The Preliminary Report of the Sector Inquiry into Consumer Internet of Things: what is new for EU Consumer and Data Protection law?

Doutrina

By Francesca Gennari, PhD student, LAST-JD RIoE, Mykolas Romeris University- University of Bologna- University of Turin (frgennari@mruni.stud.eu; francesca.gennari8@unibo.it)

On the 9th of June 2021, the European Commission published ‘The Preliminary Report of the Sector Inquiry into Consumer Internet of Things’ (hereinafter the report). The publication of this document takes place almost one year after Margrethe Vestager, Executive Vice President for ‘Europe fit for the Digital Age’ and Commissioner for Competition, decided it was necessary to investigate whether the market for Consumer Internet of Things (meaning connected/smart objects that we as consumers use every day) presented issues for EU competition law. The reasons behind this inquiry were the expansion of this market among EU consumers and the potential amount of money that it involved for investors and companies but also the reliance of these objects on personal data to work better. As a consequence, the Commission launched a sector inquiry in July 2020 based on Article 17 of Regulation 1/2003. Following the publication of the preliminary results of this report, a public consultation started in order for stake-holders to comment on those. This consultation ended on 1st September 2021. The final report of this enquiry is expected in 2022.

The preliminary report is structured in eight sections (nine if we include the page dedicated to the launch of the public consultation). The introduction also explains the methodology through which the Commission collected and analysed the relevant data. The Commission sent to relevant stake-holders four different sets of questionnaires after having divided the ‘Consumer IoT market’ at large in four segments: i) manufacture of smart home devices; ii) provision of voice assistants; iii) manufacture of wearable devices and iv) provision of consumer IoT services (such as creative content services). Furthermore, standard-setting and industry organisations participated too by replying to a fifth yet different questionnaire. The content of the questionnaires reflected a particular time window (the second half of 2020) and it can be used just as a qualitative tool as the Commission warns that the answers to the questionnaires should not be used as statistical information. The main questions that the selected respondents had to answer were about: i) their own characteristics in order to have a deeper understanding of each market (segment); ii) the potential competition issues in the IoT market; iii) the role that is played by standards and standard setting organisations; iv) the interaction between IoT devices, services and voice assistants and v) the role played by data in this market.

The outcomes of the report seem not to be interesting for consumer law specialists but only for competition law practitioners and scholars at first. In fact, the results show that the IoT consumer market, and especially the segment concerning voice assistants, is dominated by few enterprises which are able ‘de facto’ to make their contractual solutions accepted by other manufacturers of smart devices in order for them to be compatible with the voice assistant. One of the highlights of these preliminary results is that general purpose voice assistants are becoming the main gateways for making the home a connected environment and to process data detected and collected even by other connected objects. This could potentially be at the origin of exclusive practices such as ‘tying’ more software services and objects together, maybe with pre-installed options and default setting applications. Furthermore, the economic power of few competitors could also cause a relevant barrier to entry this market: in fact, it was confirmed by the respondents that the investments and capitals in order to have consistent research and development activities are considerably high and that discourages many potential competitors from entering the market. In addition, the forecast of a universally connected Consumer IoT to make it a fairer competitive market needs to be balanced with the evidence that there is still a lack of uniform standards to meet this target of full interoperability. This problem concerns connectivity standards as well. Interestingly enough, some respondents stressed the need not only to have new common standards but also to have more clarity among the existing ones. This holds true also as far as Intellectual Property Rights (IPRs) and Standard Essential Patents (SEPs) policies are concerned. However, the report shows intuitive graphs and tables in which it is possible to compare, in a synthetic way, the different licensing policies of the main standard setting organisations and industry organisations and that can be indeed useful in the future. Finally, the preliminary report shows that the role of data, and particularly data flows, in consumer IoT is essential, not only for product maintenance but also for the personalisation of the experience, business analytics and other targets such as marketing strategies and fraud prevention. Moreover, indirect monetisation of data through consumer profiling and advertising are mentioned both as indirect effects of data processing. One big concern that is left out is that sometimes it is not possible to guarantee the portability of data because of technical features (e.g. the device or service does not request registration data, therefore it is not possible both to identify or to transfer data that cannot be matched with anyone).

Despite this preliminary report has competition law and its respect as main targets, it is quite relevant for other disciplines such as Consumer law and Data Protection law, at least implicitly.

This is not just because ‘consumers’ benefits’ is one of the criteria that competition authorities have to take into account when deciding whether to start an infringement procedure or to exempt an undertaking from said infringement procedure (101.3 TFEU). This preliminary report is important because it gives (even unofficially) an intuitive taxonomy of the kinds of IoT objects and services that consumers use most frequently, by dividing the Consumer IoT market in the previously cited segments. It also makes an effort in selecting and finding definitions, by discarding also some neologisms that could become common language words. For instance, there is no use of smart assistant/smart speaker qualification but voice assistant, which is identified primarily as “voice-activated pieces of software that can perform a variety of tasks, acting both as a platform for voice applications and a user interface’’, and therefore is not primarily connected to a physical object.

Although not constituting binding legal categories, these new labels and definitions will provide help in interpreting and adapting the current EU Consumer law to this evolving technology as they are quite intuitive and comprehensive of the Consumer IoT objects on the market. In fact, the existing EU consumer law documents never mention the word IoT directly but use synonyms such as ‘goods with digital elements’. Moreover, this new taxonomy could also be used in forthcoming policies and legislation about the liability and safety of IoT objects, such as for the update of the Product Liability Directive.

Furthermore, it is very interesting the part of the report which explains where and how data processing happens at the Consumer IoT level thus giving more clarity to the definition of processing set out in Article 4.2 GDPR. If a larger public can potentially know, from now on, all the typologies of processing (e.g. on device, in the cloud, on premise…) and their functioning scheme (even in general terms) this will benefit consumers which might be more likely to choose a brand that is more intuitive to use and that better explains how and where the processing takes place, giving them a better control of their devices and data. In short, this part of the report is important not only to better inform consumers on the functioning of what they purchase but for data protection issues as well, because it points out implicitly what still needs to be done in order to create a more trustworthy consumer IoT. For example, it seems that there is no or little commercial interest on how to build IoT consumer objects that need less personal data to function in order to respect the data minimisation principle (Article 5.1.c GDPR); it was previously mentioned that some Consumer IoT objects also do not consent portability of their data to competitors. This can cause a problem if consumers want to change the provider of a service on a certain device or they want to connect a device which does not provide interoperable data to other ones. In this case, the principle of portability set out in the GDPR (Article 20 GDPR) cannot be respected also because of the lack of interoperability protocols.  We already know that a fully interconnected consumer IoT environment is still not possible technically today because of the lack of common standards, but it could be interesting to wonder how stake-holders would react whenever two or more IoT consumer objects might concur in causing damage by unfairly or incorrectly processing personal data that they shared independently from their manufacturers previsions. At the moment, the rule at Article 26 GDPR on joint controllership seems to suffice as it is quite easy to imagine which object will connect with which, and that is why this problem is not mentioned.

Even if this is just a preliminary report referring to a specific span of time (second semester 2020), it is interesting to notice that when respondents were asked what was needed to succeed in this market, quality, brand reputation, privacy policies and cybersecurity were considered by most respondents as among the most important factors, but there was no mention of any strategy for durability or environmental sustainability for Consumer IoT objects (unless these elements were meant to be associated with the ‘quality’ factor). In this sense it is hoped that not only last August’s IPCC report on climate change but also the upcoming initiatives announced in the New Consumer Agenda (such as the durability and single charger initiatives) and research in the still experimental Green IoT (GIoT) can boost the industry in integrating data and consumer protection as well as environmental sustainability as part of a new Consumer IoT paradigm. To this end, it is expected that the results of the public consultation will draw attention on these issues in a more structured and explicit way.

Acknowledgment

This project has received funding from the European Union’s Horizon 2020 research and innovation programme under the Marie Skłodowska-Curie ITN EJD grant agreement No 814177.

Personal Data as Counter-performance and Consumer Protection. An Unfair Commercial Practices Italian Decision

Jurisprudência

By Donato Maria Matera

On March 30th, 2021, with the decision n. 2631, the Italian Consiglio di Stato ended a dispute concerning an unfair commercial practices case where Facebook was involved.

The most important part of this decision deals with a misleading commercial practice: in particular, the question was if the Facebook’s advertisement that the social service is «for free» can be considered as a misleading behaviour, since consumers are actually «paying» it with their personal data.

Hence, the core issue is the possibility to consider personal data as a counter-performance, or, if one prefers, as a payment method, other than money. The answer to this question has very relevant practical consequences: in fact, if personal data are a counter-performance to a service, this economic operation can be considered as an actual contract and, if the parties are consumers and traders, consumer law can be applicable.

During the trial, the Facebook defence argued that personal data are an extra commercium good and data protection is a fundamental right, so they cannot be sold, traded or reduced to an economic interest. In this sense, as personal data cannot be a counter-performance, the operation where Facebook provides consumers with a digital service is for free and consumer law cannot be applied neither can be configured an unfair commercial practice.

This position seems to be in continuity with a European Data Protection Supervisor Opinion (n. 4/2017), provided with regard to the European Commission proposal for a Directive on certain aspects concerning contracts for the supply of digital content (COM(2015) 634 final). On this occasion the EDPS underlined that personal data are related to a fundamental right and they cannot be considered as a commodity and it defined as «dangerous» the possibility to let people «pay» with their personal data.

The Italian decision goes to a different direction. The judges affirm that Facebook actually capitalizes users’ personal data and make a profit from them. In addition, once a user provides his personal data and successively decides to remove them by a deselecting operation, this causes the loss of some services originally available. According to the Italian judges this circumstance clearly shows how Facebook social services are not for free, but they are a counter-performance to the provision of personal data, for commercial purposes. At the same time is it also clear that, due to their particular legal regime, these data cannot be considered as an actual commodity.

These argumentations lead the Court to consider applicable consumer law and, in particular the one on unfair commercial practices (Directive 2005/29/CE; in Italy this Directive has been transposed in the legislative decree 2005/206, articles 18 and following). In this regard, the judges clarify that there is no contrast between consumer and privacy law (as regulated by the Reg. UE 2016/679), but they provide consumers with a «multilevel» protection, being compatible with each other. This interaction, as many authors had already highlighted, contributes to increase the standard of consumer protection, since it allows to extend the application of certain business-to-consumer remedies to cases where processing of personal data is involved.

In light of these considerations, the Consiglio di Stato claims that a misleading commercial practice was adopted: Facebook represented his service as free, while actually it was not. In fact, as a consequence of this conduct, consumers were unaware that personal data they provided at the time of subscription were used for commercial and remunerational purposes. This circumstance, according to the Italian Court, is likely to materially distort their economic behaviour, falling within the scope of Directive 2005/29/CE.

For these reasons the judges confirm the penalties stated by the Italian independent market Authority (AGCM) to the social networks company, in relation to this practice. This case represents another step in the debate focused on considering personal data as consideration, especially in consumer contracts.  It has become clear that nowadays many business models are based on personal data, and a «data market» exists, as scholars observe. In this context, it would be fundamental the application of consumer law principles and rules to these cases, in order to provide consumers (the weak part) with an actual protection. The first step to be made in order to reach such achievement is the qualification of these operations as contracts where personal data are to be considered the counter-performance.

A Clubhouse e a privacidade dos utilizadores

Doutrina

A nova rede social Clubhouse é já bastante conhecida entre o público, tendo chegado a Portugal no início deste ano. A sua popularidade eclodiu após ter sido palco de um debate entre Elon Musk, Marc Andreessen, Vlad Tenev e muitos outros empresários e elementos do público em geral, que chegaram mesmo a esgotar a capacidade da sala de chat hospedada pela Clubhouse para o efeito. O seu crescimento exponencial trouxe também alguns desafios e uma certa polémica em torno da privacidade dos utilizadores.

O grande fator que torna a Clubhouse atrativa prende-se com a sua exclusividade: além de apenas estar disponível para iOS, cada utilizador começa com dois convites para enviar a outras pessoas para aderirem à rede social. Esta rede social permite manter diálogos com outros utilizadores através de áudio – diálogos estes que, de acordo com a política de privacidade, não ficam gravados, pois quando a sala virtual é encerrada, não subsiste qualquer registo daquele chat. Existem exceções: os áudios dos utilizadores poderão ser temporariamente armazenados se houver, por exemplo, o reporte de um incidente. Nesta é ainda possível acumular-se seguidores e seguir outros utilizadores. O nome de utilizador é público e poderá ser utilizado para encontrar outros utilizadores. É possível mudar a fotografia de perfil, ligar a aplicação às contas do Twitter e Instagram, entre muitas outras opções.

Não obstante toda esta atratividade e utilidade, várias têm sido as preocupações levantadas pelos utilizadores no que se refere à privacidade. Até agora, muitos foram os relatos apresentados de falhas nesta vertente. Um dos casos mais falados é datado de fevereiro deste ano: um utilizador conseguiu transmitir em direto o áudio de uma sala de chat no seu website, mas foi rapidamente banido pois a gravação ou streaming sem a autorização explícita dos oradores viola os termos e condições da rede social.

Outro incidente ocorreu há poucos dias: a Clubhouse sofreu um ataque informático, o que resultou na disponibilização da informação relativa a 1,3 milhões de utilizadores em plena internet. Do que foi possível apurar, não foram revelados dados relativos a cartões bancários, moradas e emails. No entanto, a informação disponibilizada poderá facilitar ataques de phishing. A Clubhouse manifestou-se publicamente quanto a este assunto, afirmando que os dados disponibilizados já seriam públicos e poderiam ser consultados por qualquer utilizador através da aplicação.

Outro problema e desafio que a Clubhouse comporta relaciona-se com a facilidade de difusão de opiniões e informações, sem qualquer controlo por parte de um moderador associado à rede social – deste modo, será mais fácil a propagação de fake news, ódio, difamação contra utilizadores, teorias da conspiração, etc. O facto de as conversas não deixarem qualquer registo, após o encerramento de cada sala, implica que se os incidentes não forem reportados em tempo útil, não restem quaisquer provas que permitam reagir contra estes abusos.

Apesar destes incidentes, a questão mais relevante que cumpre analisar prende-se com o seguinte: se um utilizador quiser convidar amigos a utilizar a aplicação, terá de autorizar o acesso da aplicação à sua lista de contactos. Se não autorizar este acesso, o utilizador poderá continuar a utilizar a aplicação, mas ser-lhe-á relembrado constantemente através de uma notificação de que ainda não deu tal permissão.

Importa agora analisar a Política de Privacidade da Clubhouse, através de uma visão guiada pelo Regulamento Geral de Proteção de dados (RGPD). Na política de privacidade consta que a rede social recolhe dados fornecidos pelo utilizador titular de dados quer quando este acede à rede social, quer quando este a utiliza, criando ou partilhando conteúdos e comunicando com outros utilizadores da rede, o que é algo normal e necessário à execução do contrato, ou seja, de acordo com o art. 6.º, nº 1, alínea b), do RGPD, estamos perante um tratamento válido e lícito. Além do tratamento ser válido e lícito, também a questão dos deveres de informação é cumprida, pois aplica-se o artigo 14º, uma vez que a pessoa que recebe o convite recebe todas as informações necessárias sobre o tratamento de dados, os seus direitos, prazos de conservação. Supõe-se também que se o titular de dados não aceitar o convite num certo período de tempo, o Clubhouse deve apagar os dados utilizados nesta operação de tratamento (caso não lhe tenha sido dada autorização para o acesso contínuo à lista de contactos pelo utilizador). Releva ainda para a discussão o facto de na política de privacidade, no ponto relativo a Networks and Connections, a rede social menciona que, se o utilizador escolher dar permissão à aplicação para esta fazer o upload, sincronizar ou importar as informações da sua lista de contactos pessoais, esta poderá ser utilizada para “melhorar a experiência do utilizador em vários aspetos”, notificando-o quando um dos seus contactos se junte à rede social e utilizando a lista de contactos para recomendar outros utilizadores que possa querer seguir e recomendando, por sua vez, a sua conta a outros utilizadores.

Dado o exposto, se a aplicação requer que o utilizador dê permissão para que a mesma possa aceder à sua lista de contactos, estaremos já perante outra base de licitude, que será o consentimento, ou seja, sem o consentimento do utilizador titular de dados, a rede social não poderá ter acesso a esta informação (art. 6º, n.º 1, alínea a), do RGPD). Levantam-se aqui várias questões: em primeiro lugar, existem queixas de utilizadores que não deram permissão e mesmo assim a aplicação teve acesso aos dados das suas listas de contactos. Em segundo lugar, é suspeito e bastante invasivo um utilizador dar permissão para o acesso à sua lista de contactos à aplicação, e pessoas que nem sequer utilizam a aplicação veem os seus dados recolhidos e tratados pela Clubhouse sem terem dado o seu consentimento. Esta prática designa-se shadow profile.

Podemos concluir que, apesar de esta não aceitação da permissão de acesso à lista de contactos por parte do utilizador não afetar o funcionamento e utilização da rede social por parte do mesmo, este não poderá disfrutar da experiência completa da rede social, uma vez que será mais difícil encontrar e conectar-se com os seus amigos e familiares e, além disso, também não poderá enviar os seus dois convites disponibilizados inicialmente, o que criará entraves à socialização com amigos, que é o verdadeiro objetivo da rede social. Todavia, a autorização que o titular de dados dá para o acesso da aplicação à lista de contactos não se trata de um verdadeiro consentimento para o tratamento, na medida em que o utilizador não é o titular destes dados, devendo tratar-se de uma imposição dos termos de serviço do IOS e da App Store da Apple. Esta autorização dada pelo utilizador vai de encontro ao princípio da transparência e lealdade do RGPD, sendo que até pode ser considerada como uma oportunidade dada ao utilizador de exercer o direito de oposição.

Em março, surgiu uma atualização para tentar colmatar esta e muitas outras questões e falhas, sobretudo no que se refere à encriptação. No entanto, as queixas mantêm-se. Aguardemos o desenrolar da situação.

O início do(s) Caso(s) TikTok? – Cláusulas Contratuais Gerais, Bens Virtuais e Copyright

Doutrina

A Organização Europeia do Consumidor BEUC apresentou uma queixa à Comissão Europeia e à rede de autoridades de defesa do consumidor contra o TikTok, na passada terça-feira, dia 16 de Fevereiro, por várias violações de Direito do Consumo, nomeadamente quanto a cláusulas contratuais abusivas e práticas comerciais desleais. Para além da BEUC, em mais 15 Estados[1], associações de defesa dos direitos dos consumidores também apresentaram queixas às autoridades e entidades reguladoras, de forma coordenada, contra o TikTok – e não, Portugal (ainda?) não se encontra nesta lista.

O TikTok, da chinesa ByteDance, começou em 2016 como uma app que procurava inovar no modelo do Vinee do Musical.ly e tornar-se numa rede social de partilha de vídeos curtos dos utilizadores, em diferentes temáticas e interesses, com enfâse na reprodução de músicas atuais e áudio de cenas de filmes e séries populares – adquirindo para este propósito licenças junto dos right holders. Com a aquisição do Musical.ly no final de 2017 e a fusão de ambas as apps em Agosto de 2018, o TikTok conseguiu sair da bolha do mercado chinês e penetrar no mercado americano (e, por conseguinte, mundial), convertendo-se rapidamente numa das mais populares plataformas em todo o mundo, entre as várias faixas etárias – com uma estimativa de mais de 1,1 mil milhões de utilizadores mensais.

Com a extraordinária popularidade, também vieram controvérsias – desde de a app ser banida na India; executive orders do ex-presidente dos Estados Unidos para bloquear a app devido a receios de espionagem e partilha de dados pessoais com o Governo Chinês, procurando assim forçar a sua venda a uma multinacional americana; ser forçada a bloquear todos os utilizadores italianos e realizar um controlo apertado da sua idade, para a sua readmissão (devido à morte de uma menor de 13 anos); e claro, alegações relativas a invasão de privacidade e tratamento ilícito dos dados dos utilizadores, incluindo a utilização de tecnologia de reconhecimento facial, por autoridades de proteção de dados europeias.

Estas novas queixas da BEUC e das associações de proteção de consumidores vêm abrir um novo capítulo, uma nova frente de combate aos abusos do TikTok (e outras multinacionais que utilizem as mesmas técnicas), centrando as queixas no Direito do Consumo, nomeadamente quanto a práticas comerciais desleais, cláusulas contratuais gerais abusivas e falta de transparência no tratamento de dados pessoais e publicidade.

As práticas sob escrutínio incluem:

  • Publicidade oculta e enganosa, seja colocada pelo TikTok, seja pela utilização de funcionalidades que permitem que marcas usem influencers para campanhas de marketing agressivas junto dos seus fãs – especialmente direcionada a crianças e outras pessoas vulneráveis;
  • Falta de transparência nas obrigações de informação aos titulares de dados pessoais, possível ausência de base de licitude do tratamento, reutilização de dados para finalidades incompatíveis, (…) diversas possíveis violações do Regulamento Geral de Proteção de Dados.

Em paralelo com a abertura deste tema, é de destacar também o recém publicado relatório do Parlamento Europeu sobre a necessidade de “atualizar” a Diretiva das Cláusulas Contratuais Abusivas (93/13/CEE), para os serviços digitais. Este relatório aborda, entre vários temas, as cláusulas predatórias sobre o copyright do user-generated content, como a referida acima do TikTok.

É possível que estas queixas das associações de defesa dos consumidores se convertam no futuro em processos judiciais, sejam movidos pelas entidades reguladores ou como ações coletivas de indeminização dos consumidores – e que, quem sabe, cheguem ao Tribunal de Justiça, de forma a conseguir uma atualização jurisprudencial, uniforme na União Europeia, da aplicabilidade das Diretivas sobre Cláusulas Contratuais Abusivas e Práticas Comerciais Desleais a este tipo de práticas e modelos de negócio.

 

[1] Os Estados em questão: Bélgica, Chipre, República Checa, Dinamarca, França, Alemanha, Grécia, Itália, Países Baixos, Noruega, Eslováquia, Eslovênia, Suécia, Espanha e Suíça.

[2] No contexto de redes socias, este modelo de negócio aparenta ser inspirado no sistema de awards do Reddit, em que os utilizadores premeiam as publicações que gostam mais, dando-lhes maior visibilidade e notoriedade a terceiros, pelo algoritmo.

O RGPD e a nova indústria da proteção de dados

Doutrina

O Regulamento Geral da Proteção de Dados (RGPD) tem vindo, paulatinamente, a impor-se em todas as áreas do Direito e da vida. Passo a passo, o polvo estende os seus tentáculos, que começa por colar suavemente a partir da ventosa mais pequena, progredindo depois na medida em que lhe é permitido, até envolver a realidade e a sujeitar ao que se diz serem as suas regras.

O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (RGPD), relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, revogou a Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, transposta para a ordem jurídica portuguesa pela Lei n.º 67/98, de 26 de outubro, por sua vez revogada pela Lei n.º 58/2019, de 8 de agosto que assegura a execução do RGPD na ordem jurídica nacional.

O RGPD, sob a aparência de novidade, serviu essencialmente para ultrapassar as discrepâncias nacionais na transposição da Diretiva e criar uma uniformidade transnacional. Após anos de negociações, o resultado final foi pouco diferente do que a Diretiva já previa e propiciava. Sendo quase redundante, apresentava-se desadequado a uma realidade que foi mudando ao longo das árduas negociações que se iam gorando e progredindo em concessões com vista ao acordo. A realidade continuou – e continua – a mudar, inexoravelmente, a partir da sua entrada “em vigor no vigésimo dia seguinte ao da sua publicação”. Tendo esta ocorrido em 4 de maio de 2016, aquela terá ocorrido a 25 de maio do mesmo ano, tendo o RGPD previsto que “é aplicável a partir de 25 de maio de 2018”. Talvez daqui resulte a obnubilação da primeira data e a atenção que se focou na segunda.

A partir daí a proteção de dados tem-se vindo a tornar ubíqua, invadindo as áreas do Direito que têm subjacente informação e que são, potencialmente, todas. As relações de consumo, que se vão paulatinamente deslocando para o ambiente digital, encontram-se especialmente expostas, quer pela contratação em massa, quer pela intensa apetência para a produção de dados. Este é o grande problema. Numa época em que “os dados” assumiram uma omnipresença em todas as áreas, surge um instrumento que visa dominá-los ou, pelo menos, submetê-los aos rigores das checklists.

Embora o RGPD, como foi referido, tenha replicado o regime substancial da Diretiva 95/46, consagrando no essencial os mesmos princípios e direitos (acrescentando o novo direito de portabilidade dos dados), conseguiu captar a atenção global devido, principalmente, às sanções astronómicas que prevê.

De resto, criou ou desenvolveu uma estrutura burocrática gigantesca, que passa pelo novo papel das autoridades de controlo independentes e a obrigatoriedade de nomeação de um encarregado da proteção de dados, e se consubstancia numa série de trâmites e certificações, que passou a ocupar diligentemente uma multidão crescente de pessoas. Está, pois, na origem de um novo mundo de prestação de serviços salvíficos, com vista à implementação de procedimentos para serem evitadas pesadas coimas.

O RGPD criou a florescente indústria da proteção de dados.

As aparências iludem – Opção pré-validada, sim ou não?

Jurisprudência

O Tribunal de Justiça da União Europeia (TJUE) proferiu, no passado dia 11 de novembro, uma decisão no Processo C-61/19 em que abordou o tratamento de dados pessoais e proteção da vida privada, nomeadamente o conceito de “consentimento”, como manifestação de vontade livre, específica e informada.

Este Acórdão, visto em pormenor, é extenso e intenso, tanto no tratamento das várias questões que, à sua maneira, enuncia e resolve, como numa série de outras em que nos faz pensar, o que provavelmente justifica mais do que um post neste blog.

Começando pelo princípio como é habitual e desejável, há que explicar do que se trata. Ninguém melhor que o próprio Tribunal para o fazer, pelo que o seu Comunicado à Imprensa n.º 137/20 pode ser lido na íntegra aqui e o Acórdão aqui.

Resumidamente, neste processo existe um pedido decisão prejudicial apresentado pelo Tribunal Regional de Bucareste, no âmbito de um litígio em que a Orange România SA (Orange) apresentou um recurso destinado a obter a anulação de uma decisão através da qual a ANSPDCP (Autoridade Nacional para a Supervisão do Processamento de Dados Pessoais da Roménia – ANS) lhe aplicou uma coima por ter recolhido e conservado cópias de títulos de identidade dos seus clientes sem o consentimento válido destes e lhe ordenou que destruísse essas cópias.

Aquele pedido teve por objeto a interpretação do artigo 2.°, alínea h), da Diretiva 95/46/CE, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, bem como do artigo 4.°, ponto 11, do Regulamento Geral sobre a Proteção de Dados (RGPD) que revoga aquela Diretiva, questionando-se quais são as condições que, naquele âmbito, devem ser preenchidas para se poder considerar que uma manifestação de vontade é “específica e informada” e “expressa livremente”.

Decide o Tribunal, após estabelecer que cabe ao responsável pelo tratamento dos dados o ónus da prova relativa ao preenchimento dos requisitos do consentimento, o seguinte: “Um contrato relativo ao fornecimento de serviços de telecomunicações que contém uma cláusula segundo a qual a pessoa em causa foi informada e deu o seu consentimento para a recolha e a conservação de uma cópia do seu título de identidade para fins de identificação não é suscetível de demonstrar que essa pessoa deu validamente o seu consentimento, na aceção destas disposições, para essa recolha e para essa conservação, quando

–  a opção relativa a essa cláusula foi validada pelo responsável pelo tratamento dos dados antes da assinatura desse contrato ou, quando

–  as estipulações contratuais do referido contrato são suscetíveis de induzir a pessoa em causa em erro quanto à possibilidade de celebrar o contrato em questão mesmo que se recuse a autorizar o tratamento dos seus dados, ou quando

–  a livre escolha de se opor a essa recolha e a essa conservação é afetada indevidamente por esse responsável, ao exigir que a pessoa em causa, a fim de se recusar a dar o seu consentimento, preencha um formulário suplementar onde fique registada essa recusa.”.

Vamos aqui brevemente analisar a parte em que o Tribunal considera que a existência num contrato de “uma cláusula segundo a qual a pessoa em causa foi informada e deu o seu consentimento”, não é suficiente para demonstrar que “essa pessoa deu validamente o seu consentimento, na aceção destas disposições “ se “a opção relativa a essa cláusula foi validada pelo responsável pelo tratamento dos dados antes da assinatura desse contrato”.

Em primeiro lugar, assinale-se o uso da expressão “Cláusula”, termo tipicamente relativo ao conteúdo dos contratos, para algo que consubstanciaria uma autorização para tratamento de dados pessoais, à partida alheia ao próprio contrato. Tanto mais que, se o Tribunal assim não considerasse, isto é, se considerasse que o tratamento de dados estaria relacionado com a própria execução do contrato, a causa de legitimidade para o tratamento não seria a do artigo 6.º, n.º 1, alínea a) do RGPD, isto é, não seria o consentimento do titular dos dados. A relação entre a proteção de dados e outras áreas do Direito está a crescer e a impor-se. A propósito, e sobre a relação com o Direito do Consumo, pode-se ler neste blog comentário ao recente Acórdão Privacy International.

Em segundo lugar, assinale-se o uso da expressão (dar, ou não dar), “validamente o seu consentimento”, quando o que estaria em causa seria existir ou não uma causa de licitude do tratamento dos dados. Isto é, efetivamente não se trataria de uma questão de validade de um consentimento, expressão que remete de novo para a típica terminologia contratual, nomeadamente a relativa às declarações negociais, essas sim perfeitas ou com vícios que poderiam levar à invalidade. No caso da proteção de dados, do que se trata é de saber se um determinado tratamento de dados pessoais cabe na regra geral da ilicitude, ou em alguma das suas exceções. No RGPD, regulam essencialmente os artigos 6.º a 11.º. Na Diretiva 95/46, era também de (i)licitude que se tratava, prevendo o seu artigo 5.º que ” Os Estados-membros especificarão, dentro dos limites do disposto no presente capítulo, as condições em que é lícito o tratamento de dados pessoais.”. Sabemos que a expressão “consentimento válido”, no âmbito da proteção de dados, se vulgarizou. A questão é saber se é usada por estar em causa a (in)validade, ou se o seu uso se deve a falta de termos e conceitos que cubram realidades que, não sendo novas, só recentemente suscitam grande atenção.

Em terceiro lugar, saliente-se que o TJUE, no Acórdão Orange, quando trata da existência de opção validada “pelo responsável pelo tratamento dos dados antes da assinatura desse contrato”, socorre-se da célebre decisão do Acórdão Planet 49. Seria uma boa ajuda se os casos tivessem realmente uma substância comum o que, embora ambos se refiram ao “consentimento” relacionado com a proteção de dados e incluam um formulário, não parece acontecer. Ao nível do soundbite, dos títulos de notícias e dos resumos superficiais, a questão aparenta ser idêntica já que tem a ver com a pré-validação de uma opção em que está vertida uma declaração de consentimento do titular para tratamento dos seus dados pessoais antes da finalização do contrato.

No entanto, no Acórdão Planet 49, em que a empresa organizou um jogo promocional no seu sítio Internet onde se inscreviam os que pretendiam participar, existia uma quadrícula de seleção relativa à instalação de cookies para recolha de dados pessoais que “estava pré-validada”. O que significa que o formulário online já trazia a declaração “Concordo” preenchida (Ponto 27.). Decidiu o Tribunal que “um consentimento dado através de uma opção pré-validada não implica um comportamento ativo por parte do utilizador de um sítio Internet.” (Ponto 52.).

Diferente parece ser a situação no caso Orange, já que existiria um processo negocial, com base num guião, em que intervinham diretamente os “agentes de venda” que antes da celebração do contrato informavam os clientes “designadamente sobre as finalidades da recolha e da conservação das cópias dos títulos de identidade, bem como sobre a escolha de que os clientes dispõem quanto a essa recolha e a essa conservação, antes de obterem oralmente o consentimento desses clientes para que se proceda a essa recolha e a essa conservação. Segundo a Orange România, a opção relativa à conservação das cópias de títulos de identidade era, assim, validada unicamente com base no acordo livremente expresso nesse sentido pelos interessados quando da celebração do contrato.” (Ponto 43.). Isto é, a ser verdade este procedimento, e o mesmo não é contestado, o consentimento expresso, livre, específico e informado constaria daquela declaração verbal. Acresce que, após essa manifestação, seria o agente de venda a preencher o campo correspondente à validação, tudo indica que por indicação ou, pelo menos, com a concordância do cliente. Isto é, ao contrário do Acórdão Planet 49, a opção não vinha pré-validada. O formulário seria preenchido, é certo que pelo “agente de venda”, de acordo com a manifestação do consentimento verbal do cliente. O que reduz esta específica questão à prova da declaração verbal de consentimento, não se tendo conhecimento de que houvesse discrepâncias entre o que era declarado e o que era preenchido. No final do processo negocial, o cliente assinava o contrato que incluía aquele consentimento, ou a sua recusa.

Conclui-se, portanto, que no caso Orange, ao contrário do que acontecia no caso Planet 29, não estava realmente em causa a existência de uma opção pré-validada pela empresa, que o cliente precisasse de desmarcar para retirar o seu consentimento.

Acórdão Privacy International – Entre o Direito do Consumo, a proteção de dados e a segurança nacional

Jurisprudência

A relação entre Direito do Consumo e a proteção de dados é um tema que tem sido alvo de discussão face às situações de sobreposição dos dois ramos que têm surgido nos últimos tempos. Sinal disso têm sido os reenvios prejudiciais submetidos ao Tribunal de Justiça da União Europeia, como o que deu origem, no passado mês de outubro, ao Acórdão Privacy International

Neste, foi analisada a Diretiva 2002/58, que aborda o tratamento de dados pessoais no contexto do setor das comunicações eletrónicas. Ora, de acordo com esta, as operadoras de telecomunicações terão de armazenar dados de comunicações e de tráfego, de modo a, por exemplo, dar cumprimento ao direito a faturas detalhadas dos consumidores (art. 7.º). Contudo, embora esses dados devam ser conservados, a Diretiva consagra também o princípio da confidencialidade, no sentido de não se poder intercetar ou vigiar as comunicações feitas pelos consumidores, a não ser em casos excecionais (art. 5.º).

Assim, vemos que esta Diretiva regula este confronto entre as exigências derivadas da proteção do consumidor (direito a faturas detalhadas e, portanto, à exigência de conservação de dados pessoais extraídos das comunicações feitas) e a necessidade de proteger a privacidade dos assinantes, bem como dos seus dados pessoais (postulando a regra da confidencialidade). Contudo, este balanço apresenta exceções, nomeadamente as plasmadas no art. 15.º da Diretiva, exceções essas que estiveram na base do Acórdão Privacy International. De facto, estabelece esse artigo que o princípio da confidencialidade poderá ser derrogado pela legislação nacional dos Estados-Membros, caso tal derrogação constitua uma medida necessária, adequada e proporcional numa sociedade democrática para salvaguardar, por exemplo, a segurança nacional do Estado-Membro. 

No cerne do Acórdão estaria, portanto, a obtenção por parte dos serviços secretos britânicos de dados de comunicação, por via das operadoras de telecomunicações. Em concreto, estas agências tinham acesso a dados pessoais em massa, como dados de localização, informação financeira e comercial, bem como dados de comunicação suscetíveis de incluir dados sensíveis protegidos pelo sigilo profissional. Ademais, de acordo com os factos do caso, estes dados seriam tratados de forma automática e partilhados com agências terceiras e parceiros internacionais.

Neste contexto, uma das questões colocadas ao Tribunal de Justiça prendeu-se em saber se acessos a dados pessoais como aquele preconizado pelo sistema britânico vão de encontro ao exigido pelo Direito da União Europeia. Aqui, o Tribunal teve de fazer uma ponderação sobre os interesses em jogo: por um lado, a necessidade de proteger os dados pessoais e a privacidade dos consumidores e, por outro, a salvaguarda da segurança nacional. 

Assim sendo, embora aceitando que o art. 15.º da Diretiva permite derrogações aos direitos consagrados nos artigos anteriores com base em interesses de segurança nacional, o Tribunal de Justiça considerou como uma ingerência desproporcional a transmissão generalizada e indiferenciada dos dados de tráfego e localização dos consumidores às agências de serviços secretos, tendo levantado dois grandes argumentos nesse sentido.

Em primeiro lugar, afirmou que permitir esta transmissão generalizada e indiferenciada seria tornar uma exceção (a derrogação ao princípio da confidencialidade) na regra, algo que vai contra o espírito da Diretiva. Em segundo lugar, conclui que uma derrogação tão ampla como esta, na medida em que permite a transmissão de dados em massa, não respeita o princípio da proporcionalidade nem tão pouco os direitos fundamentais consagrados na Carta. Nesse sentido, afirmou que a derrogação não ocorre na estrita medida do necessário, já que as normas em causa não são claras e precisas, não regulando, portanto, o âmbito de aplicação desta derrogação, nem os seus requisitos mínimos, de modo a garantir uma ingerência mínima nos direitos fundamentais dos titulares de dados.

Assim, na medida em que a transmissão de dados é feita de forma generalizada e indiferenciada (abarcando pessoas perante as quais não há qualquer indício de cometimento de um ato ilícito ou de um nexo que ligue o seu comportamento a uma ameaça à segurança nacional), a regra da confidencialidade torna-se quase numa exceção, algo contrário ao espírito da Diretiva e da Carta, que não poderá ser justificado mesmo por motivos de segurança nacional.

Em suma, o Acórdão Privacy International segue a linha jurisprudencial de outros acórdãos proferidos pelo Tribunal de Justiça, como os Acórdãos Digital Rights Ireland e Tele2 Sverige AB, nos quais este teve de se pronunciar sobre a utilização de dados pessoais em massa de modo a salvaguardar interesses de luta contra a criminalidade. Também aí o Tribunal de Justiça se mostrou relutante a permitir a utilização em massa de dados de tráfego e de localização dos assinantes de serviços de telecomunicações para fins de interesse público dos Estados-Membros, pelo que a decisão no Acórdão Privacy International não é muito surpreendente. Contudo, embora não tenha esse caráter tão inovador, a verdade é que toca num aspeto extremamente sensível de contacto entre Direito do Consumo, e a proteção de dados e segurança nacional. De facto, caso o Tribunal tivesse decidido no sentido inverso, estaria a deturpar os direitos conferidos aos consumidores pela Diretiva 2002/58, utilizando-os contra si próprios, ao permitir que os dados recolhidos não fossem apenas utilizados para os fins visados na Diretiva, mas também para vigiar preventivamente os consumidores. Assim sendo, ao concluir que nem por motivos de segurança nacional poderão as agências de segurança fazer recolhas em massa de dados obtidos pelas operadoras de telecomunicações, o Tribunal de Justiça garantiu a eficácia dos direitos conferidos aos consumidores, bem como a proteção dos seus dados pessoais e da sua privacidade.