Protecção e tratamento de dados e privacidade com novas regras

06-08-2012 Aprovada recentemente, a nova Lei relativa ao tratamento de dados pessoais e à proteção da privacidade na área das comunicações antecipa algumas alterações significativas para o sector.

A ACEPI foi uma das entidades chamadas a avaliar a proposta, com a qual se mostrou genericamente de acordo. Sentiu, no entanto, necessidade de fazer algumas observações no plano da técnica legislativa, nomeadamente quanto à utilização de uma técnica remissiva no que diz respeito às contra-ordenações, “a qual deveria ser evitada”, pode ler-se no parecer.

Defendeu também que deveria ser evitada a cumulação, na mesma entidade, dos poderes de instrução do processo e dedução da sanção e alertou para a necessidade de confrontar a nossa Lei de Protecção de Dados Pessoais e a Lei do Cibercrime para ver se a opção única pelas contra-ordenações, nesta Proposta de Lei, se justificava.

Mudanças previstas

A nova Lei veio transpor a Directiva n.º 2009/136/CE, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das Comunicações Electrónicas, procedendo ainda à primeira alteração à Lei n.º 41/2004, de 18 de Agosto, e à segunda alteração ao Decreto-Lei n.º 7/2004, de 7 de Janeiro.

A legislação actual permitia a livre utilização das redes de comunicações electrónicas para o armazenamento de informações ou para obter acesso à informação armazenada no equipamento terminal de um assinante ou utilizador, desde que o mesmo fosse claramente informado sobre os objectivos do processamento e que lhe fosse atribuído o chamado “direito de opt out”, isto é, o direito de recusar este procedimento. “Com a nova Lei, a utilização das redes de comunicações electrónicas com essas finalidades, passa a depender do prévio consentimento do assinante/utilizador”, explica Joana Trigueiros Reis, da PLMJ, sociedade de advogados que presta acessoria à ACEPI.

Por outro lado, em relação aos dados de tráfego armazenados pelos prestadores de serviços de comunicações, enquanto a legislação anterior permitia que esses dados pudessem ser tratados na medida e pelo tempo necessários à comercialização de serviços de Comunicações Electrónicas ou ao fornecimento de serviços de valor acrescentado, a nova Lei estabelece que os dados de tráfego só devem ser tratados “na medida do necessário”. “É uma alteração de forma que, não obstante pareça insignificante, visa reforçar o imperativo da “necessidade” como pressuposto do tratamento dos dados de tráfego”.

Acrescenta-se ainda um novo artigo fazendo recair sobre as operadoras a obrigação de notificarem imediatamente a CNPD em caso de violação de dados pessoais, bem como os utilizadores, sempre que a situação possa afectar negativamente os seus dados pessoais.

Passa também a ser estritamente proibido o envio de comunicações para fins de marketing directo sem a prévia e expressa autorização do titular de dados pessoais. Neste sentido está prevista a criação de uma lista positiva de clientes que têm interesse em receber este tipo de informação da responsabilidade de cada empresa. A Direcção Geral do Consumidor continua a ser a entidade responsável pela lista de pessoas que se recusam a receber tais conteúdos.

“Com a nova Lei, não basta ser conferida aos destinatários a possibilidade de cancelar a inscrição, enviando um email à empresa emissora da comunicação ou ‘clicando’ num determinado link, sendo antes obrigatório que o titular dos dados não receba qualquer email se não tiver dado o seu consentimento prévio e expresso para o efeito”.

São ainda introduzidas sanções pecuniárias compulsórias, que estabelecem multas adicionais por atraso na implementação de alterações impostas. As coimas variam entre 2,5 mil e 5 milhões de euros para as empresas e são aplicadas pela Comissão Nacional de Protecção de Dados (CNPD) ou pela Anacom, consoante os casos.

“A maior mudança é a opção política pelo reforço das práticas de “opt-in”, além da divisão de competências entre a CNPD e a Anacom”, aponta Manuel Lopes Rocha, da PLMJ. “Não deixa de ser curiosa esta constante ‘burocratização’ de processos, com comissões e mais comissões, regulamentos e mais regulamentos a elaborar. Preferimos, de longe, soluções mais judiciais, que funcionam, melhor e até são bem mais ‘garantísticas’”.

Na opinião do jurista, o legislador persiste numa análise que não leva em conta uma realidade totalmente nova. “Aqui procura-se aferrolhar tudo e mais alguma coisa, impondo listas e mais listas de recusa de utilização de dados, burocratizando cada vez mais o sistema”.

Do ponto de vista da técnica legislativa, “os erros acumulam-se”, acusa. “O nosso legislador quase sempre se desinteressa da aplicação prática das leis, pelo que estas são de difícil manejo. Como é possível identificar aqui um quadro sancionatório em que se procede a remissões e mais remissões, obrigando o intérprete a quase “criar” ele próprio o tipo de ilícito? Mas isso nunca parece interessar muito, nunca querem discutir estes pontos”.

Comércio electrónico pode sair prejudicado

Manuel Lopes Rocha considera, por outro lado, que a nova lei vem adensar as dificuldades de uma das áreas em franca expansão no nosso país: a do Comércio Electrónico. A opinião é partilhada por Joana Trigueiros Reis.

“É inegável que a nova lei vem reforçar a protecção dos utilizadores da Internet em matéria de dados pessoais e salvaguardar de uma forma significativa a sua esfera de privacidade”, mas também irá gerar entraves na aproximação dos vendedores online aos consumidores, “condicionados que estão pela obrigação de respeitarem ‘listas de consentimentos’, de consultarem ‘a lista de recusas da Direcção Geral do Consumidor’ e de salvaguardarem o ‘direito de opt in’ dos utilizadores”.

Joana Trigueiros Reis defende que este factor contribui “para o entorpecimento do tráfego nas compras e vendas online e acentuará a morosidade e a burocracia na Internet, não sendo demais relembrar que é precisamente pelo seu sistema rápido e desburocratizado que o comércio electrónico se distingue positivamente do comércio feito pela via tradicional”.

A jurista refere ainda ter “sérias dúvidas” quanto à notificação obrigatória de violação de dados pessoais à CNPD e aos titulares de dados, por ser difícil assegurar o sucesso desta “cooperação entre entidades prestadoras de serviços de comunicações electrónicas e Comissão Nacional de Protecção de Dados” no combate à violação dos dados pessoais, “na medida em que as violações de dados pessoais proveem, em larga medida, das próprias entidades prestadoras de serviços de comunicações electrónicas”.

Font: ACEPI