Por Margarida Riso e Roxana Cardoso Zbora
No seu artigo Vishing, IA e o direito à saúde psicológica: o consumidor na era das chamadas telefónicas indesejada, José Antonio Castillo Parrilla alerta-nos para a maior vulnerabilidade de determinados grupos de consumidores quando confrontados com estas chamadas fraudulentas, concluindo pela falta de capacidade de atuação real das autoridades e enquadrando esta avalanche de chamadas diárias como passível de violar o direito à saúde (no caso, psicológica) dos consumidores.
Sem prejuízo da perspetiva refrescante que o referido texto nos traz, entendemos que o tema, pela sua atualidade e dimensão tem mais ângulos a explorar.
Comecemos pela urgência em procurar responder à questão que mais se começou por fazer a este respeito: “mas como é que eles têm o meu número”? A pergunta, genuinamente espantada, revela aquilo que já sabíamos: as inúmeras confirmações de que “Li e aceito a política de privacidade” não significam que estas tenham sido lidas, compreendidas – ou aceites. Sendo certo que não antecipamos que cada um de nós tenha livremente entregado os seus dados a estas “empresas” fantasmas, estamos certas de que a proliferação de plataformas às quais entregamos os nossos dados – cujas medidas de segurança adotadas não procuramos saber – e o desconhecimento das políticas de privacidade que aceitamos, contribuem substancialmente para que estes dados estejam mais facilmente disponíveis.
Os temas com que aqui nos deparamos não são novos: por um lado, a falta de sensibilidade dos detentores dos dados, a facilidade com que os entregam e a sua relevância no mundo moderno; por outro, a evidência de que as declarações de quem lê e aceita políticas de privacidade (e quem diz políticas de privacidade diz todos os outros “termos e condições” de que é necessário tomar conhecimento e aceitar) não leu, não compreendeu e não aceitou apesar da sua declaração (que se revela ser apenas um passo formalmente necessário entre aquilo que o consumidor pretende e a possibilidade de o obter) em contrário.
Começamos pelo fim para dar nota de que, quanto ao último tema, já muito explorado, deixamos, como texto de referência sobre o assunto – com soluções que acolhemos – o texto de Margarida Lima Rego: Manifesto contra a subversão do contrato.
Optamos, pois, por usar este espaço para o primeiro dos temas que identificámos: o desconhecimento (ou a negligência consciente) de cada um dos titulares dos dados (também consumidores) aquando da sua entrega às mais diversas plataformas digitais (em troca de 10% de desconto na primeira compra, da criação de uma conta que acumula vantagens, de uma utilização gratuita no primeiro mês – ou apenas de ter uma conta com as compras identificadas). Com efeito, é preciso muito pouco para que cada um de nós entregue os seus dados pessoais, não nos parecendo interessar o seu destino – que, muitas vezes, será a venda legitima a terceiros, tal como resulta de muitas políticas de privacidade (notamos a este propósito que a venda, por si, não legitima necessariamente o seu uso para fins diferentes da finalidade para os quais os dados foram recolhidos – a este propósito, disponibilizamos a decisão da Autoridade de Proteção de Dados Espanhola contra a Equifax: AEPD (Spain) – PS/00240/2019 – GDPRhub).
Contudo, os efeitos desta nossa entrega negligente parecem poder ser nefastos, como se vê pelo vishing (as chamadas de voz fraudulentas), phishing (os emails fraudulentos), pelas mensagens de whatsapp em que amigos, filhos e pais nos pedem transferências de última hora.
Assim, parece-nos chegada a altura de clamar por uma tomada de consciência coletiva para a relevância dos nossos dados.
Esta tomada de consciência coletiva só será possível, parece-nos, com a intervenção das Autoridades que deverão assumir uma liderança transversal, desde os consumidores às empresas. Com efeito, são necessárias ações pedagógicas quer para os consumidores (sugerimos uma ação pedagógica massiva) quer para grande parte do tecido empresarial (relembramos que uma grande parte do tecido económico português é constituído por pequenas e médias empresas e que nem todas terão capacidade de compreender a total dimensão daquilo que é o tratamento de dados pessoais e das suas efetivas responsabilidades). Em simultâneo, será necessário fiscalizar com efetividade, garantindo que as medidas de segurança estão a ser devidamente implementadas.
Desafiamos assim as Autoridades responsáveis a terem um papel mais ativo na educação sobre dados pessoais e estamos certas de que esta atuação permitirá não só uma redução muito substancial de ataques fraudulentos como consumidores e tecido empresarial (que estão, naturalmente, intrinsecamente ligados) mais informados e capacitados na gestão dos seus dados e dos de terceiros, respetivamente.
Enquanto isso não acontece, relembramos que o nosso quadro jurídico atual já consagra uma dupla proteção: por um lado a defesa da privacidade e dos dados pessoais do consumidor, e por outro lado, a regulação da atividade comercial e do tratamento de dados. Assim, cada um de nós deverá já hoje apresentar as suas queixas por uso indevido de dados às autoridades responsáveis (ANACOM e CNPD), não devendo apenas “encolher os ombros” a cada chamada que recebe. Só assim será possível que este fenómeno seja combatido com mais eficiência e foco e que a normalidade de cada uma das nossas vidas seja reposta.