O RGPD e a não proteção das pessoas coletivas
A. Barreto Menezes Cordeiro
Doutor em Direito
Professor Auxiliar convidado da Faculdade de Direito
da Universidade de Lisboa
O RGPD apenas protege os dados pessoais relativos a pessoas singulares – artigo 4.º, 1). Esta delimitação deixa de fora todas as pessoas coletivas(1) e, evidentemente, demais realidades subjetiváveis, como as coisas(2) e os animais. O próprio nome completo do RGPD é conclusivo: “relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados”.
O não reconhecimento desta proteção às pessoas coletivas encontra-se consolidado no espaço jurídico europeu: o TJUE, confrontado com a necessidade de interpretar o alcance do artigo 8.º/1 da Carta dos Direitos Fundamentais da União Europeia – “Todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito” –, pronunciou-se, precisamente, nesse sentido, i.e., apenas as pessoas singulares têm direito à proteção dos seus dados pessoais(3). A informação sobre pessoas coletivas apenas se encontra sujeita ao RGPD quando respeite, direta ou indiretamente, a pessoas singulares, p. ex.: o nome do sócio ou sócios conste da denominação da pessoa coletiva(4).
Esta posição não deixa de ser curiosa, em face dos avanços prosseguidos no seio dos direitos de personalidade clássicos. É hoje aceite, sem especiais contrariedades, pelos tribunais portugueses que também as pessoas coletivas são titulares de alguns direitos de personalidade: “as pessoas coletivas gozam dos direitos e estão sujeitas aos deveres compatíveis com a sua natureza, devendo-lhe ser reconhecidos alguns direitos especiais de personalidade”(5). A jurisprudência nacional já reconheceu, às pessoas coletivas, o direito ao nome(6), o direito ao bom nome comercial(7) e o direito à privacidade empresarial, que abrange, pelo menos, o sigilo da correspondência, as particularidades de organização e de funcionamento e o know-how de uma entidade coletiva(8).
Também o Tribunal Europeu dos Direitos do Homem tem vindo a reconhecer uma proteção às pessoas coletivas à sua privacidade (artigo 8.º da CEDH), embora sem a subjetivar: não são as pessoas coletivas que têm um direito à privacidade, mas os Estados que têm o dever de não ultrapassar certos limites; por exemplo: proteção contra violações de domicílio(9), proteção contra consultas de correspondência(10) e busca e apreensão de dados informáticos(11).
Apesar da posição clássica do Direito europeu, alguns sistemas jurídicos nacionais assumiam, internamente, a extensão da proteção concedida às pessoas coletivas, caso da Itália ou da Áustria. Contudo, este movimento encontra-se hoje, fruto da posição assumida no RGPD e da necessidade de adaptação dos Direitos internos dos Estados Membros ao Direito europeu, em manifesto retrocesso: tanto artigo 4/1, b), do Codice in matéria di protezione dei dati personali(12) como o § 1 do renovado Datenschutzgesetz (13) circunscrevem o seu campo de aplicação às pessoas singulares.
A Lei da proteção de dados pessoais (Lei n.º 67/98, de 26 de outubro) exclui igualmente do seu campo de aplicação os dados relativos às pessoas coletivas – artigo 2.º, a). A Proposta de Lei n.º 120/XIII poderia suscitar maiores dúvidas, na medida em que não circunscreve o seu campo de aplicação de forma tão direta às pessoas singulares. Contudo, não vemos como assumir uma posição inversa: nos termos do seu artigo 1.º, a Nova Lei da proteção de dados pessoais tem como objeto assegurar a execução do RGPD.
As razões para esta exclusão são de índole variada. Vejamos alguns argumentos que nos parecem decisivos.
Ao contrário do que se verifica com as pessoas singulares, não vigora, em relação às pessoas coletivas, um princípio geral de confidencialidade dos dados pessoais. Muita informação relativa às pessoas coletivas tem uma natureza pública, caso dos elementos que devem constar obrigatoriamente do registo comercial ou as informações que as sociedades abertas devem disponibilizar periodicamente aos mercados financeiros. Mas mesmo quando não é pública, muita informação relativa às pessoas coletivas pode ser acedida por um número indeterminado de pessoas: pense-se nos vários direitos à informação reconhecidos, nos artigos 288.º e seguintes do CSC, aos sócios de cada sociedade comercial. A inclusão das pessoas coletivas no campo de aplicação do RGPD implicaria ou uma revisão de toda esta matéria ou a positivação de um regime especial, distinto do consagrado para as pessoas singulares.
A conjugação do Direito da proteção de dados com o Direito do consumo levanta idênticas dificuldades. De modo idêntico ao que vimos para o Direito das sociedades comerciais, também no Direito do consumo não vigora um princípio geral de confidencialidade dos dados pessoais. Para os efeitos aqui pretendidos, atente-se ao disposto no artigo 8.º da Lei de Defesa do Consumidor, relativo ao direito dos consumidores à informação: abrange inúmeros elementos que, sendo de pessoas singulares, facilmente seriam reconduzidos ao campo de aplicação do RGPD. Ainda neste campo, seria necessário verificar a adequação de alguns nos mais concorridos sites da internet que permitem, aos seus utilizadores, comparar informação – objetiva e subjetiva – relativa a serviços semelhantes, por exemplo serviços de hotelaria ou de viagens. Uma vez mais, seria necessário ou rever toda esta matéria, com evidentes prejuízos para os consumidores, ou positivar um regime especial para as pessoas coletivas.
Por fim, não podemos deixar de sublinhar duas razões de fundo: a natureza distinta das pessoas coletivas e das pessoas singulares e o extenso campo de aplicação do Direito de proteção de dados pessoais. O direito à identidade informacional tem características que o aproximam do direito geral de personalidade. Ora, mesmo no campo dos direitos de personalidade, os nossos tribunais apenas reconhecem, às pessoas coletivas, alguns direitos, mas não todos. Um raciocínio idêntico, no âmbito do Direito da proteção de dados, implicaria uma divisão do direito à identidade informacional de forma a que se adaptasse às especificidades das pessoas coletivas. Temos dúvidas que isso possa ser feito.
A exclusão das pessoas coletivas no RGPD e das leis conexas não significa, naturalmente, que o sistema não lhes reconheça qualquer proteção. A recondução do direito aos dados pessoais ao universo dos direitos de personalidade, tanto numa perspetiva constitucional – artigo 26.º da CRP – como numa perspetiva civilística – artigo 70.º do CC –, permite a invocação dos regimes jurídicos vigentes.
NOTAS:
1. Considerando 14: “O presente regulamento não abrange o tratamento de dados pessoais relativos a pessoas coletivas, em especial a empresas estabelecidas enquanto pessoas coletivas, incluindo a denominação, a forma jurídica e os contactos da pessoa coletiva”.
2. Alguns dados relativos a coisas podem igualmente ser relativos a pessoas. Importa atender à natureza, extensão e características dos dados recolhidos. Esta questão assume especial densidade no âmbito dos processos M2M – Machine to Machine.
3. TJUE 9-nov.-2010, proc. C-92/09 e C-93/09 (Volker und Markus Schecke GbR/Hartmut Eifert v Land Hessen) 52-53.
4. TJUE 9-nov.-2010 C-92/09 e C-93/09 Volker und Markus Schecke GbR/Hartmut Eifert v Land Hessen, 53-54: “as pessoas colectivas só podem invocar a protecção dos artigos 7.º e 8.º da Carta a respeito de tal identificação desde que a denominação legal da pessoa colectiva identifique uma ou mais pessoas singulares. É o que se passa com a recorrente na causa principal no processo C-92/09. Com efeito, a denominação legal da sociedade identifica directamente pessoas singulares, que são sócios dessa sociedade”.
5. RLx 8-mai.-2012 (Ana Resende), proc. n.º 115/07.4
6. RGm 16-fev.-2017 (Higina Castelo), proc. n.º 346/12.3.
7. REv 11-set.-2013 (Moura Santos), proc. n.º 2747/08.4.
8. STJ 12-set.-2013 (Oliveira Vasconcelos), proc. n.º 372/08.9.
9. TEDH 16-abr.-2012, appl. n.º 37971/97 (Colas v France).
10. TEDH 14-mar.-2013, appl. n.º 24117/08 (Bernh Larsen v Norway).
11. TEDH 16-out.-2007, appl. n.º 74336/1 (Wiese v Austria).
12. “dato personale”, qualunque informazione relativa a persona fisica”.
13. “Jede natürliche Person hat Anspruch auf Geheimhaltung der sie betreffenden personenbezogenen Daten”.