Author: Francisco Arga e Lima

Digital Services Act e as Grandes Plataformas Digitais

Legislação

No passado mês, a Comissão divulgou a proposta do Digital Services Act que visa regular o mercado digital, em particular as obrigações a que as plataformas online estão adstritas, com vista a salvaguardar os direitos dos consumidores num panorama virtual. Embora já aqui tenha sido dada uma visão global da proposta apresentada, neste post dar-se-á particular atenção às obrigações que as grandes plataformas digitais – como a Google e a Facebook – terão de cumprir, nos termos desta proposta, caso venha a entrar em vigor nos termos em que se encontra.

As grandes plataformas digitais estão sujeitas a duas categorias de obrigações, derivadas da sua dupla caracterização enquanto, por um lado, plataformas digitais (arts. 17.º a 24.º) e, por outro, plataformas digitais de grandes dimensões (arts. 25.º a 33.º).

Começando então pela primeira, estas são fundamentalmente oito, que se poderão dividir em três categorias: sistemas de queixa e resolução de conflitos (arts. 17.º, 18.º e 19.º); proteção contra utilização ilícita da plataforma (arts. 20.º, 21.º e 22.º) e deveres de informação (arts. 23.º e 24.º).

Relativamente à primeira categoria, as plataformas digitais deverão facultar aos seus utilizadores um sistema de queixa interno e gratuito relativo a decisões tomadas pela plataforma, no que concerne a (i) remoção de acesso à informação, (ii) suspensão ou cessação da prestação do serviço ou (iii) suspensão ou eliminação da conta (art. 17.º/1). A resposta a estas queixas deverá ser dada num prazo razoável, informando os utilizadores dos meios alternativos de resolução de litígios que este tem ao seu dispor (arts. 17.º/4 e 18.º). Por último, a Comissão prevê também a figura dos trusted flaggers, determinando que as plataformas digitais deverão dar-lhes prioridade no que toca à denúncia de conteúdos ilícitos (art. 19.º). A caracterização como trusted flagger será feita pelo Coordenador de Serviços Digitais[1] de cada Estado-Membro após comprovação de que a entidade em causa tem capacidade e conhecimentos necessários para identificar e notificar conteúdos ilícitos, que representa interesses coletivos de forma independente a qualquer plataforma e que executa as suas atividades de forma expedita e objetiva (art. 19.º/2).

Passando à segunda categoria de deveres, as plataformas digitais deverão garantir que não são utilizadas para fins ilícitos devendo, em particular, suspender a prestação dos seus serviços aos utilizadores que frequentemente forneçam conteúdo dessa índole (art. 20.º/1). Do mesmo modo, no contexto do sistema de queixa previamente mencionado, as plataformas deverão suspender a sua utilização por quem submeta queixas manifestamente infundadas de uma forma frequente (art. 20.º/2). Para além disso, caso tomem conhecimento de informações que possam levantar suspeitas sobre o cometimento de ilícitos criminais graves que envolvam ameaças à vida ou segurança de pessoas, as plataformas deverão comunicar esses  mesmos factos às autoridades competentes no Estado-Membro em causa (art. 21.º).

Além dos deveres de suspensão e de queixa, e caso as plataformas digitais permitam a celebração de contratos de consumo à distância, deverão também garantir a segurança dos contactos estabelecidos, recolhendo previamente informações referentes ao vendedor. Em concreto, deverão obter o nome, a morada e os contactos telefónico e eletrónico deste, bem como as suas informações bancárias caso se trate de uma pessoa singular, além de outras informações mencionadas no art. 22.º/1. Ademais, deverão adotar os esforços razoáveis para se certificarem que os dados obtidos são fidedignos e, caso constatem alguma incompletude ou erroneidade, deverão contactar o vendedor no sentido de recolher os elementos em falta (art. 22.º/2 e 3).

Passando à última categoria de deveres, vemos que as obrigações de apresentação de relatórios[2] são particularmente exigentes para as plataformas digitais. Assim, estas ficam sujeitas ao previsto no art. 23.º, tendo que mencionar (i) o número de situações que foram submetidas a meios de resolução alternativa de litígios, bem como o desfecho e duração média dos mesmos; (ii) o número de suspensões executadas ao abrigo do art. 20.º, especificando-se aquelas que são devidas à divulgação de conteúdo manifestamente ilegal e aquelas que se devem à utilização dos mecanismos de queixa de forma manifestamente infundada e (iii) qualquer utilização de meios automáticos de moderação de conteúdos (art. 23.º/1). Ademais, e pelo menos semestralmente, deverão reportar o número médio mensal de utilizadores em cada Estado-Membro (art. 23.º/2).

Por último, também em termos de marketing as plataformas digitais deverão garantir que os utilizadores conseguem identificar, para cada anúncio exposto, (i) que a informação divulgada é um anúncio publicitário, (i) a pessoa individual ou coletiva responsável pelo anúncio e (iii) os principais parâmetros utilizados para determinar os destinatários do mesmo (art. 24.º).

Além do exposto, conforme a dimensão da plataforma, esta pode ser considerada como uma grande plataforma digital e, por isso, ficar sujeita a deveres mais exigentes, nos termos da Secção 4 da proposta do Digital Services Act. Para o ser, terá de cumprir as condições previstas no artigo 25.º, ou seja, e em termos simplificados, ter uma média de, pelo menos, 45 milhões de utilizadores na União Europeia por mês. Nesse caso, além dos deveres anteriores, ficam sujeitas a mais oito, que se reconduzem a deveres de segurança e controlo (arts. 26.º a 28.º e 32.º), por um lado, e deveres de informação e de acesso (arts. 29.º a 31.º e 33.º), por outro.

Começando pelos primeiros, as grandes plataformas digitais ficam sujeitas a realizar avaliações dos riscos sistémicos derivados do seu funcionamento, pelo menos uma vez por ano. Aí, deverão avaliar a disseminação de conteúdos ilícitos através dos serviços prestados, efeitos negativos no que concerne ao direito ao respeito pela vida privada e familiar, liberdade de expressão e informação, à proibição de discriminação e aos direitos das crianças, bem como a manipulação intencional do serviço com efeitos negativos previsíveis para a saúde pública, menores, processos eleitorais e segurança pública (artigo 26.º). Feita essa análise, deverão estas plataformas implementar as medidas de segurança que considerem adequadas, proporcionais e eficazes de modo a mitigar os riscos identificados (art. 27.º).

Além disso, estas plataformas digitais deverão, no mínimo anualmente e a encargo próprio, realizar auditorias de modo a verificar o cumprimento das regras previstas no Regulamento (art. 28.º/1), do qual deverá resultar um relatório com recomendações a serem adotadas pela plataforma (art. 28.º/3 e 4). Como último dever dentro desta categoria, deverão ser nomeados um ou mais responsáveis pela monitorização do cumprimento do previsto no Digital Services Act (art. 32.º). Estes devem ter as qualificações, o conhecimento e a experiência adequados às suas tarefas (explicitadas no art. 32.º/3), tarefas essas que deverão ser exercidas de forma independente (art. 32.º/2 e 4).

No que toca aos deveres de informação e acesso, vemos que, caso as plataformas digitais de grandes dimensões utilizem sistemas de recomendação (“recommender systems[3]), deverão mencionar, de uma forma clara, acessível e de fácil compreensão, os parâmetros usados nesses sistemas, bem como as possibilidades fornecidas aos utilizadores de influenciar esses mesmos parâmetros (art. 29.º). Ademais, os deveres a que estão adstritos no contexto de publicidade são mais intensos, nomeadamente em termos de armazenamento de dados relativos aos anúncios expostos até um ano após serem divulgados pela última vez (art. 30.º/1). Nesse contexto, deverão armazenar, pelo menos, o conteúdo do anúncio, a pessoa (singular ou coletiva) em nome de quem esse anúncio foi exposto, o período durante o qual foi exposto, se estava destinado a um ou mais grupos específicos de utilizadores e, em caso afirmativo, quais os parâmetros usados para o efeito e, por último, o número total de utilizadores que viram o anúncio (art. 30.º/2).

Estas plataformas deverão garantir ao Coordenador de Serviços Digitais o acesso aos dados armazenados, nomeadamente para verificar o cumprimento do regulamento (art. 31.º/1). Por último, também a obrigação de apresentação de relatórios regulada no art. 23.º se torna mais exigente no caso das grandes plataformas digitais, por força do art. 33.º. Aqui, deverão estas publicar um relatório de seis em seis meses, a partir do momento em que são consideradas grandes plataformas digitais, tendo em conta a análise de riscos verificada na égide do art. 26.º, as medidas de mitigação desses mesmos riscos, de acordo com o art. 27.º, e o relatório da auditoria e da sua implementação, prevista no art. 28.º.

Assim, vemos que a Comissão teve em conta em especial as grandes plataformas digitais aquando da apresentação da proposta do Digital Services Act. Cabe-nos agora aguardar por futuros desenvolvimentos junto das instituições europeias.

 

[1] De acordo com a proposta apresentada, estes Coordenadores serão as entidades nacionais responsáveis por garantir uma correta aplicação do regulamento – ver art. 38.º.

[2] A regra geral de apresentação de relatórios encontra-se consagrada no art. 13.º do regulamento, tendo aplicação geral aos intermediários que a proposta do Digital Services Act visa regular. Não obstante, e relativamente às plataformas digitais, vemos que estes seus deveres são mais exigentes, por aplicação cumulativa do art. 23.º.

[3] De acordo com o art. 2.º, o), recommender systems são sistemas automáticos ou parcialmente automáticos utilizados por plataformas digitais no sentido de sugerir informação específica aos utilizadores da mesma, nomeadamente como resultado de uma pesquisa iniciada por este ou através da determinação da ordem pela qual a informação é exposta.

Acórdão Privacy International – Entre o Direito do Consumo, a proteção de dados e a segurança nacional

Jurisprudência

A relação entre Direito do Consumo e a proteção de dados é um tema que tem sido alvo de discussão face às situações de sobreposição dos dois ramos que têm surgido nos últimos tempos. Sinal disso têm sido os reenvios prejudiciais submetidos ao Tribunal de Justiça da União Europeia, como o que deu origem, no passado mês de outubro, ao Acórdão Privacy International

Neste, foi analisada a Diretiva 2002/58, que aborda o tratamento de dados pessoais no contexto do setor das comunicações eletrónicas. Ora, de acordo com esta, as operadoras de telecomunicações terão de armazenar dados de comunicações e de tráfego, de modo a, por exemplo, dar cumprimento ao direito a faturas detalhadas dos consumidores (art. 7.º). Contudo, embora esses dados devam ser conservados, a Diretiva consagra também o princípio da confidencialidade, no sentido de não se poder intercetar ou vigiar as comunicações feitas pelos consumidores, a não ser em casos excecionais (art. 5.º).

Assim, vemos que esta Diretiva regula este confronto entre as exigências derivadas da proteção do consumidor (direito a faturas detalhadas e, portanto, à exigência de conservação de dados pessoais extraídos das comunicações feitas) e a necessidade de proteger a privacidade dos assinantes, bem como dos seus dados pessoais (postulando a regra da confidencialidade). Contudo, este balanço apresenta exceções, nomeadamente as plasmadas no art. 15.º da Diretiva, exceções essas que estiveram na base do Acórdão Privacy International. De facto, estabelece esse artigo que o princípio da confidencialidade poderá ser derrogado pela legislação nacional dos Estados-Membros, caso tal derrogação constitua uma medida necessária, adequada e proporcional numa sociedade democrática para salvaguardar, por exemplo, a segurança nacional do Estado-Membro. 

No cerne do Acórdão estaria, portanto, a obtenção por parte dos serviços secretos britânicos de dados de comunicação, por via das operadoras de telecomunicações. Em concreto, estas agências tinham acesso a dados pessoais em massa, como dados de localização, informação financeira e comercial, bem como dados de comunicação suscetíveis de incluir dados sensíveis protegidos pelo sigilo profissional. Ademais, de acordo com os factos do caso, estes dados seriam tratados de forma automática e partilhados com agências terceiras e parceiros internacionais.

Neste contexto, uma das questões colocadas ao Tribunal de Justiça prendeu-se em saber se acessos a dados pessoais como aquele preconizado pelo sistema britânico vão de encontro ao exigido pelo Direito da União Europeia. Aqui, o Tribunal teve de fazer uma ponderação sobre os interesses em jogo: por um lado, a necessidade de proteger os dados pessoais e a privacidade dos consumidores e, por outro, a salvaguarda da segurança nacional. 

Assim sendo, embora aceitando que o art. 15.º da Diretiva permite derrogações aos direitos consagrados nos artigos anteriores com base em interesses de segurança nacional, o Tribunal de Justiça considerou como uma ingerência desproporcional a transmissão generalizada e indiferenciada dos dados de tráfego e localização dos consumidores às agências de serviços secretos, tendo levantado dois grandes argumentos nesse sentido.

Em primeiro lugar, afirmou que permitir esta transmissão generalizada e indiferenciada seria tornar uma exceção (a derrogação ao princípio da confidencialidade) na regra, algo que vai contra o espírito da Diretiva. Em segundo lugar, conclui que uma derrogação tão ampla como esta, na medida em que permite a transmissão de dados em massa, não respeita o princípio da proporcionalidade nem tão pouco os direitos fundamentais consagrados na Carta. Nesse sentido, afirmou que a derrogação não ocorre na estrita medida do necessário, já que as normas em causa não são claras e precisas, não regulando, portanto, o âmbito de aplicação desta derrogação, nem os seus requisitos mínimos, de modo a garantir uma ingerência mínima nos direitos fundamentais dos titulares de dados.

Assim, na medida em que a transmissão de dados é feita de forma generalizada e indiferenciada (abarcando pessoas perante as quais não há qualquer indício de cometimento de um ato ilícito ou de um nexo que ligue o seu comportamento a uma ameaça à segurança nacional), a regra da confidencialidade torna-se quase numa exceção, algo contrário ao espírito da Diretiva e da Carta, que não poderá ser justificado mesmo por motivos de segurança nacional.

Em suma, o Acórdão Privacy International segue a linha jurisprudencial de outros acórdãos proferidos pelo Tribunal de Justiça, como os Acórdãos Digital Rights Ireland e Tele2 Sverige AB, nos quais este teve de se pronunciar sobre a utilização de dados pessoais em massa de modo a salvaguardar interesses de luta contra a criminalidade. Também aí o Tribunal de Justiça se mostrou relutante a permitir a utilização em massa de dados de tráfego e de localização dos assinantes de serviços de telecomunicações para fins de interesse público dos Estados-Membros, pelo que a decisão no Acórdão Privacy International não é muito surpreendente. Contudo, embora não tenha esse caráter tão inovador, a verdade é que toca num aspeto extremamente sensível de contacto entre Direito do Consumo, e a proteção de dados e segurança nacional. De facto, caso o Tribunal tivesse decidido no sentido inverso, estaria a deturpar os direitos conferidos aos consumidores pela Diretiva 2002/58, utilizando-os contra si próprios, ao permitir que os dados recolhidos não fossem apenas utilizados para os fins visados na Diretiva, mas também para vigiar preventivamente os consumidores. Assim sendo, ao concluir que nem por motivos de segurança nacional poderão as agências de segurança fazer recolhas em massa de dados obtidos pelas operadoras de telecomunicações, o Tribunal de Justiça garantiu a eficácia dos direitos conferidos aos consumidores, bem como a proteção dos seus dados pessoais e da sua privacidade.