Dados intra commercium e extra commercium – A propósito do tema da Worldcoin

Doutrina

A CNPD decidiu, a 26 de março, suspender a recolha de dados biométricos faciais e da íris que a empresa Worldcoin recolhe há vários meses. A decisão surge na sequência de uma avalanche de denúncias recebidas pela CNPD, denunciando a recolha de dados biométricos de menores sem autorização dos pais ou representantes legais, bem como deficiências na informação prestada para a recolha desses dados, e na sequência de uma recomendação de prudência da própria CNPD aos cidadãos relativamente ao fornecimento desses dados, encorajando “as pessoas a refletirem sobre a sensibilidade dos dados que pretendem fornecer, que são únicos e fazem parte da sua identidade, e os riscos que tal implica, e a ponderarem o significado de a cedência dos seus dados biométricos envolver, em contraprestação, um eventual pagamento”. É preciso ainda ter em conta que, em troca dos dados, a empresa entregou criptomoedas cuja existência tem sido reportada como duvidosa (já para não falar da sua elevadíssima volatilidade em geral).

Em Espanha, no início de março, a AEPD ordenou a suspensão cautelar da atividade da Worldcoin pelos mesmos motivos que a CNPD hoje apresenta. A medida foi objeto de recurso pela Worldcoin. Porém, a Audiencia Nacional considerou que a atuação da AEPD foi correta, porque a salvaguarda do interesse geral, que consiste na garantia do direito à proteção dos dados pessoais dos seus titulares, deve prevalecer sobre o interesse particular da empresa recorrente, de conteúdo fundamentalmente económico. A Audiencia Nacional argumenta que, se se verificasse que a Worldcoin cumpre o RGPD, poderia solicitar uma compensação financeira baseada na medida cautelar, estando reunidos os respetivos requisitos. Não parece muito provável, uma vez que a medida cumpre os três requisitos fundamentais: fumus boni iuris, periculum in mora e proporcionalidade.

O caso, como se pode ver, deu origem a um intenso debate em Espanha e em Portugal, bem como noutros países da União Europeia. A conduta da empresa é duvidosa – e não só devido às deficiências na informação contratual fornecida ou às características da contraprestação oferecida. São também utilizadas práticas questionáveis nos stands de informação e venda da Worldcoin para convencer as pessoas (muitas delas menores de idade) a vender os seus dados biométricos.

Há, no entanto, outro aspeto que importa analisar. Estamos a falar da natureza intra commercium dos dados pessoais.

Há alguns meses, neste blog, discuti os requisitos do pagamento com dados, partindo do princípio de que esta realidade é legalmente possível, e até aconselhável, apesar das reticências expressas na altura pelo EDPS e pelo EDPB, recentemente atualizadas em relação ao debate em torno do modelo “pay or ok”. Isto implica também que a lei deve encarar os dados pessoais não só como parte de um direito fundamental (art. 8.º da Carta Europeia de Direitos Fundamentais; art. 18.º, n.º 4, da Constituição Espanhola; art. 26.º da Constituição Portuguesa), mas também como um ativo económico, ou seja, como bens num sentido patrimonial, que podem ser transacionados e, por conseguinte, utilizados como contraprestação. Se os dados podem constituir uma contraprestação, devem também poder ser uma prestação principal. Por outras palavras, se uma pessoa pode pagar certos bens e serviços digitais com os seus dados pessoais, nada deve impedi-la, pela mesma razão, mas em sentido inverso, de entregar os seus dados pessoais em troca de pagamento (seja em moeda com curso legal, criptomoeda ou qualquer outro tipo de contraprestação).

De acordo com esta lógica, não deveria haver qualquer impedimento à comercialização de dados pessoais, apesar de o direito à proteção de dados ser um direito fundamental; tal como o direito à vida privada e familiar (art. 7.º da Carta Europeia de Direitos Fundamentais; art. 18.º, n.º 1, da Constituição Espanhola; art. 26.º da Constituição Portuguesa), o que não impede que sejam objeto de comercialização através da venda de direitos de imagem a marcas comerciais, da venda de exclusivos de pessoas conhecidas, ou da própria atividade de alguns influencers e youtubers, que claramente comercializam tanto a sua imagem como a sua privacidade.

O caso Worldcoin sugere uma reflexão mais aprofundada sobre o carácter intra commercium dos dados pessoais: será que todos os dados pessoais devem ser comercializáveis e, portanto, servir de contraprestação para o pagamento de certos bens e serviços digitais (ou vice-versa)?

Uma primeira resposta a esta questão pode ser afirmativa: todos os dados pessoais devem ser comercializáveis porque o direito fundamental à proteção de dados pode ser comercializável na mesma medida que outros direitos fundamentais que lhe são próximos, como o direito à privacidade pessoal ou familiar ou o direito à própria imagem. A comercialidade do direito à própria imagem não difere em função do conteúdo da imagem pessoal que é objeto de comércio: é tão comercial posar para uma marca como ser filmado nu para um filme. Será diferente a questão das regras específicas aplicáveis a cada atividade, além da comercialização do direito à própria imagem. Pensemos, por exemplo, na atuação de menores em filmes.

A segunda resposta que pode ser dada é não. Esta resposta, formulada em termos absolutos, já foi partilhada pelo EDPS e pelo EDPB, e já foi respondida em várias ocasiões, em relação à desproporcionalidade da posição e do argumento. Resta, portanto, optar por uma resposta à moda galega: depende. Segundo esta opção (a nosso ver mais precisa e proporcionada), os dados pessoais não devem ser considerados comercializáveis ou não pelo simples facto de serem dados pessoais, mas em função do tipo de informação a que se referem. Deve estabelecer-se uma presunção geral iuris tantum de comercialidade e prever-se restritivamente as categorias de dados pessoais que devem ser excluídas do comércio. Uma primeira tentativa de situar este “depende” seria a grande divisão traçada pelo RGPD entre dados pessoais comuns e categorias especiais de dados pessoais. É claro que os dados pessoais “comuns” seriam totalmente comercializáveis.

O RGPD define dados pessoais como “qualquer informação relativa a uma pessoa identificada ou identificável” (art. 4.1) e distingue duas grandes categorias de dados pessoais: dados pessoais comuns e categorias especiais de dados pessoais. Os dados pessoais comuns são definidos por exclusão: todos os dados que não são considerados categorias especiais de dados pessoais. As categorias especiais de dados pessoais são os dados que revelam a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical; e os dados genéticos, os dados biométricos, os dados relativos à saúde, à vida sexual e à orientação sexual de uma pessoa singular (art. 9.1 RGPD).

As categorias especiais de dados pessoais representam um risco mais elevado para os direitos e liberdades fundamentais (Cons. 51 RGPD), razão pela qual o art. 9.1 RGPD prevê uma proibição geral de tratamento destas categorias de dados. Na prática, este sistema bipartido implica o seguinte: (1) em princípio, todo o tratamento de dados deve ser efetuado de acordo com uma base legítima, tal como estabelecido no art. 6 RGPD. No caso de categorias especiais de dados, não só deve ser selecionado pelo menos um fundamento de legitimação do art. 6 RGPD, como também deve ser encontrada uma exceção à proibição geral de tratamento de categorias especiais de dados (art. 9.1 e 9.2 RGPD).

Embora seja verdade que, em geral, o tratamento de categorias especiais de dados implica um risco maior para os direitos e liberdades das pessoas em causa, nem todos eles devem ser excluídos do comércio, mas apenas aqueles cujo tratamento não está sujeito a um controlo ou regulamento específico e que, por si só, implica um risco ainda maior para os direitos e liberdades não só das pessoas em causa, mas da população em geral. Recordemos que partimos da presunção iuris tantum de que os dados pessoais são bens intra commercium e que, por conseguinte, a exclusão do comércio de certas categorias de dados deve encontrar uma razão justificada que permita destruir a presunção e que mesmo essa razão deve ser interpretada de forma restritiva.

Que dados pessoais devem então ser excluídos do comércio?

Entendemos que a exclusão deve estender-se principalmente a três categorias de dados pessoais, tal como definidas no RGPD: (1) dados genéticos, (2) dados biométricos e (3) dados relativos à saúde:

– Os dados genéticos são “dados pessoais relativos às características genéticas herdadas ou adquiridas de uma pessoa singular que fornecem informações únicas sobre a fisiologia ou a saúde dessa pessoa, obtidas, nomeadamente, a partir da análise de uma amostra biológica dessa pessoa” (art. 4.13 RGPD);

– Os dados biométricos são “dados pessoais obtidos a partir de um tratamento técnico específico, relativos às características físicas, fisiológicas ou comportamentais de uma pessoa singular, que permitem ou confirmam a identificação única dessa pessoa, tais como imagens faciais ou dados dactiloscópicos” (art. 4.14 RGPD);

– E os dados relativos à saúde são “dados pessoais relativos à saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde” (art. 4.15 RGPD).

As interfaces cérebro-computador (ICC) permitem medir e registar a atividade gerada pelo cérebro, que servirá de identificador biométrico. As ondas cerebrais registadas por uma BCI são traduzidas em dados fisiológicos depois de processadas e descodificadas. Aplicando ferramentas avançadas de análise de dados e sistemas de IA, é possível inferir pensamentos, sentimentos, estados de saúde, traçar o perfil do indivíduo e fazer inferências sobre o seu passado, presente e futuro. Por outro lado, o cérebro é um identificador único, tal como a impressão digital ou o genoma. Além disso, a neurotecnologia permite não só recolher informações neurológicas em tempo real, mas também gerar estímulos que alteram a atividade cerebral e modificam o comportamento da pessoa a curto e a longo prazo. Em última análise, esta tecnologia e a utilização de dados neurológicos apresentam sérios riscos para os direitos e liberdades fundamentais dos indivíduos. Isto levou alguns Estados, como o espanhol, a começar a propor a elaboração de direitos dos cidadãos em relação à utilização das neurotecnologias, embora, por enquanto, apenas como propostas regulamentares sujeitas a debate (Artigo XXVI Carta dos Direitos Digitais). No que nos diz respeito, os neurodados devem ser entendidos como uma subcategoria dos dados biométricos.

Os dados genéticos, os dados biométricos e os dados relativos à saúde são as únicas três categorias especiais de dados pessoais definidas no art. 4 RGPD e as únicas para as quais o RGPD permite que os Estados-Membros introduzam restrições ao tratamento, desde que não constituam um obstáculo à sua livre circulação (art. 9.4 RGPD). Estas circunstâncias demonstram a importância destas três categorias de dados pessoais, além de serem categorias especiais de dados.

O tráfico de dados genéticos, biométricos e relativos à saúde deve ser objeto de uma regulamentação específica, de modo a que a sua circulação constitua um “tráfico regulamentado”, devido à natureza especial das informações a que se referem. Esta é a razão das possíveis restrições nacionais que o RGPD permite que os Estados-Membros imponham e, sobretudo, a razão da atual construção do Espaço Europeu de Dados de Saúde (EEDS). No âmbito do EEDS, foi publicada uma Proposta de Regulamento sobre o Espaço Europeu de Dados de Saúde, relativa à utilização de dados de saúde, ou seja, dados de saúde e dados genéticos (art. 2.2, alíneas a), b) e c)). No que diz respeito aos dados biométricos, o seu impacto particular nos direitos e liberdades fundamentais refletiu-se no Regulamento relativo à Inteligência Artificial, que classifica os sistemas de identificação biométrica como de alto risco (Anexo III, nº 1, e Cons. 44 e 54).

Uma questão discutível é a de saber onde termina a fronteira dos dados biométricos ou relacionados com a saúde ou, por outras palavras, como lidar com a vis expansiva destas categorias de dados. Um exemplo desta vis expansiva é o facto de uma fotografia de uma pessoa poder ser considerada um dado biométrico se permitir a identificação unívoca ou de uma pessoa (Cons. 51 RGPD), ou o facto de, por vezes, a mera consulta de determinados sítios web também poder ser considerada um dado relativo à saúde (Cons. 68 a 73 da Sentença do TJUE, de 4 de julho de 2023).

Em suma, o princípio da livre circulação de dados pessoais protegido e promovido pelo RGPD (e anteriormente pela Diretiva 95/46/CE) deve levar ao entendimento de que o tráfego económico de dados pessoais é legal, desde que os requisitos para qualquer troca de serviços onerosos sejam cumpridos de acordo com as regras dos Estados-Membros em matéria de obrigações e contratos. Isto implica que o pagamento com dados pessoais para determinados bens e serviços deve ser entendido como possível, por exemplo, escolhendo entre o pagamento com dados de modo a permitir uma navegação personalizada com base em perfis (ver o art. 38 do Digital Services Act) ou pagamento monetário pelo mismo serviço, como recentemente recordado pelo TJUE, na Sentença de 4 de julho de 2023 (Cons. 150 em particular). Do que precede deve resultar que é igualmente lícito vender os próprios dados pessoais em troca de uma contraprestação.

No entanto, embora se deva partir do princípio de que todos os dados pessoais são comercializáveis, devem ser excluídos do comércio os dados pessoais cujo tratamento (e especialmente cujo tráfico não está sujeito a regulamentação específica) tem um maior impacto nos direitos e liberdades fundamentais. Estes dados são, a nosso ver, os dados biométricos (incluindo os neurodados), os dados genéticos e os dados relativos à saúde.

Considerar certas categorias de dados como dados fora do comércio não implica que essas categorias de dados não sejam objeto de análise, nem exclui o desenvolvimento de perfis com base nessa análise de dados. Trata-se apenas de fazer avançar a barreira da proteção, não no final da cadeia de valor dos dados (ou seja, proteção contra atividades de definição de perfis de indivíduos específicos), mas no início (recolha e tráfico livres dos dados que alimentam os perfis). A livre circulação destas categorias de dados também não seria impedida: trata-se apenas de submeter essa circulação a um controlo público no interesse de uma melhor proteção dos direitos e liberdades afetados pela informação a que estas categorias de dados se referem. Aliás, isto já está no espírito do Regulamento europeu relativo ao espaço de dados de saúde.

De acordo com isto, a atividade desenvolvida pela Worldcoin não só constituiria um tratamento de dados questionável pelas razões já invocadas por autoridades nacionais como a AEPD ou a CNPD, mas também por se tratar de um tráfego oneroso de dados pessoais extra commercium.

Outro artigo sobre o ChatGPT? O possível futuro dos modelos fundacionais no Regulamento sobre Inteligência Artificial

Doutrina

Tanto o (ainda) futuro Regulamento sobre Inteligência Artificial (IA) como as ferramentas de Inteligência Artificial Generativa (ChatGPT ou Dall-e, entre outros) foram objeto de ampla discussão ao longo de 2023. As ferramentas de IA generativa, que explodiram em termos de popularidade no início do ano passado, suscitaram propostas de alterações significativas ao texto da Proposta de Regulamento de IA e debates entre Estados. Algumas dessas alterações podem ser encontradas nas Emendas à Proposta de Regulamento sobre IA apresentadas pelo Parlamento Europeu em 14 de junho de 2023. No final de 2023, ainda durante a presidência espanhola da UE, existiam duas posições opostas sobre a regulamentação dos modelos fundacionais: (1) fazê-lo através de códigos de conduta sem um regime de sanções por incumprimento; ou (2) a inclusão de certas obrigações no próprio Regulamento IA, referindo-se principalmente à transparência, embora também relacionadas com os direitos de autor.

Nesta publicação do blog, vamos centrar a nossa atenção em algumas das alterações do Parlamento Europeu sobre modelos fundacionais e na forma como isso afeta a IA generativa.

Para começar, convém esclarecer brevemente três conceitos: IA de objetivo geral, modelos fundacionais e Chat GPT.

Considera-se que os sistemas de IA de uso geral são os concebidos para desempenhar funções de uso geral, como o reconhecimento de texto, imagem e voz, a geração de texto, áudio, imagem ou vídeo, a deteção de padrões, a resposta a perguntas ou a tradução. Estes sistemas não teriam sido possíveis sem a redução dos custos de armazenamento e processamento de grandes quantidades de dados (big data).

Os modelos fundacionais, por outro lado, são modelos de inteligência artificial treinados em grandes quantidades de dados e concebidos para produzir informações gerais de saída capazes de ser adaptados a uma grande variedade de tarefas. Não devemos relacionar os modelos fundacionais exclusivamente com a IA de objetivo geral: um modelo fundacional pode servir tanto para sistemas de IA de objetivo específico como para sistemas de IA de objetivo geral. No entanto, os modelos fundacionais que não sirvam para ferramentas de IA para fins gerais não seriam abrangidos pelo futuro Regulamento relativo à IA (alteração 101 do PE e considerando 60-G).

O ChatGPT colocou desafios sociais e jurídicos significativos, não só em termos de direitos de autor, mas também em termos de cibersegurança e proteção de dados pessoais. Este tema será, no entanto, discutido num texto separado. Por enquanto, vejamos o que o futuro do Regulamento IA pode reservar para os modelos fundacionais, se as alterações do Parlamento Europeu forem aceites.

Os princípios gerais dos sistemas de IA

A alteração 213 do Parlamento Europeu propõe a introdução de um novo artigo 4º-A relativo aos princípios gerais aplicáveis a todos os sistemas de IA. Trata-se, de certa forma, de um equivalente ao artigo 5.º do Regulamento Geral sobre a Proteção de Dados, relativo aos princípios aplicáveis ao tratamento de dados pessoais.

Nos termos do artigo 4.º-A, todos os operadores abrangidos pelo âmbito de aplicação do Regulamento IA devem envidar todos os esforços para desenvolver e utilizar sistemas ou modelos fundacionais em conformidade com os seguintes princípios, destinados a promover uma abordagem europeia coerente, centrada no ser humano, de uma IA ética e fiável:

– Intervenção humana e vigilância

– Robustez técnica e segurança

– Privacidade e governação dos dados

– Transparência (e explicabilidade)

– Diversidade, não discriminação e equidade

– Bem-estar social e ambiental

Estes seis princípios serão aplicáveis tanto aos sistemas de IA como aos modelos fundacionais. No entanto, no caso dos modelos fundacionais, devem ser cumpridos pelos fornecedores ou responsáveis pela aplicação em conformidade com os requisitos estabelecidos nos artigos 28.-B. Note-se que os artigos 28.º a 28.º-B fazem parte do Título III relativo aos sistemas de alto risco. Já salientámos no início que as últimas discussões na negociação do Regulamento no que se refere aos modelos fundacionais não os consideram sistemas de alto risco. O mesmo não parece resultar das alterações do Parlamento. Por conseguinte, deve entender-se que os modelos fundacionais serão regulados nas disposições que os mencionam expressamente, como é o caso do artigo 4º-A ou dos artigos 28º a 28º-B, mas não no Título III do RIA no seu conjunto.

O artigo 28.º do PRIA diz respeito às obrigações dos distribuidores, importadores, utilizadores e terceiros. As alterações do Parlamento propõem a substituição do título por “Responsabilidades ao longo da cadeia de valor da IA dos fornecedores, distribuidores, importadores, responsáveis pela aplicação ou terceiros”. A referência a toda a cadeia de valor da IA é, na minha opinião, uma boa medida, uma vez que sublinha a importância de todo o processo de IA: não só o seu desenvolvimento, mas também a sua utilização. Tenho mais dúvidas em substituir a palavra “obrigações” por “responsabilidades” ou em incluir no título uma lista pormenorizada de todas as partes envolvidas.

A maior parte das obrigações relativas aos modelos fundacionais encontra-se no n.º 3 do artigo 28.º (novo, alteração 399), que se intitula “Obrigações do fornecedor de um modelo fundacional” (o termo “obrigações” é retomado aqui).

Podemos agrupar as obrigações do fornecedor de modelos fundacionais em três grupos:

– Obrigações anteriores à comercialização de modelos fundacionais (n.ºs 1 e 2). Estas obrigações aplicam-se ao fornecedor, independentemente de o modelo ser fornecido autonomamente ou integrado num sistema de IA ou noutro produto ou de ser fornecido ao abrigo de licenças gratuitas e de fonte aberta.

– Obrigações pós-comercialização (n.º 3), e

– Obrigações específicas relativas aos sistemas de IA generativa, ou seja, especificamente destinados a gerar conteúdos, como texto, imagem, áudio ou vídeo complexos (secção 4).

Obrigações anteriores à comercialização do modelo fundacional

De acordo com o art. 28.ter.2, o fornecedor de um modelo fundacional, antes de comercializar ou colocar o modelo em funcionamento, deve (tendo em conta o estado da arte num dado momento):

– Demonstrar a deteção, redução e mitigação de riscos razoavelmente previsíveis para a saúde, a segurança, os direitos fundamentais, o ambiente, a democracia ou o Estado de direito.

o Tal deve ser demonstrado através de uma conceção, testes e análises adequados e com a participação de peritos independentes.

o Deve também fornecer documentação sobre os riscos não mitigáveis remanescentes após o desenvolvimento.

– Só deve processar e incorporar conjuntos de dados sujeitos a medidas de governação adequadas para modelos fundacionais.

o Em particular: adequação das fontes, enviesamentos e atenuação adequada.

– Deve conceber e desenvolver o modelo

o de modo a atingir, ao longo do seu ciclo de vida, níveis adequados de desempenho, previsibilidade, interpretabilidade, correção, segurança e cibersegurança, avaliados por métodos adequados;

o utilizando as normas aplicáveis para reduzir o consumo de energia, a utilização de recursos e os resíduos, bem como para aumentar a eficiência energética e a eficiência global do sistema. A este respeito, devem ser desenvolvidos modelos fundacionais com capacidades para medir e registar o consumo de energia e de recursos e o impacto ambiental.

– Desenvolverá uma documentação técnica exaustiva e instruções de utilização inteligíveis.

– Estabelecer um sistema de gestão da qualidade para garantir e documentar a conformidade com todos os elementos acima referidos (responsabilidade proactiva).

– Registar o modelo básico na base de dados da UE para sistemas independentes de alto risco.

Obrigações pós-comercialização do modelo básico

Durante dez anos após o sistema de IA ter sido colocado no mercado ou em serviço, os fornecedores de modelos fundacionais devem manter a documentação técnica à disposição das autoridades nacionais competentes (Agência de Controlo da IA).

Obrigações específicas para os modelos de IA generativa

Para além das obrigações gerais estabelecidas no ponto 28.ter.2, os fornecedores de sistemas de IA generativa devem:

– Cumprir as obrigações de transparência do artigo 52.º, n.º 1 (obrigação de informar as pessoas que interagem com estes sistemas de que estão a interagir com um sistema de IA).

– Conceber e desenvolver o modelo de forma a garantir salvaguardas adequadas contra a produção de conteúdos que infrinjam a legislação da UE.

– Sem prejuízo da legislação em matéria de direitos de autor, devem documentar e disponibilizar publicamente um resumo suficientemente pormenorizado da utilização de dados de formação protegidos por direitos de autor.

Bónus: dois desafios colocados pela IA generativa

Termino este post partilhando duas preocupações (às quais os nossos leitores poderão responder): os desafios em matéria de propriedade intelectual colocados pela IA generativa e a possibilidade de considerar os modelos fundacionais como de alto risco.

Começo pela primeira, porque é mais ousada da minha parte: quando é que eu, uma pessoa singular, posso ser considerado autor de uma obra literária gerada através de IA generativa (Chat GPT, por exemplo)? Desenvolvo um pouco mais a minha preocupação: não é (ou não deveria ser) a mesma coisa para mim introduzir uma simples pergunta no Chat GPT, como “escreva a oitava parte do Harry Potter”, do que introduzir várias perguntas com um certo nível de complexidade (quanto?), nas quais introduzo certas características específicas do romance. Se aceitarmos que as ferramentas de IA não deixam de ser ferramentas tecnológicas (muito complexas, mas tecnológicas), talvez possamos concordar que se trata de um debate semelhante ao que surgiu na altura em torno da fotografia, que permite distinguir legalmente entre “fotografia (artística)” e “mera fotografia (carregar no botão da câmara)”. Outra questão, mais difícil, seria distinguir, em cada caso, quando as instruções introduzidas numa ferramenta de IA generativa nos permitem falar de utilização artística da IA generativa ou de “mera utilização” da IA generativa.

O segundo desafio é, de facto, abrangido pelo Regulamento IA, mas é importante referi-lo. Consiste na consideração dos modelos fundacionais como sendo de alto risco. O anexo III da proposta de Regulamento IA contém uma lista não fechada de sistemas de IA de alto risco. No entanto, não se deve esquecer que a Comissão teria (na proposta de Regulamento relativo à IA, artigo 7.º) teria poderes para adotar atos delegados que alterem o anexo III para acrescentar sistemas de IA que satisfaçam duas condições: destinar-se a ser utilizados em qualquer dos domínios enumerados nos pontos 1 a 8 do anexo (ou seja, identificação biométrica e categorização de pessoas singulares; gestão e funcionamento de infra-estruturas críticas; educação e formação profissional, emprego, gestão de trabalhadores e acesso ao trabalho independente; acesso e usufruto de serviços públicos e privados essenciais e seus benefícios; questões de aplicação da lei; gestão das migrações; asilo e controlo financeiro; administração da justiça e processos democráticos); comportar um risco de danos para a saúde e a segurança ou um risco de consequências negativas para os direitos fundamentais que seja equivalente ou superior aos riscos de danos associados aos sistemas de IA de alto risco já mencionados no Anexo III, tendo em conta vários critérios, tais como, entre outros, o objetivo pretendido do sistema de IA ou a probabilidade de este ser utilizado de uma determinada forma.

Deve uma IA generativa (que é um exemplo de um modelo fundamental) capaz de produzir vídeos destinados a perturbar os processos democráticos ser considerada de alto risco? Parece claro que sim, uma vez que estas utilizações estão enumeradas no ponto 8 do anexo III, quer se destinem especificamente a perturbar os processos democráticos quer sejam suscetíveis de ser utilizadas para o efeito. O que não é claro neste momento (teremos de aguardar a redação final do texto) é se será considerado de alto risco desde o início, ou apenas depois de a Comissão adotar o ato delegado correspondente para alargar o Anexo III. Por outras palavras, se este ato delegado da Comissão seria constitutivo ou meramente declarativo de que um sistema de AI é de alto risco.

Crédito ao consumo, avaliação da solvabilidade e esquecimento oncológico à luz da Diretiva 2225/2023

Doutrina

No dia 18 de outubro de 2023, foi adotada a nova Diretiva 2225/2023 relativa aos Contratos de Crédito aos Consumidores (DCCC). O diploma é o resultado de um debate no seio das instituições europeias para atualizar a anterior Diretiva do Crédito aos Consumidores (de 2008), que resultou na publicação, em 2021, da Proposta de Diretiva relativa aos Contratos de Crédito aos Consumidores.

A avaliação da solvabilidade (ou credit scoring) pode ser definida como o tratamento de dados sobre o potencial consumidor pelo credor no contexto de um contrato de crédito, a fim de avaliar a sua solvabilidade e quantificar o risco de crédito. Por outras palavras, o risco de não pagamento por parte do consumidor devido à sua falta de solvabilidade antes da concessão do crédito ou durante a sua vigência.

Antes de entrarmos na avaliação da solvabilidade tal como regulada no DCCC, convém recordar que estamos perante uma Diretiva, ainda que de harmonização total. De acordo com o artigo 48.º do DCCC, o prazo para a transposição desta Diretiva é 20 de novembro de 2025, sendo as regras nacionais de transposição aplicáveis a partir de 20 de novembro de 2026. Só se não for transposto para o direito nacional é que o texto em apreço produzirá efeitos diretos. Tudo isto faz com que as reflexões publicadas sobre a recém-publicada DCCC sejam extremamente oportunas, na medida em que o seu articulado se encontra pendente de transposição nacional nos próximos dois anos. O Decreto-Lei n.º 133/2009, de 2 de junho, apenas menciona a obrigação do mutuante de avaliar a solvabilidade do candidato, mas não com o pormenor regulamentado pelo DCCC.

Tanto na Proposta de Diretiva como na versão finalmente publicada da Diretiva, a avaliação da solvência ganhou importância em comparação com a Diretiva de 2008, que apenas menciona esta questão três vezes. A avaliação da solvência tornou-se muito importante, especialmente após a crise de 2008, que foi causada, entre outros fatores, por um sobreendividamento da população. É por isso que a nova DCCC se preocupa em promover práticas responsáveis no mercado do crédito, entre as quais a avaliação da solvabilidade prévia efetuada no interesse do consumidor. O considerando 53 da DCCC estabelece que os Estados-Membros devem adotar medidas adequadas para promover práticas responsáveis em todas as fases da relação de crédito, tais como avisos sobre os riscos em caso de não pagamento ou de sobreendividamento. Mais adiante, o mesmo considerando refere que os mutuantes devem ser responsáveis pelo controlo individual da solvabilidade do consumidor.

A avaliação da solvabilidade está regulamentada nos artigos 18º e 19º da DCCC, que devem ser interpretados em conformidade com os considerandos 53 a 57 da DCCC.

Nos termos do n.º 1 do artigo 18.º da DCCC, os Estados-Membros devem exigir que o mutuante efetue uma avaliação aprofundada da solvabilidade do consumidor antes de celebrar um contrato de crédito. A avaliação da solvabilidade é uma condição prévia essencial para a concessão do crédito e deve ser efetuada de acordo com três critérios orientadores: (1) deve ser efetuada no interesse do consumidor; (2) deve ter por objetivo evitar práticas de empréstimo irresponsáveis e o sobreendividamento; e (3) deve ter devidamente em conta os fatores relevantes para verificar as perspetivas de cumprimento pelo consumidor das obrigações decorrentes do contrato de crédito.

De acordo com o considerando 54 do DCCC, é essencial que a capacidade e a vontade do consumidor de reembolsar o crédito sejam avaliadas e testadas antes da celebração do contrato de crédito. Esta avaliação é tão fundamental que o crédito só deve ser concedido ao consumidor se o resultado da avaliação da solvabilidade indicar que as obrigações decorrentes do contrato de crédito são suscetíveis de serem cumpridas em conformidade com os termos do contrato de crédito (55 DCCC). O n.º 6 do artigo 18.º da DCCC retoma este critério, mas remete para os regulamentos nacionais de transposição da DCCC a obrigação dos Estados-Membros de assegurarem o seu cumprimento. Por conseguinte, será fundamental conhecer a evolução das legislações nacionais no que diz respeito aos efeitos da avaliação da solvabilidade do consumidor.

Embora uma avaliação positiva da solvabilidade seja um requisito prévio para a concessão de crédito, uma avaliação positiva não obriga o mutuante a conceder o crédito (considerando 54 DCCC), sem prejuízo do dever do mutuante de informar o requerente dos critérios e dados utilizados na avaliação da solvabilidade e de lhe permitir solicitar uma revisão da avaliação (considerando 56 DCCC in fine).

O último dos requisitos do artigo 18.º, n.º 1 do DCCC, tendo em conta os fatores relevantes para verificar as perspetivas de cumprimento, condiciona a informação que pode ser tratada para a avaliação da solvabilidade: devem ser avaliados todos os fatores necessários e relevantes que possam influenciar a capacidade de o consumidor reembolsar o crédito.

O n.º 2 do artigo 18.º do DCCC clarifica este critério. Devem ser tidas em conta (1) informações pertinentes e precisas sobre os rendimentos e as despesas do consumidor; bem como (2) informações sobre “outras circunstâncias”, financeiras e económicas, necessárias e proporcionais à natureza, à duração, ao valor e aos riscos do crédito. O primeiro dos elementos a avaliar, o extrato de contas do requerente de crédito, é pouco interpretativo e deve ser fornecido de forma completa e atualizada em todos os casos de pedido de crédito ao consumo. O segundo, em contrapartida, deverá ser ajustado em cada caso em função das características do crédito solicitado (natureza, duração, valor e riscos): pode entender-se que quanto maior for a duração, o valor e os riscos do crédito, mais abundantes e precisas deverão ser as informações sobre o consumidor que solicita o crédito.

Mas que informações? O n.º 2 do artigo 18.º do DCCC inclui uma lista aberta de dados que podem ser avaliados: dados sobre os rendimentos ou outras fontes de reembolso, informações sobre ativos e passivos financeiros ou informações sobre outros compromissos financeiros. A própria redação do artigo deixa claro que podem ser fornecidos outros dados relativos à “situação financeira e económica” do consumidor não incluídos na lista. A delimitação das informações que podem ser avaliadas na avaliação de solvabilidade, juntamente com o objetivo da avaliação de solvabilidade, delimita a concretização do princípio da minimização dos dados neste domínio.

A proibição do tratamento de dados relativos às doenças oncológicas do requerente é coerente com a Resolução do Parlamento Europeu, de 16 de fevereiro de 2022, sobre o reforço da Europa na luta contra o cancro, que “apela à integração na legislação pertinente da União do direito a ser esquecido para os sobreviventes de cancro, a fim de evitar a discriminação e melhorar o seu acesso aos serviços financeiros”. Países como a França, os Países Baixos, a Bélgica e o Luxemburgo foram pioneiros na conceção de tais medidas. Portugal publicou, em 2021, a Lei n.º 75/2021, de 18 de novembro, que reforça o acesso ao crédito e aos contratos de seguro por parte das pessoas que tenham superado ou atenuado situações de risco agravado de saúde (não apenas cancro), proibindo práticas discriminatórias contra as mesmas. No que respeita ao tratamento de dados no âmbito da avaliação da solvabilidade, o artigo 2.º desta lei proíbe a utilização, pelas instituições de crédito ou seguradoras, de qualquer tipo de informação de saúde relativa a uma situação clínica que origine um risco grave.

É também interessante notar, no que diz respeito às informações que devem consubstanciar a avaliação da solvabilidade, o disposto no n.º 11 do artigo 18.º do DCCC: a avaliação da solvabilidade não deve basear-se apenas no historial creditício do consumidor. Por outras palavras, a avaliação da solvabilidade não pode basear-se apenas nos dados negativos ou de insolvência do consumidor, mas deve integrar outros dados (positivos) que permitam obter um perfil completo do historial financeiro do consumidor. Esta possibilidade representa um passo em frente relativamente ao disposto no artigo 20.º da lei espanhola relativa à proteção de dados, quanto aos sistemas de informação de crédito, segundo o qual “presume-se lícito o tratamento de dados pessoais relativos ao incumprimento de obrigações pecuniárias, financeiras ou creditícias por parte dos sistemas comuns de informação de crédito”, desde que se verifiquem determinadas condições.

É de notar que grande parte da informação que alimenta a avaliação da solvabilidade será fornecida pelos próprios requerentes, que devem ser honestos e fornecer informações completas, exatas e relevantes (cf. n.º 7 do artigo 18.º do DCCC). Tal não significa que os requerentes consintam no tratamento dos seus dados para efeitos da avaliação da solvabilidade, mas que cumprem um ónus, tal como o mutuante, de avaliar a solvabilidade do requerente de crédito. Isto significa que a base legítima para o tratamento de dados é o cumprimento de uma obrigação legal (artigo 6.º, n.º 1, alínea c), do RGPD): tanto no caso dos dados fornecidos pelo requerente consumidor como dos dados obtidos pelo mutuante por sua própria conta.

Os dois primeiros requisitos do n.º 1 do artigo 18.º do DCCC são os princípios orientadores de qualquer avaliação da solvabilidade. O objetivo da avaliação da solvabilidade é evitar o sobreendividamento e as práticas irresponsáveis de concessão de crédito aos consumidores. Esta situação prejudica tanto o mercado de crédito como os consumidores, pelo que se coloca a questão de saber se o objetivo do controlo do sobreendividamento é preservar o bom funcionamento do mercado ou a qualidade de vida dos consumidores. A resposta, no caso da DCCC, é clara: tanto o n.º 1 do artigo 18.º como o artigo 54.º estabelecem que a avaliação da solvabilidade deve ser efetuada “no interesse do consumidor”. Por conseguinte, a finalidade do tratamento de dados no caso da avaliação da solvabilidade será a seguinte: tratamento de dados para avaliação da solvabilidade, para prevenção do sobreendividamento e de práticas de empréstimo irresponsáveis, a fim de evitar que prejudiquem a qualidade de vida dos consumidores.

Os procedimentos de avaliação da solvabilidade devem ser transparentes e devidamente documentados, em conformidade com o n.º 4 do artigo 18.º. Um procedimento de avaliação deficiente não deve ser utilizado pelo mutuante para alterar as condições do contrato em detrimento do consumidor. A especificação destas duas obrigações será deixada a cargo da regulamentação de cada Estado-Membro.

Sempre que a avaliação da solvabilidade envolva o tratamento automatizado de dados pessoais (pontuação de crédito), o consumidor requerente deve poder solicitar e obter a intervenção humana do mutuante para: (1) explicar, de forma clara e compreensível, a avaliação de crédito, incluindo a sua fundamentação, riscos, significado e efeitos na decisão de crédito; (2) permitir que o consumidor exprima os seus pontos de vista ao mutuante e, se o considerar adequado, (3) solicitar uma revisão da avaliação de crédito e da decisão de crédito. Esta obrigação é coerente com o artigo 22.º do RGPD, nos termos do qual todas as pessoas em causa têm o direito de não ficar sujeitas a uma decisão baseada exclusivamente no tratamento automatizado de dados, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que a afete significativamente de forma similar (como um perfil de solvabilidade), salvo determinadas exceções previstas no n.º 2 do artigo 22.º.

Por último, o artigo 19.º do DCCC estabelece determinadas disposições relativas às bases de dados (públicas e privadas – n.º 3 do artigo 19.º do DCCC) que podem ser consultadas pelos mutuantes em caso de crédito transfronteiriço. Está prevista a obrigação de cada Estado-Membro garantir que os mutuantes de outros Estados-Membros possam aceder às bases de dados utilizadas no seu território para a avaliação da solvabilidade dos consumidores em condições não discriminatórias (n.º 1 do artigo 19.º do DCCC), desde que os mutuantes estejam sob o controlo da autoridade nacional competente e cumpram o RGPD. No que diz respeito a este trabalho, as bases de dados devem conter, pelo menos, dados negativos de solvabilidade (n.º 4 do artigo 19.º do RGPD), não devem tratar categorias especiais de dados ou dados obtidos a partir de redes sociais (n.º 5 do artigo 19.º do RGPD) e as suas informações devem ser atualizadas e exatas (n.º 7 do artigo 19.º do RGPD). Quando a recusa de um pedido de crédito se basear na consulta de uma base de dados, o mutuante deve informar o consumidor, gratuitamente e sem demora, do conteúdo e dos pormenores da consulta e das categorias de dados tidos em conta (artigo 19.º, n.º 6, do DCCC).

“A-Palavra-Que-Não-Pode-Ser-Pronunciada” – Pagar com dados pessoais em Portugal e em Espanha

Doutrina

Por muito desconfortável que possa parecer, pagar com os seus próprios dados pessoais através do consentimento para o tratamento de dados no contexto da contratação digital é uma realidade. O Supervisor Europeu Da Proteção De Dados (EDPS) no Parecer 4/2017 sobre a Proposta 634/2015 relativa aos contratos de fornecimento de conteúdos digitais e o Gabinete Europeu De Proteção De Dados (EDPB) nas Orientações 5/2020 sobre o consentimento para o tratamento de dados têm sido defensores deste desconforto. No entanto, a realidade do pagamento com dados tem continuado a desenvolver-se, o que torna necessário estabelecer regras mínimas em relação ao pagamento com dados.

Em primeiro lugar, um contrato em que os dados são a contraprestação é um contrato tão oneroso como qualquer outro contrato em que a contraprestação é monetária; por conseguinte, o consumidor também deve beneficiar de proteção. É o que se verifica, por exemplo, no Decreto-Lei 84/2021, que transpõe a Diretiva 2019/770, que estabelece que, quando o consumidor fornece dados pessoais para usufruir de conteúdos ou serviços digitais, deve ser protegido por um conjunto de direitos, nomeadamente em caso de incumprimento ou desconformidade.

A noção de onerosidade encontra-se na catalogação das causas do contrato no art. 1274.º do CC espanhol. Não existe equivalente no CC português, mas existe uma distinção entre onerosidade e gratuitidade em vários contratos em especial. Essencialmente, um contrato é oneroso quando é fonte recíproca de atribuições patrimoniais; e é gratuito quando, em vez dessa reciprocidade, apenas uma das partes se enriquece à custa da outra, sem dar qualquer contrapartida. Para classificar um contrato como oneroso, não importa se a contrapartida é monetária ou de qualquer outro tipo, desde que tenha utilidade económica em sentido lato. E os dados têm utilidade económica.

Estamos perante um pagamento com dados pessoais quando três circunstâncias estão presentes em simultâneo: (1) o tratamento dos dados baseia-se no consentimento da pessoa em causa; (2) o fornecedor do serviço ou do conteúdo digital associa a execução ao consentimento do consumidor; (3) se o consumidor retirar o consentimento ao tratamento dos dados, tem de enfrentar as consequências contratuais relacionadas com a restituição recíproca da execução, mas não sofre qualquer dano adicional.

O último requisito é mais uma consequência: se os dados constituem um pagamento que torna o contrato oneroso, a sua retirada deve ter consequências contratuais. Caso contrário, em vez de liberdade de consentimento, estaríamos perante uma irresponsabilidade de consentimento, o que geraria um desequilíbrio contratual inaceitável. No entanto, nenhum dano suplementar seria causado, uma vez que o RGPD o proíbe (art. 7.º, n.º 3, e cons. 42 in fine).

Apesar da realidade generalizada do pagamento com dados, existem dificuldades regulamentares associadas a uma certa interpretação do RGPD e à transposição e aplicação nacional do RGPD por alguns Estados-Membros. A Diretiva 2019/770, nos seus considerandos 39 e 40, deixa aos Estados-Membros a responsabilidade de regular as consequências contratuais da concessão e retirada do consentimento para o tratamento de dados pessoais, reconhecendo simultaneamente a natureza imperativa do RGPD neste ponto. O que nem o RGPD nem a Diretiva 2019/770 fazem é fornecer uma interpretação concreta da responsabilidade do consumidor em relação à utilização do seu consentimento para o tratamento de dados como pagamento. O artigo 7-4 do RGPD estabelece que, ao avaliar se o consentimento foi dado livremente, deve ser tido em conta se a prestação de um serviço está condicionada ao consentimento para o tratamento de dados pessoais que não são necessários para a execução desse contrato; mas não diz em que sentido é que isso deve ser tido em conta. Proponho, portanto, uma interpretação que permita a coexistência da proteção de dados pessoais e da economia de dados.

Em Espanha, o art. 6.3 da LO 1/2018 estabelece que “A execução do contrato não pode ser condicionada ao consentimento do titular dos dados para o tratamento de dados pessoais para fins não relacionados com a manutenção, o desenvolvimento ou o controlo da relação contratual”. Esta afirmação resume a posição do EDPB e da EDPS nos documentos acima referidos e implicaria uma proibição de pagamento com dados ou, no mínimo, uma antinomia com artigos como o 119.º do TRLDCU, que fala explicitamente de “dados como contraprestação”.

A situação em Portugal é menos problemática. Tanto na perspetiva da Lei 58/2019 (sobre proteção de dados) como na perspetiva do Decreto-Lei 84/2021 (que transpõe a Diretiva 2019/770).

Na perspetiva do direito do consumo, o Decreto-Lei 84/2021 refere que o consumidor fornece dados pessoais para usufruir de conteúdos e serviços digitais, mas não se refere “A-Palavra-Que-Não-Pode-Ser-Pronunciada” (“contraprestação”), seguindo, neste aspeto, o Parecer 4/2017 do EDPS em relação à então Proposta de Diretiva 634/2015. Neste sentido de prudência, o art. 3-3-b) do Decreto-Lei 84/2021 copia o art. 3-1-2 da Diretiva. Quanto à Lei 58/2019, não desenvolve o RGPD em matéria de consentimento e, portanto, não opta por nenhuma interpretação específica. Esta falta de desenvolvimento é uma vantagem, pois nem a Lei 58/2019 nem o Decreto-Lei 84/2021 impedem a interpretação do RGPD num sentido favorável ao pagamento com dados, ainda que não o designemos por esse nome