O fim do perfil ideológico na publicidade eleitoral (versão ampliada)

Como comentámos no nosso posto de 16 de Janeiro de 2019, a nova Lei Orgânica sobre Protecção de Dados e Garantia dos Direitos Digitais, que adapta a legislação espanhola ao Regulamento Geral de Protecção de Dados (GDPR) aprovado pela UE, introduziu um novo artigo 58 bis na Lei Orgânica sobre o Sistema Eleitoral Geral (LOREG), que autoriza agora os partidos políticos a recolher dados pessoais sobre as opiniões políticas dos indivíduos no contexto das suas actividades eleitorais sem qualquer autorização prévia.

A controvérsia surgiu, portanto, quanto a saber se a nova disposição permitia aos partidos políticos criar bases de dados e perfis ideológicos dos cidadãos com os dados obtidos ou se se tratava simplesmente de uma reprodução do considerando 56 do GDPR, que em caso algum permitia a criação de tais bases de dados e perfis.

A controvérsia gerada e a falta de precisão do artigo levaram a Agência de Protecção de Dados (AEPD) não só a fazer avançar uma interpretação do artigo antes da aprovação da nova Lei, mas também a publicar um relatório exaustivo elaborado pelo seu consultor jurídico que o analisa e a Circular 1/2019, de 7 de Março, na qual estabeleceu os critérios para esse tratamento. Documentos com os quais, note-se, a AEPD se colocou na posição do legislador, especificando e estabelecendo os critérios que este deveria ter estabelecido, como o Tribunal Constitucional deixa claro no acórdão que examinamos neste cargo (e ao contrário do que o Advogado do Estado argumenta nas alegações no recurso que lhe deu origem, que entendeu que a Lei não está a ser inovada por meio destes documentos).

Contudo, ao mesmo tempo, o Provedor de Justiça em exercício apresentou um recurso de inconstitucionalidade contra o parágrafo 1 do referido artigo 58 bis, com base no facto de ter violado o direito à protecção de dados pessoais consagrado no artigo 18º. 4 da Constituição em relação ao artigo 53.1 da Constituição (bem como a violação de outros direitos fundamentais substantivos, tais como o direito à liberdade ideológica no artigo 16º CE e o direito à participação política no artigo 23º CE, juntamente com a violação do princípio da segurança jurídica consagrado no artigo 9.3). Este recurso foi apresentado como resultado de várias cartas recebidas de diferentes associações, activistas e juristas especializados em protecção de dados e é um exemplo da natureza política da introdução desta disposição, que não foi objecto de recurso por nenhum partido da oposição.

Especificamente, a queixa alegava a inconstitucionalidade desta disposição por três razões: primeiro, por não determinar o objectivo do processamento em si, para além de uma menção genérica do "interesse público"; segundo, por não limitar o processamento regulando em pormenor as restrições ao direito fundamental; e, finalmente, por não estabelecer garantias adequadas para proteger os direitos fundamentais afectados.

Em Maio último, o Tribunal Constitucional avançou a parte operativa da sua decisão, na qual o Plenário julgou por unanimidade o recurso de inconstitucionalidade apresentado pelo Provedor de Justiça e, consequentemente, declarou o parágrafo 1 do artigo 58 bis da LOREG como contrário à Constituição e nulo e sem efeito.

Como acima mencionado, o Provedor de Justiça apresentou a queixa com o fundamento de que a reforma introduzida violava o artigo 18(4) CE em conjunção com o artigo 53(1) CE, assim como os artigos 9(3), 16 e 23 CE. Nas alegações apresentadas, o Provedor de Justiça começa por recordar que os dados relativos a opiniões políticas pertencem à categoria de dados especialmente protegidos, devido à sua estreita ligação com outros direitos e liberdades, tais como a liberdade ideológica ao abrigo do artigo 16º CE, a liberdade de expressão e comunicação ao abrigo do artigo 20º, nº 1, alíneas a) e d), e o princípio da igualdade ao abrigo do artigo 14º CE. Por conseguinte, tal como exigido pelo n.º 1 do artigo 53.º CE, o legislador deveria ter limitado o tratamento de tais dados e estabelecido as salvaguardas adequadas (a que o próprio artigo 58.º-A se refere) para permitir a recolha de tais dados. Contudo, na opinião do Provedor de Justiça, a nova disposição não determina o objectivo do processamento, não limita o processamento regulando em pormenor as restrições ao direito fundamental, e não estabelece salvaguardas adequadas para proteger os direitos fundamentais em causa. Pelo contrário, o processamento é protegido com base em conceitos genéricos e indeterminados: o "interesse público" (não um interesse público essencial como estabelecido no Regulamento Europeu), a oferta de "garantias adequadas" (que não são especificadas), e a favor dos partidos políticos "no âmbito das suas actividades eleitorais" (que não tem necessariamente de coincidir com o período de campanha eleitoral). Assim, fica ao critério do operador legal de serviço a interpretação dos regulamentos aplicáveis e a determinação de uma série de questões relevantes como, por exemplo, se os partidos com direito a recolher os dados são apenas os partidos políticos ou também as federações, agrupamentos ou coligações de eleitores; se as actividades eleitorais se referem apenas ao período eleitoral definido na LOREG ou a qualquer outro tempo, e se se limitam apenas aos actos de propaganda e de campanha; ou se, para além da recolha, as outras operações contempladas na arte. 4.2 do GDPR, uma vez que, como salientámos no nosso cargo anterior, "recolha" implica processamento e, como salienta o Provedor de Justiça, a mera recolha sem mais organização, estruturação, consulta ou utilização não faz sentido.

Contrariamente às alegações do Provedor de Justiça, a Procuradoria do Estado assinala que a disposição contestada respeita o princípio da segurança jurídica, uma vez que as garantias adequadas estão contidas na redacção do preceito, na base da alteração do Regulamento e, complementarmente, na LOPD, tal como indicado na Circular 1/2019 da AEPD; Por esta razão, compreende que as restantes alegações relativas à alegada violação dos direitos fundamentais caem, salientando especificamente que não é necessário que as garantias sejam definidas por lei e que a liberdade ideológica também não é violada, uma vez que os cidadãos não são obrigados a expressar as suas opiniões políticas, nem o tratamento que lhes é dado pode ser utilizado para um fim diferente daquele que motivou a sua expressão ou manifestação.

Tras examinar las alegaciones del Defensor del Pueblo y del Ministerio Fiscal, el Tribunal Constitucional pasa a identificar el núcleo de la controversia señalando que la impugnación central es la vulneración de los artículos 18.4 y 53.1 de la Constitución, por lo que el enjuiciamiento constitucional se circunscribe a resolver si el legislador ha vulnerado el contenido esencial del derecho a la protección de datos personales consagrado por el art. 18.4 CE y la reserva de ley requerida por el artículo 53.1 CE, al no haber establecido el marco en que se habilita el tratamiento de dichos datos, la finalidad del mismo y las garantías adecuadas frente al concreto uso de la informática previsto en la norma impugnada.

Para o efeito, formula primeiro o parâmetro de constitucionalidade aplicável, recordando os requisitos que a sua jurisprudência já estabeleceu relativamente ao conteúdo essencial do direito à protecção de dados pessoais e as possíveis restrições ao mesmo. Assim, partindo do princípio de que os dados pessoais constituem uma categoria especial de dados particularmente sensíveis e que requerem protecção especial, o TC recorda que o artigo 18.4 consagra não só um direito fundamental autónomo de controlo do fluxo de informações relativas ao indivíduo (como já salientou nos seus acórdãos 11/98, FJ 5; 96/2012, FJ 6; e 151/2014, FJ 7), mas também um direito instrumental ordenado à protecção de outros direitos fundamentais, incluindo o direito fundamental à liberdade ideológica. Contudo, este direito fundamental não é de natureza absoluta, mas pode ser restringido por lei "desde que responda a um fim de interesse geral, e os requisitos e o alcance da restrição estejam suficientemente especificados na lei e respeitem o princípio da proporcionalidade" (FJ 5).

Por conseguinte, o TC recorda que qualquer interferência ou limitação deve ser justificada na protecção de outros direitos ou bens constitucionais, deve ser proporcional ao fim perseguido (STC 292/2000, FJ 15), e requer autorização legal por mandato constitucional expresso. A disposição legal "deve expressar todas e cada uma das instalações e condições da intervenção" (STC 49/1999, FJ 4). As limitações estabelecidas pela lei devem cumprir os requisitos de previsibilidade e certeza, uma vez que, como o Tribunal assinalou no STC 292/2000, a sua ausência poderia violar a Constituição e ser susceptível de gerar indeterminação relativamente aos casos a que as restrições se aplicam, de modo que a lei deixaria de cumprir a sua função de garantir o direito fundamental que restringe, uma vez que o deixaria à simples vontade da pessoa que tem de o aplicar.

Para além destes requisitos, o TC recorda também que a sua jurisprudência exige que o legislador "estabeleça garantias adequadas de natureza técnica, organizacional e processual, que impeçam riscos de probabilidade e gravidade variável e atenuem os seus efeitos" (FJ 6), uma vez que esta é a única forma de garantir o respeito pelo conteúdo essencial do direito fundamental. Garantias adequadas sobre as quais o Supremo Tribunal também já se tinha anteriormente pronunciado no supracitado STC 292/2000, do qual extrai as seguintes conclusões:

• A fim de estabelecer a validade constitucional de um regulamento sobre o tratamento de dados pessoais, não basta ter uma disposição legal e a legitimidade da finalidade prosseguida, mas são necessárias garantias adequadas "contra a utilização potencialmente invasiva da vida privada do cidadão através do tratamento informático".
• Estas garantias são necessárias para que os interesses legalmente passíveis de protecção sejam real, concreta e eficazmente protegidos.
• A sua mera inexistência ou o "mínimo exigido por lei" constitui em si uma interferência com o direito fundamental.
• A sua existência baseia-se no respeito pelo conteúdo essencial do direito fundamental.

Esta doutrina é também extraída da jurisprudência do TJUE, da qual também se pode ver que é necessário que a legislação estabeleça regras claras e precisas que regulem o alcance da interferência, e garantias suficientes para permitir uma protecção eficaz (TJUE de 8 de Abril de 2014, Processos apensos C-293/12 e C-594/12, Digital Righst Ireland Ltd, nr. 54).

Garantias adequadas que são especialmente importantes no caso de tratamento de dados sensíveis, e que devem assegurar que o tratamento seja efectuado em condições que "garantam a transparência, a supervisão e uma protecção judicial eficaz" e que os dados "não sejam recolhidos de forma desproporcionada e não sejam utilizados para fins diferentes dos que justificam a sua recolha" (FJ 6).

Desta forma, o TC conclui que as opiniões políticas são dados pessoais sensíveis com maior necessidade de protecção do que outros dados pessoais e que o legislador é constitucionalmente obrigado a adaptar a protecção concedida a este tipo de dados, impondo, quando apropriado, requisitos mais elevados para que sejam tratados e fornecendo garantias específicas para os mesmos (FJ 6, d).

Tendo estabelecido o que precede, o Supremo Tribunal procede finalmente a responder ao desafio central do recurso e aos três elementos que reúne (FJJJ 7 e 8), especificamente:

• Quanto à falta de identificação da finalidade do tratamento, ou seja, o "interesse público" que estaria subjacente à restrição do direito fundamental, salienta que "é uma conclusão elementar" que a disposição contestada não a identifica em momento algum. E, a este respeito, recorda mais uma vez o critério já estabelecido no seu acórdão 292/2000, no qual rejeitava que a identificação dos objectivos legítimos da restrição pudesse ser feita por meio de conceitos genéricos ou fórmulas vagas. É o legislador, em virtude da reserva da lei no Art. 53.1 CE, que deve determinar quando existe este outro bem ou direito que permite a restrição do direito fundamental à protecção de dados e estabelecer através de regras precisas as circunstâncias em que este pode ser limitado. A invocação genérica de um "interesse público" não especificado não é suficiente para que o TC legitime a restrição do direito fundamental, já que desta forma o legislador estaria a transferir para os partidos políticos uma função que só lhe compete em virtude da referida reserva de direito.
• Quanto à falta de limitação do tratamento, regulando em pormenor as restrições ao direito fundamental, a única limitação incluída na disposição contestada é que a recolha pelos partidos políticos só pode ser efectuada "no âmbito das suas actividades eleitorais", o que para o TC "dificilmente contribui para restringir o uso do poder conferido". Estes, assinala, não precisam de se restringir ao processo eleitoral. Além disso, para além desta condição, a disposição contestada não contém regras sobre o âmbito e conteúdo do tratamento de dados autorizado (algo exigido pelas exigências de certeza que devem reger qualquer tipo de inferência num direito fundamental, como recorda o TC no presente acórdão).

Por conseguinte, conclui que o legislador "não especificou que finalidade ou bem constitucional justifica a restrição do direito à protecção de dados pessoais, nem determinou em que circunstâncias e condições pode ser limitado, através de regras precisas que tornem a imposição de tal limitação e as suas consequências previsíveis para o titular dos dados".

• Finalmente, no que diz respeito ao não estabelecimento de "garantias adequadas" para proteger o direito fundamental afectado, o TC esclarece uma dúvida quanto ao alcance da sua doutrina a este respeito, assinalando que a reserva de lei no artigo 53.1 CE exige não só que a medida restritiva seja autorizada por lei, mas também que no regulamento o legislador pré-determine "os casos, condições e garantias em que a adopção de medidas restritivas é adequada". Predeterminação que não pode ser deixada a um posterior desenvolvimento legal ou regulamentar, nem ser deixada nas mãos dos próprios indivíduos, rejeitando assim as três interpretações avançadas pelo Procurador do Estado (que argumentou que estas garantias existiam e podiam ser deduzidas da redacção da disposição contestada, do significado da emenda ao aditamento do qual surgiu, e da LOPDGDD e do próprio RGPD). A insuficiência da lei a este respeito, sublinha o TC, não pode ser superada através de uma interpretação, nem através de uma referência implícita para a sua integração, nem pela AEPD no exercício dos seus poderes, pois tudo isto violaria o princípio da reserva legal estabelecido pelo art. 53.1 CE. Nem pelo GDPR, que por si só não estabelece tais garantias para o tratamento deste tipo de dados sensíveis, mas apenas contempla a possibilidade de o legislador da UE ou o legislador dos Estados Membros o poderem fazer.

Por todas as razões acima referidas, o TC conclui que o legislador não identifica a finalidade da interferência para a qual os partidos políticos estão autorizados a recolher este tipo de dados, nem define as premissas ou condições para tal interferência, nem estabelece garantias adequadas para a protecção do direito fundamental à protecção de dados e, por conseguinte, as três violações do artigo 18.4 CE assinaladas pelo Provedor de Justiça em relação ao artigo 53.1 CE. Estas violações são autónomas e independentes umas das outras e estão todas ligadas à inadequação da lei (FJ 9). Consequentemente, o recurso à protecção constitucional foi mantido e o Artigo 58bis(1) da LOREG foi declarado contrário à Constituição e nulo e sem efeito (FJ 10 e Sentença).

A indeterminação e a falta de certeza do regulamento quanto à finalidade do tratamento e o não estabelecimento de garantias adequadas a este respeito constituem, por conseguinte, para o TC uma interferência no direito fundamental à protecção de dados "de gravidade semelhante à que seria causada por uma interferência directa no seu conteúdo essencial" (FJ 9), e violam o princípio da reserva legal estabelecido na Constituição. Tendo em conta a jurisprudência já estabelecida pelo próprio TC e pelo TJUE, que é realçada no próprio acórdão, e a rapidez com que o Supremo Tribunal decidiu, era bastante claro que esta secção era inconstitucional, como salienta López Garrido.

Não só a regulamentação por lei é necessária, como também exige um grau de precisão que garanta a segurança jurídica, uma vez que não é possível remeter aspectos essenciais da recolha e utilização de dados para o regulamento, como já ficou claro no STC 292/2000. A regulamentação por lei deve também respeitar o princípio da proporcionalidade e não deve ir além do necessário para alcançar o objectivo em questão; e, como o acórdão em análise deixa claro, deve estabelecer garantias adequadas para a protecção do direito fundamental.

Portanto, um sensu contrario, se o legislador remediar estas deficiências, a regulamentação da recolha deste tipo de dados seria constitucional. No entanto, como assinalámos no nosso posto anterior, ainda nos perguntamos se é realmente necessário regular esta possibilidade. Se é realmente necessário que os partidos políticos criem bases de dados com as opiniões políticas dos cidadãos. Casos como o da Cambridge Analytica mostram que esta não parece ser a melhor opção, nem que a sua colecção pode contribuir para a formação de uma opinião pública livre, porque afinal de contas, o objectivo dos partidos é ganhar eleições. Como concluímos na altura, continuamos a acreditar que, dada a grande sensibilidade deste tipo de dados, é melhor proibir a sua recolha e, como Adsuara assinala, sancionar aqueles que não cumprem. A garantia que, em qualquer caso, deve ser expressamente incluída na legislação deve ser a proibição de recolher dados sobre as opiniões políticas dos cidadãos, de os tratar de qualquer forma. Em suma, deve ser proibido criar qualquer tipo de base de dados que contenha tais opiniões sem as tornar anónimas.