Um caso de coima relativa ao artigo 14 do RGPD

Poderá o princípio da proporcionalidade ser um pretexto para a arbitrariedade?

Que argumentação, que justificações, que perguntas são razoáveis para testar o princípio da proporcionalidade? E, sobretudo, que método utilizar para testar o princípio da proporcionalidade?

A autoridade polaca para a proteção de dados pessoais (UODO), aplicou uma coima (comunicado da UODO aqui) que suscita uma questão interessante sobre a aplicação do princípio da proporcionalidade no que respeita ao direito de o titular dos dados ser informado quando os seus dados pessoais não são recolhidos junto de si. Tivesse a UODO explicado de forma completa a fundamentação da coima, poderíamos ter um caso de estudo, assim, teremos que aguardar pela decisão do tribunal. De qualquer forma importa reter as linhas vermelhas traçadas pela UODO.

A UODO emitiu a sua primeira coima ao abrigo do Regulamento Geral de Proteção de Dados da União Europeia e à primeira vista poderá parecer não ter nada de extraordinário, mas na realidade, é uma decisão que pode pôr em causa um modelo de negócio.

A UODO aplicou uma coima de 220.000 euros à Bisnode, uma empresa de marketing digital sediada na Suécia, mas com escritório na Polónia. O fundamento para a coima foi que a empresa não cumpriu as obrigações relativas ao artigo 14 do RGPD – “Informações a facultar quando os dados pessoais não são recolhidos junto do titular”. Além da coima a UODO obriga a empresa a cumprir o referido artigo 14, informando cerca de 6 milhões de pessoas.

A Bisnode estima um custo de 8 milhões de euros só em correio registado, a que devem ser adicionados os custos administrativos de todo o processo de envio, seguimento e tratamento de retificações e oposições.

As orientações dadas pela autoridade de controlo têm, ainda, mais impacto que a própria coima. As implicações são profundas e questionam de tal forma as práticas do negócio que põem em causa o próprio modelo de negócio.

Segundo a imprensa polaca a Bisnode, em vez de informar os titulares dos dados por correio, irá apagar os dados pessoais. Paralelamente irá levar a tribunal a decisão da UODO e até ao último recurso possível (TJUE – Tribunal de Justiça da União Europeia). Se a questão chegar ao TJUE será ótimo para a clarificação da aplicação do princípio da proporcionalidade.

É possível que a decisão da UODO seja demasiado radical e que seja recomendável uma interpretação menos literal do artigo 14.

Para a Bisnode a alínea b) do nº5 do artigo 14º justifica a desobrigação de informar caso “se comprove a impossibilidade de disponibilizar a informação, ou que o esforço envolvido seja desproporcionado”. Nesse sentido há que ponderar o esforço que o responsável pelo tratamento de dados precisa despender para entrar em contato com os titulares dos dados a fim de os informar de que está a tratar os seus dados pessoais. A Bisnode não o refere, mas é de notar que os exemplos dados na alínea b) do nº5 do artigo 14º, versam unicamente casos não-comerciais, “nomeadamente para o tratamento para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos”. Fica a dúvida se é razoável o negócio de marketing digital recorrer a este princípio de proporcionalidade.

A UODO argumentou que o modelo de negócios da empresa é baseado em data scraping e que a empresa agiu de forma consciente e intencional.

Data scraping ou web scraping é uma técnica computacional para extração de informação de páginas web que permite recolher informação não estruturada e transformar em informação estruturada para posterior análise e tratamento. Programas/Scripts usados para fazer web scraping são conhecidos por web scrapers (batedores de web), web spiders, web crawlers, web robots, bots, etc.

A UODO também sustenta que a empresa estava ciente da obrigação de informar os titulares de dados, já que contatou parte das pessoas via e-mail.

Embora a decisão da UODO tenha, em termos gerais, implicações muito significativas e potencialmente onerosas para a atividade de data scraping é evidente que cada caso pode ser diferente e as suas especificidades justificarem avaliações distintas. Como veremos adiante é precipitado concluir-se que a decisão da UODO resulta na extinção da atividade de data scraping.

Mas, no mínimo, há uma incerteza jurídica para as empresas que recolhem dados pessoais que sejam de domínio publico, designadamente os disponíveis na Internet. Com esta decisão da UODO percebe-se que reorientar essa informação para uso comercial pode induzir um forte custo de conformidade RGPD.

No caso da Bisnode, a empresa obteve dados pessoais através do acesso a informação publicada na web (designadamente Central Register and Information on Economic Activity (CEIDG) e National Court Register (KRS)) e outras bases de dados com informação de domínio público (designadamente as bases de dados da Dun & Bradstreet) em que foi recolhida informação sobre milhões de empresários em nome individual e acionistas de empresas – incluindo nome, número de identificação nacional e eventos jurídicos relacionados com a atividade comercial.

A empresa conseguiu recolher endereços postais de 6 milhões de pessoas, mas só conseguiu recolher endereços de email de cerca de 679 mil pessoas. Para estes a empresa enviou emails informativos dando cumprimento ao artigo 14.

O problema é que a empresa não informou diretamente as cerca de 5,7 milhões de pessoas para as quais não dispunha do respetivo endereço de email. A Bisnode diz reconhecer o direito de os titulares dos dados serem informados do facto de que seus dados são tratados pela empresa. Em vez de as contactar via correio postal, a Bisnode tomou a decisão de não as contactar e, alternativamente, publicar no seu site informação que considerou suficiente para afirmar conformidade com as obrigações do artigo 14.

A Bisnode colocou a questão à UODO se o custo de contactar 5,7 milhões de pessoas (por correio postal ou telefone) não é desproporcionado e se não é preferível para titulares de dados e responsável pelo tratamento que o contato seja feito por outros meios como canais digitais (o site e outros) ou através de anúncios em jornais de expressão nacional. O entendimento é que é mais fácil dar divulgação pública que os dados de pessoais associados à atividade comercial de empresários e acionistas são tratados pela Bisnode do que informar pessoa a pessoa por telefone ou correio postal desse mesmo tratamento.

A UODO não acolheu a argumentação da Bisnode e daí a coima e as orientações para o cumprimento do artigo 14.

Para a UODO a empresa estava ciente das obrigações decorrentes do artigo 14 e, portanto, tomou uma decisão consciente de não informar diretamente a maioria das pessoas cujos dados pessoais havia obtido para fins comerciais. E não informou evocando razões de custo, quando a empresa deveria ter considerado os custos de conformidade com o RGPD como uma componente incontornável da sua atividade. O plano de negócios, o modelo de negócios da empresa deveria reconhecer os custos necessários à sua obrigação de respeitar o artigo 14. A alternativa apresentada de recurso a canais digitais e anúncios em jornais não foi considerada adequada pela UODO e com justificação bem compreensível.

A essência de cumprir a obrigação de informar é agir de forma ativa, de modo que a informação seja prestada ao titular de dados sem que ele tenha que participar na sua própria notificação. Portanto, colocar anúncios nos jornais ou socorrer-se dos canais digitais (site) é recorrer a uma notificação passiva já que exige, claramente, que as pessoas cujos dados estão envolvidos tenham que atuar para serem informadas.

A necessidade de notificação ativa é enfatizada pelo Grupo de Trabalho do Artigo 29, nas Diretivas de Transparência sobre o RGPD.

Na perspetiva da UODO, a questão central é a Bisnode considerar um custo desproporcionado o direito à informação quando o seu negócio principal depende exatamente do tratamento da informação recolhida por web scraping. Com a agravante da Bisnode ter decidido não enviar SMS para um outro subconjunto de pessoas para as quais tinha o número de telemóvel justificando com o mesmo argumento dos altos custos de tal procedimento. Quanto aos elevados custos do correio registado a UODO esclarece que a missiva pode ser enviada por correio simples, sem necessidade de registo. A UODO salienta que o artigo 14.º do GDPR não determina qual o meio específico para cumprir o dever de informar, apenas requer que o responsável pelo tratamento dos dados contacte de forma ativa o titular dos dados.

A prática parece dar razão à UODO.

A fundamentação da decisão a UODO especifica o número e a proporção de pessoas que exerceram o seu direito de oposição ao tratamento de dados por parte da Bisnode. De 90.000 emails enviados com a informação relativa ao artigo 14, resultaram 12.000 oposições ao tratamento de dados. Este nível de oposição, de cerca de 13%, não parece ser catastrófico ao ponto de pôr em questão o modelo de negócio da empresa, mas comprova um nível de rejeição suficientemente elevado para atender à necessidade de salvaguardar dos direitos dos titulares.

Esta reação dá fundamento prático à necessidade de informar os titulares de dados porque muitos reagem manifestando a oposição ao tratamento. E evidência o receio que as empresas possam ter de tal prática na medida que contraria a necessidade de maximizar o alcance da sua base de dados. Contudo, este é o preço a pagar pelo respeito dos direitos dos titulares dos dados. Nesta perspetiva a interpretação da Bisnode parece menos ligada à aplicação do princípio da proporcionalidade aos direitos das pessoas e mais centrada na defesa do seu modelo de negócio que fica afetado pelo custo do dever de informar e pelas prováveis subsequentes oposições ao tratamento. 

Conclusão

O caso é interessante, mas está longe de ser possível tirar conclusões finais que são próprias dos tribunais.

Deste caso, para já, pode dizer-se que:

    • A informação não tem que ser prestada por correio registado, sendo suficiente o correio postal simples.
    • Há a obrigação de informar e de forma ativa.
    • Não é posto em causa o recurso ao web scrapers (batedores de web), o que é muito significativo para as empresas que prestam este tipo de serviços.
    • O princípio da proporcionalidade no dever de informar é pouco aplicável quando se está a considerar a atividade principal da organização porque os custos inerentes à conformidade com o RGPD devem fazer parte do plano de negócios e do modelo de negócio.
    • A imposição da coima resultou em grande medida da recusa da empresa em atender às medidas corretivas indicadas pela autoridade de controlo.

Fica uma dúvida colossal

Será que este dever de informar (artigo 13 e 14), aqui instanciado no data scraping também se aplica à industria adtech?

Advertising technology, ou AdTech, é a base do marketing digital. É esta tecnologia que assegura que o anúncio adequado seja exibido nos canais digitais no momento certo e no local certo, ao mesmo tempo que regista o desempenho do anúncio. E que só funciona porque estão identificados perfis de utilizadores da internet e grupos-alvo de cada anúncio. Este pequeno vídeo ilustra o potencial e o nível de tratamento de dados pessoais que a industria AdTech já alcançou (aqui).

Como irá resultar o atual esforço da indústria adtech para branquear a conformidade da recolha de dados pessoais sem se contemplar este mesmo dever de informar o titular dos dados pessoais? É que o custo de informar poderia ser mesmo desproporcionado, e pior, a percentagem de potenciais titulares de dados a exercer o direito de oposição poderia ser devastadora. Como vimos, o princípio da proporcionalidade no dever de informar para as atividades principais das organizações é de duvidosa aplicação e a probabilidade significativa de exercício da oposição só reforça a a necessidade de respeitar o direito a ser informado.

A UODO deixa uma pista ao sublinhar que a Bisnode tinha endereços postais e números de telefone e poderia, portanto, cumprir a obrigação de fornecer informações às pessoas. Sendo este caso diferente de um outro decidido pela UODO, há alguns anos, quando outra empresa não tinha os endereços postais à sua disposição.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)

Leave a Reply