1.11.2012   

PT

Jornal Oficial da União Europeia

C 335/13

Resumo do parecer da Autoridade Europeia para a Proteção de Dados sobre a Recomendação da Comissão sobre os preparativos para a implantação de sistemas de contador inteligente

(O texto integral do presente parecer está disponível em EN, FR e DE no sítio web da AEPD em http://www.edps.europa.eu)

2012/C 335/08

1.   Introdução

1.1.   Consulta da AEPD

1.

Em 9 de março de 2012, a Comissão adotou uma Recomendação sobre os preparativos para a implantação de sistemas de contador inteligente («a recomendação») (1). A recomendação foi enviada à AEPD para consulta em 19 de março de 2012.

2.

Antes da adoção da recomendação, a AEPD teve a oportunidade de apresentar observações informais. Algumas dessas observações foram tidas em conta na recomendação. Como consequência, foram reforçadas na recomendação as garantias em matéria de proteção de dados.

3.

A AEPD congratula-se com o facto de ter sido formalmente consultada pela Comissão e pela inclusão de uma referência ao presente parecer no preâmbulo da recomendação.

1.2.   Objetivos e contexto da recomendação

4.

A recomendação tem por objetivo fornecer orientações aos Estados-Membros sobre os preparativos para a implantação de sistemas de contador inteligente (2) na Europa. A implantação está prevista até 2020 para os mercados de abastecimento de eletricidade e de gás, devendo ser objeto de uma avaliação económica que pondere os custos e benefícios. Esta avaliação deve ser realizada por todos os Estados-Membros até 3 de setembro de 2012 (3).

5.

Uma parte significativa da recomendação (secção I) é dedicada à proteção de dados. Importa notar que a recomendação exige a preparação de um modelo de avaliação do impacto na proteção dos dados (4) («o Modelo») e a sua apresentação ao Grupo de Trabalho do artigo 29.o para a Proteção dos Dados («o GT do art. 29.o») para parecer no prazo de doze meses a contar da data de publicação da recomendação (5).

6.

Está atualmente em preparação o primeiro projeto do Modelo pelo Grupo de Peritos 2 da Task Force da Comissão Europeia para as redes inteligentes (Grupo de Missão para as redes inteligentes). A Task Force foi criada pela Comissão antes da adoção da recomendação para emitir parecer sobre questões relativas às redes inteligentes. Um dos subgrupos da Task Force, o Grupo de Peritos 2, analisou os aspetos relacionados com a segurança e a proteção de dados. O grupo é composto essencialmente por representantes do setor industrial (e alguns representantes da sociedade civil e de grupos de consumidores) (6).

7.

A Comissão prossegue uma abordagem de «soft law» (instrumento não vinculativo) que combina i) uma recomendação da Comissão que abrange, entre outras questões, a proteção de dados e ii) orientações adicionais destinadas aos Estados-Membros sob a forma de um modelo para a avaliação do impacto na proteção de dados, o qual deve ser aplicado voluntariamente pelos participantes do setor industrial. Esta abordagem tem por base a experiência adquirida com o desenvolvimento e revisão, no seguimento das observações do GT do art. 29.o, da «Proposta da indústria relativa a um quadro de avaliação do impacto das aplicações RFID na proteção da privacidade e dos dados». (7) Contudo, a Comissão não excluiu a necessidade de medidas legislativas a nível nacional e/ou europeu (8).

1.3.   Objetivos, principais mensagens e estrutura do parecer da AEPD

8.

Embora o presente parecer tenha sido adotado em resposta à recomendação da Comissão, não se limita estritamente ao seu conteúdo, uma vez que existem aspetos importantes em matéria de proteção de dados suscitados pela implantação de contadores inteligentes que não são exaustivamente abordados pela própria recomendação. A AEPD recorda também, neste contexto, as suas observações formais sobre a Proposta relativa à eficiência energética (9).

9.

O parecer da AEPD tem três objetivos principais e mensagens:

Em primeiro lugar, o parecer avalia a recomendação: congratula-se com a recomendação enquanto primeiro passo e salienta os seus resultados, mas também critica as suas lacunas, incluindo a insuficiente especificidade,

Em segundo lugar, a AEPD lamenta o facto de a recomendação não fornecer orientações mais específicas e mais práticas sobre proteção de dados, e considera que algumas orientações ainda podem ser fornecidas no Modelo de avaliação do impacto na proteção de dados, que está atualmente em fase de preparação. Por conseguinte, o parecer formula várias recomendações relativamente ao Modelo,

Em terceiro lugar, o parecer apela à Comissão para determinar se, para além da adoção da recomendação e do Modelo, serão necessárias medidas legislativas adicionais a nível da UE, e formula algumas recomendações específicas para uma eventual ação legislativa.

10.

Tendo em conta estes objetivos, o parecer está estruturado do seguinte modo:

O ponto 2 apresenta uma breve introdução aos conceitos de contadores inteligentes e redes inteligentes e explica as questões suscitadas em matéria de proteção de dados,

O ponto 3 apresenta observações gerais sobre a abordagem da Comissão seguida na recomendação, analisa a necessidade de medidas legislativas adicionais e formula recomendações para uma eventual ação legislativa,

O ponto 4 sublinha algumas das principais questões que, no entender da AEPD, devem ser abordadas de forma mais específica na recomendação. Algumas destas recomendações poderão também servir de orientação para os legisladores nacionais ou europeus quando ponderarem medidas legislativas ou regulamentares adicionais. O futuro Modelo de avaliação do impacto na proteção de dados poderá abordar outras questões,

O ponto 5 formula algumas recomendações específicas sobre a metodologia da avaliação do impacto na proteção de dados e sobre o conteúdo do futuro Modelo. Estas recomendações devem ser lidas em conjunto com o ponto 4.

6.   Conclusões

68.

A implantação de sistemas de contador inteligente a nível europeu poderá trazer benefícios significativos, mas também implica riscos consideráveis em matéria de proteção de dados pessoais. Permite a recolha massiva de dados pessoais dos agregados familiares europeus e poderá levar à monitorização da vida privada dos membros de um agregado familiar. Tendo em conta estes riscos, a AEPD congratula-se com os esforços envidados pela Comissão na recomendação no sentido de fornecer orientações aos Estados-Membros sobre as medidas que devem ser adotadas para assegurar que os sistemas de contador inteligente e de redes inteligentes são concebidos e utilizados de acordo com garantias adequadas em matéria de proteção de dados.

69.

A AEPD regista com satisfação os esforços envidados pela Comissão no sentido de utilizar os conceitos recentemente propostos de «proteção de dados desde a conceção» e instrumentos práticos como a avaliação do impacto na proteção de dados e as notificações em caso de violação da segurança. A AEPD, em especial, apoia o plano da Comissão de elaboração de um Modelo de avaliação do impacto na proteção de dados e a sua apresentação ao GT do art. 29.o para parecer.

70.

A AEPD lamenta que a recomendação não forneça orientações mais específicas e mais práticas sobre proteção de dados. Contudo, considera que ainda é possível fornecer algumas orientações no Modelo que está atualmente em preparação. Por conseguinte, o parecer formula recomendações sobre o Modelo e sublinha que este deve fornecer orientações específicas e práticas: um conjunto das melhores práticas e das «melhores técnicas disponíveis». É também importante que o Modelo siga uma metodologia sólida e preveja claramente, entre outras, uma medida de controlo adequada para cada risco.

71.

Além disso, o parecer apela à Comissão para determinar se serão necessárias medidas legislativas adicionais a nível da UE e formula recomendações específicas para essa eventual ação legislativa. Algumas dessas recomendações podem ser já implementadas através de uma alteração à Diretiva relativa à eficiência energética que está atualmente em via de adoção pelo Conselho e pelo Parlamento. Essas recomendações devem incluir, pelo menos, um requisito obrigatório para que os responsáveis pelo tratamento de dados realizem uma avaliação do impacto na proteção dos dados e uma obrigação de notificar as violações de dados pessoais (ponto 4.7).

72.

A AEPD recomenda ainda:

mais orientações sobre a base jurídica do tratamento de dados e o leque de escolhas das pessoas em causa: em especial, uma distinção clara entre os fins para os quais os dados relativos à energia podem ser utilizados sem o consentimento do cliente e os fins para os quais o consentimento do cliente é necessário (ponto 4.2),

aplicação obrigatória de tecnologias de proteção da privacidade (TPP) e outras «melhores técnicas disponíveis» para a redução ao mínimo do tratamento de dados pessoais (ponto 4.3),

clarificação das funções e responsabilidades dos diferentes intervenientes do ponto de vista da proteção de dados (ponto 4.4),

mais orientações sobre os períodos de conservação de dados; em princípio, o armazenamento de dados detalhados sobre o consumo de agregados familiares individuais apenas deve ser autorizado até ao final do período durante o qual a fatura pode ser legalmente contestada ou o pagamento reclamado e apenas no nível de detalhe necessário para efeitos de faturação (sem prejuízo do direito do consumidor a períodos de conservação mais longos com base no consentimento da pessoa em causa, por exemplo, para obter aconselhamento energético específico) (ponto 4.5),

acesso direto dos consumidores aos respetivos dados de consumo de energia e métodos eficazes para informar as pessoas em causa sobre o tratamento dos seus dados; tal deve incluir, em caso de prospeção de dados, a divulgação de perfis individuais e a lógica de eventuais algoritmos utilizados para essa prospeção; também devem ser fornecidas informações completas sobre a existência de qualquer funcionalidade de comando à distância de ativação/desativação de fornecimento (ponto 4.6).

Feito em Bruxelas, em 8 de junho de 2012,

Giovanni BUTTARELLI

Autoridade Adjunta Europeia para a Proteção de Dados

(1)  C(2012) 1342 final.

(2)  Para uma breve introdução aos contadores inteligentes e redes inteligentes, consulte o ponto 2.1 abaixo.

(3)  A implantação e a análise custos-benefícios são exigidas ao abrigo da i) Diretiva 2009/72/CE do Parlamento Europeu e do Conselho, de 13 de julho de 2009, que estabelece regras comuns para o mercado interno da eletricidade e que revoga a Diretiva 2003/54/CE (JO L 211 de 14.8.2009, p. 55), e da ii) Diretiva 2009/73/CE do Parlamento Europeu e do Conselho, de 13 de julho de 2009, que estabelece regras comuns para o mercado interno do gás natural e que revoga a Diretiva 2003/55/CE (JO L 211 de 14.8.2009, p. 94). A Proposta da Comissão para uma Diretiva relativa à eficiência energética [COM(2011) 370 final] («Proposta relativa à eficiência energética»), atualmente em via de adoção pelos legisladores, inclui medidas adicionais relativas a contadores inteligentes.

(4)  No que respeita às avaliações do impacto na proteção de dados, importa referir que a Proposta da Comissão para a revisão do quadro normativo geral da proteção de dados tenciona tornar obrigatórias estas avaliações em algumas situações e fornece orientações adicionais sobre a forma como deve ser realizada uma avaliação do impacto. Ver o artigo 33.o da Proposta da Comissão para um Regulamento relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados [COM(2012) 11 final]. Ver também os pontos 200 a 205 do Parecer da AEPD, de 7 de março de 2012, sobre o pacote de reforma legislativa sobre a proteção de dados. http://www.edps.europa.eu/EDPSWEB/edps/Consultation/Reform_package;jsessionid=46ACCFDB9005EB950DF9C7D58BDE5377

(5)  Ver o número 5 da recomendação.

(6)  Estão disponíveis mais informações sobre o trabalho da Task Force e do Grupo de Peritos 2 no sítio web da Task Force em http://ec.europa.eu/energy/gas_electricity/smartgrids/taskforce_en.htm

(7)  Ver http://ec.europa.eu/information_society/policy/rfid/documents/pia-pt.pdf e http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp180_pt.pdf

(8)  Importa referir que, na fase atual, não foi ainda realizada qualquer avaliação da eficácia da abordagem de «soft law» no domínio das RFID, nem foram disponibilizadas informações gerais que apontem para a eficácia da abordagem.

(9)  Carta da AEPD, datada de 27 de outubro de 2011, para Günther H. Oettinger, Comissário da Energia, sobre a proposta de Diretiva do Parlamento Europeu e do Conselho relativa à eficiência energética e que revoga as Diretivas 2004/8/CE e 2006/32/CE, disponível em http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/2011/11-10-27_Letter_Oettinger_EN.pdf