Internet das Coisas e os desafios de um futuro não tão distante

Doutrina

A designação é genérica e, sem dúvida alguma, abstrata, mas a Internet das Coisas (‘IdC’, ou, em inglês e como é mais conhecida, Internet of Things – ‘IoT’) apresenta-se como um setor que, embora ainda longe da sua maturidade, já faz parte do quotidiano da maioria dos consumidores. Foi, pois, com o propósito de “compreender melhor o setor da IdC para os consumidores, o panorama da concorrência, as tendências emergentes e potenciais questões relacionadas com a concorrência” que a Comissão Europeia lançou, em 16.7.2020, um inquérito setorial sobre a IdC cujo Relatório Final (‘Relatório’) foi recentemente publicado[1].

Uma possível, mas provavelmente incompleta, definição breve de IdC aponta a mesma como um sistema de dispositivos informáticos relacionados entre si com a capacidade de transferir dados através de uma rede sem necessidade de interação humana podendo ser monitorizados ou controlados remotamente via internet. É, no fundo, tornar os objetos comuns em objetos “inteligentes”, como acontece, por exemplo, com relógios ou eletrodomésticos.

O inquérito setorial conduzido pela Comissão teve uma participação interessante e do seu âmbito foram excluídos os veículos conectados, telemóveis inteligentes e tablets. O Relatório assenta em 5 pilares, cujas principais conclusões se apresentarão de seguida.

Em primeiro lugar, ao nível das características dos produtos e serviços da IdC, o Relatório conclui que o número de dispositivos e serviços “inteligentes” tem vindo a crescer, oferecendo, assim, mais opções para os consumidores. Atualmente, os assistentes de voz assumem-se como um dos motores do desenvolvimento dos produtos e serviços da IdC, pois é através de assistentes como a Alexa (Amazon), Siri (Apple) ou Google Assistant que os utilizadores conseguem aceder às mais diversas funcionalidades que os dispositivos “inteligentes” oferecem.

Seguidamente, o Relatório descreve as principais características da concorrência no setor, identificando, entre outros, “o custo do investimento em tecnologia e a situação da concorrência como os principais obstáculos à entrada ou expansão no setor da IdC para os consumidores” (Relatório, §13). O principal problema parece situar-se a montante, ou seja, no mercado dos assistentes de voz, onde, de acordo com os inquiridos, não são esperados novos operadores de mercado (pelo menos no curto prazo), fruto dos elevados custos de desenvolvimento e operação. É, pois, esta situação que conduz a que a estratégia comercial da maioria das demais empresas assente no desenvolvimento dos seus produtos e serviços “inteligentes” com a integração de um dos três principais assistentes de voz. Contudo, qual bola de neve, esta estratégia comercial, ainda que compreensível e racional, agudiza a incapacidade destas empresas em competirem, a montante, com os atuais players do mercado dos assistentes de voz; resultando, também, em problemas a jusante, pois estes últimos operadores têm também uma forte oferta de produtos e serviços “inteligentes”, beneficiando da sua integração vertical e ecossistemas próprios.

De facto, a interoperabilidade nos ecossistemas da IdC é, de igual modo, uma peça-chave deste setor para que seja assegurado, por um lado, o uso pleno das funcionalidades de que os consumidores podem usufruir e, por outro, o aumento das opções de escolha de produtos e serviços “inteligentes”, combatendo a concentração da oferta em alguns fornecedores. A este respeito, são os sistemas operativos e os assistentes de voz que desempenham o papel primordial na ligação dos diferentes ecossistemas da IdC. Contudo, os problemas apontados acima quanto à concentração do poder de mercado a montante em poucas empresas também se fazem sentir aqui, pois são empresas como a Google ou a Apple que impulsionam a integração dos seus sistemas operativos ou assistentes de voz noutros produtos/serviços “inteligentes”. De acordo com o Relatório, estas empresas impõem processos de certificação que, regra geral, controlam de forma unilateral e as várias especificações que permitem a interoperabilidade são disponibilizados mediante a celebração de um contrato que, de acordo com a maioria dos inquiridos, não são abertos a negociação, a não ser que se trate de uma contraparte com forte poder negocial.

Numa outra vertente, o Relatório também se foca nas normas e processo de normalização, ou seja, uma componente mais técnica com o propósito de estabelecer as normas pertinentes para a integração e ligação de dispositivos, assim como aquelas que devem garantir a qualidade e segurança das comunicações no âmbito da IdC. Os inquiridos apontam para uma grande variedade de normas, mas encontram-se divididos entre aqueles que apelam a uma maior homogeneidade destas normas e aqueles que entendem que a normalização não é sinónimo de melhores condições.

Por fim, a matéria dos dados (pessoais e não só) na IdC foi também abordada pelo Relatório, o qual dá conta de uma grande recolha de dados seja por introdução manual, seja de forma automática, por exemplo através do funcionamento em segundo plano. Um dos exemplos dados pelo Relatório (§28) é o de um sistema de aquecimento “inteligente” que pode ser capaz de “recolher dados sobre a temperatura e a qualidade do ar dentro de casa, o movimento, o momento em que o sistema de aquecimento é ligado e desligado, podendo igualmente registar o momento em que os utilizadores saem e entram em casa”. Como este exemplo, há vários outros dispositivos que têm uma presença constante na vida e nas casas dos consumidores, o que lhes confere um valor acrescentado bastante interessante, nomeadamente para a criação de perfis de utilizador, entre outros fins. Ainda que muitos dos inquiridos indiquem que esta oportunidade comercial se encontra num estado embrionário, a mesma deve ser acompanhada com atenção para que cumpra a legislação aplicável e de modo a preservar a confiança dos consumidores, a confidencialidade, bem como o acesso aos dados e a sua integridade.

O Relatório descreve um setor complexo, em franco crescimento e com vários desafios que devem ser trabalhados desde início, pois, como nos ensina a sabedoria popular, o que nasce torto, tarde ou nunca se endireita. É inequívoco que os assistentes de voz se assumem como o produto mais avançado no domínio da IdC e que poderá moldar o futuro deste setor. Como é evidente, tal questão, aliada à estrutura concorrencial que este mercado parece apresentar e à falta de incentivo para a entrada de novos operadores no mesmo, configura um dos principais desafios concorrenciais, nomeadamente através de potenciais práticas negociais abusivas que o Relatório já parece sugerir. Daqui também pode derivar um outro problema cada vez mais comum no direito da concorrência: o self-preferencing. Será importante garantir que dispositivos “inteligentes” com sistema operativo ou assistente de voz de uma empresa não sugiram, numa lógica preferencial, produtos ou serviços dessas mesmas empresas.

Em suma, o Relatório apresenta-se como uma primeira boa fotografia do setor e que, espera-se, já terá impacto em algumas iniciativas legislativas da União Europeia no âmbito da propriedade industrial e mercados digitais (Relatório, §52). Será interessante ir acompanhando os desenvolvimentos neste âmbito, de modo a garantir o sempre difícil equilíbrio entre o progresso tecnológico e as obrigações legais aplicáveis.


[1] Relatório da Comissão ao Conselho e ao Parlamento Europeu, relatório final – inquérito setorial sobre a Internet das Coisas para os consumidores {SWD(2022) 10 final}, de 20.1.2022 (COM(2022) 19 final. Disponível aqui.

Os dados pessoais dos consumidores

Doutrina

Logo ao acordar, muitos têm por hábito recorrer ao telemóvel para verificar a caixa de entrada de emails, obter informações sobre como estará o clima ou, ainda, aceder às notícias mais recentes. Mais tarde, a caminho do trabalho ou mesmo ao executar as tarefas domésticas, há aqueles que utilizam aquele aparelho para ouvir músicas ou podcasts; já na hora do almoço, usam-no novamente para aceder a um serviço de entrega de refeições. Para o regresso a casa, alguns optam por solicitar um veículo através de uma plataforma destinada a este fim. Ao acabar do dia, para relaxar, uns recorrem a serviços de streaming de conteúdos como filmes e séries utilizando smart TVs; outros preferem ir ao ginásio para exercitar-se enquanto usam gadgets de monitorização das funções biológicas, como smartwatches ou fit bits. Há ainda aqueles que, após a vivência isolada do período mais crítico da pandemia do COVID-19, já preferem fazer a maior parte das compras online – desde itens como livros e acessórios ou peças de vestuário até as compras habituais do mercado. Tudo isto sem contar o trabalho remoto e a socialização que ocorre no contexto das redes sociais.

Todos os elementos mencionados até aqui, em conjunto com muitos outros, tornaram-se parte da vivência de um grande número de pessoas e, mais particularmente, dos consumidores localizados dentro da União Europeia, designadamente em Portugal. Um dos fatores comuns de todos esses hábitos e práticas corriqueiras é a presença da tecnologia, tanto ao serviço do seu utilizador como também podendo servir aos propósitos econômicos de terceiros. A indagação que se coloca a seguir é: de que maneira?

A resposta é extremamente ampla, mas quase sempre passa pelos dados. Ao conviver com todas essas ferramentas tecnológicas e utilizá-las no seu dia-a-dia, o indivíduo revela inconscientemente (na maioria das vezes) informações sobre suas preferências e gostos, hábitos de rotina e até mesmo seu estado de saúde – o exemplo mais óbvio são os smartwatches ou fit bits -, ou através do histórico de compras do mercado, que potencialmente indicará uma alimentação mais ou menos saudável. O conjunto destes dados acerca de um indivíduo e o agregado dos dados relativos a grupos de pessoas enquadram-se no conceito de Big Data, que, por sua vez, poderá ser processado para identificar tendências e correlações, ou mesmo de maneira a afetar diretamente os indivíduos[1].

A construção jurídica da União Europeia preocupa-se com a regulação dos dados e do seu processamento em diferentes contextos. O Regulamento Geral sobre a Proteção de Dados (RGPD), aplicável desde 2018, confere a estrutura da proteção e prerrogativas relativas ao processamento de dados pessoais, resumidamente conceituados como informações relativas a uma pessoa singular identificada ou identificável[2].

No contexto específico do Direito do Consumo, é possível citar ao menos dois textos normativos: a Diretiva (UE) 2019/770 de maio de 2019 e a Diretiva (UE) 2019/2161 de novembro de 2019, que contêm dispositivos destinados a reger, dentre outros temas, a utilização dos dados pessoais dos consumidores no âmbito das relações de consumo.

A primeira das Diretivas apresenta uma das situações às quais a mesma deverá ser aplicável: “deverá igualmente aplicar-se sempre que o consumidor dê o seu consentimento relativamente a todo o tipo de material que constitua dados pessoais, como fotografias ou mensagens que irá carregar, posteriormente processado pelo profissional para fins de comercialização”[3].

Por sua vez, a Diretiva (UE) 2019/2161 inclui um novo requisito de informação aos contratos de consumo celebrados à distância[4], a saber: o profissional deverá informar ao consumidor “que o preço foi personalizado com base numa decisão automatizada”[5], quando aplicável, podendo esta decisão basear-se no processamento de dados pessoais. O Considerando 45 menciona uma forma ainda mais intensa de processamento de dados pessoais: a “definição de perfis de comportamento dos consumidores, de molde a permitir-lhes avaliar o poder de compra do consumidor”. Esta prática – a definição e a construção de perfis dos indivíduos com base no processamento dos seus dados pessoais – poderá revelar-se um tanto mais complexa sob o ponto de vista da salvaguarda dos direitos dos consumidores, uma vez que se destina não apenas a estabelecer correlações entre determinadas variáveis, mas também a estabelecer previsões acerca de comportamentos futuros[6].  

É importante ressaltar um ponto em comum crucial entre as duas Diretivas aqui mencionadas: a referência ao RGPD, na medida em que “no que se refere aos dados pessoais do consumidor, o profissional deve cumprir as obrigações decorrentes” do Regulamento[7]. Assim, para que o profissional possa valer-se do processamento dos dados pessoais dos consumidores para fins comerciais de forma lícita, deverá obrigatoriamente enquadrar tal operação dentro de uma das hipóteses da lista apresentada pelo Artigo 6.º do RGPD, bem como cumprir todos os demais requisitos legais.

Dentro da lista de hipóteses de licitude para o tratamento dos dados pessoais determinada pelo RGPD, a concessão do consentimento por parte do consumidor sobressai como a via mais adequada para a legitimação do processamento dos seus dados destinado a práticas comerciais[8]. É empiricamente observável que a maioria das pessoas apenas passa rapidamente pelos “Termos e Condições” dos vários serviços, conteúdos e produtos digitais que utiliza quotidianamente (como aqueles mencionados no início deste texto), sem realmente ater-se ao que é que está a prestar o seu consentimento[9]. Desta forma, a proteção dos dados pessoais nas relações de consumo existe na legislação europeia, ainda que de forma discutivelmente reduzida, e poderá ter a sua eficácia limitada pela própria conduta do consumidor.

A título de exemplo próximo da realidade dos consumidores situados em Portugal, uma prática comercial relativamente recente e provavelmente derivada da definição de perfis, é a apresentação ao consumidor de um folheto de promoções personalizadas, ou, nas palavras do próprio profissional, uma funcionalidade que permite ao consumidor visualizar “uma seleção dos seus produtos favoritos em promoção”[10]. Tal prática insere-se no contexto mais amplo dos esquemas de cartões de fidelização das grandes superfícies retalhistas, bastante comuns em Portugal, que permitem ao fornecedor acesso à uma verdadeira “mina de ouro”, no que diz respeito aos hábitos de consumo das famílias residentes em Portugal. Em contrapartida, caberá a cada consumidor refletir sobre um consciente exercício das prerrogativas legais à sua disposição, ou se continuará a carregar automaticamente nos botões de “aceito” de todos os serviços, conteúdos e produtos digitais que utiliza, a despeito das consequências em potencial.


[1] Opinião n.09/2013 do Grupo de Trabalho do Artigo 29.º acerca da limitação do propósito. Versão em língua inglesa.

[2] RGPD, Artigo 4.º (1)

[3] Considerando 24 da Diretiva (UE) 2019/770

[4] Artigo 6.º da Diretiva 2011/83/UE de outubro de 2011

[5] Diretiva (UE) 2019/2161, Artigo 4.º (4)(a)(ii)

[6] HILDEBRANDT, Mireille – Defining Profiling: A New Type of Knowledge? In HILDEBRANDT, Mireille; GUTWIRTH, Serge (eds) – Profiling the European Citizen. Dordrecht: Springer, 2008. pp. 17-45

[7] Diretiva (UE) 2019/770, Artigo 16.º (2) e Diretiva (UE) 2019/2161, Artigo 4.º (1)(b) e Artigo 6.º-A (10), que por sua vez modificam o conteúdo de outros instrumentos legais do Direito do Consumo Europeu

[8] POORT, Joost; ZUIDERVEEN BORGESIUS, Frederik J. – Online Price Discrimination and EU Data Privacy Law. Journal of consumer policy. 40:3 (2017), pp. 347-366.

[9] Como observado na página 92 do estudo de mercado intitulado “Consumer market study on online market segmentation through personalised pricing/offers in the European Union”, cujo resultado foi publicado em 2018.

[10] Um exemplo de tal prática pode ser visualizado aqui

Personal Data as Counter-performance and Consumer Protection. An Unfair Commercial Practices Italian Decision

Jurisprudência

By Donato Maria Matera

On March 30th, 2021, with the decision n. 2631, the Italian Consiglio di Stato ended a dispute concerning an unfair commercial practices case where Facebook was involved.

The most important part of this decision deals with a misleading commercial practice: in particular, the question was if the Facebook’s advertisement that the social service is «for free» can be considered as a misleading behaviour, since consumers are actually «paying» it with their personal data.

Hence, the core issue is the possibility to consider personal data as a counter-performance, or, if one prefers, as a payment method, other than money. The answer to this question has very relevant practical consequences: in fact, if personal data are a counter-performance to a service, this economic operation can be considered as an actual contract and, if the parties are consumers and traders, consumer law can be applicable.

During the trial, the Facebook defence argued that personal data are an extra commercium good and data protection is a fundamental right, so they cannot be sold, traded or reduced to an economic interest. In this sense, as personal data cannot be a counter-performance, the operation where Facebook provides consumers with a digital service is for free and consumer law cannot be applied neither can be configured an unfair commercial practice.

This position seems to be in continuity with a European Data Protection Supervisor Opinion (n. 4/2017), provided with regard to the European Commission proposal for a Directive on certain aspects concerning contracts for the supply of digital content (COM(2015) 634 final). On this occasion the EDPS underlined that personal data are related to a fundamental right and they cannot be considered as a commodity and it defined as «dangerous» the possibility to let people «pay» with their personal data.

The Italian decision goes to a different direction. The judges affirm that Facebook actually capitalizes users’ personal data and make a profit from them. In addition, once a user provides his personal data and successively decides to remove them by a deselecting operation, this causes the loss of some services originally available. According to the Italian judges this circumstance clearly shows how Facebook social services are not for free, but they are a counter-performance to the provision of personal data, for commercial purposes. At the same time is it also clear that, due to their particular legal regime, these data cannot be considered as an actual commodity.

These argumentations lead the Court to consider applicable consumer law and, in particular the one on unfair commercial practices (Directive 2005/29/CE; in Italy this Directive has been transposed in the legislative decree 2005/206, articles 18 and following). In this regard, the judges clarify that there is no contrast between consumer and privacy law (as regulated by the Reg. UE 2016/679), but they provide consumers with a «multilevel» protection, being compatible with each other. This interaction, as many authors had already highlighted, contributes to increase the standard of consumer protection, since it allows to extend the application of certain business-to-consumer remedies to cases where processing of personal data is involved.

In light of these considerations, the Consiglio di Stato claims that a misleading commercial practice was adopted: Facebook represented his service as free, while actually it was not. In fact, as a consequence of this conduct, consumers were unaware that personal data they provided at the time of subscription were used for commercial and remunerational purposes. This circumstance, according to the Italian Court, is likely to materially distort their economic behaviour, falling within the scope of Directive 2005/29/CE.

For these reasons the judges confirm the penalties stated by the Italian independent market Authority (AGCM) to the social networks company, in relation to this practice. This case represents another step in the debate focused on considering personal data as consideration, especially in consumer contracts.  It has become clear that nowadays many business models are based on personal data, and a «data market» exists, as scholars observe. In this context, it would be fundamental the application of consumer law principles and rules to these cases, in order to provide consumers (the weak part) with an actual protection. The first step to be made in order to reach such achievement is the qualification of these operations as contracts where personal data are to be considered the counter-performance.