Todos nós certamente já nos questionámos como é que certas entidades, públicas ou privadas, têm acesso ao nosso nome, número de telefone e endereço de e-mail, nomeadamente quando somos invadidos na nossa privacidade com cartas, telefonemas e e-mails que, julgamos, abusivamente nos estarem a ser dirigidos.
A verdade é que, na atual Sociedade da informação, a possibilidade de aceder a dados pessoais é algo de muito valioso e o mais provável é que, em determinado momento, ao termos subscrito um específico serviço, tenhamos dada autorização a esse acesso, sem que disso nos tenhamos apercebido.
Portugal, certamente para grande surpresa da maioria dos leitores, foi precursor em matéria de proteção de dados pessoais, ao consagrar no art. 35º da Constituição da República Portuguesa de 1976, aquela que depois da revolução de abril restituiu aos Portugueses os direitos e liberdades fundamentais. Posteriormente, em 1998 veio a ser transposta para a ordem jurídica portuguesa a Diretiva Europeia já referida tendo sido publicada a Lei de Proteção de Dados Pessoais (Lei n.º 67/98 de 26 de Outubro).
Na perspetiva do cidadão, o objetivo do legislador europeu e nacional foi assegurar que todas as pessoas têm direito à proteção de dados de carácter pessoal que lhes digam respeito. Esses dados devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei, sempre com um pleno respeito dos princípios da proporcionalidade e da necessidade.
A questão que importa colocar é a seguinte: será que as entidades que utilizam os nossos dados pessoais observam o rigoroso cumprimento da lei? Uma lei que veio a ser reforçada com a integração na União Europeia e que com a proliferação das tecnologias de informação e a disseminação de dados online ganha um campo de aplicação acrescido.
Se, por um lado, a integração na União Europeia veio consagrar como um dos principais objectivos a existência de um mercado interno no qual é assegurada a livre circulação de pessoas, bens, serviços e capitais, legitimando assim a livre circulação de dados pessoais entre os Estados Membros, por outro, não nos podemos esquecer que o Direito à proteção de dados pessoais é um direito fundamental, consagrado, entre outros diplomas, no artigo 8º da Carta dos Direitos Fundamentais da União Europeia.
A articulação destes dois princípios no âmbito da União Europeia veio impor que, em matéria de dados pessoais, fosse assegurado um nível elevado de proteção, o que veio dar lugar à peça central da legislação comunitária, a Directiva 95/46 (de 24 de Outubro de 1995), que regula a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses mesmos dados.
Portugal, certamente para grande surpresa da maioria dos leitores, foi precursor em matéria de proteção de dados pessoais, ao consagrar no art. 35º da Constituição da República Portuguesa de 1976, aquela que depois da revolução de abril restituiu aos Portugueses os direitos e liberdades fundamentais.
Posteriormente, em 1998 veio a ser transposta para a ordem jurídica portuguesa a Diretiva Europeia já referida tendo sido publicada a Lei de Proteção de Dados Pessoais (Lei n.º 67/98 de 26 de Outubro).
O cumprimento da lei fica sujeito à fiscalização de uma autoridade independente e à qual os cidadãos que considerem que os seus direitos foram infringidos devem recorrer: a Comissão Nacional de Proteção de Dados (CNPD).
Na perspetiva do cidadão, o objetivo do legislador europeu e nacional foi assegurar que todas as pessoas têm direito à proteção de dados de carácter pessoal que lhes digam respeito. Esses dados devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei, sempre com um pleno respeito dos princípios da proporcionalidade e da necessidade.
Mais, todas as pessoas têm o direito de aceder aos dados que sobre si são recolhidos e de obter a respetiva retificação.
Sucede que, na abordagem desta temática não nos podemos restringir à perspetiva da pessoa individual, teremos também que abordar a perspetiva dos dados pessoais no seio empresarial, designadamente, no setor do fitness.
Será este o momento em que os leitores se deverão questionar se, nas vossas empresas, ou, mais concretamente, nos vossos ginásios, dispõem de dados (nome, morada, telefone, endereço de e-mail, imagem, etc) relativamente aos vossos clientes, trabalhadores ou fornecedores; se usam sistemas de videovigilância; se utilizam cookies ou se efetuam gravação de chamadas telefónicas.
Se a vossa resposta é sim a todos ou qualquer um destes pontos, então certamente que vos interessa conhecer as regras que regulam o tratamento de dados pessoais e as consequências perante o incumprimento dessas regras.
Elencar exaustivamente as regras que regulam o tratamento de dados pessoais e a privacidade, seria, no âmbito do presente artigo, uma tarefa “hercúlea”, pelo que o propósito deste artigo será, tão só, apresentar as regras principais.
Com efeito, sempre que nos vossos ginásios se proceder à operação de recolha e registo de qualquer informação relativa a uma pessoa singular identificada, está-se a proceder a um tratamento de dados pessoais que, regra geral, tem que ser legalizado junto da Comissão Nacional de Protecção de Dados (CNPD), por intermédio de uma notificação ou de uma autorização, dirigida a esta entidade pelo responsável pelo tratamento, obrigado ao sigilo.
De facto, uma das regras principais no âmbito do tratamento de dados pessoais é que deverá sempre existir, na organização, uma pessoa responsável pelo tratamento que assegurará que: os dados pessoais recolhidos se destinam a uma finalidade específica e são os estritamente necessários para esse mesmo fim; que os titulares dos dados pessoais devem autorizar o seu tratamento e devem ser informados de que, a qualquer momento, podem aceder aos seus dados, retificá-los ou simplesmente eliminá-los, garantindo-se assim que os dados pessoais recolhidos estão sempre exatos e atualizados; por fim, é preciso salientar que encontrando-se a tarefa de tratamento de dados pessoais atribuída a um único responsável, devem ser implementadas medidas de segurança necessárias para proteção da informação, evitando a consulta, modificação ou destruição dos dados por pessoa não autorizada.
O incumprimento destas regras, que poucos estarão conscientes, acarreta responsabilidade civil, criminal e contra-ordenacional. Responsabilidade civil, porque o titular do dado pessoal que se considere lesado tem direito à reparação do prejuízo por si sofrido; responsabilidade criminal, porque o responsável pelo tratamento é punido com pena de prisão até 1 ano ou multa até 120 dias e responsabilidade contra-ordenacional, podendo acarretar a aplicação de coimas que podem ascender a € 29.927,87 ou mesmo € 5.000.000,00, se estivermos a falar no caso do sector das comunicações electrónicas. A título exemplificativo, veja-se o caso das secretas que envolveu uma conhecida operadora de telecomunicação no início deste ano e que levou a CNPD à aplicação de uma coima de € 4.500.000,00.
Estamos certos que concordarão connosco se afirmarmos que os riscos de incumprimento são elevados, pelo que, a melhor estratégia a adotar será a realização de uma avaliação interna nas vossas empresas e nos vossos ginásios, conduzidas por entidades independentes, envolvendo os vários departamentos que lidam com dados pessoais, por forma a definir uma política interna de tratamento de dados pessoais.
No seio das empresas e concretamente nos ginásios onde o tratamento de dados pessoais é uma realidade, impõe-se a consciencialização desta temática, principalmente quando se equaciona, num futuro muito próximo, a revisão da política de proteção de dados pessoais a nível europeu, revisão essa onde seguramente iremos assistir a uma maior regulamentação e fiscalização, que terá reflexos nas obrigações impostas às empresas.
Advogada, APA LAWYERS
