Por muito desconfortável que possa parecer, pagar com os seus próprios dados pessoais através do consentimento para o tratamento de dados no contexto da contratação digital é uma realidade. O Supervisor Europeu Da Proteção De Dados (EDPS) no Parecer 4/2017 sobre a Proposta 634/2015 relativa aos contratos de fornecimento de conteúdos digitais e o Gabinete Europeu De Proteção De Dados (EDPB) nas Orientações 5/2020 sobre o consentimento para o tratamento de dados têm sido defensores deste desconforto. No entanto, a realidade do pagamento com dados tem continuado a desenvolver-se, o que torna necessário estabelecer regras mínimas em relação ao pagamento com dados.
Em primeiro lugar, um contrato em que os dados são a contraprestação é um contrato tão oneroso como qualquer outro contrato em que a contraprestação é monetária; por conseguinte, o consumidor também deve beneficiar de proteção. É o que se verifica, por exemplo, no Decreto-Lei 84/2021, que transpõe a Diretiva 2019/770, que estabelece que, quando o consumidor fornece dados pessoais para usufruir de conteúdos ou serviços digitais, deve ser protegido por um conjunto de direitos, nomeadamente em caso de incumprimento ou desconformidade.
A noção de onerosidade encontra-se na catalogação das causas do contrato no art. 1274.º do CC espanhol. Não existe equivalente no CC português, mas existe uma distinção entre onerosidade e gratuitidade em vários contratos em especial. Essencialmente, um contrato é oneroso quando é fonte recíproca de atribuições patrimoniais; e é gratuito quando, em vez dessa reciprocidade, apenas uma das partes se enriquece à custa da outra, sem dar qualquer contrapartida. Para classificar um contrato como oneroso, não importa se a contrapartida é monetária ou de qualquer outro tipo, desde que tenha utilidade económica em sentido lato. E os dados têm utilidade económica.
Estamos perante um pagamento com dados pessoais quando três circunstâncias estão presentes em simultâneo: (1) o tratamento dos dados baseia-se no consentimento da pessoa em causa; (2) o fornecedor do serviço ou do conteúdo digital associa a execução ao consentimento do consumidor; (3) se o consumidor retirar o consentimento ao tratamento dos dados, tem de enfrentar as consequências contratuais relacionadas com a restituição recíproca da execução, mas não sofre qualquer dano adicional.
O último requisito é mais uma consequência: se os dados constituem um pagamento que torna o contrato oneroso, a sua retirada deve ter consequências contratuais. Caso contrário, em vez de liberdade de consentimento, estaríamos perante uma irresponsabilidade de consentimento, o que geraria um desequilíbrio contratual inaceitável. No entanto, nenhum dano suplementar seria causado, uma vez que o RGPD o proíbe (art. 7.º, n.º 3, e cons. 42 in fine).
Apesar da realidade generalizada do pagamento com dados, existem dificuldades regulamentares associadas a uma certa interpretação do RGPD e à transposição e aplicação nacional do RGPD por alguns Estados-Membros. A Diretiva 2019/770, nos seus considerandos 39 e 40, deixa aos Estados-Membros a responsabilidade de regular as consequências contratuais da concessão e retirada do consentimento para o tratamento de dados pessoais, reconhecendo simultaneamente a natureza imperativa do RGPD neste ponto. O que nem o RGPD nem a Diretiva 2019/770 fazem é fornecer uma interpretação concreta da responsabilidade do consumidor em relação à utilização do seu consentimento para o tratamento de dados como pagamento. O artigo 7-4 do RGPD estabelece que, ao avaliar se o consentimento foi dado livremente, deve ser tido em conta se a prestação de um serviço está condicionada ao consentimento para o tratamento de dados pessoais que não são necessários para a execução desse contrato; mas não diz em que sentido é que isso deve ser tido em conta. Proponho, portanto, uma interpretação que permita a coexistência da proteção de dados pessoais e da economia de dados.
Em Espanha, o art. 6.3 da LO 1/2018 estabelece que “A execução do contrato não pode ser condicionada ao consentimento do titular dos dados para o tratamento de dados pessoais para fins não relacionados com a manutenção, o desenvolvimento ou o controlo da relação contratual”. Esta afirmação resume a posição do EDPB e da EDPS nos documentos acima referidos e implicaria uma proibição de pagamento com dados ou, no mínimo, uma antinomia com artigos como o 119.º do TRLDCU, que fala explicitamente de “dados como contraprestação”.
A situação em Portugal é menos problemática. Tanto na perspetiva da Lei 58/2019 (sobre proteção de dados) como na perspetiva do Decreto-Lei 84/2021 (que transpõe a Diretiva 2019/770).
Na perspetiva do direito do consumo, o Decreto-Lei 84/2021 refere que o consumidor fornece dados pessoais para usufruir de conteúdos e serviços digitais, mas não se refere “A-Palavra-Que-Não-Pode-Ser-Pronunciada” (“contraprestação”), seguindo, neste aspeto, o Parecer 4/2017 do EDPS em relação à então Proposta de Diretiva 634/2015. Neste sentido de prudência, o art. 3-3-b) do Decreto-Lei 84/2021 copia o art. 3-1-2 da Diretiva. Quanto à Lei 58/2019, não desenvolve o RGPD em matéria de consentimento e, portanto, não opta por nenhuma interpretação específica. Esta falta de desenvolvimento é uma vantagem, pois nem a Lei 58/2019 nem o Decreto-Lei 84/2021 impedem a interpretação do RGPD num sentido favorável ao pagamento com dados, ainda que não o designemos por esse nome