Em jeito de contextualização ultra sintética, como forma de não se esbanjar tempo com e redundantes sínteses recapitulativas, rememora-se que na pretérita edição tínhamos principiado a dissecação das normas corporizadas na Resolução n.º 5/2019, de 20 de Junho, que ratifica a Convenção da União Africana sobre Cibersegurança e Protecção de Dados Pessoais (doravante “CUACPDP”), que, conforme, asseveramos, encontra-se dividida em três capítulos, (i) Transacções Electrónicas, (ii) Protecção de Dados Pessoais e (iii) Promoção da Cibersegurança e a Luta contra o Cibercrime, sendo que o texto da aludida edição foi suspendido no início da abordagem que se pretende realizar acerca do Capítulo II – Protecção de Dados Pessoais electrónicos – e, sem quaisquer delongas, é, pois, a partir daqui que se dá continuidade à dissertação.
A disciplina relativa à protecção de dados prevista nas normas da CUACPDP deve ser compaginada com os preceitos estabelecidos na Lei de Transacções Electrónicas – que reserva, entre os artigos 63 a 65, um capítulo próprio destinado ao tratamento desta temática – sem nunca se perder de vista o que dispõe, sobre a matéria, o Regulamento do Sistema de Certificação Digital de Moçambique (SCDM), aprovado pelo Decreto n.º 59-2019, sendo da conjugação interpenetrada dos citados compêndios legais que se extrairá o regime a que se subordina a disciplina da protecção de dados pessoais electrónicos.
Entretanto, antes de mergulharmos nas profundezas do “quadro legal” atinente à regulação do direito aqui em sindicância, afigura-se míster elucidar que, em Moçambique, o direito à protecção de dados possui dignidade constitucional, no sentido de emanar directamente da Constituição da República (CRM), enquadrado no capítulo “direitos, liberdades e garantias individuais”, facto que faculta ao respectivo titular de um direito que assume posição hierarquicamente relevante na ordem jurídica interna, devido ao facto de as normas Constitucionais, caracterizadas, em regra, pela sua natureza de direitos fundamentais, prevalecerem sobre as demais normas (infraconstitucionais), advindo, desta factologia, que o legislador ordinário esteja legalmente proibido (na verdade, constitucionalmente proibido) de aprovar e colocar em vigor normas que se direccionem num sentido oposto aos princípios constitucionalmente consagrados concernentes a esta matéria.
Assim, em consonância com o que se disse supra e por força das disposições contidas nas alíneas do artigo 56 da CRM – “princípios gerais dos direitos, liberdades e garantias individuais” –, «Os direitos e liberdades individuais são directamente aplicáveis, vinculam as entidades públicas e privadas, são garantidos pelo Estado e devem ser exercidos no quadro da Constituição e das leis» (n.º 1); «O exercício dos direitos e liberdades pode ser limitado em razão da salvaguarda de outros direitos ou interesses protegidos pela Constituição» (n.º 2); «A lei só pode limitar os direitos, liberdades e garantias nos casos expressamente previstos na Constituição» (n.º 3); «As restrições legais dos direitos e das liberdades devem revestir carácter geral e abstracto e não podem ter efeito retroactivo» (n.º 4).
Esmiuçando sinteticamente o alcance dos preceitos legais acima reproduzidos, significa dizer que os direitos, liberdades e garantias individuais – onde se incorpora, no artigo 71 CRM, o direito à protecção de dados pessoais – são de aplicação imediata, no sentido de, para a respectiva concretização, em regra, não dependem de intermediação legal infraconstitucional, não pertencendo, por isso, à categoria de normas meramente programáticas (que estabelecem princípios genéricos e órfãos de concretização infraconstitucional), visto que possuem força jurídica para, efectivamente, regular directamente as situações, actos ou relações jurídicas que pretendam regular).
Sublinha-se, ainda, o facto de a própria Constituição determinar que estes direitos vinculam, tanto as entidades públicas, como as particulares e só admitem restrições previstas na própria Constituição – restrições essas que não podem atingir o núcleo essencial do direito em causa – implicando, assim, um conteúdo normativo negativo (abstenção do Estado em agir num sentido que vise impedir o exercício desses direitos) e um conteúdo normativo positivo (obrigação a que o Estado está incumbido de assegurar tanto o exercício bem como a defesa desses direitos).
Ultrapassada a análise do princípio gerais constitucionalmente consagrados sobre a matéria, entremos para a norma constitucional que, concretamente, consagra e confere forca normativa robusta ao direito à protecção de dados pessoais electrónicos.
Com a epígrafe “utilização da informática”, estabelece o artigo 71 da CRM que «é proibida a utilização de meios informáticos para registo e tratamento de dados individualmente identificáveis relativos às convicções políticas, filosóficas ou ideológicas, à fé religiosa, à filiação partidária ou sindical e à vida privada» (n.º 1); «a lei regula a protecção de dados pessoais constantes de registos informáticos, as condições de acesso aos bancos de dados, de constituição e utilização por autoridades públicas e entidades privadas destes bancos de dados ou de suportes informáticos» (n.º 2); «não é permitido o acesso a arquivos, ficheiros e registos informáticos ou de banco de dados para conhecimento de dados pessoais relativos a terceiros, nem a transferência de dados pessoais de um para o outro ficheiro informático pertencente a distintos serviços ou instituições, salvo nos casos estabelecidos na lei ou por decisão judicial» (n.º 3); «todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respectiva rectificação» (n.º 4).
Do cotejo interpretativo das alíneas elencadas no citado artigo 71 CRM, emergem os princípios fundamentais aos quais está adstrita. Desde logo, o infere-se que o conteúdo do direito à protecção de dados pessoais corresponde (i) à faculdade de acesso às informações em causa, incluindo (ii) a finalidade do tratamento de que são objecto, (iii) possibilitando a rectificação e actualização das que não estejam correctas.
As normas protectoras à privacidade e confidencialidade de dados pessoais (quer as emanadas directamente da CRM quer as previstas nas leis ordinárias, que complementam e regulam aquelas, com particular realce para a Lei de Transacções Electrónicas, a Convenção ratificada pela Resolução n.º 5/2019 e o Regulamento do SCDM) foram sendo aprovados em reconhecimento da inelutável importância que as mesmas encerram, porquanto, munem o titular de um mecanismo que lhe permite controlar a forma como suas informações são utilizadas por organizações, empresas e inclusive pelo Governo. Elas visam colocar o respectivo titular numa situação de segurança no que concerne ao controlo do uso desses dados (por quem quer que seja), sendo ele detém o pecúlio, em regra exclusivo, de pautar as regras de jogo sobre quem, como, onde, seus dados podem ser manuseados.
Com a erupção vulcânica das TIC’s, as informações/dados das pessoas, em meios digitais, encontra-se em ininterrupto, supersónico e vertiginoso estágio de propagação, avultando a crescente preocupação de se discernir o conteúdo dessas informações/dados, onde e como são recolhidas, processadas e armazenadas e à quem cabe a responsabilidade pelo acesso àquelas informações/dados.
O glossário da Lei de Transacções Electrónicas define “Dados Pessoais” como sendo «qualquer informação relativa a uma pessoa singular que possa ser identificada directa ou indirectamente através da referência a um número ou a um ou mais factores específicos a mesma», destrinçando-os dos “Dados de Criação de Assinatura Electrónica” que são aqueles «dados únicos tais como códigos ou chaves privadas codificadas que são utilizadas pelo signatário para criar uma assinatura electrónica».
Sendo essa informação, susceptível de circular de forma desenfreada e descontrolada pelos canais e meios digitais (ex.; internet), respeitante à esfera de uma determinada pessoa, singular ou colectiva, pública ou privada, ela necessita de ser adequadamente protegida, pois se sabe, de forma sobeja, que ela pode ser perigada pela actuação de vários intervenientes (muitos deles desconhecidos), com o objectivo de a deturpar, falsear, roubar e demais actos de natureza ilegítima que colocam em causa os direitos do respectivo titular, advindo, da mais que verosímil verificação dessas nuances nefastas a necessidade de estabelecimento de mecanismos de segurança do acesso e circulação dessas informações.
Com efeito, a confidencialidade, disponibilidade e integridade são universalmente reconhecidos como sendo atributos da segurança da informação, sendo que a “confidencialidade” diz respeito à inacessibilidade da informação, que não pode ser divulgada para um usuário, entidade ou processo não autorizado; a “integridade” pressupõe que informação deve manter-se intacta (inamovível, em alguns casos), apenas sendo alterada (ou movível) ou suprimida (destruída) com autorização do respectivo titular; e a “disponibilidade” traz a ideia segundo a qual o acesso aos serviços dos sistemas digitais onde é armazenada, recolhida, processada a informação é somente permitida para utilizadores ou entidades autorizados.
O que se referiu supra encontra materialização expressa no texto da Lei, concretamente no artigo 64 da lei de Transacções Electrónicas, que estabelece que não é permitido o acesso a arquivos, ficheiros e registos informáticos ou de banco de dados para conhecimento de dados pessoais relativos a terceiros, nem a transferência de dados pessoais de um para o outro ficheiro informático pertencente a distintos serviços ou instituições, salvo nos casos estabelecidos na lei ou por decisão judicial. Este preceito (previsto na Lei de Transacções Electrónicas, no capítulo disciplinador da Protecção de Dados Electrónicos Pessoais), com epígrafe “proteccção de dados” corresponde ao espírito e letra da norma disposta no n.º 3 do artigo 71 da CRM.
Visando conferir segurança à informação e dados pessoais, e em consonância com o previsto no n.º 1 do artigo 11 da Convenção ratificada pela Resolução n.º 5/2019, que insta os Estados-membros aderentes à Convenção (dos quais Moçambique é parte integrante) a criar uma autoridade responsável pela protecção de dados pessoais, a Lei de Transacções Electrónicas institui uma figura denominada “Processador de Dados”, definida nos termos do respectivo glossário como sendo «qualquer pessoa, pública ou privada, singular ou colectiva, que requeira, recolhe, processe ou armazene electronicamente informação pessoal de ou a respeito de um sujeito de dados».
Esta figura – Processador de Dados Pessoais – está adstrita ao cumprimento das obrigações delineadas no artigo 63 da Lei que o cria (acima citada) e sujeito, em caso de incumprimento dos seus deveres – que apontem para a violação dos direitos relativos à protecção de dados pessoais – às responsabilidades elencadas no artigo 65 do mesmo diploma legal, cujas infracções podem dar azo à contravenções (artigo 67) ou constituir ilícitos criminais (artigo 68) consoante for a forma de cometimento.