13.10.2017   

PT

Jornal Oficial da União Europeia

C 345/138

Relatora:

Laure BATUT

1.1.

O CESE lamenta profundamente que a sobreposição dos textos sobre a proteção de dados, o seu volume, o seu caráter intrincado e a constante alternância entre uns e outros necessária à compreensão tornem a leitura e aplicação improváveis para lá de um círculo de iniciados, e que o seu valor acrescentado não seja acessível aos cidadãos, noção ausente de toda a proposta de regulamento. Recomenda a publicação em linha de uma brochura sintética que apresente esses textos ao público, tornando-os acessíveis a todos.

1.2.

O CESE sublinha que, entre as opções propostas na avaliação de impacto, a Comissão escolheu a que reforça «moderadamente» o respeito pela vida privada. Será para garantir o equilíbrio com os interesses da indústria? A Comissão não especifica quais os elementos do reforço «considerável» do respeito pela vida privada que poderiam prejudicar os interesses da indústria. Esta posição retira força ao texto logo à partida.

1.3.

O CESE recomenda que a Comissão:

2.1.

As redes de comunicações eletrónicas evoluíram consideravelmente desde a entrada em vigor das Diretivas 95/46 e 2002/58/CE  (2) sobre o respeito pela vida privada nas comunicações eletrónicas.

2.2.

O Regulamento geral sobre a proteção de dados (RGPD) adotado em 2016 [Regulamento (UE) 2016/679] passou a ser a base das medidas adotadas e definiu os princípios fundamentais a seguir, incluindo para os dados judiciais e penais. Nos termos deste regulamento, os dados pessoais só podem ser recolhidos em condições muito limitadas e para fins legítimos, respeitando a confidencialidade (artigo 5.o do RGPD).

2.2.1.

A Comissão apresentou, em outubro de 2016, uma proposta de diretiva que estabelece o Código Europeu das Comunicações Eletrónicas (3) (com 300 páginas), que ainda não foi adotado, mas ao qual se refere relativamente a algumas definições que não constam nem do RGDP nem do texto em apreço.

2.2.2.

Duas propostas da Comissão, de janeiro de 2017, explicitam alguns aspetos com base no RGPD; trata-se da Proposta de regulamento relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União e à livre circulação desses dados [COM(2017) 8 final, relator: Jorge PEGADO LIZ], e do texto em análise [COM(2017) 10 final], relativo ao respeito pela vida privada e à proteção dos dados pessoais.

2.3.

Os três textos acima referidos serão aplicáveis a partir da mesma data, 25 de maio de 2018, e visam harmonizar os direitos e os procedimentos de controlo.

2.4.

Importa assinalar que, para facilitar esta abordagem, foi decidido utilizar, para a proteção da vida privada, um regulamento europeu em vez de uma diretiva.

3.1.

A sociedade civil deseja compreender se, no mundo digital globalizado que se desenha no horizonte, a União proporciona um valor acrescentado que garante a existência de espaços onde a vida privada se possa desenvolver sem medo.

3.2.

Os dados continuamente gerados tornam todos os utilizadores rastreáveis e identificáveis, onde quer que se encontrem. O tratamento dos dados efetuado em centros físicos, na sua maioria situados fora da Europa, suscita preocupações.

3.3.

Os megadados (big data) transformaram-se numa moeda; através de um tratamento inteligente, permitem definir perfis de pessoas singulares e coletivas, «mercantilizá-las» e ganhar dinheiro, muitas vezes sem o conhecimento dos utilizadores.

3.4.

Muito em particular, o aparecimento de novos intervenientes no setor do tratamento de dados, para além dos fornecedores de acesso à Internet, deve conduzir à revisão dos textos.

4.1.

Com esta proposta, a Comissão pretende instaurar um equilíbrio entre os consumidores e a indústria:

4.2.

A proposta incide sobre a execução do RGPD, que é de aplicação geral, tal como a confidencialidade dos dados privados e o direito ao apagamento, no que diz respeito ao aspeto específico do respeito pela vida privada e da proteção dos dados pessoais nas telecomunicações, e propõe a adoção de regras mais exigentes em matéria de proteção da privacidade, bem como de controlos coordenados e sanções.

4.3.

Não estabelece medidas específicas em relação às «lacunas» na proteção dos dados pessoais causadas pelos próprios utilizadores, mas confirma desde os primeiros artigos (artigo 5.o) o princípio da confidencialidade das comunicações eletrónicas.

4.4.

Os prestadores de serviços podem tratar o conteúdo das comunicações eletrónicas:

4.5.

São obrigados a apagar ou a anonimizar os conteúdos após a receção das comunicações pelos destinatários.

4.6.

Nos termos do artigo 4.o, n.o 11, do RGPD, o «consentimento» do titular dos dados corresponde a uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

4.7.

A proposta mantém a exigência de um consentimento expressamente declarado, definido no RGPD, cabendo ao operador o ónus da prova.

4.8.

O «tratamento» assenta no consentimento. O responsável pelo tratamento deve «poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais» (artigo 7.o, n.o 1, do RGPD).

4.9.

O direito da UE ou dos Estados-Membros pode prever determinadas restrições (de obrigações e direitos) à confidencialidade para salvaguardar interesses públicos ou uma missão de inspeção.

4.10.

As pessoas singulares devem ter dado o seu consentimento para serem incluídas numa lista eletrónica acessível ao público e devem ser-lhes facultados os meios necessários para verificar e corrigir os dados que lhes dizem respeito (artigo 15.o).

4.11.

Existe um direito de oposição que permitirá que os utilizadores bloqueiem a utilização dos seus dados confiados a terceiros (por exemplo a um comerciante), após o envio de cada mensagem (artigo 16.o). As novas regras permitirão que os utilizadores controlem melhor os seus parâmetros (testemunhos de conexão e identificadores) e as comunicações «não solicitadas» (correio eletrónico não solicitado, mensagens, SMS e chamadas) poderão ser bloqueadas caso o utilizador não as tenha consentido.

4.12.

Relativamente à identificação das chamadas e ao bloqueio de chamadas não solicitadas (artigos 12.o e 14.o), o regulamento sublinha que estes direitos também se aplicam às pessoas coletivas.

4.13.

A estruturação do sistema de controlo é consentânea com o RGPD (capítulos VI sobre as autoridades de controlo e VII sobre a cooperação entre as autoridades de controlo).

4.13.1.

Cabe aos Estados-Membros e respetivas autoridades nacionais responsáveis pela proteção de dados fazer respeitar as regras de confidencialidade. As outras autoridades de controlo poderão, no contexto da assistência mútua, formular objeções que serão eventualmente apresentadas às autoridades nacionais de controlo, cooperando com estas últimas e com a Comissão Europeia por meio de um procedimento de controlo da coerência (artigo 63.o do RGPD).

4.13.2.

O Comité Europeu para a Proteção de Dados está, por sua vez, incumbido de assegurar a aplicação coerente do regulamento em apreço (artigos 68.o e 70.o do RGPD).

4.14.

Há vias de recurso ao dispor das pessoas singulares ou coletivas que sejam utilizadores finais, para defenderem os seus interesses lesados por infrações ao regulamento, podendo receber uma indemnização pelos danos sofridos.

4.15.

Os montantes previstos para as coimas pretendem ser dissuasivos, uma vez que podem ascender, no caso dos infratores, a dez milhões de euros e, no caso das empresas, a 2 % do seu volume de negócios anual, a nível mundial, no exercício financeiro anterior, consoante o montante que for mais elevado (artigo 23.o); os Estados-Membros estabelecem as sanções a aplicar nos casos em que não estão previstas coimas e notificam a Comissão das disposições adotadas.

4.16.

O novo texto sobre o respeito pela vida privada e a utilização de dados pessoais será aplicável a partir de 25 de maio de 2018, ou seja, na mesma data que o RGPD de 2016, que o Regulamento relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União e à livre circulação desses dados, e que a proposta de reformulação da diretiva que estabelece o Código Europeu das Comunicações Eletrónicas [COM(2016) 590 final], se forem adotados.

4.17.

Âmbito de aplicação da lex specialis de execução do RGPD:

—

ratione personae: intervenientes

—

ratione materiae: os dados

—

ratione loci: onde?

4.18.

Objetivos da UE: mercado único digital

5.1.

O Comité saúda a adoção simultânea, em toda a União, de um conjunto coerente de regras destinadas a proteger os direitos das pessoas singulares e coletivas associados à utilização de dados digitais através de comunicações eletrónicas.

5.1.1.

Congratula-se pelo facto de a União estar a desempenhar o seu papel de defensora dos direitos dos cidadãos e dos consumidores.

5.1.2.

Sublinha que, embora se pretenda uma harmonização, a interpretação de muitos conceitos incumbe aos Estados-Membros, o que transforma o regulamento numa espécie de diretiva que deixa grande margem para a mercantilização dos dados privados. O setor da saúde, em particular, é uma porta aberta para a recolha de enormes quantidades de dados privados.

5.1.3.

Os artigos 11.o, n.o 1, 13.o, n.o 2, 16.o, n.os 4 e 5, e 24.o são disposições que poderíamos qualificar de medidas de «transposição», isto é, adequadas numa diretiva e não num regulamento. Com o intuito de melhorar a qualidade dos serviços, é concedida uma margem de discricionariedade excessiva aos operadores (artigos 5.o e 6.o). Este regulamento deveria fazer parte da proposta de reformulação da Diretiva que estabelece o Código Europeu das Comunicações Eletrónicas [COM(2016) 590 final)].

5.1.4.

O CESE lamenta profundamente que a sobreposição, o volume dos textos e o seu caráter intrincado tornem improvável que venham a ser lidos para lá de um círculo de iniciados. Com efeito, é necessário alternar em permanência entre uns textos e outros. Além disso, o seu valor acrescentado não é visível para os cidadãos. A dificuldade de leitura e a complexidade desta proposta são contrárias ao espírito do programa para a adequação e a eficácia da regulamentação (REFIT) e do objetivo de «legislar melhor», dificultando a sua interpretação e abrindo lacunas na proteção.

5.1.5.

A título de exemplo, a proposta de regulamento não contém qualquer definição do conceito de «operador»; é necessário consultar o projeto de Código Europeu das Comunicações Eletrónicas (4), que ainda não entrou em vigor, e que alterará as normas do setor no âmbito do mercado único digital, a saber, a Diretiva-Quadro 2002/21/CE, a Diretiva Autorização (2002/20/CE), a Diretiva Serviço Universal (2002/22/CE), a Diretiva Acesso (2002/19/CE), tal como alteradas, o Regulamento (CE) n.o 1211/2009 que cria o ORECE, a Decisão Espetro de Radiofrequências (676/2002/CE), a Decisão 2002/622/CE que institui um Grupo para a Política do Espetro de Radiofrequências e a Decisão n.o 243/2012/UE que estabelece um programa plurianual da política do espetro radioelétrico. É certo que a referência fundamental continua a ser o RGPD (cf. ponto 2.2), que a proposta em apreço se propõe completar, sendo, por conseguinte, sua subsidiária.

5.2.

O CESE assinala em especial o conteúdo do artigo 8.o, relativo à proteção das informações armazenadas nos equipamentos terminais e as potenciais exceções, disposição fundamental visto que confere à sociedade da informação a possibilidade de aceder a dados privados. Assinala igualmente o conteúdo do artigo 12.o, relativo à restrição da identificação da linha chamadora e da linha conectada, por considerar que ambos os artigos são pouco acessíveis aos leigos nestas matérias.

5.2.1.

A diretiva de 1995 (artigo 2.o) definia o conceito de «dados pessoais» como «qualquer informação relativa a uma pessoa singular identificada ou identificável (“pessoa em causa”)». O regulamento em apreço estende a proteção aos metadados e passa a aplicar-se tanto às pessoas singulares como às pessoas coletivas. Importa voltar a referir que a proposta tem dois objetivos: por um lado, proteger os dados pessoais e, por outro, assegurar a livre circulação dos dados e serviços de comunicações eletrónicas na UE (artigo 1.o).

5.2.2.

O CESE sublinha que a vontade de proteger os dados das pessoas coletivas (artigo 1.o, n.o 2) vai colidir com outros diplomas dos quais está ausente: não é claramente dito que esses textos também se aplicam às pessoas coletivas (cf. RGPD, relativamente aos dados das instituições europeias).

5.3.

O CESE questiona-se se o verdadeiro objetivo desta proposta não será dar mais ênfase ao seu artigo 1.o, n.o 2, do regulamento, ou seja, assegurar «a livre circulação de dados de comunicações eletrónicas e serviços de comunicações eletrónicas na União», que o regulamento não restringe nem proíbe por motivos relacionados com o respeito pela vida privada e pelas comunicações das pessoas singulares, em vez de garantir realmente o que está previsto no artigo 1.o, n.o 1, ou seja, «os direitos ao respeito pela vida privada e pelas comunicações e à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais».

5.4.

Tudo assenta na expressão do consentimento da pessoa singular ou coletiva. Consequentemente, no entender do CESE, os utilizadores devem ser informados, receber formação e agir com prudência, pois uma vez dado o consentimento, o operador poderá continuar a tratar os conteúdos e metadados de modo a maximizar as ações e os ganhos. Quantas pessoas sabem, antes de o aceitar, que um testemunho de conexão é um rastreador? A educação dos utilizadores para o exercício dos seus direitos, bem como a anonimização ou encriptação, deveriam ser prioridades deste regulamento.

6.1.

Os dados privados só devem ser recolhidos por organismos que cumpram requisitos muito exigentes e visem objetivos conhecidos e legítimos (RGPD).

6.2.

O Comité lamenta, mais uma vez, «as exceções e restrições, demasiado numerosas, que afetam os princípios afirmados do direito à proteção dos dados pessoais» (5). O equilíbrio entre liberdade e segurança deveria continuar a ser o atributo da União Europeia, mais do que o equilíbrio entre direitos fundamentais dos cidadãos e indústria. O Grupo de Trabalho do Artigo 29.o assinalou de forma veemente, na sua análise da proposta de regulamento (WP247 de 4.4.2017, parecer 1/2017, ponto 17), que nele se reduz o nível de proteção fixado pelo RGPD, nomeadamente em matéria de localização do terminal e de ausência de limitação do campo dos dados coletáveis, não prevendo a proteção da vida privada automaticamente (ponto 19).

6.3.

Os dados são como um prolongamento da pessoa, uma identidade-fantasma, uma «identidade-sombra». Os dados pertencem à pessoa que os cria, mas depois do tratamento escapam à sua influência. Cada Estado continua a ser responsável pela conservação e transferência dos dados e não existe harmonização devido às possíveis restrições dos direitos previstas nesta proposta. O Comité sublinha o risco de disparidades ligado ao facto de a restrição dos direitos ser deixada ao critério dos Estados-Membros.

6.4.

Coloca-se então uma questão, muito especialmente quanto às pessoas que trabalham em empresas: a quem pertencem os dados que gerarem durante o trabalho? E como se protegem esses dados?

6.5.

A arquitetura do controlo não é muito clara (6); apesar da supervisão da AEPD, as garantias contra a arbitrariedade não parecem suficientes e o tempo necessário para os procedimentos levarem a uma sanção não foi avaliado.

6.6.

O CESE apela à criação de um portal europeu no qual se juntariam e atualizariam todos os diplomas europeus e nacionais, todos os direitos, vias de recurso, jurisprudência e elementos práticos, para que os cidadãos e os consumidores consigam orientar-se no labirinto de diplomas e de práticas e exercer os seus direitos. Este portal deveria inspirar-se, pelo menos, nos requisitos da Diretiva (UE) 2016/2102, de 26 de outubro de 2016, relativa à acessibilidade dos sítios web e das aplicações móveis de organismos do setor público, e nos princípios referidos nos considerandos 12, 15 e 21 da proposta de diretiva relativa à «Lei europeia da acessibilidade» [2015/0278 (COD)], e oferecer conteúdos acessíveis e compreensíveis a todos os utilizadores finais. O CESE está pronto a participar nas fases de conceção deste portal.

6.7.

Falta, no artigo 22.o, uma referência às «ações coletivas», como o CESE já tinha feito notar no parecer sobre o Código Europeu das Comunicações Eletrónicas.

6.8.

A limitação do âmbito de aplicação material (artigo 2.o, n.o 2), o alargamento da possibilidade de tratamento dos dados sem consentimento do titular (artigos 6.o, n.os 1 e 2), o conceito improvável de obtenção do consentimento de TODOS os utilizadores em causa (artigo 6.o, n.o 3, alínea b), e artigo 8.o, n.os 1, 2 e 3) e as restrições aos direitos que os Estados-Membros podem introduzir, caso considerem que estas constituem medidas «necessárias, adequadas e proporcionadas», são regras cujo conteúdo é suscetível de tantas interpretações que se revela contrário a uma verdadeira proteção da vida privada. Por outro lado, deve ser dada especial atenção à proteção dos dados relativos aos menores.

6.9.

O CESE congratula-se com o direito de controlo evocado no artigo 12.o, embora a sua redação seja particularmente hermética, parecendo privilegiar a utilização de chamadas telefónicas «desconhecidas» ou «ocultas», como se o anonimato fosse aconselhado, quando o princípio deveria ser o da identificação das chamadas.

6.10.

As comunicações não solicitadas (artigo 16.o) e o marketing direto já são objeto da Diretiva Práticas Comerciais Desleais (7). O regime predefinido deveria ser a aceitação (opt-in) e não a recusa (opt-out).

6.11.

Está previsto que a Comissão proceda a uma avaliação de três em três anos, o que é, no domínio digital, um prazo excessivamente longo. Ao fim de duas avaliações, o mundo digital terá mudado completamente. No entanto, a delegação de poderes (artigo 25.o), que poderá ser extensa, deveria ser conferida por um período determinado, eventualmente prorrogável.

6.12.

A legislação deve preservar os direitos dos utilizadores (artigo 3.o do TUE), garantindo simultaneamente a estabilidade jurídica necessária à atividade comercial. O CESE lamenta que a circulação dos dados máquina-máquina não conste da proposta, sendo necessário recorrer ao Código Europeu das Comunicações Eletrónicas (proposta de diretiva, artigos 2.o e 4.o).

6.12.1.

A Internet das coisas (8) conduzirá aos megadados (big data), aos enormes dados (huge data) e depois ao «tudo dados» (all data). É uma chave para as futuras vagas de inovação. E as máquinas, pequenas ou grandes, comunicam e veiculam dados privados entre elas (o seu relógio regista os seus batimentos cardíacos e envia-os para o computador do seu médico, etc.). Muitos operadores digitais lançaram a suas próprias plataformas reservadas aos objetos conectados: Amazon, Microsoft e Intel ou, em França, Orange e La Poste.

6.12.2.

A Internet das coisas da vida quotidiana pode ser facilmente objeto de intrusões malévolas e a quantidade de informações pessoais que é possível recolher à distância está a aumentar (geolocalização, dados de saúde, gravações vídeo e áudio transmitidas em linha). As lacunas na proteção dos dados interessam, entre outros, às companhias de seguros, que estão a começar a propor aos clientes que se dotem de objetos conectados, responsabilizando-os depois pelos comportamentos que tiverem.

6.13.

Vários gigantes da Internet estão a tentar que a sua aplicação inicial evolua para uma plataforma: é, pois, conveniente distinguir a aplicação Facebook da plataforma Facebook, que permite que os criadores concebam aplicações acessíveis a partir dos perfis dos utilizadores. A Amazon, por exemplo, era uma aplicação web especializada nas vendas em linha. Atualmente, transformou-se numa plataforma, permitindo assim que terceiros — de particulares a grandes grupos — comercializem os seus produtos beneficiando dos recursos da Amazon: a reputação, a logística, etc. Tudo isto passa pela transferência de dados pessoais.

6.14.

A economia colaborativa está associada à proliferação de plataformas: «uma plataforma que põe em contacto, designadamente por meios eletrónicos, uma pluralidade de predisponentes de bens ou serviços e uma pluralidade de utilizadores (9)». Não obstante a procura de que são alvo devido à atividade e ao emprego que proporcionam, o CESE interroga-se como será possível controlar as transferências de dados que geram, tanto na aplicação do RGPD como na do regulamento em apreço.