2012/2013 Políticas de segurança e protecção de dados pessoais na União Europeia A sociedade da informação e os dados pessoais • A protecção dos dados pessoais constitui hoje uma questão-chave na “sociedade da informação” ou “sociedade em rede” Aumento exponencial da quantidade e da diversidade dos dados coligidos, processados e comunicados pelas empresas, administrações públicas, polícias e serviços de segurança. Internet e expansão das redes sociais com exposição pública de informação pessoal. Os riscos para a defesa de direitos humanos fundamentais: a reserva da vida privada; a protecção de dados pessoais; as liberdades … 1 A questão em análise • As preocupações em matéria de direitos fundamentais acentuam-se perante a aparente inadequação do quadro legal europeu no que respeita à utilização de dados pessoais no domínio das políticas de segurança e de combate ao crime. – Assiste-se ao reforço das políticas de segurança na Europa (e no mundo): expansão dos sistemas de informação e bases de dados pessoais; métodos sofisticados de pesquisa e tratamento de dados (‘data mining’; ‘individual risk assessment’). – Como está a ser realizado o “balancing” dos valores e interesses em conflito? – Que efeitos poderá/deverá ter a consagração do direito fundamental à protecção de dados pela Carta dos Direitos Fundamentais? As propostas da CE de Janeiro de 2012. 2 Os interesses e valores em conflito • Das organizações públicas e privadas numa maior eficiência das suas actividades e serviços por meio do tratamento electrónico de dados, tão livre quanto possível. • Dos indivíduos na protecção dos dados que lhes dizem respeito, da reserva da intimidade da sua vida privada e de um modo geral das suas liberdades. 3 A protecção de dados pessoais na UE: uma protecção adequada? Principais instrumentos • Directiva 95/46/EC relativa à protecção dos indivíduos no que respeita ao tratamento de dados pessoais e à livre circulação desses dados (DPD). – Fundamento: o direito do Mercado Interno – Artigo 3: tratamento de dados no domínio da política externa e de segurança comum e da cooperação policial e judiciária, segurança pública, defesa e direito criminal foram excluídos do âmbito de aplicação da DPD. • Decisão-quadro do Conselho 2008/977/JAI sobre a protecção de dados pessoais processados no quadro da cooperação policial e judiciária. • Fundamento: o Espaço de Liberdade, Segurança e Justiça. 4 Os princípios de protecção de dados (DPD) • • • • • Limitação do fim Consentimento Minimização e proporcionalidade Controlo Direitos do titular dos dados: acesso, rectificação; oposição • Transferência para países terceiros 5 “in practice, the Directive has by now become the international data protection metric against which data protection adequacy is measured.” (De Hert and Papakonstantinou, 2012). 6 Políticas de segurança na UE A instituição do Espaço de Liberdade, Segurança e Justiça pelo Tratado de Amesterdão (1997): reforço da segurança externa quando se reduz o controlo da segurança interna. Os sistemas de informação SIS I (1990); SIS II (2013) - base de dados das polícias nacionais e das autoridades alfandegárias Eurodac - impressões digitais de requerentes de asilo (2000) VIS - Visa Information System (2008) 7 8 O reforço das políticas de segurança na Europa Os ataques terroristas de Nova Iorque, 11/9 Madrid, 11/3 Londres, 7/7 1. Regulamento do Conselho (CE) n.º 2252/2004 sobre o ‘passaporte electrónico’ contendo dados biométricos. 2. Acordos com os EUA para a transferência de dados de passageiros aéreos (PNR). 3. Directiva 2006/24/CE – retenção de dados de telecomunicações. E no plano nacional … Governo cede dados dos BI portugueses aos Estados Unidos por LUÍS FONTES Diário de Notícias 02 Janeiro 2011 Em nome da luta contra o terrorismo, os EUA querem aceder aos elementos do Arquivo de Identificação Os Estados Unidos (EUA) querem ter acesso a bases de dados biométricas e biográficas dos portugueses que constam no Arquivo de Identificação Civil e Criminal. O FBI, com a justificação da luta contra o terrorismo, quer também aceder à ainda limitada base de dados de ADN de Portugal. O acordo com o Governo português está feito e só falta ser ratificado na Assembleia da República. No entanto, este mês vai sair um parecer da Comissão Nacional de Protecção de Dados (CNPD) que alerta para os problemas que constam no texto do acordo bilateral. 9 Que protecção dos dados pessoais? Um enquadramento legal insuficiente… “Decision 2008/977/JHA contains too wide an exception on the purpose limitation principle. … this and other weaknesses may directly affect the possibilities for individuals to exercise their rights… .” (EC, 2010) “… The Commission has no powers to enforce its rules, as it is a Framework Decision, and this has contributed to uneven implementation. In addition, the scope of the Framework decision is limited to cross-border processing.” (EC, 2010) São várias as excepções aos princípios de protecção de dados (e.g. limitação do fim; consentimento; cf. Artigo 3.º) e aos direitos dos titulares dos dados (e.g. acesso; informação). É deixada larga margem de discricionariedade às autoridades competentes na interpretação e aplicação destes princípios e excepções. 10 Decisão 2008/977/JAI – Artigo 3.º 1. Os dados pessoais podem ser recolhidos pelas autoridades competentes apenas para finalidades especificadas, explícitas e legítimas, no âmbito das suas funções, e podem ser tratados exclusivamente para a finalidade para que foram recolhidos. … 2. O tratamento posterior para outras finalidades é admissível desde que: a) Não seja incompatível com a finalidade determinante da recolha dos dados; b) As autoridades competentes estejam autorizadas a tratar esses dados em conformidade com as disposições legislativas que lhes são aplicáveis; e c) O tratamento seja necessário e proporcionado para a prossecução dessa finalidade. 11 Mais acesso, mais informação A acção vigorosa da Comissão Europeia visando promover o amplo acesso das polícias e dos serviços de segurança aos sistemas de informação (v.g. SIS, VIS e Eurodac). O princípio da disponibilidade da informação(av ailability of information) • “Security in the EU depends on effective mechanisms for exchanging information between national authorities and other European players.” (CE, 2009) • “effectiveness, enhanced interoperability and synergies among European databases in the area of JHA.” (CE, 2005) • “In relation to the objective of combating terrorism and crime, the Council now identifies the absence of access by internal security authorities to VIS data as a shortcoming. The same could also be said for SIS II immigration and Eurodac data” (CE, 2005). 12 O discurso político europeu sobre a segurança e os direitos: um discurso “conciliatório” • Uma ‘win-win situation’, não um conflito de valores ou de direitos. – “a liberdade e a segurança andam de mãos dadas” (António Vitorino, ex-comissário europeu responsável pelo Espaço de LSJ). – “security in Europe is a precondition of prosperity and freedom.” (EC, 2006) – “[information technologies] can serve to protect and amplify the fundamental rights of the individual.” (EC, 2010) 13 Mas … o ‘European Data Protection Supervisor’ vê nestas medidas… • uma tendência mais geral para atribuir às autoridades policiais e judiciárias acesso aos vários sistemas de informação e de identificação; • mais um passo na tendência para facilitar o acesso pelas autoridades a dados de indivíduos insuspeitos da prática de qualquer crime, assim como … • … a dados recolhidos para fins não relacionados com o combate ao crime (v.g. PNR; pedidos de asilo, …). (EDPS, 2010) 14 Críticas da doutrina • “The fundamental right to data protection is continuously eroded or downright overridden by alleging the prevailing interests of security and market logic.” • “… no real debate or analysis of the necessity or proportionality of measures taken for fighting terrorism and no real evaluation of the balancing vis-à-vis fundamental rights.” (Rodotà, 2006) 15 E a Carta? Que consequências possíveis? 1. Todas as pessoas têm direito à protecção dos dados de carácter pessoal que lhes digam respeito. 2. Esses dados devem ser objecto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados … 3. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade independente. Artigo 8.º, Carta dos Direitos Fundamentais 16 A estratégia europeia no domínio dos direitos humanos • ‘Strategy for the effective implementation of the Charter of Fundamental Rights’ (COM (2010) 573 final): – “The Charter’s new status as a binding normative document will boost up the Union’s work in this field.” – “The Charter is not a text setting out abstract values, it is an instrument to enable people to enjoy the rights enshrined within it when they are in a situation governed by Union law.” 17 A proposta de regulamento da CE (25 Janeiro 2012) “A definite cause for celebration for human rights.” (De Hert and Papakonstantinou, 2012) Maior harmonização dos regimes entre os EstadosMembros. Reforço dos mecanismos de supervisão e controlo institucional. Reforço das obrigações de controladores e processadores de dados. 18 A proposta de directiva da CE (25 Janeiro 2012) Dois instrumentos, um regulamento e uma directiva, em lugar de apenas um instrumento geral. Uma linguagem permissiva (“as far as possible”, “all reasonable steps”). Limitações ao direito de acesso. Ausência de um princípio de transparência. “A single instrument would give more guarantees to citizens, render the task of police authorities easier, as well as enabling data protection authorities the same extensive and harmonised powers vis-à-vis police and judicial authorities …” (EDPS, 2011) • “... impõe-se que as regras para a transferência internacional de pessoais sejam bem definidas, as condições bem delimitadas e as salvaguardas acauteladas. Tal não acontece, de maneira nenhuma, no texto desta Proposta de Directiva ...” (CNPD, 2012). 19 Conclusões Assiste-se a um movimento deliberado da UE de encorajamento à utilização de dados pessoais para fins de segurança em detrimento da protecção de dados pessoais. • As instituições europeias têm adoptado uma retórica conciliatória que apresenta, regularmente, a segurança e os direitos fundamentais como duas faces de uma mesma moeda. • No entanto, esta retórica conciliatória é inconsistente com políticas e medidas adoptadas, reconhecidamente lesivas desses direitos, designadamente, dos princípios de protecção dos dados pessoais. 20 Conclusões • Defender o direito fundamental à protecção de dados não significa que este deva prevalecer absolutamente sobre outros valores fundamentais numa sociedade democrática. • Mas a consagração deste direito deve ter consequências na natureza e no âmbito da protecção a conceder, de forma a garantir: ① a aplicação, em todos os casos, dos princípios da protecção de dados; ② que os direitos dos titulares possam ser efectivamente exercidos; ③ que as limitações ao direito fundamental sejam excepcionais e devidamente justificadas. 21