Upload
phungnhan
View
217
Download
0
Embed Size (px)
Citation preview
2 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
Introdução
A Comissão Nacional de Proteção de Dados (CNPD) tem procurado prosseguir
a sua missão de defesa e promoção dos direitos fundamentais em matéria de
proteção de dados pessoais, através de uma gestão de prioridades cada vez
mais difícil de concretizar, atendendo ao número reduzido de recursos
humanos decorrente dos constrangimentos legais fixados nos últimos anos à
contratação de trabalhadores. Aliás, em 2015 a Comissão viu mesmo o seu
mapa de pessoal reduzir-se de 25 para 22 elementos.
Na verdade, é notório que os 5 juristas e os 3 especialistas da área de
tecnologia com que a CNPD terminou o ano de 2015 não são suficientes para
dar resposta atempada a um número crescente de processos (que
ultrapassaram já os 19.000), para além das respostas às muitas solicitações
sem um procedimento formal, mas que envolveram frequentemente diligências
várias.
Volto por isso, mais uma vez, a sublinhar que, em face do número elevado de
processos, da diversidade de matérias que os mesmos cobrem e da diferente
natureza dos instrumentos utilizados no tratamento de dados, a análise técnica
e jurídica dos mesmos reclama um maior número de trabalhadores
qualificados, com específicos conhecimentos nesta área, que o regime de
mobilidade dos trabalhadores da função pública não garante de todo, como a
prática tem demonstrado.
Como consequência daquela limitação, a CNPD não logrou executar a
totalidade das ações previstas no seu plano de atividades, em especial no
campo da fiscalização; não obstante, merecem destaque as ações de
fiscalização de tratamentos de dados da Autoridade Tributária e Aduaneira e do
Sistema de Informações Schengen e VIS.
3 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
De todo o modo, em relação à atividade autorizativa, a CNPD continuou a sua
política de agilização e automatização dos procedimentos, tendo-a
concretizado em relação a mais um tipo processual.
Importa ainda destacar que, no ano de 2015, a Comissão reforçou o trabalho
de divulgação e sensibilização da sociedade e dos organismos públicos para
as questões de proteção de dados, quer através da organização e participação
em conferências, seminários e formações, quer através de publicações. Neste
campo, merece destaque o lançamento da Revista Forum de Proteção de
Dados, a qual pretende congregar opiniões, contributos doutrinais e
jurisprudência sobre temas atuais nesta área, promovendo o debate e o estudo
aprofundado dos mesmos, bem como a respetiva difusão.
Uma palavra ainda para a participação institucional da CNPD, como membro
por inerência, na Comissão de Acesso aos Documentos Administrativos e no
Conselho Superior de Estatística, no âmbito do qual se realizaram importantes
discussões sobre a revisão da lei do segredo estatístico.
A terminar, merece ainda destaque a missão desempenhada pela Comissão no
plano europeu e internacional no ano de 2015. Além da participação em
diversos organismos europeus e internacionais de proteção de dados e do
exercício dos seus poderes de autoridade de controlo nacional dos sistemas de
informação europeus, a Comissão emprestou ainda a sua contribuição em
outros fóruns de relevo internacional.
Lisboa, 5 de abril de 2016
Filipa Calvão
(Presidente)
4 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
Atividade decisória
A Comissão Nacional de Protecção de Dados (CNPD) tem como
competência legal, designadamente, autorizar tratamentos de dados
pessoais, garantir o exercício dos direitos dos titulares, incluindo o direito
de acesso ao Sistema de Informação Schengen, verificar a licitude dos
tratamentos, deliberar sobre acesso a dados pessoais por terceiros.
No ano de 2015, a CNPD emitiu 15.383 decisões, entre elas, 12.721
autorizações, 2.335 deliberações e 327 projetos de deliberação. Sendo a
CNPD um órgão colegial, estas decisões foram aprovadas ao longo das
38 sessões plenárias que realizou durante o ano passado.
A elevada capacidade decisória manifestada pela CNPD não é, contudo,
ainda suficiente para fazer face ao crescimento da atividade processual
que, em 2015, conheceu um novo recorde com mais de 19 mil
processos abertos.
Entre os processos entrados, as notificações de tratamentos de dados
representam mais de 80 por cento do conjunto da atividade processual
(16.157), sendo que os pedidos de autorização são aqueles que
dominam as notificações, tendo atingido no ano passado a fasquia dos
15 mil.
É, no entanto, de assinalar que em 2015 foram arquivados 14.659
processos de autorização, mantendo-se, neste universo, um equilíbrio
entre os processos abertos e os processos findos.
Tal cenário só é possível graças à política da CNPD de investimento
constante na agilização processual, através da desmaterialização de
5 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
procedimentos internos e da criação de processos eletrónicos, que
permitem emitir autorizações no prazo máximo de duas semanas.
Com efeito, em 2015, foram emitidas 11.746 decisões, no âmbito de
processos totalmente eletrónicos, o que representa já um peso de 76 por
cento no total das decisões adotadas pela CNPD. Com efeito, os
processos desmaterializados já representaram, no ano passado, cerca
de 73 por cento da totalidade dos processos entrados, verificando-se um
acréscimo superior a 50 por cento na automatização de procedimentos
num período de dois anos.
Os tratamentos de dados relativos aos sistemas de videovigilância
continuam a aumentar, tendo sido emitidas no ano passado 10.8831
decisões, o que certamente reflete a disponibilização pela CNPD de 24
formulários eletrónicos específicos de videovigilância, ajustados a
diferentes setores de atividade.
1 Em 2014, foram emitidas 10.501 autorizações de videovigilância.
14913
12006 12285
15025 15505
9505
7476 7522
11379 11746
2011 2012 2013 2014 2015
Peso das decisões automatizadas no total de decisões emitidas
6 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
No campo da biometria, foram emitidas 576 autorizações, 78 para
tratamentos relativos ao controlo de alcoolemia e substâncias
psicoativas e 43 autorizações quanto ao controlo da utilização de
tecnologias de informação e comunicação para fins privados no contexto
laboral.
Em janeiro de 2015, a CNPD disponibilizou um formulário novo para
notificar tratamentos de dados pessoais decorrentes da utilização de
dispositivos de geolocalização em contexto laboral. Nesse âmbito, foram
emitidas já 139 autorizações.
No último trimestre de 20152, a CNPD desenvolveu ainda um formulário
específico para as empresas que já tinham obtido autorização ou registo
da CNPD para a transferência de dados para os Estados Unidos da
América ao abrigo dos Princípios do Porto Seguro (Safe Harbour)
poderem notificar com facilidade e rapidez a substituição desse
mecanismo por outro legalmente admissível.
Malgrado os evidentes resultados positivos da desmaterialização
processual, a pendência é ainda significativa e a flagrante escassez de
recursos humanos não tem permitido inverter esta tendência com
prejuízo para empresas, entidades públicas e cidadãos. O total de
processos findos, em 2015, que atingiu os 16.801 ainda é insuficiente
em relação ao crescente número de processos entrados.
Quanto aos processos relativos ao exercício do direito de acesso e de
eliminação aos dados tratados no Sistema de Informação Schengen,
cujos pedidos dos titulares são feitos através da CNPD, registou-se um
ligeiro aumento em 2015 em relação ao ano anterior, tendo sido
submetidos 115 pedidos.
2 Após o Acórdão do Tribunal de Justiça da União Europeia (caso Schrems), de 6 de outubro, ter declarado inválida a Decisão da Comissão 2000/520/CE, tornando ilegais as transferências de dados para os EUA através desse instrumento.
7 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
200 209 192
51 57 82
2 0 1 3 2 0 1 4 2 0 1 5
PEDIDOS DE ACESSO A DADOS POR TERCEIROS
dados clínicos outros acessos
No que diz respeito a pedidos de acesso a dados pessoais por parte de
terceiros, a CNPD recebeu um total de 274 pedidos, entre eles 192
solicitavam acesso a dados clínicos de outras pessoas.
Há
ainda a referir que em 2015 foram recebidos pela CNPD, através do seu
sítio da Internet, 3019 pedidos de informação, quer de responsáveis
pelos tratamentos, quer de titulares dos dados, e 1774 queixas ou
reclamações. Esta correspondência é analisada e respondida, em
primeira linha, pelo Gabinete de Atendimento ao Público (GAP).
Também neste domínio se verifica haver um aumento das solicitações à
CNPD, por comparação com os anos anteriores em que os pedidos de
informação não chegaram aos 3 mil e as reclamações não atingiram as
1500 submissões.
Note-se que o GAP assegura ainda a
prestação de informações e o
esclarecimento de dúvidas por via
telefónica, através da Linha Privacidade,
criada especificamente para o efeito.
8 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
Atividade orientadora
A CNPD tem procurado ao longo dos anos desenvolver orientações
gerais destinadas aos responsáveis pelos tratamentos quanto aos
princípios aplicáveis aos tratamentos de dados para determinadas
finalidades. A emissão destas diretrizes tem permitido, por um lado, fixar
critérios uniformes de apreciação das notificações de tratamentos com o
mesmo fim e, por outro, estabelecer as condições concretas em que os
tratamentos de dados se devem efetuar, inclusive através da adoção das
salvaguardas adequadas para garantir que o tratamento de dados
cumpre todos os requisitos legais.
Esta atividade orientadora da CNPD tem ainda, reflexamente, como
destinatários os titulares dos dados, que deste modo, ficam também a
conhecer as circunstâncias em que os tratamentos de dados se devem
realizar para uma melhor defesa dos seus direitos.
Neste contexto, a CNPD debruçou-se, em 2015, sobre três áreas
distintas aprovando deliberações gerais, que permitirão orientar os
responsáveis pelos tratamentos quanto às possibilidades que legalmente
se lhes apresentam, bem como trazer mais transparência aos
tratamentos de dados em causa.
1. Investigação Clínica
A CNPD atualizou as suas orientações gerais no domínio dos estudos e
dos ensaios clínicos, na sequência da aprovação da Lei da Investigação
Clínica – Lei 21/2014, de 16 de abril, alterada pela Lei n.º 73/2015, de 27
de julho.
9 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
O novo quadro legal, que passou a abarcar os ensaios clínicos, os
estudos clínicos com ou sem intervenção e os estudos clínicos de
produtos cosméticos e de higiene corporal, exigiu portanto uma nova
abordagem quanto às condições exigíveis para os tratamentos de dados
pessoais, que, neste domínio, têm a natureza de dados sensíveis por
dizerem respeito desde logo a dados de saúde.
Nesse sentido, a CNPD aprovou a Deliberação 1704/20153, de 22 de
outubro, aplicável aos tratamentos de dados efetuados no âmbito da
investigação clínica, revogando as deliberações 227/2007 e 333/2007.
2. Acesso à BDRE
Nos últimos anos, verificou-se uma evolução no entendimento da CNPD,
que reflete alteração da lei, quanto aos termos em que pode verificar-se
o acesso a dados pessoais constantes da Base de Dados do Recenseamento
Eleitoral. Por essa razão, a CNPD aprovou a Deliberação n.º 1450/2015, de
15 de setembro 4, na qual se sintetiza a atual perspetiva e se explicita o seu
fundamento.
No essencial, conclui-se que o dado “morada” não pode ser comunicado a
terceiros que sejam pessoas singulares ou pessoas coletivas de natureza
privada, independentemente da profissão ou natureza da atividade
desenvolvida, por não preencher os pressupostos do acesso previstos na Lei
do Recenseamento Eleitoral.
Em relação ao acesso ao dado “morada” por entidade ou organismo da
Administração Pública, para a finalidade de instrução de processos de
contraordenação ou de procedimentos administrativos não diretamente
relacionados com o recenseamento eleitoral ou com atos eleitorais ou
3 Disponível em https://www.cnpd.pt/bin/orientacoes/DEL_2015_InvestClinica.pdf 4 Disponível em https://www.cnpd.pt/bin/orientacoes/DELIB_1450_2015_ACESSO_BDRE.pdf
10 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
referendários (o que abrange a instrução de procedimento que visa o
pagamento de quotas, no caso de associações profissionais públicas),
entendeu-se também não se autorizar a comunicação, por tal dado constar de
outra base de dados especificamente criada para essa finalidade.
3. Acordos Intragrupo adequados
Verificou-se um aumento de notificações de transferências internacionais
de dados com recurso à utilização do Acordo Intragrupo (IGA –
Intragroup Agreement), um contrato multilateral entre várias empresas
do mesmo grupo empresarial, nos termos do qual as partes se vinculam
a cumprir um conjunto de normas de garantia dos direitos de proteção
dos dados pessoais e da privacidade dos titulares dos dados.
Muitos desses IGA reproduzem as cláusulas contratuais-tipo aprovadas
pela Comissão Europeia, embora estas apenas sejam aplicáveis a
contratos bilaterais, pelo que não podem ser usadas como instrumento
de transferência de dados entre várias empresas do mesmo grupo,
estando estas localizadas, na sua maioria, em países que não oferecem
um nível de proteção adequada.
Deste modo, o Acordo Intragrupo tem de ser apreciado pela CNPD à luz
do n.º 2 do artigo 20.º da LPD, o que tinha um impacto significativo no
tempo decisório, além da vasta documentação que tinha de ser
remetida.
Assim, a fim de agilizar o procedimento de análise dos Acordos
Intragrupo, visando alcançar uma maior celeridade na resposta aos
responsáveis pelos tratamentos, no âmbito do processo de autorização
que continua a ser legalmente exigível, a CNPD deu novas orientações
nesta matéria através da Deliberação 1770/20155, de 10 de novembro.
5 Disponível em https://www.cnpd.pt/bin/orientacoes/Delib_Acordos_Intragrupo.pdf
11 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
Por conseguinte, a CNPD deliberou «[c]onsiderar como contendo
cláusulas contratuais adequadas, para efeitos e nos termos do n.º 2 do
artigo 20.º da LPD, o contrato multilateral entre empresas do mesmo
grupo empresarial, designado por Acordo Intragrupo (IGA), notificado à
CNPD por responsável pelo tratamento que declare ser o IGA idêntico e
estar em conformidade com as cláusulas contratuais-tipo aprovadas pela
Comissão Europeia, de acordo com as condições enunciadas na
presente Deliberação».
4. Transferências internacionais através do Safe Harbour
O acórdão do Tribunal de Justiça da União Europeia (TJUE), de 6 de
outubro de 20156, invalidou a Decisão da Comissão, de 26 de julho, nos
termos da Directiva 95/46/CE do Parlamento Europeu e do Conselho e
relativa ao nível de proteção assegurado pelos princípios de «porto
seguro» e pelas respetivas questões mais frequentes (FAQ) emitidos
pelo Department of Commerce dos Estados Unidos da América.
Como consequência direta da decisão do TJUE, as transferências de
dados pessoais para os EUA ao abrigo desta Decisão, conhecida como
Decisão Safe Harbour, passaram a ser ilegais, na medida em que são
proibidas pela Diretiva de proteção de dados as transferências de dados
para países que não oferecem um nível de proteção adequada.
Esta situação provocou naturalmente alguma insegurança quanto ao
modo como poderiam ocorrer as transferências de dados para os EUA
no cumprimento da lei.
6 Processo C-362/14, Caso Schrems, disponível em Português em http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=PT&mode=lst&dir=&occ=first&part=1&cid=301345
12 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
Assim, atendendo ao elevado número de transferências de dados para
os EUA através do mecanismo Safe Harbour já autorizadas, a CNPD
realizou o levantamento de todas as empresas que desde 2000
utilizavam este instrumento de transferência e notificou-as de que, por
força do acórdão do TJUE, não o poderiam continuar a fazer, devendo
procurar um mecanismo alternativo legalmente válido. As autorizações
da CNPD concedidas nesse contexto foram assim revogadas apenas na
parte das transferências de dados para os EUA.
Para melhor orientar e facilitar a ação das empresas, a CNPD
desenvolveu um formulário específico que permite às empresas que já
tinham obtido autorização ou registo notificar o instrumento legal que
escolheram em substituição da transferência de dados ao abrigo do Safe
Harbour, sem qualquer custo adicional, e, na maioria dos casos,
permitindo-lhes obter a nova autorização quase imediatamente.
Tendo em conta que as consequências do acórdão Schrems sobre os
restantes mecanismos de transferência de dados estavam ainda a ser
analisadas a nível europeu pelo Grupo de Trabalho do Artigo 29.º, a
CNPD esclareceu os responsáveis pelos tratamentos que apenas
concederia autorizações provisórias.
Deste modo, as empresas ficaram cientes de que, independentemente
do instrumento legal utilizado para transferir dados pessoais para os
EUA, a situação poderia ainda vir a ser alterada.
13 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
Atividade consultiva
A CNPD tem como uma das suas atribuições dever ser consultada sobre
quaisquer disposições legais, bem como sobre instrumentos jurídicos em
preparação em instituições comunitárias ou internacionais, relativos ao
tratamento de dados pessoais. É, assim, sua competência emitir parecer
nestas situações7.
Durante o ano de 2015, a CNPD emitiu 77 pareceres a pedido do
Governo ou da Assembleia da República, incluindo-se aqui os projetos
de acordo negociados pelo Ministério dos Negócios Estrangeiros, em
que o Estado Português é parte, e os pareceres sobre videovigilância no
espaço público.
Entre os pareceres emitidos no ano passado, destacam-se alguns que,
pela importância das questões que lhes estavam subjacentes,
mereceram um exame mais exaustivo e/ou obtiveram uma maior
notoriedade: o regime de identificação criminal; a regulação da utilização
dos serviços de computação em nuvem (cloud computing) pela
administração pública; o princípio da transparência ativa; a criação de
uma base de dados de vítimas de violência doméstica; a criação de uma
base de dados de condenados pela prática de crimes contra a
autodeterminação sexual de menores; o acesso pelo Sistema de
Informações da República Portuguesa a um conjunto de bases de dados
públicas e privadas.
A relevância desta consulta reside essencialmente na necessidade de
adequar, quer quanto aos princípios, quer quanto à terminologia
específica, a legislação nacional (ou os instrumentos jurídicos
7 Cf. artigo 22.º, n.º 2, e artigo 23.º, n.º1, alínea a) da Lei de Proteção de Dados.
14 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
internacionais) ao regime geral de proteção de dados que consagra
direitos fundamentais no ordenamento jurídico interno e no quadro
europeu da União.
O parecer da CNPD não deve, pois, ser encarado como uma mera
formalidade, mas antes como um contributo essencial para a produção
de legislação em conformidade com um regime específico de garantia de
direitos fundamentais, só revestindo a utilidade que a lei lhe reconhece
se a sua emissão for solicitada ainda em tempo de eventuais
observações poderem efetivamente ser consideradas no desenrolar do
processo legislativo.
A CNPD, por seu lado, atribui sempre prioridade à emissão de
pareceres; no entanto, a habitual tramitação de urgência prejudica
inevitavelmente a indispensável profundidade da análise e qualidade do
parecer.
De notar que entre os pareceres, se encontram 5 emitidos a pedido do
Ministério da Administração Interna para utilização de videovigilância
75
90 88
83 82
1
Pareceres solicitados
2011 2012 2013 2014 2015
15 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
pelas forças de segurança em locais públicos de utilização comum, ao
abrigo da Lei n.º 1/2005, de 10 de janeiro, alterada por último pela Lei n.º
9/2012, de 23 de fevereiro.
A CNPD pronunciou-se assim sobre a utilização de sistemas de
videovigilância num edifício da PSP em Moscavide, num parque urbano
de Vialonga (Vila Franca de Xira), nas cidades de Estremoz e Tomar e
ainda sobre a utilização de câmaras portáteis acopladas num veículo
aéreo não tripulado (vulgo “drone”) no Final da Taça de Portugal em
futebol.
Ainda de acordo com a legislação da privacidade nas comunicações
eletrónicas, a CNPD é ainda chamada a dar parecer sobre a anulação
da eliminação da apresentação da linha chamadora, quando estiverem
em causa chamadas não identificadas perturbadoras da paz familiar ou
da intimidade da vida privada8.
Estes pedidos são submetidos à CNPD pelas empresas que oferecem
redes e ou serviços de comunicações eletrónicas acessíveis ao público,
após reclamação por parte de assinantes ou utilizadores que sejam alvo
desse tipo de chamadas.
Assim, no ano de 2015, a CNPD recebeu 897 pedidos de parecer para
que fosse levantada a confidencialidade do número de telefone
chamador, o que significou um decréscimo em relação ao ano anterior
em que foram registados 1348 pedidos.
8 Cf. artigo 10.º, n.º 1 e 2, da Lei n.º 41/2004, de 18 de agosto, alterada pela Lei n.º 46/2012, de 29 de agosto.
16 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
Atividade fiscalizadora e sancionatória
A CNPD desenvolve ainda uma intensa atividade fiscalizadora por todo o
território nacional, realizando inspeções, seja no âmbito de investigações
de queixas ou de participações, seja no contexto de averiguações
específicas ou auditorias mais gerais, por sua iniciativa.
A CNPD tem ainda competência para aplicar sanções, quando a prática
dos responsáveis pelos tratamentos de dados, públicos ou privados,
constituir contraordenação.
Em 2015, foram abertos 1506 processos de contraordenação, o que
representa um aumento de cerca de 13 por cento relativamente ao ano
anterior.
Entre estes processos, destaca-se o número de queixas que atingiu em
2015 um número recorde, dando origem a 746 processos. Também as
participações realizadas pela GNR e pela PSP, essencialmente quanto
às condições de funcionamento dos sistemas de videovigilância,
motivaram a abertura de 603 processos; enquanto as participações de
outras entidades (tais como, Ministério Público, ASAE, ACT) resultaram
em mais 70 processos de contraordenação. A CNPD decidiu ainda
realizar 87 averiguações por iniciativa própria.
Quanto às ações de fiscalização no terreno para apurar da conformidade
legal dos tratamentos de dados pessoais, foram realizadas no ano
passado 206 inspeções.
17 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
197 169 158 158
178
2011 2012 2013 2014 2015
Coimas aplicadas
Estas fiscalizações são levadas a cabo no próprio local, onde a CNPD
realiza as verificações necessárias aos sistemas informáticos e aos
tratamentos de dados em geral, recolhendo prova para apuramento dos
factos e, em resultado da averiguação feita, tomar as medidas mais
adequadas.
Entre as ações inspetivas realizadas durante o ano de 2015, há a
destacar as efetuadas à Autoridade Tributária e Aduaneira e aquelas
relativas ao funcionamento do Sistema de Informação Schengen (SIS II)
e do Sistema de Informação de Vistos - estas últimas estando a CNPD
na qualidade de autoridade nacional de controlo da parte portuguesa dos
sistemas de informação europeus - as quais, devido à sua extensão e
complexidade, exigem uma maior disponibilidade de tempo de
preparação, execução e conclusão e o emprego de maior número de
recursos humanos.
No quadro desta atividade em 2015, a CNPD aplicou 178 coimas, no
valor aproximado de 220 mil Euros.
249
359
246 215 206
2011 2012 2013 2014 2015
Inspeções realizadas
18 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
Atividade de sensibilização pública
A defesa efetiva do direito fundamental à proteção de dados pessoais e
à privacidade exige que os cidadãos e as entidades públicas e privadas
tenham conhecimento da evolução tecnológica e do seu impacto na
sociedade atual, acompanhem as análises, os estudos e os debates em
torno das questões da privacidade, tenham informação bastante para,
cada um na sua área de atuação, poder tomar as decisões adequadas e
fazer as melhores escolhas.
A CNPD tem, por isso, desde sempre dedicado tempo e recursos à
atividade de divulgação pública das matérias de proteção de dados e à
promoção de iniciativas de sensibilização e de esclarecimento, em várias
vertente e para diferentes públicos.
Nessa medida, a educação digital das crianças e jovens continua a ser
uma aposta da CNPD, que prosseguiu em 2015, no âmbito do Projeto
DADUS, a sua campanha pelas escolas de norte a sul com a animação
de sessões escolares sobre a proteção da privacidade na Internet e
como utilizar corretamente as tecnologias que estão ao nosso dispor.
No ano passado, a CNPD esteve igualmente disponível para colaborar
com outras entidades e intervir em vários seminários e conferências,
para os quais é convidada, tendo participado ao longo do ano em 18
iniciativas em território nacional.
No quadro académico, a CNPD é ainda solicitada a intervir em vários
cursos de formação avançada, esforçando-se sempre por responder
positivamente a estes desafios, pela especial importância de que se
19 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
revestem no plano educativo. No ano passado, a CNPD continuou assim
a contribuir para a divulgação, a reflexão e a discussão das matérias de
proteção de dados pessoais.
Por outro lado, a CNPD organizou ao longo de 2015 várias iniciativas de
promoção dos direitos à proteção de dados pessoais e da privacidade.
1. Dia Europeu da Proteção de Dados
O Dia Europeu da Proteção de Dados, que se celebra a 28 de janeiro, é
sempre um motivo para trazer à liça anualmente as questões mais atuais
e propor a sua discussão.
«Controlar os seus dados pessoais é
controlar a sua identidade e escolher em
liberdade» foi o tema central da
celebração da 9ª edição do Dia Europeu
da Proteção de Dados, instituído pelo
Conselho da Europa9.
Por isso, em 2015, a CNPD organizou
uma sessão comemorativa em que
suscitou o debate a partir do
visionamento do documentário, editado,
“Panopticon”, da autoria de Peter
Vlemmix.
O filme foi comentado pelo jornalista José Vitor Malheiros e pelo
especialista em segurança informática Francisco Nina Rente.
9 Foi em 28 de janeiro de 1981 que foi assinado o primeiro instrumento jurídico internacional sobre proteção de dados pessoais – a Convenção para a proteção das pessoas relativamente ao tratamento automatizados de dados de carácter pessoal (Convenção 108).
20 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
A sessão decorreu de forma muito viva e animada, pois o documentário
obteve uma excelente receção do público. Encontra-se disponível na
Internet a versão do filme editada e legendada em Português10, que por
sua vez remete para a versão original integral.
2. Prémio Ensaio CNPD
O Prémio Ensaio foi instituído pela CNPD para galardoar autores de
trabalhos académicos ou de outros trabalhos de investigação realizados
no âmbito da proteção de dados pessoais. No ano passado, foi lançada
a sua quarta edição.
Este prémio destina-se a incentivar a realização de obras que
contribuam para o estudo e o desenvolvimento da temática da proteção
de dados, em várias áreas científicas como sejam as das ciências
sociais ou as das ciências e tecnologias.
Nesse sentido, a CNPD fez, em 2015, pelo
segundo ano consecutivo, uma grande
divulgação do Prémio junto das instituições
de ensino superior, públicas e privadas,
através da distribuição de um cartaz alusivo.
Como já vem sendo tradição, nas
comemorações do Dia Europeu da Proteção
de Dados, é entregue o Prémio Ensaio ao
vencedor do ano anterior.
10 \\Asterix\cnpd\Dia_Protecao_de_Dados_20150128\Videos\Panopticon_cnpd.mpeg
21 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
Assim, em 28 de janeiro do ano passado, a CNPD entregou o Prémio
Ensaio 2014, em sessão pública, a Tatiana Duarte Nicolau pelo trabalho
“O armazenamento de amostras de ADN e as bases de dados de perfis
genéticos”.
Esse trabalho veio a ser publicado pela CNPD no final do ano de 2015,
numa edição de 500 exemplares, conforme previsto no regulamento do
prémio.
Ainda no ano passado, foi anunciado publicamente o vencedor do
Prémio Ensaio 2015, ganho por Cristina Leal, pela autoria do trabalho “O
acórdão ‘Schrems’ do Tribunal de Justiça da União Europeia:
repercussões na esfera das autoridades nacionais de proteção de
dados”.
3. Revista Forum de Proteção de Dados
A CNPD começou em 2015 uma verdadeira aventura com o lançamento
da Revista Forum de Proteção de Dados, uma publicação de
periodicidade semestral, através da qual pretende reforçar a sua missão
de promoção, difusão e esclarecimento das matérias de proteção de
dados pessoais. Trata-se de uma iniciativa pioneira entre as autoridades
de proteção de dados e que já gerou significativo interesse por parte da
comunidade.
Assumindo-se como um espaço aberto,
abrangente e transversal, «como um
verdadeiro forum», a Revista quer «fomentar
a reflexão, incentivar o debate e promover a
participação de todos», como se diz no
editorial.
22 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
O n.º 1 de tão ambicioso projeto deu à estampa em julho de 2015, com
uma tiragem de 500 exemplares, e uma distribuição criteriosa da sua
edição impressa. A revista apresenta-se com secções regulares, embora
flexíveis. Em foco, o novo quadro legal europeu de proteção de dados.
Há ainda espaço para a Opinião, para a Jurisprudência e para a
tecnologia.
A edição digital, para chegar a todo o público sem restrições, foi
disponibilizada mais tarde no sítio da CNPD11 para consulta em linha,
além de facilitar a realização de pesquisas sucessivas seguindo as
hiperligações constantes dos artigos.
Considerando a globalização destas temáticas e a necessidade de
alargar os horizontes geográficos das ideias e dos debates, a CNPD
decidiu também disponibilizar em 2016 uma edição digital da revista em
língua inglesa.
4. Conferência Liberdade, Segurança, Privacidade
Ainda dentro do mesmo espírito de sensibilização pública para os temas
que marcam o nosso quotidiano e têm impacto no nosso futuro, a CNPD
promoveu em junho de 2015, em parceria com o Clube Europeu para a
Governança dos Sistemas de Informação – Portugal, a Conferência
“Liberdade, Segurança, Privacidade”.
11 https://www.cnpd.pt/bin/revistaforum/revistaforum.htm
23 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
A Conferência teve como oradores convidados o embaixador Francisco
Seixas da Costa, o historiador e ex-deputado José Pacheco Pereira e o
Almirante Torres Sobral, Diretor do Gabinete Nacional de Segurança.
Usaram ainda da palavra a Presidente da CNPD, Filipa Calvão, que
abriu a Conferência, e o Presidente do ceGSI-Portugal, Almiro de
Oliveira, que procedeu ao seu encerramento.
O tema proposto constituiu um
verdadeiro desafio para os
oradores, cuja qualidade das
intervenções foi enriquecedora
ao nível do conhecimento e da
reflexão de todos quantos
participaram nesta iniciativa.
A presença de alguns
deputados nesta Conferência
representou igualmente uma
mais-valia no esforço de
sensibilização da CNPD sobre
os assuntos mais prementes da
nossa atualidade, na medida
em que o legislador
desempenha um papel crucial
na garantia efetiva dos direitos
fundamentais.
25 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
Atividade internacional
Uma das vertentes mais significativas do trabalho da CNPD é a sua
atividade internacional, na medida em que a lei prevê uma vasta
representação internacional, em particular no plano da União Europeia,
em que as autoridades nacionais de proteção de dados têm assento
num vasto conjunto de instâncias.
Destaca-se desde logo o Grupo europeu de Proteção de Dados12,
previsto no Artigo 29.º da Diretiva 95/46/CE13, que discute e toma
posição sobre questões relativas à Diretiva de Proteção de Dados, que
têm um impacto geral e afetam os Estados Membros, tentando concertar
sempre que possível as opiniões das várias autoridades nacionais,
adotando assim pareceres e documentos de trabalho orientadores,
sustentados num apoio generalizado das delegações.
O Grupo do Artigo 29.º desenvolve o seu trabalho, que abrange
naturalmente uma grande variedade de áreas e setores devido à
transversalidade do regime de proteção de dados, em subgrupos
específicos que preparam e discutem, em primeira linha, os documentos
a ser submetidos à apreciação do plenário. A CNPD participa em muitos
dos subgrupos, cujo acompanhamento requer trabalho dedicado.
Em 2015, o trabalho do Grupo do Artigo 29.º centrou-se obviamente no
pacote de proteção de dados pessoais, estando a ser preparada a
transição para o novo Comité Europeu de Proteção de Dados (European
12 http://ec.europa.eu/justice/data-protection/article-29/index_en.htm 13 Além das autoridades nacionais de proteção de dados, integram o G29 a Autoridade Europeia de Proteção de Dados e a Comissão Europeia, que também assegura o secretariado do grupo.
26 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
Data Protection Board), incluindo o funcionamento do futuro mecanismo
de consistência. Também a declaração de invalidade da decisão Safe
Harbour, pelo TJUE, originou um trabalho acrescido no último trimestre
do ano.
Em segundo lugar, existe a representação da CNPD em todas as
instâncias relacionadas com os sistemas de informação europeus, que
tratam os dados introduzidos ou fornecidos pelos respetivos Estados-
Membros. Assim, a CNPD está representada nas autoridades de
controlo comum da EUROJUST, da EUROPOL e do Sistema de
Informação Aduaneiro, bem como nos Grupos de Supervisão
Coordenada da Eurodac, do CIS (Customs Information System), do VIS
(Sistema de Informação de Vistos) e do SIS II (Sistema de Informação
Schengen). No Grupo de Supervisão Coordenada do SIS II, a
representante portuguesa foi reeleita Presidente, por unanimidade, em
outubro de 2015, pelo que o trabalho a desenvolver é mais exigente.
A pressão a que tem estado sujeito, no último ano, o espaço de
liberdade, justiça e segurança da União tem motivado muitas iniciativas,
novos projetos e propostas de novos instrumentos jurídicos que
impuseram, em 2015, uma intervenção particularmente atenta na
maioria destas instâncias europeias.
É também de salientar a participação regular da CNPD no Grupo
Internacional de Proteção de Dados nas Telecomunicações ou na Rede
Ibero-americana de Proteção de Dados (RIPD), dois contextos distintos
mas igualmente relevantes, não só pela componente mais internacional
que encerram, mas também pela importância dos objetivos que cada um
deles assume.
A RIPD promove um encontro anual,
27 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
além de seminários temáticos para aprofundar e discutir assuntos de
interesse comum. A CNPD participa ativamente nesse trabalho, através
da apresentação de intervenções regulares nos painéis de discussão.
Ressalta-se também a participação da CNPD, em representação da
RIPD, numa Conferência de alto nível para debater o projeto de lei
brasileira sobre proteção de dados pessoais, realizada em Brasília, em
outubro de 2015.
Há ainda a evidenciar o convite dirigido à CNPD para proferir uma
alocução no seminário internacional sobre big data, que decorreu como
evento lateral à Conferência anual da APPA (Asia Pacific Privacy
Authorities), realizada em Macau, em dezembro de 2015.
A CNPD foi convidada, de igual modo, para integrar uma mesa-redonda,
em comemoração do 20.º aniversário da Diretiva de Proteção de Dados,
decorrida em Madrid, em novembro de 2015.
De maneira regular, regista-se a participação anual da CNPD na
Conferência da Primavera, a conferência europeia de comissários de
proteção de dados além do espaço da União, que se realizou em
Manchester, em maio de 2015, e na Conferência Internacional de
Comissários de Proteção de Dados e de Privacidade, que se realizou em
outubro de 2015, em Amesterdão. Esta Conferência tem uma
componente fechada, exclusiva para as autoridades de proteção de
dados de todo o mundo, e uma componente aberta, para uma discussão
ampla com empresas, organizações não-governamentais e outras
entidades ou pessoas
interessadas.
28 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
Além deste conjunto de fóruns onde a CNPD está representada, a
atividade internacional tem ainda uma vertente de estreita cooperação
com outras autoridades de proteção de dados, realizada de forma
essencialmente bilateral.
Assim, é de sublinhar o Encontro Ibérico de autoridades de proteção de
dados, que junta anualmente, à mesma mesa, a Agencia Española de
Protección de Datos (AEPD) e a CNPD para explorar assuntos de
interesse comum, partilhar experiências e debater pontos de vista.
Num sistema de rotatividade, coube à CNPD em 2015 ser a anfitriã do
XII Encontro Ibérico, que se realizou de 8-10 de abril, em Alcácer do Sal.
Em discussão estiveram temas como os estudos de impacto da
privacidade, as cidades inteligentes, a transparência da administração e
a proteção de dados, a geolocalização no contexto laboral, os dados
PNR ou as consequências do acórdão do TJUE sobre o caso
Costeja/Google.
Igualmente no plano bilateral, é de sublinhar a continuação da
colaboração, iniciada em anos anteriores, com o Gabinete de Protecção
de Dados de Macau, tendo sido realizadas visitas mútuas em Macau e
em Lisboa por delegações das respetivas autoridades.
Por último, a CNPD assinala a visita, em setembro de 2015, de uma
delegação de alto nível da recém-criada Comissão Nacional de
Protecção de Dados de Cabo Verde, para troca de informação sobre o
funcionamento e atividade de ambas as autoridades. Este encontro
marcou o início de uma relação de cooperação, que se prevê robusta e
frutuosa.
29 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
Atividade de gestão interna
No plano da atividade de gestão interna, convém sublinhar a melhoria
progressiva do sistema de informação interno, como suporte
indispensável à continuada desmaterialização processual e de
procedimentos.
Nunca é de mais reforçar que este trabalho é inteiramente desenvolvido
pelo serviço de informática da CNPD, não havendo assim dependência
de empresas externas em tão delicada área, ao mesmo tempo que
permite uma flexibilidade e rapidez dificilmente atingível com outro
modelo.
Em 2015, foi elaborado um plano de formação interna do pessoal para
os próximos dois anos, tendo-se iniciado, no ano passado, esta atividade
com a concretização de uma área formativa em vários módulos sobre o
novo Código do Procedimento Administrativo.
Apesar de todos os esforços de reorganização interna para alcançar
uma melhor gestão, no sentido de incrementar a capacidade de resposta
perante as crescentes solicitações das entidades públicas, empresas e
dos cidadãos, a escassez de recursos humanos, que se acentuou em
2015, é de tal dimensão que torna inexequível uma gestão eficaz dos
recursos e das tarefas.
Na verdade, a CNPD terminou o ano de 2015 com os seus recursos
humanos constituídos por um total de 22 pessoas, onde se inclui o
Secretário da CNPD, que dirige os serviços, que abrangem 5 pessoas a
exercer funções no Serviço Jurídico, 4 no Serviço de Inspeção e
30 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
Informática, 1 no Serviço de Informação e Relações Internacionais, 2 no
Gabinete de Atendimento ao Público e as restantes nos Serviços
Administrativos e Financeiros, os quais englobam a vertente processual,
a contabilidade e o apoio de secretariado.
Apesar dos constrangimentos legais à contratação, a CNPD continuou
no ano passado a tentar utilizar os mecanismos do regime de mobilidade
dos trabalhadores da administração pública que tem ao seu dispor, os
quais se mostraram, mais uma vez, inadequados e insuficientes para
corresponder às necessidades da Comissão.
No plano financeiro, em 2015 o orçamento corrigido (após cativações e
reserva) foi de 2.555.821.00 Euros, sendo que apenas 1.192.732,00
Euros corresponde à dotação inscrita no Orçamento da Assembleia da
República. Os restantes 1.490.000,00 Euros representam a previsão de
receita própria, a qual foi, na realidade, foi ultrapassada em 790 mil
Euros.
Do orçamento executado destacam-se os seguintes elementos:
A receita total atingiu 3.045.283,77 Euros, dividindo-se em
2.280.041,77 Euros de receita própria e 795.242,00 Euros de
verbas contantes do orçamento da Assembleia da República;
O total de despesa foi de 1.768.013,03 Euros já expurgado de
reposições abatidas no valor de 14.884,63 Euros;
O saldo final na posse do Tesouro é de 3.614750,35 Euros, do
qual fazem parte: 2.337.479,61 Euros relativos aos saldos das
gerências de 2011, 2012, 2013 e 2014, de receitas próprias, sem
autorização de utilização; 1.264,346,11 Euros, relativos ao saldo
da gerência de 2015, de receitas próprias, com possibilidade de
transição para 2016 e 12.924,63 do OAR, sem possibilidade de
transição para 2016.
31 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
19
23
27 28 28
23 25
18
24
21
2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
EVOLUÇÃO DOS RECURSOS HUMANOS
No ano de 2015, a CNPD gastou em despesas com pessoal
1.187.975,46 Euros, aqui se incluindo todas as prestações devidas,
designadamente vencimentos, contribuições para a Segurança Social e
Caixa Geral de Aposentações, despesas de saúde, e subsídios de
refeição.
Como se pode verificar, mantem-se a situação de a dotação do
Orçamento da Assembleia da República não cobrir sequer as despesas
com pessoal.
Assinala-se no entanto que a CNPD é autossuficiente, na medida em
que as suas receitas próprias cobrem a totalidade das despesas de
funcionamento, entregando-se ao Tesouro, só em 2015, uma quantia
superior a um milhão de Euros. Mas nem o facto de ter evidente
capacidade financeira para suportar um aumento imprescindível de
recursos humanos permite à CNPD, com a autonomia que a sua
natureza exige, dotar-se desses meios para o cabal exercício da sua
missão.
32 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
Tipo de processos
autorização
registo
parecer
outros
contraordenação
Estatísticas
18023
13504 13685
18048 19113
1
Processos entrados
2011 2012 2013 2014 2015
33 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
16141
11306 11170
14868 16157
1
Notificações
2011 2012 2013 2014 2015
14852
10325 10284
13854 15011
1
Autorizações
2011 2012 2013 2014 2015
1289
981 897
1014 1146
1
Registos
2011 2012 2013 2014 2015
34 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
996 1005 1126
1341
1506
Contraordenações
2011 2012 2013 2014 2015
185
130
90 98
115
1
Acessos a Schengen
2011 2012 2013 2014 2015
35 Relatório de Atividades da Comissão Nacional de Protecção de Dados - 2015
O diâmetro de cada círculo representa o volume de processos entrados na CNPD
no ano em referência e o seu posicionamento em altura indica o número total
de funcionários da CNPD. A evolução dos recursos humanos é também
assinalada pela linha transversal.
0
200
400
600
800
1000
2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
216 237 422 372 353 784 540 760 752 910
Número de processos por funcionário