Tribunais e Regulamento Geral

de Proteção de Dados –
Que convivência?
A função jurisdicional e a ausência de controlo administrativo

Aplicação do RGPD aos tribunais.

Aplicação do RGPD e criação de órgãos específicos no domínio da função

jurisdicional.

Queixas e aplicação de sanções.

 Considerando 20 do RGPD

«Na medida em que o presente regulamento é igualmente aplicável, entre outras, às atividades dos
tribunais e de outras autoridades judiciais, poderá determinar-se no direito da União ou dos
Estados-Membros quais as operações e os procedimentos a seguir pelos tribunais e outras autoridades
judiciais para o tratamento de dados pessoais. A competência das autoridades de controlo não abrange o
tratamento de dados pessoais efetuado pelos tribunais no exercício da sua função jurisdicional, a fim de
assegurar a independência do poder judicial no exercício da sua função jurisdicional, nomeadamente a
tomada de decisões. Deverá ser possível confiar o controlo de tais operações de tratamento de dados a
organismos específicos no âmbito do sistema judicial do Estado-Membro, que deverão, nomeadamente,
assegurar o cumprimento das regras do presente regulamento, reforçar a sensibilização dos membros do
poder judicial para as obrigações que lhe são impostas pelo presente regulamento e tratar reclamações
relativas às operações de tratamento dos dados.»
 CONCLUSÕES DO ADVOGADO-GERAL
MICHAL BOBEK
apresentadas em 6 de outubro de 2021(1)
Processo C-245/20
X, Z
contra
Autoriteit Persoonsgegevens

32. É evidente que o RGPD se destina a ser aplicado aos tribunais dos Estados-Membros.

33. Distinta da questão da aplicabilidade material das regras previstas no RGPD, mas ainda indissociavelmente
ligada a esta, encontra-se a questão do controlo do cumprimento dessas regras.

37. Em terceiro lugar, é neste contexto que o artigo 55.o, n.º 3, do RGPD distingue outro tipo específico de
operação de tratamento, nomeadamente o tratamento efetuado por tribunais que atuem no exercício da sua
função jurisdicional. As autoridades de controlo «ordinárias», nos termos do artigo55.o, n.º 1, do RGPD, não são
competentes para estas atividades. Ao invés, o considerando 20 do RGPD explica que «deverá ser possível confiar
o controlo de tais operações de tratamento de dados a organismos específicos no âmbito do sistema judicial do
Estado-Membro».
40. Em segundo lugar, a aplicabilidade do artigo 55.o, n.o 3, do RGPD está sujeita a duas condições. Deve existir
uma «operação de tratamento» na aceção do RGPD (1). Em seguida, esta deve ser efetuada por um «tribunal que
atue no exercício da sua função jurisdicional» (2). Só depois se poderá determinar qual a instituição responsável
pelo controlo do cumprimento do RGPD por esta atividade. Debruçar-me-ei agora sobre estas duas condições.

81. Por outro lado, a necessidade de uma interpretação ampla dos termos «função jurisdicional» é também
confirmada pela inclusão da palavra «nomeadamente» antes de «tomada de decisões», no segundo período do
considerando 20 do RGPD. Com efeito, o vínculo assim criado indica igualmente que o conceito de «função
jurisdicional» deve ser interpretado de forma mais ampla do que meras decisões individuais relativas a um caso
concreto. Por conseguinte, não há novamente necessidade de garantir que cada atividade individual de
tratamento deve assegurar, visível e claramente, a tarefa de salvaguarda da independência judiciária. Pelo
contrário, pode, de facto, considerar-se que um tribunal atua no exercício de uma «função jurisdicional»
mesmo quando desempenha atividades relacionadas com o funcionamento geral do poder judicial ou com o
funcionamento e administração gerais do processo judicial, seja, por exemplo, a compilação e arquivamento de
ficheiros, a atribuição de processos aos juízes, a apensação de processos, a prorrogação de prazos, a conduta e
organização das audiências, a publicação e difusão dos seus acórdãos no interesse do público em geral
(seguramente no caso dos tribunais superiores), ou mesmo a formação de novos juízes.
 ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Primeira Secção)
24 de março de 2022

C-245/20

Na audiência realizada em 30 de outubro de 2018 na Secção de Contencioso Administrativo do Raad van State
(Conselho de Estado, em formação jurisdicional), no âmbito de um processo judicial no qual Z era parte,
representado por X, estes últimos foram abordados por um jornalista. Durante a conversa, X constatou que esse
jornalista dispunha de documentos dos autos do processo em causa, incluindo documentos que ele próprio
redigiu, revelando em especial o seu nome e endereço, bem como o número nacional de identificação de Z. O
jornalista indicou-lhe que esses elementos tinham sido postos à sua disposição no âmbito do direito de acesso aos
autos dos processos que a Secção de Contencioso Administrativo do Raad van State (Conselho de Estado, em
formação jurisdicional) confere aos jornalistas.
Por outro lado, Z alega que o artigo 55.o, n.o 3, do Regulamento 2016/679 deve ser
declarado inválido pelo Tribunal de Justiça com o fundamento de que a incompetência da
autoridade de controlo em causa no que respeita às operações de tratamento efetuadas pelos
órgãos jurisdicionais «no exercício da sua função jurisdicional», prevista nesta disposição, não
é acompanhada da obrigação de os Estados-Membros preverem modalidades de controlo
específicas relativamente a essas operações de tratamento, o que seria contrário às
exigências decorrentes do direito a um recurso efetivo.
No entanto, tal argumentação não pode proceder, uma vez que, como resulta do considerando
20 do Regulamento2016/679, o legislador da União, ao adotar o artigo 55.o, n.o 3, deste
regulamento, não pretendeu subtrair a qualquer controlo as operações de tratamento
efetuadas pelos órgãos jurisdicionais «no exercício da sua função jurisdicional», mas apenas
excluiu que a fiscalização dessas operações seja confiada a uma autoridade externa.

DECISÃO: O artigo 55.o, n.o 3, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril
de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), deve ser
interpretado no sentido de que o facto de um órgão jurisdicional disponibilizar temporariamente a jornalistas
documentos dos autos de um processo judicial, que contêm dados pessoais, a fim de lhes permitir informar melhor
sobre o desenrolar desse processo decorre do exercício, por esse órgão jurisdicional, da sua «função jurisdicional»,
na aceção desta disposição.
Com efeito, a preservação da independência do poder judicial pressupõe, de
maneira geral, que as funções jurisdicionais sejam exercidas com total autonomia,
sem que os órgãos jurisdicionais estejam submetidos a vínculos hierárquicos ou de
subordinação nem recebam ordens ou instruções seja de que origem for, estando
assim protegidas de qualquer intervenção ou pressão externa suscetível de
prejudicar a independência de julgamento dos seus membros e de influenciar as
suas decisões. O respeito das garantias de independência e de imparcialidade
exigidas pelo direito da União pressupõe a existência de regras que permitam
afastar qualquer dúvida legítima, no espírito dos litigantes, quanto à
impermeabilidade da instância em causa em relação a elementos externos e à sua
neutralidade relativamente aos interesses em confronto
 Lei n.º 34/2009
de 14 de Julho
Estabelece o regime jurídico aplicável ao tratamento de dados referentes ao sistema judicial e procede à
segunda alteração à Lei n.º 32/2004, de 22 de Julho, que estabelece o estatuto do administrador da
insolvência.
CAPÍTULO III
Responsabilidade pelo tratamento dos dados
e pelo desenvolvimento aplicacional
Artigo 24.º
Entidades responsáveis
1 — O Conselho Superior da Magistratura é a entidade responsável pela gestão dos dados previstos:
a) Nas alíneas a) e g) do artigo 3.º;
b) Na alínea e) do artigo 3.º, quando a conexão opere relativamente a processos que se encontrem
simultaneamente na fase de instrução ou julgamento;
c) Na alínea h) do artigo 3.º, quando o mandado de detenção dimanar do juiz.

a) Aos processos nos tribunais judiciais; e) À conexão processual no processo penal; g) Às medidas de coação
privativas da liberdade e à detenção; h) Às ordens de detenção.
 Artigo 24.º

2 — O Conselho Superior dos Tribunais Administrativos e Fiscais é a entidade responsável pela gestão dos
dados previstos na alínea b) do artigo 3.º;
3 — A Procuradoria -Geral da República é a entidade responsável pela gestão dos dados previstos:
a) Nas alíneas c), d) e f) do artigo 3.º;
b) Na alínea e) do artigo 3.º, quando a conexão opere
relativamente a processos que se encontrem simultaneamente na fase de inquérito;
c) Na alínea h) do artigo 3.º, quando o mandado de
detenção não dimanar do juiz.
4 — O Conselho de Acompanhamento dos Julgados de Paz é a entidade responsável pela gestão dos dados
referidos na alínea i) do artigo 3.º
5 — O Gabinete para a Resolução Alternativa de Litígios (GRAL) é a entidade responsável pela gestão dos
dados referidos na alínea j) do artigo 3.º

b) Aos processos nos tribunais administrativos e fiscais; c) Aos inquéritos em processo penal; d) Aos demais
processos, procedimentos e expediente da competência do Ministério Público; e) À conexão processual no
processo penal; f) À suspensão provisória do processo penal e ao arquivamento em caso de dispensa de pena; h) Às
ordens de detenção; i) Aos processos nos julgados de paz; j) Aos processos nos sistemas públicos de mediação.
 Artigo 25.º
Comissão para a Coordenação da Gestão dos Dados
Referentes ao Sistema Judicial
1 — As competências das entidades responsáveis pela gestão dos dados são exercidas de forma coordenada,
através de uma Comissão para a Coordenação da Gestão dos Dados Referentes ao Sistema Judicial, cujo mandato
tem a duração de quatro anos, a qual é integrada por:
a) Dois representantes designados por cada uma das entidades referidas nos n.os 1 a 3 do artigo anterior, um dos
quais com competência e experiência técnica em matéria de administração de sistemas;
b) Um representante com competência e experiência técnica em matéria de administração de sistemas, designado
por cada uma das entidades referidas nos n.os 4 e 5 do artigo anterior.
2 — Os representantes referidos no número anterior têm pleno acesso às instalações e infra -estruturas físicas
de suporte ao tratamento de dados, bem como aos dados recolhidos nos termos da presente lei, sem prejuízo dos
regimes do segredo de justiça e do segredo de Estado.
3 — A Comissão para a Coordenação da Gestão dos Dados Referentes ao Sistema Judicial é ainda integrada por:
a) Um presidente, designado nos termos do n.º 4;
b) Dois representantes designados pela Assembleia da República;
c) Dois representantes designados pelo Instituto das Tecnologias de Informação na Justiça, I. P., enquanto entidade
responsável pelo desenvolvimento aplicacional, um dos quais com competência e experiência técnica em matéria
de administração de sistemas;
d) Dois representantes designados pela Direção –Geral da Administração da Justiça, enquanto entidade com
competências em matéria de gestão e administração dos funcionários de justiça, um dos quais com competência e
experiência técnica em matéria de administração de sistemas.
4 — O presidente da Comissão para a Coordenação da Gestão dos Dados Referentes ao Sistema Judicial é
designado pela Assembleia da República, de entre personalidades de reconhecido mérito.
5 — Compete à Comissão para a Coordenação da Gestão dos Dados Referentes ao Sistema Judicial:

a) Assegurar o exercício coordenado das competências dos responsáveis pela gestão dos dados;
b) Promover e acompanhar as auditorias de segurança ao sistema;
c) Definir orientações e recomendações em matéria de requisitos de segurança do sistema, tendo designadamente
em conta as prioridades em matéria de desenvolvimento aplicacional, as possibilidades de implementação técnica
e os meios financeiros disponíveis;
d) Criar e manter um registo atualizado dos técnicos que executam as operações materiais de tratamento e
administração dos dados;
e) Comunicar imediatamente às entidades competentes para a instauração do competente processo penal ou
disciplinar, a violação do disposto na presente lei.
6 — O funcionamento da Comissão para a Coordenação da Gestão dos Dados Referentes ao Sistema Judicial é
definido em regulamento interno, a aprovar pelos seus membros nos termos da presente lei.
7 — No fim de cada período de dois anos, a Comissão para a Coordenação da Gestão dos Dados Referentes ao
Sistema Judicial elabora um relatório, cujo conteúdo deve ser transmitido à Assembleia da República e a todas as
entidades que designam representantes para a Comissão.
 Segurança dos dados
Artigo 42.º
Medidas de segurança
1 — Tendo em vista a segurança dos dados, são objeto de controlo:
a) A entrada nas instalações utilizadas para o armazenamento de dados, a fim de impedir o acesso às mesmas
por pessoa não autorizada;
b) Os suportes utilizados, a fim de impedir que possam ser lidos, copiados, alterados ou retirados por pessoa não
autorizada;
c) A consulta dos dados, a fim de assegurar que é efetuada apenas por pessoas autorizadas e que se processa
nos termos da presente lei;
d) A inserção, a alteração, a eliminação e a realização de qualquer outra operação sobre os dados, de forma a
verificar -se que operações foram realizadas, quando e por quem, e para impedir a introdução, assim como qualquer
tomada de conhecimento, alteração ou eliminação não autorizadas dos mesmos;
e) Os sistemas de tratamento automatizado de dados, para impedir que possam ser utilizados por pessoas não
autorizadas, através de instalações de tratamento de dados;
f) A transmissão de dados, para garantir que o envio destes, através de instalações de transmissão de dados, se
limite às entidades autorizadas;
g) A transmissão de dados e o transporte de suportes de dados, para impedir que os dados possam ser lidos,
copiados, alterados ou eliminados de forma não autorizada;
h) O acesso aos dados a partir de fora das instalações físicas onde se encontram
armazenados, de modo a garantir a sua segurança.

2 — O controlo da consulta dos dados e das operações realizadas sobre os dados,

previsto nas alíneas c) e d) do número anterior, é feito através do registo eletrónico
referido no n.º 3 do artigo 29.º, devendo esse registo ser periodicamente comunicado
aos responsáveis pela gestão dos dados, para fins de auditoria aos acessos.

3 — Para as finalidades referidas no número anterior é também mantido um registo

das permissões de acesso atribuídas a cada utilizador, devendo os dados constantes
de tal registo ser eliminados 10 anos após a data do seu registo.

4 — Tendo em vista a segurança e a preservação da informação, são feitas,

periodicamente, cópias de segurança da mesma.
 Artigo 44.º
Comissão Nacional de Proteção de Dados

1 — Os responsáveis pela gestão dos dados, bem como as demais entidades que integram a comissão prevista
no artigo 25.º, devem notificar, de imediato, à Comissão Nacional de Proteção de Dados (CNPD), a identidade
e as funções dos representantes designados nos termos
desse artigo.
2 — Tendo em vista a prossecução da atribuição de controlo e fiscalização do cumprimento das normas de
proteção de dados pessoais, oficiosamente ou na sequência de reclamação, queixa ou petição que lhe seja
submetida, a CNPD pode aceder ao registo referido nos n.os 2 e 3 do artigo 42.º.
3 — O disposto nos números anteriores não prejudica o exercício, pela CNPD, dos poderes e das competências
previstos nos artigos 22.º e 23.º da Lei da Proteção de Dados Pessoais
 Artigo 45.º
Segurança das infra -estruturas físicas

1 — O Ministério da Justiça assegura, através do departamento com competência para a matéria em causa,
que as infra -estruturas físicas e as linhas de transmissão de suporte à recolha, registo e intercâmbio dos dados,
bem como ao arquivo eletrónico, são mantidas em instalações que garantam as condições de segurança
adequadas.
 DECRETO DA ASSEMBLEIA DA REPÚBLICA N.º 333/XIII
SEGUNDA ALTERAÇÃO À LEI N.º 34/2009, DE 14 DE JULHO, QUE ESTABELECE O REGIME JURÍDICO APLICÁVEL
AOTRATAMENTO DE DADOS REFERENTES AO SISTEMA JUDICIAL

Artigo 25.º
Comissão de Coordenação da Gestão da Informação do Sistema Judiciário

1 - As competências das entidades supervisoras da gestão da informação são exercidas diretamente ou em

cooperação e de forma coordenada através da Comissão de Coordenação da Gestão da Informação do
Sistema Judiciário, adiante designada por Comissão.
2 - A Comissão é constituída pelo conselho superior e pelo conselho coordenador.
3 - Compete à Comissão:
a) Assegurar o exercício coordenado das competências das entidades supervisoras da gestão da
informação, nomeadamente a adoção das medidas técnicas e organizativas adequadas a garantir a segurança
dos dados pessoais;
b) Assegurar a cooperação no desenvolvimento das aplicações informáticas necessárias à tramitação dos
processos e à gestão do sistema judiciário, nos termos do n.º 2 do artigo seguinte;
c) Colaborar co m a CNPD no exercício dos seus poderes e na prossecução das suas atribuições
relativamente à proteção e tratamento de dados pessoais no sistema judiciário;
d) Definir orientações e recomendações em matéria de requisitos de segurança dos dados das aplicações
informáticas necessárias à tramitação dos processos e à gestão do sistema judiciário, tendo designadamente
em conta as prioridades em matéria de desenvolvimento aplicacional, as possibilidades de implementação
técnica e os meios financeiros disponíveis;
e) Determinar a realização de auditorias técnicas e de segurança, com recurso, se necessário, a entidades
externas;
f) Definir orientações e recomendações sobre efetivação e conservação de registos cronológicos de
operações de tratamento e requisitos de segurança;
g) Manter um registo atualizado dos encarregados de proteção de dados nomeados ao abrigo da presente
lei e solicitar e receber destes toda a informação relevante para o exercício das respetivas competências;
h) Manter um registo atualizado dos técnicos e respons áveis pela segurança da informação que
asseguram o desenvolvimento, a atualização, a manutenção, a confidencialidade, a integridade, a
autenticidade e a disponibilidade dos ficheiros e dos sistemas informáticos, incluindo aplicações e respetivos
subsistema s, necessários à tramitação dos processos e à gestão do sistema judiciário.
i) Ser informada pelos responsáveis pelo tratamento de dados e pelo Ministério da Justiça, nos termos da
competência prevista no artigo seguinte, de qualquer informação relevante para a proteção dos dados de que
tenham conhecimento, incluindo violações de dados pessoais ou do disposto na presente lei, e comunicar
essas situações às entidades competentes para efeitos penais ou disciplinares.
4 - O conselho superior da Comissão é constituíd constituído:
a) Pelo membro do Governo responsável pela área da justiça, que preside;
b) Por duas personalidades de reconhecido mérito designadas pela Assembleia da República;
c) Pelo Presidente do Conselho Superior da Magistratura;
d) Pelo Presidente do Conselho Superior dos Tribunais Administrativos e Fiscais;
e) Pelo Procurador Procurador-Geral da República;
f) Pelo Presidente do Conselho dos Julgados de Paz.

5 - Compete ao conselho superior da Comissão:

a) Aprovar o plano estratégico da Comissão;
b) Definir as orientações a serem aplicadas pelo conselho coordenador;
c) Homologar os relatórios de avaliação periódica e final de cumprimento do plano estratégico
apresentados pelo conselho coordenador;
d) Supervisionar a atividade do conselho coordenador;
e) Aprovar o regulamento interno da Comissão.
Para enquadrar o tema de acesso a dados pessoas constantes de processos públicos,
afigura-se útil avaliar o regime constante do artigo 164.º do CPC relativo à “limitação à
publicidade do processo”, que se repercute no domínio da proteção de dados pessoais.

A regra basilar em processo civil expressa-se na publicidade (artigo 163.º), com as

interdições que a lei estabeleça, demonstrando a “transparência da função jurisdicional” .

As limitações de acesso aos autos definida no artigo 164.º fundam-se em razões

diferenciadas:
(i) de acordo com o n.º 1, o acesso aos autos é “limitado” – não se refere uma proibição
genérica - quando dos autos resulte dano à dignidade das pessoas, à intimidade da
vida privada ou à moral pública; em qualquer destas circunstâncias não refere em
concreto a qualidade dos intervenientes processuais;
(ii) ainda de acordo com o n.º 1, a limitação de acesso também pode ser adotada
quando esteja em causa a eficácia da decisão a proferir;
(iii) consideram-se (n.º 2), entre outros, fundamento da limitação processos
pessoais (alínea a); procedimentos cautelares (alínea b); processos de execução
(alínea c) e, pela sua especialidade no que respeita à natureza do processo e aos
dados pessoais envolvidos, os processos de acompanhamento de maior (alínea d) .
A matéria relativa a dados pessoais, e ao limite de acesso a processos judiciais, consta do n.º 3, segundo o qual :

“O acesso a informação do processo também pode ser limitado, em respeito pelo regime legal de proteção e
tratamento de dados pessoais, quando, estando em causa dados pessoais constantes do processo, os mesmos não
sejam pertinentes para a justa composição do litígio.”

Entendemos que esta disposição deve funcionar como pauta interpretativa para o citado n.º 1 do artigo 164.º. Para
além dos casos de “tutela da dignidade e da intimidade” que impedem o acesso ao processo por qualquer pessoa , as
limitações de acesso previstas no n.º 3 estão enraizadas na “impertinência” dos dados pessoais constantes do
processo para a justa composição do litígio.

À face do RGPD e do princípio da publicidade dos processos judiciais, cremos que: (i) decorre da natureza pública do
processo e do escrutínio público que o acompanha o inevitável acesso a dados pessoais que podem ser exercido
pelo próprio, por pessoa com interesse pessoal, ou por terceiro; (ii) atendendo ao tipo de dados que as partes
carreiam para o processo, pode estar nele incluído matéria com informações pessoais às quais o juiz ou o coletivo
não atribuem relevo para a composição do litígio; (iii) em situações desta natureza, e quando estejam em causa
categorias especiais de dados (previstas no artigo 9.º do RGPD) devem ser estabelecidos limites de acesso ao
processo; (iv) no que toca a informação pessoal, entende-se que mesmo critério deve ser seguido no que respeita à
concretização dos conceitos previsto no n.º 1 do artigo 164.º e (v) independentemente da “pertinência” que exista
para a justa composição do litígio, terceiros não são titulares do direito de acesso a processo judicial quando esteja
em causa a tutela da dignidade e da honra.