Três autorizações de isenção elaboradas pelo Gabinete para a Protecção de Dados Pessoais foram publicadas no Boletim Oficial da Região Administrativa Especial de Macau, Série II, de 5 de Dezembro de 2007. Publicadas estas três autorizações, as entidades públicas e privadas que efectuam, nos termos do previsto nas mesmas, os tratamentos de dados de “retribuições, prestações e regalias de trabalhadores”, de “gestão administrativa de trabalhadores e prestadores de serviços” e relativos à “cobrança de quotizações de pessoa colectiva sem fins lucrativos e aos contactos dos associados ou membros” estão isentas de proceder, junto do Gabinete para a Protecção de Dados Pessoais, à notificação prevista no n.º 1 do artigo 21.º da Lei n.º 8/2005, Lei da Protecção de Dados Pessoais.
Nos termos do no n.º 1 do artigo 21.º da Lei da Protecção de Dados Pessoais, as entidades públicas e privadas como os Serviços Públicos, sociedades, associações e pessoa colectiva sem fins lucrativos, devem notificar, por escrito e no prazo de 8 dias, o Gabinete da Protecção de Dados Pessoais do início da realização de tratamentos automatizados de dados pessoais. Os referidos “tratamentos automatizados” são entendidos por, de um modo geral, tratamentos de dados pessoais através de aparelhos automatizados como os computadores. No previsto no n.º 2 do mesmo artigo, o Gabinete, no pressuposto da eficácia da protecção de dados pessoais, pode autorizar a simplificação ou a isenção da notificação para determinadas categorias de tratamentos que tenham em conta critérios de celeridade, economia e eficácia.
O Gabinete para a Protecção de Dados Pessoais, como uma autoridade pública para coordenar nos trabalhos da execução da lei, está a promover, em fases e de forma gradual, os respectivos trabalhos.
A publicação das autorizações visa a satisfazer, no pressuposto da eficácia da protecção de dados pessoais, as necessidades do funcionamento diário da sociedade. A isenção de notificação para determinadas categorias de tratamentos automatizados de dados pessoais efectuados pelas entidades públicas e privadas como os Serviços Públicos, sociedades, associações e pessoa colectiva sem fins lucrativos contribui para não só diminuir o encargo administrativo desnecessário, mas também economizar os recursos de ambas as partes. Além disso, as autorizações podem ainda servir de referência, no que diz respeito a formas e graus de tratamentos, a entidades públicas e privadas em tratamentos de dados pessoais. O Gabinete para a Protecção de Dados Pessoais, na elaboração de autorizações, tendo em conta as necessidades gerais do funcionamento diário da maioria das entidades, entende que os tratamentos de dados pessoais efectuados legalmente e ao abrigo do previsto das mesmas não sejam susceptíveis de pôr em causa os direitos e liberdades dos titulares dos dados, mesmo que estejam realizados com meios automatizados. Estas três autorizações têm em vista os tratamentos de dados de “retribuições, prestações e regalias de trabalhadores”, de “gestão administrativa de trabalhadores e prestadores de serviços” e relativos à “cobrança de quotizações de pessoa colectiva sem fins lucrativos e aos contactos dos associados ou membros”, onde se prevêem os tratamentos de dados pessoais de trabalhadores e prestadores de serviços efectuados por entidades públicas e privadas, bem como os de associados ou membros efectuados por pessoa colectiva sem fins lucrativos incluindo associações e Fundações, sendo, em cada autorização, especificados detalhadamente a finalidade do tratamento, tipos de titulares, categoria de dados tratados, prazo de conservação de dados, bem como tipos de destinatários a quem os dados possam ser comunicados. As entidades públicas e privadas, caso efectuem os tratamentos de dados com finalidade, categoria, prazo de conservação e destinatários acima referidos, ou mesmo que efectuem fora do âmbito especificado, mas com meios manuais, estão isentas de notificar o Gabinete para a Protecção de Dados Pessoais. Caso contrário, os tratamentos são efectuados fora do âmbito especificado e com meios automatizados, assim, as entidades devem notificar, o mais rápido possível, o Gabinete. Tomando como exemplo, o certificado de saúde e a fotocópia do bilhete de identidade dos trabalhadores recolhidos pela entidade estão excluídos nas especificações da autorização, caso estes sejam conservados e tratados de forma documental, não são considerados como tratamentos automatizados, não necessitando da respectiva notificação. Todavia, caso estes sejam conservados e tratados de forma dos documentos electrónicos adquiridos através de scanning, são, assim, considerados como tratamentos automatizados e a respectiva notificação deve ser feita.
A notificação deve ser feita através do preenchimento do “Impresso de Notificação e Pedido de Autorização” que poderá ser adquirido através do Gabinete ou downloaded na página electrónica (http://www.gpdp.gov.mo) do mesmo Serviço. Neste momento, o Gabinete procede à elaboração de outras quatro autorizações do tipo semelhante, em que se definem os tratamentos de dados de “facturação e contactos com clientes, fornecedores e prestadores de serviços”, de “estudantes por instituições educativas”, de “utentes por bibliotecas e arquivos” e de “entradas e saídas de pessoas em edifícios”. É conveniente que as entidades que efectuam os respectivos tratamentos automatizados prestem atenção da divulgação do Gabinete.
Mais ainda, o Gabinete já publicou, em 20 de Setembro de 2007, os “Princípios da protecção de dados pessoais em locais de trabalho – Instruções para fiscalização das actividades dos empregados pelos empregadores”, onde se indicam que as entidades devem notificar nos termos da disposição legal, caso procedam com meios automatizados, a fiscalizações de chamadas telefónicas, de correio electrónico, de visualização de internet e por videogravação. O Gabinete lança apelos às entidades que ainda não efectuam a respectiva notificação a cumprir o respectivo dever jurídico o mais rápido possível, para não praticarem infracção administrativa nem estarem sujeitos à sanção.
