13.12.2016   

PT

Jornal Oficial da União Europeia

C 463/10

1.

As condições vigentes aplicáveis ao tratamento de dados pessoais são amiúde injustas para as pessoas cujos dados são objeto de tratamento. As condições jurídicas e os instrumentos técnicos dificultam às pessoas o exercício dos seus direitos e permitem que os responsáveis pelo tratamento limitem a sua responsabilidade. Os corretores de dados, as redes de publicidade, os fornecedores de redes sociais e outros agentes empresariais dispõem de arquivos cada vez mais completos sobre as pessoas que participam na sociedade digital dos nossos dias e as pessoas estão a perder controlo das pegadas digitais que deixam atrás de si. Visadas, objeto de definição de perfis e avaliadas por agentes muitas vezes fora do seu controlo ou até mesmo do seu conhecimento, as pessoas podem sentir-se indefesas e é necessário capacitá-las para assumirem o controlo da sua identidade. Mesmo quando tenham recebido formalmente algum tipo de «notificação» e a oportunidade de «aceitar» os termos e condições gerais, as pessoas encontram-se amiúde dentro de um sistema concebido para maximizar a monetização dos dados pessoais, que não deixa qualquer escolha ou controlo real aos interessados.

2.

A comunicação da Comissão Europeia sobre os grandes volumes de dados (1) define um plano de ações que visam conjuntamente os dados pessoais e a proteção dos consumidores. Tal incentiva especificamente a utilização de «espaços de dados pessoais» como locais centrados no utilizador, seguros e protegidos para armazenar e, eventualmente, permitir a outras pessoas acederem a dados pessoais. Entendemos que se deve encorajar os instrumentos digitais inovadores e os modelos de negócio assentes na capacitação das pessoas. Os mesmos poderão permitir que as pessoas beneficiem dessa partilha de dados, ou seja, participem na utilização e distribuição das suas informações pessoais.

3.

No nosso parecer sobre «Corresponder aos desafios dos Grandes Volumes de Dados» (2) defendemos que se deveria complementar a obrigação legal do consentimento efetivo com um controlo real e prático das informações pessoais. Defendemos que «em vez de um encargo administrativo, o fornecimento de direitos de acesso poderá tornar-se uma característica do serviço prestado aos clientes», e que as empresas que têm por base a exploração de grandes volumes de dados devem «estar preparadas para partilhar os lucros gerados pelo tratamento de dados pessoais com as pessoas cujos dados tratam». Neste contexto salientámos que «as bases de dados pessoais poderão ajudar a resolver algumas das preocupações relativas à perda do controlo por parte da pessoa dos dados pessoais». O Regulamento geral sobre a proteção de dados (RGPD) (3) adotado recentemente reforçou os requisitos jurídicos para o consentimento (4) e introduziu princípios efetivos e modernos da proteção de dados desde a conceção e por defeito (5), bem como um novo direito de portabilidade dos dados (6). Para que o novo quadro aplicável à proteção de dados cumpra a sua promessa, afiguram-se necessários instrumentos práticos que permitam às pessoas exercerem os seus direitos de uma forma conveniente e fácil.

4.

O presente parecer explora tecnologias e ecossistemas novos que se destinam a capacitar as pessoas no sentido de controlarem a recolha e partilha dos seus dados pessoais. Faremos referência a este conceito como «sistema de gestão de informações pessoais» («SGIP») (7). O conceito de SGIP oferece numa nova abordagem mediante a qual as pessoas são os titulares das suas próprias informações pessoais. Poderá dar azo a uma mudança de paradigma na gestão e no tratamento dos dados pessoais, com consequências sociais e económicas. Em contrapartida, o cenário atual dos serviços em linha caracteriza-se por um pequeno número de prestadores de serviços que dominam o mercado através da monetização dos dados pessoais dos utilizadores em troca de serviços «gratuitos». Tal é muitas vezes acompanhado de um desequilíbrio de poder, em que o cliente é confrontado com uma abordagem de «pegar ou largar» e por uma assimetria de informação entre os prestadores de serviços e os utilizadores, com pouca ou nenhuma transparência para as pessoas sobre o que acontece com os seus dados pessoais.

5.

A ideia principal subjacente ao conceito de SGIP é a de transformar o atual sistema centrado no prestador num sistema centrado nas pessoas capazes de gerirem e controlarem a sua identidade em linha (8). Em princípio, as pessoas devem poder decidir se e com quem partilham as suas informações pessoais, para que finalidades, durante quanto tempo, bem como acompanhar as mesmas e decidir recuperá-las quando assim o pretenderem. Vale a pena explorar de que modo os SGIP poderão ajudar a dar resposta a algumas das preocupações relacionadas com a perda do controlo dos dados pessoais por parte das pessoas que foi salientada como uma das principais preocupações sobre os grandes volumes de dados (9).

6.

Esta abordagem visa reforçar os direitos fundamentais no nosso mundo digital e, simultaneamente, oferecer novas oportunidades para as empresas desenvolverem serviços inovadores baseados em dados pessoais alicerçados na confiança mútua. Os SGIP prometem oferecer uma nova arquitetura e organização técnicas para a gestão de dados que cria estruturas de confiança. Esperam permitir modelos de negócio alternativos para a recolha e o tratamento de dados pessoais na era dos grandes volumes de dados, que o fazem de uma forma mais respeitadora da legislação europeia em matéria de proteção de dados.

7.

No presente parecer, descrevemos sucintamente o que são os SGIP, que problemas pretendem solucionar e de que forma (10). Analisamos de que modo podem contribuir para uma melhor proteção dos dados pessoais e quais os desafios com que se deparam. Por último, identificamos novos caminhos para aproveitar as oportunidades que oferecem.

54.

Tal como referido anteriormente, o legislador da UE adotou recentemente um pacote de reforma da proteção de dados que reforça e moderniza o quadro regulamentar, de molde a que se mantenha eficaz na era dos grandes volumes de dados.

55.

O novo RGPD, nomeadamente as regras relacionadas com maior transparência e fortes direitos de acesso e portabilidade dos dados, devem ajudar a conferir às pessoas um maior controlo dos seus dados e poderá também contribuir para mercados de dados pessoais mais eficientes, para benefício dos consumidores e das empresas.

56.

Os códigos de conduta e os regimes de certificação tal como previstos no RGPD constituem instrumentos privilegiados para dar visibilidade e função específicas à tecnologia e produtos que – tal como os SGIP – podem servir para implementar de forma mais eficaz a legislação em matéria de proteção de dados a nível prático.

57.

Não obstante, os SGIP veem-se confrontados com a dificuldade global de penetrar num mercado dominado por serviços em linha assentes em modelos de negócio e arquiteturas técnicas onde as pessoas não controlam os seus dados, conforme explicado na Secção 3.9. Transitar para uma situação em que as pessoas dispõem efetivamente da possibilidade de dar a um prestador de serviços acesso a alguns dados nos seus SGIP em vez de fornecer os dados diretamente ao prestador de serviços vai exigir incentivos adicionais para os prestadores de serviços. A Comissão poderá utilizar as iniciativas que anunciou sobre fluxos de dados e propriedade dos dados (11) para explorar que iniciativas políticas poderão motivar os responsáveis pelo tratamento de dados a aceitar esta forma de fornecer dados. Além disso, uma iniciativa por parte dos serviços públicos da administração em linha de aceitar os SGIP como fonte de dados em vez da recolha direta de dados poderá acrescentar massa crítica à aceitação dos mesmos.

58.

Esta análise poderá ser complementada com medidas destinadas a estabelecer os alicerces técnicos, sociais e económicos, nomeadamente esforços de normalização, incentivos económicos e promoção da investigação e projetos-piloto.

59.

A União Europeia e as administrações públicas dos Estados-Membros, bem como os projetos cofinanciados pelas mesmas, são os primeiros locais onde esta mudança de perspetiva deverá ser testada, promovida e, assim se espera, concretizada.

60.

Uma boa regulamentação, embora crucial, não é por si só suficiente. Conforme indicado no nosso parecer sobre «Corresponder aos desafios dos Grandes Volumes de Dados» (12), as empresas e outras organizações que investem muito esforço na descoberta de modos inovadores para utilizar dados pessoais, devem utilizar o mesmo espírito inovador sempre que implementarem princípios da proteção de dados.

61.

A contribuição da tecnologia no modelo de SGIP é fundamental. Os SGIP podem servir para testar a proteção dos dados através de abordagens de conceção e tecnologias que as apoiem. Os tópicos de investigação relevantes, nos casos em que se afigurem necessários apoio e investimentos adequados, incluem: gestão de identidade interoperável e respeitadora da privacidade; mecanismos de autorização; interoperabilidade dos dados; proteção dos dados; e mecanismos para a aplicação automática dos «contratos» celebrados entre as pessoas e terceiros. Tudo isto é alavancado pela criptografia e a encriptação e impulsionado pela disponibilidade a custos acessíveis da capacidade de computação. Nesta fase incipiente, afigura-se necessário o apoio determinante dos decisores políticos, tais como a Comissão, à investigação básica e aplicada nestes domínios da tecnologia, para não deixar escapar as oportunidades atuais.

62.

A fim de promover a investigação, o desenvolvimento e a implantação no mercado no domínio dos SGIP, recomendamos que a Comissão planeie eventuais sinergias com outros domínios da estratégia do Mercado Único Digital, tais como a Computação em Nuvem e a Internet das Coisas. Desta forma, podem ser levados a cabo projetos-piloto para conceber e testar a interação de serviços em nuvem e da Internet das Coisas com os SGIP.

63.

A AEPD tenciona contribuir para a promoção dos esforços privados e públicos no sentido descrito supra. Continuaremos a facilitar os debates, nomeadamente através da organização de eventos/oficinas de trabalho, por exemplo, com vista a identificar, incentivar e promover boas práticas para aumentar a transparência e o controlo do utilizador e explorar as oportunidades que os SGIP oferecem. Continuaremos igualmente a promover o trabalho da Rede de Engenharia da Privacidade na Internet («IPEN») enquanto centro de conhecimento interdisciplinar para engenheiros e peritos em privacidade. Neste contexto, continuaremos a fornecer uma plataforma para desenvolvedores e promotores de SGIP, a fim de beneficiar dos intercâmbios com especialistas noutras tecnologias e proteção de dados.