DECLARAÇÃO DO MÉXICO
Os membros da Rede Ibero-Americana de Protecção de Dados, reunidos na Cidade do México e em Huixquilucan (Estado do México), entre os dias 2 e 4 de Novembro de 2005, manifestam a sua satisfação relativamente aos desenvolvimentos verificados durante a realização do IV Encontro Ibero-Americano sobre Protecção de Dados Pessoais e pretendem tornar públicas as conclusões alcançadas no mesmo.
O Encontro revelou duas novidades de especial destaque. Em primeiro lugar, a abertura das suas sessões à participação de assistentes não integrados na Rede Ibero-Americana. O vasto número de pessoas que assistiram aos painéis do Encontro confirma, de forma indubitável, a crescente sensibilidade e importância das questões relacionadas com a protecção de dados pessoais para um número cada vez maior de pessoas e de entidades públicas e privadas.
Em segundo lugar, as conclusões do Encontro não assentam exclusivamente nos debates que decorreram durante o mesmo, mas também integram documentos de trabalho pormenorizados, fruto de uma análise mais exaustiva dos temas abordados. Tal facto constitui um indicador de que a Rede Ibero-Americana se encontra em condições de abordar e oferecer alternativas rigorosas aos problemas que afectam a protecção de dados pessoais.
Neste sentido, constatam que as perspectivas coligidas na Declaração de Cartagena das Índias (Colômbia), relativas ao facto de a Rede Ibero-Americana ser um ponto de referência objectivo e imparcial para a implementação efectiva do direito fundamental à protecção de dados pessoais, constituem uma realidade capaz de influir de forma decisiva no desenvolvimento institucional, social e económico dos países ibero-americanos.
Consequentemente, e tendo em conta os painéis de trabalho desenvolvidos e os documentos elaborados pelos grupos de trabalho da Rede, tornam públicas as seguintes CONCLUSÕES e os respectivos documentos anexos.
I. O DIREITO FUNDAMENTAL À PROTECÇÃO DOS DADOS PESSOAIS
O direito à protecção de dados pessoais apresenta características próprias, conferindo-lhe uma natureza autónoma, de tal forma que o seu conteúdo essencial o diferencia de outros direitos fundamentais, nomeadamente do direito à intimidade, à honra e à própria imagem.
O direito à intimidade tende a caracterizar-se como o direito à individualidade e o de evitar ingerências na vida privada.
O direito à protecção de dados atribui à pessoa um poder de disposição e controlo sobre os dados que lhe dizem respeito, partindo do reconhecimento de que tais dados irão ser objecto de tratamento por parte de responsáveis públicos e privados. O referido tratamento impõe aos responsáveis uma obrigação positiva face à sua consecução no pleno respeito pelo sistema de garantias próprio deste direito fundamental.
Em certas ocasiões, considerou-se que o direito à protecção de dados constitui uma barreira para a tutela de outros direitos fundamentais ou de interesses públicos, como a liberdade de informação, a transparência e o acesso à informação ao serviço de entidades públicas, ou ainda para o desenvolvimento da actividade económica.
Perante estas afirmações, devemos sublinhar que não se produzem conflitos propriamente ditos entre ambos, mas antes zonas de contacto cuja resolução passa pela procura de pontos de equilíbrio que tornem compatíveis uns e outros.
Porém, não podemos esquecer que apenas respeitando o direito fundamental de todos à protecção dos seus dados pessoais se conseguirá um nível adequado de respeito relativamente à liberdade de expressão, ao acesso à informação e a um correcto desenvolvimento do mercado..
Em particular, os elementos que permitem alcançar um equilíbrio entre a protecção dos dados pessoais e o acesso à informação pública encontram-se especificamente contemplados num dos documentos anexos a esta Declaração.
II. AS NOVAS EXIGÊNCIAS DAS TECNOLOGIAS DA INFORMAÇÃO
A Declaração de Cartagena das Índias constituiu uma primeira consideração sobre a incidência que representa para a protecção de dados pessoais o seu tratamento no sector das telecomunicações e da Internet, com uma referência específica aos problemas apresentados pelas comunicações electrónicas ou mensagens de dados não consentidos nem desejados, vulgarmente conhecidos por “spam”.
Na referida Declaração, partia-se da premissa de que o desenvolvimento das telecomunicações e dos serviços da sociedade da informação pressupõe necessariamente o tratamento de dados de carácter pessoal e a necessidade de adaptar as garantias próprias do direito fundamental que os protege às circunstâncias específicas de tais tratamentos.
Esta perspectiva veio ao encontro da necessidade de construir a Sociedade da Informação e do Conhecimento como um desafio global para o novo Milénio, nos termos constantes da Declaração de Princípios da Cimeira Mundial, realizada em Genebra no ano de 2003, cuja continuação terá lugar em Tunes, em 2005.
A ligação entre ambas as perspectivas foi objecto de uma declaração expressa na Conferência Internacional de Delegados de Protecção de Dados e da Vida Privada que teve lugar entre 13 e 15 de Setembro de 2005, em Montreux (Suíça).
A Declaração de Princípios, entre outros aspectos, reconheceu que as Tecnologias da Informação e das Comunicações (TIC) deverão desempenhar um papel de especial importância no desenvolvimento da educação, da informação e do conhecimento, e possibilitam o crescimento económico, como consequência das melhorias que poderão advir para se atingir uma maior eficiência e produtividade.
Para a sua consecução, a Declaração enumera diversas necessidades, entre as quais se inclui, como requisito prévio, a de fomentar a confiança e a segurança dos utilizadores e a de fazer frente ao fenómeno do “spam”.
Neste sentido, a Declaração considera inevitável a existência de um enquadramento jurídico transparente, competitivo, tecnologicamente neutro, previsível e adaptado às necessidades nacionais.
Do ponto de vista da protecção de dados, a articulação deste enquadramento jurídico deverá assumir como critérios a neutralidade tecnológica, permitindo que as garantias inerentes a esse tipo de protecção operem com independência da tecnologia utilizada, assim como a articulação destas garantias como direitos subjectivos dos assinantes e dos utilizadores, de modo a que possam ser exercidos perante qualquer terceiro que possa lesar tais direitos.
Deverá também ser considerada a possibilidade de tais garantias poderem proteger as pessoas colectivas.
Por sua vez, a resposta ao fenómeno do “spam” deverá incluir um enquadramento jurídico dotado de instrumentos para sancionar este tipo de práticas; a colaboração entre as autoridades competentes para a sua aplicação, os fornecedores de serviços e os utilizadores; a consciencialização destes últimos e a cooperação internacional.
No âmbito dos serviços da sociedade da informação, é fundamental considerar, complementarmente, a necessidade de desenvolver instrumentos de assinatura electrónica, para além de contemplar os problemas relacionados com a protecção dos direitos de propriedade intelectual, de modo a garantir uma compatibilidade com o direito à protecção de dados pessoais.
O desenvolvimento da sociedade da informação oferece, adicionalmente, novas possibilidades para que as entidades públicas melhorem os serviços e a informação prestados aos cidadãos, aumentem a eficiência e a eficácia da gestão pública e incrementem substancialmente a transparência do sector público, assim como a participação dos cidadãos.
Para tal, é necessário estimular a implementação de projectos de governo electrónico, que possibilitem a consecução dos objectivos citados, preservando o direito das pessoas à protecção dos seus dados.
As implicações suscitadas pelo tratamento de dados pessoais no sector das telecomunicações e na implementação do governo electrónico são desenvolvidas num documento anexo à presente Declaração.
III. DESENVOLVIMENTOS NORMATIVOS E GLOBALIZAÇÃO
Tendo em conta os debates ocorridos durante o III Encontro Ibero-Americano, a Declaração de Cartagena das Índias chegou a diversas conclusões relativamente às implicações que a protecção de dados pessoais representa noutros sectores da actividade económica, como o sector financeiro, o sector comercial, o uso da informação para fins de marketing e as transferências internacionais de dados como elemento imprescindível para o desenvolvimento do comércio em mercados regionais ou no mercado mundial.
Durante o IV Encontro, foram de novo analisadas as referidas implicações nos sectores mencionados, transpondo tais implicações para o conjunto da actividade económica.
Em consequência, foi evidenciada a necessidade de conjugar mecanismos de protecção de dados que neutralizem os desafios e riscos que a globalização representa, sem menosprezar o desenvolvimento económico, industrial e tecnológico das sociedades.
No âmbito desta análise, foram objecto de especial consideração os elementos que deverão integrar o quadro normativo adequado para garantir a protecção dos dados pessoais.
Neste sentido, foi ponderada a relação que deverá existir entre a possibilidade de o Estado aprovar uma regulamentação imperativa de carácter geral ou sectorial e as iniciativas dos próprios operadores, para que a protecção dos dados pessoais seja concretizada por intermédio de instrumentos de auto-regulação.
A opção por esta última alternativa, como instrumento exclusivo para alcançar um equilíbrio adequado entre as necessidades dos operadores económicos para o desenvolvimento da sua actividade e a protecção dos dados pessoais, deverá ser rejeitada, na medida em que constitui um sistema de protecção jurídica desajustado para a tutela de um direito fundamental, pelo facto de esta ficar unicamente sujeita à decisão das entidades afectadas, excluindo a intervenção dos poderes públicos.
Tal não significa todavia que devam ser rejeitadas as iniciativas de auto-regulação de carácter complementar num contexto normativo previamente definido pelo Estado.
Com efeito, os instrumentos de auto-regulação poderão oferecer um valor acrescentado na protecção de dados pessoais, na medida em que a iniciativa empresarial pretende impor-se como um elemento de maior qualidade no tratamento dos dados dos seus clientes, perante a insuficiência das regulações aprovadas pelo Estado, ou acrescentando garantias adicionais às contempladas em tais regulações; permitirão adaptar as normas às especificidades do tratamento de dados num determinado sector de actividade, de modo a que sejam criados padrões adequados às necessidades do sector, facilitando o seu cumprimento.
IV. OS DADOS RELATIVOS À SAÚDE COMO DADOS ESPECIALMENTE PROTEGIDOS E A SUA SEGURANÇA
Os denominados dados especialmente protegidos deverão ser objecto de uma consideração específica, já que, dentro do quadro regulador da protecção de dados pessoais, exigem instrumentos adicionais de garantia.
Uma das primeiras reflexões suscitadas pelos dados especialmente protegidos reside na sua própria delimitação, fechada ou aberta, mediante uma enumeração meramente exemplificativa dos mesmos.
No entanto, não há dúvidas de que, em qualquer caso, deverão ser incluídos nesta categoria os dados relativos à saúde das pessoas. O tratamento dos dados de saúde necessita de uma delimitação prévia, destinada a determinar o seu conceito.ncepto.
Tanto esta análise como a relacionada com a legitimação do seu tratamento e o acesso aos dados de saúde, deverá partir de uma interpretação harmoniosa das normas sobre protecção de dados e das regulamentações sectoriais no âmbito da saúde.
Deste modo, será possível alcançar soluções de equilíbrio relativamente à titularidade da documentação clínica, aos fins que justificam o acesso e o uso da mesma, às obrigações de a preservar, às medidas de segurança e ao sigilo.
Estas soluções deverão ter em conta não apenas o direito fundamental da pessoa à protecção dos dados pessoais mas também a necessidade de permitir a definição de políticas públicas legalmente apoiadas, as quais, atendendo à consecução dos interesses gerais, implicam o acesso e tratamento dos dados relativos à saúde, bem como relacionados com outros dados especialmente protegidos, tais como os dados respeitantes à origem racial ou étnica e à vida sexual.
V. A REDE IBERO-AMERICANA DE PROTECÇÃO DE DADOS
A Declaração da XII Cimeira Ibero-Americana de Chefes de Estado e de Governo, realizada em Santa Cruz de la Sierra (Bolívia), assumiu, entre outros aspectos, que a protecção dos dados pessoais é um direito fundamental das pessoas, sublinhou a importância das iniciativas ibero-americanas reguladoras em matéria de protecção da privacidade dos cidadãos e reconheceu formalmente o papel positivo que a Rede Ibero-Americana de Protecção de Dados Pessoais desempenha na consecução das finalidades referidas.
A Declaração de Cartagena das Índias representou um dos passos a desenvolver para a consecução dos seus objectivos, assinalando como primeiras actividades a definição de uma Estratégia da Rede e a análise acerca da viabilidade da criação de autoridades de controlo no contexto ibero-americano.
Ambas as tarefas foram cumpridas, coligindo-se as suas análises e conclusões nos documentos próprios, anexos a esta Declaração.
VI. O IMPULSO NORMATIVO EM MATÉRIA DE PROTECÇÃO DE DADOS NO MÉXICO
O IV Encontro Ibero-Americano sobre Protecção de Dados Pessoais coincidiu, felizmente, com as últimas fases do processo legislativo parlamentar da Iniciativa da Lei Federal de Protecção de Dados Pessoais.
O México encontra-se envolvido num processo legislativo de discussão relativamente à criação de um quadro jurídico aplicável à protecção de dados pessoais. Para tal, o respectivo processo deverá ter em consideração a experiência internacional adquirida na matéria e permitir um equilíbrio eficaz entre o fluxo controlado e necessário da informação para promover os mercados em contínuo desenvolvimento e expansão, assim como a protecção da pessoa no âmbito da protecção de dados. Complementarmente, é imperativo que essa lei promova a cultura da protecção de dados entre os indivíduos, de tal forma que a mesma se converta num valor fundamental da nossa sociedade.
Assim, uma lei de protecção de dados pessoais no México deverá contemplar os princípios de protecção de dados pessoais internacionalmente reconhecidos, aplicáveis tanto a entidades públicas como privadas. Por outro lado, deverá adaptar-se às condições sociais, políticas e económicas do país, estabelecendo simultaneamente regras claras e simples, que permitam, não apenas a sua implementação e cumprimento, mas também um equilíbrio entre o fluxo de dados pessoais e a sua protecção. Por último, a lei deverá garantir o exercício efectivo do direito à protecção de dados das pessoas e promover uma cultura de confiança e de respeito pelos direitos humanos, através de instituições independentes.
A Rede Ibero-Americana congratula-se pela iniciativa mexicana, convicta de que passará a representar um novo impulso para garantir a protecção de dados pessoais na Região.
VII. A 28.ª CONFERÊNCIA INTERNACIONAL SOBRE PROTECÇÃO DE DADOS: BUENOS AIRES, 2006
A Rede Ibero-Americana de Protecção de Dados congratula-se e felicita cordialmente a Direcção Nacional de Protecção de Dados da República da Argentina, membro da Rede Ibero-Americana, pelo facto de ter assumido a importante responsabilidade de organizar a 28.ª Conferência Internacional de Delegados de Protecção de Dados e da Vida Privada, que terá lugar em Buenos Aires, em Novembro de 2006.
A realização deste evento é indubitavelmente um reconhecimento internacional da intensa actividade desenvolvida pela referida Direcção Nacional como garante do direito fundamental à protecção de dados pessoais e promoverá, sem dúvida, o seu desenvolvimento nos países ibero-americanos.
VIII. COOPERAÇÃO ENTRE O IFAI, A AEPD e A DNPD
No ano de 2003, a Agência Espanhola de Protecção de Dados (AEPD) já havia formalizado instrumentos de cooperação, assistência técnica e capacitação com a Direcção Nacional de Protecção de Dados do Ministério da Justiça e Direitos Humanos da República da Argentina (DNPD).
No seguimento desta iniciativa e no âmbito do IV Encontro Ibero-Americano, as actividades de cooperação entre instituições com competências em matéria de protecção de dados pessoais continuaram a ser impulsionadas.
Foram neste âmbito, assinadas as Cartas de Intenções para a Colaboração em matéria de protecção de dados entre a AEPD e o Instituto Federal de Acesso à Informação Pública dos Estados Unidos Mexicanos (IFAI), por um lado, e entre esta última instituição e a DNPD, por outro.
IX. CRIAÇÃO DE GRUPOS DE TRABALHO
A Declaração de Cartagena das Índias encerrou com a criação de subgrupos de trabalho para a análise das diferentes matérias que foram referidas ao longo da presente Declaração.
A experiência adquirida com o funcionamento destes subgrupos e a valiosa contribuição que representam os documentos de trabalho elaborados e apresentados no IV Encontro Ibero-Americano recomendam que se dê continuidade a esta metodologia de trabalho.
Com esta finalidade, a Rede Ibero-Americana de Protecção de Dados considera necessário pôr em prática os Grupos Permanentes de Desenvolvimento Normativo e sobre a Rede “on-line”, dado que foi incorporado dentro da sua estratégia uma avaliação e uma assessoria contínua sobre as iniciativas reguladoras relacionadas com a protecção de dados pessoais que venham a produzir-se na região, assim como um novo instrumento de informação e divulgação.
Procede-se também à constituição dos seguintes Subgrupos:
Os documentos que venham a ser elaborados por estes Subgrupos deverão ser apresentados no próximo Encontro Ibero-Americano sobre Protecção de Dados.
Huixquilucan (Estado do México), 4 de Novembro de 2005
México, 4 de Novembro de 2005.
México, 2 de Novembro de 2005.
México, 2 al 4 de Novembro de 2005