É facto inegável que o Direito da Protecção de Dados vem assumindo um protagonismo protuberante nos últimos tempos, muito por culpa da erupção do fenómeno tecnológico, associado ao impulso dado naquela área do Direito pela União Europeia (UE) com a adopcão da Directiva (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, que influenciou, não só os países da UE – que estão adstritos ao cumprimento da retro mencionada Directiva – mas também aos ordenamentos jurídicos espalhados por esse mundo fora, cujos regimes jurídicos relativos a protecção de dados pessoais projectam-se nos postulados basilares enunciados pela UE sobre a matéria.
Caso paradigmático do que afirmamos na parte final do parágrafo antecedente, é a Convenção da União Africana sobre Cibersegurança e Protecção de Dados Pessoais (CUACPDP), cuja concatenação das normas que lhe corporizam casa-se em regime de comunhão de bens com o regime instituído pela UE.
Percebe-se, com meridiana facilidade, que os regimes jurídicos referentes a esta temática possuam, na maioria dos países, um sustentáculo similar, por várias razões, constituindo uma das principais [razões], o facto de as Tecnologias de Informação e Comunicação (TIC’s) estarem a colonizar os meios e recursos através dos quais estes dados são recolhidos, processados e armazenados, e sendo esse movimento tecnológico de amplitude global/universal, os problemas que daí são originados são basicamente idênticos para a generalidade dos ordenamentos jurídicos.
Dito de outro modo: o fenómeno epidémico [no bom sentido] do Direito Digital, para o bem e para o mal, atinge a todos os países. A necessidade de se regularem as actuações que se verificam nesse mundo – mundo digital – está na ordem do dia da agenda de todos os países. E sendo que as TICs gravitaram o centro nevrálgico de actuação do Direito da Protecção de Dados para o mundo Digital, num movimento imparável cujo fim não se descortina, emerge uma implícita necessidade de se globalizarem os meios de protecção da segurança da informação – aspecto vital do Direito da Protecção de Dados – de tal sorte que os meios de sabotagem a que estão sujeitos possam ser facilmente detectados e neutralizados.
No parágrafo precedente referimo-nos concretamente à acção dos hackers, espécie que temoriza todo e qualquer sistema de cibersegurança, em especial, e protecção de dados pessoais electrónicos, no geral. Cremos que eles constituem, sem dúvidas, arriscamos nessa acepção, o inimigo que une os países na necessidade de se instituírem mecanismos que, a nível global, cerceie o campo da suas delituosas actuações.
Por isso, e aqui recuperamos a origem do raciocínio que ocupou as linhas do pensamento vertido nas sílabas anteriores, o impulso dado pela UE através da Directiva 95/46/CE (Regulamento Geral sobre a Protecção de Dados), que, após sucessivas revisões, culminou na adopção da Directiva (EU) 2016/679 do Parlamento Europeu e do Conselho, tende a ser uma política de protecção universal(izada), reflectida na similitude das normas vigentes sobre a matéria, quer na Europa quer na América Latina quer ainda em África.
Para se ter uma ideia exacta do que se pretende dizer nas palavras transactas, é só se imaginar a extremosa dificuldade que ainda se enfrenta em se aferir o locus delicti do perpetramento de um cibercrime (facto que não constitui preocupação exclusivista da área da protecção de dados pessoais, mas sim, transversal à toda panóplia de bens jurídicos universalmente protegidos pelo Direito Penal).
Moçambique não foge à regra na preocupação em robustecer-se de meios adequados com vista a regular a matéria relativa à protecção de dados. A Constituição da República moçambicana (CRM) alberga, no capítulo reservado à consagração dos “direitos, liberdades e garantias individuais”, a disciplina constitucional incidente sobre a protecção de dados pessoais.
Com efeito, o artigo 71 da CRM, sob epígrafe “utilização da informática”, estabelece que «é proibida a utilização de meios informáticos para registo e tratamento de dados individualmente identificáveis relativos às convicções políticas, filosóficas ou ideológicas, à fé religiosa, à filiação partidária ou sindical e à vida privada» (n.º 1); «a lei regula a protecção de dados pessoais constantes de registos informáticos, as condições de acesso aos bancos de dados, de constituição e utilização por autoridades públicas e entidades privadas destes bancos de dados ou de suportes informáticos» (n.º 2); «não é permitido o acesso a arquivos, ficheiros e registos informáticos ou de banco de dados para conhecimento de dados pessoais relativos a terceiros, nem a transferência de dados pessoais de um para o outro ficheiro informático pertencente a distintos serviços ou instituições, salvo nos casos estabelecidos na lei ou por decisão judicial» (n.º 3); «todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respectiva rectificação» (n.º 4).
Realça-se que o princípio geral deste capítulo da CRM, reflectido no artigo 56, cuja epígrafe cimenta: “princípios gerais dos direitos, liberdades e garantias individuais”, é peremptório em determinar que «Os direitos e liberdades individuais são directamente aplicáveis, vinculam as entidades públicas e privadas, são garantidos pelo Estado e devem ser exercidos no quadro da Constituição e das leis» (n.º 1); «O exercício dos direitos e liberdades pode ser limitado em razão da salvaguarda de outros direitos ou interesses protegidos pela Constituição» (n.º 2); «A lei só pode limitar os direitos, liberdades e garantias nos casos expressamente previstos na Constituição» (n.º 3); «As restrições legais dos direitos e das liberdades devem revestir carácter geral e abstracto e não podem ter efeito retroactivo» (n.º 4).
E se trouxermos à colação que, ao aconchego do artigo 291 da CRM, a declaração do Estado de Emergência, deve, com base nos pergaminhos argamassados na própria CRM, (…) respeitar o princípio da proporcionalidade e limitar-se, quanto à extensão dos meios utilizados (…) ao estritamente necessário ao pronto restabelecimento da normalidade constitucional, conjugando-se esta norma com outra do mesmo texto constitucional – a do n.º 1 do respectivo artigo 72 – que sob a epígrafe “suspensão de exercício de direitos”, estabelece que “as liberdades e garantias individuais só podem ser suspensas ou limitadas temporariamente em virtude de declaração (…) do estado de emergência nos termos estabelecidos na Constituição, emerge a legítima preocupação em se aquilatar em que medida é que os direitos e garantias individuais concernentes à protecção de dados são atingidos pela excepcionalíssima declaração do Estado de Emergência.
A resposta, ainda que ilíquida, começa a desenhar-se nas normas que corporizam algumas das alíneas do artigo 295 da CRM, que, subordinada à epígrafe “restrições das liberdades individuais” elenca, no que releva para a presente análise, as seguintes restrições: restrições relativas à inviolabilidade da correspondência, ao sigilo das comunicações, à prestação de informações (…) [respectiva alínea d)]; busca e apreensão em domicílio [correspondente alínea e)].
Tendo como respaldo o excepcionalmente permitido pela CRM, a Declaração do Estado de Emergência, constante do n.º 3 do artigo 3 do Decreto-Presidencial n.º 11/2020, ao estipular que as medidas decretadas e a sua execução devem respeitar o princípio da proporcionalidade e limitar-se à sua extensão, duração, meios utilizados e ao estritamente necessário ao pronto restabelecimento da normalidade, dá eco vibrante às mencionadas alíneas d) e e) do artigo 295 do texto constitucional, abrindo as vias de acesso para que os direitos relativos à protecção de dados pessoais possam ser legitimamente violados com base no argumentário que, ainda que não esteja escrito em lado algum do rectângulo do referido Decreto-Presidencial, está “implicitamente explícito” no imaginário deste diploma legal que, o que sustenta a restrição é o facto de “haver direitos superiores que devem ser priorizados à custa da violação – legítima, repete-se – daqueles direitos referentes à protecção de dados pessoais”.
Logicamente, não nos opomos ao princípio. Aliás, a CAUCPDP, ratificada pelo Estado moçambicano através da Resolução n.º 5/2019, já prevê restrições às regras de processamento de dados pessoais de forma coadunável com o estipulado na Declaração do Estado de Emergência, concretamente, estando-se em face de uma situação de surto epidémico como a é o COVID-19, desde que se respeitem os sacrossantos princípios estipulados na CUACPDP sobre a matéria.
Assim, o processamento de dados pessoais deve obedecer aos princípios gerais contidos no artigo 13 da CUACPDP: (i) princípio do consentimento e de legitimidade de processamento de dados pessoais; (ii) princípio da lealdade e legalidade do processamento de dados pessoais; (iii) princípio da finalidade, pertinência, conservação e do processamento de dados pessoais; (iv) princípio de exactidão dos dados pessoais (v) princípio de transparência de processamento de dados pessoais (vi) princípio de confidencialidade e de segurança no processamento de dados pessoais.
Paralelamente àqueles princípios gerais acima elencados, o processamento de dados pessoais deve, ainda obedecer a princípios específicos relativos ao processamento de dados sensíveis, plasmados no artigo 14 da CUACPDP.
O princípio do consentimento e de legitimidade do processamento de dados pessoais, apesar de instituir um regime regra que estabelece que o processamento de dados pessoais é considerado legítimo quando o titular dos dados der o seu consentimento, todavia este requisito pode ser revogado quando o processamento de dados for necessário para a execução de uma missão de interesse público no exercício de autoridade pública conferida ao controlador de dados (…) e ainda para a salvaguarda dos interesses vitais ou direitos fundamentais do portador de dados (…) – alíneas b) e d), respectivamente, do artigo 13 da CUACPDP.
O vertido na alínea d) do artigo 13 da CUACPDP – que se reportava a recolha e processamento de dados gerais – acima reproduzido, combina perfeitamente com a excepção relativa a proibição de processamento de dados sensíveis relativos ao estado de saúde do portador de dados quando o processamento de dados for necessário para proteger os interesses vitais do titular dos dados ou de uma outra pessoa, se o sujeito titular dos dados estiver física ou juridicamente incapacitado para dar o seu consentimento – al. c) do n.º 2 do artigo 14 da CUACPDP. Não precisamos mergulhar até as profundezas da regras da exegese jurídica para concluir que a pandemia do COVID-19 se insere como caso paradigmático que origina a excepção aqui permitida.
Sobre este particular aspecto, emerge o polémico debate sobre a pertinência e proporcionalidade da geolocalização.
A alínea e) do 2 do artigo 3 do Decreto n.º 12/2020, que regulamenta a Declaração do Estado de Emergência constante do Decreto-Presidencial n.º 11/2020, impõe como uma das medidas restritivas no âmbito da declaração do Estado de Emergência exigência do conhecimento em tempo real de pessoas através do recurso a geolocalização. Ela – a geolocalização – consiste em detectar doentes de covid-19 ou controlar o cumprimento das regras de quarentena obrigatória, através do recurso a meios tecnológicos ou equipamentos electrónicos ou aplicativos digitais, de entre os quais se destacam o mecanismo de rastreio por “GPS” (que pode ser efectuado através de um telemóvel/smartphone), pulseiras electrónicas, etc.
Os países que já a adoptaram, executam-na através de Apps disponíveis em telemóveis (smartphones), que são descarregadas no Google Play e na App Store e lhes permite seguir os movimentos dos cidadãos que são obrigados a permanecer isolados, seja porque vêm de um país estrangeiro seja porque estiveram em contacto com uma pessoa infectada. Se o aplicativo detectar que determinada pessoa está infectada, o algoritmo localizará todas as pessoas com quem esteve em contacto, e estas receberão uma mensagem de que são potencialmente portadoras da doença. Por um lado, ajuda a salvar vidas; Por outro lado, é uma aplicação que permite a quebra do sigilo sobre os dados pessoais da pessoa visada, que podem, em alguns casos, se a recolha e processamento forem mal usados, vir a ser do conhecimento público. Questiona-se se será que os meios justificam os fins? De que forma é que uma emergência, como a do covid-19, justifica uma privação de direitos como a que estas aplicações parecem pressupor?
Télio Chamuço
Advogado
Email: telio@teliochamuco.com
