A Comissão Nacional de Proteção de Dados (CNPD) emitiu o seu parecer sobre o projeto de decreto-lei que cria o regime de realização por videoconferência de atos autênticos, termos de autenticação de documentos particulares e reconhecimentos, a pedido do Gabinete da Secretária de Estado da Justiça.
Relembramos que o Governo aprovou em Conselho de Ministros, em maio do ano passado, um regime experimental para a realização à distância de atos autênticos, termos de autenticação de documentos particulares e reconhecimentos.
A CNPD aponta várias questões que devem ser melhoradas no documento, por não cumprirem o Regulamento Geral de Proteção de Dados (RGPD).
Recomenda que sejam definidos os conceitos de intervenientes e de profissionais para evitar dúvidas sobre as respetivas obrigações, e alerta para a necessidade de referir expressamente quais os dados do cartão de cidadão que serão objeto de recolha e tratamento, de acordo com as finalidades do tratamento e a necessidade da sua utilização. É também necessário estabelecer um regime de salvaguardas para a identificação biométrica que se venha a prever e se altere o que está previsto sobre a identificação do responsável pelo tratamento de dados, que não está correta. Por fim, a CNPD entende que deve consagrar-se os direitos dos titulares, nomeadamente o direito à informação sobre o tratamento de dados, e deve ser revista a exigência de consentimento no contexto da videoconferência.
Âmbito de aplicação do regime
O projeto de decreto-lei visa estabelecer o regime jurídico aplicável à realização, através de videoconferência, de atos autênticos, termos de autenticação de documentos, particulares e reconhecimentos que requeiram a presença de intervenientes perante os profissionais que os lavram.
O objetivo é que apenas alguns atos autênticos ou termos de autenticação possam ser realizados por videoconferência, incluindo factos sujeitos a registo predial. No âmbito dos atos autênticos a realizar por notários e agentes consulares portugueses, estão excluídos os testamentos e atos a eles respeitantes. É ainda delimitado o universo de atos autênticos a realizar por conservadores de registos e oficiais de registos, que são designados por despacho do presidente do conselho diretivo do Instituto dos Registos e do Notariado (IRN).
A CNPD entende que o âmbito de aplicação do regime precisa de clarificação.
Plataforma informática e tratamento de dados
Para a realização dos atos previstos, prevê-se a criação uma plataforma informática do Ministério da Justiça, acessível a partir da plataforma digital da justiça e gerida pelo Instituto de Gestão Financeira e Equipamentos da Justiça (IGFEJ) em articulação com o IRN, na qual serão criadas duas áreas reservadas, uma para os intervenientes e outra para os profissionais.
Estabelece-se que o IGFEG é a entidade responsável pelas operações de tratamento de dados pessoais, salvo operações de tratamento efetuadas pelos profissionais, mas o IGFEG não se enquadra na definição de responsável pelo tratamento prevista no RGPD.
O responsável pelo tratamento é a pessoa, singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais.
Assim deve ficar claro no diploma proposto que os responsáveis pelo tratamento são as entidades que determinam as suas finalidades, isto é, as mesmas entidades responsáveis pelo tratamento quando os atos sejam realizados presencialmente.
Além disso, a utilização dos conceitos de intervenientes e profissionais, sem qualquer definição conceptual prévia, pode introduzir incerteza jurídica quanto à interpretação dos deveres de cada um dos envolvidos, pelo que a CNPD recomenda que se proceda à definição desses conceitos antes da explicitação do regime.
Autenticação, atos e videoconferência
Para aceder à respetiva área reservada, o utilizador deverá autenticar-se através de através de cartão de cidadão ou chave móvel digital. Os notários, advogados ou solicitadores poderão, ainda, autenticar-se através do seu certificado profissional. Caso se trate de intervenientes de outro Estado-Membro da União Europeia, para além da chave móvel digital, poderão ainda identificar-se por outros meios de identificação eletrónica emitidos noutros Estados Membros reconhecidos para o efeito, nos termos previstos no Regulamento relativo à identificação eletrónica e aos serviços de confiança para a transações eletrónicas no mercado interno.
Através da sua área reservada os intervenientes podem, nomeadamente:
- submeter e aceder aos documentos instrutórios;
- aceder aos documentos a lavrar e assiná-los através de assinatura eletrónica qualificada;
- aceder às sessões de videoconferência e manifestar a conformidade da sua vontade com o documento a lavrar;
- prestar consentimento para a gravação audiovisual.
No entanto, refere a CNPD, nada é dito quando ao modo como é efetuado o pedido para a realização de atos através de videoconferência, presumindo-se que seja efetuado também através da plataforma.
Nos termos do projeto de decreto-lei, cabe ao profissional, através da sua área reservada, agendar a realização dos atos a realizar por videoconferência. Após o agendamento, ao qual é atribuído um número de identificação único, o profissional envia uma mensagem ao interveniente, através do endereço de correio eletrónico por este indicado, contendo, entre outras informações, a hiperligação para a área reservada da plataforma informática que permitirá aceder à videoconferência no dia agendado, bem como as condições de realização das sessões de videoconferência, mediante autenticação.
As sessões de videoconferência só se iniciam depois dos intervenientes na sessão terem prestado o seu consentimento para a recolha, pela plataforma informática, dos elementos de identificação associados ao seu cartão de cidadão.
Para que se realizem as sessões, o interveniente deve, igualmente, prestar o seu consentimento para a gravação audiovisual da videoconferência.
A CNPD critica a formulação relativa ao consentimento a prestar para efeitos de tratamento de dados para identificação pois, quando conjugada com outras normas, suscita dúvidas que devem ser clarificadas no texto do decreto-lei.
Por um lado, é previsto que o profissional, através da área reservada, recolha dados sobre a identificação dos intervenientes inserida aquando da sua autenticação na plataforma, para efeitos de verificação da identidade; a recolha é efetuada pela plataforma informática. Deste modo, persiste a dúvida sobre quais os elementos inseridos pelo interveniente e quais os que resultam de leitura do cartão de identificação.
Por outro lado, deve definir-se com clareza quais os elementos necessários à identificação associada ao Cartão de Cidadão, de forma a obstar à recolha de dados constantes do cartão de cidadão que sejam desnecessários à finalidade em vista e como se recolhe a informação quanto aos elementos de identificação no caso de cidadão de outro Estado-Membro, aspeto que não é mencionado.
O projeto refere que, para agendamento, os intervenientes são identificados pelo profissional apenas através do nome completo, endereço de email e número de identificação civil, sendo nacional, ou número de passaporte, no caso de cidadãos estrangeiros.
Conforme previsto no projeto, a verificação da identidade dos intervenientes na videoconferência é efetuada através do confronto dos elementos de identificação associados ao cartão e constantes do sistema, com a imagem facial da pessoa (a única comparação possível será com a fotografia do cartão de cidadão ou de outro documento) e com as respostas colocadas no início da sessão pelo profissional com o intuito de conformar a sua identidade - mas não vêm especificadas no diploma.
Em alternativa, a identificação pode fazer-se por recurso a sistema biométrico de comparação das imagens do rosto recolhidas eletronicamente, em tempo real, com a imagem facial constante do sistema de informação responsável pelo ciclo de vida do cartão de cidadão, nos casos e termos a definir por portaria. A CNPD relembra que os dados biométricos são dados sensíveis; enquanto categoria especial de dados, têm tutela reforçada nos termos do RGPD, pelo que essa portaria terá de consagrar adicionalmente, garantias de defesa dos direitos dos seus titulares e terá de ser submetida a apreciação CNPD.
A necessidade de prestar consentimento para efeitos de gravação audiovisual da videoconferência merece reservas da parte da CNPD. O mesmo artigo estabelece que os atos realizados por videoconferência são objeto de gravação audiovisual e que o ato será interrompido e não será concluído se algum dos intervenientes desativar a captação de imagem e som. Se assim é, não faz sentido a necessidade de consentimento. O consentimento apenas deve ser exigido como fundamento de licitude quando não exista outro fundamento e exista alternativa. O que não é o caso.
Portanto, não há que solicitar o consentimento, mas sim informar o interveniente que a realização dos atos por esta via está condicionada à gravação da videoconferência. Essa informação deve ser prestada no início do procedimento, a fim de permitir que o titular dos dados tome uma decisão informada sobre a forma como pretende realizar o ato, se à distância, com gravação da videoconferência, se presencialmente.
Comunicações eletrónicas e apresentação de documentos instrutórios pelos profissionais
Quanto às comunicações eletrónicas e apresentação de documentos instrutórios efetuadas pelos profissionais, o projeto de diploma estabelece que estas sejam realizadas:
- através do endereço eletrónico disponibilizado pelo IRN, para conservadores do registo ou dos oficiais de registo;
- através do endereço eletrónico disponibilizado pelo Ministério dos Negócios Estrangeiros, para agentes consulares portugueses; ou
- através do endereço eletrónico disponibilizado pelas respetivas ordens, para advogados, solicitadores ou notários.
Após a leitura e explicação do documento a lavrar, os intervenientes apõem nele a sua assinatura eletrónica qualificada, submetendo-o na plataforma digital. Após verificar a qualidade da gravação da sessão, o documento é assinado pelo profissional que o submete na plataforma digital.
O prazo de conservação dos documentos instrutórios apresentados através da plataforma, bem como das sessões de gravações de videoconferência é de 20 anos; estas apenas podem ser disponibilizadas aos intervenientes através de decisão judicia.
Prevê-se que os documentos que devam ficar arquivados por força de disposição legal, sejam conservados eletronicamente e arquivados pelo profissional que os lavrou, caso seja um notário, ou, no caso de documentos lavrados por conservadores ou oficiais de registos, bem como pelos agentes consulares portugueses, pela entidade gestora da plataforma informática em articulação com o IRN e com o Ministério dos Negócios Estrangeiros.
Os acessos à plataforma eletrónica pelos intervenientes e pelos profissionais são objeto de registo eletrónico, para efeitos de auditoria. Essa informação deve ser disponibilizada a todos os utilizadores da plataforma, quando do início do processo de tratamento de dados.
Nada é dito quanto aos direitos dos titulares dos dados, limitando-se o projeto a referir, em termos gerais, a aplicabilidade do RGPD e da Lei nacional de execução. Assim, deverá assegurar-se que são prestadas aos titulares de dados as informações devidamente explicitadas.
Referências
CNPD - Parecer n.º 91/2021, de 05.07.2021