Parecer Do Grupo de Trabalho Do Artigo 29.º Sobre A Limitação Das Finalidades

GRUPO DE TRABALHO DE PROTECÇÃO DE DADOS DO ARTIGO 29.
WP 203
Parecer 3/2013 sobre limitação da finalidade
Adoptado em 2 de Abril de 2013
tradução não oficial realizada pelo

Gabinete para a Protecção de Dados Pessoais
Macau
O Grupo de Trabalho foi instituído pelo artigo 29.º da Directiva 95/46/CE. Trata-se de um órgão consultivo europeu
independente em matéria de protecção de dados e de privacidade. As suas atribuições estão descritas no artigo 30.º da
Directiva 95/46/CE e no artigo 15.º da Directiva 2002/58/CE.
O secretariado é assegurado pela Direcção C (Direitos Fundamentais e Cidadania da União) da Direcção-Geral da Justiça da
Comissão Europeia, B-1049 Bruxelas, Bélgica, Gabinete n.º MO-59 02/013.
Sítio Web: http://ec.europa.eu/justice/data-protection/index_pt.htm
1
Parecer 3/2013 sobre limitação da finalidade
Síntese...........................................................................................................................4
I. Introdução.............................................................................................................6
II. Observações gerais e questões de política.........................................................9

II.1. Síntese histórica.............................................................................................9
II.2. Papel do conceito.........................................................................................14
II.2.1. Primeiro pilar: determinação da finalidade............................................15
II.2.2. Segundo pilar: utilização compatível.....................................................16
II.3. Conceitos relacionados................................................................................17
II.4. Contexto e consequências estratégicas........................................................18
III. Análise das disposições.......................................................................................19

III.1 Finalidades “determinadas, explícitas e legítimas”....................................19
III.1.1. As finalidades devem ser determinadas................................................19
III.1.2. As finalidades devem ser explícitas......................................................21
III.1.3. As finalidades devem ser legítimas.......................................................24
III.2 Avaliação da compatibilidade......................................................................25
III.2.1. Enquadramento geral da avaliação da compatibilidade...........................26
III.2.2. Factores-chave a considerar durante a avaliação da
compatibilidade..................................................................................29
III.2.3. Tratamento posterior para finalidades históricas, estatísticas ou
científicas.............................................................................................34
III.2.4. Artigo 13.º da Directiva relativa à privacidade e às comunicações
electrónicas sobre comunicações não solicitadas.................................41
III.2.5. Megadados e dados abertos..................................................................43
III.2.6. Consequências da incompatibilidade....................................................44
III.3. Excepções ao abrigo do artigo 13.º da Directiva........................................46
IV. Conclusões..........................................................................................................47
IV.1. Análise do enquadramento jurídico actual..................................................47
2
IV.2 Recomendações para o futuro......................................................................51
Anexo 1: Propostas de alteração.............................................................................53
Anexo 2: Megadados e dados abertos....................................................................55

Megadados.............................................................................................................55
Dados abertos.........................................................................................................58
Anexo 3: Exemplos práticos para ilustrar a determinação da finalidade

.....................................................................................................................................62
Anexo 4: Exemplos práticos para ilustrar a avaliação da compatibilidade

.....................................................................................................................................69
3
Síntese
O presente Parecer analisa o princípio da limitação da finalidade. Fornece orientação

para a aplicação prática do princípio ao abrigo do actual enquadramento jurídico e formula
recomendações de política para o futuro.
A limitação da finalidade protege as pessoas em causa* estabelecendo limites ao modo

como os responsáveis pelo tratamento podem usar os seus dados ao mesmo tempo que oferece
algum grau de flexibilidade aos responsáveis pelo tratamento. O conceito de limitação da
finalidade assenta em dois pilares: os dados pessoais devem ser recolhidos para finalidades
“determinadas, explícitas e legítimas” (determinação da finalidade) e não podem ser “tratados
posteriormente de forma incompatível com essas finalidades” (utilização compatível).
O tratamento posterior para uma finalidade diferente não significa necessariamente

que seja incompatível: a compatibilidade carece de ser avaliada caso a caso. Uma avaliação
substantiva da compatibilidade exige uma avaliação de todas as circunstâncias relevantes. Em
especial devem ser tidos em conta os seguintes factores-chave:
— A relação entre as finalidades para as quais os dados foram recolhidos e as finalidades

do tratamento posterior;
— O contexto no qual os dados pessoais foram recolhidos e as expectativas razoáveis

das pessoas em causa quanto à sua utilização posterior;
— A natureza dos dados pessoais e o impacto do tratamento posterior sobre as pessoas

em causa;
— As garantias adoptadas pelo responsável pelo tratamento para assegurar um

tratamento leal e para evitar impactos indevidos sobre as pessoas em causa.
O tratamento de dados pessoais de forma incompatível com as finalidades determinadas

aquando da recolha é contrário à lei e, portanto, é proibido. O responsável pelo tratamento não
pode legitimar um tratamento incompatível com um simples recurso a uma nova fundamentação
jurídica ao abrigo do artigo 7.º. O princípio da limitação da finalidade só pode ser restringido
nas condições indicadas no artigo 13.º da Directiva.
* Nota do tradutor: na versão oficial em Português da Directiva 95/46/CE, a expressão “data subject” foi traduzida por “pessoa em causa”.
Porém, na versão em Português da Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção
de dados), a mesma expressão foi traduzida por “titular dos dados”. Na presente tradução, uma e outra foram aplicadas consoante o
contexto da referência (Directiva ou Proposta de Regulamento) e devem ser consideradas sinónimas. Note-se que, quer na Lei n.º 67/98,
de 26 de Outubro de Portugal, quer na Lei n.º 8/2005, de Macau, foi adoptada a expressão “titular dos dados”.
4
A presente análise também tem consequências para o futuro. O n.º 4 do artigo 6.º da
proposta de Regulamento Geral sobre a Protecção de Dados fornece uma excepção ampla ao
requisito da compatibilidade, que restringiria severamente a sua aplicabilidade e comporta o
risco de erodir este princípio-chave. Em conformidade, o Grupo de Trabalho do artigo 29.º
recomenda a eliminação do proposto n.º 4. Adicionalmente e para garantir maior certeza
jurídica, o Grupo de Trabalho do artigo 29.º recomenda que os legisladores adoptem a lista
supra de factores relevantes para a avaliação da compatibilidade. Embora esta apresentação de
factores-chave não seja completamente exaustiva, ela tenta sublinhar os factores mais típicos
que podem ser considerados numa abordagem equilibrada: nenhum deles é tão geral que perca
significado nem tão específico que se torne excessivamente rígido.
5
O GRUPO DE TRABALHO SOBRE A PROTECÇÃO DAS PESSOAS
SINGULARES NO QUE DIZ RESPEITO AO TRATAMENTO DE
DADOS PESSOAIS
instituído pela Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de

Outubro de 1995,
tendo em conta o artigo 29.º, a alínea a) do n.º 1 do artigo 30.º e o n.º 3 do artigo 30.º da
directiva acima mencionada,
tendo em conta o seu regulamento interno,
adoptou o seguinte parecer:
I. Introdução
O princípio da “limitação da finalidade”
A alínea b) do n.º 1 do artigo 6.º da Directiva 95/46/CE1 (a “Directiva”) inclui o princípio

da limitação da finalidade entre os princípios-chave da protecção de dados. Estipula que os
dados pessoais devem ser “Recolhidos para finalidades determinadas, explícitas e legítimas, e
que não serão posteriormente tratados de forma incompatível com essas finalidades”.
A determinação da finalidade é um primeiro passo essencial na aplicação das leis de

protecção de dados e na concepção das garantias para qualquer operação de tratamento. De
facto, a determinação da finalidade é um requisito prévio à aplicação dos restantes requisitos
sobre a qualidade dos dados, incluindo a adequação, a relevância, a proporcionalidade e a
exactidão dos dados recolhidos e dos requisitos relativos ao período de conservação dos dados.
O princípio da limitação da finalidade está concebido para estabelecer os limites dentro dos
quais os dados pessoais recolhidos para uma dada finalidade podem ser tratados e utilizados
posteriormente. O princípio tem dois componentes:
— O responsável pelo tratamento só pode recolher dados para finalidades determinadas,

explícitas e legítimas, e
— Uma vez recolhidos os dados, estes não podem ser posteriormente utilizados de
forma incompatível com aquelas finalidades.
1 Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no
que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281, 23/11/1995, p. 31).
6
Quando partilhamos dados pessoais com outros, temos habitualmente uma expectativa
acerca das finalidades para as quais esses dados serão utilizados. Há um elemento de valor
em honrar essas expectativas e em conservar a confiança e a certeza jurídica, sendo por isto
que a limitação da finalidade é uma garantia tão importante, uma pedra angular da protecção
de dados. De facto, o princípio da limitação da finalidade impede os “desvios de missão”, que
de outro modo poderiam dar lugar à utilização dos dados pessoais disponíveis para além das
finalidades para as quais eles teriam sido inicialmente recolhidos.
Por outro lado, dados que já foram obtidos podem também ser genuinamente úteis para
outras finalidades inicialmente não determinadas. Assim, há também, um valor em permitir,
dentro de limites cuidadosamente equilibrados, algum grau de utilização adicional. A proibição
da “incompatibilidade” na alínea b) do n.º 1 do artigo 6.º não afasta em bloco utilizações novas,
diferentes, dos dados – desde que isto ocorra dentro dos parâmetros da compatibilidade.
O princípio da limitação da finalidade – que inclui a noção de utilização compatível

– requer que em cada situação na qual se considere utilização posterior se proceda a uma
distinção entre utilizações posteriores “compatíveis” e outras utilizações que devem permanecer
“incompatíveis”. O princípio da limitação da finalidade está concebido para oferecer uma
abordagem equilibrada: uma abordagem que pretende reconciliar, por um lado, a necessidade
de previsibilidade e certeza jurídicas relativamente às finalidades do tratamento e, por outro, a
necessidade pragmática de alguma flexibilidade.
Necessidade de uma abordagem mais consistente e harmonizada através da Europa
O princípio da limitação da finalidade continua a ser considerado sólido e válido. Contudo, a

falta de uma interpretação harmonizada conduziu, em diferentes Estados Membros, a aplicações
divergentes das noções de limitação da finalidade e de tratamento incompatível, especialmente
quando comparado com outros princípios. Por exemplo, nalguns Estados Membros, os
conceitos de limitação da finalidade e tratamento incompatível estão inerentemente ligados a
outros conceitos, tais como os de lealdade, transparência ou licitude. Em consequência, embora
nalguns casos o resultado da análise baseada nestas abordagens divergentes possa acabar por
ser o mesmo, estas abordagens divergentes podem também levar a diferentes perspectivas do
que os responsáveis pelo tratamento podem fazer com informação que já recolheram para uma
dada finalidade ou conjunto de finalidades.
Esta diversidade também foi notada na revisão da Directiva2. Neste contexto, vários
estudos observaram que a letra do princípio da limitação da finalidade é muito aberta, o que
2 Em 25 de Janeiro de 2012, a Comissão adoptou um conjunto de documentos para a reforma do enquadramento Europeu da protecção
de dados. Este conjunto de documentos inclui (1) uma “Comunicação” (COM(2012)9 final), (2) uma proposta de “Regulamento
Geral Sobre a Protecção de Dados” (COM(2012)11 final) e (3) uma proposta de “Directiva” sobre protecção de dados na área da
aplicação da lei penal (COM(2012)10 final). A “Avaliação de Impacto” que o acompanha, o qual contém 10 anexos, está vertido num
Documento de Trabalho da Comissão (SEC(2012)72 final).
7
torna o conceito susceptível de diferentes interpretações3.
A ausência de uma abordagem consistente pode enfraquecer a posição das pessoas em

causa e ainda impor fardos regulatórios desnecessários sobre as empresas e outras organizações
que operam através das fronteiras. Isto tornou-se gradualmente uma preocupação mais séria à
medida que o volume de dados e a sua disponibilidade global têm aumentado exponencialmente
e o tratamento de dados pessoais se tem gradualmente tornado numa característica cada vez
mais proeminente da sociedade moderna, tanto no ambiente on-line como no off-line.
É portanto particularmente actual, quando os trabalhos rumo a um novo Regulamento

Geral sobre a Protecção de Dados prosseguem, que o princípio da limitação da finalidade – no
importante papel que detém e nas suas relações com os restantes princípios de protecção de
dados – seja compreendido mais claramente. Foi por este motivo que o Grupo de Trabalho
do artigo 29.º, no âmbito do seu Programa de Trabalho para 2012-2013, decidiu dedicar uma
atenção cuidadosa a este assunto e – na execução deste Programa de Trabalho4 – se empenhou
na redacção do presente Parecer.
Aplicação do enquadramento jurídico actual e preparação do futuro
O próprio Programa de Trabalho delineou claramente dois objectivos: “Assegurar

a aplicação correcta do quadro jurídico actual” e também “preparação do futuro”. Em
conformidade, o primeiro objectivo do presente Parecer é assegurar uma compreensão comum
do enquadramento jurídico actual. Este objectivo vem na sequência de Pareceres anteriores
sobre outras disposições-chave da Directiva5. As potenciais modificações ao enquadramento
jurídico actual demorarão algum tempo e, assim, a clarificação da noção actual de “limitação
da finalidade” e dos seus elementos principais, tem as suas próprias virtudes e vantagens. Por
este motivo, um objectivo chave do presente Parecer consiste em fornecer uma abordagem
Europeia comum e consistente, esclarecer o papel e a “razão de ser”* do princípio da limitação
da finalidade e oferecer orientações e boas práticas com vista à sua aplicação na prática.
Em segundo lugar, a clarificação das disposições actuais ajuda a revelar as áreas que
carecem de melhorias. Assim, com base na análise, o Parecer também formula recomendações
de política, para auxiliar os decisores políticos na consideração de modificações ao
enquadramento jurídico da protecção de dados.
Isto é tanto mais importante quanto o proposto enquadramento jurídico da protecção de

dados, deixando intacta a própria letra do princípio da limitação da finalidade, em comparação
3 Vide, por exemplo, o estudo intitulado “Evaluation of the implementation of the Data Protection Directive”, que constitui o Anexo 2
à Avaliação de Impacto que acompanha o conjunto de documentos da Comissão Europeia para a reforma da protecção de dados.
4 Vide Programa de trabalho para 2012-2013 do Grupo de Trabalho do artigo 29.º, adoptado em 1 de Fevereiro de 2012 (WP 190).
5 Tais como o Parecer 15/2011 sobre a definição de consentimento, adoptado em 13/07/2011 (WP187), o Parecer 8/2010 sobre a
lei aplicável, adoptado em 16/12/2010 (WP179) e o Parecer 1/2010 sobre os conceitos de «responsável pelo tratamento» e
«subcontratante», adoptado em 16/02/2010 (WP169).
* Nota do tradutor: “Raison d’être” no original Inglês.
8
com o texto da alínea b) do n.º 1 do artigo 6.º da Directiva, também propõe algumas novas
disposições. Estas novas disposições, em especial o n.º 4 do artigo 6.º da proposta de
Regulamento sobre a Protecção de Dados, caso viesse a ser adoptada, comportaria o risco
de erodir este princípio-chave6. É portanto essencial avaliar o âmbito exacto e a função deste
princípio, no momento em que as discussões sobre o novo enquadramento jurídico ainda se
encontram em aberto.
Estrutura do Parecer
Depois de uma panorâmica da história e do papel da limitação da finalidade na legislação

de protecção de dados, o Parecer examina os diversos elementos e requisitos da limitação
da finalidade nas legislações nacionais que transpuseram a Directiva e a Directiva relativa à
privacidade e às comunicações electrónicas7. Esta análise é ilustrada com exemplos práticos
baseados nas experiências nacionais. A análise sustenta as recomendações da parte final
do presente Parecer sobre a interpretação do princípio da limitação da finalidade no actual
enquadramento regulatório. Ao mesmo tempo, também ajuda a fornecer recomendações de
política para consideração pelos decisores políticos no contexto da revisão da Directiva.
II. Observações gerais e questões de política
II.1. Síntese histórica
A presente Secção apresenta uma panorâmica da evolução do direito à privacidade e do

direito à protecção dos dados pessoais, com início nos primeiros instrumentos sobre direitos
humanos. A panorâmica destaca como se desenvolveu o conceito de limitação da finalidade. Em
especial, explica como este conceito foi primeiramente usado enquanto requisito no contexto
das derrogações aos direitos de privacidade e subsequentemente se desenvolveu tornando-se
num princípio fundamental no contexto da protecção de dados. A síntese centra-se na União
Europeia mas também refere desenvolvimentos internacionais relevantes.
Convenção Europeia dos Direitos do Homem (“CEDH”)
O artigo 8.º da Convenção Europeia dos Direitos do Homem, adoptada em 1950, incorpora
o direito à privacidade – isto é, o direito de qualquer pessoa ao respeito da sua vida privada
e familiar, do seu domicílio e da sua correspondência. Proíbe qualquer ingerência no direito
à privacidade salvo quando “prevista na lei” e “numa sociedade democrática, for necessária”
para satisfazer certos tipos de interesses públicos prevalecentes, especificamente enunciados.
6 Vide a Secção II.1, páginas 13-14, “perspectivas para o futuro”, bem como a Secção III.2.6, e a Secção IV para mais detalhes sobre a
proposta de Regulamento sobre a Protecção de Dados.
7 Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à
protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas)
(JO L 201, 31/07/2002, p.37), modificada pelas Directivas 2006/24/CE e 2009/136/CE.
9
O artigo 8.º da CEDH centra-se na protecção da vida privada e exige justificação para
qualquer ingerência na privacidade. Esta abordagem baseia-se numa proibição geral de
ingerência no direito à privacidade e somente permite excepções em condições estritamente
definidas. Nos casos em que há uma “ingerência na privacidade” exige-se um fundamento legal,
bem como a determinação de uma finalidade legítima, enquanto pré-requisitos da avaliação da
necessidade de ingerência.
Assim, os conceitos de fundamento legal e de limitação da finalidade, que se viriam

a tornar pedras angulares do direito da protecção de dados, começaram a tomar forma e
desenvolveram-se na jurisprudência do Tribunal Europeu dos Direitos do Homem (“TEDH”).
Em tempo, o TEDH veio a desenvolver igualmente o critério de “expectativa razoável de
privacidade” para apoiar a decisão sobre quando se verifica uma ingerência no direito à
privacidade8. Além disso, o Tribunal alargou progressivamente a protecção da vida privada,
incluindo a protecção de dados pessoais, de casos de recolha e arquivo de informações pessoais
pelos serviços secretos (Rotaru, Amann), aos casos mais recentes nos quais o Tribunal aplicou
as garantias ao ambiente de trabalho (Copland) e aos espaços públicos (Gillan and Quinton v.
UK)9.
A Convenção 108
A convenção 108 do Conselho da Europa10, aberta à assinatura em 1981, introduz o

conceito de protecção de dados pessoais. Deste modo, desenvolve-se numa abordagem mais
abrangente e proactiva, na qual a noção de “limitação da finalidade” é claramente estabelecida
enquanto princípio essencial da protecção de dados. Isto representa um importante passo em
frente: doravante exige-se um fundamento legal bem como uma finalidade legítima em todas as
circunstâncias de tratamento de dados pessoais, quer no sector privado, quer no sector público.
A Convenção 108 sucedeu às Resoluções (73) 22 e (74) 29 do Conselho da Europa (CdE)11.

Estes textos precursores já incluíam alguns dos elementos que viriam mais tarde a tornar-se
pilares-chave do direito à protecção dos dados pessoais, incluindo o princípio da limitação da
finalidade.
A Resolução (73) 22 do CdE exige que a informação seja “adequada e relevante para a
finalidade para a qual foi armazenada” e proíbe – na ausência de “autorização adequada” – a
sua utilização para “finalidades diversas daquelas para as quais foi armazenada” bem como a
sua “comunicação a terceiros”12.
8 Vide, por exemplo, ECtHR, 15 June 1992, Lüdi V. Suisse, (no 12433/86, A-238); ECtHR 25 June 1997, Halford v. The United Kingdom
(no. 20605/92, 1997-III).
9 ECtHR 4 May 2000, Rotaru v. Romania (no. 28341/95, Reports of Judgments and Decisions 2000-V); ECtHR 16 February 2000, Amann
v. Switzerland (no. 27798/95, Reports of Judgments and Decisions 2000-II); ECtHR 3 April 2001, Copland v. The United Kingdom
(no. 62617/00 Reports of Judgments and Decisions 2007-I); ECtHR 12 January 2010, Gillan and Quinton v. The United Kingdom (no.
4158/05, Reports of Judgments and Decisions 2010).
10 Convenção 108 para a protecção das pessoas relativamente ao tratamento automatizado de dados de carácter pessoal.
11 Resolução do Comité de Ministros (73) 22 sobre a protecção da privacidade das pessoas face aos bancos de dados no sector privado,
adoptada em 26 de Setembro de 1973, e Resolução do Comité de Ministros (74) 29 sobre a protecção da privacidade das pessoas face
aos bancos de dados no sector público, adoptada em 20 de Setembro de 1974.
12 Vide Anexo, Secções 2 e 5.
10
Para o sector público, a Resolução (74) 29 do CdE adoptou uma abordagem algo diferente.
Enquanto as regras gerais exigem que “a informação armazenada” seja “adequada e relevante
para as finalidades para as quais foi armazenada”, há uma disposição especial que permite a
modificação da finalidade sob certas condições. Os dados podem ser usados “para finalidades
diversas das que foram definidas” se uma tal excepção for “expressamente permitida por lei,
for concedida por uma autoridade competente ou as regras para utilização do banco electrónico
de dados forem modificadas”13.
Na sequência destes textos precursores, o artigo 5.º da Convenção 108 estabelece os

princípios fundamentais do direito da protecção de dados, incluindo a licitude, a lealdade e
a proporcionalidade, e ainda a determinação da finalidade e a exigência de que a finalidade
seja legítima. Introduz igualmente a noção de incompatibilidade. Os dados não podem ser
utilizados “de modo incompatível” com as finalidades determinadas. O artigo 9.º da Convenção
108 permite derrogações a esta norma só quando “prevista(s) pela lei” e ainda quando forem
“necessária(s) numa sociedade democrática”, em estreita analogia com a linguagem usada no
artigo 8.º da CEDH.
Desde a adopção da Convenção 108, o conceito de limitação da finalidade parece ter

sido reconhecido como elemento essencial em instrumentos desenvolvidos posteriormente14.
A expressão “de forma incompatível” foi igualmente acolhida na Directiva e, até hoje, não foi
posta em causa na actual revisão da Convenção 108.
Directrizes da OCDE15
As Directrizes da OCDE, preparadas em paralelo com a Convenção 108 e adoptadas em

1980, comungam das mesmas ideias de determinação da finalidade e de incompatibilidade,
embora o conceito de incompatibilidade16 seja definido de forma diferente.
As finalidades devem ser determinadas em momento não posterior ao da recolha. As

Directrizes permitem a “utilização subsequente” dos dados para finalidades diversas, desde que
estas não sejam incompatíveis com as finalidades iniciais e sejam determinadas por ocasião
13 Vide Anexo, Secções 2(c) e 3(c). Vale a pena mencionar que a noção de “modificação da finalidade”, sujeita a garantias adicionais
semelhantes, foi igualmente usada e permitida pelo artigo 6.º do Regulamento (CE) n.º 45/2001 relativo à protecção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação
desses dados (Regulamento 45/2001). O n.º 1 do artigo 6.º dispõe que “Os dados pessoais só podem ser objecto de tratamento para
finalidades diferentes daquelas para que foram recolhidos, se a mudança de finalidade for expressamente autorizada pelas regras
internas da instituição ou do órgão comunitário”.
14 Desde que a Convenção 108 foi aberta à assinatura em 1981, o Conselho da Europa emitiu dezanove recomendações, resoluções
ou relatórios para proporcionar orientações adicionais e mais específicas sobre a interpretação da Convenção 108 relativamente a
sectores específicos (por exemplo, seguros, banca, saúde, polícia, investigação científica e estatística, telecomunicações, privacidade
na internet), técnicas e tecnologias específicas (cartões inteligentes, videovigilância, marketing directo, perfis), categorias específicas
de dados (biométricos) ou outras áreas de interesse (“comunicação a terceiros de dados pessoais detidos por organismos públicos”).
Alguns destes documentos tratam de matérias relacionadas com a limitação da finalidade e a utilização compatível. Está disponível
uma compilação de textos do Conselho da Europa em: http://hub.coe.int/c/document_library/get_file?uuid=1d807537-6969-48e5-
89f4-48e3a3140d75&groupId=10227.
15 Directrizes da OCDE para a Protecção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais.
16 Parágrafo 9 das Directrizes.
11
de cada modificação de finalidade. As Directrizes mencionam duas excepções ao requisito
da utilização compatível: “com o consentimento da pessoa em causa” e “por autoridade de
direito”17.
Apesar das diferenças no conceito de utilização compatível e das excepções abertas, é

importante sublinhar que o princípio da limitação da finalidade – enquanto pilar do sistema de
protecção de dados – também surge como elemento estável no contexto internacional e não foi
posto em causa na actual revisão das Directrizes da OCDE.
Directiva 95/46/CE
Quando foi adoptada em 1995, a Directiva foi erguida sobre instrumentos anteriores de
protecção de dados, incluindo a Convenção 108 e as Directrizes da OCDE. A experiência inicial
em matéria de protecção de dados em alguns dos Estados Membros foi também considerada.
A formulação do princípio da limitação da finalidade não foi idêntica em todos estes

instrumentos e os autores da Directiva também procederam às suas próprias opções na altura.
Isto incluiu uma decisão de não separar as actividades privadas e públicas de tratamento de
dados, o que significa que os requisitos da determinação da finalidade se aplicam a ambos sem
distinção.
A Directiva acrescentou um novo requisito à determinação da finalidade, que não estava

ainda presente nem na Convenção 108 nem nas Directrizes da OCDE: a finalidade deve ser
“explícita”18.
A Directiva também introduziu uma disposição sobre o tratamento posterior de dados para
finalidades históricas, estatísticas ou científicas; estas não são consideradas como incompatíveis
desde que os Estados Membros assegurem garantias adequadas. Isto não é inteiramente novo: a
Resolução (73) 22 e a Resolução (74) 29 do Conselho da Europa já contêm disposições sobre
a utilização estatística. A Convenção 108 também abre uma excepção para utilização de dados
para estatística ou para pesquisa científica19.
A Directiva também permite aos Estados Membros que restrinjam o âmbito de certos
direitos e deveres, incluindo o princípio da limitação da finalidade, na alínea b) do n.º 1 do
artigo 6.º, desde que uma restrição constitua uma medida necessária à protecção de certos
interesses importantes20. Esta disposição segue a mesma lógica do artigo 9.º da Convenção 108.
17 Parágrafo 10 das Directrizes.

18 Alínea b) do n.º 1 do artigo 6.º da Directiva.
19 N.º 3 do artigo 9.º da Convenção. Esta disposição aplica-se “quando manifestamente não haja risco de atentado à vida privada dos
seus titulares”. O ponto 55 do Memorando Explicativo das Directrizes da OCDE também menciona que uma “autoridade de direito”
pode permitir que “dados que foram recolhidos para finalidades de tomada de decisão administrativa podem ser disponibilizados para
pesquisa, estatística e planeamento social”.
20 Artigo 13.º da Directiva.
12
Aplicação da Directiva
Um estudo intitulado “Avaliação da aplicação da Directiva de Protecção de Dados”21

sublinha que a aplicação das disposições da Directiva sobre limitação da finalidade é por vezes
insatisfatória, incluindo, entre outras coisas, garantias para tratamento posterior de dados
para finalidades de investigação. Na análise técnica da transposição da Directiva nos Estados
Membros22, a Comissão dá detalhes adicionais sobre a aplicação do artigo 6.º.
A análise explica que, muito embora a legislação da maior parte dos Estados Membros
defina os princípios da determinação da finalidade e da limitação da finalidade em termos
semelhantes aos usados na Directiva, a flexibilidade destes princípios tem levado, de facto,
a aplicações divergentes. As divergências afectam diversos aspectos do conceito. Os Estados
Membros aplicam critérios diferentes para analisar as noções de determinação da finalidade e
de utilização incompatível. Nalguns países podem aplicar-se regras especiais ao sector público.
Noutros, as finalidades podem ser por vezes definidas em termos muito latos. As abordagens
dos Estados Membros também variam quanto ao modo de tornar explícitas as finalidades, por
exemplo, se a determinação da finalidade é exigida na notificação à autoridade de protecção de
dados ou na informação à pessoa em causa23. As regras relativas à modificação da finalidade,
incluindo para finalidades de investigação e estatísticas, também variam consideravelmente, tal
como os termos dos requisitos de garantias para estas utilizações específicas.
Quanto à noção de utilização incompatível, o estudo nota que o critério para determinar a
incompatibilidade varia entre as “expectativas razoáveis” da pessoa em causa (nalguns casos
na Bélgica) e a aplicação de critérios de equilíbrio (Alemanha e Holanda), ou fica intimamente
ligado aos restantes princípios de garantia da transparência, licitude e lealdade (Reino Unido
e Grécia).
A Carta dos Direitos Fundamentais
A Carta dos Direitos Fundamentais da União Europeia (“A Carta”) foi inicialmente
proclamada em Nice, em 2000. A partir da entrada em vigor do Tratado de Lisboa, em 1 de
Dezembro de 2009, a Carta, em conformidade com o novo artigo 6.º do Tratado da União
Europeia (“TUE”), passou a ter “o mesmo valor jurídico que os Tratados”. A Carta consagra
a protecção de dados enquanto direito fundamental, ao abrigo do artigo 8.º, sendo distinto do
respeito pela vida privada e familiar ao abrigo do artigo 7.º Esta característica distingue a Carta
de outros instrumentos de direitos humanos, os quais – na sua maioria – tratam a protecção de
21 Vide Anexo 2 à Avaliação de Impacto do conjunto de reformas da Comissão, citada na nota 2, supra.
22 Análise e estudo de impacto da aplicação da Directiva CE 95/46 nos Estados Membros. Vide http://ec.europa.eu/justice/policies/
privacy/docs/lawreport/consultation/technical-annex_en.pdf.
23 O Reino Unido especifica várias opções. É também de notar que o parágrafo 54 do Memorando Explicativo das Directrizes da OCDE
aceita que a “determinação das finalidades possa ser feita por uma variedade de meios alternativos ou complementares, tais como
declarações públicas, informação às pessoas em causa, legislação, decretos administrativos e licenças concedidas pelos órgãos de
supervisão”.
13
dados pessoais como uma extensão ao direito à privacidade. Esta evolução torna-se claramente
visível quando se compara a Carta de 2000 com a Convenção Europeia dos Direitos do Homem
de 195024.
A Carta estabelece com clareza o princípio da limitação da finalidade, especificando que

os dados pessoais “devem ser objecto de um tratamento leal, para fins específicos”. A Carta
também estabelece, enquanto requisito distinto, a exigência de um fundamento legítimo para
o tratamento. Em especial, estabelece que os dados pessoais devem ser processados: “com o
consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei”25.
Perspectivas para o futuro
Em conclusão, a história do conceito de limitação da finalidade, quer na EU quer no

seu exterior (ver os desenvolvimentos na OCDE e no Conselho da Europa), mostra que a
determinação da finalidade e a utilização compatível são princípios essenciais no sistema de
protecção de dados. Além disso, hoje, estando em revisão três instrumentos-chave da protecção
de dados (A Convenção 108, as Directrizes da OCDE e a Directiva) há um consenso sobre
a importância de conservar estes princípios enquanto requisitos fundamentais a preencher
quando se tratam dados pessoais.
Contudo, mesmo se princípio da limitação da finalidade em si mesmo aparenta ser estável,

o seu significado preciso, incluindo quaisquer excepções, está actualmente em discussão.
O facto de a determinação da finalidade e a legitimidade serem dois requisitos diferentes e
cumulativos, o que é expressamente confirmado pelo artigo 8.º da Carta, está posto em causa
na proposta de Regulamento Geral sobre a Protecção de Dados26. No enquadramento proposto,
o tratamento de dados para finalidades incompatíveis é permitido, desde que exista um novo
fundamento legal: a ser assim, o tratamento posterior seria considerado como uma nova operação
de tratamento de dados, desligada da finalidade original. Esta modificação da finalidade tornar-
se-ia possível com qualquer um dos fundamentos do n.º 1 do artigo 6.º, excepto os interesses
legítimos do responsável pelo tratamento27. Este novo desenvolvimento reforça a justificação
para o presente trabalho, que pretende clarificar o âmbito e função exactos deste importante
princípio.
II.2. Papel do conceito
A determinação da finalidade é uma condição essencial para o tratamento de dados

pessoais e um requisito prévio à aplicação dos restantes requisitos em matéria de qualidade
dos dados. A determinação da finalidade e o conceito de utilização compatível contribuem
24 Conforme se explica acima, a CEDH não contém um direito explícito e autónomo à protecção de dados. Ao invés, a protecção de
dados no contexto da CEDH emergiu da jurisprudência do Tribunal Europeu dos Direitos do Homem em Estrasburgo, enquanto
aspecto da protecção da privacidade.
25 Vide n.º 2 do artigo 8.º da Carta.
26 Vide nota 2, supra.
27 N.º 4 do artigo 6.º da proposta de Regulamento Geral sobre a Protecção de Dados.
14
para a transparência, certeza e segurança jurídicas; destinam-se a proteger a pessoa em causa
estabelecendo limites a como os responsáveis pelo tratamento podem utilizar os seus dados e
reforçar a lealdade do tratamento. A limitação deverá, por exemplo, evitar a utilização de dados
pessoais dos indivíduos de forma (ou para finalidades adicionais) que estes possam considerar
inesperada, inadequada ou de outro modo objectável. Ao mesmo tempo, a noção de utilização
compatível também oferece algum grau de flexibilidade aos responsáveis pelo tratamento.
Para apoiar a análise do conceito de limitação da finalidade, descrevem-se brevemente os

dois pilares do conceito: “determinação da finalidade” e “utilização compatível”.
II.2.1. Primeiro pilar: determinação da finalidade
Recolha para finalidades “determinadas, explícitas e legítimas”
A alínea b) do n.º 1 do artigo 6.º da Directiva dispõe que os dados pessoais devem ser
somente recolhidos para finalidades “determinadas, explícitas e legítimas”. Os dados são
recolhidos para certos fins; estes fins são a “razão de ser”* das operações de tratamento.
Enquanto pré-requisito aos restantes requisitos sobre qualidade dos dados, a determinação da
finalidade estabelece quais os dados relevantes a recolher, os períodos de retenção, e todos os
restantes aspectos-chave de como os dados serão tratados para as finalidades seleccionadas.
Em primeiro lugar, qualquer finalidade deve ser determinada, isto é, definida de forma
suficiente para permitir a aplicação de quaisquer garantias de protecção de dados necessárias,
e para delimitar o âmbito da operação de tratamento. Como e quando esta determinação tem
lugar será discutido na Secção III.1.1.
Em segundo lugar, para ser explícita, a finalidade deve ser suficientemente inequívoca
e claramente expressa. A comparação entre “finalidade explícita” e “finalidade oculta” pode
ajudar a compreender o âmbito deste requisito, conforme melhor se discutirá na Secção III.1.2.
Em terceiro lugar, as finalidades também têm que ser legítimas. Esta noção vai além da
exigência de existência de um fundamento legal para o tratamento, ao abrigo do artigo 7.º da
Directiva e alarga-se igualmente a outras áreas do Direito. A determinação da finalidade ao
abrigo do artigo 6.º e o requisito de um fundamento legal ao abrigo do artigo 7.º são, assim,
dois requisitos separados e cumulativos28.
A utilização do termo “legítimas” no artigo 6.º estabelece uma conexão com o artigo 7.º mas
também com princípios jurídicos mais amplos da lei aplicável, tais como a não-discriminação.
A noção de legitimidade deve igualmente ser interpretada no contexto do tratamento, o que
* Nota do tradutor: “Raison d’être” no original Inglês.
28 O n.º 2 do artigo 8.º da Carta também torna claro que o requisito da determinação da finalidade é separado e cumulativo, aplicável
em adição ao requisito de um fundamento legal adequado.
15
determina as “expectativas razoáveis” da pessoa em causa. Este aspecto será desenvolvido na
Secção III.1.3.
Pré-requisito para outros requisitos de qualidade dos dados
Ao aplicar o Direito de protecção dos dados, deve em primeiro lugar assegurar-se que a
finalidade é determinada, explícita e legítima. Trata-se de um pré-requisito para os restantes
requisitos de qualidade dos dados, incluindo a adequação, a relevância e a proporcionalidade
(alínea c) do n.º 1 do artigo 6.º), a exactidão e a completude (alínea d) do n.º 1 do artigo 6.º) e
os requisitos relativos à duração da conservação (alínea e) do n.º 1 do artigo 6.º).
Nos casos nos quais existam desde o início diversas finalidades e diferentes espécies de
dados sejam recolhidas e tratadas simultaneamente para diferentes finalidades, os requisitos de
qualidade dos dados devem ser observados em separado para cada uma das finalidades.
Se os dados pessoais forem tratados posteriormente para uma finalidade diferente:
• a(s) nova(s) finalidade(s) devem ser determinadas (alínea b) do n.º 1 do artigo 6.º), e
• deve ser assegurado que todos os requisitos de qualidade dos dados (alíneas a) a e) do
n.º 1 do artigo 6.º) são igualmente observados para as novas finalidades.
II.2.2. Segundo pilar: utilização compatível
A alínea b) do n.º 1 do artigo 6.º também introduz as noções de “tratamento posterior”29

e utilização “incompatível” e exige que o tratamento posterior não seja incompatível com
as finalidades para as quais os dados pessoais foram recolhidos. Em especial, a alínea b) do
n.º 1 do artigo 6.º exige que os dados pessoais não sejam “posteriormente tratados de forma
incompatível” com essas finalidades e o Considerando 28 declara que “que as finalidades dos
tratamentos posteriores à recolha não podem ser incompatíveis com as finalidades especificadas
inicialmente”.
A proibição de utilização incompatível estabelece um limite à utilização posterior. Exige

que se faça uma distinção entre a utilização posterior que é “compatível” e a utilização posterior
que é “incompatível” e portanto proibida. O enquadramento geral e os critérios específicos que
apoiam a realização desta avaliação serão discutidos desenvolvidamente na Secção III.2.
Neste contexto, na Secção III.2.3 trataremos igualmente as disposições especiais da alínea

b) do n.º 1 do artigo 6.º, sobre o “tratamento posterior para fins históricos, estatísticos ou
científicos”. Do texto da alínea b) do n.º 1 do artigo 6.º, por si só, não resulta claro se esta disposição
específica deve ser vista como uma excepção à proibição geral da utilização incompatível,
29 Sobre a noção de “tratamento posterior” vide Secção III.2.1.
16
conferindo uma posição privilegiada aos “fins históricos, estatísticos ou científicos”, ou como
um desenvolvimento especial da norma geral, que não exclua a consideração de outros casos
como igualmente “não incompatíveis”. A análise do presente Parecer sustenta com firmeza
este segundo ponto de vista: esta norma específica pode dar origem a critérios mas gerais de
compatibilidade (por exemplo, o impacto potencial sobre a pessoa em causa e as garantias
adequadas).
Isto conduz, na nossa análise, a um papel mais proeminente das diversas espécies de
garantias, incluindo as medidas técnicas e organizativas para assegurar separação funcional,
tais como a anonimização, a pseudonimização, a agregação de dados e as tecnologias de
aperfeiçoamento da privacidade (vide desenvolvimento na Secção III.2).
II.3. Conceitos relacionados
Transparência
Existe uma forte ligação entre a transparência e a determinação da finalidade. Quando

a finalidade determinada é visível e partilhada com as partes interessadas, tais como as
autoridades de protecção de dados e as pessoas em causa, as garantias podem ser plenamente
efectivas. A transparência assegura a previsibilidade e permite o controlo pelo utilizador.
Previsibilidade
Se uma finalidade for suficientemente específica e clara, os indivíduos sabem o que podem
esperar: o modo como os dados são tratados será previsível. Isto dá certeza jurídica às pessoas
em causa e também àqueles que tratam dados por conta do responsável pelo tratamento.
A previsibilidade é também relevante quando se avalia a compatibilidade das actividades

posteriores de tratamento. Em geral, o tratamento posterior não pode ser considerado previsível
se não estiver suficientemente relacionado com a finalidade original e não preencher as
expectativas razoáveis das pessoas em causa no momento da recolha, com base no contexto
da recolha.30
Controlo pelo utilizador
O controlo pelo utilizador só é possível quando a finalidade do tratamento de dados é

suficientemente clara e previsível. Se as pessoas em causa compreenderem plenamente as
finalidades do processamento, poderão exercer os seus direitos da forma mais efectiva. Por
30 Dito isto, podem ocorrer situações nas quais os dados inicialmente recolhidos para uma finalidade ou conjunto de finalidades podem,
todavia, ser subsequentemente utilizados para finalidades diferentes (ou para as mesmas finalidades mas de formas originais), mesmo
se este tratamento posterior não pudesse corresponder às expectativas originais das pessoas em causa. Nestas situações, garantias
adicionais, como por exemplo, consentimento informado das pessoas em causa, podem auxiliar a garantir que o tratamento posterior
corresponde às expectativas das pessoas em causa no momento da utilização posterior.
17
exemplo, poderão objectar ao tratamento ou exigir a rectificação ou apagamento dos seus
dados.
Conforme se desenvolve abaixo, isto não significa que se deva sempre confiar que a
finalidade apresentada é a finalidade real e efectiva, já que pode haver discrepâncias entre
aquilo que é afirmado e aquilo que é, na prática, realizado pelo responsável pelo tratamento. Em
última análise, a conformidade com os restantes requisitos de protecção de dados, tais como a
necessidade e a relevância dos dados, carecem sempre de ser ponderados face à finalidade real.
II.4. Contexto e consequências estratégicas
O objectivo do presente Parecer é esclarecer o princípio da limitação da finalidade

e fornecer orientação para a sua aplicação prática. Isto deve ser feito com vista a auxiliar
a delimitar com clareza a utilização de dados pessoais, em primeiro lugar no interesse das
pessoas em causa, mas também para permitir a necessária flexibilidade aos responsáveis pelo
tratamento e para aperfeiçoar a previsibilidade e a certeza jurídica no interesse de todas as
partes interessadas.
Vários elementos conduzem à necessidade de uma análise em profundidade do conceito

de limitação da finalidade:
— O modo como tem sido aplicado nos Estados Membros, que tem levado a uma
diversidade de interpretações. Uma compreensão comum e clara do conceito
assegurará melhor a sua efectiva aplicação na prática – no interesse de todos os
intervenientes — e ajudará igualmente a encontrar a melhor via, rumo a um novo
enquadramento legislativo.
— O contexto actual das actividades de tratamento. O desenvolvimento de novas

tecnologias resulta numa crescente disponibilidade dos dados, para uma grande
diversidade de finalidades.
— As tendências actuais para a reutilização dos dados pelo sector privado (“megadados”)
mas também as iniciativas de “dados abertos” e de “partilha de dados” propostas por
muitos governos, incluindo iniciativas legislativas da EU, são aqui especialmente
relevantes31.
Com o desenvolvimento das utilizações multifuncionais de dados, torna-se sobremaneira

relevante a obtenção de uma boa compreensão do papel e do significado do princípio da
limitação da finalidade. Uma das armadilhas mais perigosas seria a de rejeitar ou enfraquecer
31 Neste contexto, há que recordar que a limitação da finalidade não se aplica apenas aos dados pessoais detidos pelo sector privado, mas
também aos dados pessoais detidos pelo sector público. Adicionalmente, o princípio da limitação da finalidade continua a aplicar-
se aos dados pessoais, mesmo depois de tais dados serem tornados publicamente disponíveis. Para mais desenvolvimentos sobre
“megadados” e “dados abertos”, ver a Secção III.2.5 e o Anexo 2.
18
o conceito, simplesmente porque a sua aplicação tem sido demasiado variada e por não haver
um entendimento geral da noção, ou porque a realidade do tratamento de dados evoluiu e é um
desafio proceder à aplicação de um conceito válido a uma realidade transformada.
Deveria ter-se presente que o tratamento de dados pessoais tem um impacto nos direitos
fundamentais das pessoas em termos de privacidade e de protecção de dados. O impacto nos
direitos das pessoas tem necessariamente que ser acompanhado por uma limitação à utilização
que pode ser feita desses dados e, portanto, de uma limitação da finalidade. A erosão do princípio
da limitação da finalidade resultaria consequentemente na erosão de todos os princípios de
protecção de dados com ele relacionados.
III. Análise das disposições
III.1. Finalidades “determinadas, explícitas e legítimas”
A alínea b) do n.º 1 do artigo 6.º da Directiva exige que os dados pessoais sejam recolhidos
para finalidades “determinadas, explícitas e legítimas”. Estes requisitos são analisados abaixo.
III.1.1. As finalidades devem ser determinadas
O que é a determinação da finalidade e por que motivo é necessária?
Os dados pessoais devem ser recolhidos para finalidades determinadas. O responsável

pelo tratamento deve, portanto, considerar cuidadosamente qual a finalidade ou finalidades
para as quais os dados pessoais serão usados e não pode recolher dados pessoais que não sejam
necessários, adequados ou relevantes para a finalidade ou finalidades que se pretende servir.
A determinação da finalidade situa-se no núcleo do enquadramento jurídico estabelecido

para a protecção de dados pessoais. Para determinar se o tratamento de dados está em
conformidade com a lei e para estabelecer quais as garantias de protecção de dados que devem
ser aplicadas, é uma condição prévia necessária que se identifique(m) a(s) finalidade(s) que
justifica(m) a recolha de dados pessoais. Assim, a determinação da finalidade estabelece limites
às finalidades para as quais os responsáveis pelo tratamento podem usar os dados recolhidos e
ajuda também a estabelecer as necessárias garantias de protecção dos dados.
A determinação da finalidade exige que o responsável pelo tratamento efectue uma

avaliação interna e é uma condição necessária da sua responsabilidade. É um dos primeiros
passos-chave que um responsável pelo tratamento deve dar para assegurar conformidade com
a lei de protecção de dados aplicável. O responsável pelo tratamento tem que identificar quais
são as finalidades e deve igualmente documentar e ser capaz de demonstrar que efectuou esta
avaliação interna.
19
Em que momento devem as finalidades ser determinadas?
A alínea b) do n.º 1 do artigo 6.º da Directiva exige que os dados pessoais sejam “recolhidos”
para finalidades determinadas, explícitas e legítimas32. Pode assim inferir-se que as finalidades
devem ser determinadas anteriormente ou, em qualquer caso, nunca depois do momento em
que ocorre a recolha dos dados pessoais.
Com que grau de precisão e de detalhe deve a finalidade ser determinada?
A finalidade da recolha deve ser identificada de forma clara e específica: deve ser
suficientemente detalhada para determinar que espécie de tratamento está e não está incluída na
finalidade determinada e para permitir que a conformidade com a lei seja avaliada e aplicadas
as garantias de protecção de dados.
Por estes motivos, uma finalidade que é vaga ou geral, tal como por exemplo, “melhorar
a experiência do utilizador”, “finalidades de comercialização”, “finalidades de segurança
de tecnologias da informação” ou “investigação futura”, – sem mais detalhes – em regra
não preencherá o critério de ser “determinada”33. Dito isto, o grau de detalhe com que uma
finalidade deve ser determinada depende do contexto particular da recolha de dados e dos
dados pessoais envolvidos. Nalguns casos será suficiente o recurso a uma linguagem clara para
dar uma determinação adequada, enquanto noutros casos poderá ser exigido maior detalhe34.
O facto de a informação dever ser precisa não significa que sejam sempre necessárias, ou
sequer úteis, especificações longas e muito detalhadas. Na realidade, uma descrição detalhada
pode, por vezes, tornar-se contraproducente. Pode ser este o caso, quando, em especial,
determinações de finalidade escritas, detalhadas e excessivamente jurídicas apresentam mais
notificações de afastamento de responsabilidade do que informação útil para as pessoas em
causa e outras partes interessadas35.
A esta luz, a abordagem dos “avisos estratificados” às pessoas em causa funciona bem
com frequência, especialmente na internet e tem sido recomendada em muitas situações pelo
Grupo de Trabalho do artigo 29.º36. Isto significa que a informação-chave é comunicada às
pessoas em causa de uma forma concisa e acessível, ao passo que a informação adicional
(possivelmente através de um ponteiro para uma descrição mais detalhada do tratamento
numa outra página na internet) é disponibilizada para benefício daqueles que pretendem
esclarecimentos desenvolvidos37.
32 Vide igualmente o Considerando 28, que afirma que as finalidades “devem ser determinadas aquando da recolha dos dados”.
33 Vide Anexo 3, exemplos 7 e 8.
34 Vide Anexo 3, exemplos 1, 3 e 13.
35 Vide Anexo 3, exemplo 12.
36 Vide, por exemplo, o Parecer n.º 10/2004 do Grupo de Trabalho do artigo 29.º, sobre a prestação mais harmonizada da informação
(WP100) e o Parecer n.º 2/2009 do Grupo de Trabalho do artigo 29.º, sobre a protecção dos dados pessoais das crianças (Orientações
gerais e a situação especial das escolas) (WP160).
20
Se os dados pessoais forem recolhidos para mais que uma finalidade?
Os dados pessoais podem ser recolhidos para mais que uma finalidade. Nalguns casos,
estas finalidades, sendo distintas, estão ainda de algum modo relacionadas entre si. Noutros
casos as finalidades podem não estar relacionadas. A questão que aqui se suscita é saber até que
ponto o responsável pelo tratamento deve determinar cada uma destas finalidades distintas em
separado e que grau de detalhe adicional dever ser indicado38.
Para operações de tratamento “relacionadas”, pode ser útil o conceito de uma finalidade
conjunta, ao abrigo da qual diversas operações separadas de tratamento podem ter lugar39. Dito
isto, os responsáveis pelo tratamento devem evitar a identificação de uma única finalidade
alargada para justificar várias actividades de tratamento posterior que na realidade só
remotamente se relacionam com a verdadeira finalidade inicial.
Em última análise, para assegurar conformidade com a alínea b) do n.º 1 do artigo 6.º,
cada finalidade separada deve ser determinada em detalhe suficiente para permitir avaliar se a
recolha de dados pessoais para essa finalidade é ou não conforme à lei e para estabelecer quais
as garantias de protecção de dados que se aplicam40.
III.1.2. As finalidades devem ser explícitas
Qual o significado de “explícito” e por que motivo é necessário?
Os dados pessoais devem ser recolhidos para finalidades explícitas. As finalidades

da recolha não devem estar determinadas apenas no espírito das pessoas responsáveis pela
recolha. Devem igualmente ser tornadas explícitas. Por outras palavras, devem ser claramente
reveladas, explicadas ou expressas de alguma forma inteligível. Decorre da análise precedente
que tal deve suceder em momento não posterior àquele em que ocorre a recolha de dados.
O objectivo último deste requisito é assegurar que as finalidades são determinadas sem
vaguidão ou ambiguidade quanto ao seu significado ou intenção. Aquilo que se pretende deve ser
claro e não deve deixar dúvidas ou dificuldades de compreensão. Em especial, a determinação
das finalidades deve ser expressa de um modo tal que possa ser entendido da mesma forma, não
apenas pelo responsável pelo tratamento (incluindo todo o pessoal relevante) e por terceiros
38 Neste contexto é relevante mencionar que o artigo 18.º da Directiva exige aos Estados Membros que disponham impondo ao
responsável pelo tratamento o dever de “notificar a autoridade de controlo (…) antes da realização de (…) tratamentos (…) destinados
à prossecução de uma ou mais finalidades interligadas”. Esta disposição introduz a noção de “finalidades interligadas”. Nalguns
Estados Membros, por exemplo a Bélgica, as finalidades relacionadas entre si podem ser notificadas à autoridade de protecção de
dados na mesma forma.
40 Se os dados pessoais forem tratados para várias finalidades, todos os requisitos do artigo 6.º se aplicam separadamente a cada uma das
finalidades. Assim, nem todos os dados recolhidos para uma finalidade poderão ser sempre relevantes, necessários e não excessivos
para todas as restantes finalidades (relacionadas ou não) definidas no momento da recolha original ou em momento posterior. Isto
exige, portanto, uma análise caso a caso, quer na fase inicial, quer em qualquer fase posterior, sempre que uma nova finalidade passe
a estar contemplada.
21
subcontratantes, mas também pelas autoridades de protecção de dados e pelas pessoas em
causa. Deve ser dado um cuidado especial a assegurar que todas as determinações de finalidade
são suficientemente claras para todos os envolvidos, independentemente das suas qualificações
culturais ou linguísticas, gau de compreensão ou necessidades especiais41.
O requisito de que as finalidades sejam determinadas “explicitamente” contribui para a

transparência e a previsibilidade. Permite a identificação inequívoca dos limites a como poderão
os responsáveis pelo tratamento utilizar os dados pessoais recolhidos, em vista a proteger as
pessoas em causa. Auxilia os subcontratantes, bem como as pessoas em causa, as autoridades
de protecção de dados e outras partes interessadas, a alcançar um entendimento comum de
como poderão os dados ser utilizados. Isto, por seu turno, reduz o risco de que as expectativas
das pessoas em causa difiram das expectativas do responsável pelo tratamento.
Em muitas situações o requisito também permite às pessoas em causa que tomem decisões
informadas – por exemplo, tratar com uma empresa que utiliza dados pessoais para um conjunto
limitado de finalidades em vez de com uma empresa que utiliza os dados pessoais para uma
maior variedade de finalidades.
Em segundo plano, notamos que a palavra “explicit” não foi traduzida com significado
idêntico nas línguas das diferentes versões da Directiva42. Em algumas versões o requisito
parece focar mais claramente o resultado final: no objectivo de que as finalidades sejam
inequívocas e que sejam entendidas da mesma maneira por todos os envolvidos. Noutras
versões o foco está no método pelo qual este resultado final deve ser alcançado: no requisito de
que as finalidades sejam claramente expressas e explicadas.
Um ponto comum a estas abordagens é necessário expressar e comunicar tanta informação

quanta a que for precisa para assegurar que todos os envolvidos alcançam a mesma compreensão
inequívoca das finalidades do tratamento43.
Sob que forma e a quem devem as finalidades ser tornadas explícitas?
O requisito de que as finalidades sejam explícitas é distinto do requisito de informar a pessoa

em causa (artigos 10.º e 11.º da Directiva) e do requisito de notificar a autoridade supervisora
(artigo 18.º). Não obstante, todos os três requisitos estão estreitamente relacionados entre si e
cada um deles serve, como um dos seus principais objectivos, o objectivo da transparência.

42 Várias línguas, incluindo o Inglês “explicit”, o Italiano “explicite” e o Francês “explicite”, usam a mesma raiz latina. O verbo original
em Latim do qual todos estes adjectivos derivam é “explicare”, com o significado de “revelar”, “desemaranhar”, “explicar”, e assim
parece implicar uma exigência de que as finalidades sejam expressas e explicadas de algum modo. Versões em outras línguas focam
a exigência do resultado final, de que a determinação das finalidades seja inequívoca. Ver, por exemplo, o Alemão “eindeutig” e
o Húngaro “egyértelmű”, que podem ser traduzidos como “inequívoco” e não exigem necessariamente que as finalidades sejam
“expressas” de algum modo. Contudo, o Neerlandês “uitdrukkelijk omschreven” é, de novo, semelhante a “explícito”.
22
Expressar as finalidades na acepção da alínea b) do n.º 1 do artigo 6.º pode ser
efectuado de várias maneiras. Estas incluem, por exemplo, descrever as finalidades num
aviso disponibilizado às pessoas em causa, numa notificação à autoridade supervisora, ou
internamente, na informação comunicada a um funcionário de protecção de dados. Algumas
leis nacionais admitem especificamente que os avisos e as notificações são ambos formas
aceitáveis de cumprimento do requisito de explicitar as finalidades do tratamento, mas que não
são as únicas possibilidades44.
As Directrizes da OCDE dão ênfase à flexibilidade e mencionam especificamente45 que

a “determinação das finalidades possa ser feita por uma variedade de meios alternativos ou
complementares, tais como declarações públicas, informação às pessoas em causa, legislação,
decretos administrativos e licenças concedidas pelos órgãos de supervisão”. O que é importante
é a qualidade e a consistência da informação prestada.
Em termos de responsabilidade, a determinação por escrito das finalidades e a produção

de documentação adequada apoiam a demonstração de que o responsável pelo tratamento
cumpriu o requisito da alínea b) do n.º 1 do artigo 6.º Também permite às pessoas em causa o
exercício mais efectivo dos seus direitos — por exemplo, fazer prova da finalidade original e
permitir a comparação com as finalidades subsequentes do tratamento.
A determinação por escrito das finalidades pode ser útil, ou mesmo necessária, em muitas
circunstâncias. Em especial, actualmente, muitas actividades de tratamento de dados decorrem
num contexto complexo, opaco e ambíguo, especialmente na internet. Nestas situações é
necessário um cuidado especial para determinar inequivocamente as finalidades46.
Dito isto, por vezes o contexto e o costume podem tornar suficientemente claro a todos os
envolvidos, incluindo os que efectuam o tratamento dos dados e as pessoas em causa, como os
dados serão utilizados. Se isto for possível sem correr o risco da incerteza e da ambiguidade47, a alínea
b) do n.º 1 do artigo 6.º pode por vezes ser observada com a mera expressão dos elementos
essenciais48. Contudo, nessas situações, deve ser prestada informação mais detalhada àqueles
que a pedirem.
A prestação de informação detalhada às pessoas em causa podem nem sempre ser

necessária nos casos simples e directos nos quais a pessoa em causa já pode, sem qualquer
dúvida e inequivocamente, determinar as finalidades do tratamento a partir do contexto e do
costume49.
44 É, por exemplo, a situação do Reino Unido.

45 Vide parágrafo 54 do Memorando Explicativo das Directrizes.
46 Vide Anexo 3, exemplos 1, 2, 3, 8, 13 e 14.
47 Sujeito possivelmente a outros requisitos ao abrigo dos artigos 10.º, 11.º e 18.º da Directiva.
49 Os artigos 10.º e 11.º da Directiva 95/46/CE abrem uma excepção específica à exigência de aviso nos casos nos quais a pessoa em
causa “já tiver conhecimento” da informação.
23
O que sucede no caso de insuficiências graves?
É possível que o responsável pelo tratamento não cumpra as exigências da alínea b) do n.º
1 do artigo 6.º da Directiva: por exemplo, se não determinar as finalidades do tratamento com
suficiente detalhe ou em linguagem clara e inequívoca. Noutras situações, a informação prestada
pode não corresponder aos factos do caso, ou pode conter inconsistências sobre a finalidade
(por exemplo, entre o aviso às pessoas em causa e a notificação à autoridade supervisora).
Também pode haver casos nos quais o aviso de protecção de dados detalhado e legalista inclua
termos e condições desleais, surpreendentes ou unilaterais sobre as finalidades para as quais os
dados poderão ser utilizados e que não correspondem inteiramente às expectativas razoáveis
das pessoas em causa.
É crucial considerar as consequências de tais insuficiências. É importante enfatizar que não

declarar, ou não declarar com exactidão a finalidade ou finalidades do tratamento não significa
que o responsável pelo tratamento possa tratar dados pessoais para toda e qualquer finalidade à
sua discrição, ou que fique livre para determinar as finalidades com base nas suas expectativas
subjectivas ou interpretação unilateral de informação inconsistente. Nem significa que um
documento cuidadosamente preparado pelos advogados do responsável pelo tratamento (por
exemplo, avisos de protecção de dados enganadores ou contendo termos contratuais desleais)
possa legitimar o tratamento para as finalidades descritas nessas situações. Em tais casos será
necessário reconstruir as finalidades do tratamento, tendo em mente os factos do caso.
Embora a finalidade determinada publicamente seja o principal indicador daquilo que

realmente o tratamento de dados visa, não é uma referência absoluta: quando as finalidades
forem determinadas inconsistentemente ou as finalidades determinadas não corresponderem à
realidade (por exemplo, no caso de um aviso de protecção de dados enganador), deverão ser
tidos em conta todos os elementos de facto, bem como o entendimento comum e as expectativas
razoáveis das pessoas em causa baseadas nesses factos, para determinar as finalidades reais50.
III.1.3. As finalidades devem ser legítimas
A legitimidade é um requisito amplo
Os dados pessoais devem ser recolhidos para finalidades legítimas. Este requisito vai além
de uma simples remissão para o artigo 7.º51 da Directiva, que desenha os “critérios para legitimar
o tratamento de dados” e enuncia seis fundamentos jurídicos diferentes para o tratamento de
dados, que vão do consentimento da pessoa em causa até ao critério do equilíbrio de interesses.
Para que as finalidades sejam legítimas, o tratamento deve – em todas as fases e a todo o
50 Além disso, a infracção dos requisitos da alínea b) do n.º 1 do artigo 6.º da Directiva pode ainda ter consequências graves. Por
exemplo, pode levar a uma interdição do tratamento ou a sanções legais a impor pela autoridade de protecção de dados competente.
51 O mesmo se diga dos n.ºs 1 a 4 do artigo 8.º da Directiva, relativos a “categorias específicas de dados”, quando aplicável.
24
tempo – estar baseado em pelo menos um dos fundamentos legais indicados no artigo 7.º No
entanto, o requisito de que as finalidades sejam legítimas é mais amplo do que o âmbito do
artigo 7.º Além disso, a alínea b) do n.º 1 do artigo 6.º também exige que as finalidades estejam
em conformidade com todas as disposições da lei de protecção de dados aplicável, bem como
de outras leis, tais como as leis do trabalho, dos contratos, de protecção do consumidor, etc.
O requisito da legitimidade significa que as finalidades devem ser “conformes à lei” no

sentido mais lato. Isto inclui todas as formas de lei escrita e de common law, de legislação
primária e secundária, decretos municipais, precedentes judiciais, princípios constitucionais,
direitos fundamentais, outros princípios de Direito, bem como da ciência jurídica, na medida
em que tais fontes possam ser interpretadas e tidas em conta pelos tribunais competentes52.
Dentro dos limites da lei, outros elementos tais como o costume, códigos de conduta,
códigos de ética, cláusulas contratuais, o contexto geral e os factos do caso, podem também
ser considerados para determinar se uma certa finalidade é legítima. Isto inclui a natureza da
relação subjacente entre o responsável pelo tratamento e as pessoas em causa, seja ou não uma
relação comercial.
A legitimidade de uma dada finalidade pode também mudar com o tempo, dependendo
dos desenvolvimentos científicos e tecnológicos, das mudanças da sociedade e das atitudes
culturais
No Anexo 3 dão-se exemplos para ilustrar como se efectua na prática a determinação

da finalidade.
III.2. Avaliação da compatibilidade
A alínea b) do n.º 1 do artigo 6.º da Directiva dispõe que os dados pessoais recolhidos para
uma ou mais finalidades não podem ser “posteriormente tratados de forma incompatível com
essas finalidades”.
A presente Secção discute como avaliar se o tratamento posterior é compatível com as

finalidades determinadas aquando da recolha.
Isto é feito começando por traçar um enquadramento geral para uma “avaliação da
compatibilidade” (Secção III.2.1), e explicando em seguida os factores mais comuns a
considerar na avaliação (Secção III.2.2).
Depois, consideraremos algumas aplicações específicas da avaliação da compatibilidade:

tratamento posterior para finalidades históricas, estatísticas ou científicas (alínea b) do n.º 1 do
25
artigo 6.º da Directiva) (Secção III.2.3); o caso das comunicações não solicitadas (Artigo 13.º
da Directiva relativa à privacidade e às comunicações electrónicas sobre comunicações não
solicitadas) (Secção III.2.4) e as iniciativas dos “megadados” e dos “dados abertos” (Secção
III.2.5).
A terminar, a Secção III.2.6 estabelece as consequências da incompatibilidade.
III.2.1. Enquadramento geral da avaliação da compatibilidade
A noção de tratamento “posterior”
É útil começar por esclarecer em que consiste o “tratamento posterior”. Tal como se
explicou anteriormente, decorre da alínea b) do n.º 1 do artigo 6.º e do Considerando 28 da
Directiva que as finalidades do tratamento devem ser determinadas antes, ou em todo o caso,
nunca depois, do momento que que ocorre a recolha de dados pessoais.
Ao estabelecer o requisito da compatibilidade, a Directiva não se refere especificamente

ao tratamento para as “finalidades originalmente determinadas” nem a tratamento para
“finalidades determinadas subsequentemente”. Ao invés, diferencia entre a primeira operação
de tratamento, que é a recolha, e todas as operações subsequentes de tratamento (incluindo, por
exemplo, aquela que é a primeira operação típica a seguir à recolha – o armazenamento dos
dados).
Por outras palavras: qualquer tratamento que se siga à recolha, quer seja para as finalidades
inicialmente determinadas, quer para finalidades adicionais, deve ser considerado “tratamento
posterior” e deve, assim, preencher o requisito da compatibilidade.
A noção de incompatibilidade
Em vez de impor um requisito de compatibilidade, o legislador optou por uma dupla

negativa: proibiu a incompatibilidade. Ao dispor que qualquer tratamento posterior é
permitido desde que não seja incompatível (e se os requisitos da legalidade também estiverem
simultaneamente preenchidos), os legisladores terão pretendido dar alguma flexibilidade
relativamente à utilização posterior. O facto de o tratamento posterior ser para uma finalidade
diferente não significa necessariamente que seja automaticamente incompatível: isto carece de
ser avaliado caso a caso, conforme se mostra abaixo.
Nalguns casos esta flexibilidade adicional pode ser necessária para permitir uma
modificação de âmbito ou de foco, em situações nas quais as expectativas da sociedade —
ou das próprias pessoas em causa – evoluíram acerca da utilização adicional que pode ser
dada aos dados. Isto é igualmente possível se aquando da determinação inicial da finalidade,
26
nem o responsável pelo tratamento nem a pessoa em causa tiverem pensado que viriam a ser
necessárias finalidades adicionais, embora se tenha vindo entretanto a constatar que os dados
poderiam realmente se muito úteis para outras coisas. Nalgumas destas situações (e em situações
semelhantes) uma modificação das finalidades pode ser permissível, e o tratamento posterior
considerado como não incompatível, desde que seja preenchido o requisito da compatibilidade.
Uma avaliação de compatibilidade puramente formal ou substantiva?
A natureza da avaliação a efectuar pelo responsável pelo tratamento (mas também pela
autoridade de protecção de dados, ao avaliar a conformidade legal) é decisiva. Em termos
muito breves, pode revestir duas formas. O critério da compatibilidade pode ser formal ou
substantivo:
— Uma avaliação formal compara as finalidades que foram inicialmente indicadas pelo
responsável pelo tratamento, habitualmente por escrito, com quaisquer finalidades
adicionais para descobrir se essas finalidades estavam ou não cobertas (explícita ou
implicitamente).
— Uma avaliação substantiva vai além das declarações formais para identificar quer a
finalidade original quer a nova, tendo em conta o modo como são (ou deveriam ser)
entendidas, dependendo do contexto e de outros factores.
Enquanto o primeiro método pode à primeira vista parecer mais objectivo e mais neutro,
corre o risco de ser demasiado rígido, dependendo excessivamente do texto formal. Ao fazê-lo,
pode encorajar os responsáveis pelo tratamento a determinar a finalidades de modo cada vez
mais legalista, em vista a assegurar margem para tratamentos de dados posteriores, em vez de
proteger os indivíduos envolvidos.
O segundo método é mais flexível e pragmático, mas também mais efectivo: pode ainda
permitir adaptação a desenvolvimentos futuros no seio da sociedade e continuar ao mesmo
tempo a garantir efectivamente a protecção dos dados pessoais. Uma questão importante será
então, evidentemente, identificar os critérios que auxiliarão a avaliar a partir de que ponto uma
finalidade diferente se torna uma finalidade incompatível. É este o tema da Secção III.2.2, na
qual se discutem os critérios relevantes e a sua utilização prática.
Diferentes cenários e necessidades de avaliação
Antes de passar a detalhar os factores que devem ser tidos em conta na avaliação da
compatibilidade, talvez seja útil sublinhar que na prática pode haver diversos cenários para esta
avaliação. Algumas das situações exigirão pouca ou nenhuma análise, outras uma avaliação
mais profunda, como se exemplifica abaixo:
27
— Cenário 1: A compatibilidade é óbvia à primeira vista: O tratamento posterior
pode ser achado compatível, porque os dados são tratados especificamente para alcançar as
finalidades determinadas aquando da recolha e de uma forma habitual para atingi-las. Assim, o
tratamento preenche claramente as expectativas das pessoas em causa, mesmo que nem todos
os detalhes tenham sido inteiramente expressos no início.
Exemplo n.º 1:
Um cliente contrata com um retalhista online a entrega de uma caixa de vegetais

orgânicos em sua casa, uma vez por semana. Após a “recolha” inicial do endereço e
informação bancária do cliente, estes dados são “tratados posteriormente” pelo retalhista
para pagamento e entrega. Isto está obviamente em conformidade com o princípio da
limitação da finalidade e não exige mais análise.
— Cenário 2: A compatibilidade não é óbvia e carece de análise adicional: Pode

haver uma “conexão” entre a finalidade determinada e a forma como os dados são
subsequentemente tratados; as finalidades estão relacionadas mas não são inteiramente
coincidentes. Também é possível que os dados sejam tratados posteriormente para
finalidades diferentes e não directamente relacionadas. Em todos estes casos é
necessário avaliar alguns factores relevantes, incluindo entre outras coisas a relação
entre a finalidade inicial e a finalidade do tratamento posterior e o contexto no qual os
dados foram recolhidos. Em princípio, quanto maior o afastamento entre a finalidade
inicial determinada aquando da recolha e as finalidades da utilização posterior, mais
detalhada e extensiva terá que ser a análise e pode mesmo haver necessidade de
avaliar à luz de alguns critérios adicionais. Nestas situações também poderá haver
ainda necessidade de incluir garantias adicionais para compensar a modificação da
finalidade (por exemplo, prestar informação adicional e opções explícitas à pessoa
em causa).
Exemplo n.º 2:
O retalhista da caixa de vegetais quer utilizar o endereço de correio electrónico e o

histórico de compras do cliente para lhe enviar ofertas personalizadas e cupões de desconto
para produtos semelhantes incluindo a sua gama de lacticínios orgânicos. Também quer
disponibilizar os dados do cliente, incluindo o nome, endereço de correio electrónico,
número de telefone e histórico de compras a um seu contacto comercial que abriu um talho
orgânico na vizinhança. Em ambos os casos o retalhista não pode assumir que a sua utilização
posterior é compatível e é necessária alguma análise adicional, com a possibilidade de se
atingirem conclusões diferenciadas (por exemplo, nos casos de utilização “interna” e de
transferência de dados53 ).
53 Ver também a Secção III.2.4 sobre comunicações não solicitadas e o artigo 13.º da Directiva relativa à privacidade e às comunicações
electrónicas sobre Comunicações não solicitadas.
28
— Cenário 3: A incompatibilidade é óbvia: Se os dados forem tratados de uma forma
ou para finalidades adicionais que uma pessoa razoável acharia, não só inesperados
mas também obviamente inadequados ou de outro modo objectáveis, e o tratamento
claramente não corresponde às expectativas de uma pessoa razoável colocada na
posição da pessoa em causa, é muito provável que sejam considerados incompatíveis.
Só em casos marginais de dúvida seria útil proceder a mais análise.
Exemplo n.º 3:
O cliente da caixa de vegetais também compra uma gama de outros produtos orgânicos
no sítio na web do retalhista, alguns deles com desconto. O retalhista, sem informar o
cliente, introduziu uma solução de software de personalização dos preços de aquisição que,
entre outras coisas, detecta se o cliente está a utilizar um computador Apple ou um PC com
Windows. Na sequência, o retalhista concede maiores descontos aos clientes que utilizam
Windows. Neste caso, a utilização posterior de dados disponíveis e a recolha desleal de
informação adicional, ambos para uma finalidade não relacionada (permitir “discriminação
de preços” secreta) são problemáticas.
Os cenários supra sublinham a necessidade de um número limitado de factores-chave

que podem auxiliar a focar a avaliação da compatibilidade, bem como a necessidade de uma
abordagem pragmática que permita a utilização de pressupostos práticos (“regras de ouro”)
baseados naquilo que uma pessoa razoável acharia aceitável sob quaisquer circunstâncias
dadas.
III.2.2. Factores-chave a considerar durante a avaliação da compatibilidade
Os Estados Membros desenvolveram alguns critérios úteis, em disposições legais

específicas e na prática, para avaliar a compatibilidade entre as finalidades determinadas
aquando da recolha e a forma pela qual os dados são tratados posteriormente. Estes critérios
são já largamente utilizados na prática e permitem a identificação de alguns factores-chave
comuns:
a) a relação entre as finalidades para as quais os dados foram recolhidos e as finalidades

do tratamento posterior
Este factor é provavelmente o mais óbvio já que a avaliação da compatibilidade é, antes

do mais, sobre a relação entre a finalidade inicial e a finalidade do tratamento posterior, tal
como já se aflorou acima. Isto deveria ser visto não apenas como uma questão textual, isto é,
como se compara a linguagem da finalidade inicial com as finalidades do tratamento posterior.
De facto pode suceder que só tenha sido usado um texto muito limitado, ou nenhum, para
expressar as finalidades iniciais (vide Secção III,1). O foco deverá ser na substância da relação
entre as finalidades da recolha e as finalidades do tratamento posterior.
29
Isto pode abranger situações nas quais o tratamento posterior já estava mais ou menos
implicado nas finalidades iniciais, ou assumido como um passo lógico seguinte no tratamento
em conformidade com essas finalidades, bem como situações nas quais só há um nexo parcial ou
nem sequer há nexo com as finalidades originais. Em todo o caso, quanto maior o afastamento
entre as finalidades da recolha e as finalidades do tratamento posterior, mais problemática se
torna a avaliação da compatibilidade54.
Tal como anteriormente se sublinhou no contexto da determinação da finalidade, é sempre

necessário ter em conta o contexto factual e a forma como uma certa finalidade é correntemente
entendida pelas partes interessadas relevantes nas várias situações sob análise.
b) o contexto no qual os dados foram recolhidos e as expectativas razoáveis das pessoas

em causa quanto à sua utilização posterior
O segundo factor foca o contexto específico no qual os dados foram recolhidos e nas
expectativas razoáveis das pessoas em causa quanto à sua utilização posterior, baseadas nesse
contexto. Por outras palavras, a questão aqui é saber para quê uma pessoa razoável colocada
na situação da pessoa em causa esperaria que os seus dados viriam a ser utilizados com base
no contexto da recolha55.
Um aspecto importante disto é a natureza da relação entre o responsável pelo tratamento

e a pessoa em causa. Isto exige não só uma revisão das declarações legais feitas, mas também
a consideração do que é a prática costumeira e geralmente esperada no contexto dado e na
relação dada (comercial ou não). Em geral, quanto mais inesperada ou surpreendente for a
utilização, mais provável se torna que seja considerada incompatível56.
Uma avaliação da natureza desta relação deve incluir também uma investigação do
equilíbrio de poderes entre a pessoa em causa e o responsável pelo tratamento. Em especial,
deve notar-se se as pessoas em causa ou quaisquer terceiros em sua representação, foram
obrigados a fornecer os dados ao abrigo da lei57. Em alternativa, a recolha de dados poderá
ter sido baseada numa relação contratual. Neste caso, a natureza do contrato e o equilíbrio de
poderes entre a pessoa em causa e o responsável pelo tratamento devem ser examinados (por
exemplo, até que ponto é fácil para a pessoa em causa pôr termo ao contrato e procurar um
fornecedor alternativo de serviços)58 . Se o tratamento posterior for baseado no consentimento,
deve avaliar-se até que ponto o consentimento foi dado livremente e qual a precisão dos seus
termos59. Em geral a avaliação da compatibilidade carece de ser mais estrita se à pessoa em
causa não tiver sido dada suficiente liberdade de escolha, se os termos do consentimento não
forem específicos e/ou se o tratamento posterior for considerado objectável.
54 Vide Anexo 4, em especial os exemplos 1, 2 e 3.
55 Vide Anexo 4, em especial os exemplos 1 e 2.
57 Vide Anexo 4, em especial os exemplos 2, 17, 18, 19, 20 e 22.
58 Vide Anexo 4, em especial o exemplo 8.
59 Vide Anexo 4, em especial os exemplos 7, 8, 9 e 10.
30
Em todos estes casos é igualmente importante considerar se o estatuto do responsável
pelo tratamento60, a natureza da relação ou do serviço prestado61 ou as obrigações aplicáveis,
legais ou contratuais (ou outras promessas feitas aquando da recolha) poderiam dar origem
a expectativas razoáveis de confidencialidade mais estrita ou a limitações mais estritas da
utilização posterior62. Em geral, quanto mais específico e restritivo for o contexto da recolha,
mais verosímeis se tornam as limitações sobre a sua utilização posterior63. Uma vez mais, é
necessário ter em conta o contexto factual e não basear-se simplesmente no texto em letras
pequeninas.
Na avaliação do contexto no qual os dados foram recolhidos e das expectativas

razoáveis da pessoa em causa quanto à sua utilização, deve igualmente ser prestada atenção
à transparência do tratamento (incluindo o tipo e conteúdo da informação prestada inicial
ou subsequentemente à pessoa em causa)64, bem como a se o tratamento posterior se baseia
em disposições legais65. Neste último caso, a segurança e a previsibilidade jurídicas em geral
poderão sugerir que a utilização posterior é compatível, mesmo se as pessoas em causa não
tiverem estado conscientes de todas as consequências envolvidas66.
c) a natureza dos dados e o impacto do tratamento posterior sobre as pessoas em causa
O terceiro factor foca a natureza dos dados e o impacto do tratamento posterior sobre as
pessoas em causa. Trata-se de uma abordagem bastante comum na lei de protecção de dados, a
qual foi ao fim e ao cabo concebida para proteger os indivíduos contra o impacto de utilizações
impróprias ou excessivas dos seus dados pessoais. A natureza dos dados tratados desempenha
um papel crítico em todas as suas disposições. Portanto, será importante avaliar se o tratamento
posterior envolve dados sensíveis, quer por pertencerem às categorias especiais de dados
do artigo 8.º da Directiva67, quer por outras razões, como nos casos de dados biométricos,
informação genética, dados de comunicações, dados de localização e outros tipos de dados
pessoais que exigem protecção especial68. Em geral, quanto mais sensível for a informação
60 Como, por exemplo, se é um advogado ou um médico.
61 Tal como, por exemplo, serviços de computação em nuvem para gestão de documentos pessoais, serviços de correio electrónico,
diários, leitores electrónicos equipados com funcionalidades de tomada de apontamentos, e várias aplicações de registo de vida que
podem conter informação muito pessoal.
62 Nalguns casos o contexto da recolha pode sugerir uma proibição completa de qualquer utilização posterior além de uma finalidade
específica e pré-determinada.
64 Vide Anexo 4, em especial os exemplos 5, 9, 10 e 12. Deve ter-se presente que o requisito de fornecer informação clara às pessoas em
causa é de tipo horizontal. Ainda, quanto melhor o responsável pelo tratamento preencher os requisitos da Directiva, mais provável
se torna que o tratamento posterior seja considerado compatível.
65 Isto é, disposições legais que descrevam fases ulteriores da finalidade para a qual os dados foram inicialmente recolhidos, o que
se distingue claramente das disposições legais que poderiam legitimar uma utilização incompatível sob certas circunstâncias (vide
Secção III.3).
67 As categorias especiais de dados incluem “dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções
religiosas ou filosóficas, a filiação sindical”, “dados relativos à saúde e à vida sexual” e “dados relativos a infracções, condenações
penais ou medidas de segurança”.
68 Também pode ser relevante considerar se a pessoa em causa é uma criança ou, por outro motivo pertence a um segmento mais
vulnerável da população que exige protecção especial, como por exemplo, os doentes mentais, os refugiados ou os idosos.
31
envolvida, mais restrito se torna o âmbito do que poderia ser uma utilização compatível69.
Na avaliação do impacto do tratamento posterior, quer as consequências positivas70,

quer as negativas devem ser tidas em conta. Nelas se podem incluir potenciais decisões ou
acções futuras de terceiros71 e situações nas quais o tratamento poderá levar à exclusão ou à
discriminação de indivíduos72. Além dos resultados adversos que possam ser especificamente
previstos, também os impactos emocionais devem ser tidos em conta, tais como a irritação,
o medo e o incómodo que podem resultar da perda de controlo da pessoa em causa sobre a
informação pessoal, ou da compreensão de que esta foi comprometida.
Num sentido mais amplo, o impacto relevante também pode incluir a maneira como os
dados são posteriormente tratados: se os dados são tratados por um responsável diferente noutro
contexto e com consequências desconhecidas, se os dados são tornados públicos ou de outro
modo disponibilizados a um grande número de pessoas, ou se grandes quantidades de dados
pessoais são tratados ou combinados com outros dados (por exemplo, no caso do tratamento
de perfis, para finalidades comerciais ou de aplicação da lei), em especial se tais operações não
forem previsíveis aquando da recolha73.
As consequências relevantes podem, portanto, ir desde consequências visadas e bem

definidas até consequências mais gerais e imprevisíveis, de escala ou âmbito variáveis. Uma
vez mais, em geral, quanto mais negativo ou incerto for o impacto do tratamento posterior,
mais improvável se torna que seja considerado como utilização compatível. A disponibilidade
de métodos alternativos para alcançar os objectivos perseguidos pelo responsável pelo
tratamento, com menos impactos negativos sobre a pessoa em causa, terá certamente que ser
uma consideração relevante neste contexto74.
d) as garantias aplicadas pelo responsável pelo tratamento para assegurar um

tratamento leal e para impedir quaisquer impactos indevidos sobre as pessoas em causa
Uma característica inerente a uma avaliação multifactorial é a de que as deficiências em

alguns pontos podem em certos casos ser compensadas por um melhor desempenho noutros
aspectos. É por este motivo que o quarto e último factor olha para as garantias que foram
aplicadas pelo responsável pelo tratamento para assegurar um tratamento leal e para impedir
quaisquer impactos indevidos sobre as pessoas em causa.
Medidas adicionais apropriadas podem, assim e em princípio, servir de “compensação”

69 Vide Anexo 4, em especial os exemplos 4, 12, 14, 16, 17 e 18. Contudo, não se pode excluir que mesmo dados pessoais altamente
sensíveis possam ser tratados posteriormente, desde que o tratamento preencha os critérios da avaliação da compatibilidade e, em
especial, estejam protegidas as expectativas razoáveis das pessoas em causa.
71 Vide Anexo 4, em especial os exemplos 1, 2, 12, 13, 17, 18, 19, 20, 21 e 22.
72 Vide Anexo 4, em especial os exemplos 5, 13, 14, 18 e 19.
73 Vide Anexo 4, em especial os exemplos 5, 9, 10, 19, 20, 21 e 22.
74 Vide Anexo 4, em especial os exemplos 4, 5, 6, 12 e 13.
32
para uma modificação da finalidade75 ou para o facto de as finalidades não terem sido
inicialmente determinadas com a clareza devida. Isto pode exigir que se tomem medidas
técnicas e/ou organizativas para assegurar separação funcional (tais como anonimização total
ou parcial, pseudonimização e agregação de dados), mas também que se dêem passos adicionais
em benefício das pessoas em causa, tais como transparência acrescida com a possibilidade de
objecção ou de dar consentimento específico. Saber se o resultado é ou não aceitável dependerá
da avaliação da compatibilidade no seu conjunto (isto é, incluindo estas medidas e o seu efeito
sobre os restantes aspectos mencionados acima).
Se as finalidades tiverem sido modificadas ou não tiverem sido determinadas com

clareza, uma primeira condição necessária (mas nem sempre suficiente) para assegurar a
compatibilidade é a re-determinação das finalidades. Frequentemente é também necessário
fornecer informações adicionais às pessoas em causa e – dependendo das circunstâncias e
da base legal do tratamento posterior – pode ser necessário criar uma oportunidade para lhes
permitir a auto-exclusão (opt-out) ou a auto-inclusão (opt-in)76.
Nalguns casos, pedir um consentimento separado, específico para o novo tratamento pode,
em especial, ajudar a compensar a modificação da finalidade77. Isto é, uma nova base legal
ao abrigo da alínea a) do artigo 7.º pode, em algumas situações, contribuir para compensar
a incompatibilidade. É importante reiterar, contudo, que os requisitos da compatibilidade ao
abrigo da alínea b) do n.º 1 do artigo 6.º e o requisito de uma base legal adequada ao abrigo da
alínea a) do artigo 7.º são cumulativos. Isto é, uma nova base legal por si só não pode legitimar
uma utilização posterior que de outro modo seja incompatível.
Além disso, a aplicação de medidas técnicas e organizativas adicionais pode ser

particularmente importante. A identificação das medidas relevantes é facilitada se forem tomados
em conta certos objectivos de protecção de dados e de segurança dos dados. Os objectivos
clássicos da segurança dos dados são a disponibilidade, a integridade e a confidencialidade.
Para preencher efectivamente os requisitos de protecção dos dados, os objectivos de protecção
de dados da transparência, do isolamento (limitação da finalidade) e da “capacidade de
intervenção” devem igualmente ser considerados78.
Ao tentar identificar as medidas técnicas e organizativas que se qualificam como garantias

adequadas para compensar a modificação da finalidade, o foco é frequentemente lançado
sobre a noção de isolamento79. Exemplos de medidas relevantes podem incluir, entre outras
coisas, anonimização total ou parcial, pseudonimização ou agregação de dados, tecnologias de
75 Isto decorre implicitamente da disposição específica sobre o tratamento posterior para finalidades históricas, estatísticas ou científicas
da alínea b) do n.º 1 do artigo 6.º da Directiva (vide Secções II.2.2 e III.2.3).
76 Se for exigido, deve notificar-se igualmente a autoridade de protecção de dados.
77 Vide Anexo 4 e compare-se, em especial, os exemplos 7 e 8.
78 Vide Parecer 05/2012 do Grupo de Trabalho instituído ao abrigo do Artigo 29.º relativo a Computação em Nuvem adoptado em 1 de
Julho de 2012 (WP 196), em especial a Secção 3.4.
79 Vide Secção 3.4 do Parecer 05/2012 relativo a Computação em Nuvem, acabado de referir. Além disso deve notar-se que na Alemanha,
o conceito mais vasto de “não-ligabilidade” foi introduzido na legislação e é promovido pela Conferência dos Comissários de
Protecção de Dados.
33
aperfeiçoamento da privacidade, bem como outras medidas para assegurar que os dados não
podem ser usados para tomar decisões ou outras acções relativas aos indivíduos (“separação
funcional”). Estas medidas são especialmente relevantes no contexto da utilização posterior
para “finalidades históricas, estatísticas ou científicas”, conforme se desenvolve abaixo80.
Embora esta apresentação de factores-chave não seja exaustiva, ela tenta sublinhar as
questões típicas que podem ser consideradas numa abordagem equilibrada; nem demasiado
geral ao ponto de perder o significado, nem demasiado específica, tornando-se excessivamente
rígida. Como se mostra acima, cada factor pode ser mais desenvolvido, em critérios mais
detalhados ou mais específicos. À medida que a tecnologia, a sociedade e as práticas comerciais
continuam a evoluir, é possível que certos factores se tornem mais ou menos importantes, e
possam exigir atenção específica na avaliação da compatibilidade.
Deve salientar-se que a avaliação da compatibilidade implicará com frequência uma

avaliação sob múltiplos critérios. Embora possa haver casos nos quais nem todas as considerações
mencionadas acima serão relevantes, a avaliação exigirá, tipicamente, a apreciação de um certo
número de factores relevantes aplicados de forma cumulativa. Os seus diferentes pesos terão,
portanto, impacto na avaliação global.
No Anexo 4 fornecem-se exemplos práticos para ilustrar a avaliação da compatibilidade

com base nestes factores.
III.2.3. Tratamento posterior para finalidades históricas, estatísticas ou científicas
A alínea b) do n.º 1 do artigo 6.º da Directiva contém uma disposição específica sobre o
tratamento posterior para “fins históricos, estatísticos ou científicos”81. Esta disposição, lida em
conjunto com os Considerandos relevantes, permite o tratamento posterior dos dados para fins
históricos, estatísticos ou científicos desde que o responsável pelo tratamento compense esta
modificação com a aplicação de “garantias adequadas” e em especial assegure que os dados
não serão utilizados para apoiar medidas ou decisões relativas a quaisquer indivíduos.
Objectivo da disposição sobre o tratamento para “fins históricos, estatísticos ou

científicos”
A disposição contribui para uma maior certeza jurídica. Não deve ser lida como se abrisse
81 Em conformidade com a alínea b) do n.º 1 do artigo 6.º, o tratamento posterior dos dados para estas finalidades “não é considerado
incompatível desde que os Estados-membros estabeleçam garantias adequadas”. O Considerando 29 afirma ainda que “tais garantias
devem em especial impedir a utilização de dados em apoio de medidas ou de decisões tomadas em desfavor de uma pessoa”. São
também relevantes para esta matéria o n.º 2 do artigo 11.º e o Considerando 40 relativos à informação a prestar às pessoas em causa.
O Considerando 40 afirma que “não é necessário [informar a pessoa em causa] caso a pessoa em causa esteja já informada” e que
“não existe essa obrigação caso o registo ou a comunicação dos dados estejam expressamente previstos na lei ou caso a informação
da pessoa em causa se revele impossível ou exija esforços desproporcionados, o que pode ser o caso do tratamento para fins históricos,
estatísticos ou científicos; que, para este efeito, podem ser tomados em consideração o número de pessoas em causa, a antiguidade dos
dados e as medidas compensatórias que podem ser tomadas”.
34
uma excepção global ao requisito da compatibilidade nem se pretende que seja uma autorização
geral para tratamento posterior de dados em todos os casos para fins históricos, estatísticos
ou científicos. Tal como qualquer outro caso de utilização posterior, devem ser tomados em
consideração todas as circunstâncias e factores relevantes ao decidir quais as garantias, se
algumas, podem ser consideradas adequadas e suficientes. Além disso, tal como noutras
situações, deve ser aplicada em separado uma verificação para assegurar que o tratamento tem
como base legal um dos fundamentos indicados no artigo 7.º e está em conformidade com os
restantes requisitos relevantes da Directiva.
Conforme se notou no Considerando 29 o objectivo das garantias é tipicamente “impedir”

que os dados sejam utilizados para apoiar medidas ou decisões relativas a uma pessoa. O termo
“impedir” sugere que as garantias devem ser de facto suficientemente sólidas para excluir ou
pelo menos minimizar quaisquer riscos para as pessoas em causa82.
Para assegurar garantias adequadas a expressão “medidas ou decisões” deve ser interpretada
no mais lato dos sentidos. Em primeiro lugar deve entender-se que abrange quaisquer “medidas
ou decisões” independentemente de estas serem adoptadas pelo responsável pelo tratamento
ou por qualquer outro interveniente. Em segundo lugar, “medidas ou decisões” não abrange
apenas medidas e decisões formais adoptadas num procedimento formal. Por outras palavras:
qualquer impacto relevante — quer positivo quer negativo — sobre quaisquer pessoas deve
ser evitado.
No enquadramento actual, cabe a cada Estado Membro especificar quais as garantias

que podem ser consideradas adequadas. Esta especificação é, tipicamente, feita na legislação,
podendo ser mais precisa (por exemplo, censo nacional ou outras estatísticas oficiais) ou mais
geral (a maior parte das restantes espécies de estatística ou de investigação). Neste último caso,
isto deixa margem para códigos profissionais de conduta e/ou orientações adicionais emitidas
pelas autoridades de protecção de dados competentes.
Diversidade das situações abrangidas e das garantias a aplicar
A disposição abrange um vasto âmbito de actividades de tratamento. Embora algum desse

tratamento possa servir interesses públicos importantes, há muitos outros tipos de actividade –
fora do âmbito do “interesse público” – que também podem caber no âmbito desta disposição.
Em especial, “fins estatísticos” cobre um âmbito alargado de actividades de tratamento,

desde fins comerciais (por exemplo, utensílios analíticos de sítios na web ou aplicações de
megadados orientados para a pesquisa de mercado83) até ao interesse público (por exemplo,
82 A este propósito vale a pena recordar o n.º 3 do artigo 9.º da Convenção 108, citado na nota 19, o qual também permite a utilização
posterior para estatística ou para investigação científica mas apenas naqueles casos nos quais “manifestamente não haja risco de
atentado à vida privada dos seus titulares”.
83 Para megadados e dados abertos, vide a Secção III.2.5 e o Anexo 2.
35
informação estatística produzida a partir de dados recolhidos por hospitais para determinar a
quantidade de pessoas feridas em consequência de acidentes rodoviários).
O tratamento para fins “históricos” também pode ter características específicas e pode
exigir um conjunto diferente de garantias. Os Estados Membros têm com frequência leis
específicas regulando o acesso aos arquivos nacionais, aos arquivos sobre a história recente
de especial interesse (tais como os arquivos de provas contra regimes opressivos) e processos
judiciais conservados pelas autoridades judiciárias. Estas leis exigem frequentemente garantias
para além da anonimização ou da pseudonimização, incluindo medidas adequadas de segurança
e restrições ao acesso.
Embora os historiadores estejam com frequência mais interessados nos factos do que na
identidade precisa dos indivíduos envolvidos (e para tais casos os dados anonimizados ou
pseudonimizados serão habitualmente adequados), nalguns casos a investigação poderá focar-se
em indivíduos específicos, tais como figuras históricas ou na história familiar. Também pode
suceder que os investigadores queiram utilizar dados que colocam pouco ou nenhum risco para
as pessoas envolvidas, devido ao lapso de tempo decorrido desde a recolha84.
No que se refere aos fins “científicos”, também pode haver necessidade de aceder a
diferentes espécies de dados. Alguma investigação pode exigir microdados em bruto, que só
parcialmente estarão anonimizados ou pseudonimizados. Nalguns casos os fins da investigação
só podem ser atingidos se a pseudonimização for reversível: por exemplo, quando os sujeitos
da investigação tiverem que ser entrevistados numa fase ulterior de um estudo longitudinal.
Outras investigações, contudo, podem exigir menos detalhe e assim permitir um maior grau
de agregação e anonimização. Além disso, a publicação dos resultados deve, em regra, ser
possível de forma que só sejam revelados dados agregados e/ou anonimizados de outro modo.
Finalmente, como se mostra abaixo, também é relevante distinguir entre situações nas
quais o tratamento posterior é efectuado pelo responsável pelo tratamento inicial e aquelas nas
quais os dados pessoais são transferidos para um terceiro. Neste contexto, alguns projectos de
investigação podem exigir protocolos muito precisos (regras e procedimentos) para assegurar
uma estrita separação funcional entre os participantes na investigação e as partes interessadas
externas. Isto pode incluir medidas técnicas e organizativas, tais como codificação segura com
chave dos dados pessoais transferidos e proibição aos terceiros externos de re-identificação
das pessoas em causa (tal como no caso dos ensaios clínicos e da investigação farmacêutica) e
outras medidas possíveis.
Considerando a diversidade de situações potenciais, é da maior importância, uma vez

84 Neste contexto, contudo, deve ter-se presente que alguns dados (por exemplo, o registo criminal) pode continuar a ter um impacto
adverso sobre a pessoa em causa mesmo muitas décadas após e pode, por exemplo, continuar a estigmatizar um indivíduo e a
prejudicar a sua reabilitação. Além disso, a informação de que uma pessoa falecida era um agente secreto ou um colaborador de um
regime opressivo, um pedófilo, um criminoso, sofria de uma doença mental estigmatizante ou sofria de uma doença hereditária, podem
também ter um impacto negativo sobre a família do falecido (por exemplo, o cônjuge sobrevivo, os filhos ou outros descendentes).
36
mais, seguir a abordagem multifactorial geralmente aplicável, de modo a identificar as garantias
adequadas.
O conceito de “separação funcional”
Na consideração de quais as garantias a adoptar a noção de separação funcional pode

ser de especial relevância. Isto significa que os dados utilizados para fins estatísticos ou para
outros fins de investigação não podem ser disponibilizados para apoiar “medidas ou decisões”
tomadas relativamente às pessoas em causa envolvidas (salvo se especificamente autorizado
pelos indivíduos envolvidos). Para preencher este requisito os responsáveis pelo tratamento
têm que garantir a segurança dos dados e adoptar todas as restantes medidas técnicas e
organizativas necessárias para assegurar a separação funcional.
Conforme se discutirá mais adiante, a anonimização total ou parcial, em especial, pode

ser relevante para a utilização ou a partilha seguras dos dados no interior das organizações,
em especial grandes organizações com funções diversificadas. Quando não for possível
a anonimização total ou a utilização de dados agregados (a um grau suficientemente alto
de agregação) os dados terão que ser, pelo menos, parcialmente anonimizados (isto é,
pseudonimizados, codificados com chave e desprovidos de identificadores directos) e poderão
ser também necessárias garantias adicionas, conforme se discute abaixo.
Cenários diferentes exigem garantias diferentes
Uma vez mais é útil distinguir cenários diferentes para o desenvolvimento da análise:
— Cenário 1: dados pessoais não identificáveis: os dados são anonimizados ou agregados

de tal forma que não resta a possibilidade de (razoavelmente) identificar as pessoas
em causa.
— Cenário 2: dados pessoais identificáveis indirectamente: baixo grau de agregação,

anonimização parcial, pseudonimização ou dados codificados com chave.
— Cenário 3: situações nas quais dados pessoais directamente identificáveis são

necessários, devido à natureza da investigação85.
Regra geral, isto leva às seguintes considerações:
85 A alínea a) do artigo 2.º da Directiva define “dados pessoais” como “qualquer informação relativa a uma pessoa singular identificada
ou identificável («pessoa em causa»); é considerado identificável todo aquele que possa ser identificado, directa ou indirectamente,
nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física,
fisiológica, psíquica, económica, cultural ou social”. Vide também o Parecer 4/2007 sobre o conceito de dados pessoais, adoptado
em 20/06/2007 (WP 136), em especial págs. 13-22 (discussão de “dados sob pseudónimo”, “dados codificados com chave” e “dados
anónimos” nas págs.18-22). A questão da informação “relativa a” uma pessoa singular é discutida nas págs. 9-12.
37
1) A anonimização total (incluindo um alto grau de agregação) é a solução mais definitiva.
Implica que deixa de haver tratamento de dados pessoais e que a Directiva deixa de ser
aplicável86.
No entanto, a anonimização total pode não ser possível devido à natureza do tratamento
(por exemplo, quando houver necessidade de re-identificar as pessoas em causa ou de
utilizar dados mais granulares que, em consequência, possam permitir identificação
indirecta). Além disso, a anonimização é crescentemente difícil de conseguir, com os
avanços na moderna tecnologia informática e a ubíqua disponibilidade da informação.
A anonimização total também exige, por exemplo, que se exclua qualquer possibilidade
razoável de estabelecer um nexo com dados de outras fontes em vista à re-identificação.
Contudo, a re-identificação dos indivíduos é uma ameaça cada vez mais comum e
actual87. Na prática existe uma área cinzenta muito significativa, quando o responsável
pelo tratamento crê que um conjunto de dados foi anonimizado mas um terceiro
motivado consegue identificar pelo menos alguns do indivíduos a partir da informação
disponibilizada88. A consideração do risco de re-identificação e a renovação com
regularidade dessa consideração, incluindo a identificação de riscos residuais continua
deste modo a ser um elemento importante de qualquer abordagem sólida nesta área.
2) A anonimização parcial ou a desidentificação parcial pode ser uma solução adequada em

algumas situações89 nas quais a anonimização completa não é exequível. Nestes casos
devem ser utilizadas várias técnicas (incluindo a pseudonimização90, a codificação com
chave , função hash com chave91, utilização de variáveis criptográficas em rotação,
remoção dos identificadores e atributos directos, substituição de identificadores únicos,
introdução de “ruído” e outras) para reduzir o risco de que as pessoas em causa possam
ser re-identificadas e, subsequentemente, quaisquer medidas ou decisões possam ser
86 A expressão “anonimização total” ou “completa” é usada no presente Parecer para se referir a dados que já não podem ser considerados
“dados pessoais” nos termos da alínea a) do artigo 2.º da Directiva. Vide também o Parecer 4/2007 do Grupo de Trabalho instituído
pelo artigo 29.º citado na nota precedente.
87 Vide, por exemplo, “Transparent Government, Not transparent Citizens”, um relatório preparado por Kieron O’Hara da Universidade
de Southampton University em 2011, para o gabinete do Governo do Reino Unido, no qual o autor alerta para a capacidade de
identificar indivíduos a partir de dados anonimizados, utilizando entre outras, a “identificação por puzzle” e afirma que não há
soluções técnicas completas para o problema da desanonimização. Disponível em: http://www.cabinetoffice.gov.uk/sites/default/
files/resources/transparency-and-privacy-review-annex-b.pdf
88 Actualmente não existe qualquer orientação abrangente sobre anonimização ao nível Europeu. O Grupo de Trabalho do artigo 29.º
prepara actualmente um documento de orientação sobre dados abertos que tratará, entre outras coisas, de questões relacionadas com a
anonimização. O Grupo de Trabalho do artigo 29.º publicará ulteriormente orientações adicionais sobre as técnicas de anonimização
em geral. Espera-se que estes documentos sejam adoptados durante o ano de 2013. Para orientações ao nível nacional, vide o
“Anonymisation code of practice” publicado pelo Gabinete do Comissário para a Informação do Reino Unido em Novembro de 2012,
disponível em: http://www.ico.gov.uk/for_organisations/data_protection/topic_guides/~/media/documents/library/Data_Protection/
Practical_application/anonymisation_code.ashx.
89 Saber se um certo grau de anonimização ou desidentificação parcial é garantia suficiente depende do contexto, incluindo todos os
critérios relevantes mencionados na Secção III.2.2.
90 É importante destacar que a anonimização parcial não é sinónimo de pseudonimização ou de codificação com chave de dados
pessoais. Além da pseudonimização (de que a codificação com chave é um exemplo clássico), pode ser frequentemente necessário
utilizar técnicas adicionais de anonimização.
91 Neste contexto o Grupo de Trabalho do artigo 29.º sublinha a importância da segurança das medidas de codificação com chave. Por
exemplo, no caso dos ensaios clínicos, a utilização das iniciais e da data de nascimento como mecanismos de codificação deve ser
evitada porque este método permite uma identificação relativamente fácil dos pacientes. Uma prática melhor será a aplicação de
medidas mais seguras de codificação com chave como, por exemplo, atribuição de números aleatórios.
38
tomadas a seu respeito. Adicionalmente, é frequentemente necessário complementar
estas técnicas com outras garantias para proteger adequadamente as pessoas em causa92.
Estas incluem minimização dos dados, bem como medidas organizativas e técnicas
adequadas, incluindo “ensilamento dos dados”, para assegurar separação funcional.
3) Dados pessoais directamente identificáveis só podem ser tratados se a anonimização ou

a anonimização parcial não forem possíveis sem frustrar os fins do tratamento e desde
que sejam postas em prática outras garantias adequadas e efectivas.
Importância das garantias adicionais para além da anonimização
A análise acima mostra que a anonimização é um utensílio chave na obtenção da separação

funcional e que, embora seja altamente recomendada, tem os seus desafios e limites. A análise
também mostra que após se completar a primeira avaliação, em termos das possibilidades e
limites da desidentificação efectiva, o segundo passo, aplicando garantias adicionais, se deve
frequentemente seguir.
Deve ter-se presente, como orientação essencial, que quanto mais fácil for a identificação
da pessoa em causa mais garantias adicionais se tornam necessárias. Dito isto, a avaliação da
compatibilidade não pode ser reduzida apenas a estes dois factores e passos: como em qualquer
outro caso, deve também incluir todos os restantes factores chave relevantes mencionados
na Secção III.2.2. Por exemplo, em geral, quanto mais sensíveis forem os dados e maior o
consequente impacto adverso sobre a pessoa em causa, se for identificada, mais deve ser
feito para limitar as possibilidades de re-identificação e mais garantias adicionais poderão ser
necessárias.
Entre as garantias adequadas que podem trazer protecção adicional às pessoas em causa,
podem considerar-se as seguintes:
— Adoptar medidas específicas de segurança adicionais (como encriptação);
— No caso da pseudonimização, assegurar-se de que os dados que possibilitam a ligação

da informação a uma pessoa em causa (as chaves) estão eles mesmos codificados ou
encriptados e armazenados em separado;
— Celebrar um acordo com um terceiro de confiança em situações nas quais várias

organizações pretendam anonimizar os dados pessoais que detêm para utilização
num projecto no qual colaboram93;
92 Em todo o caso, os dados pessoais codificados com chave ou de outra forma pseudonimizados, ou parcialmente anonimizados –
enquanto existir a possibilidade de re-identificação com recurso a meios razoáveis, aplicada pelo responsável pelo tratamento ou por
qualquer terceiro – continuam a ser considerados dados pessoais e, assim, exigem protecção adequada.
93 Este modelo é cada vez mais utilizado para facilitar investigação em larga escala com dados recolhidos por várias organizações. Os
terceiros de confiança podem ser utilizados para interligar conjuntos de dados de organizações separadas e em seguida criar registos
anonimizados para os investigadores.
39
— Restringir o acesso a dados pessoais a apenas quando baseado na necessidade de
conhecer, equilibrando cuidadosamente as vantagens de uma disseminação mais
vasta com os riscos de revelação involuntária de dados pessoais a destinatários
não autorizados. Isto pode incluir, por exemplo, permitir acesso exclusivamente
em leitura e em instalações controladas. Em alternativa, podem estabelecer-se
mecanismos para disponibilização limitada em ambiente seguro e a comunidades
adequadamente constituídas. São também importantes as obrigações de
confidencialidade juridicamente vinculativas impostas aos destinatários dos dados,
incluindo a proibição de publicar informação identificável. É importante notar que
em situações de alto risco, nas quais a revelação por inadvertência de dados pessoais
poderia causar consequências graves ou danosas aos indivíduos, mesmo este tipo de
acesso ou de restrição pode ser inadequado.
Além disso,
— O tratamento posterior de dados pessoais relativos à saúde, de dados relativos a

crianças e outros indivíduos vulneráveis, ou outra informação altamente sensível,
deve, em princípio, ser somente permitido com o consentimento da pessoa em
causa94;
— Quaisquer excepções a este requisito do consentimento devem estar previstas em lei,

com garantias adequadas, incluindo as medidas técnicas e organizativas para evitar
impactos indevidos sobre as pessoas em causa (em caso de dúvida, o tratamento deve
estar sujeito a autorização prévia da autoridade de protecção de dados competente);
as excepções devem aplicar-se apenas quando se refiram a investigação que sirva um
interesse público importante, e somente se essa investigação não puder ser realizada
de outro modo95.
O n.º 2 do artigo 6.º e o artigo 83.º da proposta de Regulamento de Protecção de Dados
O n.º 2 do artigo 6.º e o artigo 83.º da proposta de Regulamento de Protecção de Dados

tratam da questão da utilização posterior para fins de investigação histórica, estatística ou
científica96. Estes artigos adoptam uma abordagem algo semelhante à da análise precedente,
exigindo a anonimização ou, se esta não for possível, dependendo da natureza do tratamento,
pelo menos algum grau de desidentificação. No entanto, também diferem em alguns modos
cruciais.
O n.º 2 do artigo 6.º da proposta de Regulamento de Protecção de Dados (sob a epígrafe

“Licitude do tratamento”) dispõe que “O tratamento de dados pessoais necessário para fins de
94 O tratamento deve também respeitar a restante legislação relevante (por exemplo, relativa a ensaios clínicos).
95 Vide também as emendas 334-342 ao Projecto de Relatório da Comissão de Liberdades Cívicas, Justiça e Assuntos Internos datadas
de 16/01/2013 (2012/0011(COD) (“Projecto de Relatório da Comissão LCJAI”).
96 Vide também o n.º 2 do artigo 81.º sobre a utilização posterior de dados de saúde.
40
investigação histórica, estatística ou científica é lícito, sob reserva das condições e garantias
previstas no artigo 83.º.
Por seu turno, o n.º 1 do artigo 83.º dispõe que “Nos limites do presente regulamento,
os dados pessoais só podem ser objecto de tratamento para fins de investigação histórica,
estatística ou científica se: (a) Não for possível alcançar esses fins de outro modo através do
tratamento de dados que não permita ou tenha deixado de permitir a identificação da pessoa
em causa; (b) Os dados que permitem ligar informações a um titular de dados identificado ou
identificável forem conservados separados de outras informações, desde que esses fins possam
ser atingidos deste modo.”
Uma diferença crucial entre esta abordagem e a análise exposta no presente Parecer é que o
n.º 2 do artigo 6.º e o artigo 83.º não mencionam quaisquer outras garantias, tais como medidas
técnicas e organizativas adicionais para assegurar separação funcional ou outras garantias que
contribuam para a transparência ou para o direito de opção. Além disso, esta disposição não
implica nem esclarece que a utilização posterior para fins de investigação histórica, estatística
ou científica está sujeita à mesma avaliação multifactorial de compatibilidade descrita na
Secção III.2.2 tal como qualquer outra utilização posterior97.
Por outro lado, estas disposições confundem dois conceitos diferentes: a noção de
“compatibilidade” da alínea b) do artigo 5.º da proposta de Regulamento de Protecção de
Dados e a noção de “fundamento jurídico” do artigo 6.º Conforme se explicou anteriormente,
estes dois requisitos são cumulativos. O tratamento de dados pessoais para fins de investigação
histórica, estatística ou científica deve, em todos os casos, apoiar-se num dos fundamentos
jurídicos (alíneas a) a f)). O artigo 83.º pode ajudar a avaliar em que condições a utilização
posterior pode ser compatível (e de modo mais geral, que garantias devem ser aplicadas em
caso de qualquer tratamento para fins de investigação histórica, estatística ou científica) mas
não pode substituir-se a um fundamento jurídico adequado para o tratamento.
Por estas razões o Grupo de Trabalho do artigo 29.º recomenda à Comissão e aos
legisladores que reconsiderem a linguagem de ambas as disposições, do n.º 2 do artigo 6.º e do
artigo 83.º da proposta de Regulamento de Protecção de Dados (vide também a Secção IV.2).
III.2.4. Artigo 13.º da Directiva relativa à privacidade e às comunicações

electrónicas sobre comunicações não solicitadas
A Directiva relativa à privacidade e às comunicações electrónicas sobre comunicações

não solicitadas complementa a Directiva incluindo disposições específicas para o sector das
comunicações electrónicas, especialmente para o tratamento de dados pessoais em ligação
97 As garantias adequadas desempenham um papel chave nesta avaliação, nas quais as garantias adequadas dependem do contexto, da
natureza dos dados e do impacto do tratamento posterior sobre as pessoas em causa, no caso de as medidas para assegurar a separação
funcional não serem totalmente efectivas. Vide também o n.º 2 do artigo 11.º e o n.º 2 do artigo 13.º da Directiva actualmente em vigor.
41
com o fornecimento de serviços de comunicações electrónicas disponíveis ao público em
redes públicas de comunicações98. Uma dessas especificações está relacionada com o tema
do presente Parecer e ajuda a ilustrar a avaliação geral da compatibilidade, tal como discutido
acima.
O artigo 13.º da Directiva relativa à privacidade e às comunicações electrónicas estabelece

uma regra básica de consentimento prévio (“auto-inclusão”, “opt-in”) para certas espécies de
comunicações não solicitadas (isto é, a utilização de sistemas automáticos de chamada, de fax
e de correio electrónico) para finalidades de comercialização directa. É criada uma excepção
pelo n.º 2 do artigo 13.º para relações existentes, ou seja, casos nos quais uma empresa forneceu
anteriormente um produto ou um serviço a um indivíduo, no contexto do que o indivíduo
forneceu o seu endereço de correio electrónico e nos quais uma mensagem não solicitada
de correio é subsequentemente enviada pelo responsável pelo tratamento para publicitar os
seus próprios produtos ou serviços “semelhantes”. As mensagens não solicitadas de correio
electrónico enviadas ao abrigo desta excepção devem, no entanto, dar ao cliente a oportunidade
para se auto-excluir “opt-out” de mensagens futuras de correio electrónico.
Esta disposição ilustra como as expectativas razoáveis da pessoa em causa e o contexto

da recolha dos dados podem afectar as avaliações, quer da fundamentação jurídica, quer
da compatibilidade do tratamento. Os requisitos para os responsáveis pelo tratamento são
diferentes dependendo do contexto no qual os dados pessoais foram recolhidos: em princípio,
a utilização de sistemas automatizados de chamada, de fax e de correio electrónico para
comercialização directa está sujeito ao consentimento prévio da pessoa em causa. Exige-se,
portanto, uma garantia específica para assegurar a licitude do tratamento. No entanto, não
é este o caso quando os detalhes da pessoa em causa foram obtidos do cliente no momento
em que lhe foi vendido um produto ou serviço e quando a finalidade do tratamento for a
comercialização directa de produtos ou serviços semelhantes àqueles adquiridos pelo cliente,
desde que a comercialização seja feita pelo próprio responsável pelo tratamento e para os seus
próprios produtos ou serviços.
A utilização posterior de dados para fins de comercialização pode ser lícita em ambos
os casos, mas sujeita a garantias diferentes, dependendo do contexto da recolha dos dados e
da relação entre as pessoas em causa e os responsáveis pelo tratamento, bem como das suas
expectativas perante essa relação. Vale a pena notar que o artigo 13.º está aparentemente
baseado na noção de que alguns meios de comunicação são inerentemente mais intrusivos que
outros e, portanto, só devem ser permitidos sob condição de garantias adicionais.
Meios mais tradicionais de comercialização, tais como a utilização de correio de superfície

para envio de mensagens personalizadas para finalidades comerciais, políticas ou de caridade,
98 Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à
protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas),
Jornal Oficial n.º L 201 de 31/07/2002 págs. 0037-0047, tal como modificada pela Directiva 2009/136/CE do Parlamento Europeu e
do Conselho de 25 de Novembro de 2009, Jornal Oficial n.º L 337 de 18/02/2009 pág. 11.
42
mantêm-se fora do âmbito do artigo 13.º e devem, portanto, ser considerados sob as disposições
da Directiva geral.
À luz da análise geral da Secção III.2.2 do presente Parecer deve resultar que se deve fazer
pelo menos alguma distinção entre:
— Mala directa no contexto de uma relação existente, a fim de fornecer informação

sobre novas ofertas ou outras oportunidades relevantes;
— Mala directa semelhante mas agora baseada em dados pessoais sensíveis e/ou
em perfis automatizados, com utilização de utensílios de análise de dados mais
intrusivos99;
— A partilha de informação com correctores de dados ou outros terceiros a fim de

desenvolver uma segmentação mais efectiva na mala directa.
Neste contexto deve ser ainda notado que a alínea b) do artigo 14.º da Directiva estabelece
o direito das pessoas em causa a objectar – gratuitamente – a qualquer tratamento dos seus dados
pessoais para efeitos de mala directa, sem qualquer consideração adicional das circunstâncias.
Este direito absoluto a objectar só pode servir a sua finalidade se estiver submetido a uma
transparência adequada, quer quanto à sua existência quer quanto aos meios para o exercer. É
portanto essencial que uma infra-estrutura razoável (como, por exemplo, uma “Lista Robinson”
ou outro serviço de preferência de correio) seja criada e mantida, para que este direito possa ser
efectivamente exercido.
III.2.5. Megadados e dados abertos
Megadados
Os megadados referem-se ao crescimento exponencial quer da disponibilidade quer da

utilização automatizada da informação: refere-se a conjuntos gigantescos de dados detidos por
empresas, governos e outras grandes organizações, que são depois extensivamente analisados
(daqui o nome: analítica100 ) utilizando algoritmos computorizados. Os megadados podem ser
utilizados para identificar tendências e correlações mais gerais mas também podem ser tratados
de modo a afectar indivíduos directamente.
Com todo o seu potencial para inovação, os megadados podem também apresentar riscos
significativos para a protecção dos dados pessoais e para o direito à privacidade. O modo como
a avaliação geral da compatibilidade e as disposições específicas sobre o “tratamento posterior
para fins históricos, estatísticos ou científicos” podem ser aplicadas aos megadados, incluindo
99 Sobre os megadados e a analítica, vide adiante a Secção III.2.5 e o Anexo 2.
100 A analítica é a descoberta e comunicação de padrões significativos nos dados.
43
garantias adequadas que possam auxiliar os responsáveis pelo tratamento a preencher o critério
da compatibilidade, será discutido mais em detalhe no Anexo 2.
Dados abertos
Os projectos de dados abertos transportam para um patamar completamente novo a

acessibilidade da informação processada por organismos públicos. Tais projectos envolvem
frequentemente (i) disponibilizar bases de dados completas (ii) em formato electrónico
padrão (iii) a qualquer requerente sem procedimento de triagem (iv) gratuitamente e (v) para
quaisquer fins comerciais ou não comerciais, sob uma licença aberta. Esta nova forma de
acessibilidade é a finalidade principal dos dados abertos, mas não é isenta de riscos se for
aplicada indiscriminadamente e sem garantias adequadas.
Não sendo fácil conciliar as duas preocupações da reutilização irrestrita da informação e

da limitação da finalidade, é importante notar que quaisquer informações relativas a uma pessoa
singular identificada ou identificável, publicamente disponíveis ou não, constituem dados
pessoais. Além disso, o mero facto de tais dados terem sido tornados publicamente disponíveis
não afasta a lei de protecção de dados. A reutilização de dados tornados publicamente
disponíveis pelo sector público, mantém-se assim e em princípio sujeita à lei de protecção de
dados relevante.
O Anexo 2 também analisa e ilustra como a avaliação geral da compatibilidade, assim como
as disposições específicas sobre o “tratamento posterior para finalidades históricas, estatísticas
ou científicas” podem ser aplicadas aos dados abertos e recomenda garantias adequadas que
podem auxiliar os organismos do sector público que disponibilizam dados, e os responsáveis
pelo tratamento que os reutilizam, a preencher o critério da compatibilidade.
III.2.6. Consequências da incompatibilidade
O tratamento incompatível não pode ser remediado pela simples adopção de um novo
fundamento jurídico
A não conformidade com o requisito da compatibilidade estabelecido na alínea b) do n.º 1

do artigo 6.º da Directiva tem consequências graves: o tratamento de dados pessoais de forma
incompatível com as finalidades determinadas aquando da recolha é ilícito e, portanto, não
permitido.
Por outras palavras, o responsável pelo tratamento não pode simplesmente considerar o
tratamento posterior como uma nova actividade de tratamento desligada da anterior e contornar
esta proibição utilizando um dos fundamentos jurídicos do artigo 7.º para legitimar o tratamento.
Conforme se explicou acima, os requisitos do artigo 6.º e do artigo 7.º são cumulativos: ambos
devem ser simultaneamente preenchidos.
44
Legalizar uma actividade de tratamento de dados de outro modo incompatível simplesmente
modificando os termos de um contrato com a pessoa em causa, ou identificando um interesse
legítimo adicional do responsável pelo tratamento iria contra o espírito do princípio da limitação
da finalidade e eliminaria a sua substância101.
A incompatibilidade nos termos da proposta de Regulamento de Protecção de Dados
Ser claro nesta matéria é tanto mais importante quanto o n.º 4 do artigo 6.º da proposta
de Regulamento de Protecção de Dados propõe a abertura de uma excepção muito ampla
ao requisito da compatibilidade, que restringiria severamente a sua aplicabilidade. O texto
proposto pela Comissão dispões que “Sempre que a finalidade do tratamento ulterior não for
compatível com aquela para a qual os dados pessoais foram recolhidos, o tratamento deve ter
como fundamento jurídico pelo menos um dos motivos referidos no n.º 1, alíneas a) a e). Tal é
aplicável, em especial, a qualquer alteração das cláusulas e condições gerais de um contrato”102.
Este texto significaria, efectivamente, que seria sempre possível suprir a incompatibilidade
com a simples identificação de um novo fundamento jurídico para o tratamento. O único
fundamento jurídico que não seria em si mesmo suficiente para compensar a incompatibilidade
seria o “interesse legítimo” do responsável pelo tratamento da alínea f).
Assim, o Grupo de Trabalho do artigo 29.º recomenda a eliminação do n.º 4. Isto deve-
se a que a proibição da utilização incompatível e o requisito de um fundamento jurídico do
artigo 7.º da Directiva são requisitos cumulativos. Portanto, numa modificação da finalidade
deve verificar-se em qualquer caso um dos fundamentos jurídicos (alíneas a) a f)). A Directiva
actualmente em vigor não permite, em princípio, a modificação da finalidade sem um desfecho
favorável da avaliação da compatibilidade e este grau de protecção deve ser igualmente mantido
na proposta de Regulamento de Protecção de dados103.
Aplicação do princípio da limitação da finalidade
As autoridades de protecção de dados têm um papel essencial para assegurar a

conformidade com este princípio. Segundo a lei nacional de transposição da Directiva, elas têm
poderes efectivos de intervenção, incluindo ordenar o bloqueio, o apagamento ou a destruição
de dados, ou impor proibições de tratamento. A acção pode também consistir (frequentemente
101 Conforme se explicou anteriormente, isto não significa que a finalidade inicial da operação de tratamento não pode nunca mudar: em
algumas situações, após avaliação de todos os factores relevantes, incluindo a disponibilidade de garantias e/ou a disponibilidade
de uma nova base jurídica adequada para compensar a modificação da finalidade, o responsável pelo tratamento pode concluir que
o tratamento posterior pode preencher simultaneamente os requisitos da compatibilidade e de um fundamento jurídico ao abrigo
do artigo 7.º.
102 O artigo 7.º da Directiva dispõe que os dados só podem ser processados com base num de seis fundamentos: a) consentimento;
b) execução de um contrato; c) cumprimento de uma obrigação legal; d) protecção de interesses vitais da pessoa em causa; e) a
execução de uma missão de interesse público ou o exercício da autoridade pública; f) interesses legítimos do responsável pelo
tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados (salvo se sobre estes interesses prevalecerem os
interesses ou os direitos e liberdades fundamentais da pessoa em causa).
103 Ver Emenda 103 do Projecto de Relatório da Comissão LCJAI.
45
numa primeira fase) em advertir ou admoestar o responsável pelo tratamento, mantendo-se
como opção possível o recurso a acções judiciais.
Dependendo das leis nacionais, as sanções podem também consistir em multas

administrativas. A proposta de Regulamento de Protecção de Dados pretende harmonizar este
aspecto dos procedimentos de aplicação, com multas de um máximo potencial de 1 000 000
euros ou de 2% do volume de negócios anual104.
III.3. Excepções ao abrigo do artigo 13.º da Directiva
O âmbito do princípio da limitação da finalidade só pode ser restringido em casos

específicos, conforme definido no artigo 13.º da Directiva (ou no artigo 15.º da Directiva
relativa à privacidade e às comunicações electrónicas, quando aplicável). Isto significa que se a
avaliação da compatibilidade mostrar que o tratamento é incompatível, os únicos fundamentos
com os quais ele pode ser realizado são os indicados nestas disposições específicas.
O artigo 13.º da Directiva dispõe que “Os Estados-membros podem tomar medidas
legislativas destinadas a restringir o alcance das obrigações e direitos referidos no n.º 1 do
artigo 6.º (…), sempre que tal restrição constitua uma medida necessária à protecção (…) da
segurança do Estado; da defesa; da segurança pública; da prevenção, investigação, detecção e
repressão de infracções penais e de violações da deontologia das profissões regulamentadas; de
um interesse económico ou financeiro importante de um Estado-membro ou da União Europeia
(…) de missões de controlo, de inspecção ou de regulamentação (…) e da protecção da pessoa
em causa ou dos direitos e liberdades de outrem”105.
O âmbito limitado das excepções confirma que não é possível legitimar o tratamento
incompatível de dados pessoais, simplesmente invocando um dos fundamentos do artigo 7.º
Isto é tanto mais assim quanto as medidas legislativas adoptadas ao abrigo do artigo 13.º devem
ser interpretadas restritivamente, visto serem introduzidas pela via da excepção aos princípios
gerais do artigo 6.º Portanto, uma medida legislativa estabelecendo uma obrigação legal ao
brigo do artigo 7.º não é necessariamente suficiente para tornar compatível o tratamento.
Embora o legislador tenha um papel essencial a desempenhar, está também sujeito a várias
condições estritas:
— Em primeiro lugar, a medida deve ser dirigida à garantia de interesses públicos

específicos e importantes, conforme enunciado acima, incluindo a segurança
104 Vide artigo 79.º da proposta de Regulamento de Protecção de Dados. A este respeito o Grupo de Trabalho do artigo 29.º sublinha que
o artigo 79.º tal como proposto parece ter uma lacuna e não cobrir, ou não cobrir plenamente, o princípio da limitação da finalidade
(quanto a isso, parece igualmente não cobrir, ou não cobrir plenamente, os restantes princípios cruciais da qualidade dos dados,
indicados nas alíneas a) a f)). Tal poderia ser remediado, quer tornando o artigo 79.º menos detalhado e menos prescritivo, quer
aditando especificamente o artigo 5.º às disposições para as quais as multas mais elevadas podem – em algumas situações – ser
adequadas. Nesta perspectiva, vide também a emenda 321 do Projecto de Relatório da Comissão LCJAI.
105 Vide também o artigo 9.º da Convenção 108.
46
pública, interesses económicos ou financeiros importantes de um Estado-membro ou
da União Europeia e a prevenção de infracções penais.
— Em segundo lugar, deve aplicar-se uma avaliação qualificada, para assegurar que a
medida legislativa preenche os critérios que permitem a derrogação de um direito
fundamental. Há dois aspectos nesta avaliação: por um lado a medida deve ser
suficientemente clara e precisa para poder ser previsível e, por outro lado, deve
ser necessária e proporcionada, consistente com os requisitos desenvolvidos pelo
Tribunal Europeu dos Direitos do Homem106.
Na prática, não é suficiente que uma tal lei mencione os objectivos finais da medida
legislativa e designe o responsável pelo tratamento. Deve também, no mínimo, descrever
os objectivos do tratamento de dados relevante, as categorias de dados pessoais a tratar, as
finalidades específicas e os meios de tratamento, as categorias de pessoas autorizadas a tratar
os dados, o procedimento a seguir no tratamento e as garantias contra interferências arbitrárias
das autoridades públicas107.
IV. Conclusões
O presente Parecer apresenta uma análise do conceito de limitação da finalidade. O seu

objectivo é duplo. Em primeiro lugar, pretende clarificar o princípio da limitação da finalidade e
oferecer orientação para a sua aplicação prática ao abrigo do actual enquadramento jurídico. Em
segundo lugar, destaca áreas para melhoramentos futuros e formula recomendações de política
para apoiar os decisores políticos na consideração de modificações ao actual enquadramento
jurídico da protecção de dados.
IV.1. Análise do enquadramento jurídico actual
O conceito de limitação da finalidade desempenha um papel crucial na aplicação da

Directiva. É um primeiro passo essencial na aplicação das leis de protecção de dados visto que
constitui um pré-requisito para os restantes requisitos sobre qualidade dos dados, incluindo
a adequação, a relevância, a proporcionalidade e a exactidão dos dados recolhidos, a par das
regras que envolvem os períodos de conservação dos dados. Contribui para a transparência,
para a certeza jurídica e para a previsibilidade e pretende proteger as pessoas em causa fixando
limites a como os responsáveis pelo tratamento podem utilizar os seus dados. Ao mesmo tempo
está concebido para oferecer algum grau de flexibilidade ao responsável pelo tratamento.
O conceito de limitação da finalidade assenta em dois pilares: os dados pessoais devem ser
recolhidos para finalidades “determinadas, explícitas e legítimas” (determinação da finalidade)
106 Vide Secção II.1 sobre “Síntese histórica”.
107 Vide Anexo 4, especialmente os exemplos 17, 18, 19, 20 e 22.
47
e não ser “posteriormente tratados de forma incompatível” com essas finalidades (utilização
compatível).
Primeiro pilar: “finalidades determinadas, explícitas e legítimas”
Em relação à determinação da finalidade o Grupo de Trabalho do artigo 29.º sublinha as

seguintes considerações chave:
• As finalidades devem ser determinadas. Isto significa que – antes, e em todo o caso
nunca depois do momento em que ocorre a recolha dos dados pessoais – as finalidades
devem estar precisa e plenamente identificadas para determinar qual tratamento está e
não está incluído na finalidade determinada e para permitir a avaliação do cumprimento
da lei e a aplicação das garantias de protecção de dados.
• As finalidades devem ser explícitas, isto é, claramente reveladas, explicadas ou expressas

de forma a assegurar que todas as pessoas envolvidas terão o mesmo entendimento
inequívoco das finalidades do tratamento, independentemente de qualquer diversidade
cultural ou linguística. As finalidades podem ser tornadas explícitas de diferentes
maneiras.
• Pode haver casos de deficiências graves, por exemplo quando o responsável pelo
tratamento não determina as finalidades do tratamento com detalhe suficiente ou numa
linguagem clara e inequívoca, ou quando as finalidades determinadas são enganadoras
ou não correspondem à realidade. Em qualquer destas situações, para determinar
as finalidades reais devem ser tidos em conta todos os factos, juntamente com um
entendimento comum e as expectativas razoáveis das pessoas em causa, baseados no
contexto do caso.
• As finalidades devem ser legítimas. A legitimidade é um requisito amplo, que vai além
de uma simples remissão para um dos fundamentos jurídicos do tratamento referidos
no artigo 7.º da Directiva. Também se alarga a outras áreas do Direito e deve ser
interpretada no contexto do tratamento. A determinação da finalidade nos termos do
artigo 6.º e o requisito de um fundamento legal para o tratamento nos termos do artigo
7.º da Directiva são dois requisitos separados e cumulativos.
• Se os dados pessoais forem posteriormente tratados para uma finalidade diferente
— A(s) nova(s) finalidade(s) deve(m) ser determinada(s) (alínea b) do n.º 1 do artigo

6.º), e
— Deve assegurar-se que todos os requisitos relativos à qualidade dos dados (alíneas a)
48
a e) do n.º 1 do artigo 6.º) são igualmente preenchidos para a(s) nova(s) finalidade(s).
Segundo pilar: utilização compatível
• A alínea b) do n.º 1 do artigo 6.º da Directiva também introduz as noções de “tratamento

posterior” e de utilização “incompatível”. Exige que o tratamento posterior não seja
incompatível com as finalidades para as quais os dados pessoais foram recolhidos. A
proibição de utilização incompatível estabelece uma limitação à utilização posterior.
Exige que se faça uma distinção entre a utilização posterior que é “compatível” e a
utilização posterior que é “incompatível” e portanto proibida.
• Ao proibir a incompatibilidade em vez de exigir a compatibilidade o legislador parece

dar alguma flexibilidade relativamente à utilização posterior. A utilização posterior
para uma finalidade diferente não significa necessária e automaticamente que ela seja
incompatível, visto que a compatibilidade deve ser avaliada caso a caso.
• Neste contexto o Grupo de Trabalho do artigo 29.º enfatiza que a disposição específica
da alínea b) do n.º 1 do artigo 29.º da Directiva sobre “tratamento posterior para fins
históricos, estatísticos ou científicos” deve ser visto como uma especificação da regra
geral, não excluindo que outros casos possam igualmente ser considerados como “não
incompatíveis”. Isto conduz a um papel mais proeminente para diversas espécies de
garantias, incluindo medidas técnicas e organizativas para separação funcional, tais
como a anonimização plena, pseudonimização, agregação dos dados e tecnologias de
aperfeiçoamento da privacidade.
Avaliação da compatibilidade
• A natureza da avaliação da compatibilidade é decisiva. Em comparação com uma

avaliação puramente formal focada nas finalidades declaradas e que assim se arrisca
a ser demasiado rígida, uma avaliação substantiva tem em conta a forma como as
finalidades devem ser entendidas. Esta avaliação substantiva oferece mais flexibilidade
e, ao mesmo tempo, salvaguarda efectivamente os dados pessoais.
• Uma avaliação substantiva da compatibilidade exige a apreciação de todas as

circunstâncias relevantes do caso em ordem a determinar se qualquer utilização
posterior pode ser considerada compatível. Em especial devem ser tidos em conta os
seguintes factores chave:
— A relação entre as finalidades para as quais os dados pessoais foram recolhidos e as

finalidades do tratamento posterior;
49
— O contexto no qual os dados pessoais foram recolhidos e as expectativas razoáveis
das pessoas em causa quanto à sua utilização posterior;
— A natureza dos dados pessoais e o impacto do tratamento posterior sobre as pessoas

em causa;
— As garantias adoptadas pelo responsável pelo tratamento para assegurar um tratamento

leal e evitar impactos indevidos sobre as pessoas em causa.
Aplicações específicas da avaliação da compatibilidade
• A abordagem e o enquadramento geral da avaliação da compatibilidade delineados

acima devem igualmente ser aplicados ao “tratamento posterior para fins históricos,
estatísticos ou científicos” e em relação ao artigo 13.º da Directiva relativa à
privacidade e às comunicações electrónicas sobre comunicações não solicitadas. Estas
disposições são verdadeiras especializações do enquadramento geral para a avaliação
da compatibilidade.
• O Grupo de Trabalho do artigo 29.º chama igualmente a atenção para alguns dos
desafios da aplicação do teste de compatibilidade aos megadados e aos dados abertos.
Aqui, talvez ainda mais que nos restantes casos, há a necessidade de uma aplicação
rigorosa mas equilibrada e flexível do teste de compatibilidade para assegurar que este
pode ser aplicado na nossa sociedade moderna e interligada.
Consequências da incompatibilidade
• A desconformidade com o requisito de compatibilidade estabelecido na alínea b) do n.º

1 do artigo 6.º da Directiva tem consequências graves: o tratamento de dados pessoais
de uma qualquer forma incompatível com as finalidades determinadas aquando da
recolha é ilícito e, portanto, não permitido.
• Noutras palavras, o responsável pelo tratamento não pode considerar simplesmente o

tratamento posterior como uma nova actividade de tratamento desligada da anterior
e contornar esta proibição com recurso a um dos fundamentos do artigo 7.º para
legitimar o tratamento.
Excepções ao abrigo do artigo 13.º da Directiva
• O âmbito do princípio da limitação da finalidade pode ser restringido apenas nos casos
específicos definidos no artigo 13.º da Directiva (ou no artigo 15.º da Directiva relativa
à privacidade e às comunicações electrónicas sobre comunicações não solicitadas).
Isto significa que se a avaliação da compatibilidade mostrar que o tratamento é
50
incompatível, os únicos fundamentos pelos quais o tratamento pode ser executado são
os destas disposições.
• Uma medida legislativa criando uma obrigação legal ao abrigo do artigo 7.º não é, por
si só, suficiente para tornar compatível o tratamento. Embora o legislador tenha um
papel essencial a desempenhar, ele está também sujeito a algumas condições estritas:
— Em primeiro lugar, a medida deve ser dirigida a garantir interesses públicos específicos
e importantes.
— Em segundo lugar, deve ser aplicado um teste qualificado, para assegurar que a
medida legislativa preenche os critérios que permitem a derrogação de um direito
fundamental: a medida deve ser suficientemente clara e precisa para ser previsível e
deve ainda ser necessária e proporcionada.
IV.2 Recomendações para o futuro
O Grupo de Trabalho do artigo 29.º espera que a análise precedente esclareça o âmbito
e funcionamento da limitação da finalidade, que é um princípio chave da protecção de dados.
Esta análise tem consequências para o futuro já que, ainda que o próprio princípio da limitação
da finalidade pareça estável, o seu significado exacto, incluindo quaisquer excepções, está
actualmente aberto à discussão.
Em especial o n.º 4 do artigo 6.º da proposta de Regulamento de Protecção de Dados

tenta estabelecer uma excepção muito ampla à exigência de compatibilidade, que limitaria
severamente a sua aplicabilidade. Este texto significaria efectivamente que seria sempre
possível suprir a falta de compatibilidade com a mera identificação de um novo fundamento
legal para o tratamento. O único fundamento legal que não seria em si mesmo suficiente para
compensar a incompatibilidade seria o “interesse legítimo” do responsável pelo tratamento em
causa (alínea f).
Estas novas disposições, se adoptadas, arriscar-se-iam a erodir este princípio chave. O

Grupo de Trabalho do artigo 29.º recomenda, portanto, a eliminação do proposto n.º 4. Isto
porque a proibição da utilização incompatível e o requisito de um fundamento legal ao abrigo
do artigo 7.º são requisitos cumulativos. Assim, aquando de uma modificação da finalidade, é
sempre necessária a verificação de um dos fundamentos legais das alíneas a) a f). A Directiva
actualmente vigente não permite, em princípio, a modificação da finalidade sem uma avaliação
favorável da compatibilidade e este grau de protecção deve igualmente ser mantido na proposta
de Regulamento de Protecção de Dados.
Além disso, para complementar as concisas disposições gerais existentes sobre o princípio
da limitação da finalidade e para proporcionar maior certeza jurídica, o Grupo de Trabalho do
51
artigo 29.º recomenda a adopção das disposições apresentadas no Anexo 1 ao presente Parecer.
As disposições propostas visam fornecer uma lista não exaustiva de factores relevantes
que deveriam ser avaliados para determinar se uma utilização posterior pode ser considerada
compatível. Embora esta apresentação de factores chave não seja completamente exaustiva,
tenta destacar os factores típicos que deveriam ser considerados numa abordagem equilibrada:
nem tão gerais que percam significado nem tão específicos que se tornem demasiado rígidos.
Finalmente e por razões semelhantes, o Grupo de Trabalho do artigo 29.º propõe a

eliminação do n.º 2 do artigo 6.º, o qual tenta dar um novo fundamento jurídico a todos os
tratamentos para investigação histórica, estatística ou científica (sujeito às condições e garantias
do artigo 83.º mas não a uma avaliação mais vasta da compatibilidade). Esta disposição pode
ser substituída por uma disposição semelhante mas mais atenuada no artigo 5.º, que discute os
“princípios relativos ao tratamento de dados pessoais”. No anexo 1 ao presente Parecer inclui-
se também uma proposta de modificação neste sentido.
52
Anexo 1: Propostas de alteração
Artigo 5.º
Princípios relativos ao tratamento de dados pessoais
1. Os dados pessoais devem ser:
Os dados pessoais devem ser:
a) (…)
a) (…)
b) Recolhidos para finalidades
b) Recolhidos para finalidades determinadas,
explícitas e legítimas e não serem determinadas, explícitas e legítimas
posteriormente tratados de forma e não serem posteriormente tratados
incompatível com essas finalidades; de forma incompatível com essas
c)-f) (…) finalidades;
c)-f) (…)
2. Ao avaliar se o tratamento posterior de
dados pessoais é incompatível com as
finalidades para as quais esses dados
foram recolhidos, na acepção da alínea b)
do n.º 1, devem especialmente ser tidos em
conta:
a) a relação entre as finalidades para
as quais os dados pessoais foram
recolhidos e as finalidades do
tratamento posterior;
b) o contexto em que os dados pessoais
foram recolhidos e as expectativas
razoáveis dos titulares dos dados quanto
à respectiva utilização posterior;
c) a natureza dos dados pessoais e o
impacto do tratamento posterior sobre
os titulares dos dados;
d) as garantias aplicadas pelo responsável
pelo tratamento para assegurar um
tratamento leal e evitar quaisquer
impactos indevidos sobre os titulares
dos dados.
3. Sob reserva das condições e garantias
previstas no artigo 83.º, o tratamento
posterior de dados pessoais que for
necessário para as finalidades de
investigação histórica, estatística ou
científica não é considerado incompatível,
desde que sejam adoptadas medidas
adequadas para evitar quaisquer impactos
indevidos sobre os titulares dos dados.
Justificação
Para complementar a disposição actual sobre limitação da finalidade e para proporcionar
53
maior certeza jurídica, deve ser tida em conta, na avaliação da compatibilidade do tratamento
posterior com as finalidades da recolha dos dados, uma lista de factores relevantes. É
necessária uma disposição especial sobre a investigação histórica, estatística ou científica,
para assegurar que as garantias adequadas continuarão a ser aplicadas neste contexto.
Artigo 6.º
Licitude do tratamento
1. O tratamento de dados pessoais só é lícito Inalterado
se e na medida em que se verifique pelo
menos uma das seguintes situações:
a) – f) (…)
2. O tratamento de dados pessoais necessário Eliminado
para fins de investigação histórica,
estatística ou científica é lícito, sob reserva
das condições e garantias previstas no
artigo 83.º.
3. (…) 2. (…)
4. Sempre que a finalidade do tratamento Eliminado
ulterior não for compatível com aquela
para a qual os dados pessoais foram
recolhidos, o tratamento deve ter como
fundamento jurídico pelo menos um dos
motivos referidos no n.º 1, alíneas a) a e).
Tal é aplicável, em especial, a qualquer
alteração das cláusulas e condições gerais
de um contrato.
5. (…)* 3. (…)
Justificação
A eliminação dos n.os 2 e 4 assegura que o requisito da utilização compatível do artigo

5.º e a licitude do tratamento ao abrigo do artigo 6.º continuarão a funcionar como requisitos
cumulativos e que o grau actual de protecção é mantido na proposta de Regulamento de
Protecção de Dados.
* Nota do tradutor: Por manifesto lapso, no original refere-se o n.º 4.
54
Anexo 2: Megadados e dados abertos
Megadados
O que são “megadados” e “analítica de megadados”?
Tal como brevemente se destacou na Secção III.2.5, “megadados” refere-se ao crescimento

exponencial da disponibilidade e da utilização automatizada da informação: refere-se a
conjuntos gigantescos de dados detidos por empresas, governos e outras grandes organizações,
os quais são então extensivamente analisados com recurso a algoritmos computorizados.
Os megadados baseiam-se na crescente capacidade da tecnologia para apoiar a recolha e
armazenamento de vastas quantidades de dados, mas também para analisar, compreender e tirar
partido de todo o valor dos dados (em especial utilizando aplicações analíticas). A expectativa
quanto aos megadados é que estes possam, em última análise, levar a decisões melhores e
melhor informadas.
Há numerosas aplicações dos megadados em vários sectores, incluindo os cuidados de

saúde, as comunicações móveis, redes de distribuição inteligentes, gestão de tráfego, detecção
de fraudes, comercialização e comércio a retalho quer em linha quer fora de linha. Os megadados
podem ser usados para identificar tendências gerais mas o seu tratamento pode também afectar
indivíduos directamente. Por exemplo, no campo da comercialização e da publicidade, os
megadados podem ser usados para prever preferências pessoais, comportamentos e atitudes
de clientes individuais e subsequentemente moldar “medidas e decisões” que são tomadas em
relação a esses clientes, tais como descontos personalizados, ofertas especiais e publicidade
dirigida, com base no perfil do cliente108.
Quais os riscos e desafios colocados pelos megadados ao direito à protecção dos dados
pessoais e à privacidade?
Apesar do seu potencial para inovação, os megadados podem também colocar riscos
significativos à protecção dos dados pessoais e à privacidade. Em especial, os megadados
suscitam preocupação sobre:
— A própria escala da recolha de dados, do rastreamento e do estabelecimento de perfis,

tendo ainda em conta a variedade e detalhe dos dados recolhidos e o facto de que os
dados são frequentemente combinados a partir de muitas fontes diferentes;
— A segurança dos dados, com níveis de protecção ficando visivelmente atrás da

expansão em volume;
108 Actualmente, o modelo fundamental de negócio da internet parece ser o de financiar os produtos e serviços com publicidade
dirigida: o valor destes anúncios correlaciona-se com a quantidade e riqueza da informação recolhida dos clientes. Vide Parecer
2/2010, de 22 de Junho de 2010 do Grupo de Trabalho do artigo 29.º sobre publicidade comportamental em linha (WP 171).
55
— Transparência: a não ser que lhes seja fornecida informação suficiente, os indivíduos
ficarão sujeitos a decisões que não compreendem e sobre as quais não têm controlo;
— Inexactidão, discriminação, exclusão e desequilíbrio económico (tal como se discute

adiante); e
— Possibilidades acrescidas de vigilância governamental.
O tipo de aplicação analítica usada pode levar a resultados inexactos, discriminatórios

ou de outro modo ilegítimos. Em especial, um algoritmo pode isolar uma correlação e dela
retirar uma inferência estatística que, quando aplicada na conformação da comercialização
ou de outras decisões, se torne injusta e discriminatória. Isto pode perpetuar preconceitos e
estereótipos existentes e agravar problemas de exclusão e estratificação social.
Além disso e mais amplamente, a disponibilidade de grandes conjuntos de dados e de

utensílios analíticos sofisticados utilizados para examinar esses conjuntos de dados pode
também aumentar o desequilíbrio económico entre as grandes empresas, de um lado, e os
consumidores, do outro109. Este desequilíbrio económico pode levar a discriminação injusta de
preços relativamente aos produtos e serviços em oferta, bem como a publicidade e a ofertas,
altamente intrusivas, disruptivas e pessoalmente dirigidas. Pode também resultar em outros
impactos adversos significativos sobre indivíduos, por exemplo no que se refere a oportunidades
de emprego, empréstimos bancários ou opções de seguros de saúde.
Que garantias podem tornar compatível a utilização posterior, para analítica, de dados
pessoais?
Tal como nos outros casos de avaliação da compatibilidade, todos os factores relevantes
descritos na Secção III.2.2 devem ser considerados, incluindo a relação entre as finalidades,
o contexto da recolha, as expectativas razoáveis das pessoas em causa, a natureza dos dados
pessoais e o impacto sobre as pessoas em causa. É também importante avaliar as garantias
adoptadas para assegurar um tratamento leal e para evitar qualquer impacto indevido.
Além disso, as disposições específicas que tratam das “finalidades históricas, estatísticas ou
científicas”110 são igualmente relevantes.
Em ordem a identificar quais as garantias necessárias, pode ser útil distinguir entre
dois cenários diferentes. No primeiro, as organizações que tratam os dados querem detectar
tendências e correlações na informação. No segundo, as organizações estão interessadas nos
indivíduos.
109 Pode ser o caso, independentemente de as empresas envolvidas terem ou não um monopólio ou uma posição dominante no mercado.
Contudo, uma posição dominante diminui claramente as escolhas das pessoas em causa na busca de fornecedores alternativos dos
serviços e, portanto, pode ser um factor relevante ao medir o potencial impacto negativo sobre um titular de dados.
110 Vide Secção III.2.3.
56
No primeiro cenário, o conceito de separação funcional111 desempenhará provavelmente
um papel essencial, e até que ponto isto pode ser conseguido pode ser um factor importante na
decisão sobre se a utilização posterior dos dados para pesquisa (de comercialização ou outra)
pode ser considerada compatível. Nestes casos os responsáveis pelo tratamento devem garantir
a confidencialidade e a segurança dos dados e tomar todas as medidas técnicas e organizativas
necessárias para assegurar a separação funcional112.
O segundo cenário potencial é quando uma organização quer especificamente analisar ou

prever as preferências pessoais, o comportamento e as atitudes de consumidores individuais,
que subsequentemente virão a moldar “medidas ou decisões” tomadas relativamente a esses
consumidores.
Nestes casos, consentimento por “auto-inclusão” (“opt-in”), livre, específico, informado

e inequívoco será quase sempre exigido, sem o que a utilização posterior não poderá ser
considerada compatível. De forma importante, este consentimento, deve ser exigido, por
exemplo, para o rastreamento e o estabelecimento de perfis para finalidades de comercialização
directa, publicidade comportamental, corretagem de dados, publicidade baseada na localização
ou pesquisa de mercado digital baseada no rastreamento113.
Para que o consentimento seja informado e para assegurar a transparência, as pessoas

em causa / consumidores devem ter acesso aos seus “perfis”, bem como à lógica da tomada
de decisão (algoritmo) que levou ao desenvolvimento do perfil. Por outras palavras: as
organizações devem revelar os seus critérios decisórios114. Esta é uma garantia crucial e ainda
mais importante no mundo dos megadados115. Nas mais das vezes não é tanto a informação
recolhida em si mesma que é sensível, mas antes as inferências que dela se extraem e o modo
como essas inferências são extraídas que podem suscitar preocupações116. Além do mais, a
fonte dos dados que levaram à criação do perfil deve ser também revelada.
Considerando em especial o risco de inferências inexactas, é também crucial que as

pessoas em causa/consumidores possam rectificar ou actualizar os seus perfis se escolherem
fazê-lo. Isto pode igualmente beneficiar os responsáveis pelo tratamento, que serão capazes de
basear as suas decisões (de comercialização ou outras) em informação mais exacta.
111 Vide Secção III.2.3.
112 Vide Anexo 4, em especial o exemplo 15.
113 Não se pode, porém, excluir que em alguns casos, com base num debate informado sobre os benefícios sociais de algumas utilizações
dos megadados, um Estado Membro da União Europeia possa decidir que devido a interesse público imperioso, se estabeleçam
excepções em legislação vinculativa (vide Secção III.3). Além disso, em alguns casos e subordinados à transparência e a garantias
adicionais, o rastreamento e o estabelecimento de perfis podem ser também permissíveis para impedir a utilização fraudulenta dos
serviços em oferta.
114 Vide igualmente a Recomendação CM/Rec(2010)13 de 23 de Novembro de 2010 do Conselho de Ministros do Conselho da Europa
aos Estados Membros sobre a protecção dos indivíduos em relação ao tratamento automático de dados pessoais no contexto do
estabelecimento de perfis.
116 Um dos desafios a este propósito é assegurar a máxima revelação sem, ao mesmo tempo, infringir quaisquer requisitos legais de
protecção de segredos comerciais (e outros direitos de propriedade intelectual, quando relevante). Sublinhamos, contudo, que
nenhumas invocações da natureza “proprietária” da informação podem resultar limitações indevidas às exigências da revelação
ao abrigo do direito da protecção de dados. De novo, é necessária uma abordagem equilibrada, mas no respeito pelos direitos
fundamentais.
57
Além disso, em muitas situações, as garantias tais como permitir às pessoas em causa
/ consumidores acesso directo aos seus dados num formato portável, de fácil utilização e de
leitura automática pode ser útil para lhes dar algum poder e corrigir o desequilíbrio económico
entre as grandes empresas, de um lado, e os consumidores, do outro. Permite igualmente aos
indivíduos “partilhar da riqueza” criada pelos megadados e incentivar os criadores a oferecer
funcionalidades e aplicações adicionais aos seus utilizadores117.
Por exemplo, o acesso à informação sobre consumo de energia num formato de fácil
utilização pode tornar mais fácil aos lares escolher tarifários e obter os melhores preços de gás
e de electricidade, assim como controlar o seu consumo de energia e modificar os estilos de
vida para reduzir a facturação e o seu impacto ambiental.
Permitir a portabilidade dos dados pode dar às empresas e às pessoas em causa /

consumidores capacidade para maximizar os benefícios dos megadados de uma forma
mais equilibrada e transparente. Pode também ajudar a minimizar as práticas desleais ou
discriminatórias e reduzir os riscos de utilização de dados inexactos para finalidades de tomada
de decisão, o que pode ser benéfico, quer para as empresas quer para as pessoas em causa /
consumidores.
Dados abertos
Quais são os desafios chave dos dados abertos para a protecção de dados?
Conforme se esboçou brevemente na Secção III.2.5, os projectos de dados abertos

transportam para um patamar completamente novo a acessibilidade da informação processada
por organismos públicos. Tais projectos envolvem frequentemente (i) disponibilizar bases de
dados completas (ii) em formato electrónico padrão (iii) a qualquer requerente sem procedimento
de triagem (iv) gratuitamente e (v) para quaisquer fins comerciais ou não comerciais, sob uma
licença aberta. Esta nova forma de acessibilidade é a finalidade principal dos dados abertos,
mas não é isenta de riscos se for aplicada indiscriminadamente e sem garantias adequadas.
No Parecer 7/2003, o Grupo de Trabalho do Artigo 29.º deu orientações sobre a aplicação
do actual enquadramento jurídico à reutilização da informação do sector público (ISP) quando
a mesma inclui dados pessoais. O Parecer do Grupo de Trabalho do Artigo 29.º mostra que a
aplicação do actual enquadramento jurídico da protecção de dados à reutilização da ISP suscita
algumas questões.
Uma das principais preocupações é que em alguns casos não é fácil aplicar efectivamente
117 Vejam-se iniciativas tais como o “Midata” no Reino Unido, baseadas no princípio chave de que os dados devem ser restituídos aos
consumidores. O Midata é um programa voluntário que, ao longo do tempo, deverá dar aos consumidores acesso crescente aos seus
dados num formato electrónico portável. A ideia chave é a de que os consumidores devem também beneficiar dos megadados, tendo
acesso à sua próprias informação e podendo fazer melhores escolhas. Vejam-se também as iniciativas “Botão verde” que permitem
aos consumidores aceder à sua própria informação sobre utilização de energia.
58
o princípio da limitação da finalidade no caso de reutilização da ISP. Por um lado, a própria
ideia e força motriz da inovação por trás do conceito de “dados abertos” e da reutilização da
ISP é a de que a informação deve estar disponível para reutilização para novos produtos e
serviços inovadores e, portanto, para finalidades que não foram previamente definidas e não
podem ser previstas com clareza. Por outro lado, a limitação da finalidade é um princípio chave
da protecção de dados que exige que os dados pessoais sejam recolhidos para uma finalidade
específica e não possam, numa fase ulterior, ser usados para outra finalidade incompatível.
O desafio é definir com clareza, antecipadamente, quais os dados pessoais que podem
ser tornados publicamente disponíveis e estabelecer garantias adequadas de protecção de
dados, em ordem a assegurar certeza jurídica ao mesmo tempo que se permite a inovação e a
reutilização para quaisquer finalidades (lícitas).
A este propósito é importante recordar que qualquer informação relacionada com uma
pessoa singular identificada ou identificável, publicamente disponível ou não, constitui dados
pessoais. Além disso, o mero facto de tais dados serem tornados publicamente disponíveis não
conduz a qualquer isenção das leis de protecção de dados pessoais. A reutilização dos dados
pessoais tornados publicamente disponíveis pelo sector público, continua assim sujeita, em
princípio, à lei de protecção de dados pessoais relevante.
Cenários diferentes exigem garantias diferentes
Como em todos os restantes casos de avaliação da compatibilidade, devem ser considerados

todos os factores relevantes descritos na Secção III.2.2. Para identificar quais as garantias
necessárias, pode uma vez mais ser útil proceder a uma distinção entre diferentes cenários.
Nalguns casos, o organismo do sector público que disponibiliza os dados e os potenciais

reutilizadores dos dados estão interessados na utilização estatística dos dados: por exemplo,
querem detectar ou apresentar tendências e correlações nos dados. Noutros caos pode haver
uma “procura de mercado” por dados mais granulares ou por dados pessoais directamente
identificáveis e portanto, não é possível a anonimização plena devido à natureza e finalidades
da reutilização. Os diferentes tipos de cenários colocam desafios diferentes e exigem garantias
diferentes.
Como “regra de ouro” geral: enquanto a maior parte dos dados pode ser disponibilizada
para reutilização de forma suficientemente agregada ou de outro modo efectivamente
anonimizada, frequentemente as iniciativas de dados abertos não serão adequadas para dados
de pesquisa granular ou para dados pessoais directamente identificáveis, que podem exigir uma
abordagem mais cautelosa.
Em muitas situações, a anonimização pode ajudar os organismos do sector público a cumprir

as leis de protecção de dados pessoais, permitindo-lhes ao mesmo tempo tornar disponíveis para
59
reutilização os dados necessários. De facto, quando tal é possível, a anonimização “completa”
(e um elevado nível de agregação) dos dados pessoais é a solução mais efectiva para minimizar
os riscos de fuga por inadvertência. A anonimização deve ser feita antes de se disponibilizar
os dados para reutilização – pelo responsável pelo tratamento ou por um terceiro de confiança.
Contudo, como se explicou na Secção III.2.3, a re-identificação dos indivíduos é uma

ameaça crescentemente comum e presente e há uma área cinzenta significativa na qual é
difícil avaliar antecipadamente se a re-identificação será possível. É muito importante tomar
o maior cuidado, na fase inicial da produção, publicação e disponibilização para reutilização
de qualquer informação derivada de dados pessoais, mesmo quando esta é em última análise
apresentada sob a forma de um conjunto anonimizado de dados118.
Por este motivo é importante conduzir uma avaliação efectiva de impacto sobre a protecção
de dados para decidir quais os dados que podem ser disponibilizados para reutilização e a qual
nível de anonimização e agregação. Uma tal avaliação de impacto, robusta e detalhada, deve
ser completada antes da publicação da informação e da sua disponibilização para reutilização.
É importante que a análise não seja monopolizada por quaisquer partes interessadas e
que o seu resultado não seja pré-determinado. Um tal exercício exige, assim, a participação
de diversas partes interessadas, incluindo não só o responsável pelo tratamento que pretende
libertar os dados, mas também aqueles que pretendem os dados e que, portanto, podem fornecer
o contexto da discussão, bem como representantes dos indivíduos cujos dados pessoais estão
em causa.
Quando se libertam conjuntos de dados anonimizados, a avaliação de risco deve incluir

testes para avaliar a re-identificabilidade, por exemplo, testes de penetração ou “pentests”. Os
responsáveis pelo tratamento devem estar conscientes do risco de re-identificação e de que este
risco pode mudar ao longo do tempo, por ex. devido a poderosas técnicas de análise de dados
que anteriormente eram raras e actualmente se tornaram vulgares. Portanto, as organizações
devem realizar revisões periódicas das suas políticas de libertação de dados e das técnicas
utilizadas para os anonimizar, com base nas ameaças actuais e nas previsivelmente futuras.
Salvo se os dados puderem ser plenamente anonimizados, as leis de protecção de dados

pessoais continuam a ser aplicáveis. Isto significa, entre outras coisas, que a libertação pública
da informação deve ser “compatível” com as finalidades iniciais da recolha, nos termos da
alínea b) do n.º 1 do artigo 6.º da Directiva. Além disso, deve haver uma base legal adequada
para o tratamento nos termos das alíneas a) a f) do artigo 7.º da Directiva (por exemplo,
consentimento ou necessidade de cumprimento da lei).
No que se refere a dados pessoais directamente identificáveis ou não suficientemente
118 Vide Anexo 4, em especial, exemplo 14.
60
anonimizados, em geral, é necessária uma abordagem ainda mais cautelosa. Uma vez que os
dados pessoais estejam publicamente disponíveis para reutilização será crescentemente difícil,
se não impossível, ter qualquer forma de controlo sobre a natureza da potencial utilização
posterior, seja ela para finalidades históricas, estatísticas, científicas ou outras. É este o caso,
em especial, se os dados forem disponibilizados em formato digital, pesquisável e legível
mecanicamente e tiverem sido publicados na internet. Assim, a selecção da informação que
será ou não tornada publicamente disponível torna-se ainda mais importante.
Deve portanto efectuar-se uma avaliação aprofundada do impacto sobre a protecção de

dados e – em regra – devem procurar-se alternativas. Deve evitar-se tonar os dados disponíveis
para reutilização sob uma licença aberta salvo se se tiver demonstrado claramente que o
cumprimento das leis de protecção de dados pode ser efectivamente assegurado.
Dito isto, não se pode excluir que uma avaliação de impacto sobre a protecção de dados
possa concluir que os dados podem ser abertos e tornados publicamente disponíveis segundo
os princípios dos “dados abertos”. Nestes casos deve ser estabelecido um regime rigoroso
de licenciamento, o qual deve ser aplicado de forma igualmente estrita, para assegurar que
os dados não serão utilizados para finalidades incompatíveis (por exemplo, para mensagens
comerciais não solicitadas ou de outra forma que as pessoas em causa possam achar inesperada,
inadequada ou objectável).
Claro que a publicação dos dados e qualquer sua utilização posterior devem ter uma base
legal adequada (por ex. o consentimento ou a imposição da lei) nos termos das alíneas a) a f)
do artigo 7.º da Directiva.
61
Anexo 3: Exemplos práticos para ilustrar a determinação da finalidade
Os exemplos seguintes ilustram as formas de executar, na prática, a determinação da

finalidade. Os exemplos serem para destacar a diversidade de situações e a flexibilidade e
escalabilidade necessárias para a aplicação efectiva do princípio. Identificam ainda preocupações
comuns e fornecem orientação para a determinação das finalidades em diferentes contextos.
Conforme se ilustrará, o contexto geral e em especial as expectativas razoáveis das pessoas

em causa bem como até que ponto as partes interessadas têm um entendimento comum das
finalidades do tratamento, determinam em grande medida o grau de detalhe necessário.
Exemplos 1-4: A forma de determinação da finalidade precisa de ser adaptada ao

contexto
O grau de detalhe a fornecer pode variar e precisa de ser adaptado à situação, conforme
se ilustra nos exemplos seguintes:
— Uma loja local que vende aos residentes locais numa pequena cidade e que recolhe
apenas informação limitada sobre os seus clientes não precisa de determinar as
finalidades de forma tão detalhada como uma grande empresa retalhista que vende
mercadorias para toda a Europa através de um sítio na web e que utiliza analítica
complexa para moldar ofertas personalizadas e publicidade dirigida;
— Um sítio na web de uma rede social que opera através da Europa precisa de prestar
uma atenção especial à forma como determina as suas finalidades e à clareza da
informação que presta, visto que se dirige a um vasto grupo de utilizadores de
diferentes culturas;
— Se um responsável por tratamento fornece diversos serviços (por exemplo, correio

electrónico, rede social e carregamento de fotografias, vídeos e música), deve evitar
a simplificação excessiva: será necessária uma granularidade capaz de assegurar
que todas as diferentes finalidades são suficientemente claras para os utilizadores;
— Um sítio governamental na web que fornece aconselhamento a idosos ou a

doentes mentais, um sítio de jogos na web dirigido a adolescentes e uma agência
governamental que processa requerimentos de candidatos a asilo precisam, todos
eles, de tomar em consideração as idades, necessidades especiais, nacionalidade e
cultura dos indivíduos aos quais se dirigem.
62
Exemplos 5-6: É preciso mais detalhe no caso de haver ambiguidades e para tratamento
além do que é habitual num dado contexto
Em situações nas quais as finalidades do tratamento podem ser claramente retiradas

do contexto é, habitualmente, necessário menor detalhe. Contudo, mesmo aqui, pode ser
necessária informação mais precisa e detalhada quando surgem ambiguidades, conforme se
ilustra nos casos seguintes:
— Um pequeno comerciante local contrata o fornecimento e instalação de um sistema

de aquecimento na casa de um cliente, bem como a prestação de manutenção anual.
A empresa recolhe informação, tal como nome, endereço e número de telefone do
cliente, a fim de entregar e instalar o sistema e para agendar a manutenção anual.
Tal pode suceder sem comunicar às pessoas em causa uma informação extensiva
sobre protecção de dados pessoais, visto que os detalhes podem estar implícitos
no contexto, no costume e na natureza da transacção económica subjacente. No
entanto, se surgir qualquer ambiguidade, por exemplo, quanto à intenção da
empresa de enviar ao cliente publicidade relativa aos seus outros serviços (ou aos
serviços de outras empresas), tal deve ser especificamente comunicado às pessoas
em causa119.
— O currículo de um candidato destina-se a ser utilizado por um empregador potencial

para avaliação da sua experiência profissional num procedimento de recrutamento
em curso. Isto é evidente em si mesmo. No entanto, se o currículo também se
destina a ser utilizado para esquemas de mobilidade interna, esquemas de
promoção ou procedimentos ulteriores de recrutamento, tal deve ser especificado.
Exemplos 7-8: Finalidades demasiado vagas ou demasiado gerais
Finalidades vagas ou gerais, tais como “melhorar a experiência dos utilizadores”,

“comercialização”, “segurança informática” ou “pesquisa futura” – sem mais detalhes –
habitualmente não preencherão o requisito de serem “específicas”. No entanto, o grau de
detalhe a que uma finalidade deve ser especificada depende do contexto particular no qual
os dados são recolhidos e dos dados pessoais envolvidos. Ilustrando:
— Uma boutique pequena mas exclusiva, especializada em “vestidos sob medida

e acessórios originais” baseia-se na publicidade de boca em boca. O único
utensílio de comercialização directa a que recorre é um lustroso catálogo anual
que é enviado em suporte de papel para os endereços residenciais das suas 200
clientes. Ao subscrever o catálogo (tal como claramente referido no próprio
catálogo) as clientes são informadas de que podem cancelar a assinatura a todo o
119 A este propósito, vide também a Secção II.2.4 sobre comunicações não solicitadas.
63
tempo: pessoalmente, por escrito, via correio electrónico ou por telefonema para a
loja. São igualmente informadas de que os seus dados não serão partilhados com
terceiros e serão somente utilizados para a expedição do catálogo. Neste contexto
simples, tal é uma especificação suficiente das finalidades120.
— O exemplo acima pode ser comparado com o de uma grande empresa de retalho
que vende mercadorias para toda a Europa e que utiliza analítica complexa para
moldar ofertas personalizadas e publicidade dirigida. Neste caso, as finalidades
devem ser especificadas de forma muito mais detalhada e abrangente incluindo,
entre outras coisas, “a forma como” os dados pessoais serão tratados. Os critérios
de decisão usados na formação de perfis de consumidor devem igualmente ser
revelados121.
Exemplos 9-10: Aviso estratificado
Um aviso estratificado é com frequência um meio exequível de fornecer informação

chave às pessoas em causa de maneira muito concisa e acessível, fornecendo também
informação adicional no “estrato” seguinte, a benefício de quem pretender maior clareza.
— Um departamento governamental utiliza um sistema de CCTV para proteger os

seus edifícios e combina dois métodos de comunicação de informação ao público:
(1) afixa avisos nos locais para alertar imediatamente o público para o facto de que
a videovigilância tem lugar e fornecer informação essencial sobre o tratamento, e
(2) publica nos seus sítios na intranet e na internet a versão pública da sua política
de videovigilância. Esta publicação é fácil de localizar: os avisos nos locais já
contêm o endereço e este pode ser igualmente encontrado introduzindo o nome da
organização e as palavras “CCTV” ou “videovigilância” nos motores de pesquisa.
O aviso é de fácil leitura e fornece informação abrangente.
— Um sítio na web dirigido a uma audiência de adolescentes oferece um utensílio

colaborativo de cartografia, para planear e publicar percursos de corrida a pé.
Embora a opção por defeito seja a de conservar privados os percursos publicados
(por razões de segurança), os utilizadores podem igualmente decidir partilhar os
seus percursos de corrida com os seus “amigos” ou mesmo torná-los públicos.
Antes de armazenar um percurso no sistema abre-se uma mensagem que pergunta
ao utilizador se quer partilhar a informação, dando-lhe três opções: “não, por
favor mantenha-o privado”, “sim, partilhe com os meus amigos” e “sim, torne-o
público”. A opção “não, por favor mantenha-o privado” surge pré-seleccionada e
120 Vide também a Secção II.2.4 sobre comunicações não solicitadas.

121 Sobre a formação de perfis de consumidor, vide também os exemplos 9 (Algoritmos secretos prevêem a gravidez de consumidoras
a partir dos hábitos de compra) e 10 (Oferta especial para um cortador de relva) do Anexo 4, que discutem a avaliação da
compatibilidade.
64
esta mensagem contém ainda um ponteiro intitulado “ler mais sobre como proteger
a sua privacidade no mapa”. Junto à opção “sim, torne-o público” é exibido um
ícone triangular de perigo. Ao seleccioná-lo, são destacados os perigos associados
à disponibilização pública dos percursos. Informação adicional no sítio fornece
todos os elementos de um aviso de protecção de dados em maior detalhe e numa
linguagem adaptada à audiência. Também contém sugestões e conselhos, por
exemplo, de que os utilizadores deveriam em geral evitar tornar públicos os seus
percursos de corrida e, caso o façam, devem adoptar precauções sensatas. Em
especial são aconselhados a não localizar o endereço da sua casa ou da sua escola,
publicar percursos através de locais não frequentados, indicar a sua idade e género
ou publicar a sua fotografia. São igualmente aconselhados a utilizar pseudónimos.
Exemplo 11: Dividir as finalidades mais gerais em “sub-finalidades”
Em geral é possível dividir uma “finalidade” num certo número de sub-finalidades.
— Por exemplo, o tratamento do requerimento de um indivíduo para um benefício

social pode ser “dividido” em verificação da sua identidade, execução de vários
testes de qualificação, verificação dos registos de outras agências de assistência
social, etc.
— O conceito de finalidade global, sob cuja cobertura tomam lugar várias operações
de tratamento, pode ser útil. Este conceito pode ser usado, por exemplo, quando
se comunica um aviso estratificado à pessoa em causa. A informação mais geral
pode ser comunicada em primeira instância sobre a “finalidade global”, podendo
ser complementada com informação adicional. A divisão das finalidades é também
necessária para o responsável pelo tratamento e para os seus subcontratantes, a fim
de aplicar as garantias de protecção de dados necessárias.
Exemplo 12: Condições gerais de um banco de retalho
Um banco de retalho tradicional especifica nas suas condições gerais que tratará os dados
pessoais dos seus clientes para fornecer os serviços financeiros solicitados e para fornecer
informação sobre outros serviços nos quais os clientes possam estar interessados. Utilizará
também os dados para prevenir fraudes e abuso do sistema financeiro e para cumprir as
imposições legais que exigem a comunicação de certas informações às autoridades públicas
competentes. Esta abordagem suscita diversos comentários:
— Em primeiro lugar, parece que “fornecer os serviços financeiros solicitados”

enquanto finalidade primária é ao mesmo tempo suficientemente claro e preciso
65
para que a maior parte dos clientes compreenda o âmbito básico do tratamento122.
— Em segundo lugar, as outras finalidades mencionadas podem – conforme se

discutiu na Secção III.2 – ser compatíveis com a finalidade primária, ou ser
impostas pela lei mas, ainda que seja fornecida alguma informação básica, são
demasiado gerais para poderem servir como especificação útil da finalidade.
— Em terceiro lugar, é duvidoso que a inclusão desses pontos adicionais nas

condições gerais traga qualquer flexibilidade acrescida para a utilização posterior
por parte do responsável pelo tratamento, considerando que essa utilização
adicional não é necessária para a execução do contrato e que o cliente não
consentiu inequivocamente.
Exemplo 13: Registos da população
— Em muitos países foram desenvolvidos sistemas de registo da população (muitos

dos quais tiveram origem há vários séculos) para incluir alguns ou todos os
eventos cobertos pelo registo civil (tais como nascimentos, óbitos, casamentos,
divórcios, adopções, etc.), mas também um âmbito mais vasto de eventos, tais
como a mudança de endereço. Estes registos são tipicamente utilizados para
fornecer informação fiável sobre a população, informação essa que pode ser
utilizada para uma variedade de finalidades públicas, tais como planeamento,
orçamento e tributação, emissão de documentos de identificação, estabelecimento
da capacidade eleitoral activa, acesso à educação, aos cuidados de saúde, aos
seguros sociais, aos sistemas de assistência social e reforma e à elegibilidade para
o serviço militar.
— Quer o conteúdo quer a utilização destes registos são habitualmente regulados por
leis especiais. Embora surjam frequentemente disposições de carácter geral nessas
leis, tais como “a informação pode ser utilizada para qualquer missão pública”,
elas também contêm disposições legais detalhadas, que dão certeza jurídica. Estas
disposições especificam em que situações e para quais finalidades os dados podem
ser utilizados, e quem pode ter-lhes acesso.
— Os registos formam ainda a base para os serviços de governo electrónico. Com as

tendências crescentes para a partilha governamental de dados, torna-se cada vez
122 É claro que, nos seus procedimentos internos, o banco ainda deverá definir as finalidades mais especificamente de modo a assegurar
que pode aplicar as garantias necessárias. Pode ser também necessário fornecer informação adicional às pessoas em causa, por
exemplo, quando a informação obtida de um cliente que utiliza um certo serviço será subsequentemente utilizada noutro contexto.
Essa utilização poderá ou não ser adequada, dependendo do contexto específico. Mesmo se for permissível, uma tal combinação
de dados pode exigir garantias adicionais. Por exemplo, devem ser adoptadas regras estritas, regulando se um banco, que tenha
simultaneamente um negócio segurador e um negócio bancário, pode ou não, e em que condições, utilizar a informação obtida num
deles para o exercício do outro (vide também a Secção III.2).
66
mais importante que existam regras jurídicas claras, específicas e proporcionadas,
para tornar claro como pode ser utilizada, partilhada e garantida a informação
contida nos registos da população e noutras bases de dados governamentais. O
desafio consiste em definir estas regras de modo a que proporcionem suficiente
certeza jurídica sem se tornarem excessivamente rígidas.
Exemplo 14: Partilha de dados entre as autoridades competentes dos Estados Membros
da União Europeia
— Há uma tendência crescente para a cooperação administrativa entre as várias

autoridades competentes dos Estados Membros, por exemplo na área da aplicação
da lei (tal como no Sistema de Informação de Schengen), alfândegas (Sistema
de Informação Aduaneira), protecção ao consumidor (Sistema de Cooperação
no domínio da Defesa do Consumidor), pedidos de asilo (Sistema EURODAC),
pedidos de visto (Sistema de Informação de Vistos) ou em questões mais amplas
sobre o mercado interno (Sistema de Informação do Mercado Interno).
— Tal como no caso da partilha de dados intragovernamental, torna-se crescentemente

importante que existam regras jurídicas claras, específicas e proporcionadas. Estas
regras devem tornar claro quais os dados que podem ser utilizados, partilhados,
intercambiados ou armazenados e para quais finalidades. Devem também
especificar quem tem acesso a qual informação, como se assegura a segurança dos
sistemas informáticos e quais as garantias adicionais a aplicar.
Exemplo 15: Finalidades ilegítimas – estabelecimento do perfil racial dos clientes
Um negócio segmenta os seus clientes em dois grupos, com base em perfis étnicos:
cobra preços mais elevados a “brancos”, ao contrário dos clientes “asiáticos”. Isto é feito
de forma não transparente, para dissimular as práticas, aplicando diferentes descontos
personalizados aos cupões enviados a clientes com apelidos asiáticos. Não é fornecida aos
clientes nenhuma informação, para além de que “os dados dos cartões de lealdade podem
ser utilizados para fins de comercialização”.
— Para além das outras questões que este caso suscita, o exemplo ilustra que o
requisito de que as finalidades sejam legítimas é amplo: por exemplo, também,
proíbe o tratamento de dados para finalidades que possam resultar em práticas
discriminatórias.
— O caso ilustra igualmente a importância da transparência para assegurar um

tratamento leal: se o negócio tivesse colocado em local proeminente da sua porta
principal um aviso de que concederia um desconto de 10% a todos os clientes de
67
origem asiática (ou uma sobrecarga de 10% para todos os clientes não asiáticos),
o efeito discriminatório teria seguramente sido evidente para toda a gente (e
provavelmente teria também afastado todos os clientes não asiáticos).
68
Anexo 4: Exemplos práticos para ilustrar a avaliação da compatibilidade
Os exemplos seguintes ilustram as formas como uma avaliação de compatibilidade

substantiva, multifactorial pode ser realizada em situações muito diversas. Para melhor orientar
o leitor, os exemplos — em geral — progridem de casos relativamente simples e directos para
casos mais complexos que exigem uma avaliação de compatibilidade mais apurada. Nalgumas
ocasiões foram agrupados dois ou mais exemplos relacionados entre si foram agrupados, por
ser útil a sua comparação.
São igualmente discutidas situações nas quais se exigem várias garantias, assim como
o são situações nas quais o tratamento posterior é provavelmente incompatível e somente
pode ser executado ao abrigo das estritas disposições do artigo 13.º da Directiva. Os exemplos
têm origem nos sectores público e privado e cobrem também a partilha governamental de
dados. Muitos dos exemplos foram baseados em casos reais, ou em elementos de casos reais
processados por autoridades de protecção de dados nos diferentes Estados Membros. Contudo,
os factos foram por vezes algo modificados a fim de melhor ilustrar o conceito e a metodologia
da avaliação da compatibilidade.
Quanto à natureza dos casos é importante realçar que foram incluídos a fim de ilustrar o
processo intelectual – o método segundo o qual a avaliação multifactorial de compatibilidade
deve ser executada. Por outras palavras, os exemplos não pretendem fornecer uma apreciação
conclusiva dos casos descritos. De facto, em muitos dos casos, a alteração de factos do caso de
alguma forma (por exemplo, se o responsável pelo tratamento adoptasse garantias adicionais
tais como anonimização mais completa, melhores medidas de segurança e mais transparência
e oportunidades genuínas de escolha para as pessoas em causa), poderia modificar o resultado
da avaliação de compatibilidade.
Isto deve encorajar os responsáveis pelo tratamento a cumprir mais completamente as

disposições horizontais da Directiva: quanto maior o cuidado por eles tomado na protecção
geral dos dados pessoais maior probabilidade haverá de que o tratamento posterior que
pretendem possa ser considerado compatível.
Exemplo 1: Recepcionista tagarela apanhada no CCTV
Uma empresa instala uma câmara de CCTV para controlar a entrada principal do seu
edifício. Um aviso informa as pessoas que está em operação um CCTV com finalidades de
segurança. As gravações do CCTV mostram que a recepcionista está frequentemente longe
da sua secretária e se envolve em prolongadas conversas enquanto fuma junto à área de
entrada coberta pelas câmaras de CCTV. As gravações, combinadas com outras provas (tais
como queixas) mostram que ela deixa frequentemente de atender chamadas telefónicas, o
que é um dos seus deveres.
69
Para lá de outras preocupações com o CCTV que podem ser suscitadas por este caso, em
termos da avaliação da compatibilidade pode aceitar-se que uma pessoa em causa razoável
assumiria, a partir do aviso, que as câmaras estão no local somente para fins de segurança.
Controlar se um empregado desempenha adequadamente ou não as suas funções, tais como
atender telefonemas, é uma finalidade não relacionada que não pode ser razoavelmente
esperada pela pessoa em causa. Isto dá uma forte indicação de que a utilização posterior é
incompatível. Outros factores, tais como o potencial impacto negativo sobre o empregado
(por exemplo, acção disciplinar), a natureza dos dados (imagens vídeo), a natureza da
relação (contexto laboral, o que sugere desequilíbrio de poderes e limitação das opções) e
a ausência de garantias (como, por exemplo, aviso sobre outras finalidades, para além da
segurança), podem também contribuir para confirmar esta avaliação.
Exemplo 2: Testes de bafómetro controlando a pontualidade
Uma empresa de transportes públicos exige aos motoristas de autocarro que, todos
os dias e antes de iniciarem o seu turno, soprem num bafómetro para controlar a presença
de álcool. A hora e data do teste são registadas, juntamente com a informação sobre se o
teste foi ou não bem-sucedido. Este procedimento está integrado num sistema de entradas e
saídas. Quando os motoristas de autocarro começam o seu turno de trabalho, é-lhes exigido
que aproximem o seu cartão magnético de identificação do módulo do bafómetro e em
seguida que soprem no bafómetro. A finalidade da recolha e do tratamento posterior destes
dados, conforme determinado pela lei e também notificado aos trabalhadores, é controlar
se os motoristas têm uma quantidade proibida de álcool nos seus corpos durante o turno
de trabalho, o que é uma exigência legal no país em causa. Contudo, sem conhecimento
dos motoristas, o sistema do bafómetro é também usado para controlar se os motoristas
cumprem as suas obrigações de pontualidade (isto é, se chegaram ou não pontualmente ao
início do seu turno).
Para além de outras preocupações sobre as práticas de direito laboral que este caso possa
suscitar, pode dizer-se que em termos de compatibilidade, uma pessoa em causa razoável
assume que os bafómetros estão instalados para controlar a presença de álcool e não para a
finalidade inteiramente não relacionada de controlar se os motoristas chegam atrasados ao
trabalho. Isto dá uma forte indicação de que a utilização posterior é incompatível. Outros
factores, tais como o potencial impacto negativo sobre o empregado (por exemplo, acção
disciplinar), a natureza sensível dos dados, a obrigação legal do trabalhador de fornecer os
dados, o desequilíbrio de poder entre a pessoa em causa e o empregador e a falta de garantias
(tais como, por exemplo, aviso sobre as finalidades ulteriores para além do controlo dos
limites de álcool) podem contribuir para confirmar esta avaliação.
70
Exemplo 3: Certificados de autorização de segurança armazenados para documentar e
auditar a conformidade de departamentos
Em ordem a proteger informação classificada, um departamento governamental exige a

alguns dos seus empregados que completem com êxito um procedimento de autorização de
segurança para documentar que eles têm o nível exigido de confiabilidade. O procedimento
de autorização de segurança está regulado na lei e é efectuado por outro departamento
governamental. Os certificados “limpos” (isto é, aprovados) de autorização de segurança
são armazenados pelo departamento governamental que solicitou a autorização, como prova
de que se acha em conformidade com os requisitos. Os certificados são armazenados por
toda a duração do emprego (e durante um período limitado, fixo, depois da terminação)
para permitir auditar a conformidade com os requisitos de segurança, quer internamente
quer por parte de um terceiro departamento governamental. Estas finalidades, bem como
os períodos de retenção, estão claramente identificados, estabelecidos por legislação e
ainda comunicados ao pessoal. Os certificados “limpos” não contêm qualquer informação
adicional, para além de que o procedimento de verificação foi executado com êxito.
Sem analisar quaisquer outros aspectos deste caso, pode dizer-se que, em termos de
compatibilidade, que a finalidade de conservar os certificados “limpos” para auditoria deriva
da finalidade original da obtenção dos certificados por razões de autorização de segurança,
apoiando-a: a auditoria é estabelecida para verificar se as necessárias autorizações de
segurança foram obtidas. Isto dá alguma indicação (em si mesma não conclusiva) de que
existe compatibilidade e pode sugerir que as pessoas em causa devem esperar algum grau de
armazenamento de dados para finalidades de auditoria. Outros aspectos do procedimento, tais
como o facto de que a previsibilidade e a certeza jurídica estão asseguradas por disposições
detalhadas na legislação, e de que as pessoas em causa são claramente informadas com
antecedência, podem também contribuir para a compatibilidade. Embora a natureza dos
dados fosse altamente sensível se também os “certificados negativos” fossem armazenados,
o impacto potencial sobre as pessoas em causa é limitado pelo facto de que — no cenário
descrito — só os certificados “limpos” de autorização de segurança são armazenados.
Exemplo 4: Férias de “Boas Melhoras”
A mulher de um médico explora uma pequena agência de viagens independente.

O médico fornece à sua mulher detalhes dos doentes que tiveram recentemente alta do
hospital. A mulher utiliza a informação para enviar aos doentes ofertas da sua linha de férias
de recuperação em sete dias “Boas Melhoras”.
Dada a sensibilidade da informação de saúde e a protecção especial que é conferida,

quer através da protecção de dados, quer através de outros elementos da lei (por ex. regras de
ética profissional e de sigilo profissional), a utilização dessa informação para uma finalidade
71
comercial não directamente relacionada com os cuidados de saúde dispensados, bem como
a transferência desses dados para terceiros (a mulher do médico) suscitam imediatamente
preocupações quanto à compatibilidade.
Este exemplo é típico de uma avaliação multifactorial. O facto de que a finalidade

secundária não está directamente relacionada com a prestação de cuidados de saúde (que
é a finalidade primária da recolha de dados) e a natureza sensível dos dados médicos,
apoiam ambos a avaliação de incompatibilidade. Nesta base e considerando as obrigações
profissionais de confidencialidade que recaem sobre o médico, pode ser razoavelmente
assumido pelo doente que os dados foram recolhidos especificamente (e apenas) para prestar
cuidados de saúde.
Adicionalmente — para além de quaisquer outras questões que este caso possa suscitar –
o facto de haver uma transferência de dados pessoais para um terceiro (a mulher do médico),
bem como a obrigação ética do médico de não retirar vantagens comerciais dos doentes
em situações vulneráveis, contribuem também para a avaliação de incompatibilidade. A
possibilidade de recorrer a meios alternativos, menos intrusivos, para alcançar o objectivo
de publicitar as férias “Boas Melhoras” (por. Ex. colocando brochuras de férias na sala de
espera do médico, se tal for permitido pelas regras de ética) sugere igualmente que este
tratamento é, provavelmente, incompatível123.
Exemplo 5: Uma parceria público-privada: apreciadores de alimentos gordos instados

a comer menos
Um supermercado participa numa nova iniciativa de saúde pública promovida pelo

Departamento governamental do Bem-Estar. O supermercado utiliza o seu software de
analítica já disponível e a base de dados de compras dos seus clientes (obtida através do
seu sistema de “cartão de lealdade”) para identificar os clientes que compram quantidades
excessivas de álcool ou grandes quantidades de alimentos ricos em gordura. Então, envia-lhes
folhetos preparados por um outro parceiro privado do governo para o endereço residencial
desses clientes. Os folhetos dão conselhos sobre nutrição e estilo de vida e oferece consultas
numa clínica de “bem-estar” local, que também participa na campanha do governo. As
pessoas em causa não são informadas desta iniciativa antes de o supermercado lhes enviar
os folhetos e a própria iniciativa não está prevista na lei.
A utilização de dados de compras dos clientes para uma finalidade não relacionada
suscita problemas significativos de compatibilidade que exigem uma análise cuidadosa. É
especialmente o caso deste exemplo, dado que o projecto é desenvolvido para finalidades de
interesse público e envolve uma parceria voluntária entre o governo e entidades do sector
privado. Em primeiro lugar, os supermercados não têm um papel formal, responsabilidade
123 Vide também a Secção III.2.4 sobre mensagens comerciais não solicitadas.
72
legal, nem obrigação jurídica no que respeita à salvaguarda da saúde pública. Embora a
educação dos consumidores possa ser, em si mesma, um objectivo útil, ela não tem uma
relação próxima com a finalidade primária de vender produtos e não pode justificar o
tratamento posterior. De facto é muito improvável que os clientes pudessem esperar que os
seus dados fossem utilizados (e explorados com recurso a utensílios analíticos) desta forma.
A natureza dos dados e a forma como eles são utilizados para classificar clientes como
“indivíduos de alto risco” (que necessitam de ajuda com os seus problemas de obesidade
ou de álcool) é um factor chave que contribui para a incompatibilidade. Embora os próprios
dados (por ex. comprar uma barra de chocolate ou uma lata de cerveja num certo dia)
não sejam de modo nenhum sensíveis, as inferências que podem ser retiradas deles são-
no. O impacto potencial sobre os clientes depende de vários factores: enquanto alguns
clientes poderão achar os folhetos úteis, outros poderão sentir-se apontados, incomodados,
pressionados ou discriminados. Este impacto negativo pode ser intensificado pela falta de
transparência da informação disponibilizada às pessoas em causa sobre a forma como a sua
informação é utilizada e por que motivo recebem as brochuras.
Além disso, métodos alternativos (tais como disponibilizar os folhetos no ponto de

venda ou noutras áreas do supermercado) seriam muito menos intrusivos e, talvez, uma
forma mais efectiva de atingir as finalidades pretendidas. Em alternativa, poderia ser
oferecida aos clientes uma opção clara e específica (auto-inclusão) sobre se concordam que
o supermercado explore os seus dados para a finalidade de lhes fornecer aconselhamento
sobre nutrição. Também lhes poderia ser pedido que confirmassem se concordavam que essa
informação fossa transferida para outros parceiros da campanha, sob finalidades claramente
especificadas.
Exemplo 6: Formação sobre internet segura para crianças
Na sequência de uma campanha pública sobre a utilização segura da internet, uma

escola decide enviar a informação de contacto de todas as crianças da escola com idades
dos 8 aos 13 anos, bom como a dos seus pais, para uma organização sem fins lucrativos que
conduz uma acção de formação inovadora e altamente efectiva, subsidiada pelo governo,
que ensina as crianças a utilizar a internet em segurança. Então, a organização sem fins
lucrativos envia folhetos aos pais e às crianças, convidando-as a registarem-se para a acção
de formação.
Apesar das boas intenções, a utilização posterior e a transferência dos dados das crianças
suscitam problemas de compatibilidade. Em vez de transferir automaticamente os dados sem
consentimento, poderiam ter sido utilizados métodos alternativos, tais como informar os
pais e/ou as crianças directamente sobre as sessões de formação. Este exemplo realça que a
avaliação da compatibilidade não pode ser reduzida a uma verificação mecânica e exige uma
abordagem de senso comum. Por vezes, vários factores podem indicar compatibilidade, mas
73
uma ou duas considerações cruciais sugerirão incompatibilidade. Neste caso, os objectivos
educativos da formação estão estreitamente relacionados com os objectivos educativos da
escola e a utilização dos dados para organizar a acção não seria necessariamente problemática
em si mesma, especialmente à luz do potencial impacto positivo sobre os alunos. Contudo, o
facto de os dados serem desnecessariamente transferidos para um terceiro quando há outros
meios de comunicação disponíveis sugere incompatibilidade.
Exemplo 7: Consentimento para a utilização de fotografias de férias para promover um

sítio na web
Um pequeno operador turístico especializado em trekking de montanha organiza um

programa de férias para oito participantes. Durante as férias o gerente da empresa, que
também é um fotógrafo entusiasta, além de servir de guia turístico e organizador geral da
viagem, tira muitas fotografias. Muitas dessas fotografias são subsequentemente partilhadas
entre os participantes mediante acesso, protegido por senha, a um sítio de partilha de
fotografias na web, com o entendimento de que as fotografias só poderão ser utilizadas para
finalidades pessoais e não comerciais.
Não obstante, dois anos depois, o gerente pretende usar algumas dessas fotografias
no sítio da empresa na web, para promover o seu programa de férias. As fotografias são
inofensivas mas algo íntimas, na medida em que capturam artisticamente momentos e
emoções privadas enquanto decorria o trekking em altitude. Durante uma reunião, o gerente
pede aos indivíduos cujas fotografias pretende utilizar que consintam no carregamento
das fotografias no sítio na web. Alguns dos participantes dão consentimento informado,
inequívoco e explícito (para assegurar a documentação do consentimento o gerente
redigiu um documento simples mas claro que é então assinado por todos aqueles que
consentiram). Outros preferem que as suas fotografias não sejam carregadas no sítio na web.
Subsequentemente o gerente carrega apenas aquelas fotografias para as quais os indivíduos
em causa deram o seu consentimento.
Embora a finalidade do tratamento tenha sido significativamente alterada, esta

utilização pode ser considerada compatível porque foram aplicadas garantias adicionais
para assegurar que era dada informação adequada e obtido consentimento para o tratamento
posterior. Este cenário simples e directo ajuda a ilustrar que em alguns casos, mesmo quando
uma pessoa razoável habitualmente não esperaria uma tal utilização posterior (como ter
as suas fotografias pessoais e íntimas publicadas num sítio comercial na web para fins
promocionais), a modificação da finalidade é possível, dependendo de garantias adequadas
– neste caso, o consentimento informado e livremente dado.
74
Exemplo 8: Um sítio de partilha de fotografias na web altera a sua política de privacidade
Um sítio líder de mercado de redes sociais e de partilha de fotografias permite aos

seus utilizadores o carregamento de fotografias para utilização pessoal e a sua partilha com
“amigos” seleccionados. O aviso de privacidade assegura aos clientes que as fotografias
serão somente partilhadas “com quem quiser e quando quiser”. Dois anos mais tarde a
empresa modifica a sua política de privacidade. Numa mensagem de correio electrónico
notifica os seus clientes de que entrará em vigor uma nova política de privacidade e, salvo
se removerem as suas fotografias num prazo de 30 dias, considerará que consentiram
em dar ao sítio uma licença para utilizar todas as fotografias carregadas para qualquer
finalidade, incluindo mas não limitada a promoção do sítio na web. Um acordo detalhado de
licenciamento e a política de privacidade são fornecidos através de um ponteiro incluído na
mensagem de correio electrónico, bem como no próprio sítio, quando os clientes o visitarem.
O cliente deve aceitar estes documentos clicando em “Aceito” antes de lhe ser permitido que
continue a navegar no sítio na web.
Esta utilização posterior das fotografias – para além de suscitar outras preocupações
de protecção de dados, tais como a validade do consentimento, a proporcionalidade e a
legitimidade – também suscita problemas de compatibilidade. É claro que a modificação
não poderia ser esperada pelos clientes que, nesta altura, já carregaram em linha dois anos
de fotografias suas no entendimento de que seriam partilhadas apenas “com quem (eles)
quisessem e quando (eles) quisessem”. A finalidade do tratamento inicial (permitir aos
clientes a partilha de fotografias com os seus amigos) está claramente não relacionada com
a utilização – excessiva – posterior pela empresa. O contexto e as garantias específicas dadas
na publicidade dos serviços aquando da recolha inicial também confirmam a avaliação de
incompatibilidade.
A natureza dos dados também é um factor em apoio da incompatibilidade: apesar

de muitas das fotografias carregadas no sítio poderem ser inócuas, outras poderão ser
mais íntimas, mesmo embaraçosas ou simplesmente mal tiradas. Podem também ser mal
interpretadas, se retiradas do seu contexto. Além disso, o pensamento de que as fotografias
poderão ser usadas para finalidades promocionais ou outras pode ter um efeito asfixiante
de autocensura sobre aquilo que as pessoas poderão publicar no sítio na web, que pode ser
classificado como um impacto potencial sobre a pessoa em causa. O equilíbrio de poder entre
os consumidores e o sítio de partilha de fotografias e a ausência de alternativas adequadas
para os serviços de partilha de fotografias podem também contribuir para a conclusão de
que o consentimento apenas, obtido desta forma e nestas circunstância, é verosimilmente
insuficiente para compensar esta modificação excessiva e inesperada de finalidade.
75
Exemplo 9: Algoritmos secretos prevêem a gravidez de clientes a partir dos hábitos de
compra
Um centro comercial utiliza os dados do cartão de lealdade para analisar os hábitos de

compra dos seus clientes, para identificar novas tendências de comercialização e também para
fazer ofertas especiais e enviar cupões de desconto aos seus clientes. O inovador software
de analítica utilizado pelo centro comercial prevê com um elevado grau de probabilidade
se uma cliente está grávida e de quantos meses. Esta informação é utilizada para adaptar
as ofertas de comercialização aos seus perfis. Não é dada nenhuma informação específica
aos clientes quando se registam para um cartão de lealdade. As condições detalhadas
(disponíveis no sítio do centro comercial na web) apenas mencionam que “os dados do
cartão de lealdade podem ser utilizados para finalidades de comercialização, incluindo a
apresentação de ofertas especiais e de cupões de desconto aos clientes”. O centro comercial
recebe uma queixa do pai de uma adolescente que descobre estar ela grávida, na sequência
de suspeitas criadas pela quantidade acrescida de publicidade relacionada com a gravidez
recebida na caixa do correio da casa da família.
O cenário acima levanta imediatamente preocupações de privacidade: algumas

mulheres grávidas, especialmente nas primeiras fases da sua gravidez, poderão querer
manter as notícias para si mesmas e/ou para um círculo muito próximo de família e amigos.
A forma como este estabelecimento de perfis é executado (algoritmos secretos para prever
a gravidez) é obviamente uma das maneiras que muitos clientes achariam inesperadas,
inapropriadas e objectáveis. O problema relaciona-se menos com a natureza dos dados
recolhidos (que pode não ser intrusiva em si mesma) e mais com a forma como os dados
são combinados, tratados posteriormente e utilizados para prever um perfil geral (gravidez e
respectivo número de meses) utilizando um algoritmo secreto e objectável.
Em suma, e para além de outras questões que este caso possa suscitar, há uma forte
indicação de incompatibilidade, primariamente devida à maneira como os dados são tratados
e à ausência de garantias (tais como a transparência, bem como consentimento informado
e genuíno). Este caso pode ser colocado em contraste com o seguinte, também sobre o
estabelecimento de perfis de clientes, mas numa forma socialmente mais aceitável.
Exemplo 10: Oferta especial de um cortador de relva
Uma cadeia nacional de retalho que vende artigos de jardinagem e equipamento de

bricolagem oferece aos seus clientes um cartão de lealdade mediante uma taxa modesta
de assinatura anual, que lhes proporciona um desconto de 10% em todas as compras feitas
usando o cartão. Há um aviso informativo de privacidade no sítio da empresa na web e é
igualmente fornecida uma versão mais curta aos clientes que assinam o cartão de lealdade,
com algumas opções explícitas para seleccionar.
76
O aviso está redigido com clareza e menciona, entre outras coisas, que se o cliente
escolher a opção a) “Quero que o meu histórico de compras seja armazenado em linha para
poder receber descontos personalizados”, então o histórico de compras pode ser utilizado
para “analisar os padrões de compra e fazer ofertas personalizadas especiais aos clientes
leais”. Em alternativa, o aviso explica que se o cliente ainda quiser conservar o seu cartão
de lealdade e assim beneficiar do desconto de 10% (e do todos os descontos gerais) “Quero
que os meus detalhes sejam mantidos privados e receber apenas os descontos gerais”,
pode escolher não ser sujeito a estabelecimento de perfil e não receber ofertas e descontos
personalizados. São dados mais detalhes quer em linha quer fora de linha.
Num dia de primavera uma cliente leal e entusiasta da jardinagem, que optara por
descontos personalizados, recebe uma oferta especial pelo correio: 30% de desconto num
cortador de relva novo, menos ruidoso e energeticamente mais eficiente, precisamente
quando o seu velho cortador de relva estava a começar a dar-lhe problemas.
Ela fica interessada e liga-se em linha para descobrir mais sobre a oferta. Cada titular
de cartão tem acesso, não apenas a recomendações personalizadas e a ofertas especiais,
mas também ao seu próprio histórico de compras dos últimos cinco anos — informação
que a loja retém por defeito. O sítio tem muitas características de utilização fácil para
analisar as compras feitas e para recomendar artigos adicionais de que o cliente poderia
gostar. Também inclui um artigo informativo em lugar de destaque sobre as formas como
o software de analítica funciona, destacando as práticas comuns na indústria, as quais são
igualmente utilizadas pela loja de jardinagem. Por exemplo, o artigo explica que as ofertas
especiais, para artigos anteriormente comprados pelo cliente, serão enviadas por altura da
época em que os clientes poderão começar a pensar em substituir os seus modelos antigos.
O artigo também explica que o desconto a aplicar será personalizado com base em
vários factores, tais como o dispêndio mensal médio do cliente na loja (quanto mais gastarem,
maior o desconto), a aceitação de ofertas anteriores e outros indicadores semelhantes que
são descritos transparentemente e em detalhe. Esta transparência já deu lugar a piadas
na secção “fórum” do sítio na web sobre o tempo médio que certos cortadores de relva
demoram a avariar e à partilha de estratégias e pistas sobre como “enganar” o sistema e
obter melhores descontos. Por exemplo, muitos clientes começaram a clicar especificamente
em certos artigos descontados no sítio, para mostrar que fazem compras e assim sugerir que
reagirão bem a um desconto maior.
O sítio também permite que o histórico de compras do cliente seja descarregado num
formato padrão. Alguns clientes, por exemplo, podem decidir integrar estes dados num
utensílio de software (adquirido à parte) que utilizam para planear e analisar as suas finanças
pessoais.
77
Tal como no exemplo anterior relacionado com a previsão da gravidez, este caso exige
uma análise complexa dos detalhes, que não poderiam ser cobertos num curto resumo. No
entanto, vale a pena comparar os dois casos, que exibem muitas semelhanças mas também
muitas diferenças. Ambos os casos envolvem o estabelecimento de perfis de clientes para fins
de comercialização, mas o senso comum sugere que enquanto o primeiro caso é claramente
objectável para a maioria das pessoas, o segundo parece ser muito menos problemático.
Em última análise, o elemento mais chocante do primeiro caso é a capacidade

inesperada, misteriosa, do algoritmo para predizer a gravidez a partir de dados de compras
aparentemente inócuos. Em contraste, a loja de jardinagem parece estabelecer os perfis dos
seus clientes de uma maneira muito mais previsível (conveniente, mesmo) e razoável: uma
oferta de um novo cortador de relva surge quando está na altura de substituir o velho. Não há
nada de surpreendente nem de objectável na oferta especial recebida nem na maneira como
a empresa calcula o momento para a oferta. As diferenças chave estão na maneira como os
algoritmos foram concebidos: relativamente a preencherem ou não as expectativas gerais
razoáveis do público ou haver ou não algo objectável ou desleal neles.
A este respeito é também importante realçar que o seguimento e o estabelecimento de

perfis para finalidades de comercialização pode habitualmente ser considerado compatível
somente se houver uma base jurídica para o tratamento tal como o consentimento genuíno,
inequívoco, dado livremente e informado. No segundo caso, a loja de jardinagem parece ter
feito esforços significativos para assegurar a transparência e proporcionar opções informadas
aos seus clientes. Estas garantias, por seu turno, podem contribuir para a previsibilidade e
confirmar as expectativas razoáveis. Podem também ajudar a assegurar a lealdade global
e minimizar qualquer impacto inesperado e objectável sobre as pessoas em causa. De
facto, se uma empresa tiver que revelar os seus critérios de decisão – o seu algoritmo de
estabelecimento de perfis — é muito menos provável que venha a usar métodos desleais ou
objectáveis.
Finalmente, a natureza dos dados também pode desempenhar um papel na avaliação.

Embora os padrões detalhados da compra de ferramentas e consumíveis de jardinagem
possam revelar informação significativa sobre os indivíduos, em geral, tal não é tão sensível
como o tipo de inferências que podem ser retiradas do conhecimento de quais os sítios na
web que visitam, os livros ou filmes que alugam/compram, ou os artigos que compram numa
farmácia.
Exemplo 11: Fabricante de automóveis utiliza o registo público de veículos para

notificar os proprietários de um defeito e fazer a chamada dos automóveis
Um fabricante de automóveis identifica um defeito significativo numa série de

automóveis que pode causar acidentes rodoviários graves. Ao abrigo da legislação nacional
de segurança dos produtos, o fabricante é obrigado a chamar todos os automóveis da série
78
relevante que tiverem sido comprados e informar os clientes do defeito “por todos os
meios razoáveis”. A legislação nacional não dá detalhes sobre como exactamente devem
ser notificados os proprietários dos veículos, mas desenvolveu-se uma prática pela qual
— a pedido — o serviço nacional de registo de automóveis (que é desempenhado por um
organismo público) fornece ao fabricante uma lista actualizada de todos os proprietários
de automóveis abrangidos. A legislação sobre registo de veículos também não contém
disposições específicas.
De acordo com esta prática, a transferência fica documentada num contrato padrão
desenvolvido pelo serviço nacional de registo de veículos que estabelece condições estritas
para a utilização dos dados. O contrato, entre outras coisas, proíbe a utilização dos dados
para finalidades adicionais (tais como comercialização). Outras garantias, tais como medidas
técnicas e organizativas para proteger a segurança dos dados, estão também tratadas de
forma adequada e são aplicadas.
Este exemplo requer uma avaliação detalhada. Em primeiro lugar, a informação

actualizada no registo de veículos é provavelmente uma fonte muito mais fiável de detalhes
de contacto dos proprietários actuais do que quaisquer outros dados de vendas que possam
estar na posse do fabricante. Portanto, é no interesse directo das próprias pessoas em causa
(bem como no do público em geral) que eles sejam contactados pelos meios mais dignos
de confiança, por forma a minimizar o risco de potenciais acidentes. Este é um indicador
forte e óbvio favorável à compatibilidade. Em segundo lugar, embora a legislação possa não
ser suficientemente específica sobre para o quê pode ser utilizada a informação do registo
público de veículos, não é excessivo argumentar que a utilização dos dados de registo para
esta finalidade pode ser até algum ponto esperada, ou no mínimo, nem inadequada nem
objectável. Este factor também apoia a avaliação de compatibilidade.
Com base nestas considerações, a utilização dos dados de registo pelo registo dos
veículos para esta finalidade será provavelmente considerada compatível: a utilização
posterior parece estar de algum modo relacionada, talvez mesmo ser uma finalidade
esperada, claramente no interesse das pessoas em causa (e assim, com um impacto positivo
sobre estas). A natureza dos dados (isto é, quem é o proprietário de um certo automóvel) não
é abertamente sensível (embora não seja trivial), o que também confirma a análise.
Podem surgir algumas dúvidas devido ao elemento adicional que é a transferência

dos dados para um terceiro (o fabricante de automóveis). A transferência pode apresentar
alguns riscos, embora estes sejam provavelmente relativamente limitados. Em especial, o
fabricante poderia abusar dos dados para finalidades adicionais (tais como comercialização
directa) ou pode simplesmente não ter o devido cuidado com a informação e não assegurar
a sua segurança. Por este motivo as garantias contratuais mencionadas acima desempenham
um papel importante.
79
Neste caso, em suma, considerando também o significativo impacto positivo sobre as
pessoas em causa, pode considerar-se que a sua utilização será provavelmente compatível.
Contudo, para finalidades de certeza jurídica e previsibilidade, seria desejável actualizar
as disposições legislativas de modo a permitirem claramente a transferência de dados do
registo para os fabricantes nestas situações, e para estabelecer as garantias necessárias, que
actualmente apenas estão cobertas pelo clausulado contratual.
Exemplo 12: Transferência de resultados de exames médicos prévios ao emprego
Dois departamentos governamentais (A e B) têm, cada um deles, a sua própria estrutura

organizativa e procedimentos de recrutamento, os quais estão harmonizados até certo ponto,
com base nas orientações governamentais gerais. Cada um dos departamentos exige aos
candidatos, uma vez que lhes tenha sido proposto o seu primeiro emprego no departamento,
que se submetam com êxito a um teste médico prévio ao emprego, que testa a sua robustez
para o trabalho. O teste é efectuado por um fornecedor externo de serviços médicos. O
Departamento A selecciona uma candidata a um emprego, mas a candidata não é aprovada
no exame médico e, assim, é excluída do emprego.
Dois anos depois, a candidata recebe uma oferta de emprego no Departamento B. A

fim de poupar nas despesas e também para acelerar o procedimento, os dois departamentos
e o fornecedor de serviços médicos têm em funcionamento um acordo informal e não
documentado para partilhar os atestados médicos que não forem demasiado antigos
(habitualmente menos de dois ou três anos). Em conformidade, o Departamento B contacta
o fornecedor externo de serviços médicos para verificar se a candidata já foi submetida
a exame nos últimos três anos e, em caso afirmativo, para pedir que lhe seja enviado o
atestado de robustez. Nem o Departamento A nem o Departamento B informaram a pessoa
em causa de que os seus atestados poderiam ser transferidos entre os dois departamentos.
O Departamento B recebe o atestado — e visto ele ser negativo — rejeita a candidatura. A
candidata queixa-se da transferência dos seus dados pessoais.
Para além de outras preocupações a que este cenário possa dar lugar, é claro que
existe um problema quanto à compatibilidade. Embora as finalidades sejam até certo
ponto semelhantes (ambos os casos se referem a um exame prévio ao emprego efectuado
por um departamento governamental), eles podem igualmente ser distinguidos. Isto é
especialmente assim dado que os dois departamentos têm cada um deles a sua própria
organização e procedimentos de recursos humanos. Em geral pode dizer-se que uma pessoa
razoável não esperaria ver a sua candidatura a um emprego ser rejeitada com base num
exame médico negativo efectuado dois anos antes, ao candidatar-se a um emprego diferente
numa organização diferente (muito embora ambos os departamentos sejam partes da mesma
estrutura governamental global do país em questão).
A falta de transparência (ausência de informação clara à pessoa em causa sobre a
80
possível utilização dos seus dados) e a ausência de previsibilidade e de certeza jurídica (não
há acordos formais entre os departamentos nem disposições legais que permitam os acordos
informais referidos acima para partilha de atestados médicos entre os dois departamentos)
também contribuem para a avaliação de incompatibilidade. Finalmente, quer a natureza
dos dados (dados médicos que sugerem falta de robustez para o trabalho) quer o potencial
impacto (rejeição do emprego) confirmam essa avaliação.
Poderia acrescentar-se que — se os dois departamentos pretendessem partilhar os

resultados a fim de poupar nas despesas — eles poderiam ter utilizado métodos alternativos
e menos intrusivos e poderiam ter aplicado garantias adicionais. Por exemplo — e embora
o consentimento possa não ser necessariamente uma base jurídica adequada para a
transferência de atestados negativos, tendo em conta a posição vulnerável das pessoas em
causa — poderia ter sido estabelecido um acordo segundo o qual só os resultados positivos
dos exames médicos poderiam ser transferidos (não correndo assim o risco de um impacto
negativo sobre a pessoa em causa e dando-lhe uma segunda oportunidade no caso de
candidatura a um departamento diferente).
Isto poderia ter sido claramente previsto em acordos formais entre os dois departamentos
e poderia também ter sido sujeito ao consentimento claro e informado da pessoa em causa.
Seria exequível que este consentimento informado fosse dado por ocasião do primeiro
exame médico e poderia cobrir a utilização dos atestados “limpos” durante um período de
tempo razoável (por exemplo, dois anos).
Exemplo 13: Departamento de Habitação necessita de acesso a dados para prevenção

de incêndios
Uma autoridade local tem um Departamento de Subsídios que processa pedidos de

indivíduos para subsídios de apoio à habitação. Há consciência de um problema na sua área,
de casas grandes e antigas estarem a ser ilegalmente convertidas em fracções para ocupação
múltipla, sem instalação das necessárias precauções de segurança contra incêndios. O
Departamento de Subsídios foi contactado pelo Departamento de Habitação no sentido de
saber se a sua base de dados de requerentes poderia ser usada para detectar casos em que
múltiplos indivíduos pedem subsídios para a mesma casa – dado que isto seria indicativo de
ocupação múltipla.
A utilização dos dados para esta finalidade suscita problemas de compatibilidade.

As finalidades do tratamento não estão estritamente relacionadas: pedidos de subsídio e
prevenção de incêndios são matérias distintas, muito embora se possa dizer que a autoridade
tem uma ampla responsabilidade legal no que se refere à segurança das instalações
domésticas da sua área e também quanto a assegurar que os inquilinos que pedem assistência
social vivem em residências adequadas. Há também claramente um interesse público nas
condições sanitárias e de segurança das habitações e dos seus ocupantes – neste caso é
81
mesmo difícil conceber como poderia o Departamento de Habitação descobrir de outra
forma se uma única casa foi convertida para ocupação múltipla, salvo se interrogasse toda a
gente por correio, na esperança de obter uma boa taxa de respostas.
Em termos da natureza dos dados, estes poderão ser sensíveis, visto que estamos a
falar de potenciais infracções: não instalação das necessárias precauções de prevenção de
incêndios. Quanto ao impacto, é misto: por um lado, os inquilinos poderão beneficiar do
incremento de precauções de segurança contra incêndios que, em última análise, deixam
de poder ser ignoradas. Por outro lado podem também enfrentar penalidades por terem
ignorado até agora as regras de segurança contra incêndios. Para além disso, em termos de
expectativas razoáveis e certeza jurídica, seria normalmente difícil concluir que a utilização
dos dados dos subsídios para finalidades de prevenção de incêndios fosse previsível.
Por estas razões, este pode ser um caso limite de avaliação de compatibilidade. Se
fosse exequível, poderiam aplicar-se dispositivos adicionais, como por exemplo, informar
claramente os inquilinos das suas obrigações em matéria de segurança contra incêndios
quando requerem o subsídio e avisá-los, dando-lhes um prazo razoável para agir, que no caso
de não as cumprirem, os seus dados serão transferidos para o Departamento de Habitação.
Exemplo 14: Vítimas de violação
Num sítio governamental na web é publicado um relatório sobre crime que inclui dados
estatísticos detalhados sobre vítimas de violação e de ofensas sexuais numa vizinhança
predominantemente conservadora. Os dados foram publicados por um departamento
governamental tendo em vista elevar o nível de consciência deste problema. O departamento
não dispunha da necessária perícia estatística e de protecção de dados e não aplicou um
procedimento que assegurasse suficientemente a anonimização completa dos dados. Em
resultado disto, alguns dos dados que o departamento acreditava estarem anonimizados,
permitiram em todo o caso a familiares dessas mulheres a sua identificação. Como
consequência, várias mulheres sofreram severas discriminações e foram rejeitadas pela sua
comunidade. Uma das vítimas suicidou-se.
Este exemplo serve primariamente para ilustrar a importância de uma cuidadosa

avaliação de impacto e de procedimentos técnicos e organizativos adequados (por ex. testes
de penetração para estabelecer as possibilidades de reidentificação e o envolvimento das
partes interessadas para assegurar que todas as preocupações são tidas em conta) para evitar
qualquer impacto indevido em todos os casos nos quais estejam envolvidos conjuntos de
dados anonimizados derivados de dados pessoais. Isto é especialmente importante nos casos
de publicação de dados na internet, mas pode ser também relevante noutras circunstâncias.
Este exemplo também destaca a necessidade de considerar a natureza dos dados e

o potencial impacto sobre as pessoas em causa. Neste caso, todos os factores apoiam a
82
avaliação de utilização incompatível. Embora possa ser razoavelmente esperado que os
dados sejam utilizados para finalidades estatísticas, as pessoas em causa teriam igualmente
esperado (especialmente quando se considera a natureza altamente sensível dos dados, a
vulnerabilidade das vítimas envolvidas e a gravidade das possíveis consequências) que a
anonimização fosse “impenetrável” e afastasse categoricamente qualquer possibilidade de
reidentificação. As garantias foram, assim, insuficientes.
Exemplo 15: Localizações de telemóvel ajudam a tomar medidas de abrandamento do

trânsito
O Departamento de Transportes pediu a uma empresa de telecomunicações para utilizar

os dados de localização dos telemóveis da operadora, a fim de calcular a velocidade a que
os telemóveis — e portanto os veículos onde eles se encontram — se deslocam ao longo de
diversos percursos. Os dados dos telemóveis revelam que o excesso de velocidade é comum
em certos trechos de estrada. Isto é então utilizado para planear medidas de abrandamento
do trânsito, as quais mais tarde se demonstra terem levado a uma redução significativa das
mortes por acidente rodoviário naquela área. Os dados dos telemóveis são efectivamente
anonimizados antes de serem revelados ao Departamento de Transportes para assegurar que
o risco de reidentificação das pessoas em causa é mínimo. Foi feita uma cuidadosa avaliação
de impacto, foram efectuados testes de penetração e consultadas as partes interessadas.
Neste cenário, assumimos que todos os factos confirmam riscos muito baixos ou mínimos
de reidentificação e um impacto relativamente baixo sobre as pessoas em causa se, não
obstante, tal acontecer.
Este cenário exige uma avaliação de compatibilidade detalhada. Os dados da operadora

de telecomunicações inicialmente recolhidos para uma finalidade específica são agora
utilizados para finalidades diferentes (relacionadas com o trânsito rodoviário). A maior parte
das pessoas não esperaria habitualmente que os seus dados viriam a ser utilizados desta
maneira. Isto pode dar uma forte indicação inicial de que as finalidades são incompatíveis.
A relativa sensibilidade dos dados recolhidos de localização de telemóveis pode também
apoiar esta avaliação.
Contudo, neste caso, antes da sua utilização/revelação para a finalidade secundária,

os dados são efectivamente anonimizados. Portanto, embora as duas finalidades sejam
diferentes, e desde que a anonimização seja efectuada adequadamente (de modo que
a informação deixa de consistir em dados pessoais ou fica numa zone de fronteira com
riscos muito baixos de reidentificação) isto reduz quaisquer preocupações relativas à
incompatibilidade do tratamento. No entanto, deverão ser recomendadas, mesmo assim,
garantias adicionais, tais como completa transparência sobre o tratamento. Em especial,
se não for possível assegurar anonimização plena e restarem alguns riscos, tal deve ser
revelado – em regra, e salvo se se pudesse aplicar uma excepção ao abrigo do artigo 13.º,
seria necessário consentimento informado.
83
Exemplo 16: Doentes abonando um praticante de medicina alternativa
Um praticante de medicina alternativa especializado em tratamentos por acupunctura

tem um pequeno, mas bem-sucedido, consultório numa pequena cidade, servindo uma
clientela local e regional. No seu sítio na web, com o consentimento informado das
pessoas em causa, listam-se alguns testemunhos, muitos com fotografia, nomes completos,
informação de contacto e descrições detalhadas das condições clínicas que foram curadas,
todas com recomendações enfáticas. O sítio na web é local e recebe pouco tráfego, para além
do boca em boca.
Um grande negócio internacional em linha de “alimentação saudável” vende uma gama

de suplementos e vitaminas através da internet para o país em questão. Utiliza um poderoso
rastreador da web que procura e extrai da web informação sobre potenciais clientes que
tiverem afirmado publicamente sofrer de certas condições clínicas ou que de outro modo
pareçam interessados em alimentação saudável ou suplementos dietéticos. A aplicação,
em seguida, cria uma base de dados desses contactos e usa-a para enviar mensagens não
solicitadas de correio electrónico, contendo publicidade.
Para além de outras preocupações que este cenário possa suscitar, o exemplo ilustra
que, embora os dados pessoais tenham sido publicados na internet, tal não significa que a
informação tenha deixado de merecer protecção. De facto, nas circunstâncias deste caso,
o tratamento posterior levanta problemas graves de compatibilidade. Em primeiro lugar,
é óbvio que há pouca semelhança entre as finalidades para as quais as pessoas em causa
forneceram a sua informação (recomendar um profissional médico) e as finalidades para
as quais o negócio em linha pretende utilizá-la (comercialização). Embora as pessoas em
causa possam ter compreendido que assumem certos riscos tornando os seus dados públicos
na internet, isto certamente não significa que tenham autorizado de modo nenhum a sua
utilização para uma finalidade não relacionada e incompatível.
A natureza dos dados (dados clínicos sensíveis) também contribui para a avaliação
de incompatibilidade. Finalmente, embora o impacto não seja frequentemente maior que
a recepção de algumas comunicações não solicitadas, nalguns casos (dependendo do tipo
de condição clínica envolvida) isto pode causar um incómodo mais grave. Em suma, o
tratamento parece ser incompatível.
Exemplo 17: Directiva de Conservação de Dados124
Uma empresa de telecomunicações está obrigada por lei (lei nacional que transpõe
a Directiva de Conservação de Dados) a armazenar certos dados dos seus assinantes pelo
prazo de um ano: entre outras informações, são registadas a data, a hora e a duração de
124 A Directiva de Conservação de Dados (Directiva 2006/24/CE) foi adoptada em 15 de Março de 2006 e publicada no JO 2006,
L105/54.
84
cada telefonema, bem como os números de telefone marcados, para tratamento posterior
no âmbito do combate ao terrorismo e da investigação de outra actividade criminosa grave.
São disponibilizados rotineiramente extractos destes dados aos serviços de aplicação da lei,
para estas finalidades.
Este tratamento posterior é um exemplo claro de finalidade incompatível. Em primeiro

lugar, o tratamento posterior não está de modo nenhum relacionado com a finalidade primária
de fornecer serviços de telecomunicações aos assinantes e é imposto pelo governo (neste
caso, com base numa Directiva da União Europeia). Em segundo lugar, os cidadãos vulgares
ao tratar das suas vidas deveriam ter uma expectativa razoável de privacidade quanto a
com quem eles falam ao telefone, quando o fazem, durante quanto tempo e em que local.
Poderiam também esperar razoavelmente que esta informação não viesse a ser utilizada para
finalidades de aplicação da lei. Outras questões, como terem pouca ou nenhuma possibilidade
der escolha quanto a “fornecerem” os dados, a natureza confidencial dos dados e o facto de
serem tratadas grandes quantidades de dados sobre a pessoa em causa, confirmam também
a avaliação de incompatibilidade. Finalmente, o facto de que o impacto sobre as pessoas em
causa pode ser especialmente severo (acusação criminal) reforça esta análise.
Considerando a incompatibilidade, a única possibilidade de, não obstante, conservar

e tratar licitamente os dados para estas finalidades posteriores deverá ser baseada no artigo
13.º da Directiva (tal como especificado no artigo 15.º da Directiva relativa à privacidade e
às comunicações electrónicas). De facto, a conservação de dados de telecomunicações para
finalidades de aplicação da lei foi inicialmente “legitimada” por uma medida legislativa,
a Directiva de Conservação de Dados. A questão consiste em saber se esta medida
legislativa preenche o critério qualificado que pretende assegurar que a restrição de direitos
fundamentais é previsível, bem como necessária e proporcionada. O caso relevante está
actualmente pendente no Tribunal Europeu de Justiça*.
Exemplo 18: Impressões digitais de candidatos a asilo utilizadas para finalidades de

aplicação da lei
As leis da União Europeia exigem que sejam recolhidas as impressões digitais dos
candidatos a asilo para que a sua identidade possa ser inequivocamente estabelecida. Foi
criada uma base de dados (“EURODAC”) para conter as impressões digitais. O objectivo
deste sistema é impedir os candidatos a asilo de formularem simultaneamente múltiplos
requerimentos em diferentes Estados Membros.
Uma modificação ao Regulamento da União Europeia relevante propõe que as

* Nota do tradutor: Em 8 de Abril de 2014, o Tribunal de Justiça da União Europeia viria a declarar inválida a Directiva de Conservação
de Dados. O Tribunal concluiu que a Directiva não respeita o princípio da proporcionalidade e deveria ter consagrado mais garantias
de protecção dos direitos fundamentais relativos ao respeito pela vida privada e à protecção de dados pessoais. Não obstante, o Tribunal
considerou que a conservação dos dados pode servir, em circunstâncias claras e precisas, um interesse geral legítimo, nomeadamente o
combate à criminalidade grave e a protecção da segurança pública.
85
autoridades de aplicação da lei sejam autorizadas a aceder à base de dados de impressões
digitais. Tal como nos casos acima, as finalidades iniciais da base de dados e as finalidades
posteriores para as quais o acesso é pretendido são inteiramente não relacionadas. A natureza
dos dados e o potencial impacto sobre as pessoas em causa também sugerem, ambos, a
incompatibilidade. Os dados não devem ser utilizados para outra finalidade que pode ter
profundos impactos negativos nas vidas dos indivíduos, só por já terem sido recolhidos.
Invadir a privacidade dos indivíduos e arriscar-se a estigmatizar uma população já

vulnerável (candidatos a asilo) exige uma justificação forte e razões suficientes pelas quais
os candidatos a asilo devam ser escolhidos para um tal tratamento. Se isto for possível,
deverá sê-lo somente ao abrigo das estritas condições do artigo 13.º.
Exemplo 19: Registos de nomes de passageiros (“PNR”)
Um acordo internacional entre a UE e os EUA sobre o tratamento e transferência de

dados de Registos de Nomes de Passageiros (PNR) exige a transferência de certos detalhes
das reservas de companhias aéreas europeias para as autoridades dos EUA, como parte das
medidas utilizadas no combate ao terrorismo e a outras formas de criminalidade grave.
Os dados, tais como detalhes do voo, números de cartão de crédito e informação de

contacto são inicialmente recolhidos para uma finalidade comercial, mas subsequentemente
e com base no acordo, são transferidos para servir finalidades inteiramente diferentes
(antiterrorismo e aplicação da lei). A transferência de tais dados para o governo de um país
terceiro não pode ser razoavelmente esperada pelas pessoas em causa, especialmente se
não fizeram nada de errado e não se encontram sob qualquer suspeita ou investigação em
particular.
Estes factores indicam fortemente incompatibilidade. A natureza dos dados

(relativamente sensíveis, já que podem indicar movimentos, relações, filiações e incluem
ainda dados financeiros e de contacto) e o elevado potencial para impacto sobre as
pessoas em causa (recusa de embarque, escrutínio intensificado em aeroportos, detenção,
penalidades criminais ou pior) todos indicam que a utilização posterior é incompatível e
somente permissível sujeita às estritas condições estabelecidas no artigo 13.º da Directiva.
Exemplo 20: Dados de contadores inteligentes usados para fins tributários e para
detectar fábricas de cannabis em interiores
Recentemente foram instalados contadores inteligentes nas habitações de um certo

país da EU. Estes fornecem leituras de electricidade remotas e detalhadas. Os contadores
foram introduzidos, primariamente, por razões relacionadas com a gestão eficiente da rede
inteligente (isto é, da rede inteligente de distribuição de electricidade) e para facturar os
clientes de acordo com tarifas dinâmicas para as horas de utilização.
86
As autoridades tributárias querem ter acesso aos dados em volume para detectar
quaisquer casas ou apartamentos que estando declarados como devolutos tenham na
realidade pessoas a residir neles. As autoridades de aplicação da lei também querem
explorar os dados para detectar fábricas secretas de cannabis em interiores. Em alternativa,
consideram uma parceria com as empresas de energia pela qual seriam as empresas a ajudar
a identificar violações específicas das leis tributárias e penais. Nesta abordagem, os dados
seriam transferidos mais selectivamente para as autoridades tributárias e de aplicação da lei,
na base de uma análise de risco e de estabelecimento de perfis executadas pelas empresas
energéticas, que resultariam numa selecção das pessoas em causa com risco acrescido de
violação da lei.
Em ambos os casos, tal como nos exemplos anteriores, dados comerciais fornecidos
para uma finalidade inteiramente não relacionada são utilizados para finalidades tributárias
ou de aplicação da lei. Uma tal utilização não pode razoavelmente ser esperada pelas pessoas
em causa, especialmente se não fizeram nada de errado e não se encontram sob qualquer
suspeita ou investigação em particular. Estes factores indicam fortemente incompatibilidade.
A natureza dos dados (os perfis de carga de consumo de electricidade permitem

inferências detalhadas sobre o que os indivíduos fazem na privacidade dos seus lares), a forma
como são tratados (algoritmos secretos e estabelecimento oculto de perfis) e o significativo
potencial para impacto sobre as pessoas em causa (consequências tributárias, penalidades
administrativas, detenção, sanções criminais) todos indica, que o tratamento posterior é
incompatível. Portanto, só seria permissível sujeito às estritas condições estabelecidas no
artigo 13.º da Directiva.
Exemplo 21: Dados de contadores inteligentes usados para detectar utilização

fraudulenta de energia
Este exemplo refere-se ao mesmo cenário com a recente introdução de sistemas de

contagem inteligente e rede inteligente de distribuição de energia num Estado Membro da
UE.
O operador da rede de distribuição de electricidade, que também explora o sistema

de contadores inteligentes no país em questão, pretende instalar um sistema inteligente,
incluindo um utensílio de analítica, para detectar anomalias nos padrões de utilização, que
possam dar lugar a suspeitas razoáveis de utilização fraudulenta (por exemplo, viciação
dos contadores). O operador da rede consulta quer as autoridades reguladoras, responsáveis
pela distribuição de electricidade, quer as autoridades de protecção de dados e discute
detalhadamente com ambas os seus planos. Na sequência das sugestões destas, instala um
número adicional de garantias para minimizar os riscos de qualquer impacto indevido sobre
as pessoas em causa. Aqui se incluem medidas técnicas e organizativas, procedimentos leais
87
e efectivos para corrigir quaisquer resultados inexactos e transparência face às pessoas em
causa.
Em contraste com os exemplos acima, esta avaliação de compatibilidade sugere que

o tratamento posterior para prevenção de fraudes deriva das finalidades iniciais, apoiando-
as, de fornecimento de energia aos clientes e facturação da mesma. Os clientes podem
razoavelmente esperar que o fornecedor tome medidas razoáveis e proporcionadas para
impedir a utilização fraudulenta de energia no interesse, não só da própria empresa, como
também no dos clientes que pagam correctamente as suas facturas. Embora a natureza
dos dados permaneça sensível e o potencial impacto sobre as pessoas em causa elevado
(penalidades contratuais pelo abuso e possíveis sanções criminais) a estrita ligação entre
as finalidades, as expectativas razoáveis das pessoas em causa e as garantias adicionais
aplicadas, parecem em suma confirmar a compatibilidade.
Exemplo 22: Transacções no registo da EU de alterações climáticas utilizadas para

detectar fraude de IVA
A União Europeia instituiu um sistema de comércio de licenças de emissão (o

Comércio Europeu de Licenças de Emissão ou “CELE”) para ajudar a EU a atingir as suas
metas de redução de emissões de gases com efeito de estufa nos termos do Protocolo de
Kyoto. A Europol, as autoridades nacionais de aplicação da lei e as autoridades tributárias
pretendem ter acesso a esta base de dados para, entre outras finalidades, efectuar operações
de exploração dos dados orientadas para a detecção de certos tipos de fraude de IVA.
Tal como nos exemplos anteriores, os dados comerciais fornecidos para uma finalidade
inteiramente não relacionada são também utilizados para finalidades de aplicação da lei e
tributárias. A utilização destes dados não pode ser razoavelmente esperada pelas pessoas
em causa, especialmente se não fizeram nada de errado e não se encontram sob qualquer
suspeita ou investigação em particular. Estes factores indicam fortemente incompatibilidade.
A natureza dos dados é uma circunstância mitigante, já que os indivíduos actuam na sua
capacidade profissional (comércio de licenças de emissão no mercado). Não obstante, a
forma como os dados são tratados (algoritmos secretos e estabelecimento oculto de perfis)
e o significativo impacto potencial sobre as pessoas em causa (consequências tributárias,
penalidades administrativas, detenção, sanções criminais) indicam que a utilização posterior
é incompatível e só permissível sujeita às estritas condições estabelecidas no artigo 13.º da
Directiva.
88

Parecer Do Grupo de Trabalho Do Artigo 29.º Sobre A Limitação Das Finalidades

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Parecer Do Grupo de Trabalho Do Artigo 29.º Sobre A Limitação Das Finalidades

Uploaded by

Copyright:

Available Formats

GRUPO DE TRABALHO DE PROTECÇÃO DE DADOS DO ARTIGO 29.

Parecer 3/2013 sobre limitação da finalidade

Adoptado em 2 de Abril de 2013

tradução não oficial realizada pelo

Sítio Web: http://ec.europa.eu/justice/data-protection/index_pt.htm

II. Observações gerais e questões de política.........................................................9

III. Análise das disposições.......................................................................................19

Anexo 1: Propostas de alteração.............................................................................53

Anexo 2: Megadados e dados abertos....................................................................55

Anexo 3: Exemplos práticos para ilustrar a determinação da finalidade

Anexo 4: Exemplos práticos para ilustrar a avaliação da compatibilidade

O presente Parecer analisa o princípio da limitação da finalidade. Fornece orientação

A limitação da finalidade protege as pessoas em causa* estabelecendo limites ao modo

O tratamento posterior para uma finalidade diferente não significa necessariamente

— A relação entre as finalidades para as quais os dados foram recolhidos e as finalidades

— O contexto no qual os dados pessoais foram recolhidos e as expectativas razoáveis

— A natureza dos dados pessoais e o impacto do tratamento posterior sobre as pessoas

— As garantias adoptadas pelo responsável pelo tratamento para assegurar um

O tratamento de dados pessoais de forma incompatível com as finalidades determinadas

instituído pela Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de

tendo em conta o seu regulamento interno,

adoptou o seguinte parecer:

O princípio da “limitação da finalidade”

A alínea b) do n.º 1 do artigo 6.º da Directiva 95/46/CE1 (a “Directiva”) inclui o princípio

A determinação da finalidade é um primeiro passo essencial na aplicação das leis de

— O responsável pelo tratamento só pode recolher dados para finalidades determinadas,

O princípio da limitação da finalidade – que inclui a noção de utilização compatível

Necessidade de uma abordagem mais consistente e harmonizada através da Europa

O princípio da limitação da finalidade continua a ser considerado sólido e válido. Contudo, a

A ausência de uma abordagem consistente pode enfraquecer a posição das pessoas em

É portanto particularmente actual, quando os trabalhos rumo a um novo Regulamento

Aplicação do enquadramento jurídico actual e preparação do futuro

O próprio Programa de Trabalho delineou claramente dois objectivos: “Assegurar

Isto é tanto mais importante quanto o proposto enquadramento jurídico da protecção de

Depois de uma panorâmica da história e do papel da limitação da finalidade na legislação

II. Observações gerais e questões de política

II.1. Síntese histórica

A presente Secção apresenta uma panorâmica da evolução do direito à privacidade e do

Convenção Europeia dos Direitos do Homem (“CEDH”)

Assim, os conceitos de fundamento legal e de limitação da finalidade, que se viriam

A convenção 108 do Conselho da Europa10, aberta à assinatura em 1981, introduz o

A Convenção 108 sucedeu às Resoluções (73) 22 e (74) 29 do Conselho da Europa (CdE)11.

Na sequência destes textos precursores, o artigo 5.º da Convenção 108 estabelece os

Desde a adopção da Convenção 108, o conceito de limitação da finalidade parece ter

As Directrizes da OCDE, preparadas em paralelo com a Convenção 108 e adoptadas em

As finalidades devem ser determinadas em momento não posterior ao da recolha. As

Apesar das diferenças no conceito de utilização compatível e das excepções abertas, é

A formulação do princípio da limitação da finalidade não foi idêntica em todos estes

A Directiva acrescentou um novo requisito à determinação da finalidade, que não estava

17 Parágrafo 10 das Directrizes.

Um estudo intitulado “Avaliação da aplicação da Directiva de Protecção de Dados”21

A Carta dos Direitos Fundamentais

A Carta estabelece com clareza o princípio da limitação da finalidade, especificando que

Perspectivas para o futuro

Em conclusão, a história do conceito de limitação da finalidade, quer na EU quer no

Contudo, mesmo se princípio da limitação da finalidade em si mesmo aparenta ser estável,

II.2. Papel do conceito

A determinação da finalidade é uma condição essencial para o tratamento de dados

Para apoiar a análise do conceito de limitação da finalidade, descrevem-se brevemente os

II.2.1. Primeiro pilar: determinação da finalidade

Recolha para finalidades “determinadas, explícitas e legítimas”

Pré-requisito para outros requisitos de qualidade dos dados

Se os dados pessoais forem tratados posteriormente para uma finalidade diferente: