
internacionais’ advém de toda a movimentação ‘internética’ dos anunciantes que adquirem (ou
compram) os termos de pesquisa como se de verdadeiras palavras-chave se tratasse,
condicionando desta feita os resultados de pesquisa em razão do número de visualizações. E
o mote por que se conota este tipo de atuação envolve indubitavelmente a transmissão dos
dados pessoais (reitere-se) que integram as bases de dados dos clientes anunciantes para com
o próprio prestador de serviço, in casu, a Google.
Quanto às disposições que relevam para a aferição do cômputo de aplicação territorial das
Diretiva (então Regulamento Geral, segundo os determinismos plasmados no seu artigo 4.º),
a CDFUE determina, no seu artigo 51.º, n.º 2, que o âmbito de aplicação do Direito da União
em matéria de direitos fundamentais não exorbita, cria ou modifica aquelas competências ou
atribuições senão aquelas fixadas nos seus tratados constitutivos - em consonância com o que
se patenteara anteriormente no presente resumo. Assim, mormente por referência ao artigo
8.º da Carta – referente à proteção dos dados pessoais – uma interpretação da diretiva
conforme com os ditames do antedito normativo, e no mais consonante com o teor literal do
seu artigo 4.º, impõe o não acrescento do conjunto de elementos materializadores de um
critério totalmente novo e alusivo ao direito fundamental em causa. Posto isto – em
conformidade com o Parecer emitido pelo Grupo de Trabalho do Artigo 29.º - a determinação
do âmbito territorial de abrangência dos atos que versam sobre a proteção de dados pessoais
na União Europeia deverá de ser efetuada em razão do estabelecimento do responsável pelo
tratamento, ou mesmo considerando a localização dos meios ou equipamento utilizados. Não
relevam (e atente-se na seguinte asserção) nem a nacionalidade nem o local de residência
habitual das pessoas em causa, somente a localização física dos dados pessoais objeto de
tratamento72. Em complemento (segundo o Advogado-Geral) no caso em apreço, também
não será tido em consideração o critério do ‘público-alvo’ integrante do cômputo subjetivo
das operações de tratamento. A medida em que, dos resultados das pesquisas efetuadas nos
motores de busca, o titular dos dados pessoais – visado nas informações do sítio Web original
– possa ver prejudicada a sua reputação na sequência da indexação indireta com anúncios
controvertidos não importa como condição de aplicação territorial das disposições
comunitárias e nacionais que as concretizem. Portanto, o busílis do litígio em Espanha não
poderia – em conformidade com as considerações tecidas pelo Advogado-Geral, ter em
consideração todo um conjunto de critérios praeter legem – transpostos para a Lei Nacional
Espanhola e certamente resultantes do artigo 4.º da Diretiva (hoje, Regulamento Geral)73.

70 Cf. considerando 45 das Conclusões do Advogado-Geral.


71 Parafraseando o citado advoga-geral: com o pedido de reenvio prejudicial em causa, “(...), o Tribunal é confrontado
com a questão da ‘responsabilidade secundária’ desta categoria de prestadores de serviços da sociedade de informação, (...)”.
72 Ideia esta, aliás, reforçada no Acórdão, conforme infra. Quanto ao corpo do texto, cf. considerandos 54 e 55,

respetivamente.
73 Portanto, em termos opinativos, o douto advogado-geral considerava que os critérios atinentes ao princípio da

territorialidade aplicar-se-iam: “independentemente da questão de saber se um tal centro de gravidade é a nacionalidade ou a


residência da pessoa em causa, a localização dos dados pessoais controvertidos no sitio web do jornal, ou o facto de o sitio web espanhol
da Google se destinar especialmente ao público espanhol”.

34 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Ainda – last, but not least - no que concerne ao princípio da territorialidade, acrescentos
foram referidos por Niilo sobre as matérias respeitantes à aplicabilidade do critério do
‘estabelecimento na UE’ a um prestador de serviço de motor de pesquisa de um país terceiro.
Ora bem, em conformidade com a ideia plasmada no presente introito às Considerações do
Advogado-Geral, resulta do teor relativo ao normativo 4.º, n.º 1 da Diretiva que, ainda que o
responsável pelo tratamento não se encontre estabelecido no território da União, ser-lhe-ão
igualmente aplicadas as disposições comunitárias em matéria de proteção de dados pessoais,
conquanto o processo, os meios e as finalidades de tratamento empregues digam respeito a
dados cuja ‘manuseio’ seja efetuado em território da União74. Pois bem, em termos fácticos e
geográficos, patenteados no considerando 62, temos que “a Google Inc. é uma sociedade com sede
na Califórnia com filiais em diversos Estados‐Membros da UE. As suas operações europeias são, em certa
medida, coordenadas pela filial irlandesa. Atualmente possui centros de dados pelo menos na Bélgica e na
Finlândia.”. Neste contexto, a letra do artigo 4.º, n.º 1 não se afigura de verosímil utilidade, na
medida em que a Google tem diversos estabelecimentos no território da União. Por outro lado,
aprioristicamente não se perceciona com clareza até que ponto e quando o tratamento de
dados pessoais de pessoas que se encontram na UE tem lugar no contexto das filiais ou
sucursais, matéria esta posteriormente apreciada pelo Tribunal de Justiça. Na opinião do
Advogado-Geral, o Tribunal deveria abordar a questão da aplicabilidade territorial na
perspetiva do modelo de negócios dos prestadores de serviços de motores de pesquisa na
Internet75. Citando o próprio:
“Este modelo baseia‐se normalmente na publicidade na Internet a partir de palavras ‐chave (keyword
advertising) que é a fonte de receitas e, enquanto tal, a razão de ser económica da disponibilização de
uma ferramenta de localização de informação gratuita sob a forma de um motor de pesquisa.

A entidade que se ocupa da publicidade na Internet a partir de palavras‐chave (denominado ‘prestador


do serviço de referenciamento’ na jurisprudência do Tribunal de Justiça está associada a um motor de
pesquisa na Internet. Esta entidade necessita de estar presente nos mercados publicitários nacionais.

(...). Por este motivo, a Google criou em muitos Estados ‐Membros filiais que constituem claramente
estabelecimentos, na aceção do artigo 4. °, n.º 1, alínea a), da diretiva. Também assegurou a
constituição de domínios web nacionais, tais como ‘google.es’ ou ‘google.fi’. A atividade do motor de
pesquisa tem em conta esta diversificação nacional de diversas formas relacionadas com a apresentação
dos resultados da pesquisa porque o modelo de financiamento normal da publicidade na Internet a partir
de palavras‐chave segue o principio do «pagamento por clique» (pay per click).”
Ademais, para efeitos da matéria em análise – a da aplicação territorial – um operador
económico não deverá de ser conjeturado quanto à decomposição da estrutura societária e
com base nas suas atividades individuais relativas ao tratamento de dados pessoais ou nos
diferentes grupos de pessoas em causa relacionadas com as suas atividades.
Portanto, em conclusão, o tratamento de dados pessoais tem lugar no contexto da
determinação de um responsável pelo tratamento se esse estabelecimento fizer ‘a ponte’ ou
empregar os seus desígnios na qualidade de intermediário entre o serviço de referenciamento
e o mercado publicitário desse Estado‐Membro, mesmo que as operações técnicas de
tratamento de dados sejam efetuadas noutros Estados‐Membros ou em países terceiros.

74 Com a ressalva daquelas situações em que a operação de tratamento implica o emprego de meios e equipamentos
utilizados com o único propósito de ‘trânsito informacional’ em território da União - segundo é referido pelo
Advogado-Geral, diga-se de passagem. Cf. para o efeito, considerando 60 das Conclusões.
75 Cf. Considerando 64.

35 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Os contornos da ‘emblemática’ decisão do Tribunal de Justiça quanto à concretização das


balizas de um até então qualificável ‘quim(érico)’ direito ao esquecimento
No Acórdão Google Spain76, o TJUE reconheceu o direito ao esquecimento de dados
pessoais constantes de sites terceiros, mas acessíveis por motores de busca. Assim se balizara
jurisprudencialmente – a nível comunitário, diga-se – um direito fundamental que se sobrepõe
aos interesses económicos do operador e ao interesse público imanente á própria informação.
O litígio principal opunha, por um lado, a Google Spain e a Google Inc. e, por outro, a Agência
Espanola de Proteção de Dados, em razão de uma decisão tomada por referência subjetiva ao Sr.
Mário Costeja Gonzalez. A autoridade de proteção de dados espanhola ordenara à Google a
necessidade de adoção das medidas necessárias para retirar os dados pessoais do requerente
do índice e impossibilitar o futuro acesso aos seus dados. A reclamação baseava-se no facto de
que, quando um internauta inseria o nome de Mario Costeja, no motor de busca em causa,
obtinha como resultados ligações a duas páginas do Jornal ‘La Vanguardia’, ambas relativas ao
ano de 1998, nos quais figurava um anúncio de venda de imóveis em hasta pública, decorrente
de um arresto com vista à recuperação de dívidas à Segurança Social que envolvia Mario Costeja.
Com essa reclamação o requerente reclamava: (i) que o jornal suprimisse ou alterasse as
referidas páginas; (ii) que a Google suprimisse ou ocultasse os seus dados pessoais de forma a
que os resultados da pesquisa não revelassem a situação quanto aos resultados obtidos.
Segundo aquilo o envolvido havia alegado, o arresto fora resolvido há anos e a sua referência
carecia atualmente de pertinência. Entretanto, a Agência Espanhola de Proteção de Dados indeferiu
a reclamação na parte que dizia respeito ao jornal, conquanto considerava que a publicação das
informações se encontrava legalmente justificada. Em contrapartida, deferiu a reclamação na
parte que dizia respeito à Google por concluir que o motor de busca realiza um tratamento de
dados pelo qual é responsável e que prossegue objetivos distintos daqueles conexos com a
atividade do jornal. Insatisfeita, a Google questionou judicialmente decisão da Agência Espanhola
e o competente tribunal nacional reenviou para o TJUE, a fim de cognoscer o conjunto de
obrigações que incumbem aos operadores de motores de busca para efeitos de proteção de
dados pessoais.
Importava, portanto, desvendar: (a) se a normativa europeia de proteção de dados se aplica
a um organismo cuja sede social se encontra fixada nos EUA; (b) se os operadores de motores
de busca (como o Google, Bing, Ask, etc.), são responsáveis – e nomeadamente em que
circunstâncias – pelo suposto tratamento de dados na sua atividade; e (c) qual o alcance dos
direitos em causa.
A Google rejeitava a aplicação do direito da União atenta a sua matriz territorial situada nos
EUA, e simultaneamente declarava querer eximir-se de qualquer responsabilidade por
entender que, ao indexar informações, não estaria a tratar dados de forma individual.
O TJUE considerou que a diretiva relativa ao tratamento de dados seria aplicável à Google
porque (i) as buscas se realizavam por meio de uma página web sediada em Espanha – mediante
sucursal destinada à promoção e venda de espaços publicitários; (ii) com efeitos vinculativos
para Espanha; (iii) relativamente a cidadãos situados fisicamente em Espanha. Ora bem, na
medida em que a Google ordena a informação publicada e disponível na Internet por terceiros,
armazena-a subsequentemente e distribui-a pelos internautas. Assim, estamos defronte uma
verdadeira operação de tratamento de dados pessoais. É, por isso, que a Google acabara por ser
considerada como investida na posição de responsável pelo tratamento, segundo a aceção da
Diretiva 95/46/CE, porquanto era esta a entidade que determinava os meios e a finalidade da
atividade.

76 Acórdão TJUE de 13 de maio de 2014, Processo C-131/12.

36 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Trata-se de um tratamento distinto daquele levado a efeito pelo editor, conquanto o lesado
não se dirigirá diretamente – aliás nem o poderia fazer – ao próprio jornal, requerendo que
este não indexe a informação. Fá-lo-ia diretamente em relação ao operador do motor de
busca77. É de apontar como caraterística desta posição jurídica de vantagem – last, but not least
– que o direito ao esquecimento não elimina os dados de caráter pessoal de nenhuma página
Web. Outrossim, impõe que o motor de busca se exima de indexar o internauta (pessoa singular
e investido na qualidade de titular dos dados) aos dados em específico, i.e., que termine de
conectar os dados com aquela pessoa concreta – direta ou indiretamente.
Assim, a resposta do TJUE foi suficientemente clara quanto: (a) à existência de uma
operação de tratamento de dados pessoais por parte do operador do motor de busca; (b) à
responsabilidade do operador do motor de busca; (c) ao elemento de conexão entre o
tratamento de dados e o responsável pelo tratamento, quando este não possua a sua sede no
espaço da União Europeia; (d) à obrigação do operador do motor de busca em proceder à
desassociação de resultados aquando do pedido do titular dos dados; (e) à extensão, alcance e
limites do direito do titular dos dados pessoais. O TJUE reconheceu ainda que cada pessoa
tem o direito a que as informações disponíveis em relação a si na Internet deixem de ser
associadas ao seu nome por meio de uma lista de resultados exibida na sequência de uma
pesquisa efetuada em motores de busca – sem que, todavia, a constatação desse direito
pressuponha que tal associação cause prejuízo à pessoa em causa. Na medida em que esta
possa, tendo em conta os direitos fundamentais nos termos dos artigos 7.º (proteção da vida
privada) e 8.º (proteção dos dados pessoais) da CDFUE, requerer que a informação em questão
deixe de se encontrar à disposição do grande público em geral - devido à sua inclusão numa
lista de resultados – esses direitos prevalecem, em princípio, não somente sobre o interesse
económico do operador do motor de busca, como também sobre o ‘interesse público’ em
aceder à informação numa pesquisa, p.ex., fazendo uso do nome de uma determinada pessoa.
Deixar uma ressalva importante: o papel desempenhado pela pessoa na sociedade é
importante, conquanto o seu mediatismo ou cargo poderão efetivamente justificar a ingerência
na esfera privada em razão do interesse preponderante que o público eventualmente possa ter
no que respeita ao acesso à informação, em virtude dessa inclusão.

(4) Acórdão Digital Rights Ireland


No Acórdão Digital Rights de 201478, o pedido de decisão prejudicial tinha por objeto a
validade da Diretiva 2006/24/CE (relativa à conservação de dados gerados ou tratados no
contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de
redes públicas de comunicações). A Diretiva ora em análise estabelecia o regime – sob a forma
de diretrizes comunitárias – relativo à conservação de dados pessoais por empresas privadas
no exercício de atividades económicas, tendo em vista a disponibilização desses dados para
efeitos de investigação, de deteção e de repressão de infrações graves. Os dados objeto de
tratamento seriam necessários para identificar a fonte e o destino de uma comunicação, a data,
a hora, a duração e o tipo de comunicação, além do equipamento de comunicação dos
utilizadores79.

77 Esta é a razão para considerarmos o direito ao esquecimento como um direito posterior defronte posições
jurídicas de vantagem já existentes. Com recurso ao direito ao esquecimento o lesado reclama uma tutela efetiva
contra lesões produzidas na sequência da difusão de dados pessoais que intentam que não sejam cognoscíveis por
parte de outrem.
78 Processos apensos C-293/12 e C-594/12, de 8 de abril de 2014.
79 Veja-se, a título de exemplificativo, de entre os dados visados pela diretiva do corpo do texto, haverão que ser

considerados o nome, o endereço do assinante ou do utilizador registado, o número do telefone de origem e o do


destinatário, assim como o endereço IP para os serviços de Internet. Ora, estes dados possibilitam saber qual a
pessoa que efetua uma comunicação e o correspondente destinatário, assim como determinar o tempo da

37 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Então, a diretiva ater-se-ia por aplicável aos dados de tráfego e aos dados de localização
relativos quer a pessoas singulares quer a pessoas coletivas, não sendo, todavia, aplicável ao
conteúdo das comunicações eletrónicas 80.
Quanto ao litígio principal, por ser proprietário de um telemóvel que utilizava regularmente,
a Digital Rights interpôs um recurso na High Court Irlandesa: (1) colocando em causa a legalidade
de medidas legislativas e administrativas nacionais respeitantes á conservação de dados
relativos às comunicações eletrónicas; (2) pedindo ao órgão jurisdicional de reenvio que
declarasse a nulidade da Diretiva 2006/24.
O busílis residia ni facto de que a diretiva abrangia todas as pessoas que utilizassem serviços
de comunicações eletrónicas na Europa – num verdadeiro processo de vigilância generalizada.
Clarividente que situações haveriam em que as pessoas objeto do tratamento – via conservação
dos dados especificamente abrangidos pelo diploma – seriam alvo das medidas nele
implementadas sem serem visados em qualquer processo judicial e penal para o efeito. Além
disso, a diretiva não previa nenhuma exceção, pelo que era mesmo aplicável a pessoas sujeitas
a segredo profissional. Pois bem, a esta ausência de limites acresce que a Diretiva 2006/24,
não estabelecia um critério objetivo que permitisse delimitar o acesso das autoridades
competentes aos dados e a sua utilização posterior. Ademais, a diretiva não impunha que os
dados em causa fossem conservados no território da União, pelo que não se poderia considerar
que estivesse plenamente garantida a fiscalização por uma entidade independente. O TJUE foi
então chamado a apreciar a validade do ato jurídico comunitário e, à luz dos artigos 7.º e 8.º
da CDFUE, respetivamente concernentes, às matérias respeitantes à vida privada e à proteção
de dados pessoais, que não se tinham como fixadas regras suficientemente claras e precisas
que regulassem o alcance da ingerência de modo a restringi-los ao estritamente necessário. Ao
adotar a Diretiva 2006/24, o legislador da União extrapolara ou excedera os limites impostos
pelo respeito do princípio da proporcionalidade, razão pela qual o TJUE declarou a invalidade
integral da diretiva com efeitos retroativos (ex tunc), i.e., desde a sua entrada em vigor.

(5) Acórdão Schrems


Neste ´último acórdão que ora analisaremos81, a questão prejudicial foi apresentada pela
High Court irlandesa no âmbito de um litígio principal que opunha Mr. Schrems ao Comissário
Irlandês para a Proteção de Dados. O ponto da discórdia residia no facto de a autoridade
administrativa ter-se recusado a investigar uma queixa apresentada pelo então requerente, que
por seu turno acusava a Facebook Ireland de transferir dados pessoais dos seus utilizadores para
os EUA, onde seriam tratados e conservados. O Comissário entendia que qualquer questão
relativa ao caráter adequado da proteção dos dados pessoais nos EUA devia de ser decidida
em conformidade com a Decisão 2000/520, conquanto nesta a Comissão Europeia tinha
constatado que o país norte-americano assegurava um nível de proteção adequado. Na medida
em que. Mr. Schrems colocava em causa judicialmente a legalidade do regime do ‘porto seguro’
estabelecido pela referida Decisão, a autoridade irlandesa estava vinculada pela constatação da
Comissão Europeia ou se, pelo contrário, a CDFUE autorizava a Comissário a afastar-se dessa
constatação. O TJUE foi então confrontado com a questão de saber se, e em que medida, o
artigo 25.º, n.º 6 da Diretiva 95/46 – atentos os artigos 7.º e 8.º, assim como o artigo 47.º (este
último relativo ao direito a uma tutela jurisdicional efetiva) – devia de ser interpretado no
sentido de que uma decisão adotada nos termos da disposição obsta a que uma autoridade de

comunicação e o local a partir do qual esta foi efetuada. Estamos então defronte tipologias de dados qualificativas
da sai natureza enquanto metadados.
80 De qualquer forma, os Estados-Membros deviam assegurar que os dados fossem conservados por períodos não

inferiores a seis meses e não superiores a dois anos, a contar da data da comunicação, de modo a que tais dados
pudessem ser transmitidos imediatamente – mediante pedido – às autoridades competentes.
81 Processo apenso C-362/14, de 6 de outubro de 2015.

38 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

controlo de um Estado-Membro examine um pedido relativo à transferência de dados pessoais


para um país terceiro quando o interessado alega que o direito e as práticas então em vigor não
asseguram efetivamente um nível de proteção adequado.
O TJUE considerou que o termo ‘adequado’ que figura no artigo 25.º, n.º 6 da Diretiva
95/46 não exige que um país terceiro assegure um nível de proteção idêntico ao garantido na
ordem jurídica da União. Contudo, requer que esse pais terceiro assegure efetivamente, em
virtude da sua legislação interna ou dos seus compromissos internacionais, um nível de
proteção dos direitos fundamentais substancialmente equivalente ao conferido na União. Para
o efeito, impõe uma série de obrigações aos Estados-Membros e à Comissão. E não nos
esqueçamos que a decisão tem como destinatários os Estados-Membros, os quais devem de
tomar as medidas necessárias para a execução dos seus determinismos. Assim, enquanto a
decisão da Comissão não for declarada inválida pelo TJUE, os Estados-Membros e os seus
órgãos, entre os quais se deverão incluir as autoridades de controlo independentes, não podem
adotar as medidas contrárias a essa decisão, como sejam atos destinados a constatar, com
efeitos vinculativos, que o país terceiro visado pela referida decisão não assegura um nível de
proteção adequado.
Ocorre que, com fundamento na segurança nacional, no interesse público ou na legislação
interna dos EUA, a Decisão 2000/520 permitia ingerências nos direitos fundamentais dos
indivíduos cujos dados pessoais fossem ou pudessem ser transferidos da União para os
Estados Unidos- e não continha qualquer referência à existência de normas destinadas a limitar
intrusões que prosseguissem objetivos legítimos ou relativos à proteção jurídica eficaz contra
as mesmas. Nesta medida, entendeu o TJUE que não é limitada ao estritamente necessário
uma regulamentação que autoriza de modo generalizado a conservação da totalidade dos dados
pessoais transferidos da União para os EUA: (i) sem qualquer diferenciação, limitação ou
exceção em função do objetivo prosseguido; (ii) se,, que se encontre previsto um critério
objetivo que permita delimitar o acesso das autoridades públicas aos dados e a sua utilização
posterior para fins precisos 82. Em particular, uma regulamentação que permita às autoridades
públicas aceder de modo generalizado ao conteúdo das comunicações eletrónicas deve ser
considerada lesiva do conteúdo essencial do direito fundamental à reserva sobre a intimidade
da vida privada, tal-qual p. no artigo 7.º da CDFUE. De igual modo, uma regulamentação que
não preveja nenhuma possibilidade de o particular recorrer a vias de direito para ter acesso aos
dados pessoais que lhes dizem respeito, ou para obter a retificação ou a supressão de tais dados,
não respeita o conteúdo essencial do direito fundamental a uma proteção jurisdicional efetiva,
tal como é consagrado no artigo 47.º da CDFUE.
Ora, nos termos do artigo 28.º da Diretiva 95/46, lida à luz do artigo 8.º da CDFUE –
atinente à proteção de dados pessoais -, as autoridades nacionais de controlo devem poder
examinar, com total independência, qualquer pedido relativo à proteção dos direitos e
liberdades de uma pessoa no que diz respeito ao tratamento dos seus dados. Todavia, o artigo
3.º, n.º 1, primeiro parágrafo da Decisão 2000/520 prevê uma. Regulamentação específica
quanto aos poderes de que dispõem as autoridades nacionais de controlo perante uma
constatação efetuada pela Comissão Europeia relativamente ao nível de proteção adequado p.
pelo artigo 25.º da Diretiva 95/46 – ou seja, esta referida disposição da Decisão priva as
autoridades nacionais de controlo dos poderes que lhe são conferidos pelo artigo 28.º da
Diretiva 95/46. Ora, o poder de execução atribuído pelo legislador comunitário à Comissão
Europeia nos termos do artigo 25.º, n.º 6 da Diretiva 95/46, não confere a esta instituição
competência para limitar os poderes das autoridades nacionais de controlo – razão pela qual a

82Interprete-se como uma necessidade de restrição ao estritamente necessário e suscetível de justificar a ingerência
que tanto o acesso como a utilização dos dados comportam.

39 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Comissão Europeia teria ultrapassado a competência que lhe é atribuída. Neste pressuposto, e
atendendo a todas as considerações precedentes, o TJUE concluiu que a Decisão n.º 2000/520
era inválida, cumprindo ao tribunal nacional de reenvio dar provimento à pretensão do
requerente.

(6) Acórdão Christa Neukomm


No(s) processo(s) sob epígrafe83 - que despoletaram a questão prejudicial que haja sido
submetida diante do TJUE - surgiram diferenças quanto à interpretação do artigo §8 da Lei
Constitucional Federal [BezBegrBVG] entre o Rechnungshof (Tribunal de Contas) e um
grande número de organismos sujeitos à sua auditoria a propósito de retribuições e de pensões
pagas em 1998 e 1999 (Processo C-465/00) a um conjunto de funcionários públicos que
auferiam níveis salariais acima de um determinado limiar, mormente com a comunicação dos
respetivos nomes. E sobre a mesma questão, em relação ao Processos C-138/01 e C-139/01,
C. Neukomm e J. Lauermann, os funcionários públicos, apresentariam nos tribunais austríacos
um pedido de providências cautelares destinado a impedir o ORF de dar satisfação ao pedido
de comunicação de dados apresentado pelo Rechnungshof. Já quanto ao primeiro processo –
v. Processo C-465/00 – os demandados nos processos principais, entre os quais figuram
entidades locais (os Land e duas comunas), empresas públicas, algumas das quais se
encontravam em concorrência com outras empresas nacionais ou estrangeiras não sujeitas à
auditoria do Rechnungshof, bem como um organismo representativo de interesses
profissionais estabelecidos por lei, preteririam alegadamente a prescrição legal segundo a qual
deveriam de comunicar os dados relativos aos rendimentos das pessoas em causa, contanto
que este ato (a ser efetuada) poderia de compreender vários graus, ou até mesmo serem
transmitidos de forma anonimizada.
Pois bem - em sentido contrário com a posição apresentada pela Comissão, pelos Governos
austríaco e italiano, bem como pelo próprio Rechnungshof (evidentemente) 84 - no que
contende com a consideração da aplicação da Diretiva 95/46/CE, o Tribunal de Justiça
considerou que o ato jurídico da União Europeia se deveria aplicar na medida em que a
subsunção das matrizes harmonizáveis do diploma não se encontrava dependente da questão
de saber se as situações concretas em causa nos processos principais apresentavam ou não um
nexo suficiente com o exercício das liberdades fundamentais garantidas pelo Tratado e, em
especial nos referidos processos, com a livre circulação dos trabalhadores. Com efeito, “uma
interpretação contrária poderia tornar os limites do domínio de aplicação da referida diretiva particularmente
incertos e aleatórios, o que seria contrário ao objetivo essencial desta” – o de aproximar as disposições
legislativas, regulamentares e administrativas dos Estados-Membros, a fim de eliminar os
obstáculos ao funcionamento do mercado interno 85.
No que concerne à ingerência decorrente da aplicação de uma regulamentação nacional
como a que estava em causa nos processos principais, a mesma só se poderia justificar ao
abrigo do artigo 8.º, n.º 2 da CEDH (‘Convenção Europeia dos Direitos do Homem’) –
conforme aos quesitos da proporcionalidade - na medida em que a ampla divulgação não
apenas do montante dos rendimentos anuais, quando estes excedam um determinado limiar,
das pessoas empregadas por entidades sujeitas à auditoria do Rechnungshof, mas também dos
nomes dos beneficiários desses rendimentos, seja simultaneamente necessária e adequada ao
objetivo de manter os salários dentro dos limites razoáveis. Não obstante, esta era uma
circunstância da incumbência dos órgãos jurisdicionais de reenvio nacionais, em conformidade
com aquilo que se encontra plasmado no considerando 90 do Acórdão.

83 Processos apensos C-465/00, C-138/01 e C-139/01.


84 Cf. Considerando 34 a 38 do Acórdão.
85 Cf. Considerandos 42 e 47.

40 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Quanto à conformidade defronte os enunciados principiológicos e quesitos para a


consideração de um lícito tratamento de dados pessoais 86, o TJUE pronunciou-se no sentido
em que a Diretiva 95/46/CE não se opõe a que uma regulamentação nacional, como aquela
que estava em causa nos processos principais, mas tão-só na condição em que se demonstre
que a ampla divulgação não apenas do montante, como do nome das pessoas beneficiárias,
seja imprescindível (mais uma vez, necessária e adequada) ao objetivo de boa gestão dos fundos
públicos eventualmente prosseguido pelo legislador. Mais uma vez, esta era uma circunstância
que teria que ser apreciada pelos órgãos jurisdicionais nacionais de reenvio.
Por fim, tal como decorre de outras decisões do TJUE, também em razão do princípio da
tutela efetiva e do direito de acesso ao direito, os titulares dos dados comunicados poderiam
invocar as disposições em voga internamente, num ímpeto de afastamento da aplicação das
regras de direito contrárias a essas mesmas disposições87.

(7) Acórdão Weltimmo


A Weltimmo, sociedade registada na Eslováquia, ger(ia) um sítio Internet de anúncios de
imóveis situados na Hungria. A este título, proced(ia) ao tratamento de dados pessoais dos
respetivos anunciantes. Os anúncios (eram) publicados de forma gratuito durante o período
de um mês, passando a subscrição a ser efetuada mediante o pagamento de um preço decorrido
que tivesse esse período. Ora, um elevado número de anunciantes havia solicitado, por correio
eletrónico, a retirada dos respetivos anúncios depois de findar o período da gratuitidade do
serviço e, nessa mesma ocasião, o apagamento dos seus dados pessoais. No entanto, a
Weltimmo, além de não proceder ao pagamento peticionado, faturou o preço dos seus serviços
aos interessados. Ademais, pelo facto de os montantes faturados não terem sido pagos, esta
sociedade comunicou os dados pessoais dos anunciantes em causa a empresas de recuperação
de crédito.
Apresentada queixa à Autoridade Húngara de Proteção de Dados Pessoais, esta aplicou à
referida sociedade uma coima no valor de dez milhões de forints húngaros (HUF) – cerca de
32,000 €, por considerar que a Weltimmo violara a lei sobre a informação. Ora bem, esta decisão
acabara por ser anulada quando interposto recurso – por parte da Weltimmo - diante do Tribunal
Administrativo e do Trabalho de Budapeste, em razão da alegada imprecisão quanto à matéria
de facto então invocada pela Autoridade de Controlo. O pedido de reenvio prejudicial 88 fora,
contudo, apresentado pela Autoridade húngara para a proteção de dados pessoais, tinha como
fundamento o facto de ser a autoridade eslovaca a competente para dirimir o litígio. Em
contraponto, a autoridade húngara para a proteção de dados invocou que a Weltimmo tinha na
Hungria um representante de nacionalidade húngara, a saber, um dos proprietários da
sociedade, que o representou nos procedimentos administrativo e jurisdicional ocorridos
anteriormente no Estado-Membro. A autoridade acrescentou ainda que os servidores de
Internet da Weltimmo se encontravam, verosimilmente, instalados na Alemanha ou na Áustria,
mas que os proprietários desta sociedade residem na Hungria. Alegara ainda, a título adicional,
que resultava do então artigo 28.º, n.º 6 da Diretiva 95/46/CE que, em todo o caso, seria a sua
Autoridade aquela que teria competência para agir, independentemente do direito aplicável.

86 Segundo a alínea c) do artigo 6.º, o tratamento de dados pessoais dever(ia) de ser adequado, pertinente e não
excessivo relativamente às finalidades da recolha e tratamento ulterior. Já o normativo 7.º dispõe, nas suas alíneas
c) e d), que o tratamento deve(ia) de ter como fundamento, in casu, a necessidade de cumprimento de uma obrigação
legal à qual o responsável pelo tratamento esteja sujeito, bem como a necessidade de concretização de um propósito
de interesse público ou o exercício por parte de uma autoridade pública, investida na qualidade de responsável pelo
tratamento, a quem os dados tivessem sido comunicados.
87 Cf. Considerando 94 e 101 do Acórdão.
88 Na origem do Processo apenso C-230/14, objeto de decisão pelo TJUE a 1 de outubro de 2015.

41 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Em causa, quanto às seis questões inicialmente suscitadas, estaria saber se os artigos 4.º, n.º
1, alínea a) e 28.º, n.º 1 da Diretiva 95/46 deveriam de ser interpretados no sentido de que –
em circunstâncias como as do processo principal – permitem que a autoridade para a proteção
de dados de um Estado-Membro aplique a sua legislação nacional relativa à proteção de dados
a um responsável pelo tratamento, cuja sociedade se encontra registada num outro Estado da
União e que explora um sítio da Internet de anúncios de imóveis situados no primeiro. A
particularidade do agregado destas questões deveria de ser atida segundo o conjunto de
circunstâncias: (a) o Estado-Membro era aquele por onde se vocacionava a atividade
preconizada pelo responsável; (b) os imóveis situavam em território húngaro; (c) a
comunicação dos dados pessoais fora efetuada a partir e segundo os mecanismos existentes na
Hungria; (d) e os nacionais, residentes ou as pessoas que se encontravam em território húngaro
eram os titulares dos dados pessoais objeto de tratamento sub judice. A este interregno, o TJUE
pronunciou-se no sentido em que o referido artigo – o artigo 4.º, n.º 1, alínea a) da Diretiva
95/46/CE, deve ser interpretado no sentido de que permite que seja aplicada legislação relativa
à proteção de dados pessoais de um Estado-Membro diferente daquele em que o responsável
pelo tratamento está registado, desde que este exerça, através de uma instalação estável no
território desse Estado-Membro, uma atividade real e efetiva, ainda que mínima, em cujo
contexto o tratamento é efetuado 89. No seu considerando 41, o Tribunal refere ainda que para
determinar, se uma atividade real e efetiva se verificava no caso em apreço, incumbia ao órgão
jurisdicional de reenvio ter em consideração, por um lado, a atividade prosseguida pelo
responsável90 e, por outro lado, a ponderação em como o responsável dispunha de um
representante no referido Estado-Membro, sendo que este tinha os encargos de proceder à
cobrança dos créditos resultantes da atividade, também, que era este que se encontrava
investido na posição de representante da atuação da respetiva sociedade nos procedimentos
administrativos e judiciais relativos ao tratamento em causa 91.
Por último, em relação à sétima questão prejudicial – relativa à competência da Autoridade
húngara de proteção de dados pessoais para dirimir o litígio em causa - o TJUE pronunciou-
se no sentido de que na hipótese de a autoridade de controlo de um Estado-Membro à qual
tenham sido apresentadas queixas, nos termos do artigo 28.º, n.º 4 da Diretiva 95/46/CE,
concluir que o direito aplicável ao tratamento dos dados pessoais em causa não é o direito
desse Estado-Membro, o artigo 28.º, nºs 1, 3 e 6 deste ato deveria de ser interpretado como se
a autoridade de controlo apenas pudesse exercer os poderes efetivos de intervenção (que lhe
são conferidos pelo n.º 3 do normativo, supra) no território do Estado-Membro a que essa
autoridade pertence. Por conseguinte, não é competente para a imposição de sanções com
base no direito desse Estado-Membro. Assim, teria de recorrer ao n.º 6 do artigo 28.º e, desta
feita, solicitar a intervenção da autoridade de controlo pertencente ao Estado-Membro cujo
direito crê ser aplicável 92.

89 O Acórdão em causa faz menção ao Acórdão Google Spain – no seu considerando 25 – de forma a balizar o
âmbito de aplicação territorial da diretiva, por referência ao próprio conceito de ‘estabelecimento’ e, no mais, cita
o Acórdão Lindqvist com o propósito de conotar as atividades da Weltimmo com uma verdadeira operação de
tratamento de dados pessoais.
90 Ou seja,, em que contexto esta tinha lugar, a ver, a exploração de sítios Internet de anúncios de imóveis situados

em território húngaro e cuja operacionalização era manifestada através da redação dos sítios em linguagem húngara,
também (quase exclusivamente) direcionada a cidadãos do referido Estado-Membro.
91 Reitere-se que, mais uma vez, a questão da nacionalidade das pessoas afetadas pelo tratamento se acebe como

desprovida de pertinência. Cf. para os devidos efeitos, o Acórdão Google Spain, na última conclusão que dele se
encontra plasmada.
92 A questão da coincidência semântica da noção de ‘operações técnicas de tratamento’ – conforme legislação

húngara, com a noção de tratamento plasmada na Diretiva Comunitária não releva para efeitos do presente resumo,
embora tenha sido objeto de pronúncia no Acórdão do Tribunal de Justiça. Só para referir, que o Tribunal concluiu
pela coincidência, a ver: “A Diretiva (...) deve ser interpretada no sentido de que o conceito de ‘adatfeldolgozas” – operações técnicas
de tratamento de dados), utilizada na versão em língua húngara (...) é idêntico.

42 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

A prolepse ‘Massan(ena)’ e ‘meditada’ dos traços decisórios envoltos ao


Acórdão Google Spain: em especial, os ditames de aplicação93

O Professor David Masseno conjeturara o Acórdão Google Spain como se um obstaculizar


ao processo automatizado se tratasse. Para o efeito, começara a conferência com o seguinte
interregno: “será o Acórdão Google Spain do TJUE (Processo C-131/12, de 13 de maio de 2014), uma
sentença ex machina?”. Desde a última primavera do ano de 2014, decorre um intenso debate
sobre o conteúdo e as consequências despoletadas por um acórdão centrado sobre um tal
‘direito ao esquecimento’ 94. Essencial é a interpretação integrada da Diretiva 95/46/CE, do
Parlamento Europeu e do Conselho, de 24 de outubro de 1995), à luz da Carta Europeia dos
Direitos Fundamentais da UE – nos seus artigos 7.º e 8.º -, da Convenção Europeia dos
Direitos do Homem – no seu artigo 8.º - agregada ao artigo 16.º do Tratado de Lisboa
(‘TFUE’), e tal deverá de ser efetuado na panorâmica despoletada numa era Pós-Snowden,
também de emergência de realidades constantes como a ‘computação em nuvem’ e o ‘Big Data’.
Refira-se que a abordagem plasmada na decisão em voga não é no seu todo inovadora para o
TJUE que, no Acórdão Digital Rights, de 8 de abril de 201495, sobre a retenção de metadados
nas comunicações eletrónicas por parte dos Estados-Membros – ainda que no contexto da
investigação de criminalidade altamente organizada e do terrorismo – decidira no sentido de
primar por uma sobreposição da proteção de direitos pessoais (in casu, a confidencialidade das
comunicações e os dados pessoais que a estas se encontravam associados), nomeadamente no
se compreende o balancear defronte o conjunto de interesses patrimoniais. No mais, por
referência ao princípio da proporcionalidade, desde o Acórdão Promusicae, de 29 de janeiro de
200896, que esta tónica sob os Direitos Fundamentais abarca a Comissão Europeia no que
respeita ao então vigente e vinculativo Regulamento Geral sobre Proteção de Dados (por
referência a uma outra proposta que havia sido apresentada em 25 de janeiro de 2012).
No presente ensaio, por referência ao discurso proferido pelo Sr. Professor no Instituto
Politécnico de Beja, analisaremos as implicações surtidas pelo Acórdão Google Spain sob
interpretação da Diretiva à data vigente e em relação ao ora vinculativo Regulamento Geral de
Proteção de Dados Pessoais, tecer-se-ão algumas considerações quanto à problemática do
direito à não indexação em Estados-Terceiros e perante a atividade prosseguida pelas ‘gigantes
digitais’. E fá-lo-emos seguindo como orientação a matriz respeitante ao âmbito de aplicação
territorial dos atos jurídicos da União Europeia respeitantes à matéria de Direito da Proteção
de Dados Pessoais. Ora, considerando a significância da terminologia Big Data, por referência
a todo um conjunto de dados gigantescos detidos por empresas, governos e outras
organizações, extensivamente analisados com recurso a algoritmos computacionais 97, analise-
se o âmbito de aplicação das regras sobre dados pessoais no espaço.
Pois bem, no que se refere ao conflito, pelo menos potencial, entre o Direito Comunitário
e o Big Data, uma das mais importantes questões refere-se ao respetivo âmbito de aplicação
territorial. Segundo a Diretiva 95/46/CE (de ora em diante sob abreviatura Diretiva 95’), a sua
aplicação limitada influiria sobre os sujeitos ou responsáveis que não dispunham de
estabelecimento no mercado interno (artigo 4.º), com controle da circulação para o exterior
(artigos 25.º e 26.º), relevando, a jusante, o Acordo Safe Harbour com o Department of Commerce

93MASSENO, Manuel David, Comunicação à 3.ª Conferência "Privacidade, Inovação e Internet". APDSI. Cultugest. Lisboa.
Dia 30 de janeiro de 2015. Disponível em
https://www.academia.edu/10387085/E_depois_do_Acórdão_Google_Spain_-
_Levando_a_sério_o_Direito_à_Proteção_de_Dados_Pessoais_na_União_Europeia_.
94 O Acórdão não enuncia ipsis verbis a terminologia ‘direito ao esquecimento’. Outrossim, aborda a temática como
se de um ‘direito à não indexação’ se tratasse.
95 Processos apensos C- 293/12 e C-594/12.
96 Processo apenso C-275/06
97 Ct. Opinião n.º 3/2013, do Grupo de Trabalho do Artigo 29.º.

43 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

dos EUA – Decisão de 2000 da Comissão Europeia – v. Acórdão Schrems. Pois bem, se já́ o
Acórdão Digital Rights Ireland apontava para a necessidade de reforçar o controle do fluxo de
dados para o exterior da União Europeia, sobretudo por razões de segurança, hodiernamente,
o esforço interpretativo será muito maior no que concerne à possível extensão do âmbito de
aplicação territorial às empresas de Big Data. O critério plasmado no Acórdão foi o seguinte:
deverá ponderar-se se o tratamento “é efetuado (...) no contexto das atividades de um estabelecimento do
responsável por esse tratamento no território de um Estado-Membro” quando “um operador de um motor de
pesquisa cria num Estado-Membro uma sucursal ou uma filial destinada a assegurar a promoção e a venda
dos espaços publicitários apresentados nos resultados das pesquisas (sublinhado nosso) e cuja atividade é
dirigida aos habitantes desse Estado-Membro”.
A entrada em vigor do Novo Regulamento Geral de Proteção de Dados Pessoais, com o
seu artigo 3.º, acabara por não resolver todo um conjunto de questões que ‘alvejam’ resolução
casuística, tal qual se poderá depreender do pedido de decisão prejudicial apresentado pelo
Conseil d´Étate, em 21 de agosto de 2017, diante do TJUE. A decisão afigura-se vindoura e opõe
a Comissão Nacional de Proteção de Dados Francesa (‘Comission nationale de línformatique et des
libertés [CNIL]) à Google Inc, tendo como partes interessadas “Wikimedia Foundation Inc., Fondation
pour la liberté de la presse, Microsoft Corp., Reporters Committee for Freedom of the Press e o., Article 19 e
o Internet Freedom Foundation e o., Défenseur des droits”.
O pedido de decisão prejudicial apresentado pelo Conseil d´Étate em 21 de agosto de
2017 e a concretização do(s) ‘meandro(s)’ territoriais no vindouro Acórdão Google
Spain defronte as ‘gigantes tecnológicas’ internacionais98
Por decisão de 21 de maio de 2015, a presidente da Commission nationale de l’informatique et des
libertés (França) - Comissão Nacional da Informática e das Liberdades, CNIL - intimou a
Google, no sentido de que quando atende a um pedido de uma pessoa singular de supressão
da lista de resultados, gerada no seguimento de uma pesquisa feita a partir do seu nome, de
hiperligações para páginas de Internet, deve aplicar essa supressão a todas as extensões do
nome de domínio do seu motor de busca.
A Google recusou conformar-se com essa intimação, limitando-se a suprimir as
hiperligações em causa apenas dos resultados surgidos em resposta a pesquisas feitas a partir
dos nomes de domínio correspondentes às versões do seu motor nos Estados-Membros da
União Europeia. Além disso, a CNIL considerou insuficiente a proposta complementar
designada de ‘bloqueio geográfico’, feita pela Google depois de decorrido o prazo de
intimação, que consistia em suprimir a possibilidade de aceder, a partir de um endereço IP tido
como localizado no Estado de residência da pessoa em causa, aos resultados controvertidos
no seguimento de uma pesquisa feita partir do seu nome, independentemente da versão do
motor de busca solicitada pelo internauta.
Após ter declarado que a Google não tinha cumprido, no prazo fixado, a referida intimação,
a CNIL, por deliberação de 10 de março de 2016, aplicou-lhe uma sanção, tornada pública, de
100.000 euros. Por requerimento apresentado no Conseil d’État (Conselho de Estado, em
formação jurisdicional, França), a Google pede a anulação dessa deliberação. O Conseil d’État
decidiu submeter ao Tribunal de Justiça várias questões prejudiciais, designadamente: (a) deve
o «direito à supressão de uma hiperligação», como consagrado pelo Tribunal de Justiça da
União Europeia no seu acórdão de 13 de maio de 2014, ser interpretado no sentido de que o
operador de um motor de busca é obrigado, quando acolhe um pedido de supressão de uma
hiperligação, a efetuar essa supressão em todos os nomes de domínio do seu motor, de forma
a que as ligações controvertidas deixem de ser exibidas, seja qual for o local a partir do qual é

Texto disponível na íntegra em


98

https://protecaodedadosue.cedis.fd.unl.pt/2019/01/11/conclusoes-do-advogado-geral-no-processo-c-507-17/.

44 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

efetuada a pesquisa com base no nome do requerente, incluindo fora do âmbito de aplicação
territorial da diretiva de 24 de outubro de 1995? (b) Em caso de resposta negativa a esta
primeira questão, deve o ‘direito à supressão de uma hiperligação’, como consagrado pelo
Tribunal de Justiça da União Europeia no seu acórdão supra referido, ser interpretado no
sentido de que o operador de um motor de busca apenas é obrigado, quando acolhe um pedido
de supressão de uma hiperligação, a suprimir as ligações controvertidas dos resultados exibidos
na sequência de uma pesquisa efetuada a partir do nome do requerente no nome de domínio
correspondente ao Estado onde se considere que o pedido foi efetuado ou, de forma mais
genérica, nos nomes de domínio do motor de busca que correspondem às extensões nacionais
desse motor para todos os Estados-Membros da União Europeia? (c) Além disso, em
complemento da obrigação invocada na segunda questão, deve o ‘direito à supressão de uma
hiperligação’, ser interpretado no sentido de que o operador de um motor de busca, quando
acolhe um pedido de supressão de uma hiperligação, é obrigado, através da técnica designada
‘bloqueio geográfico’, a partir de um endereço IP supostamente localizado no Estado de
residência do beneficiário do ‘direito à supressão de uma hiperligação’, a suprimir os resultados
controvertidos das pesquisas efetuadas a partir do seu nome, ou mesmo, de forma mais
genérica, a partir de um endereço IP supostamente localizado num dos Estados-Membros aos
quais se aplica a diretiva de 24 de outubro de 1995, independentemente do nome de domínio
utilizado pelo internauta que efetue a busca?
Nas suas conclusões apresentadas, o advogado-geral Maciej Szpunar começa por indicar
que as disposições do direito da União aplicáveis a este processo não regulam expressamente
a questão da territorialidade da supressão de hiperligações. É, por isso, de opinião que se impõe
uma diferenciação em função do lugar a partir do qual a pesquisa é feita. Assim, os pedidos de
pesquisa feitos fora do território da União Europeia não devem ser visados pela supressão das
hiperligações resultantes da pesquisa. Não é, como tal, favorável a uma interpretação das
disposições do direito da União de tal forma ampla que estas produziriam efeitos para lá das
fronteiras territoriais dos 28 Estados-Membros. O advogado-geral sublinha assim que, mesmo
que em certos casos que afetam o mercado interno, claramente delimitado, como em matéria
de direito da concorrência ou de direito das marcas, se admitem efeitos extraterritoriais, pela
própria natureza da Internet, que é mundial e está em todo o lado em igual medida.
Segundo o advogado-geral, o direito fundamental ao esquecimento deve ser ponderado
com o interesse legítimo do público em aceder à informação procurada. Com efeito, continua
o advogado-geral, se se admitisse uma supressão mundial das hiperligações, as autoridades da
União não poderiam definir nem determinar um direito de receber informações, e ainda menos
ponderá-lo relativamente aos outros direitos fundamentais da proteção dos dados e à vida
privada. Tanto mais que esse interesse do público em aceder a uma informação varia
necessariamente em função da sua localização geográfica, de Estado terceiro para Estado
terceiro. O risco, em caso da possibilidade de se proceder a uma supressão mundial das
hiperligações, seria que as pessoas em Estados terceiros fossem impedidas de aceder à
informação e que, por reciprocidade, os Estados terceiros impedissem as pessoas nos Estados
da União de aceder à informação.
Contudo, o advogado-geral não afasta a possibilidade de, em certas situações, impor a um
operador de motores de busca ações de supressão de hiperligações a nível mundial, mas
considera que a situação em causa no presente processo não o justifica. Assim, propõe ao
Tribunal de Justiça que declare que, quando atende a um pedido de supressão de hiperligações,
o operador de um motor de busca não é obrigado a fazer essa supressão relativamente a todos
os nomes de domínio do seu motor, de modo a que as hiperligações controvertidas deixem de
aparecer, seja qual for o lugar a partir do qual a pesquisa lançada sobre o nome do requerente
é feita.

45 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Em contrapartida, o advogado-geral sublinha que o operador de um motor de busca deve,


uma vez declarado um direito à supressão de hiperligações na União, tomar todas as medidas
à sua disposição para assegurar tal supressão de forma eficaz e completa, a nível do território
da União Europeia, incluindo pela técnica designada de ‘bloqueio geográfico’, a partir de um
endereço IP que se considera estar localizado num dos Estados-Membros, independentemente
do nome de domínio utilizado pelo internauta que faz a pesquisa.
O advogado-geral M. Szpunar propõe, em suma, ao Tribunal de Justiça que limite à escala
da União Europeia a supressão de hiperligações a que os operadores de motores de busca são
obrigados a proceder.

A completude de uma cogitação da (extra)territorialidade na performnance


‘Canto Moni(ana)’ sobre os contemporâneos critérios de aplicação ‘intra’ e
‘praeter’ União Europeia das prerrogativas vigentes em matéria de proteção de
dados pessoais99

Não é novo o debate sobre o âmbito de aplicação extraterritorial do regime de proteção de


dados pessoais na União Europeia. Postergado o período em que estas matérias passaram
despercebidas, a discussão acabara por ser instigada em razão da prolação da decisão do TJUE,
Acórdão Google Spain. Sucede que neste caso o Tribunal concluiu que a Diretiva 95/46/CE se
tinha por aplicável às atividades da Google Inc., uma empresa estabelecida nos EUA 100. Pois
bem, a esta matéria – a da extraterritorialidade – passara a ser dada uma redobrada atenção
aquando da vigência e ulterior aplicação do Novo Regulamento Geral de Proteção de Dados
Pessoais101. A Professora Graça Canto Moniz – especialista na matéria, com uma tese de
doutoramento sobre este assunto - denota que a discussão em voga é suscetível de ser
decomposta em vários aspetos. Desde logo, são de suscitar dúvidas sobre a validade ou
legitimidade do âmbito de aplicação extraterritorial do RGPD. A este respeito, sugere-se que
a União Europeia, bem como as respetivas autoridades competentes em cada Estado-Membro,
“exerçam uma certa contenção na prática (de tamanho ato que extrapola os desígnios plasmados nos
seus tratados constitutivos”102. De facto, autores há que sustentam os novos critérios
consagrados no RGPD, conotando-os como ‘revolucionários’, e ademais, explicando-os por
via da necessidade de assegurar uma proteção eficaz das pessoas singulares independentemente
da localização do tratamento103. Destarte estas considerações tecidas, importa também
enfatizar a difícil exequibilidade da assunção jurisdicional Europeia neste campo.
Ora bem, os critérios de aplicação do regime da EU em matéria de proteção de dados
encontravam-se p. no artigo 4.º da Diretiva 95’, mormente no que contende com o âmbito de
aplicação geográfico, dentro e fora do espaço comunitário. Na perspetiva dos operadores

99 Cf. (quase ipsis verbis) MONIZ, Graça Canto, Finalmente: coerência no âmbito de aplicação do regime da União Europeia
de Protecção de dados pessoais!, Centro de Estudos em Direito da União Europeia Escola de Direito – Universidade do
Minho, UNIO - EU Law Journal. Vol. 4, No. 2, Julho 2018, pp 119-131. ®2018. Disponível em
http://www.unio.cedu.direito.uminho.pt/Uploads/UNIO%204%20.%20Vol%201/Unio%204%20n.%202%20P
T/Graça%20Canto%20Moniz.pdf.
100 V. anotações supra da decisão que ora se menciona.
101 Consultar, para o efeito, Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de

2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
102 Ibidem..., referenciando Merlin Gomann, “The new territorial scope of EU Data Protection Law: deconstructing

a revolutionary achievement”, Common Market Law Review, 54 (2017): 567; Brendan Van Alsenoy, “Reconciling
the (extra) territorial reach of the GDPR with public international law”, in Data Protection and Privacy under
Pressure, ed. Gert Vermeulen e Eva Lievens, (Antwerp: Maklu Publishers, 2017), 77-98; Christopher Kuner,
“Extraterritoriality and regulation of international data transfers in EU data protection law”, International Data
Privacy Law, 5 (2015): 235.- cit. anotação 5
103 Ibidem..., referenciando Ulrich Dammann, “Erfolge und Defizite der EU-Datenschutzgrundverordnung”,

Zeitschrift für Datenschutz, (2016): 307 – cit. anotação 6.

46 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

transnacionais, este normativo materializa a disposição comunitária de maior relevo,


conquanto não destrinçava com clareza e precisão a (não) possível aplicabilidade às atividades
por estes prosseguidas. Em correspetiva, o artigo 4.º efetivamente assumia-se como uma
disposição de indubitável relevância na perspetiva do titular dos dados pessoais 104, porquanto
nessa mesma se encontravam (em contornos não muito precisos, reitere-se) os termos e limites
da proteção garantida pelo regime da União Europeia quanto aos dados de matriz pessoal.
Não obstante, apesar da relevância prática, vários foram os autores que teceram algumas
críticas em relação àquela disposição porque (tal como fora patenteado anteriormente) esta
encontrava-se mal construída. Nesse sentido, apontaram as dificuldades práticas em
determinar a aplicação do regime da União, especialmente no que respeita ao ‘novo ambiente
tecnológico global’. Para a Professora Graça Canto Moniz, uma conjeturar prático da matéria
conduz à indagação de que a funcionalidade que o (antigo) artigo 4.º apresentava encontrava-
se assente em dois critérios principais: (1) o primeiro dirigido à figura do responsável pelo
tratamento ‘estabelecido’ na União Europeia; (2) e o outro dirigido aos responsáveis pelo
tratamento de países terceiros ou não estabelecidos em território de algum Estado-Membro
da União. Ocupemo-nos destes vetores numa análise independentizada.
Primeiramente, em relação aos responsáveis pelo tratamento que se encontrem
estabelecidos no território de algum Estado-Membro da União, em conformidade com o artigo
4.º, n.º 1, alínea a) da Diretiva 95’, a aplicação das suas regras harmonizadores tinha-se por
concebível quando “o tratamento fo(sse) efetuado no contexto das atividades do estabelecimento do
responsável pelo tratamento situado no território desse Estado-Membro” (parênteses nosso). A
Jurisprudência do TJUE forjou um teste em duas etapas para especificar a aplicação desta
disposição. Desde logo, considerara que deverá de existir um estabelecimento do responsável
pelo tratamento no território de um Estado-Membro. No mais, em segundo lugar, o
tratamento de dados pessoais realizada na pessoa do responsável pelo tratamento de dados
deverá de ser efetuado no contexto das atividades desse estabelecimento 105. Assim, tem-se por
necessário a preconização de esclarecimento adicionais assim como a identificação concreta
da figura do responsável pelo tratamento. Ademais, atém-se como necessária a determinação
do momento em que se deve considerar uma determinada entidade empresarial como
estabelecida no território de um Estado-Membro. Por último, de verosímil relevância é
também a determinação do momento em que o tratamento se atém como realizado no
contexto das atividades desse estabelecimento.
Incumbe colacionar, a este propósito a resposta a três questões: (1) quem é o responsável pelo
tratamento? (2) O que é um estabelecimento? (3) Quando é que a operação de tratamento de dados pessoais se
deve considerar realizada no contexto das atividades do estabelecimento?
À primeira questão, poder-se-á responder com alguma brevidade. Pois bem, nos termos do
artigo 2.º, alínea d) da Diretiva 95’, o responsável pelo tratamento seria a “pessoa singular ou
coletiva, autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com
outrem, determine as finalidades e os meios de tratamento dos dados pessoais”.
Já em relação à segunda questão, temos que o conceito de estabelecimento é definido de
forma ampla no considerando 19 do antedito diploma, a ver: “pressupõe(-se) o exercício efetivo e real
de uma atividade mediante uma instalação estável (e) que, para o efeito, a forma jurídica de tal estabelecimento,
quer se trate de uma simples sucursal ou de uma filial com personalidade jurídica, não é determinante”
(parênteses nosso). Ora, estas considerações apresentam a significância em como a
nacionalidade do responsável pelo tratamento, o local do seu estabelecimento principal ou a

104 Beneficiário das disposições – via diretiva ou regulamento – e titular do bem jurídico comunitariamente
protegido.
105 Cf. Acórdão Google Spain SL and Google Inc....parágrafo 50; e acórdão Weltimmo s.r.o. v. Nemzeti Adatvédelmi és

Információszabadság Hatósag, proc. 230/14, de 30 de outubro de 2015, parágrafo 28 e ss, ECLI:EU:C:2015:639.

47 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

localização física do tratamento seriam irrelevantes para apurar a aplicação do direito da União
Europeia. Por conseguinte, o mesmo pode ser aplicado caso o estabelecimento principal se
tenha por localizado num país terceiro à União Europeia. Com efeito, foi justamente aquilo
que foi decidido no Acórdão Google Spain. Neste, apesar de exaustivamente analisado o
contexto do ‘direito à não indexação’, relevou no mais e sobretudo o contexto de aplicação
territorial dos atos jurídicos da União Europeia à data vigentes e que versavam sobre as
matérias respeitantes do Direito da Proteção de Dados Pessoais. De facto, esta decisão assume-
se como o único caso em que o TJUE se pronunciou sobre a aplicabilidade das regras da UE
em matéria de proteção de dados pessoais, mormente em relação a um responsável pelo
tratamento com estabelecimento principal num país terceiro, i.e., a Google Inc., empresa-mãe do
grupo Google, com sede nos Estados Unidos da América fora considerada como responsável
pelo tratamento e a sua subsidiária, a Google Spain, um estabelecimento daquela para efeitos de
aplicação da Diretiva 95’106. Posteriormente, numa outra decisão, a do caso Weltimmo, o TJUE
viria a partir de uma “definição flexível do conceito de ‘estabelecimento’” 107. A sua pronúncia foi no
sentido de considerar que um responsável pelo tratamento se encontra estabelecido num
Estado-Membro quando a atividade ‘real’ e ‘efetiva’, mesmo que ‘mínima’108. Adicionalmente,
ateve-se que a presença de um representante num determinado Estado-Membro, que serve
como ponto de contacto, juntamente com outros elementos, como uma conta bancária ou
uma caixa postal, também foram aspetos tidos em consideração pelo douto tribunal no ato de
verificação da existência de um estabelecimento. Já no caso Amazon, o TJUE limitara-se, em
contrapartida, a esclarecer que “um estabelecimento não pode existir apenas porque o sítio web da empresa
é acessível” a partir de um determinado Estado-Membro109.
Diante destas respostas, incumbe responder à questão sobre quando é que se deve
considerar realizado o tratamento no contexto das atividades do estabelecimento. Ora, o
segundo momento do teste aplicado pelo TJUE centra-se na condição de que o tratamento de
dados pessoais seja realizado ‘no contexto das atividades’ do estabelecimento. O exemplo mais
comum, tal-qual explanado por Moerel, é aquele em que uma empresa multinacional procede
ao tratamento de dados pessoais de forma centralizada além do território da União Europeia.
Pois bem, recentemente, o TJUE – por duas vezes – esclareceu os termos desta condição. A
primeira foi no acórdão Google Spain, no qual o tribunal tomara a decisão por referência à
tipologia de interpretação teleológica do artigo 4.º, n.º 1, alínea a) da Diretiva 95’. E fê-lo com
o objetivo de garantir “uma proteção efetiva e completa do direito fundamental (...) à proteção de dados
pessoais”110. Com base nesta premissa, o TJUE enunciou o seguinte critério para determinar e
o tratamento se tem como efetuado ‘no contexto das atividades do estabelecimento da União
Europeia’. Para o efeito, avaliar-se-á da existência de um ‘nexo indissociável’ entre as atividades
levadas a cabo pelo estabelecimento e o tratamento de dados pessoais preconizado pela pessoa
do responsável. Na sua resposta, o tribunal considerou que, apesar de o tratamento de dados
pessoais implicado na atividade de um motor de busca (o Google Search)111 ser realizado

106 Cf. parágrafo 48 do Acórdão ora em análise.


107 Cf. acórdão Weltimmo..., parágrafos 29, 32 e 33.
108 In casu, que poderia mesmo consistir na gestão de um sítio web imobiliário, relativamente a imóveis localizados

nesse Estado-Membro, e redigido na língua desse mesmo Estado.


109 Cf. acórdão Verein for Konsummenteninformation v. Amazon EU Sàrl, proc. Apenso C-191/15, de 28 de julho de

2016, parágrafo 76.


110 Cf. parágrafos 52 e 53 do acórdão.
111 23 “Por conseguinte, há́ que declarar que, ao explorar a Internet de forma automatizada, constante e sistemática, na busca das

informações nela publicadas, o operador de um motor de busca ‘recolhe’ esses dados, que ‘recupera’, ‘regista’ e ‘organiza’ posteriormente
no âmbito dos seus programas de indexação, ‘conserva’ nos seus servidores e, se for caso disso, ‘comunica’ e ‘coloca à disposição’ dos seus
utilizadores, sob a forma de listas de resultados das suas pesquisas. Na medida em que estas operações estão explicita e
incondicionalmente referidas no artigo 2.°, alínea b), da Diretiva 95/46, devem ser qualificadas de ‘tratamento’ na aceção desta

48 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

exclusivamente pela Google Inc., nos EUA, as atividades da Google Spain – promoção e venda
de espaço publicitário online – se encontra(am) ‘indissociavelmente ligadas’ ao respetivo
tratamento, uma vez que “as atividades relativas a espaços publicitários constituem o meio para tornar o
motor de busca em causa economicamente rentável e que esse motor (seria) ao mesmo tempo o meio que
(possibilitaria e potenciaria) essas mesmas atividades” (parênteses nosso). Ora, excluindo as atividade
de publicidade da Google Spain – aquelas que são subsidiária e equivalente em todo o mundo à
sua empresa-mãe – não seria economicamente rentável para a Google Inc. oferecer os seus
serviços, asserção esta que apresenta a significância em como o tratamento de dados pessoais
realizado pela Google Inc. é economicamente sustentado pelas atividades levadas a cabo pelos
seus estabelecimento espalhados por todo o mundo, incluindo aquele que importava no caso
sub judice, realizado em território espanhol. Contudo, o nexo indissociável entre o tratamento
de dados pessoais realizado pela Google Inc. e as atividades do seu estabelecimento em Espanha
não é índole meramente económica. Haverá que colacionar o ser caráter virtual ou online. Tal
sucede na medida em que quando a Google Inc. exibe dados pessoais numa página de resultados
de pesquisa, o respetivo tratamento será acompanhado “na mesma página, da exibição de publicidade
relacionada com os termos de pesquisa”, conquanto o “tratamento de dados pessoais em questão – a exibição
– será efetuada no contexto da atividade publicitário e comercial do estabelecimento do responsável pelo
tratamento no território de um Estado-Membro, neste caso, o território espanhol”.
Por fim, a outra situação em que o TJUE se debruçou sobre este segundo momento da
aplicação do artigo 4.º, n.º 1, alínea a), foi no caso Weltimmo – em conformidade com o que se
dissera anteriormente. Todavia, para alguns autores (como Merlin Gomann, referenciado por
Graça Canto Moniz), o relevo desta decisão fora diminuto, na medida em que o Tribunal
menosprezara a questão da territorialidade e, em especial no que respeita à resposta a esta
segunda questão, diminuíra significativamente a função deste segundo teste do âmbito de
aplicação do normativo em causa.
E quais as respostas a serem dadas caso o responsável pelo tratamento não se tenha
considerado por estabelecido em qualquer território de um Estado-Membro da União
Europeia? Nesse caso, incumbe trazer á colação o artigo 4.º, n.º 1, alíneas b) e c) da Diretiva
95’. Quanto à primeira alínea, como indica o próprio enunciado, quando o responsável pelo
tratamento não se encontre estabelecido em território de um Estado-Membro da UE, a
aplicação da diretiva poderá ser efetuada por remissão a um instrumento de direito
internacional público. Ora, esta disposição apresenta um âmbito de utilização limitado aos
casos em que, p.ex., o responsável pelo tratamento é uma embaixada, um navio ou um avião
localizado num Estado terceiro. Há ainda quem considere que, nestas situações, inexiste uma
verdadeira casuística de aplicação extraterritorial do regime de proteção de dados pessoais
instituído na UE, porquanto a mesma resulta de um consenso prévio entre os Estados, firmado
por referência a um acordo internacional. Em correspetiva, na alínea c) do artigo 4.º, a Diretiva
95’, aplicar-se-ia ao contexto de tratamento de dados pessoais quando o “responsável pelo
tratamento não estiver estabelecido no território da Comunidade e recorrer, para o tratamento de dados pessoais,
a meios, automatizados ou não, situados no território desse Estado-Membro, salvo se esses meios só forem
utlizados para o trânsito no território da Comunidade”. Pois bem, a ratio deste artigo encontra-se no
seu considerando 20, que dispõe: “o facto de o tratamento de dados ser da responsabilidade de uma pessoa
estabelecida num país terceiro não deve constituir obstáculo à proteção das pessoas assegurada pela presente
diretiva; que, nesses casos, o tratamento deverá ser regido pela legislação do Estado-Membro onde se encontram
os meios utilizados para o tratamento de dados em causa e que deverão oferecer-se as garantias de que os direitos
e as obrigações estabelecidos na presente diretiva serão efetivamente respeitados”. Relavam, para efeitos do

disposição, independentemente de o operador do motor de busca efetuar as mesmas operações também com outros tipos de informação e
não as distinguir dos dados pessoais”, acórdão Google Spain SL and Google Inc..., parágrafo 28.

49 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

presente resumo, os conceitos ‘equipamento’ e ‘meios’. Sucede que a sua determinação sémico-
jurídica se revela imprescindível na compreensão do alcance desta norma, perspetivada no
sentido de abranger as operações de tratamento de dados pessoais através de computadores,
como, p.ex., através de cookies ou JavaScript Banners, alargando o âmbito de aplicação do artigo
4.º aos prestados de serviços estabelecidos em países terceiros. Portanto, de acordo com a
leitura então preconizada, um responsável pelo tratamento estabelecido num país terceiros e
que utilize equipamentos situados num Estado-Membro para tratar dados pessoais de
nacionais ou residentes não europeus estaria abrangido pela Diretiva 95’. Não obstante, como
este entendimento expandiu significativamente o âmbito de aplicação do diploma em voga,
alguns autores questionam-se se – nas circunstâncias descritas supra – existia uma conexão
suficiente entre as atividades estrangeiras e a UE, bem como -adicionalmente – colocavam em
causa a legitimidade da mesma em estabelecer regras ou ‘legislar para o mundo’112. A ultimar,
diga-se que ao artigo 4.º, n.º 1, alínea c) fora atribuído um crescendo de importância ao longo
dos anos e em razão do desenvolvimento de novas tecnologias de ponta, em especial, da versão
Web 2.0, fatores estes que haviam potenciado a recolha e o tratamento de dados pessoais à
distância e independentemente da presença física do responsável pelo tratamento na União.
Em todo o caso, os problemas sublinhados pela doutrina prendiam-se com as consequências
práticas e indesejáveis da aplicação desta disposição aos responsáveis pelo tratamento
localizados fora da União Europeia em termos de efetividade, execução ou garantia da mesma,
sobretudo quando inexistia qualquer conexão real ou física com a União Europeia.

O Novo Regulamento Geral sobre a Proteção de Dados Pessoais, Regulamento


(UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016 113

Com a publicação do Novo Regulamento relativo à proteção das pessoas singulares no que
diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento
Geral de Proteção de Dados Pessoais, que revoga a Diretiva 95/46), abre-se espaço a um novo
paradigma comunitário no que concerne ao tratamento comum tido ora como transversal aos
vários Estados-Membros. Como já foi assinalado, a clara distinção no alcance dos
instrumentos jurídicos em questão – antes uma Diretiva, ora um Regulamento Geral – implica
necessariamente uma maior coerência (ao menos formal) na resposta que cada um dos Estados
pode e deve dar às matérias relacionadas com a proteção de dados114.
Perceciona-se, por um lado, o ímpeto notório de combater a ‘fragmentação da aplicação da
proteção de dados pessoais ao nível da União’ sem que, complementarmente, se desmereça a
dimensão da livre circulação dos dados, esta que representa a concretização de uma das
prerrogativas basilares do funcionamento e existência de um regime conforme ao Direito
Comunitário115. É, portanto, na uniformização imposta pelo ato jurídico regulamento que se
funda a primeira grande alteração introduzida no quadro da proteção de dados na União

112 Refira-se que o TJUE nunca tivera oportunidade de validar esta interpretação, conquanto confrontara-se com a
decisão de arquivamento no Caso Rease et Wullems, pedido de decisão prejudicial apresentado em 24 de abril de
2015. Poderá fazê-lo ora no pedido de decisão prejudicial apresentado pelo Conseil d´Étate em 21 de agosto de 2017.
113 SILVEIRA, Alessandra e MARQUES, João, Do direito a estar só ao direito ao esquecimento, supra., nota de rodapé

n.º 32.
114 Cf. Considerando 9 do Novo Regulamento Geral, relativo aos propósitos que estiveram subjacentes à adoção

do Regulamento Geral, i.e., a necessidade de fomentar a coesão jurídica no que contende diretamente com a
aplicação das matérias relativas à proteção de dados pessoais no âmbito da União Europeia, num ímpeto adicional
de erradicação de uma certa insegurança jurídica que pairava sobre alguns ordenamentos. Ademais, haverá ainda
que ter em consideração o pretenso enjeito de combater o sentimento generalizado em como subsistiam riscos
significativos no tratamento de dados, mormente em relação àqueles cuja operação seja efetuada com recurso a
meios eletrónicos.
115 Cf. artigo 3.º, n.º 2 TFUE e Considerando 8, quanto à transferência de competência regulatória nas matérias de

proteção de dados pessoais, aos órgãos, instituições e organismos da União Europeia.

50 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Europeia. Com efeito, a liberdade conferida na transposição das diretivas para o direito interno
dos diversos Estados-Membros, viabilizara a instituição de soluções nem sempre coadunáveis,
assim como a consagração de exceções eventualmente equívocas e também a previsão de
condicionalismos não (com)partilhados pelas restantes nações. Por exemplo, ao atentarmos
nos artigos 5.º, 6.º, 7.º e 8.º da Diretiva – em relação aos ‘fundamentos de legitimidade’ e
respetivos ‘princípios’ – indagamos que a até então permissão de conformação das condições
de licitude de tratamento dos dados pessoais na ordem jurídica interna de cada Estado-
Membro, convolara algumas particularidades cujas dissonâncias resultariam no distanciamento
dos vários sistemas jurídicos – e, consequentemente – numa diferenciação quanto ao regime
substantivo a que os particulares seriam submetidos 116. Sucede que (o ainda hoje controverso)
conceito de ‘dado sensível’ sustenta-se na previsão do artigo 35.º, n.º 3 da CRP, no qual se
restringe a operação de tratamento de dados aos casos em que exista “consentimento expresso do
titular, autorização prevista por lei com garantias de não discriminação ou para o processamento de dados
estatísticos não individualmente identificáveis”. O teor deste referente constitucional fora densificado
pelo n.º 2 do artigo 37.º da LNPD com a adicional terminologia-quesito ‘vida privada’, i.e.,
quando mediante disposição legal ou autorização da CNPD117, o tratamento tenha na sua base
motivações de interesse público e a operação seja indispensável ao exercício das atribuições
legais ou estatutárias do seu responsável, assim como nas hipóteses em que o titular haja
prestado consentimento expresso – sendo que em ambos as exemplos terão de ser prestadas
as garantias de não discriminação cumulativamente com a adoção empírica das medidas de
segurança, tal-qual previstas pelo artigo 15.º do diploma ante referido. Pois bem, esta
especificidade do direito português semicerrou a porta a muitos tratamentos de dados que, por
força do conceito de ‘vida privada’, acabariam por obrigar a que apenas mediante lei ou
autorização da CNPD, este tipo de tratamento pudesse ser considerado lícito. Não obstante,
o Novo Regulamento não estabelece sem qualquer margem de manobra interna todo um
regime aplicável comunitariamente nas matérias em voga. Considerem-se a existência de
determinados espaços de conformação e responsabilidade do legislador nacional. Ademais, no
caso supracitado, o imperativo constitucional português, na medida em que oferece um nível
mais elevado de proteção dos direitos dos cidadãos, não deverá de merecer qualquer reparo
por parte da jurisprudência europeia. Dir-se-á que o propósito deste novo ato jurídico é o de
alcançar um denominador comum quanto aos níveis de proteção, destituindo os Estados-
Membros de margens de conformação tendencialmente promotoras de excessivas
discrepâncias.
Igualmente relevante, no domínio das novidades, é o âmbito de aplicação do regulamento.
Desde logo, a existência de uma diretiva específica estabelecendo normas sobre a proteção de
dados pessoais em matéria penal – aquelas relacionadas com os domínios de prevenção,
investigação, detenção, prossecução e execução penal – afasta a aplicação do regulamento
quando em causa estejam atos pré-processuais relativos à repressão da criminalidade, com
especial enfoque na criminalidade altamente organizada e no terrorismo 118.

116 Ora, estas diferenças quanto ao regime de tratamento relevam sobretudo nas matérias respeitantes
às ‘categorias especiais de dados’. Pois bem, uma análise atentada do artigo 7.º, n.º 1 da LPDP (Lei da
Proteção de Dados Pessoais), determina que se possam considerar como dados sensíveis aqueles cujo
conteúdo se prenda com convicções religiosas ou filosóficas, com a saúde, ou outros relativos à vida
privada. A ver, em sentido contrário às diretrizes plasmadas na Diretiva, a lei nacional alargava o âmbito
material dos dados abrangidos no cômputo da proibição.
117 A CNPD, organismo instituído pelo artigo 21.º da LPDP – também por imperativo constitucional (nos termos
e para efeitos do artigo 35.º, n.º 2 da CRP), “é a autoridade nacional que tem como atribuição controlar e fiscalizar o cumprimento
das disposições legais e regulamentares em matéria de proteção de dados pessoais, em rigoroso respeito pelos direitos do homem e pelas
liberdades e garantias consagradas na Constituição e na lei”.
118 A este respeito, o artigo 2.º, n.º 2 do RGPD é bastante explícito.

51 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

De primordial importância são também as matérias que dizem respeito ao âmbito de


aplicação territorial, tal-qual previstas no artigo 3.º do Regulamento, e cuja redação haja sido
desenvolvida supra. Ora, em conformidade com o que se dissera anteriormente, neste
normativo encontram-se patentes os reflexos de acórdãos comunitários tidos como
estruturantes em matéria de proteção de dados pessoais. A nitidez com que agora se afirma
que o regulamento se tem por aplicável aos tratamentos levados a cabo por responsáveis ou
subcontratantes situados no território da União, independentemente de o tratamento ser
efetuado em espaço comunitário ou não, remete-nos indubitavelmente para o Acórdão Google
Spain – quanto à densificação do conceito de ‘estabelecimento’ 119– mas também quanto ao teor
do Acórdão Schrems – em relação à questão de o tratamento se situar dentro ou fora do espaço
da União. Refira-se que o alargamento do âmbito de aplicação das regras comunitárias a
responsáveis ou subcontratantes não estabelecidos na União, se bem que potencialmente
polémico na sua extensão e alcance, representa um avanço importante nas matérias da proteção
de dados pessoais da UE.
Ora bem, se a estas considerações acrescer a possibilidade de sancionamento dos
responsáveis com coimas de valor elevado120, verificamos uma determinada salvaguarda
quanto à vontade séria – inscrita na lei, diga-se – de velar pela integridade dos tratamentos,
embora se anteveja ser difícil a tarefa de aplicação dessas coimas a entidades que não tenham
representantes em territórios da União. Nesta seguimento, haverá que considerar uma outra
novidade do regulamento, aquela que institui a obrigatoriedade de os responsáveis pelo
tratamento de dados pessoais que não tenham estabelecimento na União, designarem ‘por
escrito’ um representante – em consonância com o disposto no artigo 27.º, Na sua égide
encontra-se a necessidade de pugnar pelo cumprimento de todas as obrigações e, bem assim,
de concretizar um efetivo respeito sobre as matérias respeitantes aos direitos dos titulares dos
dados pessoais.
Em termos estruturais, no que aos princípios relativos à proteção de dados pessoais
respeita, não existem novidades de monta. Mantêm-se como válidos os pressupostos inscritos
na Diretiva 95’121. Alteração carecida de ressalva é aquela que respeita às crianças e sua especial
vulnerabilidade. Saúdam-se as menções particulares às condições especiais da licitude do
tratamento, bem como as reforçadas exigências relativas ao consentimento prestado por
crianças122.
Também algumas são as novidades a serem enaltecidas quanto à matéria dos direitos dos
titulares dos dados pessoais. Nos termos do artigo 20.º, o titular dos dados passa a poder, num
claro movimento de facilitação do controlo dos dados, a “receber os dados pessoais que lhe digam
respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de
leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o
responsável a quem os dados pessoais foram fornecidos o possa impedir”. Assim, esta faculdade ganhara
uma dimensão simbólica de relevo, conquanto o titular dos dados pessoais passara a
percecionar como realidade corpórea um aspeto até então não tangível. Não obstante, diga-
se que a capacidade de qualquer titular dos dados pessoais em percecionar, com precisão, a
quantidade e qualidade dos dados tratados e que a si se indexam, é diminuta. Reitere-se:

119 Cf. considerando 22 do Acórdão. Neste, o conceito de estabelecimento “pressupõe o exercício efetivo e real de uma
atividade com base numa instalação estável. A forma jurídica de tal estabelecimento, quer se trate de uma sucursal ou de uma filial com
personalidade jurídica, não é um fator determinante para o contexto” (sublinhado nosso).
120 Cf. artigo 83.º, n.º 4 RGPD, que baliza o montante de coimas passíveis de serem subsumíveis a um limiar de

10.000.000 € ou de 2% do volume de negócios anual mundial da empresa.


121 A operação de tratamento de dados pessoais deverá de ser conforme aos enunciados principiológicos de licitude,

restrição da finalidade, de primazia da qualidade, tratamento leal, transparente e de manutenção da integridade das
informações pessoais.
122 Cf. para o efeito, artigo 6.º, n.º 1, alínea f) e artigo 8.º.

52 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

dificilmente estará ao alcance do cidadão-médio aperceber-se da exata dimensão e do grau de


intrusão à sua privacidade que o conjunto de informações que lhes dizem respeito convolam.
Assim sendo, neste quadro, a possibilidade de apresentar um requerimento e obter num
formato legível essa mesma informação – seja para transmiti-la a um outro responsável pelo
tratamento de dados ou subcontratante, seja apenas para o exercício de um direito que deva
ser reconhecido a qualquer cidadão123, representará um avanço no sentido da transparência
sobre todas as operações de tratamento de dados e, nessa medida, um acréscimo sensível da
consciencialização e responsabilização dos cidadãos pela forma como cedem os seus dados
pessoais.
No mais, o ora célebre ‘direito ao esquecimento’ reconhecido passa a ser como um direito
autónomo (v. artigo 17.º) – o que em muito se deve às conclusões tecidas no e pelo Acórdão
Google Spain. Em boa verdade, o afamado direito já integrava o catálogo dos ARCO 124, mas a
sua autonomização sistemática confere-lhe um caráter mais funcional, diga-se. De qualquer
forma, estamos defronte dois direitos com âmbitos de proteção distintos. Por meio do ‘direito
ao esquecimento’ o afetado reclama proteção contra a difusão de dados pessoais que são
processados ou propagados e se tornam acessíveis por intermédio dos motores de busca. Ou
seja, o direito apresenta na sua égide a necessidade de exercício com ligação à Internet - via
online. Nessa medida, difere do ‘direito ao apagamento’ originariamente previsto na Diretiva
95/46 para ser exercido offline, implicando a conversão dos dados apenas durante um
determinado período de tempo, exigindo-se o seu apagamento findo um prazo a partir do qual
o tratamento já não se concebe como adequado para a prossecução das finalidades.
Por fim, a obrigação de notificar a autoridade de controlo (v. artigo 33.º) e, em certos casos,
o próprio titular dos dados (v. artigo 34.º) – quando ocorra uma preterição dos dados pessoais-
representa ao obrigar à prestação de informação por parte do responsável pelo tratamento. De
facto, é concebível que a divulgação de uma violação de dados pessoais cause prejuízos
económicos e reputacionais à entidade que o divulga, tantas quantas vezes sem que se lhe possa
assacar diretamente responsabilidades fundadas em dolo ou mesmo em mera negligência.
Todavia, a condição de que essa comunicação seja efetuada apenas nos casos em que “seja
suscetível de resultar num risco elevado para os direitos e liberdades das pessoas singulares” (sublinhado
nosso), limita de forma incompreensível o direito – se é que não possa ser acecionado como
um dever da autoridade de controlo – reconhecido na esfera jurídica do titular, em saber que
tipo de violações ocorreram e os riscos associados ao respetivo tratamento. Assim, ao devolver
aos responsáveis pelo tratamento a avaliação do risco de preterição dos direitos, privatiza-se
uma função que deveria caber exclusivamente da autoridade de controlo, destarte
sobrecarregar as entidades que preconizam a operação de tratamento sem que se anteveja
(nesta senda) qualquer vantagem na perspetiva da efetiva garantia e tutela dos direitos dos
cidadãos.
Importa assinalar que as definições constantes do artigo 4.º, como sejam a definição de
perfis (n.º4); Pseudonimização (n.º5) e dados genéticos (n.º 13) representam uma preocupação
acrescida dos legislador europeu com os novos desafios, no qual emergem realidades
complexas tão eivadas de potencial como risco. Ora, as possibilidades infinitas que permitem
o Big Data e a Internet das Coisas relativamente ao tratamento de dados, à criação de perfis e à
limitação da liberdade de ação ou reação dos cidadãos, exigem uma correspondente e
proporcionada resposta por parte do legislador no sentido de impedir abusos que a facilidade

123 Neste núcleo incluem-se as posições jurídicas ativas, configuradas juridicamente na qualidade de direitos, de
conhecer e/ou reclamar a entrega, de forma legítima, dos dados pessoais que digam respeito ao titular.
124 Abrangendo o cômputo dos artigos 12.º a 14.º da anterior Diretiva 95/46, o acrónimo anglo-saxónico ARCO

tem, em cada letra, a significância de Access (acesso), Rectification (retificação), Cancellation (apagamento) e Opposition
(oposição)., respetivamente.

53 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

por vezes proporciona. Tanto mais que o que se enfrenta nestes casos é o risco de dano
perpétuo na reputação, na imagem, na liberdade e na autoestima pessoal e, portanto, no livre
desenvolvimento da personalidade de cada um.
Uma nota independentizada deverá de ser dada em relação à noção de ‘consentimento’, tal-
qual resulta do artigo 4.º, n.º 11 do RGPD. Sucede que, até agora a Diretiva 95/46/CE se
bastava com “qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa
aceita que os dados pessoais que lhe dizem respeito sejam objeto de tratamento”. E é precisamente o carácter
explícito da declaração de consentimento que reflete a obrigação de prestar uma ação
(declaração ou ato positivo inequívoco) do titular, demonstrativa de um assentimento. Então,
com a entrada em vigor do novo Regulamento, o consentimento deixa de ser prestado
validamente por meio de presunções ou omissões 125.
Verdadeiramente revolucionária é a modificação do papel atribuído às autoridades de
controlo126. A Diretiva 95’, no seu artigo 18.º, previa a obrigação de notificação à autoridade
de controlo “antes da realização de um tratamento ou conjunto de tratamentos”. Ademais, o artigo 20.º
estabelecia a necessidade de controlo prévio do tratamento, por parte da autoridade de
controlo, quando se estivesse perante tratamentos que pudessem representar riscos específicos
para os direitos e liberdades das pessoas em causa. Nessora encontrávamo-nos num período
em que o modelo de regulação jurídica de atividades privadas ainda assentava no controlo
administrativo prévio tendente a verificar se do seu desenvolvimento não resultaria a violação
de interesses públicos ou a violação insuportável dos direitos dos indivíduos 127. Pois bem, foi
esse modelo de supervisão que a Diretiva 95/46/CE assumiu em relação aos tratamentos de
dados que apresentavam maiores riscos para o direito da proteção de dados pessoais – e que
foi consagrado na generalidade dos diplomas legais que procederam à sua transposição para a
ordem jurídica dos Estados-Membros da UE. Todavia, com o novo regulamento prescinde-se
do modelo das notificações prévias 128 em favor de um modelo de autorregulação, no qual se
inscrevem as novas obrigações a que os responsáveis pelo tratamento estão vinculados. Desde
logo, estabelece-se a necessidade de avaliação de impacto da privacidade quando um certo tipo
de tratamento – em particular aquele que faça uso das novas tecnologias de informação e
comunicação, tendo em conta a natureza, o âmbito, o contexto e as finalidades – for suscetível
de implicar um elevado risco para os direitos e liberdades das pessoas singulares129.
Paradigmática desta nova opção do legislador europeu é a previsão da figura do
‘encarregado de proteção de dados’ (artigo 37.º) que representa, em si mesmo, a transferência
operacional da atividade de controlo prévio para uma figura estranha ao universo da regulação
destas atividades, embora já conhecida de muitas entidades privadas, tanto na UE como nos
EUA. O encarregado de proteção de dados assume-se como uma figura obrigatória caso o
tratamento: (a) seja efetuado por “uma autoridade ou organismo público, excetuando os tribunais no
exercício da sua função jurisdicional” – artigo 37.º, n.º 1, alínea a); (b) quando “as atividades principais
do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua
natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande
escala” – alínea b) do antedito artigo; ou (c) ainda nas situações em que o tratamento de dados
pessoais consiste no trato de categorias especiais de dados em grande escala, nos termos do
artigo 9.º, ou envolvam informações relativas a condenações penais ou outras infrações, a que

125 Cf. Considerandos 32, 33, 42, 43, assim como os artigos 4.º, n.º 11 e 7.º, todos do Regulamento Geral de Proteção
de Dados Pessoais.
126 Cf. artigo 4.º, n.º 22 do RGPD.
127 Cf. CALVÃO, Filipa, O modelo de supervisão de tratamento de dados pessoais na União Europeia: da atual diretiva ao futuro

regulamento, in Revista Fórum de Proteção de Dados, n.º 1, julho de 2015.


128 À exceção das categorias especiais de dados, p. no artigo 9.º. RGPD, assim como quanto “ao tratamento por um

responsável no exercício de uma missão de interesse público, incluindo o tratamento por motivos de proteção social e de saúde pública
129 Cf. artigo 35.º RGPD.

54 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

se refere o artigo 10.º - alínea c) do mesmo artigo. As funções do encarregado de proteção de


dados encontram-se previstas na alínea b) do artigo 39.º do Regulamento, de entre as quais se
destacam o controlo da conformidade com as disposições do novo Regulamento. Ao
encarregado de proteção de dados compete-lhe ainda cooperar com a autoridade de controlo,
sendo o ponto de contacto para a autoridade de controlo sobre questões relacionadas com o
tratamento, incluindo a consulta prévia a que se refere o artigo 36.º [ora artigo 39.º, n.º 1,
alíneas d) e e)]. Para o desempenho deste papel exigem-se garantias de independência às
autoridades de controlo, traduzidas no posicionamento e nível de acesso dentro da própria
empresa. Segundo o artigo 39.º, n.º 3, o encarregado não poderá ser destituído nem penalizado,
pelo responsável pelo tratamento ou pelo subcontratante, pelo simples facto de desempenhar
as suas funções.
Numa lógica de estruturação interna do cumprimento das obrigações do regulamento, os
responsáveis pelo tratamento e os subcontratantes são incentivados a adotar os códigos de
conduta destinados a contribuir para a correta aplicação do regulamento (artigo 40.º), bem
como certificar (artigo 42,.º), por meio de selos e marcas de proteção de dados, a conformidade
das operações de tratamento por si levadas a cabo. Ora, esta transformação coloca sobre os
responsáveis pelo tratamento e subcontratantes a responsabilidade de velar pelo cumprimento
das obrigações de proteção de dados pessoais. A esta mesma virá acoplada um sério possível
agravamento das molduras de sanções abstratamente aplicáveis, nas quais ora se preveem
coimas que podem ascender aos 20.000.000,00 € ou aos 4% do volume de negócios anual a
nível mundial e correspondente ao exercício financeiro anterior 130.
Para as autoridades de controlo sobram, no campo dos poderes prévios, a responsabilidade
de aprovar listas de tratamentos sujeitos a avaliações de impacto de privacidade, dar parecer e
aprovar os códigos de conduta, aprovar os critérios de certificação e a acreditação de entidades
certificadoras, a possibilidade de emitir orientações ou aprovar cláusulas contratuais (artigo
47.º, n.º 1). Quanto aos poderes de intervenção ex post sobressaem duas categorias: poderes de
investigação (artigo 58.º, n.º 1) e de correção (artigo 58.º, n.º 2). Nos primeiros, assinalam-se
os poderes relativos à realização de investigações sob a forma de auditorias para a proteção de
dados – artigo 58.º, n.º 1, alínea b), e, nos segundos, destaca-se a possibilidade de impor uma
limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição – artigo
58.º, n.º 2, alínea f). Ora, este elenco de poderes serve, sobretudo, para também neste domínio
terminar com a desarticulação europeia, em que coabitavam autoridades de controlo investidas
dos mais amplos poderes de atuação e outras destituídas de prerrogativas de fiscalização e
aplicação de sanções. Refira-se que a articulação pretendida ultrapassa, em muito, a mera
consignação de poderes idênticos. Pretende-se lutar contra o fenómeno do fórum shopping e
evitar que os responsáveis pelo tratamento de dados optem por localizar o seu estabelecimento
principal por onde a legislação nacional seja mais permissiva ou menos exigente no que respeita
às condições dos tratamentos de dados, quer à capacidade de reação das autoridades de
controlo para punir eventuais abusos.
A instituição do mecanismo de cooperação (artigo 60.º) e do mecanismo de coerência
8artigo 63.º), são também dois passos adiante no sentido da uniformização da resposta das
autoridades de controlo a fenómenos de violação do novo regulamento.
Pelo primeiro, prescreve-se que “as autoridades de controlo prestam entre si informações úteis e
assistência mútua a fim de executar e aplicar o presente regulamento de forma coerente, e tomam as medidas

130Cf. artigo 83.º, n.º 5 e n.º 6. Alguns são os doutrinadores portugueses que, alicerçados em acórdãos do Tribunal
Constitucional, anteveem de difíucil admissibilidade tamanha margem de apreciação, por referência aos ditames do
princípio da legalidade. V. para o efeito. MOUTINHO, José Lobo & RAMALHO, David Silva, Notas sobre o regime
sancionatório da proposta de regulamento geral de proteção de dados do Parlamento Europeu e do Conselho, in Revista Fórum de
Proteção de Dados, n.º 1, julho de 2015.

55 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

para cooperar eficazmente entre si” 131, estando, inclusive, prevista a possibilidade de se realizarem
operações conjuntas132. Sucede que neste campo da cooperação sobressai a novidade
introduzida com o conceito de ‘autoridade de controlo principal133’ e do ‘mecanismo do balcão
único’134. Mediante estes conceitos pretende-se obviar não somente às queixas dos titulares
dos dados – cujas consequências se disseminem por todo o espaço europeu, mas que devam
ser investigadas pela autoridade de controlo do Estado-Membro onde o responsável pelo
tratamento detém o seu estabelecimento principal-, como também à possibilidade de os
titulares dos dados verem efetivada a tutela dos seus direitos onde quer que se encontrem e
independentemente da sua distância em relação ao responsável pelo tratamento. A intenção
do legislador é a de não deixar o cidadão à mercê do poderio económico de grandes empresas
ou grupos de empresas que, para evitarem a fiscalização das suas atividades, poderiam
esquivar-se à fiscalização da autoridade de controlo do país onde efetivamente ocorreu a
violação das regras do regulamento, bastando-lhe para tanto alegar que seria no país onde se
encontra o seu estabelecimento principal que o titular dos dados pessoais deveria de ter
apresentado queixa. Contudo, percebendo-se a intenção do legislador, o certo é que a operação
de comunicação entre autoridades de controlo interessadas e a autoridade de controlo principal
preconizada suscitará porventura dificuldades procedimentais (como se efetua a comunicação
e com que meios?), logísticas (em case de necessidade de tradução de documentos, quem
deverá assegurar que a mesma se efetive?), e até financeiras (quando estão em causa operações
conjuntas, quem paga os custos das cooperações e coo é repartido o produto da coima?). Ora,
estas dificuldades não serão facilmente ultrapassadas, requerendo aturadas conversações no
seio do Grupo de Trabalho do Artigo 29.º da Diretiva 95’. De resto, o mecanismo de coerência
visa precisamente evitar a desconformidade na aplicação do regulamento entre as autoridades
de controlo. Em determinadas matérias, será chamado à lição o Comité Europeu para a
Proteção de Dados135, seja para a emissão de parecer, tal como previsto no artigo 64.º, n.º 1,
seja para a resolução de litígios a que alude o artigo 65.º, n.º 1.

As projeções ‘joanino-marqueanas’ referentes à tutela de dados pessoais


informatizados no seio da União Europeia

O quadro normativo da União Europeia em matéria de proteção de dados, pela sua


pertinência, pelo grau de maturação e pela densificação dogmática e jurisprudencial de que
dispõe, constitui-se como um padrão globalmente respeitado e, por isso mesmo, replicado em
vários pontos do mundo. O passo em frente dado pela reforma dessa legislação representa
igualmente um salto de fé, na medida em que o paradigma da avaliação prévia e externa da
licitude dos tratamentos dá lugar ao autocontrolo dessa mesma licitude ou adequação,
sobrando aos cidadãos o credo da novel figura do encarregado da proteção de dados e, bem
assim, no papel de contenção protocolar dos códigos de conduta e dos mecanismos de
certificação.

131 Cit. artigo 61.º, n.º 1.


132 Cf. artigo 62.º.
133 Cf. Considerando 124, segundo o qual, quando o responsável pelo tratamento ou o subcontratante esteja

estabelecido em vários Estados-Membros, ou quando o tratamento no contexto das atividades de um único


estabelecimento afete (ou seja suscetível de afetar) titulares de dados em diversos Estados-Membros, a autoridade
de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do
subcontratante deverá de agir na qualidade de autoridade de controlo principal.
134 Cf. considerando 127 e artigo 56.º do Regulamento.
135 Previsto no artigo 68.º, este organismo da União está dotado de personalidade jurídica e visa substituir o Grupo

de Trabalho do Artigo 29.º, no qual estarão igualmente congregados representantes das várias autoridades de
controlo da União.

56 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Esta é a opção do legislador da União que demonstra uma certa tendência para a
“americanização” do regime europeu de proteção de dados pessoais, porquanto o modelo
norte americano desde sempre se caracterizou por um maio pendor autorregulatório,
sustentado na crença quase-metafísica na credibilidade empresarial enquanto bastião da
privacidade da clientela. Dir-se-á que a transferência deste poder-dever para as mãos dos
privados mimetiza o modelo americano – todavia, no polo inverso, é renovado o papel das
autoridades de controlo, que se mantêm como uma realidade incontornável e até reforçada do
modelo europeu. Pois bem, a prescrição agora expressa – abrangendo todos os países da União
– de poderes suficientes para que tais autoridades possam corresponder às responsabilidades
fiscalizadoras que lhes cabem, contraria eventuais alegações sobre derivas mercantilistas. Esta
nota continua a afastar claramente o modelo europeu do modelo americano, sobretudo em
face da manutenção do critério da independência das autoridades de controlo, em vez do que
sucede com a governamentalizada Federal Trade Comission.
O que ressalta deste novo tratamento sistémico á problemática da proteção de dados
pessoais é a genuína preocupação com o incremento dos direitos dos cidadãos, com o facilitar
da perceção e compreensão desses direitos, ao mesmo tempo que se alivia a ‘carga burocrática’
dos responsáveis pelo tratamento, tudo isto gizado num instrumento verdadeiramente
uniformizador como é o regulamento. Os desafios são certamente muitos e complexos:
começa pela aplicação concreta do regulamento e pela assunção, por parte dos distintos
responsáveis pelo tratamento dos dados, das novas responsabilidades que lhes cabem; mas
passa também pela consciencialização cívica dos cidadãos para a nova realidade regulatória,
terminando na consecução da exigente arquitetura de ação conjunta que se impõe às distintas
autoridades de controlo europeias.
Sem embargo das dificuldades antecipáveis e dos necessários ajustes práticos que a
realidade venha a exigir, o certo é que o Regulamento 2016/679, representa um passo de
vanguarda no esforço europeu de consolidação de um espaço de referência na proteção de
dados pessoais. É discutível se o grau de ambição do legislador da União nesta reforma foi o
bastante para acomodar os diferentes interesses em jogo. De qualquer forma, em nenhum
outro lugar do mundo se conhece uma preocupação tão palpável e uma ação tão consistente
quanto à proteção de dados pessoais como na União Europeia. Se no mundo digital as
garantias jurídicas são mais ténues quanto mais se fragmente a aplicação das regras que as
sustentam, resulta indiscutível que a União Europeia lança para o debate internacional uma
reflexão séria e um exemplo concreto do que é possível fazer para garantir um denominador
comum (mínimo ou máximo) que sirva de proteção de direito que ainda se continuam a refletir,
simples e eloquentemente, no primordial right to be let alone.

57 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

As matrizes constitucionais de uma Proteção e Privacidade dos Dados Pessoais

Um introito às balizas jusconstitucionalistas do catálogo de princípios


fundamentais, os fundamentos da Constituição e os quadrantes de uma matriz
jurídica dos Direitos Fundamentais em especial136

Se se analisar o objeto dos direitos fundamentais reconhecidos na Constituição, notória


será a indagação em como a sua égide reporta à consagração de três valores constitucionais
essenciais: a liberdade, a democracia política e a democracia económica e social. É essa trilogia
que constitui o pressuposto e o critério substancial dos direitos fundamentais, contanto se
atenha como insuficiente e inadequada qualquer conceção reducionista que apele a somente
um dos anteditos valores referidos.
As normas de direitos fundamentais da CRP, quanto à sua integração sistemático-valorativa
na norma normarum, encontram-se consagradas: (a) no catálogo dos direitos, liberdades e
garantias [doravante sob abreviatura DLGs’] (artigos 24.º a 57.º da CRP) – com as
subsequentes repartições substantivas de entre aqueles direitos, liberdades e garantias
pessoais137, os de participação política 138, ou ainda aqueles outros respeitantes aos
trabalhadores 139; e haverá ainda que considerar aquele outro catálogo que integra direitos de
cariz económico, social e cultural [de ora em diante sob abreviatura DESCs’] (tal-qual p. nos e
pelos artigos 58.º a 79.º da CRP). Sucede que a CRP, quanto ao regime de tutela conferido,
diferencia as anteditas categorias de direitos fundamentais 140. Assim sendo, na sua génese – e
quanto aos seus contornos mais genéricos-, enquanto os direitos, liberdades e garantias são
direitos de defesa, verdadeiras matrizes protetoras da esfera jurídica dos cidadãos nacionais,
em correspetiva, os direitos económicos, sociais e culturais materializam aqueles que são os
desígnios do Estado enquanto promotor dos valores sociais e económicos reinantes numa
determinada comunidade política. Comece-se por destrinçar os traços substantivos que
diferenciam os regimes constitucionalmente consagrados quanto à dualidade das categorias
dos direitos em causa.
Ora, os DLGs’ funcionalizam uma verdadeira restrição daquele que é o círculo de
intervenção do poder político, na medida em que os bens juridicamente consagrados – também
em razão da tutela reforçada de que dispõem - impõem ao Estado a adoção de medidas ex ante
que não pretiram a sua tutela efetiva 141. Tem-se que esta tipologia de direitos não se coaduna
no seu cumprimento somente através de ações estaduais negativas – aquelas que resultam de
ingerências ilegítimas na esfera jurídica dos particulares-, conquanto a sua consagração
constitucional expressa cristaliza nos meandros do exercício das competências e atribuições
dos vários órgãos e instituições do Estado Central, todo um conjunto de ‘deveres’ de
proteção142. A sua matriz – conotada por um maior determinismo - é imediata, porquanto em
relação a estes se arroga a possibilidade de invocação do cidadão sem necessidade de mediação

136 CANOTILHO, Gomes e M OREIRA, Vital, Fundamentos da Constituição, Coimbra Editora, 1991, pp. 107-146.
137 Cf. artigos 24.º a 47.º da CRP.
138 Cf. artigos 48.º a 52.º CRP.
139 Cf. artigos 53.º a 57.º CRP.
140 A diferenciação desta dualidade dos direitos – DLGs’, por um lado, e DESCs’, por outro – reporta desde logo

ao regime de tutela reforçada conferido à primeira categoria (a dos DLGs’), em consonância com o disposto no
artigo 18.º, n.º 2 da CRP. Desde logo, importa referir que o tratamento diferenciado tem que ver precisamente com
a própria evolução do regime de cada um dos direitos, mormente no contexto pragmático e histórico-contextual
segundo o qual os valores que neles se consagraram passaram a ser tidos de primordial monta na comunidade
política. Ademais, em relação aos direitos, liberdades e garantias, a atuação normativa (por Decreto) do Governo
está sujeita a autorização legislativa da Assembleia da República, via reserva legislativa conforme ao consagrado no
artigo 165.º, n.º 1, alínea b) da CRP.
141 Cf. para o efeito, artigo 18.º, n.º 2 da CRP.
142 A esse respeito, artigo 9.º da norma normarum.

58 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

por parte do legislador democraticamente eleito. Em contrapartida, os DESCs’ carecem de


uma intermediação mediata do legislador, conquanto a sua menor determinabilidade convola
a necessidade de mediação legislativa. No mais, refira-se que, contudo, será esta menor
determinabilidade aquela que confere aos DESCs’ um maior poder de conformação da
Assembleia da República no ato de definição e conformação legal desta categoria de direitos.
Importa, para efeitos deste introito, denotar os enunciados constitucionais principiológicos
respeitantes às matérias de direitos fundamentais. Pois bem, os princípios gerais, consagrados
no Título I da Parte I da CRP, têm-se por aplicáveis quer aos DLGs’, quer aos DESCs’,
importando para o efeito realçar que o seu fundamento axiológico nos remete diretamente
para o princípio da dignidade da pessoa humana (artigo 2.º da CRP).
Comece-se pelo princípio da universalidade, consagrado no artigo 12.º da CRP. Segundo o
n.º 1 do antedito preceito, “todos os cidadãos gozam dos direitos e estão sujeitos aos deveres consignados
na constituição”143. Quanto às pessoas coletivas, dispõe o n.º 2 do mesmo normativo que “as
pessoas coletivas gozam dos direitos e estão sujeitas aos deveres compatíveis com a sua natureza”, num enjeito
segundo o qual em relação a estas deverá de ter-se em consideração o princípio da especialidade
do fim, atendendo ao critério da natureza e à finalística que subjazeu à criação da pessoa
coletiva bem como atividade por esta prosseguida144.
Incumbe, neste seguimento, trazer à colação o artigo 13.º que, na qualidade de princípio
estruturante de toda a atuação de um Estado de Direito, tem a epígrafe de princípio da
igualdade. Segundo o seu n.º 1 “todos os cidadãos têm a mesma dignidade social e são iguais perante a
lei”. Segue-se o n.º 2, mais determinista, proclamando que “ninguém pode ser privilegiado, beneficiado,
prejudicado, privado de qualquer direito ou isento de qualquer dever em razão de ascendência, sexo, raça, língua,
território de origem, religião, convicções políticas ou ideológicas, instrução, situação económica, condição social ou
orientação sexual”. Pois bem, neste âmbito importa referir que a igualdade não deverá de ser
acecionada em termos absolutistas. Refira-se que uma igualdade material justifica
diferenciações no regime convolável na medida em que o tratamento tenha na sua égide o
propósito de colocar pessoas que à partida se encontram numa situação de maior
vulnerabilidade num patamar social equiparável.
Embora carente de ponderação casuística, também os cidadãos portugueses residentes no
estrangeiro beneficiam da “proteção do Estado para o exercício dos direitos e estão sujeitos aos deveres que
não sejam incompatíveis com a ausência do país”, em conformidade com o disposto no artigo 14.º da
CRP.
Com algumas exceções, tal-qual resulta do artigo 15.º, também os estrangeiros, apátridas e
cidadãos europeus que se encontrem ou residam em território nacional ‘gozam’ dos direitos
consignados na Constituição para os cidadãos portugueses, assim se balizando o princípio da
equiparação ao nível do ordenamento jurídico português, também nos termos da Convenção
Europeia dos Direitos do Homem. Outrossim, não beneficiarão, nos termos da lei superior,
dos mesmos direitos que os cidadãos nacionais, os estrangeiros, apátridas ou outros que
possuam cidadania europeia em determinadas matérias, plasmadas expressamente no n.º 2 do
normativo em causa. São elas: (a) os direitos políticos (a ver, direitos eleitorais e outros
concernentes à titularidade dos órgãos de soberania, de entre outros); e o desempenho de

143 Não obstante, tal não invalida que determinados direitos pressuponham, atenta a sua própria natureza, a
verificação empírica de determinadas condições de cidadania, mormente: a idade – no que diz respeito ao direito
ao voto (artigo 49.º) e a elegibilidade para o cargo de Presidente da República (artigo 122.º); e o seu balizar
reconhecível na esfera de determinadas categorias de pessoas, designadamente no que respeita aos direitos dos
trabalhadores (artigos 51.º e ss.), daqueles cidadãos portadores de deficiência (artigo 71.º), idosos (artigo 72.º), etc.
144 P. ex. o Tribunal Constitucional, no Acórdão n.º 198/85 considerou que o sigilo da correspondência constitui

um daqueles direitos compatíveis com a natureza das pessoas coletivas. Não obstante, tal asserção não apresenta a
mesma significância em como tal direito seja aplicável nos mesmos termos e com a mesma amplitude que se
considera em relação às pessoas físicas.

59 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

determinadas funções públicas que não assumam um caráter predominantemente técnico


(como sejam, o exercício de funções públicas através da atribuição de cargos de chefia e direção
no âmbito da Administração) 145.
O artigo 16.º, no propósito de delimitar o âmbito e sentido dos direitos fundamentais,
estabelece uma cláusula aberta de não tipicidade, viabilizando a consideração – com
equivalência valorativa – de outros direitos fundamentais consagrados em leis ordinárias ou
em normas internacionais, na medida em que sejam equiparados, pela sua natureza, aos direitos
enumerados no Título II, Parte I da CRP, em consonância com o disposto no artigo 17.º 146.
No mais, atenha-se que o cômputo de interpretação dos vários normativos da norma normarum
deverá de ser preconizado por referência à Declaração Universal dos Direitos do Homem. 147

Os DLGs’ e a tutela reforçada ‘pelejada’ no e pelo artigo 18.º, n.º 2 da norma


normarum e os DESCs148
Num enjeito de analepse, diferencie-se sumária e independetizadamente – até para efeitos
de promoção de uma aplicação mais congruente com os ditames do artigo 18.º, n.º 2 da CRP
– os conceitos de ‘direitos’, ‘liberdades’ e ‘garantias’, respetivamente. Pois bem, enquanto os
direitos per si versam sobre a fruição de um bem jurídico dotado de referente constitucional,
as garantias apresentam o propósito de asseverar essa mesma fruição, contanto que a sua
funcionalidade seja tida em termos acessórios à concretização efetiva de um respeito pelos
primeiros149.
Sob a designação de direitos incluem-se, quer os tradicionais ‘direitos naturais’, inerentes
ao homem – como, p.ex., o direito à vida e à integridade física (artigos 24.º e 25.º da CRP) –
quer os direitos conexos com o status activus do indivíduo, por referência à idealização deste na
qualidade de ser ativo envolvida na participação na vida política 150. Já em relação às garantias
o entendimento será o de que estas materializam o direito que é reconhecido na esfera jurídica
dos cidadãos em poderem exigir dos poderes públicos a proteção efetiva das suas posições de
vantagem, assim como o reconhecimento dos meios processuais adequados à prossecução das
finalidades que subjazem ao núcleo fundamental da substância do direito constitucionalmente
consagrado.

145 Importa denotar que as exceções a estabelecer por lei ordinária àquela regra não são livres, mormente no que á
determinação do conteúdo atribuído - em termos de DLGs’ - aos cidadãos investidos nas posições ora em epígrafe
respeita. Tal sucede na medida em que determinados atos legislativos (vulgo leis) reservam determinadas posições
jurídico-subjetivas de vantagem a cidadãos nacionais, conquanto que sejam objeto de ponderação acautelada por
força do seu caráter restritivo e desde que respeitem condições de legitimidade propugnadas no artigo 18.º, n.º 2da
CRP.
146 Este artigo estende a proteção jusfundamental a outros direitos que não aqueles constantes do catálogo. A esse

respeito, importa clarificar o que se entende por direitos análogos aos DLGs´. Então, meritórios de um raciocínio
analógico são: (1) os direitos previstos noutros lugares da CRP, designadamente aqueles respeitantes ao direito de
iniciativa económica privada e o direito de propriedade (cf. artigos 61.º e 62.º da CRP) – ou até mesmo o direito
dos administrados (cf. artigo 268.º CRP); bem como determinados direitos legais p. em normas internacionais –
anotação infra. Refira-se que em causa está o preenchimento normativo do conceito constitucional: ‘fundamental’.
147 Cf. para o efeito, artigo 16.º, n.º 2 da CRP.
148 CANOTILHO, Gomes e M OREIRA, Vital, supra...
149 A título exemplificativo, as balizas jusconstitucionalistas que delimitam o núcleo substancial do direito à

liberdade e à segurança, tal-qual p. no artigo 27.º da CRP, são concretizadas metodologicamente através das
garantias consagradas nos artigos 28.º a 30.º do mesmo diploma. Raciocínio análogo pode ser transposto para as
medidas-meio reconhecidas ao arguido em processo crime, em conformidade com o artigo 32.º CRP, que traduzem
per si uma tutela de todo um conjunto de bens jurídicos associados, direta ou indiretamente, à dignidade da pessoa
humana – cf. artigo 2.º da CRP. Para efeitos da cadeira de Privacidade e Proteção de Dados Pessoais, indague-se a
natureza garante com que o direito à proteção de dados pessoais (consagrado no e pelo artigo 35.º da CRP) pode
ser assumido em relação ao direito à reserva sobre a intimidade da vida privada (cf. artigo 26.º da norma normarum).
150 Essa é a razão para os últimos, aqueles respeitantes ao envolvimento do cidadão na vida política, serem

conotados como direitos políticos, liberdades-participação, os verdadeiros direitos dos cidadãos na comunidade
política.

60 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Ademais, no cômputo jusfundamental do círculo abrangido pelos direitos fundamentais –


ou, melhor assertando, por alguns deles - haverão que ser consideradas matrizes de liberdade,
componentes estas cujas dimensões positiva e negativa deverão de ser acatadas em relação a
algumas posições jurídico-positivas de valor hierárquico-normativo superior151. A distinção
entre direitos e liberdade faz-se tradicionalmente com base na posição jurídica do cidadão em
relação ao Estado. Assim sendo, as liberdades encontram-se associadas a um status negativo, e
através deste, intenta-se tutelar a esfera jurídica dos cidadãos perante a intervenção ou agressão
dos poderes públicos.
Pormenorizadamente, de imbricar primário em relação aos DLGs’, o critério que preside à
classificação e distribuição dos direitos pelos três capítulos do Título II da Constituição é
facilmente percetível, associado que se encontra aos três níveis sucessivos de consolidação
histórica dos direitos fundamentais, também por referência direta aos primitivos direitos de
liberdade do indivíduo, enquanto tal, passando pelos direitos do cidadão, na qualidade de
membro ativo da comunidade política, até findar nos direitos dos trabalhadores, modalidade
da esfera de garantia dos interesses deste nas relações que implicam o vínculo laboral. Ora
bem, no cômputo da trilogia pessoa, cidadão e trabalhador, a pessoa e o cidadão que pairam
sobre as primeiras duas categorias diferem dos trabalhadores. É que, diferentemente do que
sucede com as duas primeiras categorias, os direitos dos trabalhadores não apresentam um
caráter universal, porquanto cristalizados somente na esfera daquele individuo que se encontre
investido na posição de trabalhador por conta de outrem. Portanto, estamos defronte direitos
coletivos, de organizações próprias, não individuais, contudo passíveis de exercício ou
invocação singular.
Em contrapartida, os direitos ‘económicos, sociais e culturais’ apresentam a matriz de
verdadeiros direitos positivos, no sentido em que exigem prestações ou atividades do
Estado152.Ademais, a maioria destes direitos é conotado pela sua natureza subsidiária (ou
mediata) quanto à sua efetivação, na medida em que têm como destinatário o próprio Estado
– a quem incumbe em primeira linhas satisfazê-los ou configurar as condições propicias à sua
efetivação. Por último, importa realçar o seu caráter universal. É que estes direitos configuram
verdadeiros poderes-deveres na esfera jurídica de cada cidadão à prestação de círculos de
atividade estaduais na esfera económica, social e cultural, embora situações haja em que estes
somente são reconhecidos a certas classes ou categorias sociais153.
Assevera-se verosímil concluir que, no que contende diretamente com o catálogo de
direitos fundamentais, a Constituição perspetiva no seu ‘terreno de ação’, não o Homem
abstrato, outrossim o Homem em ação, por dentre o seu círculo de direitos associados à
dignidade da pessoa humana e por referência aos vários papeis sociais e estatutos económicos,
sociais e culturais que o próprio desempenha numa determinada comunidade política.

Um introito ao conteúdo próprio do regime dos direitos, liberdades e garantias


São vários os traços inclusos no conteúdo do regime dos direitos, liberdades e garantias, p.
maioritariamente no e pelo artigo 18.º da norma normarum. Elenquem-se sumariamente os
mesmos154: (a) os respetivos preceitos constitucionais são diretamente aplicáveis, em
consonância com o disposto no artigo 18.º, n.º 1, 1.ª parte, o que apresenta a significância em
como a aplicação legislativa não se encontra dependente de intermediação legislativa e, no

151 Veja-se, como exemplo, em relação ao direito a ter uma religião (nos termos do artigo 41.º da CRP), a liberdade
que a constituição confere ao cidadão em não assumir qualquer convicção religiosa, mas também, nos termos do
artigo 46.º, a dimensão negativa associada à liberdade de associação.
152 À exceção do direito de iniciativa privada e do direito à propriedade privada, estes consagrados, respetivamente,

nos artigos 61.º e 62.º da CRP, assim como a autonomia das universidades (cf. artigo 76.º, n.º 2 da norma normarum).
153 Sendo este o desígnio permissivo do princípio da igualdade (cf. artigo 13.º) materialmente interpretado.
154 Alguns dos quais já referidos anteriormente.

61 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

mais, tais preceitos prevalecerão sobre qualquer lei ordinária que contrarie o seu núcleo
fundamental; (b) estes preceitos vinculam quer entidades públicas, quer entidades particulares
(artigo 18.º, n.º1, 2.ª parte), ou seja, impõem-se não apenas nas relações entre os particulares e
os poderes públicos, como também nas relações que os próprios particulares estabeleçam entre
si, aspeto este que releva sobretudo para os casos de dependência ou de subordinação privadas;
(c) nos termos do n.º 2 do artigo em voga, os referidos direitos fundamentais não poderão ser
restringidos senão nos casos expressamente admitidos pela Constituição; (d) essa restrição só
poderá ter lugar por via da reserva de lei 155, conquanto se considerará ilícita toda a intervenção
restritiva em forma de diploma regulamentar, seja do Governo ou de qualquer outra
autoridade156; (e) mesmo quando constitucionalmente autorizada, a restrição só será legítima
se for exigida pela salvaguarda de outro direito fundamental ou de outro interesse
constitucionalmente protegido, e caso tal medida restritiva estabelecida por lei se sujeite ao
princípio da proibição do excesso e da proporcionalidade, em sentido amplo, ‘integradas’ que
sejam as suas três dimensões – necessidade, adequação e proporcionalidade em sentido estrito
-, de forma a que essas mesmas restrições se limitem ao necessário para salvaguardar outros
direitos ou interesses constitucionalmente protegidos 157; (f) as leis restritivas têm de revestir
um carácter geral e abstrato, não podendo haver leis que assumam um caráter individual ou
concreto, ainda que venham a ser pretensamente redigidas na sua generalidade e abstração
(artigo 18.º, n.º 3); (g) as leis atinentes a direitos, liberdades e garantias não poderão ter uma
eficácia retroativa; (h) em jeito de términus, existe também um outro quesito que tem que ver
com o facto de as leis restritivas se encontrarem materialmente vinculadas ao princípio da
salvaguarda do conteúdo essencial dos preceitos constitucionais garantidores dos mesmos
direitos liberdades e garantias (v., no mesmo sentido, n.º 3 do artigo 18.º).

‘Canotilhianismo’ e a precisão dos quesitos no ato legiferante e restritivo de DLGs’158


Primeiramente, deve-se aferir da constitucionalidade orgânica ou formal, conquanto – nos
termos e para efeitos do disposto no artigo 165.º, n.º 1, alínea b) da CRP – toda e qualquer lei
restritiva de DLGs’ encontrar-se-á abrangida pelos determinismos que subjazem à reserva de
competência legislativa da Assembleia da República. Assim, o Governo somente se poderá
pronunciar em termos legiferantes e restritivos na medida em que ao próprio Decreto a
promulgar pelo Presidente sobrevenha um outro, o Decreto-Lei autorizativo.
Independentemente de considerar o quesito no n.º 1 do artigo 18.º159, a análise do caso prático
pressupõe desde logo uma subsunção direta para com o seu n.º 2 160. Pois bem, são várias as

155 Existem, contudo – o que importa denotar – alguns preceitos constitucionais que não preveem expressamente
a possibilidade de restrição legal, conquanto o seu teor é marcado pela inalienabilidade. V. p.ex., o direito à vida, o
direito à integridade física, assim como outros direitos pessoais (cf. artigos 24.º a 26.º CRP), a liberdade de aprender
e ensinar (artigo 43.º), os direitos de deslocação e emigração (artigo 44.º), ou até mesmo o direito à reunião é a
manifestação (p. no artigo 45.º da norma normarum). Há ainda que considerar que, determinadas matérias relativas a
DLGs’ estão abrangidas no cômputo da reserva absoluta da Assembleia da República, nos termos e para efeitos do
disposto no artigo 164.º, alíneas a), b), c), e), h), i), j) l), m) e o) da CRP.
156 Considera-se, neste seguimento, que a lei não pode devolver as restrições ao cômputo do poder discricionário

da administração – conquanto este regime constitucional cristaliza uma verdadeira obrigação de vinculação legal.
157 NOVAIS, Jorge Reis, Direitos Fundamentais: triunfos contra a maioria, Coimbra editora, 2016 – cit: "Tomado a sério, o

limite do n.º 2 do artigo 18.º CRP significaria serem inconstitucionais hipotéticas normas ordinárias que, por exemplo, possibilitassem
à Administração impor medidas de vacinação obrigatória em caso de epidemia (por violação do artigo 25.º, n.º 1), que permitissem a
um corpo policial ou de bombeiros entrar, sem autorização, no domicílio de alguém em caso de incêndio (por violação do artigo 34.º)
(…)”.
158 CANOTILHO, Gomes J. J., Direito Constitucional, Almedina, Coimbra, 1991.
159 Caso em que as normas com o teor restritivo de direitos, liberdades e garantias se conceberão como diretamente

aplicáveis e vinculativas quer para com entidades públicas quer para com entidades privada.
160 Cit., teor do preceito do número 2 da norma normarum, segundo o qual só a lei pode restringir direitos, liberdades

e garantias, conquanto tamanha limitação tenha na sua génese uma autorização legal do próprio texto da
Constituição e, no mais, devendo as restrições limitar-se ao necessário para salvaguardar outros direitos ou
interesses constitucionalmente protegidos

62 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

matrizes jusfundamentais que neste normativo se encontram. Desde logo haverá que se
considerar (a) a exigência de autorização de restrição expressa na Constituição 161. Segue-se o
requisito da lei formal. Pois bem, encontra-se consagrado no n.º 2 do artigo 18.º da CRP que
os direitos, liberdades e garantias só podem ser restringidos por lei, caso em que o antedito
preceito deverá de ser conjugado com os artigos 165.º, n.ºs 1 e 2, 167.º e 168.º da
Constituição162. Dispõe o n.º 3 do artigo 18.º (c) que a lei restritiva dos DLGs’ deverá de
revestir um caráter geral e abstrato. Traceje-se o caráter de ‘abstração’ e ‘generalidade’ de uma
lei com o propósito restritivo de um direito. Então: é geral e abstrato toda a lei que se dirige a
um número indeterminado ou indeterminável de destinatários e que regula um número
indeterminado ou indeterminável de situações163. As leis restritivas de DLGs’ também (d) não
podem revestir um caráter retroativo (nos termos do artigo 18.º, n.º 3). Melhor explicitando,
uma lei restritiva de um DLG será retroativa quando as consequências jurídicas atribuídas aos
factos por ele regulados se produzem em relação ao passado, i.e., em função de uma data
anterior à da sua entrada em vigor164.
Importa, sobretudo para efeitos de resolução do caso prático, atendermos ao (e) princípio
da proibição do excesso – regressando ao artigo 18.º, n.º 2. Este apresenta a significância em
como, no âmbito específico das leis restritivas de DLGs’, qualquer limitação por referência à
lei ou com base nela, deverá de ser adequada (apropriada), necessária (exigível) e proporcional
(com justa medida), contanto que os próprios termos ‘adequação’, ‘necessidade’ e
‘proporcionalidade’ induzem nessa a tamanha preponderância 165. Na sua função
jusfundamental quanto à validade material de uma norma restritiva, o artigo 18.º, n.º 2 assumir-
se-á como um “limite constitucional à liberdade de conformação do legislador”166. A fim, haverão ainda
de ser preconizadas apreciações quanto à (f) necessária salvaguarda do núcleo essencial do
direito fundamental. A ideia fundamental deste requisito é relativamente simples: existe um
núcleo essencial dos DLGs’ que não pode, em caso algum, ser violado. Sucede que mesmo
nos casos em que o legislador se encontra constitucionalmente autorizado a editar normas
restritivas, o próprio permanece vinculado à salvaguarda do núcleo essencial do direito ou

161 Assim se obriga o legislador a procurar sempre na Constituição o fundamento concreto para o exercício este ato
legiferante, suportando a convicção de maior segurança jurídica na esfera jurídica do cidadão, o qual poderá expectar
a não-limitação de direitos fora dos casos previstos pelo próprio texto constitucional, i.e., não sujeitos à reserva de
lei restritiva.
162 Exige-se uma intervenção sob a forma de ato legislativo (e não de um qualquer outro ato normativo) com a

forma de lei da Assembleia da República – cf. para o efeito, artigo 168.º, n.º 1, alínea c) CRP. Não obstante, em
consonância com o que se dissera anteriormente, a restrição pode ser efetivada por Decreto-Lei autorizativo do
Governo (cf. artigo 168.º, nºs 1, 2, 3 e 4), devendo este diploma encontrar-se em conformidade com a lei de
autorização (cf. artigos 115.º, n.º 2 e artigo 168.º, n.º 2 CRP).
163 Refira-se que, mesmo as leis individuais podem não ser materialmente inconstitucionais se, em vez de possuírem
um conteúdo restritivo, atribuírem vantagens ou compensações a certas pessoas individualmente determinadas,
como sucede por exemplo com a lei que concede uma pensão de sobrevivência às viúvas de bombeiros que
acabariam por falecer na sequência ao combate a incêndios. São as denominadas ‘leis-medida’, aquelas leis
individuais ‘beneficiadoras’ ou ‘ampliativas’ que, em razão da sua excecionalidade, não preterem os ditames do
princípio da igualdade, p. pelo artigo 13.º da CRP.
164 Clarividente que uma lei restritiva de um DLG fruirá de inconstitucionalidade material caso venha a possuir

eficácia retroativa, o que aliás, já resultava dos princípios da proteção da confiança e da segurança jurídico, tal-qual
balizados no próprio texto da Constituição.
165 A exigência de adequação aponta para a necessidade de a medida restritiva ser apropriada para a prossecução

dos fins invocados pela lei, ou, at least, em consonância com os mesmos.
Por seu turno, a exigência de necessidade pretende evitar a adoção de medidas restritivas de DLGs que, embora
adequadas, não sejam visivelmente necessárias para se obterem os fins de proteção visados pela Constituição ou a
lei. Assim sendo, uma medida será então exigível ou necessária quando não for possível escolher outro meio
igualmente eficaz, mas menos ‘coativo’, relativamente aos direitos restringidos.
Em terceiro lugar, e por último, o princípio da proporcionalidade em sentido estrito – o da justa medida –
apresenta a significância em como uma lei restritiva de direitos desta natureza, ainda que adequada e necessária,
poderá ser objeto de apreciação quanto à inconstitucionalidade, na medida em que adote ‘cargas coativas
desmedidas, desajustadas, excessivas ou desproporcionadas em relação aos resultados obtidos.
166 Cf. CANOTILHO, Gomes, supra, p. 629.

63 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

direitos restringidos. Neste hiato sémico-contextual, interregnos suscitam-se: qual o objeto de


proteção e o valor atribuído a essa mesma, por vezes ‘pretensa’, tutela. Quanto à primeira,
existem duas teorias em confronto: se, por um lado (i) a teoria objetiva considera ser
conveniente reportar a proteção do núcleo essencial de um direito à norma subjetiva, não ao
direito subjetivo em si mesmo, em correspetiva (ii) a teoria subjetiva toma como referência a
proteção do núcleo essencial do direito fundamental na sua dimensão de direito do indivíduo.
No que contende com a valoração dos bens jurídicos em confronto, (1) as teorias absolutas
percecionam o núcleo essencial como normativo, irrestringível, abstratamente fixado, ao passo
que (2) as teorias relativas – que na presente compilação são propugnadas e adotadas pelo
autor – concebem a valoração do núcleo essencial de um direito, liberdade e garantia como o
resultado necessário de um processo de ponderação de bens.
Analisem-se ora alguns dos aspetos conexos com os direitos sociais tal qual previstos no
texto da Constituição, em moldes genéricos.

Os direitos sociais enquanto direitos fundamentais


Aparentemente ficam de fora do âmbito do regime próprio dos DLGs’, os DESCs’ (assim
como outros direitos dispersos) que não sejam análogos àqueles, i.e., que consistam – pelo
menos parcialmente – exclusivamente em direitos a ações ou prestações do Estado, conquanto
o seu conteúdo se manifeste sob a forma de um direito a uma prestação estadual de caráter
positivo e na sua substância não se encontrem abrangidos por outros direitos, liberdades e
garantias167. Simplesmente, a não aplicação do regime específico dos DLGs’ só pode ter a
significância de como esta tipologia de direitos se encontra sujeita a um regime diferenciado,
contanto meritórios ainda sejam os direitos na sua qualificação como fundamentais. Todavia,
mesmo enquanto direitos sociais propriamente ditos, estes acabam por não deixar de ‘gozar’
de certas garantias constitucionais que confiram sentido à sua natureza enquanto direitos
fundamentais.
Primeiramente, as normas relativas a DESCs’ não redundam na sua equivalência a normas
programáticas, organizatórias ou de atribuição de competência, bem como não se cingem
certamente às garantias institucionais168, ou na sua totalidade com as imposições
constitucionais, dissociando-se das meras diretivas de ação estadual com alcance meramente
político, porquanto consubstanciam verdadeiros fundamentos constitucionais de ações e
medidas que, defronte a inércia deste referente superior, poderiam não ser concebidas como
constitucionalmente lícitas. Ademais, não deixam de funcionalizar-se como verdadeiros
critérios de interpretação dos enunciados principiológicos, constitutivos de direitos
fundamentais na esfera do individuo-cidadão, tal-qual plasmados no Título II da norma
normarum.

167 Existem alguns direitos sociais com uma dimensão negativa. Assim, p.ex., o direito ao trabalho não consiste
apenas na obrigação do Estado de criar ou contribuir para os postos de trabalho (cf. artigo 58.º, n.º 3 da CRP).
Outrossim, implica também a obrigação de o Estado em se abster de impedir ou limitar o acesso do cidadão a
determinados postos de trabalho. Também o direito à saúde não impõe ao Estado apenas o dever de atuar de mote
a constituir o Serviço Nacional de Saúde e realizar as respetivas prestações (artigo 64.º), antes prescreve que este se
abstenha de atuar de modo a que possa de qualquer forma colocar em causa a saúde dos cidadãos.
168 As normas programáticas não conferem quaisquer direitos aos cidadãos, dirigem-se ao Estado, e nessa medida

esgotam a sua relevância. As simples normas organizatórias ou de atribuição de competência limitam-se,


adicionalmente, a cometer ao Estado determinadas atribuições, legitimando determinadas medidas e atuações sem
relevo constitucional de monta. Por seu turno, as garantias institucionais, ao imporem ao Estado o respeito em
relação a uma determinada instituição, fundamentando concomitantemente determinadas medidas de intervenção
e de prestação social, não cristalizam aquela que deverá de ser a noção de direito fundamental. Finalmente, os
DESCs’ também não se confundem (na sua totalidade) com as imposições constitucionais estaduais que vinculam
o Estado a satisfazer direitos de matriz social, na medida em que esta perspetiva reporta à dimensão objetiva destes
direitos. Em contrapartida, o objeto de um DESC é aquele que preenche o núcleo de um direito fundamental na
exata correspondência de um direito subjetivo vincado pelo princípio da dignidade da pessoa humana de um
individuo-cidadão.

64 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Em suma, no que respeita à eficácia destes DESCs’, podemos indagar que estes assumem
a posição de verdadeiras imposições legiferantes mais ou menos concretas e/ou determinadas,
que vinculam o Estado a criar determinadas instituições ou a introduzir determinadas
alterações na ordem jurídico portuguesa. À sua apreciação costuma associar-se a categoria de
inconstitucionalidade por omissão. Refira-se que a tutela de que gozam só indiretamente pode
ser vincada por referência ao artigo 18.º, n.º 2 da CRP. Assim, usufruem de uma relevância
jurídico-constitucional indireta, conquanto na qualidade de direitos constitucionalmente
protegidos, pode eventualmente a sua realização justificar a limitação de outros direitos do
mesmo rango, a precisar, que também ‘gozam’ de uma matriz constitucional.

O mote constitucionalmente ‘consentido’ de uma ‘restrição’ ou ‘compressão’ doa


direitos fundamentais
A garantia constitucional dos direitos fundamentais exige uma clara disciplina limitadora
da respetiva restrição, de forma a evitar a desvalorização de uma tutela efetiva que a estes lhes
é conferida.
A Lei Fundamental do ordenamento jurídico português é enfática ao determinar que os
DLGs’ (1) só podem ser restringidos na exata medida e nos casos expressamente previstos na
própria Constituição169, excluindo - portanto - inequivocamente a admissibilidade de qualquer
cláusula geral de restrição. Em relação aos demais direitos fundamentais, aqueles que não
integram o catálogo de DLGs’, é evidente que, contendo eles uma matriz positiva – ou seja,
exigindo o direito a ações ou prestações positivas por parte do Estado -, o problema que se
coloca não é o da sua restrição, outrossim o da sua insatisfação ou mera realização parcial 170.
Contudo, mesmo no que contende diretamente com os direitos desta tipologia, podem surgir
genuínos problemas de restrição a propósito dos mesmos, caso em que p.ex. existe um
verdadeiro retrocesso em relação à realização entretanto alcançada em de um direito. Além do
quesito da autorização constitucional, (2) carecem da justificação, não podendo legitimar-se
senão pela necessidade de salvaguardar outros direitos e interesses constitucionalmente
protegidos, a jusante de a medida não poder extravasar o necessário para o efeito. Assim se
parametriza a consagração expressa do tão proclamado princípio da proporcionalidade, que
veda nomeadamente a adoção de medidas restritivas desnecessárias, inaptas ou excessivas de
direitos fundamentais, porquanto preenchidos se deverão de ater os requisitos da
indispensabilidade e necessidade. Ora bem, este entendimento constitucional das restrições
aos direitos fundamentais impede o esvaziamento destes pela introdução de restrições
apócrifas, nomeadamente a título de ‘limites imanentes’, que funcionaram como alavanca de
compressão de direitos fundamentais fora das situações constitucionalmente autorizadas e que
viriam a permitir trazer à colação, como fundamento da restrição, valores extraconstitucionais
ou valores vagos e demasiadamente fluídos – como sucederia, p.ex., com a inclusão dos termos
‘paz social’, ‘ordem pública’, ‘interesse nacional’, etc. – que não satisfazem de modo algum as
exigências dos conceitos ‘interesses constitucionalmente protegidos’, e com a densidade
requerida e legitimadora da restrição aos direitos então preconizada.
Deste modo, a invocação de ‘limites imanentes’, quando não seja – como algumas vezes é
– uma simples maneira imprecisa de designar a compressão decorrente da harmonização de
certo direito com outro direito fundamental, não pode admitir-se como modalidade autónoma
de direitos fundamentais. Tal sucede na medida em que os direitos fundamentais não nascem
já com limites inerentes ou naturais não escritos, fora daqueles que a própria Constituição

Cf. artigo 18.º, n.º 2 da CRP.


169

São estas as premissas que geralmente estão na base das preterições do princípio da igualdade (artigo 13.º da
170

CRP) ou da apreciação de inconstitucionalidade por omissão, por parte do Presidente da República ou do Tribunal
Constitucional.

65 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

estabelece ou consente. A restrição preconizar-se-á a posteriori, face à necessidade de proceder


à conciliação com outro direito fundamental ou interesse constitucionalmente suficientemente
caraterizado e determinado, cuja satisfação não possa deixar de passar pela restrição de um
certo direito fundamental.

O conflito ou colisão de direitos,


No fundo, a problemática da restrição de direitos fundamentais supõe sempre um conflito
positivo de normas constitucionais, a saber, de entre uma norma consagradora de um
determinado direito fundamental e uma outra reveladora de diferente direito ou interesse co
rango constitucional. A regra de solução do conflito é a da máxima observância dos direitos
fundamentais envolvidos e da sua mínia restrição compatível com a salvaguarda adequada do
outro direito ou interesse fundamental em causa.
Por conseguinte, a restrição de direitos fundamentais implica necessariamente uma relação
de conciliação com outros direitos ou interesses constitucionais e exige necessariamente uma
tarefa de ponderação ou concordância prática dos direitos ou interesses em conflito. Assim,
não pode falar-se em restrição de um determinado direito fundamental em abstrato, ‘despido’
que este se encontre da sua relação com um concreto direito fundamental ou interesse
constitucional diverso.
Ora, o conflito de direitos pode ser assumido em sentido estrito – caso em que a colisão
opera defronte o exercício do mesmo direito fundamental ou de um outro por parte do titular
– ou em sentido amplo – na medida em que a sua ocorrência reporte a um confronto com a
defesa e proteção de bens da coletividade e do Estado constitucionalmente protegidos. E estas
tipologias de conflito resultam (clarividente) do facto de a Lei Fundamental tutelar
determinados bens jurídicos que se encontram numa relação de conflito ou colisão concreta
com determinado(s) direitos fundamentais171.
Metodicamente, a solução do conflito de direitos articula-se, por um lado, com a
delimitação do âmbito normativo de cada direito 172 e, por outro lado, em função do princípio
da reserva de lei restritiva. Esta é a principal razão que subjaz à necessidade de distinção de
vários planos e instâncias: (1) em primeiro lugar, haverá que determinar o âmbito normativo
dos direitos, a fim de averiguar se efetivamente estamos defronte uma situação de conflito,
porquanto esta etapa poderá de deter desde logo a funcionalidade de exclusão das hipóteses
ora em consideração, na medida em que o conflito seja aparente; (2) em segundo lugar, uma
vez verificada a existência de um conflito autêntico, necessita-se de confirmar se existe uma
reserva de lei restritiva expressamente prevista na Constituição para algum dos direitos
colidentes, porquanto tal metodologia pode desde logo resolver o conflito de direitos através
da restrição ou ingerência no respetivo âmbito normativo.
As soluções preconizadas em termos concretos dependem essencialmente da natureza dos
bens jurídicos em conflito, conquanto:
(a) Se se trata de um conflito entre DLGs’ cuja restrição através de lei não é
constitucionalmente autorizada, o intérprete ou concretizador deverá de limitar-se a uma
tarefa de concordância prática que sacrifique no mínimo necessário ambos os direitos, não
podendo conceder privilégio a um em detrimento do outro;

171 Para efeitos de resolução do caso prático, bens jurídicos dotados de relevância constitucional não são todos e
quaisquer bens – ainda que venham a ser declarados como relevantes na pessoa do legislador constituído. Apenas
assumem relevo de pendor jusfundamental aqueles bens jurídicos que a Constituição e a ordem constitucional
elegeram como particularmente valiosos e expressamente consideraram como dignos de especial reconhecimento
e proteção constitucional, conquanto a salvaguardo do seu núcleo estruturante poderá efetivamente de ser invocada
de forma a justificar restrições a direitos fundamentais com eles coincidentes.
172 O âmbito normativo de um direito pressupõe o tracejar dos seus pressupostos objetivos e subjetivos, em razão

da sua existência e extensão da cobertura constitucional.

66 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

(b) Se se trata de um conflito entre dois DLGs’ e um está sujeito a reserva de lei restritiva
e outro não, deverá a lei asseverar a eficácia ótima do direito não restringível e limitar
o direito sujeito a reserva de lei restritiva, mas com a observância estrita do princípio
da proporcionalidade;
(c) Se o conflito se estabelece entre dois DLGs’ sujeitos ambos a reserva de lei estrita, o
legislador poderá fazer ingerências ou limitar o exercício dos dois direitos na medida
necessária, estabelecendo concomitantemente de forma proporcionada, a
concordância prática de entre os interesses e valores em jogo;
(d) Em caso de conflito de entre DLGs’ não sujeitos a reserva de lei estrita com outros
direitos fundamentais – p.ex.- DESCs’ ou com outros bens objeto de tutela
constitucional (p.ex., a defesa e a saúde), deverão de prevalecer os primeiros;
(e) Por último, se o conflito surgir entre DLGs’ sujeitos a reserva de lei restritiva e outros
bens ou direitos, há ainda uma prevalência dos primeiros em relação aos segundos.
Contudo, a lei pode salvaguardar a existência dos direitos ou bens com os quais eles
estão em conflito.
Em suma, a ponderação deverá de ser efetuada casuisticamente. Por agora, importa referir
que nestas soluções sobressai, como não pode deixar de ser, a primazia de que gozam os
DLGs’, atento o regime próprio de proteção reforçada propugnado pelo artigo 18.º, n.º 2 da
CRP. À exceção do conflito de DLGs’ – em que, pela própria natureza das coisas, não poderá
deixar de haver compressão recíproca -, em todos os demais casos de conflito entre direitos
fundamentais ou de entre direitos fundamentais e outros interesses constitucionalmente
protegidos, deverá de prevalecer sempre o direito fundamental que frua do regime dos DLGs’,
salvo na hipótese em que a própria Constituição admita expressamente a sua restrição – nos
termos e para efeitos do número do normativo em causa – contanto que esta seja efetuada na
medida do necessário para salvaguardar minimamente outro direito ou interesse
constitucionalmente protegido. Assim, a restrição de um direito, liberdade e garantia nunca se
poderá bastar com a invocação de uma situação de conflito com direitos de outra natureza ou
até mesmo defronte outros interesses constitucionais.

A concorrência de direitos
Considera-se existir concorrência de direitos fundamentais quando o mesmo
comportamento do titular preenche os pressupostos de factos incluídos no círculo estrutural
de vários direitos.
Assim, em relação a um mesmo titular, poder-se-ão entrecruzar ou acumular-se vários
direitos. O problema que aqui se convola oferece dificuldade quando estes vários direitos
concorrentes se encontram sujeitos a limites divergentes, debatendo a doutrina sobre quais os
critérios que se têm por aplicáveis na função de orientação e seleção dos limites a considerar.
Em geral, Gomes Canotilho pugna pela ideia segundo a qual dever-se-á conceder prevalência
aos direitos fundamentais menos limitados e, simultaneamente, excluir a concorrência quando
existam normas constitucionais especiais.

67 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

A Privacidade e a relevância da Proteção dos Dados Pessoais à luz do artigo


35.º da Constituição da República Portuguesa

O hiato temporal que compreende os primórdios de um direito à ‘privacy’ e finda na


‘institucionalização’ do direito à autodeterminação informativa 173
O direito à ‘privacy’ foi autonomizado pela primeira vez em 1980, quando Samuel Warren
e Louis Brandeis publicaram na Harvard Law Review, um artigo intitulado “The right to privacy”.
Reclamavam, nessa altura, a proteção do Direito em relação a aspetos atinentes ao
desenvolvimento da personalidade da pessoa humana que até então haviam sido
jurisprudencialmente tutelados mediante o recurso à violação do direito á propriedade privada,
à violação da confidencialidade, da confiança, ou de uma obrigação de tipo contratual. Até
então, os tribunais – tal como a lei – não tinham ainda identificado aquilo que os dois autores
de Boston haveriam de batizar como o ‘right to be let alone’, que seria (em seu entender) um ‘right
against the world’, num ímpeto de proteger da ‘curiosidade popular’ as mais variadas dimensões
da personalidade. Segundo alguns estudiosos, a redação deste artigo na Harvard Law Review
resultaria mesmo da determinação de Warren em reagir contra as agressões que os jornais de
Boston, em particular o Saturday Evening Gazet, vinham infligindo ao seu próprio (e da sua
família) ‘right to be let alone’. Sucede que as frequentes e detalhadas notícias nos jornais acerca
das reuniões sociais em casa dos Warren e, em particular, a curiosidade em torno da festa de
casamento da filha, conduziram a que Warren e o seu sócio Louis Brandeis redigissem o texto
em defesa do ‘right not to be let alone’. Em momento ulterior à redação do artigo, alguns tribunais
americanos foram instados a decidir nesta matéria em vários casos, nunca aderindo, contudo,
à tese propugnada por Warren e Brandeis. Só em meados de 1905, numa ação de
responsabilidade civil, o Georgia Supreme Court viria a reconhecer a existência de um direito à
privacidade.
Contudo, o nascimento, a 14 de fevereiro de 1946, do Eniac (Electronic Numerical Integrator
Computer) viria a centrar grande parte das questões em torno da privacidade, e por de entre os
meandros da necessidade de proteção de um direito à autodeterminação informativa. Tal
sucede na medida em que, hodiernamente, as ameaças á privacidade advém também da
revolução provocada pelas possibilidades abertas operacionalizáveis via tratamento
automatizado dos dados pessoais, numa senda de vigilância e monitorização constante das
denominadas ‘pessoas eletrónicas’ 174. Se por um lado a utilidade assacada a alguns destes meios
é praticamente inquestionável, em contrapartida, o não cumprimento das regras de proteção
de dados pessoais, inclusive de regras de segurança, por qualquer uma das entidades que os
recolhem e utilizam, ou até mesmo por entidades terceiras, coloca em risco a privacidade
daquele sujeito que se encontra investido na posição de titular dos dados pessoais 175. Refira-se
que, apesar da ameaça à privacidade que as atuais operações de tratamentos de dados pessoais
podem constituir – daí que, como veremos, a Constituição e as leis tenham velado pela sua
garantia-, as vantagens da utilização destas novas Tecnologias de Informação e Comunicação

173 CASTRO, Catarina Sarmento, Direito da Informática, Privacidade e Proteção de Dados Pessoais, Almedina, Coimbra,
2005.
174 São exemplos: os produtos comprados num supermercado eletrónico, a identificação da pessoa com recurso a

impressões digitais, a sinalização de mensagens SPAM, a monitorização laboral da pessoa do trabalhador com
recursos a meios de vigilância eletrónica, as informações e registos de dados pessoais relativos à saúde do paciente,
de entre outros.
175 A esse propósito, basta pensarmos no uso de imagens recolhidas através de mecanismos de videovigilância para

o controlo das chamadas telefónicas, ou até mesmo na verificação dos sítios Internet visitados com o propósito de
se proceder ao traçamento do perfil de utilizador, na difusão pública dos dados de saúde, na elaboração – por uma
entidade terceira – do perfil filosófico-político através do conjunto de leituras efetuadas, ou até mesmo no constante
engarrafamento da caixa de correio eletrónico provocado por mensagens remetidas por quem tantas vezes se
apoderara dos dados pessoais sem qualquer consentimento ou legitimidade legal para o efeito, de entre outros.

68 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

são tamanhas que provavelmente já nem se imagina o quotidiano sem se poder dispor destas
ferramentas. É um facto que, crescentemente, cedem-se as facetas de um direito de pendor
pessoalista aos especialistas na área da engenharia da computação, num claro enjeito de
compressão da posição jurídico-subjetiva de vantagem que é reconhecida na esfera jurídica do
indivíduo-cidadão, investido que se encontre na posição de titular dos dados pessoais. Assim
sendo, importa traçar as traves mestras orientadoras de uma utilização desta tipologia de
informações pessoais no respeito pelos direitos fundamentais em matéria de autodeterminação
informativa.
Pois bem, o direito á ‘privacy’, tal-qual delimitado pela doutrina e jurisprudência
americanas, ainda recortava um direito geral de personalidade. O mesmo viria a acontecer mais
tarde na Europa, com as congéneres alemãs, que por interpretação do artigo 1.º da Grundgesetz,
acerca da dignidade da pessoa humana, conjugado com o artigo 2.º do mesmo diploma,
pelejavam pela defesa da existência de um direito geral de personalidade. O direito à ‘privacy’
era então entendido, antes do mais, com uma conotação mais ampla do que o direito à reserva
da intimidade da vida privada, entre nós constitucionalmente consagrado nos direitos de
personalidade, no artigo 26.º, n.º 1 da CRP. O direito à reserva sobre a intimidade da vida
privada facciona-se como um direito especial de personalidade, e não um direito geral de
personalidade, tal-qual aquele que se encontra p. no artigo 70.º do CC176. Enquanto que o
artigo do Código Civil estabelece que “a lei protege os indivíduos contra qualquer ofensa ilícita ou ameaça
à sua personalidade física e moral”, a Constituição menciona, no segmento anteriormente
referenciado, o “direito ao desenvolvimento da personalidade”.
Como refere Carlos Alberto da Mota Pinto, o direito geral de personalidade “permite conceder
tutela a bens pessoais não tipificados, designadamente protegendo aspetos da personalidade cuja lesão ou ameaça
de violação só com a evolução dos tempos assumam um significado ilícito.”177 Orlando de Carvalho 178
escrevia que o direito geral de personalidade se carateriza por incidir sobre a pessoa no seu
todo, como eventual objeto de agressões previsíveis e imprevisíveis.
Apesar de todos estes aprimoramentos conceituais relativos ao direito em voga num prisma
genérico, a doutrina portuguesa autonomizou um direito especial de personalidade referido à
defesa da intimidade da vida privada, deste modo atribuindo a sua meritória valoração.
Segundo Orlando de Carvalho, o direito à intimidade da vida privada – que não se confunde
com o direito geral de personalidade – integra o direito à inviolabilidade pessoal, juntamente
com os direitos relativos à projeção física da personalidade (v.g., o direito à imagem e à palavra),
e com os direitos referentes à projeção moral da personalidade (direito à honra) sendo, mais
concretamente, um direito relativo à projeção vital da personalidade. É neste última caso que
o autor inclui o direito ao caráter, o direito à história pessoal, o direito à verdade profunda e o
direito à intimidade sobre a vida privada. Ora, este último, o direito específico à reserva sobre
a intimidade da vida privada é meritório da qualificação como um verdadeiro direito à
informação.
Sob o direito específica à reserva sobre a intimidade da vida privada, Orlando de Carvalho
distingue: (1) entre a esfera privada stricto sensu – aquela que respeita a atos não públicos, e nessa
medida privados ainda que não pessoais; (2) a esfera pessoal, mais restrita que a primeira,

176 O artigo 70.º do CC apresenta o seu reflexo constitucional no direito ao livre desenvolvimento da personalidade,
também p. no segmento do artigo 26.º, n.º 1 da norma normarum. Capelo de Sousa considera que o artigo que ora se
arroga garante a intimidade da vida privada também nas suas ‘camadas intermédias e periféricas’, como reserva dos
‘dados pessoais informatizáveis’.
177 Cit. PINTO, Carlos Alberto da Mota, Teoria Geral do Direito Civil, 3.ª edição, Coimbra Editora, Coimbra, 1989, p.

208. Paulo Mota Pinto refere que o direito à reserva sobre a intimidade da vida privada apresenta uma ‘dupla
dimensão’: a tutela da personalidade, enquanto substrato da individualidade nos seus diversos aspetos; e a tutela
geral da liberdade de ação da pessoa humana – cfr. aprimoramentos teóricos, infra...
178 CARVALHO, Orlando, Para uma teoria da pessoa humana (reflexões para a desmistificação necessária), o Homem e o tempo

– liber anicorum para Miguel Baptista Pereira, Fundação Eng. António de Almeida, Porto, 1999.

69 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

conquanto abarca aspetos ligados à própria pessoa, como sucede p.ex. com os seus gostos e
preferências, devendo mesmo impor-se ao próprio cônjuge; (3) e, por último, a intimidade da
vida privada abrange o cômputo da esfera de segredo que (como refere o autor) pode não
assumir um caráter pessoal, embora compute todo um conjunto de coisas secretas (aliás, como
o próprio nome induz), como sucede p.ex. com os códigos secretos, história médica,
informações contidas em diários íntimos, etc.
É consabido que os massmedia e as modernas tecnologias introduzidas no mercado
preterem, constantemente, a intimidade de cada individuo. A intimidade é objeto de tutela
especial no Código Civil, por força do seu artigo 80.º. Nesta sede, não se trata da proteção da
honra, outrossim da paz e resguardo da tranquilidade de uma esfera íntima da vida, de um
direito a estar só, ainda que se convolem todo um conjunto de aspetos que não seriam
apreciados negativamente por terceiros.
Neste seguimento, é de referir que não pode confundir-se hoje o direito geral de
personalidade – também consagrado de forma individualizada na Constituição, no artigo 26.º,
n.º 1, com o direito à reserva sobre a intimidade da vida privada. A razão de ser é a seguinte: o
direito á reserva sobre a intimidade da vida privada, na medida em que tenha no seu objeto o
conteúdo dos dados, pressupõe o controlo sobre a informação relativa à vida privada. E
porque conotado como um direito sobre a informação, entre nós a Constituição consagrou –
para sua garantia e tutela efetiva – um direito à autodeterminação informativa, num enjeito de
tutela do interesse que subjaz ao controlo sobre os dados pessoais.
Poder-se-á dizer, assim, que o direito à autodeterminação informativa nasce para garantir
um direito á intimidade sobre a vida privada no que ao tratamento dos dados pessoais diz
respeito. Mas este direito á autodeterminação informativa já não é, tão-somente, um direito de
garantia do direito á reserva sobre a vida privada, ou um direito que resguarda os cidadãos das
intromissões não autorizadas de terceiros, num sentido de um direito de defesa.
Este direito de proteção, assume adicionalmente uma conotação ou um sentido negativo,
possibilitando ao indivíduo negar informação pessoal ou opor-se à recolha e difusão de
informações que lhe digam respeito (direta ou indiretamente), impondo-se sobretudo face às
agressões possíveis preconizadas pelo Estado ou por terceiros, os quais deverão abster-se de
proceder a tratamento de dados pessoais. Hoje em dia, o direito à autodeterminação
informativa assume-se então como um verdadeiro direito fundamental. Numa perspetiva
dinâmica, enforma-se como um verdadeiro direito ‘ofensivo’ que permite a todos e cada um
de nós balizar o que outrem pode, a cada momento, dizer a respeito do titular dos dados
pessoais179.
Na sua dimensão subjetiva, o direito à autodeterminação informacional materializa-se
como um ‘direito-garante’ ao respetivo titular das posições jurídicas perante o Estado numa
senda defensiva e defronte abusos relativos à utilização da sua informação pessoal, seja (a) num
perspetivar negativo – enquanto ‘Abehrrecht’ – obrigando-o a abster-se de tratar dados
pessoais, (b) seja pela positiva – enquanto ‘Schutzrecht’, impondo às entidades públicas a
adoção de medidas de proteção. Em contraponto, na sua dimensão objetiva (de pendor
comunitário, externo e horizontal), o direito à autodeterminação informacional prescreve ao
Estado a obrigação de adotar medidas de providência no sentido de defesa perante agressões
de terceiros.

179 “É uma liberdade, um poder de dispor das informações pessoais, um poder de controlo através de cujo exercício se permitirá que cada
indivíduo preserve ‘a sua própria identidade informática’. (...) Assume-ee como um verdadeiro direito de personalidade multifacetado,
viabilizando o controlo da utilização das informações que lhe respeitem” (sublinhado nosso). Cf. CASTRO, Catarina Sarmento,
op. cit.

70 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Em suma, o direito em causa descreve o poder reconhecido ao individuo, como resultado


da própria noção de autodeterminação, de decidir, ele mesmo, acerca da utilização que poderá
vir a ser efetuada das suas informações pessoais, devendo ser o próprio a determinar quando,
e em que medida as revela. Tamanha tutela efetiva ter-se-á por consagrada no ordenamento
jurídico português por via da previsão supra-normativa expressa no artigo 35.º da CRP, na
conjetura de um verdadeiro direito, liberdade e garantia meritório da qualificação adicional de
um direito especial de personalidade.

A ‘consolidação’ jusfundamental de um direito à reserva sobre a intimidade da vida


privada
Os outros direitos pessoais num perspetivar de Jorge Miranda e Rui Medeiros: em
especial, o direito à reserva sobre a intimidade da vida privada 180
O direito à reserva sobre a intimidade da vida privada e familiar é possivelmente um dos
DLGs’ que tem maior alcance prático, embora esta posição jurídico-subjetiva de vantagem -
de pendor jusfundamental, reitere-se - não possua a mesma abrangência que lhe tem sido
conferida pela jurisprudência norte-americana 181. Em todo o caso, o direito em voga
compreende, não somente o direito de oposição à divulgação da vida privada (public disclosure
of private facts), como também o direito de oposição à investigação da vida privada (intrusion).
Ademais, tende hoje, além do direito de se “ver protegido o espaço interior ou familiar da pessoa ou do
lar contra intromissões alheias”182, a possibilidade de se reconhecer igualmente uma outra dimensão
– de cariz positivo – esta traduzida na faculdade de os cidadãos controlarem as informações
que lhes dizem, direta ou indiretamente, respeito. Assim, é tido como assente o facto de o
titular de informações inclusas no cômputo textual-normativo do preceito da norma normarum
‘poder-dever’ impedir o acesso, emprego e revelação de um conjunto de dados que pretende
não serem divulgados, em moldes que não tenham sido por si autorizados, beneficiando para
o efeito do direito de exigir o conhecimento, retificação, atualização e eliminação dos
respetivos dados pessoais informatizados, em simbiose defronte o artigo 35.º da CRP (com
epígrafe dados pessoais informatizados). Daí que se possa falar neste âmbito de um verdadeiro
direito à autodeterminação informacional, na medida em que nos termos das balizes
determinísticas dos artigos 26.º e 35.º da norma normarum, respetivamente, o indivíduo-cidadão
dispõe livremente do poder sobre os seus dados, determinando livremente os termos de acesso
e utilização por terceiros de um conjunto de dados e informações que lhe digam respeito. Jorge
Miranda e Rui Medeiros consideram que o direito à reserva sobre a intimidade da vida privada
e familiar manifesta-se parcialmente abrangido pelo cômputo do direito conexo respeitante ao
‘livre desenvolvimento da personalidade’, sustentando a posição no artigo 26.º, n.º 2 da CRP,
o qual concretiza o dever do legislador ordinário em, através dos atos normativos para o efeito,
tutelar o de uma maneira proporcional o direito à reserva sobre a intimidade da vida privada.
Sucede que a delimitação dos domínios da vida que se encontram abrangidos por uma
reserva da intimidade – em concreto, as esferas da vida privada e familiar dos cidadãos –
suscita, é certo, consideráveis dificuldades dogmáticas 183. A ante mencionada ‘Teoria das
esferas’ – anteriormente mencionada – assume uma validade relativa e gradual no contexto de

180 MIRANDA, Jorge e MEDEIROS, Rui, Constituição Portuguesa Anotada, vol. I, Preâmbulo, Princípios Fundamentais, Direitos
e Deveres Fundamentais, Artigos 1.º a 79.º, 2.ª ed. revista, Universidade Católica Portuguesa, fevereiro de 2017.
181 É tradição anglo-saxónica conferir ao ‘right to privacy’ a posição de expressão paradigmática ‘ratificadora’ de todos

os outros direitos pessoais, em conformidade com o que se pode depreender daquilo que se dissera anteriormente.
182 Cit. acórdão n.º 128/92.
183 Para o efeito, rememorar Orlando de Carvalho, quanto à Teoria das três esferas supra, a ver: a esfera íntima

corresponde ao núcleo duro do direito à reserva sobre a intimidade da vida privada, ao passo que a esfera privada
admite determinadas ponderações de proporcionalidade. Já a esfera social compreende o cômputo substancial do
direito à imagem e à palavra e não imbrica diretamente no excerto ‘intimidade da vida privada’.

71 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

uma ponderação de bens a operar segundo o princípio da proporcionalidade. E a verdade é


que a teoria das três esferas tem sido utilizada na sua versão gradualista, e com terminologia
variada, pelo Tribunal Constitucional Português. Nesse sentido, o nível da intimidade dos
dados ou informações é, de facto, um elemento a ponderar no juízo global de
proporcionalidade, que quase sempre envolvem questões relativas ao direito à reserva da vida
privada e familiar184. Certo é – de primordial apontamento – que qualquer restrição ao rango
deste direito pressuporá sempre a verificação de uma justificação em face de fins
suficientemente relevantes que per si devem, por regra, ser de tamanha importância quanto
mais próximos nos arrogarmos das esferas de intimidade pessoal, não devendo nunca de ser
esquecido o referencial constitucional do ‘conteúdo essencial’.
No que imbrica diretamente com a determinação do âmbito da intimidade da vida privada
e familiar, dir-se-á que se tem por imprescindível a necessária e ineliminável tarefa de
ponderação casuística em razão dos circunstancialismos adjacentes a cada caso concreto.
Daqui se deduz que o direito em voga não se cinge ao âmbito de ocorrências ou informações
conexas com a vida familiar, conquanto a sua abrangência computa adicionalmente todo um
conjunto de factos passíveis de ocorrerem em locais públicos. No mais, de referir que as
nuances de um direito à ‘privacy’ que compreendam a ‘situação patrimonial’ do indivíduo-
cidadão apresentam importantes consequências 185.
Dois pequenos apontamentos haverão de ser preconizados neste seguimento.
Primeiramente, a tutela da reserva à intimidade da vida privada prevalece no âmbito das
relações laborais, aquelas em que assumem o papel de partes os próprios particulares. Nesta
aferição importa ter em consideração os poderes juridicamente reconhecidos à entidade
empregadora. Assim sendo, resulta inequivocamente do artigo 26.º, n.º 1 da norma normarum a
proibição da preconização de intromissões infundamentadas e excessivas na pessoa da
entidade patronal 186. Em segundo lugar, dizer – em coerência com as considerações tecidas
supra – que o direito à reserva sobre a intimidade da vida privada também vale para as pessoas
coletivas187, ajustando-se á particular natureza e às especificas caraterísticas de cada estrutura
empresarial, ao círculo das suas atividades, às relações e aos seus interesses dignos de tutela.
Indaga-se então que, as pessoas coletivas têm, pois, indiscutivelmente, um direito a uma esfera
de sigilo, a qual compreende designadamente o sigilo da correspondência, p. nos termos do
artigo 34.º da CRP, aspeto este que se afigura decisivo no caso da divulgação do know-how de
um determinado ente empresarial. Concretamente, a apropriação, utilização ou a divulgação
dos segredos da indústria ou comércio de outrem são atos que, numa ordem que reconhece às
pessoas coletivas o direito a uma esfera de sigilo e que se preocupa em ‘assegurar a equilibrada
concorrência entre as empresas’, não podem deixar de ser percecionados com desfavor.

184 Pois bem, sucede que a complexidade do juízo de proporcionalidade adensa-se pelo facto de serem concebíveis
renúncias, de âmbito alargado, à reserva sobre a intimidade da vida privada e familiar, como sucede, p.ex., na entrada
de um concurso televisivo como o Big Brother.
185 Assim, para se referir a título exemplificativo, é geralmente reconhecido que as informações tributárias, máxime,

dados fiscais de um contribuinte, em si reveladores da respetiva capacidade contributiva, pertencem à esfera privada
e, nessa medida, são meritórios de tutela jurisdicional por referência ao próprio texto constitucional. Da mesma
forma, o sigilo bancário, embora não seja um valor jurídico absoluto, e como tal sujeito aprioristicamente a
restrições, encontras o seu fundamento último no direito à reserva sobre a intimidade da vida privada. De resto, o
próprio Tribunal Constitucional já afirmou que “a situação económica do cidadão, espelhada na sua conta bancária incluindo
as operações ativas e passivas nela registadas, faz parte do âmbito da proteção do direito à reserva sobre a intimidade da vida privada
condensado no artigo 26.º, n.º 1 da Constituição, surgindo neste âmbito o segredo bancário como um instrumento de garantia desse
direito” (sublinhado nosso) – cf. para o efeito, Acórdãos do Tribunal Constitucional nºs 278/95 e 355/97.
186 Contudo, esta conclusão não impede que se reconheça, no domínio das relações laborais, como legítimas

algumas ingerências que decorrem diretamente do direito fundamental à empresa, conquanto – apesar de tendencial
ser a separação entre a vida profissional e pessoal de cada um – alguns factos e comportamentos extralaborais
podem assumir relevância na ótica da estrutura empresarial em que os respetivos protagonistas se inserem.
187 Cf. artigo 12.º, n.º 2 da CRP.

72 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

No mais, independentemente da ausência de norma de habilitação expressa para restringir


o direito, dir-se-á que o mesmo não apresenta um conspecto de direito ilimitável. Aliás, em
matéria de colisão de direitos fundamentais, verifica-se com facilidade que o direito à reserva
sobre a intimidade da vida privada e familiar é um daqueles que apresenta um maior índice de
conflitualidade possível de se antecipar, desde logo, pela simples leitura das normas
constitucionais que se referem à inviolabilidade do domicilio, à liberdade de expressão e de
comunicação, ao direito de informação e ao princípio do ‘arquivo aberto’ da administração e,
ainda, à própria atuação no cerne da política.

O retrato do ‘direito à reserva sobre a intimidade da vida privada’ segundo anotações


de Gomes Canotilho e Vital Moreira
O direito à reserva sobre a intimidade da vida privada e familiar (n.º 1, in fine) e n.º 2) analisa-
se principalmente em dois direitos menores: (a) o direito a impedir o acesso de estranhos a
informações sobre a vida privada e familiar; (b) a proibição de divulgação do conjunto de
informações que tenham que ver com a vida privada e familiar de outrem188. Alguns outros
direitos fundamentais funcionam como garantias deste, a ver: o caso da inviolabilidade da
correspondência e do domicílio (artigo 34.º da CRP); e a proibição do tratamento informático
de dados referentes à vida privada (artigo 35.º, n.º 3 da CRP). Como garantes deste direito –
também assumidos que sejam na qualidade de instrumentos jurídicos privilegiados – são
igualmente o sigilo profissional e o dever de reserva das cartas confidenciais e demais papeis
pessoais, nos termos e para efeitos do disposto nos artigos 75.º a 78.º CC. Aliás, a própria
Constituição incumbe a lei de garantir efetiva proteção a esse direito (n.º 2), compreendendo-
se a preocupação suplementar face aos sofisticados meios que a técnica hodierna coloca à
disposição dos cidadãos defronte a devassa da vida privada e colheita ilícita de dados 189.
Em conformidade com aquilo que se dissera anteriormente, poder-se-á reiterar o facto de
não ser fácil demarcar a linha divisória entre o campo da vida privada e familiar, aquele que
goza do computo da reserva à intimidade, e o domínio mais ou menos aberto à publicidade
(sendo várias as teorias que pretendem fornecer um critério distintivo a este respeito 190. Em
detrimento da teoria das esferas, Gomes Canotilho e Vital Moreira propugnam a ideia no
sentido de que o critério constitucional balizável é o da ‘privacidade’ – n.º 1, in fine –
congregado com o bem jurídico ‘dignidade da pessoa humana’ – n.º 2 – de modo a poder
definir-se um conceito de esfera da vida privada para cada pessoa, culturalmente adaptado à
vida contemporânea.
Assim, o âmbito normativo do direito à reserva sobre a intimidade da vida privada e familiar
deverá delimitar-se, assim, como base num conceito de ‘vida privada’ que tenha em conta a
referência civilizacional sob três aspetos: (a) o respeito dos comportamentos; (b) o respeito
pelo anonimato; (c) o respeito da vida em relação. Estas dimensões devem de ser convocadas
para eventuais renúncias à proteção da intimidade da vida privada191.

188 Cf. para o efeito, artigo 80.º do CC. Canotilho, Gomes e Moreira, Vital, anotações... Segundo os autores, uma
defesa contra o tratamento informático de dados pessoais concretizar-se-á: (1) no direito de acesso das pessoas aos
registos informáticos para conhecimento dos seus dados pessoais, bem como retificação e complemento dos
mesmos; (2) no direito ao sigilo em relação aos responsáveis de ficheiro e terceiros dos dados pessoais
informatizados e direito à sua não interconexão (cf. artigo 35,º, n.º 4 da CRP – proibição de acesso a dados pessoais
por terceiros, assim se balizando o dever de sigilo profissional do pessoal informático); e, por último, (3) no direito
ao não tratamento informático de certos tipos de dados.
189 Cf. para o efeito, Acórdãos do Tribunal Constitucional, n.ºs 255/02 e 207/03.
190 Recorde-se, alguma doutrina e jurisprudência (cfr. Acórdão do Tribunal Constitucional n.º 454/93) distinguem

entre esfera pessoal íntima (absolutamente protegida) e esfera privada simples (apenas relativamente protegida,
podendo ter de ceder em conflito com outro interesse ou bem público). Contudo, à face deste preceito da norma
normarum, Gomes Canotilho e Vital Moreira consideram que tal distinção não é relevante.
191 Veja-se, e recorde-se, a título exemplificativo desta renúncia, o caso Big Brother.

73 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Portanto, a proteção da intimidade da vida privada assume expressões ou dimensões


relevantíssimas no âmbito das relações jurídico-laborais, como veremos adiante192, na medida
em que se imponha o eventual acesso das entidades patronais a informações relativas à vida
privada do trabalhador (estado de saúde, estado de gravidez, etc.) e, tamanha admissibilidade
só deverá de ser empiricamente legitima nos termos legais quando obedeça a um procedimento
justo de recolha, como sucede por exemplo com o dever de sigilo que impende na esfera
jurídica de um profissional de saúde, vulgo médico. Não obstante, haverá ainda que se
considerar como quesito a observância estrita do princípio da proibição do excesso
(informações adequadas, necessárias e proporcionais) para o exercício de determinadas
atividades193. Importa, na égide dos contornos do direito à reserva sobre a intimidade da vida
privada, expor a condição de ilicitude da transmissão de informações respeitantes à reserva
sobre a intimidade da vida privada de uma pessoa, ainda que os meios de obtenção das mesmas
sejam legítimos e lícitos.
Segundo Gomes Canotilho e Vital Moreira, o âmbito de proteção do direito à reserva sobre
a intimidade da vida privada, tal-qual plasmado no e pelo texto constitucional, encontra-se
dependente da noção traçada pelo indivíduo em função de comportamentos prévios, da
‘condição das pessoas’ e a ‘natureza do caso’ 194.

O aglomerado de Paulo Mota Pinto quanto à evolução da tutela (supra/infra)


constitucional de um direito à reserva sobre a intimidade da vida privada 195
Como vimos repetidamente, o direito à reserva sobre a intimidade da vida privada
encontra-se p. no artigo 26.º da CRP. Importa, traçar com maior preciosismo, a evolução que
uma tutela a este tem vindo a ser preconizada pelo Tribunal Constitucional 196.
Ora, a CRP proclama no seu artigo 1.º o princípio da dignidade da pessoa humana, valor
no qual se funda a República Portuguesa. Seguidamente, consagra no seu artigo 26.º, vários
‘outros direitos pessoais’ que compartilham o facto de protegerem um círculo nuclear da
pessoa (grosso modo, correspondentes aos direitos de personalidade) e que são meritórios da
qualificação jusfundamental enquanto DLGs’, sujeitos a um regime específico – conforme
supra. A reserva da vida privada resulta igualmente protegida na CRP, designadamente pelos
artigos 32.º, n.º 8, 35.º e artigo 268.º, n.º 2 da CRP.

192 Os direitos dos trabalhadores encontram-se densificados, além do próprio texto constitucional, nos artigos 17.º
e ss. do CT.
193 Cf. Acórdão do Tribunal Constitucional n.º 306/03.
194 Os autores em causa expressam e propugnam por uma necessária elasticidade dos limites jurisdicionalmente

considerados para efeitos de determinação do âmbito de ingerência ilegítimo na esfera da vida privada. Assim, cf.
Acórdão n.º 263/97, segundo o qual “a próprias noção de vida privada (...) [é] em certa medida dependente do indivíduo, também
marcada em função das valorações de cada formação social”.
Os autores em causa estendem, quanto ao direito à autodeterminação informativa, os seguintes princípios: a
publicidade (na medida em que deve ser conhecida a criação e manutenção de bases de dados); a justificação social
(conquanto se verifique a existência de uma finalidade(s) legítima(s) que justifique(m) o tratamento de dados
pessoais e que esses mesmos propósitos sejam expressamente especificados); a transparência (na medida em que
ao titular dos dados pessoais deverá ser transmitida a tipologia dos dados objeto de tratamento, assim como o
responsável por toda a operação); a limitação da recolha; o princípio da fidelidade; a limitação da utilização em
função dos fins que justificam a recolha; a existência de garantias de segurança; o princípio da responsabilidade; e,
por fim, o da limitação temporal da operação de tratamento de dados pessoais.
195. Cf. MOTA PINTO, Paulo, A proteção da vida privada e a jurisprudência do Tribunal Constitucional, Relatório apresentado

na Conferência Trilateral dos Tribunais Constitucionais de Portugal, Espanha e Itália, 2006. Disponível em:
https://www.tribunalconstitucional.es/ActividadesDocumentos/2006-10-02-00-00/2006-PonenciaPortugal.pdf.
196 Sob epígrafe ‘outros direitos’, temos então o artigo 26.º da CRP, nos termos do qual: “1. A todos são reconhecidos

os direitos à identidade pessoal, ao desenvolvimento da personalidade, à capacidade civil, à cidadania, ao bom nome e reputação, à
imagem, à palavra, à reserva sobre a intimidade da vida privada e à proteção legal contra quaisquer formas de discriminação. 2. A lei
estabelecerá as garantias efetivas contra a utilização abusiva, ou contrária à dignidade humana, de informações relativas às pessoas e
famílias. 3. A lei garantirá a dignidade pessoal e a identidade genética do ser humano, nomeadamente na criação, desenvolvimento e
utilização das tecnologias e na experimentação científica. 4. A privação da cidadania e as restrições à capacidade civil só podem efetuar-
se nos casos e termos previstos na lei, não podendo ter como fundamento motivos políticos”.

74 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

No Direito Civil, o direito à reserva sobre a intimidade da vida privada é reconhecido


expressamente pelo artigo 80.º do Código Civil197. A regulamentação específica das cartas-
missivas e outros escritos (artigos 75.º a 78.º do CC), incluída também na seção relativa aos
direitos de personalidade, atém-se como uma emanação do segredo de correspondência e do
direito à reserva sobre a intimidade da vida privada. Tal regime protege este aspeto da vida
privada, entendida em sentido formal, uma vez que os escritos podem, na realidade, não dizer
respeito, pelo seu conteúdo, á vida privada da pessoa, continuando a ser confidenciais.
Deve notar-se, porém, que parte significativa dessas decisões não aborda questões de
constitucionalidade material e, portanto, não se pronuncia sobre a violação, pelo conteúdo,
das normas que aprecia, do direito fundamental à reserva sobre a intimidade da vida privada.
Antes trata da questão de saber se estamos defronte questões de constitucionalidade orgânica.

O conteúdo do direito à reserva sobre a intimidade da vida privada


O Tribunal Constitucional definiu pela primeira vez o conteúdo do direito à reserva sobre
a intimidade da vida privada no Acórdão n.º 128/92: “trata-se do direito de cada um a vez protegido
o espaço interior ou familiar da pessoa ou do seu lar contra intromissões alheias. É a privacy do direito anglo-
saxónico. (...) Este direito à intimidade ou à vida privada – este direito a uma esfera própria e inviolável, onde
ninguém de poder penetrar sem autorização do próprio titular, compreende: a) a autonomia, ou seja, o direito a
ser o próprio a regular, livre de ingerências estatais e sociais, essa esfera de intimidade; b) o direito a não ver
difundido o que é próprio dessa esfera de intimidade”. Pois bem, esta definição parecia abranger, quer
pela aproximação à privacy anglo-saxónica, quer pela inclusão de uma ideia de autonomia, não
apenas os aspetos da informação (a reserva) sobre a vida privada, mas também a própria
liberdade da vida privada.
Vários foram os acórdãos posteriores que se debruçaram sobre a reserva à intimidade da
vida privada. Desde logo, o Acórdão n.º 602/2005, no qual o Tribunal Constitucional
considerou o segredo bancário como instrumento de garantia do direito à vida privada. Quanto
aos testes de alcoolemia, no Acórdão n.º 319/95, o mesmo tribunal afirmou que os testes de
alcoolémia implicam uma ingerência no direito à proteção da vida privada, entendido como
direito a uma esfera inviolável, que ninguém pode invadir sem consentimento do titular, mas
considerou que se tratava de um ato de ingerência justificada por razões de segurança
rodoviária e não inconstitucional nessa medida. Em questão estava, pois, uma informação
sobre a vida privada – a ingestão de álcool por um automobilista. Por vezes, o direito em causa
é invocado conjuntamente com o direito à imagem, nos termos do artigo 79.º CC. Assim, no
Acórdão n.º 263/97, estando em causa a junção como prova em processo de divórcio de
fotografias de atos de infidelidade cometidos pelo marido, o Tribunal Constitucional concluiu,
porém, que “atenta a natureza da ação e a sua causa de pedir, o ónus da prova que sobre a autora impendia
para fundamentar o pedido e as exigências de justiça daí decorrentes, sendo certo que existem normativos legais
que vedam a publicitação dos elementos de prova para além dos limites processuais”. No que respeita aos
elementos com informações sobre a saúde do titular, no Acórdão n.º 355/97, o TC declarou
a inconstitucionalidade orgânica da constituição de ficheiros automatizados com registos
oncológicos em cada região e instituição de saúde, conquanto a matéria em causa – ao envolver
diretamente as questões da vida privada – deveria, por essa mesma razão, ter sido regulada por
lei parlamentar. Em matéria de relação laboral 198, no Acórdão n.º 306/2003, o Tribunal
Constitucional pronunciou-se no sentido da não inconstitucionalidade do segundo segmento
do n.º 2 do artigo 17.º do Código do Trabalho, aprovado pelo Decreto da Assembleia da

197 Nos termos do qual: “1. Todos devem guardar reserva quanto à intimidade da vida privada de outrem. 2. A extensão da reserva
é definida pela natureza do caso e em função da condição das pessoas”.
198 Em que são notórias as assimetrias de poderes quanto às posições ocupadas pela entidade patronal e trabalhador,

respetivamente.

75 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

República n.º 51/IX, que permitia a exigência na prestação de informações relativas à saúde
ou estado de gravidez do candidato a emprego ou do trabalhador, quando particulares
exigências inerentes ao desempenho do cargo assim o justifiquem e seja exigida por escrito a
respetiva fundamentação. Considerou, contudo, inconstitucional a mesma norma, na medida
em que permitia o acesso direto do empregador (e não através de pessoal médico vinculado a
segredo profissional) a informações relativas à saúde ou estado de gravidez do candidato a
emprego ou trabalhador, em razão da preterição do princípio da proibição do excesso nas
restrições ao direito fundamental à reserva sobre a intimidade da vida privada 199. No Direito
do Fiscal, o Tribunal Constitucional concluiu não ser inconstitucional a norma p. no Decreto-
Lei n.º 205/97, de 12 de agosto, que – quanto à chamada figura do ‘Defensor do Consumidor’
– prev(ia) o acesso deste a facos, documentos e informações protegidos pelo sigilo fiscal,
encontrando-se os funcionários e agentes da administração tributária obrigados a prestar-lhes
informações. E a justificação para a apreciação da constitucionalidade das normas foi a de que
o próprio ‘Defensor do Contribuinte’ integr(ava) a Administração e que ele próprio se
encontrava adstrito ao respeito pelo mesmo sigilo fiscal. Acórdãos existiram em que o Tribunal
Constitucional reconheceu que o direito à reserva sobre a intimidade da vida privada foi
invocado para o propósito da possibilidade de acesso, por parte dos concorrentes, à
documentação que fundou a decisão de um concurso público ou o ato de um júri público 200.
Por sua vez, no Acórdão n.º 368/2002, o Tribunal acabara por considerar admissíveis, em
certas circunstâncias e com certas finalidades, os exames médicos periódicos e obrigatórios a
funcionários públicos, enfatizando a possibilidade de um exame de saúde que revista caráter
obrigatório poder conflituar, não apenas com o direito à reserva sobre a intimidade da vida
privada, mas também com a própria liberdade geral de atuação. Não obstante, o Tribunal
acabara por considerar que a restrição em causa se encontrava justificada em função de um
conjunto de interesses com relevância constitucional.
Não parece, pois, ousado, afirmar que o direito à reserva sobre a intimidade da vida privada
tem sido confinado sobretudo ao controlo da informação sobre a vida privada, reportando-se
a liberdade da vida privada ao direito à liberdade (artigo 27.º, n.º 1) ou ao livre desenvolvimento
da personalidade (artigo 26.º, n.º 1).

Aspetos do direito à reserva sobre a intimidade da vida privada


A definição de ‘vida privada’ é consabidamente difícil, e é conotada pela doutrina em razão
da sua obscuridade e imprecisão do conteúdo. Sucede que, importa denotar que, tanto a
Constituição, como o Código Civil, no seu artigo 80.º, remetem não apenas para uma
concretização doutrinal do conceito de ‘vida privada’, outrossim da ‘reserva à intimidade da
vida privada’. Numa perspetiva constitucional, algumas são as referências quanto ao critério a
ser empregue na identificação do conjunto de aspetos objeto de tutela via Constituição da
República Portuguesa por referência à terminologia ‘vida privada’. Todavia, alguns foram os
acontecimentos que ocorreram em público, e ainda assim, igualmente objeto de tutela no
âmbito da reserva à intimidade da vida privada, tal-qual previsto no e pelo artigo 26.º da CRP201.
No Acórdão n.º 263/97, diz-se expressamente que a valoração do conceito de ‘vida privada’

199 O Tribunal considerou que, para a finalidade tida em vista pelo legislador, seria suficiente a intervenção do
médico, “com imposição de este apenas comunicar ao empregador a aptidão ou inaptidão do trabalhador para o desempenho da
atividade em causa”.
200 Cf. para o efeito, Acórdãos do Tribunal Constitucional nºs 156/92, 177/92, 231/92, 43/96, 394/93.
201 Cf. Acórdão n.º 255/2002, no qual o Tribunal Constitucional considerou a permissão, contida nos nºs 1 e 2 do

artigo 12.º do Decreto-Lei n.º 231/98, de 22 de julho, da utilização de equipamentos eletrónicos de vigilância e
controlo por parte das entidades que prestam serviços de segurança privada, ainda que materializando uma restrição
ao âmbito do direito à reserva sobre a intimidade da vida privada. Também no Acórdão n.º 207/2003, sobre a
questão da utilização de equipamentos de videovigilância eletrónica das consolas de jogos, abertas ao público,
reiterou a mesma ideia explanada anteriormente.

76 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

depende dos “critérios resultantes das valorações sociais correntes sobre a questão (...) desde que
harmonizáveis com os princípios gerais do ordenamento jurídico (...) Daí que a própria noção de vida privada
seja em certa medida dependente do indivíduo, também em função das valorações de cada formação social”.
Assim sendo, poderemos inferir que a natureza privada parece não se determinar
exclusivamente em função da vontade da pessoa, outrossim inclui uma justificação objetiva do
interesse da reserva, segundo as “valorações sociais correntes” ou “valorações de cada formação social”202.
No mais, para se determinar o conteúdo do direito à reserva sobre a intimidade da vida privada,
importa precisar a significância do termo ‘reserva’. A este propósito, o Tribunal Constitucional
não tem pugnado por uma diferenciação entre a intromissão ou intrusão na vida privada (com
perturbação da tranquilidade ou simples aquisição de informação) e a divulgação de
informação relativa à vida privada, designadamente no sentido de limitar a tutela constitucional
a uma delas, ou a ambas203.
Importa, prestar atenção sobre o conteúdo das informações relativas à inviolabilidade do
domicílio e da correspondência (p. nos termos e para efeitos do artigo 34.º, n.º 1 da CRP) e
todo um conjunto de questões meritórias de consideração em relação ao direito à imagem
(disposto no artigo 79.º do CC).
Em relação à primeira, as garantias de inviolabilidade do domicílio e da correspondência
proporcionam uma tutela quer em domínios particulares. Precisando, torna-se verosímil que
este tipo de tutela assume uma tipologia de pendor formal, na medida em que não se acebe
como necessário que as informações colhidas no domicílio ou em comunicações incidam sobre
matérias da vida privada. Algumas são as informações públicas que assumem relevância para
efeitos de reserva à intimidade da vida privada, conquanto não meritórias do qualificativo de
utilidade pública.
Por último, quanto ao cômputo de incidência subjetiva, dir-se-á que o direito à reserva
sobre a intimidade da vida privada respeita não somente a pessoas singulares, como também a
pessoas coletivas204, em razão do princípio da universalidade, tal-qual plasmado no artigo 12.º
da CRP.

202 Clarividente que são informações que dizem respeito à reserva da intimidade da vida privada aquelas referentes
à origem étnica, vida familiar, vida sexual, condenações em processo criminal, situação patrimonial e financeira,
segredo médico ou sigilo profissional, segredo bancário [direito que subsiste na esfera jurídica das pessoas coletivas]
etc.. Por exemplo, os dados que versem sobre a saúde do individuo integram também, sem dúvida, a vida privada
objeto de tutela-constitucional plúrima, ainda que não se cinjam – no seu computo subjetivo operante – a elementos
respeitantes a estados patológicos. Também nesse sentido, os dados relativos a informações sobre relações
amorosas ou afetivas de um sujeito estão abrangidos, não somente pelo artigo 35.º, como pelo artigo 26.º, ambos
da norma normarum. Já os dados relativos que viabilizem a geolocalização dependem do hiato espacial a que os
acontecimentos reportam e da medida em que estes possam permitir correlacionar informações e deduzir aspetos
sobre a vida privada e/ou mesmo íntima de um sujeito, inclusive para efeitos do ato de definição de perfis, p. no e
pelo artigo 22.º do RGPD. Segundo o acórdão citado no corpo do texto – o Acórdão n.º 263/97 – “a própria noção
de vida privada [é] em certa medida dependente do indivíduo, também em função das valorações de cada formação social”. Importa,
portanto, em consonância também do que resulta do artigo 80.º, n.º 2 do CC, atentar numa extensão da reserva
conforme à ‘condição das pessoas em causa’ e à ‘natureza do caso’.
203 Assim, no caso decidido pelo citado Acórdão do TC n.º 368/2002, na previsão legal do dever de sujeição à

realização de testes ou exames médicos, verificar-se-ia, na perspetiva do requerente, de forma injustificada e


desproporcionada, por um lado, uma intromissão na esfera privada e, por outro, uma revelação de informações
relativas a essa esfera. No entanto, em relação a esta, o Tribunal Constitucional, em vez de a considerar justificada,
considerara estar em causa uma limitação legitima do direito à reserva sobre a intimidade da vida privada (o que
não se compreende).
204. A determinação da compatibilidade dos direitos conecta-se com o substrato físico e psíquico, operação esta

carecida de ponderação casuística. A este respeito, importa subsumir o ‘segredo dos negócios’. Já o direito à vida -
cf. Acórdão n.º 539/97, sobre a dissolução de uma sociedade em consequência da declaração – e o direito de fundar
uma família não são compatíveis com a própria natureza das pessoas coletivas. Mas as pessoas coletivas podem já
ser titulares dos direitos de associação, do direito à inviolabilidade do domicílio ou do direito ao segredo da
correspondência – cf. Acórdão Tribunal Constitucional n.º 539/97. Sobre o segredo da correspondência das
pessoas coletivas, o Acórdão n.º 198/95 sublinhou que a sua titularidade não implica necessariamente que o direito
apresente a mesma extensão e conteúdo que tem para as pessoas físicas.

77 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

O Professor Alexandre Sousa Pinheiro e as suas breves asserções acerca do direito à


autodeterminação informativa
Desde logo, o autor a que ora se alude, aponta dúvidas quanto à designação do direito.
Segundo o próprio: “não pode iludir-se um aspeto essencial, e criador de equívocos e inexatidões, ligado à
qualificação do direito que analisamos como ‘proteção de dados’ ou mesmo ‘proteção de dados pessoais’. A
ilustre doutrina que crismou este direito reconhece-lhe a ‘falha original’: o que está em causa não são ‘dados’ ou
a sua ‘proteção’, mas a pessoa. Adiantamos que o relevante se centra na ‘informação pessoal’, e que a evolução
deve caminhar, no sentido que propomos, para a ‘identidade informacional’”. A ver do douto jurista, são
dois os elementos fundamentais do direito à proteção de dados pessoais: (1) o conhecimento
da informação pessoal recolhida para a realização de tratamentos de dados pessoais enquanto
aspeto fundamental da autodeterminação do individuo; (2) o direito de acesso, manifestado (a)
na cognição e comunicação de dados que digam respeito ao titular, em termos idênticos aos
que são exigidos no direito à informação, (b) conhecimento da lógica subjacente ao tratamento
automatizado de dados; (c) o direito de retificação, apagamento e bloqueio nas situações em
que, através do acesso, se demonstre que os dados apresentam um caráter incompleto ou
inexato.
Como limites, em conformidade com o que se desenvolverá, infra, as restrições no acesso
à informação relevarão em algumas das situações em que estão em causa valores supremos,
como sejam, a segurança do Estado e a necessidade de levar a cabo atos de prevenção,
investigação ou repressão da atividade criminosa.

O artigo 35.º na conjetura histórico-substancial dos 40 anos de ‘Utilização da


Informática’205

Desde o seu texto originário, aprovado em 1976, que a CRP integra um preceito com a
epígrafe ‘Utilização da informática’, com este havendo sido pioneira na consagração
constitucional de direitos que especificamente protegem os dados pessoais dos cidadãos em
relação ao uso das novas tecnologias. Como a epígrafe indica, o artigo 35.º veio regular
juridicamente problemas levantados pelo uso do computador, constituindo uma primeira
expressão, com dignidade constitucional, do Direito da Informática ou, talvez hoje,
preferivelmente, do Direito da Eletrónica. Este artigo institui um direito fundamental à
autodeterminação informativa, traduzido num conjunto de direitos relacionados com o
tratamento automático das informações pessoais dos cidadãos, que visam, simultaneamente,
protegê-las perante ameaças de recolha e de divulgação, assim como de outras utilizações
possibilitadas pelas novas tecnologias, e, também, assegurar aos respetivos titulares um
conjunto de poderes de escolha nesse âmbito. Atualmente, deve ser objeto de atenção, ao lado
do volume crescente e da diversidade da informação, a galopante rapidez com que a
informação é recolhida e partilhada, por vezes de forma instantânea, em tempo real e por
múltiplos utilizadores, a preocupação do legislador constituinte.
Pois bem, algumas foram as revisões constitucionais que se adaptaram tendencialmente à
evolução da realidade tecnológica – hoje também de informação, comunicação e interação -
mormente no que contende diretamente com o artigo 35.º da CRP206.

205 CASTRO, Catarina Sarmento, 40 anos de ‘Utilização da Informática’ – o artigo 35.º da Constituição da República Portuguesa,
ePública, Revista Eletrónica de Direito Público, vol. 3, n.º 3, dezembro de 2016. Disponível em
http://www.scielo.mec.pt/scielo.php?script=sci_arttext&pid=S2183-184X2016000300004.
206 Esta evolução patenteia-se, sobretudo, no facto de a redação do atual artigo 35.º da CRP garantir a todos a

utilização das redes, concedendo dignidade constitucional a um direito fundamental à Internet.

78 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

O direito à autodeterminação informativa segundo os ditames propugnados pelo


artigo 35.º da norma normarum
Como afirmamos anteriormente, a Constituição consagrou, no seu artigo 35.º, um direito
à proteção de dados pessoais, construído com autonomia relativamente à proteção da reserva
da intimidade da vida privada e familiar, p. no artigo 26.º. Aliás, os tratamentos de dados
relativos à vida privada são também enunciados num número especial do artigo 35.º, do qual
constam esse e outros dados cujo tratamento se pode revelar particularmente sensível,
merecendo um regime de tratamento mais severo.
A imprescindibilidade desta dicotomia protecional, sem prejuízo de ambos constituírem
direitos sobre informação, fora detetada, logo no final dos anos 60, pelo Conselho da Europa,
que entendeu ser necessária a fixação de um instrumento de proteção mais abrangente do que
os existentes e relativos á defesa da vida privada, como a Convenção Europeia dos Direitos
do Homem207 ou a Declaração Universal dos Direitos do Homem208. A nível interno, a CRP
veio consagrar o direito à ‘utilização da informática’ no catálogo de DLGs’. A necessidade
desta proteção diferenciada viria, mais tarde, a ser também reconhecida pela Carta de Direitos
Fundamentais da União Europeia 209.
São vários os direitos a que o artigo 35.º da CRP concede expressa dignidade constitucional,
compondo um direito do individuo à autonomia informacional: desde logo, (1) o direito de
acesso ao tratamentos de dados pessoais para conhecimento dos dados que lhe respeitem; (2)
o direito à retificação dos dados, quando estes se encontrem organizados ou expressos de
forma errada ou incompleta; (3) o direito à sua atualização, de modo a que representem de
modo fiel a informação do indivíduo; (4) o direito a conhecer a finalidade dos tratamentos de
dados, finalidade esta que acaba por ser determinante, p.ex., para se apurar a adequação,
pertinência e proporcionalidade dos dados, ou do respetivo período de conservação ou, ainda,
da eventual existência de desvios de finalidade (n.º 1); o direito ao tratamento de dados,
designadamente aqueles cujo processamento se pode revelar especialmente sensível (n.º3); e o
direito à não divulgação de dados objeto de tratamento, traduzido na proibição do acesso aos
dados por terceiros (n.º 3), que obriga à imposição de um dever de segredo ou sigilo
profissional, que impende sobre quem trata os dados pessoais, seja como responsável ou
técnico.
O n.º 5 estabelece aquilo que foi considerado como uma garantia, ao dificultar o inter-
relacionamento das informações mediante a proibição de um número único nacional
identificativo de cada cidadão (n.º 5). A constituição procede ainda, por fim, à equiparação da
proteção concedida aos dados pessoais em formato eletrónico (independentemente de se
encontrarem estruturados) aos dados organizadamente estruturados em ficheiros manuais (n.º
7). Este último ponto surge como salvaguarda contra a utilização destes ficheiros por forma a
que se contornasse o regime protetor dos dados pessoais eletronicamente tratados.
Mais do que um dever de segredo e de segurança – que obriga os responsáveis dos
tratamentos de informações pessoais, impondo-lhes que se abstenham da sua divulgação e que
adotem condições seguras de tratamento, e sobretudo, permitindo ao indivíduo negar
informação pessoal, opondo-se à sua recolha, partilha e interconexão – o direito de
autodeterminação informativa também dota o titular dos dados de instrumentos que lhe
permitem dispor e controlar dos dados pessoais objeto de tratamento que lhe respeitem, seja
ele realizado pelo setor público, seja realizado pelo setor privado. O que significa que este

207 Cf. artigo 8.º, n.º 1, segundo o qual “qualquer pessoa tem direito ao respeito da sua vida privada e familiar, do seu domicílio
e correspondência”.
208 Cf. artigo 12.º, segundo o qual: “ninguém sofrerá intromissões arbitrárias na sua vida privada, na sua família, no seu domicílio

ou na sua correspondência, nem ataques à sua honra e reputação”.


209 Cf. artigos 7.º e 8.º, conforme supra.

79 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

direito, vinculativo quer de entidades públicas quer de entidades privadas, e do qual são
titulares, universalmente, todas as pessoas físicas (sem prejuízo de outros direitos de segredo
de que beneficiem as pessoas coletivas), não é, somente, um direito de caráter defensivo em
face da realização de operações de tratamento de dados pessoais, como a recolha, o registo, a
organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta,
a utilização, a divulgação por transmissão, divulgação ou qualquer outra forma de
disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição de
dados pessoais210. É, ainda, um direito de conformar esses tratamentos, podendo cada
individuo determinar o que podem os outros, em cada momento, saber e usar a seu respeito,
controlando a partilha e utilização dos seus dados pessoais 211.

O direito à Internet em especial


Como já fizemos notar, o n.º 6 do artigo 35.º da Constituição prevê que a todos seja
garantido o livre acesso às redes informáticas de uso público. Esta disposição reflete a
sensibilidade do legislador, na revisão constitucional de 1997, em relação à evolução
tecnológica, sua repercussão na vida pessoal e social, e suas implicações jurídicas.
O Direito não poderia alhear-se das transformações operadas por uma rede mundial de
computadores, uma realidade crescentemente ligada à nossa existência individual e social, que
interfere com a comunicação entre indivíduos, e com as relações pessoais e de trabalho,
surtindo reflexos, designadamente, na educação e na cultura, no acesso a serviços
administrativos e na economia.
Esta nova esfera de atuação foi-se tornando progressivamente acessível, num registo de
comunicação interativo, em que todos são simultaneamente emissores e recetores, de modo
instantâneo, à escala mundial.
O direito consagrado no n.º 6 do artigo 35.º deve ser encarado nas suas múltiplas facetas,
por um lado, como direito de acesso à rede, às infraestruturas tecnológicas que tornam
possíveis os serviços de comunicação, mas também, por outro, como direito de utilização das
funcionalidades de comunicação, de informação, de conhecimento, de participação, de
interação, de partilha e de relacionamento digital na Internet – designadamente mediante o uso
do correio eletrónico, de redes sociais, de motores de busca e da World Wide Web em geral.
Estamos defronte um novo direito de acesso a um novo caminho ou espaço de comunicação,
e o direito a existir nele.
Ora bem, se o uso generalizado da Internet acarreta, nalguns casos, novas ameaças para
velhos direitos, como o direito à honra, ao bom nome, à autodeterminação sexual, bem como
à intimidade da vida privada, ou se é espaço virtual de incitação à violência e terrorismo, ou de
emissão de mensagens racistas, ou mesmo que pode perigar o direito à autodeterminação
informativa, o seu uso também veio, ao invés, permitir novas formas, desmaterializadas e em
rede, de exercícios de velhos direitos do mundo analógico. Isto porque o direito de acesso à
Internet pode ser considerado como um direito fundamental instrumental, potenciador e
amplificador de outros direitos e liberdades. Nestes direitos poderá incluir-se a liberdade de
expressão e de comunicação, de informar, de se informar e de ser informado, o direito de
associação, reunião e manifestação, o direito de acesso ao conhecimento, à educação e à

210 Cf. para o efeito, artigo 4.º, n.º 2 do RGPD.


211 “Este direito à autodeterminação informativa é um verdadeiro direito fundamental, com conteúdo próprio (com o seu especial
“Schutzbereich”), e não apenas uma garantia do direito à reserva da intimidade da vida privada.
Embora possa proteger informação íntima, e se assuma, instrumentalmente, como direito-garantia daquela (a reserva da intimidade
da vida privada seria, então, o direito-direito, na noção de VIEIRA de ANDRADE), é também um direito dirigido à defesa de
novas facetas da personalidade – é um direito de personalidade – traduzido na liberdade de controlar a utilização das informações que
lhe respeitem (desde que sejam pessoais), e na protecção perante agressões derivadas do uso dessas informações.” – cit..., CASTRO,
Catarina Sarmento, supra...

80 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

cultura, bem como o direito de participação democrática, sendo o direito à Internet,


igualmente, indispensável á concretização da democracia eletrónica, ou para o acesso à
informação administrativa, ou a serviços administrativos eletrónicos, funcionando, neste caso,
como pressuposto necessário ao exercício de um eDireito ao relacionamento do cidadão com a
Administração Pública. Em suma, o direito à Internet, que o n.º 6 do artigo 35.º consagra, é,
nesta perspetiva, um direito funcionalizado à garantia de outros direitos, ou ao pleno gozo
destes. Mas o direito à Internet é também um direito fundamental de conteúdo próprio, um
direito de interação e de participação na estrutura social em rede, de relacionamento digital,
ainda que intimamente ligado ao direito ao livre desenvolvimento da personalidade, já que o
uso da rede, dos serviços de comunicação que propicia, e dos seus conteúdos, podem ser hoje
indispensáveis à realização pessoal e social de cada individuo. Um tal direito é um direito de
integrar a sociedade digital, através da inserção e da interação na infraestrutura tecnológica,
humana e social, que é a rede.
Embora a rede das redes seja uma rede mundial, vem, ainda, longe o acesso universal (de
todos, e de todos os povos) à rede. Contudo, entre nós, considerar a consagração de um direito
à Internet como integrando o catálogo de DLGs’, obriga a que se sublinhe a importância do
acesso universal à Internet, e, por isso, a que seja imperativo o combate à digital divide,
decorrendo este do n.º 6 do artigo 35.º da CRP.

A Comissão Nacional de Proteção de Dados Pessoais (artigo 35.º, n.º 2 CRP)


A previsão constitucional da instituição de uma autoridade administrativa independente,
hoje prevista e consagrada no n.º 2 do artigo 35.º, foi introduzida pela quarta revisão
constitucional de 1997212. Veio a ser a Lei n.º 10/91, de 29 de abril. A criar a então designada
Comissão Nacional de Proteção de Dados Informatizados (CNPDI). Não obstante, viria a ser
a revisão constitucional de 1997 aquela que conferiria dignidade constitucional à autoridade
administrativa que, dotada de independência, garante aos cidadãos do Estado Português a
proteção dos seus dados pessoais. As competências da atual CNPD encontram-se foram
definidas pela Lei n.º 67/98, de 26 de outubro213.
Pois bem, a caraterização da CNPD como autoridade administrativa independente reflete
a circunstância desta entidade administrativa não estar sujeita a direção, superintendência ou
tutela do poder político, pautando a sua atuação por critérios de natureza essencialmente
técnica, e assegurando o estatuto dos seus membros, a independência e imparcialidade da sua
atuação, em virtude de lhes serem atribuídas garantias de inamovibilidade e de
irresponsabilidade, bem como a sujeição a um especial regime de incompatibilidades.
Dotada de competências de controlo administrativo prévio, no caso dos tratamentos que
representem um maior risco, bem como de regulamentação, fiscalização e de sancionamento,
o modelo adotado atém-se como o resultado da Diretiva 95’. Discute-se atualmente, após a
aprovação do RGPD, acerca da necessidade de uma nova legislação em matéria de proteção
de dados que, nomeadamente, clarifique as novas competências da autoridade nacional de
proteção de dados pessoais. Isto, apesar de o Regulamento ser vinculativo e diretamente
aplicável em Portugal, na qualidade de Estado-Membro da União Europeia.
Ora bem, uma modificação significativa nas suas competências, consequência traçada no
desenho plasmado no Novo Regulamento, traduzir-se-á na adoção de um novo modelo de
supervisão que, em termos gerais, elimina a supervisão prévia traduzida num controlo
administrativo antecipado de modelo autorizativo, substituindo um regime preventivo por um
mais reativo, deixando-se parte da função verificativa à autorresponsabilização dos

212 O artigo 267.º, n.º 3 da CRP prevê que a lei possa criar entidades administrativas independentes.
213 Este diploma foi alterado pela Lei n.º 103/2015.

81 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

responsáveis pelos tratamentos de dados, ou a empresas e profissionais de certificação


reconhecidos pelo Estado214. O novo modelo apresenta inegáveis vantagens para aqueles –
cidadãos, empresas e instituições públicas – que pretendam iniciar uma atividade, pública ou
privada, que requeira o tratamento de dados pessoais, por afastar os entraves administrativos
e temporais a que sempre se sujeita uma atividade dependente de autorização, incluindo os que
necessitem de, no âmbito da prestação de serviços no mercado interno, fazer circular dados
pessoais indispensáveis à circulação de bens e de serviços. Contudo, não se prescinde de
reflexões o futuro que subjazerá à efetiva proteção de dados pessoais, em face da reconhecida
evolução tecnológica e das limitações da resposta dos titulares dos dados perante as sempre
renovadas, e cada vez mais refinadas, ameaças.

Os dados sensíveis (artigo 35.º, n.º 3 da CRP)


O n.º 3 do artigo 35.º da norma normarum proíbe o tratamento de um conjunto de dados
considerados sensíveis, concebendo ao titular dos dados pessoais um direito ao seu não
tratamento. São no antedito número enunciados os dados referentes a convicções filosóficas
ou políticas, filiação partidária ou sindical, fé religiosa, vida privada ou origem étnica. A
proteção suplementar que lhes é conferida tem-se justificada pelo facto de o seu tratamento
poder implicar riscos acrescidos nos direitos fundamentais. Sucede que a evolução do risco
para os dados pessoais sofreu influência desde a Diretiva 95’. Então, o Regulamento, que veio
revogar a Diretiva, mantém o essencial quanto às categoriais de dados pessoais, acrescentando
a ‘orientação sexual’, mantendo o regime em que são previstas exceções à proibição de
tratamento.
Admite-se, na atual redação do artigo 35.º, n.º 3 CRP, o tratamento destes dados cujo
tratamento se pode revelar sensível, mediante autorização da lei, desde que com garantias de
não discriminação, ou com consentimento expresso do titular dos dados. Relativamente à
exceção prevista no caso de haver consentimento do titular dos dados pessoais para o
tratamento de informações sensíveis, é bom destacar que o RGPD veio intensificar as
exigências relativamente ao consentimento, que deverá assim sendo traduzir-se num ato
positivo claro, indicador de uma vontade livre, específica, informada e inequívoca 215. Por outro
lado, note-se que sendo o consentimento solicitado numa relação jurídica em que seja patente
o desequilíbrio entre as partes, deve considerar-se, em face deste, que o consentimento não
cumpre os requisitos de ser livre e voluntário216. A Constituição também autoriza, desde a sua
versão originária, o processamento destes dados sensíveis para fins estatísticos, exigindo a sua
anonimização217. A atual Lei de Proteção de Dados acrescentou ao elenco constitucionalmente
previsto os dados relativos à origem racial e vida sexual, os dados genéticos e os dados de
saúde. A este último caso já se havia referido a jurisprudência constitucional, no Acórdão n.º
355/97, caraterizando-se como dados sensíveis, ainda que estes não se encontrassem

214 Para mais desenvolvimentos sobre o tema, v. CALVÃO, Filipa, O modelo de supervisão de tratamentos de dados pessoais
na União Europeia: da atual Diretiva ao futuro Regulamento, Revista Fórum da Proteção de Dados, n.º 1, julho 2015, pp.
35 e ss.
215 Cf. considerando 32 e artigo 7.º do RGPD.
216 É o que acontece, p.ex., nas relações laborais, em que o titular dos dados pessoais é o trabalhador-empregado,

investido que se encontra na posição mais fraca da relação jurídica em causa. Sobre o tratamento de dados pessoais
no âmbito do trabalho e, em especial, sobre o consentimento, v. Parecer do Grupo de Trabalho do Artigo 29.º,
Parecer n.º 8/2001, de 13 de setembro de 2001. Disponível em:
Http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
recommendation/files/2001/wp48_en.pdf.
217 Sobre o tratamento de dados para fins estatísticos, a importância dos dados estatísticos, a anonimização, a

pseudonimização, o segredo estatístico, e os desafios lançados pela necessidade de informação para fins de
investigação científica, v. 217 CASTRO, Catarina Sarmento, A limitação do segredo estatístico: segredo estatístico vs. Publicidade,
Indicadores Locais de Desenvolvimento Sustentável. O Caso de Estarreja, Instituto Jurídico da Faculdade de Direito, 2017,
pp. 152.º e ss.

82 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

expressamente incluídos no elenco do artigo 35.º, n.º 3. Fê-lo recorrendo à noção de vida
privada, dele expressamente constante, integrando os dados de saúde nessa especial categoria
de dados pessoais. No mesmo Acórdão, ao explicar-se a ampliação da categoria de dados
sensíveis aos dados de saúde através da fórmula ‘vida privada’, adianta-se que “os dados de saúde
integram a categoria de dados relativos à vida privada, tais como as informações referentes à origem étnica, à
vida familiar, á vida sexual, condenações em processo criminal, situação patrimonial e financeira”.

O número nacional único (artigo 35.º, n.º 5 CRP)


A proibição constitucional do número nacional único, hoje parte integrante do normativo
35.º, n.º 5 da CRP218, tem a sua origem na reação ao projeto de criação de um registo individual
do cidadão, sendo – em nosso entender – uma disposição datada. Considerações históricas à
parte, diga-se o perigo assacado – e mais apontado – à instituição de uma chave única de acesso
é o possibilitar do acesso simultâneo a vários ficheiros que, em conjunto e interrelacionados,
reconstituiriam um perfil único dos titulares.
Ora bem, no contexto histórico em que a proibição surge, a maior ameaça às informações
pessoais do cidadão tinham que ver com o resultado da possível existência de grandes ficheiros
de dados pessoais, interconectados, detidos por entidades públicas 219, mas também algumas
entidades privadas que se ocupam do tratamento de grandes volumes de dados relativamente
a um elevado número de pessoas singulares, como sucede p.ex., no caso dos bancos e das
seguradoras. Mais tarde, já após aprovação do próprio texto constitucional, a discussão sobre
o número único foi retomada a propósito do Decreto-Lei n.º 463/79., que estabelecia a criação
de um número fiscal. Esse número destinar-se-ia a identificar os cidadãos perante a
Administração fiscal sendo, por outro lado, ao contrário do número de identificação único p.
pela Constituição de 1973, um número sequencial, não formado a partir de códigos específicos
que pudessem ser reveladores de caraterísticas ou situações específicas 220.
No mais, em respeito ao número fiscal, a Comissão Constitucional considerou que o
mesmo, quando relativo a pessoas singulares, possuía “uma chave de identificação própria, sem recurso
a qualquer identificador comum a vários ficheiros, e não se encontra(va) regulamentada em termos de permitir
qualquer interconexão com outros ficheiros automatizados, estes que continham dados de caráter pessoal”.
Assim, ficava desde logo afastado o diálogo, mediante a utilização de um identificador comum,
entre outros, com o número de identificação civil, da segurança social, ou até mesmo no que
contende com os dados da própria carta de condução.
Assim, concluía a Comissão que não se deveria conceber como preterida a proibição
plasmada pelo n.º 6 do artigo 35.º CRP, relativa á atribuição de um número nacional único aos
cidadãos. No texto, a própria Comissão reconhecia que a opção por uma chave
individualmente atribuída a cada cidadão, funcionando como acesso comum a vários ficheiros
setoriais, constituía um problema para as liberdades públicas e para a intimidade da vida
privada dos cidadãos. Esta era – à data – a maior ameaça provocada pela informática, que
neste período se encontrava, fundamentalmente, ao serviço da máquina administrativa: a
reunião de dados que isoladamente nada significariam, mas que, quando interconectados,
representariam correlações suscetíveis de manifestarem o retrato do indivíduo, possibilitando
a jusante a sua constante monitorização e controlo, assim se parametrizando a sensibilidade da
matéria em voga.

218 Mas que já podia ser encontrada na versão aprovada em 1976, no então n.º 3.
219 Refira-se o exemplo da administração dos serviços de identificação, para emissão do bilhete de identidade, ou a
própria administração fiscal, a segurança social, ou até mesmo o acesso aos dados na disponibilidade – sem qualquer
fundamento para o efeito – por parte dos órgãos de polícia criminal.
220 Como, p.ex., a data, o local de nascimento, o sexo e a própria nacionalidade.

83 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

De todo o modo, a proibição de um número único nacional não colide com a instituição
de um cartão que em si mesmo reúne números setoriais diversos e respeitantes a vários
tratamentos de dados diferentes, sem interconexão entre eles221.
Hodiernamente, os verdadeiros perigos de vigilância não resultam do uso do número único
que sirva para identificar um individuo perante vários ficheiros, já que a correlação da
informação é possível mesmo sem essa atribuição, e correspondendo ao mesmo cidadão
números diferentes. O que é necessário é que se disponha de regras de acesso e interconexão
bem definidas, e de medidas técnicas e organizativas de segurança da informação222. Por outro
lado, a proibição de um número único dificulta a concretização da Administração Eletrónica,
sem, todavia, impedir eficazmente o tratamento massivo de informações (Big Data) por
entidades públicas, sobretudo ligadas à segurança, por vezes sem o cumprimento das regras
mais adequadas á proteção de dados pessoais, e por entidades privadas.

A legislação em matéria de proteção de dados pessoais


Apesar da dignidade constitucional que lhe é atribuída, a proteção dos dados pessoais exige
a intervenção do legislador 223, conforme estabelece o texto do artigo 35.º da CRP. Assim, o
texto constitucional não só define que é a lei que estabelece as exceções aos direitos ou
condições de tratamento nele fixadas – por exemplo, exceções à proibição quando ao acesso
aos dados pessoais por terceiros -, aliás, como impõe ao legislador a definição do conceito de
dados pessoais e das condições aplicáveis ao seu tratamento (em consonância com o disposto
no n.º 4 do artigo em causa). Apenas na sequência do Acórdão n.º 182/89, surge a primeira
Lei da Proteção de Dados. Com a aprovação da Lei n.º 10/91, de 29 de abril, são cumpridas
algumas imposições constitucionais 224, concretizando – nomeadamente – o direito de
informação, ao acesso, de correção ou de eliminação de dados desatualizados, assim como o
próprio princípio da finalidade do tratamento. Mais tarde, na Lei n.º 67/98, de 26 de outubro,
aprovara-se a nova Lei de Proteção de Dados Pessoais, relativa à proteção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
A Diretiva à data vigente pretendera harmonizar a defesa dos direitos e liberdades
fundamentais das pessoas singulares em relação aos tratamentos de dados pessoais e,
simultaneamente, assegurar a livre circulação desses dados entre Estados membros, condição
indispensável ao funcionamento do mercado interno europeu. Assim, poder-se-á referir que
também as normas europeias procuraram de certa forma – ainda que tal se tenha vindo a
revelar infrutífero – resolver os problemas gerados pela vulgarização dos computadores
pessoais e da sua utilização por entidades públicas e privadas. A realização de operações de
tratamentos de dados deixara então de ser um privilégio do Estado (Big Brother) e de grandes
empresas privadas que abrangiam no seu cômputo operante muitos clientes e muitos
funcionários, para se tornar acessível a cidadãos e pequenas empresas (Little Brother).

221 Para além de que, outros números setoriais, mas universais, existem já – como sucede com o número da
segurança social, o número de utente do serviço nacional de saúde, o número do cartão de cidadão, o número de
contribuinte, etc. Em relação a este último, o próprio atualmente viabiliza, em teoria, o traçamento do perfil muito
claro do indivíduo com base no seu padrão de consumo, inclusivamente geográfico.
222 Já na revisão constitucional de 1997, os Deputados José Magalhães e Luís Marques Guedes relembraram o

contexto histórico em que surgiu a disposição, chegando o último a considerar que esta seria, em 1997,
perfeitamente dispensável. No entanto, a redação manteve-se inalterável.
223 Refira-se que, relativamente à definição de dados pessoais, quando a própria lei não concretiza as suas balizas

conceituais, porá em causa as garantias constitucionais.


224 Uma das mais importantes alterações foi a de as abandonar a necessidade de autorização da CNPDI em relação

aos fluxos transfronteiros de dados pessoais, quando estivessem em causa operações de transferência por de entre
territórios parte da Convenção 108, já que – nos termos desta – não seria possível estabelecer para esses casos uma
necessidade de autorização. De anotar que a antedita Convenção 108, do Conselho da Europa, versa sobre a
proteção das pessoas singulares no que diz respeito ao tratamento automatizado de dados de caráter pessoal, tendo
sido este o primeiro instrumento internacional juridicamente vinculativo em matéria de proteção de dados pessoais.

84 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Não obstante, nos mais de 20 anos decorridos desde a aprovação da Diretiva 95’, a
evolução tecnológica e um novo enquadramento social do uso dos novos mecanismos ditaram
que alguns aspetos da sua regulação se tornassem desajustados ou ineficazes. A globalização
sem fronteiras dos tratamentos dos dados, a generalização dos dispositivos ligados à Internet
– seja para comunicação, para prestação ou para acesso a serviços, para pesquisa ou divulgação
de informação, ou interação -, assim como o aumento da recolha e da partilha de dados
pessoais, o armazenamento de dados na nuvem, a ligação umbilical e rastreável de dados
pessoais aos dados das coisas tratados na Internet das Coisas, ou a facilidade de constituição
de perfis dos titulares dos dados, gerados com recurso a algoritmos computacionais que, de
modo veloz e discreto, constroem Big Data, são novos contextos tecnológicos a que a Diretiva
tinha dificuldade de responder 225. Assim, problemas como o de saber se estão sujeitos ás regras
de tratamento de dados pessoais as informações disponibilizadas por motores de busca na
Internet, ou o da aplicação dessas regras a tratamentos de dados que sejam realizados fora da
União Europeia, são ilustrativos de novas questões jurídicas emanadas da nova realidade
tecnológica. Por outro lado, a integração económica e social, e o funcionamento do mercado
interno alargado, originaram um significativo aumento dos fluxos transfronteiras de dados
pessoais.
E foi num ímpeto de procurar fazer face às dificuldades geradas pelos novos meios de
informação e comunicação, que foi aprovado o RGPD, de aplicação direta nas ordens jurídicas
nacionais dos Estados-Membros. Entre as várias disposições adotadas, destaque-se o seu artigo
3.º, relativo ao âmbito de aplicação territorial, que obriga, p. ex., os operadores presentes na
Internet ao cumprimento das normas definidas no Regulamento, estejam estabelecidos dentro
ou fora do espaço europeu, desde que prestem serviços que obriguem ao tratamento de dados
pessoais de cidadãos europeus. Também importa atentar no seu artigo 8.º, definindo as
condições aplicáveis especialmente ao ato de prestação do consentimento por crianças
relativamente aos serviços da sociedade de informação, e o artigo 17.º, prevendo de modo
expresso o ‘direito ao esquecimento’, traduzido na modalidade de apagamento de dados
pessoais. Repare-se, igualmente, que o artigo 22.º, em matéria de proibição da tomada de
decisões exclusivamente automatizadas, vem agora referir expressamente, a exclusão da
definição automatizada de perfis como base para a tomada de tomada de decisões automáticas.
Também é de considerar a nova perspetiva de obrigar os responsáveis pelo tratamento dos
dados pessoais a utilizar as medidas técnicas e organizativas mais adequadas à proteção de
dados desde a conceção do tratamento (privacy by Design), até a momento ulterior (privacy by Default).
Embora o Regulamento revogue a Diretiva 95’, que foi transposta para os Estados
Membros nas respetivas legislações internas, daí não se segue a revogação necessária da
legislação nacional existente, que se manterá em vigor desde que não disponha em sentido
contrário ao cômputo regulamentar pugnado pelo próprio Regulamento Geral. Por outro lado,
o facto de o Regulamento ser diretamente aplicável não proíbe a emissão de normas internas
dos Estados-Membros. O próprio Regulamento prevê especificações ou restrições das suas
regras pelo Direito de um Estado-Membro, de modo a que se possa estipular as circunstâncias
de situações específicas de certos tratamentos de dados pessoais 226. De entre as referências a
anotadas, importará sobretudo considerar o artigo 88.º, o qual prevê expressamente a
possibilidade da emissão de ‘normas específicas’ para garantia da proteção de dados pessoais
do trabalhador tratados no contexto laboral, assim como o artigo 6.º ou o artigo 90.º.

225 Sobre alguns dos desafios das novas tecnologias, SARMENTO, Catarina e Castro, A Jurisprudência do Tribunal de
Justiça da União Europeia, o Regulamento Geral de Proteção de Dados Pessoais e as Novas Perspetivas do Direito ao Esquecimento
na Europa, Estudos em Homenagem ao Conselheiro Presidente Rui Moura Ramos, Vol. I, Almedina, Coimbra,
2016, pp. 1047 e ss.
226 Cf. p.ex., artigos 8.º, 10.º, 19.º e 45.º.

85 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

A Jurisprudência constitucional e o artigo 35.º da CRP


A Comissão Constitucional, no já mencionado Parecer n.º 3/81, pronunciou-se acerca da
constitucionalidade da norma que instituía um número fiscal do contribuinte. Este seria “um
número sequencial, não significativo, para uso exclusivo no tratamento de informação de índole fiscal”. A
Comissão, para apurar se esta matéria deveria de estar sujeita à reserva da Assembleia da
República prevista, então, no artigo 167.º, n.º 1, alínea c) da Constituição, procurou determinar
se estaria enquadrada no âmbito do direito à reserva sobre a intimidade da vida privada, ou se,
ao invés, estaríamos defronte categorias especiais de dados – os dados sensíveis – aqueles p.
no artigo 35.º, n.º 2 da CRP e artigo 9.º do RGPD, respetivamente – ou ainda se a instituição
de um número fiscal de contribuinte violaria a proibição do número nacional único, constante
do então artigo 35.º, n.º 3 da CRP. A Comissão veio entretanto a considerar que nem todos os
tratamentos informatizados, ainda que contendo informações nominativas, respeitariam a
DLGs’, já que nem “todos os bancos de dados pessoais recolhem e tratam informações respeitantes à
intimidade da vida privada e familiar, à liberdade de consciência, religião e culto, ao direito à deslocação e de
emigração, às liberdades de reunião, de associação e de imprensa, à constituição e condições de ingresso em
partidos políticos, etc.”. Resulta do Parecer que a Comissão entendeu que apenas os dados
referentes a informações relativas à reserva da vida privada e outros direitos fundamentais,
estariam sujeitos à reserva relativa da Assembleia da República, conforme artigo 167, alínea c)
da Constituição. Nesta altura, recorde-se, a jurisprudência e a doutrina ainda não haviam
recortado um direito à proteção de dados pessoais com o sentido mais abrangente que hoje
lhe é conferido, aquele que conota uma verdadeira autotutela da autodeterminação
informativa.
Em conformidade com aquilo que se depreende de explicações anteriores, a abordagem
das questões atinentes a informações pessoais na jurisprudência do Tribunal Constitucional
tem sido maioritariamente feita por invocação do direito á reserva sobre a intimidade da vida
privada – artigo 26.º da CRP – ou do direito de inviolabilidade ou do sigilo das
telecomunicações – artigo 34.º da CRP. E em algumas destas decisões o objeto prende-se
mesmo com o tratamento automatizado de dados. Em alguns dos Acórdão227, em relação aos
quais se discutia a constitucionalidade da norma que estabelece que deve o empregador afixar,
de forma visível, o mapa do quadro de pessoal da empresa, ou no caso de apresentação deste
por meio informático, disponibilizá-lo para consulta no prazo de 30 dias, o Tribunal revelara
mesmo entender consumido no direito à reserva sobre a intimidade da vida privada a proteção
dos dados pessoais.
Não obstante, apresar da abundante jurisprudência do Tribunal Constitucional invocando
os referidos parâmetros constantes do artigo 26.º e 34.º, o próprio já recorreu diretamente à
previsão do artigo 35.º da CRP, de forma a proteger o cidadão em face do uso abusivo das
suas informações pessoais, uma vez que o âmbito de proteção deste e daqueles direitos não é
coincidente, existindo norma especificadamente dedicada à proteção de dados pessoais.
Uma dessas situações surge no Acórdão n.º 355/97, no qual estava em causa uma norma
relativa à constituição de ficheiros automatizados com registos oncológicos. Apesar de ter
considerado expressamente que os dados de saúde respeitavam à reserva sobre a intimidade
da vida privada, o Tribunal em causa considerou integrarem a categoria de dados
automatizados, recorrendo ao artigo 35.º para o efeito. Assim, nele se encontra patenteada a
ideia em como o preceito relativo à utilização de dados informatizados “reconhece e garante um
conjunto de direitos fundamentais, que aglutina”, como seja, o direito de acesso aos registos
informáticos para conhecimento dos dados pessoais dele constante (n.º 1), o direito de sigilo
em relação aos responsáveis de ficheiros automatizados e a terceiros dos dados pessoais

227 Cf. Acórdãos n.º 555/2007 e n.º 230/2008.

86 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

informatizados e do direito à sua não interconexão (n.º 2), e o direito ao não tratamento
informático de certos tipos de dados pessoais (n.º 3), referentes a convicções filosóficas ou
políticas, filiação partidária ou sindical, fé religiosa ou vida privada – salvo quando se trate de
uma tipologia de processamento de dados estatísticos não individualmente identificáveis.
Já o Acórdão n.º 213/2008, decidiu não existir uma preterição do artigo 35.º, n,º 4 CRP,
em função de uma norma que previa a admissão e valoração de provas documentais relativas
a dados pessoais do arguido respeitantes à sua vida privada, retirados de uma base
informatizada, e sem o respetivo consentimento do titular. Note-se – de suma importância –
que nele se afirmou expressamente que “a proibição do artigo 35.º, n.º 4 CRP não impede o acesso
apenas aos dados íntimos de uma pessoa, mas a todos os dados a ela relativos, m3wmo que em nada afetem a
sua privacidade. O que se pretende preservar é a informação individual de uma pessoa, independentemente desta
respeitar ou não à sua intimidade, prevenindo-se um potencial risco de violação de direitos fundamentais do
cidadão, nomeadamente o direito à reserva sobre a intimidade da vida privada” 228. Protege-se aqui o
chamado direito à autodeterminação informacional, o qual tem um círculo de aplicação, apenas
parcialmente coincidente com o círculo de aplicação do direito à reserva sobre a intimidade da
vida privada, e que funciona como direito de garantia deste. Adicionalmente, refira-se que o
artigo 35.º também foi utilizado como parâmetro no Acórdão n.º 368/2002, a propósito das
normas que versam sobre dados de saúde, ao instituírem as fichas clínicas e de aptidão, no
âmbito da segurança, higiene e medicina do trabalho.
Então, como se deixou já expresso, a invocação do artigo 35.º, para proteção da autonomia
do indivíduo relativamente às suas informações pessoais em caso de tratamento automatizado
não deve depender da presença de um tratamento de dados que envolva informações passíveis
de ser incluídas no âmbito da proteção do direito à reserva sobre a intimidade da vida privada
ou, sequer, do direito à inviolabilidade do segredo das comunicações 229. O seu âmbito de
proteção extravasa o objeto daqueles. Isto é, ainda que não esteja em causa uma operação de
tratamento de dados pessoais relativos à intimidade da vida privada, ou ao conteúdo ou aos
dados de tráfego das telecomunicações, os tratamentos de dados pessoais ficam sujeitos ao
regime consagrado no e pelo artigo 35.º da CRP, sendo garantido ao respetivo titular os direitos
aí consagrados – sempre, naturalmente, com a diferença de regime que possa resultar do facto
de serem, ou não, dados especialmente sensíveis – e dependendo a sua afetação do
cumprimento da exigência reforçada pelejada por uma aplicação do regime dos DLGs’ –
consonante com os quesitos do artigo 18.º, n.º 2 da norma normarum, aqueles explicitados supra.

A projeção de uma utilização dos dados informatizados e as vindouras tecnologias


Pelo seu objeto, incindivelmente ligado à utilização das sempre renovadas tecnologias de
informação e comunicação, o artigo 35.º será sempre um preceito em devir, já que até mesmo
a linguagem que utiliza se refere, necessariamente, a uma realidade em cada momento

228 MONIZ, Helena, Notas sobre a proteção de dados pessoais perante a informática, R.P.C.C., Ano 7, n.º 2, pp. 250-251.
229 Considerando que o direito à autodeterminação informativa do artigo 35.º não se restringe à tutela da vida
privada de cada um: SOUSA PINHEIRO, Alexandre, Privacy e Proteção de Dados Pessoais: a construção dogmática do Direito
à Identidade Informacional, Associação Académica da Faculdade de Direito da Universidade de Lisboa; F ARIA, Paula
Ribeiro, Anotação ao artigo 35.º da Constituição, Constituição Portuguesa Anotada, Tomo I, 2.ª ed., Coimbra Editora, 2010,
p. 785; CANOTILHO, José Joaquim Gomes e MOREIRA, Vital, Constituição da República Portuguesa Anotada, Vol. I, 4.ª
ed., Coimbra, Coimbra Editora, 2007, p. 551. M ONIZ, Helena, Notas sobre a Proteção de Dados Pessoais perante a
Informática – o Caso Especial dos Dados Pessoais relativos à saúde, Revista Portuguesa de Direito Criminal, Ano 7, Abril-
Junho, 1997, p.245.
Em sentido contrário, remetendo o âmbito de aplicação do direito à autodeterminação informativa ao preceito
relativa ao direito à reserva sobre a intimidade da vida privada, cf.. M OTA PINTO, Paulo, A proteção da vida privada e
a jurisprudência do Tribunal Constitucional, Relatório apresentado na Conferência Trilateral dos Tribunais
Constitucionais de Portugal, Espanha e Itália, 2006;

87 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

tecnologicamente datada 230. A permanente evolução tecnológica – e as modificações sociais


que a acompanham – dita que o Direito que a enquadra, mesmo quando se trata de um Direito
tendencialmente mais estável, como o que é composto por noemas de uma Lei Fundamental,
fique sujeito às necessárias adaptações.
Ora bem, o conteúdo do artigo 35.º é, igualmente, determinado pelas normas europeias,
muito sensíveis às temáticas das novas tecnologias e aos direitos dos cidadãos nestes domínios.
No mais, a antedita necessidade de adaptação evolutiva não belisca a relevância desta
proteção constitucional, a que o legislador constituinte reservou um preceito autónomo, que
extrapola o âmbito de abrangência do direito à reserva sobre a intimidade da vida privada, nos
termos consignados pelo artigo 26.º, reitere-se. Pelo contrário, instrumentos europeus
recentes, com o intuito de impulsionarem uma verdadeira tutela nos direitos fundamentais,
como a CEDF, não deixam de sublinhar esta distinção, consagrando disposições distintas para
a defesa do direito da vida privada e dos dados pessoais 231, assim se assumindo no paradigma
comunitário a fundamentalidade dos direitos da proteção de dados pessoais em si mesmo
considerados.
Assim, a consagração constitucional de um direito à proteção de dados pessoais, e de um
direito à Internet, é garantia destes direitos, que radicam da dignidade da pessoa humana e no
direito de autodeterminação do indivíduo-cidadão. Garantia em face das cada vez maiores
ameaças resultantes da evolução tecnológica que sempre descobrirá novas formas de
tratamento e de utilização da informação pessoal. E garantia perante a evolução social
tecnologicamente determinada, que é resultado da transformação da relação globalizada,
quotidiana e instantânea de cada um com as tecnologias de informação e comunicação.
Também contribui para esta transformação social da relação com as tecnologias o facto de a
sua utilização ser hoje mais acessível a destinatários de informações pessoais, mas também aos
respetivos titulares que percecionam como indispensável a sai utilização para o relacionamento
social e para o exercício de direitos. E é associada a essa indispensabilidade que o Direito
também oferece a garantia de acesso à rede como mecanismo técnico e, em simultâneo, de
inserção digital necessária, designadamente, ao desenvolvimento pessoal e social de cada um.
Em suma, pioneira na atribuição de dignidade constitucional ao direito da proteção de
dados pessoais, logo na sua versão originária de 1976, resulta do percurso empreendido que a
Constituição não se alheou da evolução tecnológica, procurando ajustar-se a novos tempos,
tendo o legislador constituinte por objetivo a garantia dos direitos e liberdades do cidadão na
sua relação com a constante novidade das tecnologias de ‘informação, comunicação e
interação’.

A Proteção de Dados Pessoais e o seu contexto no século XXI: novos e renovados


desafios232
Comece-se por enfatizar a ideia segundo a qual a fixação de um regime de tutela reforçado
quanto à proteção de certas categorias de dados, encontra-se diretamente relacionado com a
garantia da igualdade entre os cidadãos, demonstrando que a proteção de dados pessoais não
possui em si mesma apenas um objetivo – aquele relacionada efetivamente com a tutela da
privacidade – mas também que desempenha uma importante função social de garantia da
igualdade.

230 Neste sentido já se pronunciava, por exemplo, GARCIA MARQUES, José Augusto Sacadura, legislar sobre a Proteção
de Dados em Portugal, Legislação – Cadernos de Ciência e Legislação, INA, n.º 8, Outubro-Dezembro, 1993, pp. 37 e ss.
231 Veja-se, a título de recordar, a consagração respetiva dos mesmos nos artigos 7.º e 8.º da CEDF.
232 CALVÃO, Filipa, A relevância da proteção de dados pessoais e da privacidade e o artigo 35.º da Constituição, Jornadas nos 40

anos da Constituição da República Portuguesa, Impacto e Evolução, 2017.

88 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Sucede que, decorridos 40 anos sobre a afirmação constitucional deste direito, num artigo
que foi objeto de alterações nas diferentes revisões constitucionais, importa avaliar se o
disposto no artigo 35.º da CRP faz hoje ainda sentido ou se a evolução entretanto operada nos
mais diversos planos justifica a eliminação ou o enfraquecimento do direito à proteção de
dados pessoais. Com efeito, em causa está ainda um direito que visa proteger os cidadãos
contra pretensões de vigilância do Estado – reitere-se – a que se somam como realidade
evidenciada, as pretensões equivalentes de outros Estados e das empresas. Simplesmente, o
contexto tecnológico alterou-se, a realidade social mudou, os tratamentos de dados pessoais
modificaram-se. Por outras palavras, a realidade constitucional foi sofrendo modificações ao
longo dos últimos 40 anos, apresentando hoje caraterísticas bem distintas.
Desenvolvendo esta ideia, destaque-se em primeiro lugar que se alterara, entretanto que
mudou o ambiente ou o contexto em que os dados pessoais são recolhidos, processados e
utilizados, fruto da evolução tecnológica.
Em quatro décadas o salto tecnológico foi, na verdade, notável – em si mesmo, pelo que
representa como criação científica, mas também pelas vantagens que inegavelmente trouxe no
nosso dia a dia com a simplificação de todo um conjunto de atos que desempenhamos na
nossa vida quotidiana, como o pagamento de faturas nas caixas ATM ou por via eletrónica, a
aquisição de bens e serviços online, a aproximação das pessoas, bem como o encurtamento das
distâncias, o acesso a melhores cuidados de saúde, o maior acesso ou o acesso mais facilitado
à informação e ao conhecimento, muito devido à Internet, etc. Mas, além disso, os próprios
instrumentos do tratamento da informação pessoal são diferentes dos tradicionais ficheiros
eletrónicos. Tome-se como exemplo a disponibilização e circulação da informação na Internet,
as redes sociais, as comunicações eletrónicas, os sistemas de videovigilância, a Internet das
Coisas233. E esta informação trouxe consigo novos desafios à privacidade.
Em primeiro lugar, a exposição crescente quase inevitável da vida de cada um, voluntária
em muitos casos (v.g. redes sociais), involuntária noutros (leis e regulamentos), tanto perante
o Estado como perante as empresas, que por sua vez permitem ou são forçadas a disponibilizar
os dados ao Estado. Se considerarmos o conjunto da informação pessoal recolhida pelas
empresas quando navegamos na Internet ou ‘interagimos’ nas redes sociais, ou até mesmo
quando usamos dispositivos para medir a batida cardíaca ou o nível de açúcar no sangue, os
níveis detalhados de consumo na eletricidade ao longo do dia por uma máquina de
eletrodomésticos ou de algum dispositivo que funcione através da corrente elétrica, que revela
quando alguém está em casa, ou mesmo quando vemos TV 234, compreendemos que as
empresas que oferecem as plataformas eletrónicas ou as tecnologias que servem para
disponibilizar ou conservar esta informação, são detentoras de um conhecimento muito exato
sobre as pessoas e, por vezes, tendo uma perceção mais exata da vida delas do que elas próprias
detém – justificando-se a afirmação segundo a qual a Internet conhece-nos melhor do que nós
próprios.
Em segundo lugar, destaque-se a possibilidade praticamente infinita de relacionamento da
informação que as tecnologias hoje permitem e que origina fenómenos como os de Big Data e
o data mining. Ora, o primeiro fenómeno carateriza a criação de nova informação a partir do

233 Recorde-se, a terminologia Internet das Coisas, representa a recolha, transmissão e conservação de informação
relativa a pessoas singulares identificadas ou identificáveis ou singularizadas (distinguíveis no âmbito de um grupo
ou comunidade) a partir de dispositivos eletrónicos instalados em objetos do dia a dia – como sejam, televisões,
contadores elétricos, automóveis, relógios, etc. – informação essa que corresponde a medidas de consumo, traços
de condutas, ou até mesmo a parâmetros de avaliação do estado de saúde – sobre o tema, ANTUNES, Luís Filipe,
A Privacidade no mundo interconectado da Internet das Coisas, Forum de Proteção de Dados, 2, janeiro de 2016, pp. 52-
58.
234 Sendo que estas modalidades configuram tipologias, p.ex., de marketing à medida do cliente que controlam e

monopolizam o acesso à informação e vigiam a circulação dos consumidores no espaço público.

89 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

relacionamento e análise dos dados pessoais recolhidos nestes contextos tecnológicos,


catalogando as pessoas em perfis distintos, por meio da utilização de algoritmos, informação
essa que ainda se atém como meritória da qualificação como dado pessoal, por ser possível
reportá-la à pessoa a que diz respeito, ainda que somente singularizando-a. Este é então o
resultado da aplicação matemática a enormidades de dados de forma a que possam ser inferidas
probabilidades. E aqui entra o processo de data mining, que se traduz na pesquisa e
relacionamento da informação, identificando padrões, que permite formar os tais juízos de
probabilidade. Estes fenómenos, assim sumariamente caraterizados, alteram o paradigma do
tratamento e análise dos dados pessoais: não se pretender perceber o porquê, mas apenas o
quê. O objetivo é aumentar a previsibilidade de eventos e comportamentos. Pois bem, este
tipo de tratamento de dados não resultou apenas de um aumento exponencial do volume do
tráfego de dados na Internet, outrossim sobretudo do aumento da capacidade tecnológica de
conservação da informação (a custos muito reduzidos) e da sua análise.
Em terceiro lugar, a perpetuação da informação disponível na Internet, que origina uma
memória digital que nada esquece e que acumula a informação sobre o individuo ao longo de
toda a sua vida e para além dela.
Por outro lado, nestas quatro décadas mudaram os hábitos de vida, mudou a
consciencialização acerca da importância da privacidade, rectius, do que sobra dela. Mudaram
também a jusante as necessidades, bem como os interesses públicos e privados. Afirmam-se
os objetivos de eficiência na gestão das empresas e dos organismos públicos, que justificam a
utilização das tecnologias de comunicação, com os riscos que estas sempre importam, e a
centralização da informação como condição de uma gestão eficiente e eficaz, com os evidentes
riscos associados à concentração dos dados pessoais num mesmo sistema de informação.
Invoca-se a necessidade de segurança, em resposta às ameaças do terrorismo e da
criminalidade organizada sobretudo numa lógica preventiva que implica a vigilância
generalizada dos cidadãos, com tecnologia (reconhecimento facial) que permite detetar ou
seguir qualquer um na multidão, a análise preditiva de comportamentos, assente
essencialmente em data mining e na criação de perfis. O que implica a transformação do comum
cidadão num foco de interesse da investigação apesar de sobre ele não existir qualquer indício
de atividade ilícita passada, presente ou futura.
Afirma-se ainda a necessidade de uma sempre crescente transparência da administração da
coisa pública, que reclama ou justifica a crescente transparência da informação detida pelos
organismos públicos, como meio de prevenir o abuso de poder – e acaba por desencadear um
fenómeno de transparência dos cidadãos perante os restantes membros da comunidade estatal,
com uma intensidade e extensão que chega a haver quem se julgue no direito de conhecer o
horário de trabalho ou o vencimento e benefícios fiscais do vizinho ou a morada do professor
do filho. Ora, tudo isto acompanhado de uma realidade empresarial agressiva no que concerne
à privacidade dos (potenciais) clientes – também à escala global – criou um mercado de dados
pessoais (considerado legítimo em alguns ordenamentos jurídicos) em áreas tão sensíveis como
a saúde – onde os laboratórios e investigação clínica e seguradoras são potenciais interessados
no acesso a tais bases de dados – ou até mesmo no setor financeiro – cada vez mais dependente
da criação de perfis dos clientes dos devedores, etc.
Quanto ao futuro da sociedade se perspetiva, ou talvez se deva antes referir, que a sociedade
apresenta-se já como uma comunidade de identidades digitalmente criadas assentes em perfis
definidos por terceiros, com base nos quais se fazem juízos de antecipação de condutas e
portanto se julga o titular desse perfil ou se determina mesmo a sua ação.
Estamos, hodiernamente, numa época em que se convola questionar se esta nova realidade
constitucional não reclama ou reflete um reequilíbrio diferente dos valores, dos direitos
fundamentais e dos interesses constitucionalmente protegidos aqui em jogo. É que pode ser,

90 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

de algum modo, redutor235, apresentados na seguinte relação de tensão entre privacidade,


liberdade, identidade versus segurança, transparência e eficiência. Ora, mesmo no novo
quadro tecnológico e valorativo, a apreciação do artigo 35.º da CRP deve orientar-se pela
descoberta sobre se, nesta relação de tensão, a tutela dos interesses do mercado, de eficiência,
de investigação e de segurança justifica a aniquilação da privacidade, a adulteração da
identidade pessoal, o condicionamento da liberdade individual e a perversão da democracia.
Melhor desenvolvendo, a invocação do interesse público da segurança como valor supremo
cuja salvaguarda exige o sacrifício da liberdade e da autonomia individual, a alegação de que
exige o sacrifício da liberdade e da autonomia individual, a alegação de que a transparência do
Estado e do poder público é condição da democracia, que conduz à exigência de transparência
da sociedade e, portanto, de cada cidadão, a somar à voluntária exposição na Internet, resulta
num tamanho grau de exposição da vida das pessoas, que é suscetível de conduzir à medieval
aldeia global, onde não sobre espaço para a reserva ou para a privacidade.
Por outro lado, a criação de perfis a partir da informação recolhidas na Internet e analisada
de modo descontextualizado reduz as pessoas ao perfis criados por terceiros, com a
consequente estandardização das pessoas, dos seus comportamentos, da sua identidade, seja
por comodidade, seja por receio de fugir do padrão – a tal ponto, que pode ser imposta uma
‘identidade heteroconstruída’ – havendo quem fale a este propósito de uma ‘expropriação da
identidade’. Para além do risco de identidades inexatas, assentes em informações ou
interpretações de dados falsas, ou até da usurpação de identidade.
Finalmente, a vigilância e o controlo, por um lado, e a consciência de que se é vigiado, por
outro, limitam ou condicionam a liberdade de cada um. Restringindo esta, por qualquer um,
na medida em que lhe seja cognoscível a vigia, ter-se-á como consequência necessária a
alteração do comportamento, dos hábitos, um ato de refreio do discurso e respetivas opiniões.
Em suma, procurando corresponder ao padrão perfilhado, para não se chamar à atenção, fica
condicionada a liberdade de ação, liberdade de expressão e, no limite, a liberdade de
pensamento. Mas também o controlo da informação, que se verifica, desde logo, na navegação
via Web -, onde os resultados das buscas são apresentados á medida do perfil sobre cada um
construído, condiciona a nossa liberdade de pensamento e de expressão, e com isso a formação
democrática da vontade política. Acresce o desenvolvimento da robótica e a tendencialmente
crescente tomada de decisões por inteligência artificial, com base nesses perfis 236.

A reafirmação atualizada da proteção de dados pessoais e da privacidade 40 anos


volvidos
Tudo isto, a resposta à pergunta atrás formulada sobre se os novos contextos social,
tecnológico e cultural justificam uma reponderação do equilíbrio de valores de tal modo que
não faça hoje sentido como fundamental à dignidade da pessoa humana a dimensão da
privacidade e da proteção dos dados pessoais ao serviço desta, tem de ser, pois, negativa. Na
verdade, sob pena de fracassarmos definitivamente na função social de garantir o respeito e a
promoção da dignidade da pessoa humana – como decorre do preceituado no artigo 1.º da
CRP – haverá que traçar um limite à tutela dos valores que estão numa relação de tensão com
a privacidade, a liberdade e a identidade, já que também estes configuram os verdadeiros pilares
de um Estado de Direito Democrático.

235 Na verdade, todos estes valores integram um mesmo sistema coerente, conquanto não se assumem como
interesses e valores contrapostos, outrossim como interesses e valores numa entrecruzada relação de tensão. Por
exemplo, a liberdade de expressão, que depende ainda da privacidade para se afirmar, pode conflituar com a própria
privacidade.
236 Assinale-se o regime jurídico europeu que procura acautelar este resultado, proibindo a tomada de decisões

exclusivamente automatizadas (cf. artigo 22.º do RGPD).

91 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Repita-se, é imprescindível assegurar um espaço próprio para cada pessoa desenvolver a


sua personalidade e reger a sua vida segundo o próprio desígnio, segundo um princípio da
autodeterminação pessoal, o que depende em muito da garantia de privacidade e de proteção
de dados pessoais.
Todavia, os novos contextos atrás descritos evidenciam a necessidade de atualização da
tutela assegurada aos dados pessoais, para adaptar à nova realidade, com a correspondente
atualização dos termos e condições em que o direito é afirmado, desde logo no plano
constitucional. Esta reclamada atualização do plano constitucional tem essencialmente em
vista garantir três aspetos: uma definição do direito à proteção dos dados pessoais que acolha
a evolução tecnológica das últimas décadas, e suporte a que venha a ocorrer nas próximas; a
suscetibilidade de integração nos traços definitórios deste direito de novas manifestações de
tutela subjetiva que o futuro venha a revelar necessárias; e a capacidade de abrigar ou integrar
a legislação europeia a que Portugal está vinculado.
É com esta intenção que se passam a indicar alguns aspetos da norma consagradora do
direito à autodeterminação informativa e do regime fundamental da sua proteção que devem
ou podem ser revistos.
Em primeiro lugar, a reformulação da epígrafe do artigo 35.º, que objetivamente apresenta
uma linguagem algo desatualizada, no sentido de se reportar aos tratamentos de dados pessoais
ou ao direito à autodeterminação nos tratamentos de dados pessoais. Com efeito, a presente
epígrafe centra-se no instrumento que permite o tratamento de dados pessoais, não tanto no
tratamento de dados pessoais em si mesmo. Em segundo lugar, poder-se-ia reformular o n.º 1
do artigo 35.º na parte relativa aos direitos de acesso, retificação e atualização, para enquadrar
constitucionalmente outras dimensões jurídicas de tutela dos dados pessoais -v.g. o direito à
eliminação de dados ou o direito a ser esquecido 237. No mais, em terceiro lugar, poderá
justificar-se hoje repensar as condições em que se exceciona a proibição de tratar certas
categorias de dados pessoais, mas não eliminar a proibição constitucional do tratamento dos
tipos de dados suscetíveis de gerar discriminação. E tal cauciona-se sem afastar a hipótese de
utilização de uma cláusula geral, em vez de um elenco de tais categorias de dados, conquanto
a opção inicial de enunciar o tipo de dados cujo tratamento é suscetível de desencadear um
resultado discriminatório, sendo este um efeito perverso. Em quarto lugar, no que contende
diretamente com os dados relativos à saúde, aparente desconformidade era afastada, ao tempo
da Diretiva, com a integração da informação de saúde no conceito de dados relativos à vida
privada. Pois bem, a hipótese por vezes aventada de se eliminar no artigo 35.º a referência à
vida privada obrigaria à expressa previsão daquele tipo de informação. Por outro lado, os dados
biométricos – que, em Portugal – por consideração da tradicional recolha das impressões
digitais para efeito de emissão do cartão de identificação civil – foram tidos como dados não
sensíveis, produzem hoje novos impactos sobre a privacidade e identidade individual, face à
evolução tecnológica que permite reconhecer novas aptidões a tal informação e que provocou
o alargamento do tipo de dados biométricos suscetíveis de recolha, utilização e conservação
por largos períodos de tempo, a tal memória digital.

237 Clarividente que existem áreas onde dificilmente se poderá afirmar um direito à eliminação de dados pessoais,
como p.ex., a área dos registos públicos, de processos clínicos ou no âmbito de uma pendente investigação criminal,
o seu reconhecimento é cada vez mais essencial para se poder salvaguardar a privacidade das pessoas. Num tempo
em que se encontra vulgarizada a navegação na Internet, a consideração da extensão de informação que aí fica para
sempre – a memória digital – poderá justificar o reconhecimento da natureza fundamental ao direito, já reconhecido
no plano legal, de eliminação da informação ou, pelo menos, de nos motores de busca não se apresentar como
resultado determinada informação a partir da identificação de uma pessoa (obrigação de deslisting), este que o TJUE
aliás impôs em 13 de maio de 2015, no caso que opôs a Agência Espanhola de Proteção de Dados à Google Spain,
S.L. e à Google, Inc.

92 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Todavia, ao contrário da Diretiva, que pela sua natureza deixava aos Estados-Membros da
União Europeia espaço para adaptar o regime nela previsto ao respetivo quadro constitucional,
é discutível que o Regulamento que assenta numa vontade de homogeneizar o regime de
proteção de dados pessoais no espaço europeu, deixe margem para os Estados-Membros
reforçarem a proteção assegurada aos dados pessoais, integrando na categoria de dados
sensíveis informação de natureza distinta dos aí elencados.
Não obstante, e apesar das dificuldade s que a imprecisão do conceito de vida privada
coloca ao intérprete, não se vê como se possa ignorar a consagração da vida privada como
uma dimensão fundamental dos seres humanos. Assim, a consagração do direito fundamental
ao respeito pela vida privada e familiar, seja na Convenção e na Carta, bem como ainda no n.º
1 do artigo 26.º da CRP, não pode deixar de obrigar a um reforço da sua proteção jurídica, não
se afigurando por isso que a regra de proibição de tratar o dado da vida privada, com as
exceções legais ou outras que venham a ser definidas, se apresente como violadora do Direito
da União Europeia. De todo o modo, seguindo ainda a lógica de adaptação do texto
constitucional ao Direito da União, impor-se-á introduzir as categoriais de dados biométricos
e de saúde entre os dados sujeitos à regra da proibição de tratamento.
Em relação ao n.º 4 do artigo 35.º, compreendendo embora quem sustente que a
formulação desta regra, sem densificação dos conceitos empregues e dos casos em que o acesso
pode ser admitido, de nada serve, conquanto se pugna pela manutenção da mesma proibição,
como regra, ainda que venha a ser mais excecionada de seguida. Ora, o livre acesso aos dados
pessoais de terceiros seria a negação da privacidade e da autodeterminação pessoal, pelo que a
consagração constitucional da garantia de um acesso excecional ou ao menos restrito,
justificado em circunstâncias especialmente delimitadas, afigura-se essencial.
Quanto à proibição do n.º 5 do artigo 35.º, sendo conhecida a causa direta da sua previsão,
historicamente delimitada, é indiscutível a conveniência da sua reformulação. É certo que o
cartão de cidadão congrega alguns números de identificação do cidadão perante a
Administração Pública, ainda que, ao limitar-se a alguns serviços públicos, não esgote
diferentes meios de identificação perante outros serviços. Mas mais relevante, nos dias de hoje,
é sublinhar a ratio subjacente a uma tal reação ao diploma legal que impunha um número único
de identificação: impedir a possibilidade de relacionamento, através da tecnologia de
informação, de todos os dados pessoais existentes no seio da Administração Pública, como
forme de prevenir o controlo dos cidadãos.
As razões de eficiência de gestão invocadas em sucessivos diplomas legislativos para
fundamentar soluções de centralização da informação ou recondução a uma plataforma ou
interlocutor de todas as interações com a Administração Pública não podem prevalecer
cegamente, ignorando a ingerência que daí pode decorrer na vida dos cidadãos, na esfera
jurídica de cada um dos indivíduos.
Finalmente, julgo ser de sublinhar a importância de se manter a salvaguarda do direito de
livre acesso às redes de comunicação de uso público, previsto no n.º 6 do artigo 35.º CRP.
Este direito, na sua génese, tem por objeto a garantia do acesso à informação e, portanto, tem
mais diretamente a ver com a liberdade de expressão, nesse sentido se podendo porventura
deslocar para o artigo 37.º a sua previsão, como propõe Seabra Lopes. Em todo o caso, está
ainda ao serviço da intenção de prevenção do controlo estadual das liberdades individuais,
acautelando censuras ou impedimentos no acesso à rede aberta.

93 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

O direito à autodeterminação informativo e os novos desafios gerados pelo direito à


liberdade e à segurança238
A valoração “check & balancea(dora)” da privacidade vs. segurança
Até ao atentado de 11 de setembro de 2001, um conjunto de direitos fundamentais de
defesa relativamente ao tratamento informático de dados pessoais fora ganhando terreno. O
poder fascinante, embora ameaçador, das novas tecnologias levara a que muitas ordens
jurídicas automatizassem um direito à autodeterminação informativa, traduzido então num
feixe de direitos através dos quais se pretende impedir que o homem se transforme num
‘simples objeto de informações’ 239. A ameaça terrorista impôs, entretanto, aos Estados o
estabelecimento de novas regras, conduzindo ao reforço das medidas de cariz secundário, as
quais materializam muitas das vezes sérios ataques à autodeterminação informativa do cidadão.
Assim – e de uma forma trágica – a realidade ditou a necessidade de repensar o equilíbrio entre
um certo ‘right to be let alone’ e o direito à liberdade e à segurança.
Ora bem, o primeiro computador foi apresentado ao mundo a 14 de fevereiro de 1946,
sendo que, a proteção da autodeterminação informativa do cidadão, essencialmente referida a
tratamentos de dados pessoais automatizados, havendo emergido com o advento das novas
tecnologias, é relativamente recente. No passado, foi sobretudo a imprensa escrita, associada
ao uso de imagens fotográficas, que provocou a identificação de um novo direito, anterior a
este, expressivamente identificado pela doutrina americana como o ‘right to be let alone’. Destarte
maioritariamente desenvolvido pela doutrina norte americana, o ‘right to privacy’ não se
reportava ainda ao uso das novas tecnologias de informação, nem ameaçado, como hoje, por
sofisticados meios de comunicação eletrónica e de machine learning. Foi entendido quase
como que jurisprudencialmente com uma aceção muito mais abrangente, na qualidade de
direito geral de personalidade, precisamente com o objetivo de promover a proteção de
dimensões variadas da personalidade humana, até então desprovidas de garantias que deveriam
ser, segundo Warren e Brandeis, protegidas pela ‘curiosidade popular’.
A ordem jurídica portuguesa não descurou a inserção de uma tutela geral da personalidade,
no artigo 70.º do Código Civil, no qual se estabelece que “a lei protege os indivíduos contra qualquer
ofensa ilícita ou ameaça à sua personalidade física ou moral”240, bem como na Constituição, quando
esta refere, em segmento do artigo 26.º, n.º 1, o “direito ao desenvolvimento da personalidade”241. Mas
concretizou, tal como outras ordens jurídicas europeias, alguns aspetos dessa proteção à
personalidade humana ao consagrar um especial direito á reserva sobre a intimidade da vida
privada.
Apesar de desenvolvido anteriormente, reitere-se que o direito à intimidade da vida privada
é, como afirmara Orlando de Carvalho, um direito sobre informação, relativo à projeção vital
da personalidade, que engloba uma esfera privada - uma esfera mais restrita - a pessoal – uma
esfera de segredo – e o direito à solidão (‘the right to be let alone’). Explicava expressivamente o
autor, ainda nos anos 70 que “o indivíduo está universalmente ameaçado, na sua vida pessoal e no seu

238 CASTRO, Catarina Sarmento, op. cit, O direito à autodeterminação informativa e os novos desafios gerados pelo direito á
liberdade e à segurança no pós 11 de setembro, Disponível em:
http://egov.ufsc.br/portal/sites/default/files/anexos/5544-5536-1-PB.pdf.
239 CANOTILHO, Gomes e MOREIRA, Vital, Constituição da República Portuguesa Anotada, Coimbra Editora, 1993, p.

216.
240 Como escreve Orlando de Carvalho, o direito geral de personalidade é um direito que “abrange todas as manifestações

previsíveis e imprevisíveis da personalidade humana” – cf. CARVALHO, Orlando, Teoria Geral da Relação Jurídica, Sumários,
Coimbra, 1970, p. 37.
241 Sobre este direito, pode ver-se: MOTA PINTO, Paulo da, Direito ao livre desenvolvimento da personalidade, p. 149 e ss.

É recente a consagração constitucional deste direito, que é o resultado da revisão de 1997. Apesar disso, a
Constituição já anteriormente estabelecia, no artigo 1.º, que a República Portuguesa se baseia na dignidade da pessoa
humana. Como refere Paulo Mota Pinto, este direito “tem uma dupla dimensão: a da tutela da personalidade, enquanto
substrato da individualidade e nos seus diversos aspetos, e a tutela da liberdade geral de ação da pessoa humana”, cit. p. 163.

94 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

valor pessoal”. Os massmedia – a imprensa, o cinema, a TSF, a TV – são ferozmente ciosos do


destino do individuo, com vista a satisfazer os insaciáveis desejos de um público drogado pela
‘machine à sensations”. Ora bem, os meios técnicos de que hoje se dispõe – o magnetofone, as
câmaras de filmar, os postos de escuta – violam, sistematicamente, a intimidade de cada um.
Por causa destas e de outras ameaças, são muitas as normas internacionais e europeias que
atualmente visam a proteção da reserva da vida privada de cada um. O artigo 12.º da
Declaração Universal dos Direitos do Homem dispõe, a respeito da proteção da privacidade
que: “Ninguém sofrerá intromissões arbitrárias na sua vida privada, na sua família, no seu domicílio ou na
sua correspondência, nem ataques à sua honra e reputação. Contra tais intromissões ou ataques toda a pessoa
tem direito a proteção da lei”. A mesma proteção genérica da vida privada resulta do artigo 8.º da
Convenção Europeia dos Direitos do Homem (Convenção para a Proteção dos Direitos do
Homem e das Liberdades Fundamentais) que prevê que “qualquer pessoa tem o direito ao respeito
da sua vida privada e familiar, do seu domicílio e da sua correspondência”. Porque de interesse para
efeitos de tese de mestrado, importa apontar que também nos anos 80, o Conselho da Europa
aprovara a Convenção 108 para a Proteção das Pessoas relativamente ao tratamento
automatizado de dados com carácter pessoal, que se tornaria num dos instrumentos
fundamentais de proteção de dados pessoais 242.

Os novos desafios gerados pelas comunicações eletrónicas


O direito á autodeterminação informativa desempenha hoje, mais do que nunca, um papel
fundamental. Sucede que os avanços tecnológicos, acarretando inegáveis benefícios à
sociedade em geral, bem como ao quotidiano cidadão, potenciam o uso de mecanismos de
intrusão na sua esfera da vida privada. Caminhamos, todos os dias, para uma sociedade
transparente, na qual, a cada passo, o indivíduo vai comprometendo o seu ‘espaço de
solidão’ 243. De facto, a tecnologia tende a aperfeiçoar a ‘aldeia global’ e, consequentemente, a
conduzir ao domínio cada vez mais generalizado da informação alheia. Se, enquanto valor
marcadamente urbano, a intimidade foi sendo gradualmente protegida, na origem dessa
proteção estão os constantes saltos da tecnologia e dos meios de comunicação, os quais na era
de uma revolução digital permitem, a uma velocidade estonteante, o armazenamento e
processamento de uma cada vez mais elevada quantidade de informações, a sua recolha seletiva
á distância, a sua classificação, o seu ordenamento, o seu cruzamento, a sua utilização para
construção de perfis de dados, etc.
Atualmente, a informática, que permite tratar, de modo lógico e automatizado, e por isso
célere, informações pessoais, surge numa outra roupagem, convertida em telemática, enquanto
união da informática com os meios de comunicação. Com ela, avançou-se para uma
comunicação à distância, em tempo real, que permite a recolha e a difusão do som, imagem e
da palavra virtual. As comunicações eletrónicas aceleraram a transformação do indivíduo em
pessoa eletrónica, obrigada a viver num mundo de vidro. Nestas circunstâncias, não se estranha
que o direito à autodeterminação informativa tenha sido muitas vezes configurado como um
direito relativo ao tratamento automatizada ou informático de dados pessoais.
A navegação na Internet, o uso de correio eletrónico, a televisão interativa, os sistemas de
localização, por permitirem o tratamento de gigantescas quantidades e qualidades de dados,
comportam um especial grau de intrusão. Também por isso, o controlo dos dados pessoais
associados a estes meios é tão cobiçado pelos interesses económicos e pelas polícias.

242 Adotada em Estrasburgo, a 28 de janeiro de 1981, esta Convenção 108, Convenção para a Proteção das Pessoas
relativamente ao Tratamento Automatizado de Dados de carácter Pessoal), adotada em Estrasburgo, a 28 de janeiro
de 1981 (Resolução da AR n.º 23/93, de 9 de julho, que a aprovou, para ratificação.
243 A expressão é de FARIA COSTA, José, As telecomunicações e a privacidade: o olhar (in)discreto de um penalista, FDUC,

1999, p. 49 (64) e ss.

95 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

A Internet – em inglês, Inter Communication Network – materializa uma rede internacional de


computadores que comunicam entre si através de uma linguagem informática, o TCP/IP –
Transport Control Protocol/ Internet Protocol (TCP/IP) – enviando pacotes de informação de que
fazem parte os endereços IP do remetente e do destinatário.
Ora bem, a relação que se estabelece entre a Internet e os operadores de telecomunicações,
os fornecedores de acesso á Internet, os fornecedores de serviços de Internet, os titulares dos
sítios Web e os utilizadores, pressupõe a realização de tratamentos visíveis e invisíveis de dados
pessoais. São exemplos dos primeiros, o endereço eletrónico (IP- Internet Protocol), mas também
o conteúdo das mensagens de correio eletrónico, os endereços de correio eletrónico, assim
como a multiplicidade de informações pessoais preenchidas numa página pelo próprio titular,
ou divulgadas em sítios da Internet, muitas vezes oficiais. Quanto aos tratamentos invisíveis de
dados, estes relacionam-se, v.g., com os cookies, que são ficheiros enviados pelo gestor de um
sítio da Internet, que este coloca no disco duro do utilizador que o visita. Assim, em visitas
futuras, o gestor da página relerá o cookie que colocou no computador do utilizador e identificá-
lo-á, graças à sua leitura, podendo conhecer qual o seu comportamento nessa página 244 .
Também consubstancia tratamentos de dados invisíveis os ficheiros log, ou diárias de
navegação, construídos e conservados pelos fornecedores de acesso à Internet. Nestes são
registados, entre outros, as datas, os tempos de conexão de cada endereço IP, informações
técnicas sobre o tipo de utilização que foi efetuada em rede – uso de correio eletrónico, acesso
à Internet, etc. – destino Web visitado, destinatários de mensagens enviadas 245.
Hodiernamente, o termo virtual assume um papel especial quando comunicamos através
do correio eletrónico. Através dela são definidos os conteúdos de cada mensagem, de que é
possível retirar variadíssimas informações que podem auxiliar a conhecer aspetos significativos
do seu emissor e recetor. Por outro lado, o controlo da utilização do correio eletrónico permite
saber quem contou com quem, quando e acerca de que assunto. Mais recentemente, a televisão
interativa vem, aos poucos, preenchendo o quotidiano dos cidadãos, acenando com inegáveis
vantagens. Assim, os fornecedores deste novo meio audiovisual passaram a dispor de uma
importante fonte de informação que lhes permite conhecer o perfil destes utilizadores,
designadamente as horas a que assistem á emissão de um determinado programa e o respetivo
conteúdo de conexão. Também é inegável a vantagem associada à localização, v.g., através do
uso da infraestrutura de comunicações eletrónicas que servem de base à comunicação entre
telemóveis246. E se este é o poder das tecnologias atuais quando funcionam de modo isolado,
imagine-se o perfil que é possível desenhar acerca de um individuo quando se proceda à
comunicação de todos estes meios.

O efeito 11 de setembro e os dados pessoais tratados no âmbito das comunicações


eletrónicas
O ataque terrorista de 11 de setembro nos Estados Unidos da América teve consequências
devastadoras também no que respeita à reserva sobre a intimidade da vida privada dos cidadãos
e, em particular, quanto às garantias que aos indivíduos são conferidas para proteção dos seus
dados pessoais. A realidade da sua consumação – que despertou os Estados para a necessidade
de um maior controlo -, assim como o receio de novos atentados, determinaram o reforço dos
mecanismos de tratamento das informações pessoais ao dispor das várias polícias. O uso dos
espaços opacos do segredo como refúgio para o cometimento de crimes – afinal, o direito à

244 Estamos defronte todo um conjunto de dados relativos à seleção que o utilizador preconizara em função dos
links seguidos ou das operações que realizara previamente.
245 Estes são comumente denominados dados de ligação ou de conexão.
246 Esta tecnologia permite – facto este que assume gravidade de monta – que alguém, sem se fazer notar, controle

qualquer movimentação da pessoa, sabendo com exatidão a sua localização a cada momento.

96 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

reserva sobre a intimidade da vida privada também comporta a possibilidade de esconder a


verdade – conduziu a que os Estados procurassem munir-se de instrumentos que oferecessem
maiores garantias de transparência, i.e., que permitissem reunir informação mais detalhada
acerca das pessoas, recuando na proteção até então oferecida ao direito de ser deixado em paz.
Ora bem, também a legislação europeia e nacional reflete o reforço no sentido da
cooperação internacional no combate ao terrorismo, designadamente a cooperação policial,
também num ímpeto de salvaguarda do direito à liberdade e à segurança- Por sua causa, os
Estados propõem-se (ou já realizaram) a modificação de todo um conjunto de regras
procedimentais de investigação criminal, nomeadamente, reforçando os meios ao alcance das
forças policiais para garantir uma mais fácil obtenção de prova, através da imposição de regras
de conservação de dados pessoais impostas, v.g., aos fornecedores de serviços de comunicações
eletrónicas. Em nome do direito à liberdade e à segurança, foram então impostas restrições ao
direito à autodeterminação informativa.

O direito à liberdade e à segurança em especial e sua confrontação com o direito à


autodeterminação informativa
São vários os instrumentos internacionais e nacionais estabelecendo que “todos têm o direito
à liberdade e à segurança”247. Como é natural, após os acontecimentos de 11 de setembro de 2001,
a proteção do direito à liberdade e à segurança tornou-se num objetivo mais determinante da
vida dos Estados, encontrando-se hoje particularmente em causa o combate à criminalidade
especialmente violente ou altamente organizada. Num ataque terrorista os alvos são,
geralmente, o cidadão comum (e não os exércitos) e as infraestruturas sociais (económicas,
como as fábricas, os aeroportos, transportes, estações, etc.), pelo que é a segurança o bem
jurídico de ordem superior que se encontra constantemente a ser colocado em causa. O direito
à segurança, embora seja hoje considerado como um direito de proteção no sentido negativo
- conquanto impõe aos Estados a tutela efetiva da segurança do individuo – assume cada vez
maior importância enquanto direito positivo de proteção, impondo às autoridades públicas um
dever de proteção contra ameaças de terceiros. Traduz-se essencialmente numa garantia de
exercício seguro e tranquilo dos direitos, liberto de ameaças ou agressões, que nos faz hoje
perspetivar as atuações de polícia como prestações, e nos leva mesmo a sustentar que as
polícias têm, em certas circunstâncias, um poder-dever de agir248. Assumem, neste contexto,
importância especial as prestações do Estado destinadas ao combate à criminalidade. Estas
podem conduzir, algumas vezes, à imposição de limitações à autodeterminação informativa
dos cidadãos. Deste modo, estando em causa o dever estadual de garantia de dois direitos
fundamentais, a que acresce a qualidade de estarem incluídos entre os DLGs’, torna-se
imperioso que se determine um justo equilíbrio entre o direito à segurança e o direito à
autodeterminação informacional. Em todo o caso, as restrições que a um e ao outro se
imponham estabelecer, são realizadas em nome da necessidade de defesa de outro direito
constitucionalmente estabelecido.
Os tratamentos de dados pessoais realizados pelas polícias com objetivos de promoção da
segurança podem afetar de modo muito diverso os direitos dos cidadãos à autodeterminação
informativa, na medida em que algumas das situações justificam mesmo a derrogação de
enunciados principiológicos relativos à proteção de dados pessoais. Sendo verdade que os
próprios tratamentos de ‘dados policiais’ devem de estar sujeitos aos princípios gerais – i.e., ao

247 Designadamente, a declaração Universal dos Direitos do homem (artigo 3.º), a Convenção Europeia dos Direitos
do Homem 8artigo 5.º), a Carta dos Direitos Fundamentais da União Europeia (artigo 6.º), bem como algumas
Constituições, entre as quais a Portuguesa (no seu artigo 27.º), reconhecem a. liberdade e a segurança de forma
expressa.
248 CASTRO, Catarina Sarmento, A questão das polícias municipais, pp. 61-62.

97 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

princípio da transparência, da qualidade dos dados249 e da finalidade – a preocupação maior


dirige-se, atualmente, aos dados que embora recolhidos para finalidades não policiais,
nomeadamente no âmbito das comunicações eletrónicas, são posteriormente objeto de
tratamento para fins policiais 250. Pois bem, a ocorrência de ataques terroristas, quer nos EUA,
quer na Europa, levaram a que os Estados fossem assumindo uma nova direção quanto ao
tratamento de dados pessoais, e o que até aí poderia de ser considerado como uma violação
dos princípios gerais de proteção dos dados pessoais, v.g., ao período de conservação de dados,
passou a ser admitido, em nome da segurança, valor de pendor supremo nas sociedades
contemporâneas. Neste sentido, é hoje legalmente imposta a retenção dos dados resultantes
do tráfego das comunicações eletrónicas para além do período necessário à emissão,
pagamento e/ou contestação da fatura251. Aumentou também a partilha de informação, entre
entidades policiais, ou a estas disponibilizadas, mesmo quando a informação é relativa a
pessoas não suspeitas252.

A imperativa procura de uma justa medida


Assistimos hoje ao confronto entre dois vetores fundamentais à vida humana: a segurança
(e a ela associada, a transparência) e a privacidade. Como escreveu Faria Costa, “encontrar em
cada época histórica um equilíbrio – necessariamente instável, na nossa perspetiva – entre aquelas duas
dimensões essencialíssimas do nosso modo-de-ser, é tarefa complexa para a qual não há à partida, como bem se
compreenderá, qualquer receita, panaceia ou mezinha à la carte”253. Neste caso, trata-se de encontrar
um equilíbrio entre o direito à autodeterminação informativa e o direito à segurança, o que não
deixa de ser a procura de harmonia entre a liberdade individual (neste caso, essencialmente de
matriz informática) e a segurança: a primeira, sem a segunda, gera o caos e a anarquia, e em
correspetiva, a segunda sem a primeira, conduzirá à construção de Estados totalitários 254.
Nos dias de hoje parece ser possível prever a atenuação das garantias sobre a proteção de
dados pessoais para fins de atuação policial preventiva ou repressiva 255. Não obstante, como
sucede com a maioria dos direitos fundamentais, também aqueles que se convolam na temática
em apreço não são ilimitados ou absolutos. Tem-se que qualquer situação de colisão ou
conflito de direitos, na solução apresentada, não pode nem deve bastar-se com o
estabelecimento de uma relação hierárquica de entre estes. A tal suceder, conduzir-se-ia a uma
atribuição plena de primazia à segurança defronte a privacidade, em razão da sua estrita ligação
com o direito à vida, tal-qual consagrado no artigo 24.º da CRP. Neste seguimento, um
equilíbrio apenas será atingido quando o uso de mecanismos – potenciadores da segurança,
contudo invasores das trevas a que cada um tem direito – puder, ele mesmo, ser transparente,

249 Chamam-se à colação, para os devidos efeitos, o princípio da licitude, da lealdade, da conservação pelo tempo
necessário, da adequação, da pertinência, proporcionalidade, entre outros.
250 São exemplos: os dados das nossas impressões digitais, da íris, da voz, geometria da mão, de entre muitos outros.
251 Os dados recolhidos para fins de factoração pelos fornecedores de serviços passam assim a ser por estes

obrigatoriamente conservados, ficando – durante um certo período de tempo – à disposição das polícias.
252 Atente-se no caso do fornecimento de informações acerca de passageiros utilizadores do transporte aéreo que

são hoje objeto de divulgação às autoridades norte-americanas – cf. caso Passengers Name Record. Também são hoje
conhecidos o mote de funcionamento dos mecanismos de vigilância como o Echelon, capaz de intercetar e processar
informações contidas em comunicações que tenham lugar em qualquer parte do globo.
253 Cf. FARIA COSTA, José de, As telecomunicações e a privacidade: o olhar (in)discreto de um penalista”, pp. 49 e ss.
254 A propósito deste equilíbrio, a Recomendação n.º R (87) 15 do Conselho da Europa, que regula a utilização de

dados pessoais no setor da polícia, aponta “a necessidade de conciliar, de um lado, o interesse da sociedade na prevenção e
repressão das infrações penais e na manutenção da ordem pública e, do outro lado, os interesses do indivíduo e o direito ao respeito pela
sua vida privada”.
255 Cf., para os devidos efeitos, Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de

2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas
autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de crimes ou execução de
sanções penais e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho,
entrou em vigor em maio de 2018.

98 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

submetendo-se a sua utilização ao controlo público. A accountability relativamente ao exercício


de funções públicas de polícia assume, neste contexto, um papel fundamental, a exercer,
naturalmente, pelos organismos públicos, e desde logo pelos Parlamentos nacionais. Neste
contexto, também a vigilância informal das organizações não governamentais e a própria
curiosidade dos media, terão também um papel fulcral. Também não deverá de ser afastada,
seja em que circunstância for, a possibilidade de recurso a mecanismos de tutela independente,
designadamente jurisdicional, que possam ser utilizados pelo indivíduo sempre que este
considere violados os seus direitos digitais. Esta garantia deve de ser compaginável com o
direito à reparação pelos danos que um indivíduo posso vir a sofrer em virtude do tratamento
de dados ilícitos. Neste cerne, atém-se também como indispensável a existência de normas
claras que disciplinem a utilização destes mecanismos de vigilância. Funcionando
essencialmente como normas de conduta procedimental, o seu papel será também o de tornar
públicas as condições em que se preconiza o tratamento de dados pessoais por razões de
segurança.
Ora bem, em face do antedito, poder-se-á concluir que o uso de dados pessoais para fins
policiais apenas deverá ter lugar de forma pontual, quando estejam em causa razões de
prevenção em face de um perigo concreto ou defronte necessidades de repressão de uma
infração penal determinada, devendo, contudo, limitar-se a quantidade de dados objeto de
tratamento ao necessário para a prossecução das respetivas finalidades. Assim, não deve ser
possível estabelecer normativos de controlo que vigiem, o tempo todo, toda a gente,
independentemente da categoria de suspeitos que possam vir a assumir. A este respeito,
também cuidados adicionais devem ser adotados em face da inexatidão que paira sobre o
tratamento de dados nas operações exclusivamente automatizadas, nas quais – sempre que
possível – tamanha imperfeição deverá de ser assinalada e ser dada ao conhecimento do
próprio titular dos dados pessoais. Relativamente à partilha de informações detidas pelos
serviços policiais dos Estados, assume particular importância que esta ocorra apenas entre as
autoridades policiais, e não com quaisquer outras. Em suma, são estes, entre outros possíveis,
alguns dos princípios fundamentais de cujo respeito parece hoje depender a justa medida em
matéria de tratamento de informações pessoais para garantia do direito à segurança.

A inferência de uma súmula conclusiva no resultado da operação abstrata de confrontação


entre direito à autodeterminação informativa c o valor segurança
O direito à autodeterminação informativa, consagrado no artigo 35.º da norma normarum,
assume-se materialmente como um poder de proteção ou de defesa do indivíduo face às
agressões do Estado e de terceiros, permitindo-lhe negar informação pessoal, opor-se à sua
recolha, difusão, ou qualquer outro modo de tratamento. Mas é também uma liberdade: a de
decidir até onde vai a sombra que o indivíduo deseja que paire sobre as informações pessoais,
sendo, por isso, um poder de determinar ou controlar o uso dos seus dados pessoais. Estes
direitos de pendor digital encontram-se hoje ameaçados pela cobiça dos organismos que
exercem funções de segurança pública e investigação criminal – aos quais incumbe a função
de garantir uma efetivação da liberdade e segurança na qualidade de valores fundamentais -,
que desejam controlar as informações pessoais, procurando transformar constantemente o
indivíduo num ser transparente.
Não obstante, a harmonização destes dois direitos em causa – os quais, de todo o modo
são direitos das pessoas – não pode conduzir ao completo aniquilamento do direito à
autodeterminação informacional. Ou seja, não se pode pelejar por uma hierarquização de
direitos como forma de resolução dos conflitos ou da colisão eminente que subjaz ao seu
relacionamento abstrato-concreto. Assim, não será concebível como legítima qualquer solução
que não aquela que respeite os princípios fundamentais em matéria de proteção de dados.

99 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

A simbiose de entre a Proteção de Dados Pessoais e os Direitos de


Personalidade

O preconizar de uma contextualização em ambiente de aula


A proteção de dados constitui um tema atual tendo em conta que com o desenvolvimento
das novas tecnologias – tecnologias que se destinam a ser utilizadas de uma forma generalizada
– se torna cada vez mais fácil o acesso a dados pessoais e o cruzamento de informações
recolhidas através do acesso a dados pessoais. Ora bem, porque cada vez mais se coloca a
necessidade de proteger os dados pessoais, os Estados têm vindo a legislar nesta matéria. Em
Portugal, aquando da elaboração da Constituição, o artigo 35.º já previa o direito de todos os
cidadãos a terem o acesso a dados informatizados que lhe digam respeito e remetia para a lei
ordinária a definição do conceito de dados pessoais, assim como a determinação das condições
aplicáveis ao seu tratamento automatizado, à sua transmissão e à sua utilização, de modo a
garantir a sua proteção efetiva dos titulares.
A primeira lei sobre proteção de dados surgiu, no entanto, apenas em 1991. Foi a Lei n.º
10/91, de 27 de abril que veio, entretanto, a ser revogada pela Lei n.º 67/98, de 26 de outubro.
Esta última, veio transpor para a ordem jurídica interna a tão falada Diretiva 95/46, de 24 de
outubro, do parlamento europeu e do conselho. Paralelamente, quer a nível internacional quer
a nível comunitário assistiu-se a uma preocupação crescente com a questão da proteção de
dados. Esta preocupação culminara com a aprovação do Regulamento 2016/679, relativo à
proteção de dados pessoais. Ora, este ato juridico da União Europeia insere-se numa tentativa
do legislador europeu de reforçar a proteção dispensada ao titular dos dados pessoais tendo
em conta o aumento significativo que a recolha e partilha destes dados tem tido nos últimos
anos. Ora bem, comparando o regime traçado neste regulamento com o regime consagrado
na e pela Lei n.º 67/98, podemos entender que o regulamento visou reforçar a proteção do
titular dos dados pessoais, no entanto, quando se fala a proteção do titular importa saber que
direitos se pretenderam efetivamente tutelar.
Desde logo, o regulamento estabelece uma disciplina para a proteção de dados pessoais
que embora reforce a posição do titular dos dados, é em muitos aspetos semelhante à que já
se encontrava consagrada na Lei n.º 67/98. Existem pequenas diferenças de regime, no
entanto, quer na Lei n.º 67/98, quer no regulamento, o consentimento do titular de dados
pessoais ocupa um papel central. Quer a lei, quer o regulamento exigem como condição para
a recolha e para o tratamento de dados pessoais o consentimento do respetivo titular. Este
consentimento obedece ou tem que obedecer a determinados requisitos 256. Compreendem-se
estas caraterísticas tendo em conta que o que está aqui em causa é uma autorização do titular
dos dados para que estes possam ser utilizados por terceiros. E, como tal, o consentimento só
será válido se aquele que o presta tiver uma exata noção do alcance do ato que está a praticar257.
Pois bem, relativamente à questão de saber qual é o direito que é aqui tutelado existem
várias soluções que poderiam de ser equacionadas a este propósito. Neste seguimento, dir-se-
á que o direito à proteção de dados pessoais poderá ser acecionado em si mesmo como um
direito de personalidade, como um direito à identidade pessoal ou até mesmo como um direito
à privacidade. Efetivamente, a proteção de dados pessoais assume um papel fulcral a vários
níveis. Em primeiro lugar, poderemos indagar que a proteção de dados pessoais é essencial
para a salvaguarda da identidade do sujeito, na medida em que a divulgação de dados pessoais

256 Cf. considerando 32 e artigo 7.º do Regulamento Geral, nos termos dos quais o consentimento deverá de ser
dado “mediante um ato positivo e claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o
titular dos dados consente no tratamento dos dados que lhe digam respeito”. A forma de prestar este ato positivo pode ser
escrita, inclusive em formato eletrónico, ou através de uma declaração oral.
257 Dai que sejam muito importantes os deveres de informação, bem como as finalidades do tratamento dos dados.

100 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

pode levar a que outros se apropriem da identidade do titular ou que deturpem essa identidade,
levando a que a pessoa seja confundida com outra ou que seja desvirtuada a sua identidade
pessoal. Em segundo lugar, a proteção de dados pessoais é essencial para garantir que não se
divulguem determinados elementos que embora digam respeito ao sujeito, podem ser motivo
de discriminação258. Em terceiro lugar, e por último, a proteção de dados pessoais é também
essencial para a defesa da privacidade do sujeito bem como para outros direitos de
personalidade, como é o caso do direito à honra.
Ora bem, isto significa que a proteção de dados não apresenta como objeto último um
único direito de personalidade, outrossim compreende vários destes por referência ao mesmo
titular– a ver, a título exemplificativo: a identidade pessoal, a igualdade, a privacidade, a honra,
etc. Então, o direito à proteção de dados pessoais funciona como um direito-garante
relativamente a vários direitos de personalidade do sujeito. Isto mesmo compreende-se se
pensarmos na perspetiva da violação do direito. Entre nós, a responsabilidade civil apresenta
como um dos seus pressupostos a ilicitude, e a ilicitude na ótica da responsabilidade delitual
pode apresentar várias concretizações: manifestando-se através da violação de direitos
subjetivos absolutos de outrem – direitos de personalidade - ou na semiótica da preterição de
disposições legais destinadas a proteger interesses alheios 259. Pois bem, sem prejuízo de
podermos olhar ou pelo menos equacionar algumas das normas do regulamento de proteção
de dados como sendo normas de proteção – as segunda, as normas legais destinadas a proteger
interesses alheios – teríamos sempre que identificar o direito absoluto violado 260.
Do ponto de vista objetivo, a consideração da ligação entre a proteção de dados e os
direitos de personalidade leva-nos a ponderar se de uma tutela como aquela a que ora se alude
circunscreve-se para lá daquelas situações legalmente tipificadas. É que, a consideração destes
limites acebe-se como fundamental no processo de interpretação das próprias condições de
licitude que deverão de presidir ao tratamento de dados pessoais. Ora bem, no que toca aos
beneficiários da proteção, a questão que se coloca é a de saber quem são em concreto,
nomeadamente se poderão ser estes os nascituros, pessoas falecidas ou pessoas coletivas. O
Regulamento 2016/679, consagra como beneficiários da proteção as pessoas singulares e
exclui expressamente do seu âmbito de aplicação as pessoas coletivas 261. Portanto, do
Regulamento resulta a exclusão das pessoas coletivas do âmbito de proteção, mas fica sem
resposta a questão de saber se a proteção de dados pessoais se pode estender ou não a
nascituros ou a pessoas já falecidas.

258 Nessa medida, a proteção de dados pessoais afigura-se também determinante para a defesa da igualdade.
259 Cf. para o efeito, artigo 483.º do Código Civil.
260 Por exemplo, se A recolher dados pessoais de B e este – violando regras de cuidado -permitir que C tenha acesso

a esses dados e que divulgue factos relativos à vida privada de B, o problema que se coloca é o de saber se apesar
do comportamento de terceiro, a lesão do direito á privacidade pode ou não ser imputada à pessoa de A. O
interregno tem que ver precisamente com o saber se, independentemente do comportamento de C, a violação do
direito á personalidade poderá de ser imputada ou não a A. O mesmo acontece se C tiver acesso a dados de
identificação civil e fiscal de B e fizer passar-se pelo primeiro causando-lhe prejuízos. Se A viola regras de segurança,
haverá responsabilidade conjunta? Como desenvolveremos, infra, a responsabilidade assumir-se-á a título conjunto
– um por preterição de um dever funcional – e o outro por preterição do direito absoluto, no último exemplo,
clarividente.
261 Cf. considerando 14 do Regulamento Geral, segundo o qual: “a proteção conferida (...) deverá aplicar-se às pessoas

singulares, independentemente da sua nacionalidade ou do seu local de residência, relativamente ao tratamento de dados pessoais. O
presente regulamento não abrange o tratamento de dados pessoas relativos a pessoas coletivas, em especial empresas estabelecidas enquanto
pessoas coletivas, incluindo a denominação, a forma jurídica e os contactos dessa mesma pessoa coletiva.” (sublinhado nosso).
Relativamente às pessoas coletivas, a exclusão é feita pelo próprio Regulamento, claro que ainda que se possa
admitir, como é de ser, que estas podem ser titulares de direitos de personalidade, estes – em função da natureza –
apresentam um fundamento diferente em termos axiológicos do fundamento dos direitos de personalidade das
pessoas singulares. Relativamente às primeiras, a atribuição de direitos encontra-se funcionalizada aos fins
prosseguidos pela pessoa coletiva. E é por isso ou talvez por isso que o legislador determina a não integração das
pessoas coletivas no âmbito da proteção de dados pessoais.

101 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Relativamente à questão dos nascituros e das pessoas já falecidas, o problema deverá de ser
solucionado à luz dos problemas fundamentais do ordenamento jurídico. No que diz respeito
aos nascituros, aquilo que nos diz o CC - no seu artigo 66.º, n.º 1 – é que a personalidade
jurídica se adquire no momento do nascimento completo e com vida. Isto quer dizer que todas
as pessoas nascidas com vida são consideradas como sujeitos de direito e podem, com exceções
mínimas, ser titulares de quaisquer direitos e de quaisquer deveres. É nisto que se traduz a sua
capacidade de gozo. Relativamente aos nascituros, coloca-se a questão de saber se são ou não
considerados sujeitos de direito. É certo que ao nascituro são reconhecidos direitos de natureza
patrimonial e não patrimonial, nos termos do n.º 2 do artigo 66.º CC262. Assim, se o nascituro
é titular de direitos, é porque em princípio terá a suscetibilidade para o ser. Agora, esta questão
relativa ao estatuto do nascituro é controversa na doutrina. Existem várias posições a este
respeito. Em princípio, devemos de entender que o ordenamento juridico português reconhece
a personalidade do nascituro e que lhe dispensa a tutela adequada. O nascituro deverá de ser
protegido nos seus direitos de personalidade e na medida em que se entenda que este é
protegido nestes termos, poder-se-ão abrir as portas a pretensões indemnizatórias caso os
direitos de personalidade do nascituro sejam violados. Neste caso, serão os pais – na qualidade
de titulares das responsabilidades parentais - aqueles que representarão o filho mesmo que este
ainda não tenha nascido. Ora bem, perante o artigo 66.º, n.º 1, e estando em causa a lesão de
um bem da personalidade de um nascituro, talvez não faça sentido considerar que os nascituros
por um lado têm direitos de personalidade, e não aceitar que estes direitos sejam tutelados ao
nível da proteção de dados. Aquilo que se poderá dizer é que são poucas as situações em que
se revela necessária a tutela a este nível.
O mesmo se pode dizer em relação às pessoas já falecidas. O artigo 71.º do CC estabelece
que relativamente às pessoas falecidas que os direitos de personalidade gozam igualmente de
proteção depois da morte do respetivo titular. Ora bem, sem estarmos a prolongar sobre a
matéria, certo é que não deve de ser considerada licita a luz do ordenamento juridico português
o ato de difamação ou injuria de uma pessoa já falecida, um ato atentatório do seu cadáver, da
sua identidade, e sendo assim não fará sentido afirmar que estas pessoas já falecidas não se
integram no âmbito da tutela que é dispensada pela proteção de dados. O objeto deste direito
encontra-se noutros direitos de personalidade.

A cristalização de um direito á indemnização e a imputação de


responsabilidade civil em especial

Comparando com o regime anterior com o que, na sequência do artigo 77.º da Proposta
de Regulamento, acabaria por ficar consagrado no artigo 82.º, verificamos que enquanto a
Diretiva 95/46/CE limitava a responsabilidade ao responsável pelo tratamento, a mesma é
agora extensível ao subcontratante, embora não em termos coincidentes, como veremos.
Quer isto dizer que, perante a violação de dados pessoais, o lesado deve-se ao responsável
pelo tratamento e/ou ao subcontratante para exigir a indeminização a que se acha com direito.
Está, por conseguinte, excluída a responsabilidade direta do encarregado de proteção de
dados263. Em sentido contrário, Mafalda Miranda Barbosa 264. escreve que “o encarregado da
proteção de dados poderá ser responsabilizado em face dos titulares dos dados, por violação dos deveres que lhe
são impostos no quadro regulamentar”. Tal não exclui, como é evidente, a responsabilidade

262 Embora a norma dispunha que os direitos que a lei reconhece ao nascituro dependem do seu nascimento.
263 Neste sentido, vide orientações emitidas pelo Grupo de Trabalho do Artigo 29.º, de 13 de dezembro de 2016 e
revistas em 5 de abril de 2017.
264 Cf. MIRANDA BARBOSA, Mafalda, Data controllers e data processors: da responsabilidade pelo tratamento de dados à

responsabilidade civil, in Revista de Direito Comercial, 15 de março de 2018, p. 477.

102 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

contratual do encarregado de proteção de dados, nomeadamente caso este aconselhe


erradamente o responsável pelo tratamento ou o subcontratante, ou ainda caso omita o
cumprimento das obrigações que o Regulamento lhe impõe ou que lhe hajam sido fixadas
pelos primeiros.
Também os trabalhadores que estejam autorizados a tratar de dados pessoais pelo
responsável pelo tratamento ou subcontratante não respondem diretamente perante o titular
dos dados, mas podem vir a responder perante os empregadores nos termos gerais do
direito265. A este propósito, o Grupo de Trabalho do Artigo 29.º emitiu, em 16 de fevereiro de
2010, o Parecer 1/2010 sobre os conceitos de ‘responsável pelo tratamento’ e ‘subcontratante’,
no qual se pode ler o seguinte:
“Por vezes, as empresas e os organismos públicos nomeiam um responsável pela execução das operações de
tratamento. Porém, também neste caso, em que uma pessoa singular específica é incumbida de assegurar o
cumprimento dos princípios relativos à proteção de dados ou de tratar dados pessoais, esta pessoa nãos será
o responsável pelo tratamento, na medida em que agirá por conta da pessoa coletiva (empresa ou organismo
público), que, na qualidade de responsável pelo tratamento, continuará a ser o responsável em caso de
violação dos referidos princípios. (...) Tal como referido anteriormente, o papel do responsável pelo tratamento
é crucial e particularmente relevante para a imputação da responsabilidade e a imposição de sanções. A
identificação da figura do responsável pelo tratamento na perspetiva da proteção de dados pessoais estará
associada, na prática, ás disposições do direito civil, administrativo ou penal que imputam a
responsabilidade ou estabelecem as sanções a que uma pessoa singular ou coletiva podem estar sujeitas”
(sublinhado nosso).
No tocante aos pressupostos de imputação de responsabilidade civil, o artigo 82.º, ao invés
daquilo que previa a Diretiva 95’, deixou de mencionar expressamente a ilicitude da violação266,
pelo que poderá questionar-se se a intenção do legislador foi a de atribuir responsabilidade
mesmo em caso de violações lícitas de normas do RGPD. Crê-se, contudo, não ser esse o caso:
para além de ser difícil configurar abstratamente uma violação ilícita de tais normas, o n.º 3 do
artigo 82.º, ao excluir a responsabilidade quando se demonstre que não houve culpa, parece
afastar essa possibilidade267. Deverá, assim, verificar-se o preenchimento dos vários
pressupostos da responsabilidade civil extraobrigacional, a saber: a prática de ato ilícito, a culpa
(na modalidade de dolo ou negligência), a existência de um dano (patrimonial ou não
patrimonial) e o nexo de causalidade entre o ato ilícito culposo e o prejuízo sofrido.
Por seu turno, o n.º 2 do artigo 82.º esclarece em que caso pode o subcontratante ser
responsabilizado perante lesados, determinando que o mesmo só é responsável pelos danos
causados pelo tratamento se não tiver cumprido as obrigações 268 ou se não tiver seguido as
instruções lícitas do responsável pelo tratamento. Não conhecendo o lesado tais instruções,
afigura-se que, em termos processuais, deverá demandar quer o responsável pelo tratamento,
quer o subcontratante, embora regra geral o possa fazer somente em relação a um dos
intervenientes, na medida em que a modalidade de responsabilidade civil a ser convolável, regra
geral, é a da responsabilidade conjunta.
Estabelece o n.º 3 do artigo 82.º um caso de exclusão da responsabilidade, quer do
responsável pelo tratamento, quer do subcontratante, na situação em que os mesmos provem
que não são responsáveis pelo evento que deu origem aos danos. Já o n.º 2 do artigo 23.º da

265 A propósito da responsabilidade do comitente, cf. artigo 500.º do CC. Quanto à responsabilidade extracontratual
do Estado e demais entidades públicas, vide Lei n.º 67/2007, de 31 de dezembro.
266 Segundo o n.º 1 do preceito em voga, “qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação

do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou subcontratante pelos danos sofridos”.
267 “O responsável pelo tratamento ou o subcontratante fica isento de responsabilidade nos termos do n.º 2, se provar que não é de modo

algum responsável pelo evento que deu origem aos danos”, cit., n.º 3 do artigo 82.º.
268 Cf., artigo 28.º do RGPD.

103 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Diretiva 95’, bem como o n.º 2 do artigo 34.º da Lei n.º 67/98, afastavam esta responsabilidade
na hipótese em que fosse provado que o facto que causou o dano não era imputável ao
responsável pelo tratamento. Também no considerando 146 encontramos igual menção, pelo
que podemos admitir que estamos defronte expressões equivalentes.
O regime ora consagrado no RGPD traduz-se numa inversão do ónus da prova, favorável
aos interesses dos lesados, a quem basta demonstrar que os prejuízos sofridos foram causados
por uma operação de tratamento da responsabilidade de uma determinada pessoa, cabendo a
esta demonstrar que não é a responsável pelo evento gerador dos danos, ou seja, que não haja
agido com culpa em face da ocorrência do facto danoso que lhe é aprioristicamente imputável.
Poderá ser o caso de, tendo o responsável pelo tratamento implementado as soluções
disponíveis no mercado para garantir a segurança do sistema informático, através do qual os
dados são processados, vir a ser vítima de um sofisticado ataque informático que nada nem
ninguém poderia ter evitado.
Consagra o n.º 4 a regra da solidariedade em caso de existir mais do que um responsável
pelo pagamento da indemnização a que o lesado tem direito. Trata-se, uma vez mais, de um
regime que protege os interesses do lesado que poderá assim demandar apenas um dos
corresponsáveis, sem prejuízo do direito de regresso de que trata o n.º 5269.
No seguimento do n.º 4, e em conformidade com o previsto no considerando 146, o n.º 5
do artigo 82.º vem atribuir direito de regresso a quem, sendo corresponsável, pagara a
totalidade da indemnização, prevendo que deve ser apurada a medida da responsabilidade de
cada um. Ou seja, não basta dividir o montante pago pelo número de responsáveis, sendo
necessário apurar previamente o quantum da responsabilidade de cada um, tarefa que nem
sempre será fácil de concretizar.
O n.º 6 deste artigo consagra uma regra de competência jurisdicional remetendo para o
artigo 79.º, n.º 2 que estabelece que as ações contra responsáveis pelo tratamento ou contra os
subcontratantes são, em princípio, propostas nos tribunais do Estado-Membro em que estes
tenham um estabelecimento, mas admitindo exceções, em conformidade com aquelas que
resultam do artigo 79.º do RGPD.

269A propósito das situações em que existem vários responsáveis, cf. Parecer do Grupo de Trabalho do Artigo 29,
de 16 de fevereiro de 2010, que dá vários exemplos esclarecedores a esse respeito.

104 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

Índice
I. Um introito à Proteção de Dados Pessoais na conjetura das (Novas) Tecnologias de
Informação e Comunicação.............................................................................................................1
II. Comunicações Eletrónicas e Direitos Humanos: o perigo do ‘Homo Conectus’ .................2
O perigo do ‘Homo Conectus’ ...................................................................................................2
Computação distribuída ou ‘Cloud Computing’ .......................................................................2
Ambientes Inteligentes ................................................................................................................3
Agentes de Software e construção de conhecimento ...............................................................4
A Privacidade e a Proteção de Dados Pessoais nas Comunicações Eletrónicas ...................5
Eficácia dos Direitos Fundamentais ..........................................................................................9
Conclusões .................................................................................................................................12
A (quimera) ‘Privacidade’ e a Proteção de Dados nos Ambientes Inteligentes ...................12
O rastreamento e monitorização das pessoas singulares...................................................13
IV. A Proteção de Dados Pessoais na União Europeia: do mercado interno à cidadania de
direitos. Em especial, a proteção de dados pessoais como uma questão jusfundamental
identitária das matrizes ‘supra-estaduais’ atinentes à concretização de uma verdadeira ‘União
de direitos’ .......................................................................................................................................16
O RGPD e o despertar da ‘princesa adormecida’: a questão da propriedade dos dados ...16
O mercado interno e a teleologia dos direitos fundamentais: a questão da cidadania ........17
Os algoritmos de aprendizagem como intermediários do mercado: a questão da escolha
ilimitada ..................................................................................................................................19
O processamento de dados e a tomada de decisões: a questão da democracia ..............21
Proteção de Dados Pessoais e universalidade: a questão jusfundamental identitária .....22
Os ‘quadrantes’ de um espaço comunitário cojetur(ável) como uma verdadeira ‘União de
Direitos’ por referência aos enunciados principiológicos plasmados nos seus instrumentos
institutivos ..................................................................................................................................23
O ‘Direito à reserva sobre a intimidade da vida privada’ e o maior protecionismo europeu:
considerações sobre a proteção de dados pessoais informatizados no Direito da União
Europeia. Em especial: o sentido, a evolução e a reforma legislativa ...................................24
O Estado de Direito e a conjetura ‘sémico-vivificante’ de uma Carta Europeia no decurso
da litigância inerente ao exercício dos direitos de cidadania ..................................................24
O compaginar harmonizável dos standards protecionistas de uma ‘tutela jus-favorável’
por de entre a ‘hierarquia-horizontal’ de direitos ...............................................................26
Os ‘quadrantes’ de um espaço comunitário conjetur(ável) como uma verdadeira ‘União
do Direito à privacidade’ e a referência independentizada ao enunciado principiológico
plasmado no seu instrumento constitutivo: em especial, a tutela da proteção dos dados
pessoais nos termos do artigo 16.º do TFUE. ...................................................................28
O sentido e evolução da proteção de dados pessoais informatizados no Direito da
União Europeia à luz da Jurisprudência do Tribunal de Justiça .......................................30
(1) Acórdão Lindqvist...........................................................................................................31
(2) Acórdão Scarlet ...............................................................................................................32
(3) Acórdão Google Spain ...................................................................................................33
(4) Acórdão Digital Rights Ireland ......................................................................................37
(5) Acórdão Schrems ............................................................................................................38
(6) Acórdão Christa Neukomm ...........................................................................................40
(7) Acórdão Weltimmo.........................................................................................................41
A prolepse ‘Massan(ena)’ e ‘meditada’ dos traços decisórios envoltos ao Acórdão Google
Spain: em especial, os ditames de aplicação ............................................................................43

105 Diogo Morgado Rebelo


Direito da Proteção de Dados Pessoais Ano Letivo 2018/2019

O pedido de decisão prejudicial apresentado pelo Conseil d´Étate em 21 de agosto de


2017 e a concretização do(s) ‘meandro(s)’ territoriais no vindouro Acórdão Google
Spain defronte as ‘gigantes tecnológicas’ internacionais ...................................................44
A completude de uma cogitação da (extra)territorialidade na performnance ‘Canto
Moni(ana)’ sobre os contemporâneos critérios de aplicação ‘intra’ e ‘praeter’ União
Europeia das prerrogativas vigentes em matéria de proteção de dados pessoais ................46
O Novo Regulamento Geral sobre a Proteção de Dados Pessoais, Regulamento (UE)
2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016 ........................50
As projeções ‘joanino-marqueanas’ referentes à tutela de dados pessoais informatizados
no seio da União Europeia .......................................................................................................56
As matrizes constitucionais de uma Proteção e Privacidade dos Dados Pessoais ...................58
Um introito às balizas jusconstitucionalistas do catálogo de princípios fundamentais, os
fundamentos da Constituição e os quadrantes de uma matriz jurídica dos Direitos
Fundamentais em especial ........................................................................................................58
Os DLGs’ e a tutela reforçada ‘pelejada’ no e pelo artigo 18.º, n.º 2 da norma normarum e
os DESCs ...................................................................................................................................60
Um introito ao conteúdo próprio do regime dos direitos, liberdades e garantias ..........61
‘Canotilhianismo’ e a precisão dos quesitos no ato legiferante e restritivo de DLGs’ ...62
Os direitos sociais enquanto direitos fundamentais ..........................................................64
O mote constitucionalmente ‘consentido’ de uma ‘restrição’ ou ‘compressão’ doa
direitos fundamentais............................................................................................................65
A Privacidade e a relevância da Proteção dos Dados Pessoais à luz do artigo 35.º da
Constituição da República Portuguesa ....................................................................................68
O hiato temporal que compreende os primórdios de um direito à ‘privacy’ e finda na
‘institucionalização’ do direito à autodeterminação informativa ......................................68
A ‘consolidação’ jusfundamental de um direito à reserva sobre a intimidade da vida
privada ....................................................................................................................................71
O artigo 35.º na conjetura histórico-substancial dos 40 anos de ‘Utilização da Informática’
.....................................................................................................................................................78
O direito à autodeterminação informativa segundo os ditames propugnados pelo artigo
35.º da norma normarum .....................................................................................................79
O direito à Internet em especial ..........................................................................................80
A Proteção de Dados Pessoais e o seu contexto no século XXI: novos e renovados
desafios...................................................................................................................................88
O direito à autodeterminação informativo e os novos desafios gerados pelo direito à
liberdade e à segurança .........................................................................................................94
A valoração “check & balancea(dora)” da privacidade vs. segurança ..............................94
A simbiose de entre a Proteção de Dados Pessoais e os Direitos de Personalidade ............ 100
O preconizar de uma contextualização em ambiente de aula ........................................ 100
A cristalização de um direito á indemnização e a imputação de responsabilidade civil em
especial ..................................................................................................................................... 102

106 Diogo Morgado Rebelo