Indirekte diskriminerende tiltak

O exercício do direito à proteção de dados pessoais, consagrado no art. 35.º da C.R.P., pressupõe uma prestação normativa por parte do Estado, vinculando-o à tomada de medidas legislativas para a realização plena do direito à proteção de

dados pessoais em face do uso da informática408_{. O art. 35.º da C.R.P. contém, assim,}

uma imposição legiferante, ao estabelecer expressamente que a tutela dos cidadãos relativamente à utilização da informática e o conteúdo dos seus direitos será

definida «pela lei e nos termos da lei»409_{. Mais concretamente, o art. 35.º, n.º 2, da}

C.R.P. determina que “[a] lei define o conceito de dados pessoais, bem como as condições aplicáveis ao seu tratamento automatizado, conexão, transmissão e utilização, e garante a sua proteção, designadamente através de entidade

administrativa independente”410_{, o n.º 4, do mesmo preceito constitucional, define a}

proibição de “[…] acesso a dados pessoais de terceiros, salvo em casos excecionais previstos na lei”, e o n.º 6, por sua vez, acrescenta que a lei define o regime aplicável

ao conjunto de fluxos de dados transfronteiriços411_{. É à lei, mais precisamente, que}

cabe a definição das condições de legitimidade para o acesso, a recolha e o tratamento de dados, os fundamentos para a limitação do direito de acesso, de retificação, de atualização e à informação do cidadão relativamente aos seus dados pessoais, e o esclarecimento sobre as atribuições e competências da entidade administrativa independente – em suma, toda a regulamentação dos mecanismos através dos quais se torna possível o exercício do direito à proteção de dados

pessoais constitucionalmente consagrado412_{. O legislador constitucional assume,}

assim, uma postura dinâmica, consignando nestas normas um verdadeiro impulso

legislativo dirigido ao legislador ordinário413_{. E, estando em causa «direitos,}

liberdades e garantias», a referência a «lei» significa uma lei da Assembleia da

408 _{Cfr. MARIA PAULA RIBEIRO DE FARIA, em anotação ao art. 35.º, in MIRANDA, Jorge; MEDEIROS, Rui – Constituição}

Portuguesa Anotada…, op. cit., págs. 789-790.

409 _{Ibidem, pág. 790.}

410 _{De acordo com SILVEIRA, Luís Lingnau da – “Configuração constitucional…”, op. cit., pág. 510.}

411 _{Este é um aspeto cada vez mais relevante no atual «mundo globalizado», tendo em conta que muitos Estados ainda não} proporcionam um nível de proteção de dados pessoais considerado adequado em termos europeus. Ibidem, pág. 510. 412 _{Cfr. MARIA PAULA RIBEIRO DE FARIA, em anotação ao art. 35.º, in MIRANDA, Jorge; MEDEIROS, Rui – Constituição}

Portuguesa Anotada…, op. cit., pág. 790.

77

República ou um Decreto-Lei autorizado do Governo, por força do disposto no art. 165.º, n.º 1, al. b), da C.R.P.

Porque o legislador ordinário tardou em corresponder a este impulso, o Provedor de Justiça solicitou ao T.C. que fosse verificado o não cumprimento da C.R.P., por omissão das medidas legislativas necessárias para tornar exequíveis os

n.os _{2 e 4, do seu art. 35.º}414_{. O T.C., aceitando essa perspetiva, emitiu a declaração de}

inconstitucionalidade por omissão em relação à não emanação de legislação sobre proteção de dados pessoais – informatizados, na altura – que o art. 35.º da C.R.P. expressamente reclamava, através do seu Acórdão n.º 182/89, de 1 de fevereiro de

1989, Processo n.º 298/87415/416_{. A Assembleia da República veio, então, colmatar a}

ausência de lei que tornasse operativo o art. 35.º da C.R.P., mediante a aprovação da Lei de Proteção de Dados Pessoais face à Informática, densificando e pondo em ato o disposto no art. 35.º da C.R.P., relativo à «utilização da informática», e na

Convenção n.º 108, do Conselho da Europa, de 28 de janeiro de 1981417_.

Como é sabido, a primeira lei relativa à proteção de dados pessoais (Lei de Proteção de Dados Pessoais face à Informática) foi alterada pela Lei n.º 28/94, de 29 de agosto, e estas foram, mais tarde, substituídas pela Lei de Proteção de Dados Pessoais, hoje (ainda) em vigor, emanada com o fito de transpor para a ordem

jurídica interna portuguesa a Diretiva 95/46/CE418 _{e que se aplica ao tratamento}

automatizado ou manual de dados pessoais.

A Lei de Proteção de Dados Pessoais contém, no Capítulo VI, intitulado «tutela administrativa e jurisdicional», três secções: a Secção I consagra a «tutela administrativa e jurisdicional»; a Secção II prevê as «contraordenações»; e a Secção III estabelece os «crimes».

No que aqui nos interessa em particular, na Secção III, a lei atualmente (ainda) em vigor em matéria de proteção de dados (Lei de Proteção de Dados Pessoais) prevê seis tipos de crimes, entre os quais: o crime de não cumprimento de obrigações relativas a proteção de dados (art. 43.º); o crime de acesso indevido (art. 44.º); o crime de viciação ou destruição de dados pessoais (art. 45.º); o crime de

414 _{No nosso entendimento – partilhado por SILVEIRA, Luís Lingnau da – “Configuração constitucional…”, op. cit., pág. 510 –,} também o art. 35.º, n.º 6, da C.R.P. carecia de concretização através de legislação ordinária.

415 _{[Consulta em 20 de fevereiro de 2019]. Disponível para consulta em: https://bit.ly/2wDsvtZ.} 416 _{Nestes termos, ver SILVEIRA, Luís Lingnau da – “Configuração constitucional…”, op. cit., pág. 510.}

417 _{A Lei de Proteção de Dados Pessoais face à Informática seguiu os princípios fundamentais da Convenção n.º 108, cfr.} SILVEIRA, Luís Lingnau da – “Configuração constitucional…”, op. cit., pág. 510.

78

inserção de dados falsos (art. 45.º-A), aditado pela Lei n.º 103/2015, de 24 de agosto; o crime de desobediência qualificada (art. 46.º); e o crime de violação do dever de sigilo (art. 47.º). Este grupo de crimes corresponde à categoria tradicional

de crimes referentes à proteção de dados419 _{e discute alguma doutrina se tem ou não}

autonomia enquanto tal em relação aos cibercrimes420/421_.

Como vimos, o bem jurídico genericamente protegido por estes crimes referentes à proteção de dados é a autodeterminação informacional ou informativa, que abrange a transparência no uso da informática, a reserva da vida privada e familiar e o respeito pelos direitos, liberdades e garantias fundamentais dos cidadãos. Os dois últimos interesses protegidos valem quer seja ou não no âmbito do tratamento automatizado de dados pessoais, já o primeiro deles é específico deste tipo de tratamento de dados pessoais e, por isso, confere carácter específico

«informático» aos crimes referentes à proteção de dados422_.

Em todos os crimes enunciados, a punição é de pena de prisão até um ano ou até dois anos ou de pena de multa até 120 dias ou até 240 dias, podendo a pena ser agravada para o dobro ou de metade dos seus limites. Nos casos particulares do crime de viciação ou destruição de dados pessoais, previsto no art. 45.º da Lei de Proteção de Dados Pessoais, e do crime de violação do dever de sigilo, previsto no art. 47.º da Lei de Proteção de Dados Pessoais, a negligência é punível: num, com pena de prisão até um ano ou com pena de multa até 120 dias (n.º 3); e, noutro, com pena de prisão até seis meses ou com pena de multa até 120 dias (n.º 3), respetivamente. Assim, os crimes referentes à proteção de dados são punidos, em regra, apenas quando são cometidos com dolo e com penas que oscilam entre a pena de prisão até um ano ou a pena de multa até 120 dias e a pena de prisão até quatro anos ou a pena de multa até 480 dias.

419 _{De acordo com VERDELHO, Pedro – “Cibercrime”. In AA. VV. – Direito da Sociedade da Informação. Coimbra, Portugal:} Coimbra Editora, junho de 2003. Volume IV. Pág. 356, este grupo de crimes corresponde a uma categoria tradicional de cibercrimes.

420 _{Ibidem, pág. 356.}

421 _{A este propósito, veja-se que ASCENSÃO, José de Oliveira – “Criminalidade Informática”. In AA. VV. – Direito da Sociedade}

da Informação. Coimbra, Portugal: Coimbra Editora, fevereiro de 2001. Volume II. Pág. 202, refere que este tipo de crimes não

se incluem na área da cibercriminalidade, sustentando a sua posição no facto de ser indiferente, na perspetiva da violação dos direitos pessoais, que essa violação se faça com a utilização do meio informático ou de qualquer outro meio. No nosso entendimento, esta opinião vai ao encontro da ratio da Lei de Proteção de Dados Pessoais, que transpôs a Diretiva 95/46/CE, visto que ambas pretendiam regular o tratamento de dados pessoais, com recurso ou não a meios automatizados. Pelo contrário, MARQUES, Garcia; MARTINS, Lourenço – Direito da Informática. Coimbra, Portugal: Almedina, 2000. Págs. 515 e 517, catalogam estes crimes na criminalidade informática por ser “[…] o computador o meio usado para violar os direitos de personalidade”.

79

Conjuntamente com as penas (e também com as coimas) aplicadas, podem ser ordenadas as sanções acessórias, previstas no art. 49.º, n.º 1, da Lei de Proteção de Dados Pessoais, nomeadamente: a proibição temporária ou definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados (al. a)); a publicidade da sentença condenatória (al. b)); e a advertência ou censura públicas do responsável pelo tratamento (al. c)).

A experiência da Lei de Proteção de Dados Pessoais face à Informática,

acusada por muitos de falta de «densidade suficiente»423_{, mostrou que o regime}

sancionatório – que apontava, em exclusivo, para a aplicação de penas de prisão ou penas de multa – se revelou pouco eficaz e desajustado em termos de prevenção

especial424_{. Em sede de incriminação, salientava-se, ainda, a dificuldade de}

comprovação da conduta dolosa e a falta de consciência da ilicitude terá sido

determinante para o arquivamento de alguns processos-crime instaurados425_.

Não obstante as acusações por parte da doutrina no sentido de alguns pontos ou aspetos da Lei de Proteção de Dados Pessoais se encontrarem ainda pouco

densificados426_{, no domínio do elenco e da tipificação das sanções, esta lei apresenta}

inovações em relação à lei anterior, tendo criado um sistema misto de

contraordenações e sanções criminais427_{. Neste contexto, pensa-se que a aplicação}

de coimas pode contribuir para o cumprimento das obrigações dos responsáveis pelo tratamento dos dados pessoais e para o respeito pelos direitos dos titulares

desses dados428_.

Assim, apesar de nos últimos tempos se terem multiplicado as questões e

informações relativas ao R.G.P.D.429_{, a verdade é que este não é uma total novidade}

no nosso ordenamento jurídico, tratando-se já da «terceira geração» legislativa em matéria de proteção de dados pessoais, sendo a primeira a Lei de Proteção de Dados Pessoais face à Informática e a segunda a Lei de Proteção de Dados Pessoais.

423 _{Cfr. CANOTILHO, J. J. Gomes; MOREIRA, Vital – Constituição da República Portuguesa Anotada. 3.ª Edição. Coimbra, Portugal:} Coimbra Editora, 1993. Pág. 218, em comentário à Lei de Proteção de Dados Pessoais face à Informática.

424 _{Nestes termos, ver GUERRA, Amadeu – “A lei de protecção de dados pessoais”. In AA. VV. – Direito da Sociedade da}

Informação. Coimbra, Portugal: Coimbra Editora, fevereiro de 2001. Volume II. Pág. 168.

425 _{Ibidem, pág. 168.}

426 _{Referindo, neste sentido, a falta de densificação da disciplina legislativa em relação a certos pontos ou aspetos, como, e.g.,} onde se trata da definição do conceito de dados pessoais, ver CANOTILHO, J. J. Gomes; MOREIRA, Vital – Constituição da

República Portuguesa Anotada. 4.ª Edição…, op. cit., pág. 553.

427 _{De acordo com GUERRA, Amadeu – “A lei de protecção de dados pessoais”, op. cit., pág. 168.} 428 _{Ibidem, pág. 168.}

429 _{Neste contexto, iremos averiguar se a razão deste renovado interesse e preocupação se prende apenas com as sanções} pecuniárias.

80

In document Stortingets hustrykkeri - www.stortinget.no (sider 15-18)