Dados pessoais
A “Lei da Protecção dos Dados Pessoais” define “dados pessoais” como qualquer informação relevante sobre a identidade de uma pessoa singular identificada ou identificável. Costumamos designar esta informação como “privacidade individual”

Tomemos o exemplo de uma pessoa que encomendou um livro numa livraria. Deu o seu nome e o título do livro, antes de pagar um depósito. Apesar de não ter dado o número do respectivo bilhete de identidade, a sua identidade já pode ser determinada através do nome. Logo, o título do livro encomendado, o montante do depósito, assim como o montante ainda por pagar constituem os seus dados pessoais. Se essa pessoa não tivesse deixado o seu nome ou qualquer outra informação que pudesse ser utilizada para confirmar a sua identidade, o título do livro encomendado, o depósito e o montante por pagar não seriam considerados como dados pessoais.

Logo, podemos ver que a definição de “dados pessoais” é bastante ampla. Cada um de nós deve compreender o conteúdo da “Lei da Protecção de Dados Pessoais”, não só para proteger a sua própria privacidade, mas também para saber respeitar a privacidade de terceiros.

(Nota: no que se refere às disposições legais, veja por favor o Artigo 4º da “Lei da Protecção de Dados Pessoais”)
Dados sensíveis
Dados sensíveis indicam dados pessoais referentes a convicções filosóficas ou políticas, filiação em associação política ou sindical, fé religiosa, vida privada e origem racial ou étnica, bem como dados relativos à saúde e à vida sexual, (incluindo os dados genéticos). Salvo disposição legal, é proibido o tratamento de dados sensíveis.
Tratamento de dados pessoais (tratamento)
Significa actos realizados através de qualquer forma relativos a dados pessoais, tais como: a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição, etc. O tratamento aqui indicado não tem restrição em termos de formas e suporte. Por exemplo, estes tratamentos incluem a recolha de dados pessoais com o uso de impressos, incluindo também a recolha de dados pessoais através de telefone ou internet; incluindo não só a transmissão de dados pessoais com o uso de disquete, como também a transmissão de dados pessoais através da internet; incluindo não só o uso de papeis para conservar dados pessoais, como também o uso de computadores ou servidores, ou o uso de microficha para conservar dados pessoais; incluindo não só o tratamento de originais, mas também o tratamento de cópias.
Responsável pelo tratamento

A Lei da Protecção dos Dados Pessoais define o “responsável pelo tratamento”, sejam eles de pessoas singulares ou colectivas, entidades públicas, serviços ou qualquer outros organismos que, individualmente ou em conjunto com outrem, determinam as seguintes:

  • Finalidades do tratamento dos dados pessoais;

  • Meios do tratamento dos dados pessoais.

Na Europa e em Hong Kong, o responsável pelo tratamento também é designada por “Controlador de Dados” ou “Utilizador de Dados”.

Por exemplo, um hotel recebe um elevado número de hóspedes e regista os respectivos nomes, números dos documentos de identificação, números dos quartos, despesas, informações sobre o pagamento, etc. O hotel faz a gestão dos dados, e tem o direito de tomar decisões sobre as finalidades e os meios de tratamento, logo ele é o “responsável pelo tratamento dos dados pessoais”. O Departamento de Contabilidade e o Departamento de Informática do hotel, mesmo que são responsáveis pelo trabalho do tratamento de dados específicos contudo, são apenas departamentos do hotel, estando sujeitos às decisões do hotel, não podendo determinar as finalidades e os meios de tratamento, então não são responsáveis pelo tratamento.

(Nota: Para conhecimento mais detalhado, veja o artigo 4º da Lei da Protecção de Dados Pessoais.)

Titular dos dados
Pessoa singular à qual se referem os dados objecto do tratamento. Em virtude da área do tratamento de dados pessoais ser muito vasta, qualquer pessoa pode ser titular dos dados. Para determinar se você é ou não o titular dos dados, basta pensar se os seus dados serão ou não objecto de tratamento. Por exemplo, você disponibiliza dados pessoais a uma determinada empresa num estudo de marketing feita por esta, mesmo que seja apenas o número de telefone, você é o titular dos dados.
Subcontratante

De acordo com a Lei da Protecção de Dados Pessoais, o “subcontratante” pode ser a pessoa singular ou colectiva, a entidade pública, o serviço ou qualquer outro organismo “que trate os dados pessoais por conta do responsável pelo tratamento”, conhecido mais frequentemente como “entidade adjudicada”. Por isso, o “subcontratante” não pode tomar decisões quanto aos seguintes assuntos:

  • Finalidades do tratamento dos dados pessoais;

  • Método de tratamento de dados pessoais.

No tratamento de dados pessoais, o “subcontratante” é responsável pela segurança e confidencialidade de dados pessoais, pelo que parece ter certo nível de poder de decisão relativo às medidas de segurança. No entanto, as medidas referidas são, jurisprudencialmente, decididas pelas “entidades responsáveis pelo tratamento dos dados pessoais” – no respeito pelo estipulado, em termos legais, “as entidades responsáveis pelo tratamento dos dados pessoais” devem adjudicar a um “subcontratante” capaz de tomar medidas adequadas à organização e à segurança técnica no tratamento de dados pessoais e, posteriormente, acompanhar a concretização dessas mesmas medidas.

Por exemplo, a companhia A pretende passar um grupo de registos de clientes em suporte de papel para suporte electrónico e adjudica o trabalho à companhia informática B. Neste caso, a companhia A é “a entidade responsável pelo tratamento dos dados pessoais” e a companhia informática B, “o subcontratante”. Nos termos legais, a companhia A deve avaliar, com antecedência, se a companhia informática B tem capacidade para tomar medidas adequadas de segurança no tratamento dos dados pessoais, e assinar com ela o contrato ou os necessários documentos legais. Caso o referido tratamento de dados pessoais se mostre inadequado, pode-se decidir, de acordo com os documentos assinados, quem é o culpado.

Normalmente, “o subcontratante” procede ao tratamento dos dados pessoais seguindo as instruções da “entidade responsável pelo tratamento dos dados pessoais”, mas não se nega a legitimidade no tratamento independente dos dados pessoais quando o “subcontratante” cumprir os seus deveres legais. Se a companhia informática B descobrir que a companhia A está envolvida em actividades ilícitas, deve, no cumprimento dos seus deveres legais, denunciá-lo à Polícia Judiciária fornecendo-lhe os respectivos documentos. Nesta situação, a companhia informática B passa a ser, em termos de legitimidade, “a entidade responsável pelo tratamento dos dados pessoais”, deixando, o referido tratamento de dados, de estar sujeito à orientação da Companhia A.

(Nota: Para consulta de disposições mais detalhadas, vide os artigos nº 4, nº 6 e nº 15 da Lei da Protecção de Dados Pessoais)

Terceiro
A pessoa singular ou colectiva, a entidade pública, o serviço ou qualquer outro organismo que, não sendo o titular dos dados, o responsável pelo tratamento, o subcontratante ou outra pessoa sob autoridade directa do responsável pelo tratamento ou do subcontratante, esteja habilitado a tratar os dados.
Destinatário
A pessoa singular ou colectiva, a entidade pública, o serviço ou qualquer outro organismo a quem sejam comunicados dados pessoais, independentemente de se tratar ou não de um terceiro, sem prejuízo de não serem consideradas destinatários as autoridades a quem sejam comunicados dados no âmbito de disposição legal ou disposição regulamentar de natureza orgânica.
Consentimento do titular dos dados
Qualquer manifestação de vontade, livre, específica e informada, nos termos da qual o titular aceita que os seus dados pessoais sejam objecto de tratamento.
Interconexão de dados
Forma de tratamento que consiste na possibilidade de relacionamento dos dados de um ficheiro com os dados de um ficheiro ou ficheiros mantidos por outro ou outros responsáveis, ou mantidos pelo mesmo responsável com outra finalidade.
Disposição regulamentar de natureza orgânica
Disposição constante de diploma de organização e funcionamento ou de estatuto de entidade competente para a prática de actos de tratamento de dados e outros actos referidos na presente lei.
Segurança de dados pessoais
  • Medidas gerais de segurança

O responsável pelo tratamento deve pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito, devendo elas assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger. (Artigo 15o da Lei da Protecção de Dados Pessoais)

Ou seja, o responsável pelo tratamento deve definir, atendendo ao grau de risco resultante do tratamento dos dados e à natureza de dados a proteger, uma política de tratamento de dados pessoais, tomando adequadas medidas de segurança, com vista a assegurar a segurança dos dados. Estas medidas devem proteger os dados pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados.

Por exemplo, quando uma escola trata de dados pessoais dos estudantes, para além das medidas de segurança tomadas para os respectivos computadores, e.g. instalação de softwore anti vírus, firewall e código de acesso etc., deve ainda definir medidas administrativas e observações de trabalho para o pessoal.

  • Por outro lado, o responsável pelo tratamento, em caso de tratamento por sua conta, deverá escolher um subcontratante(mandatário)que ofereça garantias suficientes, em relação às medidas de segurança técnica e de organização do tratamento a efectuar, deverá estipular, através de um contrato, que o subcontratante apenas actue mediante instruções do responsável pelo tratamento, e deverá zelar pelo cumprimento dessas medidas.
  • No tratamento de dados pessoais, o subcontratante deve responsabilizar-se pelo sigilo e segurança de dados pessoais.
  • Medidas especiais de segurança

Quando os responsáveis pelo tratamento tratam dos dados sensíveis, dados relativos às pessoas suspeitas de actidades ilícitas e infracções penais e infracções administrativas,mencionados no n.º 2 do artigo 7.º e n.º 1 do artigo 8.º, devem tomar as adequadas medidas de segurança para:

(1)Impedir o acesso de pessoa não autorizada às instalações utilizadas para o tratamento desses dados (controlo da entrada nas instalações);

(2)Impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados por pessoa não autorizada (controlo dos suportes de dados);

(3)Impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais inseridos (controlo da inserção);

(4)Impedir que sistemas de tratamento automatizados de dados possam ser utilizados por pessoas não autorizadas através de instalações de transmissão de dados (controlo da utilização);

(5)Garantir que as pessoas autorizadas só possam ter acesso aos dados abrangidos pela autorização (controlo de acesso);

(6)Garantir a verificação das entidades a quem possam ser transmitidos os dados pessoais através das instalações de transmissão de dados (controlo da transmissão);

(7)Garantir que possa verificar-se a posteriori, em prazo adequado à natureza do tratamento, a fixar na regulamentação aplicável a cada sector, quais os dados pessoais introduzidos quando e por quem (controlo da introdução);

(8)Impedir que, na transmissão de dados pessoais, bem como no transporte do seu suporte, os dados possam ser lidos, copiados, alterados ou eliminados de forma não autorizada (controlo do transporte).

  • Tendo em conta a natureza das entidades responsáveis pelo tratamento e o tipo das instalações em que é efectuado, o Gabinete para a Protecção de Dados Pessoais pode dispensar a existência de certas medidas de segurança, garantido que se mostre o respeito pelos direitos, liberdades e garantias dos titulares dos dados.
  • Os sistemas devem garantir a separação lógica entre os dados referentes à saúde e à vida sexual, incluindo os genéticos, dos restantes dados pessoais.
  • O Gabinete pode determinar que, nos casos em que a circulação em rede de dados pessoais possa pôr em risco direitos, liberdades e garantias dos respectivos titulares, a transmissão seja cifrada.

(Artigo 16o da Lei da Protecção de Dados Pessoais)

Fuga de dados pessoais

A fuga de dados significa que o responsável pelo tratamento revela ou divulga indevidamente os dados pessoais, quando falta de qualquer condição legítima (fundamento legal), as medidas de segurança (medidas técnicas e organizativas) não são suficientes ou as medidas não correspondem ao risco. A fuga de dados também acontece, quando o pessoal obrigado a sigilo profissional revela ou divulga indevidamente dados pessoais.

Caso acontece fuga de dados, o responsável pelo tratamento deve assumir a eventual responsabilidade jurídica, embora seja uma negligência, a não ser que o responsável pelo tratamento possa comprovar a fuga de dados causada por outra.

Por exemplo, relativamente a uma fuga de dados dos clientes de uma companhia, causada por um erro de um trabalhador, cabe à companhia a responsabilidade, caso não se pode comprovar a violação das orientações pelo trabalhador, ou verifica-se que o trabalhador não tem nada a ver com a violação. Ao contrário, quando se confirma que o trabalhador violou orientações da companhia, este responsabiliza-se pelo sucedido.

O Artigo 18o da Lei da Protecção de Dados Pessoais estipula ainda: “os responsáveis pelo tratamento de dados pessoais, bem como as pessoas que, no exercício das suas funções, tenham conhecimento dos dados pessoais tratados, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.”

Quem, obrigado a sigilo profissional, tem que cumprir o dever de sigilo durante toda a vida, mesmo após a sua desvinculação do serviço, é sujeito a sigilo dos dados pessoais que tenham conhecimento no exercício das funções.

Os funcionários, agentes ou técnicos que exerçam funções de assessoria ou consultoria à autoridade pública estão sujeitos à mesma obrigação de sigilo profissional. A violação do dever de sigilo profissional pode constituir um crime. (Artigo 41o da Lei da Protecção de Dados Pessoais)

Quem, obrigado a sigilo profissional, nos termos da lei, sem justa causa e sem o devido consentimento, revelar ou divulgar no todo ou em parte dados pessoais é punido com pena de prisão até dois anos ou pena de multa até 240 dias, se pena mais grave ao caso não couber por força de lei especial. Neste caso, o procedimento criminal depende de queixa.

A pena é agravada de metade dos seus limites se o agente:

For funcionário público ou equiparado, nos termos da lei penal;

For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;

Puser em perigo a reputação, a honra e consideração ou a intimidade da vida privada de outrem.

A negligência é punível com pena de prisão até seis meses ou pena de multa até 120 dias.

Transferência de dados pessoais para local situado fora da RAEM

(Artigo 20o, n.o1, da Lei da Protecção de Dados Pessoais)

A transferência de dados pessoais para local situado fora do território da RAEM só pode realizar-se com o respeito das disposições da presente lei e se o respectivo ordenamento jurídico para onde são transferidos assegurar um nível de protecção adequado. (Artigo 19o, n.o 1, da Lei da Protecção de Dados Pessoais)A adequação do nível de protecção do ordenamento jurídico para onde são transferidos os dados pessoais é o fundamento de transferência de dados para país ou região situado fora da RAEM . Nos termos da Lei, cabe ao Gabinete decidir se o destino final assegura um nível de protecção adequado. (Artigo 19o, n.o 2 e n.o 3, da Lei da Protecção de Dados Pessoais)

Genericamente, de acordo com o princípio de benefício mútuo, o Gabinete põe os nomes dos países/regiões que atingem a um nível de protecção adequado numa “lista branca”. No entanto, até hoje, nenhum nome do país/região consta nesta lista.

Nos termos da Lei, mediante notificação a este Gabinete, a entidade pode transferir os dados pessoais para um local onde o respectivo ordenamento jurídico não assegura um nível de protecção adequado, mesmo que não esteja confirmada se o destino final assegure um nível de protecção adequado, pode notificar directamento o Gabinete:

  • Se o titular dos dados tiver dado de forma inequívoca o seu consentimento à transferência; se for necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido do titular dos dados;

  • Se for necessária para a execução ou celebração de um contrato celebrado ou a celebrar, no interesse do titular dos dados, entre o responsável pelo tratamento e um terceiro;

  • Se for necessária ou legalmente exigida para a protecção de um interesse público importante, ou para a declaração, o exercício ou a defesa de um direito num processo judicial;

  • Se for necessária para proteger os interesses vitais do titular dos dados;

  • Se for realizada a partir de um registo público que, nos termos de lei ou regulamento administrativo, se destine à informação do público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo, desde que as condições neles estabelecidas para a consulta sejam cumpridas no caso concreto.

Desde que o responsável pelo tratamento assegure mecanismos suficientes de garantia de protecção da vida privada e dos direitos e liberdades fundamentais das pessoas, bem como do seu exercício, designadamente, mediante cláusulas contratuais adequadas, pode pedir a autorização e transferir os dados pessoais depois de ser autorizado pelo Gabinete, mesmo o destino final não assegurar um nível de protecção adequado, nem a transferência corresponder à disposição n.º 2 acima referida. (Artigo 20o, n.o2, da Lei da Protecção de Dados Pessoais)

A transferência de dados pessoais, que constitua medida necessária à protecção da defesa, da segurança pública, da prevenção, investigação e repressão das infracções penais e da protecção da saúde pública, é regida por disposições legais específicas ou pelos instrumentos de direito internacional e acordos inter-regionais a que a RAEM se ache vinculada, não é necessária pedir autorização ao Gabinete. (Artigo 20o, n.o3, da Lei da Protecção de Dados Pessoais)

Responsabilidade do responsável pelo tratamento
  • Definição de uma finalidade adequada

  • Elaboração de uma política aperfeiçoada

  • Observação dos princípios jurídicos

  • Garantia da segurança de dados

  • Cumprimento da obrigação de reclamação

Endereço: Avenida da Praia Grande, N.º 804, Edif. China Plaza, 17.º andar, Macau

Tel: (853)28716006

Fax: (853)28716116