A Comissão Nacional de Proteção de Dados (“CNPD”) emitiu duas recentes orientações sobre o acesso a dados pessoais detidos por entidade pública na qualidade de subcontratante e a disponibilização de dados pessoais tratados no âmbito de procedimentos administrativo.

1. ACESSO A DADOS PESSOAIS DETIDOS POR ENTIDADE PÚBLICA NA QUALIDADE DE SUBCONTRATANTE

A Orientação, esclarece as condições em que um terceiro pode aceder a dados pessoais detidos por entidade pública que seja subcontratante.

Os subcontratantes, nos termos do Regulamento Geral de Proteção de Dados, apenas podem realizar operações sobre dados pessoais no seguimento de instruções do responsável pelo tratamento dos dados. A disponibilização de dados pessoais a terceiros é, para todos os efeitos, uma operação de tratamento, pelo que o subcontratante apenas a pode realizar mediante autorização ou instrução do responsável pelo tratamento.

Precisamente, é ao responsável pelo tratamento que cabe fazer a ponderação entre os direitos do titular dos dados e os interesses subjacentes ao pedido de acesso; pois é a ele que cabe manter o controlo sobre os dados pessoais e garantir os direitos do titular dos dados pessoais. O subcontratante deve, apenas, auxiliar o responsável pelo tratamento no cumprimento das suas obrigações.

Refere a CNPD que o dever do responsável pelo tratamento de dar acesso aos dados pessoais e, consequentemente, a documentos administrativos que contenham esses dados (os chamados “documentos nominativos”), não conflitua com a finalidade da Lei de Acesso aos Documentos Administrativos, mais do que isso assegura o cumprimento das exigências de proteção de dados pessoais, uma vez que o responsável pode e deve instruir o subcontratante a cumprir o disposto na Lei de Acesso aos Documentos Administrativos.

O acesso a dados pessoais detidos por subcontratantes pode não assegurar a finalidade do acesso, e os princípios da exatidão dos dados pessoais e da transparência administrativa, uma vez que não há garantia de que os dados pessoais detidos pelo subcontratante, e que sejam pertinentes para a finalidade do acesso, são atualizados ou completos, visto que o dever de manter os dados atualizados e completos cabe ao responsável pelo tratamento,

A CNPD considera que a entidade administrativa responsável pelo tratamento deve garantir o acesso a documentos nominativos e não o subcontratante, que apenas pode conceder acesso mediante autorização ou instruções específicas do responsável.

Contudo, a situação torna-se mais complexa nos casos em que a informação a aceder não seja da responsabilidade exclusiva de uma única entidade (v.g. casos em que um subcontratante trabalha para mais de um responsável pelo tratamento e os casos em que a informação a aceder depende da combinação de dados pessoais pelos quais mais de uma entidade administrativa ou entidade pública é responsável).

Aqui importa distinguir duas hipóteses:

(a) Se os responsáveis tiverem finalidades distintas e não diretamente relacionadas, o subcontratante não pode combinar os dados pessoais para garantir o acesso à informação, pois isso constituiria uma operação autónoma de tratamento, assente na reutilização de dados para uma finalidade diferente da que justificou sua coleta, o que é proibido para o subcontratante; e

(b) No caso de a finalidade do tratamento ser a mesma ou estarem diretamente relacionadas, o subcontratante pode combinar dados provenientes de responsáveis distintos, para fornecer informações a terceiros. No entanto, o subcontratante deve obter autorização por parte de cada um dos responsáveis envolvidos. Mais ainda, cada responsável deve informar os titulares dos dados, complementando as informações iniciais, especificando para quem os dados pessoais foram ou serão disponibilizados (já que os destinatários específicos são conhecidos), conforme decidido recentemente pelo TJUE. De qualquer forma, é importante ressaltar que não existe a obrigação da entidade fornecer os dados se isso resultar na criação de um novo documento e exigir um esforço desproporcional.

2. DISPONIBILIZAÇÃO DE DADOS PESSOAIS TRATADOS NO ÂMBITO DE PROCEDIMENTOS ADMINISTRATIVOS

A Orientação da CNPD esclarece quais as condições em que a um terceiro podem ser disponibilizados dados pessoais no âmbito de procedimentos administrativos, designadamente procedimentos pré-contratuais, e em especial sobre as condições de disponibilização dos dados pessoais.

2.1 Disponibilização a terceiros interessados no procedimento

O requerente, ao se constituir como “interessado” num procedimento administrativo, pode aceder a todas as informações do procedimento, de modo a defender os seus direitos e interesses, e garantir o respeito pelos princípios gerais do direito administrativo no decorrer do processo, especialmente os princípios da imparcialidade e igualdade. A mesma situação acontece sempre que a informação tenha subjacente dados pessoais suscetíveis de identificar um determinado indivíduo.

Permite-se que terceiros possam ter acesso a esses dados se nisso tiverem um “interesse legítimo” sem necessidade do consentimento do titular dos dados e sem que isso ponha em causa os direitos dos titulares dos dados, designadamente por não estarem em causa informações suscetíveis de revelar aspetos privados da vida das pessoas ou que envolvam indivíduos em situações de especial vulnerabilidade. Mesmo que a informação inclua categorias de dados especialmente protegidos, ainda pode permitir o tratamento desses dados caso a finalidade da operação for a defesa ou garantia do direito de acesso à justiça.

Contudo, a CNPD recomenda que, em conformidade com os princípios da proporcionalidade e minimização de dados pessoais estabelecidos, sejam removidos os dados não relevantes para a tomada de decisão ou para o cumprimento dos requisitos normativos, devendo, por isso, ser compartilhadas, apenas, os dados relevantes.

A CNPD apresenta alguns exemplos práticos que permitem compreender a importância da transmissão de dados a terceiros:

(i) Procedimento administrativo concursal de recrutamento/procedimento de avaliação de desempenho

Nas duas situações é necessária a disponibilização aos interessados, para efeitos da sua audiência, de todos os documentos do procedimento que sejam relevantes na ponderação para efeito de admissão ou procedimento de ordenação final dos candidatos. Ou seja, para satisfazer a finalidade visada é necessário o conhecimento pelos interessados dos elementos curriculares relevantes para a admissão e avaliação, respeitando a disponibilização de tais dados pessoais o princípio da minimização dos dados pessoais (artigo 5.º, n.º 1, alínea c) do RGPD).

No entanto, caso os documentos a facultar contenham dados referentes aos contactos e morada dos candidatos, os mesmos devem ser expurgados previamente à disponibilização aos candidatos.

Relativamente aos dados de identificação dos candidatos, a CNPD entende que nos processos de recrutamento devem ser objeto ab initio de pseudonimização não havendo necessidade da sua utilização para garantir a audiência dos interessados.

Entendimento oposto tem sido tomado pela CNPD relativamente à disponibilização dos dados de identificação (nome) nos procedimentos de avaliação/promoção. Nessas situações os mesmos são considerados necessários sob pena de comprometer a comparação da avaliação realizada, para efeito de aplicação do princípio da igualdade, devendo o direito à proteção de dados ser cumprido.

(ii) Procedimentos pré-contratuais

Nos procedimentos pré-contratuais deve sempre garantir-se que a consulta pelos interessados diretos no procedimento deve ser feita depois da ocultação dos dados que não são relevantes para o preenchimento dos pressupostos normativos da decisão nem para o preenchimento dos fatores de avaliação e ordenação dos candidatos ou concorrentes, o que implica a ocultação ou remoção dos dados relativos à morada, contactos e número de identificação dos candidatos ou concorrentes (pessoas singulares).

(iii) Procedimentos administrativos realizados em plataformas digitais

Sempre que os procedimentos administrativos se realizem em plataformas digitais, estas devem permitir a ocultação automática dos dados não pertinentes nem necessários aos interessados na consulta do procedimento, nos termos do artigo 25.º do RGPD.

2.2.  Disponibilização a terceiros não participantes no procedimento

À disponibilização de dados pessoais a terceiros não participantes no procedimento, que corresponde ao acesso a documentos administrativos nominativos que não sejam regulados pelo Código de Procedimento Administrativo, aplica-se a legislação específica sobre o tema (Lei n.º 26/2016, de 22 de agosto, na sua redação atual – Lei de Acesso a Documentos Administrativos, LADA).

No entanto, a informação relativa a pessoas singulares constantes dos documentos administrativos, apesar da sua natureza profissional ou funcional, não deixa de integrar o conceito de “dados pessoais”, nem afasta a proteção legal conferida pelo referido diploma.

Assim, o acesso a esses dados a terceiros é permitido, ainda que com restrições: o artigo 6.º, n.º 5 da LADA condiciona o acesso a documentos nominativos à existência de prévio consentimento dos titulares dos dados ou à demonstração fundamentada, pelo terceiro de que é titular de um interesse direto, pessoal, legítimo e constitucionalmente protegido suficientemente relevante, que justifique o acesso à informação.

O responsável pelo tratamento deve considerar, no âmbito da sua análise, os riscos associados à reutilização dos dados, pelo que devem ser expurgados todos os dados pessoais não diretamente pertinentes para a satisfação do interesse legítimo do terceiro, tal como deve avaliar se as vantagens decorrentes do acesso por terceiro compensam, nomeadamente, a exposição da vida privada dos titulares dos dados.

Caso o terceiro que pretende conhecer os dados detidos por entidades públicas não invoque qualquer interesse direto, pessoal e legítimo no acesso, a falta destas indicações apenas será suprida presumindo estar em causa, não um direito de acesso a documentos administrativos, mas um interesse de controlo democrático da atividade publica, o qual deve ser ponderado à luz do princípio da proporcionalidade com os direitos do titular ou titulares dos dados pessoais (artigo 6.º, n.º 9 da LADA).

A CNPD entende, em suma, que o acesso a documentos nominativos, de acordo com a noção que consta da LADA, depende da invocação e demonstração de um interesse direto, pessoal, legítimo e constitucionalmente protegido suficientemente relevante, sem o qual o responsável pelo tratamento, não tem como fazer a ponderação necessária legalmente. No limite ao abrigo do artigo 5.º, n.º 9 já referido, pode presumir-se que está em causa um interesse no escrutínio democrático da atividade administrativa.

É ainda entendimento da CNPD que sempre que a entidade administrativa conclua pela disponibilização de documentos administrativos com dados pessoais a terceiros tem de cumprir certas obrigações, nomeadamente:

(a) Orientar-se pelos princípios da proporcionalidade, da minimização e da segurança dos dados pessoais na decisão sobre o meio de disponibilização dos documentos administrativos com os dados pessoais;

(b) Adotar medidas técnicas que garantam a integridade e confidencialidade dos dados pessoais;

(c) Informar o terceiro a quem concede o acesso que qualquer ulterior comunicação ou divulgação de dados pessoais obedece ao regime previsto no RGPD, passando a assumir a qualidade de responsável pelo tratamento dos dados pessoais;

(d) Reforço da informação referida na alínea anterior quando em causa estejam documentos com dados relativos à vida privada de terceiros, pelo impacto que a sua disponibilização pode ter sobre os direitos fundamentais das pessoas;

(e) Informar o titular dos dados da identidade daquele a quem em concreto disponibilizou os dados.