Professional Documents
Culture Documents
&#
/#&%$,01&'!$'!2!&(')2'")%$#)$%
!"#$%&'(!)*&+,!-./011/2!
Não existe conhecimento sem informação e é incompreensível a informação sem dados. Desde de sempre o Homem
comunica entre si e evoluiu para níveis de complexidade de comunicação elevadas, por isso o tratamento e segurança
da informação é uma preocupação constante. Em sociedade existem leis que regem como devem ser tratadas estas
informações, por vezes de caracter pessoal e privado. Este trabalho de investigação faz uma análise a estas leis,
aprofundando aquelas a que se referem à protecção de dados pessoais na internet e no comercio electrónico, esta
investigação aborda também as novas realidades do cibercrime e ciberterrorismo na sociedade global. De forma a
compreender melhor a aplicação destas leis este trabalho apresenta uma serie de estudos de caso incluindo opiniões
de especialistas e de utilizadores de serviços da internet.
3&#+45%'(&!6&(7+88(&%!9(,5(&%!:%&#%!:%4,+;%!
"%<%;=(!!>%&%!%!'#8$#>;#4%!'+!9#&+#5(!'(8!
?+@A$#(8!+!'(!B(48,<#'(&
CDEF3)G!!H)?ID"3!9I!./11
INDÍCE
2.Introdução ! 3
4.Modelo de Pesquisa ! 15
5.Análise de dados! 16
5.1.Estudos de Caso! 16
6.Conclusões ! 21
7.Bibliografia! 23
8.Anexos ! 24
Protecção de Dados na Internet! Direito dos Negócios e do Consumidor
2.Introdução
“O meu sucesso advém da informação” já dizia o Barão Rothschild no inicio do século
XIX. É tão verdade esta afirmação que hoje em dia em pleno século 21 a informação que
corre nas linhas e no eter deste mundo globalizado é crucial para a nossa sobrevivência
como sociedade e nação.
No que respeita à primeira parte, o investigador e autor deste trabalho, faz uma resenha
das várias Leis que comportam a estrutura legal das actividades relacionadas com a
protecção de dados, como a Lei n.º 67/98 da protecção de dados, a Lei n.º 2/94 dos
Sistemas de Informação de Schenguen, a Lei n.º36/2003 do EUROJUST, a Lei n.º
12/2005 que orienta o uso de informações de saúde e genética, e ainda algumas leis
referentes à videovigilancia e aos dados pessoais em regime laboral.
Ainda nesta primeira parte o autor aprofunda o conhecimento na Lei n.º 41/2004 que rege
o tratamento e a protecção de dados no sector das comunicações electrónicas, e na Lei
n.º 7/2004 que é uma transposição de uma Directiva Europeia sobre o comércio
electrónico com adaptação à realidade legal portuguesa. Estas são as duas leis principais
no que se refere à protecção de dados nas comunicações electrónicas. É ainda abordado
também a Lei do cibercrime e as implicações que esta tem nas actividades policiais e
judiciais.
A lei 67/98 da protecção dos dados pessoais, é uma transposição jurídica da Directiva
Europeia n.º95/46/CE1, e tem como principal objectivo identificar os princípios do
tratamento de dados pessoais de uma forma transparente com respeito à vida privada,
dos direitos, liberdades e garantias fundamentais dos cidadãos. O âmbito desta lei sugere
à aplicação da mesma ao tratamento dos dados quer seja total ou parcialmente
automatizados em todo os território nacional ou internacional, onde a legislação
portuguesa seja aplicável por força do interesse internacional2.
Esta Lei aborda ainda, a qualidade dos dados e legitimidade do seu tratamento, os
direitos do titular dos dados, a segurança e confidencialidade do tratamento, a
transferencia de dados pessoais dentro e fora da União Europeia e por fim descreve as
funções e competência da Comissão Nacional de Protecção de Dados (CNPD)3.
Foi referenciado neste texto a transferencia de dados intra e inter países europeus. Em
1985 foi criado entre alguns países europeus um espaço de livre circulação de bens,
serviços e pessoas intitulado Espaço Schenguen, que permite a passagem de pessoas
entre os países consignados sem necessidade de apresentação de passaporte nas
fronteiras. Foi criado também por este acordo um Sistema de Informação de Schenguen,
hoje numa segunda versão o SISII4 , que é um sistema de informação que permite às
1D.EU. N.º95/46/CE Protecção das pessoas singulares no que diz respeito ao tratamento dos dados
pessoais e à livre circulação desses dados.
2n.e. É de referir também as dificuldades diplomáticas no processo de transferencia de dados de cidadãos
europeus para os Estados Unidos pelo acordo bilateral de combate ao terrorismo. Entrou em vigor no
passado dia 1 de Agosto um novo acordo de transferencia de dados bancários entre a União Europeia e os
EUA, o chamado novo acordo SWIFT. Ainda relativamente a acordos internacionais, é de referir o acordo
PNR 2007 que permite o tratamento e a transferencia de dados nos registos de identificação dos
passageiros pelas transportadoras aéreas para o Departamento da Segurança Interna dos Estados Unidos.
3 A Lei n.º 43/2004 descreve ainda a organização e funcionamento da CNPD
4SISII é uma versão ainda não oficializada dos SIS (Sistema de Informação de Schenguen) que tem como
base o tratado de Amesterdão, e que tem implicações para os novos estados membros. O SIS dispõe no
seu texto os seus princípios do Tratado CE, TituloIV em matéria de circulação de pessoas, Titulo VI do
Tratado da UE no que diz respeito à cooperação policial e judiciária em matéria penal.
Ricardo Abreu ©2010 IPAM! 4/24
Protecção de Dados na Internet! Direito dos Negócios e do Consumidor
Em Portugal a Lei que incorpora a nossa participação neste espaço é a Lei m.º 2/94 de 19
de Fevereiro, que estabelece os mecanismos de controlo e fiscalização do Sistema de
Informação de Schenguen (SIS). Este sistema tem o objectivo de persevar a ordem e a
segurança publica entre os Estados Membros. Este sistema é assegurado em Portugal
pela a CNPD que tem o controlo dos dados pessoais dos cidadãos nacionais que circulam
dentro e fora da fronteira do país5.
É de destacar também nesta Lei n.º 12/2005 o artigo 13º que refere à informação e testes
genéticos e afirma “A contratação de novos trabalhadores não pode depender da
selecção assente no pedido realizado ou resultados prévios de testes genéticos”, e ainda
5n.e. Este sistema é muito importante e útil no que se refere ao combate do tráfego de pessoas, armas e
estupefacientes.
6 Artigo K.3 do Tratado da União Europeia
7Unidade de Cooperação Judicial Europeia criado em Fevereiro de 2002 pela decisão do Conselho
Europeu 2002/187/JHA. De destacar o texto aprovado pelo Conselho Europeu a 24 de Fevereiro de 2005, o
2005/C 68/01 que descreve as disposições do regulamento interno da EUROJUST relativas ao tratamento e
à protecção de dados pessoais.
8Bioinformática, é o uso de técnicas de informática no estudo e analise de informação de origem biológica,
humana ou animal.
9n.e. Por exemplo o estudo de células estaminais, ou mesmo a criação de bancos de conservação de
cordões umbilicais de recém nascidos para efeito de prevenção de problemas de saúde futura.
Ricardo Abreu ©2010 IPAM! 5/24
Protecção de Dados na Internet! Direito dos Negócios e do Consumidor
no artigo 17º da mesma Lei que é ilícito a criação de qualquer lista de doenças ou
características genéticas que possam originar pedidos de teste de diagnóstico ou
qualquer tipo de rasteio genético.
No que se refere à videovigilância um recurso cada vez mais usado em quase todos os
locais comerciais e de trabalho, são várias as Leis e Decretos de Leis que regulamentam
o uso de dispositivos de video para vigilância e segurança de pessoas e bens materiais.
Destaca-se o Decreto de Lei n.º 35/2004 que regula a utilização de sistemas de
videovigilância pelos serviços de segurança privada e de autoprotecção, e o artigo 13º da
mesma Lei que permite a algumas entidades usarem equipamentos electrónicos de
vigilância com o objectivo de assegurar a protecção de pessoas e bens desde que sejam
ressalvados os direitos e interesses constitucionalmente protegidos.
Relativamente ao regime laboral a Lei n.º 7/2009 aprovou o Código do Trabalho12 no qual
destaca-se o artigo 17º relativamente à protecção de dados pessoais que afirma que a
entidade empregadora não pode exigir ao trabalhador informações relativas à sua vida
privada ou de saúde e estado de gravidez. Ambos os casos só pode ser exigida estas
informações quando estritamente necessárias para avaliar a capacidade de executar as
funções do trabalho, contudo deverão ser sempre bem fundamentadas pela entidade
empregadora. A qualquer informação de índole pessoal o trabalhador tem o direito de
conhecer e controlar os fins a que esta se destina, por exemplo alguns dados biométricos
para fins de controlo de assiduidade ou de segurança privada13.
Qualquer cidadão nacional maior de seis anos de vida e residente quer em Portugal ou no
estrangeiro é obrigado a possuir o Cartão de Cidadão14 que é um documento de
identificação pessoal único que contém os dados relevantes à sua identificação, tal como
disposto na Lei n.º 7/2007, e inclui o número de identificação civil, o número de
identificação fiscal, o número de utente dos serviços de saúde e o número de
identificação da segurança social15 .
As comunicações electrónicas em Portugal são regidas pela Lei n.º 41/2004, uma
transposição da Directiva Europeia16 e de acordo com o artigo 17 161º da Constituição da
Republica Portuguesa. Esta Lei tem o âmbito de regular o tratamento do dados pessoais
no contexto das redes e serviços de comunicações electrónicas acessíveis ao público e
assegurar a legitimidade dos seus intervenientes18.
Um assinante, segundo esta mesma Lei21 pode ser uma pessoa singular como colectiva
que elabora um contracto com um empresa que fornece a solução de transmissão das
mensagens por via de uma plataforma electrónica. E Utilizador é qualquer pessoa singular
que utilize essas soluções electrónicas para transmitir as suas mensagens. O Artigo 2º
desta Lei, refere define ainda os dados de tráfego como sendo como qualquer dados
utilizados na transmissão das mensagens e que podem ser usados, após tratamento dos
mesmos, para efeitos de facturação. Os dados de localização como quaisquer dados de
georeferenciação que sejam transmitidos por via da plataforma electrónica. Serviços de
valor acrescentado, são todos aqueles dados de tráfego utilizados para além do
estritamente necessário à comunicação ou facturação dos mesmos. E por fim o artigo 2º
define chamada como qualquer chamada efectuada em tempo real por um serviço
telefónico, que permite a comunicação entre o emissor e o receptor.
Um dos tópicos mais importantes para este trabalho está consagrado no capítulo II da Lei
n.º 41/2004, a qual refere a segurança e confidencialidade dos dados pessoais. Segundo
as normas ISO a “segurança da informação é a protecção da informação de várias formas
de ameaças de forma a segurar a continuidade dos negócios, minimizar os riscos e
maximizar o retorno do Investimento e oportunidades de negócio” 22 . A transmissão de
comunicações electrónicas é suportada por empresas especializadas neste tipo de
comunicação e oferecem ao publico em geral um serie de serviços comerciais com base
em Tecnologias de Informação e Comunicação 23. Estas empresas tem a responsabilidade
de colaborarem entre si e assegurarem um perfeito funcionamento e segurança das suas
redes de comunicação 24, o artigo 3º desta Lei afirma que em caso de risco especial de
violação da segurança da rede, as empresas deveram comunicar estes mesmos riscos
aos seus utilizadores e assinantes.
O acesso à informação é crucial numa sociedade que se desenvolve com base nas
comunicações e informações, contudo o acesso à informação armazenada é restrita e só
pode ser feita em conformidade com disposto na Lei geral da Protecção de Dados
Pessoais e sempre com o consentimento dos utilizadores e assinantes das redes ou
serviços de comunicações electrónicas de acesso público27. O artigo 5º da Lei n.º41/2004
refere ainda que garantindo a segurança das redes de comunicação as empresas de TIC
podem armazenar automaticamente as informações ou dados de tráfego em caracter
intermédio ou transitório com fim de efectuar ou facilitar a transmissão da comunicação ou
fornecer um serviço no âmbito da sociedade de informação caso este seja solicitado pelo
o utilizador ou assinante.
O artigo 2º alínea e) da Lei n.º 41/2004, define o que são dados de localização como
quaisquer dados tratados numa rede de comunicações electrónicas que indiquem a
posição geográfica do equipamento de um assinante ou de qualquer utilizador da mesma
rede de comunicações. É importante referir que estes dados somente podem ser tratados
se se tornarem anónimos e as empresas dos serviços de comunicações devem tratar
estes dados com o consentimento e autorização prévia dos utilizadores e assinantes do
serviço de comunicações electrónicas acessíveis ao publico. E estas empresas devem
assegurar a facilidade e a gratuitidade aos seus clientes do acesso à informação
geográfica, dispondo aos clientes a capacidade de cancelar ou retomar o serviço de
informação geográfica. Em caso de emergência as empresas de TIC de acesso publico
podem fornecer os dados de localização geográfica dos seus clientes a entidades
competentes e legalmente aceites30.
Já foi referido neste texto a sociedade da informação e as implicações que este modelo
social tem nas nossas vida, nomeadamente nos artigos 5º e 13º que abordam o aspecto
legal. No entanto é no Decreto-Lei n.º7/2004 de 7 de Janeiro que este tema é
aprofundado e tem na sua génese a transposição da Directiva Europeia n.º 2000/31/CE
do Parlamento Europeu e do Concelho de 8 de Junho de 2000.
também que possa armazenar e reproduzir estas informações50. Autores Ferraiolo, Kuhn
e Chandramouli, afirmam que o acesso dos consumidores a estes serviços é “critico na
preservação da confidencialidade e integridade da informação” e por isso estes serviços
necessitam de meios de controlo e acesso (FERRAIOLO, 2003). Alguns dos mecanismos
de acesso e controlo podem ser encontrados no trabalho de Bishop (2002), tais como:
matrizes de controlo 51, listas de controlo de acesso, capabilities, passwords, etc (BISHOP,
2002) .
Ainda à pouco tempo na última cimeira da NATO53 desta década foi proclamado como
grande objectivo da organização para os próximos anos o combate ao ciberterrorismo e
as novas realidades da comunicação electrónica. E é uma realidade do presente, foi em
Abril de 2007 que várias infra-estruturas informáticas na Estónia foram alvo de um ataque
terrorista electrónico, os terroristas “bombardearam” os servidores e sites Estonianos com
elevados montantes de dados que provocaram grande dificuldade à autoridades e
utilizadores usarem os serviços electrónicos. Em Abril de 2009 de novo a Estónia foi
atacada por ciberterroristas, desta vez foi no servidor de email do parlamento, o qual ficou
paralisado durante dias. Nos Estados Unidos o FBI54 elaborou um estudo que revelou que
os roubos de entidade como os números de Segurança Social e cartão de crédito custou
às entidades cerca de 11 milhões de dólares em 2004. Contudo Andreia Morin,
especialista em segurança da informação em Boston (EUA), afirma que é uma ideia
errada pensar que o roubo de entidades pessoais é uma prática constante in
(HITCHCOCK, 2006).
Tal como no mundo real, o cibercrime consiste em pessoas individuais que tem a intenção
e realizam actividades de ameaça publica por via de redes de informática, por isso devem
ser considerados crimes e combatidos por equipas especializadas, para manter a ordem e
a paz entre os indivíduos de uma sociedade. Segundo a autora Susan Brenner, o ciber
crime é uma categoria de actividade criminal distinta das tradicionais actividades de crime
e providencia uma nova realidade conceptual aos elementos policiais e de justiça,
permitindo a criação de novas e apropriadas leis (BRENNER, 2009).
Em Portugal a lei que regula o cibercrime é a que está disposta na Lei n.º 109/200955 que
é uma transposição europeia da ordem jurídica interna a Decisão Quadro n.º 2005/222/
JAI, do Conselho de 24 de Fevereiro de 2005, relativa a ataques contra sistemas de
informação e mais tarde adaptada ao direito interno na Convenção sobre Cibercrime do
conselho da Europa. Esta Lei n.º 109/2009 estabelece a nivel nacional as disposições
penais materiais e processuais como também a disposições relativas à cooperação
internacional, nomeadamente a INTERPOL, a Lei define ainda as seguintes
interpretações de: “Sistema Informático”, Dados informáticos”, “Dados de tráfego”,
“Fornecedor de serviço”, “Intercepção”, “Topografia”, “Produto semicondutor”, essenciais
na recolha de provas crime no âmbito do combate ao cibercrime56.
O artigo 3º da Lei 109/2009 é claro ao definir falsidade informática como, alguém com a
intenção de provocar engano nas relações jurídicas, introduzir, modificar, apagar ou
suprimir dados informáticos ou qualquer outra forma de interferir com o tratamento dos
dados, produzindo novos documentos diferentes dos originais, ou seja alguém com a
intenção de perturbar a ordem publica e devido funcionamento das relações sociais. O
mesmo artigo refere ainda as punições para quem praticar falsidades informáticas,
nomeadamente 1 a 5 anos para quem importar, distribuir, vender ou detiver para fins
comerciais qualquer dispositivo que permita o acesso aos sistemas informáticos e de
comunicação.
Quando se trata de acesso ilegítimo aos dados informáticos, o artigo 6 da Lei n.º
109/2009 afirma que este acesso for feito sem permissão legal ou sem autorização do
proprietário da informação deve ser punido até um anos de prisão ou 120 dias de multa,
este valor pecuniário pode agravar se os responsáveis pelo o acesso ilícito obtiveram
segredos comerciais ou industriais ou mesmo obterem benefícios e vantagens
patrimoniais de valor elevado com essa informação.
4.Modelo de Pesquisa
Para a elaboração deste trabalho o investigador utilizou duas metodologias de
investigação qualitativa exploratória e descritiva. Existem uma variedade de fontes
documentais ao dispor dos investigadores sociais, documentos lidos como sedimentos da
prática social tem um potencial de informação sobre as estruturas de decisão que as
pessoas tomam dia-a-dia, constituem também leituras de acontecimentos sociais. (May,
2001)
O autor iniciou uma pesquisa exploratória na revisão bibliográfica com o apoio de dados
secundários originários das Leis Nacionais referentes à protecção de de dados pessoais e
do comercio electrónico (ver Anexo J), foi também ainda utilizada outras referencias de
autores que se debruçaram sobre este tema jurídico.
Nós temos que interpretar dos dados de forma a os analisar, mas esta análise pode ir
para lá da interpretação, por isso podemos criar ferramentas de concepção e classificação
dos dados essenciais para o estudo dos fenómenos sociais a estudar. Na análise de
documentos podemos ter o critério de focar o estudo na totalidade do documento ou em
partes especificas onde a investigação procura evidencias do fenómeno social (Dey,
1995).
O autor recorreu a uma pesquisa descritiva com o objectivo principal de descrever factos
jurídicos em actividades do mercado. Para este efeito foi feita uma recolha de dados
secundários e primários. Os dados secundários partiu da análise de quatro documentos,
um referente ao pedido autorização n.º3868/2010 da Comissão Nacional de Protecção de
Dados à Cabovisão, Televisão por Cabo, S.A., ver em Anexo A , outro uma
correspondência entre um cliente e o seu operador de internet a empresa ZON, ver em
Anexo B, foi ainda utilizado uma análise de conteúdo a dois artigos de jornais periódicos
nacionais, ver anexo C e D. Para os dados primários recorreu-se a dois métodos, uma
entrevista a especialista de segurança em internet (ver em anexo E) e um inquérito a
utilizadores de redes sociais62, ver em Anexo F.
5.Análise de dados
5.1.Estudos de Caso
Conforme a Lei n.º 67/98 artigo 27 ponto 1 e 2, a Cabovisão teve que notificar a Comissão
Nacional de Protecção de Dados (CNPD) da existência de uma lista de clientes originada
pela introdução de dados pessoais via um site electrónico em www.cabovisão.pt . A
Cabovisão teve ainda o cuidado de informar a CNPD que os dados pessoais necessários
para esta actividade electrónica são somente os necessários e não excessivos, conforme
a Lei n.º 67/98 artigo 5 que refere a qualidade dos dados e legitimidade do seu
tratamento.
Ainda no site podemos ver que a entidade promotora pede a permissão ao cliente para
enviar mensagens em acções de marketing directo ou promocionais, “Autoriza a utilização
pela Cabovisão de dados pessoais para acções de publicidade, marketing directo e
promoção de serviços que oferece?” 64 , conforme o artigo 22º do Decreto lei n.º7/2004
que revela as condições para as comunicações não solicitadas e afirma que o envio de
mensagens para fins de marketing directo só pode ser feita com o consentimento prévio
do destinatário.
“Direito de Acesso: Nos termos da Lei é garantido ao titular dos dados pessoais o direito
de acesso, rectificação ou eliminação dos dados que lhe digam directamente respeito,
bem como revogar o consentimento concedido quanto à utilização dos dados pessoais
para acções de marketing directo, publicidade e promoção de serviços quer pela
63n.e. A Cabovisão é controlada em 100% pela Cogeco Cable (empresa Canadiana) e tem a sede em
Palmela distrito de Setúbal.
64n.e. O artigo 3º da Lei 41/2004, é imprescindível informar os assinantes da inclusão dos seus dados
pessoais nas base de dados e a que se destinam os mesmos.
Ricardo Abreu ©2010 IPAM! 16/24
Protecção de Dados na Internet! Direito dos Negócios e do Consumidor
Cabovisão quer por terceiros, podendo exercer esse direito por escrito junto da
Cabovisão-Televisão por Cabo S.A., Lugar de Poços 2950-425 Palmela. A actualização
dos dados poderá ainda ser efectuada on line no próprio portal, bastando para isso que
introduza a sua senha de acesso (password)65 e proceda à actualização desejada”
O ponto anterior referido nos termos e condições de uso do serviço “Voz do Cliente” da
Cabovisão é sujeito à conformidade descrita nos artigos 28º ao 32º do Decreto de Lei n.º
7/2004.
Como podemos verificar no relato descrito no email do Sr. Fernando Casimiro, os serviços
da Zon revelaram que existiu um perda de documentos, mesmo que estes tenham sido
tratados primordialmente pela loja do operador da Zon, estes estão abrangidos pelas
regulações do artigo 16º da Lei n.º 67/98, tratamento por subcontratante. Neste caso
podemos ainda verificar o incumprimento dos artigos 10º e 11º da Lei n.º67/98, no qual foi
impossível ao cliente obter por parte do responsável pelo tratamento de dados (cito Zon) o
paradeiro dos seus documentos pessoais. O cliente teve ainda um gasto extraordinário
para contactar o operador Zon.
Um outro ponto que se destaca neste artigo é a posição do juiz relativamente à destruição
de algumas escutas efectuadas na investigação policial. O Juiz neste caso não vai
destruir as provas encontradas nas escutas telefónicas e pondera juntar as mesmas ao
processo judicial, podendo o fazer sob a égide regular do artigo 16º da Lei n.º 109/2004.
Para efeitos de compreender melhor este tema de segurança e privacidade nos serviços
de internet, o autor deste estudo efectuo uma pequena entrevista um profissional de
segurança de sistemas informáticos. O Tiago Rosado é um consultor de sistemas de
segurança e integração informática e prenunciou algumas notas relativamente a estes
temas68.
O primeiro ponto diz respeito ao acesso à informação por parte dos utilizadores de
serviços de comunicação e internet. Este profissional revela que existe ainda uma elevada
iliteracia sobre segurança dos sistemas de informação, contudo isto na é reflectivo na
oferta de formação e aconselhamento, pois existem entidades como o CERT69 que tem
prestado serviços de formação ou a Confraria IT&Security 70 um movimento cívico de
profissionais que se disponibilizam para acções de sensibilização para o publico em geral.
Para este profissional as empresas portuguesas de uma forma geral não estão
preparadas para os aspectos relativos aos ataques informáticos 71, excepto por ventura as
entidades bancárias que tem feito grandes investimentos em segurança bancária, efeitos
do advento do homebanking 72.
Como foi referido ainda neste texto os ataques cibernéticos a países é uma realidade
reforçada pelo Tiago Rosado. Ataques aos sistemas de informação de vários países
comprometem os dados pessoais dos cidadãos como também informações comerciais
das suas industrias. Podemos afirmar que existe uma nova guerra fria entre o Ocidente e
o Oriente em que o objectivo é aceder aos segredos militares e comerciais, como o Tiago
diz o objectivo “cegar” e “destruir” os sistemas do inimigo 73.
O autor deste estudo pediu a opinião a este profissional relativamente à nova realidade
das redes sociais e do Cloudcomputing 74. A computação na “nuvem” pode trazer alguns
É importante ainda de referir que várias destas redes sociais apresentam dados de
geolocalização 79, que permitem identificar o utilizador e o local geográfico onde efectua o
seu registo na rede80. Hoje em dia é possível identificar e seguir em tempo real um
utilizador como é o caso da aplicação do Facebook® para o iPhone®.
Verificamos que 74% dos inquiridos tem a noção que existe uma lei nacional que protege
os seus dados pessoais na internet, é um valor muito significante. Para estes mesmos
inquiridos (77%), a segurança e privacidade dos seus dados é muito importante, contudo
verificamos que a leitura das normas de privacidade dos sites que visitam e registam81 ,
75n.e. Estes testes são feitos e depois divulgados para melhorar os sistemas, algo que podemos contemplar
no Artigo 3º da Lei 41/2004, Segurança.
76 o NSIP do sector privado aponta os 2.2 “perigoso” o sector publico é de 1.6 “Aceitável”
77 Ver anexo H exemplo de segurança no Facebook®
78 Investigado Universitário
79Ver artigo 2º alínea e) da Lei n.º41/2004 que define dos dados de localização nas comunicações
electrónicas.
80n.e. Exemplo do Foursquare® uma aplicação de georeferenciação, onde o utilizador pode notificar a sua
rede social a onde se encontra e o que está a fazer nesse mesmo local. Ver exemplo em anexo I
Foursquare®
81n.e. Ou sejam efectuam um contrato electrónico com o prestador de serviços.
Ricardo Abreu ©2010 IPAM! 19/24
Protecção de Dados na Internet! Direito dos Negócios e do Consumidor
não é feita por cerca de 43%, só 20% é que afirma que lê as clausulas obrigatórias pelos
prestadores de serviços electrónicos.
O inquérito vai mais longe em aumentar a quantidade e privacidade dos dados a ceder a
entidades publicas e privadas. Além dos dados pessoais anteriormente referidos,
perguntamos aos inquiridos se cediam alguns dados sociais, como preferencia partidária,
religião ou rendimentos e pedimos também a possibilidade de cederem dados sobre a
sua saúde. E os resultados são os seguintes:
Desta análise podemos concluir que á medida que aumenta a privacidade dos dados
pessoais os inquiridos diminuem a sua intenção em divulga-los. Contudo as maiores
descidas percentuais são observadas em entidades como o Estado, Bancos e Empresas
de Recrutamento com valores acima dos 30 pontos percentuais, no entanto a entidade
Estado foi a que verificou um descida menor abaixo dos 50%.
6.Conclusões
Este trabalho tem o objectivo de analisar os aspectos legais referentes á protecção de
dados pessoais na internet. Podemos concluir que a maior parte da legislação nacional
advêm de directivas europeias de forma a uniformizar as relações comerciais e
institucionais dos Estados Membros.
Na opinião deste autor, a legislação é bem clara no que concerne à regulação das
actividades dos operadores de telecomunicações móveis ou fixas, contudo é necessário
reforçar alguma legislação no que se refere à transmissão de conteúdos, por exemplo
aumentar a responsabilização na gestão do conteúdo, pois cada vez mais o consumidor
tem o poder e a versatilidade de escolher a sua programação.
A legislação sobre o cibercrime é plena de leis que asseguram a punição dos que
praticam crimes desta natureza, contudo estes crimes são feitos com melhor tecnologia e
complexidade computacional que dificulta a actividade policial. Algumas actividades
criminosas tem origem em relacionamentos políticos ou empresariais de elevada
mediatização que dificultam também o trabalho dos agentes judiciais.
Neste trabalho foi ainda identificado que os utilizadores de redes sociais tem
preocupações relativamente à divulgação dos seus dados na internet, eles tem a
consciência que existe leis que asseguram a sua privacidade mas na maior parte das
vezes são os próprios que têm práticas menos seguras, como a não leitura dos seus
direitos ou o não reforço dos elementos de segurança nos sites.
Com estas preocupações o autor recomenda para futuras investigações, uma análise
mais profunda às Leis que regem esta actividade de forma a compreender melhor a sua
aplicação e consequências nas actividades sociais e comerciais concretas. Ficando a
questão se os modelos de negócio das empresas se adaptam a esta lei, ou se os
requisitos dos utilizadores compadecem com a Lei e as ofertas comerciais existentes. O
Ricardo Abreu ©2010 IPAM! 21/24
Protecção de Dados na Internet! Direito dos Negócios e do Consumidor
autor recomenda ainda uma profunda análise às Leis do cibercrime e relacionar estas
com o direito internacional no que respeita à diplomacia e ao fenómeno da globalização.
7.Bibliografia
BISHOP, M. (2002). Computer Security: Art and Science (1ª ed.): Addison Wesley.
BRENNER, S., W. ,. (2009). Cyberthreths: The Emerging Fault lines of the Nation State.
New York: Oxford University Press.
Dey, I. (1995). Qualitative Data Analysis: A user-friendly guide for social scientist:
Routledge.
HITCHCOCK, J., A. (2006). Net Crimes & Misdemeanors: Out maneovering web
Spammers, Stalkers and Con Artist: Loraine Page.
MAY, T. (2001). Social Research: Issues, methods and process (3ª ed. ed.): Open
University Press.
SANTOS, V., Sousa, ; BEZERRA, Ed, Porto, ; ALTURAS, Bráulio. (2010). Análise de
mecanismos de controle de acesso nas redes sociais. Revista Portuguesa e
Brasileira de Gestão, 9(3), 50-60.
8.Anexos
Tiago Rosado
tiago.rosado@me.com
Skype: tiagojvrosado
GoogleTalk: tiagojvrosado@gmail.com
Olá Tiago,
Como estás? desejo-te boas Festas e um ano de 2011 com muito sucesso.
Gostaria que me ajuda-ses num trabalho que estou fazer para a faculdade (IPAM). O tema do meu trabalho é a protecção de dados na
internet para a cadeira de Direito, e necessitava que responde-ses aqui algumas perguntas, poucas e de caracter geral! (necessito até
Domingo, pode ser?)
Tiago,
A- Como consultor e especialista em segurança de sistemas informáticos, qual é a tua percepção relativamente aos utilizadores no que
respeita à protecção dos seus próprios dados na internet? Estes tem consciência das normas de segurança que deviam ter?
A ileteracia informática em Portugal é elevada, ainda mais nas questões de segurança. Felizmente tem-se verificado uma diminuição por
varios factores:
- Educação - O CERT.pt e o CERT-IPN têm realizado um excelente trabalho de divulgação e informação. Alguns Consultores de Segurança
têm realizado alguns trabalhos neste sentido também, em vários formatos. A titulo de exemplo tenho um pequeno power point sobre criações
de palavras passe seguras, o Miguel Almeida tem realizado alguns videos (disponiveis no youtube) e claro temos ainda a Confraria IT &
Security cada vez com mais adeptos na TB STore da 5 de Outubro que está aberta a todos. Temos ainda as crianças e jovens a alertar os
pais para a necessidade de terem mais cuidado com a utilização dos computadores. Esta cyber geração já nasceu com os computadores
lida com a tecnologia muito mais à vontade e está muito mais informada que a geração de 70 e 80.
Mas na grande maioria a consciência sobre segurança é baixa, basta para isso analizar os dados do Nonios:
http://www.cert.ipn.pt/pt/
O comportamento de risco dos utilizadores continua a ser o calcanhar de Aquiles de qualquer sistema informático
B- Na tua opinião, os sites e sistemas de informação das empresas tem níveis de segurança informática adaptados à realidade da
sociedade actual? Com os problemas de cibercrime ou o ciberterrorismo?
Creio que de uma forma geral a resposta será não. Participei à pouco tempo na primeira conferência de CSIRT (Computer Security Incident
Response Team) Portuguesa e sai de lá com a mesma ideia que tinha quando entrei, tirando alguns, poucos sectores como a banca, tudo o
resto está nas mãos e a mercê do underworld cibernetico.
Os ataques por parte de paises e/ou organizações criminosas são uma constante - China, Russia, RBN etc. - comprometendo informação
dos cidadãos mas tambem segredos de estado e comerciais.
Hoje assiste-se a uma nova guerra fria entre o ocidente e a China com a ajuda da Russia com o objectivo de aceder a segredos militares e
comerciais e poder "cegar" e "destruir" os sistemas do inimigo (Ocidente).
Da mesma forma temos assistido a um crecendo numero de actividades relacionadas com o "Hacktivismo" sendo a mais recente os ataques
Da mesma forma temos assistido a um crecendo numero de actividades relacionadas com o "Hacktivismo" sendo a mais recente os ataques
de DDoS contra o o Wikileaks e contra quem ataca o mesmo.
Bussiness
C- Com o advento das redes sociais e das soluções em Cloud computing, a complexidade de segurança e protecção dos dados pessoais
deve elevar-se! Na tua opinião de especialista, quais os maiores perigos para o utilizador nestes ambientes? Por exemplo no Facebook é
suficiente o nível de segurança e protecção dos dados de cada utilizador?
A nuvem será sem duvida um desafio, a informação não está centralizada num unico servidor ou sistema mas espalhada por varios
sistemas, mesmo com o uso massivo de encriptação um proof of concept recente quebrou em 15 minutos uma chave que deveria demorar
meses, a nuvem tras beneficios mas tambem riscos acrescidos uma vez que tem um poder até à pouco tempo disponível apenas em
ambientes académicos e militares.
Os recentes avanços na computação quântica agravam ainda mais o problema, tornando brevemente qualquer forma de criptografia
conhecida e em uso até hoje obsoleta, sendo este o problema da nuvem na minha opinião.
Para os utilizadores os problemas serão os de sempre, roubo de identidade digital, acesso a informação pessoal (incluindo acessos
bancários e registos médicos).
O Facebook é tão seguro como quisermos que seja, o nível de segurança é aceitavél, mas mais uma vez convem que o utilizador seja
sensato relativamente a informação que disponibiliza e a quem disponibiliza.
Recentemente Francisco Nina Rente da Dognaedis apresentou um estudo relativamente à informação de utilizadores portugueses no
IBWAS, e a quantidade e qualidade da informação disponível era surpreendentemente grande, podendo quase seguir em tempo real um
utilizador. A geolocalização por parte de equipamentos e aplicações como é o caso da facebook app no iPhone é um exemplo da facilidade
com que se pode seguir um utilizador mal informado.
* Required
Como utilizador da internet e dos serviços associados, tem a noção que existe uma Lei
especifica para a Protecção dos seus Dados Pessoais neste ambiente? *
(utilizador de email, comércio electrónico e redes sociais)
Não
Sim
Para si, qual o grau de importância no que concerne à segurança e privacidade dos Dados
Pessoais na Internet? *
(Seleccione o nível que dá de importância numa escala de 1 a 5)
1 2 3 4 5
Estou disponível para ceder os meus dados pessoais (nome, idade, género e localização)
para efeitos de:
(Seleccione o seu nível de concordância desta afirmação nos seguintes serviços online)
Não Não
Concordo Concordo
concordo concordo Indiferente
parcialmente totalmente
totalmente parcialmente
Serviços Sociais
(Estado)
Agência de viagem
(Turismo)
Facebook (Redes
Sociais)
Banco (serviços
Financeiros)
Empresa Privada
(Recrutamento)
Estou disponível para ceder os meus dados pessoais, SOCIAIS e de SAÚDE (pessoais +
religião, preferencia partidária, rendimentos, historial de saúde pessoal e familiar) para
efeitos de:
https://spreadsheets0.google.com/viewform?formkey=dEVFdGk0QlQtY1NvS0VhNnJ4TDF4blE6MQ Página 1 de 2
Protecção de dados na Internet 11/01/01 20:08
(Seleccione o seu nível de concordância desta afirmação nos seguintes serviços online)
Não Não
Concordo Concordo
concordo concordo Indiferente
parcialmente totalmente
totalmente parcialmente
Serviços Sociais
(Estado)
Agência de viagem
(Turismo)
Facebook (Redes
Sociais)
Banco (serviços
Financeiros)
Empresa Privada
(Recrutamento)
Submit
https://spreadsheets0.google.com/viewform?formkey=dEVFdGk0QlQtY1NvS0VhNnJ4TDF4blE6MQ Página 2 de 2
Edit form - [ Protecção de dados na Internet ] - Google Docs 10/12/31 20:54
35 responses
Como utilizador da internet e dos serviços associados, tem a noção que existe uma Lei especifica
para a Protecção dos seus Dados Pessoais neste ambiente?
Não 9 26%
Sim 26 74%
Para si, qual o grau de importância no que concerne à segurança e privacidade dos Dados
Pessoais na Internet?
1 - Nada importante 0 0%
2 0 0%
3 1 3%
4 7 20%
5 - Muito importante 27 77%
Normalmente quando me registo num site tenho a preocupação de ler as normas de privacidade
do mesmo.
1 -Não concordo totalmente 6 17%
2 9 26%
3 8 23%
4 5 14%
5 -Concordo totalmente 7 20%
https://spreadsheets.google.com/gform?key=0AotUPXGmAGT0dEVFdGk0QlQtY1NvS0VhNnJ4TDF4blE&hl=en&gridId=0#chart Página 1 de 5
Edit form - [ Protecção de dados na Internet ] - Google Docs 10/12/31 20:54
Estou disponível para ceder os meus dados pessoais (nome, idade, género e localização) para efeitos
de: - Serviços Sociais (Estado)
Não concordo totalmente 3 9%
Não concordo parcialmente 4 11%
Indiferente 3 9%
Concordo parcialmente 16 46%
Concordo totalmente 9 26%
Estou disponível para ceder os meus dados pessoais (nome, idade, género e localização) para efeitos
de: - Agência de viagem (Turismo)
Não concordo totalmente 10 29%
Não concordo parcialmente 9 26%
Indiferente 9 26%
Concordo parcialmente 5 14%
Concordo totalmente 1 3%
Estou disponível para ceder os meus dados pessoais (nome, idade, género e localização) para efeitos
de: - Facebook (Redes Sociais)
Não concordo totalmente 9 26%
Não concordo parcialmente 9 26%
Indiferente 10 29%
Concordo parcialmente 6 17%
Concordo totalmente 1 3%
Estou disponível para ceder os meus dados pessoais (nome, idade, género e localização) para efeitos
https://spreadsheets.google.com/gform?key=0AotUPXGmAGT0dEVFdGk0QlQtY1NvS0VhNnJ4TDF4blE&hl=en&gridId=0#chart Página 2 de 5
Edit form - [ Protecção de dados na Internet ] - Google Docs 10/12/31 20:54
Estou disponível para ceder os meus dados pessoais (nome, idade, género e localização) para efeitos
de: - Empresa Privada (Recrutamento)
Não concordo totalmente 5 14%
Não concordo parcialmente 7 20%
Indiferente 3 9%
Concordo parcialmente 14 40%
Concordo totalmente 5 14%
Estou disponível para ceder os meus dados pessoais, SOCIAIS e de SAÚDE (pessoais + religião,
preferencia partidária, rendimentos, historial de saúde pessoal e familiar) para efeitos de: - Serviços
Sociais (Estado)
Não concordo totalmente 16 46%
Não concordo parcialmente 4 11%
Indiferente 2 6%
Concordo parcialmente 12 34%
Concordo totalmente 1 3%
Estou disponível para ceder os meus dados pessoais, SOCIAIS e de SAÚDE (pessoais + religião,
preferencia partidária, rendimentos, historial de saúde pessoal e familiar) para efeitos de: - Agência de
https://spreadsheets.google.com/gform?key=0AotUPXGmAGT0dEVFdGk0QlQtY1NvS0VhNnJ4TDF4blE&hl=en&gridId=0#chart Página 3 de 5
Edit form - [ Protecção de dados na Internet ] - Google Docs 10/12/31 20:54
viagem (Turismo)
Não concordo totalmente 22 63%
Não concordo parcialmente 7 20%
Indiferente 5 14%
Concordo parcialmente 1 3%
Concordo totalmente 0 0%
Estou disponível para ceder os meus dados pessoais, SOCIAIS e de SAÚDE (pessoais + religião,
preferencia partidária, rendimentos, historial de saúde pessoal e familiar) para efeitos de: - Facebook
(Redes Sociais)
Não concordo totalmente 23 66%
Não concordo parcialmente 6 17%
Indiferente 4 11%
Concordo parcialmente 2 6%
Concordo totalmente 0 0%
Estou disponível para ceder os meus dados pessoais, SOCIAIS e de SAÚDE (pessoais + religião,
preferencia partidária, rendimentos, historial de saúde pessoal e familiar) para efeitos de: - Banco
(serviços Financeiros)
Não concordo totalmente 18 51%
Não concordo parcialmente 6 17%
Indiferente 6 17%
Concordo parcialmente 4 11%
Concordo totalmente 1 3%
Estou disponível para ceder os meus dados pessoais, SOCIAIS e de SAÚDE (pessoais + religião,
https://spreadsheets.google.com/gform?key=0AotUPXGmAGT0dEVFdGk0QlQtY1NvS0VhNnJ4TDF4blE&hl=en&gridId=0#chart Página 4 de 5
Edit form - [ Protecção de dados na Internet ] - Google Docs 10/12/31 20:54
preferencia partidária, rendimentos, historial de saúde pessoal e familiar) para efeitos de: - Empresa
Privada (Recrutamento)
Não concordo totalmente 20 57%
Não concordo parcialmente 8 23%
Indiferente 2 6%
Concordo parcialmente 3 9%
Concordo totalmente 2 6%
https://spreadsheets.google.com/gform?key=0AotUPXGmAGT0dEVFdGk0QlQtY1NvS0VhNnJ4TDF4blE&hl=en&gridId=0#chart Página 5 de 5
ANEXO G - Site da Cabovisão “ A voz do Cliente” registo de cliente Cabovisão.
ANEXO H - Exemplo de Segurança e Privacidade no Facebook®
ANEXO I - Exemplo aplicação Foursquare®
ANEXO J - Leis gerais sobre a Protecção de Dados e Comércio Electrónico
N.o 194 — 18 de Agosto de 2004 DIÁRIO DA REPÚBLICA — I SÉRIE-A 5241
da tecnologia, devendo este, após apreciação por parte Lei n.o 41/2004
da tutela, ser objecto de publicação. de 18 de Agosto
5 — O painel consultivo é composto por três elemen-
tos, nomeados por despacho do ministro responsável Transpõe para a ordem jurídica nacional a Directiva n.o 2002/58/CE,
pela política científica, devendo a designação recair do Parlamento Europeu e do Conselho, de 12 de Julho, relativa
sobre personalidades de reconhecido mérito, sendo um ao tratamento de dados pessoais e à protecção da privacidade
dos elementos oriundo de organizações representativas no sector das comunicações electrónicas.
dos bolseiros, considerando-se como tal, as que repre-
A Assembleia da República decreta, nos termos da
sentem pelo menos 200 bolseiros.
alínea c) do artigo 161.o da Constituição, para valer
6 — As funções desempenhadas pelo painel consul- como lei geral da República, o seguinte:
tivo não são exercidas em regime de permanência, nem
a tempo inteiro.
7 — O painel consultivo dispõe de apoio técnico e CAPÍTULO I
administrativo, funcionando na dependência orgânica
e funcional do Ministério da Ciência e do Ensino Objecto e âmbito
Superior.
Artigo 1.o
Artigo 17.o
Objecto e âmbito de aplicação
Cessação do contrato
1 — A presente lei transpõe para a ordem jurídica
São causas de cessação do contrato, com o conse- nacional a Directiva n.o 2002/58/CE, do Parlamento
quente cancelamento do Estatuto: Europeu e do Conselho, de 12 de Julho, relativa ao
tratamento de dados pessoais e à protecção da priva-
a) O incumprimento reiterado, por uma das partes; cidade no sector das comunicações electrónicas, com
b) A prestação de falsas declarações; excepção do seu artigo 13.o, referente a comunicações
c) A conclusão do plano de actividades; não solicitadas.
d) O decurso do prazo pelo qual a bolsa é atribuída; 2 — A presente lei aplica-se ao tratamento de dados
e) A revogação por mútuo acordo ou alteração das pessoais no contexto das redes e serviços de comuni-
circunstâncias; cações electrónicas acessíveis ao público, especificando
e complementando as disposições da Lei n.o 67/98, de
f) A constituição de relação jurídico-laboral com
26 de Outubro (Lei da Protecção de Dados Pessoais).
a entidade acolhedora; 3 — As disposições da presente lei asseguram a pro-
g) Outro motivo atendível, desde que previsto no tecção dos interesses legítimos dos assinantes que sejam
regulamento e ou contrato. pessoas colectivas na medida em que tal protecção seja
compatível com a sua natureza.
Artigo 18.o 4 — As excepções à aplicação da presente lei que se
mostrem estritamente necessárias para a protecção de
Sanções actividades relacionadas com a segurança pública, a
defesa, a segurança do Estado e a prevenção, inves-
1 — O incumprimento reiterado e grave por parte tigação e repressão de infracções penais são definidas
da entidade acolhedora implica a proibição de receber em legislação especial.
novos bolseiros durante um período de um a dois anos.
2 — No caso de incumprimento reiterado e grave por Artigo 2.o
parte do bolseiro, a entidade financiadora tem direito
a exigir a restituição das importâncias atribuídas. Definições
3 — Não se considera incumprimento a desistência, 1 — Para efeitos da presente lei, entende-se por:
por parte do bolseiro, desde que notificada à entidade
acolhedora e ou financiadora até 30 dias antes da pre- a) «Comunicação electrónica» qualquer informa-
tendida cessação. ção trocada ou enviada entre um número finito
4 — A decisão de aplicação das sanções a que se refe- de partes mediante a utilização de um serviço
rem os n.os 1 e 2 do presente artigo compete ao ministro de comunicações electrónicas acessível ao
responsável pela política científica, ouvido o painel público;
consultivo. b) «Assinante» a pessoa singular ou colectiva que
é parte num contrato com uma empresa que
Artigo 19.o forneça redes e ou serviços de comunicações
electrónicas acessíveis ao público para forne-
Extensão cimento desses serviços;
c) «Utilizador» qualquer pessoa singular que uti-
O regime estabelecido na presente lei aplica-se, com lize um serviço de comunicações electrónicas
as devidas adaptações, em tudo o que não seja con- acessível ao público para fins privados ou comer-
trariado pelo direito comunitário e pelo direito inter- ciais, não sendo necessariamente assinante
nacional, aos bolseiros portugueses a desenvolver acti- desse serviço;
vidade no estrangeiro e aos bolseiros estrangeiros a d) «Dados de tráfego» quaisquer dados tratados
desenvolver actividade em Portugal, sempre que as res- para efeitos do envio de uma comunicação atra-
pectivas bolsas sejam concedidas por entidades nacio- vés de uma rede de comunicações electrónicas
nais. ou para efeitos da facturação da mesma;
5242 DIÁRIO DA REPÚBLICA — I SÉRIE-A N.o 194 — 18 de Agosto de 2004
e) «Dados de localização» quaisquer dados trata- 3 — O disposto no presente artigo não impede as gra-
dos numa rede de comunicações electrónicas vações legalmente autorizadas de comunicações e dos
que indiquem a posição geográfica do equipa- respectivos dados de tráfego, quando realizadas no
mento terminal de um assinante ou de qualquer âmbito de práticas comerciais lícitas, para o efeito de
utilizador de um serviço de comunicações elec- prova de uma transacção comercial nem de qualquer
trónicas acessível ao público; outra comunicação feita no âmbito de uma relação con-
f) «Serviços de valor acrescentado» todos aqueles tratual, desde que o titular dos dados tenha sido disso
que requeiram o tratamento de dados de tráfego informado e dado o seu consentimento.
ou de dados de localização que não sejam dados 4 — São autorizadas as gravações de comunicações
de tráfego, para além do necessário à transmis- de e para serviços públicos destinados a prover situações
são de uma comunicação ou à facturação da de emergência de qualquer natureza.
mesma;
g) «Chamada» qualquer ligação estabelecida atra-
vés de um serviço telefónico acessível ao público Artigo 5.o
que permite uma comunicação bidireccional em Armazenamento e acesso à informação
tempo real.
1 — A utilização das redes de comunicações electró-
2 — São excluídas da alínea a) do número anterior nicas para o armazenamento de informações ou para
as informações enviadas no âmbito de um serviço de obter acesso à informação armazenada no equipamento
difusão ao público em geral, através de uma rede de terminal de um assinante ou de qualquer utilizador é
comunicações electrónicas, que não possam ser rela- apenas permitida quando estejam reunidas as seguintes
cionadas com o assinante de um serviço de comunicações condições:
electrónicas ou com qualquer utilizador identificável que a) Serem fornecidas ao assinante ou utilizador em
receba a informação. causa informações claras e completas, nomea-
damente sobre os objectivos do processamento,
em conformidade com o disposto na Lei da Pro-
CAPÍTULO II tecção de Dados Pessoais;
b) Ser dado ao assinante ou ao utilizador o direito
Segurança e confidencialidade de recusar esse processamento.
Artigo 3.o 2 — O disposto no número anterior e no n.o 1 do
Segurança artigo 4.o não impede o armazenamento automático,
intermédio e transitório ou o acesso estritamente neces-
1 — As empresas que oferecem redes e as empresas sários para:
que oferecem serviços de comunicações electrónicas
devem colaborar entre si no sentido da adopção de medi- a) Efectuar ou facilitar a transmissão de uma
das técnicas e organizacionais eficazes para garantir a comunicação através de uma rede de comuni-
segurança dos seus serviços e, se necessário, a segurança cações electrónicas;
da própria rede. b) Fornecer um serviço no âmbito da sociedade
2 — As medidas referidas no número anterior devem da informação que tenha sido explicitamente
ser adequadas à prevenção dos riscos existentes, tendo solicitado pelo assinante ou por qualquer uti-
em conta a proporcionalidade dos custos da sua apli- lizador.
cação e o estado da evolução tecnológica. Artigo 6.o
3 — Em caso de risco especial de violação da segu-
rança da rede, as empresas que oferecem serviços de Dados de tráfego
comunicações electrónicas acessíveis ao público devem
1 — Sem prejuízo do disposto nos números seguintes,
gratuitamente informar os assinantes desse serviço da
os dados de tráfego relativos aos assinantes e utilizadores
existência daquele risco, bem como das soluções pos-
tratados e armazenados pelas empresas que oferecem
síveis para o evitar e custos prováveis das mesmas.
redes e ou serviços de comunicações electrónicas devem
ser eliminados ou tornados anónimos quando deixem
Artigo 4.o de ser necessários para efeitos da transmissão da
comunicação.
Inviolabilidade das comunicações electrónicas 2 — É permitido o tratamento de dados de tráfego
necessários à facturação dos assinantes e ao pagamento
1 — As empresas que oferecem redes e ou serviços de interligações, designadamente:
de comunicações electrónicas devem garantir a inviola-
bilidade das comunicações e respectivos dados de tráfego a) Número ou identificação, endereço e tipo de
realizadas através de redes públicas de comunicações e posto do assinante;
de serviços de comunicações electrónicas acessíveis ao b) Número total de unidades a cobrar para o
público. período de contagem, bem como o tipo, hora
2 — É proibida a escuta, a instalação de dispositivos de início e duração das chamadas efectuadas
de escuta, o armazenamento ou outros meios de inter- ou o volume de dados transmitidos;
cepção ou vigilância de comunicações e dos respectivos c) Data da chamada ou serviço e número chamado;
dados de tráfego por terceiros sem o consentimento d) Outras informações relativas a pagamentos, tais
prévio e expresso dos utilizadores, com excepção dos como pagamentos adiantados, pagamentos a
casos previstos na lei. prestações, cortes de ligação e avisos.
N.o 194 — 18 de Agosto de 2004 DIÁRIO DA REPÚBLICA — I SÉRIE-A 5243
3 — O tratamento referido no número anterior ape- 5 — As empresas que oferecem serviços de comu-
nas é lícito até final do período durante o qual a factura nicações electrónicas acessíveis ao público devem garan-
pode ser legalmente contestada ou o pagamento recla- tir aos assinantes e utilizadores a possibilidade de, atra-
mado. vés de um meio simples e gratuito:
4 — As empresas que oferecem serviços de comu-
nicações electrónicas podem tratar os dados referidos a) Retirar a qualquer momento o consentimento
no n.o 1 na medida e pelo tempo necessários à comer- anteriormente concedido para o tratamento dos
cialização de serviços de comunicações electrónicas ou dados de localização referidos nos números
ao fornecimento de serviços de valor acrescentado desde anteriores;
que o assinante ou o utilizador a quem os dados digam b) Recusar temporariamente o tratamento desses
respeito tenha para tanto dado o seu prévio consen- dados para cada ligação à rede ou para cada
timento, o qual pode ser retirado a qualquer momento. transmissão de uma comunicação.
5 — Nos casos previstos no n.o 2 e, antes de ser obtido
o consentimento dos assinantes ou utilizadores, nos 6 — O tratamento dos dados de localização deve ser
casos previstos no n.o 4, as empresas que oferecem ser- limitado aos trabalhadores e colaboradores das empre-
viços de comunicações electrónicas devem fornecer-lhes sas que oferecem redes e ou serviços de comunicações
informações exactas e completas sobre o tipo de dados electrónicas acessíveis ao público ou de terceiros que
que são tratados, os fins e a duração desse tratamento, forneçam o serviço de valor acrescentado, devendo res-
bem como sobre a sua eventual disponibilização a ter- tringir-se ao necessário para efeitos da referida acti-
ceiros para efeitos da prestação de serviços de valor vidade.
acrescentado. Artigo 8.o
6 — O tratamento dos dados de tráfego deve ser limi-
tado aos trabalhadores e colaboradores das empresas que Facturação detalhada
oferecem redes e ou serviços de comunicações electrónicas
acessíveis ao público encarregados da facturação ou da 1 — Os assinantes têm o direito de receber facturas
gestão do tráfego, das informações a clientes, da detecção não detalhadas.
de fraudes, da comercialização dos serviços de comuni- 2 — As empresas que oferecem redes e ou serviços
cações electrónicas acessíveis ao público, ou da prestação de comunicações electrónicas acessíveis ao público
de serviços de valor acrescentado, restringindo-se ao devem conciliar os direitos dos assinantes que recebem
necessário para efeitos das referidas actividades. facturas detalhadas com o direito à privacidade dos uti-
7 — O disposto nos números anteriores não prejudica lizadores autores das chamadas e dos assinantes cha-
mados, nomeadamente submetendo à aprovação da
o direito de os tribunais e as demais autoridades com-
Comissão Nacional de Protecção de Dados propostas
petentes obterem informações relativas aos dados de
quanto a meios que permitam aos assinantes um acesso
tráfego, nos termos da legislação aplicável, com vista anónimo ou estritamente privado a serviços de comu-
à resolução de litígios, em especial daqueles relativos nicações electrónicas acessíveis ao público.
a interligações ou à facturação. 3 — A aprovação por parte da Comissão Nacional
de Protecção de Dados a que se refere o número anterior
Artigo 7.o está obrigatoriamente sujeita a parecer prévio da Auto-
ridade Nacional de Comunicações (ICP-ANACOM).
Dados de localização 4 — As chamadas facultadas ao assinante a título gra-
tuito, incluindo chamadas para serviços de emergência
1 — Nos casos em que sejam processados dados de ou de assistência, não devem constar da facturação
localização, para além dos dados de tráfego, relativos detalhada.
a assinantes ou utilizadores das redes públicas de comu-
nicações ou de serviços de comunicações electrónicas Artigo 9.o
acessíveis ao público, o tratamento destes dados é per-
mitido apenas se os mesmos forem tornados anónimos. Identificação da linha chamadora e da linha conectada
2 — É permitido o registo, tratamento e transmissão
de dados de localização às organizações com compe- 1 — Quando for oferecida a apresentação da iden-
tência legal para receber chamadas de emergência para tificação da linha chamadora, as empresas que oferecem
efeitos de resposta a essas chamadas. serviços de comunicações electrónicas acessíveis ao
3 — O tratamento de dados de localização é igual- público devem garantir, linha a linha, aos assinantes
que efectuam as chamadas e, em cada chamada, aos
mente permitido na medida e pelo tempo necessários
demais utilizadores a possibilidade de, através de um
para a prestação de serviços de valor acrescentado, desde
meio simples e gratuito, impedir a apresentação da iden-
que seja obtido consentimento prévio por parte dos assi- tificação da linha chamadora.
nantes ou utilizadores. 2 — Quando for oferecida a apresentação da iden-
4 — As empresas que oferecem serviços de comu- tificação da linha chamadora, as empresas que oferecem
nicações electrónicas acessíveis ao público devem, desig- serviços de comunicações electrónicas devem garantir
nadamente, informar os utilizadores ou assinantes, antes ao assinante chamado a possibilidade de impedir, através
de obterem o seu consentimento, sobre o tipo de dados de um meio simples e gratuito, no caso de uma utilização
de localização que serão tratados, a duração e os fins razoável desta função, a apresentação da identificação
do tratamento e a eventual transmissão dos dados a da linha chamadora nas chamadas de entrada.
terceiros para efeitos de fornecimento de serviços de 3 — Nos casos em que seja oferecida a identificação
valor acrescentado. da linha chamadora antes de a chamada ser atendida,
5244 DIÁRIO DA REPÚBLICA — I SÉRIE-A N.o 194 — 18 de Agosto de 2004
as empresas que oferecem serviços de comunicações b) Nos casos do n.o 3, mediante a inserção de cláu-
electrónicas devem garantir ao assinante chamado a pos- sulas contratuais gerais nos contratos a celebrar
sibilidade de rejeitar, através de um meio simples, cha- entre os assinantes e as empresas que fornecem
madas de entrada não identificadas. redes e ou serviços de comunicações electró-
4 — Quando for oferecida a apresentação da iden- nicas, ou mediante comunicação expressa aos
tificação da linha conectada, as empresas que oferecem assinantes nos contratos já celebrados, que pos-
serviços de comunicações electrónicas devem garantir sibilitem a transmissão daquelas informações
ao assinante chamado a possibilidade de impedir, através aos serviços de emergência.
de um meio simples e gratuito, a apresentação da iden-
tificação da linha conectada ao utilizador que efectua 6 — A existência do registo e da comunicação a que
a chamada. se referem os n.os 1 e 3 devem ser objecto de informação
5 — O disposto no n.o 1 do presente artigo é igual- ao público e a sua utilização deve ser restringida ao
mente aplicável às chamadas para países que não per- fim para que foi concedida.
tençam à União Europeia originadas em território
nacional. Artigo 11.o
6 — O disposto nos n.os 2, 3 e 4 é igualmente aplicável Reencaminhamento automático de chamadas
a chamadas de entrada originadas em países que não
pertençam à União Europeia. As empresas que oferecem redes e ou serviços de
7 — As empresas que oferecem redes e ou serviços comunicações electrónicas acessíveis ao público devem
de comunicações electrónicas acessíveis ao público são assegurar aos assinantes a possibilidade de, através de
obrigadas a disponibilizar ao público, e em especial aos um meio simples e gratuito, interromper o reencami-
assinantes, informações transparentes e actualizadas nhamento automático de chamadas efectuado por ter-
sobre as possibilidades referidas nos números anteriores. ceiros para o seu equipamento terminal.
1 — Constitui contra-ordenação punível com a coima 1 — O cumprimento do disposto na presente lei não
mínima de E 1500 e máxima de E 25 000: deve determinar a imposição de requisitos técnicos espe-
cíficos dos equipamentos terminais ou de outros equi-
a) A não observância das regras de segurança pamentos de comunicações electrónicas que possam
impostas pelo artigo 3.o; impedir a colocação no mercado e a circulação desses
b) A violação do dever de confidencialidade, a equipamentos nos países da União Europeia.
proibição de intercepção ou a vigilância das 2 — Exceptua-se do disposto no número anterior a
comunicações e dos respectivos dados de tráfego elaboração e emissão de características técnicas espe-
previstos no artigo 4.o; cíficas necessárias à execução da presente lei, as quais
c) A não observância das condições de armaze- devem ser comunicadas à Comissão Europeia nos ter-
namento e acesso à informação previstas no mos dos procedimentos previstos no Decreto-Lei
artigo 5.o n.o 58/2000, de 18 de Abril.
Em tudo o que não esteja previsto na presente lei, O Presidente da República, JORGE SAMPAIO.
são aplicáveis as disposições sancionatórias que constam
dos artigos 33.o a 39.o da Lei da Protecção de Dados Referendada em 5 de Agosto de 2004.
Pessoais. O Primeiro-Ministro, Pedro Miguel de Santana Lopes.
70 DIÁRIO DA REPÚBLICA — I SÉRIE-A N.o 5 — 7 de Janeiro de 2004
poníveis em rede, dada a extrema urgência que pode As muitas funções atribuídas a entidades públicas
haver numa composição prima facie. Confia-se essa fun- aconselham a previsão de entidades de supervisão.
ção à entidade de supervisão respectiva, sem prejuízo Quando a competência não couber a entidades especiais,
da solução definitiva do litígio, que só poderá ser judicial. funciona uma entidade de supervisão central: essa fun-
4 — A directiva regula também o que se designa como ção é desempenhada pela ICP-ANACOM. As entidades
comunicações comerciais. Parece preferível falar de de supervisão têm funções no domínio da instrução dos
«comunicações publicitárias em rede», uma vez que é processos contra-ordenacionais, que se prevêem, e da
sempre e só a publicidade que está em causa. aplicação das coimas respectivas.
Aqui surge a problemática das comunicações não soli- O montante das coimas é fixado entre molduras muito
citadas, que a directiva deixa em grande medida em amplas, de modo a serem dissuasoras, mas, simultanea-
aberto. Teve-se em conta a circunstância de entretanto mente, se adequarem à grande variedade de situações
ter sido aprovada a Directiva n.o 2002/58/CE, do Par- que se podem configurar.
lamento Europeu e do Conselho, de 12 de Julho de Às contra-ordenações podem estar associadas sanções
2002, relativa ao tratamento de dados pessoais e à pro- acessórias; mas as sanções acessórias mais graves terão
tecção da privacidade no sector das comunicações elec- necessariamente de ser confirmadas em juízo, por ini-
trónicas (directiva relativa à privacidade e às comuni- ciativa oficiosa da própria entidade de supervisão.
cações electrónicas), que aguarda transposição. O Prevêem-se providências provisórias, a aplicar pela
artigo 13.o desta respeita a comunicações não solicitadas, entidade de supervisão competente, e que esta pode
estabelecendo que as comunicações para fins de mar- instaurar, modificar e levantar a todo o momento.
keting directo apenas podem ser autorizadas em relação Enfim, é ainda objectivo deste diploma permitir o
a destinatários que tenham dado o seu consentimento recurso a meios de solução extrajudicial de litígios para
prévio. O sistema que se consagra inspira-se no aí esta- os conflitos surgidos neste domínio, sem que a legislação
belecido. Nessa medida este diploma também representa geral traga impedimentos, nomeadamente à solução des-
a transposição parcial dessa directiva no que respeita tes litígios por via electrónica.
ao artigo 13.o (comunicações não solicitadas). Foi ouvida a Comissão Nacional de Protecção de
5 — A contratação electrónica representa o tema de Dados, o ICP — Autoridade Nacional de Comunica-
maior delicadeza desta directiva. Esclarece-se expres- ções, o Banco de Portugal, a Comissão de Mercado
samente que o preceituado abrange todo o tipo de con- de Valores Mobiliários, o Instituto de Seguros de Por-
tratos, sejam ou não qualificáveis como comerciais. tugal, a Unidade de Missão Inovação e Conhecimento,
O princípio instaurado é o da liberdade de recurso o Instituto do Consumidor, a Associação Portuguesa
à via electrónica, para que a lei não levante obstáculos, para a Defesa dos Consumidores, a Associação Fono-
com as excepções que se apontam. Para isso haverá gráfica Portuguesa e a Sociedade Portuguesa de Auto-
que afastar o que se oponha a essa celebração. Par- res.
ticularmente importante se apresentava a exigência de Assim:
forma escrita. Retoma-se a fórmula já acolhida no No uso da autorização legislativa concedida pelo
artigo 4.o do Código dos Valores Mobiliários que é artigo 1.o da Lei n.o 7/2003, de 9 de Maio, e nos termos
ampla e independente de considerações técnicas: as das alíneas a) e b) do n.o 1 do artigo 198.o da Cons-
declarações emitidas por via electrónica satisfazem as tituição, o Governo decreta o seguinte:
exigências legais de forma escrita quando oferecem as
mesmas garantias de fidedignidade, inteligibilidade e
conservação. CAPÍTULO I
Outro ponto muito sensível é o do momento da con-
clusão do contrato. A directiva não o versa, porque não Objecto e âmbito
se propõe harmonizar o direito civil. Os Estados mem-
bros têm tomado as posições mais diversas. Particular- Artigo 1.o
mente, está em causa o significado do aviso de recepção Objecto
da encomenda, que pode tomar-se como aceitação ou
não. O presente diploma transpõe para a ordem jurídica
Adopta-se esta última posição, que é maioritária, pois interna a Directiva n.o 2000/31/CE, do Parlamento Euro-
o aviso de recepção destina-se a assegurar a efectividade peu e do Conselho, de 8 de Junho de 2000, relativa
da comunicação electrónica, apenas, e não a exprimir a certos aspectos legais dos serviços da sociedade de
uma posição negocial. Mas esclarece-se também que informação, em especial do comércio electrónico, no
a oferta de produtos ou serviços em linha representa mercado interno (Directiva sobre Comércio Electró-
proposta contratual ou convite a contratar, consoante n i c o ) b e m c o m o o a r t i g o 1 3 .o d a D i r e c t i v a
contiver ou não todos os elementos necessários para n.o 2002/58/CE, de 12 de Julho de 2002, relativa ao
que o contrato fique concluído com a aceitação. tratamento de dados pessoais e a protecção da priva-
Procura também regular-se a chamada contratação cidade no sector das comunicações electrónicas (Direc-
entre computadores, portanto a contratação inteira- tiva relativa à Privacidade e às Comunicações Elec-
mente automatizada, sem intervenção humana. Esta- trónicas).
belece-se que se regula pelas regras comuns enquanto Artigo 2.o
estas não pressupuserem justamente a actuação
(humana). Esclarece-se também em que moldes são apli- Âmbito
cáveis nesse caso as disposições sobre erro. 1 — Estão fora do âmbito do presente diploma:
6 — Perante a previsão na directiva do funcionamento
de mecanismos de resolução extrajudicial de litígios, a) A matéria fiscal;
inclusive através dos meios electrónicos adequados, b) A disciplina da concorrência;
houve que encontrar uma forma apropriada de trans- c) O regime do tratamento de dados pessoais e
posição deste princípio. da protecção da privacidade;
72 DIÁRIO DA REPÚBLICA — I SÉRIE-A N.o 5 — 7 de Janeiro de 2004
1 — O prestador de serviços em rede que celebre con- 1 — A oferta de produtos ou serviços em linha repre-
tratos em linha deve facultar aos destinatários, antes senta uma proposta contratual quando contiver todos
de ser dada a ordem de encomenda, informação mínima os elementos necessários para que o contrato fique con-
inequívoca que inclua: cluído com a simples aceitação do destinatário, repre-
sentando, caso contrário, um convite a contratar.
a) O processo de celebração do contrato; 2 — O mero aviso de recepção da ordem de enco-
b) O arquivamento ou não do contrato pelo pres- menda não tem significado para a determinação do
tador de serviço e a acessibilidade àquele pelo momento da conclusão do contrato.
destinatário;
c) A língua ou línguas em que o contrato pode Artigo 33.o
ser celebrado; Contratação sem intervenção humana
d) Os meios técnicos que o prestador disponibiliza
para poderem ser identificados e corrigidos 1 — À contratação celebrada exclusivamente por
erros de introdução que possam estar contidos meio de computadores, sem intervenção humana, é apli-
na ordem de encomenda; cável o regime comum, salvo quando este pressupuser
e) Os termos contratuais e as cláusulas gerais do uma actuação.
contrato a celebrar; 2 — São aplicáveis as disposições sobre erro:
f) Os códigos de conduta de que seja subscritor
a) Na formação da vontade, se houver erro de
e a forma de os consultar electronicamente.
programação;
b) Na declaração, se houver defeito de funciona-
2 — O disposto no número anterior é derrogável por mento da máquina;
acordo em contrário das partes que não sejam con- c) Na transmissão, se a mensagem chegar defor-
sumidores. mada ao seu destino.
Artigo 29.o
3 — A outra parte não pode opor-se à impugnação
Ordem de encomenda e aviso de recepção por erro sempre que lhe fosse exigível que dele se aper-
cebesse, nomeadamente pelo uso de dispositivos de
1 — Logo que receba uma ordem de encomenda por detecção de erros de introdução.
via exclusivamente electrónica, o prestador de serviços
deve acusar a recepção igualmente por meios electró- Artigo 34.o
nicos, salvo acordo em contrário com a parte que não
Solução de litígios por via electrónica
seja consumidora.
2 — É dispensado o aviso de recepção da encomenda É permitido o funcionamento em rede de formas de
nos casos em que há a imediata prestação em linha solução extrajudicial de litígios entre prestadores e des-
do produto ou serviço. tinatários de serviços da sociedade da informação, com
3 — O aviso de recepção deve conter a identificação observância das disposições concernentes à validade e
fundamental do contrato a que se refere. eficácia dos documentos referidas no presente capítulo.
4 — O prestador satisfaz o dever de acusar a recepção
se enviar a comunicação para o endereço electrónico
que foi indicado ou utilizado pelo destinatário do CAPÍTULO VI
serviço. Entidades de supervisão e regime sancionatório
5 — A encomenda torna-se definitiva com a confir-
mação do destinatário, dada na sequência do aviso de Artigo 35.o
recepção, reiterando a ordem emitida.
Entidade de supervisão central
empresas prestadoras de serviços da sociedade da infor- 3 — Os códigos de conduta devem ser publicitados
mação por prazo superior a dois anos será obrigato- em rede pelas próprias entidades de supervisão.
riamente decidida judicialmente por iniciativa oficiosa
da própria entidade de supervisão. Artigo 43.o
4 — Pode dar-se adequada publicidade à punição por
contra-ordenação, bem como às sanções acessórias apli- Impugnação
cadas nos termos do presente diploma. As entidades de supervisão e o Ministério Público
têm legitimidade para impugnar em juízo os códigos
Artigo 39.o de conduta aprovados em domínio abrangido por este
Providências provisórias
diploma que extravasem das finalidades da entidade que
os emitiu ou tenham conteúdo contrário a princípios
1 — A entidade de supervisão a quem caiba a apli- gerais ou regras vigentes.
cação da coima pode determinar, desde que se revelem Visto e aprovado em Conselho de Ministros de 31 de
imediatamente necessárias, as seguintes providências Outubro de 2003. — José Manuel Durão Bar-
provisórias: roso — Maria Manuela Dias Ferreira Leite — Maria
a) A suspensão da actividade e o encerramento Teresa Pinto Basto Gouveia — Maria Celeste Ferreira
do estabelecimento que é suporte daqueles ser- Lopes Cardona — José Luís Fazenda Arnaut Duar-
viços da sociedade da informação, enquanto te — Carlos Manuel Tavares da Silva — Maria da Graça
decorre o procedimento e até à decisão defi- Martins da Silva Carvalho.
nitiva;
b) A apreensão de bens que sejam veículo da prá- Promulgado em 19 de Dezembro de 2003.
tica da infracção. Publique-se.
2 — Estas providências podem ser determinadas, O Presidente da República, JORGE SAMPAIO.
modificadas ou levantadas em qualquer momento pela
própria entidade de supervisão, por sua iniciativa ou Referendado em 23 de Dezembro de 2003.
a requerimento dos interessados e a sua legalidade pode O Primeiro-Ministro, José Manuel Durão Barroso.
ser impugnada em juízo.
Artigo 40.o
Destino das coimas MINISTÉRIO DA ECONOMIA
O montante das coimas cobradas reverte para o
Estado e para a entidade que as aplicou na proporção Decreto-Lei n.o 8/2004
de 60 % e 40 %, respectivamente. de 7 de Janeiro