Agressividade ou Lealdade? O Dilema do Modelo “Consent or Pay”

Doutrina

Em novembro de 2023, os utilizadores europeus das redes sociais Facebook e Instagram foram confrontados com uma escolha quanto à utilização dos seus dados pessoais, para efeitos da sua utilização em publicidade comportamental pela gigante Meta. De repente, um consumidor utilizador destas redes sociais recebe uma notificação persistente, na qual a Meta informa que terá de optar entre continuar a “utilizar gratuitamente com anúncios”, ou pagar uma subscrição mensal de pelo menos € 9.99 para aceder a uma versão da rede social sem publicidade comportamental. Para a maior parte dos milhares de milhões de utilizadores esta foi uma escolha simples (e obrigatória), uma vez que não era fácil remover a notificação que bloqueava o acesso à página do utilizador na rede.

Contudo, as instituições europeias e a doutrina têm feito correr muita tinta quanto à legalidade deste modelo de negócio implementado pela Meta e comumente designado de “Consent or pay” ou “Pay or okay”. Esta novidade surgiu na sequência do Acórdão do Tribunal de Justiça da União Europeia Bundeskartellamt, no qual o Tribunal reconhece que os utilizadores têm o direito de recusar dar o seu consentimento de forma individual a operações de tratamento de dados que não sejam necessárias à execução do contrato, sem serem obrigados a abdicar da utilização do serviço digital no seu todo. Assim, é referido que o operador do serviço deve fornecer uma “alternativa equivalente não acompanhada de tais operações de tratamento de dados” e, se necessário, “mediante uma remuneração adequada” (Parágrafo 150).

Este tema está longe de estar encerrado, e encontra-se em discussão aberta à luz de vários ramos do direito da União, nomeadamente à luz do direito à proteção de dados pessoais, do direito da concorrência, e ainda do direito do consumo.

Após o lançamento do modelo de subscrição, o Bureau Européen des Unions de Consommateurs (doravante BEUC) emitiu um comunicado de imprensa expressando a sua convicção de que este modelo viola a Diretiva da Práticas Comercias Desleais, consubstanciando uma prática agressiva pelo exercício de influência indevida sobre o consumidor, e uma prática comercial enganosa por ação. Em julho de 2024, a Comissão Europeia e a CPC anunciaram o seguimento da ação e enviaram uma carta à Meta pedindo-lhe que proponha soluções até 1 de setembro de 2024 (as quais são, até ao momento, desconhecidas).

Cabe-nos aqui desenvolver o modelo “Consent or pay” pelo olhar da Diretiva das Práticas Comerciais Desleais, cingindo-se esta análise à validade dos argumentos que sustentam a agressividade desta prática.

Prática Comercial Agressiva

A Organização de Consumidores argumenta que o design da notificação consubstancia um “dark pattern”, que não possibilita que o consumidor utilizador aceda à sua página, contactos e fotos, e o pressiona a tomar uma decisão quanto ao modelo de subscrição.

De facto, uma configuração tendenciosa da interface da rede, se apresentada num contexto B2C, pode consubstanciar uma prática comercial enganosa, agressiva ou contrária à diligência profissional imposta pelo artigo 5.º da Diretiva. Tal dependerá do padrão em concreto, e se for suscetível de afetar o comportamento económico do consumidor médio (ou, tratando-se uma prática dirigida a um grupo de consumidores particularmente vulneráveis, o consumidor médio desse grupo).

No caso em análise, o argumento prende-se especificamente com a persistência da notificação da alteração do modelo de negócio, e a urgência que cria no consumidor para tomar uma decisão para poder aceder à sua conta. Ainda que este tipo de “subscrição forçada” não conste do elenco exemplificativo apresentado pela Comissão na UCPD Guidance, a verdade é que os elementos do caso concreto nos levam facilmente à conclusão de que tal prática é suscetível de distorcer o comportamento económico e transacional do consumidor médio.

Como nos indica o Acórdão Orange Polska[1] (C-628/17 [2019] ECLI:EU:C:2019:480), os Tribunais nacionais devem ter cautela ao qualificar uma prática comercial como o “exercício de influência indevida”, e na análise deste conceito as “informações prestadas antes da celebração de um contrato sobre as condições contratuais e as consequências da referida celebração são de importância fundamental para o consumidor” (para. 35).

Ora, por um lado, voltando ao nosso caso, a Meta anunciou no seu site oficial, a 30 de outubro de 2023, que iria “oferecer uma subscrição sem anúncios para os utilizadores na Europa”. Não obstante, o consumidor médio não é suficientemente diligente ao ponto de verificar este site, pelo que um email ou notificação prévia na própria interface da rede social teria mais oportunidades de retirar o elemento surpresa da notificação. É aqui que reside uma diferença factual muito relevante face ao Acórdão Orange Polska e que poderá por analogia, porventura, nortear uma decisão favorável ao BEUC.

Por outro lado, o formato binário e a persistência da notificação criam indubitavelmente uma pressão para o consumidor fazer a sua escolha de imediato, que penderá, tendencialmente, para a opção que afirma a continuação da utilização “gratuita”, mas com anúncios.

O formato e modo da notificação utilizado pela Meta é suscetível de prejudicar significativamente o período de ponderação do consumidor, nomeadamente, quanto ao impacto que cada opção tem nos seus dados pessoais e na sua carteira, levando-nos a tomar uma decisão de transação que, possivelmente, não tomaríamos em circunstâncias comerciais leais. Aliás, muitos de nós não lemos o texto até ao fim, com a pressa de verificar se tínhamos notificações novas.

Assim, a natureza da notificação, qualificável como “dark pattern”, e a persistência da mesma, intercedem a favor do argumento de que a Meta exerceu influência indevida sobre os seus utilizadores.

Ademais, não era evidente, para o consumidor médio, a opção de apagar a sua conta de utilizador ou de fazer o download dos seus dados pessoais, uma vez que tal não aparecia diretamente na notificação que bloqueava a página principal da rede.

É aqui que reside o fundamento da qualificação desta prática como “subscrição forçada”, como argumenta o BEUC.

Este elemento, por si só, justifica a invocação do Artigo 9(d) da Diretiva, consubstanciando um entrave desproporcional ao exercício pelo consumidor dos seus direitos, nomeadamente, a resolução do contrato ou troca de serviço.

Noutra perspetiva, esta é também uma clara violação do normativo do RGPD (Regime Geral de Proteção de Dados), segundo o qual retirar o consentimento deve ser tão fácil para o sujeito de dados, como dá-lo (Artigo 7(3), in fine). Esta violação de direito da proteção de dados pessoais deverá ser considerada e pesada na qualificação da prática comercial como agressiva, como o refere várias vezes a Comissão na UCPD Guidance.

Conclusão

A alteração do modelo de negócio da Meta per se não viola a Diretiva da Práticas Comerciais Desleais. A questão é mais profunda que isto, pois estão aqui essencialmente em conflito o direito fundamental à proteção dos dados pessoais (Artigo 8.º da Carta dos Direitos Fundamentais da União Europeia) e o direito fundamental à liberdade de empresa (Artigo 16.º da Carta dos Direitos Fundamentais da União Europeia) e de livre iniciativa económica (Artigo 61.º da Constituição da República Portuguesa). A análise que aqui se fez reporta-se sobretudo ao modo como o modelo foi apresentado aos consumidores europeus. E, nessa medida, a ponderação geral destes argumentos leva-nos a acompanhar a posição do BEUC quanto à qualificação como prática comercial desleal agressiva. No entanto, considerando a falta de precedente, não é inteiramente evidente se os Tribunais acompanharão este juízo.


[1] O caso em questão envolvia um consumidor que solicitou um contrato de telecomunicações por via do site da empresa de telecomunicações. Durante o processo de solicitação do contrato, o consumidor teve a possibilidade de consultar os detalhes da oferta e os contratos-padrão diretamente no site da empresa. Contudo, a celebração do contrato só seria possível na presença do funcionário da empresa, tendo o consumidor de declarar que tomou conhecimento dos documentos e que aceitava o seu conteúdo. O TJUE acabou por concluir que não se tratava de uma prática comercial agressiva por influência indevida, tendo, contudo, deixado orientações para a interpretação do conceito.

O que a Siri não diz sobre o que faz com dados pessoais

Doutrina

Os assistentes de voz virtuais são cada vez mais integrados no nosso dia a dia, permitindo realizar tarefas com simples comandos de voz. No entanto, as implicações da sua utilização para a privacidade dos utilizadores muitas vezes passam despercebidas.

Neste blogpost, vamos explorar os desafios que estes dispositivos apresentam em termos de proteção de dados, focando-nos nas bases de licitude para o tratamento de dados e nos requisitos de transparência que os responsáveis pelo tratamento devem observar.

O que são assistentes de voz virtuais?

Essencialmente, os assistentes de voz virtuais são concebidos para facilitar a execução de tarefas e, ao mesmo tempo, proporcionar ao consumidor acesso a informação. Por exemplo, smartphones já utilizam estes assistentes virtuais para definir alarmes ou lembretes. Da mesma forma, alguns automóveis integram assistentes que permitem ao condutor e ocupantes controlar o GPS por via de comandos de voz. O seu alcance é vasto, não se limitando, portanto, a ser um altifalante inteligente integrado em smartphones, smartwatch ou outro qualquer dispositivo com capacidades de Internet, um microfone e altifalantes.

Contudo, estes assistentes são também softwares complexos que levam ao tratamento de dados do consumidor – por exemplo, comandos de voz – e de eventuais terceiros, como palavras faladas, dados de texto, informações pessoais partilhadas e dados biométricos (reconhecimento de voz). Por exemplo, quando o consumidor pede ao seu assistente virtual para acender as luzes de casa, este capta a sua voz, converte o seu discurso em texto, processa o comando e implementa-o através, por exemplo, de ligação a outros sistemas a que o consumidor lhe tenha dado acesso.

Assim, para traduzir os comandos dos consumidores em ações, os assistentes virtuais têm uma contraparte de software que complementa o suporte físico onde estão integrados e que trata os dados pessoais de modo a executar as tarefas para que foram programados. Este tratamento de dados é complexo, envolvendo frequentemente diversas entidades e protocolos.

Dada a utilização quotidiana destes sistemas e a quantidade – e sensibilidade – dos dados pessoais tratados, dois problemas em particular surgem aquando da sua utilização: a necessidade de uma base de licitude para o tratamento de dados e o cumprimento de deveres de transparência por parte do responsável pelo tratamento.

Bases de licitude aplicáveis

O Regulamento Geral de Proteção de Dados (‘RGPD’) exige que o tratamento de dados pessoais dependa da aplicação de uma base de licitude do seu art. 6.º. Para categorias especiais de dados (por exemplo, dados biométricos), é também exigida a aplicação de uma das exceções do art. 9.º(2). Por isso, um dos elementos essenciais para um tratamento lícito de dados pessoais no contexto de assistentes de voz virtuais será a definição da base (ou bases) legal aplicável.

A escolha passa por compreender os vários tratamentos a que os dados pessoais estão sujeitos. Inicialmente, o assistente está em estado de espera até ser ativado por uma expressão-chave. Com a deteção dessa expressão (e, em alguns casos, o reconhecimento de voz do consumidor), o áudio é transmitido para fora do dispositivo, sendo processado pelo operador do software. Em seguida, o comando do utilizador é transcrito, interpretado e, dependendo da solicitação, pode ser compartilhado com aplicativos de terceiros (por exemplo, para controlar outros dispositivos inteligentes). A resposta ou ação solicitada é então executada.

Neste contexto, diferentes finalidades poderão estar em causa, pelo que a escolha de base de licitude pode variar.

Como vimos, o principal uso de um assistente de voz virtual é executar comandos de voz. Quando este tratamento envolve o armazenamento ou o acesso a informações no dispositivo terminal do consumidor, aplica-se o art. 5.º(3) da Diretiva ePrivacy, que exige o consentimento prévio. Contudo, há uma exceção: se o armazenamento ou o acesso for “estritamente necessário” para fornecer o serviço solicitado, o consentimento não é exigido.

Portanto, quando o tratamento de dados é necessário para a execução do pedido do consumidor, como a captura, transcrição e interpretação de comandos de voz, a base de licitude a utilizar será a execução de um contrato com o consumidor, conforme ao art. 6.º(1)(b) do RGPD. Todo o tratamento de dados suplementar a este – e que não seja necessário para a prestação do serviço solicitado – será, na maioria dos casos, sujeito a consentimento. Isto engloba três casos tipicamente relacionados com assistentes de voz virtuais.

Em primeiro lugar, nos casos em que a voz do utilizador é também utilizada para o identificar, estamos perante o tratamento de dados biométricos conforme definido no art. 4.º(14) do RGPD. O tratamento de tais dados requer não apenas uma base de licitude do art. 6.º, mas também uma exceção constante do artigo 9.º. A exceção será o consentimento explícito do titular dos dados (art. 9.º(2)(a) do RGPD).

Outra situação típica prende-se com o aperfeiçoamento contínuo dos assistentes virtuais levado a cabo pelos seus operadores. Em geral, este tratamento não pode ser enquadrado como necessário para a execução do contrato com o consumidor, pelo que a melhoria do serviço ou o desenvolvimento de novas funcionalidades requerem uma base legal distinta. Com base no raciocínio anterior, em princípio será necessário o consentimento do titular dos dados.

Por último, estes assistentes virtuais podem ter funcionalidades adicionais. Por exemplo, a personalização de conteúdos, embora esperada por alguns consumidores, nem sempre é um elemento intrínseco ao serviço oferecido por estes assistentes. Assim, quando a personalização não é estritamente necessária para a execução do contrato, o consentimento do titular de dados será novamente necessário.

O responsável pelo tratamento deve, assim, garantir que o tratamento de dados está em conformidade com os padrões definidos pelo RGDP e a Diretiva ePrivacy. Caso o consentimento do titular de dados seja necessário – nos casos em que o tratamento de dados não é essencial para a prestação do serviço solicitado, ou aquando do tratamento de categorias especiais de dados – este deve ser fornecido livremente e de forma específica, informada e inequívoca.

Direito de informação

A transparência é outro elemento fundamental. Os responsáveis pelo tratamento devem cumprir os requisitos estabelecidos pelo RGPD, nomeadamente nos arts. 5.º(1)(a), 12.º e 13.º, que impõem a obrigação de informar os utilizadores de forma concisa, transparente e acessível sobre o tratamento dos seus dados pessoais.

Cumprir estas exigências de transparência pode, contudo, ser um desafio significativo para os fornecedores de assistentes de voz virtuais, devido às particularidades tecnológicas desses sistemas.

Um dos principais obstáculos é a necessidade de informar todos os utilizadores — não apenas o consumidor que inicialmente adquire o dispositivo, mas também os utilizadores acidentais que podem interagir com o assistente de voz. Por exemplo, em dispositivos pessoais, como um smartphone, pode haver um único utilizador, mas em dispositivos partilhados, como os utilizados em casas inteligentes ou em automóveis, estaremos potencialmente perante múltiplos utilizadores. A situação torna-se ainda mais complexa quando, por exemplo, um smartphone pessoal se conecta a um carro e o assistente de voz passa a estar disponível para todos os passageiros. Nestes casos, os responsáveis pelo tratamento de dados devem garantir o cumprimento do dever de informação perante todos os titulares de dados cujos dados pessoais trate.

A forma de interação com estes assistentes gera também dificuldades na transmissão desta informação. Políticas de privacidade extensas e complexas, resultantes da integração de múltiplos serviços, podem agravar esta dificuldade. Por isso, embora esta tecnologia seja desenhada para interações por voz, por vezes torna-se necessário incluir ecrãs auxiliares que permitam um acesso facilitado à informação. Outros modelos são possíveis, como por exemplo o envio de hiperligações por e-mail. De igual forma, é recomendado que o dispositivo informe o consumidor e outros titulares de dados de quando está ‘à escuta’ de comandos, através de sinais visuais, como ícones ou luzes. Desta forma, os responsáveis pelo tratamento de dados gerado por estes assistentes podem facilitar o acesso à informação devida nos termos do RGPD, garantindo um tratamento de dados transparente e leal.

A Clubhouse e a privacidade dos utilizadores

Doutrina

A nova rede social Clubhouse é já bastante conhecida entre o público, tendo chegado a Portugal no início deste ano. A sua popularidade eclodiu após ter sido palco de um debate entre Elon Musk, Marc Andreessen, Vlad Tenev e muitos outros empresários e elementos do público em geral, que chegaram mesmo a esgotar a capacidade da sala de chat hospedada pela Clubhouse para o efeito. O seu crescimento exponencial trouxe também alguns desafios e uma certa polémica em torno da privacidade dos utilizadores.

O grande fator que torna a Clubhouse atrativa prende-se com a sua exclusividade: além de apenas estar disponível para iOS, cada utilizador começa com dois convites para enviar a outras pessoas para aderirem à rede social. Esta rede social permite manter diálogos com outros utilizadores através de áudio – diálogos estes que, de acordo com a política de privacidade, não ficam gravados, pois quando a sala virtual é encerrada, não subsiste qualquer registo daquele chat. Existem exceções: os áudios dos utilizadores poderão ser temporariamente armazenados se houver, por exemplo, o reporte de um incidente. Nesta é ainda possível acumular-se seguidores e seguir outros utilizadores. O nome de utilizador é público e poderá ser utilizado para encontrar outros utilizadores. É possível mudar a fotografia de perfil, ligar a aplicação às contas do Twitter e Instagram, entre muitas outras opções.

Não obstante toda esta atratividade e utilidade, várias têm sido as preocupações levantadas pelos utilizadores no que se refere à privacidade. Até agora, muitos foram os relatos apresentados de falhas nesta vertente. Um dos casos mais falados é datado de fevereiro deste ano: um utilizador conseguiu transmitir em direto o áudio de uma sala de chat no seu website, mas foi rapidamente banido pois a gravação ou streaming sem a autorização explícita dos oradores viola os termos e condições da rede social.

Outro incidente ocorreu há poucos dias: a Clubhouse sofreu um ataque informático, o que resultou na disponibilização da informação relativa a 1,3 milhões de utilizadores em plena internet. Do que foi possível apurar, não foram revelados dados relativos a cartões bancários, moradas e emails. No entanto, a informação disponibilizada poderá facilitar ataques de phishing. A Clubhouse manifestou-se publicamente quanto a este assunto, afirmando que os dados disponibilizados já seriam públicos e poderiam ser consultados por qualquer utilizador através da aplicação.

Outro problema e desafio que a Clubhouse comporta relaciona-se com a facilidade de difusão de opiniões e informações, sem qualquer controlo por parte de um moderador associado à rede social – deste modo, será mais fácil a propagação de fake news, ódio, difamação contra utilizadores, teorias da conspiração, etc. O facto de as conversas não deixarem qualquer registo, após o encerramento de cada sala, implica que se os incidentes não forem reportados em tempo útil, não restem quaisquer provas que permitam reagir contra estes abusos.

Apesar destes incidentes, a questão mais relevante que cumpre analisar prende-se com o seguinte: se um utilizador quiser convidar amigos a utilizar a aplicação, terá de autorizar o acesso da aplicação à sua lista de contactos. Se não autorizar este acesso, o utilizador poderá continuar a utilizar a aplicação, mas ser-lhe-á relembrado constantemente através de uma notificação de que ainda não deu tal permissão.

Importa agora analisar a Política de Privacidade da Clubhouse, através de uma visão guiada pelo Regulamento Geral de Proteção de dados (RGPD). Na política de privacidade consta que a rede social recolhe dados fornecidos pelo utilizador titular de dados quer quando este acede à rede social, quer quando este a utiliza, criando ou partilhando conteúdos e comunicando com outros utilizadores da rede, o que é algo normal e necessário à execução do contrato, ou seja, de acordo com o art. 6.º, nº 1, alínea b), do RGPD, estamos perante um tratamento válido e lícito. Além do tratamento ser válido e lícito, também a questão dos deveres de informação é cumprida, pois aplica-se o artigo 14º, uma vez que a pessoa que recebe o convite recebe todas as informações necessárias sobre o tratamento de dados, os seus direitos, prazos de conservação. Supõe-se também que se o titular de dados não aceitar o convite num certo período de tempo, o Clubhouse deve apagar os dados utilizados nesta operação de tratamento (caso não lhe tenha sido dada autorização para o acesso contínuo à lista de contactos pelo utilizador). Releva ainda para a discussão o facto de na política de privacidade, no ponto relativo a Networks and Connections, a rede social menciona que, se o utilizador escolher dar permissão à aplicação para esta fazer o upload, sincronizar ou importar as informações da sua lista de contactos pessoais, esta poderá ser utilizada para “melhorar a experiência do utilizador em vários aspetos”, notificando-o quando um dos seus contactos se junte à rede social e utilizando a lista de contactos para recomendar outros utilizadores que possa querer seguir e recomendando, por sua vez, a sua conta a outros utilizadores.

Dado o exposto, se a aplicação requer que o utilizador dê permissão para que a mesma possa aceder à sua lista de contactos, estaremos já perante outra base de licitude, que será o consentimento, ou seja, sem o consentimento do utilizador titular de dados, a rede social não poderá ter acesso a esta informação (art. 6º, n.º 1, alínea a), do RGPD). Levantam-se aqui várias questões: em primeiro lugar, existem queixas de utilizadores que não deram permissão e mesmo assim a aplicação teve acesso aos dados das suas listas de contactos. Em segundo lugar, é suspeito e bastante invasivo um utilizador dar permissão para o acesso à sua lista de contactos à aplicação, e pessoas que nem sequer utilizam a aplicação veem os seus dados recolhidos e tratados pela Clubhouse sem terem dado o seu consentimento. Esta prática designa-se shadow profile.

Podemos concluir que, apesar de esta não aceitação da permissão de acesso à lista de contactos por parte do utilizador não afetar o funcionamento e utilização da rede social por parte do mesmo, este não poderá disfrutar da experiência completa da rede social, uma vez que será mais difícil encontrar e conectar-se com os seus amigos e familiares e, além disso, também não poderá enviar os seus dois convites disponibilizados inicialmente, o que criará entraves à socialização com amigos, que é o verdadeiro objetivo da rede social. Todavia, a autorização que o titular de dados dá para o acesso da aplicação à lista de contactos não se trata de um verdadeiro consentimento para o tratamento, na medida em que o utilizador não é o titular destes dados, devendo tratar-se de uma imposição dos termos de serviço do IOS e da App Store da Apple. Esta autorização dada pelo utilizador vai de encontro ao princípio da transparência e lealdade do RGPD, sendo que até pode ser considerada como uma oportunidade dada ao utilizador de exercer o direito de oposição.

Em março, surgiu uma atualização para tentar colmatar esta e muitas outras questões e falhas, sobretudo no que se refere à encriptação. No entanto, as queixas mantêm-se. Aguardemos o desenrolar da situação.

As aparências iludem – Opção pré-validada, sim ou não?

Jurisprudência

O Tribunal de Justiça da União Europeia (TJUE) proferiu, no passado dia 11 de novembro, uma decisão no Processo C-61/19 em que abordou o tratamento de dados pessoais e proteção da vida privada, nomeadamente o conceito de “consentimento”, como manifestação de vontade livre, específica e informada.

Este Acórdão, visto em pormenor, é extenso e intenso, tanto no tratamento das várias questões que, à sua maneira, enuncia e resolve, como numa série de outras em que nos faz pensar, o que provavelmente justifica mais do que um post neste blog.

Começando pelo princípio como é habitual e desejável, há que explicar do que se trata. Ninguém melhor que o próprio Tribunal para o fazer, pelo que o seu Comunicado à Imprensa n.º 137/20 pode ser lido na íntegra aqui e o Acórdão aqui.

Resumidamente, neste processo existe um pedido decisão prejudicial apresentado pelo Tribunal Regional de Bucareste, no âmbito de um litígio em que a Orange România SA (Orange) apresentou um recurso destinado a obter a anulação de uma decisão através da qual a ANSPDCP (Autoridade Nacional para a Supervisão do Processamento de Dados Pessoais da Roménia – ANS) lhe aplicou uma coima por ter recolhido e conservado cópias de títulos de identidade dos seus clientes sem o consentimento válido destes e lhe ordenou que destruísse essas cópias.

Aquele pedido teve por objeto a interpretação do artigo 2.°, alínea h), da Diretiva 95/46/CE, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, bem como do artigo 4.°, ponto 11, do Regulamento Geral sobre a Proteção de Dados (RGPD) que revoga aquela Diretiva, questionando-se quais são as condições que, naquele âmbito, devem ser preenchidas para se poder considerar que uma manifestação de vontade é “específica e informada” e “expressa livremente”.

Decide o Tribunal, após estabelecer que cabe ao responsável pelo tratamento dos dados o ónus da prova relativa ao preenchimento dos requisitos do consentimento, o seguinte: “Um contrato relativo ao fornecimento de serviços de telecomunicações que contém uma cláusula segundo a qual a pessoa em causa foi informada e deu o seu consentimento para a recolha e a conservação de uma cópia do seu título de identidade para fins de identificação não é suscetível de demonstrar que essa pessoa deu validamente o seu consentimento, na aceção destas disposições, para essa recolha e para essa conservação, quando

–  a opção relativa a essa cláusula foi validada pelo responsável pelo tratamento dos dados antes da assinatura desse contrato ou, quando

–  as estipulações contratuais do referido contrato são suscetíveis de induzir a pessoa em causa em erro quanto à possibilidade de celebrar o contrato em questão mesmo que se recuse a autorizar o tratamento dos seus dados, ou quando

–  a livre escolha de se opor a essa recolha e a essa conservação é afetada indevidamente por esse responsável, ao exigir que a pessoa em causa, a fim de se recusar a dar o seu consentimento, preencha um formulário suplementar onde fique registada essa recusa.”.

Vamos aqui brevemente analisar a parte em que o Tribunal considera que a existência num contrato de “uma cláusula segundo a qual a pessoa em causa foi informada e deu o seu consentimento”, não é suficiente para demonstrar que “essa pessoa deu validamente o seu consentimento, na aceção destas disposições “ se “a opção relativa a essa cláusula foi validada pelo responsável pelo tratamento dos dados antes da assinatura desse contrato”.

Em primeiro lugar, assinale-se o uso da expressão “Cláusula”, termo tipicamente relativo ao conteúdo dos contratos, para algo que consubstanciaria uma autorização para tratamento de dados pessoais, à partida alheia ao próprio contrato. Tanto mais que, se o Tribunal assim não considerasse, isto é, se considerasse que o tratamento de dados estaria relacionado com a própria execução do contrato, a causa de legitimidade para o tratamento não seria a do artigo 6.º, n.º 1, alínea a) do RGPD, isto é, não seria o consentimento do titular dos dados. A relação entre a proteção de dados e outras áreas do Direito está a crescer e a impor-se. A propósito, e sobre a relação com o Direito do Consumo, pode-se ler neste blog comentário ao recente Acórdão Privacy International.

Em segundo lugar, assinale-se o uso da expressão (dar, ou não dar), “validamente o seu consentimento”, quando o que estaria em causa seria existir ou não uma causa de licitude do tratamento dos dados. Isto é, efetivamente não se trataria de uma questão de validade de um consentimento, expressão que remete de novo para a típica terminologia contratual, nomeadamente a relativa às declarações negociais, essas sim perfeitas ou com vícios que poderiam levar à invalidade. No caso da proteção de dados, do que se trata é de saber se um determinado tratamento de dados pessoais cabe na regra geral da ilicitude, ou em alguma das suas exceções. No RGPD, regulam essencialmente os artigos 6.º a 11.º. Na Diretiva 95/46, era também de (i)licitude que se tratava, prevendo o seu artigo 5.º que ” Os Estados-membros especificarão, dentro dos limites do disposto no presente capítulo, as condições em que é lícito o tratamento de dados pessoais.”. Sabemos que a expressão “consentimento válido”, no âmbito da proteção de dados, se vulgarizou. A questão é saber se é usada por estar em causa a (in)validade, ou se o seu uso se deve a falta de termos e conceitos que cubram realidades que, não sendo novas, só recentemente suscitam grande atenção.

Em terceiro lugar, saliente-se que o TJUE, no Acórdão Orange, quando trata da existência de opção validada “pelo responsável pelo tratamento dos dados antes da assinatura desse contrato”, socorre-se da célebre decisão do Acórdão Planet 49. Seria uma boa ajuda se os casos tivessem realmente uma substância comum o que, embora ambos se refiram ao “consentimento” relacionado com a proteção de dados e incluam um formulário, não parece acontecer. Ao nível do soundbite, dos títulos de notícias e dos resumos superficiais, a questão aparenta ser idêntica já que tem a ver com a pré-validação de uma opção em que está vertida uma declaração de consentimento do titular para tratamento dos seus dados pessoais antes da finalização do contrato.

No entanto, no Acórdão Planet 49, em que a empresa organizou um jogo promocional no seu sítio Internet onde se inscreviam os que pretendiam participar, existia uma quadrícula de seleção relativa à instalação de cookies para recolha de dados pessoais que “estava pré-validada”. O que significa que o formulário online já trazia a declaração “Concordo” preenchida (Ponto 27.). Decidiu o Tribunal que “um consentimento dado através de uma opção pré-validada não implica um comportamento ativo por parte do utilizador de um sítio Internet.” (Ponto 52.).

Diferente parece ser a situação no caso Orange, já que existiria um processo negocial, com base num guião, em que intervinham diretamente os “agentes de venda” que antes da celebração do contrato informavam os clientes “designadamente sobre as finalidades da recolha e da conservação das cópias dos títulos de identidade, bem como sobre a escolha de que os clientes dispõem quanto a essa recolha e a essa conservação, antes de obterem oralmente o consentimento desses clientes para que se proceda a essa recolha e a essa conservação. Segundo a Orange România, a opção relativa à conservação das cópias de títulos de identidade era, assim, validada unicamente com base no acordo livremente expresso nesse sentido pelos interessados quando da celebração do contrato.” (Ponto 43.). Isto é, a ser verdade este procedimento, e o mesmo não é contestado, o consentimento expresso, livre, específico e informado constaria daquela declaração verbal. Acresce que, após essa manifestação, seria o agente de venda a preencher o campo correspondente à validação, tudo indica que por indicação ou, pelo menos, com a concordância do cliente. Isto é, ao contrário do Acórdão Planet 49, a opção não vinha pré-validada. O formulário seria preenchido, é certo que pelo “agente de venda”, de acordo com a manifestação do consentimento verbal do cliente. O que reduz esta específica questão à prova da declaração verbal de consentimento, não se tendo conhecimento de que houvesse discrepâncias entre o que era declarado e o que era preenchido. No final do processo negocial, o cliente assinava o contrato que incluía aquele consentimento, ou a sua recusa.

Conclui-se, portanto, que no caso Orange, ao contrário do que acontecia no caso Planet 29, não estava realmente em causa a existência de uma opção pré-validada pela empresa, que o cliente precisasse de desmarcar para retirar o seu consentimento.