29.01.2024
Áreas de Prática: Propriedade Intelectual e Tecnologias de Informação
Setores: Tecnologia, Media & Telecomunicações
Dia Europeu da Proteção de Dados | Legislação e Jurisprudência
O Dia Europeu da Proteção de Dados, criado em 2006 pelo Conselho da Europa, celebra-se anualmente a 26 de janeiro, como forma de marcar a abertura da Convenção de Proteção de Dados do Conselho da Europa. De forma a assinalar esta data, a equipa de Propriedade Intelectual e Tecnologias de Informação da Abreu Advogados reuniu a Legislação e Jurisprudência relativas a proteção de dados em 2023.
Jurisprudência
|
Acórdão do Tribunal de Justiça, de 14.12.2023 Reenvio prejudicial – Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais – Regulamento (UE) 2016/679 – Pedido de indemnização por danos imateriais com base no receio de uma eventual utilização abusiva de dados pessoais O Tribunal de Justiça declarou, entre outros aspetos, que o artigo 82º, n.º 3, do Regulamento 2016/679 (“RGPD”) deve ser interpretado no sentido de que: o responsável pelo tratamento não pode ficar isento da sua obrigação de reparar o dano sofrido por uma pessoa, nos termos do artigo 82.º, n.ºs 1 e 2, deste regulamento, pelo simples facto de esse dano resultar de uma divulgação ou acesso não autorizados a dados pessoais por «terceiro[s]», na aceção do artigo 4.º, ponto 10, do referido regulamento, devendo então o referido responsável provar que não é de modo nenhum responsável pelo evento que deu origem aos danos.
|
|
Acórdão do Tribunal da Relação de Lisboa, de 13.07.2023 Processo n.º 12234/21.0T8LSB.L1-7 Providência cautelar, Wikipédia, Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, violação do bom nome, honra e imagem, intervenção pública “A publicação pela Wikipédia de biografia em linha do requerente integra o tratamento de dados pessoais deste”.
|
|
Acórdão do Supremo Tribunal de Justiça, de 13.09.2023 Processo n.º 1570/18.2T8TMR-B.L1.S1 Despedimento coletivo, avaliação, dados pessoais, restrição de direitos, direitos fundamentais “A proibição de tratamento de dados pessoais prevista no artigo 9.º, n.º 1 do Regulamento Geral sobre a Proteção de Dados da União Europeia é excecionada se o tratamento for necessário à defesa de um direito num processo judicial ou sempre que os tribunais atuem no exercício da sua função jurisdicional;” “Proibindo a Constituição da República Portuguesa os despedimentos sem justa causa ou por motivos políticos ou ideológicos, é justificada a exceção à proibição de tratamento de dados pessoais no âmbito de ação de impugnação judicial de despedimento.”
|
|
Acórdão do Tribunal de Justiça, de 04.07.2023 Reenvio prejudicial – Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais – Regulamento (UE) 2016/679 – Redes sociais em linha – Abuso de posição dominante pelo operador de uma rede desse tipo(…) O Tribunal de Justiça declarou, entre outros aspetos, que: · O artigo 9.º, n.º 1, do RGPD deve ser interpretado no sentido de que: no caso de um utilizador de uma rede social em linha consultar sítios Internet ou aplicações relacionados com uma ou várias das categorias referidas nesta disposição e, se for caso disso, neles inserir dados, registando‑se ou efetuando encomendas em linha, o tratamento de dados pessoais pelo operador dessa rede social em linha, que consista na recolha, através de interfaces integradas, de cookies ou de tecnologias de registo semelhantes, dos dados resultantes da consulta desses sítios e dessas aplicações, bem como dos dados inseridos pelo utilizador, no cruzamento do conjunto desses dados com a conta da rede social desse utilizador e na utilização dos referidos dados por esse operador, deve ser considerado um «tratamento de categorias especiais de dados pessoais», na aceção da referida disposição, que é em princípio proibido, sob reserva das exceções previstas neste artigo 9.º, n.º 2, quando esse tratamento de dados permita revelar informações abrangidas por uma dessas categorias, independentemente de essas informações dizerem respeito a um utilizador dessa rede ou a qualquer outra pessoa singular. · O artigo 9.º, n.º 2, alínea e), do RGPD deve ser interpretado no sentido de que: quando um utilizador de uma rede social em linha consulta sítios Internet ou aplicações relacionadas com uma ou várias das categorias referidas no artigo 9.º, n.º 1, deste regulamento, não torna manifestamente públicos, na aceção da primeira destas disposições, os dados relativos a essa consulta, recolhidos pelo operador dessa rede social em linha através de cookies ou de tecnologias de registo semelhantes. Quando insere dados em tais sítios Internet ou em tais aplicações ou quando ativa botões de seleção integrados nesses sítios e nessas aplicações, como os botões «gosto» ou «partilhar» ou os botões que permitem ao utilizador identificar‑se nesses sítios ou nessas aplicações utilizando as credenciais de conexão associadas à sua conta de utilizador da rede social, o seu número de telefone ou o seu endereço de correio eletrónico, esse utilizador só torna manifestamente públicos, na aceção deste artigo 9.º, n.º 2, alínea e), os dados assim inseridos ou resultantes da ativação desses botões no caso de ter manifestado expressamente a sua escolha prévia, eventualmente com base numa parametrização individual efetuada com pleno conhecimento de causa, de tornar os dados que lhe dizem respeito publicamente acessíveis a um número ilimitado de pessoas.
|
|
Acórdão do Tribunal de Justiça, de 22.06.2023 Reenvio prejudicial – Tratamento de dados pessoais – Regulamento (UE) 2016/679 – Artigos 4.° e 15.° – Alcance do direito de acesso às informações referidas no artigo 15.° – Informações(…) O Tribunal de Justiça declarou, entre outros aspetos, que o artigo 15º do RGPD deve ser interpretado no sentido de que: se aplica a um pedido de acesso às informações referidas nesta disposição quando as operações de tratamento abrangidas por esse pedido tenham sido efetuadas antes da data em que o referido regulamento começou a ser aplicável, mas o pedido tenha sido apresentado após essa data.
|
|
Acórdão do Tribunal da Relação de Lisboa, de 11.05.2023 Processo n.º 998/19.5T8LSB.L1-6 Empresas de telecomunicações, dever de confidencialidade, responsabilidade civil “Fundando-se a causa de pedir na divulgação por parte do 1º réu, funcionário da 2ª ré, que é uma empresa de telecomunicações, de todo o conteúdo que a autora tinha no seu telemóvel (listagem de chamadas efetuadas, contactos telefónicos, mensagens, dados de tráfego, relativos ao destino, trajeto, hora e duração de chamadas telefónicas efetuadas de e para o mencionado número de telemóvel da autora, e registos de mensagens constantes do telemóvel e à agenda) e não se tendo provado o acesso do 1º réu a esses dados, mas unicamente o mero acesso, num determinado dia, às comunicações efetuadas pela autora, não se provando sequer a respetiva divulgação, a ação de indemnização improcede por nem sequer existir, para os efeitos da responsabilidade civil extracontratual, facto ilícito suscetível de ser danoso”
|
|
Acórdão do Tribunal da Relação de Lisboa, de 02.05.2023 Processo n.º 12234/21.0T8LSB.L1-7 Wikipédia, bloqueio de páginas, violação do bom nome, honra e imagem, inexatidão manifesta das informações, ónus da prova, proteção dos dados pessoais, direito ao esquecimento (…) “Constituem critérios pertinentes para efetuar a ponderação entre o direito ao respeito pela vida privada e o direito à liberdade de expressão: a contribuição para um debate de interesse público, o grau de notoriedade da pessoa afetada, o objeto da reportagem, o comportamento anterior da pessoa em causa, o conteúdo, forma e consequências da publicação, o modo e as circunstâncias em que as informações foram obtidas, bem como a sua veracidade.” “Nos termos do n.º 1 do Artigo 17.º do Regulamento n.º 2016/679, o titular tem direito a que sejam apagados os seus dados, invocando um dos motivos enunciados nas alíneas a) a f), não sendo necessário demonstrar que o tratamento gera danos, reais ou potenciais.”
|
|
Acórdão do Tribunal de Justiça, de 04.05.2023 Reenvio prejudicial, Proteção de dados pessoais, Regulamento (UE) 2016/679, RGPD, Direito de acesso do titular dos dados aos seus dados em fase de tratamento, Artigo 15.°, n.° 3, Fornecimento de uma cópia dos dados, Conceito(…) O Tribunal de Justiça declarou, entre outros aspetos, que o artigo 15º, nº3 do RGPD deve ser interpretado no sentido de que: o conceito de «informação» nele previsto refere‑se exclusivamente aos dados pessoais cuja cópia o responsável pelo tratamento deve fornecer por força do primeiro parágrafo desse número.
|
|
Acórdão do Tribunal de Justiça, de 04.05.2023 Reenvio prejudicial, proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, Regulamento (UE) 2016/679, Artigo 82.º, n.° 1, direito de indemnização do dano causado pelo tratamento de dados(…) O Tribunal de Justiça declarou, entre outros aspetos, que o artigo 82º do RGPD deve ser interpretado no sentido de que: a simples violação das disposições deste regulamento não é suficiente para conferir um direito de indemnização; e para efeitos da fixação do montante da indemnização devida a título do direito de indemnização consagrado neste artigo, os juízes nacionais devem aplicar as normas internas de cada Estado‑Membro relativas ao alcance da indemnização pecuniária, desde que sejam respeitados os princípios da equivalência e da efetividade do direito da União.
|
|
Acórdão do Tribunal de Justiça, de 12.01.2023 Reenvio prejudicial – Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais – Regulamento (UE) 2016/679 – Artigo 15.°, n.° 1, alínea c) – Direito de acesso do titular aos seus próprios(…) O Tribunal de Justiça declarou, entre outros aspetos, que o artigo 15º, n.º1 alínea c) do RGPD deve ser interpretado no sentido de que: o direito de acesso do titular dos dados aos dados pessoais que lhe dizem respeito, previsto nesta disposição, implica, quando esses dados foram ou serão divulgados aos destinatários, a obrigação por parte do responsável pelo tratamento de fornecer a esse titular a identidade concreta dos referidos destinatários, a menos que seja impossível identificar esses destinatários ou que o referido responsável pelo tratamento demonstre que os pedidos de acesso do titular dos dados são manifestamente infundados ou excessivos, na aceção do artigo 12.º, n.º 5, do Regulamento 2016/679, casos em que o responsável pelo tratamento pode indicar a esse titular apenas as categorias de destinatários em causa.
|
|
Acórdão do Tribunal de Justiça, de 09.02.2023 Reenvio prejudicial – Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais – Regulamento (UE) 2016/679 – Artigo 38.°, n.° 3 – Encarregado da proteção de dados – Proibição(…) O Tribunal de Justiça declarou, entre outros aspetos, que o artigo 38º, n.º3 do RGPD deve ser interpretado no sentido de que: não se opõe a uma regulamentação nacional que prevê que um responsável pelo tratamento ou um subcontratante só pode destituir um encarregado da proteção de dados que é um elemento do seu pessoal por um motivo grave, mesmo que a destituição não esteja relacionada com o exercício das funções desse encarregado, desde que essa regulamentação não comprometa a realização dos objetivos deste regulamento.
|
|
Acórdão do Tribunal de Justiça, de 02.03.2023 Reenvio prejudicial – Proteção de dados pessoais – Regulamento (UE) 2016/679 – Artigo 6.°, n.os 3 e 4 – Licitude do tratamento – Apresentação de um documento que contém dados pessoais no âmbito de um processo(…) O Tribunal de Justiça declarou, entre outros aspetos, que o artigo 6º, n.ºs 3 e 4 do RGPD deve ser interpretado no sentido de que: esta disposição se aplica, no âmbito de um processo cível, à apresentação como elemento de prova de um registo de pessoal que contém dados pessoais de terceiros recolhidos principalmente para efeitos de inspeção tributária.
|
|
Acórdão do Tribunal de Justiça, de 16.02.2023 Reenvio prejudicial – Setor das telecomunicações – Tratamento de dados pessoais e proteção da privacidade – Diretiva 2002/58 – Artigo 15.°, n.° 1 – Restrição da confidencialidade das comunicações(…) O Tribunal de Justiça declarou, entre outros aspetos, que o artigo 15.o, n.o 1, da Diretiva 2002/58/CE, de 12 de julho (Diretiva relativa à privacidade e às comunicações eletrónicas), lido à luz do artigo 47.o, segundo parágrafo, da Carta dos Direitos Fundamentais da União Europeia, deve ser interpretado no sentido de que: não se opõe a uma prática nacional nos termos da qual as decisões judiciais que autorizam o recurso a métodos especiais de investigação, na sequência de um pedido fundamentado e circunstanciado das autoridades penais, são redigidas por meio de um formulário pré‑elaborado e desprovido de motivos individualizados, que se limita a indicar, além do prazo de validade da autorização, que os requisitos previstos na legislação que essas decisões mencionam foram respeitados, desde que as razões precisas pelas quais o juiz competente considerou que os requisitos legais foram respeitados à luz dos elementos factuais e jurídicos que caracterizam o caso em apreço possam ser inferidas com facilidade e inequivocamente de uma leitura cruzada da decisão e do pedido de autorização, devendo este último ser facultado, posteriormente à concessão da autorização, à pessoa contra a qual o recurso aos métodos especiais de investigação foi autorizado. |
|
Acórdão do Tribunal de Justiça, de 26.01.2023 Reenvio prejudicial; Proteção das pessoas singulares no que respeita ao tratamento de dados pessoais; Diretiva (UE) 2016/680; Artigo 4.°, n.° 1, alíneas a) a c); Princípios relativos ao tratamento de dados pessoais;(…) O Tribunal de Justiça declarou, entre outros aspetos, que o artigo 10.º, alínea a), da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, lido à luz do artigo 52.º da Carta dos Direitos Fundamentais da União Europeia, deve ser interpretado no sentido de que: o tratamento de dados biométricos e genéticos pelas autoridades policiais com vista às suas atividades de investigação, para efeitos de luta contra a criminalidade e de manutenção da ordem pública, é autorizado pelo direito de um Estado‑Membro, na aceção do artigo 10.o, alínea a), desta diretiva, desde que o direito desse Estado‑Membro contenha uma base jurídica suficientemente clara e precisa para autorizar o referido tratamento. |
|
Acórdão do Tribunal de Justiça, de 21 de junho de 2022 Reenvio prejudicial – Tratamento de dados pessoais – Dados dos registos de identificação dos passageiros (PNR) – Regulamento (UE) 2016/679 – Artigo 2.º, n.º 2, alínea d) – Âmbito de aplicação – Diretiva(…) O Tribunal de Justiça declarou, entre outros aspetos, que o artigo 6.º da Diretiva 2016/681, lido à luz dos artigos 7.º, 8.º e 52.º , n.º 1, da Carta dos Direitos Fundamentais, deve ser interpretado no sentido de que se opõe a uma legislação nacional que autoriza o tratamento dos dados dos registos de identificação dos passageiros (dados PNR) recolhidos em conformidade com esta diretiva para fins diferentes dos expressamente indicados no artigo 1.º , n.º 2, da mencionada diretiva; e A Diretiva 2004/82 deve ser interpretada no sentido de que não é aplicável aos voos, regulares ou não, efetuados por uma transportadora aérea, com proveniência do território de um Estado-Membro e que devam aterrar no território de um ou de vários Estados-Membros, sem fazer escala no território de um país terceiro (voos intra-UE).
|
Legislação
|
Diretiva (UE) 2023/2123 do Parlamento Europeu e do Conselho, JO L, 2023/2123, 11.10.2023 Harmonização com as regras UE em matéria de proteção de dados pessoais |
|
Decisão de Execução (UE) 2023/1795 da Comissão, JO L 231 de 20.9.2023 Possibilita transferência de dados UE para os EUA |
|
Decreto do Presidente da República n.º 78/2023 – DR n.º 169/2023, Série I de 31.08.2023 Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal |
|
Resolução da Assembleia da República n.º 107/2023 – DR n.º 169/2023, Série I de 31.08.2023 Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal
|
| Lei n.º 42/2023 – DR n.º 155/2023, Série I de 10.08.2023
Transposição das Diretivas (UE) 2022/211 e (UE) 2022/228, do Parlamento Europeu e do Conselho, de 16 de fevereiro, relativas a matéria de proteção de dados pessoais
|
| Despacho n.º 1933-A/2023 – DR n.º 28/2023, 1º Supl, Série II de 08.02.2023
Designação de encarregados de proteção de dados |
Atividade da CNPD
Sobre medidas organizativas e de segurança aplicáveis aos tratamentos de dados pessoais
