1 1 DESENVOLVIMENTOS NORMATIVOS E HARMONIZAÇÃO
Transcrição
1 1 DESENVOLVIMENTOS NORMATIVOS E HARMONIZAÇÃO
1 DESENVOLVIMENTOS NORMATIVOS E HARMONIZAÇÃO (PROJECTO DE DOCUMENTO ELABORADO PELO GRUPO DE TRABALHO PERMANENTE DE DESENVOLVIMENTO NORMATIVO, EM SANTA CRUZ DE LA SIERRA, BOLÍVIA, ENTRE 3 E 5 DE MAIO DE 2006) SUMÁRIO: I. INTRODUÇÃO: Necessidade de harmonização normativa em matéria de protecção de dados entre os Estados que integram a Comunidade Ibero-Americana: Instrumentos Internacionais, princípios e direitos básicos da protecção dos dados pessoais. II. AS BASES PARA UMA HARMONIZAÇÃO NORMATIVA. III. COMPOSIÇÃO E FUNCIONAMENTO DO GRUPO DE TRABALHO. IV. PROPOSTA DE DIRECTRIZES PARA A HARMONIZAÇÃO DA REGULAÇÃO DA PROTECÇÃO DE DADOS NA COMUNIDADE IBERO-AMERICANA. Por ocasião do IV Encontro Ibero-Americano sobre Protecção de Dados, realizado no México, em Novembro de 2005, deliberou-se a criação de vários Grupos de Trabalho, entre os quais se encontra o Grupo Permanente de Desenvolvimento Normativo, traduzindo-se assim na Declaração do México, de acordo com o estabelecido no documento sobre a “Estratégia da Rede”, aprovado no referido Encontro1. No referido Documento afirma-se que “…a Rede deverá consagrar um papel de assessoria e de consulta aos responsáveis governamentais e legislativos de cada um dos países. O importante valor acrescentado da Rede reside no facto de os seus membros serem peritos qualificados e directamente responsáveis em matéria de protecção de dados, perfeitos conhecedores da realidade legislativa dos seus respectivos países, contando ainda com a experiência e conhecimentos comparados 1 A Rede Ibero-Americana de Protecção de Dados, aberta a todos os países da Comunidade Ibero-Americana, e expressamente reconhecida na XIII Cimeira Ibero-Americana de Chefes de Estado e de Governo, realizada em Santa Cruz de la Sierra, Bolívia, em Novembro de 2003, foi criada mediante a Declaração de Antígua, Guatemala, em Junho de 2003 1 2 dos seus restantes colegas da Rede que desempenham um papel idêntico nos seus países de origem”. Daí que se tenha chegado a acordo quanto à conveniência de ser criado um Grupo Permanente de “Impulsionamento Normativo e de Harmonização”, ao serviço dos Parlamentos e Governos nacionais para impulsionar esta tarefa, tendo sido acordado que, para que o grupo pudesse alcançar os seus objectivos com a maior eficácia, seria conveniente que na sua formação participasse o maior número possível de membros, de tal forma que as diferentes sub-regiões da Comunidade IberoAmericana fossem tecnicamente abrangidas e representadas por um perito da área correspondente, de modo a proporcionar um maior conhecimento consentâneo com a realidade normativa e factual do tema em análise. Por fim, foi acordado que este Grupo seria presidido pelo Presidente da Rede e que os trabalhos seriam coordenados pela Secretaria Pro Tempore. Ao abrigo deste mandato, o Grupo de Trabalho reuniu-se para elaborar o presente documento em Santa Cruz de la Sierra (Bolívia), entre os dias 3 e 5 de Maio de 2006. I. INTRODUÇÃO Nos diferentes sectores da actividade económica e social recorre-se, cada vez mais, ao tratamento dos dados pessoais, facilitado, acima de tudo, pelo desenvolvimento alcançado pelas novas tecnologias da informação. Por outro lado, o desenvolvimento dos mercados e do comércio internacional implica um aumento dos fluxos transfronteiriços dos dados pessoais entre os agentes económicos e sociais dos diferentes países que desenvolvem a sua actividade num mundo cada vez mais globalizado. No entanto, as diferenças existentes entre os níveis de protecção dos direitos fundamentais e, designadamente, do direito à protecção dos dados pessoais, podem 2 3 representar um certo obstáculo para a transmissão dos referidos dados entre os diferentes Estados e, por conseguinte, para o exercício das actividades económicas. A fim de evitar tais obstáculos, é conveniente que o nível de protecção dos dados de carácter pessoal seja equivalente entre os diferentes países, pelo que qualquer iniciativa tendente a obter uma aproximação e harmonização entre as legislações nacionais nesta matéria, redundará, sem dúvida, numa melhoria do comércio internacional. É precisamente esta ideia essencial em que assentam os principais instrumentos internacionais que se têm vindo a produzir, ao longo dos últimos anos do século XX, à medida que o comércio internacional e as novas tecnologias da comunicação se foram desenvolvendo e o direito fundamental à protecção de dados pessoais se foi configurando, em especial no quadro europeu. Entre esses instrumentos é obrigatório mencionar os seguintes: - A Recomendação da OCDE sobre a circulação internacional de dados pessoais para a protecção da privacidade, conhecida como AS DIRECTRIZES DA OCDE, de Setembro de 1980. Esta Recomendação fundamenta-se na vontade de fomentar a livre circulação de informação entre os países membros e evitar a criação de obstáculos injustificados ao desenvolvimento das relações económicas e sociais entre os países membros, partindo do reconhecimento de que “o tratamento automático e a circulação transfronteiriça dos dados pessoais dão origem a novas formas de relacionamento entre os países e estimulam a elaboração de normas e práticas compatíveis; que a circulação transfronteiriça dos dados pessoais contribui para o desenvolvimento económico e social e que a legislação nacional relativa à protecção da privacidade e da circulação transfronteiriça dos dados pessoais pode obstar a tal circulação. - A Convenção n.º 108 do Conselho da Europa, de Janeiro de 1981, para a protecção das pessoas relativamente ao tratamento automatizado dos dados de carácter pessoal, cuja fundamentação se encontra no reconhecimento da 3 4 necessidade de conciliar os valores fundamentais do respeito pela vida privada e da livre circulação da informação entre os povos. - A Resolução 45/95 da Assembleia Geral das Nações Unidas, de 14 de Dezembro de 1990, pela qual se estabelecem as DIRECTRIZES DE PROTECÇÃO DE DADOS DAS NAÇÕES UNIDAS”, que teve o mérito de ser o primeiro texto de âmbito mundial sobre esta matéria. - A Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação destes dados. Esta Directiva assenta, também, na necessidade de ser evitada, no quadro da União Europeia, a existência de qualquer obstáculo à livre circulação dos dados pessoais entre os Estados-Membros, por razões de protecção dos direitos e liberdades das pessoas singulares e, em particular, o direito à privacidade, partindo da consideração de que as diferenças entre os níveis de protecção dos referidos direitos podem constituir um obstáculo à prossecução de uma série de actividades económicas à escala comunitária e falsear a concorrência. - A Carta dos Direitos Fundamentais da União Europeia, adoptada em Nice, em 7 de Dezembro de 2000, que proclama o direito fundamental à protecção de dados como um direito fundamental autónomo e confirma que o respeito pelas normas de protecção de dados deve estar sujeita ao controlo de uma autoridade independente. Para tal, estes textos têm vindo a estabelecer um conjunto de princípios básicos que deverão reger o tratamento dos dados pessoais e presidir às legislações nacionais correspondentes, e que, hoje em dia, formam o conteúdo do direito fundamental à protecção de dados pessoais e que poderão resumir-se nos seguintes: - O princípio da informação 4 5 - O princípio do consentimento informado, com a aceitação de excepções taxativas. - O princípio da qualidade dos dados: proporcionalidade, exactidão, actualização. - O princípio da finalidade. - O princípio da segurança e confidencialidade. - O princípio do controlo por parte de uma autoridade independente. Além disso, o sistema terá de traduzir-se no reconhecimento de um conjunto de direitos a favor do titular dos dados, entre os quais se deverão incluir, pelo menos, os seguintes: - O direito de acesso, rectificação, cancelamento e oposição. - O direito a não se ver submetido a uma decisão com efeitos jurídicos sobre a sua pessoa ou que o afecte de forma significativa, baseada unicamente num tratamento automatizado dos dados destinado a avaliar determinados aspectos da sua personalidade, tais como o seu salário, crédito, fiabilidade, conduta, etc. Convém recordar que na Declaração de Antígua, de Junho de 2003, os participantes, depois de reconhecerem que nos países ibero-americanos ainda persistem situações que impedem e dificultam o efectivo exercício do direito, constataram a necessidade de adoptar medidas que garantam um elevado nível de protecção de dados e de adoptar padrões normativos que garantam uma adequada protecção em todos os países ibero-americanos, devendo ter em consideração os princípios essenciais de protecção de dados reconhecidos nos Instrumentos Internacionais. Não devemos também esquecer o conteúdo do ponto 45 da Declaração de Santa Cruz de la Sierra, subscrita por ocasião da XIII Cimeira Ibero-Americana de Chefes de Estado e de Governo, realizada em Novembro de 2003, e no qual se reconheceu expressamente o seguinte: “Estamos também conscientes de que a protecção dos dados pessoais é um direito fundamental das pessoas e sublinhamos a importância das iniciativas 5 6 reguladoras ibero-americanas para proteger a privacidade dos cidadãos, contidas na Declaração de Antígua, mediante a qual é criada a Rede Ibero-Americana de Protecção de Dados, aberta a todos os países da nossa Comunidade.” Os Instrumentos Internacionais mencionados assumem uma importância capital no que se refere à harmonização das legislações nos diferentes Estados, como premissa básica para facilitar as transferências internacionais de dados e que se reveste de uma enorme relevância quanto à própria existência da Rede Ibero-Americana de Protecção de Dados. Por outro lado, tal como ficou plasmado na Declaração de Cartagena das Índias, subscrita por ocasião do III Encontro Ibero-Americano, na secção correspondente às transferências internacionais de dados, a Directiva comunitária sobre protecção de dados atribui competências à “Comissão Europeia para decidir se um país que tenha estabelecido uma legislação de protecção de dados, em conformidade com os padrões europeus, e tenha criado uma autoridade de controlo independente é um destino seguro para os dados pessoais provenientes de Estados-Membros da UE. Este reconhecimento equivale à plena liberalização dos intercâmbios de dados pessoais entre a União Europeia e o país em questão e, mais especificamente, ao desenvolvimento do comércio electrónico e ao desenvolvimento dos serviços da Sociedade da Informação”. Como é sabido, a República da Argentina promulgou, em 2000, a Lei Nacional de Protecção de Dados Pessoais, regulamentada por um Decreto de 2001. As garantias consagradas neste quadro legislativo e de controlo foram reconhecidas pela Comissão Europeia, ao considerar, na sua Decisão 2003/490/CE de Junho de 2003, que a legislação argentina apresentava um nível adequado de protecção de dados. Nesta Decisão, valoriza-se de forma especial o facto de a Lei argentina conter normas sobre os princípios gerais de protecção de dados, os direitos dos titulares dos dados, as obrigações dos responsáveis e dos utilizadores dos dados, o órgão de controlo, as sanções e o processo de recurso judicial habeas data. 6 7 Actualmente, outros países, como o México e o Peru, contam com projectos legislativos nesta matéria. Neste ponto, convém recordar a existência dos respectivos Acordos de Associação da União Europeia com o México e o Chile, nos quais se encontram referências expressas ao direito à protecção de dados pessoais. O Acordo de Associação com o México, datado de 8 de Dezembro de 1997, dispõe no seu artigo 51.º que: “As partes deliberaram garantir um grau elevado de protecção relativamente ao tratamento dos dados de carácter pessoal e de outra índole, em conformidade com as normas adoptadas pelos organismos internacionais competentes na matéria e pela Comunidade”, estabelecendo no seu artigo 41.º que: “Por força do disposto no artigo 51.º, as Partes deliberam cooperar em matéria de protecção de dados de carácter pessoal, a fim de melhorar o seu nível de protecção e prevenir os obstáculos aos intercâmbios que requeiram a transferência de dados de carácter pessoal. A cooperação no âmbito da protecção de dados de carácter pessoal poderá incluir assistência técnica, mediante intercâmbios de informação e de peritos, e a criação de programas e projectos conjuntos.” Por sua vez, o Acordo de Associação com o Chile, de 18 de Novembro de 2002, prevê no seu artigo 30.º que: “As Partes deliberam cooperar na protecção de dados pessoais para melhorar o nível de protecção e evitar os obstáculos ao comércio que requeira a transferência de dados pessoais. A cooperação no âmbito da protecção de dados de carácter pessoal poderá incluir assistência técnica, mediante intercâmbio de informação e de peritos, e a criação de programas e projectos conjuntos”, e estabelece no seu artigo 202.º que: “As Partes deliberam atribuir um nível elevado de protecção ao processamento dos dados pessoais e de outra índole, compatível com as normas mais exigentes ao nível internacional”. Ambos os acordos incluem um Anexo, no qual se assinala que, para a aplicação dos referidos artigos, as partes deverão ter em conta como parte integrante do Acordo as Directrizes para a regulamentação dos arquivos de dados pessoais informatizados, modificadas pela Assembleia Geral das Nações Unidas, em 20 de Novembro de 1990, 7 8 a Recomendação do Conselho da OCDE sobre as directrizes pelas quais se rege a protecção da privacidade e os fluxos transfronteiriços de dados pessoais, de 23 de Setembro de 1980, a Convenção do Conselho da Europa para a protecção das pessoas no que se refere ao tratamento automatizado dos dados de carácter pessoal, de 28 de Janeiro de 1981, e a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que concerne ao tratamento de dados pessoais e à livre circulação destes dados. Por outro lado, ao nível regional, no MERCOSUL, com a mesma necessidade de evitar obstáculos ao livre comércio e no respeito pelos direitos das pessoas, no âmbito do SGT 13 (Subgrupo de Trabalho 13 Comércio Electrónico), encontra-se em apreciação um projecto normativo apresentado pela Direcção Nacional de Protecção de Dados Pessoais da República da Argentina, para o desenvolvimento da harmonização normativa em matéria de protecção de dados pessoais, que reúne os princípios comummente aceites de protecção de dados. Considerando tudo quanto foi exposto, os membros da Rede fizeram votos para que os países ibero-americanos promulguem regulações sobre protecção de dados e que sejam estabelecidos mecanismos de controlo independentes, a fim de promoverem uma efectiva implementação do direito fundamental à protecção de dados pessoais e que, simultaneamente, facilitem o livre fluxo de dados pessoais entre os países. II. AS BASES PARA UMA HARMONIZAÇÃO NORMATIVA Os Instrumentos Internacionais referidos na secção anterior e, em especial, o referido na Convenção n.º 108 do Conselho da Europa e o seu Protocolo Adicional de 2001, bem como a Directiva Comunitária sobre Protecção de Dados Pessoais, contêm uma série de princípios que gozam, actualmente, de aceitação generalizada e representam uma orientação de valor indiscutível para os Estados que não integram o âmbito geográfico e cultural europeu, aquando do empreendimento da regulação legal desta matéria. Esta orientação não é formada unicamente pelos princípios contidos nos referidos Instrumentos e na própria Directiva, mas também pela enorme experiência 8 9 acumulada pelos diferentes Estados da UE, quer em relação à elaboração das normas, quer no que se refere à aplicação prática dos seus princípios e direitos. A referida regulação e a sua aplicação prática, juntamente com o trabalho intenso e importantíssimo que tem vindo a ser desempenhado pelo Grupo Europeu de Autoridades de Controlo e o Grupo do Art.º 29.º (assim denominado por ter sido criado no referido preceito da Directiva Comunitária), através dos seus já numerosos documentos de trabalho e pareceres sobre assuntos tão variados concernentes à protecção de dados pessoais, constituem um acervo de grande valor que pode e deve ser aproveitado pelos países que, por razões diversas, ainda não tenham regulado este direito fundamental. Para além dos Instrumentos Internacionais mencionados, terá de considerar-se, também, a possibilidade de tomar em consideração as próprias Declarações e Documentos produzidos pela Rede Ibero-Americana de Protecção de Dados, cujos conteúdos proporcionam também uma base importante para a referida harmonização normativa. Citando apenas alguns deles, poder-se-á destacar neste documento, a secção III da Declaração de Cartagena das Índias, de 2004, sobre: “Transferências Internacionais de dados: perspectivas europeias e ibero-americanas”, e cujo último parágrafo poderá resumir a opinião da Rede neste ponto, quando afirma, tal como no acima mencionado, que “…os participantes no III Encontro Ibero-Americano sobre Protecção de Dados fazem votos para que nos países ibero-americanos se promulguem regulações sobre protecção de dados e se estabeleçam mecanismos de controlo independentes, que promovam uma efectiva implementação do direito fundamental à protecção de dados pessoais e que, ao mesmo tempo, facilitem o livre fluxo de dados pessoais entre os países”. Poderá igualmente fazer-se referência à secção III da Declaração do México, de 2005, relativa aos “Desenvolvimentos normativos e globalização”, ou aos documentos elaborados pelos grupos de trabalho criados ad hoc no III Encontro Ibero-Americano, e, em especial, ao relativo à “Viabilidade de criação de autoridades de controlo no 9 10 espaço ibero-americano”, ou ao elaborado sobre “Acesso à informação pública e protecção de dados pessoais”. Toda esta base documental terá de ser considerada aquando da realização de uma assessoria adequada sobre esta matéria aos Governos e Parlamentos, no momento de se empreender a regulação legal deste direito fundamental, assim como os documentos que possam resultar do Grupo de Trabalho provisório, constituído no México, sobre “Instrumentos de auto-regulação”. III. COMPOSIÇÃO E FUNCIONAMENTO DO GRUPO DE TRABALHO a) Composição Tal como já foi enunciado e se encontra plasmado na Declaração do México, assim como no documento sobre Estratégia da Rede, este grupo deverá ser formado pelo maior número possível de membros da Rede, independentemente das suas condições de membros natos, plenos ou associados, por forma a que as diferentes sub-regiões da Comunidade Ibero-Americana estejam tecnicamente abrangidas e representadas por um perito da área correpondente, a fim de proporcionar um maior conhecimento consentâneo com a realidade normativa e factual do tema em análise. Poder-se-ão igualmente integrar no mesmo os observadores, sempre que esse carácter de observador advenha da situação transitória prevista no referido documento estratégico, referente ao período de tempo que medeia entre o pedido de integração na Rede e a adopção da decisão correspondente por parte da Assembleia Geral. b) Funcionamento No que respeita às atribuições deste grupo, reveste-se de especial importância a elaboração de uma proposta de Directrizes para a Harmonização da Regulação da Protecção de Dados na Comunidade Ibero-Americana. 10 11 Por outro lado, o grupo poderá exercer as funções de assessoria em relação a projectos normativos e respostas a consultas pontuais que lhe poderão ser submetidas pelos diferentes países representados na Rede Ibero-Americana de Protecção de Dados. Para tal, deverá proceder-se a uma prévia difusão das atribuições deste Grupo de Trabalho entre os responsáveis políticos, governamentais e legislativos dos diferentes países ibero-americanos, bem como de outras entidades, entre as quais se destaca a Secretaria Geral Ibero-Americana, com o objectivo de ser dada a conhecer a sua existência e funcionamento. Para tal efeito, revela-se essencial a vinculação deste Grupo de Trabalho às tarefas do grupo de trabalho permanente, relativo à Rede “on-line”. A web da Rede deverá servir, tanto para reunir um fundo documental, que facilite a realização dos trabalhos, como para integrar um fórum que permita a intervenção dos membros de uma forma célere, rápida e segura. IV. PROPOSTA DE DIRECTRIZES PARA A HARMONIZAÇÃO DA REGULAÇÃO DA PROTECÇÃO DE DADOS NA COMUNIDADE IBERO-AMERICANA Nas reuniões preparatórias mantidas pelo Grupo de Trabalho no seminário realizado em Santa Cruz de la Sierra, Bolívia, entre os dias 3 e 5 de Maio de 2006, foi assumido o compromisso da elaboração de uma proposta de Directrizes para a Harmonização da Regulação da Protecção de Dados na Comunidade Ibero-Americana, para ser submetido à consideração da Assembleia Geral da Rede. 11