Senhor Secretário de Estado dos Assuntos Europeus,
Excelência:
Dignou-se Vossa Excelência solicitar a elaboração de "parecer técnico e de avaliação jurídica" destinado a instruir o processo nacional de ratificação da "Convenção sobre a Utilização da Informática no Domínio Aduaneiro", assinada em Bruxelas, em 26 de Julho de 1995.
Cumpre, assim, emiti-lo, sem que nos ocupemos de aspectos alheios à competência desta instância consultiva, centrando antes a nossa atenção na indagação da conformidade do texto da Convenção com o ordenamento constitucional e infraconstitucional.
2
2.1. A temática da protecção dos dados pessoais perante a utilização da informática tem como matriz essencial de referência, no ordenamento jurídico português, o artigo 35º da Constituição da República, disposição que foi objecto de importantes alterações introduzidas pelas revisões constitucionais de 1982 e de 1989, com as quais se pretendeu, nomeadamente, conferir maior intensidade à protecção a conceder às pessoas, em matéria de registo e tratamento informáticos.
Por força da revisão operada pela Lei Constitucional nº 1/89, de 8 de Julho, o citado artigo 35º passou a ter a seguinte redacção:
"1. Todos os cidadãos têm o direito de tomar conhecimento dos dados constantes de ficheiros ou registos informáticos a seu respeito e do fim a que se destinam, podendo exigir a sua rectificação e actualização, sem prejuízo do disposto na lei sobre segredo de Estado e de justiça.
2. É proibido o acesso a ficheiros e registos informáticos para conhecimento de dados pessoais relativos a terceiros e respectiva interconexão, salvo em casos excepcionais previstos na lei.
3. A informática não pode ser utilizada para tratamento de dados referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa ou vida privada, salvo quando se trate do processamento de dados estatísticos não individualmente identificáveis.
4. A lei define o conceito de dados pessoais para efeitos de registo informático, bem como de bases e bancos de dados e respectivas condições de acesso, constituição e utilização por entidades públicas e privadas.
5. É proibida a atribuição de um número nacional único aos cidadãos.
6. A lei define o regime aplicável aos fluxos de dados transfronteiras, estabelecendo formas adequadas de protecção de dados pessoais e de outros cuja salvaguarda se justifique por razões de interesse nacional".
2.2. Conferida à matéria de protecção de dados pessoais dignidade constitucional, não significava, porém, dispensa do seu desenvolvimento em lei ordinária; ao invés, dos transcritos nºs 2 e 4 resultava claro uma injunção constitucional, a que o legislador ordinário deu cumprimento através da Lei nº 10/91, de 29 de Abril, sobre a Protecção de Dados Pessoais face à Informática (1).
2.2.1. A Lei nº 10/91 (2) compreende os seguintes capítulos:
Capítulo I: "Disposições gerais" (artigos 1º a 3º)
Capítulo II: "Da Comissão Nacional de Protecção de Dados Pessoais Informatizados" (artigos 4º a 10º)
Capítulo III: "Do processamento automatizado de dados pessoais" (artigos 11º a 16º)
Capítulo IV: "Dos ficheiros automatizados, de bases e bancos de dados pessoais" (artigos 17º a 21º)
Capítulo V: "Da recolha e da interconexão de dados pessoais" (artigos 22º a 26º)
Capítulo VI: "Dos direitos e garantias individuais" (artigos 27º a 33º)
Capítulo VII: "Fluxos de dados transfronteiras" (artigo 33º)
Capítulo VIII: "Infracções e Sanções" (artigos 34º a 43º)
Capítulo IX: "Disposições transitórias e finais" (artigos 44º e 45º)
2.2.2. Proclamado pelo artigo 1º o princípio geral - "o uso da informática deve processar-se de forma transparente e no estrito respeito pela reserva da vida privada e familiar e pelos direitos, liberdades e garantias fundamentais do cidadão" -, seguem-se as definições contidas no artigo 2º, da qual destacamos a seguinte:
"a) ‘Dados pessoais’ - quaisquer informações relativas a pessoa singular identificada ou identificável, considerando-se identificável a pessoa cuja identificação não envolva custos ou prazos desproporcionados".
2.2.3. Sob a epígrafe "Restrições ao tratamento de dados", dispõe o artigo 11º:
"1. Não é admitido o tratamento automatizado de dados pessoais referentes a:
a) Convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada ou origem étnica:
b) Condenações em processo criminal, suspeitas de actividades ilícitas, estado de saúde e situação patrimonial e financeira.
2. A proibição do número anterior não obsta ao tratamento de dados para fins de investigação ou estatística, desde que não possam ser identificáveis as pessoas a que respeitam.
3. O tratamento automatizado de dados pessoais referidos na alínea b) do nº 1 pode, no entanto, ser efectuado observadas as condições previstas no artigo 17º" (3).
2.2.4. O artigo 12º enumera os requisitos a que deve obedecer a recolha de dados pessoais para tratamento automatizado:
- deve efectuar-se de forma lícita e não enganosa;
- deve processar-se em estrita adequação e pertinência à finalidade que a determinou;
- a finalidade determinante da recolha deve ser conhecida antes do seu início,
sendo que os dados só podem ser utilizados para essa finalidade (artigo 15º).
O artigo 13º prescreve sobre o direito à informação e acesso, e o seguinte sobre actualização dos dados - "os dados pessoais recolhidos e mantidos em ficheiros automatizados, em bases e bancos de dados devem ser exactos e actuais".
2.2.5. O capítulo VI providencia sobre os direitos e garantias individuais, compreendendo os artigos 27º a 32º:
- o artigo 27º reconhece a todas as pessoas o direito de acesso às informações sobre elas registadas (com reserva do disposto na lei sobre segredo de Estado e segredo de justiça), dispondo o artigo 28º sobre o exercício desse direito;
- o artigo 29º impõe ao responsável o dever de proceder à supressão de dados excedentes ou à inclusão dos omissos;
- o artigo 30º rege sobre informações inexactas, e o artigo 32º impõe o dever profissional aos responsáveis e às pessoas que, no exercício das suas funções, tenham conhecimento dos dados (o que não exclui o dever do fornecimento das informações obrigatórias, nos termos legais, excepto quando constem de ficheiros organizados para fins estatísticos).
2.2.6. Conheça-se, por último, o disposto no artigo 33º:
«1. O disposto na presente lei aplica-se aos fluxos transfronteiras de dados pessoais, tratados automaticamente ou que se destinem a sê-lo, qualquer que seja o suporte utilizado.
2. Os fluxos transfronteiras de dados pessoais entre Partes Contratantes da Convenção para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal são assegurados nos termos e com as garantias previstos naquela Convenção.
3. Carecem de prévia autorização da CNPDPI os fluxos transfronteiras de dados pessoais que se destinem a Estados que não sejam Parte da Convenção referida no número anterior, por forma a assegurar a adequada protecção.
4. É proibido, em qualquer caso, o fluxo transfronteiras de dados pessoais se houver fundadas razões para crer que a sua transferência para um outro Estado tem por objectivo iludir as proibições ou os condicionalismo previstos na lei ou possibilitar a sua utilização ilícita» (4).
2.3. Conhecidos os princípios essenciais plasmados na Lei nº 10/91, sejam-nos permitidas algumas considerações de síntese, acompanhando o citado parecer nº 23/95:
«... Tratando-se de dados subsumíveis ao reduto dos "dados pessoalíssimos", o seu tratamento informático é terminantemente interdito, posto que tal decorre da proibição constante do nº 3 do artigo 35º da CRP.
Só assim não será se se tratar de processamento de dados estatísticos não individualmente identificáveis (parte final do citado nº 3), ou, por força da extensão consentida pelo nº 2 do artigo 11º da Lei nº 10/91, de tratamento para fins de investigação (científica), desde que também não possam ser identificadas as pessoas a que respeitam.
... Tratando-se de dados integráveis na alínea b) do nº 1 do artigo 11º da lei em apreço, o seu tratamento apenas pode ser efectuado nos termos dos nºs. 2 e 3 do artigo 17º, por força do disposto no nº 3 do referido artigo 11º - [...] -, sendo ainda de observar o disposto no nº 2 do artigo 44º da Lei nº 10/91, também na nova redacção que lhe foi dada pela Lei nº 28/94 [ ...] .
Quanto aos demais dados pessoais (em sentido estrito) [ ...] nada obsta ao seu tratamento automatizado por entidades públicas e privadas, com observância das disposições da lei de protecção de dados pessoais e com prévia comunicação à CNPDPI dos elementos discriminados no artigo 18º para instrução dos pedidos de parecer ou de autorização pela referida Comissão - cfr. artigo 17º, nº 3, da Lei nº 10/91, na redacção da Lei nº 28/94.
Nada obsta à recolha e tratamento informáticos dos dados públicos, sendo apenas mister proceder à legalização dos suportes existentes de acordo com o estabelecido no artigo 45º da Lei nº 10/91.
Todavia, o acesso por terceiros a dados pessoais não públicos, que são objecto de tratamento automatizado, deve obedecer, desde logo, aos princípios do "respeito pelo fim" e da "adequação e pertinência", nos termos já expostos [...].
Recorde-se que a matriz constitucional aplicável na matéria consiste justamente na proibição do acesso a ficheiros e registos informáticos para conhecimento de dados pessoais relativos a terceiros e respectiva interconexão, salvo em casos excepcionais previstos em lei - artigo nº 35º, nº 2, da CRP.
Havendo lei que, excepcionalmente, o permita, verbi gratia, em consequência de relevantes razões de interesse público, pode ser permitido o acesso a terceiros.
Refiram-se, a título de exemplo, os casos do disposto no artigo 7º, nº 3, da Lei Orgânica da Polícia Judiciária (Decreto-Lei nº 295-A/90, de 21 de Setembro), ou no artigo 26º (epigrafado "Acesso à informação por parte dos magistrados") do Decreto-Lei nº 214/88, de 17 de Junho, que regulamentou a Lei Orgânica dos Tribunais Judiciais.- [...].
Nesses casos excepcionais previstos na lei, a CNPDPI pode autorizar quer a utilização de dados pessoais para finalidades não determinantes da recolha, quer a interconexão, logo, o acesso por terceiros, dos ficheiros automatizados em referência - cfr. artigo 8º, nº 1, alíneas c) e d), da Lei nº 10/91 [...].
Tratando-se do acesso a "dados públicos" continuam a ter aplicação os princípios do "respeito pelo fim" e da "pertinência e adequação", já referidos. Todavia, atenta a sua maior acessibilidade, o conhecimento desses dados por terceiros, inclusive através da interconexão de sistemas automatizados, é alargado, sendo possível se se processar entre "entidades que prossigam os mesmos fins específicos", "na dependência do mesmo responsável", desde que "contenham exclusivamente dados públicos" - artigo 25º da Lei nº 10/91 [...].
Tratando-se de "terceiro" que não seja "entidade que prossiga os mesmos fins específicos, na dependência do mesmo responsável", o acesso, mesmo a dados públicos, estará condicionado à autorização da CNPDPI, nas condições prescritas na lei de protecção de dados pessoais.
O princípio geral que condicionará a concessão da autorização será a invocação (e demonstração) de interesse directo e pessoal, ou, no mínimo, de interesse legítimo do terceiro acedente".
3
Com a publicação da Lei nº 10/91 - sublinhou-se no parecer nº 23/95 - ficaram criadas as condições jurídicas para a ratificação, por parte do nosso país, da Convenção do Conselho da Europa para a Protecção das Pessoas Relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal (de 28 de Janeiro de 1981) - que viria a ser aprovada, para ratificação, pela Resolução da AR nº 23/93, de 9 de Julho (5), e ratificada pelo Decreto do Presidente da República nº 21/93, da mesma data (6).
A expressa referência a este instrumento do Conselho da Europa na Convenção ora em curso de ratificação (cfr., Nomeadamente, a parte final do Preâmbulo, e os artigos 4º, in fine, 13º, 15º, 18º, nº 2 e 21º, nº 1), justificam que, em breve síntese, tentemos surpreender os princípios nucleares que enformam aquele instrumento.
3.1. Esses princípios constam, fundamentalmente, do capítulo II (artigos 4º a 11º), dispondo sobre a "Qualidade dos dados" o artigo 5º:
"Os dados de carácter pessoal que sejam objecto de um tratamento automatizado devem ser:
a) Obtidos e tratados de forma leal e lícita;
b) Registados para finalidades determinadas e legítimas, não podendo ser utilizados de modo incompatível com essas finalidades;
c) Adequados, pertinentes e não excessivos em relação às finalidades para as quais foram registados;
d) Exactos e, se necessário, actualizados;
e) Conservados de forma que permitam a identificação das pessoas a que respeitam por um período que não exceda o tempo necessário às finalidades determinantes do seu registo".
3.2. O artigo 6º providencia sobre categorias especiais de dados - dados que revelem a origem racial, as opiniões políticas, as convicções religiosas ou outras, bem como os dados relativos à saúde ou à vida sexual e os relativos a condenações penais -, e o artigo 8º estabelece garantias adicionais para o titular dos dados:
"Qualquer pessoa poderá:
a) Tomar conhecimento da existência de um ficheiro automatizado de dados de carácter pessoal e das suas principais finalidades, bem como da identidade e da residência habitual ou principal estabelecimento do responsável pelo ficheiro;
b) Obter, a intervalos razoáveis e sem demoras ou despesas excessivas, a confirmação da existência ou não no ficheiro automatizado de dados de carácter pessoal que lhe digam respeito, bem como a comunicação desses dados de forma inteligível;
c) Obter, conforme o caso, a rectificação ou a supressão desses dados, quando tenham sido tratados com violação das disposições do direito interno que apliquem os princípios básicos definidos nos artigos 5º e 6º da presente Convenção;
d) Dispor de uma via de recurso se não for dado seguimento a um pedido de confirmação ou conforme o caso, de comunicação, de rectificação ou de supressão, tal como previsto nas alíneas b) e c) deste artigo".
Às disposições dos citados artigos 5º, 6º e 8º não é admitida qualquer excepção, salvo dentro dos limites estabelecidos no artigo 9º.
3.3. Por seu turno, o artigo 7º impõe que sejam tomadas medidas de segurança apropriadas contra a destruição, acidental ou não autorizada, e a perda acidental e também contra o acesso, a modificação ou a difusão não autorizados.
A Convenção, tal como a nossa lei interna (recorde-se o artigo 33º), contém uma disposição específica sobre fluxos transfronteiras de dados - o artigo 12º.
Por último, referia-se que a Convenção prevê a constituição de um Comité Consultivo, com a composição definida no artigo 18º, e as funções elencadas no artigo 19º.
4
A abolição das fronteiras entre os Estados da União Europeia reclama, compreensivelmente, uma maior cooperação das autoridades policiais e aduaneiras e a indispensabilidade de um intercâmbio de informações e experiências.
Os Acordos de Schengen, nomeadamente (7), constituiram um instrumento importante para a implementação da cooperação no espaço europeu (8).
4.1. Entre as medidas aplicáveis a curto prazo, o artigo 9º daquele Acordo estabelece:
"As Partes reforçarão a cooperação entre as respectivas autoridades aduaneiras e de polícia, nomeadamente na luta contra a criminalidade, em especial no que diz respeito ao tráfico ilícito de estupefacientes e de armas, contra a entrada e a estada irregulares de pessoas, contra a fraude fiscal e aduaneira e contra o contrabando. Para o efeito, e nos termos das respectivas legislações internas, as Partes esforçar-se-ão por melhorar a troca de informações, reforçando-a no que diz respeito às informações susceptíveis de apresentar para as outras Partes um interesse na luta contra a criminalidade. As Partes reforçarão, nos termos das respectivas legislações nacionais, a assistência mútua contra os movimentos irregulares de capitais".
4.2. Aspecto a relevar, no que aqui nos interessa, é a criação do Sistema de Informação Schengen (SIS), que tem por objecto preservar a ordem e a segurança públicas, incluindo a segurança do Estado, bem como a aplicação das disposições da Convenção sobre a circulação das pessoas nos territórios das Partes contratantes com base nas informações transmitidas pelo Sistema (artigo 93º) (9).
4.2.1. O SIS - composto por uma parte nacional junto de cada uma das Partes e por uma função de apoio técnico - permitirá às autoridades designadas pelas Partes, graças a um processo de consulta automatizado, disporem da lista de pessoas indicadas e de objectos, aquando dos controlos nas fronteiras e das verificações e outros controlos de polícia e aduaneiros efectuados no interior do país (artigo 92º).
Os artigos 95º a 98º prescrevem sobre os dados relativos a certas categorias de pessoas, e os artigos 99º e 100º sobre dados relativos a veículos e objectos, respectivamente.
O acesso aos dados inseridos no SIS, bem como o direito de os consultar, serão exclusivamente reservados às entidades que são competentes para:
a) Os controlos fronteiriços;
b) As outras verificações de polícia e aduaneiras efectuadas no interior do país, bem como a respectiva coordenação (artigo 101º, nº 1).
4.2.2. Dispõe o artigo 94º:
"1- O Sistema de Informação Schengen incluirá exclusivamente as categorias de dados que são fornecidas por cada uma das Partes Contratantes e necessárias para os fins previstos nos artigos 95º a 100º. A Parte Contratante autora das indicações verificará se a importância do caso justifica a sua inserção no Sistema de Informação Schengen.
2 - As categorias de dados são as seguintes:
a) As pessoas indicadas;
b) Os objectos a que se refere o artigo 100º e os veículos a que se refere o artigo 99º.
3- Relativamente às pessoas, os elementos inseridos serão, no máximo, os seguintes:
a) Os apelidos e o nome próprio, as alcunhas eventualmente registadas separadamente;
b) Os sinais físicos particulares, objectivos e inalteráveis;
c) A primeira letra do segundo nome próprio;
d) A data e o local de nascimento;
e) O sexo;
f) A nacionalidade;
g) A indicação de que as pessoas em causa estão armadas;
h) A indicação de que as pessoas em causa são violentas;
i) O motivo pelo qual se encontram indicadas;
j) A conduta a adoptar.
Não são autorizadas outras referências, nomeadamente os dados previstos no primeiro período do artigo 6º da Convenção do Conselho da Europa de 28 de Janeiro de 1981 relativa à protecção das pessoas face ao tratamento automatizado dos dados pessoais.
4. .............................................................................................".
4.2.3. O capítulo III da Convenção Schengen (artigos 103º a 118º) contém um conjunto de disposições que visam assegurar a protecção e segurança dos dados:
- artigo 102º: princípio do respeito pelo fim
- artigo 105º: exactidão, actualidade e licitude da inserção
- artigo 106º: alteração, rectificação e eliminação de dados pela Parte autora das indicações
- artigo 109º: direito de acesso de qualquer pessoa aos dados que lhe dizem respeito
- artigo 110º: direito de qualquer pessoa exigir a rectificação ou a eliminação de dados que lhe digam respeito, viciados respectivamente por erro de facto ou de direito
- artigo 112º: conservação apenas durante o período necessário aos fins a que se destinam
- artigo 114º: autoridade de controlo nacional
- artigo 115º autoridade de controlo comum
5
Recentemente, a 24 de Outubro de 1995, foi adoptada a Directiva 95/46/CE do Parlamento Europeu e do Conselho Relativa à Protecção das Pessoas Singulares no que diz respeito ao Tratamento de Dados Pessoais e à Livre Circulação desses Dados (10), cujo «considerando» nº (11) refere que os princípios da protecção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada, contidos na Directiva, precisam e ampliam os princípios contidos na citada Convenção do Conselho da Europa de 28/1/91.
Não se afastando significativamente, ao menos na sua essência, do quadro fundamental delineado em anteriores instrumentos, afigura-se que a sua tessitura nuclear se apresenta, porventura, melhor estruturada, como ressalta do seguinte:
- Capítulo I: Disposições Gerais
- Capítulo II: Condições Gerais de Licitude do Tratamento de Dados Pessoais, abrangendo as secções que se passam a enumerar: I ("Princípios relativos à qualidade dos dados"), II ("Princípios relativos à legitimidade do tratamento de dados"), III ("Categorias específicas de Tratamentos"), IV ("Informações da pessoa em causa"), V ("Direito de acesso ..."), VI ("Derrogações e restrições"), VII ("Direito de oposição"), VIII ("Confidencialidade e segurança do tratamento"), IX ("Notificação");
- Capítulo III: Recursos Judiciais, Responsabilidades e Sanções
- Capítulo IV: Transferência de Dados Pessoais para Países Terceiros
- Capítulo V: Códigos de Conduta
- Capítulo VI: Autoridade de Controlo e Grupo de Protecção das Pessoas
- Capítulo VII: Medidas de Execução Comunitárias
6
6.1. Segundo o artigo K.1 do Tratado da União Europeia, para a realização dos objectivos da União, nomeadamente o da livre circulação de pessoas, e sem prejuízo das atribuições e competências da Comunidade Europeia, os Estados-membros consideram questões de interesse comum, entre outras:
"8) A cooperação aduaneira;
9) A cooperação policial tendo em vista a prevenção e a luta contra o terrorismo, o tráfico ilícito de droga e outras formas graves de criminalidade internacional, incluindo, se necessário, determinados aspectos de cooperação aduaneira, em ligação com a organização, à escala da União, de um sistema de informações no âmbito de uma Unidade Europeia de Polícia (Europol)".
Nos domínios a que se refere o artigo K.1, os Estados-membros devem informar-se e consultar-se mutuamente no âmbito do Conselho, de modo a coordenar a sua acção, devendo instituir, para o efeito, uma colaboração entre os competentes serviços das respectivas administrações; por iniciativa de qualquer Estado-membro, nos domínios a que se referem os nºs. 7) a 9) do artigo K.1, o Conselho pode "elaborar convenções e recomendar a sua adopção ..." (artigo K.3, nºs. 1 e 2, da alínea c)).
6.2. Foi, precisamente, com base no citado artigo K.3 que foi elaborada uma Convenção que cria um Serviço Europeu de Polícia (Convenção EUROPOL), assinada em Bruxelas, em 26 de Julho de 1995.
6.2.1. A EUROPOL tem por objectivo melhorar a eficácia dos serviços competentes dos Estados-membros e a sua cooperação no que diz respeito à prevenção e combate de certas formas graves de criminalidade internacional.
A Unidade Nacional é o elo de ligação exclusivo entre a EUROPOL e os serviços nacionais competentes, cujas funções são definidas no nº 4 do artigo 4º.
6.2.2. Para cumprimento das suas tarefas, a EUROPOL criará e manterá um Sistema de Informações informatizado directamente alimentado pelo Estados-membros, e no qual apenas poderão ser introduzidos, alterados e utilizados os dados necessários ao desempenho das funções da EUROPOL, com excepção dos dados relativos às infracções conexas na acepção do nº 3, segundo parágrafo, do artigo 2º (artigo 8º, nº 1); serão introduzidos dados relativos às pessoas referidas no nº 1, os quais apenas poderão abranger as seguintes indicações:
"1) apelidos, apelidos de solteiro, nomes próprios e, eventualmente, alcunhas ou pseudónimos,
2) data de nascimento e naturalidade,
3) nacionalidade,
4) sexo, e
5) se necessário, outros sinais úteis à sua identificação, em especial sinais físicos particulares, objectivos e inalteráveis" (artigo 8º, nº 2).
Acabados de sublinhar os pontos que, na linha de orientação traçada, aqui mais interessavam, restará dizer que a "Convenção EUROPOL" foi apreciada no parecer nº 76/95, de 8 de Março de 1996, que concluiu pela sua compatibilidade com o ordenamento jurídico português.
7
Entremos de seguida no domínio especificamente aduaneiro.
7.1. Preocupados, nomeadamente, em assegurar o desenvolvimento e o funcionamento da união aduaneira através de uma colaboração estreita das administrações aduaneiras, os Governos da Bélgica, República Federal da Alemanha, França, Itália, Luxemburgo e Países Baixos assinaram em Roma, em 7 de Setembro de 1967, a CONVENÇÃO PARA ASSISTÊNCIA MÚTUA ENTRE AS RESPECTIVAS ADMINISTRAÇÕES ADUANEIRAS.
O artigo 9º prevê a comunicação de informações respeitantes às infracções às leis aduaneiras, e o artigo 10º dispõe que as administrações aduaneiras adoptarão disposições que permitam que os serviços de investigação estejam em contacto directo, por forma a facilitar, através de troca de informações, a prevenção, a investigação e a repressão das infracções às leis aduaneiras.
As informações, comunicações e documentos obtidos só poderão ser utilizados para os fins da Convenção, não podendo, em princípio, ser transmitidos a outras pessoas, para além das autorizadas a utilizá-los para esses fins.
A presente Convenção, incluindo o Protocolo Adicional e o Protocolo de Adesão da Grécia, foi aprovada, para adesão, pelo Decreto nº 40/93, de 4 de Novembro.
7.2. Antes de nos debruçarmos sobre a Convenção acerca da qual este parecer foi solicitado, interessará ainda referenciar o Decreto Regulamentar nº 22/95, de 23 de Agosto (11), publicado ao abrigo do disposto no artigo 44º da Lei nº 10/91.
7.2.1. A Direcção-Geral das Alfândegas (DGA) dispõe de uma base de dados no âmbito do Sistema Integrado de Informação Aduaneira Antifraude (SIIAF/DGA), que tem por finalidade organizar e manter actualizada a informação necessária ao exercício das suas competências (artigo 1º).
A recolha de dados para tratamento automatizado no âmbito do SIIAF/DGA deve limitar-se ao estritamento necessário à prevenção de um perigo concreto ou à repressão de um ilícito determinado, no quadro das atribuições a que se refere o nº 2 do artigo 1º, não podendo os dados recolhidos ser utilizados para outros fins (artigo 2º, nº 1).
7.2.2. «O SIIAF/DGA dispõe de ficheiros constituídos por dados pessoais e dados relativos a bens jurídicos, integrando informação no âmbito das atribuições que a lei lhe comete, sobre:
a) Identificação de pessoas singulares ou colectivas, no que concerne à suspeita da prática ou à prática do tráfico ilícito de estupefacientes e de substâncias psicotrópicas ou de qualquer ilícito fiscal-aduaneiro;
b) Locais, meios de transporte e mercadorias directa ou indirectamente relacionados com a suspeita ou prática de tráfico ilícito de estupefacientes e de substâncias psicotrópicas ou de qualquer ilícito fiscal-aduaneiro» (artigo 2º, nº 3)
Dispõe o artigo 3º:
«1 - Os dados pessoais recolhidos para tratamento automatizado, no âmbito do SIIAF/DGA, são:
a) O nome, a data de nascimento, o estado civil, a filiação, a naturalidade, o sexo, o pseudónimo, a alcunha, os sinais físicos particulares objectivos e inalteráveis, o número, o local e a data da emissão dos documentos de identificação, a residência, a actividade profissional, a situação domiciliária e o motivo pelo qual a pessoa em causa se encontra assinalada;
b) As decisões judiciais ou administrativas proferidas em processo crime ou contra-ordenacional que, por força de lei, sejam comunicadas à DGA.
2 - Para além dos dados previstos no número anterior, relativamente a pessoas colectivas ou entidades equiparadas, são ainda recolhidos o nome, a firma ou denominação, o domicílio, o endereço, o número de identificação de pessoa colectiva ou número de contribuinte, a natureza, o início e o termo da actividade».
7.2.3. Os dados devem ser exactos, pertinentes, não exceder a finalidade determinante da sua recolha e, quando aplicável, actuais (artigo 4º, nº 1).
Os dados pessoais podem ser comunicados a forças de segurança ou serviços públicos nacionais, comunitários e internacionais, nos termos precisados no artigo 6º.
Os artigos 9º, 10º, 11º e 12º regem, respectivamente, sobre conservação, direito à informação, correcção de eventuais inexactidões e segurança da informação; finalmente, o artigo 14º obriga a sigilo profissional aquele que, no exercício das suas funções, tome conhecimento de dados pessoais registados nas bases de dados previstas no diploma.
8
A CONVENÇÃO SOBRE A UTILIZAÇÃO DA INFORMÁTICA NO DOMÍNIO ADUANEIRO, assinada em Bruxelas em 26 de Julho de 1995, foi elaborada com base no artigo K.3 do Tratado da União Europeia (cfr. ponto 6.1.).
8.1. Reza assim o seu Preâmbulo:
«REFERINDO-SE ao Acto do Conselho da Europa, de 26/07/95,
RECORDANDO os compromissos constantes da Convenção sobre a prestação de assistência mútua pelas autoridades aduaneiras, celebrada em Roma, em 7 de Setembro de 1967,
CONSIDERANDO que as administração aduaneiras são responsáveis, em conjunto com outras autoridades competentes, nas fronteiras externas da Comunidade e dentro dos seus limites territoriais, pela prevenção, investigação e repressão de infracções, não apenas às normas comunitárias, mas também à legislação nacional, especialmente a que se encontra abrangida pelos artigos 36º e 223º do Tratado que institui a Comunidade Europeia,
CONSIDERANDO que tendência crescente para o tráfico ilícito de todos os tipos, constitui uma séria ameaça à saúde, moralidade e segurança públicas;
CIENTES da necessidade de reforçar a cooperação entre as administrações aduaneiras através do estabelecimento de sistemas no âmbito dos quais estas possam actuar em conjunto e proceder ao intercâmbio de dados de carácter pessoal, e de outros dados relacionados com todas as actividades de tráfico ilícito, utilizando novas tecnologias na gestão e transmissão dessas informações, sob reserva do disposto na Convenção do Conselho da Europa para a Protecção dos Indivíduos relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal, celebrada em Estrasburgo, em 28 de Janeiro de 1981;
TENDO EM CONTA que as administrações aduaneiras, no seu trabalho quotidiano, têm de pôr em prática disposições comunitárias e não comunitárias, e de que existe, por conseguinte, a óbvia necessidade de assegurar uma evolução tanto quanto possível paralela das disposições sobre assistência mútua e cooperação administrativa em ambos os sectores».
8.1.1. Como se viu, a cooperação aduaneira é um dos domínios que os Estados-membros consideram como questão de interesse comum, acerca do qual, portanto, devem informar-se e consultar-se mutuamente e instituir uma colaboração entre os competentes serviços, podendo, nomeadamente, elaborar convenções (artigos K.1 e K.3).
A Convenção assinada em Roma, em 7 de Setembro de 1967 (cfr. ponto 7.1.), traduzia já a preocupação em assegurar o desenvolvimento e o funcionamento de uma união aduaneira através de uma colaboração estreita das administrações aduaneiras.
Volvidos cerca de 30 anos, e face ao grande incremento de certas formas graves de criminalidade internacional, e a consequente necessidade da sua prevenção, investigação e repressão, não surpreende que se tenha feita sentir, de forma ainda mais imperiosa, a indispensabilidade de reforçar a cooperação entre as administrações aduaneiras, através, nomeadamente, do intercâmbio de dados de carácter pessoal, e de outros dados relacionados com as actividades de tráfico ilícito.
Esta foi a intencionalidade que presidiu à elaboração da Convenção (cujo objecto e fim se mostram, sem dúvida, conformes com a orientação do nosso direito interno), como ressalta claro do preâmbulo transcrito e a que também dá corpo o respectivo articulado.
Articulado que não nos propomos transcrever na íntegra, dele fazendo tão-só ressaltar, em breve resenha, os tópicos fundamentais, com o propósito de detectar eventual conflito com o ordenamento jurídico português.
Conflito que, adiante-se desde já, não vislumbramos.
8.2. As administrações aduaneiras dos Estados-membros criarão e manterão um sistema comum de informação automatizado para fins aduaneiros - SISTEMA DE INFORMAÇÃO ADUANEIRA (SIA) -, cujo objectivo consiste em prestar assistência na prevenção, investigação e repressão de infracções graves à legislação nacional, aumentando, através da rápida divulgação de informações, a eficácia dos processos de cooperação e de controlo das administrações aduaneiras (artigo 2º); a nível nacional será responsável pelo SIA a autoridade aduaneira que for designada pelo respectivo Estado, o qual suportará os custos relacionados com o funcionamento e utilização do sistema no seu território (artigos 10º e 22º).
8.3. O SIA é composto por uma base de dados central acessível através de terminais instalados em cada Estado-membro, e incluirá exclusivamente os dados necessários ao cumprimento do objectivo definido no artigo 2º, nº 2 (compreendendo dados de carácter pessoal), relativos às seguintes categorias:
«i) Mercadorias;
ii) Meios de transporte;
iii) Actividades comerciais e empresariais;
iv) Pessoas;
v) Tendências da fraude;
vI) Conhecimentos especializados disponíveis» (artigo 3º, nº 1).
Das referidas categorias V) e VI) não devem, em caso algum, constar dados de carácter pessoal; os elementos a incluir nas categorias i) a IV), no que respeita a dados de carácter pessoal, deverão indicar apenas:
«i) Apelido, apelido de solteiro(a), nome próprio e pseudónimos;
ii) Data e local de nascimento;
iii) Nacionalidade;
iv) Sexo;
v) Sinais particulares, objectivos e permanentes;
vi) Razão para a introdução dos dados;
vii) Acção proposta;
viii) Código de aviso prevenindo do facto de a pessoa já ter sido portadora de uma arma, ser violenta ou ser procurada pelas autoridades.
«Não serão, em caso algum, incluídos os dados de carácter pessoal enumerados na primeira frase do artigo 6º da Convenção do Conselho da Europa ...» (artigo 4º) (12).
Segundo o artigo 5º:
«1. Os dados das categorias i) a iv) do artigo 3º serão incluídos no Sistema de Informação Aduaneira unicamente para efeitos de observação e informação, vigilância discreta ou controlos específicos.
2. Para efeitos das acções propostas a que se refere o nº 1, os dados pessoais abrangidos por qualquer das categorias i) a iv) do artigo 3º apenas podem ser incluídos no Sistema de Informação Aduaneira se, especialmente com base em antecedentes de actividades ilegais, existirem razões concretas para crer que a pessoa em questão cometeu, está a cometer, ou virá a cometer, infracções graves à legislação nacional» (13).
8.4. O acesso directo aos dados existentes no SIA será reservado exclusivamente às autoridades nacionais designadas por cada Estado, que também deverá referir os dados a que a autoridade poderá ter acesso, e com que finalidade; todavia, os Estados-membros podem, por acordo unânime, permitir o acesso de organizações internacionais ou regionais ao Sistema (artigo 7º).
Os dados só poderão, em princípio, ser utilizados para a realização do objectivo definido no artigo 2º, nº 2, assegurando os Estados que será considerada ilegal a utilização de dados de carácter pessoal para fins diferentes desse mesmo objectivo (artigos 8º, nº 1, e 14º, nº 1); a introdução de dados e a sua utilização reger-se-ão pelas disposições legislativas, regulamentares e processuais do Estado-membro (fornecedor ou utilizador), e o direito de acesso pelas do Estado-membro em que o direito seja invocado (artigos 9º e 25º).
8.5. Só o Estado-membro fornecedor terá o direito de alterar, completar, corrigir ou suprimir dados que tenha introduzido no SIA; se um Estado-membro fornecedor verificar ou for informado de que os dados que introduziu são factualmente incorrectos ou foram introduzidos ou armazenados em violação do disposto na Convenção, deve alterar, completar, corrigir ou suprimir os referidos dados, consoante o caso, e informar desse facto os restantes Estados-membros (artigo 11º, nºs. 1 e 2).
Os dados inseridos no SIA serão conservados apenas durante o tempo necessário para atingir o fim para o qual foram introduzidos, devendo o Estado fornecedor examinar, pelo menos anualmente, a necessidade da sua conservação e podendo, durante o período de exame, decidir conservá-los até ao exame seguinte, se essa conservação for necessária para os fins que levaram à sua introdução (artigo 12º, nºs. 1 e 2).
8.6. O Capítulo VI (artigos 13º a 15º) é dedicado à protecção de dados de carácter pessoal - os Estados-membros que pretendam receber do SIA ou nele introduzir dados de carácter pessoal, adoptarão, o mais tardar até à data da entrada em vigor da Convenção, a legislação nacional necessária para garantir um nível de protecção dos dados de carácter pessoal pelo menos igual ao nível resultante dos princípios da Convenção de Estrasburgo de 1981; o SIA será considerado em cada Estado-membro como um ficheiro nacional de dados (artigo 13º, nºs. 1 e 3).
Nos Estados-membros, qualquer pessoa pode exigir, nos termos das respectivas disposições legislativas, regulamentares e processuais, a correcção ou supressão dos dados de carácter pessoal referentes a si própria, se esses dados forem factualmente incorrectos, ou se tiverem sido introduzidos ou estiverem armazenados no SIA em violação do objectivo constante do nº 2 do artigo 2º ou do disposto no artigo 5º da Convenção de Estrasburgo de 1981 (artigo 15º, nº 3).
8.7. O artigo 16º, nº 1, prevê a criação de um Comité composto por representantes das autoridades aduaneiras dos Estados-membros, responsável nos termos definidos no nº 2, e que deverá apresentar anualmente ao Conselho um relatório sobre a eficácia e o correcto funcionamento do SIA, formulando recomendações, caso seja necessário.
Cada Estado-membro designará uma ou várias autoridades nacionais de controlo responsáveis pela protecção dos dados de carácter pessoal para procederem a uma supervisão independente desses dados do SIA (artigo 17º, nº 1), sendo criada uma Autoridade Supervisora Comum, com as competências definidas no nº 3 do artigo 18º.
8.8. Serão adoptadas todas as medidas administrativas necessárias à manutenção da segurança do SIA, pelas quais é responsável a autoridade aduaneira referida no artigo 10º (artigos 19º e 20º).
Refira-se, por último, que cada Estado-membro é responsável pela exactidão, actualidade e legalidade dos dados que introduza no SIA, bem como pelo cumprimento do disposto no artigo 5º da Convenção de Estrasburgo de 1981 (artigo 21º), prescrevendo ainda o artigo 23º que as informações prestadas nos termos da Convenção serão objecto de um intercâmbio directo entre as autoridades dos Estados-membros.
8.9. Logo no início desta sucinta abordagem do articulado da Convenção, advertimos que ele não se afigurava susceptível de um juízo de desconformidade com o nosso ordenamento constitucional e infraconstitucional.
É este, com efeito, o nosso entendimento, já que a Convenção - em muitas disposições seguindo, de muito perto, os instrumentos convencionais que tivemos oportunidade de referenciar - teve o «cuidado» de disciplinar, por vezes com grande minúcia, a matéria sobre que versa, mormente no tocante ao tratamento dos dados de carácter pessoal, «consciente» de que os sistemas de tratamento de dados estão ao serviço do Homem, devendo respeitar as liberdades e os direitos fundamentais das pessoas.
Assim, e nomeadamente:
- a definição rigorosa da «qualidade» dos dados, e a disciplina (rígida) no tocante à sua recolha, introdução no Sistema e utilização;
- o acesso aos dados em termos bem precisos, e com limites estabelecidos;
- disposições específicas sobre alteração, conservação e protecção de dados;
- a previsão de medidas para a segurança do Sistema, e a criação de uma Autoridade Supervisora Comum;
- medidas de cancelamento e rectificação de dados; enfim,
- a instituição de medidas de tutela jurisdicional e a imposição de responsabilidades e obrigações aos Estados-membros.
9
Em face do exposto, conclui-se:
A «Convenção Sobre a Utilização da Informática no Domínio Aduaneiro», elaborada com base no artigo K.3 do Tratado da União Europeia, e assinada em Bruxelas em 26 de Julho de 1995, não suscita juízos de desconformidade com a ordem jurídica portuguesa, nos planos constitucional e infraconstitucional.
__________________________________________
1) Para maiores desenvolvimentos veja-se o parecer nº 23/95, de 8/6/95, e de José Augusto Garcia Marques: "Informática e Liberdades, Alguns subsídios Complementares", separata da revista do Ministério Público, nº 27, Lisboa, 1986; "Informática e Vida Privada", separata do Boletim do Ministério da Justiça, nº 373; "Legislar sobre Protecção de Dados Pessoais em Portugal, do artigo 35º da Constituição à Lei nº 10/91, de 29 de Abril", Legislação, Cadernos de Ciência e Legislação, INA, nº 8, Dezembro de 1993, págs. 37 a 64; "A Lei nº 10/91, de 29 de Abril - Lei Protecção de Dados Pessoais Face à Informática", Colóquo Informático e Tribunais, Bases de Dados Administrativos e Jurídicos", separata do BMJ, nºs 47 e 48, Lisboa, 1991, págs. 331 a 422; "A Propósito da Protecção de Dados Pessoais face à Informática: Três situações Hipotéticas", Lisboa, 1995.
2) A Lei nº 28/94, de 29 de Agosto, aprovou medidas de reforço da protecção de dados pessoais, dando nova redacção aos artigos 11º, 17º, 24º, 33º e 44º da Lei nº 10/91.
3) Redacção da Lei nº 28/94.
4) Redacção da Lei nº 28/84.
5) Cfr. Rectificação nº 10/93, DR, I Série-A, nº 195, de 20/8/93.
6) A Convenção em apreço foi apreciada pelos pareceres deste corpo consultivo nº 202/80, de 27/2/81, e nº 202/80-Comp., de 9/10/86.
7) Pense-se, também, na INTERPOL e no Grupo TREVI.
8) Os Acordos Relativos à Supressão Gradual dos Controlos nas Fronteiras Comuns e de Adesão à Convenção de Aplicação (assinados em Schengen a 14/6/85 e 19/6/90, respectivamente) foram aprovados para adesão pela Resolução da AR nº 35/93, e ratificados por Decreto do PR nº 55/93, ambos de 25/11/93.
9) A Lei nº 2/94, de 19 de Fevereiro, estabeleceu os mecanismos de controlo e fiscalização do SIS, e o Decreto-Lei nº 292/94, de 16 de Novembro, criou o Gabinete Nacional SIRENE.
10) Jornal Oficial das Comunidades Europeias, L281, 38º ano, de 23/11/95.
11) Cfr., também, o Decreto Regulamentar nº 27/93, de 3 de Setembro (funcionamento das bases de dados sobre pessoas colectivas e entidades equiparadas), e nºs 2/95, de 25 de Janeiro, 4/95, e 5/95, ambos de 31 de Janeiro (manutenção de uma base de dados pessoais pela Guarda Nacional Republicana, pelo Serviço de Estrangeiros e Fronteiras, e pela Polícia de Segurança Pública, respectivamente).
12) Veja-se a similitude com o artigo 94º da Convenção de Schengen(cfr. ponto 4.2.2.); cfr., também, os artigos 8º, nº 2, da Convenção Europol (ponto 6.2.2.), e 3º do Decreto Regulamentar nº 22/95 (ponto 7.2.2.).
13) Cfr. artigo 15º, nº 2.
Lisboa, 20 de Novembro de 1996
O Procurador-Geral Adjunto,
(Fernando João Ferreira Ramos)