Sharenting, responsabilidade parental e o DSA: responsabilidade civil, conhecimento efetivo e risco sistémico

Doutrina

A prática de partilhar imagens ou vídeos de crianças nas redes sociais pelos pais (share + parenting) e outros familiares é conhecida como “sharenting”. Note-se que, apesar do caráter expressivo do termo, os pais não são os familiares que mais partilham fotografias de crianças. Os primos, os irmãos mais velhos e os tios e tias partilham mais frequentemente do que os avós e os pais das crianças. Esta é uma prática que põe em risco os direitos fundamentais dos menores nas redes sociais e à qual a resposta da lei e das autoridades públicas tem sido bastante limitada. Os processos de responsabilidade civil revelam-se excessivamente lentos, tendo em conta a importância do tempo quando se trata da exposição de menores no ambiente digital, e os meios de intervenção das autoridades (por exemplo, o artigo 84.º, n.º 2, da LOPDgdd, que obriga o Ministério Público a atuar) não foram até hoje utilizados.

Talvez o Regulamento dos Serviços Digitais (DSA) nos permita, enquanto consumidores e utilizadores de redes sociais, contribuir para a proteção dos menores contra estas práticas, especialmente quando aqueles que publicam estes conteúdos lucram com eles (influenciadores).

Existem poucos estudos sobre a incidência do sharenting entre os menores, um dos quais é o relatório EU Kids Online, que analisa comportamentos como os seguintes: (1) pais que publicam fotografias sem perguntar aos menores, (2) menores que pedem aos pais para eliminarem conteúdos, (3) menores que se sentem frustrados quando veem conteúdos publicados e (4) consequências negativas para a vida social dos menores em resultado da publicação de conteúdos. As respostas por país podem ser vistas no gráfico abaixo:

A maioria das situações de sharenting tende a envolver práticas sociais com uma influência relativamente baixa (o que não significa que não representem um risco para as crianças), que correspondem ao equivalente funcional no ambiente digital de mostrar fotografias ou vídeos de crianças a familiares e amigos: pessoas cujas contas nas redes sociais têm poucos seguidores, que são cuidadosas nas definições de privacidade das contas e que publicam conteúdos neutros (não íntimos ou humilhantes) sobre crianças. Podemos referir-nos a esta prática como “partilha social”. Se a conta atingir um certo nível de notoriedade, ou se o número de publicações exceder um número significativo, falamos de “oversharenting”, o que não é aceitável devido ao risco que representa para os direitos dos menores. No entanto, deve ter-se em conta que qualquer prática de sharenting comporta um risco para os menores, na medida em que, uma vez carregado o conteúdo na Internet, há pouco controlo sobre a sua difusão (e muito menos sobre a sua eliminação).

A prática de sharenting que representa o maior risco para os menores é o sharenting lucrativo, efetuado por aqueles conhecidos como “instamamis” ou “instapapis”: influenciadores cujo conteúdo está em grande parte (ou mesmo quase inteiramente) relacionado com menores. O sharenting lucrativo deve ser sempre considerado como “oversharenting”.

A prática do sharenting comporta riscos para os direitos fundamentais dos menores, que serão mais ou menos acentuados consoante o nível de notoriedade e o número de publicações. Concretamente, estão em risco o direito à honra (menores em situações domésticas que podem causar constrangimento), o direito à privacidade (menores em situações que gostariam de excluir do conhecimento geral, quer causem ou não constrangimento), o direito à própria imagem (em fotografias ou vídeos em que aparecem sem o seu consentimento) e o direito à proteção de dados (não só imagens ou vídeos, uma vez que a autoimagem também é um dado pessoal, mas também áudios ou textos em que são mencionados menores). A prática do sharenting é igualmente prejudicial ao direito ao livre desenvolvimento da personalidade e contrária ao interesse superior da criança. Por fim, a segurança dos menores também é posta em causa, como alertou o Tribunal da Relação de Évora em 2015, precisamente num caso de sharenting.

Todos estes direitos são reconhecidos tanto a nível internacional como nacional. Podemos citar, sem sermos exaustivos, o artigo 26.º da Constituição Portuguesa, segundo o qual “todos têm direito à identidade pessoal, ao desenvolvimento da personalidade, à capacidade civil, à cidadania, ao bom nome e reputação, à imagem, à palavra, à reserva da intimidade da vida privada e familiar e à proteção jurídica contra quaisquer formas de discriminação (nº 1) e “a lei estabelecerá garantias efetivas contra a obtenção e utilização abusivas, ou contrárias à dignidade humana, de informações relativas às pessoas e famílias” (nº 2), o artigo 18.º, segundo o qual “é garantido o direito à honra, à reserva da intimidade da vida privada e familiar e à imagem” (n.º 1), e “a lei limita a utilização da informática para garantir a honra e a reserva da intimidade da vida privada e familiar dos cidadãos e o pleno exercício dos seus direitos” (nº 4); e o artigo 10.º da Constituição espanhola (“a dignidade da pessoa humana, os direitos invioláveis que lhe são inerentes, o livre desenvolvimento da personalidade, o respeito pela lei e pelos direitos dos outros são a base da ordem política e da paz social”). O direito à proteção de dados é reconhecido no artigo 8.º da Carta dos Direitos Fundamentais da UE, juntamente com o direito ao respeito pela vida privada e familiar (artigo 7.º), bem como pelo RGPD e respetivas implementações nacionais.

O consentimento da criança é essencial para avaliar se algum dos direitos acima mencionados foi violado (outros, como a honra ou a privacidade, dependem não só do conteúdo, mas também das características do conteúdo e das repercussões sociais que este tem). No âmbito dos seus deveres de responsabilidade parental (art. 1877.º e 1878.º CC-PT; art. 154.º CC-ESP, art. 18.º Convenção sobre os Direitos da Criança de 1989), os pais devem proteger a identidade digital da criança e, se esta ainda não tiver capacidade jurídica para consentir, fazê-lo em seu nome. No entanto, o consentimento que os pais podem dar em nome dos filhos deve ser utilizado em benefício destes e não para pôr em risco os seus direitos. Os menores devem adquirir progressivamente a autonomia negocial (art. 127.º do CC-PT; art. 2.º da LOPJM), razão pela qual é por vezes difícil determinar o momento a partir do qual têm capacidade para consentir, consoante as circunstâncias. No que diz respeito ao sharenting, parece que a idade a partir da qual podem consentir (ou opor-se) é de 13 anos, que é a idade a partir da qual podem exprimir o seu consentimento em conformidade com o artigo 8.º do RGPD. Este limite mínimo de idade é seguido em Portugal (art. 16.º da Lei da Proteção de dados pessoais) e é aumentado em um ano em Espanha (art. 7.2 da LOPDgdd).

Tendo em conta os riscos que a prática do sharenting representa para os menores, vale a pena perguntar se existem elementos de defesa contra a mesma.

Podemos começar por dizer que é possível exigir a responsabilidade civil derivada da lesão de direitos de personalidade (arts. 70.º e 483.º CC-PT; art. 1902.º CC-ESP) associada a um exercício ilegítimo dos deveres de responsabilidade parental (art. 334.º CC-PT). É certo que a posição jurisprudencial tradicional da imunidade dos ilícitos familiares deve ser ultrapassada, como bem salienta Mariana García Duarte Marum (pp. 114-115), embora não seja menos verdade que um dos primeiros casos conhecidos de condenação por sharenting condena precisamente uma mãe por publicar posts sobre o quão mal a atitude do filho para com ela a fazia sentir (Sentença do Tribunal de Roma de 21 de dezembro de 2017). Do mesmo modo, pode ser invocada a responsabilidade civil pela violação do direito à proteção de dados, nos termos do art. 82.º do RGPD. Neste caso, colocar-se-ia a questão de saber se os pais devem ser considerados “responsáveis pelo tratamento de dados” nos termos do art. 82.º, n.º 1, do RGPD, ou apenas as próprias redes sociais. Neste último caso, parece razoável estabelecer como critério mínimo para a responsabilidade o facto de terem conhecimento efetivo da ilegalidade do conteúdo, uma questão que discutiremos mais adiante. Em todo o caso, é necessário provar a conduta negligente ou dolosa do arguido para que se possa invocar a responsabilidade civil, não sendo suficiente a mera violação do RGPD (Sentença do TJUE de 4 de maio de 2023).

As dúvidas que acabámos de apontar não são o maior obstáculo à proteção dos menores contra o sharenting através da responsabilidade civil (quer geral, quer por violação das normas de proteção de dados). De facto, em Portugal, Itália e Espanha já existem sentenças de tribunais regionais ou provinciais que condenam o sharenting. O maior problema é a lentidão (associada a qualquer procedimento judicial) com que os conteúdos seriam removidos e o consequente prejuízo que a sua permanência nas redes geraria para os menores. Neste contexto, é possível que o Regulamento dos Serviços Digitais, que entrou em vigor em fevereiro de 2024, possa proporcionar um meio mais ágil de bloquear e, se for caso disso, remover conteúdos relativos a menores nas redes sociais.

Nos termos do artigo 6.º do Regulamento Serviços Digitais (DSA), “em caso de prestação de um serviço da sociedade da informação que consista na armazenagem de informações prestadas por um destinatário do serviço (por exemplo, redes sociais), o prestador do serviço não é responsável pelas informações armazenadas a pedido de um destinatário do serviço, desde que: não tenha conhecimento efetivo da atividade ou conteúdo ilegal e, no que se refere a uma ação de indemnização por perdas e danos, não tenha conhecimento de factos ou de circunstâncias que evidenciem a ilegalidade da atividade ou do conteúdo” (art. 6.1.a). É considerado “conhecimento efetivo” aquelas notificações que “permitem a um prestador diligente de alojamento virtual identificar a ilegalidade da atividade ou das informações em causa sem um exame jurídico pormenorizado” (art. 16.3).

É importante notar que, para que a notificação obrigue a rede social a agir, deve ser suficientemente pormenorizada e precisa, em conformidade não só com o n.º 3 do artigo 16.º do DSA, mas também com o considerando 53, que estabelece que “os mecanismos de notificação e ação deverão permitir a apresentação de notificações que sejam suficientemente precisas e devidamente fundamentadas para permitir que o prestador de serviços de alojamento virtual em causa tome uma decisão informada e diligente, compatível com a liberdade de expressão e de informação, relativamente aos conteúdos a que se refere a notificação, em especial se esses conteúdos devem ser ou não considerados ilegais e devem ser suprimidos ou o acesso aos mesmos deve ser bloqueado. Esses mecanismos deverão facilitar a apresentação de notificações com uma explicação das razões pelas quais a pessoa ou a entidade que apresenta a notificação considera que o conteúdo é ilegal e uma indicação clara da localização desse conteúdo. Sempre que uma notificação contenha informações suficientes para permitir a um prestador diligente de serviços de alojamento virtual identificar, sem um exame jurídico pormenorizado, que é evidente que o conteúdo é ilegal, deverá considerar-se que a notificação dá origem ao conhecimento efetivo ou ao conhecimento da ilegalidade”.

Quando a rede social recebe uma notificação (por exemplo, através das suas caixas de correio de denúncia de conteúdos) que a informa de forma suficientemente pormenorizada sobre conteúdos de partilha de conteúdos e indica os direitos fundamentais dos menores que podem ser afetados, deve agir de forma diligente e imediata para bloquear ou remover esses conteúdos, sob pena de ser considerada responsável pelos mesmos, uma vez que, de acordo com o n.º 1, alínea b), do artigo 6.1.b do DSA, o prestador de um serviço da sociedade da informação será responsável pelo conteúdo que aloje “a partir do momento em que tenha conhecimento da ilicitude, atue com diligência no sentido de suprimir ou desativar o acesso aos conteúdos ilegais”.

O artigo 6.º, em conjugação com o artigo 16.º e o considerando 53, permite a adoção de medidas contra práticas específicas de partilha de bens, independentemente da frequência com que os pais ou familiares praticam a partilha de bens (desde que os direitos dos menores estejam efetivamente em risco, embora seja esse o caso na maioria das situações de partilha de bens) e independentemente da dimensão da plataforma.

Se a plataforma for considerada de grande dimensão (very large online platform, VLOP) nos termos do artigo 33.º do DSA, devem aplicar-se medidas de atenuação dos riscos que sejam razoáveis, proporcionadas e eficazes e adaptadas aos riscos sistémicos específicos identificados nos termos do artigo 34.º. Em 25 de abril de 2023, a Comissão Europeia publicou a primeira lista de plataformas de muito grande dimensão, incluindo redes sociais como o Facebook, o Instagram, o TikTok ou o YouTube. Em 16 de maio de 2024, a Comissão Europeia abriu um processo contra a Meta em relação ao risco de dependência em menores e ao chamado efeito de orifício dos coelhos, mas ainda não se tem conhecimento de ter iniciado um processo semelhante em relação aos riscos de sharenting. Em Espanha, a Lei Orgânica de Proteção de Dados Pessoais e Garantia dos Direitos Digitais foi além do mero desenvolvimento nacional do RGPD e, no n.º 2 do artigo 84.º, estabelece que “a utilização ou difusão de imagens ou dados pessoais de menores nas redes sociais e serviços equivalentes da sociedade da informação que possam implicar uma ingerência ilícita nos seus direitos fundamentais determinará a intervenção do Ministério Público, que solicitará as medidas cautelares e de proteção previstas na Lei Orgânica 1/1996, de 15 de janeiro, de Proteção Jurídica de Menores”. Apesar da clareza da redação literal da norma, não se conhecem ainda ações intentadas pelo Ministério Público em casos de lenocínio lucrativo.

O consumidor médio e a imoralidade de Pablo Escobar

Doutrina

No dia 17 de Abril de 2024, o Tribunal de Justiça da União Europeia (TJUE) manteve a recusa do Instituto da Propriedade Intelectual da União Europeia (EUIPO) em registar a marca “Pablo Escobar” para uma grande variedade de bens e serviços em toda a União Europeia (UE). A recusa baseia-se no fato de que a marca em questão seria contrária à ordem pública ou aos bons costumes, motivo para recusa previsto no artigo 7 (1)(f) do Regulamento sobre a Marca Comunitária.

A decisão não é a primeira do tribunal a seguir esta tendência. Por exemplo, a marca “La mafia se sienta a la mesa” já teve seu registo cancelado na UE. A corte argumenta que ao remeter a agentes criminosos, tais marcas banalizam a seriedade das atividades criminosas cometidas e, assim, entram em conflito com valores fundamentais da UE, a exemplo da dignidade da pessoa humana (Para mais, veja EUIPO Case-law Research Report: Trade marks contrary to public policy or accepted principles of morality).

No presente caso, o curioso reside na argumentação do requerente, Escobar Inc., empresa estabelecida nos Estados Unidos (EUA). Além de afirmar que Pablo Escobar nunca foi condenado criminalmente, é também ressaltada sua reputação enquanto “Robin Hood Colombiano”, diante das boas obras que também haveria realizado para a população da Colômbia. A requerente constrói uma argumentação de que o nome Pablo Escobar já estaria descolado das atividades criminosas um dia cometidas pelo próprio, tornando-se uma figura da cultura pop geral, amplamente aceite (e até mesmo querida) pela sociedade, como representado na famosa série da Netflix “Narcos”. A requerente ainda traz exemplos como “Al Capone”, também um famoso antigo líder de grupo criminoso nos EUA, e que é uma marca registada na UE.

A corte, por sua vez, é taxativa em afirmar que tais fatos não retiram a associação do nome Pablo Escobar a um símbolo do crime organizado o que, portanto, não deve ser protegido pela UE enquanto marca registada. Segundo o tribunal, o consumidor médio espanhol – frisa-se: aquele com parâmetros médios de sensitividade e tolerância – iria considerar a marca como contrária aos standards morais da sociedade espanhola, a qual possui maiores vínculos com a história de Pablo Escobar e seus atos na Colômbia.

A decisão do caso, assim como de todos os outros que abordam similares questões, é fundamentado na ideia de “consumidor médio”. Este conceito é amplamente debatido pela doutrina, sendo considerado, muitas vezes, uma noção das cortes que não reflete a realidade (Para mais, veja Rossella Incardona & Cristina Poncibò e Lotte Anemaet). Entretanto, um ponto que não foi levantado no caso em questão, e que pode ter grande importância numa análise de moralidade e bons costumes, é o contexto em que os produtos associados à marca seriam vendidos.

Para registar uma marca, é necessário indicar a quais bens ela se destina. Ao observar a marca “Al Capone”, seu registo restringe-se a produtos de tabaco, charutos, cigarrilhas e cigarros. A marca “Pablo Escobar”, por outro lado, destinava-se a uma grande variedade de bens, desde veículos, a cosméticos, utensílios de casa, comidas, bebidas alcoólicas e não-alcoólicas, roupas e jogos. Ademais, incluía também serviços como propaganda, construção civil, telecomunicação, viagens, educação, restauração, e até mesmo babysitting.

Apesar de não ressaltado pela corte, o consumidor médio de cada um desses produtos irá inevitavelmente variar. Enquanto ao tratar de produtos para cigarros é necessário que o consumidor seja maior de 18 anos, o mesmo não ocorre para produtos como brinquedos ou serviços educacionais e de babysitting. Muito pelo contrário, nesse caso imagina-se enquanto consumidor médio uma criança ou adolescente. Assim, levanta-se uma questão: há parâmetros diferentes ao considerar tão distintos consumidores médios? Poderia uma marca como “Pablo Escobar” ser registada, por exemplo, apenas para bebidas alcoólicas?

O Advogado-Geral Szpunar levantou semelhante questão na sua opinião para o caso “Fack Ju, Goethe”, marca que também gerou discussão em torno da sua moralidade por ser um trocadilho em alemão com a expressão inglesa “Fuck you, Goethe”. No parágrafo 85, ele afirma que, embora o pedido da requerente abranja uma diversa lista de bens e serviços, a viabilidade do registo em apenas algumas categorias não foi levantada durante o recurso. Por isso, ele optou por não se pronunciar sobre essa possibilidade. A decisão da corte no caso Pablo Escobar traz à tona os mesmos debates sobre marcas, moralidade, a interpretação da perceção cultural da sociedade atual e a definição do “consumidor médio”. No entanto, não oferece novas respostas. Como podemos avançar na compreensão desses conceitos? Será que uma definição clara de tal “consumidor médio” é possível? Como garantir uma aplicação justa e consistente de padrões morais em diferentes contextos?

Dados intra commercium e extra commercium – A propósito do tema da Worldcoin

Doutrina

A CNPD decidiu, a 26 de março, suspender a recolha de dados biométricos faciais e da íris que a empresa Worldcoin recolhe há vários meses. A decisão surge na sequência de uma avalanche de denúncias recebidas pela CNPD, denunciando a recolha de dados biométricos de menores sem autorização dos pais ou representantes legais, bem como deficiências na informação prestada para a recolha desses dados, e na sequência de uma recomendação de prudência da própria CNPD aos cidadãos relativamente ao fornecimento desses dados, encorajando “as pessoas a refletirem sobre a sensibilidade dos dados que pretendem fornecer, que são únicos e fazem parte da sua identidade, e os riscos que tal implica, e a ponderarem o significado de a cedência dos seus dados biométricos envolver, em contraprestação, um eventual pagamento”. É preciso ainda ter em conta que, em troca dos dados, a empresa entregou criptomoedas cuja existência tem sido reportada como duvidosa (já para não falar da sua elevadíssima volatilidade em geral).

Em Espanha, no início de março, a AEPD ordenou a suspensão cautelar da atividade da Worldcoin pelos mesmos motivos que a CNPD hoje apresenta. A medida foi objeto de recurso pela Worldcoin. Porém, a Audiencia Nacional considerou que a atuação da AEPD foi correta, porque a salvaguarda do interesse geral, que consiste na garantia do direito à proteção dos dados pessoais dos seus titulares, deve prevalecer sobre o interesse particular da empresa recorrente, de conteúdo fundamentalmente económico. A Audiencia Nacional argumenta que, se se verificasse que a Worldcoin cumpre o RGPD, poderia solicitar uma compensação financeira baseada na medida cautelar, estando reunidos os respetivos requisitos. Não parece muito provável, uma vez que a medida cumpre os três requisitos fundamentais: fumus boni iuris, periculum in mora e proporcionalidade.

O caso, como se pode ver, deu origem a um intenso debate em Espanha e em Portugal, bem como noutros países da União Europeia. A conduta da empresa é duvidosa – e não só devido às deficiências na informação contratual fornecida ou às características da contraprestação oferecida. São também utilizadas práticas questionáveis nos stands de informação e venda da Worldcoin para convencer as pessoas (muitas delas menores de idade) a vender os seus dados biométricos.

Há, no entanto, outro aspeto que importa analisar. Estamos a falar da natureza intra commercium dos dados pessoais.

Há alguns meses, neste blog, discuti os requisitos do pagamento com dados, partindo do princípio de que esta realidade é legalmente possível, e até aconselhável, apesar das reticências expressas na altura pelo EDPS e pelo EDPB, recentemente atualizadas em relação ao debate em torno do modelo “pay or ok”. Isto implica também que a lei deve encarar os dados pessoais não só como parte de um direito fundamental (art. 8.º da Carta Europeia de Direitos Fundamentais; art. 18.º, n.º 4, da Constituição Espanhola; art. 26.º da Constituição Portuguesa), mas também como um ativo económico, ou seja, como bens num sentido patrimonial, que podem ser transacionados e, por conseguinte, utilizados como contraprestação. Se os dados podem constituir uma contraprestação, devem também poder ser uma prestação principal. Por outras palavras, se uma pessoa pode pagar certos bens e serviços digitais com os seus dados pessoais, nada deve impedi-la, pela mesma razão, mas em sentido inverso, de entregar os seus dados pessoais em troca de pagamento (seja em moeda com curso legal, criptomoeda ou qualquer outro tipo de contraprestação).

De acordo com esta lógica, não deveria haver qualquer impedimento à comercialização de dados pessoais, apesar de o direito à proteção de dados ser um direito fundamental; tal como o direito à vida privada e familiar (art. 7.º da Carta Europeia de Direitos Fundamentais; art. 18.º, n.º 1, da Constituição Espanhola; art. 26.º da Constituição Portuguesa), o que não impede que sejam objeto de comercialização através da venda de direitos de imagem a marcas comerciais, da venda de exclusivos de pessoas conhecidas, ou da própria atividade de alguns influencers e youtubers, que claramente comercializam tanto a sua imagem como a sua privacidade.

O caso Worldcoin sugere uma reflexão mais aprofundada sobre o carácter intra commercium dos dados pessoais: será que todos os dados pessoais devem ser comercializáveis e, portanto, servir de contraprestação para o pagamento de certos bens e serviços digitais (ou vice-versa)?

Uma primeira resposta a esta questão pode ser afirmativa: todos os dados pessoais devem ser comercializáveis porque o direito fundamental à proteção de dados pode ser comercializável na mesma medida que outros direitos fundamentais que lhe são próximos, como o direito à privacidade pessoal ou familiar ou o direito à própria imagem. A comercialidade do direito à própria imagem não difere em função do conteúdo da imagem pessoal que é objeto de comércio: é tão comercial posar para uma marca como ser filmado nu para um filme. Será diferente a questão das regras específicas aplicáveis a cada atividade, além da comercialização do direito à própria imagem. Pensemos, por exemplo, na atuação de menores em filmes.

A segunda resposta que pode ser dada é não. Esta resposta, formulada em termos absolutos, já foi partilhada pelo EDPS e pelo EDPB, e já foi respondida em várias ocasiões, em relação à desproporcionalidade da posição e do argumento. Resta, portanto, optar por uma resposta à moda galega: depende. Segundo esta opção (a nosso ver mais precisa e proporcionada), os dados pessoais não devem ser considerados comercializáveis ou não pelo simples facto de serem dados pessoais, mas em função do tipo de informação a que se referem. Deve estabelecer-se uma presunção geral iuris tantum de comercialidade e prever-se restritivamente as categorias de dados pessoais que devem ser excluídas do comércio. Uma primeira tentativa de situar este “depende” seria a grande divisão traçada pelo RGPD entre dados pessoais comuns e categorias especiais de dados pessoais. É claro que os dados pessoais “comuns” seriam totalmente comercializáveis.

O RGPD define dados pessoais como “qualquer informação relativa a uma pessoa identificada ou identificável” (art. 4.1) e distingue duas grandes categorias de dados pessoais: dados pessoais comuns e categorias especiais de dados pessoais. Os dados pessoais comuns são definidos por exclusão: todos os dados que não são considerados categorias especiais de dados pessoais. As categorias especiais de dados pessoais são os dados que revelam a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical; e os dados genéticos, os dados biométricos, os dados relativos à saúde, à vida sexual e à orientação sexual de uma pessoa singular (art. 9.1 RGPD).

As categorias especiais de dados pessoais representam um risco mais elevado para os direitos e liberdades fundamentais (Cons. 51 RGPD), razão pela qual o art. 9.1 RGPD prevê uma proibição geral de tratamento destas categorias de dados. Na prática, este sistema bipartido implica o seguinte: (1) em princípio, todo o tratamento de dados deve ser efetuado de acordo com uma base legítima, tal como estabelecido no art. 6 RGPD. No caso de categorias especiais de dados, não só deve ser selecionado pelo menos um fundamento de legitimação do art. 6 RGPD, como também deve ser encontrada uma exceção à proibição geral de tratamento de categorias especiais de dados (art. 9.1 e 9.2 RGPD).

Embora seja verdade que, em geral, o tratamento de categorias especiais de dados implica um risco maior para os direitos e liberdades das pessoas em causa, nem todos eles devem ser excluídos do comércio, mas apenas aqueles cujo tratamento não está sujeito a um controlo ou regulamento específico e que, por si só, implica um risco ainda maior para os direitos e liberdades não só das pessoas em causa, mas da população em geral. Recordemos que partimos da presunção iuris tantum de que os dados pessoais são bens intra commercium e que, por conseguinte, a exclusão do comércio de certas categorias de dados deve encontrar uma razão justificada que permita destruir a presunção e que mesmo essa razão deve ser interpretada de forma restritiva.

Que dados pessoais devem então ser excluídos do comércio?

Entendemos que a exclusão deve estender-se principalmente a três categorias de dados pessoais, tal como definidas no RGPD: (1) dados genéticos, (2) dados biométricos e (3) dados relativos à saúde:

– Os dados genéticos são “dados pessoais relativos às características genéticas herdadas ou adquiridas de uma pessoa singular que fornecem informações únicas sobre a fisiologia ou a saúde dessa pessoa, obtidas, nomeadamente, a partir da análise de uma amostra biológica dessa pessoa” (art. 4.13 RGPD);

– Os dados biométricos são “dados pessoais obtidos a partir de um tratamento técnico específico, relativos às características físicas, fisiológicas ou comportamentais de uma pessoa singular, que permitem ou confirmam a identificação única dessa pessoa, tais como imagens faciais ou dados dactiloscópicos” (art. 4.14 RGPD);

– E os dados relativos à saúde são “dados pessoais relativos à saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde” (art. 4.15 RGPD).

As interfaces cérebro-computador (ICC) permitem medir e registar a atividade gerada pelo cérebro, que servirá de identificador biométrico. As ondas cerebrais registadas por uma BCI são traduzidas em dados fisiológicos depois de processadas e descodificadas. Aplicando ferramentas avançadas de análise de dados e sistemas de IA, é possível inferir pensamentos, sentimentos, estados de saúde, traçar o perfil do indivíduo e fazer inferências sobre o seu passado, presente e futuro. Por outro lado, o cérebro é um identificador único, tal como a impressão digital ou o genoma. Além disso, a neurotecnologia permite não só recolher informações neurológicas em tempo real, mas também gerar estímulos que alteram a atividade cerebral e modificam o comportamento da pessoa a curto e a longo prazo. Em última análise, esta tecnologia e a utilização de dados neurológicos apresentam sérios riscos para os direitos e liberdades fundamentais dos indivíduos. Isto levou alguns Estados, como o espanhol, a começar a propor a elaboração de direitos dos cidadãos em relação à utilização das neurotecnologias, embora, por enquanto, apenas como propostas regulamentares sujeitas a debate (Artigo XXVI Carta dos Direitos Digitais). No que nos diz respeito, os neurodados devem ser entendidos como uma subcategoria dos dados biométricos.

Os dados genéticos, os dados biométricos e os dados relativos à saúde são as únicas três categorias especiais de dados pessoais definidas no art. 4 RGPD e as únicas para as quais o RGPD permite que os Estados-Membros introduzam restrições ao tratamento, desde que não constituam um obstáculo à sua livre circulação (art. 9.4 RGPD). Estas circunstâncias demonstram a importância destas três categorias de dados pessoais, além de serem categorias especiais de dados.

O tráfico de dados genéticos, biométricos e relativos à saúde deve ser objeto de uma regulamentação específica, de modo a que a sua circulação constitua um “tráfico regulamentado”, devido à natureza especial das informações a que se referem. Esta é a razão das possíveis restrições nacionais que o RGPD permite que os Estados-Membros imponham e, sobretudo, a razão da atual construção do Espaço Europeu de Dados de Saúde (EEDS). No âmbito do EEDS, foi publicada uma Proposta de Regulamento sobre o Espaço Europeu de Dados de Saúde, relativa à utilização de dados de saúde, ou seja, dados de saúde e dados genéticos (art. 2.2, alíneas a), b) e c)). No que diz respeito aos dados biométricos, o seu impacto particular nos direitos e liberdades fundamentais refletiu-se no Regulamento relativo à Inteligência Artificial, que classifica os sistemas de identificação biométrica como de alto risco (Anexo III, nº 1, e Cons. 44 e 54).

Uma questão discutível é a de saber onde termina a fronteira dos dados biométricos ou relacionados com a saúde ou, por outras palavras, como lidar com a vis expansiva destas categorias de dados. Um exemplo desta vis expansiva é o facto de uma fotografia de uma pessoa poder ser considerada um dado biométrico se permitir a identificação unívoca ou de uma pessoa (Cons. 51 RGPD), ou o facto de, por vezes, a mera consulta de determinados sítios web também poder ser considerada um dado relativo à saúde (Cons. 68 a 73 da Sentença do TJUE, de 4 de julho de 2023).

Em suma, o princípio da livre circulação de dados pessoais protegido e promovido pelo RGPD (e anteriormente pela Diretiva 95/46/CE) deve levar ao entendimento de que o tráfego económico de dados pessoais é legal, desde que os requisitos para qualquer troca de serviços onerosos sejam cumpridos de acordo com as regras dos Estados-Membros em matéria de obrigações e contratos. Isto implica que o pagamento com dados pessoais para determinados bens e serviços deve ser entendido como possível, por exemplo, escolhendo entre o pagamento com dados de modo a permitir uma navegação personalizada com base em perfis (ver o art. 38 do Digital Services Act) ou pagamento monetário pelo mismo serviço, como recentemente recordado pelo TJUE, na Sentença de 4 de julho de 2023 (Cons. 150 em particular). Do que precede deve resultar que é igualmente lícito vender os próprios dados pessoais em troca de uma contraprestação.

No entanto, embora se deva partir do princípio de que todos os dados pessoais são comercializáveis, devem ser excluídos do comércio os dados pessoais cujo tratamento (e especialmente cujo tráfico não está sujeito a regulamentação específica) tem um maior impacto nos direitos e liberdades fundamentais. Estes dados são, a nosso ver, os dados biométricos (incluindo os neurodados), os dados genéticos e os dados relativos à saúde.

Considerar certas categorias de dados como dados fora do comércio não implica que essas categorias de dados não sejam objeto de análise, nem exclui o desenvolvimento de perfis com base nessa análise de dados. Trata-se apenas de fazer avançar a barreira da proteção, não no final da cadeia de valor dos dados (ou seja, proteção contra atividades de definição de perfis de indivíduos específicos), mas no início (recolha e tráfico livres dos dados que alimentam os perfis). A livre circulação destas categorias de dados também não seria impedida: trata-se apenas de submeter essa circulação a um controlo público no interesse de uma melhor proteção dos direitos e liberdades afetados pela informação a que estas categorias de dados se referem. Aliás, isto já está no espírito do Regulamento europeu relativo ao espaço de dados de saúde.

De acordo com isto, a atividade desenvolvida pela Worldcoin não só constituiria um tratamento de dados questionável pelas razões já invocadas por autoridades nacionais como a AEPD ou a CNPD, mas também por se tratar de um tráfego oneroso de dados pessoais extra commercium.

The EU Deforestation Regulation Through the Consumer Lens

Doutrina

On 21st March, the first day of spring, we celebrate the International Day of Forests. This is an important occasion to be reminded of the role that forests play on our planet. Forests are unique ecosystems that help preserve natural biodiversity while acting at the same time as carbon sinks. However, over the last decades forest loss and degradation have progressed at unprecedented rates, mainly because of human- induced activities. In this context, agricultural practices such as rearing of livestock and crop cultivation are often singled out as one of the main culprits of forest conversion into commercially exploited land.

Concerned by the negative environmental consequences of forest loss and degradation in terms of biodiversity preservation and climate change, some countries that are large consumers of products associated with deforestation passed – or are considering introducing – legislative measures to halt it. This is the case of the European Union (EU), which is the very first jurisdiction in the world that laid down an ad hoc legal framework addressing deforestation driven by agricultural expansion.

Regulation (EU) 2023/1115 – also known as EUDR (i.e., EU Deforestation Regulation) – represents the reference legal text on the subject matter. The latter provides for a complex set of mandatory due diligence requirements for producers and traders of specific commodities and derived products that are mostly associated with deforestation. Currently, the EUDR targets largely traded food and feed products such as meat, coffee, cocoa (including chocolate), soy, palm oil as well as other common goods such as wood and rubber.

Businesses affected by the EUDR requirements are currently working to implement their due diligence systems by the end of the year when the regulation becomes applicable. Such systems are meant to guarantee that no product contributing to deforestation is placed on the EU market or exported from the EU to other countries.

Overall, the implementation process of the EUDR has been quite complex for concerned companies,  warranting the adoption by the European Commission of an extensive guidance document in the form of Frequently Asked Questions. Likewise, various trading partners of the EU have repeatedly raised concerns over EUDR impact on international trade during its negotiations and even more now that the EU should classify them based on the deforestation risk they present.

Yet, even though the EUDR is often portrayed as an instrument through which sustainable consumption practices can be promoted, consumers deserve little or no attention in the current text of the regulation. If one searches for the word ‘consumers’ within the EUDR, it will be immediately evident that such references are scant, marginal (as they mostly feature in the recitals of the regulation), and never employed by the EU legislator to ensure the high level of consumer protection pursued by the EU Treaties.

Against this background, one might wonder whether, ultimately, the EUDR will have any implications for European consumers.

In my view, this question should be responded affirmatively although a distinction needs to be made between economic and legal implications.

EUDR economic implications for consumers are obvious. Most likely, the costs of the investments needed to set up and operate the due diligence systems required by the EUDR will be eventually passed onto consumers. Besides, the EUDR may also have the (unintended) effect of restricting consumer choice in case, faced with difficulties in ensuring the sourcing of deforestation-free products, companies decide to suspend or even stop supplies.

Conversely, EUDR legal implications for consumers are less obvious. This is because they become apparent only if one considers the interplay of EUDR provisions with other EU legal acts. The joint reading of the EUDR alongside Regulation (EU) No 1169/2011 on the provision of food information to consumers and Directive 2005/29/EC, which regulates unfair commercial practices in a B2C context  (‘UCPD’), represents one of the most interesting examples to showcase this.

Indeed, companies that are subject to the EUDR and comply with its requirements, at some point, might wish to capitalize the investments made in due diligence and communicate their efforts to consumers. Therefore, the question that here arises is whether a claim like ‘deforestation-free’ or with a similar meaning (e.g., ‘no deforestation’, ’zero deforestation’, etc.) can be made on EUDR-compliant products to appeal to the most environmentally conscious consumers.

In principle, for food products like coffee, cocoa, meat, and palm oil, Regulation (EU) No 1169/2011 already provides an answer to that question by setting out that ‘food information shall not be misleading, particularly […] by suggesting that the food possesses special characteristics when in fact all similar foods possess such characteristics  […]’ (Article 7, par. 1, lett. c)). In other words, since all food products targeted by the EUDR will have to comply with its requirements when placed on the EU market with no exceptions, all of them will be deforestation-free. Therefore, no company will be able to communicate, in a B2C context, that it complies with EUDR requirements as a distinctive feature of its products, as opposed to the products sold by its competitors, because, otherwise, such information might mislead consumers.

For goods other than food products, a similar principle has been recently introduced within the UCPD regime through the adoption of Directive (EU) 2024/825. The latter, together with the European Commission’s Proposal for a Green Claims Directive, constitutes a key legal instrument to strengthen consumers protection against greenwashing in the EU. More precisely, the latest UCPD amendment has broadened the list of B2C marketing practices that are prohibited in all circumstances by including the situation in which a trader presents ‘requirements imposed by law on all products within the relevant category as a distinctive feature of its offer’. Owing to the mandatory nature of EUDR requirements for all the commodities and derived products identified by the regulation, this provision significantly limits the possibility for businesses to make deforestation-free marketing claims.

Then, if such claims will not be allowed on commodities and products targeted by the EUDR, will companies have any chance to communicate their commitments and achievements in the fight against forest loss and degradation?

Once again, it is not the EUDR to give us the answer we look for, but the UCPD as amended by Directive (EU) 2024/825. The latter provides for an outright ban on the display of ‘sustainability labels’ on consumer goods, unless such labels are granted and regulated by public or private independent certification schemes, whereas the notion of ‘sustainability label’ encompasses labels, logos and other graphic forms that allude to the environmental and/or social characteristics of a product. Therefore, for what matters here, labels awarded by certification schemes that focus on the responsible forest management might well qualify as ‘sustainability labels’ under EU law. At present, such labels seem to be one of the few legitimate ways that companies have at their disposal to inform consumers about their corporate efforts in the fight against deforestation.

In conclusion, B2C communication has certainly not been given sufficient attention during the elaboration and the implementation of the EUDR. This is quite striking if one considers that, on the other hand, the regulation provides for the naming and shaming of companies infringing its requirements at EU level, which may cause them considerable reputational damages including among consumers.   However, looking ahead, at some point the EU legislator should take stock of the experience gained with the application of the EUDR and consider if deforestation-related claims may warrant any specific regulation or guidance to ensure consumers are adequately protected and businesses operate on a level playing field in the EU market.

Novas regras para a sustentabilidade: sobre agora ser proibido dar com uma mão e tirar com a outra (entre outras boas notícias)

Doutrina, Legislação

No passado dia 20 de fevereiro, foi adotada a Proposta de Diretiva do Parlamento Europeu e do Conselho que altera as Diretivas 2005/29/CE e 2011/83/UE no que respeita à capacitação dos consumidores para a transição ecológica, através de uma melhor proteção contra as práticas desleais e de melhor informação. Já no ano passado, aqui, tínhamos mencionado a iniciativa, apesar de nos termos concentrado na Green Claims Directive, que se encontra ainda em discussão e completará de forma mais eficiente o diploma sobre o qual nos debruçamos hoje.

A Proposta que hoje analisamos tem o intuito de capacitar os consumidores para a tomada de decisões de transação mais informadas, de promover o consumo sustentável, de eliminar práticas que prejudiquem a economia sustentável e de assegurar uma aplicação mais benéfica e mais coerente com o quadro jurídico da UE sobre a defesa do consumidor.

Em termos sintetizados, visa reforçar as regras de Direito do Consumo, nomeadamente (mas não só) no que toca à limitação da proliferação de práticas comerciais desleais que induzem os consumidores em erro quanto ao caráter sustentável do bem. Um hot topic desde que os consumidores aprenderam a pronunciar a palavra sustentabilidade, apesar de ainda não serem fluentes neste idioma.

No seguimento da discussão da Proposta, o Parlamento Europeu sugeriu adensar este mote com regras jurídicas mais específicas, de forma a prevenir práticas comerciais desleais em matéria de sustentabilidade, designadamente as seguintes:

– Obsolescência programada dos bens;

– Práticas de greenwashing;

– (Algumas) práticas de bluewashing; e

– Rotulagem obscura e/ou inidónea.

Dali resultaram as seguintes sugestões:

1. Alterar a Diretiva 2011/83/UE relativa aos direitos dos consumidores, nomeadamente quanto à obrigação do profissional de disponibilizar ao consumidor informações de forma clara e compreensível, tais como:

– Indicação da existência da “garantia legal” de conformidade dos bens e dos seus principais elementos, incluindo a sua duração mínima de dois anos, de forma bem visível, utilizando o aviso harmonizado;

– Em caso de garantia comercial de durabilidade prestada pelo produtor sem custos adicionais, abrangendo a totalidade do bem e com uma duração superior a dois anos, indicação de que o bem beneficia dessa garantia, a respetiva duração e indicação da existência da “garantia legal” de conformidade, de forma bem visível, utilizando o rótulo harmonizado;

– Nos contratos à distância, fornecimento de informações sobre as condições de pagamento e de entrega, incluindo opções de entrega respeitadoras do ambiente (por exemplo, bicicleta);

– Criação de um aviso harmonizado e de um rótulo harmonizado, de fácil reconhecimento e compreensão para os consumidores e fáceis de utilizar e reproduzir pelos profissionais.

2. Alterar a Diretiva 2005/29/CE relativa às práticas comerciais desleais, de forma a serem adicionados os aspetos ambientais, sociais e circulares à lista das principais características de um produto relativamente às quais:

2.1. As práticas do comerciante possam ser consideradas enganosas:

– Alegações ambientais referentes ao desempenho ambiental futuro sem compromissos claros, objetivos, publicamente disponíveis e verificáveis;

– Publicidade alusiva a benefícios para os consumidores que são irrelevantes e/ou que não resultam de qualquer característica própria do bem ou da empresa (por exemplo: “brincos sem glúten”, “telemóvel vegan” ou “shampoo sem lactose”);

– Utilização de alegações ambientais com afirmações genéricas sem fundamento (tais como, “amigo do ambiente”, “natural”, “biodegradável” ou “eco”) ou que, sob o manto da informação ambiental, implicam a retirada de conclusões relacionadas com outras características que não as ambientais (tais como “responsável”, “sustentável”, “consciente”).

E, de forma mais fascinante:

2.2. Aditamento de novas práticas à lista negra de práticas comerciais desleais, como, por exemplo:

– Exibição de rótulos de sustentabilidade não contemplados nos sistemas de certificação oficiais ou marcas de certificação criadas por autoridades públicas;

– Alegar, com base na compensação de emissões de gases com efeito de estufa, que um produto tem um impacto neutro, reduzido ou positivo no ambiente em termos de emissões de gases com efeito de estufa;

– Alegar falsamente que, em condições normais de utilização, um bem tem uma determinada durabilidade em termos de tempo ou intensidade de utilização;

– Fazer uma alegação ambiental sobre a totalidade do produto ou sobre a totalidade da atividade do profissional, quando esta diga respeito apenas a um determinado aspeto do produto ou a uma atividade específica da empresa/do profissional.

Interessa-nos hoje em particular este último ponto. Apesar de as novas regras incluírem, em alguns segmentos, a sustentabilidade social, no que toca a este último ponto parece fixar-se apenas nas alegações ambientais. Para melhor enquadramento, encontramos referência à parte social da sustentabilidade nos seguintes pontos:

– Inclusão de características (ambientais e) sociais não correspondentes à verdade na lista das ações enganosas (no art. 6.º-1 da Diretiva 2005/29/CE);

– Inclusão de características (ambientais e) sociais na prestação de informação durante a comparação de produtos (no art. 7.º da Diretiva 2005/29/CE);

– Inclusão de características (ambientais e) sociais nas regras relativas à rotulagem de sustentabilidade (no art. 2.º da Diretiva 2005/29/CE).

Como se percebe, existe ainda alguma resistência (ou timidez) em legislar para a sustentabilidade social, estando a atividade legislativa em torno da sustentabilidade ambiental muito mais desempoeirada. É compreensível, uma vez que a discussão sobre a ligação entre os problemas sociais e o consumo ainda está em ascensão, mas sobretudo porque não é evidente que tratar ambas as questões em conjunto seja o caminho mais profícuo.

Em todo o caso, há várias hipóteses em que os dois temas dão origem aos mesmos problemas e que encontrarão agora resposta neste diploma. Vejam-se alguns exemplos:

1. Caracterização de um pneu como “superverde”, quando não corresponde à verdade;

2. Alegação de que o consumidor, ao comprar um bem, “melhora a vida dos agricultores”, quando não corresponde à verdade;

3. Alegação de que o bem é “muito mais sustentável/ecológico/responsável/reciclável/durável/biodegradável do que as outras marcas no mercado” (se não for divulgado o método de comparação, os produtos objeto da comparação e os fornecedores desses produtos, bem como as medidas em vigor para manter essas informações atualizadas);

4. Exibição de um rótulo com as seguintes mensagens ou símbolos: “Trade Faire”; “UN”; “Green Piece”; “ESG”.

Por outro lado, não estando a sustentabilidade social incluída em muitos outros preceitos deste diploma, casos há que certas alegações sociais ficarão de fora do escopo destas novas regras, apesar de a lógica de washing ficar protegida nas alegações ambientais. Veja-se:

1. Empresa A: “Compensamos o ambiente”, “impacto climático reduzido” ou “a nossa política tem crédito de carbono”;

2. Empresa B: “Por cada t-shirt vendida, doamos 1€ à UNICEF” (t-shirt produzida com recurso a trabalho infantil).

Neste exemplo, a empresa A pode ser responsabilizada ao abrigo do novo acrescento à “lista negra”, uma vez que faz alegações com base na compensação de emissões. Já a empresa B não pode ser responsabilizada a esta luz, apesar de fazer alegações com base em compensações sociais.

Veja-se ainda:

1. Empresa A: “Feito a partir de material reciclado” (quando só a embalagem o é);

2. Empresa B: “Sapatos produzidos em condições justas” (quando só as solas o são).

Aqui, a empresa A pode ser responsabilizada ao abrigo da nova “lista negra”, uma vez que faz uma alegação ambiental que sugere que todo o bem é composto por material reciclado quando só uma parte dele o é. Já a empresa B não pode ser responsabilizada à luz desta nova inserção, uma vez que o preceito apenas diz respeito a alegações ambientais e não sociais, apesar de se tratar da mesma lógica de distorção da interpretação por parte do consumidor.

1. Empresa A: “Temos certificação [sistema de certificação ecológico]” (quando, por exemplo, apenas um dos bens vendidos pela empresa é certificado);

2. Empresa B: “Temos certificação [sistema de certificação social]” (quando, por exemplo, apenas um dos bens vendidos pela empresa é certificado);

Neste exemplo, também a empresa A poderá vir a ser responsabilizada ao abrigo da nova “lista negra”, já não a empresa B. No primeiro exemplo, tratando-se de uma alegação ambiental, a empresa A procura beneficiar da certificação que obteve para apenas um dos bens da sua gama, parecendo tentar sugerir que essa certificação diz respeito a toda a sua atividade. Já a empresa B, fazendo uma alegação social, não está abrangida pela norma.

Por fim, veja-se este caso:

Numa gama de 10 embalagens de café do mesmo produtor/vendedor, apenas um dos segmentos apresenta certificação Fairtrade.

Este caso não se encontra contemplado nos exemplos anteriormente analisados e não é igualmente subsumível às novas proibições, trazendo um outro problema aplicável quer às alegações ambientais quer sociais. Agora, a mesma empresa apresenta uma gama de produtos certificados e outros não certificados (devidamente identificados), o que levanta dúvidas éticas acerca de uma prática empresarial que tanto aceita transacionar bens resultantes de boas práticas sustentáveis ambientais/sociais como bens que daí não resultam. Será este o próximo nível das práticas de green e bluewashing?

As questões hoje analisadas ainda farão correr muita tinta. Para já, aguardemos as assinaturas da Presidente do Parlamento Europeu de o Presidente do Conselho e a respetiva publicação do diploma.

O vinho mais barato da carta

Doutrina

Em muitos restaurantes, ocorre um fenómeno estranho que consiste na rutura de stock da garrafa de vinho mais barata da carta. O cliente, ao pedir essa garrafa de vinho, é informado de que esta não se encontra disponível, tendo de escolher outra. Por vezes, essa informação é acompanhada de uma sugestão de outra garrafa de vinho, normalmente sem indicação do respetivo preço[1]. Veremos neste texto se estas práticas são lícitas, à luz dos princípios da transparência e da lealdade.

A apresentação de uma lista ou carta com a indicação da comida e das bebidas constitui uma proposta contratual apresentada pela entidade gestora do restaurante (que designaremos simplesmente por restaurante) ao cliente. O restaurante fica numa situação de sujeição e o cliente tem o direito potestativo de fazer um pedido consistente com a informação constante da carta, pedindo o que aí estiver indicado. Se o cliente pedir uma garrafa de vinho constante da carta, celebra-se então um contrato relativo a essa garrafa. Este contrato é um contrato misto, pois inclui, além da própria garrafa (objeto principal do contrato, que aponta no sentido de se tratar de um contrato essencialmente de compra e venda), o serviço associado à sua abertura e, por vezes, à colocação nos copos, o aluguer dos copos e tudo o que está subjacente à utilização do espaço (utilização das cadeiras e da mesa, música, etc.). Celebrado o contrato, o restaurante tem de fornecer a garrafa de vinho. Se se recusar a fazê-lo, haverá incumprimento da obrigação por parte do restaurante.

O restaurante pode incluir na carta a indicação de que o vinho não se encontra disponível. Pode haver um risco ou uma cruz ao lado ou por cima da garrafa de vinho em causa. Neste caso, a proposta não inclui essa garrafa de vinho, não se desencadeando os efeitos referidos no parágrafo anterior. Se não for incluída essa informação, poderá ainda considerar-se a possibilidade de uma rutura de stock. No entanto, para que o argumento da rutura de stock seja eficaz, legitimando a conduta do restaurante, é necessário que tal tenha sucedido imediatamente antes do pedido, não tendo dado tempo para, antes da disponibilização da lista, ser incluída a informação referida no início deste parágrafo.

Antes da celebração do contrato, o restaurante deve informar o consumidor sobre os bens e serviços fornecidos e o respetivo preço, nos termos do art. 8.º da Lei de Defesa do Consumidor. Essa informação pode constar da carta, mas a norma não será cumprida se, apresentada a carta, não houver indicação clara relativamente a objetos indisponíveis. Acresce que, qualquer sugestão feita oralmente pelo representante do restaurante, deve igualmente, nos termos da mesma norma, ser acompanhada da informação relativa ao preço. A omissão do preço, ainda que este conste da lista, constitui uma violação do art. 8.º da Lei de Defesa do Consumidor.

Esta prática coloca ainda em causa o princípio da lealdade. Isto porque pode ser suscetível de levar o cliente a adquirir uma garrafa de vinho mais cara do que aquela que pretendia inicialmente.

Aplica-se, então, o regime das práticas comerciais desleais (DL 57/2008).

Podemos estar perante uma omissão enganosa (arts. 9.º e 10.º), por faltar, pelo menos, uma informação essencial para a decisão de contratar do consumidor: a indicação da inexistência do bem. Como indicado anteriormente, poderá faltar igualmente outro elemento essencial: o preço da garrafa de vinho sugerida pelo restaurante.

A prática pode igualmente consubstanciar uma ação enganosa. Com efeito, nos termos do art. 8.º-e), é proibida a prática que consiste em “propor a aquisição de bens ou serviços a um determinado preço sem revelar a existência de quaisquer motivos razoáveis que o profissional possa ter para acreditar que não pode, ele próprio, fornecer ou indicar outro profissional que forneça os bens ou serviços em questão ou equivalentes, àquele preço (…)”. A alínea f) proíbe ao profissional “propor a aquisição de bens ou serviços a um determinado preço e, com a intenção de promover um bem ou serviço diferente, recusar posteriormente apresentar aos consumidores o bem ou o serviço publicitado”.

Para a aplicação destas alíneas, é necessário que a prática seja intencional, ou seja, que haja uma estratégia no sentido de levar o consumidor a, no caso, adquirir uma garrafa de vinho mais cara. A circunstância de a garrafa mais barata não estar muitas vezes disponível aponta nesse sentido, mesmo quando o menu indica que a garrafa está temporariamente indisponível, se de facto estiver excecionalmente disponível[2].

Havendo uma prática comercial desleal, o restaurante está sujeito à aplicação de sanções contraordenacionais (art. 21.º). O consumidor pode pedir o livro de reclamações para dar a conhecer a prática à ASAE.

O consumidor tem ainda direito à redução adequada do preço ou à resolução do contrato ou a exigir uma indemnização do restaurante. A resolução do contrato, após ter consumido a garrafa de vinho, parece constituir uma situação de abuso do direito. É mais equilibrada, tendo em conta a situação, a redução adequada do preço, para o preço da garrafa mais barata pedida num primeiro momento, em especial nos casos em que o consumidor não tenha sido informado adequadamente do preço da nova garrafa. O risco de ter sido feita uma sugestão de uma garrafa muito mais cara correrá, assim, por conta do restaurante, o que parece ser uma solução ajustada aos valores subjacentes ao caso.


[1] Este tema já foi discutido aqui no blog no texto “A Garrafa de Vinho mais Cara do que o Jantar”. Nesse caso, o cliente não tinha chegado a ver a lista, tenho sido sugerido pelo representante do restaurante que a refeição fosse acompanhada por um Barca Velha. Também aí se concluiu, como neste texto, que a redução adequada do preço é a solução mais equilibrada.

[2] Num contexto diferente, descreve-se a prática identificada, em Espanha, no sentido de indicar que o terminal de pagamentos se encontra avariado para forçar os consumidores a pagar com dinheiro. A circunstância de o aviso de avaria do terminal estar plastificado e apresentar sinais da passagem do tempo aponta claramente no sentido de que se trata, não de um problema temporário, em vias de resolução, mas de uma prática intencional de forçar o pagamento em notas e moedas.

Outro artigo sobre o ChatGPT? O possível futuro dos modelos fundacionais no Regulamento sobre Inteligência Artificial

Doutrina

Tanto o (ainda) futuro Regulamento sobre Inteligência Artificial (IA) como as ferramentas de Inteligência Artificial Generativa (ChatGPT ou Dall-e, entre outros) foram objeto de ampla discussão ao longo de 2023. As ferramentas de IA generativa, que explodiram em termos de popularidade no início do ano passado, suscitaram propostas de alterações significativas ao texto da Proposta de Regulamento de IA e debates entre Estados. Algumas dessas alterações podem ser encontradas nas Emendas à Proposta de Regulamento sobre IA apresentadas pelo Parlamento Europeu em 14 de junho de 2023. No final de 2023, ainda durante a presidência espanhola da UE, existiam duas posições opostas sobre a regulamentação dos modelos fundacionais: (1) fazê-lo através de códigos de conduta sem um regime de sanções por incumprimento; ou (2) a inclusão de certas obrigações no próprio Regulamento IA, referindo-se principalmente à transparência, embora também relacionadas com os direitos de autor.

Nesta publicação do blog, vamos centrar a nossa atenção em algumas das alterações do Parlamento Europeu sobre modelos fundacionais e na forma como isso afeta a IA generativa.

Para começar, convém esclarecer brevemente três conceitos: IA de objetivo geral, modelos fundacionais e Chat GPT.

Considera-se que os sistemas de IA de uso geral são os concebidos para desempenhar funções de uso geral, como o reconhecimento de texto, imagem e voz, a geração de texto, áudio, imagem ou vídeo, a deteção de padrões, a resposta a perguntas ou a tradução. Estes sistemas não teriam sido possíveis sem a redução dos custos de armazenamento e processamento de grandes quantidades de dados (big data).

Os modelos fundacionais, por outro lado, são modelos de inteligência artificial treinados em grandes quantidades de dados e concebidos para produzir informações gerais de saída capazes de ser adaptados a uma grande variedade de tarefas. Não devemos relacionar os modelos fundacionais exclusivamente com a IA de objetivo geral: um modelo fundacional pode servir tanto para sistemas de IA de objetivo específico como para sistemas de IA de objetivo geral. No entanto, os modelos fundacionais que não sirvam para ferramentas de IA para fins gerais não seriam abrangidos pelo futuro Regulamento relativo à IA (alteração 101 do PE e considerando 60-G).

O ChatGPT colocou desafios sociais e jurídicos significativos, não só em termos de direitos de autor, mas também em termos de cibersegurança e proteção de dados pessoais. Este tema será, no entanto, discutido num texto separado. Por enquanto, vejamos o que o futuro do Regulamento IA pode reservar para os modelos fundacionais, se as alterações do Parlamento Europeu forem aceites.

Os princípios gerais dos sistemas de IA

A alteração 213 do Parlamento Europeu propõe a introdução de um novo artigo 4º-A relativo aos princípios gerais aplicáveis a todos os sistemas de IA. Trata-se, de certa forma, de um equivalente ao artigo 5.º do Regulamento Geral sobre a Proteção de Dados, relativo aos princípios aplicáveis ao tratamento de dados pessoais.

Nos termos do artigo 4.º-A, todos os operadores abrangidos pelo âmbito de aplicação do Regulamento IA devem envidar todos os esforços para desenvolver e utilizar sistemas ou modelos fundacionais em conformidade com os seguintes princípios, destinados a promover uma abordagem europeia coerente, centrada no ser humano, de uma IA ética e fiável:

– Intervenção humana e vigilância

– Robustez técnica e segurança

– Privacidade e governação dos dados

– Transparência (e explicabilidade)

– Diversidade, não discriminação e equidade

– Bem-estar social e ambiental

Estes seis princípios serão aplicáveis tanto aos sistemas de IA como aos modelos fundacionais. No entanto, no caso dos modelos fundacionais, devem ser cumpridos pelos fornecedores ou responsáveis pela aplicação em conformidade com os requisitos estabelecidos nos artigos 28.-B. Note-se que os artigos 28.º a 28.º-B fazem parte do Título III relativo aos sistemas de alto risco. Já salientámos no início que as últimas discussões na negociação do Regulamento no que se refere aos modelos fundacionais não os consideram sistemas de alto risco. O mesmo não parece resultar das alterações do Parlamento. Por conseguinte, deve entender-se que os modelos fundacionais serão regulados nas disposições que os mencionam expressamente, como é o caso do artigo 4º-A ou dos artigos 28º a 28º-B, mas não no Título III do RIA no seu conjunto.

O artigo 28.º do PRIA diz respeito às obrigações dos distribuidores, importadores, utilizadores e terceiros. As alterações do Parlamento propõem a substituição do título por “Responsabilidades ao longo da cadeia de valor da IA dos fornecedores, distribuidores, importadores, responsáveis pela aplicação ou terceiros”.  A referência a toda a cadeia de valor da IA é, na minha opinião, uma boa medida, uma vez que sublinha a importância de todo o processo de IA: não só o seu desenvolvimento, mas também a sua utilização. Tenho mais dúvidas em substituir a palavra “obrigações” por “responsabilidades” ou em incluir no título uma lista pormenorizada de todas as partes envolvidas.

A maior parte das obrigações relativas aos modelos fundacionais encontra-se no n.º 3 do artigo 28.º (novo, alteração 399), que se intitula “Obrigações do fornecedor de um modelo fundacional” (o termo “obrigações” é retomado aqui).

Podemos agrupar as obrigações do fornecedor de modelos fundacionais em três grupos:

– Obrigações anteriores à comercialização de modelos fundacionais (n.ºs 1 e 2). Estas obrigações aplicam-se ao fornecedor, independentemente de o modelo ser fornecido autonomamente ou integrado num sistema de IA ou noutro produto ou de ser fornecido ao abrigo de licenças gratuitas e de fonte aberta.

– Obrigações pós-comercialização (n.º 3), e

– Obrigações específicas relativas aos sistemas de IA generativa, ou seja, especificamente destinados a gerar conteúdos, como texto, imagem, áudio ou vídeo complexos (secção 4).

Obrigações anteriores à comercialização do modelo fundacional

De acordo com o art. 28.ter.2, o fornecedor de um modelo fundacional, antes de comercializar ou colocar o modelo em funcionamento, deve (tendo em conta o estado da arte num dado momento):

– Demonstrar a deteção, redução e mitigação de riscos razoavelmente previsíveis para a saúde, a segurança, os direitos fundamentais, o ambiente, a democracia ou o Estado de direito.

o Tal deve ser demonstrado através de uma conceção, testes e análises adequados e com a participação de peritos independentes.

o Deve também fornecer documentação sobre os riscos não mitigáveis remanescentes após o desenvolvimento.

– Só deve processar e incorporar conjuntos de dados sujeitos a medidas de governação adequadas para modelos fundacionais.

o Em particular: adequação das fontes, enviesamentos e atenuação adequada.

– Deve conceber e desenvolver o modelo

o de modo a atingir, ao longo do seu ciclo de vida, níveis adequados de desempenho, previsibilidade, interpretabilidade, correção, segurança e cibersegurança, avaliados por métodos adequados;

o utilizando as normas aplicáveis para reduzir o consumo de energia, a utilização de recursos e os resíduos, bem como para aumentar a eficiência energética e a eficiência global do sistema. A este respeito, devem ser desenvolvidos modelos fundacionais com capacidades para medir e registar o consumo de energia e de recursos e o impacto ambiental.

– Desenvolverá uma documentação técnica exaustiva e instruções de utilização inteligíveis.

– Estabelecer um sistema de gestão da qualidade para garantir e documentar a conformidade com todos os elementos acima referidos (responsabilidade proactiva).

– Registar o modelo básico na base de dados da UE para sistemas independentes de alto risco.

Obrigações pós-comercialização do modelo básico

Durante dez anos após o sistema de IA ter sido colocado no mercado ou em serviço, os fornecedores de modelos fundacionais devem manter a documentação técnica à disposição das autoridades nacionais competentes (Agência de Controlo da IA).

Obrigações específicas para os modelos de IA generativa

Para além das obrigações gerais estabelecidas no ponto 28.ter.2, os fornecedores de sistemas de IA generativa devem:

– Cumprir as obrigações de transparência do artigo 52.º, n.º 1 (obrigação de informar as pessoas que interagem com estes sistemas de que estão a interagir com um sistema de IA).

– Conceber e desenvolver o modelo de forma a garantir salvaguardas adequadas contra a produção de conteúdos que infrinjam a legislação da UE.

– Sem prejuízo da legislação em matéria de direitos de autor, devem documentar e disponibilizar publicamente um resumo suficientemente pormenorizado da utilização de dados de formação protegidos por direitos de autor.

Bónus: dois desafios colocados pela IA generativa

Termino este post partilhando duas preocupações (às quais os nossos leitores poderão responder): os desafios em matéria de propriedade intelectual colocados pela IA generativa e a possibilidade de considerar os modelos fundacionais como de alto risco.

Começo pela primeira, porque é mais ousada da minha parte: quando é que eu, uma pessoa singular, posso ser considerado autor de uma obra literária gerada através de IA generativa (Chat GPT, por exemplo)? Desenvolvo um pouco mais a minha preocupação: não é (ou não deveria ser) a mesma coisa para mim introduzir uma simples pergunta no Chat GPT, como “escreva a oitava parte do Harry Potter”, do que introduzir várias perguntas com um certo nível de complexidade (quanto?), nas quais introduzo certas características específicas do romance. Se aceitarmos que as ferramentas de IA não deixam de ser ferramentas tecnológicas (muito complexas, mas tecnológicas), talvez possamos concordar que se trata de um debate semelhante ao que surgiu na altura em torno da fotografia, que permite distinguir legalmente entre “fotografia (artística)” e “mera fotografia (carregar no botão da câmara)”. Outra questão, mais difícil, seria distinguir, em cada caso, quando as instruções introduzidas numa ferramenta de IA generativa nos permitem falar de utilização artística da IA generativa ou de “mera utilização” da IA generativa.

O segundo desafio é, de facto, abrangido pelo Regulamento IA, mas é importante referi-lo. Consiste na consideração dos modelos fundacionais como sendo de alto risco. O anexo III da proposta de Regulamento IA contém uma lista não fechada de sistemas de IA de alto risco. No entanto, não se deve esquecer que a Comissão teria (na proposta de Regulamento relativo à IA, artigo 7.º) teria poderes para adotar atos delegados que alterem o anexo III para acrescentar sistemas de IA que satisfaçam duas condições: destinar-se a ser utilizados em qualquer dos domínios enumerados nos pontos 1 a 8 do anexo (ou seja, identificação biométrica e categorização de pessoas singulares; gestão e funcionamento de infra-estruturas críticas; educação e formação profissional, emprego, gestão de trabalhadores e acesso ao trabalho independente; acesso e usufruto de serviços públicos e privados essenciais e seus benefícios; questões de aplicação da lei; gestão das migrações; asilo e controlo financeiro; administração da justiça e processos democráticos); comportar um risco de danos para a saúde e a segurança ou um risco de consequências negativas para os direitos fundamentais que seja equivalente ou superior aos riscos de danos associados aos sistemas de IA de alto risco já mencionados no Anexo III, tendo em conta vários critérios, tais como, entre outros, o objetivo pretendido do sistema de IA ou a probabilidade de este ser utilizado de uma determinada forma.

Deve uma IA generativa (que é um exemplo de um modelo fundamental) capaz de produzir vídeos destinados a perturbar os processos democráticos ser considerada de alto risco? Parece claro que sim, uma vez que estas utilizações estão enumeradas no ponto 8 do anexo III, quer se destinem especificamente a perturbar os processos democráticos quer sejam suscetíveis de ser utilizadas para o efeito. O que não é claro neste momento (teremos de aguardar a redação final do texto) é se será considerado de alto risco desde o início, ou apenas depois de a Comissão adotar o ato delegado correspondente para alargar o Anexo III. Por outras palavras, se este ato delegado da Comissão seria constitutivo ou meramente declarativo de que um sistema de AI é de alto risco.

Proteção de Dados e Treino de IA: Bases de Licitude e Direito a ser Informado

Doutrina

No domínio da inteligência artificial (“IA”), uma das preocupações fundamentais prende-se com o tratamento de dados pessoais em conformidade com as normas aplicáveis, em particular, o Regulamento Geral de Proteção de Dados (“RGPD”).

Desde a compreensão das bases jurídicas que regem a utilização de dados pessoais até ao cumprimento dos direitos dos titulares dos dados e à promoção da transparência, o nosso objetivo neste post será o de desvendar as complexidades e oferecer conhecimentos práticos sobre como fazer o tratamento de dados no contexto da IA, de uma forma compatível com o RGPD.

Compreender as bases de licitude nos sistemas de IA

Nesta secção, aprofundamos o aspeto crítico das bases de licitude do art. 6.º RGPD para um tratamento lícito de dados pessoais por sistemas de IA, esclarecendo como os dados pessoais podem ser utilizados nestes sistemas.

Em primeiro lugar, é preciso compreender que os sistemas de IA são treinados com dados pessoais obtidos através de diversas fontes. Estes canais incluem principalmente a recolha de dados da Internet (o web scraping, cuja licitude já tem sido questionada por autoridades de supervisão a nível mundial), as informações fornecidas pelo utilizador já após o lançamento do sistema (e.g. ao utilizar o ChatGPT e ao enviar comandos, podem essas instruções conter dados pessoais que são utilizados para treinar o sistema) e, por último, terceiros, como bases de dados de terceiros.

Com base nestas fontes de dados pessoais, é-nos possível elencar três bases de licitude principais incluídas no art. 6.º do RGPD, que poderão ser usadas para treinar sistemas de IA com dados pessoais.

Execução de um contrato

O artigo 6.º, n.º 1, alínea b), do RGPD permite o tratamento de dados pessoais quando tal seja necessário para a execução de um contrato com o respetivo titular de dados. No entanto, a aplicação desta base ao treino de IA está sujeita a condições estritas.

Em particular, deve ser demonstrado que o treino do sistema de IA (e não apenas a sua utilização após o treino) é estritamente necessário para o cumprimento de um contrato com a pessoa em causa. Este requisito tem vindo a ser interpretado de forma restritiva, exigindo que o objeto principal do contrato seja impossível sem esse tratamento dos dados pessoais. No contexto da IA, isto cria cenários limitados nos quais a base contratual pode ser viável, muito provavelmente apenas em circunstâncias em que o sistema de IA é adaptado ao titular de dados (por exemplo, quando output de um modelo linguístico é personalizado para ser semelhante à forma como o consumidor responderia, ou com base em algum conhecimento pré-determinado do mesmo).

Quanto à segunda parte desta base jurídica – a necessidade de tomar diligências pré-contratuais – a sua utilização exige a demonstração de que não há outra forma de satisfazer as exigências de um titular de dados que possa potencialmente querer celebrar um contrato que não sejam treinar (e, mais uma vez, não utilizar apenas depois de treinado) o sistema de IA. Esta parece ser uma opção ainda mais limitada do que a primeira parte desta base de licitude.

Em suma, a possibilidade de utilizar um contrato como base jurídica para treinar sistemas de IA com dados pessoais parece limitada a casos muito específicos, não sendo, em regra, a primeira escolha a ponderar.

Interesses legítimos

Os interesses legítimos do responsável pelo tratamento é das bases mais versáteis do art. 6.º do RGPD, sendo utilizável nestas circunstâncias. Contudo, a utilizá-la, deve efetuar-se uma avaliação caso a caso para garantir que esses interesses não limitam de forma desproporcional os direitos e liberdades dos titulares dos dados. Esta análise torna-se particularmente difícil quando a entidade por detrás do treino do sistema de IA não tem contacto direto com os titulares dos dados. A luta da OpenAI com a Autoridade Italiana de Supervisão da Proteção de Dados é um exemplo claro desta dificuldade. De facto, ao utilizar o interesse legítimo como base legal para o treino do ChatGPT, a empresa vinculou a licitude do treino a uma base legal que é inerentemente vaga e incerta, dado também o direito das pessoas em causa de se oporem a esse tratamento.

Assim, para se fazer valer desta base de forma eficaz, os responsáveis pelo tratamento terão de fazer uma avaliação do interesse legítimo, em que verificam se o tratamento de dados corresponde às expectativas razoáveis das pessoas em causa, demonstram a estrita necessidade do tratamento (por exemplo, demonstrando que a IA não pode funcionar corretamente sem os dados pessoais em questão) e que o tratamento tem devidamente em conta os interesses das pessoas em causa.

Além disso, têm de garantir que as pessoas em causa sejam informadas de forma adequada do tratamento de dados, nos termos dos artigos 13.º e 14.º do RGPD, bem como a criação de um sistema eficaz para a objeção de titulares de dados a este tratamento.

Consentimento

O consentimento como base de licitude apresenta desafios derivados da forma comos os dados pessoais são recolhidos, frequentemente sem contacto direto com os titulares de dados. Embora em casos extremos possa ser a única base jurídica possível (por exemplo, ao processar categorias especiais de dados em conformidade com o art. 9.º do RGPD), o cumprimento dos requisitos do RGPD para um consentimento válido – incluindo a clareza, a especificidade e a inequivocidade – é uma exigência elevada no contexto do treino de sistemas de IA.

Em conclusão, a seleção de uma base jurídica adequada para o treino de sistemas de IA é uma tarefa complexa. Enquanto a execução de um contrato e o consentimento enfrentam limitações práticas, os interesses legítimos do responsável pelo tratamento, embora sendo uma base incerta, surge como a opção potencialmente mais adequada.

Transparência e direito de ser informado

Nesta secção, aprofundamos um aspeto crítico de conformidade com o RGDP: a transparência e o direito a ser informado nos termos dos arts. 13.º e 14.º do RGPD.

Assim sendo, a informação devida a titulares de dados – e o modo como é fornecida – varia consoante a forma como os dados pessoais são recolhidos. Os desafios em cada cenário, quer se trate de recolha de dados indireta ou diretamente do titular de dados, exigem medidas ponderadas para se alinharem com as exigências do RGPD.

Web Scraping

Uma das formas mais comuns de treinar sistemas de IA é por via de web scraping, ou seja através de ferramentas que extraem dados – incluindo dados pessoais – da Internet.

A obtenção de dados pessoais por esta via leva a desafios particulares, não só devido à forma potencialmente ilícita como os dados pessoais são recolhidos, mas também devido à falta de interação direta entre a entidade extratora dos dados e o titular de dados, o que dificulta a transmissão de informação contida no art. 14.º do RGPD. A isto, importa juntar que os operadores de sistemas de IA lidam frequentemente com grandes quantidades de dados extraídos automaticamente da Internet, o que dificulta a própria identificação dos titulares de dados.

Neste contexto, a alínea b) do n.º 5 do artigo 14.º do RGPD define que, quando o fornecimento da informação contida nesse artigo for impossível ou implicar um esforço desproporcionado por parte do responsável pelo tratamento, este fica isento desta obrigação. No entanto, as autoridades de supervisão tendem a interpretar esta exceção de forma restritiva, tornando pouco claro até que ponto os responsáveis pelo tratamento e os criadores de sistemas IA podem utilizá-la de forma eficaz.

Independentemente disso, os criadores de IA devem tomar medidas adequadaspara proteger os direitos e liberdades das pessoas em causa. Isto inclui a publicação de políticas de privacidade nos seus websites e, em alguns casos, a realização de campanhas de informação para garantir que são adotados todos os esforços para informar as pessoas em causa do tratamento de dados.

Embora existam desafios na recolha de dados, medidas proativas e um compromisso com a transparência podem facilitar a resolução destas questões. Os operadores de IA devem esforçar-se por equilibrar o seu tratamento de dados com as normas do RGPD e o direito dos utilizadores a serem informados.

Fornecimento de dados por terceiros

Nos casos em que os dados são fornecidos por terceiros, a colaboração entre as partes envolvidas no tratamento de dados torna-se crucial. Estes terceiros desempenham um papel importante para garantir a transparência no tratamento dos dados, na medida em que são a entidade – idealmente – em contacto com os titulares de dados.

Estas partes, sendo as que obtêm os dados pessoais, ocupam uma posição de ponte entre os criadores de sistemas de IA e os titulares de dados, fornecendo a estes ferramentas e orientações sobre como os seus dados serão processados. O estabelecimento de canais de comunicação claros com estes fornecedores é fundamental, em especial quando se trata de dar resposta ao exercício dos direitos por parte dos titulares de dados.

Dados fornecidos diretamente pelo titular de dados

Finalmente, para os dados recolhidos diretamente dos titulares de dados, aplica-se o artigo 13.º do RGPD. Este artigo exige que os responsáveis pelo tratamento de dados forneçam informações específicas no momento da recolha, incluindo a identidade e os dados de contacto do responsável pelo tratamento de dados, as finalidades do tratamento e a base jurídica. Isto reforça a importância da comunicação e divulgação transparentes, garantindo que os utilizadores são informados sobre a forma como os seus dados serão utilizados. Ao ligar estes pontos, a transparência torna-se um elemento essencial para práticas responsáveis por parte de criadores de sistemas de IA e no alinhamento do seu tratamento de dados com as regras aplicáveis.

Crédito ao consumo, avaliação da solvabilidade e esquecimento oncológico à luz da Diretiva 2225/2023

Doutrina

No dia 18 de outubro de 2023, foi adotada a nova Diretiva 2225/2023 relativa aos Contratos de Crédito aos Consumidores (DCCC). O diploma é o resultado de um debate no seio das instituições europeias para atualizar a anterior Diretiva do Crédito aos Consumidores (de 2008), que resultou na publicação, em 2021, da Proposta de Diretiva relativa aos Contratos de Crédito aos Consumidores.

A avaliação da solvabilidade (ou credit scoring) pode ser definida como o tratamento de dados sobre o potencial consumidor pelo credor no contexto de um contrato de crédito, a fim de avaliar a sua solvabilidade e quantificar o risco de crédito. Por outras palavras, o risco de não pagamento por parte do consumidor devido à sua falta de solvabilidade antes da concessão do crédito ou durante a sua vigência.

Antes de entrarmos na avaliação da solvabilidade tal como regulada no DCCC, convém recordar que estamos perante uma Diretiva, ainda que de harmonização total. De acordo com o artigo 48.º do DCCC, o prazo para a transposição desta Diretiva é 20 de novembro de 2025, sendo as regras nacionais de transposição aplicáveis a partir de 20 de novembro de 2026. Só se não for transposto para o direito nacional é que o texto em apreço produzirá efeitos diretos. Tudo isto faz com que as reflexões publicadas sobre a recém-publicada DCCC sejam extremamente oportunas, na medida em que o seu articulado se encontra pendente de transposição nacional nos próximos dois anos. O Decreto-Lei n.º 133/2009, de 2 de junho, apenas menciona a obrigação do mutuante de avaliar a solvabilidade do candidato, mas não com o pormenor regulamentado pelo DCCC.

Tanto na Proposta de Diretiva como na versão finalmente publicada da Diretiva, a avaliação da solvência ganhou importância em comparação com a Diretiva de 2008, que apenas menciona esta questão três vezes. A avaliação da solvência tornou-se muito importante, especialmente após a crise de 2008, que foi causada, entre outros fatores, por um sobreendividamento da população. É por isso que a nova DCCC se preocupa em promover práticas responsáveis no mercado do crédito, entre as quais a avaliação da solvabilidade prévia efetuada no interesse do consumidor. O considerando 53 da DCCC estabelece que os Estados-Membros devem adotar medidas adequadas para promover práticas responsáveis em todas as fases da relação de crédito, tais como avisos sobre os riscos em caso de não pagamento ou de sobreendividamento. Mais adiante, o mesmo considerando refere que os mutuantes devem ser responsáveis pelo controlo individual da solvabilidade do consumidor.

A avaliação da solvabilidade está regulamentada nos artigos 18º e 19º da DCCC, que devem ser interpretados em conformidade com os considerandos 53 a 57 da DCCC.

Nos termos do n.º 1 do artigo 18.º da DCCC, os Estados-Membros devem exigir que o mutuante efetue uma avaliação aprofundada da solvabilidade do consumidor antes de celebrar um contrato de crédito. A avaliação da solvabilidade é uma condição prévia essencial para a concessão do crédito e deve ser efetuada de acordo com três critérios orientadores: (1) deve ser efetuada no interesse do consumidor; (2) deve ter por objetivo evitar práticas de empréstimo irresponsáveis e o sobreendividamento; e (3) deve ter devidamente em conta os fatores relevantes para verificar as perspetivas de cumprimento pelo consumidor das obrigações decorrentes do contrato de crédito.

De acordo com o considerando 54 do DCCC, é essencial que a capacidade e a vontade do consumidor de reembolsar o crédito sejam avaliadas e testadas antes da celebração do contrato de crédito. Esta avaliação é tão fundamental que o crédito só deve ser concedido ao consumidor se o resultado da avaliação da solvabilidade indicar que as obrigações decorrentes do contrato de crédito são suscetíveis de serem cumpridas em conformidade com os termos do contrato de crédito (55 DCCC). O n.º 6 do artigo 18.º da DCCC retoma este critério, mas remete para os regulamentos nacionais de transposição da DCCC a obrigação dos Estados-Membros de assegurarem o seu cumprimento. Por conseguinte, será fundamental conhecer a evolução das legislações nacionais no que diz respeito aos efeitos da avaliação da solvabilidade do consumidor.

Embora uma avaliação positiva da solvabilidade seja um requisito prévio para a concessão de crédito, uma avaliação positiva não obriga o mutuante a conceder o crédito (considerando 54 DCCC), sem prejuízo do dever do mutuante de informar o requerente dos critérios e dados utilizados na avaliação da solvabilidade e de lhe permitir solicitar uma revisão da avaliação (considerando 56 DCCC in fine).

O último dos requisitos do artigo 18.º, n.º 1 do DCCC, tendo em conta os fatores relevantes para verificar as perspetivas de cumprimento, condiciona a informação que pode ser tratada para a avaliação da solvabilidade: devem ser avaliados todos os fatores necessários e relevantes que possam influenciar a capacidade de o consumidor reembolsar o crédito.

O n.º 2 do artigo 18.º do DCCC clarifica este critério. Devem ser tidas em conta (1) informações pertinentes e precisas sobre os rendimentos e as despesas do consumidor; bem como (2) informações sobre “outras circunstâncias”, financeiras e económicas, necessárias e proporcionais à natureza, à duração, ao valor e aos riscos do crédito. O primeiro dos elementos a avaliar, o extrato de contas do requerente de crédito, é pouco interpretativo e deve ser fornecido de forma completa e atualizada em todos os casos de pedido de crédito ao consumo. O segundo, em contrapartida, deverá ser ajustado em cada caso em função das características do crédito solicitado (natureza, duração, valor e riscos): pode entender-se que quanto maior for a duração, o valor e os riscos do crédito, mais abundantes e precisas deverão ser as informações sobre o consumidor que solicita o crédito.

Mas que informações? O n.º 2 do artigo 18.º do DCCC inclui uma lista aberta de dados que podem ser avaliados: dados sobre os rendimentos ou outras fontes de reembolso, informações sobre ativos e passivos financeiros ou informações sobre outros compromissos financeiros. A própria redação do artigo deixa claro que podem ser fornecidos outros dados relativos à “situação financeira e económica” do consumidor não incluídos na lista. A delimitação das informações que podem ser avaliadas na avaliação de solvabilidade, juntamente com o objetivo da avaliação de solvabilidade, delimita a concretização do princípio da minimização dos dados neste domínio.

A proibição do tratamento de dados relativos às doenças oncológicas do requerente é coerente com a Resolução do Parlamento Europeu, de 16 de fevereiro de 2022, sobre o reforço da Europa na luta contra o cancro, que “apela à integração na legislação pertinente da União do direito a ser esquecido para os sobreviventes de cancro, a fim de evitar a discriminação e melhorar o seu acesso aos serviços financeiros”. Países como a França, os Países Baixos, a Bélgica e o Luxemburgo foram pioneiros na conceção de tais medidas. Portugal publicou, em 2021, a Lei n.º 75/2021, de 18 de novembro, que reforça o acesso ao crédito e aos contratos de seguro por parte das pessoas que tenham superado ou atenuado situações de risco agravado de saúde (não apenas cancro), proibindo práticas discriminatórias contra as mesmas. No que respeita ao tratamento de dados no âmbito da avaliação da solvabilidade, o artigo 2.º desta lei proíbe a utilização, pelas instituições de crédito ou seguradoras, de qualquer tipo de informação de saúde relativa a uma situação clínica que origine um risco grave.

É também interessante notar, no que diz respeito às informações que devem consubstanciar a avaliação da solvabilidade, o disposto no n.º 11 do artigo 18.º do DCCC: a avaliação da solvabilidade não deve basear-se apenas no historial creditício do consumidor. Por outras palavras, a avaliação da solvabilidade não pode basear-se apenas nos dados negativos ou de insolvência do consumidor, mas deve integrar outros dados (positivos) que permitam obter um perfil completo do historial financeiro do consumidor. Esta possibilidade representa um passo em frente relativamente ao disposto no artigo 20.º da lei espanhola relativa à proteção de dados, quanto aos sistemas de informação de crédito, segundo o qual “presume-se lícito o tratamento de dados pessoais relativos ao incumprimento de obrigações pecuniárias, financeiras ou creditícias por parte dos sistemas comuns de informação de crédito”, desde que se verifiquem determinadas condições.

É de notar que grande parte da informação que alimenta a avaliação da solvabilidade será fornecida pelos próprios requerentes, que devem ser honestos e fornecer informações completas, exatas e relevantes (cf. n.º 7 do artigo 18.º do DCCC). Tal não significa que os requerentes consintam no tratamento dos seus dados para efeitos da avaliação da solvabilidade, mas que cumprem um ónus, tal como o mutuante, de avaliar a solvabilidade do requerente de crédito. Isto significa que a base legítima para o tratamento de dados é o cumprimento de uma obrigação legal (artigo 6.º, n.º 1, alínea c), do RGPD): tanto no caso dos dados fornecidos pelo requerente consumidor como dos dados obtidos pelo mutuante por sua própria conta.

Os dois primeiros requisitos do n.º 1 do artigo 18.º do DCCC são os princípios orientadores de qualquer avaliação da solvabilidade. O objetivo da avaliação da solvabilidade é evitar o sobreendividamento e as práticas irresponsáveis de concessão de crédito aos consumidores. Esta situação prejudica tanto o mercado de crédito como os consumidores, pelo que se coloca a questão de saber se o objetivo do controlo do sobreendividamento é preservar o bom funcionamento do mercado ou a qualidade de vida dos consumidores. A resposta, no caso da DCCC, é clara: tanto o n.º 1 do artigo 18.º como o artigo 54.º estabelecem que a avaliação da solvabilidade deve ser efetuada “no interesse do consumidor”. Por conseguinte, a finalidade do tratamento de dados no caso da avaliação da solvabilidade será a seguinte: tratamento de dados para avaliação da solvabilidade, para prevenção do sobreendividamento e de práticas de empréstimo irresponsáveis, a fim de evitar que prejudiquem a qualidade de vida dos consumidores.

Os procedimentos de avaliação da solvabilidade devem ser transparentes e devidamente documentados, em conformidade com o n.º 4 do artigo 18.º. Um procedimento de avaliação deficiente não deve ser utilizado pelo mutuante para alterar as condições do contrato em detrimento do consumidor. A especificação destas duas obrigações será deixada a cargo da regulamentação de cada Estado-Membro.

Sempre que a avaliação da solvabilidade envolva o tratamento automatizado de dados pessoais (pontuação de crédito), o consumidor requerente deve poder solicitar e obter a intervenção humana do mutuante para: (1) explicar, de forma clara e compreensível, a avaliação de crédito, incluindo a sua fundamentação, riscos, significado e efeitos na decisão de crédito; (2) permitir que o consumidor exprima os seus pontos de vista ao mutuante e, se o considerar adequado, (3) solicitar uma revisão da avaliação de crédito e da decisão de crédito. Esta obrigação é coerente com o artigo 22.º do RGPD, nos termos do qual todas as pessoas em causa têm o direito de não ficar sujeitas a uma decisão baseada exclusivamente no tratamento automatizado de dados, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que a afete significativamente de forma similar (como um perfil de solvabilidade), salvo determinadas exceções previstas no n.º 2 do artigo 22.º.

Por último, o artigo 19.º do DCCC estabelece determinadas disposições relativas às bases de dados (públicas e privadas – n.º 3 do artigo 19.º do DCCC) que podem ser consultadas pelos mutuantes em caso de crédito transfronteiriço. Está prevista a obrigação de cada Estado-Membro garantir que os mutuantes de outros Estados-Membros possam aceder às bases de dados utilizadas no seu território para a avaliação da solvabilidade dos consumidores em condições não discriminatórias (n.º 1 do artigo 19.º do DCCC), desde que os mutuantes estejam sob o controlo da autoridade nacional competente e cumpram o RGPD. No que diz respeito a este trabalho, as bases de dados devem conter, pelo menos, dados negativos de solvabilidade (n.º 4 do artigo 19.º do RGPD), não devem tratar categorias especiais de dados ou dados obtidos a partir de redes sociais (n.º 5 do artigo 19.º do RGPD) e as suas informações devem ser atualizadas e exatas (n.º 7 do artigo 19.º do RGPD). Quando a recusa de um pedido de crédito se basear na consulta de uma base de dados, o mutuante deve informar o consumidor, gratuitamente e sem demora, do conteúdo e dos pormenores da consulta e das categorias de dados tidos em conta (artigo 19.º, n.º 6, do DCCC).

O consumidor na nova era da sustentabilidade das embalagens alimentares

Doutrina

A transição para sistemas alimentares mais sustentáveis, que a União Europeia (UE) tem impulsionado desde a adoção do Pacto Ecológico Europeu e da Estratégia do Prado ao Prato, abrange não só os alimentos mas também todos os outros inputs funcionais e necessários à sua produção, distribuição e consumo.

Nestes moldes, o legislador europeu tem progressivamente vindo a reconhecer o impacto negativo que o food packaging e os seus resíduos têm no ambiente e a consequente necessidade de eliminar ou minimizar esse impacto. Este processo legislativo começou nomeadamente com a adoção da Diretiva (UE) 2019/604 – transposta em Portugal através do Decreto-Lei n.º 78/2021 – que impôs restrições de uso de determinados produtos de plástico de utilização única, incluindo recipientes para alimentos e bebidas e copos feitos de poliestireno expandido.

A Comissão Europeia deu seguimento a esta legislação específica publicando, em novembro do ano passado, uma Proposta de regulamento relativo a embalagens e resíduos de embalagens, que se encontra atualmente em fase de discussão a nível europeu. A proposta visa reformar profundamente o quadro jurídico em vigor que regulamenta o fabrico das embalagens, bem como a gestão dos seus resíduos, partindo do pressuposto de que esse quadro é obsoleto (data, de facto, de 1994) e inadequado para garantir a sustentabilidade ambiental do packaging.

Para este efeito, a proposta em causa estabelece um amplo leque de requisitos de sustentabilidade para as embalagens, muitos dos quais têm relevância direta para as embalagens alimentares, como por exemplo:

– Taxas progressivas de incorporação de material reciclado nas garrafas de plástico de utilização única;

– Restrições de uso de determinados formatos (por exemplo, as saquetas de açúcar ou sal que são tipicamente disponibilizadas nos estabelecimentos do canal horeca);

– A obrigação de que as cápsulas de cafés e as saquetas de chá sejam compostáveis.

A proposta de lei europeia coloca também ênfase na necessidade de que as embalagens alimentares sejam reutilizáveis, ou seja, possam desempenhar a mesma função para que foram concebidas múltiplas vezes. Neste sentido, a proposta estabelece metas obrigatórias progressivas de reutilização, em especial para as empresas do setor das bebidas alcoólicas e não alcoólicas.   

Esta nova legislação, portanto, abre uma nova era para as embalagens alimentares: a era da sustentabilidade.

Neste contexto, os consumidores são chamados a desempenhar um papel fundamental, pois são os atores que permitem que, depois da sua utilização, as embalagens alimentares sejam:

– Separadas, recolhidas e encaminhadas para serem subsequentemente tratadas e valorizadas (por exemplo, como material reciclado) da forma mais apropriada; ou

– Reutilizadas quando forem concebidas para esta finalidade.

Posto isso, é essencial que o advento de soluções de food packaging mais sustentáveis seja acompanhado por hábitos de consumo igualmente mais sustentáveis. Algo que só se pode alcançar capacitando os consumidores através de campanhas de sensibilização e da disponibilização da relevante informação ambiental diretamente nas embalagens.

De facto, a rotulagem constitui uma ferramenta particularmente eficaz para ajudar o consumidor a adotar o comportamento mais correto do ponto de vista ambiental na gestão doméstica dos resíduos das embalagens. Para esta matéria específica, a proposta da Comissão Europeia atualmente em discussão pretende assegurar maior harmonização no mercado comunitário, garantindo desta forma o mesmo nível de proteção do ambiente e dos interesses dos consumidores em toda a UE.

Efetivamente, nos últimos anos, vários países europeus introduziram disposições nacionais para a rotulagem ambiental das embalagens.  É o caso de França, onde desde 2022, conforme o artigo L541-9-3 do Code de l’environnement, as embalagens recicláveis devem ostentar um ícone especifico (o logo ‘Triman’) e menções funcionais à sua triagem pós-consumo. Mais recentemente, Itália seguiu o mesmo caminho (Decreto Legislativo 3 settembre 2020 n. 116), enquanto, em Portugal, a rotulagem ambiental das embalagens é atualmente regulamentada através de um sistema voluntário, que tem já bastante expressão no segmento food.

Portanto, neste momento, coexistem no mercado comunitário vários sistemas de rotulagem ambiental das embalagens. Desta forma, a mesma embalagem comercializada em diversos mercados internacionais poderá vir a ostentar, em simultâneo, pictogramas e/ou instruções diferentes para a sua triagem depois da utilização. Aliás, a legislação portuguesa – designadamente o artigo 28.º, n.º. 2, do Decreto-Lei n.º 157-D/2017 (UNILEX) – permite expressamente tal coexistência no mercado nacional no caso das embalagens rotuladas em conformidade com a legislação de outros Estados-membros da UE. No entanto, se não se esclarecer de forma inequívoca que um determinado ícone e/ou menções se referem a um mercado específico, existe o risco concreto de que o consumidor não elimine os resíduos da embalagem como deve fazer.

Que, a nível europeu, o objetivo último seja a definição de um quadro jurídico mais harmonizado para a rotulagem ambiental das embalagens não se infere apenas da proposta legislativa atualmente em discussão.

Em fevereiro deste ano, a Comissão Europeia abriu um procedimento de infração contra a França. Segundo o executivo comunitário, para além de não ter sido previamente notificada em conformidade com a Diretiva (UE) 2015/1535, a legislação francesa em matéria de rotulagem ambiental das embalagens integra uma violação do princípio da livre circulação das mercadorias, exigindo-se tal marcação também no caso das embalagens fabricadas noutros países da UE. Além disso, questiona-se a proporcionalidade da normativa francesa pois, devendo utilizar-se mais material no fabrico das embalagens para efeito das informações ambientais que têm de figurar no rótulo, vai consequentemente aumentar a quantidade de resíduos dessas embalagens.

O novo sistema de rotulagem ambiental europeu para as embalagens (alimentares e não) e para os respetivos ecopontos deverá aplicar-se a partir de 2028. Resta-nos ver, no entanto, se esta medida será suficiente para sensibilizar os consumidores a efetuar a triagem dos resíduos das embalagens na sua própria casa tal como indicado na rotulagem. As disposições legais e os esforços da indústria alimentar que visam tornar as embalagens mais sustentáveis serão frustrados caso os padrões de consumo não evoluam no mesmo sentido.