Síntese do parecer preliminar da Autoridade Europeia para a Proteção de Dados sobre a revisão da Diretiva Privacidade e Comunicações Eletrónicas (ePrivacy) (2002/58/CE)

(O texto integral do presente parecer encontra-se disponível em inglês, francês e alemão no sítio web da AEPD em www.edps.europa.eu)

O presente parecer define a posição da AEPD no que respeita às principais questões relacionadas com a revisão da Diretiva 2002/58/CE relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (diretiva relativa à privacidade e às comunicações eletrónicas), em resposta a um pedido da Comissão Europeia.

Precisamos de um novo quadro jurídico para a privacidade e as comunicações eletrónicas (ePrivacy), mas precisamos que este seja mais inteligente, mais claro e mais forte: precisamos de mais clareza, mas também de uma implementação melhorada. Precisamos que garanta a confidencialidade das nossas comunicações, um direito fundamental consagrado no artigo 7.o da Carta dos Direitos Fundamentais da União Europeia. Além disso, precisamos igualmente de disposições com vista a complementar e, se necessário, especificar com mais pormenor, as proteções ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD). Por outro lado, temos de manter o atual nível muito elevado de proteção, relativamente à qual a Diretiva privacidade e comunicações eletrónicas estabelece salvaguardas mais específicas do que o RGPD. As definições neste estabelecidas, o seu âmbito territorial, os mecanismos de cooperação entre as autoridades responsáveis pela sua aplicação e pela sua coerência, bem como a possibilidade de proporcionar flexibilidade e orientação, devem estar disponíveis relativamente à ePrivacy.

O âmbito do novo quadro jurídico deve ser alargado, de forma a ter em conta as evoluções tecnológicas e sociais e a garantir que os indivíduos recebem o mesmo nível de proteção para todos os serviços funcionalmente equivalentes, independentemente de serem fornecidos, por exemplo, pelas companhias de telefones tradicionais, por serviços de Voz sobre IP (VoIP) ou via aplicativos de mensagens no telemóvel. Na verdade, precisamos de ir ainda mais longe e de proteger não apenas os serviços «funcionalmente equivalentes», mas também os serviços que oferecem novas oportunidades de comunicação. As novas regras devem continuar também a abranger de forma inequívoca a comunicação máquina-máquina no contexto da Internet das Coisas, independentemente do tipo de rede ou do serviço de comunicações utilizado. As novas regras devem igualmente assegurar que a confidencialidade das comunicações dos utilizadores será protegida em todas as redes de acesso público, incluindo os serviços de Wi-Fi em hotéis, cafés, lojas, aeroportos, nas redes oferecidas pelos hospitais aos pacientes e pelas universidades aos estudantes, e em pontos de acesso criados por administrações públicas.

O consentimento deve ser genuíno, oferecendo uma opção de livre escolha aos utilizadores, em cumprimento do RGPD. As «cookie walls» devem ser eliminadas. À exceção de um conjunto claro de situações (como as análises na primeira pessoa), as comunicações não devem, em caso algum, estar sujeitas a rastreio ou monitorização sem livre consentimento, seja por cookies, por device fingerprinting ou por quaisquer outros meios tecnológicos. Os utilizadores devem dispor também, no próprio navegador ou noutro software ou sistema operativo, de mecanismos eficazes e de fácil utilização destinados a fornecer e revogar o seu consentimento.

A fim de proteger melhor a confidencialidade das comunicações eletrónicas, a atual exigência de autorização para o acesso aos dados de tráfego e de localização deve também ser mantida e reforçada. O âmbito de aplicação desta disposição deve ser alargado a fim de abranger todos e não apenas as companhias de telefones tradicionais e as operadoras de serviços de internet.

Além disso, as novas regras devem permitir claramente aos utilizadores o uso da cifragem de extremo a extremo («sem portas traseiras») para protegerem as suas comunicações eletrónicas. A decifragem, a retroengenharia e a monitorização de comunicações protegidas por cifragem devem ser proibidas.

Por fim, as novas regras de ePrivacy devem proteger contra comunicações não solicitadas e devem ser atualizadas e reforçadas, exigindo o consentimento prévio dos destinatários para todos os tipos de comunicações eletrónicas não solicitadas, independentemente dos meios usados.

O presente parecer preliminar (Parecer) dá resposta a um pedido da Comissão Europeia (Comissão) dirigido à Autoridade Europeia para a Proteção de Dados (AEPD), na qualidade de autoridade de supervisão e órgão consultivo independente, para que forneça um parecer sobre a revisão da Diretiva Privacidade e Comunicações Eletrónicas (ePrivacy) (1).

A consulta à AEPD foi realizada em paralelo com uma consulta pública lançada pela Comissão, que terminou em 5 de julho de 2016 (2). A Comissão solicitou igualmente o parecer do Grupo de Trabalho do Artigo 29.o para a Proteção de Dados (WP29), para o qual a AEPD contribuiu na qualidade de membro de pleno direito (3).

O presente parecer define a posição preliminar da AEPD no que respeita à revisão da diretiva privacidade e comunicações eletrónicas (ePrivacy), focando essencialmente as questões específicas para as quais a Comissão Europeia tinha pedido um parecer. O parecer representa também a contribuição da AEPD para a consulta pública e, como tal, pode abordar adicionalmente outras questões que não especificamente solicitadas pela Comissão no seu pedido de parecer. Poderemos ainda prestar mais aconselhamento em fases subsequentes do processo legislativo.

A revisão da diretiva privacidade e comunicações eletrónicas é uma das principais iniciativas da estratégia para o mercado único digital (4), tendo como objetivo reforçar a confiança e a segurança nos serviços digitais na UE, e sobretudo assegurar um elevado nível de proteção dos cidadãos e a igualdade de condições para todos os intervenientes no mercado em toda a União Europeia.

A revisão visa a modernização e a atualização da Diretiva Privacidade e Comunicações Eletrónicas (ePrivacy), como parte de um esforço mais amplo com vista ao estabelecimento de um quadro jurídico coerente e harmonizado para a proteção de dados na Europa. A Diretiva Privacidade e Comunicações Eletrónicas esclarece e completa a Diretiva 95/46/CE (5), que será substituída pelo recentemente aprovado Regulamento Geral sobre a Proteção de Dados (RGPD) (6). A Diretiva Privacidade e Comunicações Eletrónicas estabelece regras específicas, tendo como objetivo principal assegurar a confidencialidade e a segurança das comunicações eletrónicas. Protege igualmente os legítimos interesses dos assinantes que são pessoas coletivas.

A importância da confidencialidade das comunicações, tal como estabelecido no artigo 7.o da Carta, está a crescer com o aumento da importância do papel que as comunicações eletrónicas desempenham na nossa sociedade e na nossa economia. As salvaguardas delineadas no presente parecer irão desempenhar um papel fundamental para garantir o êxito dos objetivos estratégicos de longo prazo da Comissão descritos na sua Estratégia para o mercado único digital.

Feito em Bruxelas, em 22 de julho de 2016.

Giovanni BUTTARELLI

Autoridade Europeia para a Proteção de Dados

(2) Ver https://ec.europa.eu/digital-single-market/en/news/public-consultation-evaluation-and-review-eprivacy-directive. O relatório final está disponível no endereço: https://ec.europa.eu/eusurvey/runner/EPRIVACYReview2016

(3) Parecer do WP29 3/2016 sobre a avaliação e a revisão da Diretiva relativa à privacidade e às comunicações eletrónicas (ePrivacy) (2002/58/EC) (WP240), adotada em 19 de julho de 2016.

(4) «Estratégia para o Mercado Único Digital na Europa» Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões, 6 de maio de 2015 [COM(2015) 192 final], disponível em: http://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:52015DC0192&from=EN

(5) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.95, p. 31).

(6) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).