Agressividade ou Lealdade? O Dilema do Modelo “Consent or Pay”

Doutrina

Em novembro de 2023, os utilizadores europeus das redes sociais Facebook e Instagram foram confrontados com uma escolha quanto à utilização dos seus dados pessoais, para efeitos da sua utilização em publicidade comportamental pela gigante Meta. De repente, um consumidor utilizador destas redes sociais recebe uma notificação persistente, na qual a Meta informa que terá de optar entre continuar a “utilizar gratuitamente com anúncios”, ou pagar uma subscrição mensal de pelo menos € 9.99 para aceder a uma versão da rede social sem publicidade comportamental. Para a maior parte dos milhares de milhões de utilizadores esta foi uma escolha simples (e obrigatória), uma vez que não era fácil remover a notificação que bloqueava o acesso à página do utilizador na rede.

Contudo, as instituições europeias e a doutrina têm feito correr muita tinta quanto à legalidade deste modelo de negócio implementado pela Meta e comumente designado de “Consent or pay” ou “Pay or okay”. Esta novidade surgiu na sequência do Acórdão do Tribunal de Justiça da União Europeia Bundeskartellamt, no qual o Tribunal reconhece que os utilizadores têm o direito de recusar dar o seu consentimento de forma individual a operações de tratamento de dados que não sejam necessárias à execução do contrato, sem serem obrigados a abdicar da utilização do serviço digital no seu todo. Assim, é referido que o operador do serviço deve fornecer uma “alternativa equivalente não acompanhada de tais operações de tratamento de dados” e, se necessário, “mediante uma remuneração adequada” (Parágrafo 150).

Este tema está longe de estar encerrado, e encontra-se em discussão aberta à luz de vários ramos do direito da União, nomeadamente à luz do direito à proteção de dados pessoais, do direito da concorrência, e ainda do direito do consumo.

Após o lançamento do modelo de subscrição, o Bureau Européen des Unions de Consommateurs (doravante BEUC) emitiu um comunicado de imprensa expressando a sua convicção de que este modelo viola a Diretiva da Práticas Comercias Desleais, consubstanciando uma prática agressiva pelo exercício de influência indevida sobre o consumidor, e uma prática comercial enganosa por ação. Em julho de 2024, a Comissão Europeia e a CPC anunciaram o seguimento da ação e enviaram uma carta à Meta pedindo-lhe que proponha soluções até 1 de setembro de 2024 (as quais são, até ao momento, desconhecidas).

Cabe-nos aqui desenvolver o modelo “Consent or pay” pelo olhar da Diretiva das Práticas Comerciais Desleais, cingindo-se esta análise à validade dos argumentos que sustentam a agressividade desta prática.

Prática Comercial Agressiva

A Organização de Consumidores argumenta que o design da notificação consubstancia um “dark pattern”, que não possibilita que o consumidor utilizador aceda à sua página, contactos e fotos, e o pressiona a tomar uma decisão quanto ao modelo de subscrição.

De facto, uma configuração tendenciosa da interface da rede, se apresentada num contexto B2C, pode consubstanciar uma prática comercial enganosa, agressiva ou contrária à diligência profissional imposta pelo artigo 5.º da Diretiva. Tal dependerá do padrão em concreto, e se for suscetível de afetar o comportamento económico do consumidor médio (ou, tratando-se uma prática dirigida a um grupo de consumidores particularmente vulneráveis, o consumidor médio desse grupo).

No caso em análise, o argumento prende-se especificamente com a persistência da notificação da alteração do modelo de negócio, e a urgência que cria no consumidor para tomar uma decisão para poder aceder à sua conta. Ainda que este tipo de “subscrição forçada” não conste do elenco exemplificativo apresentado pela Comissão na UCPD Guidance, a verdade é que os elementos do caso concreto nos levam facilmente à conclusão de que tal prática é suscetível de distorcer o comportamento económico e transacional do consumidor médio.

Como nos indica o Acórdão Orange Polska[1] (C-628/17 [2019] ECLI:EU:C:2019:480), os Tribunais nacionais devem ter cautela ao qualificar uma prática comercial como o “exercício de influência indevida”, e na análise deste conceito as “informações prestadas antes da celebração de um contrato sobre as condições contratuais e as consequências da referida celebração são de importância fundamental para o consumidor” (para. 35).

Ora, por um lado, voltando ao nosso caso, a Meta anunciou no seu site oficial, a 30 de outubro de 2023, que iria “oferecer uma subscrição sem anúncios para os utilizadores na Europa”. Não obstante, o consumidor médio não é suficientemente diligente ao ponto de verificar este site, pelo que um email ou notificação prévia na própria interface da rede social teria mais oportunidades de retirar o elemento surpresa da notificação. É aqui que reside uma diferença factual muito relevante face ao Acórdão Orange Polska e que poderá por analogia, porventura, nortear uma decisão favorável ao BEUC.

Por outro lado, o formato binário e a persistência da notificação criam indubitavelmente uma pressão para o consumidor fazer a sua escolha de imediato, que penderá, tendencialmente, para a opção que afirma a continuação da utilização “gratuita”, mas com anúncios.

O formato e modo da notificação utilizado pela Meta é suscetível de prejudicar significativamente o período de ponderação do consumidor, nomeadamente, quanto ao impacto que cada opção tem nos seus dados pessoais e na sua carteira, levando-nos a tomar uma decisão de transação que, possivelmente, não tomaríamos em circunstâncias comerciais leais. Aliás, muitos de nós não lemos o texto até ao fim, com a pressa de verificar se tínhamos notificações novas.

Assim, a natureza da notificação, qualificável como “dark pattern”, e a persistência da mesma, intercedem a favor do argumento de que a Meta exerceu influência indevida sobre os seus utilizadores.

Ademais, não era evidente, para o consumidor médio, a opção de apagar a sua conta de utilizador ou de fazer o download dos seus dados pessoais, uma vez que tal não aparecia diretamente na notificação que bloqueava a página principal da rede.

É aqui que reside o fundamento da qualificação desta prática como “subscrição forçada”, como argumenta o BEUC.

Este elemento, por si só, justifica a invocação do Artigo 9(d) da Diretiva, consubstanciando um entrave desproporcional ao exercício pelo consumidor dos seus direitos, nomeadamente, a resolução do contrato ou troca de serviço.

Noutra perspetiva, esta é também uma clara violação do normativo do RGPD (Regime Geral de Proteção de Dados), segundo o qual retirar o consentimento deve ser tão fácil para o sujeito de dados, como dá-lo (Artigo 7(3), in fine). Esta violação de direito da proteção de dados pessoais deverá ser considerada e pesada na qualificação da prática comercial como agressiva, como o refere várias vezes a Comissão na UCPD Guidance.

Conclusão

A alteração do modelo de negócio da Meta per se não viola a Diretiva da Práticas Comerciais Desleais. A questão é mais profunda que isto, pois estão aqui essencialmente em conflito o direito fundamental à proteção dos dados pessoais (Artigo 8.º da Carta dos Direitos Fundamentais da União Europeia) e o direito fundamental à liberdade de empresa (Artigo 16.º da Carta dos Direitos Fundamentais da União Europeia) e de livre iniciativa económica (Artigo 61.º da Constituição da República Portuguesa). A análise que aqui se fez reporta-se sobretudo ao modo como o modelo foi apresentado aos consumidores europeus. E, nessa medida, a ponderação geral destes argumentos leva-nos a acompanhar a posição do BEUC quanto à qualificação como prática comercial desleal agressiva. No entanto, considerando a falta de precedente, não é inteiramente evidente se os Tribunais acompanharão este juízo.


[1] O caso em questão envolvia um consumidor que solicitou um contrato de telecomunicações por via do site da empresa de telecomunicações. Durante o processo de solicitação do contrato, o consumidor teve a possibilidade de consultar os detalhes da oferta e os contratos-padrão diretamente no site da empresa. Contudo, a celebração do contrato só seria possível na presença do funcionário da empresa, tendo o consumidor de declarar que tomou conhecimento dos documentos e que aceitava o seu conteúdo. O TJUE acabou por concluir que não se tratava de uma prática comercial agressiva por influência indevida, tendo, contudo, deixado orientações para a interpretação do conceito.

O que a Siri não diz sobre o que faz com dados pessoais

Doutrina

Os assistentes de voz virtuais são cada vez mais integrados no nosso dia a dia, permitindo realizar tarefas com simples comandos de voz. No entanto, as implicações da sua utilização para a privacidade dos utilizadores muitas vezes passam despercebidas.

Neste blogpost, vamos explorar os desafios que estes dispositivos apresentam em termos de proteção de dados, focando-nos nas bases de licitude para o tratamento de dados e nos requisitos de transparência que os responsáveis pelo tratamento devem observar.

O que são assistentes de voz virtuais?

Essencialmente, os assistentes de voz virtuais são concebidos para facilitar a execução de tarefas e, ao mesmo tempo, proporcionar ao consumidor acesso a informação. Por exemplo, smartphones já utilizam estes assistentes virtuais para definir alarmes ou lembretes. Da mesma forma, alguns automóveis integram assistentes que permitem ao condutor e ocupantes controlar o GPS por via de comandos de voz. O seu alcance é vasto, não se limitando, portanto, a ser um altifalante inteligente integrado em smartphones, smartwatch ou outro qualquer dispositivo com capacidades de Internet, um microfone e altifalantes.

Contudo, estes assistentes são também softwares complexos que levam ao tratamento de dados do consumidor – por exemplo, comandos de voz – e de eventuais terceiros, como palavras faladas, dados de texto, informações pessoais partilhadas e dados biométricos (reconhecimento de voz). Por exemplo, quando o consumidor pede ao seu assistente virtual para acender as luzes de casa, este capta a sua voz, converte o seu discurso em texto, processa o comando e implementa-o através, por exemplo, de ligação a outros sistemas a que o consumidor lhe tenha dado acesso.

Assim, para traduzir os comandos dos consumidores em ações, os assistentes virtuais têm uma contraparte de software que complementa o suporte físico onde estão integrados e que trata os dados pessoais de modo a executar as tarefas para que foram programados. Este tratamento de dados é complexo, envolvendo frequentemente diversas entidades e protocolos.

Dada a utilização quotidiana destes sistemas e a quantidade – e sensibilidade – dos dados pessoais tratados, dois problemas em particular surgem aquando da sua utilização: a necessidade de uma base de licitude para o tratamento de dados e o cumprimento de deveres de transparência por parte do responsável pelo tratamento.

Bases de licitude aplicáveis

O Regulamento Geral de Proteção de Dados (‘RGPD’) exige que o tratamento de dados pessoais dependa da aplicação de uma base de licitude do seu art. 6.º. Para categorias especiais de dados (por exemplo, dados biométricos), é também exigida a aplicação de uma das exceções do art. 9.º(2). Por isso, um dos elementos essenciais para um tratamento lícito de dados pessoais no contexto de assistentes de voz virtuais será a definição da base (ou bases) legal aplicável.

A escolha passa por compreender os vários tratamentos a que os dados pessoais estão sujeitos. Inicialmente, o assistente está em estado de espera até ser ativado por uma expressão-chave. Com a deteção dessa expressão (e, em alguns casos, o reconhecimento de voz do consumidor), o áudio é transmitido para fora do dispositivo, sendo processado pelo operador do software. Em seguida, o comando do utilizador é transcrito, interpretado e, dependendo da solicitação, pode ser compartilhado com aplicativos de terceiros (por exemplo, para controlar outros dispositivos inteligentes). A resposta ou ação solicitada é então executada.

Neste contexto, diferentes finalidades poderão estar em causa, pelo que a escolha de base de licitude pode variar.

Como vimos, o principal uso de um assistente de voz virtual é executar comandos de voz. Quando este tratamento envolve o armazenamento ou o acesso a informações no dispositivo terminal do consumidor, aplica-se o art. 5.º(3) da Diretiva ePrivacy, que exige o consentimento prévio. Contudo, há uma exceção: se o armazenamento ou o acesso for “estritamente necessário” para fornecer o serviço solicitado, o consentimento não é exigido.

Portanto, quando o tratamento de dados é necessário para a execução do pedido do consumidor, como a captura, transcrição e interpretação de comandos de voz, a base de licitude a utilizar será a execução de um contrato com o consumidor, conforme ao art. 6.º(1)(b) do RGPD. Todo o tratamento de dados suplementar a este – e que não seja necessário para a prestação do serviço solicitado – será, na maioria dos casos, sujeito a consentimento. Isto engloba três casos tipicamente relacionados com assistentes de voz virtuais.

Em primeiro lugar, nos casos em que a voz do utilizador é também utilizada para o identificar, estamos perante o tratamento de dados biométricos conforme definido no art. 4.º(14) do RGPD. O tratamento de tais dados requer não apenas uma base de licitude do art. 6.º, mas também uma exceção constante do artigo 9.º. A exceção será o consentimento explícito do titular dos dados (art. 9.º(2)(a) do RGPD).

Outra situação típica prende-se com o aperfeiçoamento contínuo dos assistentes virtuais levado a cabo pelos seus operadores. Em geral, este tratamento não pode ser enquadrado como necessário para a execução do contrato com o consumidor, pelo que a melhoria do serviço ou o desenvolvimento de novas funcionalidades requerem uma base legal distinta. Com base no raciocínio anterior, em princípio será necessário o consentimento do titular dos dados.

Por último, estes assistentes virtuais podem ter funcionalidades adicionais. Por exemplo, a personalização de conteúdos, embora esperada por alguns consumidores, nem sempre é um elemento intrínseco ao serviço oferecido por estes assistentes. Assim, quando a personalização não é estritamente necessária para a execução do contrato, o consentimento do titular de dados será novamente necessário.

O responsável pelo tratamento deve, assim, garantir que o tratamento de dados está em conformidade com os padrões definidos pelo RGDP e a Diretiva ePrivacy. Caso o consentimento do titular de dados seja necessário – nos casos em que o tratamento de dados não é essencial para a prestação do serviço solicitado, ou aquando do tratamento de categorias especiais de dados – este deve ser fornecido livremente e de forma específica, informada e inequívoca.

Direito de informação

A transparência é outro elemento fundamental. Os responsáveis pelo tratamento devem cumprir os requisitos estabelecidos pelo RGPD, nomeadamente nos arts. 5.º(1)(a), 12.º e 13.º, que impõem a obrigação de informar os utilizadores de forma concisa, transparente e acessível sobre o tratamento dos seus dados pessoais.

Cumprir estas exigências de transparência pode, contudo, ser um desafio significativo para os fornecedores de assistentes de voz virtuais, devido às particularidades tecnológicas desses sistemas.

Um dos principais obstáculos é a necessidade de informar todos os utilizadores — não apenas o consumidor que inicialmente adquire o dispositivo, mas também os utilizadores acidentais que podem interagir com o assistente de voz. Por exemplo, em dispositivos pessoais, como um smartphone, pode haver um único utilizador, mas em dispositivos partilhados, como os utilizados em casas inteligentes ou em automóveis, estaremos potencialmente perante múltiplos utilizadores. A situação torna-se ainda mais complexa quando, por exemplo, um smartphone pessoal se conecta a um carro e o assistente de voz passa a estar disponível para todos os passageiros. Nestes casos, os responsáveis pelo tratamento de dados devem garantir o cumprimento do dever de informação perante todos os titulares de dados cujos dados pessoais trate.

A forma de interação com estes assistentes gera também dificuldades na transmissão desta informação. Políticas de privacidade extensas e complexas, resultantes da integração de múltiplos serviços, podem agravar esta dificuldade. Por isso, embora esta tecnologia seja desenhada para interações por voz, por vezes torna-se necessário incluir ecrãs auxiliares que permitam um acesso facilitado à informação. Outros modelos são possíveis, como por exemplo o envio de hiperligações por e-mail. De igual forma, é recomendado que o dispositivo informe o consumidor e outros titulares de dados de quando está ‘à escuta’ de comandos, através de sinais visuais, como ícones ou luzes. Desta forma, os responsáveis pelo tratamento de dados gerado por estes assistentes podem facilitar o acesso à informação devida nos termos do RGPD, garantindo um tratamento de dados transparente e leal.

“A-Palavra-Que-Não-Pode-Ser-Pronunciada” – Pagar com dados pessoais em Portugal e em Espanha

Doutrina

Por muito desconfortável que possa parecer, pagar com os seus próprios dados pessoais através do consentimento para o tratamento de dados no contexto da contratação digital é uma realidade. O Supervisor Europeu Da Proteção De Dados (EDPS) no Parecer 4/2017 sobre a Proposta 634/2015 relativa aos contratos de fornecimento de conteúdos digitais e o Gabinete Europeu De Proteção De Dados (EDPB) nas Orientações 5/2020 sobre o consentimento para o tratamento de dados têm sido defensores deste desconforto. No entanto, a realidade do pagamento com dados tem continuado a desenvolver-se, o que torna necessário estabelecer regras mínimas em relação ao pagamento com dados.

Em primeiro lugar, um contrato em que os dados são a contraprestação é um contrato tão oneroso como qualquer outro contrato em que a contraprestação é monetária; por conseguinte, o consumidor também deve beneficiar de proteção. É o que se verifica, por exemplo, no Decreto-Lei 84/2021, que transpõe a Diretiva 2019/770, que estabelece que, quando o consumidor fornece dados pessoais para usufruir de conteúdos ou serviços digitais, deve ser protegido por um conjunto de direitos, nomeadamente em caso de incumprimento ou desconformidade.

A noção de onerosidade encontra-se na catalogação das causas do contrato no art. 1274.º do CC espanhol. Não existe equivalente no CC português, mas existe uma distinção entre onerosidade e gratuitidade em vários contratos em especial. Essencialmente, um contrato é oneroso quando é fonte recíproca de atribuições patrimoniais; e é gratuito quando, em vez dessa reciprocidade, apenas uma das partes se enriquece à custa da outra, sem dar qualquer contrapartida. Para classificar um contrato como oneroso, não importa se a contrapartida é monetária ou de qualquer outro tipo, desde que tenha utilidade económica em sentido lato. E os dados têm utilidade económica.

Estamos perante um pagamento com dados pessoais quando três circunstâncias estão presentes em simultâneo: (1) o tratamento dos dados baseia-se no consentimento da pessoa em causa; (2) o fornecedor do serviço ou do conteúdo digital associa a execução ao consentimento do consumidor; (3) se o consumidor retirar o consentimento ao tratamento dos dados, tem de enfrentar as consequências contratuais relacionadas com a restituição recíproca da execução, mas não sofre qualquer dano adicional.

O último requisito é mais uma consequência: se os dados constituem um pagamento que torna o contrato oneroso, a sua retirada deve ter consequências contratuais. Caso contrário, em vez de liberdade de consentimento, estaríamos perante uma irresponsabilidade de consentimento, o que geraria um desequilíbrio contratual inaceitável. No entanto, nenhum dano suplementar seria causado, uma vez que o RGPD o proíbe (art. 7.º, n.º 3, e cons. 42 in fine).

Apesar da realidade generalizada do pagamento com dados, existem dificuldades regulamentares associadas a uma certa interpretação do RGPD e à transposição e aplicação nacional do RGPD por alguns Estados-Membros. A Diretiva 2019/770, nos seus considerandos 39 e 40, deixa aos Estados-Membros a responsabilidade de regular as consequências contratuais da concessão e retirada do consentimento para o tratamento de dados pessoais, reconhecendo simultaneamente a natureza imperativa do RGPD neste ponto. O que nem o RGPD nem a Diretiva 2019/770 fazem é fornecer uma interpretação concreta da responsabilidade do consumidor em relação à utilização do seu consentimento para o tratamento de dados como pagamento. O artigo 7-4 do RGPD estabelece que, ao avaliar se o consentimento foi dado livremente, deve ser tido em conta se a prestação de um serviço está condicionada ao consentimento para o tratamento de dados pessoais que não são necessários para a execução desse contrato; mas não diz em que sentido é que isso deve ser tido em conta. Proponho, portanto, uma interpretação que permita a coexistência da proteção de dados pessoais e da economia de dados.

Em Espanha, o art. 6.3 da LO 1/2018 estabelece que “A execução do contrato não pode ser condicionada ao consentimento do titular dos dados para o tratamento de dados pessoais para fins não relacionados com a manutenção, o desenvolvimento ou o controlo da relação contratual”. Esta afirmação resume a posição do EDPB e da EDPS nos documentos acima referidos e implicaria uma proibição de pagamento com dados ou, no mínimo, uma antinomia com artigos como o 119.º do TRLDCU, que fala explicitamente de “dados como contraprestação”.

A situação em Portugal é menos problemática. Tanto na perspetiva da Lei 58/2019 (sobre proteção de dados) como na perspetiva do Decreto-Lei 84/2021 (que transpõe a Diretiva 2019/770).

Na perspetiva do direito do consumo, o Decreto-Lei 84/2021 refere que o consumidor fornece dados pessoais para usufruir de conteúdos e serviços digitais, mas não se refere “A-Palavra-Que-Não-Pode-Ser-Pronunciada” (“contraprestação”), seguindo, neste aspeto, o Parecer 4/2017 do EDPS em relação à então Proposta de Diretiva 634/2015. Neste sentido de prudência, o art. 3-3-b) do Decreto-Lei 84/2021 copia o art. 3-1-2 da Diretiva. Quanto à Lei 58/2019, não desenvolve o RGPD em matéria de consentimento e, portanto, não opta por nenhuma interpretação específica. Esta falta de desenvolvimento é uma vantagem, pois nem a Lei 58/2019 nem o Decreto-Lei 84/2021 impedem a interpretação do RGPD num sentido favorável ao pagamento com dados, ainda que não o designemos por esse nome

Finalmente, o novo Regulamento dos Serviços Digitais (Digital Services Act DSA)!

Legislação

A 27 de outubro de 2022, foi publicado no Jornal Oficial da União Europeia o muito aguardado Regulamento (UE) 2022/2065 dos Serviços Digitais (mais conhecido pelo nome inglês Digital Services Act DSA), aprovado a 19 de outubro no Conselho.

Apresentado há quase dois anos pela Comissão no Pacote dos Serviços Digitais (que inclui também o agora aprovado Regulamento (UE) 2022/1925 dos Mercados Digitais – Digital Markets Act DMA), o Regulamento dos Serviços Digitais atravessou um procedimento legislativo muito ativo: os 106 considerandos e 74 artigos da proposta inicial foram bastante trabalhados pelo Parlamento Europeu e o Conselho, resultando num total final de 156 considerandos e 93 artigos.

O Regulamento dos Serviços Digitais surge principalmente com o objetivo de atualizar o regime aplicável à responsabilidade dos prestadores de serviços digitais, anteriormente inserido nos artigos 12.º a 15.º da Diretiva do Comércio Eletrónico (2000/31/CE), agora revogados. Este regime de responsabilidade dos serviços intermediários pelo transporte e armazenamento de conteúdos ilegais, com quase 20 anos, carecia de atualização normativa, devido a todas as controvérsias relacionadas com a proliferação de conteúdos ilegais (violações de direitos de autor, promoção de terrorismo, pornografia infantil, entre outras) e tentativas de os moderar (erros dos algoritmos de sinalização e bloqueio, falsos positivos e negativos) que resultam por sua vez em restrições de direitos fundamentais de acesso à informação e liberdade de expressão, os chamados efeitos de silenciamento (“chilling effects”), que se tornaram evidentes com a omnipresença e dependência da sociedade atual nestes serviços.

O Regulamento acaba por não reinventar os principais princípios que regem a responsabilidade e o papel dos intermediários e a questão da moderação de conteúdos, focando-se antes na codificação e aprofundamento normativo de práticas que já constavam de intervenções junto dos principais stakeholders, sejam instrumentos de soft-law e self-regulation, nomeadamente a “Recomendação sobre medidas destinadas a combater eficazmente os conteúdos ilegais em linha”.

Assim, o Regulamento não altera substancialmente o regime de “safe harbour”, de isenção de responsabilidade dos prestadores de serviços de simples transporte e armazenagem temporária (“catching”) (arts. 4.º e 5.º), sendo que os serviços de alojamento virtual (novo termo para armazenagem em servidor “hosting”), recebe apenas algumas alterações cirúrgicas (em direito do consumo, abordada mais adiante). O princípio da proibição de obrigações gerais de vigilância mantém-se, sendo que é acrescentada a cláusula do “bom samaritano” (art. 7.º), que já existia no Content Decency Act CDA (a legislação americana de 1996 equivalente à antiga diretiva). Este permite aos prestadores de serviços manter a imunidade quando conduzem investigações próprias, voluntariamente e de boa-fé, destinadas a detetar, identificar e suprimir ou bloquear o acesso a conteúdos ilegais.

O papel das autoridades administrativas e judiciais é reforçado, com normas para a emissão de ordens de bloqueio e remoção de conteúdos. A figura dos sinalizadores de confiança (“trusted flaggers”) é também codificada (art. 22.º).

O Regulamento dos Serviços Digitais impõe severas medidas de controlo e auditoria de todos estes mecanismos, procurando reajustar o equilíbrio na relação entre utilizadores, plataformas e partes terceiras. Os direitos fundamentais de acesso à informação e liberdade de expressão estão refletidos nas diversas disposições do diploma.

Relação com o Direito do Consumo

O Regulamento dos Serviços Digitais não é um diploma de direito do consumo no sentido clássico do conceito. Na proposta original, a proteção de consumidores não surgia sequer indicada nos considerandos como um dos objetivos centrais do diploma, em especial a proteção económica, embora este pretendesse complementar a atuação das diretivas, com um foco nos direitos fundamentais. Este aspeto mudou com as recomendações e mudanças propostas pelo Parlamento Europeu, que referiu a necessidade de o diploma abordar as práticas desleais dos mercados em linha, assim como a articulação com normas de segurança de produtos e responsabilidade de plataforma.

Trata-se de um instrumento de regulação horizontal, que afeta uma série de áreas diferentes, incluindo os direitos de propriedade intelectual, os dados pessoais e a proteção dos consumidores. O regulamento não obsta à aplicação do acquis do direito do consumo europeu, como expressamente se indica no art. 1.º-4-f) e no considerando 10.

A definição de conteúdos ilegais, pertinente para as questões de moderação de conteúdos, inclui os conteúdos digitais que, independentemente da sua forma, violem ou estejam relacionados com violações de direito do consumo.

Os consumidores, enquanto utilizadores destes serviços, veem os seus direitos fundamentais de acesso à informação e à liberdade de expressão reforçados com mecanismos de reddress, para a contestação e recurso das decisões das plataformas na moderação de conteúdos, incluindo instrumentos de resolução de litígio.

O art. 6.º-3 inclui uma exceção expressa da exclusão de responsabilidade extremamente relevante para a proteção de consumidores: sempre que plataformas, que permitam a celebração de contratos à distância entre consumidores e comerciantes, apresentem o elemento específico de informação ou permitam, de qualquer outra forma, que a transação específica em causa induza um consumidor médio a acreditar que a informação, o produto ou o serviço objeto da transação é fornecido pela própria plataforma em linha ou por um destinatário do serviço que atue sob a sua autoridade ou controlo”. Os conceitos desta norma são desenvolvidos nos considerandos 23 e 24:

  • O considerando 23 salienta que este elemento da atuação sob autoridade ou controlo do prestador de um serviço de alojamento virtual, se verifica nos casos em que o fornecedor da plataforma em linha pode determinar o preço dos bens e serviços que são oferecidos pelos comerciantes nestes contratos à distância.
  • O considerando 24, por sua vez, aborda a questão das informações que induzam o consumidor médio a acreditar que os bens ou serviços objeto do contrato são fornecidos pela própria plataforma em linha ou por um comerciante que atue sob a sua autoridade ou controlo. O Regulamento indica como possíveis exemplos os casos em que a plataforma em linha não apresenta claramente a identidade do comerciante, se recusa a divulgar a identidade ou os dados de contacto do comerciante até após a celebração do contrato entre este e o consumidor ou comercializa o produto ou serviço em seu próprio nome, em vez de utilizar o nome do comerciante que irá fornecer esse produto ou serviço.

Será necessário, com base em todas as circunstâncias pertinentes e de forma objetiva, determinar se a apresentação é passível de induzir um consumidor médio a acreditar que a informação em causa foi prestada pela própria plataforma em linha ou por comerciantes que atuem sob a sua autoridade ou controlo. Consideramos que a utilização do conceito de consumidor médio nestes considerandos é infeliz, dado os problemas que este conceito tem levando na aplicabilidade da Diretiva 2005/29/CE, que regula as práticas comerciais desleais.

Os prestadores de serviços de intermediação em linha estão também proibidos de utilizar “dark patterns”, isto é, práticas que afetem e distorção os comportamentos dos consumidores, afetando a sua capacidade de realizar decisões autónomas, informadas e livres, graças a funcionalidades, nudges, à estrutura, design da plataforma e interface, com recurso ao tratamento de dados pessoais, considerando 67 e artigo 25.º. Estas práticas têm sido muito debatidas quanto à aplicabilidade da Diretiva 2005/29/CE das práticas comerciais desleais.

Neste sentido, o regulamento impõe ainda obrigações de transparência sobre os anúncios que são apresentados aos utilizadores, assim como os sistemas de recomendação, que apresentam sugestões ou rankings aos utilizadores, com base em decisões algorítmicas arts. 26.º e 27.º. As plataformas em linha devem informar adequadamente os consumidores sobre estas funcionalidades, os principais parâmetros e critérios utilizados, deixando que estes possam customizar, modificar estes sistemas, de acordo com preferências pessoais, 27.º-3.

De forma a assegurar a efetividade do direito do consumo europeu, os prestadores de mercados e plataformas em linha que permitam a celebração de contratos à distância a consumidores, são sujeitos a novas obrigações de due diligence, devendo aplicar os seus melhores esforços na recolha de todas as informações pré-contratuais e dados necessários, como os relacionados com a identidade dos profissionais, de forma a permitir a sua rastreabilidade art. 30.º, no âmbito das diretivas de consumo, nomeadamente a Diretiva 2011/83/EU, considerando 74.

O Regulamento inclui ainda uma série de medidas de forma a reforçar a atuação e cooperação entre entidades reguladoras independentes dos Estados-Membros (de forma a prevenir o fenómeno de bottleneck, causado pelo mecanismo one stop shop das ações por violação do RGPD[1]), assim como normas relacionadas com auditorias e supervisão das plataformas.


[1] Neste fenómeno, as Big Tech colocaram a suas sedes na Irlanda e no Luxemburgo, não só por questões de competitividade fiscal, mas também uma espécie de forum shopping regulatório, não no sentido das normas serem menos exigentes, mas devido à falta da sua efetividade, devido às entidades reguladores destes Estados não terem recursos para todas as queixas colocadas.

Internet das Coisas e os desafios de um futuro não tão distante

Doutrina

A designação é genérica e, sem dúvida alguma, abstrata, mas a Internet das Coisas (‘IdC’, ou, em inglês e como é mais conhecida, Internet of Things – ‘IoT’) apresenta-se como um setor que, embora ainda longe da sua maturidade, já faz parte do quotidiano da maioria dos consumidores. Foi, pois, com o propósito de “compreender melhor o setor da IdC para os consumidores, o panorama da concorrência, as tendências emergentes e potenciais questões relacionadas com a concorrência” que a Comissão Europeia lançou, em 16.7.2020, um inquérito setorial sobre a IdC cujo Relatório Final (‘Relatório’) foi recentemente publicado[1].

Uma possível, mas provavelmente incompleta, definição breve de IdC aponta a mesma como um sistema de dispositivos informáticos relacionados entre si com a capacidade de transferir dados através de uma rede sem necessidade de interação humana podendo ser monitorizados ou controlados remotamente via internet. É, no fundo, tornar os objetos comuns em objetos “inteligentes”, como acontece, por exemplo, com relógios ou eletrodomésticos.

O inquérito setorial conduzido pela Comissão teve uma participação interessante e do seu âmbito foram excluídos os veículos conectados, telemóveis inteligentes e tablets. O Relatório assenta em 5 pilares, cujas principais conclusões se apresentarão de seguida.

Em primeiro lugar, ao nível das características dos produtos e serviços da IdC, o Relatório conclui que o número de dispositivos e serviços “inteligentes” tem vindo a crescer, oferecendo, assim, mais opções para os consumidores. Atualmente, os assistentes de voz assumem-se como um dos motores do desenvolvimento dos produtos e serviços da IdC, pois é através de assistentes como a Alexa (Amazon), Siri (Apple) ou Google Assistant que os utilizadores conseguem aceder às mais diversas funcionalidades que os dispositivos “inteligentes” oferecem.

Seguidamente, o Relatório descreve as principais características da concorrência no setor, identificando, entre outros, “o custo do investimento em tecnologia e a situação da concorrência como os principais obstáculos à entrada ou expansão no setor da IdC para os consumidores” (Relatório, §13). O principal problema parece situar-se a montante, ou seja, no mercado dos assistentes de voz, onde, de acordo com os inquiridos, não são esperados novos operadores de mercado (pelo menos no curto prazo), fruto dos elevados custos de desenvolvimento e operação. É, pois, esta situação que conduz a que a estratégia comercial da maioria das demais empresas assente no desenvolvimento dos seus produtos e serviços “inteligentes” com a integração de um dos três principais assistentes de voz. Contudo, qual bola de neve, esta estratégia comercial, ainda que compreensível e racional, agudiza a incapacidade destas empresas em competirem, a montante, com os atuais players do mercado dos assistentes de voz; resultando, também, em problemas a jusante, pois estes últimos operadores têm também uma forte oferta de produtos e serviços “inteligentes”, beneficiando da sua integração vertical e ecossistemas próprios.

De facto, a interoperabilidade nos ecossistemas da IdC é, de igual modo, uma peça-chave deste setor para que seja assegurado, por um lado, o uso pleno das funcionalidades de que os consumidores podem usufruir e, por outro, o aumento das opções de escolha de produtos e serviços “inteligentes”, combatendo a concentração da oferta em alguns fornecedores. A este respeito, são os sistemas operativos e os assistentes de voz que desempenham o papel primordial na ligação dos diferentes ecossistemas da IdC. Contudo, os problemas apontados acima quanto à concentração do poder de mercado a montante em poucas empresas também se fazem sentir aqui, pois são empresas como a Google ou a Apple que impulsionam a integração dos seus sistemas operativos ou assistentes de voz noutros produtos/serviços “inteligentes”. De acordo com o Relatório, estas empresas impõem processos de certificação que, regra geral, controlam de forma unilateral e as várias especificações que permitem a interoperabilidade são disponibilizados mediante a celebração de um contrato que, de acordo com a maioria dos inquiridos, não são abertos a negociação, a não ser que se trate de uma contraparte com forte poder negocial.

Numa outra vertente, o Relatório também se foca nas normas e processo de normalização, ou seja, uma componente mais técnica com o propósito de estabelecer as normas pertinentes para a integração e ligação de dispositivos, assim como aquelas que devem garantir a qualidade e segurança das comunicações no âmbito da IdC. Os inquiridos apontam para uma grande variedade de normas, mas encontram-se divididos entre aqueles que apelam a uma maior homogeneidade destas normas e aqueles que entendem que a normalização não é sinónimo de melhores condições.

Por fim, a matéria dos dados (pessoais e não só) na IdC foi também abordada pelo Relatório, o qual dá conta de uma grande recolha de dados seja por introdução manual, seja de forma automática, por exemplo através do funcionamento em segundo plano. Um dos exemplos dados pelo Relatório (§28) é o de um sistema de aquecimento “inteligente” que pode ser capaz de “recolher dados sobre a temperatura e a qualidade do ar dentro de casa, o movimento, o momento em que o sistema de aquecimento é ligado e desligado, podendo igualmente registar o momento em que os utilizadores saem e entram em casa”. Como este exemplo, há vários outros dispositivos que têm uma presença constante na vida e nas casas dos consumidores, o que lhes confere um valor acrescentado bastante interessante, nomeadamente para a criação de perfis de utilizador, entre outros fins. Ainda que muitos dos inquiridos indiquem que esta oportunidade comercial se encontra num estado embrionário, a mesma deve ser acompanhada com atenção para que cumpra a legislação aplicável e de modo a preservar a confiança dos consumidores, a confidencialidade, bem como o acesso aos dados e a sua integridade.

O Relatório descreve um setor complexo, em franco crescimento e com vários desafios que devem ser trabalhados desde início, pois, como nos ensina a sabedoria popular, o que nasce torto, tarde ou nunca se endireita. É inequívoco que os assistentes de voz se assumem como o produto mais avançado no domínio da IdC e que poderá moldar o futuro deste setor. Como é evidente, tal questão, aliada à estrutura concorrencial que este mercado parece apresentar e à falta de incentivo para a entrada de novos operadores no mesmo, configura um dos principais desafios concorrenciais, nomeadamente através de potenciais práticas negociais abusivas que o Relatório já parece sugerir. Daqui também pode derivar um outro problema cada vez mais comum no direito da concorrência: o self-preferencing. Será importante garantir que dispositivos “inteligentes” com sistema operativo ou assistente de voz de uma empresa não sugiram, numa lógica preferencial, produtos ou serviços dessas mesmas empresas.

Em suma, o Relatório apresenta-se como uma primeira boa fotografia do setor e que, espera-se, já terá impacto em algumas iniciativas legislativas da União Europeia no âmbito da propriedade industrial e mercados digitais (Relatório, §52). Será interessante ir acompanhando os desenvolvimentos neste âmbito, de modo a garantir o sempre difícil equilíbrio entre o progresso tecnológico e as obrigações legais aplicáveis.


[1] Relatório da Comissão ao Conselho e ao Parlamento Europeu, relatório final – inquérito setorial sobre a Internet das Coisas para os consumidores {SWD(2022) 10 final}, de 20.1.2022 (COM(2022) 19 final. Disponível aqui.

Os dados pessoais dos consumidores

Doutrina

Logo ao acordar, muitos têm por hábito recorrer ao telemóvel para verificar a caixa de entrada de emails, obter informações sobre como estará o clima ou, ainda, aceder às notícias mais recentes. Mais tarde, a caminho do trabalho ou mesmo ao executar as tarefas domésticas, há aqueles que utilizam aquele aparelho para ouvir músicas ou podcasts; já na hora do almoço, usam-no novamente para aceder a um serviço de entrega de refeições. Para o regresso a casa, alguns optam por solicitar um veículo através de uma plataforma destinada a este fim. Ao acabar do dia, para relaxar, uns recorrem a serviços de streaming de conteúdos como filmes e séries utilizando smart TVs; outros preferem ir ao ginásio para exercitar-se enquanto usam gadgets de monitorização das funções biológicas, como smartwatches ou fit bits. Há ainda aqueles que, após a vivência isolada do período mais crítico da pandemia do COVID-19, já preferem fazer a maior parte das compras online – desde itens como livros e acessórios ou peças de vestuário até as compras habituais do mercado. Tudo isto sem contar o trabalho remoto e a socialização que ocorre no contexto das redes sociais.

Todos os elementos mencionados até aqui, em conjunto com muitos outros, tornaram-se parte da vivência de um grande número de pessoas e, mais particularmente, dos consumidores localizados dentro da União Europeia, designadamente em Portugal. Um dos fatores comuns de todos esses hábitos e práticas corriqueiras é a presença da tecnologia, tanto ao serviço do seu utilizador como também podendo servir aos propósitos econômicos de terceiros. A indagação que se coloca a seguir é: de que maneira?

A resposta é extremamente ampla, mas quase sempre passa pelos dados. Ao conviver com todas essas ferramentas tecnológicas e utilizá-las no seu dia-a-dia, o indivíduo revela inconscientemente (na maioria das vezes) informações sobre suas preferências e gostos, hábitos de rotina e até mesmo seu estado de saúde – o exemplo mais óbvio são os smartwatches ou fit bits -, ou através do histórico de compras do mercado, que potencialmente indicará uma alimentação mais ou menos saudável. O conjunto destes dados acerca de um indivíduo e o agregado dos dados relativos a grupos de pessoas enquadram-se no conceito de Big Data, que, por sua vez, poderá ser processado para identificar tendências e correlações, ou mesmo de maneira a afetar diretamente os indivíduos[1].

A construção jurídica da União Europeia preocupa-se com a regulação dos dados e do seu processamento em diferentes contextos. O Regulamento Geral sobre a Proteção de Dados (RGPD), aplicável desde 2018, confere a estrutura da proteção e prerrogativas relativas ao processamento de dados pessoais, resumidamente conceituados como informações relativas a uma pessoa singular identificada ou identificável[2].

No contexto específico do Direito do Consumo, é possível citar ao menos dois textos normativos: a Diretiva (UE) 2019/770 de maio de 2019 e a Diretiva (UE) 2019/2161 de novembro de 2019, que contêm dispositivos destinados a reger, dentre outros temas, a utilização dos dados pessoais dos consumidores no âmbito das relações de consumo.

A primeira das Diretivas apresenta uma das situações às quais a mesma deverá ser aplicável: “deverá igualmente aplicar-se sempre que o consumidor dê o seu consentimento relativamente a todo o tipo de material que constitua dados pessoais, como fotografias ou mensagens que irá carregar, posteriormente processado pelo profissional para fins de comercialização”[3].

Por sua vez, a Diretiva (UE) 2019/2161 inclui um novo requisito de informação aos contratos de consumo celebrados à distância[4], a saber: o profissional deverá informar ao consumidor “que o preço foi personalizado com base numa decisão automatizada”[5], quando aplicável, podendo esta decisão basear-se no processamento de dados pessoais. O Considerando 45 menciona uma forma ainda mais intensa de processamento de dados pessoais: a “definição de perfis de comportamento dos consumidores, de molde a permitir-lhes avaliar o poder de compra do consumidor”. Esta prática – a definição e a construção de perfis dos indivíduos com base no processamento dos seus dados pessoais – poderá revelar-se um tanto mais complexa sob o ponto de vista da salvaguarda dos direitos dos consumidores, uma vez que se destina não apenas a estabelecer correlações entre determinadas variáveis, mas também a estabelecer previsões acerca de comportamentos futuros[6].  

É importante ressaltar um ponto em comum crucial entre as duas Diretivas aqui mencionadas: a referência ao RGPD, na medida em que “no que se refere aos dados pessoais do consumidor, o profissional deve cumprir as obrigações decorrentes” do Regulamento[7]. Assim, para que o profissional possa valer-se do processamento dos dados pessoais dos consumidores para fins comerciais de forma lícita, deverá obrigatoriamente enquadrar tal operação dentro de uma das hipóteses da lista apresentada pelo Artigo 6.º do RGPD, bem como cumprir todos os demais requisitos legais.

Dentro da lista de hipóteses de licitude para o tratamento dos dados pessoais determinada pelo RGPD, a concessão do consentimento por parte do consumidor sobressai como a via mais adequada para a legitimação do processamento dos seus dados destinado a práticas comerciais[8]. É empiricamente observável que a maioria das pessoas apenas passa rapidamente pelos “Termos e Condições” dos vários serviços, conteúdos e produtos digitais que utiliza quotidianamente (como aqueles mencionados no início deste texto), sem realmente ater-se ao que é que está a prestar o seu consentimento[9]. Desta forma, a proteção dos dados pessoais nas relações de consumo existe na legislação europeia, ainda que de forma discutivelmente reduzida, e poderá ter a sua eficácia limitada pela própria conduta do consumidor.

A título de exemplo próximo da realidade dos consumidores situados em Portugal, uma prática comercial relativamente recente e provavelmente derivada da definição de perfis, é a apresentação ao consumidor de um folheto de promoções personalizadas, ou, nas palavras do próprio profissional, uma funcionalidade que permite ao consumidor visualizar “uma seleção dos seus produtos favoritos em promoção”[10]. Tal prática insere-se no contexto mais amplo dos esquemas de cartões de fidelização das grandes superfícies retalhistas, bastante comuns em Portugal, que permitem ao fornecedor acesso à uma verdadeira “mina de ouro”, no que diz respeito aos hábitos de consumo das famílias residentes em Portugal. Em contrapartida, caberá a cada consumidor refletir sobre um consciente exercício das prerrogativas legais à sua disposição, ou se continuará a carregar automaticamente nos botões de “aceito” de todos os serviços, conteúdos e produtos digitais que utiliza, a despeito das consequências em potencial.


[1] Opinião n.09/2013 do Grupo de Trabalho do Artigo 29.º acerca da limitação do propósito. Versão em língua inglesa.

[2] RGPD, Artigo 4.º (1)

[3] Considerando 24 da Diretiva (UE) 2019/770

[4] Artigo 6.º da Diretiva 2011/83/UE de outubro de 2011

[5] Diretiva (UE) 2019/2161, Artigo 4.º (4)(a)(ii)

[6] HILDEBRANDT, Mireille – Defining Profiling: A New Type of Knowledge? In HILDEBRANDT, Mireille; GUTWIRTH, Serge (eds) – Profiling the European Citizen. Dordrecht: Springer, 2008. pp. 17-45

[7] Diretiva (UE) 2019/770, Artigo 16.º (2) e Diretiva (UE) 2019/2161, Artigo 4.º (1)(b) e Artigo 6.º-A (10), que por sua vez modificam o conteúdo de outros instrumentos legais do Direito do Consumo Europeu

[8] POORT, Joost; ZUIDERVEEN BORGESIUS, Frederik J. – Online Price Discrimination and EU Data Privacy Law. Journal of consumer policy. 40:3 (2017), pp. 347-366.

[9] Como observado na página 92 do estudo de mercado intitulado “Consumer market study on online market segmentation through personalised pricing/offers in the European Union”, cujo resultado foi publicado em 2018.

[10] Um exemplo de tal prática pode ser visualizado aqui

Personal Data as Counter-performance and Consumer Protection. An Unfair Commercial Practices Italian Decision

Jurisprudência

By Donato Maria Matera

On March 30th, 2021, with the decision n. 2631, the Italian Consiglio di Stato ended a dispute concerning an unfair commercial practices case where Facebook was involved.

The most important part of this decision deals with a misleading commercial practice: in particular, the question was if the Facebook’s advertisement that the social service is «for free» can be considered as a misleading behaviour, since consumers are actually «paying» it with their personal data.

Hence, the core issue is the possibility to consider personal data as a counter-performance, or, if one prefers, as a payment method, other than money. The answer to this question has very relevant practical consequences: in fact, if personal data are a counter-performance to a service, this economic operation can be considered as an actual contract and, if the parties are consumers and traders, consumer law can be applicable.

During the trial, the Facebook defence argued that personal data are an extra commercium good and data protection is a fundamental right, so they cannot be sold, traded or reduced to an economic interest. In this sense, as personal data cannot be a counter-performance, the operation where Facebook provides consumers with a digital service is for free and consumer law cannot be applied neither can be configured an unfair commercial practice.

This position seems to be in continuity with a European Data Protection Supervisor Opinion (n. 4/2017), provided with regard to the European Commission proposal for a Directive on certain aspects concerning contracts for the supply of digital content (COM(2015) 634 final). On this occasion the EDPS underlined that personal data are related to a fundamental right and they cannot be considered as a commodity and it defined as «dangerous» the possibility to let people «pay» with their personal data.

The Italian decision goes to a different direction. The judges affirm that Facebook actually capitalizes users’ personal data and make a profit from them. In addition, once a user provides his personal data and successively decides to remove them by a deselecting operation, this causes the loss of some services originally available. According to the Italian judges this circumstance clearly shows how Facebook social services are not for free, but they are a counter-performance to the provision of personal data, for commercial purposes. At the same time is it also clear that, due to their particular legal regime, these data cannot be considered as an actual commodity.

These argumentations lead the Court to consider applicable consumer law and, in particular the one on unfair commercial practices (Directive 2005/29/CE; in Italy this Directive has been transposed in the legislative decree 2005/206, articles 18 and following). In this regard, the judges clarify that there is no contrast between consumer and privacy law (as regulated by the Reg. UE 2016/679), but they provide consumers with a «multilevel» protection, being compatible with each other. This interaction, as many authors had already highlighted, contributes to increase the standard of consumer protection, since it allows to extend the application of certain business-to-consumer remedies to cases where processing of personal data is involved.

In light of these considerations, the Consiglio di Stato claims that a misleading commercial practice was adopted: Facebook represented his service as free, while actually it was not. In fact, as a consequence of this conduct, consumers were unaware that personal data they provided at the time of subscription were used for commercial and remunerational purposes. This circumstance, according to the Italian Court, is likely to materially distort their economic behaviour, falling within the scope of Directive 2005/29/CE.

For these reasons the judges confirm the penalties stated by the Italian independent market Authority (AGCM) to the social networks company, in relation to this practice. This case represents another step in the debate focused on considering personal data as consideration, especially in consumer contracts.  It has become clear that nowadays many business models are based on personal data, and a «data market» exists, as scholars observe. In this context, it would be fundamental the application of consumer law principles and rules to these cases, in order to provide consumers (the weak part) with an actual protection. The first step to be made in order to reach such achievement is the qualification of these operations as contracts where personal data are to be considered the counter-performance.