Redes Sociais e Protecção da Privacidade
TMT Luís Neto Galvão
Julho de 2010
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
11
Índice
1. Quadro Jurídico Europeu e Internacional mais relevante 2. Quadro Jurídico Nacional mais relevante 3. Dados Pessoais: Conceito 4. Legitimidade para o Tratamento de Dados: Princípios 5. Dados Sensíveis 6. Comissão Nacional de Protecção de Dados (“CNPD”) 7. Âmbito de Aplicação da Lei da Protecção de Dados Pessoais 8. Acórdão Bodil Lindqvist do Tribunal de Justiça da União Europeia 9. Redes Sociais: Parecer sobre as Redes Sociais Em Linha - Grupo de Protecção de Dados Pessoais do Art. 29.º 10. Principais Conclusões do Grupo de Protecção de Dados Pessoais do Art. 29.º sobre as Redes Sociais
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
22
1. Quadro Jurídico Europeu e Internacional mais relevante
1 Declaraç ção Universal Declara Declaração Universal dos dos Direitos Direitos do do Homem Homem
2 Convenç ção Europeia Conven Convenção Europeia dos dos Direitos Direitos do do Homem Homem
3 Carta Carta dos dos Direitos Direitos Fundamentais Fundamentais da da União União Europeia Europeia
4 Convenç ção 108 Conven Convenção 108 do do Conselho Conselho da da Europa Europa –– Convenção Convenção para para aa Protecção Protecção das das Pessoas Pessoas relativamente relativamente ao ao Tratamento Tratamento Automatizado Automatizado de de Dados Dados de de Carácter Carácter Pessoal Pessoal
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
33
1. Quadro Jurídico Europeu e Internacional mais relevante
5 Directiva Directiva 95/46/CE 95/46/CE do do Parlamento Parlamento Europeu Europeu ee do do Conselho, Conselho, de de 24 24 de de Outubro Outubro de de 1995 1995,, relativa relativaààprotecção protecçãodas daspessoas pessoassingulares singularesno noque quediz dizrespeito respeitoao aotratamento tratamentode dedados dadospessoais pessoaiseeààlivre livrecirculação circulaçãodesses dessesdados dados
6 Directiva Directiva 2002/58/CE 2002/58/CE do do Parlamento Parlamento Europeu Europeu ee do do Conselho, Conselho, de de 12 12 de de Julho Julho de de 2002 2002,, relativa relativaao aotratamento tratamentode dedados dadospessoais pessoaiseeààprotecção protecçãoda daprivacidade privacidadeno nosector sectordas dascomunicações comunicaçõeselectrónicas electrónicas
7
Directiva ço de Mar Directiva 2006/24/CE 2006/24/CE do do Parlamento Parlamento Europeu Europeu ee do do Conselho, Conselho, de de 15 15 de de Març Março de 2006 2006,, relativa relativaààconservação conservaçãode dedados dadosgerados geradosou outratados tratadosno nocontexto contextoda daoferta ofertade deserviços serviçosde de comunicações comunicaçõeselectrónicas electrónicaspublicamente publicamentedisponíveis disponíveisou oude deredes redespúblicas públicasde decomunicações comunicações
8 Directiva Directiva 2009/136/CE 2009/136/CE do do Parlamento Parlamento Europeu Europeu ee do do Conselho, Conselho, de de 25 25 de de Novembro Novembro de de 2009 2009,, que quealtera alteraaaDirectiva Directiva2002/22/CE 2002/22/CErelativa relativaao aoserviço serviçouniversal universaleeaos aosdireitos direitosdos dosutilizadores utilizadoresem emmatéria matériade deredes redeseeserviços serviçosde de comunicações comunicaçõeselectrónicas, electrónicas,aaDirectiva Directiva2002/58/CE 2002/58/CEeeooRegulamento Regulamento(CE) (CE)n.º n.º2006/2004 2006/2004
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
44
2. Quadro Jurídico Nacional Mais Relevante
1 Artigo º da ção da ública Portuguesa 35. Constitui Rep Artigo 35.º 35.º da Constituiç Constituição da Repú República Portuguesa
2 Lei ção de Protec Lei da da Protecç Protecção de Dados Dados Pessoais Pessoais –– Lei Lei n.º n.º 67/98, 67/98, de de 26 26 de de Outubro Outubro
3
Lei º 41/2004, n. Agosto Lei n.º n.º 41/2004, de de 18 18 de de Agosto, Agosto, que quetranspõe transpõeaaDirectiva Directivan.º n.º2002/58/CE, 2002/58/CE,do doParlamento ParlamentoEuropeu Europeueedo doConselho, Conselho,de de12 12de deJulho, Julho, relativa relativaao aotratamento tratamentode dedados dadospessoais pessoaiseeààprotecção protecçãoda daprivacidade privacidadeno nosector sectordas dascomunicações comunicaçõeselectrónicas. electrónicas.
4
Lei º 32/2008, n. Lei n.º n.º 32/2008, de de 17 17 de de Julho Julho,,que quetranspõe transpõeaaDirectiva Directivada daRetenção Retençãode deDados, Dados, relativa relativaààconservação conservaçãode dedados dadosdas dascomunicações comunicaçõeselectrónicas electrónicas
5 Decreto-Lei Lei n.º º 7/2004, ércio Electró ónico) n. Com Electr Decreto-Lei n.º 7/2004, de de 77 de de Janeiro Janeiro (Lei (Lei do do Comé Comércio Electrónico)
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
55
3. Dados Pessoais: Conceito
Dados Pessoais: • Conceito
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
66
3. Dados Pessoais: Conceito
Por dados pessoais entende-se: •
qualquer informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e imagem,
•
relativa a uma pessoa singular identificada ou identificável («titular dos dados»);
•
é considerada identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social.
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
77
4. Legitimidade para o Tratamento de Dados: Princípios
Os dados pessoais devem ser… Tratados de forma lícita e com respeito pelo princípio da boa fé
Recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essas finalidades
Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e posteriormente tratados Exactos e, se necessário, actualizados, devendo ser tomadas as medidas adequadas para assegurar que sejam apagados ou rectificados os dados inexactos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente Conservados de forma a permitir a identificação dos seus titulares apenas durante o período necessário para a prossecução das finalidades da recolha ou do tratamento posterior
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
88
5. Dados Sensíveis
É proibido o tratamento de…
Dados pessoais referentes a: •
Convicções filosóficas ou políticas;
•
Filiação partidária ou sindical;
•
Fé religiosa;
•
Vida privada;
•
Origem racial ou étnica;
•
Saúde e vida sexual, incluindo dados genéticos.
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
99
6. Comissão Nacional de Protecção de Dados (“CNPD”)
Funções e Competências da CNPD
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
10 10
6. Comissão Nacional de Protecção de Dados (“CNPD”) Função Consultiva
Função de Controlo do Tratamento de Dados Pessoais
A CNPD tem competência para o registo do tratamento de dados pessoais. É necessária autorização da CNPD para:
A CNPD deve ser consultada sobre quaisquer disposições legais, bem como sobre instrumentos jurídicos em preparação em instituições comunitárias ou internacionais, relativos ao tratamento de dados pessoais. Compete à CNPD emitir parecer sobre disposições legais, bem como sobre instrumentos jurídicos em preparação em instituições comunitárias e internacionais, relativos ao tratamento de dados pessoais.
• o tratamento de dados pessoais •
sensíveis;
•
relativos a suspeitas de actividades ilícitas, infracções
penais e contra-ordenações; •
relativos ao crédito e à solvabilidade dos seus titulares;
• a interconexão de dados pessoais; • a utilização de dados pessoais para fins não determinantes da recolha.
Função Fiscalizadora e Sancionatória A CNPD dispõe: • de poderes de investigação e de inquérito, podendo aceder aos dados objecto de tratamento e recolher todas as informações necessárias ao desempenho das suas funções de controlo; bem como • de poderes de autoridade, designadamente o de ordenar o bloqueio, apagamento ou destruição dos dados, bem como o de proibir, temporária ou definitivamente, o tratamento de dados pessoais, ainda que incluídos em redes abertas de transmissão de dados a partir de servidores situados em território português; A CNPD pode ainda deliberar sobre a aplicação de coimas.
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
11 11
7. Âmbito de Aplicação da Lei da Protecção de Dados Pessoais
No âmbito das actividades de estabelecimento do responsável do tratamento situado em território português
A Lei da Protecção de Dados Pessoais aplica-se ao tratamento de dados efectuado
Por responsável que, não estando estabelecido no território da União Europeia, recorra, para tratamento de dados pessoais, a meios, automatizados ou não, situados no território português, salvo se esses meios só forem utilizados para trânsito através do território da União Europeia
Fora do território nacional, em local onde a legislação portuguesa seja aplicável por força do direito internacional
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
12 12
8. Acórdão Bodil Lindqvist do Tribunal de Justiça da União Europeia
Reenvio prejudicial a pedido do Göta Hovrätt (Suécia); B. Lindqvist exercia funções de catequista na paróquia de Alseda (Suécia). Frequentou um curso de informática no âmbito do qual devia, nomeadamente, criar uma página Internet. No final de 1998, B. Lindqvist criou, em casa e com o seu computador pessoal, páginas Internet com o objectivo possibilitar aos paroquianos que preparam o crisma obter facilmente as informações de que podiam necessitar. A seu pedido, o administrador do sítio Internet da Igreja da Suécia estabeleceu uma ligação entre essas páginas e o referido sítio. As páginas em causa continham informações sobre B. Lindqvist e 18 dos seus colegas da paróquia, incluindo o seu nome completo ou por vezes apenas o seu nome próprio. Além disso, B. Lindqvist descreveu as funções ocupadas pelos colegas e os seus hábitos dos tempos livres em termos ligeiramente humorísticos. Em vários casos, era feita referência à situação familiar, ao número de telefone e a outros dados. Por outro lado, referiu que uma das colegas tinha uma lesão num pé e que estava com baixa por doença a meio tempo.
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
13 13
8. Acórdão Bodil Lindqvist do Tribunal de Justiça da União Europeia
B. Lindqvist não informou os seus colegas da existência destas páginas, não obteve o seu consentimento, nem declarou a sua actuação ao Datainspektion (organismo público para a protecção dos dados transmitidos por via informática). Logo que tomou conhecimento de que alguns colegas não apreciaram as páginas em causa, suprimiu-as. O Ministério Público intentou uma acção contra B. Lindqvist, por violação da lei de protecção de dados pessoais sueca, e pediu a sua condenação por ter: - tratado dados de carácter pessoal, no âmbito de um tratamento automatizado, sem previamente ter notificado por escrito a Datainspektion; - tratado, sem autorização, dados de carácter pessoal sensíveis, relativos à lesão no pé e uma baixa por doença a meio tempo; - transferido para países terceiros dados de carácter pessoal tratados sem autorização. B. Lindqvist reconheceu os factos, mas negou ter cometido qualquer infracção. Tendo sido condenada pelo Eksjö tingsrätt (Suécia) no pagamento de uma multa (um total de 4.300 SEK), B. Lindqvist interpôs recurso desta decisão no órgão jurisdicional de reenvio.
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
14 14
8.Acórdão Bodil Lindqvist do Tribunal de Justiça da União Europeia
Decisão do Luxemburgo (TJUE): A referência, feita numa página da Internet, a várias pessoas e a sua identificação pelo nome ou por outros meios, por exemplo, o número de telefone ou informações relativas às suas condições de trabalho e aos seus passatempos, constitui um «tratamento de dados pessoais por meios total ou parcialmente automatizados». A indicação do facto de uma pessoa se ter lesionado num pé e estar com baixa por doença a meio tempo constitui um dado de carácter pessoal relativo à saúde. Não existe uma «transferência para um país terceiro de dados» quando uma pessoa que se encontra num Estado-Membro insere numa página Internet, de uma pessoa singular ou colectiva que alberga o sítio Internet no qual a página pode ser consultada e que está estabelecida nesse mesmo Estado ou noutro Estado-Membro, dados de carácter pessoal, tornando-os deste modo acessíveis a qualquer pessoa que se ligue à Internet, incluindo pessoas que se encontram em países terceiros.
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
15 15
8. Acórdão Bodil Lindqvist do Tribunal de Justiça da União Europeia
As disposições da Directiva 95/46 não contêm, em si mesmas, uma restrição contrária ao princípio geral da liberdade de expressão ou a outros direitos e liberdades que vigoram na União Europeia. Compete às autoridades e aos órgãos jurisdicionais nacionais encarregados de aplicar a regulamentação nacional que procede à transposição da Directiva 95/46 assegurar um justo equilíbrio entre os direitos e interesses em causa, incluindo os direitos fundamentais protegidos pela ordem jurídica comunitária. Nada se opõe a que um Estados-Membro alargue o alcance da legislação nacional que procede à transposição da Directiva 95/46 a domínios não incluídos no seu âmbito de aplicação, desde que nenhuma outra disposição do direito comunitário a tal obste.
Tribunal de Justiça da União Europeia
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
16 16
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
17 17
9. Parecer sobre as Redes Sociais Em Linha - Grupo de Protecção de Dados Pessoais do Art. 29.º Definição de um «serviço de redes sociais (SRS)» Os SRS podem ser definidos, em sentido lato, como plataformas de comunicação em linha que permitem a indivíduos aderirem a redes de utilizadores com interesses semelhantes ou criarem redes deste tipo. As redes sociais são serviços da sociedade da informação.
Os SRS partilham de certas características: • os utilizadores são convidados a fornecer dados pessoais para efeitos da geração de uma descrição de si próprios ou «perfil»; • os SRS disponibilizam igualmente ferramentas que permitem aos utilizadores afixar o seu próprio material (conteúdos gerados pelo utilizador, como fotografias ou crónicas, música ou vídeos ou ainda ligações a outros sítios); • as «redes sociais» são activadas através de ferramentas que fornecem uma lista de contactos para cada utilizador e com os quais os utilizadores podem interagir.
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
18 18
10. Principais Conclusões do Grupo de Protecção de Dados Pessoais do Art. 29.º sobre as Redes Sociais
Aplicabilidade da Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995 •
A Directiva Protecção dos Dados aplica-se, de um modo geral, ao tratamento de dados pessoais pelos SRS, mesmo que as suas sedes se situem fora do EEE.
•
Os fornecedores de SRS são considerados responsáveis pelo tratamento dos dados na acepção da Directiva Protecção dos Dados.
•
Os utilizadores são considerados pessoas em causa (titulares dos dados) relativamente ao tratamento dos seus dados pelos SRS.
•
O tratamento de dados pessoais pelos utilizadores, na maioria dos casos, está abrangido pela isenção doméstica. Há casos em que as actividades de um utilizador não são abrangidas por esta isenção.
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
19 19
10. Principais Conclusões do Grupo de Protecção de Dados Pessoais do Art. 29.º sobre as Redes Sociais Obrigações dos SRS •
Os SRS devem informar os utilizadores da sua identidade e facultar informações exaustivas e claras sobre os objectivos do tratamento que pretendem fazer dos dados pessoais e as diferentes formas desse tratamento.
•
Os SRS devem facultar valores pré-definidos de privacidade.
•
Os SRS devem dar informações e fazer advertências adequadas aos utilizadores sobre os riscos para a vida privada quando carregam dados para os SRS.
•
Os utilizadores devem ser informados pelos SRS de que as imagens ou informações sobre outros indivíduos devem apenas ser carregadas com o consentimento desses indivíduos.
•
A página inicial do SRS deve conter, no mínimo, uma ligação a um serviço de reclamações, que abranja questões de protecção dos dados, tanto para membros como para não membros.
•
A actividade de marketing deve cumprir as regras estabelecidas nas Directivas Protecção dos Dados e Privacidade Electrónica.
•
Os SRS devem fixar períodos máximos de conservação dos dados dos utilizadores inactivos. As contas abandonadas devem ser suprimidas.
•
No que se respeito aos menores, os SRS devem tomar as medidas adequadas para limitar os riscos.
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
20 20
10. Principais Conclusões do Grupo de Protecção de Dados Pessoais do Art. 29.º sobre as Redes Sociais
Direitos dos utilizadores •
Tanto os membros como os não membros dos SRS têm os direitos de titulares dos dados que forem aplicáveis, nos termos do disposto nos artigos 10.º-14.º da Directiva Protecção dos Dados.
•
Tanto os membros como os não membros devem ter acesso a um procedimento de tratamento das queixas que seja fácil de utilizar, criado pelo SRS.
•
Os utilizadores devem, em geral, ser autorizados a adoptar um pseudónimo.
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
21 21
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
22 22
Luís Neto Galvão Advogado Responsável de TMT T +351 21 313 2000 D +351 21 313 20xx F + 351 21 313 2001 luis.galvao@srslegal.pt
New Next Moves
Redes Sociais e Protecção da Privacidade Business Planning e Orçamentação
23 23