Resumo do Parecer da Autoridade Europeia para a Proteção de Dados sobre «Corresponder aos desafios dos Grandes Volumes de Dados: Um apelo à transparência, controlo do utilizador, proteção de dados desde a conceção e responsabilidade»

(O texto integral do presente parecer encontra-se disponível em EN, FR e DE no sítio web da AEPD em www.edps.europa.eu)

«O direito a não ser importunado é verdadeiramente o começo de toda a liberdade» (1).

Os grandes volumes de dados, se realizados de modo responsável, podem proporcionar eficiências e benefícios significativos para a sociedade e as pessoas não só na saúde, investigação científica, ambiente e outras áreas específicas. Mas existem sérias preocupações com o impacto concreto e potencial do tratamento de grandes volumes de dados sobre os direitos e liberdades de pessoas, inclusivamente o seu direito à privacidade. Os desafios e riscos dos grandes volumes de dados, por conseguinte, apelam a uma proteção de dados mais eficaz.

A tecnologia não deve ditar valores nem direitos, nem tão pouco deve a relação entre ambos ser reduzida a uma falsa dicotomia. Os novos modelos de negócio que estão a explorar novas capacidades para a recolha massiva, transmissão instantânea, combinação e reutilização de informações pessoais para fins inéditos colocaram os princípios da proteção de dados sob novas tensões, o que exige uma consideração cuidada acerca do modo como são aplicados.

A legislação europeia em matéria de proteção de dados foi desenvolvida para proteger os nossos valores e direitos fundamentais, incluindo o nosso direito à privacidade. A questão não é quanto à opção de aplicar a legislação em matéria de proteção de dados aos grandes volumes de dados, mas sim como aplicá-la de modo inovador em novos ambientes. Os atuais princípios da proteção de dados, incluindo transparência, proporcionalidade e limitação da finalidade fornecem a medida necessária a proteger de modo mais dinâmico os nossos direitos fundamentais no mundo dos grandes volumes de dados. No entanto, devem ser complementados por «novos» princípios que se desenvolveram ao longo dos anos tais como a responsabilidade e a privacidade desde a conceção e por defeito. A expetativa é que o pacote de reformas de proteção de dados da UE fortaleça e modernize a moldura regulatória (2).

A UE pretende maximizar o crescimento e a competitividade através da exploração dos grandes volumes de dados. Mas o Mercado Único Digital não pode importar de modo acrítico as tecnologias e os modelos de negócio potenciados pelos dados que se tornaram corrente económica maioritária noutras áreas do mundo. Contrariamente, deve exibir liderança no desenvolvimento do tratamento de dados pessoais responsável. A internet evoluiu num sentido em que a vigilância — monitorizar o comportamento das pessoas — é considerada como o modelo de lucro indispensável para algumas das empresas mais bem sucedidas. Este desenvolvimento apela a uma avaliação crítica e à procura de outras opções.

Em qualquer caso, independentemente dos modelos de negócio escolhidos, as organizações que processam grandes volumes de informações pessoais têm de cumprir a legislação aplicável em matéria de proteção de dados. A Autoridade Europeia para a Proteção de Dados (AEPD) crê que o desenvolvimento sustentável e responsável dos grandes volumes de dados têm de assentar em quatro elementos essenciais:

No que respeita à transparência, tem de ser prestada informação clara às pessoas sobre quais os dados que são processados, inclusivamente dados observados ou inferidos sobre elas; têm de ser mais bem informadas acerca de como e para que finalidade as suas informações são utilizadas, inclusivamente qual a lógica utilizada em algoritmos para determinar assunções e previsões sobre as mesmas.

O controlo do utilizador ajudará a assegurar que as pessoas estão mais capacitadas para melhor detetar estereótipos injustos e contestar erros. Tal auxiliará a prevenir a utilização secundária de dados para finalidades que não vão ao encontro das suas legítimas expetativas: Com uma nova geração de controlo do utilizador, as pessoas terão, sempre que for relevante, uma escolha mais informada e mais genuína e gozarão de maiores possibilidades para utilizar melhor os seus dados pessoais.

Direitos de acesso e à portabilidade dos dados fortes e mecanismos eficazes de autoexclusão poderão funcionar como pré-condição para permitir aos utilizadores ter maior controlo sobre os seus dados, e poderão também ajudar a contribuir para o desenvolvimento de novos modelos de negócio e para uma utilização mais eficiente e transparente de dados pessoais.

Através da inclusão da proteção de dados no desenho dos seus sistemas e processos, e ao ajustar a proteção de dados para permitir um controlo do utilizador e uma transparência mais genuínos, os responsáveis pelo tratamento dos dados responsabilizáveis também poderão beneficiar das vantagens dos grandes volumes de dados e simultaneamente assegurar que a dignidade e liberdades das pessoas são respeitadas.

Mas a proteção de dados é apenas parte da resposta. A UE precisa de implementar de um modo mais coerente as ferramentas modernas disponíveis, inclusivamente na área da proteção ao consumidor, antitrust, investigação e desenvolvimento, para assegurar as salvaguardas e a escolha no mercado onde serviços que favoreçam a privacidade podem prosperar.

De modo a responder aos desafios dos grandes volumes de dados, é necessário permitir a inovação e proteger os direitos fundamentais simultaneamente. Cabe agora às empresas e outras organizações, que investem muito esforço na descoberta de modos inovadores para utilizar dados pessoais, utilizar o mesmo espírito inovador sempre que implementarem legislação em matéria de proteção de dados.

Com base em contributos prévios por parte do meio académico e diferentes reguladores e partes interessadas, a AEPD pretende estimular um debate novo aberto e informado dentro e fora da UE, através de um melhor envolvimento da sociedade civil, designers, empresas, académicos, autoridades públicas e reguladores acerca de saber como melhor utilizar o potencial criativo da indústria para implementar o direito e salvaguardar a nossa privacidade e outros direitos fundamentais da melhor forma possível.

De modo a responder aos desafios dos grandes volumes de dados, é necessário permitir a inovação e proteger os direitos fundamentais simultaneamente. Para o conseguir, os princípios estabelecidos da legislação Europeia em matéria de proteção de dados devem ser preservados, mas aplicados de novas formas.

As negociações sobre o Regulamento Geral sobre a Proteção de Dados proposto encontram-se nas últimas fases. Exortámos os legisladores da UE a adotar um pacote de reformas de proteção de dados que fortaleça e modernize a moldura regulatória para que esta permaneça eficaz na área dos grandes volumes de dados através do fortalecimento da crença e confiança das pessoas em linha e no Mercado Único Digital (3).

No Parecer n.o 3/2015, que era acompanhado de recomendações para um texto completo do Regulamento proposto, tornamos claro que os nossos princípios da proteção de dados atuais, incluindo a necessidade, proporcionalidade, minimização dos dados, limitação da finalidade e transparência têm de permanecer princípios essenciais. Eles fornecem a medida necessária a proteger os nossos direitos fundamentais no mundo dos grandes volumes de dados (4).

Simultaneamente, estes princípios devem ser fortalecidos e aplicados mais eficazmente e de um modo mais moderno, flexível, criativo e inovador. Também devem ser complementados por novos princípios tais como a responsabilidade e a privacidade desde a conceção e por defeito.

Maior transparência, fortes direitos de acesso e portabilidade dos dados, e mecanismos de autoexclusão eficazes poderão funcionar como pré-condições para permitir aos utilizadores ter maior controlo sobre os seus dados, e também poderão auxiliar a contribuir para mercados de dados pessoais mais eficientes, em igual benefício dos consumidores e das empresas.

Finalmente, alargar o âmbito da legislação em matéria de proteção de dados da UE às organizações que visam pessoas na UE, e equipar as autoridades de proteção de dados com os poderes para aplicar vias de recurso com significado, incluindo coimas eficazes, tal como estabeleceria o Regulamento proposto, também será um requerimento essencial para efetivamente fazer respeitar a nossa legislação num ambiente global. O processo de reforma desempenha um papel essencial a este respeito.

Para assegurar que efetivamente se fará respeitar as regras, as autoridades de proteção de dados independentes tem de estar equipadas não só com poderes legais e instrumentos fortes, mas também com os recursos necessários para igualar a sua capacidade com o crescimento dos negócios baseados em dados.

A boa regulação, se bem que essencial, é insuficiente. As empresas e outras organizações que investem muito esforço na descoberta de modos inovadores para utilizar dados pessoais, devem utilizar o mesmo espírito inovador sempre que implementarem princípios da proteção de dados. As autoridades de proteção de dados, por sua vez, devem fazer respeitar e premiar o cumprimento eficaz e evitar impor burocracias e formalismos desnecessários.

A AEPD, conforme declarado na Estratégia 2015-2019 da AEPD, visa contribuir para a promoção destes esforços.

Pretendemos estabelecer um grupo de aconselhamento de ética externo formado por personalidades independentes e eminentes com uma experiência acumulada em múltiplas disciplinas que possa «explorar as relações entre direitos humanos, tecnologia, modelos de mercado e de negócio no século XXI», analisar em profundidade o impacto dos grandes volumes de dados, avaliar as mudanças resultantes para as nossas sociedades e auxiliar a indicar os assuntos que deverão estar sujeitos a um processo político (5).

Também desenvolvermos um modelo para políticas de informação honesta para os organismos da UE que disponibilizem serviços em linha que podem contribuir para boas práticas para todos os responsáveis pelo tratamento dos dados.

Finalmente, também promoveremos debates, por exemplo, tendo em vista identificar, encorajar e promover boas práticas para aumentar a transparência e o controlo do utilizador e explorar oportunidades ou bases de dados pessoais e a portabilidade de dados. A AEPD pretende organizar uma sessão de trabalho sobre Proteção de Grandes Volumes de Dados para responsáveis políticos e pessoas que lidem com grandes volumes de informações pessoais nas instituições da UE e peritos externos, e para identificar se orientações específicas adicionais são necessárias e para promover o trabalho da Rede de Engenharia da Privacidade na Internet («IPEN») enquanto centro de conhecimento interdisciplinar para engenheiros e peritos em privacidade.

Feito em Bruxelas, em 19 de novembro de 2015.

Giovanni BUTTARELLI

Autoridade Europeia para a Proteção de Dados

(1) Public Utilities Commission v. Pollak, 343 U.S. 451, 467 (1952) (voto vencido do juiz William O. Douglas).

(2) Em 25 de janeiro de 2012, a Comissão Europeia adotou um pacote de reformas da moldura de proteção de dados europeia. O pacote inclui i) uma «Comunicação» [COM(2012) 9 final], ii) uma proposta de um «regulamento geral sobre a proteção de dados» («o Regulamento proposto») e iii) uma proposta de «Diretiva» relativa à proteção de dados na área de aplicação da lei criminal [COM(2012) 10 final].

(4) Devemos resistir à tentação de diminuir o nível atual de proteção numa tentativa de acomodar uma necessidade sentida de uma abordagem de regulação mais folgada no que respeita aos grandes volumes de dados. A proteção de dados deve continuar a aplicar-se ao tratamento na sua totalidade, incluindo não só a utilização dos dados, como também a sua recolha. Também não existe justificação para exceções globais para o tratamento de dados pseudónimos ou para o tratamento de dados disponíveis publicamente. A definição dos dados pessoais tem de permanecer intacta, mas poderia beneficiar de clarificações adicionais no texto do próprio Regulamento. De facto, tem de cobrir todos os dados relativos a qualquer pessoa que esteja identificada, isolada, ou puder ser identificada ou isolada — seja pelo responsável pelo tratamento dos dados ou por qualquer outra parte.