Professional Documents
Culture Documents
Parecer Do Grupo de Trabalho Do Artigo 29.º Sobre A Limitação Das Finalidades
Parecer Do Grupo de Trabalho Do Artigo 29.º Sobre A Limitação Das Finalidades
WP 203
O Grupo de Trabalho foi instituído pelo artigo 29.º da Directiva 95/46/CE. Trata-se de um órgão consultivo europeu
independente em matéria de protecção de dados e de privacidade. As suas atribuições estão descritas no artigo 30.º da
Directiva 95/46/CE e no artigo 15.º da Directiva 2002/58/CE.
O secretariado é assegurado pela Direcção C (Direitos Fundamentais e Cidadania da União) da Direcção-Geral da Justiça da
Comissão Europeia, B-1049 Bruxelas, Bélgica, Gabinete n.º MO-59 02/013.
1
Parecer 3/2013 sobre limitação da finalidade
Síntese...........................................................................................................................4
I. Introdução.............................................................................................................6
IV. Conclusões..........................................................................................................47
IV.1. Análise do enquadramento jurídico actual..................................................47
2
IV.2 Recomendações para o futuro......................................................................51
3
Síntese
* Nota do tradutor: na versão oficial em Português da Directiva 95/46/CE, a expressão “data subject” foi traduzida por “pessoa em causa”.
Porém, na versão em Português da Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção
de dados), a mesma expressão foi traduzida por “titular dos dados”. Na presente tradução, uma e outra foram aplicadas consoante o
contexto da referência (Directiva ou Proposta de Regulamento) e devem ser consideradas sinónimas. Note-se que, quer na Lei n.º 67/98,
de 26 de Outubro de Portugal, quer na Lei n.º 8/2005, de Macau, foi adoptada a expressão “titular dos dados”.
4
A presente análise também tem consequências para o futuro. O n.º 4 do artigo 6.º da
proposta de Regulamento Geral sobre a Protecção de Dados fornece uma excepção ampla ao
requisito da compatibilidade, que restringiria severamente a sua aplicabilidade e comporta o
risco de erodir este princípio-chave. Em conformidade, o Grupo de Trabalho do artigo 29.º
recomenda a eliminação do proposto n.º 4. Adicionalmente e para garantir maior certeza
jurídica, o Grupo de Trabalho do artigo 29.º recomenda que os legisladores adoptem a lista
supra de factores relevantes para a avaliação da compatibilidade. Embora esta apresentação de
factores-chave não seja completamente exaustiva, ela tenta sublinhar os factores mais típicos
que podem ser considerados numa abordagem equilibrada: nenhum deles é tão geral que perca
significado nem tão específico que se torne excessivamente rígido.
5
O GRUPO DE TRABALHO SOBRE A PROTECÇÃO DAS PESSOAS
SINGULARES NO QUE DIZ RESPEITO AO TRATAMENTO DE
DADOS PESSOAIS
tendo em conta o artigo 29.º, a alínea a) do n.º 1 do artigo 30.º e o n.º 3 do artigo 30.º da
directiva acima mencionada,
I. Introdução
— Uma vez recolhidos os dados, estes não podem ser posteriormente utilizados de
forma incompatível com aquelas finalidades.
1 Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no
que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281, 23/11/1995, p. 31).
6
Quando partilhamos dados pessoais com outros, temos habitualmente uma expectativa
acerca das finalidades para as quais esses dados serão utilizados. Há um elemento de valor
em honrar essas expectativas e em conservar a confiança e a certeza jurídica, sendo por isto
que a limitação da finalidade é uma garantia tão importante, uma pedra angular da protecção
de dados. De facto, o princípio da limitação da finalidade impede os “desvios de missão”, que
de outro modo poderiam dar lugar à utilização dos dados pessoais disponíveis para além das
finalidades para as quais eles teriam sido inicialmente recolhidos.
Por outro lado, dados que já foram obtidos podem também ser genuinamente úteis para
outras finalidades inicialmente não determinadas. Assim, há também, um valor em permitir,
dentro de limites cuidadosamente equilibrados, algum grau de utilização adicional. A proibição
da “incompatibilidade” na alínea b) do n.º 1 do artigo 6.º não afasta em bloco utilizações novas,
diferentes, dos dados – desde que isto ocorra dentro dos parâmetros da compatibilidade.
Esta diversidade também foi notada na revisão da Directiva2. Neste contexto, vários
estudos observaram que a letra do princípio da limitação da finalidade é muito aberta, o que
2 Em 25 de Janeiro de 2012, a Comissão adoptou um conjunto de documentos para a reforma do enquadramento Europeu da protecção
de dados. Este conjunto de documentos inclui (1) uma “Comunicação” (COM(2012)9 final), (2) uma proposta de “Regulamento
Geral Sobre a Protecção de Dados” (COM(2012)11 final) e (3) uma proposta de “Directiva” sobre protecção de dados na área da
aplicação da lei penal (COM(2012)10 final). A “Avaliação de Impacto” que o acompanha, o qual contém 10 anexos, está vertido num
Documento de Trabalho da Comissão (SEC(2012)72 final).
7
torna o conceito susceptível de diferentes interpretações3.
Em segundo lugar, a clarificação das disposições actuais ajuda a revelar as áreas que
carecem de melhorias. Assim, com base na análise, o Parecer também formula recomendações
de política, para auxiliar os decisores políticos na consideração de modificações ao
enquadramento jurídico da protecção de dados.
8
com o texto da alínea b) do n.º 1 do artigo 6.º da Directiva, também propõe algumas novas
disposições. Estas novas disposições, em especial o n.º 4 do artigo 6.º da proposta de
Regulamento sobre a Protecção de Dados, caso viesse a ser adoptada, comportaria o risco
de erodir este princípio-chave6. É portanto essencial avaliar o âmbito exacto e a função deste
princípio, no momento em que as discussões sobre o novo enquadramento jurídico ainda se
encontram em aberto.
Estrutura do Parecer
O artigo 8.º da Convenção Europeia dos Direitos do Homem, adoptada em 1950, incorpora
o direito à privacidade – isto é, o direito de qualquer pessoa ao respeito da sua vida privada
e familiar, do seu domicílio e da sua correspondência. Proíbe qualquer ingerência no direito
à privacidade salvo quando “prevista na lei” e “numa sociedade democrática, for necessária”
para satisfazer certos tipos de interesses públicos prevalecentes, especificamente enunciados.
6 Vide a Secção II.1, páginas 13-14, “perspectivas para o futuro”, bem como a Secção III.2.6, e a Secção IV para mais detalhes sobre a
proposta de Regulamento sobre a Protecção de Dados.
7 Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à
protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas)
(JO L 201, 31/07/2002, p.37), modificada pelas Directivas 2006/24/CE e 2009/136/CE.
9
O artigo 8.º da CEDH centra-se na protecção da vida privada e exige justificação para
qualquer ingerência na privacidade. Esta abordagem baseia-se numa proibição geral de
ingerência no direito à privacidade e somente permite excepções em condições estritamente
definidas. Nos casos em que há uma “ingerência na privacidade” exige-se um fundamento legal,
bem como a determinação de uma finalidade legítima, enquanto pré-requisitos da avaliação da
necessidade de ingerência.
A Convenção 108
A Resolução (73) 22 do CdE exige que a informação seja “adequada e relevante para a
finalidade para a qual foi armazenada” e proíbe – na ausência de “autorização adequada” – a
sua utilização para “finalidades diversas daquelas para as quais foi armazenada” bem como a
sua “comunicação a terceiros”12.
8 Vide, por exemplo, ECtHR, 15 June 1992, Lüdi V. Suisse, (no 12433/86, A-238); ECtHR 25 June 1997, Halford v. The United Kingdom
(no. 20605/92, 1997-III).
9 ECtHR 4 May 2000, Rotaru v. Romania (no. 28341/95, Reports of Judgments and Decisions 2000-V); ECtHR 16 February 2000, Amann
v. Switzerland (no. 27798/95, Reports of Judgments and Decisions 2000-II); ECtHR 3 April 2001, Copland v. The United Kingdom
(no. 62617/00 Reports of Judgments and Decisions 2007-I); ECtHR 12 January 2010, Gillan and Quinton v. The United Kingdom (no.
4158/05, Reports of Judgments and Decisions 2010).
10 Convenção 108 para a protecção das pessoas relativamente ao tratamento automatizado de dados de carácter pessoal.
11 Resolução do Comité de Ministros (73) 22 sobre a protecção da privacidade das pessoas face aos bancos de dados no sector privado,
adoptada em 26 de Setembro de 1973, e Resolução do Comité de Ministros (74) 29 sobre a protecção da privacidade das pessoas face
aos bancos de dados no sector público, adoptada em 20 de Setembro de 1974.
12 Vide Anexo, Secções 2 e 5.
10
Para o sector público, a Resolução (74) 29 do CdE adoptou uma abordagem algo diferente.
Enquanto as regras gerais exigem que “a informação armazenada” seja “adequada e relevante
para as finalidades para as quais foi armazenada”, há uma disposição especial que permite a
modificação da finalidade sob certas condições. Os dados podem ser usados “para finalidades
diversas das que foram definidas” se uma tal excepção for “expressamente permitida por lei,
for concedida por uma autoridade competente ou as regras para utilização do banco electrónico
de dados forem modificadas”13.
Directrizes da OCDE15
11
de cada modificação de finalidade. As Directrizes mencionam duas excepções ao requisito
da utilização compatível: “com o consentimento da pessoa em causa” e “por autoridade de
direito”17.
Directiva 95/46/CE
Quando foi adoptada em 1995, a Directiva foi erguida sobre instrumentos anteriores de
protecção de dados, incluindo a Convenção 108 e as Directrizes da OCDE. A experiência inicial
em matéria de protecção de dados em alguns dos Estados Membros foi também considerada.
A Directiva também introduziu uma disposição sobre o tratamento posterior de dados para
finalidades históricas, estatísticas ou científicas; estas não são consideradas como incompatíveis
desde que os Estados Membros assegurem garantias adequadas. Isto não é inteiramente novo: a
Resolução (73) 22 e a Resolução (74) 29 do Conselho da Europa já contêm disposições sobre
a utilização estatística. A Convenção 108 também abre uma excepção para utilização de dados
para estatística ou para pesquisa científica19.
A Directiva também permite aos Estados Membros que restrinjam o âmbito de certos
direitos e deveres, incluindo o princípio da limitação da finalidade, na alínea b) do n.º 1 do
artigo 6.º, desde que uma restrição constitua uma medida necessária à protecção de certos
interesses importantes20. Esta disposição segue a mesma lógica do artigo 9.º da Convenção 108.
12
Aplicação da Directiva
A análise explica que, muito embora a legislação da maior parte dos Estados Membros
defina os princípios da determinação da finalidade e da limitação da finalidade em termos
semelhantes aos usados na Directiva, a flexibilidade destes princípios tem levado, de facto,
a aplicações divergentes. As divergências afectam diversos aspectos do conceito. Os Estados
Membros aplicam critérios diferentes para analisar as noções de determinação da finalidade e
de utilização incompatível. Nalguns países podem aplicar-se regras especiais ao sector público.
Noutros, as finalidades podem ser por vezes definidas em termos muito latos. As abordagens
dos Estados Membros também variam quanto ao modo de tornar explícitas as finalidades, por
exemplo, se a determinação da finalidade é exigida na notificação à autoridade de protecção de
dados ou na informação à pessoa em causa23. As regras relativas à modificação da finalidade,
incluindo para finalidades de investigação e estatísticas, também variam consideravelmente, tal
como os termos dos requisitos de garantias para estas utilizações específicas.
Quanto à noção de utilização incompatível, o estudo nota que o critério para determinar a
incompatibilidade varia entre as “expectativas razoáveis” da pessoa em causa (nalguns casos
na Bélgica) e a aplicação de critérios de equilíbrio (Alemanha e Holanda), ou fica intimamente
ligado aos restantes princípios de garantia da transparência, licitude e lealdade (Reino Unido
e Grécia).
A Carta dos Direitos Fundamentais da União Europeia (“A Carta”) foi inicialmente
proclamada em Nice, em 2000. A partir da entrada em vigor do Tratado de Lisboa, em 1 de
Dezembro de 2009, a Carta, em conformidade com o novo artigo 6.º do Tratado da União
Europeia (“TUE”), passou a ter “o mesmo valor jurídico que os Tratados”. A Carta consagra
a protecção de dados enquanto direito fundamental, ao abrigo do artigo 8.º, sendo distinto do
respeito pela vida privada e familiar ao abrigo do artigo 7.º Esta característica distingue a Carta
de outros instrumentos de direitos humanos, os quais – na sua maioria – tratam a protecção de
21 Vide Anexo 2 à Avaliação de Impacto do conjunto de reformas da Comissão, citada na nota 2, supra.
22 Análise e estudo de impacto da aplicação da Directiva CE 95/46 nos Estados Membros. Vide http://ec.europa.eu/justice/policies/
privacy/docs/lawreport/consultation/technical-annex_en.pdf.
23 O Reino Unido especifica várias opções. É também de notar que o parágrafo 54 do Memorando Explicativo das Directrizes da OCDE
aceita que a “determinação das finalidades possa ser feita por uma variedade de meios alternativos ou complementares, tais como
declarações públicas, informação às pessoas em causa, legislação, decretos administrativos e licenças concedidas pelos órgãos de
supervisão”.
13
dados pessoais como uma extensão ao direito à privacidade. Esta evolução torna-se claramente
visível quando se compara a Carta de 2000 com a Convenção Europeia dos Direitos do Homem
de 195024.
14
para a transparência, certeza e segurança jurídicas; destinam-se a proteger a pessoa em causa
estabelecendo limites a como os responsáveis pelo tratamento podem utilizar os seus dados e
reforçar a lealdade do tratamento. A limitação deverá, por exemplo, evitar a utilização de dados
pessoais dos indivíduos de forma (ou para finalidades adicionais) que estes possam considerar
inesperada, inadequada ou de outro modo objectável. Ao mesmo tempo, a noção de utilização
compatível também oferece algum grau de flexibilidade aos responsáveis pelo tratamento.
A alínea b) do n.º 1 do artigo 6.º da Directiva dispõe que os dados pessoais devem ser
somente recolhidos para finalidades “determinadas, explícitas e legítimas”. Os dados são
recolhidos para certos fins; estes fins são a “razão de ser”* das operações de tratamento.
Enquanto pré-requisito aos restantes requisitos sobre qualidade dos dados, a determinação da
finalidade estabelece quais os dados relevantes a recolher, os períodos de retenção, e todos os
restantes aspectos-chave de como os dados serão tratados para as finalidades seleccionadas.
Em primeiro lugar, qualquer finalidade deve ser determinada, isto é, definida de forma
suficiente para permitir a aplicação de quaisquer garantias de protecção de dados necessárias,
e para delimitar o âmbito da operação de tratamento. Como e quando esta determinação tem
lugar será discutido na Secção III.1.1.
Em segundo lugar, para ser explícita, a finalidade deve ser suficientemente inequívoca
e claramente expressa. A comparação entre “finalidade explícita” e “finalidade oculta” pode
ajudar a compreender o âmbito deste requisito, conforme melhor se discutirá na Secção III.1.2.
Em terceiro lugar, as finalidades também têm que ser legítimas. Esta noção vai além da
exigência de existência de um fundamento legal para o tratamento, ao abrigo do artigo 7.º da
Directiva e alarga-se igualmente a outras áreas do Direito. A determinação da finalidade ao
abrigo do artigo 6.º e o requisito de um fundamento legal ao abrigo do artigo 7.º são, assim,
dois requisitos separados e cumulativos28.
A utilização do termo “legítimas” no artigo 6.º estabelece uma conexão com o artigo 7.º mas
também com princípios jurídicos mais amplos da lei aplicável, tais como a não-discriminação.
A noção de legitimidade deve igualmente ser interpretada no contexto do tratamento, o que
* Nota do tradutor: “Raison d’être” no original Inglês.
28 O n.º 2 do artigo 8.º da Carta também torna claro que o requisito da determinação da finalidade é separado e cumulativo, aplicável
em adição ao requisito de um fundamento legal adequado.
15
determina as “expectativas razoáveis” da pessoa em causa. Este aspecto será desenvolvido na
Secção III.1.3.
Ao aplicar o Direito de protecção dos dados, deve em primeiro lugar assegurar-se que a
finalidade é determinada, explícita e legítima. Trata-se de um pré-requisito para os restantes
requisitos de qualidade dos dados, incluindo a adequação, a relevância e a proporcionalidade
(alínea c) do n.º 1 do artigo 6.º), a exactidão e a completude (alínea d) do n.º 1 do artigo 6.º) e
os requisitos relativos à duração da conservação (alínea e) do n.º 1 do artigo 6.º).
Nos casos nos quais existam desde o início diversas finalidades e diferentes espécies de
dados sejam recolhidas e tratadas simultaneamente para diferentes finalidades, os requisitos de
qualidade dos dados devem ser observados em separado para cada uma das finalidades.
• a(s) nova(s) finalidade(s) devem ser determinadas (alínea b) do n.º 1 do artigo 6.º), e
• deve ser assegurado que todos os requisitos de qualidade dos dados (alíneas a) a e) do
n.º 1 do artigo 6.º) são igualmente observados para as novas finalidades.
16
conferindo uma posição privilegiada aos “fins históricos, estatísticos ou científicos”, ou como
um desenvolvimento especial da norma geral, que não exclua a consideração de outros casos
como igualmente “não incompatíveis”. A análise do presente Parecer sustenta com firmeza
este segundo ponto de vista: esta norma específica pode dar origem a critérios mas gerais de
compatibilidade (por exemplo, o impacto potencial sobre a pessoa em causa e as garantias
adequadas).
Isto conduz, na nossa análise, a um papel mais proeminente das diversas espécies de
garantias, incluindo as medidas técnicas e organizativas para assegurar separação funcional,
tais como a anonimização, a pseudonimização, a agregação de dados e as tecnologias de
aperfeiçoamento da privacidade (vide desenvolvimento na Secção III.2).
Transparência
Previsibilidade
Se uma finalidade for suficientemente específica e clara, os indivíduos sabem o que podem
esperar: o modo como os dados são tratados será previsível. Isto dá certeza jurídica às pessoas
em causa e também àqueles que tratam dados por conta do responsável pelo tratamento.
17
exemplo, poderão objectar ao tratamento ou exigir a rectificação ou apagamento dos seus
dados.
Conforme se desenvolve abaixo, isto não significa que se deva sempre confiar que a
finalidade apresentada é a finalidade real e efectiva, já que pode haver discrepâncias entre
aquilo que é afirmado e aquilo que é, na prática, realizado pelo responsável pelo tratamento. Em
última análise, a conformidade com os restantes requisitos de protecção de dados, tais como a
necessidade e a relevância dos dados, carecem sempre de ser ponderados face à finalidade real.
— O modo como tem sido aplicado nos Estados Membros, que tem levado a uma
diversidade de interpretações. Uma compreensão comum e clara do conceito
assegurará melhor a sua efectiva aplicação na prática – no interesse de todos os
intervenientes — e ajudará igualmente a encontrar a melhor via, rumo a um novo
enquadramento legislativo.
— As tendências actuais para a reutilização dos dados pelo sector privado (“megadados”)
mas também as iniciativas de “dados abertos” e de “partilha de dados” propostas por
muitos governos, incluindo iniciativas legislativas da EU, são aqui especialmente
relevantes31.
18
o conceito, simplesmente porque a sua aplicação tem sido demasiado variada e por não haver
um entendimento geral da noção, ou porque a realidade do tratamento de dados evoluiu e é um
desafio proceder à aplicação de um conceito válido a uma realidade transformada.
Deveria ter-se presente que o tratamento de dados pessoais tem um impacto nos direitos
fundamentais das pessoas em termos de privacidade e de protecção de dados. O impacto nos
direitos das pessoas tem necessariamente que ser acompanhado por uma limitação à utilização
que pode ser feita desses dados e, portanto, de uma limitação da finalidade. A erosão do princípio
da limitação da finalidade resultaria consequentemente na erosão de todos os princípios de
protecção de dados com ele relacionados.
A alínea b) do n.º 1 do artigo 6.º da Directiva exige que os dados pessoais sejam recolhidos
para finalidades “determinadas, explícitas e legítimas”. Estes requisitos são analisados abaixo.
19
Em que momento devem as finalidades ser determinadas?
A alínea b) do n.º 1 do artigo 6.º da Directiva exige que os dados pessoais sejam “recolhidos”
para finalidades determinadas, explícitas e legítimas32. Pode assim inferir-se que as finalidades
devem ser determinadas anteriormente ou, em qualquer caso, nunca depois do momento em
que ocorre a recolha dos dados pessoais.
A finalidade da recolha deve ser identificada de forma clara e específica: deve ser
suficientemente detalhada para determinar que espécie de tratamento está e não está incluída na
finalidade determinada e para permitir que a conformidade com a lei seja avaliada e aplicadas
as garantias de protecção de dados.
Por estes motivos, uma finalidade que é vaga ou geral, tal como por exemplo, “melhorar
a experiência do utilizador”, “finalidades de comercialização”, “finalidades de segurança
de tecnologias da informação” ou “investigação futura”, – sem mais detalhes – em regra
não preencherá o critério de ser “determinada”33. Dito isto, o grau de detalhe com que uma
finalidade deve ser determinada depende do contexto particular da recolha de dados e dos
dados pessoais envolvidos. Nalguns casos será suficiente o recurso a uma linguagem clara para
dar uma determinação adequada, enquanto noutros casos poderá ser exigido maior detalhe34.
O facto de a informação dever ser precisa não significa que sejam sempre necessárias, ou
sequer úteis, especificações longas e muito detalhadas. Na realidade, uma descrição detalhada
pode, por vezes, tornar-se contraproducente. Pode ser este o caso, quando, em especial,
determinações de finalidade escritas, detalhadas e excessivamente jurídicas apresentam mais
notificações de afastamento de responsabilidade do que informação útil para as pessoas em
causa e outras partes interessadas35.
A esta luz, a abordagem dos “avisos estratificados” às pessoas em causa funciona bem
com frequência, especialmente na internet e tem sido recomendada em muitas situações pelo
Grupo de Trabalho do artigo 29.º36. Isto significa que a informação-chave é comunicada às
pessoas em causa de uma forma concisa e acessível, ao passo que a informação adicional
(possivelmente através de um ponteiro para uma descrição mais detalhada do tratamento
numa outra página na internet) é disponibilizada para benefício daqueles que pretendem
esclarecimentos desenvolvidos37.
32 Vide igualmente o Considerando 28, que afirma que as finalidades “devem ser determinadas aquando da recolha dos dados”.
33 Vide Anexo 3, exemplos 7 e 8.
34 Vide Anexo 3, exemplos 1, 3 e 13.
35 Vide Anexo 3, exemplo 12.
36 Vide, por exemplo, o Parecer n.º 10/2004 do Grupo de Trabalho do artigo 29.º, sobre a prestação mais harmonizada da informação
(WP100) e o Parecer n.º 2/2009 do Grupo de Trabalho do artigo 29.º, sobre a protecção dos dados pessoais das crianças (Orientações
gerais e a situação especial das escolas) (WP160).
37 Vide Anexo 3, exemplos 9 e 10.
20
Se os dados pessoais forem recolhidos para mais que uma finalidade?
Os dados pessoais podem ser recolhidos para mais que uma finalidade. Nalguns casos,
estas finalidades, sendo distintas, estão ainda de algum modo relacionadas entre si. Noutros
casos as finalidades podem não estar relacionadas. A questão que aqui se suscita é saber até que
ponto o responsável pelo tratamento deve determinar cada uma destas finalidades distintas em
separado e que grau de detalhe adicional dever ser indicado38.
Para operações de tratamento “relacionadas”, pode ser útil o conceito de uma finalidade
conjunta, ao abrigo da qual diversas operações separadas de tratamento podem ter lugar39. Dito
isto, os responsáveis pelo tratamento devem evitar a identificação de uma única finalidade
alargada para justificar várias actividades de tratamento posterior que na realidade só
remotamente se relacionam com a verdadeira finalidade inicial.
Em última análise, para assegurar conformidade com a alínea b) do n.º 1 do artigo 6.º,
cada finalidade separada deve ser determinada em detalhe suficiente para permitir avaliar se a
recolha de dados pessoais para essa finalidade é ou não conforme à lei e para estabelecer quais
as garantias de protecção de dados que se aplicam40.
O objectivo último deste requisito é assegurar que as finalidades são determinadas sem
vaguidão ou ambiguidade quanto ao seu significado ou intenção. Aquilo que se pretende deve ser
claro e não deve deixar dúvidas ou dificuldades de compreensão. Em especial, a determinação
das finalidades deve ser expressa de um modo tal que possa ser entendido da mesma forma, não
apenas pelo responsável pelo tratamento (incluindo todo o pessoal relevante) e por terceiros
38 Neste contexto é relevante mencionar que o artigo 18.º da Directiva exige aos Estados Membros que disponham impondo ao
responsável pelo tratamento o dever de “notificar a autoridade de controlo (…) antes da realização de (…) tratamentos (…) destinados
à prossecução de uma ou mais finalidades interligadas”. Esta disposição introduz a noção de “finalidades interligadas”. Nalguns
Estados Membros, por exemplo a Bélgica, as finalidades relacionadas entre si podem ser notificadas à autoridade de protecção de
dados na mesma forma.
39 Vide Anexo 3, exemplo 11.
40 Se os dados pessoais forem tratados para várias finalidades, todos os requisitos do artigo 6.º se aplicam separadamente a cada uma das
finalidades. Assim, nem todos os dados recolhidos para uma finalidade poderão ser sempre relevantes, necessários e não excessivos
para todas as restantes finalidades (relacionadas ou não) definidas no momento da recolha original ou em momento posterior. Isto
exige, portanto, uma análise caso a caso, quer na fase inicial, quer em qualquer fase posterior, sempre que uma nova finalidade passe
a estar contemplada.
21
subcontratantes, mas também pelas autoridades de protecção de dados e pelas pessoas em
causa. Deve ser dado um cuidado especial a assegurar que todas as determinações de finalidade
são suficientemente claras para todos os envolvidos, independentemente das suas qualificações
culturais ou linguísticas, gau de compreensão ou necessidades especiais41.
Em muitas situações o requisito também permite às pessoas em causa que tomem decisões
informadas – por exemplo, tratar com uma empresa que utiliza dados pessoais para um conjunto
limitado de finalidades em vez de com uma empresa que utiliza os dados pessoais para uma
maior variedade de finalidades.
Em segundo plano, notamos que a palavra “explicit” não foi traduzida com significado
idêntico nas línguas das diferentes versões da Directiva42. Em algumas versões o requisito
parece focar mais claramente o resultado final: no objectivo de que as finalidades sejam
inequívocas e que sejam entendidas da mesma maneira por todos os envolvidos. Noutras
versões o foco está no método pelo qual este resultado final deve ser alcançado: no requisito de
que as finalidades sejam claramente expressas e explicadas.
22
Expressar as finalidades na acepção da alínea b) do n.º 1 do artigo 6.º pode ser
efectuado de várias maneiras. Estas incluem, por exemplo, descrever as finalidades num
aviso disponibilizado às pessoas em causa, numa notificação à autoridade supervisora, ou
internamente, na informação comunicada a um funcionário de protecção de dados. Algumas
leis nacionais admitem especificamente que os avisos e as notificações são ambos formas
aceitáveis de cumprimento do requisito de explicitar as finalidades do tratamento, mas que não
são as únicas possibilidades44.
A determinação por escrito das finalidades pode ser útil, ou mesmo necessária, em muitas
circunstâncias. Em especial, actualmente, muitas actividades de tratamento de dados decorrem
num contexto complexo, opaco e ambíguo, especialmente na internet. Nestas situações é
necessário um cuidado especial para determinar inequivocamente as finalidades46.
Dito isto, por vezes o contexto e o costume podem tornar suficientemente claro a todos os
envolvidos, incluindo os que efectuam o tratamento dos dados e as pessoas em causa, como os
dados serão utilizados. Se isto for possível sem correr o risco da incerteza e da ambiguidade47, a alínea
b) do n.º 1 do artigo 6.º pode por vezes ser observada com a mera expressão dos elementos
essenciais48. Contudo, nessas situações, deve ser prestada informação mais detalhada àqueles
que a pedirem.
23
O que sucede no caso de insuficiências graves?
É possível que o responsável pelo tratamento não cumpra as exigências da alínea b) do n.º
1 do artigo 6.º da Directiva: por exemplo, se não determinar as finalidades do tratamento com
suficiente detalhe ou em linguagem clara e inequívoca. Noutras situações, a informação prestada
pode não corresponder aos factos do caso, ou pode conter inconsistências sobre a finalidade
(por exemplo, entre o aviso às pessoas em causa e a notificação à autoridade supervisora).
Também pode haver casos nos quais o aviso de protecção de dados detalhado e legalista inclua
termos e condições desleais, surpreendentes ou unilaterais sobre as finalidades para as quais os
dados poderão ser utilizados e que não correspondem inteiramente às expectativas razoáveis
das pessoas em causa.
Os dados pessoais devem ser recolhidos para finalidades legítimas. Este requisito vai além
de uma simples remissão para o artigo 7.º51 da Directiva, que desenha os “critérios para legitimar
o tratamento de dados” e enuncia seis fundamentos jurídicos diferentes para o tratamento de
dados, que vão do consentimento da pessoa em causa até ao critério do equilíbrio de interesses.
Para que as finalidades sejam legítimas, o tratamento deve – em todas as fases e a todo o
50 Além disso, a infracção dos requisitos da alínea b) do n.º 1 do artigo 6.º da Directiva pode ainda ter consequências graves. Por
exemplo, pode levar a uma interdição do tratamento ou a sanções legais a impor pela autoridade de protecção de dados competente.
51 O mesmo se diga dos n.ºs 1 a 4 do artigo 8.º da Directiva, relativos a “categorias específicas de dados”, quando aplicável.
24
tempo – estar baseado em pelo menos um dos fundamentos legais indicados no artigo 7.º No
entanto, o requisito de que as finalidades sejam legítimas é mais amplo do que o âmbito do
artigo 7.º Além disso, a alínea b) do n.º 1 do artigo 6.º também exige que as finalidades estejam
em conformidade com todas as disposições da lei de protecção de dados aplicável, bem como
de outras leis, tais como as leis do trabalho, dos contratos, de protecção do consumidor, etc.
Dentro dos limites da lei, outros elementos tais como o costume, códigos de conduta,
códigos de ética, cláusulas contratuais, o contexto geral e os factos do caso, podem também
ser considerados para determinar se uma certa finalidade é legítima. Isto inclui a natureza da
relação subjacente entre o responsável pelo tratamento e as pessoas em causa, seja ou não uma
relação comercial.
A legitimidade de uma dada finalidade pode também mudar com o tempo, dependendo
dos desenvolvimentos científicos e tecnológicos, das mudanças da sociedade e das atitudes
culturais
A alínea b) do n.º 1 do artigo 6.º da Directiva dispõe que os dados pessoais recolhidos para
uma ou mais finalidades não podem ser “posteriormente tratados de forma incompatível com
essas finalidades”.
Isto é feito começando por traçar um enquadramento geral para uma “avaliação da
compatibilidade” (Secção III.2.1), e explicando em seguida os factores mais comuns a
considerar na avaliação (Secção III.2.2).
25
artigo 6.º da Directiva) (Secção III.2.3); o caso das comunicações não solicitadas (Artigo 13.º
da Directiva relativa à privacidade e às comunicações electrónicas sobre comunicações não
solicitadas) (Secção III.2.4) e as iniciativas dos “megadados” e dos “dados abertos” (Secção
III.2.5).
É útil começar por esclarecer em que consiste o “tratamento posterior”. Tal como se
explicou anteriormente, decorre da alínea b) do n.º 1 do artigo 6.º e do Considerando 28 da
Directiva que as finalidades do tratamento devem ser determinadas antes, ou em todo o caso,
nunca depois, do momento que que ocorre a recolha de dados pessoais.
Por outras palavras: qualquer tratamento que se siga à recolha, quer seja para as finalidades
inicialmente determinadas, quer para finalidades adicionais, deve ser considerado “tratamento
posterior” e deve, assim, preencher o requisito da compatibilidade.
A noção de incompatibilidade
Nalguns casos esta flexibilidade adicional pode ser necessária para permitir uma
modificação de âmbito ou de foco, em situações nas quais as expectativas da sociedade —
ou das próprias pessoas em causa – evoluíram acerca da utilização adicional que pode ser
dada aos dados. Isto é igualmente possível se aquando da determinação inicial da finalidade,
26
nem o responsável pelo tratamento nem a pessoa em causa tiverem pensado que viriam a ser
necessárias finalidades adicionais, embora se tenha vindo entretanto a constatar que os dados
poderiam realmente se muito úteis para outras coisas. Nalgumas destas situações (e em situações
semelhantes) uma modificação das finalidades pode ser permissível, e o tratamento posterior
considerado como não incompatível, desde que seja preenchido o requisito da compatibilidade.
A natureza da avaliação a efectuar pelo responsável pelo tratamento (mas também pela
autoridade de protecção de dados, ao avaliar a conformidade legal) é decisiva. Em termos
muito breves, pode revestir duas formas. O critério da compatibilidade pode ser formal ou
substantivo:
— Uma avaliação formal compara as finalidades que foram inicialmente indicadas pelo
responsável pelo tratamento, habitualmente por escrito, com quaisquer finalidades
adicionais para descobrir se essas finalidades estavam ou não cobertas (explícita ou
implicitamente).
— Uma avaliação substantiva vai além das declarações formais para identificar quer a
finalidade original quer a nova, tendo em conta o modo como são (ou deveriam ser)
entendidas, dependendo do contexto e de outros factores.
Enquanto o primeiro método pode à primeira vista parecer mais objectivo e mais neutro,
corre o risco de ser demasiado rígido, dependendo excessivamente do texto formal. Ao fazê-lo,
pode encorajar os responsáveis pelo tratamento a determinar a finalidades de modo cada vez
mais legalista, em vista a assegurar margem para tratamentos de dados posteriores, em vez de
proteger os indivíduos envolvidos.
O segundo método é mais flexível e pragmático, mas também mais efectivo: pode ainda
permitir adaptação a desenvolvimentos futuros no seio da sociedade e continuar ao mesmo
tempo a garantir efectivamente a protecção dos dados pessoais. Uma questão importante será
então, evidentemente, identificar os critérios que auxiliarão a avaliar a partir de que ponto uma
finalidade diferente se torna uma finalidade incompatível. É este o tema da Secção III.2.2, na
qual se discutem os critérios relevantes e a sua utilização prática.
Antes de passar a detalhar os factores que devem ser tidos em conta na avaliação da
compatibilidade, talvez seja útil sublinhar que na prática pode haver diversos cenários para esta
avaliação. Algumas das situações exigirão pouca ou nenhuma análise, outras uma avaliação
mais profunda, como se exemplifica abaixo:
27
— Cenário 1: A compatibilidade é óbvia à primeira vista: O tratamento posterior
pode ser achado compatível, porque os dados são tratados especificamente para alcançar as
finalidades determinadas aquando da recolha e de uma forma habitual para atingi-las. Assim, o
tratamento preenche claramente as expectativas das pessoas em causa, mesmo que nem todos
os detalhes tenham sido inteiramente expressos no início.
Exemplo n.º 1:
Exemplo n.º 2:
28
— Cenário 3: A incompatibilidade é óbvia: Se os dados forem tratados de uma forma
ou para finalidades adicionais que uma pessoa razoável acharia, não só inesperados
mas também obviamente inadequados ou de outro modo objectáveis, e o tratamento
claramente não corresponde às expectativas de uma pessoa razoável colocada na
posição da pessoa em causa, é muito provável que sejam considerados incompatíveis.
Só em casos marginais de dúvida seria útil proceder a mais análise.
Exemplo n.º 3:
O cliente da caixa de vegetais também compra uma gama de outros produtos orgânicos
no sítio na web do retalhista, alguns deles com desconto. O retalhista, sem informar o
cliente, introduziu uma solução de software de personalização dos preços de aquisição que,
entre outras coisas, detecta se o cliente está a utilizar um computador Apple ou um PC com
Windows. Na sequência, o retalhista concede maiores descontos aos clientes que utilizam
Windows. Neste caso, a utilização posterior de dados disponíveis e a recolha desleal de
informação adicional, ambos para uma finalidade não relacionada (permitir “discriminação
de preços” secreta) são problemáticas.
29
Isto pode abranger situações nas quais o tratamento posterior já estava mais ou menos
implicado nas finalidades iniciais, ou assumido como um passo lógico seguinte no tratamento
em conformidade com essas finalidades, bem como situações nas quais só há um nexo parcial ou
nem sequer há nexo com as finalidades originais. Em todo o caso, quanto maior o afastamento
entre as finalidades da recolha e as finalidades do tratamento posterior, mais problemática se
torna a avaliação da compatibilidade54.
O segundo factor foca o contexto específico no qual os dados foram recolhidos e nas
expectativas razoáveis das pessoas em causa quanto à sua utilização posterior, baseadas nesse
contexto. Por outras palavras, a questão aqui é saber para quê uma pessoa razoável colocada
na situação da pessoa em causa esperaria que os seus dados viriam a ser utilizados com base
no contexto da recolha55.
Uma avaliação da natureza desta relação deve incluir também uma investigação do
equilíbrio de poderes entre a pessoa em causa e o responsável pelo tratamento. Em especial,
deve notar-se se as pessoas em causa ou quaisquer terceiros em sua representação, foram
obrigados a fornecer os dados ao abrigo da lei57. Em alternativa, a recolha de dados poderá
ter sido baseada numa relação contratual. Neste caso, a natureza do contrato e o equilíbrio de
poderes entre a pessoa em causa e o responsável pelo tratamento devem ser examinados (por
exemplo, até que ponto é fácil para a pessoa em causa pôr termo ao contrato e procurar um
fornecedor alternativo de serviços)58 . Se o tratamento posterior for baseado no consentimento,
deve avaliar-se até que ponto o consentimento foi dado livremente e qual a precisão dos seus
termos59. Em geral a avaliação da compatibilidade carece de ser mais estrita se à pessoa em
causa não tiver sido dada suficiente liberdade de escolha, se os termos do consentimento não
forem específicos e/ou se o tratamento posterior for considerado objectável.
54 Vide Anexo 4, em especial os exemplos 1, 2 e 3.
55 Vide Anexo 4, em especial os exemplos 1 e 2.
56 Vide Anexo 4, em especial os exemplos 8 e 9.
57 Vide Anexo 4, em especial os exemplos 2, 17, 18, 19, 20 e 22.
58 Vide Anexo 4, em especial o exemplo 8.
59 Vide Anexo 4, em especial os exemplos 7, 8, 9 e 10.
30
Em todos estes casos é igualmente importante considerar se o estatuto do responsável
pelo tratamento60, a natureza da relação ou do serviço prestado61 ou as obrigações aplicáveis,
legais ou contratuais (ou outras promessas feitas aquando da recolha) poderiam dar origem
a expectativas razoáveis de confidencialidade mais estrita ou a limitações mais estritas da
utilização posterior62. Em geral, quanto mais específico e restritivo for o contexto da recolha,
mais verosímeis se tornam as limitações sobre a sua utilização posterior63. Uma vez mais, é
necessário ter em conta o contexto factual e não basear-se simplesmente no texto em letras
pequeninas.
O terceiro factor foca a natureza dos dados e o impacto do tratamento posterior sobre as
pessoas em causa. Trata-se de uma abordagem bastante comum na lei de protecção de dados, a
qual foi ao fim e ao cabo concebida para proteger os indivíduos contra o impacto de utilizações
impróprias ou excessivas dos seus dados pessoais. A natureza dos dados tratados desempenha
um papel crítico em todas as suas disposições. Portanto, será importante avaliar se o tratamento
posterior envolve dados sensíveis, quer por pertencerem às categorias especiais de dados
do artigo 8.º da Directiva67, quer por outras razões, como nos casos de dados biométricos,
informação genética, dados de comunicações, dados de localização e outros tipos de dados
pessoais que exigem protecção especial68. Em geral, quanto mais sensível for a informação
60 Como, por exemplo, se é um advogado ou um médico.
61 Tal como, por exemplo, serviços de computação em nuvem para gestão de documentos pessoais, serviços de correio electrónico,
diários, leitores electrónicos equipados com funcionalidades de tomada de apontamentos, e várias aplicações de registo de vida que
podem conter informação muito pessoal.
62 Nalguns casos o contexto da recolha pode sugerir uma proibição completa de qualquer utilização posterior além de uma finalidade
específica e pré-determinada.
63 Vide Anexo 4, em especial os exemplos 4 e 16.
64 Vide Anexo 4, em especial os exemplos 5, 9, 10 e 12. Deve ter-se presente que o requisito de fornecer informação clara às pessoas em
causa é de tipo horizontal. Ainda, quanto melhor o responsável pelo tratamento preencher os requisitos da Directiva, mais provável
se torna que o tratamento posterior seja considerado compatível.
65 Isto é, disposições legais que descrevam fases ulteriores da finalidade para a qual os dados foram inicialmente recolhidos, o que
se distingue claramente das disposições legais que poderiam legitimar uma utilização incompatível sob certas circunstâncias (vide
Secção III.3).
66 Vide Anexo 4, em especial os exemplos 3 e 11.
67 As categorias especiais de dados incluem “dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções
religiosas ou filosóficas, a filiação sindical”, “dados relativos à saúde e à vida sexual” e “dados relativos a infracções, condenações
penais ou medidas de segurança”.
68 Também pode ser relevante considerar se a pessoa em causa é uma criança ou, por outro motivo pertence a um segmento mais
vulnerável da população que exige protecção especial, como por exemplo, os doentes mentais, os refugiados ou os idosos.
31
envolvida, mais restrito se torna o âmbito do que poderia ser uma utilização compatível69.
Num sentido mais amplo, o impacto relevante também pode incluir a maneira como os
dados são posteriormente tratados: se os dados são tratados por um responsável diferente noutro
contexto e com consequências desconhecidas, se os dados são tornados públicos ou de outro
modo disponibilizados a um grande número de pessoas, ou se grandes quantidades de dados
pessoais são tratados ou combinados com outros dados (por exemplo, no caso do tratamento
de perfis, para finalidades comerciais ou de aplicação da lei), em especial se tais operações não
forem previsíveis aquando da recolha73.
32
para uma modificação da finalidade75 ou para o facto de as finalidades não terem sido
inicialmente determinadas com a clareza devida. Isto pode exigir que se tomem medidas
técnicas e/ou organizativas para assegurar separação funcional (tais como anonimização total
ou parcial, pseudonimização e agregação de dados), mas também que se dêem passos adicionais
em benefício das pessoas em causa, tais como transparência acrescida com a possibilidade de
objecção ou de dar consentimento específico. Saber se o resultado é ou não aceitável dependerá
da avaliação da compatibilidade no seu conjunto (isto é, incluindo estas medidas e o seu efeito
sobre os restantes aspectos mencionados acima).
Nalguns casos, pedir um consentimento separado, específico para o novo tratamento pode,
em especial, ajudar a compensar a modificação da finalidade77. Isto é, uma nova base legal
ao abrigo da alínea a) do artigo 7.º pode, em algumas situações, contribuir para compensar
a incompatibilidade. É importante reiterar, contudo, que os requisitos da compatibilidade ao
abrigo da alínea b) do n.º 1 do artigo 6.º e o requisito de uma base legal adequada ao abrigo da
alínea a) do artigo 7.º são cumulativos. Isto é, uma nova base legal por si só não pode legitimar
uma utilização posterior que de outro modo seja incompatível.
33
aperfeiçoamento da privacidade, bem como outras medidas para assegurar que os dados não
podem ser usados para tomar decisões ou outras acções relativas aos indivíduos (“separação
funcional”). Estas medidas são especialmente relevantes no contexto da utilização posterior
para “finalidades históricas, estatísticas ou científicas”, conforme se desenvolve abaixo80.
Embora esta apresentação de factores-chave não seja exaustiva, ela tenta sublinhar as
questões típicas que podem ser consideradas numa abordagem equilibrada; nem demasiado
geral ao ponto de perder o significado, nem demasiado específica, tornando-se excessivamente
rígida. Como se mostra acima, cada factor pode ser mais desenvolvido, em critérios mais
detalhados ou mais específicos. À medida que a tecnologia, a sociedade e as práticas comerciais
continuam a evoluir, é possível que certos factores se tornem mais ou menos importantes, e
possam exigir atenção específica na avaliação da compatibilidade.
A alínea b) do n.º 1 do artigo 6.º da Directiva contém uma disposição específica sobre o
tratamento posterior para “fins históricos, estatísticos ou científicos”81. Esta disposição, lida em
conjunto com os Considerandos relevantes, permite o tratamento posterior dos dados para fins
históricos, estatísticos ou científicos desde que o responsável pelo tratamento compense esta
modificação com a aplicação de “garantias adequadas” e em especial assegure que os dados
não serão utilizados para apoiar medidas ou decisões relativas a quaisquer indivíduos.
A disposição contribui para uma maior certeza jurídica. Não deve ser lida como se abrisse
80 Vide Anexo 4, em especial os exemplos 14 e 15.
81 Em conformidade com a alínea b) do n.º 1 do artigo 6.º, o tratamento posterior dos dados para estas finalidades “não é considerado
incompatível desde que os Estados-membros estabeleçam garantias adequadas”. O Considerando 29 afirma ainda que “tais garantias
devem em especial impedir a utilização de dados em apoio de medidas ou de decisões tomadas em desfavor de uma pessoa”. São
também relevantes para esta matéria o n.º 2 do artigo 11.º e o Considerando 40 relativos à informação a prestar às pessoas em causa.
O Considerando 40 afirma que “não é necessário [informar a pessoa em causa] caso a pessoa em causa esteja já informada” e que
“não existe essa obrigação caso o registo ou a comunicação dos dados estejam expressamente previstos na lei ou caso a informação
da pessoa em causa se revele impossível ou exija esforços desproporcionados, o que pode ser o caso do tratamento para fins históricos,
estatísticos ou científicos; que, para este efeito, podem ser tomados em consideração o número de pessoas em causa, a antiguidade dos
dados e as medidas compensatórias que podem ser tomadas”.
34
uma excepção global ao requisito da compatibilidade nem se pretende que seja uma autorização
geral para tratamento posterior de dados em todos os casos para fins históricos, estatísticos
ou científicos. Tal como qualquer outro caso de utilização posterior, devem ser tomados em
consideração todas as circunstâncias e factores relevantes ao decidir quais as garantias, se
algumas, podem ser consideradas adequadas e suficientes. Além disso, tal como noutras
situações, deve ser aplicada em separado uma verificação para assegurar que o tratamento tem
como base legal um dos fundamentos indicados no artigo 7.º e está em conformidade com os
restantes requisitos relevantes da Directiva.
Para assegurar garantias adequadas a expressão “medidas ou decisões” deve ser interpretada
no mais lato dos sentidos. Em primeiro lugar deve entender-se que abrange quaisquer “medidas
ou decisões” independentemente de estas serem adoptadas pelo responsável pelo tratamento
ou por qualquer outro interveniente. Em segundo lugar, “medidas ou decisões” não abrange
apenas medidas e decisões formais adoptadas num procedimento formal. Por outras palavras:
qualquer impacto relevante — quer positivo quer negativo — sobre quaisquer pessoas deve
ser evitado.
82 A este propósito vale a pena recordar o n.º 3 do artigo 9.º da Convenção 108, citado na nota 19, o qual também permite a utilização
posterior para estatística ou para investigação científica mas apenas naqueles casos nos quais “manifestamente não haja risco de
atentado à vida privada dos seus titulares”.
83 Para megadados e dados abertos, vide a Secção III.2.5 e o Anexo 2.
35
informação estatística produzida a partir de dados recolhidos por hospitais para determinar a
quantidade de pessoas feridas em consequência de acidentes rodoviários).
O tratamento para fins “históricos” também pode ter características específicas e pode
exigir um conjunto diferente de garantias. Os Estados Membros têm com frequência leis
específicas regulando o acesso aos arquivos nacionais, aos arquivos sobre a história recente
de especial interesse (tais como os arquivos de provas contra regimes opressivos) e processos
judiciais conservados pelas autoridades judiciárias. Estas leis exigem frequentemente garantias
para além da anonimização ou da pseudonimização, incluindo medidas adequadas de segurança
e restrições ao acesso.
Embora os historiadores estejam com frequência mais interessados nos factos do que na
identidade precisa dos indivíduos envolvidos (e para tais casos os dados anonimizados ou
pseudonimizados serão habitualmente adequados), nalguns casos a investigação poderá focar-se
em indivíduos específicos, tais como figuras históricas ou na história familiar. Também pode
suceder que os investigadores queiram utilizar dados que colocam pouco ou nenhum risco para
as pessoas envolvidas, devido ao lapso de tempo decorrido desde a recolha84.
No que se refere aos fins “científicos”, também pode haver necessidade de aceder a
diferentes espécies de dados. Alguma investigação pode exigir microdados em bruto, que só
parcialmente estarão anonimizados ou pseudonimizados. Nalguns casos os fins da investigação
só podem ser atingidos se a pseudonimização for reversível: por exemplo, quando os sujeitos
da investigação tiverem que ser entrevistados numa fase ulterior de um estudo longitudinal.
Outras investigações, contudo, podem exigir menos detalhe e assim permitir um maior grau
de agregação e anonimização. Além disso, a publicação dos resultados deve, em regra, ser
possível de forma que só sejam revelados dados agregados e/ou anonimizados de outro modo.
Finalmente, como se mostra abaixo, também é relevante distinguir entre situações nas
quais o tratamento posterior é efectuado pelo responsável pelo tratamento inicial e aquelas nas
quais os dados pessoais são transferidos para um terceiro. Neste contexto, alguns projectos de
investigação podem exigir protocolos muito precisos (regras e procedimentos) para assegurar
uma estrita separação funcional entre os participantes na investigação e as partes interessadas
externas. Isto pode incluir medidas técnicas e organizativas, tais como codificação segura com
chave dos dados pessoais transferidos e proibição aos terceiros externos de re-identificação
das pessoas em causa (tal como no caso dos ensaios clínicos e da investigação farmacêutica) e
outras medidas possíveis.
36
mais, seguir a abordagem multifactorial geralmente aplicável, de modo a identificar as garantias
adequadas.
Uma vez mais é útil distinguir cenários diferentes para o desenvolvimento da análise:
85 A alínea a) do artigo 2.º da Directiva define “dados pessoais” como “qualquer informação relativa a uma pessoa singular identificada
ou identificável («pessoa em causa»); é considerado identificável todo aquele que possa ser identificado, directa ou indirectamente,
nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física,
fisiológica, psíquica, económica, cultural ou social”. Vide também o Parecer 4/2007 sobre o conceito de dados pessoais, adoptado
em 20/06/2007 (WP 136), em especial págs. 13-22 (discussão de “dados sob pseudónimo”, “dados codificados com chave” e “dados
anónimos” nas págs.18-22). A questão da informação “relativa a” uma pessoa singular é discutida nas págs. 9-12.
37
1) A anonimização total (incluindo um alto grau de agregação) é a solução mais definitiva.
Implica que deixa de haver tratamento de dados pessoais e que a Directiva deixa de ser
aplicável86.
No entanto, a anonimização total pode não ser possível devido à natureza do tratamento
(por exemplo, quando houver necessidade de re-identificar as pessoas em causa ou de
utilizar dados mais granulares que, em consequência, possam permitir identificação
indirecta). Além disso, a anonimização é crescentemente difícil de conseguir, com os
avanços na moderna tecnologia informática e a ubíqua disponibilidade da informação.
A anonimização total também exige, por exemplo, que se exclua qualquer possibilidade
razoável de estabelecer um nexo com dados de outras fontes em vista à re-identificação.
Contudo, a re-identificação dos indivíduos é uma ameaça cada vez mais comum e
actual87. Na prática existe uma área cinzenta muito significativa, quando o responsável
pelo tratamento crê que um conjunto de dados foi anonimizado mas um terceiro
motivado consegue identificar pelo menos alguns do indivíduos a partir da informação
disponibilizada88. A consideração do risco de re-identificação e a renovação com
regularidade dessa consideração, incluindo a identificação de riscos residuais continua
deste modo a ser um elemento importante de qualquer abordagem sólida nesta área.
38
tomadas a seu respeito. Adicionalmente, é frequentemente necessário complementar
estas técnicas com outras garantias para proteger adequadamente as pessoas em causa92.
Estas incluem minimização dos dados, bem como medidas organizativas e técnicas
adequadas, incluindo “ensilamento dos dados”, para assegurar separação funcional.
Deve ter-se presente, como orientação essencial, que quanto mais fácil for a identificação
da pessoa em causa mais garantias adicionais se tornam necessárias. Dito isto, a avaliação da
compatibilidade não pode ser reduzida apenas a estes dois factores e passos: como em qualquer
outro caso, deve também incluir todos os restantes factores chave relevantes mencionados
na Secção III.2.2. Por exemplo, em geral, quanto mais sensíveis forem os dados e maior o
consequente impacto adverso sobre a pessoa em causa, se for identificada, mais deve ser
feito para limitar as possibilidades de re-identificação e mais garantias adicionais poderão ser
necessárias.
Entre as garantias adequadas que podem trazer protecção adicional às pessoas em causa,
podem considerar-se as seguintes:
39
— Restringir o acesso a dados pessoais a apenas quando baseado na necessidade de
conhecer, equilibrando cuidadosamente as vantagens de uma disseminação mais
vasta com os riscos de revelação involuntária de dados pessoais a destinatários
não autorizados. Isto pode incluir, por exemplo, permitir acesso exclusivamente
em leitura e em instalações controladas. Em alternativa, podem estabelecer-se
mecanismos para disponibilização limitada em ambiente seguro e a comunidades
adequadamente constituídas. São também importantes as obrigações de
confidencialidade juridicamente vinculativas impostas aos destinatários dos dados,
incluindo a proibição de publicar informação identificável. É importante notar que
em situações de alto risco, nas quais a revelação por inadvertência de dados pessoais
poderia causar consequências graves ou danosas aos indivíduos, mesmo este tipo de
acesso ou de restrição pode ser inadequado.
Além disso,
40
investigação histórica, estatística ou científica é lícito, sob reserva das condições e garantias
previstas no artigo 83.º.
Por seu turno, o n.º 1 do artigo 83.º dispõe que “Nos limites do presente regulamento,
os dados pessoais só podem ser objecto de tratamento para fins de investigação histórica,
estatística ou científica se: (a) Não for possível alcançar esses fins de outro modo através do
tratamento de dados que não permita ou tenha deixado de permitir a identificação da pessoa
em causa; (b) Os dados que permitem ligar informações a um titular de dados identificado ou
identificável forem conservados separados de outras informações, desde que esses fins possam
ser atingidos deste modo.”
Uma diferença crucial entre esta abordagem e a análise exposta no presente Parecer é que o
n.º 2 do artigo 6.º e o artigo 83.º não mencionam quaisquer outras garantias, tais como medidas
técnicas e organizativas adicionais para assegurar separação funcional ou outras garantias que
contribuam para a transparência ou para o direito de opção. Além disso, esta disposição não
implica nem esclarece que a utilização posterior para fins de investigação histórica, estatística
ou científica está sujeita à mesma avaliação multifactorial de compatibilidade descrita na
Secção III.2.2 tal como qualquer outra utilização posterior97.
Por outro lado, estas disposições confundem dois conceitos diferentes: a noção de
“compatibilidade” da alínea b) do artigo 5.º da proposta de Regulamento de Protecção de
Dados e a noção de “fundamento jurídico” do artigo 6.º Conforme se explicou anteriormente,
estes dois requisitos são cumulativos. O tratamento de dados pessoais para fins de investigação
histórica, estatística ou científica deve, em todos os casos, apoiar-se num dos fundamentos
jurídicos (alíneas a) a f)). O artigo 83.º pode ajudar a avaliar em que condições a utilização
posterior pode ser compatível (e de modo mais geral, que garantias devem ser aplicadas em
caso de qualquer tratamento para fins de investigação histórica, estatística ou científica) mas
não pode substituir-se a um fundamento jurídico adequado para o tratamento.
Por estas razões o Grupo de Trabalho do artigo 29.º recomenda à Comissão e aos
legisladores que reconsiderem a linguagem de ambas as disposições, do n.º 2 do artigo 6.º e do
artigo 83.º da proposta de Regulamento de Protecção de Dados (vide também a Secção IV.2).
41
com o fornecimento de serviços de comunicações electrónicas disponíveis ao público em
redes públicas de comunicações98. Uma dessas especificações está relacionada com o tema
do presente Parecer e ajuda a ilustrar a avaliação geral da compatibilidade, tal como discutido
acima.
A utilização posterior de dados para fins de comercialização pode ser lícita em ambos
os casos, mas sujeita a garantias diferentes, dependendo do contexto da recolha dos dados e
da relação entre as pessoas em causa e os responsáveis pelo tratamento, bem como das suas
expectativas perante essa relação. Vale a pena notar que o artigo 13.º está aparentemente
baseado na noção de que alguns meios de comunicação são inerentemente mais intrusivos que
outros e, portanto, só devem ser permitidos sob condição de garantias adicionais.
42
mantêm-se fora do âmbito do artigo 13.º e devem, portanto, ser considerados sob as disposições
da Directiva geral.
À luz da análise geral da Secção III.2.2 do presente Parecer deve resultar que se deve fazer
pelo menos alguma distinção entre:
— Mala directa semelhante mas agora baseada em dados pessoais sensíveis e/ou
em perfis automatizados, com utilização de utensílios de análise de dados mais
intrusivos99;
Neste contexto deve ser ainda notado que a alínea b) do artigo 14.º da Directiva estabelece
o direito das pessoas em causa a objectar – gratuitamente – a qualquer tratamento dos seus dados
pessoais para efeitos de mala directa, sem qualquer consideração adicional das circunstâncias.
Este direito absoluto a objectar só pode servir a sua finalidade se estiver submetido a uma
transparência adequada, quer quanto à sua existência quer quanto aos meios para o exercer. É
portanto essencial que uma infra-estrutura razoável (como, por exemplo, uma “Lista Robinson”
ou outro serviço de preferência de correio) seja criada e mantida, para que este direito possa ser
efectivamente exercido.
Megadados
Com todo o seu potencial para inovação, os megadados podem também apresentar riscos
significativos para a protecção dos dados pessoais e para o direito à privacidade. O modo como
a avaliação geral da compatibilidade e as disposições específicas sobre o “tratamento posterior
para fins históricos, estatísticos ou científicos” podem ser aplicadas aos megadados, incluindo
99 Sobre os megadados e a analítica, vide adiante a Secção III.2.5 e o Anexo 2.
100 A analítica é a descoberta e comunicação de padrões significativos nos dados.
43
garantias adequadas que possam auxiliar os responsáveis pelo tratamento a preencher o critério
da compatibilidade, será discutido mais em detalhe no Anexo 2.
Dados abertos
O Anexo 2 também analisa e ilustra como a avaliação geral da compatibilidade, assim como
as disposições específicas sobre o “tratamento posterior para finalidades históricas, estatísticas
ou científicas” podem ser aplicadas aos dados abertos e recomenda garantias adequadas que
podem auxiliar os organismos do sector público que disponibilizam dados, e os responsáveis
pelo tratamento que os reutilizam, a preencher o critério da compatibilidade.
O tratamento incompatível não pode ser remediado pela simples adopção de um novo
fundamento jurídico
Por outras palavras, o responsável pelo tratamento não pode simplesmente considerar o
tratamento posterior como uma nova actividade de tratamento desligada da anterior e contornar
esta proibição utilizando um dos fundamentos jurídicos do artigo 7.º para legitimar o tratamento.
Conforme se explicou acima, os requisitos do artigo 6.º e do artigo 7.º são cumulativos: ambos
devem ser simultaneamente preenchidos.
44
Legalizar uma actividade de tratamento de dados de outro modo incompatível simplesmente
modificando os termos de um contrato com a pessoa em causa, ou identificando um interesse
legítimo adicional do responsável pelo tratamento iria contra o espírito do princípio da limitação
da finalidade e eliminaria a sua substância101.
Ser claro nesta matéria é tanto mais importante quanto o n.º 4 do artigo 6.º da proposta
de Regulamento de Protecção de Dados propõe a abertura de uma excepção muito ampla
ao requisito da compatibilidade, que restringiria severamente a sua aplicabilidade. O texto
proposto pela Comissão dispões que “Sempre que a finalidade do tratamento ulterior não for
compatível com aquela para a qual os dados pessoais foram recolhidos, o tratamento deve ter
como fundamento jurídico pelo menos um dos motivos referidos no n.º 1, alíneas a) a e). Tal é
aplicável, em especial, a qualquer alteração das cláusulas e condições gerais de um contrato”102.
Este texto significaria, efectivamente, que seria sempre possível suprir a incompatibilidade
com a simples identificação de um novo fundamento jurídico para o tratamento. O único
fundamento jurídico que não seria em si mesmo suficiente para compensar a incompatibilidade
seria o “interesse legítimo” do responsável pelo tratamento da alínea f).
Assim, o Grupo de Trabalho do artigo 29.º recomenda a eliminação do n.º 4. Isto deve-
se a que a proibição da utilização incompatível e o requisito de um fundamento jurídico do
artigo 7.º da Directiva são requisitos cumulativos. Portanto, numa modificação da finalidade
deve verificar-se em qualquer caso um dos fundamentos jurídicos (alíneas a) a f)). A Directiva
actualmente em vigor não permite, em princípio, a modificação da finalidade sem um desfecho
favorável da avaliação da compatibilidade e este grau de protecção deve ser igualmente mantido
na proposta de Regulamento de Protecção de dados103.
101 Conforme se explicou anteriormente, isto não significa que a finalidade inicial da operação de tratamento não pode nunca mudar: em
algumas situações, após avaliação de todos os factores relevantes, incluindo a disponibilidade de garantias e/ou a disponibilidade
de uma nova base jurídica adequada para compensar a modificação da finalidade, o responsável pelo tratamento pode concluir que
o tratamento posterior pode preencher simultaneamente os requisitos da compatibilidade e de um fundamento jurídico ao abrigo
do artigo 7.º.
102 O artigo 7.º da Directiva dispõe que os dados só podem ser processados com base num de seis fundamentos: a) consentimento;
b) execução de um contrato; c) cumprimento de uma obrigação legal; d) protecção de interesses vitais da pessoa em causa; e) a
execução de uma missão de interesse público ou o exercício da autoridade pública; f) interesses legítimos do responsável pelo
tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados (salvo se sobre estes interesses prevalecerem os
interesses ou os direitos e liberdades fundamentais da pessoa em causa).
103 Ver Emenda 103 do Projecto de Relatório da Comissão LCJAI.
45
numa primeira fase) em advertir ou admoestar o responsável pelo tratamento, mantendo-se
como opção possível o recurso a acções judiciais.
O artigo 13.º da Directiva dispõe que “Os Estados-membros podem tomar medidas
legislativas destinadas a restringir o alcance das obrigações e direitos referidos no n.º 1 do
artigo 6.º (…), sempre que tal restrição constitua uma medida necessária à protecção (…) da
segurança do Estado; da defesa; da segurança pública; da prevenção, investigação, detecção e
repressão de infracções penais e de violações da deontologia das profissões regulamentadas; de
um interesse económico ou financeiro importante de um Estado-membro ou da União Europeia
(…) de missões de controlo, de inspecção ou de regulamentação (…) e da protecção da pessoa
em causa ou dos direitos e liberdades de outrem”105.
O âmbito limitado das excepções confirma que não é possível legitimar o tratamento
incompatível de dados pessoais, simplesmente invocando um dos fundamentos do artigo 7.º
Isto é tanto mais assim quanto as medidas legislativas adoptadas ao abrigo do artigo 13.º devem
ser interpretadas restritivamente, visto serem introduzidas pela via da excepção aos princípios
gerais do artigo 6.º Portanto, uma medida legislativa estabelecendo uma obrigação legal ao
brigo do artigo 7.º não é necessariamente suficiente para tornar compatível o tratamento.
Embora o legislador tenha um papel essencial a desempenhar, está também sujeito a várias
condições estritas:
46
pública, interesses económicos ou financeiros importantes de um Estado-membro ou
da União Europeia e a prevenção de infracções penais.
— Em segundo lugar, deve aplicar-se uma avaliação qualificada, para assegurar que a
medida legislativa preenche os critérios que permitem a derrogação de um direito
fundamental. Há dois aspectos nesta avaliação: por um lado a medida deve ser
suficientemente clara e precisa para poder ser previsível e, por outro lado, deve
ser necessária e proporcionada, consistente com os requisitos desenvolvidos pelo
Tribunal Europeu dos Direitos do Homem106.
Na prática, não é suficiente que uma tal lei mencione os objectivos finais da medida
legislativa e designe o responsável pelo tratamento. Deve também, no mínimo, descrever
os objectivos do tratamento de dados relevante, as categorias de dados pessoais a tratar, as
finalidades específicas e os meios de tratamento, as categorias de pessoas autorizadas a tratar
os dados, o procedimento a seguir no tratamento e as garantias contra interferências arbitrárias
das autoridades públicas107.
IV. Conclusões
O conceito de limitação da finalidade assenta em dois pilares: os dados pessoais devem ser
recolhidos para finalidades “determinadas, explícitas e legítimas” (determinação da finalidade)
106 Vide Secção II.1 sobre “Síntese histórica”.
107 Vide Anexo 4, especialmente os exemplos 17, 18, 19, 20 e 22.
47
e não ser “posteriormente tratados de forma incompatível” com essas finalidades (utilização
compatível).
• As finalidades devem ser determinadas. Isto significa que – antes, e em todo o caso
nunca depois do momento em que ocorre a recolha dos dados pessoais – as finalidades
devem estar precisa e plenamente identificadas para determinar qual tratamento está e
não está incluído na finalidade determinada e para permitir a avaliação do cumprimento
da lei e a aplicação das garantias de protecção de dados.
• Pode haver casos de deficiências graves, por exemplo quando o responsável pelo
tratamento não determina as finalidades do tratamento com detalhe suficiente ou numa
linguagem clara e inequívoca, ou quando as finalidades determinadas são enganadoras
ou não correspondem à realidade. Em qualquer destas situações, para determinar
as finalidades reais devem ser tidos em conta todos os factos, juntamente com um
entendimento comum e as expectativas razoáveis das pessoas em causa, baseados no
contexto do caso.
• As finalidades devem ser legítimas. A legitimidade é um requisito amplo, que vai além
de uma simples remissão para um dos fundamentos jurídicos do tratamento referidos
no artigo 7.º da Directiva. Também se alarga a outras áreas do Direito e deve ser
interpretada no contexto do tratamento. A determinação da finalidade nos termos do
artigo 6.º e o requisito de um fundamento legal para o tratamento nos termos do artigo
7.º da Directiva são dois requisitos separados e cumulativos.
— Deve assegurar-se que todos os requisitos relativos à qualidade dos dados (alíneas a)
48
a e) do n.º 1 do artigo 6.º) são igualmente preenchidos para a(s) nova(s) finalidade(s).
• Neste contexto o Grupo de Trabalho do artigo 29.º enfatiza que a disposição específica
da alínea b) do n.º 1 do artigo 29.º da Directiva sobre “tratamento posterior para fins
históricos, estatísticos ou científicos” deve ser visto como uma especificação da regra
geral, não excluindo que outros casos possam igualmente ser considerados como “não
incompatíveis”. Isto conduz a um papel mais proeminente para diversas espécies de
garantias, incluindo medidas técnicas e organizativas para separação funcional, tais
como a anonimização plena, pseudonimização, agregação dos dados e tecnologias de
aperfeiçoamento da privacidade.
Avaliação da compatibilidade
49
— O contexto no qual os dados pessoais foram recolhidos e as expectativas razoáveis
das pessoas em causa quanto à sua utilização posterior;
• O Grupo de Trabalho do artigo 29.º chama igualmente a atenção para alguns dos
desafios da aplicação do teste de compatibilidade aos megadados e aos dados abertos.
Aqui, talvez ainda mais que nos restantes casos, há a necessidade de uma aplicação
rigorosa mas equilibrada e flexível do teste de compatibilidade para assegurar que este
pode ser aplicado na nossa sociedade moderna e interligada.
Consequências da incompatibilidade
• O âmbito do princípio da limitação da finalidade pode ser restringido apenas nos casos
específicos definidos no artigo 13.º da Directiva (ou no artigo 15.º da Directiva relativa
à privacidade e às comunicações electrónicas sobre comunicações não solicitadas).
Isto significa que se a avaliação da compatibilidade mostrar que o tratamento é
50
incompatível, os únicos fundamentos pelos quais o tratamento pode ser executado são
os destas disposições.
• Uma medida legislativa criando uma obrigação legal ao abrigo do artigo 7.º não é, por
si só, suficiente para tornar compatível o tratamento. Embora o legislador tenha um
papel essencial a desempenhar, ele está também sujeito a algumas condições estritas:
— Em primeiro lugar, a medida deve ser dirigida a garantir interesses públicos específicos
e importantes.
— Em segundo lugar, deve ser aplicado um teste qualificado, para assegurar que a
medida legislativa preenche os critérios que permitem a derrogação de um direito
fundamental: a medida deve ser suficientemente clara e precisa para ser previsível e
deve ainda ser necessária e proporcionada.
O Grupo de Trabalho do artigo 29.º espera que a análise precedente esclareça o âmbito
e funcionamento da limitação da finalidade, que é um princípio chave da protecção de dados.
Esta análise tem consequências para o futuro já que, ainda que o próprio princípio da limitação
da finalidade pareça estável, o seu significado exacto, incluindo quaisquer excepções, está
actualmente aberto à discussão.
Além disso, para complementar as concisas disposições gerais existentes sobre o princípio
da limitação da finalidade e para proporcionar maior certeza jurídica, o Grupo de Trabalho do
51
artigo 29.º recomenda a adopção das disposições apresentadas no Anexo 1 ao presente Parecer.
As disposições propostas visam fornecer uma lista não exaustiva de factores relevantes
que deveriam ser avaliados para determinar se uma utilização posterior pode ser considerada
compatível. Embora esta apresentação de factores chave não seja completamente exaustiva,
tenta destacar os factores típicos que deveriam ser considerados numa abordagem equilibrada:
nem tão gerais que percam significado nem tão específicos que se tornem demasiado rígidos.
52
Anexo 1: Propostas de alteração
Artigo 5.º
Princípios relativos ao tratamento de dados pessoais
1. Os dados pessoais devem ser:
Os dados pessoais devem ser:
a) (…)
a) (…)
b) Recolhidos para finalidades
b) Recolhidos para finalidades determinadas,
explícitas e legítimas e não serem determinadas, explícitas e legítimas
posteriormente tratados de forma e não serem posteriormente tratados
incompatível com essas finalidades; de forma incompatível com essas
c)-f) (…) finalidades;
c)-f) (…)
2. Ao avaliar se o tratamento posterior de
dados pessoais é incompatível com as
finalidades para as quais esses dados
foram recolhidos, na acepção da alínea b)
do n.º 1, devem especialmente ser tidos em
conta:
a) a relação entre as finalidades para
as quais os dados pessoais foram
recolhidos e as finalidades do
tratamento posterior;
b) o contexto em que os dados pessoais
foram recolhidos e as expectativas
razoáveis dos titulares dos dados quanto
à respectiva utilização posterior;
c) a natureza dos dados pessoais e o
impacto do tratamento posterior sobre
os titulares dos dados;
d) as garantias aplicadas pelo responsável
pelo tratamento para assegurar um
tratamento leal e evitar quaisquer
impactos indevidos sobre os titulares
dos dados.
3. Sob reserva das condições e garantias
previstas no artigo 83.º, o tratamento
posterior de dados pessoais que for
necessário para as finalidades de
investigação histórica, estatística ou
científica não é considerado incompatível,
desde que sejam adoptadas medidas
adequadas para evitar quaisquer impactos
indevidos sobre os titulares dos dados.
Justificação
53
maior certeza jurídica, deve ser tida em conta, na avaliação da compatibilidade do tratamento
posterior com as finalidades da recolha dos dados, uma lista de factores relevantes. É
necessária uma disposição especial sobre a investigação histórica, estatística ou científica,
para assegurar que as garantias adequadas continuarão a ser aplicadas neste contexto.
Artigo 6.º
Licitude do tratamento
1. O tratamento de dados pessoais só é lícito Inalterado
se e na medida em que se verifique pelo
menos uma das seguintes situações:
a) – f) (…)
2. O tratamento de dados pessoais necessário Eliminado
para fins de investigação histórica,
estatística ou científica é lícito, sob reserva
das condições e garantias previstas no
artigo 83.º.
3. (…) 2. (…)
4. Sempre que a finalidade do tratamento Eliminado
ulterior não for compatível com aquela
para a qual os dados pessoais foram
recolhidos, o tratamento deve ter como
fundamento jurídico pelo menos um dos
motivos referidos no n.º 1, alíneas a) a e).
Tal é aplicável, em especial, a qualquer
alteração das cláusulas e condições gerais
de um contrato.
5. (…)* 3. (…)
Justificação
54
Anexo 2: Megadados e dados abertos
Megadados
Quais os riscos e desafios colocados pelos megadados ao direito à protecção dos dados
pessoais e à privacidade?
Apesar do seu potencial para inovação, os megadados podem também colocar riscos
significativos à protecção dos dados pessoais e à privacidade. Em especial, os megadados
suscitam preocupação sobre:
55
— Transparência: a não ser que lhes seja fornecida informação suficiente, os indivíduos
ficarão sujeitos a decisões que não compreendem e sobre as quais não têm controlo;
Que garantias podem tornar compatível a utilização posterior, para analítica, de dados
pessoais?
Tal como nos outros casos de avaliação da compatibilidade, todos os factores relevantes
descritos na Secção III.2.2 devem ser considerados, incluindo a relação entre as finalidades,
o contexto da recolha, as expectativas razoáveis das pessoas em causa, a natureza dos dados
pessoais e o impacto sobre as pessoas em causa. É também importante avaliar as garantias
adoptadas para assegurar um tratamento leal e para evitar qualquer impacto indevido.
Além disso, as disposições específicas que tratam das “finalidades históricas, estatísticas ou
científicas”110 são igualmente relevantes.
Em ordem a identificar quais as garantias necessárias, pode ser útil distinguir entre
dois cenários diferentes. No primeiro, as organizações que tratam os dados querem detectar
tendências e correlações na informação. No segundo, as organizações estão interessadas nos
indivíduos.
109 Pode ser o caso, independentemente de as empresas envolvidas terem ou não um monopólio ou uma posição dominante no mercado.
Contudo, uma posição dominante diminui claramente as escolhas das pessoas em causa na busca de fornecedores alternativos dos
serviços e, portanto, pode ser um factor relevante ao medir o potencial impacto negativo sobre um titular de dados.
110 Vide Secção III.2.3.
56
No primeiro cenário, o conceito de separação funcional111 desempenhará provavelmente
um papel essencial, e até que ponto isto pode ser conseguido pode ser um factor importante na
decisão sobre se a utilização posterior dos dados para pesquisa (de comercialização ou outra)
pode ser considerada compatível. Nestes casos os responsáveis pelo tratamento devem garantir
a confidencialidade e a segurança dos dados e tomar todas as medidas técnicas e organizativas
necessárias para assegurar a separação funcional112.
57
Além disso, em muitas situações, as garantias tais como permitir às pessoas em causa
/ consumidores acesso directo aos seus dados num formato portável, de fácil utilização e de
leitura automática pode ser útil para lhes dar algum poder e corrigir o desequilíbrio económico
entre as grandes empresas, de um lado, e os consumidores, do outro. Permite igualmente aos
indivíduos “partilhar da riqueza” criada pelos megadados e incentivar os criadores a oferecer
funcionalidades e aplicações adicionais aos seus utilizadores117.
Por exemplo, o acesso à informação sobre consumo de energia num formato de fácil
utilização pode tornar mais fácil aos lares escolher tarifários e obter os melhores preços de gás
e de electricidade, assim como controlar o seu consumo de energia e modificar os estilos de
vida para reduzir a facturação e o seu impacto ambiental.
Dados abertos
Quais são os desafios chave dos dados abertos para a protecção de dados?
No Parecer 7/2003, o Grupo de Trabalho do Artigo 29.º deu orientações sobre a aplicação
do actual enquadramento jurídico à reutilização da informação do sector público (ISP) quando
a mesma inclui dados pessoais. O Parecer do Grupo de Trabalho do Artigo 29.º mostra que a
aplicação do actual enquadramento jurídico da protecção de dados à reutilização da ISP suscita
algumas questões.
Uma das principais preocupações é que em alguns casos não é fácil aplicar efectivamente
117 Vejam-se iniciativas tais como o “Midata” no Reino Unido, baseadas no princípio chave de que os dados devem ser restituídos aos
consumidores. O Midata é um programa voluntário que, ao longo do tempo, deverá dar aos consumidores acesso crescente aos seus
dados num formato electrónico portável. A ideia chave é a de que os consumidores devem também beneficiar dos megadados, tendo
acesso à sua próprias informação e podendo fazer melhores escolhas. Vejam-se também as iniciativas “Botão verde” que permitem
aos consumidores aceder à sua própria informação sobre utilização de energia.
58
o princípio da limitação da finalidade no caso de reutilização da ISP. Por um lado, a própria
ideia e força motriz da inovação por trás do conceito de “dados abertos” e da reutilização da
ISP é a de que a informação deve estar disponível para reutilização para novos produtos e
serviços inovadores e, portanto, para finalidades que não foram previamente definidas e não
podem ser previstas com clareza. Por outro lado, a limitação da finalidade é um princípio chave
da protecção de dados que exige que os dados pessoais sejam recolhidos para uma finalidade
específica e não possam, numa fase ulterior, ser usados para outra finalidade incompatível.
O desafio é definir com clareza, antecipadamente, quais os dados pessoais que podem
ser tornados publicamente disponíveis e estabelecer garantias adequadas de protecção de
dados, em ordem a assegurar certeza jurídica ao mesmo tempo que se permite a inovação e a
reutilização para quaisquer finalidades (lícitas).
A este propósito é importante recordar que qualquer informação relacionada com uma
pessoa singular identificada ou identificável, publicamente disponível ou não, constitui dados
pessoais. Além disso, o mero facto de tais dados serem tornados publicamente disponíveis não
conduz a qualquer isenção das leis de protecção de dados pessoais. A reutilização dos dados
pessoais tornados publicamente disponíveis pelo sector público, continua assim sujeita, em
princípio, à lei de protecção de dados pessoais relevante.
Como “regra de ouro” geral: enquanto a maior parte dos dados pode ser disponibilizada
para reutilização de forma suficientemente agregada ou de outro modo efectivamente
anonimizada, frequentemente as iniciativas de dados abertos não serão adequadas para dados
de pesquisa granular ou para dados pessoais directamente identificáveis, que podem exigir uma
abordagem mais cautelosa.
59
reutilização os dados necessários. De facto, quando tal é possível, a anonimização “completa”
(e um elevado nível de agregação) dos dados pessoais é a solução mais efectiva para minimizar
os riscos de fuga por inadvertência. A anonimização deve ser feita antes de se disponibilizar
os dados para reutilização – pelo responsável pelo tratamento ou por um terceiro de confiança.
Por este motivo é importante conduzir uma avaliação efectiva de impacto sobre a protecção
de dados para decidir quais os dados que podem ser disponibilizados para reutilização e a qual
nível de anonimização e agregação. Uma tal avaliação de impacto, robusta e detalhada, deve
ser completada antes da publicação da informação e da sua disponibilização para reutilização.
É importante que a análise não seja monopolizada por quaisquer partes interessadas e
que o seu resultado não seja pré-determinado. Um tal exercício exige, assim, a participação
de diversas partes interessadas, incluindo não só o responsável pelo tratamento que pretende
libertar os dados, mas também aqueles que pretendem os dados e que, portanto, podem fornecer
o contexto da discussão, bem como representantes dos indivíduos cujos dados pessoais estão
em causa.
60
anonimizados, em geral, é necessária uma abordagem ainda mais cautelosa. Uma vez que os
dados pessoais estejam publicamente disponíveis para reutilização será crescentemente difícil,
se não impossível, ter qualquer forma de controlo sobre a natureza da potencial utilização
posterior, seja ela para finalidades históricas, estatísticas, científicas ou outras. É este o caso,
em especial, se os dados forem disponibilizados em formato digital, pesquisável e legível
mecanicamente e tiverem sido publicados na internet. Assim, a selecção da informação que
será ou não tornada publicamente disponível torna-se ainda mais importante.
Dito isto, não se pode excluir que uma avaliação de impacto sobre a protecção de dados
possa concluir que os dados podem ser abertos e tornados publicamente disponíveis segundo
os princípios dos “dados abertos”. Nestes casos deve ser estabelecido um regime rigoroso
de licenciamento, o qual deve ser aplicado de forma igualmente estrita, para assegurar que
os dados não serão utilizados para finalidades incompatíveis (por exemplo, para mensagens
comerciais não solicitadas ou de outra forma que as pessoas em causa possam achar inesperada,
inadequada ou objectável).
Claro que a publicação dos dados e qualquer sua utilização posterior devem ter uma base
legal adequada (por ex. o consentimento ou a imposição da lei) nos termos das alíneas a) a f)
do artigo 7.º da Directiva.
61
Anexo 3: Exemplos práticos para ilustrar a determinação da finalidade
O grau de detalhe a fornecer pode variar e precisa de ser adaptado à situação, conforme
se ilustra nos exemplos seguintes:
— Uma loja local que vende aos residentes locais numa pequena cidade e que recolhe
apenas informação limitada sobre os seus clientes não precisa de determinar as
finalidades de forma tão detalhada como uma grande empresa retalhista que vende
mercadorias para toda a Europa através de um sítio na web e que utiliza analítica
complexa para moldar ofertas personalizadas e publicidade dirigida;
— Um sítio na web de uma rede social que opera através da Europa precisa de prestar
uma atenção especial à forma como determina as suas finalidades e à clareza da
informação que presta, visto que se dirige a um vasto grupo de utilizadores de
diferentes culturas;
62
Exemplos 5-6: É preciso mais detalhe no caso de haver ambiguidades e para tratamento
além do que é habitual num dado contexto
119 A este propósito, vide também a Secção II.2.4 sobre comunicações não solicitadas.
63
tempo: pessoalmente, por escrito, via correio electrónico ou por telefonema para a
loja. São igualmente informadas de que os seus dados não serão partilhados com
terceiros e serão somente utilizados para a expedição do catálogo. Neste contexto
simples, tal é uma especificação suficiente das finalidades120.
— O exemplo acima pode ser comparado com o de uma grande empresa de retalho
que vende mercadorias para toda a Europa e que utiliza analítica complexa para
moldar ofertas personalizadas e publicidade dirigida. Neste caso, as finalidades
devem ser especificadas de forma muito mais detalhada e abrangente incluindo,
entre outras coisas, “a forma como” os dados pessoais serão tratados. Os critérios
de decisão usados na formação de perfis de consumidor devem igualmente ser
revelados121.
64
esta mensagem contém ainda um ponteiro intitulado “ler mais sobre como proteger
a sua privacidade no mapa”. Junto à opção “sim, torne-o público” é exibido um
ícone triangular de perigo. Ao seleccioná-lo, são destacados os perigos associados
à disponibilização pública dos percursos. Informação adicional no sítio fornece
todos os elementos de um aviso de protecção de dados em maior detalhe e numa
linguagem adaptada à audiência. Também contém sugestões e conselhos, por
exemplo, de que os utilizadores deveriam em geral evitar tornar públicos os seus
percursos de corrida e, caso o façam, devem adoptar precauções sensatas. Em
especial são aconselhados a não localizar o endereço da sua casa ou da sua escola,
publicar percursos através de locais não frequentados, indicar a sua idade e género
ou publicar a sua fotografia. São igualmente aconselhados a utilizar pseudónimos.
— O conceito de finalidade global, sob cuja cobertura tomam lugar várias operações
de tratamento, pode ser útil. Este conceito pode ser usado, por exemplo, quando
se comunica um aviso estratificado à pessoa em causa. A informação mais geral
pode ser comunicada em primeira instância sobre a “finalidade global”, podendo
ser complementada com informação adicional. A divisão das finalidades é também
necessária para o responsável pelo tratamento e para os seus subcontratantes, a fim
de aplicar as garantias de protecção de dados necessárias.
Um banco de retalho tradicional especifica nas suas condições gerais que tratará os dados
pessoais dos seus clientes para fornecer os serviços financeiros solicitados e para fornecer
informação sobre outros serviços nos quais os clientes possam estar interessados. Utilizará
também os dados para prevenir fraudes e abuso do sistema financeiro e para cumprir as
imposições legais que exigem a comunicação de certas informações às autoridades públicas
competentes. Esta abordagem suscita diversos comentários:
65
para que a maior parte dos clientes compreenda o âmbito básico do tratamento122.
— Quer o conteúdo quer a utilização destes registos são habitualmente regulados por
leis especiais. Embora surjam frequentemente disposições de carácter geral nessas
leis, tais como “a informação pode ser utilizada para qualquer missão pública”,
elas também contêm disposições legais detalhadas, que dão certeza jurídica. Estas
disposições especificam em que situações e para quais finalidades os dados podem
ser utilizados, e quem pode ter-lhes acesso.
122 É claro que, nos seus procedimentos internos, o banco ainda deverá definir as finalidades mais especificamente de modo a assegurar
que pode aplicar as garantias necessárias. Pode ser também necessário fornecer informação adicional às pessoas em causa, por
exemplo, quando a informação obtida de um cliente que utiliza um certo serviço será subsequentemente utilizada noutro contexto.
Essa utilização poderá ou não ser adequada, dependendo do contexto específico. Mesmo se for permissível, uma tal combinação
de dados pode exigir garantias adicionais. Por exemplo, devem ser adoptadas regras estritas, regulando se um banco, que tenha
simultaneamente um negócio segurador e um negócio bancário, pode ou não, e em que condições, utilizar a informação obtida num
deles para o exercício do outro (vide também a Secção III.2).
66
mais importante que existam regras jurídicas claras, específicas e proporcionadas,
para tornar claro como pode ser utilizada, partilhada e garantida a informação
contida nos registos da população e noutras bases de dados governamentais. O
desafio consiste em definir estas regras de modo a que proporcionem suficiente
certeza jurídica sem se tornarem excessivamente rígidas.
Exemplo 14: Partilha de dados entre as autoridades competentes dos Estados Membros
da União Europeia
Um negócio segmenta os seus clientes em dois grupos, com base em perfis étnicos:
cobra preços mais elevados a “brancos”, ao contrário dos clientes “asiáticos”. Isto é feito
de forma não transparente, para dissimular as práticas, aplicando diferentes descontos
personalizados aos cupões enviados a clientes com apelidos asiáticos. Não é fornecida aos
clientes nenhuma informação, para além de que “os dados dos cartões de lealdade podem
ser utilizados para fins de comercialização”.
— Para além das outras questões que este caso suscita, o exemplo ilustra que o
requisito de que as finalidades sejam legítimas é amplo: por exemplo, também,
proíbe o tratamento de dados para finalidades que possam resultar em práticas
discriminatórias.
67
origem asiática (ou uma sobrecarga de 10% para todos os clientes não asiáticos),
o efeito discriminatório teria seguramente sido evidente para toda a gente (e
provavelmente teria também afastado todos os clientes não asiáticos).
68
Anexo 4: Exemplos práticos para ilustrar a avaliação da compatibilidade
São igualmente discutidas situações nas quais se exigem várias garantias, assim como
o são situações nas quais o tratamento posterior é provavelmente incompatível e somente
pode ser executado ao abrigo das estritas disposições do artigo 13.º da Directiva. Os exemplos
têm origem nos sectores público e privado e cobrem também a partilha governamental de
dados. Muitos dos exemplos foram baseados em casos reais, ou em elementos de casos reais
processados por autoridades de protecção de dados nos diferentes Estados Membros. Contudo,
os factos foram por vezes algo modificados a fim de melhor ilustrar o conceito e a metodologia
da avaliação da compatibilidade.
Quanto à natureza dos casos é importante realçar que foram incluídos a fim de ilustrar o
processo intelectual – o método segundo o qual a avaliação multifactorial de compatibilidade
deve ser executada. Por outras palavras, os exemplos não pretendem fornecer uma apreciação
conclusiva dos casos descritos. De facto, em muitos dos casos, a alteração de factos do caso de
alguma forma (por exemplo, se o responsável pelo tratamento adoptasse garantias adicionais
tais como anonimização mais completa, melhores medidas de segurança e mais transparência
e oportunidades genuínas de escolha para as pessoas em causa), poderia modificar o resultado
da avaliação de compatibilidade.
Uma empresa instala uma câmara de CCTV para controlar a entrada principal do seu
edifício. Um aviso informa as pessoas que está em operação um CCTV com finalidades de
segurança. As gravações do CCTV mostram que a recepcionista está frequentemente longe
da sua secretária e se envolve em prolongadas conversas enquanto fuma junto à área de
entrada coberta pelas câmaras de CCTV. As gravações, combinadas com outras provas (tais
como queixas) mostram que ela deixa frequentemente de atender chamadas telefónicas, o
que é um dos seus deveres.
69
Para lá de outras preocupações com o CCTV que podem ser suscitadas por este caso, em
termos da avaliação da compatibilidade pode aceitar-se que uma pessoa em causa razoável
assumiria, a partir do aviso, que as câmaras estão no local somente para fins de segurança.
Controlar se um empregado desempenha adequadamente ou não as suas funções, tais como
atender telefonemas, é uma finalidade não relacionada que não pode ser razoavelmente
esperada pela pessoa em causa. Isto dá uma forte indicação de que a utilização posterior é
incompatível. Outros factores, tais como o potencial impacto negativo sobre o empregado
(por exemplo, acção disciplinar), a natureza dos dados (imagens vídeo), a natureza da
relação (contexto laboral, o que sugere desequilíbrio de poderes e limitação das opções) e
a ausência de garantias (como, por exemplo, aviso sobre outras finalidades, para além da
segurança), podem também contribuir para confirmar esta avaliação.
Uma empresa de transportes públicos exige aos motoristas de autocarro que, todos
os dias e antes de iniciarem o seu turno, soprem num bafómetro para controlar a presença
de álcool. A hora e data do teste são registadas, juntamente com a informação sobre se o
teste foi ou não bem-sucedido. Este procedimento está integrado num sistema de entradas e
saídas. Quando os motoristas de autocarro começam o seu turno de trabalho, é-lhes exigido
que aproximem o seu cartão magnético de identificação do módulo do bafómetro e em
seguida que soprem no bafómetro. A finalidade da recolha e do tratamento posterior destes
dados, conforme determinado pela lei e também notificado aos trabalhadores, é controlar
se os motoristas têm uma quantidade proibida de álcool nos seus corpos durante o turno
de trabalho, o que é uma exigência legal no país em causa. Contudo, sem conhecimento
dos motoristas, o sistema do bafómetro é também usado para controlar se os motoristas
cumprem as suas obrigações de pontualidade (isto é, se chegaram ou não pontualmente ao
início do seu turno).
Para além de outras preocupações sobre as práticas de direito laboral que este caso possa
suscitar, pode dizer-se que em termos de compatibilidade, uma pessoa em causa razoável
assume que os bafómetros estão instalados para controlar a presença de álcool e não para a
finalidade inteiramente não relacionada de controlar se os motoristas chegam atrasados ao
trabalho. Isto dá uma forte indicação de que a utilização posterior é incompatível. Outros
factores, tais como o potencial impacto negativo sobre o empregado (por exemplo, acção
disciplinar), a natureza sensível dos dados, a obrigação legal do trabalhador de fornecer os
dados, o desequilíbrio de poder entre a pessoa em causa e o empregador e a falta de garantias
(tais como, por exemplo, aviso sobre as finalidades ulteriores para além do controlo dos
limites de álcool) podem contribuir para confirmar esta avaliação.
70
Exemplo 3: Certificados de autorização de segurança armazenados para documentar e
auditar a conformidade de departamentos
Sem analisar quaisquer outros aspectos deste caso, pode dizer-se que, em termos de
compatibilidade, que a finalidade de conservar os certificados “limpos” para auditoria deriva
da finalidade original da obtenção dos certificados por razões de autorização de segurança,
apoiando-a: a auditoria é estabelecida para verificar se as necessárias autorizações de
segurança foram obtidas. Isto dá alguma indicação (em si mesma não conclusiva) de que
existe compatibilidade e pode sugerir que as pessoas em causa devem esperar algum grau de
armazenamento de dados para finalidades de auditoria. Outros aspectos do procedimento, tais
como o facto de que a previsibilidade e a certeza jurídica estão asseguradas por disposições
detalhadas na legislação, e de que as pessoas em causa são claramente informadas com
antecedência, podem também contribuir para a compatibilidade. Embora a natureza dos
dados fosse altamente sensível se também os “certificados negativos” fossem armazenados,
o impacto potencial sobre as pessoas em causa é limitado pelo facto de que — no cenário
descrito — só os certificados “limpos” de autorização de segurança são armazenados.
71
comercial não directamente relacionada com os cuidados de saúde dispensados, bem como
a transferência desses dados para terceiros (a mulher do médico) suscitam imediatamente
preocupações quanto à compatibilidade.
Adicionalmente — para além de quaisquer outras questões que este caso possa suscitar –
o facto de haver uma transferência de dados pessoais para um terceiro (a mulher do médico),
bem como a obrigação ética do médico de não retirar vantagens comerciais dos doentes
em situações vulneráveis, contribuem também para a avaliação de incompatibilidade. A
possibilidade de recorrer a meios alternativos, menos intrusivos, para alcançar o objectivo
de publicitar as férias “Boas Melhoras” (por. Ex. colocando brochuras de férias na sala de
espera do médico, se tal for permitido pelas regras de ética) sugere igualmente que este
tratamento é, provavelmente, incompatível123.
A utilização de dados de compras dos clientes para uma finalidade não relacionada
suscita problemas significativos de compatibilidade que exigem uma análise cuidadosa. É
especialmente o caso deste exemplo, dado que o projecto é desenvolvido para finalidades de
interesse público e envolve uma parceria voluntária entre o governo e entidades do sector
privado. Em primeiro lugar, os supermercados não têm um papel formal, responsabilidade
123 Vide também a Secção III.2.4 sobre mensagens comerciais não solicitadas.
72
legal, nem obrigação jurídica no que respeita à salvaguarda da saúde pública. Embora a
educação dos consumidores possa ser, em si mesma, um objectivo útil, ela não tem uma
relação próxima com a finalidade primária de vender produtos e não pode justificar o
tratamento posterior. De facto é muito improvável que os clientes pudessem esperar que os
seus dados fossem utilizados (e explorados com recurso a utensílios analíticos) desta forma.
A natureza dos dados e a forma como eles são utilizados para classificar clientes como
“indivíduos de alto risco” (que necessitam de ajuda com os seus problemas de obesidade
ou de álcool) é um factor chave que contribui para a incompatibilidade. Embora os próprios
dados (por ex. comprar uma barra de chocolate ou uma lata de cerveja num certo dia)
não sejam de modo nenhum sensíveis, as inferências que podem ser retiradas deles são-
no. O impacto potencial sobre os clientes depende de vários factores: enquanto alguns
clientes poderão achar os folhetos úteis, outros poderão sentir-se apontados, incomodados,
pressionados ou discriminados. Este impacto negativo pode ser intensificado pela falta de
transparência da informação disponibilizada às pessoas em causa sobre a forma como a sua
informação é utilizada e por que motivo recebem as brochuras.
Apesar das boas intenções, a utilização posterior e a transferência dos dados das crianças
suscitam problemas de compatibilidade. Em vez de transferir automaticamente os dados sem
consentimento, poderiam ter sido utilizados métodos alternativos, tais como informar os
pais e/ou as crianças directamente sobre as sessões de formação. Este exemplo realça que a
avaliação da compatibilidade não pode ser reduzida a uma verificação mecânica e exige uma
abordagem de senso comum. Por vezes, vários factores podem indicar compatibilidade, mas
73
uma ou duas considerações cruciais sugerirão incompatibilidade. Neste caso, os objectivos
educativos da formação estão estreitamente relacionados com os objectivos educativos da
escola e a utilização dos dados para organizar a acção não seria necessariamente problemática
em si mesma, especialmente à luz do potencial impacto positivo sobre os alunos. Contudo, o
facto de os dados serem desnecessariamente transferidos para um terceiro quando há outros
meios de comunicação disponíveis sugere incompatibilidade.
Não obstante, dois anos depois, o gerente pretende usar algumas dessas fotografias
no sítio da empresa na web, para promover o seu programa de férias. As fotografias são
inofensivas mas algo íntimas, na medida em que capturam artisticamente momentos e
emoções privadas enquanto decorria o trekking em altitude. Durante uma reunião, o gerente
pede aos indivíduos cujas fotografias pretende utilizar que consintam no carregamento
das fotografias no sítio na web. Alguns dos participantes dão consentimento informado,
inequívoco e explícito (para assegurar a documentação do consentimento o gerente
redigiu um documento simples mas claro que é então assinado por todos aqueles que
consentiram). Outros preferem que as suas fotografias não sejam carregadas no sítio na web.
Subsequentemente o gerente carrega apenas aquelas fotografias para as quais os indivíduos
em causa deram o seu consentimento.
74
Exemplo 8: Um sítio de partilha de fotografias na web altera a sua política de privacidade
Esta utilização posterior das fotografias – para além de suscitar outras preocupações
de protecção de dados, tais como a validade do consentimento, a proporcionalidade e a
legitimidade – também suscita problemas de compatibilidade. É claro que a modificação
não poderia ser esperada pelos clientes que, nesta altura, já carregaram em linha dois anos
de fotografias suas no entendimento de que seriam partilhadas apenas “com quem (eles)
quisessem e quando (eles) quisessem”. A finalidade do tratamento inicial (permitir aos
clientes a partilha de fotografias com os seus amigos) está claramente não relacionada com
a utilização – excessiva – posterior pela empresa. O contexto e as garantias específicas dadas
na publicidade dos serviços aquando da recolha inicial também confirmam a avaliação de
incompatibilidade.
75
Exemplo 9: Algoritmos secretos prevêem a gravidez de clientes a partir dos hábitos de
compra
Em suma, e para além de outras questões que este caso possa suscitar, há uma forte
indicação de incompatibilidade, primariamente devida à maneira como os dados são tratados
e à ausência de garantias (tais como a transparência, bem como consentimento informado
e genuíno). Este caso pode ser colocado em contraste com o seguinte, também sobre o
estabelecimento de perfis de clientes, mas numa forma socialmente mais aceitável.
76
O aviso está redigido com clareza e menciona, entre outras coisas, que se o cliente
escolher a opção a) “Quero que o meu histórico de compras seja armazenado em linha para
poder receber descontos personalizados”, então o histórico de compras pode ser utilizado
para “analisar os padrões de compra e fazer ofertas personalizadas especiais aos clientes
leais”. Em alternativa, o aviso explica que se o cliente ainda quiser conservar o seu cartão
de lealdade e assim beneficiar do desconto de 10% (e do todos os descontos gerais) “Quero
que os meus detalhes sejam mantidos privados e receber apenas os descontos gerais”,
pode escolher não ser sujeito a estabelecimento de perfil e não receber ofertas e descontos
personalizados. São dados mais detalhes quer em linha quer fora de linha.
Num dia de primavera uma cliente leal e entusiasta da jardinagem, que optara por
descontos personalizados, recebe uma oferta especial pelo correio: 30% de desconto num
cortador de relva novo, menos ruidoso e energeticamente mais eficiente, precisamente
quando o seu velho cortador de relva estava a começar a dar-lhe problemas.
Ela fica interessada e liga-se em linha para descobrir mais sobre a oferta. Cada titular
de cartão tem acesso, não apenas a recomendações personalizadas e a ofertas especiais,
mas também ao seu próprio histórico de compras dos últimos cinco anos — informação
que a loja retém por defeito. O sítio tem muitas características de utilização fácil para
analisar as compras feitas e para recomendar artigos adicionais de que o cliente poderia
gostar. Também inclui um artigo informativo em lugar de destaque sobre as formas como
o software de analítica funciona, destacando as práticas comuns na indústria, as quais são
igualmente utilizadas pela loja de jardinagem. Por exemplo, o artigo explica que as ofertas
especiais, para artigos anteriormente comprados pelo cliente, serão enviadas por altura da
época em que os clientes poderão começar a pensar em substituir os seus modelos antigos.
O artigo também explica que o desconto a aplicar será personalizado com base em
vários factores, tais como o dispêndio mensal médio do cliente na loja (quanto mais gastarem,
maior o desconto), a aceitação de ofertas anteriores e outros indicadores semelhantes que
são descritos transparentemente e em detalhe. Esta transparência já deu lugar a piadas
na secção “fórum” do sítio na web sobre o tempo médio que certos cortadores de relva
demoram a avariar e à partilha de estratégias e pistas sobre como “enganar” o sistema e
obter melhores descontos. Por exemplo, muitos clientes começaram a clicar especificamente
em certos artigos descontados no sítio, para mostrar que fazem compras e assim sugerir que
reagirão bem a um desconto maior.
O sítio também permite que o histórico de compras do cliente seja descarregado num
formato padrão. Alguns clientes, por exemplo, podem decidir integrar estes dados num
utensílio de software (adquirido à parte) que utilizam para planear e analisar as suas finanças
pessoais.
77
Tal como no exemplo anterior relacionado com a previsão da gravidez, este caso exige
uma análise complexa dos detalhes, que não poderiam ser cobertos num curto resumo. No
entanto, vale a pena comparar os dois casos, que exibem muitas semelhanças mas também
muitas diferenças. Ambos os casos envolvem o estabelecimento de perfis de clientes para fins
de comercialização, mas o senso comum sugere que enquanto o primeiro caso é claramente
objectável para a maioria das pessoas, o segundo parece ser muito menos problemático.
78
relevante que tiverem sido comprados e informar os clientes do defeito “por todos os
meios razoáveis”. A legislação nacional não dá detalhes sobre como exactamente devem
ser notificados os proprietários dos veículos, mas desenvolveu-se uma prática pela qual
— a pedido — o serviço nacional de registo de automóveis (que é desempenhado por um
organismo público) fornece ao fabricante uma lista actualizada de todos os proprietários
de automóveis abrangidos. A legislação sobre registo de veículos também não contém
disposições específicas.
De acordo com esta prática, a transferência fica documentada num contrato padrão
desenvolvido pelo serviço nacional de registo de veículos que estabelece condições estritas
para a utilização dos dados. O contrato, entre outras coisas, proíbe a utilização dos dados
para finalidades adicionais (tais como comercialização). Outras garantias, tais como medidas
técnicas e organizativas para proteger a segurança dos dados, estão também tratadas de
forma adequada e são aplicadas.
Com base nestas considerações, a utilização dos dados de registo pelo registo dos
veículos para esta finalidade será provavelmente considerada compatível: a utilização
posterior parece estar de algum modo relacionada, talvez mesmo ser uma finalidade
esperada, claramente no interesse das pessoas em causa (e assim, com um impacto positivo
sobre estas). A natureza dos dados (isto é, quem é o proprietário de um certo automóvel) não
é abertamente sensível (embora não seja trivial), o que também confirma a análise.
79
Neste caso, em suma, considerando também o significativo impacto positivo sobre as
pessoas em causa, pode considerar-se que a sua utilização será provavelmente compatível.
Contudo, para finalidades de certeza jurídica e previsibilidade, seria desejável actualizar
as disposições legislativas de modo a permitirem claramente a transferência de dados do
registo para os fabricantes nestas situações, e para estabelecer as garantias necessárias, que
actualmente apenas estão cobertas pelo clausulado contratual.
Para além de outras preocupações a que este cenário possa dar lugar, é claro que
existe um problema quanto à compatibilidade. Embora as finalidades sejam até certo
ponto semelhantes (ambos os casos se referem a um exame prévio ao emprego efectuado
por um departamento governamental), eles podem igualmente ser distinguidos. Isto é
especialmente assim dado que os dois departamentos têm cada um deles a sua própria
organização e procedimentos de recursos humanos. Em geral pode dizer-se que uma pessoa
razoável não esperaria ver a sua candidatura a um emprego ser rejeitada com base num
exame médico negativo efectuado dois anos antes, ao candidatar-se a um emprego diferente
numa organização diferente (muito embora ambos os departamentos sejam partes da mesma
estrutura governamental global do país em questão).
80
possível utilização dos seus dados) e a ausência de previsibilidade e de certeza jurídica (não
há acordos formais entre os departamentos nem disposições legais que permitam os acordos
informais referidos acima para partilha de atestados médicos entre os dois departamentos)
também contribuem para a avaliação de incompatibilidade. Finalmente, quer a natureza
dos dados (dados médicos que sugerem falta de robustez para o trabalho) quer o potencial
impacto (rejeição do emprego) confirmam essa avaliação.
Isto poderia ter sido claramente previsto em acordos formais entre os dois departamentos
e poderia também ter sido sujeito ao consentimento claro e informado da pessoa em causa.
Seria exequível que este consentimento informado fosse dado por ocasião do primeiro
exame médico e poderia cobrir a utilização dos atestados “limpos” durante um período de
tempo razoável (por exemplo, dois anos).
81
mesmo difícil conceber como poderia o Departamento de Habitação descobrir de outra
forma se uma única casa foi convertida para ocupação múltipla, salvo se interrogasse toda a
gente por correio, na esperança de obter uma boa taxa de respostas.
Em termos da natureza dos dados, estes poderão ser sensíveis, visto que estamos a
falar de potenciais infracções: não instalação das necessárias precauções de prevenção de
incêndios. Quanto ao impacto, é misto: por um lado, os inquilinos poderão beneficiar do
incremento de precauções de segurança contra incêndios que, em última análise, deixam
de poder ser ignoradas. Por outro lado podem também enfrentar penalidades por terem
ignorado até agora as regras de segurança contra incêndios. Para além disso, em termos de
expectativas razoáveis e certeza jurídica, seria normalmente difícil concluir que a utilização
dos dados dos subsídios para finalidades de prevenção de incêndios fosse previsível.
Por estas razões, este pode ser um caso limite de avaliação de compatibilidade. Se
fosse exequível, poderiam aplicar-se dispositivos adicionais, como por exemplo, informar
claramente os inquilinos das suas obrigações em matéria de segurança contra incêndios
quando requerem o subsídio e avisá-los, dando-lhes um prazo razoável para agir, que no caso
de não as cumprirem, os seus dados serão transferidos para o Departamento de Habitação.
Num sítio governamental na web é publicado um relatório sobre crime que inclui dados
estatísticos detalhados sobre vítimas de violação e de ofensas sexuais numa vizinhança
predominantemente conservadora. Os dados foram publicados por um departamento
governamental tendo em vista elevar o nível de consciência deste problema. O departamento
não dispunha da necessária perícia estatística e de protecção de dados e não aplicou um
procedimento que assegurasse suficientemente a anonimização completa dos dados. Em
resultado disto, alguns dos dados que o departamento acreditava estarem anonimizados,
permitiram em todo o caso a familiares dessas mulheres a sua identificação. Como
consequência, várias mulheres sofreram severas discriminações e foram rejeitadas pela sua
comunidade. Uma das vítimas suicidou-se.
82
avaliação de utilização incompatível. Embora possa ser razoavelmente esperado que os
dados sejam utilizados para finalidades estatísticas, as pessoas em causa teriam igualmente
esperado (especialmente quando se considera a natureza altamente sensível dos dados, a
vulnerabilidade das vítimas envolvidas e a gravidade das possíveis consequências) que a
anonimização fosse “impenetrável” e afastasse categoricamente qualquer possibilidade de
reidentificação. As garantias foram, assim, insuficientes.
83
Exemplo 16: Doentes abonando um praticante de medicina alternativa
Para além de outras preocupações que este cenário possa suscitar, o exemplo ilustra
que, embora os dados pessoais tenham sido publicados na internet, tal não significa que a
informação tenha deixado de merecer protecção. De facto, nas circunstâncias deste caso,
o tratamento posterior levanta problemas graves de compatibilidade. Em primeiro lugar,
é óbvio que há pouca semelhança entre as finalidades para as quais as pessoas em causa
forneceram a sua informação (recomendar um profissional médico) e as finalidades para
as quais o negócio em linha pretende utilizá-la (comercialização). Embora as pessoas em
causa possam ter compreendido que assumem certos riscos tornando os seus dados públicos
na internet, isto certamente não significa que tenham autorizado de modo nenhum a sua
utilização para uma finalidade não relacionada e incompatível.
A natureza dos dados (dados clínicos sensíveis) também contribui para a avaliação
de incompatibilidade. Finalmente, embora o impacto não seja frequentemente maior que
a recepção de algumas comunicações não solicitadas, nalguns casos (dependendo do tipo
de condição clínica envolvida) isto pode causar um incómodo mais grave. Em suma, o
tratamento parece ser incompatível.
Uma empresa de telecomunicações está obrigada por lei (lei nacional que transpõe
a Directiva de Conservação de Dados) a armazenar certos dados dos seus assinantes pelo
prazo de um ano: entre outras informações, são registadas a data, a hora e a duração de
124 A Directiva de Conservação de Dados (Directiva 2006/24/CE) foi adoptada em 15 de Março de 2006 e publicada no JO 2006,
L105/54.
84
cada telefonema, bem como os números de telefone marcados, para tratamento posterior
no âmbito do combate ao terrorismo e da investigação de outra actividade criminosa grave.
São disponibilizados rotineiramente extractos destes dados aos serviços de aplicação da lei,
para estas finalidades.
As leis da União Europeia exigem que sejam recolhidas as impressões digitais dos
candidatos a asilo para que a sua identidade possa ser inequivocamente estabelecida. Foi
criada uma base de dados (“EURODAC”) para conter as impressões digitais. O objectivo
deste sistema é impedir os candidatos a asilo de formularem simultaneamente múltiplos
requerimentos em diferentes Estados Membros.
85
autoridades de aplicação da lei sejam autorizadas a aceder à base de dados de impressões
digitais. Tal como nos casos acima, as finalidades iniciais da base de dados e as finalidades
posteriores para as quais o acesso é pretendido são inteiramente não relacionadas. A natureza
dos dados e o potencial impacto sobre as pessoas em causa também sugerem, ambos, a
incompatibilidade. Os dados não devem ser utilizados para outra finalidade que pode ter
profundos impactos negativos nas vidas dos indivíduos, só por já terem sido recolhidos.
Exemplo 20: Dados de contadores inteligentes usados para fins tributários e para
detectar fábricas de cannabis em interiores
86
As autoridades tributárias querem ter acesso aos dados em volume para detectar
quaisquer casas ou apartamentos que estando declarados como devolutos tenham na
realidade pessoas a residir neles. As autoridades de aplicação da lei também querem
explorar os dados para detectar fábricas secretas de cannabis em interiores. Em alternativa,
consideram uma parceria com as empresas de energia pela qual seriam as empresas a ajudar
a identificar violações específicas das leis tributárias e penais. Nesta abordagem, os dados
seriam transferidos mais selectivamente para as autoridades tributárias e de aplicação da lei,
na base de uma análise de risco e de estabelecimento de perfis executadas pelas empresas
energéticas, que resultariam numa selecção das pessoas em causa com risco acrescido de
violação da lei.
Em ambos os casos, tal como nos exemplos anteriores, dados comerciais fornecidos
para uma finalidade inteiramente não relacionada são utilizados para finalidades tributárias
ou de aplicação da lei. Uma tal utilização não pode razoavelmente ser esperada pelas pessoas
em causa, especialmente se não fizeram nada de errado e não se encontram sob qualquer
suspeita ou investigação em particular. Estes factores indicam fortemente incompatibilidade.
87
e efectivos para corrigir quaisquer resultados inexactos e transparência face às pessoas em
causa.
Tal como nos exemplos anteriores, os dados comerciais fornecidos para uma finalidade
inteiramente não relacionada são também utilizados para finalidades de aplicação da lei e
tributárias. A utilização destes dados não pode ser razoavelmente esperada pelas pessoas
em causa, especialmente se não fizeram nada de errado e não se encontram sob qualquer
suspeita ou investigação em particular. Estes factores indicam fortemente incompatibilidade.
A natureza dos dados é uma circunstância mitigante, já que os indivíduos actuam na sua
capacidade profissional (comércio de licenças de emissão no mercado). Não obstante, a
forma como os dados são tratados (algoritmos secretos e estabelecimento oculto de perfis)
e o significativo impacto potencial sobre as pessoas em causa (consequências tributárias,
penalidades administrativas, detenção, sanções criminais) indicam que a utilização posterior
é incompatível e só permissível sujeita às estritas condições estabelecidas no artigo 13.º da
Directiva.
88