Data e hora das chamadas ou da ligação à Internet, endereço de IP, nome e endereço do utilizador ou subscritor do serviço, localização de aparelhos móveis – são alguns dos dados que, a partir de amanhã, os operadores de telecomunicações passam a ter de guardar durante um ano, para o caso de um juiz requerer a informação. De fora desta medida fica todo o conteúdo das comunicações, cuja retenção continua a ser proibida.

Esta legislação veio inverter as regras que vigoravam até aqui. Até agora, esclarece o procurador da República e especialista Pedro Verdelho, os operadores estavam obrigados a destruir todos os dados das comunicações após a respectiva facturação. Só em eventuais casos de facturas não pagas as empresas podiam manter os dados até que ocorresse a cobrança.

A lei que entra em vigor amanhã foi aprovada em 2008. “A conservação e a transmissão dos dados”, lê-se no diploma, “têm por finalidade exclusiva a investigação, detecção e repressão de crimes graves por parte das autoridades competentes”. Trata-se da transposição para a legislação portuguesa de uma polémica directiva comunitária de 2006, vulgarmente conhecida como directiva de retenção de dados, que já foi implementada em muitos países europeus e que obriga a um armazenamento dos dados por um prazo mínimo de seis meses e máximo de dois anos.

Os limites objectivos à contratação electrónica, fundamentos da exclusão

Neste tema torna-se oportuno definir o conceito de contrato à distância. Define-se por contrato à distância [1], qualquer contrato, celebrado à distância, relativo a bens ou serviços, entre um fornecedor e um consumidor, que se integre num sistema de venda ou prestação de serviços à distância organizado pelo fornecedor, que, para esse contrato, utilize exclusivamente uma ou mais técnicas de comunicação à distância até à celebração do contrato, incluindo a própria celebração. No entanto, pelo art. 3º do mesmo Decreto-Lei, encontram-se alguns limites ou exclusões a este tipo de contrato, são eles: contratos celebrados no âmbito de serviços financeiros; contratos através de estabelecimentos comerciais automatizados; com operadores de telecomunicações; contratos relacionados com a construção e venda de bens imóveis, excepto nos casos de arrendamento e finalmente contratos celebrados em leilões. Existem ainda outras exclusões como sendo o caso do fornecimento de géneros alimentícios, bebidas ou outros bens de consumo doméstico corrente, ou ainda para a contratação relativa a prestação de serviços de alojamento, transporte, restauração ou tempos livres. Neste tipo de contratação não se aplicam os artigos 4º (Informações prévias), 5º (Confirmação por escrito das informações), 6º (Direito de rescisão) e nº 1 do artigo 7º (Refere-se à existência de um prazo de trinta dias para que o fornecedor execute a encomenda a contar do dia em o consumidor transmitiu a encomenda). [1] Pela alínea a) do art. 2º (Capitulo II) do Decreto-Lei nº 143/2001, de 26 de Abril, relativa à protecção do consumidor em matéria de contratos fora dos estabelecimentos comerciais.

As facturas electrónicas, requisitos e relevância jurídica

Em primeiro lugar gostaria de frisar a importância das facturas nas transacções comerciais, pois são elas que constituem a prova de tais transacções. Desta forma explicasse que uma das primeiras preocupações, em termos legislativos, decorrentes do progressivo comércio electrónico tenha sido a facturação electrónica.
Este tema encontra a sua legislação actualmente no Decreto-Lei nº 256 / 2003, de 21 de Setembro. Pelo artº 2 deste Decreto–Lei consideram-se documentos equivalentes a factura os documentos e, no caso de facturação electrónica, as mensagens que, contendo os requisitos exigidos para as facturas, visem alterar a factura inicial e para ela façam remissão, para além destes este documento deve conter uma assinatura digital. Esta assinatura constitui um requisito de segurança da autoria e integridade da factura.
Da factura electrónica devem também constar, para além da assinatura digital [1], os elementos previstos na lei fiscal.
É ainda necessário que a empresa comunique o início da utilização do sistema, devendo fazê-lo no prazo de um ano sob pena de caducidade da autorização.
Por fim, considero oportuno referir que cerca de um ano depois do Decreto Regulamentar nº 16/2000, de 2 de Outubro, foi publicada regulamentação complementar que se refere às condições e requisitos de utilização da factura electrónica. Neste, estabelece-se, para além dos elementos necessários à apresentação do requerimento para a utilização do sistema de facturação electrónica, uma obrigação de conservação da integridade do conteúdo da factura electrónica pelo mesmo prazo legal previsto para a conservação das facturas em papel e ainda os requisitos para o armazenamento destas facturas.

[1] Aposta nos termos da lei, pelo art. 2º, nº 1, do Decreto Regulamentar nº 16/2000.

Crimes Informáticos

Os crimes informáticos encontram-se regulamentados na Lei 109/97, de 17 de Agosto. O artigo 3º do I Capítulo desta, debruça-se sobre a questão da responsabilidade penal das pessoas colectivas e equiparadas, pela qual as pessoas colectivas, sociedades ou meras associações são penalmente responsáveis pelos crimes previstos na lei quando cometidos em seu nome. Esta penalização é excluída no caso em que o agente tenha actuado contra ordens de quem de direito. A responsabilidade das entidades colectivas anteriormente referidas não exclui a responsabilidade individual dos respectivos agentes. As entidades devem ainda responder solidariamente, nos termos da lei civil pelo pagamento das multas, indemnizações e outras prestações em que forem condenados os agentes das infracções previstas na presente lei. Pelo artigo 10º as penas aplicáveis às pessoas colectivas e equiparadas, ou seja, as consequências dos crimes previstos no artigo 3º são as seguintes penas: (a) Admoestação (b) Multa (c) Dissolução A admoestação aplica-se nos casos em que a pena é aplicada a uma pessoa singular em representação da pessoa colectiva que praticou tal acto. Comutativamente a esta o tribunal poderá aplicar uma caução de boa conduta. A multa corresponde a uma quantia entre os 50€ e os 1.000€ diários.A pena de dissolução só será aplicada quando os representantes da pessoa colectiva tenham agido com a intenção de praticar os factos que integram os crimes previstos na presente lei.

Competências da ANACOM em matéria de Comércio Electrónico

Com a publicação do Decreto-Lei nº. 7/2004, de 7 de Janeiro, que disciplina certos aspectos legais dos serviços da sociedade da informação, em especial do comércio electrónico, em transposição da Directiva nº. 2000/31/CE, do Parlamento Europeu e do Conselho, de 8 de Junho de 2000, a ANACOM foi designada como entidade de supervisão central na área do comércio electrónico, com atribuições em todos os domínios regulamentados no referido diploma, salvo nas matérias em que lei especial atribua competência sectorial a outra entidade[1].
Ficou, assim, clarificado qual o regime jurídico que se aplica aos contratos electrónicos em sentido geral, no sentido de incrementar a segurança nas transacções electrónicas e na circulação de informação (códigos de conduta, decisões judiciais), bem como a confiança dos utilizadores, pela fidedignidade, inteligibilidade e conservação impostas às transacções electrónicas.
À ANACOM compete desempenhar funções ao nível da regulamentação, supervisão, fiscalização, contencioso e informação. Instrui e aplica coimas decorrentes dos processos contra-ordenacionais; procura a resolução, ainda que provisória, de litígios que surjam, quanto à licitude de conteúdos disponíveis em rede, sem prejuízo da solução definitiva de litígio que tem que ser judicial. O tipo de problemas colocados pela Internet exige soluções de resolução de conflitos que, para terem efeito útil, devem ser céleres e formalmente menos exigentes. Algo bastante distante do que é a realidade dos tribunais em Portugal, que estão saturados de mecanismos morosos. Este recurso – arbitragem - a formas extrajudiciais de resolução de conflitos[2] neste domínio pode ser uma solução credível e viável, sem que a legislação traga impedimentos.
Por último, à ANACOM ainda cabe promover, de forma permanente, as comunicações à Comissão Europeia, ao Estado, e aos outros Estados membros, previstas no artigo 9.º.
[1] Artigo 35º, nº 1.
[2] Solução destes litígios por via electrónica, por exº.

Efeitos jurídicos das assinaturas electrónicas

“O documento electrónico vale como documento assinado quando satisfizer os requisitos da legislação sobre assinatura electrónica e certificação[1]”, ou seja, respeitar os critérios de grande segurança às diversas operações. Neste âmbito a assinatura electrónica tem uma trilogia classificativa[2]: simples, avançada e qualificada (digital), na qual se baseia o modelo legal[3].
A assinatura electrónica avançada tem nos documentos electrónicos, juridicamente, condensados os mesmos efeitos probatórios do que a assinatura manuscrita (artº. 7º.) nos documentos com forma escrita, sobre suporte de papel; além do mesmo significado jurídico também cumpre as mesmas funções: Identificadora (quem a apôs é o titular da mesma); Confirmadora (a vontade de assinar o documento aquando da sua aposição) e de Inalterabilidade (o documento não foi alterado, é o original).
Em termos probatórios, mediante uma espécie de combinação entre sistema de “prova legal” e “prova livre” o regime legal indica que para a plena analogia na força probatória[4] as assinaturas digitais apostas nos documentos electrónicos têm que ser emitidas por uma entidade certificadora credenciada. No que concerne aos documentos não escritos (imagem, por exº.), se não impugnada a sua exactidão[5] ou licitude[6], fazem prova plena. Caso a assinatura não seja aposta por uma entidade credenciada[7], os documentos electrónicos apesar de não fazerem de imediato prova plena, produzem os mesmos efeitos dos que “resultarem dos termos gerais do direito”, porque é um documento escrito e assinado, dependendo a credibilidade dada da apreciação do julgador. Este efeito “pleno” pode também ser convencionado pelas partes no âmbito da celebração de um contrato[8] celebrado electronicamente que convencione que as assinaturas nele apostas tenham os mesmos efeitos que uma assinatura electrónica avançada. Por fim, as cópias dos documentos electrónicos são válidas e eficazes nos termos gerais do direito e têm a força probatória atribuída às fotocópias dos documentos em que é aposta assinatura manuscrita[9].
[1] Nº. 2 do artº. 26º. do DL 7/2004.
[2] Nº. 1, artº. 5º. da Directiva 1999/93/CE.
[3] O DL 290-D/99, de 02/08 aprovou o regime jurídico dos documentos electrónicos e da assinatura digital, seguindo-se do DL 146/2000, de 18/07, que indica o Instituto das Tecnologias de Informação na Justiça (ITJ) como autoridade credenciadora – artº. 18º., nº. 3, alínea i) e o DL 234/200, de 25/09, que cria o Conselho Técnico de Credenciação como estrutura de apoio ao ITJ. Posteriormente o DL 62/2003, de 03/04, alterou o DL 290-D/99, alinhando o regime com a Directiva 1999/93/CE.
[4] Artº. 376º. do Código Civil.
[5] Artº. 368ª. do Código Civil.
[6] Artº. 167º. do Código Penal.
[7] Artº. 3º., nº. 5 do DL 62/2003.
[8] Artº. 3º., nº. 4 do DL 290-D/99.
[9] Nº. 2 do Artº. 168º. do Código Civil e Artº. 168º. do Código Penal.

Acesso indevido a dados pessoais e o acesso ilegítimo a sistemas ou redes informáticas; articulação.

No nº. 1 do artigo 7º. da Lei 109/91 pune-se o “acesso ilegítimo” a um sistema ou rede informáticas – “Quem, não estando para tanto autorizado e com a intenção de alcançar, para si ou para outrem, um benefício ou vantagem ilegítimos, de qualquer modo aceder a um sistema ou rede informáticos(…)”. No entanto, a resolução do Conselho da Europa preconizava ainda “(…) por violação das regras de segurança…”, como forma de protecção, em 1ª. linha, do “domicilio informático”, em paralelismo com a introdução em casa alheia, dada a privacidade e liberdade informática de cada um operar no interior do domicilio e excluir terceiros mal-vindos. Na nossa lei o acesso com violação das regras de segurança funciona como uma circunstância de agravação da pena, se a intromissão não influenciar os serviços, a informação, ou o desempenho do sistema, enfim, se não “for deixado rasto” pelo acesso, não há violação pontificada.
No entanto, a “segurança dos sistemas informáticos” foi contributo para a tripla dimensão de valores sustentados neste bem jurídico, com penas gradativamente mais graves:
- a intenção de alcançar, por si ou para outrem um benefício ou vantagem patrimonial ilegítimas, – se tiver havido violação das regras de segurança,
- se se tomar conhecimento de segredo comercial ou industrial, ou de dados confidenciais, e ainda, - se o benefício ou vantagem patrimonial forem de valor consideravelmente elevado (al. h) do artº. 2º.), isto é, as motivações serem essencialmente de natureza patrimonial.
Se o acesso indevido se dirigir a dados pessoais (artº. 44º. da Lei 67/98, de 26.10), o benefício ou vantagem patrimonial constituem mera agravante, o que aponta, aqui sim, para a punição do simples acesso indevido, uma vez que não se verificam as condições agravantes descritas; isto é, pelo acesso, ainda que “sem deixar rasto” a sistemas que alojem dados punições, há punição expressa na lei.

O procedimento de certificação de assinaturas electrónicas

Uma assinatura electrónica não é mais que a representação de um nome feita sob a forma electrónica. Estas assinaturas ainda se deparam com muitos problemas de fiabilidade, nas quais podemos destacar: a falta de garantia quanto ao emissor do documento; os documentos podem ser alterados entre o emissor e o receptor; o receptor poderá alterar o documento ou não afirmar a sua recepção; a tecnologia não permita proteger o acesso à informação a terceiros.
Assim para proceder à criação de assinaturas electrónicas é necessário que: estas assegurem a integridade dos dados; que trabalhem com tecnologias que asseguram a sua confidencialidade; que permitam autenticar quer o receptor quer o emissor; e não poderem ser repudiados.
Na sua certificação é necessário pelo art. 29º do Dec.-Lei nº 290-D/99, no ponto 1 solicitar a uma entidade certificadora um par de chaves (privada e pública), ou a possibilidade de as criarem, após a entidade verificará por meio legalmente idóneo e seguro. No ponto 2 é regulamentado a emissão das chaves em certificação. No ponto 3 refere-se ao às medidas tomadas pela entidade certificadora para evitar a falsificação ou alteração dos dados, no ponto 4 refere-se à utilização segura da assinatura pelo seu titular. Conforme o ponto 5 estará disponível para consulta a qualquer pessoa, mas protegido contra a alterações não autorizadas.

As mensagens publicitárias não solicitadas (SPAM)

As comunicações publicitárias não solicitadas, se bem que possam não constituir o grosso de mensagens não desejadas, constitui uma dificuldade de tráfego na Internet para aqueles que não são sensíveis a esse tipo de publicidade. Mesmo nos que estariam receptivos pode gerar-se um efeito contrário, como reacção ao fenómeno do spam, em defesa do direito de cada um impedir que alguém entre, sem motivo, no seu reduto privado.
Em semelhança do protegido pelo art. 190º, n.º 2 do CP (perturbação da paz e sossego de outra pessoa no seu domicilio) poderá vir a colocar-se à ponderação do legislador com a remessa em catadupa para o endereço de cada um de correio electrónico não solicitado e desinteressante. O spam só deverá ser criminalizado se causar entrave grave à comunicação, embora possa instaurar-se um regime com sanções de outro tipo.
No entanto o Decreto-Lei 7/2004 não se limitou a transpor a Directiva sobre comércio electrónico. Conforme o art. 21º, as comunicações publicitárias prestadas à distância, por via electrónica, estas devem claramente identificar a natureza publicitária, o anunciante e as ofertas promocionais, bem como os condicionalismos a que ficam submetidos. Por outro lado, institui-se o regime de opt-in para o envio de mensagens de marketing directo para os consumidores, devendo estes prestar o respectivo prévio consentimento, conforme art. 22º, bem como ter acesso a meios que lhe permitam, em qualquer momento, recusar, sem ónus e independentemente de justa causa, o envio dessa publicidade para futuro.

A reprodução ilegítima de programa protegido

Muitas dificuldades surgem na interpretação do termo “reprodução”, as opiniões divergem, uns entendem que a reprodução implica a multiplicação de exemplares, outros, pensam que a utilização de um programa de computador mediante o seu carregamento em memória envolve geralmente a reprodução do mesmo.
Pela lei 109/91, de 17 de Agosto (Lei da Criminalidade Informática), no art. 9º, prevê a reprodução ilegítima de programas de computador. O ponto 1º, diz respeito a quem não estiver devidamente autorizado, reproduzir, divulgar ou comunicar ao público um programa informático protegido, ou tentar o fazer, ponto 3º.
A directiva n.º 2001/29/CE, pretende trazer ao de cima os direitos do actor. Esta directiva define com mais precisão o direito de reprodução tendo em vista o ambiente informático, na sua amplitude e limitações (art. 2º e 5º); especifica o direito exclusivo, a favor dos autores, de autorizar ou proibir qualquer comunicação ao público das suas obras, por fio ou sem fio, incluindo a sua colocação à disposição em linha, no local e no momento escolhido (art. 3º); prevê uma enumeração exaustiva das excepções e limitações (art. 5º); tais excepções e limitações só se aplicarão em casos especiais, que não entrem em conflito com uma exploração normal da obra ou noutro material e não prejudiquem irrazoavelmente os legítimos interesses do direito do autor (regra dos três passos).

Temas sobre Crimes Informáticos

Os temas correspondentes ao Sumário décimo primeiro são os seguintes:

• Ana Martins: a responsabilidade das pessoas colectivas e suas consequências;
• Cláudia Marques: a reprodução ilegítima de programa protegido;
• Maria do Carmo Machado: o acesso indevido a dados pessoais e o acesso ilegítimo a sistemas ou redes informáticas, articulação;

Estes textos deverão, também, ser-me enviados até ao final do dia 16 de Janeiro.

Temas sobre Comércio Electrónico

Os temas correspondentes aos Sumários nono e décimo são os seguintes:

• Ana Martins: os limites objectivos à contratação electrónica, fundamentos da exclusão / as facturas electrónicas, requisitos e relevância jurídica;
  
• Cláudia Marques: as mensagens publicitárias não solicitadas (SPAM) / o procedimento de certificação de assinaturas electrónicas;
  
• M.ª do Carmo Machado: as competências da ANACOM em matéria de comércio electrónico / os efeitos jurídicos das assinaturas electrónicas
  

Os textos deverão ser-me enviados até ao final do dia 16 de Janeiro.

Conteúdo e limites do direito de autor sobre bases de dados criativas

Pelo Artigo 7º da Lei n.º 1/2000, de 16 de Março, o titular de uma base de dados criativa goza de direitos exclusivos sobre a mesma. Entre esses direitos encontram-se, o direito a efectuar ou autorizar a total ou parcial reprodução da base de dados ou modificação da mesma e o direito de distribuir cópias da base de dados e de a expor publicamente caso deseje. Tem ainda os mesmos direitos sobre uma base de dados derivada, sem prejuízo dos direitos de quem realiza a transformação. Neste último, ou seja, no caso em que a base de dados tenha sido alterada por um terceiro, o autor da primeira possui ainda sobre ela os mesmos direitos. Com a contrapartida de estes não acarretarem qualquer prejuízo para o autor da base de dados derivada, a qual tem esta denominação por derivar da base de dados original.
No nº 2 do Artigo 10º da mesma Lei pode entender-se que os limites a estes direitos surgem nos casos em que os actos acima descritos possam vir a prejudicar a exploração normal da base de dados ou a causar um prejuízo injustificável aos legítimos interesses do autor.
Refere ainda o artigo 11º da mesma que, quem não estando para tanto autorizado, reproduzir, divulgar ou comunicar ao público, com fins comerciais, a base de dados criativa, é punido com pena de prisão até 3 anos ou com pena de multa.

A titularidade e os demais direitos relativos ao programa criado numa empresa informática

É no artº 3º do Decreto-lei nº 252/94, de 20 de Outubro, sobre a protecção Jurídica dos programas de computador que se encontra a referência à autoria dos mesmos. Este remete-nos, na sua maior parte, para as regras vigentes no Código do Direito de Autor e dos Direito Conexos (CDADC).
No caso do programa ter sido criado numa empresa, há que atender ao artº 27º do CDADC que afirma, “salvo disposição em contrário, autor é o criador intelectual da obra”. O ponto 3 do Decreto-Lei refere-se ao caso em que o programa é criado por um empregado da empresa, autor do programa, no exercício das suas funções. Quando isto sucede segundo instruções emanadas do dador de trabalho, ou por encomenda, pertencem ao empregador a titularidade dos direitos de natureza económica a ele relativos, salvo estipulação em contrário. Pelo nº 4 o criador intelectual do programa, neste caso o trabalhador da empresa que cria o programa, tem direito a uma remuneração especial quando se verificarem os pressupostos das alíneas a) e b) do n.º 4 do artigo 14º do CDADC. Por estas alíneas, o criador do programa poderá pedir uma remuneração extraordinária nos casos em que a criação do programa exija um maior desempenho da sua parte do que o que seria esperado pela tarefa, ou quando se vierem a fazer utilizações do programa não previstas anteriormente.
Os direitos do titular de um programa informático encontram-se regulamentados pelos artigos 5º, 8º e 9º do mesmo Decreto Lei. O artº 5º refere-se à reprodução e transformação de um programa informático e dá liberdade ao titular do programa para fazer ou autorizar a reprodução de todo ou parte do programa e autoriza ainda a transformação do mesmo.
Pelo artº 8º, o titular de um programa de computador tem o direito de pôr em circulação originais ou cópias desse programa, são ainda, pelo artº 9º, garantidos ao titular originário o direito de menção do nome do programa e o direito à reivindicação da autoria deste. No ponto 2 deste artigo refere-se que, no caso do programa ter um autor individualizável pertence-lhe o direito de ser reconhecido como tal e de ter o seu nome mencionado no programa.

Os fundamentos da exigência de autorização previa da CNPD para o tratamento de dados pessoais

Os casos em que se prevê a exigência de autorização prévia por parte da Comissão Nacional da Protecção de Dados (CNPD) estão regulamentados no artigo 28ª do Capítulo IV da Lei nº 67/98 de 26 de Outubro. Pelo artº 18 da mesma Lei, a circulação de dados pessoais entre Estados membros da UE é livre. No entanto, e quando se trata de uma transferência para um Estado não pertencente à UE, compete à CNPD decidir se o mesmo dispõe de um nível de protecção adequado (artº 19º, nº 3).
Órgãos como a CNPD são especialmente importantes quando o que está em causa é a aplicação de leis que, como é o caso da legislação de protecção de dados, requerem uma ampla margem de autonomia e de capacidade de decisão e poderes de investigação e de controlo, tanto do sector privado como do sector publico. O aparecimento, no seio das administrações públicas, de instituições que exercem as suas funções com larga independência ganhou uma amplitude tal que levou a doutrina a identificar uma nova categoria jurídico – institucional, a das autoridades administrativas independentes. No caso da CNPD, esse estatuto de independência aparece reforçado em virtude da sua posição junto da Assembleia da Republica.
Concluindo, os fundamentos da exigência de autorização prévia da CNPD para o tratamento de dados pessoais advêm da necessidade de existência de um órgão responsável pelo cumprimento da Lei de dados pessoais, órgão este dotado de importantes poderes de decisão sobre o tratamento que os dados pessoais poderão eventualmente vir a ter.

A evolução nas sucessivas revisões constitucionais do artigo 35º da Constituição da República Portuguesa

No artigo 35º da Constituição da Republica Portuguesa é no número três que encontramos a referência ao tratamento de dados sensíveis. Citando o mesmo, “A informática não pode ser utilizada para tratamento de dados referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem étnica, salvo mediante consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou para processamento de dados estatísticos não individualmente identificáveis”.
Este ponto, na redacção dada pela 4ª revisão constitucional, veio flexibilizar as possibilidades de tratamento dos dados mais sensíveis, tendo previsto, além do “processamento de dados estatísticos não individualmente identificáveis”, o consentimento expresso do titular e a autorização prevista por lei com garantias de não descriminação.
Por outras palavras, na 4ª revisão constitucional, revisão de 1997, manteve-se a já anteriormente prevista permissão do “processamento de dados estatísticos não identificáveis”, proveniente da versão originária, e tentou flexibilizar-se este número do artigo 35º com aparecimento de duas novas excepções a este número, são os casos em exista o “consentimento expresso do titular”, bem como a “autorização prevista por lei com garantias de não descriminação”.
Considero também importante salientar o facto de a origem étnica ter sido inserida no conjunto de dados mais sensíveis na revisão de 1989, esta iniciativa deve-se à Lei nº 28/ 94, de 29 de Agosto.

Ana Martins Nº 3951
Informática de Gestão