Outro artigo sobre o ChatGPT? O possível futuro dos modelos fundacionais no Regulamento sobre Inteligência Artificial

Doutrina

Tanto o (ainda) futuro Regulamento sobre Inteligência Artificial (IA) como as ferramentas de Inteligência Artificial Generativa (ChatGPT ou Dall-e, entre outros) foram objeto de ampla discussão ao longo de 2023. As ferramentas de IA generativa, que explodiram em termos de popularidade no início do ano passado, suscitaram propostas de alterações significativas ao texto da Proposta de Regulamento de IA e debates entre Estados. Algumas dessas alterações podem ser encontradas nas Emendas à Proposta de Regulamento sobre IA apresentadas pelo Parlamento Europeu em 14 de junho de 2023. No final de 2023, ainda durante a presidência espanhola da UE, existiam duas posições opostas sobre a regulamentação dos modelos fundacionais: (1) fazê-lo através de códigos de conduta sem um regime de sanções por incumprimento; ou (2) a inclusão de certas obrigações no próprio Regulamento IA, referindo-se principalmente à transparência, embora também relacionadas com os direitos de autor.

Nesta publicação do blog, vamos centrar a nossa atenção em algumas das alterações do Parlamento Europeu sobre modelos fundacionais e na forma como isso afeta a IA generativa.

Para começar, convém esclarecer brevemente três conceitos: IA de objetivo geral, modelos fundacionais e Chat GPT.

Considera-se que os sistemas de IA de uso geral são os concebidos para desempenhar funções de uso geral, como o reconhecimento de texto, imagem e voz, a geração de texto, áudio, imagem ou vídeo, a deteção de padrões, a resposta a perguntas ou a tradução. Estes sistemas não teriam sido possíveis sem a redução dos custos de armazenamento e processamento de grandes quantidades de dados (big data).

Os modelos fundacionais, por outro lado, são modelos de inteligência artificial treinados em grandes quantidades de dados e concebidos para produzir informações gerais de saída capazes de ser adaptados a uma grande variedade de tarefas. Não devemos relacionar os modelos fundacionais exclusivamente com a IA de objetivo geral: um modelo fundacional pode servir tanto para sistemas de IA de objetivo específico como para sistemas de IA de objetivo geral. No entanto, os modelos fundacionais que não sirvam para ferramentas de IA para fins gerais não seriam abrangidos pelo futuro Regulamento relativo à IA (alteração 101 do PE e considerando 60-G).

O ChatGPT colocou desafios sociais e jurídicos significativos, não só em termos de direitos de autor, mas também em termos de cibersegurança e proteção de dados pessoais. Este tema será, no entanto, discutido num texto separado. Por enquanto, vejamos o que o futuro do Regulamento IA pode reservar para os modelos fundacionais, se as alterações do Parlamento Europeu forem aceites.

Os princípios gerais dos sistemas de IA

A alteração 213 do Parlamento Europeu propõe a introdução de um novo artigo 4º-A relativo aos princípios gerais aplicáveis a todos os sistemas de IA. Trata-se, de certa forma, de um equivalente ao artigo 5.º do Regulamento Geral sobre a Proteção de Dados, relativo aos princípios aplicáveis ao tratamento de dados pessoais.

Nos termos do artigo 4.º-A, todos os operadores abrangidos pelo âmbito de aplicação do Regulamento IA devem envidar todos os esforços para desenvolver e utilizar sistemas ou modelos fundacionais em conformidade com os seguintes princípios, destinados a promover uma abordagem europeia coerente, centrada no ser humano, de uma IA ética e fiável:

– Intervenção humana e vigilância

– Robustez técnica e segurança

– Privacidade e governação dos dados

– Transparência (e explicabilidade)

– Diversidade, não discriminação e equidade

– Bem-estar social e ambiental

Estes seis princípios serão aplicáveis tanto aos sistemas de IA como aos modelos fundacionais. No entanto, no caso dos modelos fundacionais, devem ser cumpridos pelos fornecedores ou responsáveis pela aplicação em conformidade com os requisitos estabelecidos nos artigos 28.-B. Note-se que os artigos 28.º a 28.º-B fazem parte do Título III relativo aos sistemas de alto risco. Já salientámos no início que as últimas discussões na negociação do Regulamento no que se refere aos modelos fundacionais não os consideram sistemas de alto risco. O mesmo não parece resultar das alterações do Parlamento. Por conseguinte, deve entender-se que os modelos fundacionais serão regulados nas disposições que os mencionam expressamente, como é o caso do artigo 4º-A ou dos artigos 28º a 28º-B, mas não no Título III do RIA no seu conjunto.

O artigo 28.º do PRIA diz respeito às obrigações dos distribuidores, importadores, utilizadores e terceiros. As alterações do Parlamento propõem a substituição do título por “Responsabilidades ao longo da cadeia de valor da IA dos fornecedores, distribuidores, importadores, responsáveis pela aplicação ou terceiros”.  A referência a toda a cadeia de valor da IA é, na minha opinião, uma boa medida, uma vez que sublinha a importância de todo o processo de IA: não só o seu desenvolvimento, mas também a sua utilização. Tenho mais dúvidas em substituir a palavra “obrigações” por “responsabilidades” ou em incluir no título uma lista pormenorizada de todas as partes envolvidas.

A maior parte das obrigações relativas aos modelos fundacionais encontra-se no n.º 3 do artigo 28.º (novo, alteração 399), que se intitula “Obrigações do fornecedor de um modelo fundacional” (o termo “obrigações” é retomado aqui).

Podemos agrupar as obrigações do fornecedor de modelos fundacionais em três grupos:

– Obrigações anteriores à comercialização de modelos fundacionais (n.ºs 1 e 2). Estas obrigações aplicam-se ao fornecedor, independentemente de o modelo ser fornecido autonomamente ou integrado num sistema de IA ou noutro produto ou de ser fornecido ao abrigo de licenças gratuitas e de fonte aberta.

– Obrigações pós-comercialização (n.º 3), e

– Obrigações específicas relativas aos sistemas de IA generativa, ou seja, especificamente destinados a gerar conteúdos, como texto, imagem, áudio ou vídeo complexos (secção 4).

Obrigações anteriores à comercialização do modelo fundacional

De acordo com o art. 28.ter.2, o fornecedor de um modelo fundacional, antes de comercializar ou colocar o modelo em funcionamento, deve (tendo em conta o estado da arte num dado momento):

– Demonstrar a deteção, redução e mitigação de riscos razoavelmente previsíveis para a saúde, a segurança, os direitos fundamentais, o ambiente, a democracia ou o Estado de direito.

o Tal deve ser demonstrado através de uma conceção, testes e análises adequados e com a participação de peritos independentes.

o Deve também fornecer documentação sobre os riscos não mitigáveis remanescentes após o desenvolvimento.

– Só deve processar e incorporar conjuntos de dados sujeitos a medidas de governação adequadas para modelos fundacionais.

o Em particular: adequação das fontes, enviesamentos e atenuação adequada.

– Deve conceber e desenvolver o modelo

o de modo a atingir, ao longo do seu ciclo de vida, níveis adequados de desempenho, previsibilidade, interpretabilidade, correção, segurança e cibersegurança, avaliados por métodos adequados;

o utilizando as normas aplicáveis para reduzir o consumo de energia, a utilização de recursos e os resíduos, bem como para aumentar a eficiência energética e a eficiência global do sistema. A este respeito, devem ser desenvolvidos modelos fundacionais com capacidades para medir e registar o consumo de energia e de recursos e o impacto ambiental.

– Desenvolverá uma documentação técnica exaustiva e instruções de utilização inteligíveis.

– Estabelecer um sistema de gestão da qualidade para garantir e documentar a conformidade com todos os elementos acima referidos (responsabilidade proactiva).

– Registar o modelo básico na base de dados da UE para sistemas independentes de alto risco.

Obrigações pós-comercialização do modelo básico

Durante dez anos após o sistema de IA ter sido colocado no mercado ou em serviço, os fornecedores de modelos fundacionais devem manter a documentação técnica à disposição das autoridades nacionais competentes (Agência de Controlo da IA).

Obrigações específicas para os modelos de IA generativa

Para além das obrigações gerais estabelecidas no ponto 28.ter.2, os fornecedores de sistemas de IA generativa devem:

– Cumprir as obrigações de transparência do artigo 52.º, n.º 1 (obrigação de informar as pessoas que interagem com estes sistemas de que estão a interagir com um sistema de IA).

– Conceber e desenvolver o modelo de forma a garantir salvaguardas adequadas contra a produção de conteúdos que infrinjam a legislação da UE.

– Sem prejuízo da legislação em matéria de direitos de autor, devem documentar e disponibilizar publicamente um resumo suficientemente pormenorizado da utilização de dados de formação protegidos por direitos de autor.

Bónus: dois desafios colocados pela IA generativa

Termino este post partilhando duas preocupações (às quais os nossos leitores poderão responder): os desafios em matéria de propriedade intelectual colocados pela IA generativa e a possibilidade de considerar os modelos fundacionais como de alto risco.

Começo pela primeira, porque é mais ousada da minha parte: quando é que eu, uma pessoa singular, posso ser considerado autor de uma obra literária gerada através de IA generativa (Chat GPT, por exemplo)? Desenvolvo um pouco mais a minha preocupação: não é (ou não deveria ser) a mesma coisa para mim introduzir uma simples pergunta no Chat GPT, como “escreva a oitava parte do Harry Potter”, do que introduzir várias perguntas com um certo nível de complexidade (quanto?), nas quais introduzo certas características específicas do romance. Se aceitarmos que as ferramentas de IA não deixam de ser ferramentas tecnológicas (muito complexas, mas tecnológicas), talvez possamos concordar que se trata de um debate semelhante ao que surgiu na altura em torno da fotografia, que permite distinguir legalmente entre “fotografia (artística)” e “mera fotografia (carregar no botão da câmara)”. Outra questão, mais difícil, seria distinguir, em cada caso, quando as instruções introduzidas numa ferramenta de IA generativa nos permitem falar de utilização artística da IA generativa ou de “mera utilização” da IA generativa.

O segundo desafio é, de facto, abrangido pelo Regulamento IA, mas é importante referi-lo. Consiste na consideração dos modelos fundacionais como sendo de alto risco. O anexo III da proposta de Regulamento IA contém uma lista não fechada de sistemas de IA de alto risco. No entanto, não se deve esquecer que a Comissão teria (na proposta de Regulamento relativo à IA, artigo 7.º) teria poderes para adotar atos delegados que alterem o anexo III para acrescentar sistemas de IA que satisfaçam duas condições: destinar-se a ser utilizados em qualquer dos domínios enumerados nos pontos 1 a 8 do anexo (ou seja, identificação biométrica e categorização de pessoas singulares; gestão e funcionamento de infra-estruturas críticas; educação e formação profissional, emprego, gestão de trabalhadores e acesso ao trabalho independente; acesso e usufruto de serviços públicos e privados essenciais e seus benefícios; questões de aplicação da lei; gestão das migrações; asilo e controlo financeiro; administração da justiça e processos democráticos); comportar um risco de danos para a saúde e a segurança ou um risco de consequências negativas para os direitos fundamentais que seja equivalente ou superior aos riscos de danos associados aos sistemas de IA de alto risco já mencionados no Anexo III, tendo em conta vários critérios, tais como, entre outros, o objetivo pretendido do sistema de IA ou a probabilidade de este ser utilizado de uma determinada forma.

Deve uma IA generativa (que é um exemplo de um modelo fundamental) capaz de produzir vídeos destinados a perturbar os processos democráticos ser considerada de alto risco? Parece claro que sim, uma vez que estas utilizações estão enumeradas no ponto 8 do anexo III, quer se destinem especificamente a perturbar os processos democráticos quer sejam suscetíveis de ser utilizadas para o efeito. O que não é claro neste momento (teremos de aguardar a redação final do texto) é se será considerado de alto risco desde o início, ou apenas depois de a Comissão adotar o ato delegado correspondente para alargar o Anexo III. Por outras palavras, se este ato delegado da Comissão seria constitutivo ou meramente declarativo de que um sistema de AI é de alto risco.

Crédito ao consumo, avaliação da solvabilidade e esquecimento oncológico à luz da Diretiva 2225/2023

Doutrina

No dia 18 de outubro de 2023, foi adotada a nova Diretiva 2225/2023 relativa aos Contratos de Crédito aos Consumidores (DCCC). O diploma é o resultado de um debate no seio das instituições europeias para atualizar a anterior Diretiva do Crédito aos Consumidores (de 2008), que resultou na publicação, em 2021, da Proposta de Diretiva relativa aos Contratos de Crédito aos Consumidores.

A avaliação da solvabilidade (ou credit scoring) pode ser definida como o tratamento de dados sobre o potencial consumidor pelo credor no contexto de um contrato de crédito, a fim de avaliar a sua solvabilidade e quantificar o risco de crédito. Por outras palavras, o risco de não pagamento por parte do consumidor devido à sua falta de solvabilidade antes da concessão do crédito ou durante a sua vigência.

Antes de entrarmos na avaliação da solvabilidade tal como regulada no DCCC, convém recordar que estamos perante uma Diretiva, ainda que de harmonização total. De acordo com o artigo 48.º do DCCC, o prazo para a transposição desta Diretiva é 20 de novembro de 2025, sendo as regras nacionais de transposição aplicáveis a partir de 20 de novembro de 2026. Só se não for transposto para o direito nacional é que o texto em apreço produzirá efeitos diretos. Tudo isto faz com que as reflexões publicadas sobre a recém-publicada DCCC sejam extremamente oportunas, na medida em que o seu articulado se encontra pendente de transposição nacional nos próximos dois anos. O Decreto-Lei n.º 133/2009, de 2 de junho, apenas menciona a obrigação do mutuante de avaliar a solvabilidade do candidato, mas não com o pormenor regulamentado pelo DCCC.

Tanto na Proposta de Diretiva como na versão finalmente publicada da Diretiva, a avaliação da solvência ganhou importância em comparação com a Diretiva de 2008, que apenas menciona esta questão três vezes. A avaliação da solvência tornou-se muito importante, especialmente após a crise de 2008, que foi causada, entre outros fatores, por um sobreendividamento da população. É por isso que a nova DCCC se preocupa em promover práticas responsáveis no mercado do crédito, entre as quais a avaliação da solvabilidade prévia efetuada no interesse do consumidor. O considerando 53 da DCCC estabelece que os Estados-Membros devem adotar medidas adequadas para promover práticas responsáveis em todas as fases da relação de crédito, tais como avisos sobre os riscos em caso de não pagamento ou de sobreendividamento. Mais adiante, o mesmo considerando refere que os mutuantes devem ser responsáveis pelo controlo individual da solvabilidade do consumidor.

A avaliação da solvabilidade está regulamentada nos artigos 18º e 19º da DCCC, que devem ser interpretados em conformidade com os considerandos 53 a 57 da DCCC.

Nos termos do n.º 1 do artigo 18.º da DCCC, os Estados-Membros devem exigir que o mutuante efetue uma avaliação aprofundada da solvabilidade do consumidor antes de celebrar um contrato de crédito. A avaliação da solvabilidade é uma condição prévia essencial para a concessão do crédito e deve ser efetuada de acordo com três critérios orientadores: (1) deve ser efetuada no interesse do consumidor; (2) deve ter por objetivo evitar práticas de empréstimo irresponsáveis e o sobreendividamento; e (3) deve ter devidamente em conta os fatores relevantes para verificar as perspetivas de cumprimento pelo consumidor das obrigações decorrentes do contrato de crédito.

De acordo com o considerando 54 do DCCC, é essencial que a capacidade e a vontade do consumidor de reembolsar o crédito sejam avaliadas e testadas antes da celebração do contrato de crédito. Esta avaliação é tão fundamental que o crédito só deve ser concedido ao consumidor se o resultado da avaliação da solvabilidade indicar que as obrigações decorrentes do contrato de crédito são suscetíveis de serem cumpridas em conformidade com os termos do contrato de crédito (55 DCCC). O n.º 6 do artigo 18.º da DCCC retoma este critério, mas remete para os regulamentos nacionais de transposição da DCCC a obrigação dos Estados-Membros de assegurarem o seu cumprimento. Por conseguinte, será fundamental conhecer a evolução das legislações nacionais no que diz respeito aos efeitos da avaliação da solvabilidade do consumidor.

Embora uma avaliação positiva da solvabilidade seja um requisito prévio para a concessão de crédito, uma avaliação positiva não obriga o mutuante a conceder o crédito (considerando 54 DCCC), sem prejuízo do dever do mutuante de informar o requerente dos critérios e dados utilizados na avaliação da solvabilidade e de lhe permitir solicitar uma revisão da avaliação (considerando 56 DCCC in fine).

O último dos requisitos do artigo 18.º, n.º 1 do DCCC, tendo em conta os fatores relevantes para verificar as perspetivas de cumprimento, condiciona a informação que pode ser tratada para a avaliação da solvabilidade: devem ser avaliados todos os fatores necessários e relevantes que possam influenciar a capacidade de o consumidor reembolsar o crédito.

O n.º 2 do artigo 18.º do DCCC clarifica este critério. Devem ser tidas em conta (1) informações pertinentes e precisas sobre os rendimentos e as despesas do consumidor; bem como (2) informações sobre “outras circunstâncias”, financeiras e económicas, necessárias e proporcionais à natureza, à duração, ao valor e aos riscos do crédito. O primeiro dos elementos a avaliar, o extrato de contas do requerente de crédito, é pouco interpretativo e deve ser fornecido de forma completa e atualizada em todos os casos de pedido de crédito ao consumo. O segundo, em contrapartida, deverá ser ajustado em cada caso em função das características do crédito solicitado (natureza, duração, valor e riscos): pode entender-se que quanto maior for a duração, o valor e os riscos do crédito, mais abundantes e precisas deverão ser as informações sobre o consumidor que solicita o crédito.

Mas que informações? O n.º 2 do artigo 18.º do DCCC inclui uma lista aberta de dados que podem ser avaliados: dados sobre os rendimentos ou outras fontes de reembolso, informações sobre ativos e passivos financeiros ou informações sobre outros compromissos financeiros. A própria redação do artigo deixa claro que podem ser fornecidos outros dados relativos à “situação financeira e económica” do consumidor não incluídos na lista. A delimitação das informações que podem ser avaliadas na avaliação de solvabilidade, juntamente com o objetivo da avaliação de solvabilidade, delimita a concretização do princípio da minimização dos dados neste domínio.

A proibição do tratamento de dados relativos às doenças oncológicas do requerente é coerente com a Resolução do Parlamento Europeu, de 16 de fevereiro de 2022, sobre o reforço da Europa na luta contra o cancro, que “apela à integração na legislação pertinente da União do direito a ser esquecido para os sobreviventes de cancro, a fim de evitar a discriminação e melhorar o seu acesso aos serviços financeiros”. Países como a França, os Países Baixos, a Bélgica e o Luxemburgo foram pioneiros na conceção de tais medidas. Portugal publicou, em 2021, a Lei n.º 75/2021, de 18 de novembro, que reforça o acesso ao crédito e aos contratos de seguro por parte das pessoas que tenham superado ou atenuado situações de risco agravado de saúde (não apenas cancro), proibindo práticas discriminatórias contra as mesmas. No que respeita ao tratamento de dados no âmbito da avaliação da solvabilidade, o artigo 2.º desta lei proíbe a utilização, pelas instituições de crédito ou seguradoras, de qualquer tipo de informação de saúde relativa a uma situação clínica que origine um risco grave.

É também interessante notar, no que diz respeito às informações que devem consubstanciar a avaliação da solvabilidade, o disposto no n.º 11 do artigo 18.º do DCCC: a avaliação da solvabilidade não deve basear-se apenas no historial creditício do consumidor. Por outras palavras, a avaliação da solvabilidade não pode basear-se apenas nos dados negativos ou de insolvência do consumidor, mas deve integrar outros dados (positivos) que permitam obter um perfil completo do historial financeiro do consumidor. Esta possibilidade representa um passo em frente relativamente ao disposto no artigo 20.º da lei espanhola relativa à proteção de dados, quanto aos sistemas de informação de crédito, segundo o qual “presume-se lícito o tratamento de dados pessoais relativos ao incumprimento de obrigações pecuniárias, financeiras ou creditícias por parte dos sistemas comuns de informação de crédito”, desde que se verifiquem determinadas condições.

É de notar que grande parte da informação que alimenta a avaliação da solvabilidade será fornecida pelos próprios requerentes, que devem ser honestos e fornecer informações completas, exatas e relevantes (cf. n.º 7 do artigo 18.º do DCCC). Tal não significa que os requerentes consintam no tratamento dos seus dados para efeitos da avaliação da solvabilidade, mas que cumprem um ónus, tal como o mutuante, de avaliar a solvabilidade do requerente de crédito. Isto significa que a base legítima para o tratamento de dados é o cumprimento de uma obrigação legal (artigo 6.º, n.º 1, alínea c), do RGPD): tanto no caso dos dados fornecidos pelo requerente consumidor como dos dados obtidos pelo mutuante por sua própria conta.

Os dois primeiros requisitos do n.º 1 do artigo 18.º do DCCC são os princípios orientadores de qualquer avaliação da solvabilidade. O objetivo da avaliação da solvabilidade é evitar o sobreendividamento e as práticas irresponsáveis de concessão de crédito aos consumidores. Esta situação prejudica tanto o mercado de crédito como os consumidores, pelo que se coloca a questão de saber se o objetivo do controlo do sobreendividamento é preservar o bom funcionamento do mercado ou a qualidade de vida dos consumidores. A resposta, no caso da DCCC, é clara: tanto o n.º 1 do artigo 18.º como o artigo 54.º estabelecem que a avaliação da solvabilidade deve ser efetuada “no interesse do consumidor”. Por conseguinte, a finalidade do tratamento de dados no caso da avaliação da solvabilidade será a seguinte: tratamento de dados para avaliação da solvabilidade, para prevenção do sobreendividamento e de práticas de empréstimo irresponsáveis, a fim de evitar que prejudiquem a qualidade de vida dos consumidores.

Os procedimentos de avaliação da solvabilidade devem ser transparentes e devidamente documentados, em conformidade com o n.º 4 do artigo 18.º. Um procedimento de avaliação deficiente não deve ser utilizado pelo mutuante para alterar as condições do contrato em detrimento do consumidor. A especificação destas duas obrigações será deixada a cargo da regulamentação de cada Estado-Membro.

Sempre que a avaliação da solvabilidade envolva o tratamento automatizado de dados pessoais (pontuação de crédito), o consumidor requerente deve poder solicitar e obter a intervenção humana do mutuante para: (1) explicar, de forma clara e compreensível, a avaliação de crédito, incluindo a sua fundamentação, riscos, significado e efeitos na decisão de crédito; (2) permitir que o consumidor exprima os seus pontos de vista ao mutuante e, se o considerar adequado, (3) solicitar uma revisão da avaliação de crédito e da decisão de crédito. Esta obrigação é coerente com o artigo 22.º do RGPD, nos termos do qual todas as pessoas em causa têm o direito de não ficar sujeitas a uma decisão baseada exclusivamente no tratamento automatizado de dados, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que a afete significativamente de forma similar (como um perfil de solvabilidade), salvo determinadas exceções previstas no n.º 2 do artigo 22.º.

Por último, o artigo 19.º do DCCC estabelece determinadas disposições relativas às bases de dados (públicas e privadas – n.º 3 do artigo 19.º do DCCC) que podem ser consultadas pelos mutuantes em caso de crédito transfronteiriço. Está prevista a obrigação de cada Estado-Membro garantir que os mutuantes de outros Estados-Membros possam aceder às bases de dados utilizadas no seu território para a avaliação da solvabilidade dos consumidores em condições não discriminatórias (n.º 1 do artigo 19.º do DCCC), desde que os mutuantes estejam sob o controlo da autoridade nacional competente e cumpram o RGPD. No que diz respeito a este trabalho, as bases de dados devem conter, pelo menos, dados negativos de solvabilidade (n.º 4 do artigo 19.º do RGPD), não devem tratar categorias especiais de dados ou dados obtidos a partir de redes sociais (n.º 5 do artigo 19.º do RGPD) e as suas informações devem ser atualizadas e exatas (n.º 7 do artigo 19.º do RGPD). Quando a recusa de um pedido de crédito se basear na consulta de uma base de dados, o mutuante deve informar o consumidor, gratuitamente e sem demora, do conteúdo e dos pormenores da consulta e das categorias de dados tidos em conta (artigo 19.º, n.º 6, do DCCC).

“A-Palavra-Que-Não-Pode-Ser-Pronunciada” – Pagar com dados pessoais em Portugal e em Espanha

Doutrina

Por muito desconfortável que possa parecer, pagar com os seus próprios dados pessoais através do consentimento para o tratamento de dados no contexto da contratação digital é uma realidade. O Supervisor Europeu Da Proteção De Dados (EDPS) no Parecer 4/2017 sobre a Proposta 634/2015 relativa aos contratos de fornecimento de conteúdos digitais e o Gabinete Europeu De Proteção De Dados (EDPB) nas Orientações 5/2020 sobre o consentimento para o tratamento de dados têm sido defensores deste desconforto. No entanto, a realidade do pagamento com dados tem continuado a desenvolver-se, o que torna necessário estabelecer regras mínimas em relação ao pagamento com dados.

Em primeiro lugar, um contrato em que os dados são a contraprestação é um contrato tão oneroso como qualquer outro contrato em que a contraprestação é monetária; por conseguinte, o consumidor também deve beneficiar de proteção. É o que se verifica, por exemplo, no Decreto-Lei 84/2021, que transpõe a Diretiva 2019/770, que estabelece que, quando o consumidor fornece dados pessoais para usufruir de conteúdos ou serviços digitais, deve ser protegido por um conjunto de direitos, nomeadamente em caso de incumprimento ou desconformidade.

A noção de onerosidade encontra-se na catalogação das causas do contrato no art. 1274.º do CC espanhol. Não existe equivalente no CC português, mas existe uma distinção entre onerosidade e gratuitidade em vários contratos em especial. Essencialmente, um contrato é oneroso quando é fonte recíproca de atribuições patrimoniais; e é gratuito quando, em vez dessa reciprocidade, apenas uma das partes se enriquece à custa da outra, sem dar qualquer contrapartida. Para classificar um contrato como oneroso, não importa se a contrapartida é monetária ou de qualquer outro tipo, desde que tenha utilidade económica em sentido lato. E os dados têm utilidade económica.

Estamos perante um pagamento com dados pessoais quando três circunstâncias estão presentes em simultâneo: (1) o tratamento dos dados baseia-se no consentimento da pessoa em causa; (2) o fornecedor do serviço ou do conteúdo digital associa a execução ao consentimento do consumidor; (3) se o consumidor retirar o consentimento ao tratamento dos dados, tem de enfrentar as consequências contratuais relacionadas com a restituição recíproca da execução, mas não sofre qualquer dano adicional.

O último requisito é mais uma consequência: se os dados constituem um pagamento que torna o contrato oneroso, a sua retirada deve ter consequências contratuais. Caso contrário, em vez de liberdade de consentimento, estaríamos perante uma irresponsabilidade de consentimento, o que geraria um desequilíbrio contratual inaceitável. No entanto, nenhum dano suplementar seria causado, uma vez que o RGPD o proíbe (art. 7.º, n.º 3, e cons. 42 in fine).

Apesar da realidade generalizada do pagamento com dados, existem dificuldades regulamentares associadas a uma certa interpretação do RGPD e à transposição e aplicação nacional do RGPD por alguns Estados-Membros. A Diretiva 2019/770, nos seus considerandos 39 e 40, deixa aos Estados-Membros a responsabilidade de regular as consequências contratuais da concessão e retirada do consentimento para o tratamento de dados pessoais, reconhecendo simultaneamente a natureza imperativa do RGPD neste ponto. O que nem o RGPD nem a Diretiva 2019/770 fazem é fornecer uma interpretação concreta da responsabilidade do consumidor em relação à utilização do seu consentimento para o tratamento de dados como pagamento. O artigo 7-4 do RGPD estabelece que, ao avaliar se o consentimento foi dado livremente, deve ser tido em conta se a prestação de um serviço está condicionada ao consentimento para o tratamento de dados pessoais que não são necessários para a execução desse contrato; mas não diz em que sentido é que isso deve ser tido em conta. Proponho, portanto, uma interpretação que permita a coexistência da proteção de dados pessoais e da economia de dados.

Em Espanha, o art. 6.3 da LO 1/2018 estabelece que “A execução do contrato não pode ser condicionada ao consentimento do titular dos dados para o tratamento de dados pessoais para fins não relacionados com a manutenção, o desenvolvimento ou o controlo da relação contratual”. Esta afirmação resume a posição do EDPB e da EDPS nos documentos acima referidos e implicaria uma proibição de pagamento com dados ou, no mínimo, uma antinomia com artigos como o 119.º do TRLDCU, que fala explicitamente de “dados como contraprestação”.

A situação em Portugal é menos problemática. Tanto na perspetiva da Lei 58/2019 (sobre proteção de dados) como na perspetiva do Decreto-Lei 84/2021 (que transpõe a Diretiva 2019/770).

Na perspetiva do direito do consumo, o Decreto-Lei 84/2021 refere que o consumidor fornece dados pessoais para usufruir de conteúdos e serviços digitais, mas não se refere “A-Palavra-Que-Não-Pode-Ser-Pronunciada” (“contraprestação”), seguindo, neste aspeto, o Parecer 4/2017 do EDPS em relação à então Proposta de Diretiva 634/2015. Neste sentido de prudência, o art. 3-3-b) do Decreto-Lei 84/2021 copia o art. 3-1-2 da Diretiva. Quanto à Lei 58/2019, não desenvolve o RGPD em matéria de consentimento e, portanto, não opta por nenhuma interpretação específica. Esta falta de desenvolvimento é uma vantagem, pois nem a Lei 58/2019 nem o Decreto-Lei 84/2021 impedem a interpretação do RGPD num sentido favorável ao pagamento com dados, ainda que não o designemos por esse nome