Segurana da Informao, Proteco da Privacidade e dos Dados Pessoais

Ana Vaz
Administradora da Empresa de Gesto Partilhada de Recursos da Administrao Pblica (GeRAP)

Resumo As tecnologias da informao conheceram grande desenvolvimento nas ltimas dcadas, com particular nfase j no incio do sculo XXI, tornando cada vez mais imperiosa a necessidade de se proteger a informao para que a sua utilizao abusiva no venha a servir interesses ilegtimos e atentatrios dos direitos, liberdades e garantias dos cidados. Diversas instituies como a Unio Europeia, o Conselho da Europa, a OCDE e as Naes Unidas iniciaram e intensificaram o estudo e divulgao de instrumentos que consagram princpios de segurana da informao e de proteco da privacidade, tendo em vista prevenir a ilegtima utilizao das tecnologias da informao. O presente artigo estuda os instrumentos mais recentes que cobrem estas reas, com especial nfase no que respeita a Portugal. Este artigo visa reflectir sobre a questo da definio dos limites para a proteco da privacidade face necessidade de utilizao da informao de carcter pessoal a fim de garantir a segurana dos Estados e consequentemente das pessoas: o respeito pelo princpio da proporcionalidade poder ser a chave do problema.

Abstract Information Security, Privacy Policy and Personal Data Protection The information technologies have developed significantly in the past decades, especially since the beginning of the 21st century. However, it is necessary to make sure that the information is used properly, without risking serving illegitimate interests or questioning the rights, liberties and guarantees of citizens. Several institutions, such as the EU, the Council of Europe, the OSCD and the United Nations have already started studying and developing the tools to assure a balance between information security rights and privacy policy, in order to prevent the illegitimate use of these technologies. This article analyses the more recent tools, especially on what concerns the Portuguese case. This article reflects on the definition of the limits to protect privacy when what is at stake are the states (and people) security. Our conclusion tends to advise to apply the proportionality principle, in order to get a balanced solution.

Vero 2007 N. 117 - 3. Srie pp. 35-63

35

Segurana da Informao, Proteco da Privacidade e dos Dados Pessoais 1. Introduo Portugal, tal como os restantes Estados-Membros da Unio Europeia e os demais pases democrticos, defende os valores da democracia e do respeito pelos direitos humanos. S possvel beneficiar de liberdade e de justia num ambiente de segurana, tal como previsto no art. 28 da Declarao Universal dos Direitos do Homem, de 10 de Dezembro de 1948: Toda a pessoa tem direito a que reine, no plano social e no plano internacional, uma ordem capaz de tornar plenamente efectivos os direitos e as liberdades enunciados na presente Declarao. Tambm a Constituio da Republica Portuguesa, no seu artigo 273, mostra preocupao pela segurana das pessoas nos seguintes termos: 1. obrigao do Estado assegurar a defesa nacional. 2. A defesa nacional tem por objectivos garantir, no respeito da ordem constitucional, das instituies democrticas e das convenes internacionais, a independncia nacional, a integridade do territrio e a liberdade e a segurana das populaes contra qualquer agresso ou ameaa externas. A defesa nacional abrange tambm, como se v, a segurana das pessoas que tem naturalmente a ver com a defesa dos seus direitos, liberdades e garantias a que se referem os artigos 2, 18 e 19 da Constituio da Repblica Portuguesa: a se define a Repblica Portuguesa como um Estado de Direito Democrtico em que se garantem os direitos e liberdades fundamentais, s limitados em caso de estado de stio ou de emergncia. Por isso, os objectivos estratgicos da segurana e defesa nacional so a independncia nacional, a integridade do territrio e a segurana e liberdade dos cidados.1 A defesa dos direitos fundamentais envolve tambm a proteco da privacidade, preocupao constitucional quando se prev que todos tm direito reserva da intimidade da vida privada e sua imagem.

1 Lei de Defesa Nacional e das Foras Armadas Lei n 29/82, de 11 de Dezembro. A segurana nacional define-se como a condio da nao que se traduz pela permanente garantia da sua sobrevivncia em paz e liberdade; assegurando a soberania, independncia e unidade, a integridade do territrio, a salvaguarda colectiva de pessoas e dos valores espirituais, o desenvolvimento normal das tarefas do estado, a liberdade de aco poltica dos rgos de soberania e o pleno funcionamento das instituies democrticas.(Instituto da Defesa Nacional).

37

Ana Vaz A liberdade tem pois, como pressuposto necessrio, tanto o direito segurana como o reconhecimento de direitos fundamentais. Se bem que no mundo actual se tenham atenuado as tradicionais ameaas de cariz militar, surgem agora novos riscos e ameaas potenciais de que so exemplo os trgicos acontecimentos do 11 de Setembro, em Nova Iorque, bem como os de Londres e Madrid. Assim, foi alterada a situao poltico-estratgica internacional, criando-se novos desafios no contexto internacional e eliminando-se fronteiras definidas, o que leva a falar mesmo em riscos multifacetados e multidimensionais. 2 Aos Estados cabe resolver o problema das ameaas segurana dos cidados, protegendo-os inclusive da criminalidade organizada, mesmo a transnacional, sem deixar ao mesmo tempo de prover a que os dados pessoais no sejam utilizados indevidamente, nem a privacidade das pessoas injustificadamente atingida. A necessidade de proteco da privacidade e dos dados pessoais conheceu notvel agravamento pelo facto de as tecnologias da informao terem registado grande desenvolvimento nas ltimas dcadas, com particular nfase j no incio do sculo XXI, tornando cada vez mais imperiosa a necessidade de se proteger a informao para que a sua utilizao abusiva no venha a servir interesses ilegtimos e atentatrios dos direitos, liberdades e garantias dos cidados. De facto, estas novas tecnologias, sendo dinamizadoras de desenvolvimento, segurana e bem-estar, vieram tambm a revelar-se como potencialmente atentatrias do direito privacidade de cada indivduo, uma vez que permitem conhecer e divulgar os movimentos das pessoas, os seus gostos, as suas caractersticas e at a sua sade fsica e mental. A segurana e a privacidade so assim valores que devem estar associados utilizao dos sistemas de informao uma vez que nestes sistemas que se baseiam as actividades dos Estados, das instituies, das empresas e dos cidados. Diversas instituies como a Unio Europeia, o Conselho da Europa, a OCDE e as Naes Unidas iniciaram e intensificaram o estudo e divulgao de instrumentos que consagram princpios de segurana da informao e de proteco da privacidade, tendo em vista prevenir a ilegtima utilizao das tecnologias da informao. A Internet comeou por ser um meio de comunicao livre em que no havia interferncia por parte dos governos e a liberdade de expresso e a privacidade eram garantidas. Hoje a Internet o suporte de infra-estruturas vitais como as da segurana,
2 Conceito Estratgico de Defesa Nacional RCM n 6/2003.

38

Segurana da Informao, Proteco da Privacidade e dos Dados Pessoais energia, transportes e actividades financeiras, e como tal, alvo de ameaas liberdade dos cidados e segurana dos Estados trazendo ribalta questes sobre a privacidade que antes no eram importantes. Pretende-se efectuar uma anlise do tema, a partir dos estudos e instrumentos regulamentadores no mbito nacional, comunitrio e internacional e reflectir sobre a questo da definio dos limites para a proteco da privacidade face necessidade de utilizao da informao de carcter pessoal para finalidades que podem ser consideradas com um valor objectivamente maior, como o caso da segurana dos Estados e consequentemente das pessoas. No desenvolvimento so analisadas as ameaas que impendem sobre a segurana da informao e sobre a defesa da privacidade, bem como as correspondentes medidas de proteco e o estabelecimento do necessrio equilbrio entre a segurana da informao e a proteco da privacidade e dos dados pessoais. Para tanto, estudam-se os instrumentos mais recentes que cobrem estas reas, com especial enfoque para Portugal, sempre com a preocupao de pr em evidncia o estado da arte do tema objecto deste trabalho. Visa-se efectuar uma reflexo que relacione a segurana da informao com a proteco da privacidade e dos dados pessoais, salientando aspectos que evidenciem o indispensvel equilbrio entre os dois temas objecto deste artigo, e sugerindo mais adequada divulgao e consciencializao dos direitos fundamentais e dos riscos em que a sociedade globalizada os faz incorrer.

2 . Segurana da Informao A informao um recurso que tem valor essencial para as organizaes, incluindo-se nesta acepo os Estados: um valor decisivo e fundamental nos dias em que vivemos e assume um aspecto relevante na segurana e defesa das naes. Qualquer interrupo de servio pblico, utilizao indevida de informao classificada ou destruio de dados de cariz importante pode pr em causa a confiana dos cidados e os interesses e at a prpria soberania dos Estados. Em contrapartida os sistemas de segurana da informao devem tambm ter em conta as ameaas que hoje se colocam s liberdades individuais, proteco dos dados pessoais e consequentemente privacidade. Face aos desenvolvimentos das tecnologias atrs salientados, os problemas da segurana da informao dizem hoje sobretudo respeito proteco da informao

39

Ana Vaz armazenada, processada ou transmitida sob forma electrnica, contra ameaas deliberadas ou acidentais.3 As mudanas tecnolgicas das ltimas dcadas vieram dar importncia crescente informao, quer ela seja utilizada a nvel pessoal, quer nas organizaes ou nos Estados. nestes nveis que se deve ponderar a exigncia de segurana e o seu impacto nos sistemas de Segurana e Defesa. A informao crucial nos mbitos poltico, social e econmico e da a sua importncia crescente no sector de Defesa, quer entendida em sentido lato4 quer no sentido restrito de cariz militar. Ao Estado Portugus cabe garantir em todos os momentos a funcionalidade dos sistemas vitais de segurana nacional, nomeadamente as redes de energia, comunicaes, transportes, abastecimentos e informao.5 Haver ainda que ter em conta no s os Sistemas de Informao em geral mas tambm, em particular, os sistemas de Informaes (intelligence) definindo-se estes como os sistemas que processam informao classificada, isto , de acesso restrito a pessoas credenciadas para o efeito. Um sistema de informao considerado seguro se reunir as seguintes caractersticas: Confidencialidade, no sentido de permitir o acesso apenas a utilizadores autorizados; Integridade, ou seja, a garantia de que a informao a correcta; Disponibilidade, o que significa a possibilidade de utilizar a informao quando ela necessria. Na base dos sistemas de informao relevam actualmente os sistemas informticos, pelo que a segurana informtica assume particular importncia visando salvaguardar a sua integridade funcional e prevenir a divulgao, distoro ou destruio ilcita de

3 Comisso Europeia, Livro Verde sobre a segurana dos sistemas de informao, 1994. 4 Por Defesa Nacional entende-se o conjunto de medidas, tanto de carcter militar como poltico, econmico, social e cultural que, adequadamente integradas e coordenadas, e desenvolvidas global e sectorialmente, permitem reforar as potencialidades da nao e minimizar as suas vulnerabilidades, com vista a torn-la apta a enfrentar todo o tipo de ameaas que, directa ou indirectamente, possam pr em causa a segurana nacional (IDN). 5 Resoluo do Conselho de Ministros n 6/2003 que aprova o Conceito Estratgico de Defesa Nacional.

40

Segurana da Informao, Proteco da Privacidade e dos Dados Pessoais informao, fazendo apelo utilizao de tcnicas fsicas e lgicas, tendo em conta as caractersticas do hardware, do software, das instalaes e dos procedimentos. Pensando hoje numa sociedade global h que tomar medidas a nvel internacional que incluam organizaes, Estados e tambm empresas privadas, para que seja possvel a partilha de informao e o seu tratamento de acordo com critrios estabelecidos e aceites por todos. A Organizao das Naes Unidas estabeleceu o dia 17 de Maio como dia Mundial da Sociedade da Informao que, em 2006, foi dedicado promoo da cibersegurana. Nas comemoraes deste dia o Secretrio-Geral das Naes Unidas, Kofi Annan, salientou que num mundo crescentemente interligado e em rede, defender os nossos sistemas e infra-estruturas vitais contra o ataque de cibercriminosos e ao mesmo tempo promover a confiana em transaces electrnicas assume uma importncia crtica, para promover as trocas, o comrcio, as relaes bancrias, a telemedicina, a administrao pblica electrnica e outras aplicaes electrnicas. O Conselho da Europa, reconhecendo a importncia de responder ao desafio da criminalidade informtica que, na grande maioria das vezes, tem um carcter transfronteirio, desenvolveu esforos no sentido de harmonizar as legislaes e prticas a nvel internacional. Em consequncia, aprovou em 1989 a Recomendao n R(89)9 sobre a criminalidade relacionada com os computadores. Tambm a Organizao de Cooperao e de Desenvolvimento Econmico (OCDE), que, em 1992, tinha estabelecido linhas directrizes para a segurana dos sistemas de informao, face ao desenvolvimento que estes sistemas sofreram, procedeu sua reanlise em 1997. Para tanto incumbiu um Grupo de Trabalho6 de estudar a nova situao face ao aumento crescente de ameaas, designadamente a tragdia do 11 de Setembro e, em 25 de Julho de 2002, o Conselho da OCDE aprovou novas Linhas Directrizes para a Segurana dos Sistemas de Informao e das Redes. No mbito da Unio Europeia, foi criada, em 2004, a Agncia Europeia para a Segurana das Redes e da Informao7 com o objectivo primordial de reforar a capacidade dos Estados-Membros na rea da preveno, tratamento e resposta aos problemas de segurana da informao e das redes. Por sua vez, tambm a International Standardization Organization (ISO) revelou preocupao em definir normas para os padres de segurana, destacando-se a ISO
6 Grupo sobre a segurana da informao e a vida privada do Comit de Poltica da Informao, da Informtica e das Comunicaes (PIIC) da OCDE. 7 Regulamento (CE) n. 460/2004, de 10 de Maro de 2004.

41

Ana Vaz 17799:20008 que trata aspectos como a poltica de segurana, a segurana da organizao, a segurana pessoal, fsica e ambiental, o controlo de acessos e o desenvolvimento de sistemas e manuteno, e a ISO 154439 mais dirigida para a segurana na informtica. Tambm em Portugal houve a preocupao de definir normas de segurana, designadamente para informao reservada, para que os tratamentos automatizados estejam em conformidade com a classificao de segurana, tendo em vista a defesa do Estado e de organizaes de que Portugal faa parte, como sejam: SEGNAC 1 Instrues para a Segurana Nacional, Salvaguarda e Defesa das Matrias Classificadas com normas de segurana informtica dirigidas a elementos da Administrao Pblica;10 SEGNAC 2 Normas para a Segurana Nacional, Salvaguarda e Defesa das Matrias Classificadas: Segurana Industrial, Tecnolgica e de Investigao;11 SEGNAC 3 Instrues para a segurana Nacional: Segurana das Telecomunicaes;12 SEGNAC 4 Normas para a Segurana Nacional, Salvaguarda e Defesa das Matrias Classificadas: Segurana Informtica.13 Os programas de computador, tal como os documentos, devem ser classificados, segundo critrios estabelecidos, em Muito Secreto, Secreto, Confidencial ou Reservado, e esta uma responsabilidade atribuda aos directores de empresas, organismos e servios. Os documentos classificados de Muito Secreto e Secreto s podem ser objecto de tratamento informtico se a entidade que lhes deu origem no se opuser. Para garantir a segurana das matrias classificadas, foi criada a Autoridade Nacional de Segurana, no mbito da Organizao do Tratado do Atlntico Norte (OTAN). O Instituto de Informtica do Ministrio das Finanas e a Autoridade Nacional de Segurana publicaram, em 1995, o Manual Tcnico de Segurana dos Sistemas e Tecnologias de Informao que rene os princpios de segurana da informao a ter

8 9 10 11 12 13

ISO 17799:2000 Code of Practise for Information Security Management. ISO 15443 Information Technology Security Techniques. Resoluo do Conselho de Ministros n. 50/88, de 3 de Dezembro. Resoluo do Conselho de Ministros n. 37/89, de 24 de Outubro. Resoluo do Conselho de Ministros n. 16/94, de 22 de Maro. Resoluo do Conselho de Ministros n. 5/90, de 28 de Fevereiro.

42

Segurana da Informao, Proteco da Privacidade e dos Dados Pessoais em conta pelos responsveis dos sistemas informticos, quer da Administrao do Estado, quer de organizaes privadas. Pelo Decreto-lei n 217/97, de 20 de Agosto, o servio do Ministrio da Defesa Nacional designado por Autoridade Nacional de Segurana passou a designar-se por Gabinete Nacional de Segurana. Entre as suas competncias cabe salientar a de inspeccionar periodicamente os rgos de segurana com vista a verificar o cumprimento de disposies de segurana, designadamente das comunicaes, da informtica e dos sistemas de informao. 2.1 Ameaas segurana da informao Face sua crucial importncia, a informao e o saber passaram tambm a ser parte nevrlgica dos conflitos actuais, chegando mesmo a falar-se em Guerra de Informao que enquadra aspectos de segurana que devem preservar os interesses de cidados, Estados e organizaes nacionais e supranacionais de interesse pblico, contra aces que os pretendam prejudicar, enquanto que, em sentido restrito, corresponde utilizao da informao que apresente aspectos de conflitual idade entre actores da sociedade.14 A Guerra do Golfo foi considerada a primeira guerra da Era da Informao. A transmisso de dados atravs da Internet j essencial para a vida em sociedade mas apresenta uma grande vulnerabilidade porque existem mltiplas hipteses de actuao de hackers e crackers para atacarem deliberadamente os sistemas informticos. Por vezes actuam por conta prpria e noutras situaes enquadrados em organizaes terroristas. A forma de comunicao possibilitada pelo uso da Internet faz desta um novo Teatro de Guerra, como referiu o General Loureiro dos Santos no mbito de conferncia ao Curso de Defesa Nacional de 2005/2006, altura em que tambm salientou que a Internet a grande madrassa da guerra santa, pois os ensinamentos e comando de operaes terroristas so feitos atravs dela. As ameaas segurana da informao visam desencadear um incidente que venha a provocar danos num sistema de informao ou entidade e podem ser deliberadas ou involuntrias, de natureza fsica ou lgica.

14 Dinis, Jos Antnio Rodrigues, Guerra de Informao, edio Silabo, 2005.

43

Ana Vaz A informao est armazenada em suportes: edifcios, cofres de segurana, dispositivos electrnicos. Todos estes suportes podem estar sujeitos a ameaas fsicas tanto naturais (terramotos, inundaes, incndios), como por aco humana (fogo posto, bombardeamentos, disseminao de gases, cortes nas redes de abastecimento pblico). De entre as ameaas lgicas relevam o acesso e utilizao ilegtima da informao, a intercepo de comunicaes e outras aces criminosas, tais como a fraude informtica, a falsidade informtica, a espionagem informtica, danos em dados ou programas, sabotagem informtica, acesso ilegtimo a dados ou programas e a intercepo ilegtima. Uma das formas mais correntes de obter ilegitimamente segredos militares ou comerciais a intercepo de comunicaes. A ligao de sistemas de informaes Internet constituiu um factor de risco acrescido para a vulnerabilidade desses sistemas, uma vez que a comunicao pode ser mais facilmente interceptada e os dados desviados. 2.2 Proteco da segurana da informao Perante o elenco de ameaas enunciadas, os Estados e outras entidades tm vindo a preocupar-se com a adopo de medidas que permitam anular os efeitos das ameaas referidas e das agresses delas consequentes. Tal como as ameaas, tambm as medidas de proteco tm carcter fsico ou lgico a que se vo somar as medidas de carcter legislativo. As medidas de proteco fsicas devem incidir sobretudo nas instalaes dos sistemas informticos, incluindo os edifcios e equipamentos em que esto sedeados. As medidas de segurana lgica tm particularmente a ver com a segurana dos dados, dos programas e das redes. Das vrias medidas que tm vindo a ser tomadas para defender sistemas de informao, figuram, entre as mais divulgadas, o uso de cdigos de acesso (passwords), de firewalls e de programas antivrus, cada vez mais sofisticados de harmonia com a importncia da informao cujo acesso se pretende proteger e a eventual permeabilidade a ataques de hackers e crackers. A SEGNAC 4 inclui um captulo dedicado segurana fsica das instalaes e um outro segurana lgica onde indica procedimentos de preveno para controlo lgico de acessos, tais como a utilizao de passwords e seu controlo posterior, bem como medidas a observar na recolha, tratamento e divulgao de resultados ou no desenvolvimento e aquisio de suportes lgicos. Outra das proteces tradicionais para evitar o conhecimento do contedo das mensagens transmitidas a utilizao da criptografia, disciplina que inclui os princpios,

44

Segurana da Informao, Proteco da Privacidade e dos Dados Pessoais meios e mtodos de transformao de dados, com a finalidade de ocultar o seu contedo: este torna-se ininteligvel, salvo para pessoas autorizadas. A OCDE, tendo em vista o uso seguro das tecnologias da informao para garantir a confidencialidade e integridade dos dados e especialmente a proteco da vida privada, elaborou as Linhas de Orientao para uma Poltica de Criptografia15 adoptadas pelo Conselho em 1997, e que visam, entre outros: Promover a utilizao da criptografia de forma a aumentar a confiana nas tecnologias e assim proteger a informao, designadamente os dados pessoais e consequentemente a vida privada; Tomar medidas para que a criptografia no ponha em risco a segurana pblica, o cumprimento das leis e a segurana nacional; Fomentar a existncia de polticas e legislaes compatveis e a troca de experincias entre os diversos Estados e organizaes. No domnio das comunicaes escritas essencial recorrer tambm assinatura electrnica,16 um meio criptogrfico de assegurar a integridade e a autenticidade dos documentos. As assinaturas electrnicas podem assumir vrias modalidades: biomtricas, quando se baseiam em caractersticas fsicas da pessoa; hologrficas, quando construdas a partir de caractersticas constantes da assinatura; ou digitais, quando so baseadas num sistema criptogrfico assimtrico constitudo por duas chaves, uma pblica e outra privada. Para que uma assinatura digital cumpra o objectivo previsto na legislao portuguesa deve ser fornecida por uma entidade certificadora. Estas entidades fazem acompanhar as assinaturas de um certificado digital que garante a titularidade da chave pblica e a data da sua validade. As entidades certificadoras so credenciadas na Unio Europeia por autoridades credenciadoras. Em Portugal, a autoridade credenciadora a Autoridade Nacional de Segurana.17 Em Portugal tem havido medidas para introduzir formas avanadas de segurana em sistemas de informao mais sensveis: existindo vrias entidades com atribuies no

15 Anexo Recomendao do Conselho da OCDE adoptada na 895 Sesso. 16 Seabra Lopes, Direito dos Registos e do Notariado, Almedina., 2005. 17 Decreto-Lei n 116-A/2006, de 16 de Junho.

45

Ana Vaz mbito da segurana, tais como as Foras Armadas, a Polcia de Segurana Pblica, a Guarda Nacional Republicana, a Polcia Judiciria, o Servio de Informaes de Segurana, a Direco-Geral dos Servios Prisionais, o Servio Nacional de Bombeiros e Proteco Civil, entre outros, foi sentida a necessidade de criar uma rede nacional nica, em tecnologia trunking digital, partilhada por estas foras e servios de segurana e emergncia. Assim, o Governo aprovou, em Maio de 2006, a adjudicao da parceria pblico-privada para o projecto SIRESP Sistema Integrado das Redes de Emergncia e Segurana de Portugal, que engloba servios especiais de telecomunicaes para garantir a eficcia dos sistemas de segurana, designadamente em situaes de crise, por ocorrncia de terramotos, incndios, atentados terroristas, etc. 2.3 Medidas legislativas de proteco da segurana da informao Atendendo importncia crescente dos sistemas informticos e das redes de comunicaes nos Estados e a preocupao com o nmero de violaes da sua segurana, tambm em crescimento, o Conselho da Unio Europeia e o Parlamento tm vindo a estabelecer um enquadramento jurdico que permita regulamentar a segurana dos sistemas informticos, designadamente das redes e dos servios de comunicaes. J em 1992, atendendo importncia crescente da informao nas actividades econmicas e sociais, o Conselho das Comunidades Europeias decidira adoptar um instrumento18 para enquadrar a aco no domnio da segurana dos sistemas de informao. No seguimento desta preocupao, foi aprovada, especificamente na rea das comunicaes electrnicas, a Directiva 2002/21/CE, de 7 de Maro de 2002, que define as atribuies de autoridades reguladoras nacionais de forma a garantir a harmonia e a coerncia das prticas dos diversos Estados-Membros em matria de redes e servios de comunicaes electrnicas. Foi tambm aprovada a Directiva 2002/58/CE de 17 de Julho de 2002, relativa ao tratamento de dados pessoais e proteco da privacidade no sector das comunicaes electrnicas, que enumera as condies em que os Estados-Membros podem restringir os direitos e obrigaes dos prestadores dos servios de comunicaes para salvaguardar a segurana nacional, a defesa, a segurana pblica no sentido de prevenir e investigar infraces penais ou a utilizao ilegtima das comunicaes electrnicas.
18 Deciso do Conselho 92/242/CEE, de 31 de Maro de 1992, no domnio da segurana dos sistemas de informao.

46

Segurana da Informao, Proteco da Privacidade e dos Dados Pessoais J a Conveno de Aplicao do Acordo de Schengen, de que Portugal parte contratante, indicou19 as medidas a tomar para garantir a segurana do Sistema de Informao Schengen relativas a controlo da entrada nas instalaes, controlo dos suportes de dados, controlo da insero, controlo da utilizao, controlo de acesso, controlo de transmisso, controlo da introduo, e controlo do transporte.20 No caso de transmisso de dados ou de servios situados fora dos territrios das partes contratantes devem ser tomadas medidas especficas para garantir a sua segurana. Face aos atentados terroristas, o Conselho e o Parlamento da Unio Europeia, em Dezembro de 2002, tendo em conta que os dados gerados no sistema de comunicaes so um instrumento muito til para combater a criminalidade organizada, aprovaram a Directiva 2006/24/CE, de 15 de Maro de 2006, relativa conservao de dados gerados ou tratados no contexto da oferta de servios de comunicaes electrnicas publicamente disponveis ou de redes pblicas de comunicaes. As matrias protegidas pelo segredo de Estado esto submetidas a um regime particular de proteco, nos termos da Lei n. 6/94, de 7 de Abril: todos os documentos e informaes cujo conhecimento por pessoa no autorizada ponha em risco ou prejudique a independncia nacional, a unidade e integridade do Estado e a sua segurana interna e externa so abrangidos pelas normas que configuram o segredo do Estado. Os documentos submetidos a este regime so objecto de adequadas medidas de proteco contra aces de sabotagem e de espionagem e contra fugas de informao.21 Comisso para a Fiscalizao do Segredo de Estado cabe velar pelo cumprimento da lei. Em Portugal, tal como noutros pases europeus, os ataques segurana da informao, em respeito alis pela Recomendao 89 (9) do Conselho da Europa, atrs referida, so sancionados criminalmente. Assim, a Lei n 109/91, de 17 de Agosto, sobre a criminalidade informtica, sanciona com penas de priso os crimes de falsidade informtica, danos relativos a dados ou programas informticos, sabotagem informtica, acesso e intercepo ilegtimos; por sua vez, o Cdigo Penal prev no art. 221 a punio criminal da burla informtica. A proteco das comunicaes em documentos escritos, garantida pelo uso da assinatura digital, foi objecto em Portugal, do Decreto-Lei n 290-D/99, de 2 de Agosto,

19 Decreto do Presidente da Republica n 55/93, art. 118. 20 Este dispositivo inspirou o legislador portugus que fez reflectir estas medidas no artigo 15 sobre medidas especiais de segurana da Lei n. 67/98, de 26 de Outubro, relativa proteco de dados. 21 Lei n. 6/94, de 7 de Abril, art. 8.

47

Ana Vaz alterado pelos Decretos-Lei n 62/2003, de 3 de Abril, 165/2004, de 6 de Julho e 116-A/2006, de 16 de Junho, e ainda pelo Decreto Regulamentar n 25/2004, de 15 de Julho, que regulam a assinatura electrnica e a validade dos documentos electrnicos. Face aprovao da Directiva 1999/93/CE, de 13 de Dezembro, que trata o quadro legal comunitrio para as assinaturas electrnicas, o Decreto-Lei n 62/2003 veio compatibilizar o regime jurdico portugus da assinatura digital com as disposies comunitrias. Ainda no domnio da proteco legislativa da segurana da informao, a Lei n. 67/98, de 26 de Outubro, no obstante ter como primeiro objectivo a proteco de dados pessoais, e a que adiante se far referncia detalhada, prev, nos seus artigos 14 e 15 normas para a segurana dos tratamentos da informao que envolvem dados pessoais. O acesso aos documentos administrativos que possam pr em risco ou causar danos segurana interna e externa do Estado ficam sujeitos interdio de acesso ou a acesso condicionado, nos termos previstos pela Lei n 65/93, de 26 de Agosto, alterada pela Lei n.8/95, de 29 de Maro.

3. Proteco da Privacidade e dos Dados Pessoais A defesa da privacidade ou da reserva da intimidade da vida privada e familiar,22 como se lhe refere a Constituio da Repblica Portuguesa, uma preocupao relativamente recente. A noo de privacidade passou a ter mais pertinncia quando comearam a surgir as grandes cidades e com elas os desconhecimentos mtuos das pessoas que nelas habitam. A possibilidade de se esconder quem se na realidade, ou obter benefcios por se descobrirem determinadas situaes da vida privada de outros, passou a ser um factor a ter em conta na vida moderna, sobretudo devido ao aparecimento de meios de comunicao, como a imprensa e mais tarde a televiso, que permitem a divulgao imediata, e a um nmero muito elevado de pessoas, de acontecimentos de ndole ntima. Passou assim a ser possvel destruir a reputao de uma pessoa ou divulgar dados da sua vida ntima.23

22 CRP, art. 26, n 1. 23 Cf Seabra Lopes, A proteco da privacidade e dos dados pessoais na sociedade da informao: tendncias e desafios numa sociedade em transio em Estudos em homenagem ao Prof. Almeida Costa, Universidade Catlica Portuguesa.

48

Segurana da Informao, Proteco da Privacidade e dos Dados Pessoais Em 1890, esta noo de privacidade era j uma preocupao tendo Samuel Warren publicado o artigo intitulado The right to privacy24 em que se defendia pela primeira vez o reconhecimento do direito privacidade e reserva da vida privada. Mas s em 1948 a Assembleia Geral das Naes Unidas proclamou a Declarao Universal dos Direitos do Homem que refere no art.12 Ningum sofrer intromisses arbitrrias na sua vida privada, na sua famlia, no seu domicilio ou na sua correspondncia, nem ataques sua honra e reputao. Contra tais intromisses ou ataques, toda a pessoa tem direito proteco da lei., consagrando assim o princpio do respeito pela vida privada. Logo a seguir, em 1950, foi reafirmado na Conveno Europeia dos Direitos do Homem que toda a pessoa tem direito ao respeito da sua vida privada e familiar, do seu domiclio e da sua correspondncia.25 Por sua vez, o desenvolvimento da informtica e a possibilidade de efectuar pesquisas em grandes bases de dados bancos, servios fiscais, segurana social e consequente acesso a dados pessoais, possibilitou a utilizao abusiva e ilcita desses dados; o progresso das novas tecnologias permite hoje conhecer os movimentos das pessoas, no s desde que saem de casa, mas at no seu interior, atravs de vigilncia electrnica e da utilizao da Internet. No conceito de dados pessoais so abrangidos os elementos que usualmente servem para identificar uma pessoa (nome, apelido, morada, data, lugar de nascimento...) bem como qualquer conjunto de informaes que permitam identificar uma pessoa por referncia a um nmero de identificao ou atravs de elementos especficos relativos sua identidade fsica, fisiolgica, psquica, econmica, cultural ou social, incluindo a voz e a imagem da pessoa.26 O Conselho da Europa sempre manifestou preocupao pelo estudo desta matria, pelo que, em 1981, submeteu assinatura dos Estados membros a Conveno 108 para a Proteco das Pessoas relativamente ao Tratamento Automatizado de Dados Pessoais, dando especial ateno aos dados sensveis, como so os relativos sade, vida sexual ou condenaes penais. Esta Conveno consagra princpios de proteco de dados que vieram posteriormente a ser desenvolvidos.

24 Samuel Warren e Louis D. Brandeis, Harvard Law Review, citado em J. de Seabra Lopes, A proteco da privacidade e dos dados pessoais na sociedade da informao: tendncias e desafios numa sociedade em transio. 25 Art. 8, n. 1. 26 Directiva 95/46/CE, de 24 de Outubro de 1995, art. 2 al a) e Lei n 67/98, de 26 de Outubro, art. 3 al) a).

49

Ana Vaz Tambm, tendo em vista a livre circulao da informao entre os Estados membros de forma a desenvolver as relaes econmicas e sociais, a OCDE, j aprovara, no ano anterior, as linhas directrizes relativas proteco da vida privada e dos fluxos transfronteirios de dados de carcter pessoal.27 No mesmo sentido, a Assembleia Geral das Naes Unidas aprovou, em 1990, as linhas directrizes relativas aos ficheiros automatizados de dados pessoais, referindo pela primeira vez em instrumentos internacionais a necessidade de previso de uma autoridade responsvel em cada pas pelo cumprimento dos princpios de proteco de dados pessoais. Em 1995, a Unio Europeia aprovou uma directiva sobre a proteco de dados pessoais,28 inspirada em instrumentos j existentes, designadamente a Conveno 108, mas ampliando o campo de aplicao aos dados tratados manualmente e prevendo a obrigatoriedade de uma autoridade independente que em cada Estado membro velasse pelo cumprimento dos princpios. Face ao crescente desenvolvimento da Internet e aos novos problemas criados pela sua utilizao, o Conselho da Europa aprovou, em 1999, a Recomendao R(99)5 que estabelece as Linhas Directrizes para Proteco das Pessoas face Recolha e Processamento de Dados Pessoais nas Auto-estradas da Informao, tendentes a assegurar uma utilizao correcta da Internet e chamando tambm a ateno dos fornecedores de servios de acesso rede. Em 2000, o Conselho de Nice proclamou a Carta dos Direitos Fundamentais da Unio Europeia que, nos seus artigos 7 e 8, confirma o direito ao respeito pela vida privada e proteco dos dados pessoais. 3.1 Ameaas privacidade e aos dados pessoais J foi referida a possibilidade de tanto o direito privacidade, como os dados pessoais, serem objecto de actuaes ilegtimas por parte de terceiros. De facto, o aparecimento dos grandes sistemas informticos em 1970 e sobretudo a sua conjugao com novos meios de comunicao, veio potenciar o acesso indevido a dados pessoais e a sua utilizao sem conhecimento do seu titular. Todos recebemos publicidade, nas

27 Recomendao do Conselho da OCDE relativa s Linhas Directrizes sobre proteco da vida privada e dos fluxos transfronteirios de dados pessoais, aprovada em 23 de Setembro de 1980. 28 Directiva 95/46/CE de 24 de Outubro de 1995, transposta pela Lei n 67/98, de 26 de Outubro.

50

Segurana da Informao, Proteco da Privacidade e dos Dados Pessoais caixas de correio, que nos endereada sem que tenhamos fornecidos os dados para tal ou vemo-nos invadidos com spam que pode at ser agressivo para os valores que nos so caros de que so exemplo as mensagens electrnicas de publicidade a certos produtos. corrente a instalao de cookies que pode ser utilizada para estabelecer um perfil do utilizador e desta forma vir a desvendar mesmo aspectos da vida ntima ou de web bugs, que ficam tambm registados no disco do computador, por exemplo atravs de uma mensagem de correio electrnico, e que permitem dar a conhecer ao servidor a que o computador est ligado as pesquisas efectuadas, dia e hora. A recolha e interconexo de dados pessoais, particularmente de dados sensveis, so outra das ameaas mais correntemente citadas: os servios da administrao do Estado, bem como grandes empresas e instituies financeiras, recolhem informaes sobre as pessoas e com elas constituem grandes bases de dados pessoais, necessrias ao cumprimento das suas atribuies. Ao estabelecer uma interconexo entre essas bases possvel obter informaes de carcter privado, como a religio ou a sade, que se podem revelar discriminatrias em situao de candidatura a emprego ou outras similares. A recolha de dados pessoais facilitada pelo uso da telemetria e da videovigilncia, novas potenciais ameaas de invaso da privacidade e de uso indevido de dados pessoais. Actualmente existem cmaras que permitem filmar as pessoas e os seus comportamentos em estaes ferrovirias ou de metro, armazns, ruas ou parques de estacionamento, muitas vezes sem as pessoas se aperceberem. pblico que, em Londres, um cidado pode ser filmado, em mdia, 300 vezes durante o dia.29 Cada vez mais modernas tecnologias vo constituindo potenciais novas ameaas. Os detectores de som permitem escutar conversas no interior de edifcios ou supostamente mantidas na privacidade do lar. O sistema GPS (Global Positioning System) permite que um utilizador de telefone celular seja localizado; nada impede at que um dispositivo de localizao com este sistema seja colocado num carro ou no bolso de uma pessoa, dando informaes sobre a localizao de algum que desconhece que est a ser vigiado, como foi contado no romance Cdigo da Vinci. Por sua vez, os cartes electrnicos com dados de carcter pessoal, designadamente dados biomtricos,30 permitem controlar o acesso a instalaes, bem como as deslocaes

29 William Underhill, Big Ben or Big Brother?, Newsweek, 28 de Fevereiro de 2000 citado por Seabra Lopes. 30 O dado biomtrico como a impresso digital um dado pessoal uma vez que permite a identificao do seu titular.

51

Ana Vaz dentro da organizao, at para utilizao de instalaes sanitrias,31 como j aconteceu com uma empresa de calado no norte do pas. Outros aspectos da vida privada podem ser ameaados pelos sistemas informticos no local de trabalho, na medida em que possvel ter conhecimento de todos os telefonemas efectuados (dia, hora, nmero chamado e durao), os stios da Internet a que acede ou at medir a produtividade do trabalhador atravs da recolha de dados automtica (tempo de utilizao do computador, registos efectuados, etc.). Nas residncias privadas, a utilizao de sensores de fluxos de fluidos que permitem medir e registar no computador os consumos de gs, electricidade e gua do, por exemplo, indicao sobre a desocupao de casas ou sobre os hbitos e comportamentos dos residentes. Foi atravs do controlo de consumo de gs que a polcia alem conseguiu localizar a clula terrorista Baader-Meinhof. Os sensores de temperaturas at j permitiram detectar pela polcia norte-americana a existncia de grow lights utilizadas para cultivar marijuana dentro de casa. Em Portugal, de 2004 para 2005 houve um aumento de 25% de crimes de devassa da vida privada atravs da Internet,32 tendo-se registado neste ultimo ano, 70 inquritos policiais. O autor deste tipo de crime divulga na Internet informaes sobre a vtima com quem, usualmente, tem uma relao de proximidade. 3.2 Medidas de proteco da privacidade e dos dados pessoais Tal como acontece na segurana da informao, as medidas de carcter fsico e lgico j referidas a esse propsito so igualmente aplicveis proteco da privacidade e dos dados pessoais. Para alm destas, so especialmente relevantes as medidas de carcter legislativo a seguir mencionadas. Recorde-se a este propsito o j citado artigo 8 da Conveno Europeia dos Direitos do Homem, ratificada pela maioria dos Estados membros do Conselho da Europa, entre os quais Portugal, e que, consequentemente, constitui direito interno. Esta Conveno prev que qualquer pessoa tem direito ao respeito da sua vida privada e da sua correspondncia s podendo haver interferncia se estiver em causa a segurana nacio31 Relatrio da CNPD de 1996. 32 Dados da Policia Judiciria. Cf. jornal O Pblico de 24 de Agosto de 2006.

52

Segurana da Informao, Proteco da Privacidade e dos Dados Pessoais nal ou a defesa da ordem e a preveno das infraces penais ou ainda a proteco dos direitos e liberdades de terceiros. Tambm a Constituio da Repblica Portuguesa prev no art. 26: 1. A todos so reconhecidos os direitos identidade pessoal, ao desenvolvimento da personalidade, capacidade civil, cidadania, ao bom nome e reputao, imagem, palavra, reserva da intimidade da vida privada e familiar e proteco legal contra quaisquer formas de descriminao. 2. A lei estabelecer garantias efectivas contra a obteno e utilizao abusivas, ou contrrias dignidade humana, de informaes relativas s pessoas e famlias. Tambm o Cdigo Penal nos seus artigos 192 e 193 se refere devassa da vida privada e devassa por meio de informtica, respectivamente. Como se referiu acima, a videovigilncia uma das tcnicas que mais podem atingir o direito privacidade. Por isso, o Decreto-Lei n 35/2004, de 21 de Fevereiro, sobre a actividade de segurana privada, dispe que a utilizao da videovigilncia para assegurar a proteco das pessoas e dos seus bens depende de autorizao da Comisso Nacional de Proteco de Dados (CNPD) que julga, caso a caso, atendendo finalidade face ao direito privacidade. O seu artigo 13 sobre meios de vigilncia electrnica, dispe que a autorizao destes meios dever ter em ateno o regime de proteco de dados previsto na Lei n 67/98, designadamente em matria de direito de acesso, informao, oposio de titulares e regime sancionatrio. No particular aspecto das relaes laborais, o Cdigo de Trabalho, no seu art. 27 refere-se a dados biomtricos e o art. 28 utilizao de meios de vigilncia distncia, referindo que a sua utilizao s permitida se os dados utilizados forem necessrios, adequados e proporcionais aos fins a atingir. Em termos mais gerais, o Cdigo de Trabalho prev disposies em matria de proteco da privacidade e dos dados pessoais (art. 16) e na rea do teletrabalho (art. 237). No que respeita ao uso do correio electrnico e ao acesso Internet no local de trabalho, a CNPD considera que no se devem restringir a fins exclusivamente profissionais e afirma ainda que se afigura ilcito o acesso ou a divulgao dos contedos das mensagens recebidas ou dos stios visitados, excepto para efeitos criminais e na sequncia de despacho de autoridade judicial ou com o consentimento do prprio.33
33 Relatrio de actividades da CNPD 2001/02.

53

Ana Vaz

A CNPD proibiu a videovigilncia em infantrios com a finalidade de permitir aos pais conhecer em cada momento o estado dos seus filhos e o que faziam, tendo considerado desproporcional esta finalidade face ao direito privacidade das crianas e dos trabalhadores dos infantrios que estariam permanentemente em observao.34 No que toca utilizao de cmaras de vdeo, fixas ou mveis, por foras e organismos de segurana, a Lei n 1/2005, de 10 de Janeiro, permite-a apenas para proteco de edifcios, instalaes pblicas ou outras com interesse para a defesa nacional e para segurana das pessoas e bens pblicos ou privados, bem como para a preveno de crimes. A utilizao das cmaras em vias de comunicao terrestre sujeita a autorizao do Ministrio da Administrao Interna, sob condio de que o parecer prvio da CNPD no seja negativo. Esta lei prev ainda que a utilizao da videovigilncia seja regida pelo principio da proporcionalidade, ou seja, a sua utilizao tem que mostrar-se adequada manuteno da segurana e ordem pblica e preveno de crimes, no pressuposto da existncia de riscos objectivos e de que respeitada a intimidade das pessoas. Pelo que respeita particularmente proteco dos dados pessoais, salienta-se que a Constituio da Repblica Portuguesa foi mesmo a primeira, de entre as dos pases europeus, a tratar este problema no seu artigo 35. A Conveno 108 do Conselho da Europa constituiu o primeiro instrumento internacional vinculativo nesta matria. Posteriormente, foi aprovado um protocolo adicional que prev a necessidade de uma Autoridade de Controlo Independente em cada Estado membro para garantia do cumprimento dos princpios de proteco de dados, bem como define as condies em que podem ser efectuadas transferncias de dados pessoais entre Estados. O Conselho da Europa, ainda na sequncia da Conveno 108, aprovou vrias recomendaes sectoriais, designadamente sobre proteco de dados nos sectores de investigao cientfica e estatsticas, bancos de dados mdicos, segurana social, sector polcia e emprego, que detalham medidas a ter em conta em cada um destes domnios. Como j foi referido, o Conselho e o Parlamento da Unio Europeia aprovaram directivas em matria de proteco de dados a Directiva 95/46/CE do Parlamento
34 8 Relatrio do Grupo de Trabalho Artigo 29, Comisso Europeia

54

Segurana da Informao, Proteco da Privacidade e dos Dados Pessoais

Europeu e do Conselho, de 24 de Outubro de 1995, relativa proteco das pessoas singulares no que diz respeito ao tratamento de dados pessoais e livre circulao desses dados. No sector da proteco de dados na rea das telecomunicaes foi aprovada a Directiva 2002/58/CE, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e proteco da privacidade no sector das comunicaes electrnicas para alargar o seu mbito a todas as comunicaes electrnicas, incluindo a Internet. O Conselho e o Parlamento da Unio Europeia consideraram que os princpios da proteco de dados deveriam ser tambm respeitados no mbito das prprias instituies da Unio Europeia, em consequncia do que aprovaram o Regulamento (CE) n 45/2001 do Parlamento e do Conselho, de 18 de Dezembro de 2000. A primeira lei portuguesa de proteco de dados foi a Lei n 10/91, de 29 de Abril, que dizia respeito apenas a dados pessoais informatizados; veio a ser alterada pela Lei n 28/94, de 29 de Agosto, no sentido de reforar a proteco dos dados pessoais, ambas entretanto substitudas pela Lei n 67/98, de 26 de Outubro, relativa proteco de dados pessoais. Esta lei aplica-se ao tratamento,35 automatizado ou no, de dados pessoais e abrange a videovigilncia e ainda o tratamento de dados que tenham por objectivo a segurana pblica, a defesa nacional e a segurana do Estado, excepto se existir legislao especifica ou normas de direito internacional que vinculem Portugal. So definidas as qualidades dos dados pessoais e as condies de legitimidade do tratamento, proibindo-se o tratamento de dados sensveis como as convices filosficas ou polticas, a filiao partidria ou sindical, a religio, a vida privada, a origem racial ou tnica, a sexualidade, a sade e ainda o tratamento de dados genticos, com as excepes previstas na lei (artigos 5 e 6). A constituio de ficheiros relativos a pessoas suspeitas de actividades ilcitas, a infraces penais ou a medidas de segurana s pode ser efectuada por organismos cuja lei orgnica lhes d essa competncia. O tratamento de dados para efeitos de investigao policial deve restringir-se preveno de um perigo concreto ou represso de uma determinada infraco (artigo 8).

35 O art. 3 define tratamento como quaisquer operaes de recolha, registo, organizao, conservao adaptao ou alterao, recuperao, consulta, utilizao, comunicao por transmisso ou difuso ou ainda a comparao, interconexo, bloqueio, apagamento ou destruio de dados pessoais.

55

Ana Vaz Por motivos de segurana do Estado e de preveno ou investigao criminal dispensado o direito de informao do seu titular, mediante disposio legal adequada ou deliberao da CNPD, sendo, em qualquer caso, o direito de acesso exercido atravs da CNPD. Se o conhecimento destes dados prejudicar os motivos invocados, a CNPD limita-se a informar os titulares dos dados das diligncias efectuadas (artigos 10 e 11). Assim, o acesso pelos titulares a dados policiais, s possvel com recurso intermediao da CNPD. O mesmo acontece com o acesso aos dados constantes do Sistema de Informao de Schengen.36 A segurana do Estado, a segurana pblica ou a preveno, investigao e represso de infraces penais so tambm os motivos invocados para que a CNPD possa autorizar a transferncia de dados, se houver legislao especfica ou constituir obrigao em conveno ou acordo internacional de que Portugal faa parte (art. 23). Por sua vez, a Lei de Acesso aos Documentos da Administrao37 acautela no art. 8 o direito de acesso a dados pessoais contidos em documentos administrativos, bem como no art. 9 a possibilidade da sua correco. Os dados relativos a sade s so comunicados ao interessado atravs de um mdico por ele designado. A Lei n. 41/2004, de 18 de Agosto, transpe a directiva n 2002/58/CE relativa ao tratamento de dados pessoais e proteco da privacidade no sector das comunicaes electrnicas, assegurando a proteco dos dados pessoais e os interesses dos assinantes. Das medidas de proteco so excepcionados os procedimentos necessrios para a proteco de actividades relacionadas com a segurana pblica, a defesa, a segurana do Estado e a preveno, investigao e represso de infraces penais que sejam definidos em lei especial. Com este diploma probe-se a escuta ou a intercepo de comunicaes ou a vigilncia de comunicaes e ainda a utilizao dos dados de trfego38 sem o consentimento dos utilizadores. Os dados de trfego devem ser eliminados ou tornados annimos quando deixam de ser necessrios para a transmisso da comunicao, sendo que os tribunais podem obter informaes sobre estes dados com vista resoluo de litgios no mbito de processos.
36 a Lei n. 2/94, de 19 de Fevereiro, que estabelece os mecanismos de controlo e fiscalizao do Sistema de Informao Schengen, tendo em vista preservar a segurana do Estado e a segurana pblica, bem como a aplicao da Conveno nos territrios das partes. 37 Lei n. 65/93, de 26 de Agosto, alterada pela Lei n. 8/95 de 29 de Maro. 38 A Lei n 41/2004, de 18 de Agosto, define dados de trfego como quaisquer dados tratados para efeitos do envio de uma comunicao atravs de uma rede de comunicaes electrnica ou para efeitos da facturao da mesma.

56

Segurana da Informao, Proteco da Privacidade e dos Dados Pessoais No mbito comunitrio, a directiva 2006/24/CE vem tambm definir condies especficas para que os dados das comunicaes possam ser teis no combate e preveno do terrorismo e da criminalidade organizada. A proteco dos dados pessoais o objectivo principal da CNPD que tem difundido orientaes especficas sobre determinadas matrias. O recurso a sistemas biomtricos tem constitudo uma das suas preocupaes porquanto tem vindo, recentemente, a apresentar-se como um meio tecnolgico que visa substituir ou reforar a segurana dos meios tradicionais de controlo de entradas e sadas. Da a aprovao e difuso de Princpios sobre a utilizao de dados biomtricos no mbito do controlo de acessos e de assiduidade. Ainda no que toca s relaes laborais, a CNPD aprovou os Princpios sobre a privacidade no local de trabalho, abrangendo recomendaes sobre o tratamento de dados em centrais telefnicas, o controlo do e-mail e do acesso Internet. O emprego da videovigilncia tem sido tambm objecto de preocupao da CNPD nos Princpios sobre o tratamento de dados por videovigilncia, em que se recomenda, designadamente que os sistemas de videovigilncia se apresentem como medida preventiva e de dissuaso para a prtica de infraces penais, podendo servir de prova nos termos da lei processual, sendo o acesso s imagens restrito s entidades que delas precisem para as finalidades estipuladas.

4. Segurana da Informao Versus Proteco da Privacidade e dos Dados Pessoais A segurana da informao , como dissemos no incio, pressuposto necessrio da liberdade e da justia: qualquer pessoa deve ter o direito de comunicar livremente, sem que as suas comunicaes sejam interceptadas e muito menos censuradas, de ver garantido o seu direito identidade pessoal, sem que os seus dados de identificao sejam furtados e utilizados indevidamente por terceiros. Deve, assim, ter a possibilidade de exercer os seus direitos de cidadania sem qualquer interferncia indevida dos Estados, designadamente na vigilncia e controlo dos seus comportamentos, particularmente no mbito da sua vida privada, e ter a segurana de que os seus dados pessoais no so usados sem o seu consentimento, de forma ilcita. No binmio segurana da informao privacidade e proteco dos dados pessoais, parece suficientemente demonstrado que o primeiro elemento fundamental para a consecuo do segundo mas, em contrapartida, o segundo pode ser afectado significativamente pela

57

Ana Vaz consecuo do primeiro. Todas as recomendaes internacionais e disposies legislativas nisso coincidem. A liberdade de circulao da informao, de forma segura, um bem essencial preservao dos direitos fundamentais e consequentemente ao funcionamento regular da sociedade. No se atinge todavia esse objectivo sem regulao adequada: como disse j o Comissrio Europeu para a Sociedade da Informao e Empresas precisamos de um mnimo de regras e de regulao para que os benefcios da Sociedade da Informao cheguem a todos e para que se crie um quadro de proteco dos direitos dos cidados e das empresas, sem que isso condicione a inovao e provoque barreiras tcnicas desnecessrias. Por sua vez, como bem acentuou o Secretrio-Geral da Unio Internacional de Telecomunicaes, na Cimeira Mundial sobre Sociedade da Informao, muitos foram os benefcios do desenvolvimento massivo da informao e das tecnologias da comunicao, especialmente ao nvel dos postos de trabalho e de riqueza gerada. Mas esta transformao cria tambm preocupaes legtimas, entre as quais, a garantia do acesso informao e s tecnologias da informao, bem como a preservao dos direitos humanos e a liberdade, segurana e privacidade. Vimos tambm que, a par do desenvolvimento das tecnologias da informao, proliferam assustadoramente tcnicas de uso perverso da liberdade de comunicar para a consecuo de aces criminosas que atingem no s os valores da proteco da privacidade e dos dados pessoais, como tambm os prprios valores fundamentais da vida humana, quando tais aces assumem o carcter de terrorismo. A preveno da criminalidade, e particularmente o combate a aces terroristas que atingem indiscriminadamente populaes inocentes, acarretam a necessidade de se encontrar um equilbrio entre o respeito devido ao valor fundamental da privacidade e da proteco dos dados pessoais e o direito igualmente essencial vida em sociedade que o da segurana pessoal e dos Estados por via da segurana da informao. Deve assim ser encontrado um equilbrio, na sequncia do princpio da proporcionalidade, entre as medidas de segurana da informao que visem impedir as aces criminosas e as ameaas que, por aplicao dessas mesmas medidas, possam atingir a privacidade. Como se sabe, os servios de informaes, bem como os servios e foras de segurana, utilizam a escuta telefnica e a intercepo de mensagens para investigar, prevenir ou combater actividades ilcitas como o crime organizado ou o terrorismo.

58

Segurana da Informao, Proteco da Privacidade e dos Dados Pessoais Precisamente para evitar o conhecimento do contedo das mensagens, por via da sua intercepo, referimos o uso da criptografia. Mas esta pode, em contrapartida, ser utilizada pelos criminosos para evitar que as autoridades possam tomar conhecimento dos seus propsitos. Onde se deve situar a fronteira? A utilizao de sistemas criptogrficos tem sido dificultada por pases que querem manter a possibilidade de intercepo e compreenso das comunicaes tendo em vista a preveno e represso de crimes e a defesa nacional. Esta atitude contestada por Castells39 quando diz que a ultima tentativa por parte dos governos para manter algum grau de controlo sobre os fluxos de informao e que uma grande ironia histrica que a tentativa de controlar a informao proibindo a distribuio da capacidade de encriptao deixe os Estados e a sociedade indefesos perante os ataques efectuados a partir da periferia da rede. A Frana, por exemplo, que tinha legislado no sentido de restringir a utilizao de criptografia, anunciou em 1999 que os cidados poderiam utiliz-la sem restries. A encriptao das mensagens que circulam no ciberespao poderia de facto ser facilitada e at incentivada pelos governos se tal no viesse a revelar-se afinal como uma arma para utilizao de terroristas e organizaes criminosas, problema que entretanto tem vindo a ser resolvido atravs da utilizao de programas de encriptao cuja estrutura conhecida das autoridades competentes. Mas no s a criptografia que se revela como uma arma de dois gumes. As comunicaes electrnicas so cada vez mais utilizadas pelos cidados na sua vida diria: vimos que tambm por essa via tanto se pode invadir a privacidade, ao interceptar as comunicaes e assim obter informaes pessoais, como pode essa intercepo ser indispensvel para a preveno, investigao, deteco de atentados terroristas ou de actos de criminalidade organizada. a necessidade de definir um enquadramento jurdico equilibrado que levou a Unio Europeia a adoptar a Directiva 2002/58/CE, relativa privacidade e s comunicaes electrnicas e, em seguimento dos atentados terroristas de Madrid, a preparar uma nova Directiva sobre a matria (Directiva 2006/24/CE) que, restringindo embora alguns direitos no mbito da proteco dos dados pessoais e da privacidade, vem criar melhores condies para se utilizarem os dados das comunicaes no combate criminalidade e ao terrorismo. Est, no entanto, sempre presente que tais restries
39 Castells, Manuel, A Galxia Internet Reflexes sobre Internet, Negcios e Sociedade, Fundao Calouste Gulbenkian, 2004.

59

Ana Vaz devem ser s as necessrias e adequadas para se atingirem as finalidades referidas com o respeito pelo princpio da proporcionalidade. A Unio Europeia est bem consciente da existncia de conflito crescente e duradouro entre as mltiplas tentativas dos governos em introduzir novos instrumentos de luta contra o terrorismo, sem prejuzo de ser considerada a necessidade de defender os princpios de proteco de dados, como elemento essencial da liberdade e da democracia40 e, em consequncia dos recentes actos de terrorismo, tm vindo a ser dada primazia segurana e a aceitar novas medidas de controlo, designadamente introduzindo e ampliando as normas relativas conservao de dados de trfego nas comunicaes electrnicas, incluindo-se nestas as comunicaes pela Internet. A segurana da informao , de facto, uma forma de proteger os cidados desde que seja conseguido o necessrio equilbrio entre os valores em presena. Assim, por exemplo, est decidida a insero de elementos biomtricos em documentos de identificao e a utilizao da videovigilncia com regulamentao adequada. No seguimento desse movimento regulador de equilbrios, o novo passaporte portugus (PEP) contm um chip com dados biogrficos e biomtricos do titular contendo 32 dados informativos visando a mxima segurana e a inviabilidade de falsificaes. Como se viu, tanto instrumentos internacionais e comunitrios, como a legislao portuguesa, tm revelado preocupao pelo respeito dos princpios de proteco da vida privada e dos dados pessoais mas, cada vez mais, em resultado das crescentes actividades terroristas, com restries suplementares que derivam da necessidade de, numa sociedade democrtica, privilegiar a proteco da segurana do Estado, da defesa, da segurana pblica, da preveno, investigao e represso das infraces penais e de interesses econmicos e financeiros importantes do Estado. Na sequncia do atentado terrorista do 11 de Setembro em Nova Iorque, o Conselho da Unio Europeia estabeleceu um acordo com o governo dos EUA para lhe permitir o acesso aos dados recolhidos juntos dos viajantes das transportadoras areas (PNR). O Parlamento Europeu considerou este acordo ilegal porque a directiva de proteco de dados, instrumento invocado, no se aplica a questes de defesa do Estado e segurana. O Grupo do Artigo 2941 acompanhou o Parlamento Europeu, dando um

40 8 Relatrio anual do Grupo de Trabalho do Artigo 29, Comisso Europeia. 41 Grupo consultivo previsto no art. 29. da Directiva n. 95/46/CE, composto por representantes das autoridades nacionais de proteco de dados, que funciona junto da Comisso Europeia.

60

Segurana da Informao, Proteco da Privacidade e dos Dados Pessoais parecer negativo ao fornecimento deste tipo de dados que considerou desproporcionado.42 O Tribunal de Justia veio a confirmar este entendimento.

5. Concluses 1. A informao tem uma relevante importncia para o desenvolvimento e manuteno de uma sociedade livre e democrtica. A afirmao da liberdade de informar e de ser informado est bem acentuada nos n.os 1 e 2 do art. 37. da Constituio da Repblica, ao afirmar que todos tm o direito de exprimir e divulgar livremente o seu pensamento pela palavra, pela imagem ou por qualquer outro meio, bem como o direito de informar, de se informar e de ser informados, sem impedimentos nem discriminaes, e que o exerccio destes direitos no pode ser impedido ou limitado por qualquer tipo ou forma de censura. 2. Para que a liberdade de informao se possa exprimir, sem peias, censuras ou intromisses indevidas, indispensvel que os sistemas de informao possam reunir as caractersticas necessrias a garantir a segurana da informao, isto , Confidencialidade, Integridade, e Disponibilidade da informao. 3. Cedo a segurana da informao foi posta em causa por aces criminosas que vo desde o acesso indevido informao, quebrando a caracterstica da confidencialidade, at alterao do seu contedo, pondo em cheque a sua integridade: assim, tem sido possvel o uso indevido de dados pessoais, o roubo de identidades, a burla e a falsidade informticas, a espionagem industrial e a prpria sabotagem, tudo para causar prejuzo ou obter benefcios econmicos ou de outra natureza, designadamente na intercepo de segredos militares pondo em causa a segurana nacional. A encriptao de mensagens, como forma de assegurar a confidencialidade e a integridade das mensagens transmitidas, foi um remdio encontrado, embora inicialmente os Estados tenham reservado o uso da criptografia apenas para mensagens militares por receio de ela ser utilizada para a transmisso de mensagens entre criminosos com o objectivo de preparao em segredo e ocultao da autoria das suas actividades delituosas: entretanto a presso generalizada no sentido de garantir a segurana da
42 Grupo do Artigo 29, Opinion 4/2003 Transfer of Passengers Data.

61

Ana Vaz informao nas actividades civis levaram a que fossem levantadas as dificuldades para uso corrente da criptografia e das assinaturas electrnicas, com a reserva todavia de os programas de encriptao serem conhecidos das autoridades competentes para eficaz combate ao seu uso pela criminalidade organizada. 4. Por sua vez, o direito privacidade e proteco dos dados pessoais so valores reconhecidos em todo o mundo civilizado e objecto de mltiplas recomendaes e instrumentos jurdicos internacionais e comunitrios. A Constituio da Repblica Portuguesa foi pioneira na defesa de tais valores, como est bem reflectido no artigo 26., quanto defesa da privacidade, e no art. 35., quanto proteco dos dados pessoais. Assim, dispe o n. 1 do art. 26. que a todos so reconhecidos os direitos identidade pessoal, ao desenvolvimento da personalidade, capacidade civil, cidadania, ao bom nome e reputao, imagem, palavra, reserva da intimidade da vida privada e familiar e proteco legal contra quaisquer formas de discriminao. Por seu lado, o art. 35. consagra os princpios fundamentais da proteco de dados pessoais, prevendo especialmente que todos os cidados tm o direito de acesso aos dados informatizados que lhes digam respeito, podendo exigir a sua rectificao e actualizao, e o direito de conhecer a finalidade a que se destinam, nos termos da lei e proibindo o acesso a dados pessoais de terceiros, salvo em casos excepcionais previstos na lei. 5. Para salvaguarda da privacidade e da proteco de dados pessoais, a segurana da informao um valor indispensvel. E nesse sentido, no seguimento alis de tratados internacionais, como a Conveno 108 do Conselho da Europa, e de instrumentos jurdicos comunitrios, designadamente a citada directiva 95/46/CE, a Lei n. 67/98, de 26 de Outubro, determina, no seu art. 14., que o responsvel pelo tratamento deve pr em prtica as medidas tcnicas e organizativas adequadas para proteger os dados pessoais contra a destruio, acidental ou ilcita, a perda acidental, a alterao, a difuso ou o acesso no autorizados, nomeadamente quando o tratamento implicar a sua transmisso por rede, e contra qualquer outra forma de tratamento ilcito. Para proteco de dados pessoais de maior sensibilidade, o art. 15. exige medidas de segurana mais severas, bem como o controlo da insero, utilizao, acesso e transmisso desses dados. Determina ainda que os sistemas de tratamento da informao garantam a separao lgica entre os dados referentes sade e vida sexual, incluindo os genticos, dos restantes dados pessoais.

62

Segurana da Informao, Proteco da Privacidade e dos Dados Pessoais 6. Esta estrutura de proteco da privacidade e dos dados pessoais foi todavia posta em causa, sobretudo aps os ataques terroristas do 11 de Setembro em Nova Iorque, seguidos de ataques similares em Madrid e Londres. Estes atentados, bem como outras aces reveladoras da existncia de criminalidade organizada e violenta, revelaram a necessidade imperiosa de conciliar a segurana da informao com a salvaguarda da intimidade da vida privada e dos dados pessoais. O combate ao terrorismo e s demais aces de criminalidade organizada exigem que seja possvel s autoridades competentes, em casos especificamente previstos na lei, pr em causa, no s a segurana da informao como a privacidade, particularmente atravs da intercepo de qualquer forma de comunicao e da vigilncia, por meios electrnicos e consequentemente revelia e no desconhecimento dos vigiados, de comportamentos e de actividades suspeitos. H assim um difcil equilbrio a definir, por um lado, entre a utilizao de meios destinados a garantir a segurana dos Estados e das populaes e, por outro, a salvaguarda dos valores fundamentais do respeito pela liberdade de informao, pela privacidade e pela proteco dos dados pessoas: o respeito escrupuloso pelo princpio da proporcionalidade que poder ser a chave do problema. 7. H um longo caminho a percorrer pelos Estados e pelas suas organizaes para, em conjugao, poderem consciencializar, por um lado, as autoridades que orientam o combate ou combatem o terrorismo e a criminalidade organizada para a necessidade de, no desenvolvimento das suas actividades, obedecerem ao princpio da proporcionalidade e consequentemente terem presente a necessidade de salvaguarda de direitos fundamentais; e, por outro lado, os cidados em geral, quer da extenso dos seus direitos fundamentais, designadamente no domnio da privacidade, quer para a cautela a ter na utilizao e divulgao dos dados pessoais, quer ainda para a compreenso a ter para que, em certas circunstncias e para sua prpria proteco, tenha de haver restries ao exerccio daqueles direitos fundamentais. esta uma tarefa de grande flego que pode ser levada a cabo atravs de aces massivas de divulgao, junto das populaes e pelos meios adequados da comunicao social, dos seus direitos fundamentais e da eventual necessidade de restries, e junto das autoridades competentes polticas, militares, judicirias e de polcia , atravs de aces selectivamente dirigidas, dos direitos fundamentais dos cidados e da considerao que deve ser conferida ao princpio da proporcionalidade.

63