Dados pessoais

“A-Palavra-Que-Não-Pode-Ser-Pronunciada” – Pagar com dados pessoais em Portugal e em Espanha

Doutrina

Por muito desconfortável que possa parecer, pagar com os seus próprios dados pessoais através do consentimento para o tratamento de dados no contexto da contratação digital é uma realidade. O Supervisor Europeu Da Proteção De Dados (EDPS) no Parecer 4/2017 sobre a Proposta 634/2015 relativa aos contratos de fornecimento de conteúdos digitais e o Gabinete Europeu De Proteção De Dados (EDPB) nas Orientações 5/2020 sobre o consentimento para o tratamento de dados têm sido defensores deste desconforto. No entanto, a realidade do pagamento com dados tem continuado a desenvolver-se, o que torna necessário estabelecer regras mínimas em relação ao pagamento com dados.

Em primeiro lugar, um contrato em que os dados são a contraprestação é um contrato tão oneroso como qualquer outro contrato em que a contraprestação é monetária; por conseguinte, o consumidor também deve beneficiar de proteção. É o que se verifica, por exemplo, no Decreto-Lei 84/2021, que transpõe a Diretiva 2019/770, que estabelece que, quando o consumidor fornece dados pessoais para usufruir de conteúdos ou serviços digitais, deve ser protegido por um conjunto de direitos, nomeadamente em caso de incumprimento ou desconformidade.

A noção de onerosidade encontra-se na catalogação das causas do contrato no art. 1274.º do CC espanhol. Não existe equivalente no CC português, mas existe uma distinção entre onerosidade e gratuitidade em vários contratos em especial. Essencialmente, um contrato é oneroso quando é fonte recíproca de atribuições patrimoniais; e é gratuito quando, em vez dessa reciprocidade, apenas uma das partes se enriquece à custa da outra, sem dar qualquer contrapartida. Para classificar um contrato como oneroso, não importa se a contrapartida é monetária ou de qualquer outro tipo, desde que tenha utilidade económica em sentido lato. E os dados têm utilidade económica.

Estamos perante um pagamento com dados pessoais quando três circunstâncias estão presentes em simultâneo: (1) o tratamento dos dados baseia-se no consentimento da pessoa em causa; (2) o fornecedor do serviço ou do conteúdo digital associa a execução ao consentimento do consumidor; (3) se o consumidor retirar o consentimento ao tratamento dos dados, tem de enfrentar as consequências contratuais relacionadas com a restituição recíproca da execução, mas não sofre qualquer dano adicional.

O último requisito é mais uma consequência: se os dados constituem um pagamento que torna o contrato oneroso, a sua retirada deve ter consequências contratuais. Caso contrário, em vez de liberdade de consentimento, estaríamos perante uma irresponsabilidade de consentimento, o que geraria um desequilíbrio contratual inaceitável. No entanto, nenhum dano suplementar seria causado, uma vez que o RGPD o proíbe (art. 7.º, n.º 3, e cons. 42 in fine).

Apesar da realidade generalizada do pagamento com dados, existem dificuldades regulamentares associadas a uma certa interpretação do RGPD e à transposição e aplicação nacional do RGPD por alguns Estados-Membros. A Diretiva 2019/770, nos seus considerandos 39 e 40, deixa aos Estados-Membros a responsabilidade de regular as consequências contratuais da concessão e retirada do consentimento para o tratamento de dados pessoais, reconhecendo simultaneamente a natureza imperativa do RGPD neste ponto. O que nem o RGPD nem a Diretiva 2019/770 fazem é fornecer uma interpretação concreta da responsabilidade do consumidor em relação à utilização do seu consentimento para o tratamento de dados como pagamento. O artigo 7-4 do RGPD estabelece que, ao avaliar se o consentimento foi dado livremente, deve ser tido em conta se a prestação de um serviço está condicionada ao consentimento para o tratamento de dados pessoais que não são necessários para a execução desse contrato; mas não diz em que sentido é que isso deve ser tido em conta. Proponho, portanto, uma interpretação que permita a coexistência da proteção de dados pessoais e da economia de dados.

Em Espanha, o art. 6.3 da LO 1/2018 estabelece que “A execução do contrato não pode ser condicionada ao consentimento do titular dos dados para o tratamento de dados pessoais para fins não relacionados com a manutenção, o desenvolvimento ou o controlo da relação contratual”. Esta afirmação resume a posição do EDPB e da EDPS nos documentos acima referidos e implicaria uma proibição de pagamento com dados ou, no mínimo, uma antinomia com artigos como o 119.º do TRLDCU, que fala explicitamente de “dados como contraprestação”.

A situação em Portugal é menos problemática. Tanto na perspetiva da Lei 58/2019 (sobre proteção de dados) como na perspetiva do Decreto-Lei 84/2021 (que transpõe a Diretiva 2019/770).

Na perspetiva do direito do consumo, o Decreto-Lei 84/2021 refere que o consumidor fornece dados pessoais para usufruir de conteúdos e serviços digitais, mas não se refere “A-Palavra-Que-Não-Pode-Ser-Pronunciada” (“contraprestação”), seguindo, neste aspeto, o Parecer 4/2017 do EDPS em relação à então Proposta de Diretiva 634/2015. Neste sentido de prudência, o art. 3-3-b) do Decreto-Lei 84/2021 copia o art. 3-1-2 da Diretiva. Quanto à Lei 58/2019, não desenvolve o RGPD em matéria de consentimento e, portanto, não opta por nenhuma interpretação específica. Esta falta de desenvolvimento é uma vantagem, pois nem a Lei 58/2019 nem o Decreto-Lei 84/2021 impedem a interpretação do RGPD num sentido favorável ao pagamento com dados, ainda que não o designemos por esse nome

Finalmente, o novo Regulamento dos Serviços Digitais (Digital Services Act DSA)!

Legislação

A 27 de outubro de 2022, foi publicado no Jornal Oficial da União Europeia o muito aguardado Regulamento (UE) 2022/2065 dos Serviços Digitais (mais conhecido pelo nome inglês Digital Services Act DSA), aprovado a 19 de outubro no Conselho.

Apresentado há quase dois anos pela Comissão no Pacote dos Serviços Digitais (que inclui também o agora aprovado Regulamento (UE) 2022/1925 dos Mercados Digitais – Digital Markets Act DMA), o Regulamento dos Serviços Digitais atravessou um procedimento legislativo muito ativo: os 106 considerandos e 74 artigos da proposta inicial foram bastante trabalhados pelo Parlamento Europeu e o Conselho, resultando num total final de 156 considerandos e 93 artigos.

O Regulamento dos Serviços Digitais surge principalmente com o objetivo de atualizar o regime aplicável à responsabilidade dos prestadores de serviços digitais, anteriormente inserido nos artigos 12.º a 15.º da Diretiva do Comércio Eletrónico (2000/31/CE), agora revogados. Este regime de responsabilidade dos serviços intermediários pelo transporte e armazenamento de conteúdos ilegais, com quase 20 anos, carecia de atualização normativa, devido a todas as controvérsias relacionadas com a proliferação de conteúdos ilegais (violações de direitos de autor, promoção de terrorismo, pornografia infantil, entre outras) e tentativas de os moderar (erros dos algoritmos de sinalização e bloqueio, falsos positivos e negativos) que resultam por sua vez em restrições de direitos fundamentais de acesso à informação e liberdade de expressão, os chamados efeitos de silenciamento (“chilling effects”), que se tornaram evidentes com a omnipresença e dependência da sociedade atual nestes serviços.

O Regulamento acaba por não reinventar os principais princípios que regem a responsabilidade e o papel dos intermediários e a questão da moderação de conteúdos, focando-se antes na codificação e aprofundamento normativo de práticas que já constavam de intervenções junto dos principais stakeholders, sejam instrumentos de soft-law e self-regulation, nomeadamente a “Recomendação sobre medidas destinadas a combater eficazmente os conteúdos ilegais em linha”.

Assim, o Regulamento não altera substancialmente o regime de “safe harbour”, de isenção de responsabilidade dos prestadores de serviços de simples transporte e armazenagem temporária (“catching”) (arts. 4.º e 5.º), sendo que os serviços de alojamento virtual (novo termo para armazenagem em servidor “hosting”), recebe apenas algumas alterações cirúrgicas (em direito do consumo, abordada mais adiante). O princípio da proibição de obrigações gerais de vigilância mantém-se, sendo que é acrescentada a cláusula do “bom samaritano” (art. 7.º), que já existia no Content Decency Act CDA (a legislação americana de 1996 equivalente à antiga diretiva). Este permite aos prestadores de serviços manter a imunidade quando conduzem investigações próprias, voluntariamente e de boa-fé, destinadas a detetar, identificar e suprimir ou bloquear o acesso a conteúdos ilegais.

O papel das autoridades administrativas e judiciais é reforçado, com normas para a emissão de ordens de bloqueio e remoção de conteúdos. A figura dos sinalizadores de confiança (“trusted flaggers”) é também codificada (art. 22.º).

O Regulamento dos Serviços Digitais impõe severas medidas de controlo e auditoria de todos estes mecanismos, procurando reajustar o equilíbrio na relação entre utilizadores, plataformas e partes terceiras. Os direitos fundamentais de acesso à informação e liberdade de expressão estão refletidos nas diversas disposições do diploma.

Relação com o Direito do Consumo

O Regulamento dos Serviços Digitais não é um diploma de direito do consumo no sentido clássico do conceito. Na proposta original, a proteção de consumidores não surgia sequer indicada nos considerandos como um dos objetivos centrais do diploma, em especial a proteção económica, embora este pretendesse complementar a atuação das diretivas, com um foco nos direitos fundamentais. Este aspeto mudou com as recomendações e mudanças propostas pelo Parlamento Europeu, que referiu a necessidade de o diploma abordar as práticas desleais dos mercados em linha, assim como a articulação com normas de segurança de produtos e responsabilidade de plataforma.

Trata-se de um instrumento de regulação horizontal, que afeta uma série de áreas diferentes, incluindo os direitos de propriedade intelectual, os dados pessoais e a proteção dos consumidores. O regulamento não obsta à aplicação do acquis do direito do consumo europeu, como expressamente se indica no art. 1.º-4-f) e no considerando 10.

A definição de conteúdos ilegais, pertinente para as questões de moderação de conteúdos, inclui os conteúdos digitais que, independentemente da sua forma, violem ou estejam relacionados com violações de direito do consumo.

Os consumidores, enquanto utilizadores destes serviços, veem os seus direitos fundamentais de acesso à informação e à liberdade de expressão reforçados com mecanismos de reddress, para a contestação e recurso das decisões das plataformas na moderação de conteúdos, incluindo instrumentos de resolução de litígio.

O art. 6.º-3 inclui uma exceção expressa da exclusão de responsabilidade extremamente relevante para a proteção de consumidores: sempre que plataformas, que permitam a celebração de contratos à distância entre consumidores e comerciantes, apresentem o elemento específico de informação ou permitam, de qualquer outra forma, que a transação específica em causa induza um consumidor médio a acreditar que a informação, o produto ou o serviço objeto da transação é fornecido pela própria plataforma em linha ou por um destinatário do serviço que atue sob a sua autoridade ou controlo”. Os conceitos desta norma são desenvolvidos nos considerandos 23 e 24:

  • O considerando 23 salienta que este elemento da atuação sob autoridade ou controlo do prestador de um serviço de alojamento virtual, se verifica nos casos em que o fornecedor da plataforma em linha pode determinar o preço dos bens e serviços que são oferecidos pelos comerciantes nestes contratos à distância.
  • O considerando 24, por sua vez, aborda a questão das informações que induzam o consumidor médio a acreditar que os bens ou serviços objeto do contrato são fornecidos pela própria plataforma em linha ou por um comerciante que atue sob a sua autoridade ou controlo. O Regulamento indica como possíveis exemplos os casos em que a plataforma em linha não apresenta claramente a identidade do comerciante, se recusa a divulgar a identidade ou os dados de contacto do comerciante até após a celebração do contrato entre este e o consumidor ou comercializa o produto ou serviço em seu próprio nome, em vez de utilizar o nome do comerciante que irá fornecer esse produto ou serviço.

Será necessário, com base em todas as circunstâncias pertinentes e de forma objetiva, determinar se a apresentação é passível de induzir um consumidor médio a acreditar que a informação em causa foi prestada pela própria plataforma em linha ou por comerciantes que atuem sob a sua autoridade ou controlo. Consideramos que a utilização do conceito de consumidor médio nestes considerandos é infeliz, dado os problemas que este conceito tem levando na aplicabilidade da Diretiva 2005/29/CE, que regula as práticas comerciais desleais.

Os prestadores de serviços de intermediação em linha estão também proibidos de utilizar “dark patterns”, isto é, práticas que afetem e distorção os comportamentos dos consumidores, afetando a sua capacidade de realizar decisões autónomas, informadas e livres, graças a funcionalidades, nudges, à estrutura, design da plataforma e interface, com recurso ao tratamento de dados pessoais, considerando 67 e artigo 25.º. Estas práticas têm sido muito debatidas quanto à aplicabilidade da Diretiva 2005/29/CE das práticas comerciais desleais.

Neste sentido, o regulamento impõe ainda obrigações de transparência sobre os anúncios que são apresentados aos utilizadores, assim como os sistemas de recomendação, que apresentam sugestões ou rankings aos utilizadores, com base em decisões algorítmicas arts. 26.º e 27.º. As plataformas em linha devem informar adequadamente os consumidores sobre estas funcionalidades, os principais parâmetros e critérios utilizados, deixando que estes possam customizar, modificar estes sistemas, de acordo com preferências pessoais, 27.º-3.

De forma a assegurar a efetividade do direito do consumo europeu, os prestadores de mercados e plataformas em linha que permitam a celebração de contratos à distância a consumidores, são sujeitos a novas obrigações de due diligence, devendo aplicar os seus melhores esforços na recolha de todas as informações pré-contratuais e dados necessários, como os relacionados com a identidade dos profissionais, de forma a permitir a sua rastreabilidade art. 30.º, no âmbito das diretivas de consumo, nomeadamente a Diretiva 2011/83/EU, considerando 74.

O Regulamento inclui ainda uma série de medidas de forma a reforçar a atuação e cooperação entre entidades reguladoras independentes dos Estados-Membros (de forma a prevenir o fenómeno de bottleneck, causado pelo mecanismo one stop shop das ações por violação do RGPD[1]), assim como normas relacionadas com auditorias e supervisão das plataformas.

[1] Neste fenómeno, as Big Tech colocaram a suas sedes na Irlanda e no Luxemburgo, não só por questões de competitividade fiscal, mas também uma espécie de forum shopping regulatório, não no sentido das normas serem menos exigentes, mas devido à falta da sua efetividade, devido às entidades reguladores destes Estados não terem recursos para todas as queixas colocadas.

Internet das Coisas e os desafios de um futuro não tão distante

Doutrina

A designação é genérica e, sem dúvida alguma, abstrata, mas a Internet das Coisas (‘IdC’, ou, em inglês e como é mais conhecida, Internet of Things – ‘IoT’) apresenta-se como um setor que, embora ainda longe da sua maturidade, já faz parte do quotidiano da maioria dos consumidores. Foi, pois, com o propósito de “compreender melhor o setor da IdC para os consumidores, o panorama da concorrência, as tendências emergentes e potenciais questões relacionadas com a concorrência” que a Comissão Europeia lançou, em 16.7.2020, um inquérito setorial sobre a IdC cujo Relatório Final (‘Relatório’) foi recentemente publicado[1].

Uma possível, mas provavelmente incompleta, definição breve de IdC aponta a mesma como um sistema de dispositivos informáticos relacionados entre si com a capacidade de transferir dados através de uma rede sem necessidade de interação humana podendo ser monitorizados ou controlados remotamente via internet. É, no fundo, tornar os objetos comuns em objetos “inteligentes”, como acontece, por exemplo, com relógios ou eletrodomésticos.

O inquérito setorial conduzido pela Comissão teve uma participação interessante e do seu âmbito foram excluídos os veículos conectados, telemóveis inteligentes e tablets. O Relatório assenta em 5 pilares, cujas principais conclusões se apresentarão de seguida.

Em primeiro lugar, ao nível das características dos produtos e serviços da IdC, o Relatório conclui que o número de dispositivos e serviços “inteligentes” tem vindo a crescer, oferecendo, assim, mais opções para os consumidores. Atualmente, os assistentes de voz assumem-se como um dos motores do desenvolvimento dos produtos e serviços da IdC, pois é através de assistentes como a Alexa (Amazon), Siri (Apple) ou Google Assistant que os utilizadores conseguem aceder às mais diversas funcionalidades que os dispositivos “inteligentes” oferecem.

Seguidamente, o Relatório descreve as principais características da concorrência no setor, identificando, entre outros, “o custo do investimento em tecnologia e a situação da concorrência como os principais obstáculos à entrada ou expansão no setor da IdC para os consumidores” (Relatório, §13). O principal problema parece situar-se a montante, ou seja, no mercado dos assistentes de voz, onde, de acordo com os inquiridos, não são esperados novos operadores de mercado (pelo menos no curto prazo), fruto dos elevados custos de desenvolvimento e operação. É, pois, esta situação que conduz a que a estratégia comercial da maioria das demais empresas assente no desenvolvimento dos seus produtos e serviços “inteligentes” com a integração de um dos três principais assistentes de voz. Contudo, qual bola de neve, esta estratégia comercial, ainda que compreensível e racional, agudiza a incapacidade destas empresas em competirem, a montante, com os atuais players do mercado dos assistentes de voz; resultando, também, em problemas a jusante, pois estes últimos operadores têm também uma forte oferta de produtos e serviços “inteligentes”, beneficiando da sua integração vertical e ecossistemas próprios.

De facto, a interoperabilidade nos ecossistemas da IdC é, de igual modo, uma peça-chave deste setor para que seja assegurado, por um lado, o uso pleno das funcionalidades de que os consumidores podem usufruir e, por outro, o aumento das opções de escolha de produtos e serviços “inteligentes”, combatendo a concentração da oferta em alguns fornecedores. A este respeito, são os sistemas operativos e os assistentes de voz que desempenham o papel primordial na ligação dos diferentes ecossistemas da IdC. Contudo, os problemas apontados acima quanto à concentração do poder de mercado a montante em poucas empresas também se fazem sentir aqui, pois são empresas como a Google ou a Apple que impulsionam a integração dos seus sistemas operativos ou assistentes de voz noutros produtos/serviços “inteligentes”. De acordo com o Relatório, estas empresas impõem processos de certificação que, regra geral, controlam de forma unilateral e as várias especificações que permitem a interoperabilidade são disponibilizados mediante a celebração de um contrato que, de acordo com a maioria dos inquiridos, não são abertos a negociação, a não ser que se trate de uma contraparte com forte poder negocial.

Numa outra vertente, o Relatório também se foca nas normas e processo de normalização, ou seja, uma componente mais técnica com o propósito de estabelecer as normas pertinentes para a integração e ligação de dispositivos, assim como aquelas que devem garantir a qualidade e segurança das comunicações no âmbito da IdC. Os inquiridos apontam para uma grande variedade de normas, mas encontram-se divididos entre aqueles que apelam a uma maior homogeneidade destas normas e aqueles que entendem que a normalização não é sinónimo de melhores condições.

Por fim, a matéria dos dados (pessoais e não só) na IdC foi também abordada pelo Relatório, o qual dá conta de uma grande recolha de dados seja por introdução manual, seja de forma automática, por exemplo através do funcionamento em segundo plano. Um dos exemplos dados pelo Relatório (§28) é o de um sistema de aquecimento “inteligente” que pode ser capaz de “recolher dados sobre a temperatura e a qualidade do ar dentro de casa, o movimento, o momento em que o sistema de aquecimento é ligado e desligado, podendo igualmente registar o momento em que os utilizadores saem e entram em casa”. Como este exemplo, há vários outros dispositivos que têm uma presença constante na vida e nas casas dos consumidores, o que lhes confere um valor acrescentado bastante interessante, nomeadamente para a criação de perfis de utilizador, entre outros fins. Ainda que muitos dos inquiridos indiquem que esta oportunidade comercial se encontra num estado embrionário, a mesma deve ser acompanhada com atenção para que cumpra a legislação aplicável e de modo a preservar a confiança dos consumidores, a confidencialidade, bem como o acesso aos dados e a sua integridade.

O Relatório descreve um setor complexo, em franco crescimento e com vários desafios que devem ser trabalhados desde início, pois, como nos ensina a sabedoria popular, o que nasce torto, tarde ou nunca se endireita. É inequívoco que os assistentes de voz se assumem como o produto mais avançado no domínio da IdC e que poderá moldar o futuro deste setor. Como é evidente, tal questão, aliada à estrutura concorrencial que este mercado parece apresentar e à falta de incentivo para a entrada de novos operadores no mesmo, configura um dos principais desafios concorrenciais, nomeadamente através de potenciais práticas negociais abusivas que o Relatório já parece sugerir. Daqui também pode derivar um outro problema cada vez mais comum no direito da concorrência: o self-preferencing. Será importante garantir que dispositivos “inteligentes” com sistema operativo ou assistente de voz de uma empresa não sugiram, numa lógica preferencial, produtos ou serviços dessas mesmas empresas.

Em suma, o Relatório apresenta-se como uma primeira boa fotografia do setor e que, espera-se, já terá impacto em algumas iniciativas legislativas da União Europeia no âmbito da propriedade industrial e mercados digitais (Relatório, §52). Será interessante ir acompanhando os desenvolvimentos neste âmbito, de modo a garantir o sempre difícil equilíbrio entre o progresso tecnológico e as obrigações legais aplicáveis.

[1] Relatório da Comissão ao Conselho e ao Parlamento Europeu, relatório final – inquérito setorial sobre a Internet das Coisas para os consumidores {SWD(2022) 10 final}, de 20.1.2022 (COM(2022) 19 final. Disponível aqui.

Os dados pessoais dos consumidores

Doutrina

Logo ao acordar, muitos têm por hábito recorrer ao telemóvel para verificar a caixa de entrada de emails, obter informações sobre como estará o clima ou, ainda, aceder às notícias mais recentes. Mais tarde, a caminho do trabalho ou mesmo ao executar as tarefas domésticas, há aqueles que utilizam aquele aparelho para ouvir músicas ou podcasts; já na hora do almoço, usam-no novamente para aceder a um serviço de entrega de refeições. Para o regresso a casa, alguns optam por solicitar um veículo através de uma plataforma destinada a este fim. Ao acabar do dia, para relaxar, uns recorrem a serviços de streaming de conteúdos como filmes e séries utilizando smart TVs; outros preferem ir ao ginásio para exercitar-se enquanto usam gadgets de monitorização das funções biológicas, como smartwatches ou fit bits. Há ainda aqueles que, após a vivência isolada do período mais crítico da pandemia do COVID-19, já preferem fazer a maior parte das compras online – desde itens como livros e acessórios ou peças de vestuário até as compras habituais do mercado. Tudo isto sem contar o trabalho remoto e a socialização que ocorre no contexto das redes sociais.

Todos os elementos mencionados até aqui, em conjunto com muitos outros, tornaram-se parte da vivência de um grande número de pessoas e, mais particularmente, dos consumidores localizados dentro da União Europeia, designadamente em Portugal. Um dos fatores comuns de todos esses hábitos e práticas corriqueiras é a presença da tecnologia, tanto ao serviço do seu utilizador como também podendo servir aos propósitos econômicos de terceiros. A indagação que se coloca a seguir é: de que maneira?

A resposta é extremamente ampla, mas quase sempre passa pelos dados. Ao conviver com todas essas ferramentas tecnológicas e utilizá-las no seu dia-a-dia, o indivíduo revela inconscientemente (na maioria das vezes) informações sobre suas preferências e gostos, hábitos de rotina e até mesmo seu estado de saúde – o exemplo mais óbvio são os smartwatches ou fit bits -, ou através do histórico de compras do mercado, que potencialmente indicará uma alimentação mais ou menos saudável. O conjunto destes dados acerca de um indivíduo e o agregado dos dados relativos a grupos de pessoas enquadram-se no conceito de Big Data, que, por sua vez, poderá ser processado para identificar tendências e correlações, ou mesmo de maneira a afetar diretamente os indivíduos[1].

A construção jurídica da União Europeia preocupa-se com a regulação dos dados e do seu processamento em diferentes contextos. O Regulamento Geral sobre a Proteção de Dados (RGPD), aplicável desde 2018, confere a estrutura da proteção e prerrogativas relativas ao processamento de dados pessoais, resumidamente conceituados como informações relativas a uma pessoa singular identificada ou identificável[2].

No contexto específico do Direito do Consumo, é possível citar ao menos dois textos normativos: a Diretiva (UE) 2019/770 de maio de 2019 e a Diretiva (UE) 2019/2161 de novembro de 2019, que contêm dispositivos destinados a reger, dentre outros temas, a utilização dos dados pessoais dos consumidores no âmbito das relações de consumo.

A primeira das Diretivas apresenta uma das situações às quais a mesma deverá ser aplicável: “deverá igualmente aplicar-se sempre que o consumidor dê o seu consentimento relativamente a todo o tipo de material que constitua dados pessoais, como fotografias ou mensagens que irá carregar, posteriormente processado pelo profissional para fins de comercialização”[3].

Por sua vez, a Diretiva (UE) 2019/2161 inclui um novo requisito de informação aos contratos de consumo celebrados à distância[4], a saber: o profissional deverá informar ao consumidor “que o preço foi personalizado com base numa decisão automatizada”[5], quando aplicável, podendo esta decisão basear-se no processamento de dados pessoais. O Considerando 45 menciona uma forma ainda mais intensa de processamento de dados pessoais: a “definição de perfis de comportamento dos consumidores, de molde a permitir-lhes avaliar o poder de compra do consumidor”. Esta prática – a definição e a construção de perfis dos indivíduos com base no processamento dos seus dados pessoais – poderá revelar-se um tanto mais complexa sob o ponto de vista da salvaguarda dos direitos dos consumidores, uma vez que se destina não apenas a estabelecer correlações entre determinadas variáveis, mas também a estabelecer previsões acerca de comportamentos futuros[6].  

É importante ressaltar um ponto em comum crucial entre as duas Diretivas aqui mencionadas: a referência ao RGPD, na medida em que “no que se refere aos dados pessoais do consumidor, o profissional deve cumprir as obrigações decorrentes” do Regulamento[7]. Assim, para que o profissional possa valer-se do processamento dos dados pessoais dos consumidores para fins comerciais de forma lícita, deverá obrigatoriamente enquadrar tal operação dentro de uma das hipóteses da lista apresentada pelo Artigo 6.º do RGPD, bem como cumprir todos os demais requisitos legais.

Dentro da lista de hipóteses de licitude para o tratamento dos dados pessoais determinada pelo RGPD, a concessão do consentimento por parte do consumidor sobressai como a via mais adequada para a legitimação do processamento dos seus dados destinado a práticas comerciais[8]. É empiricamente observável que a maioria das pessoas apenas passa rapidamente pelos “Termos e Condições” dos vários serviços, conteúdos e produtos digitais que utiliza quotidianamente (como aqueles mencionados no início deste texto), sem realmente ater-se ao que é que está a prestar o seu consentimento[9]. Desta forma, a proteção dos dados pessoais nas relações de consumo existe na legislação europeia, ainda que de forma discutivelmente reduzida, e poderá ter a sua eficácia limitada pela própria conduta do consumidor.

A título de exemplo próximo da realidade dos consumidores situados em Portugal, uma prática comercial relativamente recente e provavelmente derivada da definição de perfis, é a apresentação ao consumidor de um folheto de promoções personalizadas, ou, nas palavras do próprio profissional, uma funcionalidade que permite ao consumidor visualizar “uma seleção dos seus produtos favoritos em promoção”[10]. Tal prática insere-se no contexto mais amplo dos esquemas de cartões de fidelização das grandes superfícies retalhistas, bastante comuns em Portugal, que permitem ao fornecedor acesso à uma verdadeira “mina de ouro”, no que diz respeito aos hábitos de consumo das famílias residentes em Portugal. Em contrapartida, caberá a cada consumidor refletir sobre um consciente exercício das prerrogativas legais à sua disposição, ou se continuará a carregar automaticamente nos botões de “aceito” de todos os serviços, conteúdos e produtos digitais que utiliza, a despeito das consequências em potencial.

[1] Opinião n.09/2013 do Grupo de Trabalho do Artigo 29.º acerca da limitação do propósito. Versão em língua inglesa.

[2] RGPD, Artigo 4.º (1)

[3] Considerando 24 da Diretiva (UE) 2019/770

[4] Artigo 6.º da Diretiva 2011/83/UE de outubro de 2011

[5] Diretiva (UE) 2019/2161, Artigo 4.º (4)(a)(ii)

[6] HILDEBRANDT, Mireille – Defining Profiling: A New Type of Knowledge? In HILDEBRANDT, Mireille; GUTWIRTH, Serge (eds) – Profiling the European Citizen. Dordrecht: Springer, 2008. pp. 17-45

[7] Diretiva (UE) 2019/770, Artigo 16.º (2) e Diretiva (UE) 2019/2161, Artigo 4.º (1)(b) e Artigo 6.º-A (10), que por sua vez modificam o conteúdo de outros instrumentos legais do Direito do Consumo Europeu

[8] POORT, Joost; ZUIDERVEEN BORGESIUS, Frederik J. – Online Price Discrimination and EU Data Privacy Law. Journal of consumer policy. 40:3 (2017), pp. 347-366.

[9] Como observado na página 92 do estudo de mercado intitulado “Consumer market study on online market segmentation through personalised pricing/offers in the European Union”, cujo resultado foi publicado em 2018.

[10] Um exemplo de tal prática pode ser visualizado aqui

Personal Data as Counter-performance and Consumer Protection. An Unfair Commercial Practices Italian Decision

Jurisprudência

By Donato Maria Matera

On March 30th, 2021, with the decision n. 2631, the Italian Consiglio di Stato ended a dispute concerning an unfair commercial practices case where Facebook was involved.

The most important part of this decision deals with a misleading commercial practice: in particular, the question was if the Facebook’s advertisement that the social service is «for free» can be considered as a misleading behaviour, since consumers are actually «paying» it with their personal data.

Hence, the core issue is the possibility to consider personal data as a counter-performance, or, if one prefers, as a payment method, other than money. The answer to this question has very relevant practical consequences: in fact, if personal data are a counter-performance to a service, this economic operation can be considered as an actual contract and, if the parties are consumers and traders, consumer law can be applicable.

During the trial, the Facebook defence argued that personal data are an extra commercium good and data protection is a fundamental right, so they cannot be sold, traded or reduced to an economic interest. In this sense, as personal data cannot be a counter-performance, the operation where Facebook provides consumers with a digital service is for free and consumer law cannot be applied neither can be configured an unfair commercial practice.

This position seems to be in continuity with a European Data Protection Supervisor Opinion (n. 4/2017), provided with regard to the European Commission proposal for a Directive on certain aspects concerning contracts for the supply of digital content (COM(2015) 634 final). On this occasion the EDPS underlined that personal data are related to a fundamental right and they cannot be considered as a commodity and it defined as «dangerous» the possibility to let people «pay» with their personal data.

The Italian decision goes to a different direction. The judges affirm that Facebook actually capitalizes users’ personal data and make a profit from them. In addition, once a user provides his personal data and successively decides to remove them by a deselecting operation, this causes the loss of some services originally available. According to the Italian judges this circumstance clearly shows how Facebook social services are not for free, but they are a counter-performance to the provision of personal data, for commercial purposes. At the same time is it also clear that, due to their particular legal regime, these data cannot be considered as an actual commodity.

These argumentations lead the Court to consider applicable consumer law and, in particular the one on unfair commercial practices (Directive 2005/29/CE; in Italy this Directive has been transposed in the legislative decree 2005/206, articles 18 and following). In this regard, the judges clarify that there is no contrast between consumer and privacy law (as regulated by the Reg. UE 2016/679), but they provide consumers with a «multilevel» protection, being compatible with each other. This interaction, as many authors had already highlighted, contributes to increase the standard of consumer protection, since it allows to extend the application of certain business-to-consumer remedies to cases where processing of personal data is involved.

In light of these considerations, the Consiglio di Stato claims that a misleading commercial practice was adopted: Facebook represented his service as free, while actually it was not. In fact, as a consequence of this conduct, consumers were unaware that personal data they provided at the time of subscription were used for commercial and remunerational purposes. This circumstance, according to the Italian Court, is likely to materially distort their economic behaviour, falling within the scope of Directive 2005/29/CE.

For these reasons the judges confirm the penalties stated by the Italian independent market Authority (AGCM) to the social networks company, in relation to this practice. This case represents another step in the debate focused on considering personal data as consideration, especially in consumer contracts.  It has become clear that nowadays many business models are based on personal data, and a «data market» exists, as scholars observe. In this context, it would be fundamental the application of consumer law principles and rules to these cases, in order to provide consumers (the weak part) with an actual protection. The first step to be made in order to reach such achievement is the qualification of these operations as contracts where personal data are to be considered the counter-performance.