parecer 3/2013 sobre limitação da finalidade...em 25 de janeiro de 2012, a comissão adoptou um...
TRANSCRIPT
1
GRUPO DE TRABALHO DE PROTECÇÃO DE DADOS DO ARTIGO 29.º
WP 203
O Grupo de Trabalho foi instituído pelo artigo 29.º da Directiva 95/46/CE. Trata-se de um órgão consultivo europeu independente em matéria de protecção de dados e de privacidade. As suas atribuições estão descritas no artigo 30.º da Directiva 95/46/CE e no artigo 15.º da Directiva 2002/58/CE.
O secretariado é assegurado pela Direcção C (Direitos Fundamentais e Cidadania da União) da Direcção-Geral da Justiça da Comissão Europeia, B-1049 Bruxelas, Bélgica, Gabinete n.º MO-59 02/013.
Sítio Web: http://ec.europa.eu/justice/data-protection/index_pt.htm
Parecer 3/2013 sobre limitação da finalidade
Adoptado em 2 de Abril de 2013
tradução não oficial realizada peloGabinete para a Protecção de Dados Pessoais
Macau
2
Parecer 3/2013 sobre limitação da finalidade
Síntese...........................................................................................................................4
I. Introdução.............................................................................................................6
II. Observações gerais e questões de política.........................................................9 II.1. Síntese histórica.............................................................................................9II.2. Papel do conceito.........................................................................................14 II.2.1. Primeiro pilar: determinação da finalidade............................................15 II.2.2. Segundo pilar: utilização compatível.....................................................16II.3. Conceitos relacionados................................................................................17II.4. Contexto e consequências estratégicas........................................................18
III. Análise das disposições.......................................................................................19 III.1 Finalidades “determinadas, explícitas e legítimas”....................................19
III.1.1. As finalidades devem ser determinadas................................................19III.1.2. As finalidades devem ser explícitas......................................................21III.1.3. As finalidades devem ser legítimas.......................................................24
III.2 Avaliação da compatibilidade......................................................................25III.2.1. Enquadramento geral da avaliação da compatibilidade...........................26
III.2.2. Factores-chave a considerar durante a avaliação da III.2.3. Tratamento posterior para finalidades históricas, estatísticas ou III.2.4. Artigo 13.º da Directiva relativa à privacidade e às comunicações III.2.5. Megadados e dados abertos..................................................................43III.2.6. Consequências da incompatibilidade....................................................44
III.3. Excepções ao abrigo do artigo 13.º da Directiva........................................46
IV. Conclusões..........................................................................................................47IV.1. Análise do enquadramento jurídico actual..................................................47
compatibilidade..................................................................................29
científicas.............................................................................................34
electrónicas sobre comunicações não solicitadas.................................41
3
IV.2 Recomendações para o futuro......................................................................51
Anexo 1: Propostas de alteração.............................................................................53
Anexo 2: Megadados e dados abertos....................................................................55Megadados.............................................................................................................55Dados abertos.........................................................................................................58
Anexo 3: Exemplos práticos para ilustrar a determinação da finalidade.....................................................................................................................................62 Anexo 4: Exemplos práticos para ilustrar a avaliação da compatibilidade .....................................................................................................................................69
4
Síntese
O presente Parecer analisa o princípio da limitação da finalidade. Fornece orientação para a aplicação prática do princípio ao abrigo do actual enquadramento jurídico e formula recomendações de política para o futuro.
A limitação da finalidade protege as pessoas em causa* estabelecendo limites ao modo como os responsáveis pelo tratamento podem usar os seus dados ao mesmo tempo que oferece algum grau de flexibilidade aos responsáveis pelo tratamento. O conceito de limitação da finalidade assenta em dois pilares: os dados pessoais devem ser recolhidos para finalidades “determinadas, explícitas e legítimas” (determinação da finalidade) e não podem ser “tratados posteriormente de forma incompatível com essas finalidades” (utilização compatível).
O tratamento posterior para uma finalidade diferente não significa necessariamente que seja incompatível: a compatibilidade carece de ser avaliada caso a caso. Uma avaliação substantiva da compatibilidade exige uma avaliação de todas as circunstâncias relevantes. Em especial devem ser tidos em conta os seguintes factores-chave:
— A relação entre as finalidades para as quais os dados foram recolhidos e as finalidades do tratamento posterior;
— O contexto no qual os dados pessoais foram recolhidos e as expectativas razoáveis das pessoas em causa quanto à sua utilização posterior;
— A natureza dos dados pessoais e o impacto do tratamento posterior sobre as pessoas em causa;
— As garantias adoptadas pelo responsável pelo tratamento para assegurar um tratamento leal e para evitar impactos indevidos sobre as pessoas em causa.
O tratamento de dados pessoais de forma incompatível com as finalidades determinadas aquando da recolha é contrário à lei e, portanto, é proibido. O responsável pelo tratamento não pode legitimar um tratamento incompatível com um simples recurso a uma nova fundamentação jurídica ao abrigo do artigo 7.º. O princípio da limitação da finalidade só pode ser restringido nas condições indicadas no artigo 13.º da Directiva.
Nota do tradutor: na versão oficial em Português da Directiva 95/46/CE, a expressão “data subject” foi traduzida por “pessoa em causa”. Porém, na versão em Português da Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção de dados), a mesma expressão foi traduzida por “titular dos dados”. Na presente tradução, uma e outra foram aplicadas consoante o contexto da referência (Directiva ou Proposta de Regulamento) e devem ser consideradas sinónimas. Note-se que, quer na Lei n.º 67/98, de 26 de Outubro de Portugal, quer na Lei n.º 8/2005, de Macau, foi adoptada a expressão “titular dos dados”.
*
5
A presente análise também tem consequências para o futuro. O n.º 4 do artigo 6.º da proposta de Regulamento Geral sobre a Protecção de Dados fornece uma excepção ampla ao requisito da compatibilidade, que restringiria severamente a sua aplicabilidade e comporta o risco de erodir este princípio-chave. Em conformidade, o Grupo de Trabalho do artigo 29.º recomenda a eliminação do proposto n.º 4. Adicionalmente e para garantir maior certeza jurídica, o Grupo de Trabalho do artigo 29.º recomenda que os legisladores adoptem a lista supra de factores relevantes para a avaliação da compatibilidade. Embora esta apresentação de factores-chave não seja completamente exaustiva, ela tenta sublinhar os factores mais típicos que podem ser considerados numa abordagem equilibrada: nenhum deles é tão geral que perca significado nem tão específico que se torne excessivamente rígido.
6
O GRUPO DE TRABALHO SOBRE A PROTECÇÃO DAS PESSOAS SINGULARES NO QUE DIZ RESPEITO AO TRATAMENTO DE
DADOS PESSOAIS
instituído pela Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995,
tendo em conta o artigo 29.º, a alínea a) do n.º 1 do artigo 30.º e o n.º 3 do artigo 30.º da directiva acima mencionada,
tendo em conta o seu regulamento interno,
adoptou o seguinte parecer:
I. Introdução
O princípio da “limitação da finalidade”
A alínea b) do n.º 1 do artigo 6.º da Directiva 95/46/CE1 (a “Directiva”) inclui o princípio da limitação da finalidade entre os princípios-chave da protecção de dados. Estipula que os dados pessoais devem ser “Recolhidos para finalidades determinadas, explícitas e legítimas, e que não serão posteriormente tratados de forma incompatível com essas finalidades”.
A determinação da finalidade é um primeiro passo essencial na aplicação das leis de protecção de dados e na concepção das garantias para qualquer operação de tratamento. De facto, a determinação da finalidade é um requisito prévio à aplicação dos restantes requisitos sobre a qualidade dos dados, incluindo a adequação, a relevância, a proporcionalidade e a exactidão dos dados recolhidos e dos requisitos relativos ao período de conservação dos dados. O princípio da limitação da finalidade está concebido para estabelecer os limites dentro dos quais os dados pessoais recolhidos para uma dada finalidade podem ser tratados e utilizados posteriormente. O princípio tem dois componentes:
— O responsável pelo tratamento só pode recolher dados para finalidades determinadas, explícitas e legítimas, e
— Uma vez recolhidos os dados, estes não podem ser posteriormente utilizados de forma incompatível com aquelas finalidades.
Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281, 23/11/1995, p. 31).
1
7
Quando partilhamos dados pessoais com outros, temos habitualmente uma expectativa acerca das finalidades para as quais esses dados serão utilizados. Há um elemento de valor em honrar essas expectativas e em conservar a confiança e a certeza jurídica, sendo por isto que a limitação da finalidade é uma garantia tão importante, uma pedra angular da protecção de dados. De facto, o princípio da limitação da finalidade impede os “desvios de missão”, que de outro modo poderiam dar lugar à utilização dos dados pessoais disponíveis para além das finalidades para as quais eles teriam sido inicialmente recolhidos.
Por outro lado, dados que já foram obtidos podem também ser genuinamente úteis para outras finalidades inicialmente não determinadas. Assim, há também, um valor em permitir, dentro de limites cuidadosamente equilibrados, algum grau de utilização adicional. A proibição da “incompatibilidade” na alínea b) do n.º 1 do artigo 6.º não afasta em bloco utilizações novas, diferentes, dos dados – desde que isto ocorra dentro dos parâmetros da compatibilidade.
O princípio da limitação da finalidade – que inclui a noção de utilização compatível – requer que em cada situação na qual se considere utilização posterior se proceda a uma distinção entre utilizações posteriores “compatíveis” e outras utilizações que devem permanecer “incompatíveis”. O princípio da limitação da finalidade está concebido para oferecer uma abordagem equilibrada: uma abordagem que pretende reconciliar, por um lado, a necessidade de previsibilidade e certeza jurídicas relativamente às finalidades do tratamento e, por outro, a necessidade pragmática de alguma flexibilidade.
Necessidade de uma abordagem mais consistente e harmonizada através da Europa
O princípio da limitação da finalidade continua a ser considerado sólido e válido. Contudo, a falta de uma interpretação harmonizada conduziu, em diferentes Estados Membros, a aplicações divergentes das noções de limitação da finalidade e de tratamento incompatível, especialmente quando comparado com outros princípios. Por exemplo, nalguns Estados Membros, os conceitos de limitação da finalidade e tratamento incompatível estão inerentemente ligados a outros conceitos, tais como os de lealdade, transparência ou licitude. Em consequência, embora nalguns casos o resultado da análise baseada nestas abordagens divergentes possa acabar por ser o mesmo, estas abordagens divergentes podem também levar a diferentes perspectivas do que os responsáveis pelo tratamento podem fazer com informação que já recolheram para uma dada finalidade ou conjunto de finalidades.
Esta diversidade também foi notada na revisão da Directiva2. Neste contexto, vários estudos observaram que a letra do princípio da limitação da finalidade é muito aberta, o que
Em 25 de Janeiro de 2012, a Comissão adoptou um conjunto de documentos para a reforma do enquadramento Europeu da protecção de dados. Este conjunto de documentos inclui (1) uma “Comunicação” (COM(2012)9 final), (2) uma proposta de “Regulamento Geral Sobre a Protecção de Dados” (COM(2012)11 final) e (3) uma proposta de “Directiva” sobre protecção de dados na área da aplicação da lei penal (COM(2012)10 final). A “Avaliação de Impacto” que o acompanha, o qual contém 10 anexos, está vertido num Documento de Trabalho da Comissão (SEC(2012)72 final).
2
8
torna o conceito susceptível de diferentes interpretações3.
A ausência de uma abordagem consistente pode enfraquecer a posição das pessoas em causa e ainda impor fardos regulatórios desnecessários sobre as empresas e outras organizações que operam através das fronteiras. Isto tornou-se gradualmente uma preocupação mais séria à medida que o volume de dados e a sua disponibilidade global têm aumentado exponencialmente e o tratamento de dados pessoais se tem gradualmente tornado numa característica cada vez mais proeminente da sociedade moderna, tanto no ambiente on-line como no off-line.
É portanto particularmente actual, quando os trabalhos rumo a um novo Regulamento Geral sobre a Protecção de Dados prosseguem, que o princípio da limitação da finalidade – no importante papel que detém e nas suas relações com os restantes princípios de protecção de dados – seja compreendido mais claramente. Foi por este motivo que o Grupo de Trabalho do artigo 29.º, no âmbito do seu Programa de Trabalho para 2012-2013, decidiu dedicar uma atenção cuidadosa a este assunto e – na execução deste Programa de Trabalho4 – se empenhou na redacção do presente Parecer.
Aplicação do enquadramento jurídico actual e preparação do futuro
O próprio Programa de Trabalho delineou claramente dois objectivos: “Assegurar a aplicação correcta do quadro jurídico actual” e também “preparação do futuro”. Em conformidade, o primeiro objectivo do presente Parecer é assegurar uma compreensão comum do enquadramento jurídico actual. Este objectivo vem na sequência de Pareceres anteriores sobre outras disposições-chave da Directiva5. As potenciais modificações ao enquadramento jurídico actual demorarão algum tempo e, assim, a clarificação da noção actual de “limitação da finalidade” e dos seus elementos principais, tem as suas próprias virtudes e vantagens. Por este motivo, um objectivo chave do presente Parecer consiste em fornecer uma abordagem Europeia comum e consistente, esclarecer o papel e a “razão de ser”* do princípio da limitação da finalidade e oferecer orientações e boas práticas com vista à sua aplicação na prática.
Em segundo lugar, a clarificação das disposições actuais ajuda a revelar as áreas que carecem de melhorias. Assim, com base na análise, o Parecer também formula recomendações de política, para auxiliar os decisores políticos na consideração de modificações ao enquadramento jurídico da protecção de dados.
Isto é tanto mais importante quanto o proposto enquadramento jurídico da protecção de dados, deixando intacta a própria letra do princípio da limitação da finalidade, em comparação
Vide, por exemplo, o estudo intitulado “Evaluation of the implementation of the Data Protection Directive”, que constitui o Anexo 2 à Avaliação de Impacto que acompanha o conjunto de documentos da Comissão Europeia para a reforma da protecção de dados.Vide Programa de trabalho para 2012-2013 do Grupo de Trabalho do artigo 29.º, adoptado em 1 de Fevereiro de 2012 (WP 190).Tais como o Parecer 15/2011 sobre a definição de consentimento, adoptado em 13/07/2011 (WP187), o Parecer 8/2010 sobre a lei aplicável, adoptado em 16/12/2010 (WP179) e o Parecer 1/2010 sobre os conceitos de «responsável pelo tratamento» e «subcontratante», adoptado em 16/02/2010 (WP169).Nota do tradutor: “Raison d’être” no original Inglês.
3
45
*
9
com o texto da alínea b) do n.º 1 do artigo 6.º da Directiva, também propõe algumas novas disposições. Estas novas disposições, em especial o n.º 4 do artigo 6.º da proposta de Regulamento sobre a Protecção de Dados, caso viesse a ser adoptada, comportaria o risco de erodir este princípio-chave6. É portanto essencial avaliar o âmbito exacto e a função deste princípio, no momento em que as discussões sobre o novo enquadramento jurídico ainda se encontram em aberto.
Estrutura do Parecer
Depois de uma panorâmica da história e do papel da limitação da finalidade na legislação de protecção de dados, o Parecer examina os diversos elementos e requisitos da limitação da finalidade nas legislações nacionais que transpuseram a Directiva e a Directiva relativa à privacidade e às comunicações electrónicas7. Esta análise é ilustrada com exemplos práticos baseados nas experiências nacionais. A análise sustenta as recomendações da parte final do presente Parecer sobre a interpretação do princípio da limitação da finalidade no actual enquadramento regulatório. Ao mesmo tempo, também ajuda a fornecer recomendações de política para consideração pelos decisores políticos no contexto da revisão da Directiva.
II. Observações gerais e questões de política
II.1. Síntese histórica
A presente Secção apresenta uma panorâmica da evolução do direito à privacidade e do direito à protecção dos dados pessoais, com início nos primeiros instrumentos sobre direitos humanos. A panorâmica destaca como se desenvolveu o conceito de limitação da finalidade. Em especial, explica como este conceito foi primeiramente usado enquanto requisito no contexto das derrogações aos direitos de privacidade e subsequentemente se desenvolveu tornando-se num princípio fundamental no contexto da protecção de dados. A síntese centra-se na União Europeia mas também refere desenvolvimentos internacionais relevantes.
Convenção Europeia dos Direitos do Homem (“CEDH”)
O artigo 8.º da Convenção Europeia dos Direitos do Homem, adoptada em 1950, incorpora o direito à privacidade – isto é, o direito de qualquer pessoa ao respeito da sua vida privada e familiar, do seu domicílio e da sua correspondência. Proíbe qualquer ingerência no direito à privacidade salvo quando “prevista na lei” e “numa sociedade democrática, for necessária” para satisfazer certos tipos de interesses públicos prevalecentes, especificamente enunciados.
Vide a Secção II.1, páginas 13-14, “perspectivas para o futuro”, bem como a Secção III.2.6, e a Secção IV para mais detalhes sobre a proposta de Regulamento sobre a Protecção de Dados.Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas) (JO L 201, 31/07/2002, p.37), modificada pelas Directivas 2006/24/CE e 2009/136/CE.
6
7
10
O artigo 8.º da CEDH centra-se na protecção da vida privada e exige justificação para qualquer ingerência na privacidade. Esta abordagem baseia-se numa proibição geral de ingerência no direito à privacidade e somente permite excepções em condições estritamente definidas. Nos casos em que há uma “ingerência na privacidade” exige-se um fundamento legal, bem como a determinação de uma finalidade legítima, enquanto pré-requisitos da avaliação da necessidade de ingerência.
Assim, os conceitos de fundamento legal e de limitação da finalidade, que se viriam a tornar pedras angulares do direito da protecção de dados, começaram a tomar forma e desenvolveram-se na jurisprudência do Tribunal Europeu dos Direitos do Homem (“TEDH”). Em tempo, o TEDH veio a desenvolver igualmente o critério de “expectativa razoável de privacidade” para apoiar a decisão sobre quando se verifica uma ingerência no direito à privacidade8. Além disso, o Tribunal alargou progressivamente a protecção da vida privada, incluindo a protecção de dados pessoais, de casos de recolha e arquivo de informações pessoais pelos serviços secretos (Rotaru, Amann), aos casos mais recentes nos quais o Tribunal aplicou as garantias ao ambiente de trabalho (Copland) e aos espaços públicos (Gillan and Quinton v. UK)9.
A Convenção 108
A convenção 108 do Conselho da Europa10, aberta à assinatura em 1981, introduz o conceito de protecção de dados pessoais. Deste modo, desenvolve-se numa abordagem mais abrangente e proactiva, na qual a noção de “limitação da finalidade” é claramente estabelecida enquanto princípio essencial da protecção de dados. Isto representa um importante passo em frente: doravante exige-se um fundamento legal bem como uma finalidade legítima em todas as circunstâncias de tratamento de dados pessoais, quer no sector privado, quer no sector público.
A Convenção 108 sucedeu às Resoluções (73) 22 e (74) 29 do Conselho da Europa (CdE)11. Estes textos precursores já incluíam alguns dos elementos que viriam mais tarde a tornar-se pilares-chave do direito à protecção dos dados pessoais, incluindo o princípio da limitação da finalidade.
A Resolução (73) 22 do CdE exige que a informação seja “adequada e relevante para a finalidade para a qual foi armazenada” e proíbe – na ausência de “autorização adequada” – a sua utilização para “finalidades diversas daquelas para as quais foi armazenada” bem como a sua “comunicação a terceiros”12.
Vide, por exemplo, ECtHR, 15 June 1992, Lüdi V. Suisse, (no 12433/86, A-238); ECtHR 25 June 1997, Halford v. The United Kingdom (no. 20605/92, 1997-III).ECtHR 4 May 2000, Rotaru v. Romania (no. 28341/95, Reports of Judgments and Decisions 2000-V); ECtHR 16 February 2000, Amann v. Switzerland (no. 27798/95, Reports of Judgments and Decisions 2000-II); ECtHR 3 April 2001, Copland v. The United Kingdom (no. 62617/00 Reports of Judgments and Decisions 2007-I); ECtHR 12 January 2010, Gillan and Quinton v. The United Kingdom (no. 4158/05, Reports of Judgments and Decisions 2010).Convenção 108 para a protecção das pessoas relativamente ao tratamento automatizado de dados de carácter pessoal.Resolução do Comité de Ministros (73) 22 sobre a protecção da privacidade das pessoas face aos bancos de dados no sector privado, adoptada em 26 de Setembro de 1973, e Resolução do Comité de Ministros (74) 29 sobre a protecção da privacidade das pessoas face aos bancos de dados no sector público, adoptada em 20 de Setembro de 1974.Vide Anexo, Secções 2 e 5.
8
9
1011
12
11
Para o sector público, a Resolução (74) 29 do CdE adoptou uma abordagem algo diferente. Enquanto as regras gerais exigem que “a informação armazenada” seja “adequada e relevante para as finalidades para as quais foi armazenada”, há uma disposição especial que permite a modificação da finalidade sob certas condições. Os dados podem ser usados “para finalidades diversas das que foram definidas” se uma tal excepção for “expressamente permitida por lei, for concedida por uma autoridade competente ou as regras para utilização do banco electrónico de dados forem modificadas”13.
Na sequência destes textos precursores, o artigo 5.º da Convenção 108 estabelece os princípios fundamentais do direito da protecção de dados, incluindo a licitude, a lealdade e a proporcionalidade, e ainda a determinação da finalidade e a exigência de que a finalidade seja legítima. Introduz igualmente a noção de incompatibilidade. Os dados não podem ser utilizados “de modo incompatível” com as finalidades determinadas. O artigo 9.º da Convenção 108 permite derrogações a esta norma só quando “prevista(s) pela lei” e ainda quando forem “necessária(s) numa sociedade democrática”, em estreita analogia com a linguagem usada no artigo 8.º da CEDH.
Desde a adopção da Convenção 108, o conceito de limitação da finalidade parece ter sido reconhecido como elemento essencial em instrumentos desenvolvidos posteriormente14. A expressão “de forma incompatível” foi igualmente acolhida na Directiva e, até hoje, não foi posta em causa na actual revisão da Convenção 108.
Directrizes da OCDE15
As Directrizes da OCDE, preparadas em paralelo com a Convenção 108 e adoptadas em 1980, comungam das mesmas ideias de determinação da finalidade e de incompatibilidade, embora o conceito de incompatibilidade16 seja definido de forma diferente.
As finalidades devem ser determinadas em momento não posterior ao da recolha. As Directrizes permitem a “utilização subsequente” dos dados para finalidades diversas, desde que estas não sejam incompatíveis com as finalidades iniciais e sejam determinadas por ocasião
Vide Anexo, Secções 2(c) e 3(c). Vale a pena mencionar que a noção de “modificação da finalidade”, sujeita a garantias adicionais semelhantes, foi igualmente usada e permitida pelo artigo 6.º do Regulamento (CE) n.º 45/2001 relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (Regulamento 45/2001). O n.º 1 do artigo 6.º dispõe que “Os dados pessoais só podem ser objecto de tratamento para finalidades diferentes daquelas para que foram recolhidos, se a mudança de finalidade for expressamente autorizada pelas regras internas da instituição ou do órgão comunitário”.Desde que a Convenção 108 foi aberta à assinatura em 1981, o Conselho da Europa emitiu dezanove recomendações, resoluções ou relatórios para proporcionar orientações adicionais e mais específicas sobre a interpretação da Convenção 108 relativamente a sectores específicos (por exemplo, seguros, banca, saúde, polícia, investigação científica e estatística, telecomunicações, privacidade na internet), técnicas e tecnologias específicas (cartões inteligentes, videovigilância, marketing directo, perfis), categorias específicas de dados (biométricos) ou outras áreas de interesse (“comunicação a terceiros de dados pessoais detidos por organismos públicos”). Alguns destes documentos tratam de matérias relacionadas com a limitação da finalidade e a utilização compatível. Está disponível uma compilação de textos do Conselho da Europa em: http://hub.coe.int/c/document_library/get_file?uuid=1d807537-6969-48e5-89f4-48e3a3140d75&groupId=10227.Directrizes da OCDE para a Protecção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais.Parágrafo 9 das Directrizes.
13
14
1516
12
de cada modificação de finalidade. As Directrizes mencionam duas excepções ao requisito da utilização compatível: “com o consentimento da pessoa em causa” e “por autoridade de direito”17.
Apesar das diferenças no conceito de utilização compatível e das excepções abertas, é importante sublinhar que o princípio da limitação da finalidade – enquanto pilar do sistema de protecção de dados – também surge como elemento estável no contexto internacional e não foi posto em causa na actual revisão das Directrizes da OCDE.
Directiva 95/46/CE
Quando foi adoptada em 1995, a Directiva foi erguida sobre instrumentos anteriores de protecção de dados, incluindo a Convenção 108 e as Directrizes da OCDE. A experiência inicial em matéria de protecção de dados em alguns dos Estados Membros foi também considerada.
A formulação do princípio da limitação da finalidade não foi idêntica em todos estes instrumentos e os autores da Directiva também procederam às suas próprias opções na altura. Isto incluiu uma decisão de não separar as actividades privadas e públicas de tratamento de dados, o que significa que os requisitos da determinação da finalidade se aplicam a ambos sem distinção.
A Directiva acrescentou um novo requisito à determinação da finalidade, que não estava ainda presente nem na Convenção 108 nem nas Directrizes da OCDE: a finalidade deve ser “explícita”18.
A Directiva também introduziu uma disposição sobre o tratamento posterior de dados para finalidades históricas, estatísticas ou científicas; estas não são consideradas como incompatíveis desde que os Estados Membros assegurem garantias adequadas. Isto não é inteiramente novo: a Resolução (73) 22 e a Resolução (74) 29 do Conselho da Europa já contêm disposições sobre a utilização estatística. A Convenção 108 também abre uma excepção para utilização de dados para estatística ou para pesquisa científica19.
A Directiva também permite aos Estados Membros que restrinjam o âmbito de certos direitos e deveres, incluindo o princípio da limitação da finalidade, na alínea b) do n.º 1 do artigo 6.º, desde que uma restrição constitua uma medida necessária à protecção de certos interesses importantes20. Esta disposição segue a mesma lógica do artigo 9.º da Convenção 108.
Parágrafo 10 das Directrizes.Alínea b) do n.º 1 do artigo 6.º da Directiva.N.º 3 do artigo 9.º da Convenção. Esta disposição aplica-se “quando manifestamente não haja risco de atentado à vida privada dos seus titulares”. O ponto 55 do Memorando Explicativo das Directrizes da OCDE também menciona que uma “autoridade de direito” pode permitir que “dados que foram recolhidos para finalidades de tomada de decisão administrativa podem ser disponibilizados para pesquisa, estatística e planeamento social”.Artigo 13.º da Directiva.
171819
20
13
Aplicação da Directiva
Um estudo intitulado “Avaliação da aplicação da Directiva de Protecção de Dados”21
sublinha que a aplicação das disposições da Directiva sobre limitação da finalidade é por vezes insatisfatória, incluindo, entre outras coisas, garantias para tratamento posterior de dados para finalidades de investigação. Na análise técnica da transposição da Directiva nos Estados Membros22, a Comissão dá detalhes adicionais sobre a aplicação do artigo 6.º.
A análise explica que, muito embora a legislação da maior parte dos Estados Membros defina os princípios da determinação da finalidade e da limitação da finalidade em termos semelhantes aos usados na Directiva, a flexibilidade destes princípios tem levado, de facto, a aplicações divergentes. As divergências afectam diversos aspectos do conceito. Os Estados Membros aplicam critérios diferentes para analisar as noções de determinação da finalidade e de utilização incompatível. Nalguns países podem aplicar-se regras especiais ao sector público. Noutros, as finalidades podem ser por vezes definidas em termos muito latos. As abordagens dos Estados Membros também variam quanto ao modo de tornar explícitas as finalidades, por exemplo, se a determinação da finalidade é exigida na notificação à autoridade de protecção de dados ou na informação à pessoa em causa23. As regras relativas à modificação da finalidade, incluindo para finalidades de investigação e estatísticas, também variam consideravelmente, tal como os termos dos requisitos de garantias para estas utilizações específicas.
Quanto à noção de utilização incompatível, o estudo nota que o critério para determinar a incompatibilidade varia entre as “expectativas razoáveis” da pessoa em causa (nalguns casos na Bélgica) e a aplicação de critérios de equilíbrio (Alemanha e Holanda), ou fica intimamente ligado aos restantes princípios de garantia da transparência, licitude e lealdade (Reino Unido e Grécia).
A Carta dos Direitos Fundamentais
A Carta dos Direitos Fundamentais da União Europeia (“A Carta”) foi inicialmente proclamada em Nice, em 2000. A partir da entrada em vigor do Tratado de Lisboa, em 1 de Dezembro de 2009, a Carta, em conformidade com o novo artigo 6.º do Tratado da União Europeia (“TUE”), passou a ter “o mesmo valor jurídico que os Tratados”. A Carta consagra a protecção de dados enquanto direito fundamental, ao abrigo do artigo 8.º, sendo distinto do respeito pela vida privada e familiar ao abrigo do artigo 7.º Esta característica distingue a Carta de outros instrumentos de direitos humanos, os quais – na sua maioria – tratam a protecção de
Vide Anexo 2 à Avaliação de Impacto do conjunto de reformas da Comissão, citada na nota 2, supra.Análise e estudo de impacto da aplicação da Directiva CE 95/46 nos Estados Membros. Vide http://ec.europa.eu/justice/policies/privacy/docs/lawreport/consultation/technical-annex_en.pdf.O Reino Unido especifica várias opções. É também de notar que o parágrafo 54 do Memorando Explicativo das Directrizes da OCDE aceita que a “determinação das finalidades possa ser feita por uma variedade de meios alternativos ou complementares, tais como declarações públicas, informação às pessoas em causa, legislação, decretos administrativos e licenças concedidas pelos órgãos de supervisão”.
2122
23
14
dados pessoais como uma extensão ao direito à privacidade. Esta evolução torna-se claramente visível quando se compara a Carta de 2000 com a Convenção Europeia dos Direitos do Homem de 195024.
A Carta estabelece com clareza o princípio da limitação da finalidade, especificando que os dados pessoais “devem ser objecto de um tratamento leal, para fins específicos”. A Carta também estabelece, enquanto requisito distinto, a exigência de um fundamento legítimo para o tratamento. Em especial, estabelece que os dados pessoais devem ser processados: “com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei”25.
Perspectivas para o futuro
Em conclusão, a história do conceito de limitação da finalidade, quer na EU quer no seu exterior (ver os desenvolvimentos na OCDE e no Conselho da Europa), mostra que a determinação da finalidade e a utilização compatível são princípios essenciais no sistema de protecção de dados. Além disso, hoje, estando em revisão três instrumentos-chave da protecção de dados (A Convenção 108, as Directrizes da OCDE e a Directiva) há um consenso sobre a importância de conservar estes princípios enquanto requisitos fundamentais a preencher quando se tratam dados pessoais.
Contudo, mesmo se princípio da limitação da finalidade em si mesmo aparenta ser estável, o seu significado preciso, incluindo quaisquer excepções, está actualmente em discussão. O facto de a determinação da finalidade e a legitimidade serem dois requisitos diferentes e cumulativos, o que é expressamente confirmado pelo artigo 8.º da Carta, está posto em causa na proposta de Regulamento Geral sobre a Protecção de Dados26. No enquadramento proposto, o tratamento de dados para finalidades incompatíveis é permitido, desde que exista um novo fundamento legal: a ser assim, o tratamento posterior seria considerado como uma nova operação de tratamento de dados, desligada da finalidade original. Esta modificação da finalidade tornar-se-ia possível com qualquer um dos fundamentos do n.º 1 do artigo 6.º, excepto os interesses legítimos do responsável pelo tratamento27. Este novo desenvolvimento reforça a justificação para o presente trabalho, que pretende clarificar o âmbito e função exactos deste importante princípio.
II.2. Papel do conceito
A determinação da finalidade é uma condição essencial para o tratamento de dados pessoais e um requisito prévio à aplicação dos restantes requisitos em matéria de qualidade dos dados. A determinação da finalidade e o conceito de utilização compatível contribuem
Conforme se explica acima, a CEDH não contém um direito explícito e autónomo à protecção de dados. Ao invés, a protecção de dados no contexto da CEDH emergiu da jurisprudência do Tribunal Europeu dos Direitos do Homem em Estrasburgo, enquanto aspecto da protecção da privacidade.Vide n.º 2 do artigo 8.º da Carta.Vide nota 2, supra.N.º 4 do artigo 6.º da proposta de Regulamento Geral sobre a Protecção de Dados.
24
252627
15
para a transparência, certeza e segurança jurídicas; destinam-se a proteger a pessoa em causa estabelecendo limites a como os responsáveis pelo tratamento podem utilizar os seus dados e reforçar a lealdade do tratamento. A limitação deverá, por exemplo, evitar a utilização de dados pessoais dos indivíduos de forma (ou para finalidades adicionais) que estes possam considerar inesperada, inadequada ou de outro modo objectável. Ao mesmo tempo, a noção de utilização compatível também oferece algum grau de flexibilidade aos responsáveis pelo tratamento.
Para apoiar a análise do conceito de limitação da finalidade, descrevem-se brevemente os dois pilares do conceito: “determinação da finalidade” e “utilização compatível”.
II.2.1. Primeiro pilar: determinação da finalidade
Recolha para finalidades “determinadas, explícitas e legítimas”
A alínea b) do n.º 1 do artigo 6.º da Directiva dispõe que os dados pessoais devem ser somente recolhidos para finalidades “determinadas, explícitas e legítimas”. Os dados são recolhidos para certos fins; estes fins são a “razão de ser”* das operações de tratamento. Enquanto pré-requisito aos restantes requisitos sobre qualidade dos dados, a determinação da finalidade estabelece quais os dados relevantes a recolher, os períodos de retenção, e todos os restantes aspectos-chave de como os dados serão tratados para as finalidades seleccionadas.
Em primeiro lugar, qualquer finalidade deve ser determinada, isto é, definida de forma suficiente para permitir a aplicação de quaisquer garantias de protecção de dados necessárias, e para delimitar o âmbito da operação de tratamento. Como e quando esta determinação tem lugar será discutido na Secção III.1.1.
Em segundo lugar, para ser explícita, a finalidade deve ser suficientemente inequívoca e claramente expressa. A comparação entre “finalidade explícita” e “finalidade oculta” pode ajudar a compreender o âmbito deste requisito, conforme melhor se discutirá na Secção III.1.2.
Em terceiro lugar, as finalidades também têm que ser legítimas. Esta noção vai além da exigência de existência de um fundamento legal para o tratamento, ao abrigo do artigo 7.º da Directiva e alarga-se igualmente a outras áreas do Direito. A determinação da finalidade ao abrigo do artigo 6.º e o requisito de um fundamento legal ao abrigo do artigo 7.º são, assim, dois requisitos separados e cumulativos28.
A utilização do termo “legítimas” no artigo 6.º estabelece uma conexão com o artigo 7.º mas também com princípios jurídicos mais amplos da lei aplicável, tais como a não-discriminação. A noção de legitimidade deve igualmente ser interpretada no contexto do tratamento, o que
Nota do tradutor: “Raison d’être” no original Inglês.O n.º 2 do artigo 8.º da Carta também torna claro que o requisito da determinação da finalidade é separado e cumulativo, aplicável em adição ao requisito de um fundamento legal adequado.
*28
16
determina as “expectativas razoáveis” da pessoa em causa. Este aspecto será desenvolvido na Secção III.1.3.
Pré-requisito para outros requisitos de qualidade dos dados
Ao aplicar o Direito de protecção dos dados, deve em primeiro lugar assegurar-se que a finalidade é determinada, explícita e legítima. Trata-se de um pré-requisito para os restantes requisitos de qualidade dos dados, incluindo a adequação, a relevância e a proporcionalidade (alínea c) do n.º 1 do artigo 6.º), a exactidão e a completude (alínea d) do n.º 1 do artigo 6.º) e os requisitos relativos à duração da conservação (alínea e) do n.º 1 do artigo 6.º).
Nos casos nos quais existam desde o início diversas finalidades e diferentes espécies de dados sejam recolhidas e tratadas simultaneamente para diferentes finalidades, os requisitos de qualidade dos dados devem ser observados em separado para cada uma das finalidades.
Se os dados pessoais forem tratados posteriormente para uma finalidade diferente:
• a(s) nova(s) finalidade(s) devem ser determinadas (alínea b) do n.º 1 do artigo 6.º), e
• deve ser assegurado que todos os requisitos de qualidade dos dados (alíneas a) a e) do n.º 1 do artigo 6.º) são igualmente observados para as novas finalidades.
II.2.2. Segundo pilar: utilização compatível
A alínea b) do n.º 1 do artigo 6.º também introduz as noções de “tratamento posterior”29 e utilização “incompatível” e exige que o tratamento posterior não seja incompatível com as finalidades para as quais os dados pessoais foram recolhidos. Em especial, a alínea b) do n.º 1 do artigo 6.º exige que os dados pessoais não sejam “posteriormente tratados de forma incompatível” com essas finalidades e o Considerando 28 declara que “que as finalidades dos tratamentos posteriores à recolha não podem ser incompatíveis com as finalidades especificadas inicialmente”.
A proibição de utilização incompatível estabelece um limite à utilização posterior. Exige que se faça uma distinção entre a utilização posterior que é “compatível” e a utilização posterior que é “incompatível” e portanto proibida. O enquadramento geral e os critérios específicos que apoiam a realização desta avaliação serão discutidos desenvolvidamente na Secção III.2.
Neste contexto, na Secção III.2.3 trataremos igualmente as disposições especiais da alínea b) do n.º 1 do artigo 6.º, sobre o “tratamento posterior para fins históricos, estatísticos ou científicos”. Do texto da alínea b) do n.º 1 do artigo 6.º, por si só, não resulta claro se esta disposição específica deve ser vista como uma excepção à proibição geral da utilização incompatível,
Sobre a noção de “tratamento posterior” vide Secção III.2.1.29
17
conferindo uma posição privilegiada aos “fins históricos, estatísticos ou científicos”, ou como um desenvolvimento especial da norma geral, que não exclua a consideração de outros casos como igualmente “não incompatíveis”. A análise do presente Parecer sustenta com firmeza este segundo ponto de vista: esta norma específica pode dar origem a critérios mas gerais de compatibilidade (por exemplo, o impacto potencial sobre a pessoa em causa e as garantias adequadas).
Isto conduz, na nossa análise, a um papel mais proeminente das diversas espécies de garantias, incluindo as medidas técnicas e organizativas para assegurar separação funcional, tais como a anonimização, a pseudonimização, a agregação de dados e as tecnologias de aperfeiçoamento da privacidade (vide desenvolvimento na Secção III.2).
II.3. Conceitos relacionados
Transparência
Existe uma forte ligação entre a transparência e a determinação da finalidade. Quando a finalidade determinada é visível e partilhada com as partes interessadas, tais como as autoridades de protecção de dados e as pessoas em causa, as garantias podem ser plenamente efectivas. A transparência assegura a previsibilidade e permite o controlo pelo utilizador.
Previsibilidade
Se uma finalidade for suficientemente específica e clara, os indivíduos sabem o que podem esperar: o modo como os dados são tratados será previsível. Isto dá certeza jurídica às pessoas em causa e também àqueles que tratam dados por conta do responsável pelo tratamento.
A previsibilidade é também relevante quando se avalia a compatibilidade das actividades posteriores de tratamento. Em geral, o tratamento posterior não pode ser considerado previsível se não estiver suficientemente relacionado com a finalidade original e não preencher as expectativas razoáveis das pessoas em causa no momento da recolha, com base no contexto da recolha.30
Controlo pelo utilizador
O controlo pelo utilizador só é possível quando a finalidade do tratamento de dados é suficientemente clara e previsível. Se as pessoas em causa compreenderem plenamente as finalidades do processamento, poderão exercer os seus direitos da forma mais efectiva. Por
Dito isto, podem ocorrer situações nas quais os dados inicialmente recolhidos para uma finalidade ou conjunto de finalidades podem, todavia, ser subsequentemente utilizados para finalidades diferentes (ou para as mesmas finalidades mas de formas originais), mesmo se este tratamento posterior não pudesse corresponder às expectativas originais das pessoas em causa. Nestas situações, garantias adicionais, como por exemplo, consentimento informado das pessoas em causa, podem auxiliar a garantir que o tratamento posterior corresponde às expectativas das pessoas em causa no momento da utilização posterior.
30
18
exemplo, poderão objectar ao tratamento ou exigir a rectificação ou apagamento dos seus dados.
Conforme se desenvolve abaixo, isto não significa que se deva sempre confiar que a finalidade apresentada é a finalidade real e efectiva, já que pode haver discrepâncias entre aquilo que é afirmado e aquilo que é, na prática, realizado pelo responsável pelo tratamento. Em última análise, a conformidade com os restantes requisitos de protecção de dados, tais como a necessidade e a relevância dos dados, carecem sempre de ser ponderados face à finalidade real.
II.4. Contexto e consequências estratégicas
O objectivo do presente Parecer é esclarecer o princípio da limitação da finalidade e fornecer orientação para a sua aplicação prática. Isto deve ser feito com vista a auxiliar a delimitar com clareza a utilização de dados pessoais, em primeiro lugar no interesse das pessoas em causa, mas também para permitir a necessária flexibilidade aos responsáveis pelo tratamento e para aperfeiçoar a previsibilidade e a certeza jurídica no interesse de todas as partes interessadas.
Vários elementos conduzem à necessidade de uma análise em profundidade do conceito de limitação da finalidade:
— O modo como tem sido aplicado nos Estados Membros, que tem levado a uma diversidade de interpretações. Uma compreensão comum e clara do conceito assegurará melhor a sua efectiva aplicação na prática – no interesse de todos os intervenientes — e ajudará igualmente a encontrar a melhor via, rumo a um novo enquadramento legislativo.
— O contexto actual das actividades de tratamento. O desenvolvimento de novas tecnologias resulta numa crescente disponibilidade dos dados, para uma grande diversidade de finalidades.
— As tendências actuais para a reutilização dos dados pelo sector privado (“megadados”) mas também as iniciativas de “dados abertos” e de “partilha de dados” propostas por muitos governos, incluindo iniciativas legislativas da EU, são aqui especialmente relevantes31.
Com o desenvolvimento das utilizações multifuncionais de dados, torna-se sobremaneira relevante a obtenção de uma boa compreensão do papel e do significado do princípio da limitação da finalidade. Uma das armadilhas mais perigosas seria a de rejeitar ou enfraquecer
Neste contexto, há que recordar que a limitação da finalidade não se aplica apenas aos dados pessoais detidos pelo sector privado, mas também aos dados pessoais detidos pelo sector público. Adicionalmente, o princípio da limitação da finalidade continua a aplicar-se aos dados pessoais, mesmo depois de tais dados serem tornados publicamente disponíveis. Para mais desenvolvimentos sobre “megadados” e “dados abertos”, ver a Secção III.2.5 e o Anexo 2.
31
19
o conceito, simplesmente porque a sua aplicação tem sido demasiado variada e por não haver um entendimento geral da noção, ou porque a realidade do tratamento de dados evoluiu e é um desafio proceder à aplicação de um conceito válido a uma realidade transformada.
Deveria ter-se presente que o tratamento de dados pessoais tem um impacto nos direitos fundamentais das pessoas em termos de privacidade e de protecção de dados. O impacto nos direitos das pessoas tem necessariamente que ser acompanhado por uma limitação à utilização que pode ser feita desses dados e, portanto, de uma limitação da finalidade. A erosão do princípio da limitação da finalidade resultaria consequentemente na erosão de todos os princípios de protecção de dados com ele relacionados.
III. Análise das disposições
III.1. Finalidades “determinadas, explícitas e legítimas”
A alínea b) do n.º 1 do artigo 6.º da Directiva exige que os dados pessoais sejam recolhidos para finalidades “determinadas, explícitas e legítimas”. Estes requisitos são analisados abaixo.
III.1.1. As finalidades devem ser determinadas
O que é a determinação da finalidade e por que motivo é necessária?
Os dados pessoais devem ser recolhidos para finalidades determinadas. O responsável pelo tratamento deve, portanto, considerar cuidadosamente qual a finalidade ou finalidades para as quais os dados pessoais serão usados e não pode recolher dados pessoais que não sejam necessários, adequados ou relevantes para a finalidade ou finalidades que se pretende servir.
A determinação da finalidade situa-se no núcleo do enquadramento jurídico estabelecido para a protecção de dados pessoais. Para determinar se o tratamento de dados está em conformidade com a lei e para estabelecer quais as garantias de protecção de dados que devem ser aplicadas, é uma condição prévia necessária que se identifique(m) a(s) finalidade(s) que justifica(m) a recolha de dados pessoais. Assim, a determinação da finalidade estabelece limites às finalidades para as quais os responsáveis pelo tratamento podem usar os dados recolhidos e ajuda também a estabelecer as necessárias garantias de protecção dos dados.
A determinação da finalidade exige que o responsável pelo tratamento efectue uma avaliação interna e é uma condição necessária da sua responsabilidade. É um dos primeiros passos-chave que um responsável pelo tratamento deve dar para assegurar conformidade com a lei de protecção de dados aplicável. O responsável pelo tratamento tem que identificar quais são as finalidades e deve igualmente documentar e ser capaz de demonstrar que efectuou esta avaliação interna.
20
Em que momento devem as finalidades ser determinadas?
A alínea b) do n.º 1 do artigo 6.º da Directiva exige que os dados pessoais sejam “recolhidos” para finalidades determinadas, explícitas e legítimas32. Pode assim inferir-se que as finalidades devem ser determinadas anteriormente ou, em qualquer caso, nunca depois do momento em que ocorre a recolha dos dados pessoais.
Com que grau de precisão e de detalhe deve a finalidade ser determinada?
A finalidade da recolha deve ser identificada de forma clara e específica: deve ser suficientemente detalhada para determinar que espécie de tratamento está e não está incluída na finalidade determinada e para permitir que a conformidade com a lei seja avaliada e aplicadas as garantias de protecção de dados.
Por estes motivos, uma finalidade que é vaga ou geral, tal como por exemplo, “melhorar a experiência do utilizador”, “finalidades de comercialização”, “finalidades de segurança de tecnologias da informação” ou “investigação futura”, – sem mais detalhes – em regra não preencherá o critério de ser “determinada”33. Dito isto, o grau de detalhe com que uma finalidade deve ser determinada depende do contexto particular da recolha de dados e dos dados pessoais envolvidos. Nalguns casos será suficiente o recurso a uma linguagem clara para dar uma determinação adequada, enquanto noutros casos poderá ser exigido maior detalhe34.
O facto de a informação dever ser precisa não significa que sejam sempre necessárias, ou sequer úteis, especificações longas e muito detalhadas. Na realidade, uma descrição detalhada pode, por vezes, tornar-se contraproducente. Pode ser este o caso, quando, em especial, determinações de finalidade escritas, detalhadas e excessivamente jurídicas apresentam mais notificações de afastamento de responsabilidade do que informação útil para as pessoas em causa e outras partes interessadas35.
A esta luz, a abordagem dos “avisos estratificados” às pessoas em causa funciona bem com frequência, especialmente na internet e tem sido recomendada em muitas situações pelo Grupo de Trabalho do artigo 29.º36. Isto significa que a informação-chave é comunicada às pessoas em causa de uma forma concisa e acessível, ao passo que a informação adicional (possivelmente através de um ponteiro para uma descrição mais detalhada do tratamento numa outra página na internet) é disponibilizada para benefício daqueles que pretendem esclarecimentos desenvolvidos37.
Vide igualmente o Considerando 28, que afirma que as finalidades “devem ser determinadas aquando da recolha dos dados”.Vide Anexo 3, exemplos 7 e 8.Vide Anexo 3, exemplos 1, 3 e 13.Vide Anexo 3, exemplo 12.Vide, por exemplo, o Parecer n.º 10/2004 do Grupo de Trabalho do artigo 29.º, sobre a prestação mais harmonizada da informação (WP100) e o Parecer n.º 2/2009 do Grupo de Trabalho do artigo 29.º, sobre a protecção dos dados pessoais das crianças (Orientações gerais e a situação especial das escolas) (WP160).Vide Anexo 3, exemplos 9 e 10.
3233343536
37
21
Se os dados pessoais forem recolhidos para mais que uma finalidade?
Os dados pessoais podem ser recolhidos para mais que uma finalidade. Nalguns casos, estas finalidades, sendo distintas, estão ainda de algum modo relacionadas entre si. Noutros casos as finalidades podem não estar relacionadas. A questão que aqui se suscita é saber até que ponto o responsável pelo tratamento deve determinar cada uma destas finalidades distintas em separado e que grau de detalhe adicional dever ser indicado38.
Para operações de tratamento “relacionadas”, pode ser útil o conceito de uma finalidade conjunta, ao abrigo da qual diversas operações separadas de tratamento podem ter lugar39. Dito isto, os responsáveis pelo tratamento devem evitar a identificação de uma única finalidade alargada para justificar várias actividades de tratamento posterior que na realidade só remotamente se relacionam com a verdadeira finalidade inicial.
Em última análise, para assegurar conformidade com a alínea b) do n.º 1 do artigo 6.º, cada finalidade separada deve ser determinada em detalhe suficiente para permitir avaliar se a recolha de dados pessoais para essa finalidade é ou não conforme à lei e para estabelecer quais as garantias de protecção de dados que se aplicam40.
III.1.2. As finalidades devem ser explícitas
Qual o significado de “explícito” e por que motivo é necessário?
Os dados pessoais devem ser recolhidos para finalidades explícitas. As finalidades da recolha não devem estar determinadas apenas no espírito das pessoas responsáveis pela recolha. Devem igualmente ser tornadas explícitas. Por outras palavras, devem ser claramente reveladas, explicadas ou expressas de alguma forma inteligível. Decorre da análise precedente que tal deve suceder em momento não posterior àquele em que ocorre a recolha de dados.
O objectivo último deste requisito é assegurar que as finalidades são determinadas sem vaguidão ou ambiguidade quanto ao seu significado ou intenção. Aquilo que se pretende deve ser claro e não deve deixar dúvidas ou dificuldades de compreensão. Em especial, a determinação das finalidades deve ser expressa de um modo tal que possa ser entendido da mesma forma, não apenas pelo responsável pelo tratamento (incluindo todo o pessoal relevante) e por terceiros
Neste contexto é relevante mencionar que o artigo 18.º da Directiva exige aos Estados Membros que disponham impondo ao responsável pelo tratamento o dever de “notificar a autoridade de controlo (…) antes da realização de (…) tratamentos (…) destinados à prossecução de uma ou mais finalidades interligadas”. Esta disposição introduz a noção de “finalidades interligadas”. Nalguns Estados Membros, por exemplo a Bélgica, as finalidades relacionadas entre si podem ser notificadas à autoridade de protecção de dados na mesma forma.Vide Anexo 3, exemplo 11.Se os dados pessoais forem tratados para várias finalidades, todos os requisitos do artigo 6.º se aplicam separadamente a cada uma das finalidades. Assim, nem todos os dados recolhidos para uma finalidade poderão ser sempre relevantes, necessários e não excessivos para todas as restantes finalidades (relacionadas ou não) definidas no momento da recolha original ou em momento posterior. Isto exige, portanto, uma análise caso a caso, quer na fase inicial, quer em qualquer fase posterior, sempre que uma nova finalidade passe a estar contemplada.
38
3940
22
subcontratantes, mas também pelas autoridades de protecção de dados e pelas pessoas em causa. Deve ser dado um cuidado especial a assegurar que todas as determinações de finalidade são suficientemente claras para todos os envolvidos, independentemente das suas qualificações culturais ou linguísticas, gau de compreensão ou necessidades especiais41.
O requisito de que as finalidades sejam determinadas “explicitamente” contribui para a transparência e a previsibilidade. Permite a identificação inequívoca dos limites a como poderão os responsáveis pelo tratamento utilizar os dados pessoais recolhidos, em vista a proteger as pessoas em causa. Auxilia os subcontratantes, bem como as pessoas em causa, as autoridades de protecção de dados e outras partes interessadas, a alcançar um entendimento comum de como poderão os dados ser utilizados. Isto, por seu turno, reduz o risco de que as expectativas das pessoas em causa difiram das expectativas do responsável pelo tratamento.
Em muitas situações o requisito também permite às pessoas em causa que tomem decisões informadas – por exemplo, tratar com uma empresa que utiliza dados pessoais para um conjunto limitado de finalidades em vez de com uma empresa que utiliza os dados pessoais para uma maior variedade de finalidades.
Em segundo plano, notamos que a palavra “explicit” não foi traduzida com significado idêntico nas línguas das diferentes versões da Directiva42. Em algumas versões o requisito parece focar mais claramente o resultado final: no objectivo de que as finalidades sejam inequívocas e que sejam entendidas da mesma maneira por todos os envolvidos. Noutras versões o foco está no método pelo qual este resultado final deve ser alcançado: no requisito de que as finalidades sejam claramente expressas e explicadas.
Um ponto comum a estas abordagens é necessário expressar e comunicar tanta informação quanta a que for precisa para assegurar que todos os envolvidos alcançam a mesma compreensão inequívoca das finalidades do tratamento43.
Sob que forma e a quem devem as finalidades ser tornadas explícitas?
O requisito de que as finalidades sejam explícitas é distinto do requisito de informar a pessoa em causa (artigos 10.º e 11.º da Directiva) e do requisito de notificar a autoridade supervisora (artigo 18.º). Não obstante, todos os três requisitos estão estreitamente relacionados entre si e cada um deles serve, como um dos seus principais objectivos, o objectivo da transparência.
Vide Anexo 3, exemplos 2 e 4.Várias línguas, incluindo o Inglês “explicit”, o Italiano “explicite” e o Francês “explicite”, usam a mesma raiz latina. O verbo original em Latim do qual todos estes adjectivos derivam é “explicare”, com o significado de “revelar”, “desemaranhar”, “explicar”, e assim parece implicar uma exigência de que as finalidades sejam expressas e explicadas de algum modo. Versões em outras línguas focam a exigência do resultado final, de que a determinação das finalidades seja inequívoca. Ver, por exemplo, o Alemão “eindeutig” e o Húngaro “egyértelmű”, que podem ser traduzidos como “inequívoco” e não exigem necessariamente que as finalidades sejam “expressas” de algum modo. Contudo, o Neerlandês “uitdrukkelijk omschreven” é, de novo, semelhante a “explícito”.Vide Anexo 3, exemplos 5 e 6.
4142
43
23
Expressar as finalidades na acepção da alínea b) do n.º 1 do artigo 6.º pode ser efectuado de várias maneiras. Estas incluem, por exemplo, descrever as finalidades num aviso disponibilizado às pessoas em causa, numa notificação à autoridade supervisora, ou internamente, na informação comunicada a um funcionário de protecção de dados. Algumas leis nacionais admitem especificamente que os avisos e as notificações são ambos formas aceitáveis de cumprimento do requisito de explicitar as finalidades do tratamento, mas que não são as únicas possibilidades44.
As Directrizes da OCDE dão ênfase à flexibilidade e mencionam especificamente45 que a “determinação das finalidades possa ser feita por uma variedade de meios alternativos ou complementares, tais como declarações públicas, informação às pessoas em causa, legislação, decretos administrativos e licenças concedidas pelos órgãos de supervisão”. O que é importante é a qualidade e a consistência da informação prestada.
Em termos de responsabilidade, a determinação por escrito das finalidades e a produção de documentação adequada apoiam a demonstração de que o responsável pelo tratamento cumpriu o requisito da alínea b) do n.º 1 do artigo 6.º Também permite às pessoas em causa o exercício mais efectivo dos seus direitos — por exemplo, fazer prova da finalidade original e permitir a comparação com as finalidades subsequentes do tratamento.
A determinação por escrito das finalidades pode ser útil, ou mesmo necessária, em muitas circunstâncias. Em especial, actualmente, muitas actividades de tratamento de dados decorrem num contexto complexo, opaco e ambíguo, especialmente na internet. Nestas situações é necessário um cuidado especial para determinar inequivocamente as finalidades46.
Dito isto, por vezes o contexto e o costume podem tornar suficientemente claro a todos os envolvidos, incluindo os que efectuam o tratamento dos dados e as pessoas em causa, como os dados serão utilizados. Se isto for possível sem correr o risco da incerteza e da ambiguidade47, a alínea b) do n.º 1 do artigo 6.º pode por vezes ser observada com a mera expressão dos elementos essenciais48. Contudo, nessas situações, deve ser prestada informação mais detalhada àqueles que a pedirem.
A prestação de informação detalhada às pessoas em causa podem nem sempre ser necessária nos casos simples e directos nos quais a pessoa em causa já pode, sem qualquer dúvida e inequivocamente, determinar as finalidades do tratamento a partir do contexto e do costume49.
É, por exemplo, a situação do Reino Unido.Vide parágrafo 54 do Memorando Explicativo das Directrizes.Vide Anexo 3, exemplos 1, 2, 3, 8, 13 e 14.Sujeito possivelmente a outros requisitos ao abrigo dos artigos 10.º, 11.º e 18.º da Directiva.Vide Anexo 3, exemplos 5 e 6.Os artigos 10.º e 11.º da Directiva 95/46/CE abrem uma excepção específica à exigência de aviso nos casos nos quais a pessoa em causa “já tiver conhecimento” da informação.
444546474849
24
O que sucede no caso de insuficiências graves?
É possível que o responsável pelo tratamento não cumpra as exigências da alínea b) do n.º 1 do artigo 6.º da Directiva: por exemplo, se não determinar as finalidades do tratamento com suficiente detalhe ou em linguagem clara e inequívoca. Noutras situações, a informação prestada pode não corresponder aos factos do caso, ou pode conter inconsistências sobre a finalidade (por exemplo, entre o aviso às pessoas em causa e a notificação à autoridade supervisora). Também pode haver casos nos quais o aviso de protecção de dados detalhado e legalista inclua termos e condições desleais, surpreendentes ou unilaterais sobre as finalidades para as quais os dados poderão ser utilizados e que não correspondem inteiramente às expectativas razoáveis das pessoas em causa.
É crucial considerar as consequências de tais insuficiências. É importante enfatizar que não declarar, ou não declarar com exactidão a finalidade ou finalidades do tratamento não significa que o responsável pelo tratamento possa tratar dados pessoais para toda e qualquer finalidade à sua discrição, ou que fique livre para determinar as finalidades com base nas suas expectativas subjectivas ou interpretação unilateral de informação inconsistente. Nem significa que um documento cuidadosamente preparado pelos advogados do responsável pelo tratamento (por exemplo, avisos de protecção de dados enganadores ou contendo termos contratuais desleais) possa legitimar o tratamento para as finalidades descritas nessas situações. Em tais casos será necessário reconstruir as finalidades do tratamento, tendo em mente os factos do caso.
Embora a finalidade determinada publicamente seja o principal indicador daquilo que realmente o tratamento de dados visa, não é uma referência absoluta: quando as finalidades forem determinadas inconsistentemente ou as finalidades determinadas não corresponderem à realidade (por exemplo, no caso de um aviso de protecção de dados enganador), deverão ser tidos em conta todos os elementos de facto, bem como o entendimento comum e as expectativas razoáveis das pessoas em causa baseadas nesses factos, para determinar as finalidades reais50.
III.1.3. As finalidades devem ser legítimas
A legitimidade é um requisito amplo
Os dados pessoais devem ser recolhidos para finalidades legítimas. Este requisito vai além de uma simples remissão para o artigo 7.º51 da Directiva, que desenha os “critérios para legitimar o tratamento de dados” e enuncia seis fundamentos jurídicos diferentes para o tratamento de dados, que vão do consentimento da pessoa em causa até ao critério do equilíbrio de interesses.
Para que as finalidades sejam legítimas, o tratamento deve – em todas as fases e a todo o
Além disso, a infracção dos requisitos da alínea b) do n.º 1 do artigo 6.º da Directiva pode ainda ter consequências graves. Por exemplo, pode levar a uma interdição do tratamento ou a sanções legais a impor pela autoridade de protecção de dados competente.O mesmo se diga dos n.ºs 1 a 4 do artigo 8.º da Directiva, relativos a “categorias específicas de dados”, quando aplicável.
50
51
25
tempo – estar baseado em pelo menos um dos fundamentos legais indicados no artigo 7.º No entanto, o requisito de que as finalidades sejam legítimas é mais amplo do que o âmbito do artigo 7.º Além disso, a alínea b) do n.º 1 do artigo 6.º também exige que as finalidades estejam em conformidade com todas as disposições da lei de protecção de dados aplicável, bem como de outras leis, tais como as leis do trabalho, dos contratos, de protecção do consumidor, etc.
O requisito da legitimidade significa que as finalidades devem ser “conformes à lei” no sentido mais lato. Isto inclui todas as formas de lei escrita e de common law, de legislação primária e secundária, decretos municipais, precedentes judiciais, princípios constitucionais, direitos fundamentais, outros princípios de Direito, bem como da ciência jurídica, na medida em que tais fontes possam ser interpretadas e tidas em conta pelos tribunais competentes52.
Dentro dos limites da lei, outros elementos tais como o costume, códigos de conduta, códigos de ética, cláusulas contratuais, o contexto geral e os factos do caso, podem também ser considerados para determinar se uma certa finalidade é legítima. Isto inclui a natureza da relação subjacente entre o responsável pelo tratamento e as pessoas em causa, seja ou não uma relação comercial.
A legitimidade de uma dada finalidade pode também mudar com o tempo, dependendo dos desenvolvimentos científicos e tecnológicos, das mudanças da sociedade e das atitudes culturais
No Anexo 3 dão-se exemplos para ilustrar como se efectua na prática a determinação da finalidade.
III.2. Avaliação da compatibilidade
A alínea b) do n.º 1 do artigo 6.º da Directiva dispõe que os dados pessoais recolhidos para uma ou mais finalidades não podem ser “posteriormente tratados de forma incompatível com essas finalidades”.
A presente Secção discute como avaliar se o tratamento posterior é compatível com as finalidades determinadas aquando da recolha.
Isto é feito começando por traçar um enquadramento geral para uma “avaliação da compatibilidade” (Secção III.2.1), e explicando em seguida os factores mais comuns a considerar na avaliação (Secção III.2.2).
Depois, consideraremos algumas aplicações específicas da avaliação da compatibilidade: tratamento posterior para finalidades históricas, estatísticas ou científicas (alínea b) do n.º 1 do
Vide Anexo 3, exemplo 15.52
26
artigo 6.º da Directiva) (Secção III.2.3); o caso das comunicações não solicitadas (Artigo 13.º da Directiva relativa à privacidade e às comunicações electrónicas sobre comunicações não solicitadas) (Secção III.2.4) e as iniciativas dos “megadados” e dos “dados abertos” (Secção III.2.5).
A terminar, a Secção III.2.6 estabelece as consequências da incompatibilidade.
III.2.1. Enquadramento geral da avaliação da compatibilidade
A noção de tratamento “posterior”
É útil começar por esclarecer em que consiste o “tratamento posterior”. Tal como se explicou anteriormente, decorre da alínea b) do n.º 1 do artigo 6.º e do Considerando 28 da Directiva que as finalidades do tratamento devem ser determinadas antes, ou em todo o caso, nunca depois, do momento que que ocorre a recolha de dados pessoais.
Ao estabelecer o requisito da compatibilidade, a Directiva não se refere especificamente ao tratamento para as “finalidades originalmente determinadas” nem a tratamento para “finalidades determinadas subsequentemente”. Ao invés, diferencia entre a primeira operação de tratamento, que é a recolha, e todas as operações subsequentes de tratamento (incluindo, por exemplo, aquela que é a primeira operação típica a seguir à recolha – o armazenamento dos dados).
Por outras palavras: qualquer tratamento que se siga à recolha, quer seja para as finalidades inicialmente determinadas, quer para finalidades adicionais, deve ser considerado “tratamento posterior” e deve, assim, preencher o requisito da compatibilidade.
A noção de incompatibilidade
Em vez de impor um requisito de compatibilidade, o legislador optou por uma dupla negativa: proibiu a incompatibilidade. Ao dispor que qualquer tratamento posterior é permitido desde que não seja incompatível (e se os requisitos da legalidade também estiverem simultaneamente preenchidos), os legisladores terão pretendido dar alguma flexibilidade relativamente à utilização posterior. O facto de o tratamento posterior ser para uma finalidade diferente não significa necessariamente que seja automaticamente incompatível: isto carece de ser avaliado caso a caso, conforme se mostra abaixo.
Nalguns casos esta flexibilidade adicional pode ser necessária para permitir uma modificação de âmbito ou de foco, em situações nas quais as expectativas da sociedade —ou das próprias pessoas em causa – evoluíram acerca da utilização adicional que pode ser dada aos dados. Isto é igualmente possível se aquando da determinação inicial da finalidade,
27
nem o responsável pelo tratamento nem a pessoa em causa tiverem pensado que viriam a ser necessárias finalidades adicionais, embora se tenha vindo entretanto a constatar que os dados poderiam realmente se muito úteis para outras coisas. Nalgumas destas situações (e em situações semelhantes) uma modificação das finalidades pode ser permissível, e o tratamento posterior considerado como não incompatível, desde que seja preenchido o requisito da compatibilidade.
Uma avaliação de compatibilidade puramente formal ou substantiva?
A natureza da avaliação a efectuar pelo responsável pelo tratamento (mas também pela autoridade de protecção de dados, ao avaliar a conformidade legal) é decisiva. Em termos muito breves, pode revestir duas formas. O critério da compatibilidade pode ser formal ou substantivo:
— Uma avaliação formal compara as finalidades que foram inicialmente indicadas pelo responsável pelo tratamento, habitualmente por escrito, com quaisquer finalidades adicionais para descobrir se essas finalidades estavam ou não cobertas (explícita ou implicitamente).
— Uma avaliação substantiva vai além das declarações formais para identificar quer a finalidade original quer a nova, tendo em conta o modo como são (ou deveriam ser) entendidas, dependendo do contexto e de outros factores.
Enquanto o primeiro método pode à primeira vista parecer mais objectivo e mais neutro, corre o risco de ser demasiado rígido, dependendo excessivamente do texto formal. Ao fazê-lo, pode encorajar os responsáveis pelo tratamento a determinar a finalidades de modo cada vez mais legalista, em vista a assegurar margem para tratamentos de dados posteriores, em vez de proteger os indivíduos envolvidos.
O segundo método é mais flexível e pragmático, mas também mais efectivo: pode ainda permitir adaptação a desenvolvimentos futuros no seio da sociedade e continuar ao mesmo tempo a garantir efectivamente a protecção dos dados pessoais. Uma questão importante será então, evidentemente, identificar os critérios que auxiliarão a avaliar a partir de que ponto uma finalidade diferente se torna uma finalidade incompatível. É este o tema da Secção III.2.2, na qual se discutem os critérios relevantes e a sua utilização prática.
Diferentes cenários e necessidades de avaliação
Antes de passar a detalhar os factores que devem ser tidos em conta na avaliação da compatibilidade, talvez seja útil sublinhar que na prática pode haver diversos cenários para esta avaliação. Algumas das situações exigirão pouca ou nenhuma análise, outras uma avaliação mais profunda, como se exemplifica abaixo:
28
— Cenário 1: A compatibilidade é óbvia à primeira vista: O tratamento posterior pode ser achado compatível, porque os dados são tratados especificamente para alcançar as finalidades determinadas aquando da recolha e de uma forma habitual para atingi-las. Assim, o tratamento preenche claramente as expectativas das pessoas em causa, mesmo que nem todos os detalhes tenham sido inteiramente expressos no início.
Exemplo n.º 1:
Um cliente contrata com um retalhista online a entrega de uma caixa de vegetais orgânicos em sua casa, uma vez por semana. Após a “recolha” inicial do endereço e informação bancária do cliente, estes dados são “tratados posteriormente” pelo retalhista para pagamento e entrega. Isto está obviamente em conformidade com o princípio da limitação da finalidade e não exige mais análise.
— Cenário 2: A compatibilidade não é óbvia e carece de análise adicional: Pode haver uma “conexão” entre a finalidade determinada e a forma como os dados são subsequentemente tratados; as finalidades estão relacionadas mas não são inteiramente coincidentes. Também é possível que os dados sejam tratados posteriormente para finalidades diferentes e não directamente relacionadas. Em todos estes casos é necessário avaliar alguns factores relevantes, incluindo entre outras coisas a relação entre a finalidade inicial e a finalidade do tratamento posterior e o contexto no qual os dados foram recolhidos. Em princípio, quanto maior o afastamento entre a finalidade inicial determinada aquando da recolha e as finalidades da utilização posterior, mais detalhada e extensiva terá que ser a análise e pode mesmo haver necessidade de avaliar à luz de alguns critérios adicionais. Nestas situações também poderá haver ainda necessidade de incluir garantias adicionais para compensar a modificação da finalidade (por exemplo, prestar informação adicional e opções explícitas à pessoa em causa).
Exemplo n.º 2:
O retalhista da caixa de vegetais quer utilizar o endereço de correio electrónico e o histórico de compras do cliente para lhe enviar ofertas personalizadas e cupões de desconto para produtos semelhantes incluindo a sua gama de lacticínios orgânicos. Também quer disponibilizar os dados do cliente, incluindo o nome, endereço de correio electrónico, número de telefone e histórico de compras a um seu contacto comercial que abriu um talho orgânico na vizinhança. Em ambos os casos o retalhista não pode assumir que a sua utilização posterior é compatível e é necessária alguma análise adicional, com a possibilidade de se atingirem conclusões diferenciadas (por exemplo, nos casos de utilização “interna” e de transferência de dados53 ).
Ver também a Secção III.2.4 sobre comunicações não solicitadas e o artigo 13.º da Directiva relativa à privacidade e às comunicações electrónicas sobre Comunicações não solicitadas.
53
29
— Cenário 3: A incompatibilidade é óbvia: Se os dados forem tratados de uma forma ou para finalidades adicionais que uma pessoa razoável acharia, não só inesperados mas também obviamente inadequados ou de outro modo objectáveis, e o tratamento claramente não corresponde às expectativas de uma pessoa razoável colocada na posição da pessoa em causa, é muito provável que sejam considerados incompatíveis. Só em casos marginais de dúvida seria útil proceder a mais análise.
Exemplo n.º 3:
O cliente da caixa de vegetais também compra uma gama de outros produtos orgânicos no sítio na web do retalhista, alguns deles com desconto. O retalhista, sem informar o cliente, introduziu uma solução de software de personalização dos preços de aquisição que, entre outras coisas, detecta se o cliente está a utilizar um computador Apple ou um PC com Windows. Na sequência, o retalhista concede maiores descontos aos clientes que utilizam Windows. Neste caso, a utilização posterior de dados disponíveis e a recolha desleal de informação adicional, ambos para uma finalidade não relacionada (permitir “discriminação de preços” secreta) são problemáticas.
Os cenários supra sublinham a necessidade de um número limitado de factores-chave que podem auxiliar a focar a avaliação da compatibilidade, bem como a necessidade de uma abordagem pragmática que permita a utilização de pressupostos práticos (“regras de ouro”) baseados naquilo que uma pessoa razoável acharia aceitável sob quaisquer circunstâncias dadas.
III.2.2. Factores-chave a considerar durante a avaliação da compatibilidade
Os Estados Membros desenvolveram alguns critérios úteis, em disposições legais específicas e na prática, para avaliar a compatibilidade entre as finalidades determinadas aquando da recolha e a forma pela qual os dados são tratados posteriormente. Estes critérios são já largamente utilizados na prática e permitem a identificação de alguns factores-chave comuns:
a) a relação entre as finalidades para as quais os dados foram recolhidos e as finalidades do tratamento posterior
Este factor é provavelmente o mais óbvio já que a avaliação da compatibilidade é, antes do mais, sobre a relação entre a finalidade inicial e a finalidade do tratamento posterior, tal como já se aflorou acima. Isto deveria ser visto não apenas como uma questão textual, isto é, como se compara a linguagem da finalidade inicial com as finalidades do tratamento posterior. De facto pode suceder que só tenha sido usado um texto muito limitado, ou nenhum, para expressar as finalidades iniciais (vide Secção III,1). O foco deverá ser na substância da relação entre as finalidades da recolha e as finalidades do tratamento posterior.
30
Isto pode abranger situações nas quais o tratamento posterior já estava mais ou menos implicado nas finalidades iniciais, ou assumido como um passo lógico seguinte no tratamento em conformidade com essas finalidades, bem como situações nas quais só há um nexo parcial ou nem sequer há nexo com as finalidades originais. Em todo o caso, quanto maior o afastamento entre as finalidades da recolha e as finalidades do tratamento posterior, mais problemática se torna a avaliação da compatibilidade54.
Tal como anteriormente se sublinhou no contexto da determinação da finalidade, é sempre necessário ter em conta o contexto factual e a forma como uma certa finalidade é correntemente entendida pelas partes interessadas relevantes nas várias situações sob análise.
b) o contexto no qual os dados foram recolhidos e as expectativas razoáveis das pessoas em causa quanto à sua utilização posterior
O segundo factor foca o contexto específico no qual os dados foram recolhidos e nas expectativas razoáveis das pessoas em causa quanto à sua utilização posterior, baseadas nesse contexto. Por outras palavras, a questão aqui é saber para quê uma pessoa razoável colocada na situação da pessoa em causa esperaria que os seus dados viriam a ser utilizados com base no contexto da recolha55.
Um aspecto importante disto é a natureza da relação entre o responsável pelo tratamento e a pessoa em causa. Isto exige não só uma revisão das declarações legais feitas, mas também a consideração do que é a prática costumeira e geralmente esperada no contexto dado e na relação dada (comercial ou não). Em geral, quanto mais inesperada ou surpreendente for a utilização, mais provável se torna que seja considerada incompatível56.
Uma avaliação da natureza desta relação deve incluir também uma investigação do equilíbrio de poderes entre a pessoa em causa e o responsável pelo tratamento. Em especial, deve notar-se se as pessoas em causa ou quaisquer terceiros em sua representação, foram obrigados a fornecer os dados ao abrigo da lei57. Em alternativa, a recolha de dados poderá ter sido baseada numa relação contratual. Neste caso, a natureza do contrato e o equilíbrio de poderes entre a pessoa em causa e o responsável pelo tratamento devem ser examinados (por exemplo, até que ponto é fácil para a pessoa em causa pôr termo ao contrato e procurar um fornecedor alternativo de serviços)58 . Se o tratamento posterior for baseado no consentimento, deve avaliar-se até que ponto o consentimento foi dado livremente e qual a precisão dos seus termos59. Em geral a avaliação da compatibilidade carece de ser mais estrita se à pessoa em causa não tiver sido dada suficiente liberdade de escolha, se os termos do consentimento não forem específicos e/ou se o tratamento posterior for considerado objectável.
Vide Anexo 4, em especial os exemplos 1, 2 e 3.Vide Anexo 4, em especial os exemplos 1 e 2.Vide Anexo 4, em especial os exemplos 8 e 9.Vide Anexo 4, em especial os exemplos 2, 17, 18, 19, 20 e 22.Vide Anexo 4, em especial o exemplo 8.Vide Anexo 4, em especial os exemplos 7, 8, 9 e 10.
545556575859
31
Em todos estes casos é igualmente importante considerar se o estatuto do responsável pelo tratamento60, a natureza da relação ou do serviço prestado61 ou as obrigações aplicáveis, legais ou contratuais (ou outras promessas feitas aquando da recolha) poderiam dar origem a expectativas razoáveis de confidencialidade mais estrita ou a limitações mais estritas da utilização posterior62. Em geral, quanto mais específico e restritivo for o contexto da recolha, mais verosímeis se tornam as limitações sobre a sua utilização posterior63. Uma vez mais, é necessário ter em conta o contexto factual e não basear-se simplesmente no texto em letras pequeninas.
Na avaliação do contexto no qual os dados foram recolhidos e das expectativas razoáveis da pessoa em causa quanto à sua utilização, deve igualmente ser prestada atenção à transparência do tratamento (incluindo o tipo e conteúdo da informação prestada inicial ou subsequentemente à pessoa em causa)64, bem como a se o tratamento posterior se baseia em disposições legais65. Neste último caso, a segurança e a previsibilidade jurídicas em geral poderão sugerir que a utilização posterior é compatível, mesmo se as pessoas em causa não tiverem estado conscientes de todas as consequências envolvidas66.
c) a natureza dos dados e o impacto do tratamento posterior sobre as pessoas em causa
O terceiro factor foca a natureza dos dados e o impacto do tratamento posterior sobre as pessoas em causa. Trata-se de uma abordagem bastante comum na lei de protecção de dados, a qual foi ao fim e ao cabo concebida para proteger os indivíduos contra o impacto de utilizações impróprias ou excessivas dos seus dados pessoais. A natureza dos dados tratados desempenha um papel crítico em todas as suas disposições. Portanto, será importante avaliar se o tratamento posterior envolve dados sensíveis, quer por pertencerem às categorias especiais de dados do artigo 8.º da Directiva67, quer por outras razões, como nos casos de dados biométricos, informação genética, dados de comunicações, dados de localização e outros tipos de dados pessoais que exigem protecção especial68. Em geral, quanto mais sensível for a informação
Como, por exemplo, se é um advogado ou um médico.Tal como, por exemplo, serviços de computação em nuvem para gestão de documentos pessoais, serviços de correio electrónico, diários, leitores electrónicos equipados com funcionalidades de tomada de apontamentos, e várias aplicações de registo de vida que podem conter informação muito pessoal.Nalguns casos o contexto da recolha pode sugerir uma proibição completa de qualquer utilização posterior além de uma finalidade específica e pré-determinada.Vide Anexo 4, em especial os exemplos 4 e 16.Vide Anexo 4, em especial os exemplos 5, 9, 10 e 12. Deve ter-se presente que o requisito de fornecer informação clara às pessoas em causa é de tipo horizontal. Ainda, quanto melhor o responsável pelo tratamento preencher os requisitos da Directiva, mais provável se torna que o tratamento posterior seja considerado compatível.Isto é, disposições legais que descrevam fases ulteriores da finalidade para a qual os dados foram inicialmente recolhidos, o que se distingue claramente das disposições legais que poderiam legitimar uma utilização incompatível sob certas circunstâncias (vide Secção III.3).Vide Anexo 4, em especial os exemplos 3 e 11.As categorias especiais de dados incluem “dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical”, “dados relativos à saúde e à vida sexual” e “dados relativos a infracções, condenações penais ou medidas de segurança”.Também pode ser relevante considerar se a pessoa em causa é uma criança ou, por outro motivo pertence a um segmento mais vulnerável da população que exige protecção especial, como por exemplo, os doentes mentais, os refugiados ou os idosos.
6061
62
6364
65
6667
68
32
envolvida, mais restrito se torna o âmbito do que poderia ser uma utilização compatível69.
Na avaliação do impacto do tratamento posterior, quer as consequências positivas70, quer as negativas devem ser tidas em conta. Nelas se podem incluir potenciais decisões ou acções futuras de terceiros71 e situações nas quais o tratamento poderá levar à exclusão ou à discriminação de indivíduos72. Além dos resultados adversos que possam ser especificamente previstos, também os impactos emocionais devem ser tidos em conta, tais como a irritação, o medo e o incómodo que podem resultar da perda de controlo da pessoa em causa sobre a informação pessoal, ou da compreensão de que esta foi comprometida.
Num sentido mais amplo, o impacto relevante também pode incluir a maneira como os dados são posteriormente tratados: se os dados são tratados por um responsável diferente noutro contexto e com consequências desconhecidas, se os dados são tornados públicos ou de outro modo disponibilizados a um grande número de pessoas, ou se grandes quantidades de dados pessoais são tratados ou combinados com outros dados (por exemplo, no caso do tratamento de perfis, para finalidades comerciais ou de aplicação da lei), em especial se tais operações não forem previsíveis aquando da recolha73.
As consequências relevantes podem, portanto, ir desde consequências visadas e bem definidas até consequências mais gerais e imprevisíveis, de escala ou âmbito variáveis. Uma vez mais, em geral, quanto mais negativo ou incerto for o impacto do tratamento posterior, mais improvável se torna que seja considerado como utilização compatível. A disponibilidade de métodos alternativos para alcançar os objectivos perseguidos pelo responsável pelo tratamento, com menos impactos negativos sobre a pessoa em causa, terá certamente que ser uma consideração relevante neste contexto74.
d) as garantias aplicadas pelo responsável pelo tratamento para assegurar um tratamento leal e para impedir quaisquer impactos indevidos sobre as pessoas em causa
Uma característica inerente a uma avaliação multifactorial é a de que as deficiências em alguns pontos podem em certos casos ser compensadas por um melhor desempenho noutros aspectos. É por este motivo que o quarto e último factor olha para as garantias que foram aplicadas pelo responsável pelo tratamento para assegurar um tratamento leal e para impedir quaisquer impactos indevidos sobre as pessoas em causa.
Medidas adicionais apropriadas podem, assim e em princípio, servir de “compensação”
Vide Anexo 4, em especial os exemplos 4, 12, 14, 16, 17 e 18. Contudo, não se pode excluir que mesmo dados pessoais altamente sensíveis possam ser tratados posteriormente, desde que o tratamento preencha os critérios da avaliação da compatibilidade e, em especial, estejam protegidas as expectativas razoáveis das pessoas em causa.Vide Anexo 4, em especial os exemplos 6 e 11.Vide Anexo 4, em especial os exemplos 1, 2, 12, 13, 17, 18, 19, 20, 21 e 22.Vide Anexo 4, em especial os exemplos 5, 13, 14, 18 e 19.Vide Anexo 4, em especial os exemplos 5, 9, 10, 19, 20, 21 e 22.Vide Anexo 4, em especial os exemplos 4, 5, 6, 12 e 13.
69
7071727374
33
para uma modificação da finalidade75 ou para o facto de as finalidades não terem sido inicialmente determinadas com a clareza devida. Isto pode exigir que se tomem medidas técnicas e/ou organizativas para assegurar separação funcional (tais como anonimização total ou parcial, pseudonimização e agregação de dados), mas também que se dêem passos adicionais em benefício das pessoas em causa, tais como transparência acrescida com a possibilidade de objecção ou de dar consentimento específico. Saber se o resultado é ou não aceitável dependerá da avaliação da compatibilidade no seu conjunto (isto é, incluindo estas medidas e o seu efeito sobre os restantes aspectos mencionados acima).
Se as finalidades tiverem sido modificadas ou não tiverem sido determinadas com clareza, uma primeira condição necessária (mas nem sempre suficiente) para assegurar a compatibilidade é a re-determinação das finalidades. Frequentemente é também necessário fornecer informações adicionais às pessoas em causa e – dependendo das circunstâncias e da base legal do tratamento posterior – pode ser necessário criar uma oportunidade para lhes permitir a auto-exclusão (opt-out) ou a auto-inclusão (opt-in)76.
Nalguns casos, pedir um consentimento separado, específico para o novo tratamento pode, em especial, ajudar a compensar a modificação da finalidade77. Isto é, uma nova base legal ao abrigo da alínea a) do artigo 7.º pode, em algumas situações, contribuir para compensar a incompatibilidade. É importante reiterar, contudo, que os requisitos da compatibilidade ao abrigo da alínea b) do n.º 1 do artigo 6.º e o requisito de uma base legal adequada ao abrigo da alínea a) do artigo 7.º são cumulativos. Isto é, uma nova base legal por si só não pode legitimar uma utilização posterior que de outro modo seja incompatível.
Além disso, a aplicação de medidas técnicas e organizativas adicionais pode ser particularmente importante. A identificação das medidas relevantes é facilitada se forem tomados em conta certos objectivos de protecção de dados e de segurança dos dados. Os objectivos clássicos da segurança dos dados são a disponibilidade, a integridade e a confidencialidade. Para preencher efectivamente os requisitos de protecção dos dados, os objectivos de protecção de dados da transparência, do isolamento (limitação da finalidade) e da “capacidade de intervenção” devem igualmente ser considerados78.
Ao tentar identificar as medidas técnicas e organizativas que se qualificam como garantias adequadas para compensar a modificação da finalidade, o foco é frequentemente lançado sobre a noção de isolamento79. Exemplos de medidas relevantes podem incluir, entre outras coisas, anonimização total ou parcial, pseudonimização ou agregação de dados, tecnologias de
Isto decorre implicitamente da disposição específica sobre o tratamento posterior para finalidades históricas, estatísticas ou científicas da alínea b) do n.º 1 do artigo 6.º da Directiva (vide Secções II.2.2 e III.2.3).Se for exigido, deve notificar-se igualmente a autoridade de protecção de dados.Vide Anexo 4 e compare-se, em especial, os exemplos 7 e 8.Vide Parecer 05/2012 do Grupo de Trabalho instituído ao abrigo do Artigo 29.º relativo a Computação em Nuvem adoptado em 1 de Julho de 2012 (WP 196), em especial a Secção 3.4.Vide Secção 3.4 do Parecer 05/2012 relativo a Computação em Nuvem, acabado de referir. Além disso deve notar-se que na Alemanha, o conceito mais vasto de “não-ligabilidade” foi introduzido na legislação e é promovido pela Conferência dos Comissários de Protecção de Dados.
75
767778
79
34
aperfeiçoamento da privacidade, bem como outras medidas para assegurar que os dados não podem ser usados para tomar decisões ou outras acções relativas aos indivíduos (“separação funcional”). Estas medidas são especialmente relevantes no contexto da utilização posterior para “finalidades históricas, estatísticas ou científicas”, conforme se desenvolve abaixo80.
Embora esta apresentação de factores-chave não seja exaustiva, ela tenta sublinhar as questões típicas que podem ser consideradas numa abordagem equilibrada; nem demasiado geral ao ponto de perder o significado, nem demasiado específica, tornando-se excessivamente rígida. Como se mostra acima, cada factor pode ser mais desenvolvido, em critérios mais detalhados ou mais específicos. À medida que a tecnologia, a sociedade e as práticas comerciais continuam a evoluir, é possível que certos factores se tornem mais ou menos importantes, e possam exigir atenção específica na avaliação da compatibilidade.
Deve salientar-se que a avaliação da compatibilidade implicará com frequência uma avaliação sob múltiplos critérios. Embora possa haver casos nos quais nem todas as considerações mencionadas acima serão relevantes, a avaliação exigirá, tipicamente, a apreciação de um certo número de factores relevantes aplicados de forma cumulativa. Os seus diferentes pesos terão, portanto, impacto na avaliação global.
No Anexo 4 fornecem-se exemplos práticos para ilustrar a avaliação da compatibilidade com base nestes factores.
III.2.3. Tratamento posterior para finalidades históricas, estatísticas ou científicas
A alínea b) do n.º 1 do artigo 6.º da Directiva contém uma disposição específica sobre o tratamento posterior para “fins históricos, estatísticos ou científicos”81. Esta disposição, lida em conjunto com os Considerandos relevantes, permite o tratamento posterior dos dados para fins históricos, estatísticos ou científicos desde que o responsável pelo tratamento compense esta modificação com a aplicação de “garantias adequadas” e em especial assegure que os dados não serão utilizados para apoiar medidas ou decisões relativas a quaisquer indivíduos.
Objectivo da disposição sobre o tratamento para “fins históricos, estatísticos ou científicos”
A disposição contribui para uma maior certeza jurídica. Não deve ser lida como se abrisse
Vide Anexo 4, em especial os exemplos 14 e 15.Em conformidade com a alínea b) do n.º 1 do artigo 6.º, o tratamento posterior dos dados para estas finalidades “não é considerado incompatível desde que os Estados-membros estabeleçam garantias adequadas”. O Considerando 29 afirma ainda que “tais garantias devem em especial impedir a utilização de dados em apoio de medidas ou de decisões tomadas em desfavor de uma pessoa”. São também relevantes para esta matéria o n.º 2 do artigo 11.º e o Considerando 40 relativos à informação a prestar às pessoas em causa. O Considerando 40 afirma que “não é necessário [informar a pessoa em causa] caso a pessoa em causa esteja já informada” e que “não existe essa obrigação caso o registo ou a comunicação dos dados estejam expressamente previstos na lei ou caso a informação da pessoa em causa se revele impossível ou exija esforços desproporcionados, o que pode ser o caso do tratamento para fins históricos, estatísticos ou científicos; que, para este efeito, podem ser tomados em consideração o número de pessoas em causa, a antiguidade dos dados e as medidas compensatórias que podem ser tomadas”.
8081
35
uma excepção global ao requisito da compatibilidade nem se pretende que seja uma autorização geral para tratamento posterior de dados em todos os casos para fins históricos, estatísticos ou científicos. Tal como qualquer outro caso de utilização posterior, devem ser tomados em consideração todas as circunstâncias e factores relevantes ao decidir quais as garantias, se algumas, podem ser consideradas adequadas e suficientes. Além disso, tal como noutras situações, deve ser aplicada em separado uma verificação para assegurar que o tratamento tem como base legal um dos fundamentos indicados no artigo 7.º e está em conformidade com os restantes requisitos relevantes da Directiva.
Conforme se notou no Considerando 29 o objectivo das garantias é tipicamente “impedir” que os dados sejam utilizados para apoiar medidas ou decisões relativas a uma pessoa. O termo “impedir” sugere que as garantias devem ser de facto suficientemente sólidas para excluir ou pelo menos minimizar quaisquer riscos para as pessoas em causa82.
Para assegurar garantias adequadas a expressão “medidas ou decisões” deve ser interpretada no mais lato dos sentidos. Em primeiro lugar deve entender-se que abrange quaisquer “medidas ou decisões” independentemente de estas serem adoptadas pelo responsável pelo tratamento ou por qualquer outro interveniente. Em segundo lugar, “medidas ou decisões” não abrange apenas medidas e decisões formais adoptadas num procedimento formal. Por outras palavras: qualquer impacto relevante — quer positivo quer negativo — sobre quaisquer pessoas deve ser evitado.
No enquadramento actual, cabe a cada Estado Membro especificar quais as garantias que podem ser consideradas adequadas. Esta especificação é, tipicamente, feita na legislação, podendo ser mais precisa (por exemplo, censo nacional ou outras estatísticas oficiais) ou mais geral (a maior parte das restantes espécies de estatística ou de investigação). Neste último caso, isto deixa margem para códigos profissionais de conduta e/ou orientações adicionais emitidas pelas autoridades de protecção de dados competentes.
Diversidade das situações abrangidas e das garantias a aplicar
A disposição abrange um vasto âmbito de actividades de tratamento. Embora algum desse tratamento possa servir interesses públicos importantes, há muitos outros tipos de actividade – fora do âmbito do “interesse público” – que também podem caber no âmbito desta disposição.
Em especial, “fins estatísticos” cobre um âmbito alargado de actividades de tratamento, desde fins comerciais (por exemplo, utensílios analíticos de sítios na web ou aplicações de megadados orientados para a pesquisa de mercado83) até ao interesse público (por exemplo,
A este propósito vale a pena recordar o n.º 3 do artigo 9.º da Convenção 108, citado na nota 19, o qual também permite a utilização posterior para estatística ou para investigação científica mas apenas naqueles casos nos quais “manifestamente não haja risco de atentado à vida privada dos seus titulares”.Para megadados e dados abertos, vide a Secção III.2.5 e o Anexo 2.
82
83
36
informação estatística produzida a partir de dados recolhidos por hospitais para determinar a quantidade de pessoas feridas em consequência de acidentes rodoviários).
O tratamento para fins “históricos” também pode ter características específicas e pode exigir um conjunto diferente de garantias. Os Estados Membros têm com frequência leis específicas regulando o acesso aos arquivos nacionais, aos arquivos sobre a história recente de especial interesse (tais como os arquivos de provas contra regimes opressivos) e processos judiciais conservados pelas autoridades judiciárias. Estas leis exigem frequentemente garantias para além da anonimização ou da pseudonimização, incluindo medidas adequadas de segurança e restrições ao acesso.
Embora os historiadores estejam com frequência mais interessados nos factos do que na identidade precisa dos indivíduos envolvidos (e para tais casos os dados anonimizados ou pseudonimizados serão habitualmente adequados), nalguns casos a investigação poderá focar-se em indivíduos específicos, tais como figuras históricas ou na história familiar. Também pode suceder que os investigadores queiram utilizar dados que colocam pouco ou nenhum risco para as pessoas envolvidas, devido ao lapso de tempo decorrido desde a recolha84.
No que se refere aos fins “científicos”, também pode haver necessidade de aceder a diferentes espécies de dados. Alguma investigação pode exigir microdados em bruto, que só parcialmente estarão anonimizados ou pseudonimizados. Nalguns casos os fins da investigação só podem ser atingidos se a pseudonimização for reversível: por exemplo, quando os sujeitos da investigação tiverem que ser entrevistados numa fase ulterior de um estudo longitudinal. Outras investigações, contudo, podem exigir menos detalhe e assim permitir um maior grau de agregação e anonimização. Além disso, a publicação dos resultados deve, em regra, ser possível de forma que só sejam revelados dados agregados e/ou anonimizados de outro modo.
Finalmente, como se mostra abaixo, também é relevante distinguir entre situações nas quais o tratamento posterior é efectuado pelo responsável pelo tratamento inicial e aquelas nas quais os dados pessoais são transferidos para um terceiro. Neste contexto, alguns projectos de investigação podem exigir protocolos muito precisos (regras e procedimentos) para assegurar uma estrita separação funcional entre os participantes na investigação e as partes interessadas externas. Isto pode incluir medidas técnicas e organizativas, tais como codificação segura com chave dos dados pessoais transferidos e proibição aos terceiros externos de re-identificação das pessoas em causa (tal como no caso dos ensaios clínicos e da investigação farmacêutica) e outras medidas possíveis.
Considerando a diversidade de situações potenciais, é da maior importância, uma vez Neste contexto, contudo, deve ter-se presente que alguns dados (por exemplo, o registo criminal) pode continuar a ter um impacto adverso sobre a pessoa em causa mesmo muitas décadas após e pode, por exemplo, continuar a estigmatizar um indivíduo e a prejudicar a sua reabilitação. Além disso, a informação de que uma pessoa falecida era um agente secreto ou um colaborador de um regime opressivo, um pedófilo, um criminoso, sofria de uma doença mental estigmatizante ou sofria de uma doença hereditária, podem também ter um impacto negativo sobre a família do falecido (por exemplo, o cônjuge sobrevivo, os filhos ou outros descendentes).
84
37
mais, seguir a abordagem multifactorial geralmente aplicável, de modo a identificar as garantias adequadas.
O conceito de “separação funcional”
Na consideração de quais as garantias a adoptar a noção de separação funcional pode ser de especial relevância. Isto significa que os dados utilizados para fins estatísticos ou para outros fins de investigação não podem ser disponibilizados para apoiar “medidas ou decisões” tomadas relativamente às pessoas em causa envolvidas (salvo se especificamente autorizado pelos indivíduos envolvidos). Para preencher este requisito os responsáveis pelo tratamento têm que garantir a segurança dos dados e adoptar todas as restantes medidas técnicas e organizativas necessárias para assegurar a separação funcional.
Conforme se discutirá mais adiante, a anonimização total ou parcial, em especial, pode ser relevante para a utilização ou a partilha seguras dos dados no interior das organizações, em especial grandes organizações com funções diversificadas. Quando não for possível a anonimização total ou a utilização de dados agregados (a um grau suficientemente alto de agregação) os dados terão que ser, pelo menos, parcialmente anonimizados (isto é, pseudonimizados, codificados com chave e desprovidos de identificadores directos) e poderão ser também necessárias garantias adicionas, conforme se discute abaixo.
Cenários diferentes exigem garantias diferentes
Uma vez mais é útil distinguir cenários diferentes para o desenvolvimento da análise:
— Cenário 1: dados pessoais não identificáveis: os dados são anonimizados ou agregados de tal forma que não resta a possibilidade de (razoavelmente) identificar as pessoas em causa.
— Cenário 2: dados pessoais identificáveis indirectamente: baixo grau de agregação, anonimização parcial, pseudonimização ou dados codificados com chave.
— Cenário 3: situações nas quais dados pessoais directamente identificáveis são necessários, devido à natureza da investigação85.
Regra geral, isto leva às seguintes considerações:
A alínea a) do artigo 2.º da Directiva define “dados pessoais” como “qualquer informação relativa a uma pessoa singular identificada ou identificável («pessoa em causa»); é considerado identificável todo aquele que possa ser identificado, directa ou indirectamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social”. Vide também o Parecer 4/2007 sobre o conceito de dados pessoais, adoptado em 20/06/2007 (WP 136), em especial págs. 13-22 (discussão de “dados sob pseudónimo”, “dados codificados com chave” e “dados anónimos” nas págs.18-22). A questão da informação “relativa a” uma pessoa singular é discutida nas págs. 9-12.
85
38
1) A anonimização total (incluindo um alto grau de agregação) é a solução mais definitiva. Implica que deixa de haver tratamento de dados pessoais e que a Directiva deixa de ser aplicável86.
No entanto, a anonimização total pode não ser possível devido à natureza do tratamento (por exemplo, quando houver necessidade de re-identificar as pessoas em causa ou de utilizar dados mais granulares que, em consequência, possam permitir identificação indirecta). Além disso, a anonimização é crescentemente difícil de conseguir, com os avanços na moderna tecnologia informática e a ubíqua disponibilidade da informação. A anonimização total também exige, por exemplo, que se exclua qualquer possibilidade razoável de estabelecer um nexo com dados de outras fontes em vista à re-identificação. Contudo, a re-identificação dos indivíduos é uma ameaça cada vez mais comum e actual87. Na prática existe uma área cinzenta muito significativa, quando o responsável pelo tratamento crê que um conjunto de dados foi anonimizado mas um terceiro motivado consegue identificar pelo menos alguns do indivíduos a partir da informação disponibilizada88. A consideração do risco de re-identificação e a renovação com regularidade dessa consideração, incluindo a identificação de riscos residuais continua deste modo a ser um elemento importante de qualquer abordagem sólida nesta área.
2) A anonimização parcial ou a desidentificação parcial pode ser uma solução adequada em algumas situações89 nas quais a anonimização completa não é exequível. Nestes casos devem ser utilizadas várias técnicas (incluindo a pseudonimização90, a codificação com chave , função hash com chave91, utilização de variáveis criptográficas em rotação, remoção dos identificadores e atributos directos, substituição de identificadores únicos, introdução de “ruído” e outras) para reduzir o risco de que as pessoas em causa possam ser re-identificadas e, subsequentemente, quaisquer medidas ou decisões possam ser
A expressão “anonimização total” ou “completa” é usada no presente Parecer para se referir a dados que já não podem ser considerados “dados pessoais” nos termos da alínea a) do artigo 2.º da Directiva. Vide também o Parecer 4/2007 do Grupo de Trabalho instituído pelo artigo 29.º citado na nota precedente.Vide, por exemplo, “Transparent Government, Not transparent Citizens”, um relatório preparado por Kieron O’Hara da Universidade de Southampton University em 2011, para o gabinete do Governo do Reino Unido, no qual o autor alerta para a capacidade de identificar indivíduos a partir de dados anonimizados, utilizando entre outras, a “identificação por puzzle” e afirma que não há soluções técnicas completas para o problema da desanonimização. Disponível em: http://www.cabinetoffice.gov.uk/sites/default/files/resources/transparency-and-privacy-review-annex-b.pdfActualmente não existe qualquer orientação abrangente sobre anonimização ao nível Europeu. O Grupo de Trabalho do artigo 29.º prepara actualmente um documento de orientação sobre dados abertos que tratará, entre outras coisas, de questões relacionadas com a anonimização. O Grupo de Trabalho do artigo 29.º publicará ulteriormente orientações adicionais sobre as técnicas de anonimização em geral. Espera-se que estes documentos sejam adoptados durante o ano de 2013. Para orientações ao nível nacional, vide o “Anonymisation code of practice” publicado pelo Gabinete do Comissário para a Informação do Reino Unido em Novembro de 2012, disponível em: http://www.ico.gov.uk/for_organisations/data_protection/topic_guides/~/media/documents/library/Data_Protection/Practical_application/anonymisation_code.ashx.Saber se um certo grau de anonimização ou desidentificação parcial é garantia suficiente depende do contexto, incluindo todos os critérios relevantes mencionados na Secção III.2.2.É importante destacar que a anonimização parcial não é sinónimo de pseudonimização ou de codificação com chave de dados pessoais. Além da pseudonimização (de que a codificação com chave é um exemplo clássico), pode ser frequentemente necessário utilizar técnicas adicionais de anonimização.Neste contexto o Grupo de Trabalho do artigo 29.º sublinha a importância da segurança das medidas de codificação com chave. Por exemplo, no caso dos ensaios clínicos, a utilização das iniciais e da data de nascimento como mecanismos de codificação deve ser evitada porque este método permite uma identificação relativamente fácil dos pacientes. Uma prática melhor será a aplicação de medidas mais seguras de codificação com chave como, por exemplo, atribuição de números aleatórios.
86
87
88
89
90
91
39
tomadas a seu respeito. Adicionalmente, é frequentemente necessário complementar estas técnicas com outras garantias para proteger adequadamente as pessoas em causa92. Estas incluem minimização dos dados, bem como medidas organizativas e técnicas adequadas, incluindo “ensilamento dos dados”, para assegurar separação funcional.
3) Dados pessoais directamente identificáveis só podem ser tratados se a anonimização ou a anonimização parcial não forem possíveis sem frustrar os fins do tratamento e desde que sejam postas em prática outras garantias adequadas e efectivas.
Importância das garantias adicionais para além da anonimização
A análise acima mostra que a anonimização é um utensílio chave na obtenção da separação funcional e que, embora seja altamente recomendada, tem os seus desafios e limites. A análise também mostra que após se completar a primeira avaliação, em termos das possibilidades e limites da desidentificação efectiva, o segundo passo, aplicando garantias adicionais, se deve frequentemente seguir.
Deve ter-se presente, como orientação essencial, que quanto mais fácil for a identificação da pessoa em causa mais garantias adicionais se tornam necessárias. Dito isto, a avaliação da compatibilidade não pode ser reduzida apenas a estes dois factores e passos: como em qualquer outro caso, deve também incluir todos os restantes factores chave relevantes mencionados na Secção III.2.2. Por exemplo, em geral, quanto mais sensíveis forem os dados e maior o consequente impacto adverso sobre a pessoa em causa, se for identificada, mais deve ser feito para limitar as possibilidades de re-identificação e mais garantias adicionais poderão ser necessárias.
Entre as garantias adequadas que podem trazer protecção adicional às pessoas em causa, podem considerar-se as seguintes:
— Adoptar medidas específicas de segurança adicionais (como encriptação);
— No caso da pseudonimização, assegurar-se de que os dados que possibilitam a ligação da informação a uma pessoa em causa (as chaves) estão eles mesmos codificados ou encriptados e armazenados em separado;
— Celebrar um acordo com um terceiro de confiança em situações nas quais várias organizações pretendam anonimizar os dados pessoais que detêm para utilização num projecto no qual colaboram93;
Em todo o caso, os dados pessoais codificados com chave ou de outra forma pseudonimizados, ou parcialmente anonimizados – enquanto existir a possibilidade de re-identificação com recurso a meios razoáveis, aplicada pelo responsável pelo tratamento ou por qualquer terceiro – continuam a ser considerados dados pessoais e, assim, exigem protecção adequada.Este modelo é cada vez mais utilizado para facilitar investigação em larga escala com dados recolhidos por várias organizações. Os terceiros de confiança podem ser utilizados para interligar conjuntos de dados de organizações separadas e em seguida criar registos anonimizados para os investigadores.
92
93
40
— Restringir o acesso a dados pessoais a apenas quando baseado na necessidade de conhecer, equilibrando cuidadosamente as vantagens de uma disseminação mais vasta com os riscos de revelação involuntária de dados pessoais a destinatários não autorizados. Isto pode incluir, por exemplo, permitir acesso exclusivamente em leitura e em instalações controladas. Em alternativa, podem estabelecer-se mecanismos para disponibilização limitada em ambiente seguro e a comunidades adequadamente constituídas. São também importantes as obrigações de confidencialidade juridicamente vinculativas impostas aos destinatários dos dados, incluindo a proibição de publicar informação identificável. É importante notar que em situações de alto risco, nas quais a revelação por inadvertência de dados pessoais poderia causar consequências graves ou danosas aos indivíduos, mesmo este tipo de acesso ou de restrição pode ser inadequado.
Além disso,
— O tratamento posterior de dados pessoais relativos à saúde, de dados relativos a crianças e outros indivíduos vulneráveis, ou outra informação altamente sensível, deve, em princípio, ser somente permitido com o consentimento da pessoa em causa94;
— Quaisquer excepções a este requisito do consentimento devem estar previstas em lei, com garantias adequadas, incluindo as medidas técnicas e organizativas para evitar impactos indevidos sobre as pessoas em causa (em caso de dúvida, o tratamento deve estar sujeito a autorização prévia da autoridade de protecção de dados competente); as excepções devem aplicar-se apenas quando se refiram a investigação que sirva um interesse público importante, e somente se essa investigação não puder ser realizada de outro modo95.
O n.º 2 do artigo 6.º e o artigo 83.º da proposta de Regulamento de Protecção de Dados
O n.º 2 do artigo 6.º e o artigo 83.º da proposta de Regulamento de Protecção de Dados tratam da questão da utilização posterior para fins de investigação histórica, estatística ou científica96. Estes artigos adoptam uma abordagem algo semelhante à da análise precedente, exigindo a anonimização ou, se esta não for possível, dependendo da natureza do tratamento, pelo menos algum grau de desidentificação. No entanto, também diferem em alguns modos cruciais.
O n.º 2 do artigo 6.º da proposta de Regulamento de Protecção de Dados (sob a epígrafe “Licitude do tratamento”) dispõe que “O tratamento de dados pessoais necessário para fins de
O tratamento deve também respeitar a restante legislação relevante (por exemplo, relativa a ensaios clínicos).Vide também as emendas 334-342 ao Projecto de Relatório da Comissão de Liberdades Cívicas, Justiça e Assuntos Internos datadas de 16/01/2013 (2012/0011(COD) (“Projecto de Relatório da Comissão LCJAI”).Vide também o n.º 2 do artigo 81.º sobre a utilização posterior de dados de saúde.
9495
96
41
investigação histórica, estatística ou científica é lícito, sob reserva das condições e garantias previstas no artigo 83.º.
Por seu turno, o n.º 1 do artigo 83.º dispõe que “Nos limites do presente regulamento, os dados pessoais só podem ser objecto de tratamento para fins de investigação histórica, estatística ou científica se: (a) Não for possível alcançar esses fins de outro modo através do tratamento de dados que não permita ou tenha deixado de permitir a identificação da pessoa em causa; (b) Os dados que permitem ligar informações a um titular de dados identificado ou identificável forem conservados separados de outras informações, desde que esses fins possam ser atingidos deste modo.”
Uma diferença crucial entre esta abordagem e a análise exposta no presente Parecer é que o n.º 2 do artigo 6.º e o artigo 83.º não mencionam quaisquer outras garantias, tais como medidas técnicas e organizativas adicionais para assegurar separação funcional ou outras garantias que contribuam para a transparência ou para o direito de opção. Além disso, esta disposição não implica nem esclarece que a utilização posterior para fins de investigação histórica, estatística ou científica está sujeita à mesma avaliação multifactorial de compatibilidade descrita na Secção III.2.2 tal como qualquer outra utilização posterior97.
Por outro lado, estas disposições confundem dois conceitos diferentes: a noção de “compatibilidade” da alínea b) do artigo 5.º da proposta de Regulamento de Protecção de Dados e a noção de “fundamento jurídico” do artigo 6.º Conforme se explicou anteriormente, estes dois requisitos são cumulativos. O tratamento de dados pessoais para fins de investigação histórica, estatística ou científica deve, em todos os casos, apoiar-se num dos fundamentos jurídicos (alíneas a) a f)). O artigo 83.º pode ajudar a avaliar em que condições a utilização posterior pode ser compatível (e de modo mais geral, que garantias devem ser aplicadas em caso de qualquer tratamento para fins de investigação histórica, estatística ou científica) mas não pode substituir-se a um fundamento jurídico adequado para o tratamento.
Por estas razões o Grupo de Trabalho do artigo 29.º recomenda à Comissão e aos legisladores que reconsiderem a linguagem de ambas as disposições, do n.º 2 do artigo 6.º e do artigo 83.º da proposta de Regulamento de Protecção de Dados (vide também a Secção IV.2).
III.2.4. Artigo 13.º da Directiva relativa à privacidade e às comunicações electrónicas sobre comunicações não solicitadas
A Directiva relativa à privacidade e às comunicações electrónicas sobre comunicações não solicitadas complementa a Directiva incluindo disposições específicas para o sector das comunicações electrónicas, especialmente para o tratamento de dados pessoais em ligação
As garantias adequadas desempenham um papel chave nesta avaliação, nas quais as garantias adequadas dependem do contexto, da natureza dos dados e do impacto do tratamento posterior sobre as pessoas em causa, no caso de as medidas para assegurar a separação funcional não serem totalmente efectivas. Vide também o n.º 2 do artigo 11.º e o n.º 2 do artigo 13.º da Directiva actualmente em vigor.
97
42
com o fornecimento de serviços de comunicações electrónicas disponíveis ao público em redes públicas de comunicações98. Uma dessas especificações está relacionada com o tema do presente Parecer e ajuda a ilustrar a avaliação geral da compatibilidade, tal como discutido acima.
O artigo 13.º da Directiva relativa à privacidade e às comunicações electrónicas estabelece uma regra básica de consentimento prévio (“auto-inclusão”, “opt-in”) para certas espécies de comunicações não solicitadas (isto é, a utilização de sistemas automáticos de chamada, de fax e de correio electrónico) para finalidades de comercialização directa. É criada uma excepção pelo n.º 2 do artigo 13.º para relações existentes, ou seja, casos nos quais uma empresa forneceu anteriormente um produto ou um serviço a um indivíduo, no contexto do que o indivíduo forneceu o seu endereço de correio electrónico e nos quais uma mensagem não solicitada de correio é subsequentemente enviada pelo responsável pelo tratamento para publicitar os seus próprios produtos ou serviços “semelhantes”. As mensagens não solicitadas de correio electrónico enviadas ao abrigo desta excepção devem, no entanto, dar ao cliente a oportunidade para se auto-excluir “opt-out” de mensagens futuras de correio electrónico.
Esta disposição ilustra como as expectativas razoáveis da pessoa em causa e o contexto da recolha dos dados podem afectar as avaliações, quer da fundamentação jurídica, quer da compatibilidade do tratamento. Os requisitos para os responsáveis pelo tratamento são diferentes dependendo do contexto no qual os dados pessoais foram recolhidos: em princípio, a utilização de sistemas automatizados de chamada, de fax e de correio electrónico para comercialização directa está sujeito ao consentimento prévio da pessoa em causa. Exige-se, portanto, uma garantia específica para assegurar a licitude do tratamento. No entanto, não é este o caso quando os detalhes da pessoa em causa foram obtidos do cliente no momento em que lhe foi vendido um produto ou serviço e quando a finalidade do tratamento for a comercialização directa de produtos ou serviços semelhantes àqueles adquiridos pelo cliente, desde que a comercialização seja feita pelo próprio responsável pelo tratamento e para os seus próprios produtos ou serviços.
A utilização posterior de dados para fins de comercialização pode ser lícita em ambos os casos, mas sujeita a garantias diferentes, dependendo do contexto da recolha dos dados e da relação entre as pessoas em causa e os responsáveis pelo tratamento, bem como das suas expectativas perante essa relação. Vale a pena notar que o artigo 13.º está aparentemente baseado na noção de que alguns meios de comunicação são inerentemente mais intrusivos que outros e, portanto, só devem ser permitidos sob condição de garantias adicionais.
Meios mais tradicionais de comercialização, tais como a utilização de correio de superfície para envio de mensagens personalizadas para finalidades comerciais, políticas ou de caridade,
Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas), Jornal Oficial n.º L 201 de 31/07/2002 págs. 0037-0047, tal como modificada pela Directiva 2009/136/CE do Parlamento Europeu e do Conselho de 25 de Novembro de 2009, Jornal Oficial n.º L 337 de 18/02/2009 pág. 11.
98
43
mantêm-se fora do âmbito do artigo 13.º e devem, portanto, ser considerados sob as disposições da Directiva geral.
À luz da análise geral da Secção III.2.2 do presente Parecer deve resultar que se deve fazer pelo menos alguma distinção entre:
— Mala directa no contexto de uma relação existente, a fim de fornecer informação sobre novas ofertas ou outras oportunidades relevantes;
— Mala directa semelhante mas agora baseada em dados pessoais sensíveis e/ou em perfis automatizados, com utilização de utensílios de análise de dados mais intrusivos99;
— A partilha de informação com correctores de dados ou outros terceiros a fim de desenvolver uma segmentação mais efectiva na mala directa.
Neste contexto deve ser ainda notado que a alínea b) do artigo 14.º da Directiva estabelece o direito das pessoas em causa a objectar – gratuitamente – a qualquer tratamento dos seus dados pessoais para efeitos de mala directa, sem qualquer consideração adicional das circunstâncias. Este direito absoluto a objectar só pode servir a sua finalidade se estiver submetido a uma transparência adequada, quer quanto à sua existência quer quanto aos meios para o exercer. É portanto essencial que uma infra-estrutura razoável (como, por exemplo, uma “Lista Robinson” ou outro serviço de preferência de correio) seja criada e mantida, para que este direito possa ser efectivamente exercido.
III.2.5. Megadados e dados abertos
Megadados
Os megadados referem-se ao crescimento exponencial quer da disponibilidade quer da utilização automatizada da informação: refere-se a conjuntos gigantescos de dados detidos por empresas, governos e outras grandes organizações, que são depois extensivamente analisados (daqui o nome: analítica100 ) utilizando algoritmos computorizados. Os megadados podem ser utilizados para identificar tendências e correlações mais gerais mas também podem ser tratados de modo a afectar indivíduos directamente.
Com todo o seu potencial para inovação, os megadados podem também apresentar riscos significativos para a protecção dos dados pessoais e para o direito à privacidade. O modo como a avaliação geral da compatibilidade e as disposições específicas sobre o “tratamento posterior para fins históricos, estatísticos ou científicos” podem ser aplicadas aos megadados, incluindo
Sobre os megadados e a analítica, vide adiante a Secção III.2.5 e o Anexo 2.A analítica é a descoberta e comunicação de padrões significativos nos dados.
99100
44
garantias adequadas que possam auxiliar os responsáveis pelo tratamento a preencher o critério da compatibilidade, será discutido mais em detalhe no Anexo 2.
Dados abertos
Os projectos de dados abertos transportam para um patamar completamente novo a acessibilidade da informação processada por organismos públicos. Tais projectos envolvem frequentemente (i) disponibilizar bases de dados completas (ii) em formato electrónico padrão (iii) a qualquer requerente sem procedimento de triagem (iv) gratuitamente e (v) para quaisquer fins comerciais ou não comerciais, sob uma licença aberta. Esta nova forma de acessibilidade é a finalidade principal dos dados abertos, mas não é isenta de riscos se for aplicada indiscriminadamente e sem garantias adequadas.
Não sendo fácil conciliar as duas preocupações da reutilização irrestrita da informação e da limitação da finalidade, é importante notar que quaisquer informações relativas a uma pessoa singular identificada ou identificável, publicamente disponíveis ou não, constituem dados pessoais. Além disso, o mero facto de tais dados terem sido tornados publicamente disponíveis não afasta a lei de protecção de dados. A reutilização de dados tornados publicamente disponíveis pelo sector público, mantém-se assim e em princípio sujeita à lei de protecção de dados relevante.
O Anexo 2 também analisa e ilustra como a avaliação geral da compatibilidade, assim como as disposições específicas sobre o “tratamento posterior para finalidades históricas, estatísticas ou científicas” podem ser aplicadas aos dados abertos e recomenda garantias adequadas que podem auxiliar os organismos do sector público que disponibilizam dados, e os responsáveis pelo tratamento que os reutilizam, a preencher o critério da compatibilidade.
III.2.6. Consequências da incompatibilidade
O tratamento incompatível não pode ser remediado pela simples adopção de um novo fundamento jurídico
A não conformidade com o requisito da compatibilidade estabelecido na alínea b) do n.º 1 do artigo 6.º da Directiva tem consequências graves: o tratamento de dados pessoais de forma incompatível com as finalidades determinadas aquando da recolha é ilícito e, portanto, não permitido.
Por outras palavras, o responsável pelo tratamento não pode simplesmente considerar o tratamento posterior como uma nova actividade de tratamento desligada da anterior e contornar esta proibição utilizando um dos fundamentos jurídicos do artigo 7.º para legitimar o tratamento. Conforme se explicou acima, os requisitos do artigo 6.º e do artigo 7.º são cumulativos: ambos devem ser simultaneamente preenchidos.
45
Legalizar uma actividade de tratamento de dados de outro modo incompatível simplesmente modificando os termos de um contrato com a pessoa em causa, ou identificando um interesse legítimo adicional do responsável pelo tratamento iria contra o espírito do princípio da limitação da finalidade e eliminaria a sua substância101.
A incompatibilidade nos termos da proposta de Regulamento de Protecção de Dados
Ser claro nesta matéria é tanto mais importante quanto o n.º 4 do artigo 6.º da proposta de Regulamento de Protecção de Dados propõe a abertura de uma excepção muito ampla ao requisito da compatibilidade, que restringiria severamente a sua aplicabilidade. O texto proposto pela Comissão dispões que “Sempre que a finalidade do tratamento ulterior não for compatível com aquela para a qual os dados pessoais foram recolhidos, o tratamento deve ter como fundamento jurídico pelo menos um dos motivos referidos no n.º 1, alíneas a) a e). Tal é aplicável, em especial, a qualquer alteração das cláusulas e condições gerais de um contrato”102.
Este texto significaria, efectivamente, que seria sempre possível suprir a incompatibilidade com a simples identificação de um novo fundamento jurídico para o tratamento. O único fundamento jurídico que não seria em si mesmo suficiente para compensar a incompatibilidade seria o “interesse legítimo” do responsável pelo tratamento da alínea f).
Assim, o Grupo de Trabalho do artigo 29.º recomenda a eliminação do n.º 4. Isto deve-se a que a proibição da utilização incompatível e o requisito de um fundamento jurídico do artigo 7.º da Directiva são requisitos cumulativos. Portanto, numa modificação da finalidade deve verificar-se em qualquer caso um dos fundamentos jurídicos (alíneas a) a f)). A Directiva actualmente em vigor não permite, em princípio, a modificação da finalidade sem um desfecho favorável da avaliação da compatibilidade e este grau de protecção deve ser igualmente mantido na proposta de Regulamento de Protecção de dados103.
Aplicação do princípio da limitação da finalidade
As autoridades de protecção de dados têm um papel essencial para assegurar a conformidade com este princípio. Segundo a lei nacional de transposição da Directiva, elas têm poderes efectivos de intervenção, incluindo ordenar o bloqueio, o apagamento ou a destruição de dados, ou impor proibições de tratamento. A acção pode também consistir (frequentemente
Conforme se explicou anteriormente, isto não significa que a finalidade inicial da operação de tratamento não pode nunca mudar: em algumas situações, após avaliação de todos os factores relevantes, incluindo a disponibilidade de garantias e/ou a disponibilidade de uma nova base jurídica adequada para compensar a modificação da finalidade, o responsável pelo tratamento pode concluir que o tratamento posterior pode preencher simultaneamente os requisitos da compatibilidade e de um fundamento jurídico ao abrigo do artigo 7.º.O artigo 7.º da Directiva dispõe que os dados só podem ser processados com base num de seis fundamentos: a) consentimento; b) execução de um contrato; c) cumprimento de uma obrigação legal; d) protecção de interesses vitais da pessoa em causa; e) a execução de uma missão de interesse público ou o exercício da autoridade pública; f) interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados (salvo se sobre estes interesses prevalecerem os interesses ou os direitos e liberdades fundamentais da pessoa em causa).Ver Emenda 103 do Projecto de Relatório da Comissão LCJAI.
101
102
103
46
numa primeira fase) em advertir ou admoestar o responsável pelo tratamento, mantendo-se como opção possível o recurso a acções judiciais.
Dependendo das leis nacionais, as sanções podem também consistir em multas administrativas. A proposta de Regulamento de Protecção de Dados pretende harmonizar este aspecto dos procedimentos de aplicação, com multas de um máximo potencial de 1 000 000 euros ou de 2% do volume de negócios anual104.
III.3. Excepções ao abrigo do artigo 13.º da Directiva
O âmbito do princípio da limitação da finalidade só pode ser restringido em casos específicos, conforme definido no artigo 13.º da Directiva (ou no artigo 15.º da Directiva relativa à privacidade e às comunicações electrónicas, quando aplicável). Isto significa que se a avaliação da compatibilidade mostrar que o tratamento é incompatível, os únicos fundamentos com os quais ele pode ser realizado são os indicados nestas disposições específicas.
O artigo 13.º da Directiva dispõe que “Os Estados-membros podem tomar medidas legislativas destinadas a restringir o alcance das obrigações e direitos referidos no n.º 1 do artigo 6.º (…), sempre que tal restrição constitua uma medida necessária à protecção (…) da segurança do Estado; da defesa; da segurança pública; da prevenção, investigação, detecção e repressão de infracções penais e de violações da deontologia das profissões regulamentadas; de um interesse económico ou financeiro importante de um Estado-membro ou da União Europeia (…) de missões de controlo, de inspecção ou de regulamentação (…) e da protecção da pessoa em causa ou dos direitos e liberdades de outrem”105.
O âmbito limitado das excepções confirma que não é possível legitimar o tratamento incompatível de dados pessoais, simplesmente invocando um dos fundamentos do artigo 7.º Isto é tanto mais assim quanto as medidas legislativas adoptadas ao abrigo do artigo 13.º devem ser interpretadas restritivamente, visto serem introduzidas pela via da excepção aos princípios gerais do artigo 6.º Portanto, uma medida legislativa estabelecendo uma obrigação legal ao brigo do artigo 7.º não é necessariamente suficiente para tornar compatível o tratamento.
Embora o legislador tenha um papel essencial a desempenhar, está também sujeito a várias condições estritas:
— Em primeiro lugar, a medida deve ser dirigida à garantia de interesses públicos específicos e importantes, conforme enunciado acima, incluindo a segurança
Vide artigo 79.º da proposta de Regulamento de Protecção de Dados. A este respeito o Grupo de Trabalho do artigo 29.º sublinha que o artigo 79.º tal como proposto parece ter uma lacuna e não cobrir, ou não cobrir plenamente, o princípio da limitação da finalidade (quanto a isso, parece igualmente não cobrir, ou não cobrir plenamente, os restantes princípios cruciais da qualidade dos dados, indicados nas alíneas a) a f)). Tal poderia ser remediado, quer tornando o artigo 79.º menos detalhado e menos prescritivo, quer aditando especificamente o artigo 5.º às disposições para as quais as multas mais elevadas podem – em algumas situações – ser adequadas. Nesta perspectiva, vide também a emenda 321 do Projecto de Relatório da Comissão LCJAI.Vide também o artigo 9.º da Convenção 108.
104
105
47
pública, interesses económicos ou financeiros importantes de um Estado-membro ou da União Europeia e a prevenção de infracções penais.
— Em segundo lugar, deve aplicar-se uma avaliação qualificada, para assegurar que a medida legislativa preenche os critérios que permitem a derrogação de um direito fundamental. Há dois aspectos nesta avaliação: por um lado a medida deve ser suficientemente clara e precisa para poder ser previsível e, por outro lado, deve ser necessária e proporcionada, consistente com os requisitos desenvolvidos pelo Tribunal Europeu dos Direitos do Homem106.
Na prática, não é suficiente que uma tal lei mencione os objectivos finais da medida legislativa e designe o responsável pelo tratamento. Deve também, no mínimo, descrever os objectivos do tratamento de dados relevante, as categorias de dados pessoais a tratar, as finalidades específicas e os meios de tratamento, as categorias de pessoas autorizadas a tratar os dados, o procedimento a seguir no tratamento e as garantias contra interferências arbitrárias das autoridades públicas107.
IV. Conclusões
O presente Parecer apresenta uma análise do conceito de limitação da finalidade. O seu objectivo é duplo. Em primeiro lugar, pretende clarificar o princípio da limitação da finalidade e oferecer orientação para a sua aplicação prática ao abrigo do actual enquadramento jurídico. Em segundo lugar, destaca áreas para melhoramentos futuros e formula recomendações de política para apoiar os decisores políticos na consideração de modificações ao actual enquadramento jurídico da protecção de dados.
IV.1. Análise do enquadramento jurídico actual
O conceito de limitação da finalidade desempenha um papel crucial na aplicação da Directiva. É um primeiro passo essencial na aplicação das leis de protecção de dados visto que constitui um pré-requisito para os restantes requisitos sobre qualidade dos dados, incluindo a adequação, a relevância, a proporcionalidade e a exactidão dos dados recolhidos, a par das regras que envolvem os períodos de conservação dos dados. Contribui para a transparência, para a certeza jurídica e para a previsibilidade e pretende proteger as pessoas em causa fixando limites a como os responsáveis pelo tratamento podem utilizar os seus dados. Ao mesmo tempo está concebido para oferecer algum grau de flexibilidade ao responsável pelo tratamento.
O conceito de limitação da finalidade assenta em dois pilares: os dados pessoais devem ser recolhidos para finalidades “determinadas, explícitas e legítimas” (determinação da finalidade)
Vide Secção II.1 sobre “Síntese histórica”.Vide Anexo 4, especialmente os exemplos 17, 18, 19, 20 e 22.
106107
48
e não ser “posteriormente tratados de forma incompatível” com essas finalidades (utilização compatível).
Primeiro pilar: “finalidades determinadas, explícitas e legítimas”
Em relação à determinação da finalidade o Grupo de Trabalho do artigo 29.º sublinha as seguintes considerações chave:
• As finalidades devem ser determinadas. Isto significa que – antes, e em todo o caso nunca depois do momento em que ocorre a recolha dos dados pessoais – as finalidades devem estar precisa e plenamente identificadas para determinar qual tratamento está e não está incluído na finalidade determinada e para permitir a avaliação do cumprimento da lei e a aplicação das garantias de protecção de dados.
• As finalidades devem ser explícitas, isto é, claramente reveladas, explicadas ou expressas de forma a assegurar que todas as pessoas envolvidas terão o mesmo entendimento inequívoco das finalidades do tratamento, independentemente de qualquer diversidade cultural ou linguística. As finalidades podem ser tornadas explícitas de diferentes maneiras.
• Pode haver casos de deficiências graves, por exemplo quando o responsável pelo tratamento não determina as finalidades do tratamento com detalhe suficiente ou numa linguagem clara e inequívoca, ou quando as finalidades determinadas são enganadoras ou não correspondem à realidade. Em qualquer destas situações, para determinar as finalidades reais devem ser tidos em conta todos os factos, juntamente com um entendimento comum e as expectativas razoáveis das pessoas em causa, baseados no contexto do caso.
• As finalidades devem ser legítimas. A legitimidade é um requisito amplo, que vai além de uma simples remissão para um dos fundamentos jurídicos do tratamento referidos no artigo 7.º da Directiva. Também se alarga a outras áreas do Direito e deve ser interpretada no contexto do tratamento. A determinação da finalidade nos termos do artigo 6.º e o requisito de um fundamento legal para o tratamento nos termos do artigo 7.º da Directiva são dois requisitos separados e cumulativos.
• Se os dados pessoais forem posteriormente tratados para uma finalidade diferente
— A(s) nova(s) finalidade(s) deve(m) ser determinada(s) (alínea b) do n.º 1 do artigo 6.º), e
— Deve assegurar-se que todos os requisitos relativos à qualidade dos dados (alíneas a)
49
a e) do n.º 1 do artigo 6.º) são igualmente preenchidos para a(s) nova(s) finalidade(s).
Segundo pilar: utilização compatível
• A alínea b) do n.º 1 do artigo 6.º da Directiva também introduz as noções de “tratamento posterior” e de utilização “incompatível”. Exige que o tratamento posterior não seja incompatível com as finalidades para as quais os dados pessoais foram recolhidos. A proibição de utilização incompatível estabelece uma limitação à utilização posterior. Exige que se faça uma distinção entre a utilização posterior que é “compatível” e a utilização posterior que é “incompatível” e portanto proibida.
• Ao proibir a incompatibilidade em vez de exigir a compatibilidade o legislador parece dar alguma flexibilidade relativamente à utilização posterior. A utilização posterior para uma finalidade diferente não significa necessária e automaticamente que ela seja incompatível, visto que a compatibilidade deve ser avaliada caso a caso.
• Neste contexto o Grupo de Trabalho do artigo 29.º enfatiza que a disposição específica da alínea b) do n.º 1 do artigo 29.º da Directiva sobre “tratamento posterior para fins históricos, estatísticos ou científicos” deve ser visto como uma especificação da regra geral, não excluindo que outros casos possam igualmente ser considerados como “não incompatíveis”. Isto conduz a um papel mais proeminente para diversas espécies de garantias, incluindo medidas técnicas e organizativas para separação funcional, tais como a anonimização plena, pseudonimização, agregação dos dados e tecnologias de aperfeiçoamento da privacidade.
Avaliação da compatibilidade
• A natureza da avaliação da compatibilidade é decisiva. Em comparação com uma avaliação puramente formal focada nas finalidades declaradas e que assim se arrisca a ser demasiado rígida, uma avaliação substantiva tem em conta a forma como as finalidades devem ser entendidas. Esta avaliação substantiva oferece mais flexibilidade e, ao mesmo tempo, salvaguarda efectivamente os dados pessoais.
• Uma avaliação substantiva da compatibilidade exige a apreciação de todas as circunstâncias relevantes do caso em ordem a determinar se qualquer utilização posterior pode ser considerada compatível. Em especial devem ser tidos em conta os seguintes factores chave:
— A relação entre as finalidades para as quais os dados pessoais foram recolhidos e as finalidades do tratamento posterior;
50
— O contexto no qual os dados pessoais foram recolhidos e as expectativas razoáveis das pessoas em causa quanto à sua utilização posterior;
— A natureza dos dados pessoais e o impacto do tratamento posterior sobre as pessoas em causa;
— As garantias adoptadas pelo responsável pelo tratamento para assegurar um tratamento leal e evitar impactos indevidos sobre as pessoas em causa.
Aplicações específicas da avaliação da compatibilidade
• A abordagem e o enquadramento geral da avaliação da compatibilidade delineados acima devem igualmente ser aplicados ao “tratamento posterior para fins históricos, estatísticos ou científicos” e em relação ao artigo 13.º da Directiva relativa à privacidade e às comunicações electrónicas sobre comunicações não solicitadas. Estas disposições são verdadeiras especializações do enquadramento geral para a avaliação da compatibilidade.
• O Grupo de Trabalho do artigo 29.º chama igualmente a atenção para alguns dos desafios da aplicação do teste de compatibilidade aos megadados e aos dados abertos. Aqui, talvez ainda mais que nos restantes casos, há a necessidade de uma aplicação rigorosa mas equilibrada e flexível do teste de compatibilidade para assegurar que este pode ser aplicado na nossa sociedade moderna e interligada.
Consequências da incompatibilidade
• A desconformidade com o requisito de compatibilidade estabelecido na alínea b) do n.º 1 do artigo 6.º da Directiva tem consequências graves: o tratamento de dados pessoais de uma qualquer forma incompatível com as finalidades determinadas aquando da recolha é ilícito e, portanto, não permitido.
• Noutras palavras, o responsável pelo tratamento não pode considerar simplesmente o tratamento posterior como uma nova actividade de tratamento desligada da anterior e contornar esta proibição com recurso a um dos fundamentos do artigo 7.º para legitimar o tratamento.
Excepções ao abrigo do artigo 13.º da Directiva
• O âmbito do princípio da limitação da finalidade pode ser restringido apenas nos casos específicos definidos no artigo 13.º da Directiva (ou no artigo 15.º da Directiva relativa à privacidade e às comunicações electrónicas sobre comunicações não solicitadas). Isto significa que se a avaliação da compatibilidade mostrar que o tratamento é
51
incompatível, os únicos fundamentos pelos quais o tratamento pode ser executado são os destas disposições.
• Uma medida legislativa criando uma obrigação legal ao abrigo do artigo 7.º não é, por si só, suficiente para tornar compatível o tratamento. Embora o legislador tenha um papel essencial a desempenhar, ele está também sujeito a algumas condições estritas:
— Em primeiro lugar, a medida deve ser dirigida a garantir interesses públicos específicos e importantes.
— Em segundo lugar, deve ser aplicado um teste qualificado, para assegurar que a medida legislativa preenche os critérios que permitem a derrogação de um direito fundamental: a medida deve ser suficientemente clara e precisa para ser previsível e deve ainda ser necessária e proporcionada.
IV.2 Recomendações para o futuro
O Grupo de Trabalho do artigo 29.º espera que a análise precedente esclareça o âmbito e funcionamento da limitação da finalidade, que é um princípio chave da protecção de dados. Esta análise tem consequências para o futuro já que, ainda que o próprio princípio da limitação da finalidade pareça estável, o seu significado exacto, incluindo quaisquer excepções, está actualmente aberto à discussão.
Em especial o n.º 4 do artigo 6.º da proposta de Regulamento de Protecção de Dados tenta estabelecer uma excepção muito ampla à exigência de compatibilidade, que limitaria severamente a sua aplicabilidade. Este texto significaria efectivamente que seria sempre possível suprir a falta de compatibilidade com a mera identificação de um novo fundamento legal para o tratamento. O único fundamento legal que não seria em si mesmo suficiente para compensar a incompatibilidade seria o “interesse legítimo” do responsável pelo tratamento em causa (alínea f).
Estas novas disposições, se adoptadas, arriscar-se-iam a erodir este princípio chave. O Grupo de Trabalho do artigo 29.º recomenda, portanto, a eliminação do proposto n.º 4. Isto porque a proibição da utilização incompatível e o requisito de um fundamento legal ao abrigo do artigo 7.º são requisitos cumulativos. Assim, aquando de uma modificação da finalidade, é sempre necessária a verificação de um dos fundamentos legais das alíneas a) a f). A Directiva actualmente vigente não permite, em princípio, a modificação da finalidade sem uma avaliação favorável da compatibilidade e este grau de protecção deve igualmente ser mantido na proposta de Regulamento de Protecção de Dados.
Além disso, para complementar as concisas disposições gerais existentes sobre o princípio da limitação da finalidade e para proporcionar maior certeza jurídica, o Grupo de Trabalho do
52
artigo 29.º recomenda a adopção das disposições apresentadas no Anexo 1 ao presente Parecer.
As disposições propostas visam fornecer uma lista não exaustiva de factores relevantes que deveriam ser avaliados para determinar se uma utilização posterior pode ser considerada compatível. Embora esta apresentação de factores chave não seja completamente exaustiva, tenta destacar os factores típicos que deveriam ser considerados numa abordagem equilibrada: nem tão gerais que percam significado nem tão específicos que se tornem demasiado rígidos.
Finalmente e por razões semelhantes, o Grupo de Trabalho do artigo 29.º propõe a eliminação do n.º 2 do artigo 6.º, o qual tenta dar um novo fundamento jurídico a todos os tratamentos para investigação histórica, estatística ou científica (sujeito às condições e garantias do artigo 83.º mas não a uma avaliação mais vasta da compatibilidade). Esta disposição pode ser substituída por uma disposição semelhante mas mais atenuada no artigo 5.º, que discute os “princípios relativos ao tratamento de dados pessoais”. No anexo 1 ao presente Parecer inclui-se também uma proposta de modificação neste sentido.
53
Artigo 5.ºPrincípios relativos ao tratamento de dados pessoais
Os dados pessoais devem ser:a) (…)b)
c)-f) (…)
1. Os dados pessoais devem ser:a) (…)b)
c)-f) (…)
2. Ao avaliar se o tratamento posterior de dados pessoais é incompatível com as finalidades para as quais esses dados foram recolhidos, na acepção da alínea b) do n.º 1, devem especialmente ser tidos em conta:a) a relação entre as finalidades para
as quais os dados pessoais foram recolhidos e as finalidades do tratamento posterior;
b) o contexto em que os dados pessoais foram recolhidos e as expectativas razoáveis dos titulares dos dados quanto à respectiva utilização posterior;
c) a natureza dos dados pessoais e o impacto do tratamento posterior sobre os titulares dos dados;
d) as garantias aplicadas pelo responsável pelo tratamento para assegurar um tratamento leal e evitar quaisquer impactos indevidos sobre os titulares dos dados.
3. Sob reserva das condições e garantias previstas no artigo 83.º, o tratamento posterior de dados pessoais que for necessário para as finalidades de investigação histórica, estatística ou científica não é considerado incompatível, desde que sejam adoptadas medidas adequadas para evitar quaisquer impactos indevidos sobre os titulares dos dados.
Anexo 1: Propostas de alteração
explícitas e legítimas e não serem posteriormente tratados de forma incompatível com essas finalidades;
Recolhidos para finalidades determinadas, explícitas e legítimas e não serem posteriormente tratados de forma incompatível com essas finalidades;
Justificação
Para complementar a disposição actual sobre limitação da finalidade e para proporcionar
Recolhidos para finalidades determinadas,
54
* Nota do tradutor: Por manifesto lapso, no original refere-se o n.º 4.
maior certeza jurídica, deve ser tida em conta, na avaliação da compatibilidade do tratamento posterior com as finalidades da recolha dos dados, uma lista de factores relevantes. É necessária uma disposição especial sobre a investigação histórica, estatística ou científica, para assegurar que as garantias adequadas continuarão a ser aplicadas neste contexto.
Artigo 6.ºLicitude do tratamento
1. O tratamento de dados pessoais só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
a) – f) (…)
Inalterado
2. O tratamento de dados pessoais necessário para fins de investigação histórica, estatística ou científica é lícito, sob reserva das condições e garantias previstas no artigo 83.º.
Eliminado
3. (…) 2. (…)
4. Sempre que a finalidade do tratamento ulterior não for compatível com aquela para a qual os dados pessoais foram recolhidos, o tratamento deve ter como fundamento jurídico pelo menos um dos motivos referidos no n.º 1, alíneas a) a e). Tal é aplicável, em especial, a qualquer alteração das cláusulas e condições gerais de um contrato.
Eliminado
5. (…)* 3. (…)
Justificação
A eliminação dos n.os 2 e 4 assegura que o requisito da utilização compatível do artigo 5.º e a licitude do tratamento ao abrigo do artigo 6.º continuarão a funcionar como requisitos cumulativos e que o grau actual de protecção é mantido na proposta de Regulamento de Protecção de Dados.
55
Anexo 2: Megadados e dados abertos
Megadados
O que são “megadados” e “analítica de megadados”?
Tal como brevemente se destacou na Secção III.2.5, “megadados” refere-se ao crescimento exponencial da disponibilidade e da utilização automatizada da informação: refere-se a conjuntos gigantescos de dados detidos por empresas, governos e outras grandes organizações, os quais são então extensivamente analisados com recurso a algoritmos computorizados. Os megadados baseiam-se na crescente capacidade da tecnologia para apoiar a recolha e armazenamento de vastas quantidades de dados, mas também para analisar, compreender e tirar partido de todo o valor dos dados (em especial utilizando aplicações analíticas). A expectativa quanto aos megadados é que estes possam, em última análise, levar a decisões melhores e melhor informadas.
Há numerosas aplicações dos megadados em vários sectores, incluindo os cuidados de saúde, as comunicações móveis, redes de distribuição inteligentes, gestão de tráfego, detecção de fraudes, comercialização e comércio a retalho quer em linha quer fora de linha. Os megadados podem ser usados para identificar tendências gerais mas o seu tratamento pode também afectar indivíduos directamente. Por exemplo, no campo da comercialização e da publicidade, os megadados podem ser usados para prever preferências pessoais, comportamentos e atitudes de clientes individuais e subsequentemente moldar “medidas e decisões” que são tomadas em relação a esses clientes, tais como descontos personalizados, ofertas especiais e publicidade dirigida, com base no perfil do cliente108.
Quais os riscos e desafios colocados pelos megadados ao direito à protecção dos dados pessoais e à privacidade?
Apesar do seu potencial para inovação, os megadados podem também colocar riscos significativos à protecção dos dados pessoais e à privacidade. Em especial, os megadados suscitam preocupação sobre:
— A própria escala da recolha de dados, do rastreamento e do estabelecimento de perfis, tendo ainda em conta a variedade e detalhe dos dados recolhidos e o facto de que os dados são frequentemente combinados a partir de muitas fontes diferentes;
— A segurança dos dados, com níveis de protecção ficando visivelmente atrás da expansão em volume;
Actualmente, o modelo fundamental de negócio da internet parece ser o de financiar os produtos e serviços com publicidade dirigida: o valor destes anúncios correlaciona-se com a quantidade e riqueza da informação recolhida dos clientes. Vide Parecer 2/2010, de 22 de Junho de 2010 do Grupo de Trabalho do artigo 29.º sobre publicidade comportamental em linha (WP 171).
108
56
— Transparência: a não ser que lhes seja fornecida informação suficiente, os indivíduos ficarão sujeitos a decisões que não compreendem e sobre as quais não têm controlo;
— Inexactidão, discriminação, exclusão e desequilíbrio económico (tal como se discute adiante); e
— Possibilidades acrescidas de vigilância governamental.
O tipo de aplicação analítica usada pode levar a resultados inexactos, discriminatórios ou de outro modo ilegítimos. Em especial, um algoritmo pode isolar uma correlação e dela retirar uma inferência estatística que, quando aplicada na conformação da comercialização ou de outras decisões, se torne injusta e discriminatória. Isto pode perpetuar preconceitos e estereótipos existentes e agravar problemas de exclusão e estratificação social.
Além disso e mais amplamente, a disponibilidade de grandes conjuntos de dados e de utensílios analíticos sofisticados utilizados para examinar esses conjuntos de dados pode também aumentar o desequilíbrio económico entre as grandes empresas, de um lado, e os consumidores, do outro109. Este desequilíbrio económico pode levar a discriminação injusta de preços relativamente aos produtos e serviços em oferta, bem como a publicidade e a ofertas, altamente intrusivas, disruptivas e pessoalmente dirigidas. Pode também resultar em outros impactos adversos significativos sobre indivíduos, por exemplo no que se refere a oportunidades de emprego, empréstimos bancários ou opções de seguros de saúde.
Que garantias podem tornar compatível a utilização posterior, para analítica, de dados pessoais?
Tal como nos outros casos de avaliação da compatibilidade, todos os factores relevantes descritos na Secção III.2.2 devem ser considerados, incluindo a relação entre as finalidades, o contexto da recolha, as expectativas razoáveis das pessoas em causa, a natureza dos dados pessoais e o impacto sobre as pessoas em causa. É também importante avaliar as garantias adoptadas para assegurar um tratamento leal e para evitar qualquer impacto indevido. Além disso, as disposições específicas que tratam das “finalidades históricas, estatísticas ou científicas”110 são igualmente relevantes.
Em ordem a identificar quais as garantias necessárias, pode ser útil distinguir entre dois cenários diferentes. No primeiro, as organizações que tratam os dados querem detectar tendências e correlações na informação. No segundo, as organizações estão interessadas nos indivíduos.
Pode ser o caso, independentemente de as empresas envolvidas terem ou não um monopólio ou uma posição dominante no mercado. Contudo, uma posição dominante diminui claramente as escolhas das pessoas em causa na busca de fornecedores alternativos dos serviços e, portanto, pode ser um factor relevante ao medir o potencial impacto negativo sobre um titular de dados.Vide Secção III.2.3.
109
110
57
No primeiro cenário, o conceito de separação funcional111 desempenhará provavelmente um papel essencial, e até que ponto isto pode ser conseguido pode ser um factor importante na decisão sobre se a utilização posterior dos dados para pesquisa (de comercialização ou outra) pode ser considerada compatível. Nestes casos os responsáveis pelo tratamento devem garantir a confidencialidade e a segurança dos dados e tomar todas as medidas técnicas e organizativas necessárias para assegurar a separação funcional112.
O segundo cenário potencial é quando uma organização quer especificamente analisar ou prever as preferências pessoais, o comportamento e as atitudes de consumidores individuais, que subsequentemente virão a moldar “medidas ou decisões” tomadas relativamente a esses consumidores.
Nestes casos, consentimento por “auto-inclusão” (“opt-in”), livre, específico, informado e inequívoco será quase sempre exigido, sem o que a utilização posterior não poderá ser considerada compatível. De forma importante, este consentimento, deve ser exigido, por exemplo, para o rastreamento e o estabelecimento de perfis para finalidades de comercialização directa, publicidade comportamental, corretagem de dados, publicidade baseada na localização ou pesquisa de mercado digital baseada no rastreamento113.
Para que o consentimento seja informado e para assegurar a transparência, as pessoas em causa / consumidores devem ter acesso aos seus “perfis”, bem como à lógica da tomada de decisão (algoritmo) que levou ao desenvolvimento do perfil. Por outras palavras: as organizações devem revelar os seus critérios decisórios114. Esta é uma garantia crucial e ainda mais importante no mundo dos megadados115. Nas mais das vezes não é tanto a informação recolhida em si mesma que é sensível, mas antes as inferências que dela se extraem e o modo como essas inferências são extraídas que podem suscitar preocupações116. Além do mais, a fonte dos dados que levaram à criação do perfil deve ser também revelada.
Considerando em especial o risco de inferências inexactas, é também crucial que as pessoas em causa/consumidores possam rectificar ou actualizar os seus perfis se escolherem fazê-lo. Isto pode igualmente beneficiar os responsáveis pelo tratamento, que serão capazes de basear as suas decisões (de comercialização ou outras) em informação mais exacta.
Vide Secção III.2.3.Vide Anexo 4, em especial o exemplo 15.Não se pode, porém, excluir que em alguns casos, com base num debate informado sobre os benefícios sociais de algumas utilizações dos megadados, um Estado Membro da União Europeia possa decidir que devido a interesse público imperioso, se estabeleçam excepções em legislação vinculativa (vide Secção III.3). Além disso, em alguns casos e subordinados à transparência e a garantias adicionais, o rastreamento e o estabelecimento de perfis podem ser também permissíveis para impedir a utilização fraudulenta dos serviços em oferta.Vide igualmente a Recomendação CM/Rec(2010)13 de 23 de Novembro de 2010 do Conselho de Ministros do Conselho da Europa aos Estados Membros sobre a protecção dos indivíduos em relação ao tratamento automático de dados pessoais no contexto do estabelecimento de perfis.Vide Anexo 4, em especial os exemplos 9 e 10.Um dos desafios a este propósito é assegurar a máxima revelação sem, ao mesmo tempo, infringir quaisquer requisitos legais de protecção de segredos comerciais (e outros direitos de propriedade intelectual, quando relevante). Sublinhamos, contudo, que nenhumas invocações da natureza “proprietária” da informação podem resultar limitações indevidas às exigências da revelação ao abrigo do direito da protecção de dados. De novo, é necessária uma abordagem equilibrada, mas no respeito pelos direitos fundamentais.
111112113
114
115116
58
Além disso, em muitas situações, as garantias tais como permitir às pessoas em causa / consumidores acesso directo aos seus dados num formato portável, de fácil utilização e de leitura automática pode ser útil para lhes dar algum poder e corrigir o desequilíbrio económico entre as grandes empresas, de um lado, e os consumidores, do outro. Permite igualmente aos indivíduos “partilhar da riqueza” criada pelos megadados e incentivar os criadores a oferecer funcionalidades e aplicações adicionais aos seus utilizadores117.
Por exemplo, o acesso à informação sobre consumo de energia num formato de fácil utilização pode tornar mais fácil aos lares escolher tarifários e obter os melhores preços de gás e de electricidade, assim como controlar o seu consumo de energia e modificar os estilos de vida para reduzir a facturação e o seu impacto ambiental.
Permitir a portabilidade dos dados pode dar às empresas e às pessoas em causa / consumidores capacidade para maximizar os benefícios dos megadados de uma forma mais equilibrada e transparente. Pode também ajudar a minimizar as práticas desleais ou discriminatórias e reduzir os riscos de utilização de dados inexactos para finalidades de tomada de decisão, o que pode ser benéfico, quer para as empresas quer para as pessoas em causa / consumidores.
Dados abertos
Quais são os desafios chave dos dados abertos para a protecção de dados?
Conforme se esboçou brevemente na Secção III.2.5, os projectos de dados abertos transportam para um patamar completamente novo a acessibilidade da informação processada por organismos públicos. Tais projectos envolvem frequentemente (i) disponibilizar bases de dados completas (ii) em formato electrónico padrão (iii) a qualquer requerente sem procedimento de triagem (iv) gratuitamente e (v) para quaisquer fins comerciais ou não comerciais, sob uma licença aberta. Esta nova forma de acessibilidade é a finalidade principal dos dados abertos, mas não é isenta de riscos se for aplicada indiscriminadamente e sem garantias adequadas.
No Parecer 7/2003, o Grupo de Trabalho do Artigo 29.º deu orientações sobre a aplicação do actual enquadramento jurídico à reutilização da informação do sector público (ISP) quando a mesma inclui dados pessoais. O Parecer do Grupo de Trabalho do Artigo 29.º mostra que a aplicação do actual enquadramento jurídico da protecção de dados à reutilização da ISP suscita algumas questões.
Uma das principais preocupações é que em alguns casos não é fácil aplicar efectivamente Vejam-se iniciativas tais como o “Midata” no Reino Unido, baseadas no princípio chave de que os dados devem ser restituídos aos consumidores. O Midata é um programa voluntário que, ao longo do tempo, deverá dar aos consumidores acesso crescente aos seus dados num formato electrónico portável. A ideia chave é a de que os consumidores devem também beneficiar dos megadados, tendo acesso à sua próprias informação e podendo fazer melhores escolhas. Vejam-se também as iniciativas “Botão verde” que permitem aos consumidores aceder à sua própria informação sobre utilização de energia.
117
59
o princípio da limitação da finalidade no caso de reutilização da ISP. Por um lado, a própria ideia e força motriz da inovação por trás do conceito de “dados abertos” e da reutilização da ISP é a de que a informação deve estar disponível para reutilização para novos produtos e serviços inovadores e, portanto, para finalidades que não foram previamente definidas e não podem ser previstas com clareza. Por outro lado, a limitação da finalidade é um princípio chave da protecção de dados que exige que os dados pessoais sejam recolhidos para uma finalidade específica e não possam, numa fase ulterior, ser usados para outra finalidade incompatível.
O desafio é definir com clareza, antecipadamente, quais os dados pessoais que podem ser tornados publicamente disponíveis e estabelecer garantias adequadas de protecção de dados, em ordem a assegurar certeza jurídica ao mesmo tempo que se permite a inovação e a reutilização para quaisquer finalidades (lícitas).
A este propósito é importante recordar que qualquer informação relacionada com uma pessoa singular identificada ou identificável, publicamente disponível ou não, constitui dados pessoais. Além disso, o mero facto de tais dados serem tornados publicamente disponíveis não conduz a qualquer isenção das leis de protecção de dados pessoais. A reutilização dos dados pessoais tornados publicamente disponíveis pelo sector público, continua assim sujeita, em princípio, à lei de protecção de dados pessoais relevante.
Cenários diferentes exigem garantias diferentes
Como em todos os restantes casos de avaliação da compatibilidade, devem ser considerados todos os factores relevantes descritos na Secção III.2.2. Para identificar quais as garantias necessárias, pode uma vez mais ser útil proceder a uma distinção entre diferentes cenários.
Nalguns casos, o organismo do sector público que disponibiliza os dados e os potenciais reutilizadores dos dados estão interessados na utilização estatística dos dados: por exemplo, querem detectar ou apresentar tendências e correlações nos dados. Noutros caos pode haver uma “procura de mercado” por dados mais granulares ou por dados pessoais directamente identificáveis e portanto, não é possível a anonimização plena devido à natureza e finalidades da reutilização. Os diferentes tipos de cenários colocam desafios diferentes e exigem garantias diferentes.
Como “regra de ouro” geral: enquanto a maior parte dos dados pode ser disponibilizada para reutilização de forma suficientemente agregada ou de outro modo efectivamente anonimizada, frequentemente as iniciativas de dados abertos não serão adequadas para dados de pesquisa granular ou para dados pessoais directamente identificáveis, que podem exigir uma abordagem mais cautelosa.
Em muitas situações, a anonimização pode ajudar os organismos do sector público a cumprir as leis de protecção de dados pessoais, permitindo-lhes ao mesmo tempo tornar disponíveis para
60
reutilização os dados necessários. De facto, quando tal é possível, a anonimização “completa” (e um elevado nível de agregação) dos dados pessoais é a solução mais efectiva para minimizar os riscos de fuga por inadvertência. A anonimização deve ser feita antes de se disponibilizar os dados para reutilização – pelo responsável pelo tratamento ou por um terceiro de confiança.
Contudo, como se explicou na Secção III.2.3, a re-identificação dos indivíduos é uma ameaça crescentemente comum e presente e há uma área cinzenta significativa na qual é difícil avaliar antecipadamente se a re-identificação será possível. É muito importante tomar o maior cuidado, na fase inicial da produção, publicação e disponibilização para reutilização de qualquer informação derivada de dados pessoais, mesmo quando esta é em última análise apresentada sob a forma de um conjunto anonimizado de dados118.
Por este motivo é importante conduzir uma avaliação efectiva de impacto sobre a protecção de dados para decidir quais os dados que podem ser disponibilizados para reutilização e a qual nível de anonimização e agregação. Uma tal avaliação de impacto, robusta e detalhada, deve ser completada antes da publicação da informação e da sua disponibilização para reutilização.
É importante que a análise não seja monopolizada por quaisquer partes interessadas e que o seu resultado não seja pré-determinado. Um tal exercício exige, assim, a participação de diversas partes interessadas, incluindo não só o responsável pelo tratamento que pretende libertar os dados, mas também aqueles que pretendem os dados e que, portanto, podem fornecer o contexto da discussão, bem como representantes dos indivíduos cujos dados pessoais estão em causa.
Quando se libertam conjuntos de dados anonimizados, a avaliação de risco deve incluir testes para avaliar a re-identificabilidade, por exemplo, testes de penetração ou “pentests”. Os responsáveis pelo tratamento devem estar conscientes do risco de re-identificação e de que este risco pode mudar ao longo do tempo, por ex. devido a poderosas técnicas de análise de dados que anteriormente eram raras e actualmente se tornaram vulgares. Portanto, as organizações devem realizar revisões periódicas das suas políticas de libertação de dados e das técnicas utilizadas para os anonimizar, com base nas ameaças actuais e nas previsivelmente futuras.
Salvo se os dados puderem ser plenamente anonimizados, as leis de protecção de dados pessoais continuam a ser aplicáveis. Isto significa, entre outras coisas, que a libertação pública da informação deve ser “compatível” com as finalidades iniciais da recolha, nos termos da alínea b) do n.º 1 do artigo 6.º da Directiva. Além disso, deve haver uma base legal adequada para o tratamento nos termos das alíneas a) a f) do artigo 7.º da Directiva (por exemplo, consentimento ou necessidade de cumprimento da lei).
No que se refere a dados pessoais directamente identificáveis ou não suficientemente
Vide Anexo 4, em especial, exemplo 14.118
61
anonimizados, em geral, é necessária uma abordagem ainda mais cautelosa. Uma vez que os dados pessoais estejam publicamente disponíveis para reutilização será crescentemente difícil, se não impossível, ter qualquer forma de controlo sobre a natureza da potencial utilização posterior, seja ela para finalidades históricas, estatísticas, científicas ou outras. É este o caso, em especial, se os dados forem disponibilizados em formato digital, pesquisável e legível mecanicamente e tiverem sido publicados na internet. Assim, a selecção da informação que será ou não tornada publicamente disponível torna-se ainda mais importante.
Deve portanto efectuar-se uma avaliação aprofundada do impacto sobre a protecção de dados e – em regra – devem procurar-se alternativas. Deve evitar-se tonar os dados disponíveis para reutilização sob uma licença aberta salvo se se tiver demonstrado claramente que o cumprimento das leis de protecção de dados pode ser efectivamente assegurado.
Dito isto, não se pode excluir que uma avaliação de impacto sobre a protecção de dados possa concluir que os dados podem ser abertos e tornados publicamente disponíveis segundo os princípios dos “dados abertos”. Nestes casos deve ser estabelecido um regime rigoroso de licenciamento, o qual deve ser aplicado de forma igualmente estrita, para assegurar que os dados não serão utilizados para finalidades incompatíveis (por exemplo, para mensagens comerciais não solicitadas ou de outra forma que as pessoas em causa possam achar inesperada, inadequada ou objectável).
Claro que a publicação dos dados e qualquer sua utilização posterior devem ter uma base legal adequada (por ex. o consentimento ou a imposição da lei) nos termos das alíneas a) a f) do artigo 7.º da Directiva.
62
Anexo 3: Exemplos práticos para ilustrar a determinação da finalidade
Os exemplos seguintes ilustram as formas de executar, na prática, a determinação da finalidade. Os exemplos serem para destacar a diversidade de situações e a flexibilidade e escalabilidade necessárias para a aplicação efectiva do princípio. Identificam ainda preocupações comuns e fornecem orientação para a determinação das finalidades em diferentes contextos.
Conforme se ilustrará, o contexto geral e em especial as expectativas razoáveis das pessoas em causa bem como até que ponto as partes interessadas têm um entendimento comum das finalidades do tratamento, determinam em grande medida o grau de detalhe necessário.
Exemplos 1-4: A forma de determinação da finalidade precisa de ser adaptada ao contexto
O grau de detalhe a fornecer pode variar e precisa de ser adaptado à situação, conforme se ilustra nos exemplos seguintes:
— Uma loja local que vende aos residentes locais numa pequena cidade e que recolhe apenas informação limitada sobre os seus clientes não precisa de determinar as finalidades de forma tão detalhada como uma grande empresa retalhista que vende mercadorias para toda a Europa através de um sítio na web e que utiliza analítica complexa para moldar ofertas personalizadas e publicidade dirigida;
— Um sítio na web de uma rede social que opera através da Europa precisa de prestar uma atenção especial à forma como determina as suas finalidades e à clareza da informação que presta, visto que se dirige a um vasto grupo de utilizadores de diferentes culturas;
— Se um responsável por tratamento fornece diversos serviços (por exemplo, correio electrónico, rede social e carregamento de fotografias, vídeos e música), deve evitar a simplificação excessiva: será necessária uma granularidade capaz de assegurar que todas as diferentes finalidades são suficientemente claras para os utilizadores;
— Um sítio governamental na web que fornece aconselhamento a idosos ou a doentes mentais, um sítio de jogos na web dirigido a adolescentes e uma agência governamental que processa requerimentos de candidatos a asilo precisam, todos eles, de tomar em consideração as idades, necessidades especiais, nacionalidade e cultura dos indivíduos aos quais se dirigem.
63
Exemplos 5-6: É preciso mais detalhe no caso de haver ambiguidades e para tratamento além do que é habitual num dado contexto
Em situações nas quais as finalidades do tratamento podem ser claramente retiradas do contexto é, habitualmente, necessário menor detalhe. Contudo, mesmo aqui, pode ser necessária informação mais precisa e detalhada quando surgem ambiguidades, conforme se ilustra nos casos seguintes:
— Um pequeno comerciante local contrata o fornecimento e instalação de um sistema de aquecimento na casa de um cliente, bem como a prestação de manutenção anual. A empresa recolhe informação, tal como nome, endereço e número de telefone do cliente, a fim de entregar e instalar o sistema e para agendar a manutenção anual. Tal pode suceder sem comunicar às pessoas em causa uma informação extensiva sobre protecção de dados pessoais, visto que os detalhes podem estar implícitos no contexto, no costume e na natureza da transacção económica subjacente. No entanto, se surgir qualquer ambiguidade, por exemplo, quanto à intenção da empresa de enviar ao cliente publicidade relativa aos seus outros serviços (ou aos serviços de outras empresas), tal deve ser especificamente comunicado às pessoas em causa119.
— O currículo de um candidato destina-se a ser utilizado por um empregador potencial para avaliação da sua experiência profissional num procedimento de recrutamento em curso. Isto é evidente em si mesmo. No entanto, se o currículo também se destina a ser utilizado para esquemas de mobilidade interna, esquemas de promoção ou procedimentos ulteriores de recrutamento, tal deve ser especificado.
Exemplos 7-8: Finalidades demasiado vagas ou demasiado gerais
Finalidades vagas ou gerais, tais como “melhorar a experiência dos utilizadores”, “comercialização”, “segurança informática” ou “pesquisa futura” – sem mais detalhes – habitualmente não preencherão o requisito de serem “específicas”. No entanto, o grau de detalhe a que uma finalidade deve ser especificada depende do contexto particular no qual os dados são recolhidos e dos dados pessoais envolvidos. Ilustrando:
— Uma boutique pequena mas exclusiva, especializada em “vestidos sob medida e acessórios originais” baseia-se na publicidade de boca em boca. O único utensílio de comercialização directa a que recorre é um lustroso catálogo anual que é enviado em suporte de papel para os endereços residenciais das suas 200 clientes. Ao subscrever o catálogo (tal como claramente referido no próprio catálogo) as clientes são informadas de que podem cancelar a assinatura a todo o
A este propósito, vide também a Secção II.2.4 sobre comunicações não solicitadas.119
64
tempo: pessoalmente, por escrito, via correio electrónico ou por telefonema para a loja. São igualmente informadas de que os seus dados não serão partilhados com terceiros e serão somente utilizados para a expedição do catálogo. Neste contexto simples, tal é uma especificação suficiente das finalidades120.
— O exemplo acima pode ser comparado com o de uma grande empresa de retalho que vende mercadorias para toda a Europa e que utiliza analítica complexa para moldar ofertas personalizadas e publicidade dirigida. Neste caso, as finalidades devem ser especificadas de forma muito mais detalhada e abrangente incluindo, entre outras coisas, “a forma como” os dados pessoais serão tratados. Os critérios de decisão usados na formação de perfis de consumidor devem igualmente ser revelados121.
Exemplos 9-10: Aviso estratificado
Um aviso estratificado é com frequência um meio exequível de fornecer informação chave às pessoas em causa de maneira muito concisa e acessível, fornecendo também informação adicional no “estrato” seguinte, a benefício de quem pretender maior clareza.
— Um departamento governamental utiliza um sistema de CCTV para proteger os seus edifícios e combina dois métodos de comunicação de informação ao público: (1) afixa avisos nos locais para alertar imediatamente o público para o facto de que a videovigilância tem lugar e fornecer informação essencial sobre o tratamento, e (2) publica nos seus sítios na intranet e na internet a versão pública da sua política de videovigilância. Esta publicação é fácil de localizar: os avisos nos locais já contêm o endereço e este pode ser igualmente encontrado introduzindo o nome da organização e as palavras “CCTV” ou “videovigilância” nos motores de pesquisa. O aviso é de fácil leitura e fornece informação abrangente.
— Um sítio na web dirigido a uma audiência de adolescentes oferece um utensílio colaborativo de cartografia, para planear e publicar percursos de corrida a pé. Embora a opção por defeito seja a de conservar privados os percursos publicados (por razões de segurança), os utilizadores podem igualmente decidir partilhar os seus percursos de corrida com os seus “amigos” ou mesmo torná-los públicos. Antes de armazenar um percurso no sistema abre-se uma mensagem que pergunta ao utilizador se quer partilhar a informação, dando-lhe três opções: “não, por favor mantenha-o privado”, “sim, partilhe com os meus amigos” e “sim, torne-o público”. A opção “não, por favor mantenha-o privado” surge pré-seleccionada e
Vide também a Secção II.2.4 sobre comunicações não solicitadas.Sobre a formação de perfis de consumidor, vide também os exemplos 9 (Algoritmos secretos prevêem a gravidez de consumidoras a partir dos hábitos de compra) e 10 (Oferta especial para um cortador de relva) do Anexo 4, que discutem a avaliação da compatibilidade.
120121
65
esta mensagem contém ainda um ponteiro intitulado “ler mais sobre como proteger a sua privacidade no mapa”. Junto à opção “sim, torne-o público” é exibido um ícone triangular de perigo. Ao seleccioná-lo, são destacados os perigos associados à disponibilização pública dos percursos. Informação adicional no sítio fornece todos os elementos de um aviso de protecção de dados em maior detalhe e numa linguagem adaptada à audiência. Também contém sugestões e conselhos, por exemplo, de que os utilizadores deveriam em geral evitar tornar públicos os seus percursos de corrida e, caso o façam, devem adoptar precauções sensatas. Em especial são aconselhados a não localizar o endereço da sua casa ou da sua escola, publicar percursos através de locais não frequentados, indicar a sua idade e género ou publicar a sua fotografia. São igualmente aconselhados a utilizar pseudónimos.
Exemplo 11: Dividir as finalidades mais gerais em “sub-finalidades”
Em geral é possível dividir uma “finalidade” num certo número de sub-finalidades.
— Por exemplo, o tratamento do requerimento de um indivíduo para um benefício social pode ser “dividido” em verificação da sua identidade, execução de vários testes de qualificação, verificação dos registos de outras agências de assistência social, etc.
— O conceito de finalidade global, sob cuja cobertura tomam lugar várias operações de tratamento, pode ser útil. Este conceito pode ser usado, por exemplo, quando se comunica um aviso estratificado à pessoa em causa. A informação mais geral pode ser comunicada em primeira instância sobre a “finalidade global”, podendo ser complementada com informação adicional. A divisão das finalidades é também necessária para o responsável pelo tratamento e para os seus subcontratantes, a fim de aplicar as garantias de protecção de dados necessárias.
Exemplo 12: Condições gerais de um banco de retalho
Um banco de retalho tradicional especifica nas suas condições gerais que tratará os dados pessoais dos seus clientes para fornecer os serviços financeiros solicitados e para fornecer informação sobre outros serviços nos quais os clientes possam estar interessados. Utilizará também os dados para prevenir fraudes e abuso do sistema financeiro e para cumprir as imposições legais que exigem a comunicação de certas informações às autoridades públicas competentes. Esta abordagem suscita diversos comentários:
— Em primeiro lugar, parece que “fornecer os serviços financeiros solicitados” enquanto finalidade primária é ao mesmo tempo suficientemente claro e preciso
66
para que a maior parte dos clientes compreenda o âmbito básico do tratamento122.
— Em segundo lugar, as outras finalidades mencionadas podem – conforme se discutiu na Secção III.2 – ser compatíveis com a finalidade primária, ou ser impostas pela lei mas, ainda que seja fornecida alguma informação básica, são demasiado gerais para poderem servir como especificação útil da finalidade.
— Em terceiro lugar, é duvidoso que a inclusão desses pontos adicionais nas condições gerais traga qualquer flexibilidade acrescida para a utilização posterior por parte do responsável pelo tratamento, considerando que essa utilização adicional não é necessária para a execução do contrato e que o cliente não consentiu inequivocamente.
Exemplo 13: Registos da população
— Em muitos países foram desenvolvidos sistemas de registo da população (muitos dos quais tiveram origem há vários séculos) para incluir alguns ou todos os eventos cobertos pelo registo civil (tais como nascimentos, óbitos, casamentos, divórcios, adopções, etc.), mas também um âmbito mais vasto de eventos, tais como a mudança de endereço. Estes registos são tipicamente utilizados para fornecer informação fiável sobre a população, informação essa que pode ser utilizada para uma variedade de finalidades públicas, tais como planeamento, orçamento e tributação, emissão de documentos de identificação, estabelecimento da capacidade eleitoral activa, acesso à educação, aos cuidados de saúde, aos seguros sociais, aos sistemas de assistência social e reforma e à elegibilidade para o serviço militar.
— Quer o conteúdo quer a utilização destes registos são habitualmente regulados por leis especiais. Embora surjam frequentemente disposições de carácter geral nessas leis, tais como “a informação pode ser utilizada para qualquer missão pública”, elas também contêm disposições legais detalhadas, que dão certeza jurídica. Estas disposições especificam em que situações e para quais finalidades os dados podem ser utilizados, e quem pode ter-lhes acesso.
— Os registos formam ainda a base para os serviços de governo electrónico. Com as tendências crescentes para a partilha governamental de dados, torna-se cada vez
É claro que, nos seus procedimentos internos, o banco ainda deverá definir as finalidades mais especificamente de modo a assegurar que pode aplicar as garantias necessárias. Pode ser também necessário fornecer informação adicional às pessoas em causa, por exemplo, quando a informação obtida de um cliente que utiliza um certo serviço será subsequentemente utilizada noutro contexto. Essa utilização poderá ou não ser adequada, dependendo do contexto específico. Mesmo se for permissível, uma tal combinação de dados pode exigir garantias adicionais. Por exemplo, devem ser adoptadas regras estritas, regulando se um banco, que tenha simultaneamente um negócio segurador e um negócio bancário, pode ou não, e em que condições, utilizar a informação obtida num deles para o exercício do outro (vide também a Secção III.2).
122
67
mais importante que existam regras jurídicas claras, específicas e proporcionadas, para tornar claro como pode ser utilizada, partilhada e garantida a informação contida nos registos da população e noutras bases de dados governamentais. O desafio consiste em definir estas regras de modo a que proporcionem suficiente certeza jurídica sem se tornarem excessivamente rígidas.
Exemplo 14: Partilha de dados entre as autoridades competentes dos Estados Membros da União Europeia
— Há uma tendência crescente para a cooperação administrativa entre as várias autoridades competentes dos Estados Membros, por exemplo na área da aplicação da lei (tal como no Sistema de Informação de Schengen), alfândegas (Sistema de Informação Aduaneira), protecção ao consumidor (Sistema de Cooperação no domínio da Defesa do Consumidor), pedidos de asilo (Sistema EURODAC), pedidos de visto (Sistema de Informação de Vistos) ou em questões mais amplas sobre o mercado interno (Sistema de Informação do Mercado Interno).
— Tal como no caso da partilha de dados intragovernamental, torna-se crescentemente importante que existam regras jurídicas claras, específicas e proporcionadas. Estas regras devem tornar claro quais os dados que podem ser utilizados, partilhados, intercambiados ou armazenados e para quais finalidades. Devem também especificar quem tem acesso a qual informação, como se assegura a segurança dos sistemas informáticos e quais as garantias adicionais a aplicar.
Exemplo 15: Finalidades ilegítimas – estabelecimento do perfil racial dos clientes
Um negócio segmenta os seus clientes em dois grupos, com base em perfis étnicos: cobra preços mais elevados a “brancos”, ao contrário dos clientes “asiáticos”. Isto é feito de forma não transparente, para dissimular as práticas, aplicando diferentes descontos personalizados aos cupões enviados a clientes com apelidos asiáticos. Não é fornecida aos clientes nenhuma informação, para além de que “os dados dos cartões de lealdade podem ser utilizados para fins de comercialização”.
— Para além das outras questões que este caso suscita, o exemplo ilustra que o requisito de que as finalidades sejam legítimas é amplo: por exemplo, também, proíbe o tratamento de dados para finalidades que possam resultar em práticas discriminatórias.
— O caso ilustra igualmente a importância da transparência para assegurar um tratamento leal: se o negócio tivesse colocado em local proeminente da sua porta principal um aviso de que concederia um desconto de 10% a todos os clientes de
68
origem asiática (ou uma sobrecarga de 10% para todos os clientes não asiáticos), o efeito discriminatório teria seguramente sido evidente para toda a gente (e provavelmente teria também afastado todos os clientes não asiáticos).
69
Anexo 4: Exemplos práticos para ilustrar a avaliação da compatibilidade
Os exemplos seguintes ilustram as formas como uma avaliação de compatibilidade substantiva, multifactorial pode ser realizada em situações muito diversas. Para melhor orientar o leitor, os exemplos — em geral — progridem de casos relativamente simples e directos para casos mais complexos que exigem uma avaliação de compatibilidade mais apurada. Nalgumas ocasiões foram agrupados dois ou mais exemplos relacionados entre si foram agrupados, por ser útil a sua comparação.
São igualmente discutidas situações nas quais se exigem várias garantias, assim como o são situações nas quais o tratamento posterior é provavelmente incompatível e somente pode ser executado ao abrigo das estritas disposições do artigo 13.º da Directiva. Os exemplos têm origem nos sectores público e privado e cobrem também a partilha governamental de dados. Muitos dos exemplos foram baseados em casos reais, ou em elementos de casos reais processados por autoridades de protecção de dados nos diferentes Estados Membros. Contudo, os factos foram por vezes algo modificados a fim de melhor ilustrar o conceito e a metodologia da avaliação da compatibilidade.
Quanto à natureza dos casos é importante realçar que foram incluídos a fim de ilustrar o processo intelectual – o método segundo o qual a avaliação multifactorial de compatibilidade deve ser executada. Por outras palavras, os exemplos não pretendem fornecer uma apreciação conclusiva dos casos descritos. De facto, em muitos dos casos, a alteração de factos do caso de alguma forma (por exemplo, se o responsável pelo tratamento adoptasse garantias adicionais tais como anonimização mais completa, melhores medidas de segurança e mais transparência e oportunidades genuínas de escolha para as pessoas em causa), poderia modificar o resultado da avaliação de compatibilidade.
Isto deve encorajar os responsáveis pelo tratamento a cumprir mais completamente as disposições horizontais da Directiva: quanto maior o cuidado por eles tomado na protecção geral dos dados pessoais maior probabilidade haverá de que o tratamento posterior que pretendem possa ser considerado compatível.
Exemplo 1: Recepcionista tagarela apanhada no CCTV
Uma empresa instala uma câmara de CCTV para controlar a entrada principal do seu edifício. Um aviso informa as pessoas que está em operação um CCTV com finalidades de segurança. As gravações do CCTV mostram que a recepcionista está frequentemente longe da sua secretária e se envolve em prolongadas conversas enquanto fuma junto à área de entrada coberta pelas câmaras de CCTV. As gravações, combinadas com outras provas (tais como queixas) mostram que ela deixa frequentemente de atender chamadas telefónicas, o que é um dos seus deveres.
70
Para lá de outras preocupações com o CCTV que podem ser suscitadas por este caso, em termos da avaliação da compatibilidade pode aceitar-se que uma pessoa em causa razoável assumiria, a partir do aviso, que as câmaras estão no local somente para fins de segurança. Controlar se um empregado desempenha adequadamente ou não as suas funções, tais como atender telefonemas, é uma finalidade não relacionada que não pode ser razoavelmente esperada pela pessoa em causa. Isto dá uma forte indicação de que a utilização posterior é incompatível. Outros factores, tais como o potencial impacto negativo sobre o empregado (por exemplo, acção disciplinar), a natureza dos dados (imagens vídeo), a natureza da relação (contexto laboral, o que sugere desequilíbrio de poderes e limitação das opções) e a ausência de garantias (como, por exemplo, aviso sobre outras finalidades, para além da segurança), podem também contribuir para confirmar esta avaliação.
Exemplo 2: Testes de bafómetro controlando a pontualidade
Uma empresa de transportes públicos exige aos motoristas de autocarro que, todos os dias e antes de iniciarem o seu turno, soprem num bafómetro para controlar a presença de álcool. A hora e data do teste são registadas, juntamente com a informação sobre se o teste foi ou não bem-sucedido. Este procedimento está integrado num sistema de entradas e saídas. Quando os motoristas de autocarro começam o seu turno de trabalho, é-lhes exigido que aproximem o seu cartão magnético de identificação do módulo do bafómetro e em seguida que soprem no bafómetro. A finalidade da recolha e do tratamento posterior destes dados, conforme determinado pela lei e também notificado aos trabalhadores, é controlar se os motoristas têm uma quantidade proibida de álcool nos seus corpos durante o turno de trabalho, o que é uma exigência legal no país em causa. Contudo, sem conhecimento dos motoristas, o sistema do bafómetro é também usado para controlar se os motoristas cumprem as suas obrigações de pontualidade (isto é, se chegaram ou não pontualmente ao início do seu turno).
Para além de outras preocupações sobre as práticas de direito laboral que este caso possa suscitar, pode dizer-se que em termos de compatibilidade, uma pessoa em causa razoável assume que os bafómetros estão instalados para controlar a presença de álcool e não para a finalidade inteiramente não relacionada de controlar se os motoristas chegam atrasados ao trabalho. Isto dá uma forte indicação de que a utilização posterior é incompatível. Outros factores, tais como o potencial impacto negativo sobre o empregado (por exemplo, acção disciplinar), a natureza sensível dos dados, a obrigação legal do trabalhador de fornecer os dados, o desequilíbrio de poder entre a pessoa em causa e o empregador e a falta de garantias (tais como, por exemplo, aviso sobre as finalidades ulteriores para além do controlo dos limites de álcool) podem contribuir para confirmar esta avaliação.
71
Exemplo 3: Certificados de autorização de segurança armazenados para documentar e auditar a conformidade de departamentos
Em ordem a proteger informação classificada, um departamento governamental exige a alguns dos seus empregados que completem com êxito um procedimento de autorização de segurança para documentar que eles têm o nível exigido de confiabilidade. O procedimento de autorização de segurança está regulado na lei e é efectuado por outro departamento governamental. Os certificados “limpos” (isto é, aprovados) de autorização de segurança são armazenados pelo departamento governamental que solicitou a autorização, como prova de que se acha em conformidade com os requisitos. Os certificados são armazenados por toda a duração do emprego (e durante um período limitado, fixo, depois da terminação) para permitir auditar a conformidade com os requisitos de segurança, quer internamente quer por parte de um terceiro departamento governamental. Estas finalidades, bem como os períodos de retenção, estão claramente identificados, estabelecidos por legislação e ainda comunicados ao pessoal. Os certificados “limpos” não contêm qualquer informação adicional, para além de que o procedimento de verificação foi executado com êxito.
Sem analisar quaisquer outros aspectos deste caso, pode dizer-se que, em termos de compatibilidade, que a finalidade de conservar os certificados “limpos” para auditoria deriva da finalidade original da obtenção dos certificados por razões de autorização de segurança, apoiando-a: a auditoria é estabelecida para verificar se as necessárias autorizações de segurança foram obtidas. Isto dá alguma indicação (em si mesma não conclusiva) de que existe compatibilidade e pode sugerir que as pessoas em causa devem esperar algum grau de armazenamento de dados para finalidades de auditoria. Outros aspectos do procedimento, tais como o facto de que a previsibilidade e a certeza jurídica estão asseguradas por disposições detalhadas na legislação, e de que as pessoas em causa são claramente informadas com antecedência, podem também contribuir para a compatibilidade. Embora a natureza dos dados fosse altamente sensível se também os “certificados negativos” fossem armazenados, o impacto potencial sobre as pessoas em causa é limitado pelo facto de que — no cenário descrito — só os certificados “limpos” de autorização de segurança são armazenados.
Exemplo 4: Férias de “Boas Melhoras”
A mulher de um médico explora uma pequena agência de viagens independente. O médico fornece à sua mulher detalhes dos doentes que tiveram recentemente alta do hospital. A mulher utiliza a informação para enviar aos doentes ofertas da sua linha de férias de recuperação em sete dias “Boas Melhoras”.
Dada a sensibilidade da informação de saúde e a protecção especial que é conferida, quer através da protecção de dados, quer através de outros elementos da lei (por ex. regras de ética profissional e de sigilo profissional), a utilização dessa informação para uma finalidade
72
comercial não directamente relacionada com os cuidados de saúde dispensados, bem como a transferência desses dados para terceiros (a mulher do médico) suscitam imediatamente preocupações quanto à compatibilidade.
Este exemplo é típico de uma avaliação multifactorial. O facto de que a finalidade secundária não está directamente relacionada com a prestação de cuidados de saúde (que é a finalidade primária da recolha de dados) e a natureza sensível dos dados médicos, apoiam ambos a avaliação de incompatibilidade. Nesta base e considerando as obrigações profissionais de confidencialidade que recaem sobre o médico, pode ser razoavelmente assumido pelo doente que os dados foram recolhidos especificamente (e apenas) para prestar cuidados de saúde.
Adicionalmente — para além de quaisquer outras questões que este caso possa suscitar – o facto de haver uma transferência de dados pessoais para um terceiro (a mulher do médico), bem como a obrigação ética do médico de não retirar vantagens comerciais dos doentes em situações vulneráveis, contribuem também para a avaliação de incompatibilidade. A possibilidade de recorrer a meios alternativos, menos intrusivos, para alcançar o objectivo de publicitar as férias “Boas Melhoras” (por. Ex. colocando brochuras de férias na sala de espera do médico, se tal for permitido pelas regras de ética) sugere igualmente que este tratamento é, provavelmente, incompatível123.
Exemplo 5: Uma parceria público-privada: apreciadores de alimentos gordos instados a comer menos
Um supermercado participa numa nova iniciativa de saúde pública promovida pelo Departamento governamental do Bem-Estar. O supermercado utiliza o seu software de analítica já disponível e a base de dados de compras dos seus clientes (obtida através do seu sistema de “cartão de lealdade”) para identificar os clientes que compram quantidades excessivas de álcool ou grandes quantidades de alimentos ricos em gordura. Então, envia-lhes folhetos preparados por um outro parceiro privado do governo para o endereço residencial desses clientes. Os folhetos dão conselhos sobre nutrição e estilo de vida e oferece consultas numa clínica de “bem-estar” local, que também participa na campanha do governo. As pessoas em causa não são informadas desta iniciativa antes de o supermercado lhes enviar os folhetos e a própria iniciativa não está prevista na lei.
A utilização de dados de compras dos clientes para uma finalidade não relacionada suscita problemas significativos de compatibilidade que exigem uma análise cuidadosa. É especialmente o caso deste exemplo, dado que o projecto é desenvolvido para finalidades de interesse público e envolve uma parceria voluntária entre o governo e entidades do sector privado. Em primeiro lugar, os supermercados não têm um papel formal, responsabilidade
Vide também a Secção III.2.4 sobre mensagens comerciais não solicitadas.123
73
legal, nem obrigação jurídica no que respeita à salvaguarda da saúde pública. Embora a educação dos consumidores possa ser, em si mesma, um objectivo útil, ela não tem uma relação próxima com a finalidade primária de vender produtos e não pode justificar o tratamento posterior. De facto é muito improvável que os clientes pudessem esperar que os seus dados fossem utilizados (e explorados com recurso a utensílios analíticos) desta forma.
A natureza dos dados e a forma como eles são utilizados para classificar clientes como “indivíduos de alto risco” (que necessitam de ajuda com os seus problemas de obesidade ou de álcool) é um factor chave que contribui para a incompatibilidade. Embora os próprios dados (por ex. comprar uma barra de chocolate ou uma lata de cerveja num certo dia) não sejam de modo nenhum sensíveis, as inferências que podem ser retiradas deles são-no. O impacto potencial sobre os clientes depende de vários factores: enquanto alguns clientes poderão achar os folhetos úteis, outros poderão sentir-se apontados, incomodados, pressionados ou discriminados. Este impacto negativo pode ser intensificado pela falta de transparência da informação disponibilizada às pessoas em causa sobre a forma como a sua informação é utilizada e por que motivo recebem as brochuras.
Além disso, métodos alternativos (tais como disponibilizar os folhetos no ponto de venda ou noutras áreas do supermercado) seriam muito menos intrusivos e, talvez, uma forma mais efectiva de atingir as finalidades pretendidas. Em alternativa, poderia ser oferecida aos clientes uma opção clara e específica (auto-inclusão) sobre se concordam que o supermercado explore os seus dados para a finalidade de lhes fornecer aconselhamento sobre nutrição. Também lhes poderia ser pedido que confirmassem se concordavam que essa informação fossa transferida para outros parceiros da campanha, sob finalidades claramente especificadas.
Exemplo 6: Formação sobre internet segura para crianças
Na sequência de uma campanha pública sobre a utilização segura da internet, uma escola decide enviar a informação de contacto de todas as crianças da escola com idades dos 8 aos 13 anos, bom como a dos seus pais, para uma organização sem fins lucrativos que conduz uma acção de formação inovadora e altamente efectiva, subsidiada pelo governo, que ensina as crianças a utilizar a internet em segurança. Então, a organização sem fins lucrativos envia folhetos aos pais e às crianças, convidando-as a registarem-se para a acção de formação.
Apesar das boas intenções, a utilização posterior e a transferência dos dados das crianças suscitam problemas de compatibilidade. Em vez de transferir automaticamente os dados sem consentimento, poderiam ter sido utilizados métodos alternativos, tais como informar os pais e/ou as crianças directamente sobre as sessões de formação. Este exemplo realça que a avaliação da compatibilidade não pode ser reduzida a uma verificação mecânica e exige uma abordagem de senso comum. Por vezes, vários factores podem indicar compatibilidade, mas
74
uma ou duas considerações cruciais sugerirão incompatibilidade. Neste caso, os objectivos educativos da formação estão estreitamente relacionados com os objectivos educativos da escola e a utilização dos dados para organizar a acção não seria necessariamente problemática em si mesma, especialmente à luz do potencial impacto positivo sobre os alunos. Contudo, o facto de os dados serem desnecessariamente transferidos para um terceiro quando há outros meios de comunicação disponíveis sugere incompatibilidade.
Exemplo 7: Consentimento para a utilização de fotografias de férias para promover um sítio na web
Um pequeno operador turístico especializado em trekking de montanha organiza um programa de férias para oito participantes. Durante as férias o gerente da empresa, que também é um fotógrafo entusiasta, além de servir de guia turístico e organizador geral da viagem, tira muitas fotografias. Muitas dessas fotografias são subsequentemente partilhadas entre os participantes mediante acesso, protegido por senha, a um sítio de partilha de fotografias na web, com o entendimento de que as fotografias só poderão ser utilizadas para finalidades pessoais e não comerciais.
Não obstante, dois anos depois, o gerente pretende usar algumas dessas fotografias no sítio da empresa na web, para promover o seu programa de férias. As fotografias são inofensivas mas algo íntimas, na medida em que capturam artisticamente momentos e emoções privadas enquanto decorria o trekking em altitude. Durante uma reunião, o gerente pede aos indivíduos cujas fotografias pretende utilizar que consintam no carregamento das fotografias no sítio na web. Alguns dos participantes dão consentimento informado, inequívoco e explícito (para assegurar a documentação do consentimento o gerente redigiu um documento simples mas claro que é então assinado por todos aqueles que consentiram). Outros preferem que as suas fotografias não sejam carregadas no sítio na web. Subsequentemente o gerente carrega apenas aquelas fotografias para as quais os indivíduos em causa deram o seu consentimento.
Embora a finalidade do tratamento tenha sido significativamente alterada, esta utilização pode ser considerada compatível porque foram aplicadas garantias adicionais para assegurar que era dada informação adequada e obtido consentimento para o tratamento posterior. Este cenário simples e directo ajuda a ilustrar que em alguns casos, mesmo quando uma pessoa razoável habitualmente não esperaria uma tal utilização posterior (como ter as suas fotografias pessoais e íntimas publicadas num sítio comercial na web para fins promocionais), a modificação da finalidade é possível, dependendo de garantias adequadas – neste caso, o consentimento informado e livremente dado.
75
Exemplo 8: Um sítio de partilha de fotografias na web altera a sua política de privacidade
Um sítio líder de mercado de redes sociais e de partilha de fotografias permite aos seus utilizadores o carregamento de fotografias para utilização pessoal e a sua partilha com “amigos” seleccionados. O aviso de privacidade assegura aos clientes que as fotografias serão somente partilhadas “com quem quiser e quando quiser”. Dois anos mais tarde a empresa modifica a sua política de privacidade. Numa mensagem de correio electrónico notifica os seus clientes de que entrará em vigor uma nova política de privacidade e, salvo se removerem as suas fotografias num prazo de 30 dias, considerará que consentiram em dar ao sítio uma licença para utilizar todas as fotografias carregadas para qualquer finalidade, incluindo mas não limitada a promoção do sítio na web. Um acordo detalhado de licenciamento e a política de privacidade são fornecidos através de um ponteiro incluído na mensagem de correio electrónico, bem como no próprio sítio, quando os clientes o visitarem. O cliente deve aceitar estes documentos clicando em “Aceito” antes de lhe ser permitido que continue a navegar no sítio na web.
Esta utilização posterior das fotografias – para além de suscitar outras preocupações de protecção de dados, tais como a validade do consentimento, a proporcionalidade e a legitimidade – também suscita problemas de compatibilidade. É claro que a modificação não poderia ser esperada pelos clientes que, nesta altura, já carregaram em linha dois anos de fotografias suas no entendimento de que seriam partilhadas apenas “com quem (eles) quisessem e quando (eles) quisessem”. A finalidade do tratamento inicial (permitir aos clientes a partilha de fotografias com os seus amigos) está claramente não relacionada com a utilização – excessiva – posterior pela empresa. O contexto e as garantias específicas dadas na publicidade dos serviços aquando da recolha inicial também confirmam a avaliação de incompatibilidade.
A natureza dos dados também é um factor em apoio da incompatibilidade: apesar de muitas das fotografias carregadas no sítio poderem ser inócuas, outras poderão ser mais íntimas, mesmo embaraçosas ou simplesmente mal tiradas. Podem também ser mal interpretadas, se retiradas do seu contexto. Além disso, o pensamento de que as fotografias poderão ser usadas para finalidades promocionais ou outras pode ter um efeito asfixiante de autocensura sobre aquilo que as pessoas poderão publicar no sítio na web, que pode ser classificado como um impacto potencial sobre a pessoa em causa. O equilíbrio de poder entre os consumidores e o sítio de partilha de fotografias e a ausência de alternativas adequadas para os serviços de partilha de fotografias podem também contribuir para a conclusão de que o consentimento apenas, obtido desta forma e nestas circunstância, é verosimilmente insuficiente para compensar esta modificação excessiva e inesperada de finalidade.
76
Exemplo 9: Algoritmos secretos prevêem a gravidez de clientes a partir dos hábitos de compra
Um centro comercial utiliza os dados do cartão de lealdade para analisar os hábitos de compra dos seus clientes, para identificar novas tendências de comercialização e também para fazer ofertas especiais e enviar cupões de desconto aos seus clientes. O inovador software de analítica utilizado pelo centro comercial prevê com um elevado grau de probabilidade se uma cliente está grávida e de quantos meses. Esta informação é utilizada para adaptar as ofertas de comercialização aos seus perfis. Não é dada nenhuma informação específica aos clientes quando se registam para um cartão de lealdade. As condições detalhadas (disponíveis no sítio do centro comercial na web) apenas mencionam que “os dados do cartão de lealdade podem ser utilizados para finalidades de comercialização, incluindo a apresentação de ofertas especiais e de cupões de desconto aos clientes”. O centro comercial recebe uma queixa do pai de uma adolescente que descobre estar ela grávida, na sequência de suspeitas criadas pela quantidade acrescida de publicidade relacionada com a gravidez recebida na caixa do correio da casa da família.
O cenário acima levanta imediatamente preocupações de privacidade: algumas mulheres grávidas, especialmente nas primeiras fases da sua gravidez, poderão querer manter as notícias para si mesmas e/ou para um círculo muito próximo de família e amigos. A forma como este estabelecimento de perfis é executado (algoritmos secretos para prever a gravidez) é obviamente uma das maneiras que muitos clientes achariam inesperadas, inapropriadas e objectáveis. O problema relaciona-se menos com a natureza dos dados recolhidos (que pode não ser intrusiva em si mesma) e mais com a forma como os dados são combinados, tratados posteriormente e utilizados para prever um perfil geral (gravidez e respectivo número de meses) utilizando um algoritmo secreto e objectável.
Em suma, e para além de outras questões que este caso possa suscitar, há uma forte indicação de incompatibilidade, primariamente devida à maneira como os dados são tratados e à ausência de garantias (tais como a transparência, bem como consentimento informado e genuíno). Este caso pode ser colocado em contraste com o seguinte, também sobre o estabelecimento de perfis de clientes, mas numa forma socialmente mais aceitável.
Exemplo 10: Oferta especial de um cortador de relva
Uma cadeia nacional de retalho que vende artigos de jardinagem e equipamento de bricolagem oferece aos seus clientes um cartão de lealdade mediante uma taxa modesta de assinatura anual, que lhes proporciona um desconto de 10% em todas as compras feitas usando o cartão. Há um aviso informativo de privacidade no sítio da empresa na web e é igualmente fornecida uma versão mais curta aos clientes que assinam o cartão de lealdade, com algumas opções explícitas para seleccionar.
77
O aviso está redigido com clareza e menciona, entre outras coisas, que se o cliente escolher a opção a) “Quero que o meu histórico de compras seja armazenado em linha para poder receber descontos personalizados”, então o histórico de compras pode ser utilizado para “analisar os padrões de compra e fazer ofertas personalizadas especiais aos clientes leais”. Em alternativa, o aviso explica que se o cliente ainda quiser conservar o seu cartão de lealdade e assim beneficiar do desconto de 10% (e do todos os descontos gerais) “Quero que os meus detalhes sejam mantidos privados e receber apenas os descontos gerais”, pode escolher não ser sujeito a estabelecimento de perfil e não receber ofertas e descontos personalizados. São dados mais detalhes quer em linha quer fora de linha.
Num dia de primavera uma cliente leal e entusiasta da jardinagem, que optara por descontos personalizados, recebe uma oferta especial pelo correio: 30% de desconto num cortador de relva novo, menos ruidoso e energeticamente mais eficiente, precisamente quando o seu velho cortador de relva estava a começar a dar-lhe problemas.
Ela fica interessada e liga-se em linha para descobrir mais sobre a oferta. Cada titular de cartão tem acesso, não apenas a recomendações personalizadas e a ofertas especiais, mas também ao seu próprio histórico de compras dos últimos cinco anos — informação que a loja retém por defeito. O sítio tem muitas características de utilização fácil para analisar as compras feitas e para recomendar artigos adicionais de que o cliente poderia gostar. Também inclui um artigo informativo em lugar de destaque sobre as formas como o software de analítica funciona, destacando as práticas comuns na indústria, as quais são igualmente utilizadas pela loja de jardinagem. Por exemplo, o artigo explica que as ofertas especiais, para artigos anteriormente comprados pelo cliente, serão enviadas por altura da época em que os clientes poderão começar a pensar em substituir os seus modelos antigos.
O artigo também explica que o desconto a aplicar será personalizado com base em vários factores, tais como o dispêndio mensal médio do cliente na loja (quanto mais gastarem, maior o desconto), a aceitação de ofertas anteriores e outros indicadores semelhantes que são descritos transparentemente e em detalhe. Esta transparência já deu lugar a piadas na secção “fórum” do sítio na web sobre o tempo médio que certos cortadores de relva demoram a avariar e à partilha de estratégias e pistas sobre como “enganar” o sistema e obter melhores descontos. Por exemplo, muitos clientes começaram a clicar especificamente em certos artigos descontados no sítio, para mostrar que fazem compras e assim sugerir que reagirão bem a um desconto maior.
O sítio também permite que o histórico de compras do cliente seja descarregado num formato padrão. Alguns clientes, por exemplo, podem decidir integrar estes dados num utensílio de software (adquirido à parte) que utilizam para planear e analisar as suas finanças pessoais.
78
Tal como no exemplo anterior relacionado com a previsão da gravidez, este caso exige uma análise complexa dos detalhes, que não poderiam ser cobertos num curto resumo. No entanto, vale a pena comparar os dois casos, que exibem muitas semelhanças mas também muitas diferenças. Ambos os casos envolvem o estabelecimento de perfis de clientes para fins de comercialização, mas o senso comum sugere que enquanto o primeiro caso é claramente objectável para a maioria das pessoas, o segundo parece ser muito menos problemático.
Em última análise, o elemento mais chocante do primeiro caso é a capacidade inesperada, misteriosa, do algoritmo para predizer a gravidez a partir de dados de compras aparentemente inócuos. Em contraste, a loja de jardinagem parece estabelecer os perfis dos seus clientes de uma maneira muito mais previsível (conveniente, mesmo) e razoável: uma oferta de um novo cortador de relva surge quando está na altura de substituir o velho. Não há nada de surpreendente nem de objectável na oferta especial recebida nem na maneira como a empresa calcula o momento para a oferta. As diferenças chave estão na maneira como os algoritmos foram concebidos: relativamente a preencherem ou não as expectativas gerais razoáveis do público ou haver ou não algo objectável ou desleal neles.
A este respeito é também importante realçar que o seguimento e o estabelecimento de perfis para finalidades de comercialização pode habitualmente ser considerado compatível somente se houver uma base jurídica para o tratamento tal como o consentimento genuíno, inequívoco, dado livremente e informado. No segundo caso, a loja de jardinagem parece ter feito esforços significativos para assegurar a transparência e proporcionar opções informadas aos seus clientes. Estas garantias, por seu turno, podem contribuir para a previsibilidade e confirmar as expectativas razoáveis. Podem também ajudar a assegurar a lealdade global e minimizar qualquer impacto inesperado e objectável sobre as pessoas em causa. De facto, se uma empresa tiver que revelar os seus critérios de decisão – o seu algoritmo de estabelecimento de perfis — é muito menos provável que venha a usar métodos desleais ou objectáveis.
Finalmente, a natureza dos dados também pode desempenhar um papel na avaliação. Embora os padrões detalhados da compra de ferramentas e consumíveis de jardinagem possam revelar informação significativa sobre os indivíduos, em geral, tal não é tão sensível como o tipo de inferências que podem ser retiradas do conhecimento de quais os sítios na web que visitam, os livros ou filmes que alugam/compram, ou os artigos que compram numa farmácia.
Exemplo 11: Fabricante de automóveis utiliza o registo público de veículos para notificar os proprietários de um defeito e fazer a chamada dos automóveis
Um fabricante de automóveis identifica um defeito significativo numa série de automóveis que pode causar acidentes rodoviários graves. Ao abrigo da legislação nacional de segurança dos produtos, o fabricante é obrigado a chamar todos os automóveis da série
79
relevante que tiverem sido comprados e informar os clientes do defeito “por todos os meios razoáveis”. A legislação nacional não dá detalhes sobre como exactamente devem ser notificados os proprietários dos veículos, mas desenvolveu-se uma prática pela qual — a pedido — o serviço nacional de registo de automóveis (que é desempenhado por um organismo público) fornece ao fabricante uma lista actualizada de todos os proprietários de automóveis abrangidos. A legislação sobre registo de veículos também não contém disposições específicas.
De acordo com esta prática, a transferência fica documentada num contrato padrão desenvolvido pelo serviço nacional de registo de veículos que estabelece condições estritas para a utilização dos dados. O contrato, entre outras coisas, proíbe a utilização dos dados para finalidades adicionais (tais como comercialização). Outras garantias, tais como medidas técnicas e organizativas para proteger a segurança dos dados, estão também tratadas de forma adequada e são aplicadas.
Este exemplo requer uma avaliação detalhada. Em primeiro lugar, a informação actualizada no registo de veículos é provavelmente uma fonte muito mais fiável de detalhes de contacto dos proprietários actuais do que quaisquer outros dados de vendas que possam estar na posse do fabricante. Portanto, é no interesse directo das próprias pessoas em causa (bem como no do público em geral) que eles sejam contactados pelos meios mais dignos de confiança, por forma a minimizar o risco de potenciais acidentes. Este é um indicador forte e óbvio favorável à compatibilidade. Em segundo lugar, embora a legislação possa não ser suficientemente específica sobre para o quê pode ser utilizada a informação do registo público de veículos, não é excessivo argumentar que a utilização dos dados de registo para esta finalidade pode ser até algum ponto esperada, ou no mínimo, nem inadequada nem objectável. Este factor também apoia a avaliação de compatibilidade.
Com base nestas considerações, a utilização dos dados de registo pelo registo dos veículos para esta finalidade será provavelmente considerada compatível: a utilização posterior parece estar de algum modo relacionada, talvez mesmo ser uma finalidade esperada, claramente no interesse das pessoas em causa (e assim, com um impacto positivo sobre estas). A natureza dos dados (isto é, quem é o proprietário de um certo automóvel) não é abertamente sensível (embora não seja trivial), o que também confirma a análise.
Podem surgir algumas dúvidas devido ao elemento adicional que é a transferência dos dados para um terceiro (o fabricante de automóveis). A transferência pode apresentar alguns riscos, embora estes sejam provavelmente relativamente limitados. Em especial, o fabricante poderia abusar dos dados para finalidades adicionais (tais como comercialização directa) ou pode simplesmente não ter o devido cuidado com a informação e não assegurar a sua segurança. Por este motivo as garantias contratuais mencionadas acima desempenham um papel importante.
80
Neste caso, em suma, considerando também o significativo impacto positivo sobre as pessoas em causa, pode considerar-se que a sua utilização será provavelmente compatível. Contudo, para finalidades de certeza jurídica e previsibilidade, seria desejável actualizar as disposições legislativas de modo a permitirem claramente a transferência de dados do registo para os fabricantes nestas situações, e para estabelecer as garantias necessárias, que actualmente apenas estão cobertas pelo clausulado contratual.
Exemplo 12: Transferência de resultados de exames médicos prévios ao emprego
Dois departamentos governamentais (A e B) têm, cada um deles, a sua própria estrutura organizativa e procedimentos de recrutamento, os quais estão harmonizados até certo ponto, com base nas orientações governamentais gerais. Cada um dos departamentos exige aos candidatos, uma vez que lhes tenha sido proposto o seu primeiro emprego no departamento, que se submetam com êxito a um teste médico prévio ao emprego, que testa a sua robustez para o trabalho. O teste é efectuado por um fornecedor externo de serviços médicos. O Departamento A selecciona uma candidata a um emprego, mas a candidata não é aprovada no exame médico e, assim, é excluída do emprego.
Dois anos depois, a candidata recebe uma oferta de emprego no Departamento B. A fim de poupar nas despesas e também para acelerar o procedimento, os dois departamentos e o fornecedor de serviços médicos têm em funcionamento um acordo informal e não documentado para partilhar os atestados médicos que não forem demasiado antigos (habitualmente menos de dois ou três anos). Em conformidade, o Departamento B contacta o fornecedor externo de serviços médicos para verificar se a candidata já foi submetida a exame nos últimos três anos e, em caso afirmativo, para pedir que lhe seja enviado o atestado de robustez. Nem o Departamento A nem o Departamento B informaram a pessoa em causa de que os seus atestados poderiam ser transferidos entre os dois departamentos. O Departamento B recebe o atestado — e visto ele ser negativo — rejeita a candidatura. A candidata queixa-se da transferência dos seus dados pessoais.
Para além de outras preocupações a que este cenário possa dar lugar, é claro que existe um problema quanto à compatibilidade. Embora as finalidades sejam até certo ponto semelhantes (ambos os casos se referem a um exame prévio ao emprego efectuado por um departamento governamental), eles podem igualmente ser distinguidos. Isto é especialmente assim dado que os dois departamentos têm cada um deles a sua própria organização e procedimentos de recursos humanos. Em geral pode dizer-se que uma pessoa razoável não esperaria ver a sua candidatura a um emprego ser rejeitada com base num exame médico negativo efectuado dois anos antes, ao candidatar-se a um emprego diferente numa organização diferente (muito embora ambos os departamentos sejam partes da mesma estrutura governamental global do país em questão).
A falta de transparência (ausência de informação clara à pessoa em causa sobre a
81
possível utilização dos seus dados) e a ausência de previsibilidade e de certeza jurídica (não há acordos formais entre os departamentos nem disposições legais que permitam os acordos informais referidos acima para partilha de atestados médicos entre os dois departamentos) também contribuem para a avaliação de incompatibilidade. Finalmente, quer a natureza dos dados (dados médicos que sugerem falta de robustez para o trabalho) quer o potencial impacto (rejeição do emprego) confirmam essa avaliação.
Poderia acrescentar-se que — se os dois departamentos pretendessem partilhar os resultados a fim de poupar nas despesas — eles poderiam ter utilizado métodos alternativos e menos intrusivos e poderiam ter aplicado garantias adicionais. Por exemplo — e embora o consentimento possa não ser necessariamente uma base jurídica adequada para a transferência de atestados negativos, tendo em conta a posição vulnerável das pessoas em causa — poderia ter sido estabelecido um acordo segundo o qual só os resultados positivos dos exames médicos poderiam ser transferidos (não correndo assim o risco de um impacto negativo sobre a pessoa em causa e dando-lhe uma segunda oportunidade no caso de candidatura a um departamento diferente).
Isto poderia ter sido claramente previsto em acordos formais entre os dois departamentos e poderia também ter sido sujeito ao consentimento claro e informado da pessoa em causa. Seria exequível que este consentimento informado fosse dado por ocasião do primeiro exame médico e poderia cobrir a utilização dos atestados “limpos” durante um período de tempo razoável (por exemplo, dois anos).
Exemplo 13: Departamento de Habitação necessita de acesso a dados para prevenção de incêndios
Uma autoridade local tem um Departamento de Subsídios que processa pedidos de indivíduos para subsídios de apoio à habitação. Há consciência de um problema na sua área, de casas grandes e antigas estarem a ser ilegalmente convertidas em fracções para ocupação múltipla, sem instalação das necessárias precauções de segurança contra incêndios. O Departamento de Subsídios foi contactado pelo Departamento de Habitação no sentido de saber se a sua base de dados de requerentes poderia ser usada para detectar casos em que múltiplos indivíduos pedem subsídios para a mesma casa – dado que isto seria indicativo de ocupação múltipla.
A utilização dos dados para esta finalidade suscita problemas de compatibilidade. As finalidades do tratamento não estão estritamente relacionadas: pedidos de subsídio e prevenção de incêndios são matérias distintas, muito embora se possa dizer que a autoridade tem uma ampla responsabilidade legal no que se refere à segurança das instalações domésticas da sua área e também quanto a assegurar que os inquilinos que pedem assistência social vivem em residências adequadas. Há também claramente um interesse público nas condições sanitárias e de segurança das habitações e dos seus ocupantes – neste caso é
82
mesmo difícil conceber como poderia o Departamento de Habitação descobrir de outra forma se uma única casa foi convertida para ocupação múltipla, salvo se interrogasse toda a gente por correio, na esperança de obter uma boa taxa de respostas.
Em termos da natureza dos dados, estes poderão ser sensíveis, visto que estamos a falar de potenciais infracções: não instalação das necessárias precauções de prevenção de incêndios. Quanto ao impacto, é misto: por um lado, os inquilinos poderão beneficiar do incremento de precauções de segurança contra incêndios que, em última análise, deixam de poder ser ignoradas. Por outro lado podem também enfrentar penalidades por terem ignorado até agora as regras de segurança contra incêndios. Para além disso, em termos de expectativas razoáveis e certeza jurídica, seria normalmente difícil concluir que a utilização dos dados dos subsídios para finalidades de prevenção de incêndios fosse previsível.
Por estas razões, este pode ser um caso limite de avaliação de compatibilidade. Se fosse exequível, poderiam aplicar-se dispositivos adicionais, como por exemplo, informar claramente os inquilinos das suas obrigações em matéria de segurança contra incêndios quando requerem o subsídio e avisá-los, dando-lhes um prazo razoável para agir, que no caso de não as cumprirem, os seus dados serão transferidos para o Departamento de Habitação.
Exemplo 14: Vítimas de violação
Num sítio governamental na web é publicado um relatório sobre crime que inclui dados estatísticos detalhados sobre vítimas de violação e de ofensas sexuais numa vizinhança predominantemente conservadora. Os dados foram publicados por um departamento governamental tendo em vista elevar o nível de consciência deste problema. O departamento não dispunha da necessária perícia estatística e de protecção de dados e não aplicou um procedimento que assegurasse suficientemente a anonimização completa dos dados. Em resultado disto, alguns dos dados que o departamento acreditava estarem anonimizados, permitiram em todo o caso a familiares dessas mulheres a sua identificação. Como consequência, várias mulheres sofreram severas discriminações e foram rejeitadas pela sua comunidade. Uma das vítimas suicidou-se.
Este exemplo serve primariamente para ilustrar a importância de uma cuidadosa avaliação de impacto e de procedimentos técnicos e organizativos adequados (por ex. testes de penetração para estabelecer as possibilidades de reidentificação e o envolvimento das partes interessadas para assegurar que todas as preocupações são tidas em conta) para evitar qualquer impacto indevido em todos os casos nos quais estejam envolvidos conjuntos de dados anonimizados derivados de dados pessoais. Isto é especialmente importante nos casos de publicação de dados na internet, mas pode ser também relevante noutras circunstâncias.
Este exemplo também destaca a necessidade de considerar a natureza dos dados e o potencial impacto sobre as pessoas em causa. Neste caso, todos os factores apoiam a
83
avaliação de utilização incompatível. Embora possa ser razoavelmente esperado que os dados sejam utilizados para finalidades estatísticas, as pessoas em causa teriam igualmente esperado (especialmente quando se considera a natureza altamente sensível dos dados, a vulnerabilidade das vítimas envolvidas e a gravidade das possíveis consequências) que a anonimização fosse “impenetrável” e afastasse categoricamente qualquer possibilidade de reidentificação. As garantias foram, assim, insuficientes.
Exemplo 15: Localizações de telemóvel ajudam a tomar medidas de abrandamento do trânsito
O Departamento de Transportes pediu a uma empresa de telecomunicações para utilizar os dados de localização dos telemóveis da operadora, a fim de calcular a velocidade a que os telemóveis — e portanto os veículos onde eles se encontram — se deslocam ao longo de diversos percursos. Os dados dos telemóveis revelam que o excesso de velocidade é comum em certos trechos de estrada. Isto é então utilizado para planear medidas de abrandamento do trânsito, as quais mais tarde se demonstra terem levado a uma redução significativa das mortes por acidente rodoviário naquela área. Os dados dos telemóveis são efectivamente anonimizados antes de serem revelados ao Departamento de Transportes para assegurar que o risco de reidentificação das pessoas em causa é mínimo. Foi feita uma cuidadosa avaliação de impacto, foram efectuados testes de penetração e consultadas as partes interessadas. Neste cenário, assumimos que todos os factos confirmam riscos muito baixos ou mínimos de reidentificação e um impacto relativamente baixo sobre as pessoas em causa se, não obstante, tal acontecer.
Este cenário exige uma avaliação de compatibilidade detalhada. Os dados da operadora de telecomunicações inicialmente recolhidos para uma finalidade específica são agora utilizados para finalidades diferentes (relacionadas com o trânsito rodoviário). A maior parte das pessoas não esperaria habitualmente que os seus dados viriam a ser utilizados desta maneira. Isto pode dar uma forte indicação inicial de que as finalidades são incompatíveis. A relativa sensibilidade dos dados recolhidos de localização de telemóveis pode também apoiar esta avaliação.
Contudo, neste caso, antes da sua utilização/revelação para a finalidade secundária, os dados são efectivamente anonimizados. Portanto, embora as duas finalidades sejam diferentes, e desde que a anonimização seja efectuada adequadamente (de modo que a informação deixa de consistir em dados pessoais ou fica numa zone de fronteira com riscos muito baixos de reidentificação) isto reduz quaisquer preocupações relativas à incompatibilidade do tratamento. No entanto, deverão ser recomendadas, mesmo assim, garantias adicionais, tais como completa transparência sobre o tratamento. Em especial, se não for possível assegurar anonimização plena e restarem alguns riscos, tal deve ser revelado – em regra, e salvo se se pudesse aplicar uma excepção ao abrigo do artigo 13.º, seria necessário consentimento informado.
84
Exemplo 16: Doentes abonando um praticante de medicina alternativa
Um praticante de medicina alternativa especializado em tratamentos por acupunctura tem um pequeno, mas bem-sucedido, consultório numa pequena cidade, servindo uma clientela local e regional. No seu sítio na web, com o consentimento informado das pessoas em causa, listam-se alguns testemunhos, muitos com fotografia, nomes completos, informação de contacto e descrições detalhadas das condições clínicas que foram curadas, todas com recomendações enfáticas. O sítio na web é local e recebe pouco tráfego, para além do boca em boca.
Um grande negócio internacional em linha de “alimentação saudável” vende uma gama de suplementos e vitaminas através da internet para o país em questão. Utiliza um poderoso rastreador da web que procura e extrai da web informação sobre potenciais clientes que tiverem afirmado publicamente sofrer de certas condições clínicas ou que de outro modo pareçam interessados em alimentação saudável ou suplementos dietéticos. A aplicação, em seguida, cria uma base de dados desses contactos e usa-a para enviar mensagens não solicitadas de correio electrónico, contendo publicidade.
Para além de outras preocupações que este cenário possa suscitar, o exemplo ilustra que, embora os dados pessoais tenham sido publicados na internet, tal não significa que a informação tenha deixado de merecer protecção. De facto, nas circunstâncias deste caso, o tratamento posterior levanta problemas graves de compatibilidade. Em primeiro lugar, é óbvio que há pouca semelhança entre as finalidades para as quais as pessoas em causa forneceram a sua informação (recomendar um profissional médico) e as finalidades para as quais o negócio em linha pretende utilizá-la (comercialização). Embora as pessoas em causa possam ter compreendido que assumem certos riscos tornando os seus dados públicos na internet, isto certamente não significa que tenham autorizado de modo nenhum a sua utilização para uma finalidade não relacionada e incompatível.
A natureza dos dados (dados clínicos sensíveis) também contribui para a avaliação de incompatibilidade. Finalmente, embora o impacto não seja frequentemente maior que a recepção de algumas comunicações não solicitadas, nalguns casos (dependendo do tipo de condição clínica envolvida) isto pode causar um incómodo mais grave. Em suma, o tratamento parece ser incompatível.
Exemplo 17: Directiva de Conservação de Dados124
Uma empresa de telecomunicações está obrigada por lei (lei nacional que transpõe a Directiva de Conservação de Dados) a armazenar certos dados dos seus assinantes pelo prazo de um ano: entre outras informações, são registadas a data, a hora e a duração de
A Directiva de Conservação de Dados (Directiva 2006/24/CE) foi adoptada em 15 de Março de 2006 e publicada no JO 2006, L105/54.
124
85
cada telefonema, bem como os números de telefone marcados, para tratamento posterior no âmbito do combate ao terrorismo e da investigação de outra actividade criminosa grave. São disponibilizados rotineiramente extractos destes dados aos serviços de aplicação da lei, para estas finalidades.
Este tratamento posterior é um exemplo claro de finalidade incompatível. Em primeiro lugar, o tratamento posterior não está de modo nenhum relacionado com a finalidade primária de fornecer serviços de telecomunicações aos assinantes e é imposto pelo governo (neste caso, com base numa Directiva da União Europeia). Em segundo lugar, os cidadãos vulgares ao tratar das suas vidas deveriam ter uma expectativa razoável de privacidade quanto a com quem eles falam ao telefone, quando o fazem, durante quanto tempo e em que local. Poderiam também esperar razoavelmente que esta informação não viesse a ser utilizada para finalidades de aplicação da lei. Outras questões, como terem pouca ou nenhuma possibilidade der escolha quanto a “fornecerem” os dados, a natureza confidencial dos dados e o facto de serem tratadas grandes quantidades de dados sobre a pessoa em causa, confirmam também a avaliação de incompatibilidade. Finalmente, o facto de que o impacto sobre as pessoas em causa pode ser especialmente severo (acusação criminal) reforça esta análise.
Considerando a incompatibilidade, a única possibilidade de, não obstante, conservar e tratar licitamente os dados para estas finalidades posteriores deverá ser baseada no artigo 13.º da Directiva (tal como especificado no artigo 15.º da Directiva relativa à privacidade e às comunicações electrónicas). De facto, a conservação de dados de telecomunicações para finalidades de aplicação da lei foi inicialmente “legitimada” por uma medida legislativa, a Directiva de Conservação de Dados. A questão consiste em saber se esta medida legislativa preenche o critério qualificado que pretende assegurar que a restrição de direitos fundamentais é previsível, bem como necessária e proporcionada. O caso relevante está actualmente pendente no Tribunal Europeu de Justiça*.
Exemplo 18: Impressões digitais de candidatos a asilo utilizadas para finalidades de aplicação da lei
As leis da União Europeia exigem que sejam recolhidas as impressões digitais dos candidatos a asilo para que a sua identidade possa ser inequivocamente estabelecida. Foi criada uma base de dados (“EURODAC”) para conter as impressões digitais. O objectivo deste sistema é impedir os candidatos a asilo de formularem simultaneamente múltiplos requerimentos em diferentes Estados Membros.
Uma modificação ao Regulamento da União Europeia relevante propõe que as Nota do tradutor: Em 8 de Abril de 2014, o Tribunal de Justiça da União Europeia viria a declarar inválida a Directiva de Conservação de Dados. O Tribunal concluiu que a Directiva não respeita o princípio da proporcionalidade e deveria ter consagrado mais garantias de protecção dos direitos fundamentais relativos ao respeito pela vida privada e à protecção de dados pessoais. Não obstante, o Tribunal considerou que a conservação dos dados pode servir, em circunstâncias claras e precisas, um interesse geral legítimo, nomeadamente o combate à criminalidade grave e a protecção da segurança pública.
*
86
autoridades de aplicação da lei sejam autorizadas a aceder à base de dados de impressões digitais. Tal como nos casos acima, as finalidades iniciais da base de dados e as finalidades posteriores para as quais o acesso é pretendido são inteiramente não relacionadas. A natureza dos dados e o potencial impacto sobre as pessoas em causa também sugerem, ambos, a incompatibilidade. Os dados não devem ser utilizados para outra finalidade que pode ter profundos impactos negativos nas vidas dos indivíduos, só por já terem sido recolhidos.
Invadir a privacidade dos indivíduos e arriscar-se a estigmatizar uma população já vulnerável (candidatos a asilo) exige uma justificação forte e razões suficientes pelas quais os candidatos a asilo devam ser escolhidos para um tal tratamento. Se isto for possível, deverá sê-lo somente ao abrigo das estritas condições do artigo 13.º.
Exemplo 19: Registos de nomes de passageiros (“PNR”)
Um acordo internacional entre a UE e os EUA sobre o tratamento e transferência de dados de Registos de Nomes de Passageiros (PNR) exige a transferência de certos detalhes das reservas de companhias aéreas europeias para as autoridades dos EUA, como parte das medidas utilizadas no combate ao terrorismo e a outras formas de criminalidade grave.
Os dados, tais como detalhes do voo, números de cartão de crédito e informação de contacto são inicialmente recolhidos para uma finalidade comercial, mas subsequentemente e com base no acordo, são transferidos para servir finalidades inteiramente diferentes (antiterrorismo e aplicação da lei). A transferência de tais dados para o governo de um país terceiro não pode ser razoavelmente esperada pelas pessoas em causa, especialmente se não fizeram nada de errado e não se encontram sob qualquer suspeita ou investigação em particular.
Estes factores indicam fortemente incompatibilidade. A natureza dos dados (relativamente sensíveis, já que podem indicar movimentos, relações, filiações e incluem ainda dados financeiros e de contacto) e o elevado potencial para impacto sobre as pessoas em causa (recusa de embarque, escrutínio intensificado em aeroportos, detenção, penalidades criminais ou pior) todos indicam que a utilização posterior é incompatível e somente permissível sujeita às estritas condições estabelecidas no artigo 13.º da Directiva.
Exemplo 20: Dados de contadores inteligentes usados para fins tributários e para detectar fábricas de cannabis em interiores
Recentemente foram instalados contadores inteligentes nas habitações de um certo país da EU. Estes fornecem leituras de electricidade remotas e detalhadas. Os contadores foram introduzidos, primariamente, por razões relacionadas com a gestão eficiente da rede inteligente (isto é, da rede inteligente de distribuição de electricidade) e para facturar os clientes de acordo com tarifas dinâmicas para as horas de utilização.
87
As autoridades tributárias querem ter acesso aos dados em volume para detectar quaisquer casas ou apartamentos que estando declarados como devolutos tenham na realidade pessoas a residir neles. As autoridades de aplicação da lei também querem explorar os dados para detectar fábricas secretas de cannabis em interiores. Em alternativa, consideram uma parceria com as empresas de energia pela qual seriam as empresas a ajudar a identificar violações específicas das leis tributárias e penais. Nesta abordagem, os dados seriam transferidos mais selectivamente para as autoridades tributárias e de aplicação da lei, na base de uma análise de risco e de estabelecimento de perfis executadas pelas empresas energéticas, que resultariam numa selecção das pessoas em causa com risco acrescido de violação da lei.
Em ambos os casos, tal como nos exemplos anteriores, dados comerciais fornecidos para uma finalidade inteiramente não relacionada são utilizados para finalidades tributárias ou de aplicação da lei. Uma tal utilização não pode razoavelmente ser esperada pelas pessoas em causa, especialmente se não fizeram nada de errado e não se encontram sob qualquer suspeita ou investigação em particular. Estes factores indicam fortemente incompatibilidade.
A natureza dos dados (os perfis de carga de consumo de electricidade permitem inferências detalhadas sobre o que os indivíduos fazem na privacidade dos seus lares), a forma como são tratados (algoritmos secretos e estabelecimento oculto de perfis) e o significativo potencial para impacto sobre as pessoas em causa (consequências tributárias, penalidades administrativas, detenção, sanções criminais) todos indica, que o tratamento posterior é incompatível. Portanto, só seria permissível sujeito às estritas condições estabelecidas no artigo 13.º da Directiva.
Exemplo 21: Dados de contadores inteligentes usados para detectar utilização fraudulenta de energia
Este exemplo refere-se ao mesmo cenário com a recente introdução de sistemas de contagem inteligente e rede inteligente de distribuição de energia num Estado Membro da UE.
O operador da rede de distribuição de electricidade, que também explora o sistema de contadores inteligentes no país em questão, pretende instalar um sistema inteligente, incluindo um utensílio de analítica, para detectar anomalias nos padrões de utilização, que possam dar lugar a suspeitas razoáveis de utilização fraudulenta (por exemplo, viciação dos contadores). O operador da rede consulta quer as autoridades reguladoras, responsáveis pela distribuição de electricidade, quer as autoridades de protecção de dados e discute detalhadamente com ambas os seus planos. Na sequência das sugestões destas, instala um número adicional de garantias para minimizar os riscos de qualquer impacto indevido sobre as pessoas em causa. Aqui se incluem medidas técnicas e organizativas, procedimentos leais
88
e efectivos para corrigir quaisquer resultados inexactos e transparência face às pessoas em causa.
Em contraste com os exemplos acima, esta avaliação de compatibilidade sugere que o tratamento posterior para prevenção de fraudes deriva das finalidades iniciais, apoiando-as, de fornecimento de energia aos clientes e facturação da mesma. Os clientes podem razoavelmente esperar que o fornecedor tome medidas razoáveis e proporcionadas para impedir a utilização fraudulenta de energia no interesse, não só da própria empresa, como também no dos clientes que pagam correctamente as suas facturas. Embora a natureza dos dados permaneça sensível e o potencial impacto sobre as pessoas em causa elevado (penalidades contratuais pelo abuso e possíveis sanções criminais) a estrita ligação entre as finalidades, as expectativas razoáveis das pessoas em causa e as garantias adicionais aplicadas, parecem em suma confirmar a compatibilidade.
Exemplo 22: Transacções no registo da EU de alterações climáticas utilizadas para detectar fraude de IVA
A União Europeia instituiu um sistema de comércio de licenças de emissão (o Comércio Europeu de Licenças de Emissão ou “CELE”) para ajudar a EU a atingir as suas metas de redução de emissões de gases com efeito de estufa nos termos do Protocolo de Kyoto. A Europol, as autoridades nacionais de aplicação da lei e as autoridades tributárias pretendem ter acesso a esta base de dados para, entre outras finalidades, efectuar operações de exploração dos dados orientadas para a detecção de certos tipos de fraude de IVA.
Tal como nos exemplos anteriores, os dados comerciais fornecidos para uma finalidade inteiramente não relacionada são também utilizados para finalidades de aplicação da lei e tributárias. A utilização destes dados não pode ser razoavelmente esperada pelas pessoas em causa, especialmente se não fizeram nada de errado e não se encontram sob qualquer suspeita ou investigação em particular. Estes factores indicam fortemente incompatibilidade. A natureza dos dados é uma circunstância mitigante, já que os indivíduos actuam na sua capacidade profissional (comércio de licenças de emissão no mercado). Não obstante, a forma como os dados são tratados (algoritmos secretos e estabelecimento oculto de perfis) e o significativo impacto potencial sobre as pessoas em causa (consequências tributárias, penalidades administrativas, detenção, sanções criminais) indicam que a utilização posterior é incompatível e só permissível sujeita às estritas condições estabelecidas no artigo 13.º da Directiva.