1 1 DESENVOLVIMENTOS NORMATIVOS E HARMONIZAÇÃO

1
DESENVOLVIMENTOS NORMATIVOS E HARMONIZAÇÃO
(PROJECTO DE DOCUMENTO ELABORADO PELO GRUPO DE TRABALHO
PERMANENTE DE DESENVOLVIMENTO NORMATIVO, EM SANTA CRUZ DE LA
SIERRA, BOLÍVIA, ENTRE 3 E 5 DE MAIO DE 2006)
SUMÁRIO: I. INTRODUÇÃO: Necessidade de harmonização normativa em
matéria de protecção de dados entre os Estados que integram a Comunidade
Ibero-Americana: Instrumentos Internacionais, princípios e direitos básicos da
protecção dos dados pessoais. II. AS BASES PARA UMA HARMONIZAÇÃO
NORMATIVA. III. COMPOSIÇÃO E FUNCIONAMENTO DO GRUPO DE TRABALHO.
IV. PROPOSTA DE DIRECTRIZES PARA A HARMONIZAÇÃO DA REGULAÇÃO DA
PROTECÇÃO DE DADOS NA COMUNIDADE IBERO-AMERICANA.
Por ocasião do IV Encontro Ibero-Americano sobre Protecção de Dados, realizado no
México, em Novembro de 2005, deliberou-se a criação de vários Grupos de Trabalho,
entre os quais se encontra o Grupo Permanente de Desenvolvimento Normativo,
traduzindo-se assim na Declaração do México, de acordo com o estabelecido no
documento sobre a “Estratégia da Rede”, aprovado no referido Encontro1.
No referido Documento afirma-se que “…a Rede deverá consagrar um papel de
assessoria e de consulta aos responsáveis governamentais e legislativos de cada um
dos países. O importante valor acrescentado da Rede reside no facto de os seus
membros serem peritos qualificados e directamente responsáveis em matéria de
protecção de dados, perfeitos conhecedores da realidade legislativa dos seus
respectivos países, contando ainda com a experiência e conhecimentos comparados
1
A Rede Ibero-Americana de Protecção de Dados, aberta a todos os países da Comunidade
Ibero-Americana, e expressamente reconhecida na XIII Cimeira Ibero-Americana de Chefes de
Estado e de Governo, realizada em Santa Cruz de la Sierra, Bolívia, em Novembro de 2003, foi
criada mediante a Declaração de Antígua, Guatemala, em Junho de 2003
1
2
dos seus restantes colegas da Rede que desempenham um papel idêntico nos seus
países de origem”.
Daí que se tenha chegado a acordo quanto à conveniência de ser criado um Grupo
Permanente de “Impulsionamento Normativo e de Harmonização”, ao serviço dos
Parlamentos e Governos nacionais para impulsionar esta tarefa, tendo sido acordado
que, para que o grupo pudesse alcançar os seus objectivos com a maior eficácia,
seria conveniente que na sua formação participasse o maior número possível de
membros, de tal forma que as diferentes sub-regiões da Comunidade IberoAmericana fossem tecnicamente abrangidas e representadas por um perito da área
correspondente, de modo a proporcionar um maior conhecimento consentâneo com a
realidade normativa e factual do tema em análise.
Por fim, foi acordado que este Grupo seria presidido pelo Presidente da Rede e que
os trabalhos seriam coordenados pela Secretaria Pro Tempore.
Ao abrigo deste mandato, o Grupo de Trabalho reuniu-se para elaborar o presente
documento em Santa Cruz de la Sierra (Bolívia), entre os dias 3 e 5 de Maio de 2006.
I. INTRODUÇÃO
Nos diferentes sectores da actividade económica e social recorre-se, cada vez mais,
ao tratamento dos dados pessoais, facilitado, acima de tudo, pelo desenvolvimento
alcançado pelas novas tecnologias da informação.
Por outro lado, o desenvolvimento dos mercados e do comércio internacional implica
um aumento dos fluxos transfronteiriços dos dados pessoais entre os agentes
económicos e sociais dos diferentes países que desenvolvem a sua actividade num
mundo cada vez mais globalizado.
No entanto, as diferenças existentes entre os níveis de protecção dos direitos
fundamentais e, designadamente, do direito à protecção dos dados pessoais, podem
2
3
representar um certo obstáculo para a transmissão dos referidos dados entre os
diferentes Estados e, por conseguinte, para o exercício das actividades económicas.
A fim de evitar tais obstáculos, é conveniente que o nível de protecção dos dados de
carácter pessoal seja equivalente entre os diferentes países, pelo que qualquer
iniciativa tendente a obter uma aproximação e harmonização entre as legislações
nacionais nesta matéria, redundará, sem dúvida, numa melhoria do comércio
internacional.
É precisamente esta ideia essencial em que assentam os principais instrumentos
internacionais que se têm vindo a produzir, ao longo dos últimos anos do século XX, à
medida que o comércio internacional e as novas tecnologias da comunicação se
foram desenvolvendo e o direito fundamental à protecção de dados pessoais se foi
configurando, em especial no quadro europeu.
Entre esses instrumentos é obrigatório mencionar os seguintes:
- A Recomendação da OCDE sobre a circulação internacional de dados pessoais
para a protecção da privacidade, conhecida como AS DIRECTRIZES DA OCDE, de
Setembro de 1980. Esta Recomendação fundamenta-se na vontade de fomentar a
livre circulação de informação entre os países membros e evitar a criação de
obstáculos injustificados ao desenvolvimento das relações económicas e sociais
entre os países membros, partindo do reconhecimento de que “o tratamento
automático e a circulação transfronteiriça dos dados pessoais dão origem a novas
formas de relacionamento entre os países e estimulam a elaboração de normas e
práticas compatíveis; que a circulação transfronteiriça dos dados pessoais
contribui para o desenvolvimento económico e social e que a legislação nacional
relativa à protecção da privacidade e da circulação transfronteiriça dos dados
pessoais pode obstar a tal circulação.
- A Convenção n.º 108 do Conselho da Europa, de Janeiro de 1981, para a
protecção das pessoas relativamente ao tratamento automatizado dos dados de
carácter pessoal, cuja fundamentação se encontra no reconhecimento da
3
4
necessidade de conciliar os valores fundamentais do respeito pela vida privada e
da livre circulação da informação entre os povos.
- A Resolução 45/95 da Assembleia Geral das Nações Unidas, de 14 de Dezembro
de 1990, pela qual se estabelecem as DIRECTRIZES DE PROTECÇÃO DE DADOS
DAS NAÇÕES UNIDAS”, que teve o mérito de ser o primeiro texto de âmbito
mundial sobre esta matéria.
- A Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de
Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito
ao tratamento dos dados pessoais e à livre circulação destes dados.
Esta Directiva assenta, também, na necessidade de ser evitada, no quadro da
União Europeia, a existência de qualquer obstáculo à livre circulação dos dados
pessoais entre os Estados-Membros, por razões de protecção dos direitos e
liberdades das pessoas singulares e, em particular, o direito à privacidade,
partindo da consideração de que as diferenças entre os níveis de protecção dos
referidos direitos podem constituir um obstáculo à prossecução de uma série de
actividades económicas à escala comunitária e falsear a concorrência.
-
A Carta dos Direitos Fundamentais da União Europeia, adoptada em Nice,
em 7 de Dezembro de 2000, que proclama o direito fundamental à protecção
de dados como um direito fundamental autónomo e confirma que o respeito
pelas normas de protecção de dados deve estar sujeita ao controlo de uma
autoridade independente.
Para tal, estes textos têm vindo a estabelecer um conjunto de princípios básicos
que deverão reger o tratamento dos dados pessoais e presidir às legislações
nacionais correspondentes, e que, hoje em dia, formam o conteúdo do direito
fundamental à protecção de dados pessoais e que poderão resumir-se nos
seguintes:
-
O princípio da informação
4
5
-
O princípio do consentimento informado, com a aceitação de excepções
taxativas.
-
O
princípio
da
qualidade
dos
dados:
proporcionalidade,
exactidão,
actualização.
-
O princípio da finalidade.
-
O princípio da segurança e confidencialidade.
-
O princípio do controlo por parte de uma autoridade independente.
Além disso, o sistema terá de traduzir-se no reconhecimento de um conjunto de
direitos a favor do titular dos dados, entre os quais se deverão incluir, pelo
menos, os seguintes:
-
O direito de acesso, rectificação, cancelamento e oposição.
-
O direito a não se ver submetido a uma decisão com efeitos jurídicos sobre a
sua pessoa ou que o afecte de forma significativa, baseada unicamente num
tratamento automatizado dos dados destinado a avaliar determinados
aspectos da sua personalidade, tais como o seu salário, crédito, fiabilidade,
conduta, etc.
Convém recordar que na Declaração de Antígua, de Junho de 2003, os participantes,
depois de reconhecerem que nos países ibero-americanos ainda persistem situações
que impedem e dificultam o efectivo exercício do direito, constataram a necessidade
de adoptar medidas que garantam um elevado nível de protecção de dados e de
adoptar padrões normativos que garantam uma adequada protecção em todos os
países ibero-americanos, devendo ter em consideração os princípios essenciais de
protecção de dados reconhecidos nos Instrumentos Internacionais.
Não devemos também esquecer o conteúdo do ponto 45 da Declaração de Santa Cruz
de la Sierra, subscrita por ocasião da XIII Cimeira Ibero-Americana de Chefes de
Estado e de Governo, realizada em Novembro de 2003, e no qual se reconheceu
expressamente o seguinte:
“Estamos também conscientes de que a protecção dos dados pessoais é um
direito fundamental das pessoas e sublinhamos a importância das iniciativas
5
6
reguladoras ibero-americanas para proteger a privacidade dos cidadãos, contidas na
Declaração de Antígua, mediante a qual é criada a Rede Ibero-Americana de
Protecção de Dados, aberta a todos os países da nossa Comunidade.”
Os Instrumentos Internacionais mencionados assumem uma importância capital no
que se refere à harmonização das legislações nos diferentes Estados, como premissa
básica para facilitar as transferências internacionais de dados e que se reveste de
uma enorme relevância quanto à própria existência da Rede Ibero-Americana de
Protecção de Dados.
Por outro lado, tal como ficou plasmado na Declaração de Cartagena das Índias,
subscrita por ocasião do III Encontro Ibero-Americano, na secção correspondente às
transferências internacionais de dados, a Directiva comunitária sobre protecção de
dados atribui competências à “Comissão Europeia para decidir se um país que tenha
estabelecido uma legislação de protecção de dados, em conformidade com os
padrões europeus, e tenha criado uma autoridade de controlo independente é um
destino seguro para os dados pessoais provenientes de Estados-Membros da UE. Este
reconhecimento equivale à plena liberalização dos intercâmbios de dados pessoais
entre a União Europeia e o país em questão e, mais especificamente, ao
desenvolvimento do comércio electrónico e ao desenvolvimento dos serviços da
Sociedade da Informação”.
Como é sabido, a República da Argentina promulgou, em 2000, a Lei Nacional de
Protecção de Dados Pessoais, regulamentada por um Decreto de 2001. As garantias
consagradas neste quadro legislativo e de controlo foram reconhecidas pela Comissão
Europeia, ao considerar, na sua Decisão 2003/490/CE de Junho de 2003, que a
legislação argentina apresentava um nível adequado de protecção de dados.
Nesta Decisão, valoriza-se de forma especial o facto de a Lei argentina conter
normas sobre os princípios gerais de protecção de dados, os direitos dos titulares dos
dados, as obrigações dos responsáveis e dos utilizadores dos dados, o órgão de
controlo, as sanções e o processo de recurso judicial habeas data.
6
7
Actualmente, outros países, como o México e o Peru, contam com projectos
legislativos nesta matéria.
Neste ponto, convém recordar a existência dos respectivos Acordos de Associação da
União Europeia com o México e o Chile, nos quais se encontram referências expressas
ao direito à protecção de dados pessoais.
O Acordo de Associação com o México, datado de 8 de Dezembro de 1997, dispõe no
seu artigo 51.º que: “As partes deliberaram garantir um grau elevado de protecção
relativamente ao tratamento dos dados de carácter pessoal e de outra índole, em
conformidade com as normas adoptadas pelos organismos internacionais competentes
na matéria e pela Comunidade”, estabelecendo no seu artigo 41.º que: “Por força do
disposto no artigo 51.º, as Partes deliberam cooperar em matéria de protecção de
dados de carácter pessoal, a fim de melhorar o seu nível de protecção e prevenir os
obstáculos aos intercâmbios que requeiram a transferência de dados de carácter
pessoal. A cooperação no âmbito da protecção de dados de carácter pessoal poderá
incluir assistência técnica, mediante intercâmbios de informação e de peritos, e a
criação de programas e projectos conjuntos.”
Por sua vez, o Acordo de Associação com o Chile, de 18 de Novembro de 2002, prevê
no seu artigo 30.º que: “As Partes deliberam cooperar na protecção de dados
pessoais para melhorar o nível de protecção e evitar os obstáculos ao comércio que
requeira a transferência de dados pessoais. A cooperação no âmbito da protecção de
dados de carácter pessoal poderá incluir assistência técnica, mediante intercâmbio
de informação e de peritos, e a criação de programas e projectos conjuntos”, e
estabelece no seu artigo 202.º que: “As Partes deliberam atribuir um nível elevado
de protecção ao processamento dos dados pessoais e de outra índole, compatível
com as normas mais exigentes ao nível internacional”.
Ambos os acordos incluem um Anexo, no qual se assinala que, para a aplicação dos
referidos artigos, as partes deverão ter em conta como parte integrante do Acordo as
Directrizes para a regulamentação dos arquivos de dados pessoais informatizados,
modificadas pela Assembleia Geral das Nações Unidas, em 20 de Novembro de 1990,
7
8
a Recomendação do Conselho da OCDE sobre as directrizes pelas quais se rege a
protecção da privacidade e os fluxos transfronteiriços de dados pessoais, de 23 de
Setembro de 1980, a Convenção do Conselho da Europa para a protecção das pessoas
no que se refere ao tratamento automatizado dos dados de carácter pessoal, de 28
de Janeiro de 1981, e a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de
24 de Outubro de 1995, relativa à protecção das pessoas singulares no que concerne
ao tratamento de dados pessoais e à livre circulação destes dados.
Por outro lado, ao nível regional, no MERCOSUL, com a mesma necessidade de evitar
obstáculos ao livre comércio e no respeito pelos direitos das pessoas, no âmbito do
SGT 13 (Subgrupo de Trabalho 13 Comércio Electrónico), encontra-se em apreciação
um projecto normativo apresentado pela Direcção Nacional de Protecção de Dados
Pessoais da República da Argentina, para o desenvolvimento da harmonização
normativa em matéria de protecção de dados pessoais, que reúne os princípios
comummente aceites de protecção de dados.
Considerando tudo quanto foi exposto, os membros da Rede fizeram votos para que
os países ibero-americanos promulguem regulações sobre protecção de dados e que
sejam estabelecidos mecanismos de controlo independentes, a fim de promoverem
uma efectiva implementação do direito fundamental à protecção de dados pessoais e
que, simultaneamente, facilitem o livre fluxo de dados pessoais entre os países.
II. AS BASES PARA UMA HARMONIZAÇÃO NORMATIVA
Os Instrumentos Internacionais referidos na secção anterior e, em especial, o
referido na Convenção n.º 108 do Conselho da Europa e o seu Protocolo Adicional de
2001, bem como a Directiva Comunitária sobre Protecção de Dados Pessoais, contêm
uma série de princípios que gozam, actualmente, de aceitação generalizada e
representam uma orientação de valor indiscutível para os Estados que não integram o
âmbito geográfico e cultural europeu, aquando do empreendimento da regulação
legal desta matéria.
Esta orientação não é formada unicamente pelos princípios contidos nos referidos
Instrumentos e na própria Directiva, mas também pela enorme experiência
8
9
acumulada pelos diferentes Estados da UE, quer em relação à elaboração das normas,
quer no que se refere à aplicação prática dos seus princípios e direitos.
A referida regulação e a sua aplicação prática, juntamente com o trabalho intenso e
importantíssimo que tem vindo a ser desempenhado pelo Grupo Europeu de
Autoridades de Controlo e o Grupo do Art.º 29.º (assim denominado por ter sido
criado no referido preceito da Directiva Comunitária), através dos seus já numerosos
documentos de trabalho e pareceres sobre assuntos tão variados concernentes à
protecção de dados pessoais, constituem um acervo de grande valor que pode e deve
ser aproveitado pelos países que, por razões diversas, ainda não tenham regulado
este direito fundamental.
Para além dos Instrumentos Internacionais mencionados, terá de considerar-se,
também, a possibilidade de tomar em consideração as próprias Declarações e
Documentos produzidos pela Rede Ibero-Americana de Protecção de Dados, cujos
conteúdos proporcionam também uma base importante para a referida harmonização
normativa.
Citando apenas alguns deles, poder-se-á destacar neste documento, a secção III da
Declaração de Cartagena das Índias, de 2004, sobre: “Transferências Internacionais
de dados: perspectivas europeias e ibero-americanas”, e cujo último parágrafo
poderá resumir a opinião da Rede neste ponto, quando afirma, tal como no acima
mencionado, que “…os participantes no III Encontro Ibero-Americano sobre Protecção
de Dados fazem votos para que nos países ibero-americanos se promulguem
regulações sobre protecção de dados e se estabeleçam mecanismos de controlo
independentes, que promovam uma efectiva implementação do direito fundamental
à protecção de dados pessoais e que, ao mesmo tempo, facilitem o livre fluxo de
dados pessoais entre os países”.
Poderá igualmente fazer-se referência à secção III da Declaração do México, de 2005,
relativa aos “Desenvolvimentos normativos e globalização”, ou aos documentos
elaborados pelos grupos de trabalho criados ad hoc no III Encontro Ibero-Americano,
e, em especial, ao relativo à “Viabilidade de criação de autoridades de controlo no
9
10
espaço ibero-americano”, ou ao elaborado sobre “Acesso à informação pública e
protecção de dados pessoais”.
Toda esta base documental terá de ser considerada aquando da realização de uma
assessoria adequada sobre esta matéria aos Governos e Parlamentos, no momento de
se empreender a regulação legal deste direito fundamental, assim como os
documentos que possam resultar do Grupo de Trabalho provisório, constituído no
México, sobre “Instrumentos de auto-regulação”.
III. COMPOSIÇÃO E FUNCIONAMENTO DO GRUPO DE TRABALHO
a) Composição
Tal como já foi enunciado e se encontra plasmado na Declaração do México, assim
como no documento sobre Estratégia da Rede, este grupo deverá ser formado pelo
maior número possível de membros da Rede, independentemente das suas condições
de membros natos, plenos ou associados, por forma a que as diferentes sub-regiões
da Comunidade Ibero-Americana estejam tecnicamente abrangidas e representadas
por um perito da área correpondente, a fim de proporcionar um maior conhecimento
consentâneo com a realidade normativa e factual do tema em análise.
Poder-se-ão igualmente integrar no mesmo os observadores, sempre que esse
carácter de observador advenha da situação transitória prevista no referido
documento estratégico, referente ao período de tempo que medeia entre o pedido
de integração na Rede e a adopção da decisão correspondente por parte da
Assembleia Geral.
b) Funcionamento
No que respeita às atribuições deste grupo, reveste-se de especial importância a
elaboração de uma proposta de Directrizes para a Harmonização da Regulação da
Protecção de Dados na Comunidade Ibero-Americana.
10
11
Por outro lado, o grupo poderá exercer as funções de assessoria em relação a
projectos normativos e respostas a consultas pontuais que lhe poderão ser
submetidas pelos diferentes países representados na Rede Ibero-Americana de
Protecção de Dados.
Para tal, deverá proceder-se a uma prévia difusão das atribuições deste Grupo de
Trabalho entre os responsáveis políticos, governamentais e legislativos dos diferentes
países ibero-americanos, bem como de outras entidades, entre as quais se destaca a
Secretaria Geral Ibero-Americana, com o objectivo de ser dada a conhecer a sua
existência e funcionamento.
Para tal efeito, revela-se essencial a vinculação deste Grupo de Trabalho às tarefas
do grupo de trabalho permanente, relativo à Rede “on-line”. A web da Rede deverá
servir, tanto para reunir um fundo documental, que facilite a realização dos
trabalhos, como para integrar um fórum que permita a intervenção dos membros de
uma forma célere, rápida e segura.
IV. PROPOSTA DE DIRECTRIZES PARA A HARMONIZAÇÃO DA REGULAÇÃO DA
PROTECÇÃO DE DADOS NA COMUNIDADE IBERO-AMERICANA
Nas reuniões preparatórias mantidas pelo Grupo de Trabalho no seminário realizado
em Santa Cruz de la Sierra, Bolívia, entre os dias 3 e 5 de Maio de 2006, foi assumido
o compromisso da elaboração de uma proposta de Directrizes para a Harmonização
da Regulação da Protecção de Dados na Comunidade Ibero-Americana, para ser
submetido à consideração da Assembleia Geral da Rede.
11