Da Proteção de Dados Pessoais no Mundo da \'Big Data\', uma perspetiva europeia
Descrição do Produto
Direito Digital
Da Proteção de Dados Pessoais no Mundo da Big Data uma perspetiva europeia Lisboa, 3 de junho de 2015
Manuel David Masseno
1
Da Proteção de Dados Pessoais no Mundo da Big Data
I – Um desafio fundamental: a Big Data “refere-se a conjuntos de dados gigantescos detidos por empresas, governos e outras grandes organizações, que são extensivamente analisados utilizando algoritmos computacionais” (Opinião n.º 3/2013 do Grupo de Trabalho do Artigo 29.º)
resulta da confluência de tecnologias: a comunicações de banda larga, a Internet das coisas e a computação em nuvem nova fronteira para a criação de valor, com um aumento radical da eficiência nos processos e na alocação de recursos (WEF 2011) possibilita a deteção de micro-tendências, indo além dos métodos analíticos assentes em amostragens, incluindo o data mining no Setor Privado, hoje, é relevante, sobretudo, em matéria de Marketing Direto, OBA – Publicidade Comportamental EmLinha, Análises de Rede e Informações de Crédito 2
Da Proteção de Dados Pessoais no Mundo da Big Data
porém, passa a possibilitar um controle permanente e, tendencialmente, integral sobre as pessoas, com:
dados coligidos e tratados em tempo real; dados conservados por tempo indeterminado, com vista a obter informações ainda não evidentes, muitas delas nem sequer previstas; levando ao estabelecimento de perfis detalhados para cada pessoa, depois usados para prever e avaliar os respetivos comportamentos e com anonimização reversível, mesmo usando PET
por outro lado, implica o acesso a meios técnicos, financeiros e humanos de grande porte:
barreiras à entrada de novos concorrentes, também com efeitos de rede com uma acentuada assimetria informacional entre as organizações de Big Data e os indivíduos 3
Da Proteção de Dados Pessoais no Mundo da Big Data
II – As “Alternativas” para a União Europeias, rectius, Que fazer? 1) Contemporizar, assumindo a subalternização face às empresas de Big Data e aos interesses estratégigos dos EUA:
Conclusões do Conselho Europeu de 24/25 de outubro 2013 a propósito da Proposta de regulamento geral sobre proteção de dados Conclusões do Advogado Geral Niilo Jääskinen, no Processo Google Spain (C-131/12), em 25 de junho de 2013
2) Regular, subordinando os interesses económicos aos Direitos Fundamentais das pessoas: 4
Da Proteção de Dados Pessoais no Mundo da Big Data
Propostas da Comissão Europeia, apresentadas em 25 de janeiro de 2012 (COM(2012)0011):
Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento geral sobre a proteção de dados) Proposta de Diretiva do Parlamento Europeo e do Conselho relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, e à livre circulação desses dados
Acórdãos do Tribunal de Justiça nos Processos Google Spain, de 13 de maio de 2014, e Digital Rights Ireland (C-293/12), de 8 de abril de 2014 5
Da Proteção de Dados Pessoais no Mundo da Big Data
Resolução legislativa do Parlamento Europeu, de 12 de março de 2014, sobre a proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral de proteção de dados)
Relatório da LIBE - Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos (Jan Philipp Albrecht), de 21 de novembro de 2013
a) atualmente, temos um micro-sistema centrado na Diretiva 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados 6
Da Proteção de Dados Pessoais no Mundo da Big Data
a Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações electrónicas o Regulamento (CE) n.º 45/2001, do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados a Decisão-Quadro 2008/977/JAI, do Conselho, de 27 de novembro de 2008, relativa à proteção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal E existia ainda a Diretiva 2006/24/CE do Parlamento Europeu e do Conselho, de 15 de Março de 2006, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações (anulada pelo Acórdão Digital Rights Ireland, em 8 de abril de 2014)
7
Da Proteção de Dados Pessoais no Mundo da Big Data
b) desde o Tratado de Lisboa (2007/2009), a Proteção de Dados passou a ter uma base constitucional:
no Tratado sobre o Funcionamento da União Europeia “1. Todas as pessoas têm direito à proteção dos dados de carácter pessoal que lhes digam respeito. 2. O Parlamento Europeu e o Conselho, deliberando de acordo com o processo legislativo ordinário, estabelecem as normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos e organismos da União, bem como pelos EstadosMembros no exercício de atividades relativas à aplicação do direito da União, e à livre circulação desses dados. A observância dessas normas fica sujeita ao controlo de autoridades independentes.” (Art.º 16.º do TFUE) Idem, na Carta dos Direitos Fundamentais da União Europeia (Art.º 8.º - Proteção de dados pessoais; e também Art.º 7.º Respeito pela vida privada e familiar)
8
Da Proteção de Dados Pessoais no Mundo da Big Data
Quanto aos conteúdos essenciais do Regime Geral, constante da Diretiva 95/46/CE:
“Princípios de Tratamento” [Qualidade dos dados]:
“1. Os Estados-membros devem estabelecer que os dados pessoais serão: a) Objeto de um tratamento leal e lícito; b) Recolhidos para finalidades determinadas, explícitas e legítimas, e que não serão posteriormente tratados de forma incompatível com essas finalidades. […] c) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e para que são tratados posteriormente; d) Exatos e, se necessário, atualizados; devem ser tomadas todas as medidas razoáveis para assegurar que os dados inexatos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente, sejam apagados ou retificados; 9
Da Proteção de Dados Pessoais no Mundo da Big Data
e) Conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário para a prossecução das finalidades para que foram recolhidos ou para que são tratados posteriormente […]. 2. Incumbe ao responsável pelo tratamento assegurar a observância do disposto no n.º 1.” (Art.º 6.º)
Direitos dos Titulares dos dados:
à Informação sobre o tratamento (Art.º 10.º) de acesso, retificação e bloqueio dos dados (Art.º 12.º) de oposição ao tratamento dos seus dados (Art.º 14.º) de não sujeição a decisões individuais automatizadas (Art.º 15.º)
e um Regime específico para os “dados sensíveis” (Art.º 8.º) 10
Da Proteção de Dados Pessoais no Mundo da Big Data
c) a Proposta de Regulamento geral sobre proteção de dados, apresentada em 25 de janeiro de 2012:
um Regulamento e já não uma Diretiva:
parte da nova base jurídica (Art. 16.º do TFUE) o objetivo essencial é o de reduzir a fragmentação jurídica e prestar uma maior certeza jurídica, e ainda o de eliminar obstáculos às trocas no Mercado Interno sempre de acordo com os princípios da subsidariedade e da proporcionalidade (Art.º 5 do TUE)
alguns traços essenciais:
ampliação do âmbito territorial: ‘‘[...] aplica-se ao tratamento de dados pessoais de titulares de dados residentes no território da União, por um responsável pelo tratamento não estabelecido na União, cujas atividade de tratamento estejam relacionadas com: a) A oferta de bens ou serviços a esses titulares de dados na União; ou b) O controlo do seu comportamento.’’ (Art.º 3.º n.º 2)
Da Proteção de Dados Pessoais no Mundo da Big Data
reforço dos Princípios relativos ao tratamento: limitação pelo objetivo da recolha, com a menor quantidade de dados e mantidos pelo menor tempo possíveis (Art.ºs 5.º e 6.º) explicitação do consentimento, para um exercício consciente do direito à autodeterminação informacional (Art.º 7.º) manutenção de um regime, próprio e reforçado, para o tratamento de dados sensíveis (Art.º 9.º)
Acentuação dos direitos dos titulares dos dados:
de informação pelos responsáveis pelo tratamento (Art.º 14.º) direito de acesso aos dados (Art.º 15.º) direito de retificação de dados inexatos (Art.º 16.º)
Da Proteção de Dados Pessoais no Mundo da Big Data
direito a ser esquecido e ao apagamento (Art.º 17.º), porventura o mais polémico, em termos técnicos e jurídicos, mas sobre o qual não nos deteremos desta vez direito de portabilidade dos dados (Art.º 18.º) direito de oposição ao tratamento (Art.º 19.º) “direito de não ficar sujeito a uma medida que produza efeitos na sua esfera jurídica ou que a afete de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspetos da sua personalidade, ou a analisar ou prever, em especial, a sua capacidade profissional, situação financeira, localização, saúde, preferências pessoais, fiabilidade ou comportamento” (Art.º 20.º)
Da Proteção de Dados Pessoais no Mundo da Big Data
e, sobretudo, o Tribunal de Justiça:
nos, referidos, Acórdãos Digital Rights Ireland e Google Spain, é patente uma orientação no sentido de:
uma releitura atualista das Fontes vigentes em função das novas realidades tecnológicas, procurando manter o equilíbrio inicial entre os direitos e os interesses envolvidos; uma aplicação do Ordenamento da União Europeia a todos os operadores presentes na Internet, sempre que estejam em causa os dados de cidadãos europeus entender que a vigilância / monitorização e o tratamento de dados apenas são legítimos se não comprimirem desproporcionadamente os direitos das pessoas seus titulares, mesmo estando em causa a Segurança;
Em suma, o TJUE levou a sério as consequências sistémicas da constitucionalização da proteção de dados pessoais no Tratado sobre o Funcionamento da União Europeia e na Carta dos Direitos Fundamentais da U.E...
Da Proteção de Dados Pessoais no Mundo da Big Data
d) e se a Proposta de Regulamento geral sobre proteção de dados não chegar a bom porto em 2015, nomeadamente pela pressão dos EUA?
o Parlamento Europeu deixou pistas quando:
rejeitou o Acordo Comercial Anticontrafação (ACTA), em julho de 2012; condicionou a efetivação da Parceria Transatlântica para o Comércio e o Investimento (TTIP) à garantia da proteção dos dados e da privacidade, em fevereiro último;
a Nova Comissão também:
o Vice-Presidente da Comissão Juncker, com o pelouro do Mercado Interno Digital, Andrus Ansip, ex- PM da Estónia, na sua audição perante o PE, colocou a possibilidade de suspender o Acordo ‘Porto Seguro’, com os EUA, de 2000, caso se mantenha a vigilância…
Da Proteção de Dados Pessoais no Mundo da Big Data
III – Será o Acórdão Google Spain uma sentença ex machina?
desde a última Primavera, decorre um intenso debate sobre o conteúdo e as consequência do Acórdão
centrado sobre um tal ‘direito ao esquecimento’ , que o Acórdão nem aborda, apenas relevando um ‘direito à não indexação’ essencial é a nova leitura, pelo TJUE, da Diretiva sobre Proteção de Dados (Diretiva 95/46/CE) à luz da Carta dos Direitos Fundamentais da UE (Art.º 7.º e 8.º), e da Convenção Europeia dos Direitos do Homem (Art.º 8) , na sequência do Tratado de Lisboa (Art.º 16.º do Tratado sobre o Funcionamento da UE) e do contexto político, PósSnowden, e tecnológico, com a Nuvem e a Big Data 16
Da Proteção de Dados Pessoais no Mundo da Big Data
aliás, esta abordagem não é nova para o Tribunal de Justiça tendo sido, ainda, mais clara no Acórdão Digital Rights Ireland, de 8 de abril de 2014 (Processos apensos C293/12 e C-594/12), sobre a retenção de metadados nas comunicações eletrónicas por parte dos Estados-membros, mesmo se no contexto da invesigação de ‘crimes graves’
também, a afirmação da sobreposição da proteção de direitos pessoais, nomeadamente no que se refere à Privacidade, sobre interesses patrimoniais no contexto da Rede e em referência ao Princípio da Proporcionalidade na recente na Jurisprudência do TJUE, desde o Acórdão Promusicae, de 29 de Janeiro de 2008 (Processo C-275/06)
esta tónica nos Direitos Fundamentais envolve igualmente a Comissão Europeia na Proposta de Regulamento geral sobre proteção de dados, apresentada em 25 de janeiro de 2012
e também na Proposta de Estratégia da União Europeia para a Cibersegurança, apresentada em 3 de fevereiro de 2013 e no novíssimo O Programa europeu em matéria de segurança, apresentado pela Comissão Europeia em 28 de abril de 2015 17
Da Proteção de Dados Pessoais no Mundo da Big Data
Pelo que cabe colocar-nos na perspetiva da Big Data perante o Ordenamento da EU e analisar, de modo sistemático, 1. as implicações da Diretiva de ‘95; 2. as do Acórdão Google Spain; e 3. as do Futuro Regulamento Geral: a) o espaço; b) o tempo; c) a decisão; d) a sujeição; Recordando que a expressão Big Data, “refere-se a conjuntos de dados gigantescos detidos por empresas, governos e outras grandes organizações, que são extensivamente analisados utilizando algoritmos computacionais” (Opinião n.º 3/2013 do Grupo de Trabalho do Artigo 29.º) 18
Da Proteção de Dados Pessoais no Mundo da Big Data
a) o espaço
no que se refere ao conflito, pelo menos potencial, entre o Direito Europeu e a Big Data, a primeira questão referese ao respetivo âmbito territorial:
na Diretiva de ‘95:
a mesma só será aplicável, limitadamente, a quem não dispuser de estabelecimento no Mercado Interno (Art.º 4.º) com controle da circulação para o exterior (Art.º 25.º e 26.º) e relevando também, neste domínio, o Acordo Safe Harbour com o Department of Commerce dos EUA (Decisão da Comissão, de 26 de julho de 2000)
no Acórdão de quo:
se, já o Acórdão Digital Rights Ireland apontava para a necessidade de reforçar o controle do fluxo de dados para o exterior da União Europeia, sobretudo por razões de segurança agora, é feito um grande esforço interpretativo para extender a aplicação às empresas de Big Data, mesmo não europeias 19
Da Proteção de Dados Pessoais no Mundo da Big Data
“[...] é efetuado um tratamento de dados pessoais no contexto das atividades de um estabelecimento do responsável por esse tratamento no território de um Estado-Membro, na aceção desta disposição, quando o operador de um motor de busca cria num Estado-Membro uma sucursal ou uma filial destinada a assegurar a promoção e a venda dos espaços publicitários propostos por esse motor de busca, cuja atividade é dirigida aos habitantes desse Estado-Membro.”
no Futuro Regulamento:
ainda se vai mais longe, sobretudo se passar o texto da Resolução legislativa do Parlamento Europeu, de 12 de março de 2014, em negrito: ‘‘2.O presente regulamento aplica-se ao tratamento de dados pessoais de titulares de dados no território da União, por um responsável pelo tratamento ou um subcontratante não estabelecido na União, cujas atividade de tratamento estejam relacionadas com: a) A oferta de bens ou serviços a esses titulares de dados na União, independentemente da necessidade de os titulares de dados procederem a um pagamento; [ou] b) O controlo desses titulares de dados;” (Art.º 3.º) 20
Da Proteção de Dados Pessoais no Mundo da Big Data
b) o tempo
a seguinte questão prende-se com a continuidade dos dados à disposição do responsável pelo tratamento
na Diretiva de ’95:
do Princípio da Qualidade dos Dados resulta que os dados devem ser ‘‘Conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário para a prossecução das finalidades para que foram recolhidos ou para que são tratados posteriormente. Os Estados-membros estabelecerão garantias apropriadas para os dados pessoais conservados durante períodos mais longos do que o referido, para fins históricos, estatísticos ou científicos’’ (Art.º 6.º n.º 1 alínea c)
no Acórdão de quo:
o qual segue, nesta matéria e designadamente, a ratio constante do Acordão Worten, de 30 de maio de 2013 (Processo C-342/12) 21
Da Proteção de Dados Pessoais no Mundo da Big Data
assim, “[…] mesmo um tratamento inicialmente lícito de dados exatos se pode tornar, com o tempo, incompatível com esta diretiva, quando esses dados já não sejam necessários atendendo às finalidades para que foram recolhidos ou tratados.’’
no Futuro Regulamento:
“Conservados de forma a permitir direta ou indiretamente a identificação dos titulares de dados apenas durante o período necessário para a prossecução das finalidades para que são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de investigação histórica, estatística ou científica ou de arquivo […] e se for efetuada uma revisão periódica para avaliar a necessidade de os conservar e ainda se forem tomadas medidas técnicas e organizativas adequadas para limitar o acesso aos dados apenas para estes fins (minimização dos dados)” (Art.º 5.º n.º 1 alínea e)
22
Da Proteção de Dados Pessoais no Mundo da Big Data
c) o destino
chegamos agora a uma outra questão, a da afetação dos dados recolhidos e a sua eventual reutilização
na Diretiva de ‘95:
explicitamente, a licitude do tratamento está vinculada à sua finalidade, pelo que os dados devem ser “a) Recolhidos para finalidades determinadas, explícitas e legítimas, e que não serão posteriormente tratados de forma incompatível com essas finalidades. O tratamento posterior para fins históricos, estatísticos ou científicos não é considerado incompatível desde que os Estados-membros estabeleçam garantias adequadas [e] b) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e para que são tratados posteriormente” (Art.º 6.º n.º 1)
23
Da Proteção de Dados Pessoais no Mundo da Big Data
no Acórdão de quo:
logo, “Neste contexto, esse responsável deve tomar todas as medidas razoáveis para que os dados que não cumpram as exigências desta disposição sejam apagados ou retificados.’’…
no Futuro Regulamento:
é determinado que “1. Os dados pessoais serão: […] b) Recolhidos para finalidades determinadas, explícitas e legítimas e não posteriormente tratados de forma incompatível com essas finalidades (limitação da finalidade); c) Adequados, pertinentes e limitados ao mínimo necessário relativamente às finalidades para que são tratados; só são tratados se e desde que as finalidades não puderem ser alcançadas através do tratamento de informações anónimas que não envolvam dados pessoais (minimização dos dados);” (Art.º 5.º) 24
Da Proteção de Dados Pessoais no Mundo da Big Data
d) a decisão
chegámos à questão nevrálgica, a da articulação entre a vontade do titular dos dados e os interesses de terceiros
na Diretiva de ‘95:
podendo o titular “[…] se opor em qualquer altura, por razões preponderantes e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objeto de tratamento, salvo disposição em contrário do direito nacional. Em caso de oposição justificada, o tratamento efectuado pelo responsável deixa de poder incidir sobre esses dados;” (Art.º 14.º alínea a) a não ser quando “O tratamento for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos ao abrigo do n.º 1 do artigo 1.º” (Art.º 7.º alínea f) e 25
Da Proteção de Dados Pessoais no Mundo da Big Data
e obter “Consoante o caso, a retificação, o apagamento ou o bloqueio dos dados cujo tratamento não cumpra o disposto na presente diretiva […]” (Art.º 12.º alínea b)
no Acórdão de quo:
o Tribunal considerou que “[…] o operador de um motor de busca é obrigado a suprimir da lista de resultados, exibida na sequência de uma pesquisa efetuada a partir do nome de uma pessoa, as ligações a outras páginas web publicadas por terceiros e que contenham informações sobre essa pessoa, também na hipótese de esse nome ou de essas informações não serem prévia ou simultaneamente apagadas dessas páginas web, isto, se for caso disso, mesmo quando a sua publicação nas referidas páginas seja, em si mesma, lícita.” e ponderando os direitos e interesses em presença concluiu que só “[…] por razões especiais como, por exemplo, o papel desempenhado por essa pessoa na vida pública, a ingerência nos seus direitos fundamentais é justificada pelo interesse preponderante do referido público em ter acesso à informação em questão em virtude dessa inclusão.” 26
Da Proteção de Dados Pessoais no Mundo da Big Data
no Futuro Regulamento:
só é licito “O tratamento [que] for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou, em caso de divulgação, dos terceiros a quem os dados sejam comunicados, e que satisfaçam as expetativas razoáveis do titular dos dados com base na sua relação com o responsável pelo tratamento, desde que não prevaleçam os interesses relacionados com os direitos e liberdades fundamentais do titular dos dados que exijam uma proteção de dados pessoais. Tal não se aplica ao tratamento de dados efetuado por autoridades públicas no exercício das suas funções.” (Art.º 6.º n.º 1 alínea f) também, “1. O titular dos dados tem o direito de se opor em qualquer momento ao tratamento dos seus dados pessoais com base no artigo 6.º, n.º 1, alíneas d) e e), salvo se o responsável pelo tratamento apresentar razões imperiosas e legítimas que prevaleçam sobre os interesses ou direitos e liberdades fundamentais da pessoa em caus” [e] 27
Da Proteção de Dados Pessoais no Mundo da Big Data
2. Sempre que o tratamento dos dados pessoais se basear no artigo 6.º, n.º 1, alínea f), o titular dos dados tem, a qualquer momento e sem uma justificação, o direito de se opor gratuitamente, em geral ou para qualquer fim particular, ao tratamento dos seus dados pessoais.” (Art.º 19.º) mais ainda, “1. O titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento de dados pessoais que lhe digam respeito e a cessação da comunicação ulterior desses dados e de obter de terceiros o apagamento de quaisquer ligações para esses dados pessoais, cópias ou reproduções dos mesmos, sempre que se aplique um dos motivos seguintes: a) Os dados deixaram de ser necessários em relação à finalidade que motivou a sua recolha ou tratamento; b) O titular dos dados retira o consentimento sobre o qual é baseado o tratamento nos termos do artigo 6.º, n.º 1, alínea a), ou se o período de conservação consentido tiver terminado e não existir outro fundamento jurídico para o tratamento dos dados; 28
Da Proteção de Dados Pessoais no Mundo da Big Data
e) a sujeição
finalmente temos o problema das inferências e da criação de perfis com base nos dados pessoais recolhidos, conservados e tratados
na Diretiva de ‘95:
temos que “1. Os Estados-membros reconhecerão a qualquer pessoa o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, como por exemplo a sua capacidade profissional, o seu crédito, confiança de que é merecedora, comportamento. [e] 2. Os Estados-membros estabelecerão, sob reserva das restantes disposições da presente diretiva, que uma pessoa pode ficar sujeita a uma decisão do tipo referido no n.º 1 se a mesma: 29
Da Proteção de Dados Pessoais no Mundo da Big Data
a) For tomada no âmbito da celebração ou da execução de um contrato, na condição de o pedido de celebração ou execução do contrato apresentado pela pessoa em causa ter sido satisfeito, ou de existirem medidas adequadas, tais como a possibilidade de apresentar o seu ponto de vista, que garantam a defesa dos seus interesses legítimos; ou b) For autorizada por uma lei que estabeleça medidas que garantam a defesa dos interesses legítimos da pessoa em causa.”
no Futuro Regulamento:
“1. Sem prejuízo do disposto no artigo 6.º, qualquer pessoa singular tem o direito de se opor à definição de perfis […] 19.º . O titular dos dados deve ser informado de que tem o direito de se opor à definição de perfis de forma claramente visível. 2. Sob reserva das outras disposições do presente regulamento, uma pessoa só pode ser sujeita à definição de perfis que conduza a medidas que produzam efeitos jurídicos relativamente ao titular dos dados ou, do mesmo modo […] 30
Da Proteção de Dados Pessoais no Mundo da Big Data
[…] afetar significativamente os interesses, direitos e liberdades fundamentais do titular dos dados em causa, se o tratamento: a) For necessário para a celebração ou da execução de um contrato, sempre que o pedido de celebração ou execução do contrato, apresentado pelo titular dos dados, tiver sido satisfeito, desde que tenham sido apresentadas medidas adequadas para assegurar a proteção dos interesses legítimos da pessoa em causa; ou b) For expressamente autorizada por força da legislação da União ou de um Estado-Membro que estabeleça também medidas adequadas que garantam a defesa dos legítimos interesses da pessoa em causa; c) Tiver por base o consentimento do titular dos dados, sob reserva das condições estabelecidas no artigo 7.º, e de garantias adequadas.
[adicionalmente...] 31
Da Proteção de Dados Pessoais no Mundo da Big Data
3. É proibida a definição de perfis que tenha por efeito a discriminação contra pessoas singulares em razão de origem racial ou étnica, opiniões políticas, religião ou convicções, filiação sindical, orientação sexual ou identidade de género ou que conduza a medidas que tenham tais efeitos. O responsável pelo tratamento deve proceder a uma proteção eficaz contra a eventual discriminação resultante da definição de perfis. A definição de perfis não se deve basear exclusivamente nas categorias especiais de dados pessoais referidas no artigo 9.º 4. A definição de perfis que conduza a medidas que produzam efeitos jurídicos relativamente ao titular dos dados ou, do mesmo modo, afetem significativamente os interesses, direitos e liberdades fundamentais do titular dos dados em causa não se deve basear, de forma exclusiva ou predominante, num tratamento automatizado de dados e deve incluir uma avaliação humana, mormente a explicação da decisão tomada após tal avaliação […].” (Art.º 20.º) 32
Da Proteção de Dados Pessoais no Mundo da Big Data
E agora? em síntese extema, atualmente:
à atuação das empresas de Big Data, independentemente dos respetivos setores, aplica-se um Ordenamento, o Europeu, que confere relevância constitucional à autodeterminação informacional, mais ainda do que à Privacidade, sobre quaisquer outras considerações tal Ordenamento limita fortemente, ou impede, as possibilidades de recolha, armazenamento e reutilização de dados, assim como o estabelecimento de perfis, independentemente dos meios técnicos empregues para tanto, além da atuação de data brokers sem esquecer que, de acordo com a Jurisprudência consolidada do Tribunal de Justiça da UE, a monitorização da Rede por privados, mesmo para salvaguardar direitos patrimoniais, é ilícita (Acórdãos de 24 de novembro de 2011, Scarlet Extended (C70/10), e de 16 de fevereiro de 2012, Netlog (C-130/10) 33
Da Proteção de Dados Pessoais no Mundo da Big Data
quanto ao futuro próximo:
se, previsivelmente, o Conselho tenderá a procurar compromissos com Washington, até por pressão do Reino Unido, e de alguns novos Estados-membros, como demonstra o atraso na adoção do Novo Regulamento Geral sobre Proteção de Dados o Parlamento Europeu, também previsivelmente, não aceitará baixar o nível de proteção previsto, podendo voltar a usar o seu novo poder em matéria de ratificação de Tratados para barrar a Parceria Transatlântica para o Comércio e o Investimento (TTIP), tal como ocorreu como fez com o Acordo Comercial Anticontrafação (ACTA), em julho de 2012, como já deliberou em fevereiro de 2014 também o Vice-Presidente da Comissão para a ‘Agenda Digital’, Andrus Ansip, colocou a possibilidade de denunciar o Acordo Safe Harbour se os EUA não mudarem de praticas
E, sobretudo, o Tribunal de Justiça passou a tomar, plenamente, a sério o Direito à Proteção de Dados Pessoais 34
Lihat lebih banyak...
Comentários
