® BuscaLegis.ccj.ufsc.br
Privacidade e Tecnologias
Digitais – a visão europeia
Margarida
Couto
1.Enquadramento
A necessidade de protecção da privacidade – desde há muito reconhecida em todos
os países da União Europeia - exige que os direitos e liberdades do cidadão no
que respeita aos seus dados pessoais sejam garantidos.
A necessidade de, por um lado garantir um adequado grau de protecção daqueles
direitos e liberdades em todo o território da União Europeia e de, por outro
lado, assegurar que tal é efectuado de forma harmonizada nos diversos Estados
membros, levou a que o Parlamento Europeu e o Conselho Europeu aprovassem, em
1995 a Directiva 95/46/CE de 24 de Outubro, relativa à protecção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados (doravante “Directiva Dados Pessoais Geral”).
Cedo a Europa se deu conta porém de que a matéria em causa exigia a existência
de regras específicas no que concerne ao tratamento de dados pessoais e à
protecção da privacidade no sector das telecomunicações. E assim, foi aprovada
em 1997 a Directiva 97/66/CE do Parlamento Europeu e do Conselho de 15 de
Dezembro (doravante “Directiva Dados Pessoais nas Telecomunicações”), a qual,
partindo dos princípios estabelecidos na Directiva Dados Pessoais Geral,
estabeleceu regras especiais para aquele sector.
A Directiva Dados Pessoais nas Telecomunicações foi porém uma das medidas
legislativas europeias que menos tempo sobreviveu – na verdade, menos de dois
anos após a sua aprovação, as constantes evoluções tecnológicas verificadas, a
par da revolução digital que o sector viveu, vieram demonstrar que os conceitos
daquela Directiva não eram completamente compatíveis com o advento do novo
“mundo digital”. E assim, no âmbito da chamada “Revisão 1999”, a Comissão
propôs que, a par da substituição de todo o pacote regulamentar aplicável ao
sector das telecomunicações (composto na altura por 22 Directivas), fosse
igualmente substituída a então recém aprovada Directiva Dados Pessoais nas
Telecomunicações.
A “Revisão 1999”, após vários atrasos, divergências e hesitações, deu lugar, já
em 2002, a um novo e emagrecido pacote regulamentar composto por 5 Directivas,
o qual tem, como uma das suas pedras de toque, a necessidade de garantir a
neutralidade tecnológica da regulação do sector. O qual deixa aliás de ser o
sector das “telecomunicações” para passar a constituir o sector das
“comunicações electrónicas”, abrangendo assim qualquer comunicação electrónica
(entendida como o envio de sinais electrónicos) através de qualquer tipo de
rede.
Por aquele motivo, a nova Directiva (Directiva 2002/58/CE do Parlamento Europeu
e do Conselho de 12 de Julho) foi “re-baptizada” passando a denominar-se
“Directiva relativa ao tratamento de dados pessoais e à protecção da
privacidade no sector das comunicações electrónicas” (doravante “Directiva
Dados Pessoais nas Comunicações Electrónicas).
E, como melhor referido adiante, a Directiva Dados Pessoais Geral, parece
igualmente ter os dias contados, já que a União Europeia discute actualmente a
possibilidade da sua substituição ou pelo menos, da introdução de profundas
alterações.
Uma coisa parece ser certa porém: a “obsolescência precoce” sofrida quer pela
Directiva Dados Pessoais Geral, quer pela Directiva Dados Pessoais nas
Telecomunicações tem, ao que tudo indica, alguns culpados principais – o
derrube das estruturas tradicionais de protecção da privacidade que a Internet
provocou; o advento das novas tecnologias digitais avançadas e das capacidades
que estas oferecem para tratamento de dados pessoais (como os dados de
localização geográfica) inimagináveis até há pouco tempo.
2. A Directiva Dados Pessoais Geral
2.1. Teve por objectivo essencial harmonizar a forma como os diversos países da União Europeia tratavam não apenas a recolha e o tratamento de dados pessoais, como a transmissão desses dados entre os diversos territórios. E começa por reconhecer que a finalidade essencial da legislação relativa ao tratamento de dados pessoais é assegurar o respeito dos direitos, liberdades e fundamentais, nomeadamente o direito à privacidade, pelo que deverá ser elevado o grau de protecção a alcançar na União Europeia. Daí que proíba a transferência de dados pessoais para países que não ofereçam um nível de protecção adequado.
O conceito de dado pessoal é muito vasto, abrangendo toda e qualquer informação
relativa a uma pessoa singular identificada ou identificável. E considera como
tratamento de dados pessoais qualquer operação efectuada sobre aqueles dados
(recolha, registo, organização, conservação, consulta, comparação,
interconexão, destruição...).
2.2. A regra essencial é a de que o tratamento de dados pessoais só pode ser
efectuada se tiverem sido recolhidos para um fim legítimo, se o titular dos
dados tiver dado o seu consentimento de forma inequívoca e se os dados forem
utilizados para a finalidade para a qual foram recolhidos.
Salvo em casos excepcionais expressamente previstos, a Directiva proíbe o
tratamento de dados considerados sensíveis como a origem racial ou étnica, as
convicções políticas e religiosas, bem como de dados relativos à saúde ou à
vida sexual.
Outro aspecto importante é o de que deverá ser sempre assegurado ao titular dos
dados, não apenas a possibilidade de os alterar ou corrigir, como a faculdade
de retirar o consentimento para o seu tratamento.
Embora a Directiva não indique qual a sanção que os Estados membros da União Europeia deverão aplicar em caso de violação das regras de tratamento de dados pessoais impostas naquele Diploma, a generalidade das legislações nacionais pune tais violações – nomeadamente o tratamento de dados pessoais sem consentimento ou para finalidades diferentes das indicadas no momento da recolha - com pena de prisão.
2.3. A Directiva Dados Pessoais Geral concede também grande atenção à questão
da transferência de dados para países terceiros, impondo que a mesma só possa
realizar-se se o país em causa assegurar um nível de protecção adequado, o qual
deverá ser apreciado em função de todas as circunstâncias que rodeiem a
transferência dos dados.
E, porque o tema carece de um permanente acompanhamento por parte de uma
entidade especializada, a Directiva impõe a existência, em todos os Estados
membros, de uma autoridade pública independente, responsável pela fiscalização
e aplicação das disposições legais sobre dados pessoais, junto da qual deverão
ser registadas todas as bases de dados, com indicação da respectiva finalidade.
2.4. Em Junho passado, a Comissão Europeia lançou uma consulta pública
“on-line” sobre a forma como a Directiva Dados Pessoais Geral está a ser
aplicada nos diversos Estados Membros e as alterações que será necessário
introduzir.
Em discussão estão questões como a de saber se deverá ser criado um “Selo
Europeu de Privacidade” a atribuir aos “websites” europeus que sigam as “best
practices” de protecção de dados pessoais, a melhor maneira de obter o
consentimento do titular dos dados para o respectivo tratamento (oralmente, por
escrito, através de um “click”...), a forma de introduzir mais flexibilidade
nos actuais mecanismos de transferência de dados para países terceiros.
Os resultados da consulta pública em curso deverão ser discutidos na
Conferência organizada pela Comissão que decorrerá em Outubro e serão levados
em linha de conta no relatório sobre a implementação da Directiva que a
Comissão tenciona publicar no final do corrente ano.
3. A Directiva Dados Pessoais nas Comunicações Electrónicas
3.1 Tudo indicava que seria a Directiva mais “fácil” do Novo Pacote
Regulamentar das Comunicações Electrónicas. Na verdade, e contrariamente ao que
se passou com as restantes quatro novas Directivas daquele pacote, o objectivo
não era introduzir grandes mudanças mas apenas, por um lado renovar conceitos
(substituindo, por exemplo, “chamadas” por “comunicações”) e, por outro,
adaptar as regras actualmente existentes aos desenvolvimento tecnológicos e de
mercado verificados nos últimos anos (lidando com algumas questões novas como
por exemplo as suscitadas pelo tratamento de dados de localização geográfica
que as novas redes digitais móveis permitem).
Surpreendentemente porém, a Directiva Dados Pessoais nas Comunicações
Electrónicas cedo se converteu naquela onde os consensos foram mais difíceis de
alcançar, a ponto de ter ficado para trás, para não atrasar (ainda) mais a
adopção das restantes Directivas do Novo Pacote, do qual continuou a fazer
formalmente parte.
E assim, enquanto que as restantes Directivas daquele pacote regulamentar foram
publicadas em Abril, esta Directiva apenas viu a luz do dia três meses mais
tarde, após um braço de ferro entre o Parlamento Europeu e o Conselho que
conheceu poucos precedentes. Por esse motivo, a Directiva Dados Pessoais nas
Comunicações Electrónicas, acabou por consagrar uma série de “soluções de
compromisso”, estando assim longe de ser uma medida legislativa consensual.
3.2. Foram vários os temas que dividiram as instituições europeias a propósito
desta Directiva.
O mais difícil foi sem dúvida o do sistema aplicável às mensagens comerciais
não solicitadas – o chamado “spam”.
Enquanto que a Comissão e o Conselho defendiam o sistema de opt-in (segundo o
qual aquelas mensagens só podem ser enviadas a quem expressamente tenha aceite
recebê-las) para todo o tipo de comunicações, o Parlamento Europeu entendia que
o sistema deveria ser de opt-out (só não podendo ser enviadas mensagens a quem
declarar não pretender recebê-las), relativamente a mensagens de e-mail, fax e
telefone e de opt-in apenas para o serviço móvel SMS (“Short Messaging
Service”).
Contra o opt-in no correio electrónico, alegava o Parlamento Europeu, não sem alguma razão, que a Internet é uma World Wide Web e não uma European Wide Web, revelando-se impossível descortinar se um endereço terminado em “.com”, “.net”, etc, se encontra localizado dentro ou for a da União Europeia. Considerava também aquela instituição que a imposição de um sistema generalizado de opt-in estabeleceria uma discriminação injustificada a favor do mercado americano, cujas empresas poderiam continuar a enviar “spam” para a Europa, por a Directiva não lhes ser aplicável, sem que o inverso fosse verdadeiro. Por outro lado, o Parlamento Europeu considerava a adopção de um sistema de opt-in não atingiria os objectivos pretendidos, já que os “spammers” deslocariam a sua actividade para zonas off-shore, onde a Directiva não fosse aplicável, assim se furtando à aplicação das novas regras. Finalmente, as Directivas que estabelecem as regras aplicáveis ao Comércio Electrónico e às Vendas à Distância conferem aos Estados membros a faculdade de adoptarem o sistema tido por mais conveniente, pelo que o Parlamento Europeu considerava que não fazia nenhum sentido impor generalizadamente o opt-in numa Directiva “sectorial”.
A Comissão, por sua vez, sempre contra-alegou que a discriminação entre
mensagens enviadas por e-mail e por SMS proposta pelo Parlamento Europeu
chocava frontalmente com um dos princípios basilares do Novo Pacote
Regulamentar - o princípio da neutralidade tecnológica, segundo o qual a
regulamentação não deve favorecer nem penalizar o uso de determinada
tecnologia. E que o sistema de opt-in tinha sido aprovado por 14 dos 15 Estados
membros no Conselho Europeu, estando for a de causa voltar-se atrás nesta
matéria.
Foi sem dúvida o mais difícil tema da Directiva.
E ganhou o opt in. Para todo o tipo de comunicações. Mas, de certa forma
mitigado pela possibilidade de enviar mensagens comerciais não solicitadas a
utilizadores com quem já haja uma relação comercial anterior.
Já relativamente à inclusão de dados do utilizador (nome, morada endereço
electrónico e número de telefone) em listas públicas de serviços fixos ou
móveis, foi adoptado o sistema de opt out, cabendo assim a cada utilizador
solicitar a exclusão dos seus dados se não pretender que os mesmos figurem
naquelas listas.
3.3. Igualmente complicado foi alcançar um acordo relativamente à possibilidade
de retenção de dados de tráfego pelas autoridades, por razões de segurança
pública.
Trata-se de um tema que ganhou novos contornos após os ataques de 11 de
Setembro mas que impõe um equilíbrio entre direito à privacidade e segurança do
Estado, difícil de obter.
Na verdade, a actual Directiva Dados Pessoais nas Telecomunicações consagra uma
proibição quase geral de retenção de dados de tráfego para outros fins que não
seja a facturação dos serviços em causa, limitando o período de retenção àquele
durante o qual a factura pode ser legalmente contestada ou o pagamento
reclamado. E tratava-se de uma posição tão pacífica que não estava em discussão
qualquer alteração da mesma nas versões iniciais da nova Directiva Dados
Pessoais nas Comunicações Electrónicas.
Os ataques terroristas do dia 11 de Setembro vieram porém lançar na Europa a
discussão sobre as vantagens e desvantagens da retenção de dados de tráfego –
sobretudo os relativos a correio electrónico, que foi o meio escolhido pelos
piratas do ar envolvidos no ataque para coordenar os seus esforços - um
fenómeno que ficou conhecido na gíria do sector como “efeito bin Laden”.
A discussão foi árdua, não tendo sido possível alcançar um consenso entre todos
os Estados membros da União Europeia sobre uma questão tão delicada e tão
intimamente ligada às estratégias de protecção da segurança do Estado.
As instituições europeias acabaram assim por “decidir não decidir”, motivo pelo
qual o texto final da Directiva não contem nenhuma disposição que proíba ou
imponha a adopção de medidas de segurança, indicando apenas que estas medidas,
se adoptadas, deverão ser acompanhadas de especiais salvaguardas dos direitos
humanos.
E assim, embora admitindo, no âmbito da legislação penal de cada Estado membro, a adopção de medidas que restringindo a privacidade dos cidadãos, se revelem necessárias à protecção da segurança pública, da defesa e da segurança do Estado, a Directiva impõe, de forma meramente programática, que tais medidas sejam adequadas, rigorosamente proporcionais ao objectivo a alcançar e necessárias numa sociedade democrática, devendo além disso conter as salvaguardas adequadas, em conformidade com a Convenção Europeia para a Protecção dos Direitos Humanos e das Liberdades Fundamentais.
A discussão é difícil e já começou a subir de tom na Europa, com a proposta de
medidas harmonizadas de combate ao ciber-crime, consubstanciada numa Decisão do
Conselho Europeu, de acordo com a qual os operadores podem ser forçados a reter
dados de tráfego (correio electrónico e chamadas telefónicas) por um período de
12 a 24 meses. Esta proposta, que se insere num plano europeu de construção de
uma frente unida contra o terrorismo e contra o crime organizado, causou já
violentas reacções junto de associações de protecção dos direitos civis, que
acusam tais medidas de destituir de sentido o direito à privacidade das
comunicações, colocando-as sobre vigilância constante, a pretexto da luta
contra o terrorismo.
3.4. Outro dos temas que suscitou discussões várias e consensos difíceis de
estabelecer foi o relativo às cookies. As cookies são pequenos ficheiros
electrónicos que se alojam no disco do computador quando o seu utilizador acede
a certos websites, e que recolhem e armazenam determinada informação pessoal
sobre o utilizador como o nome, endereço electrónico, sites visitados e buscas
efectuadas, entre outros elementos. Geralmente, esta informação é
posteriormente usada pela empresa que a recolhe para acções de publicidade
dirigida.
A “indústria” das cookies é um dos mais rentáveis ciber-negócios no mercado
americano, onde mais de 50% da população acede regulamente à Internet e começa
também a ser uma poderosa fonte de receitas no mercado europeu, onde a taxa de
penetração da Internet vem subindo em flecha nos últimos anos.
Por outro lado, as coockies são reconhecidas como um instrumento útil não
apenas na análise da eficácia da concepção e publicidade dos websites, como na
verificação e autenticação da identidade dos utilizadores que efectuam
transacções on-line , aspecto que assume extrema importância no caso de acesso
a sites financeiros que permitam a movimentação de contas bancárias ou a
realização de outras operações financeiras.
A complexidade do tema é ainda aumentada pela dificuldade de distinguir
“cookies legítimas” dos chamados “gráficos espiões” (“spyware”),
“identificadores ocultos” (“hidden identifiers”) e outros dispositivos análogos
que podem entrar no terminal dos utilizadores sem o seu conhecimento a fim de
obter acesso a informações, armazenar dados escondidos ou permitir a
rastreabilidade das actividades electrónicas do utilizador, constituindo assim
uma grave intrusão na privacidade dos utilizadores em causa.
Embora tenha estado em cima da mesa a possibilidade de imposição de um sistema
de opt in relativamente às coockies, o consenso acabou por ser alcançado numa
versão mitigada de opt in e opt out – o utilizador deverá ser previamente
informado não apenas do envio como do propósito das cookies, podendo
recusá-las, mas o consentimento expresso não será obrigatório. Foi também
aceite que o acesso ao conteúdo de um website específico possa depender da
aceitação, com conhecimento de causa, de uma cookie ou dispositivo análogo,
desde que este seja utilizado para um fim legítimo (como por exemplo a
autenticação da identidade do utilizador).
3.5. O facto de as novas tecnologias de telecomunicações móveis permitirem que qualquer
operador localize a posição quase exacta de cada um dos terminais utilizadores
da sua rede, veio também colocar novos e delicados problemas de protecção de
dados pessoais que a Directiva Dados Pessoais nas Comunicações Electrónicas não
poderia deixar de resolver.
Na verdade, embora oferecendo inequívocas vantagens aos utilizadores - como as
decorrentes da possibilidade de envio de serviços de emergência mesmo nos casos
em que os utilizadores não conhecem a sua posição exacta- ninguém contesta quão
importante é proteger a sua privacidade e não permitir que os utilizadores
móveis estejam sob "constante vigilância".
As novas tecnologias de localização geográfica potenciam também a prestação de
um sem número de novos serviços de valor acrescentado, tais como serviços que
prestam aos condutores informações e orientações individualizadas sobre o
tráfego, que lhes fornecem indicações sobre os hospitais farmácias ou
restaurantes mais próximos, etc. E permitem também algumas aplicações
socialmente úteis como a recentemente implementada no sistema prisional
finlandês, em que as capacidades de localização da rede GSM são utilizadas para
“vigiar” detidos em sistema de saídas precárias ou de “prisão aberta”.
Como não podia deixar de ser, os dados de localização exacta do utilizador de
serviços móveis foram considerados dados sensíveis pela Directiva Dados
Pessoais nas Comunicações Electrónicas, pelo que só poderão ser usados com
consentimento expresso do respectivo titular. Além disso, deverá ser facultada
aos utilizadores a possibilidade gratuita de, a qualquer altura, bloquearem
temporariamente o processamento dos seus dados de localização ou de requererem
que a mesma seja processada com base em anonimato, à semelhança do que se passa
actualmente com a possibilidade de supressão da identificação do número do
telefone da linha chamadora.
Além disso, a Directiva exige que, antes de darem o seu consentimento, os
utilizadores sejam previamente informados sobre o tipo de dados recolhidos, a
finalidade e a duração do seu tratamento e a possibilidade de transmissão a
terceiros.
Trata-se porém de um tema tão novo quanto difícil e não falta quem duvide da
suficiência das medidas propostas pela Directiva Dados Pessoais nas
Comunicações Electrónicas para responder aos desafios colocados pelas novas
tecnologias de localização.
Retirado: http://www.abdi.org.br/cgi-local/artigos_1.pl?local=abre&id=27