Na senda do artigo 80 do RGPD

O futuro das ações coletivas sobre proteção de dados

Max Schrems, fundador da ONG “Europa versus Facebook” e atual leader da ONG Noyb.eu (None of Your Business) é um ativista da proteção de dados que tem vindo a mostrar a relevância do artigo 80 do RGPD.

O ativismo de Max Schrems tem consequências! Ser “à-prova-de-Schrems” é mais que um selo de conformidade. Não faltam motivos para Schrems ser malquisto por muitos. Max Schrems foi responsável pelo desmoronar do acordo Safe Harbor EU-U.S. referente à recolha, utilização e retenção de dados pessoais. Max Schrems denunciou irregularidades de privacidade da Facebook, Apple, Microsoft, Skype e Yahoo.


“In practice many individual users are not willing to file legal actions against obvious privacy violations, because of (often rather trivial) costs if a case is lost. This leads to almost no litigation in privacy cases, even if costs are low”

Max Schrems

O RGPD, no artigo 80, introduziu a possibilidade de serem criadas ONGs (organizações não-governamentais) ou associações sem fins lucrativos, que sejam devidamente constituídas ao abrigo do direito de um Estado-Membro representativas dos titulares dos dados que podem apresentar queixa em nome dos lesados por violações de dados. Mais, os Estados-Membros podem prever que essas organizações possam nesse Estado-Membro, apresentar uma reclamação à autoridade de controlo competente caso considerem que os direitos dos titulares foram violados em virtude do tratamento, e isto, independentemente de um mandato conferido pelo titular dos dados.

A Dra. Cristina Pimenta Coelho, no livro “Comentário ao Regulamento Geral de Proteção de Dados”, interpreta o artigo 80 referindo que “um lugar paralelo que podemos encontrar no ordenamento jurídico interno é o das associações sindicais que, de acordo com o artigo 56.° da Constituição da República Portuguesa “representam”, ou melhor, defendem por “direito próprio” os direitos e interesses, individuais ou coletivos, dos trabalhadores, não sendo meras representantes ou mandatárias dos trabalhadores.”

É impossível referir o artigo 80 sem mencionar as queixas da Noyb e da “La Quadrature du Net” à CNIL (autoridade para a proteção de dados de França) que fundamentaram a coima de 50 milhões de euros à Google.

Continue reading “Na senda do artigo 80 do RGPD”

A questão do controlo

Quando as pessoas interagem no ciberespaço com tecnologias criadas para minar a sua privacidade é difícil dizer que cabe às pessoas controlar a sua privacidade.

Conheço uma única pessoa que não utiliza a aplicação WhatsApp porque não concordou com a política de privacidade. Pergunto-me, aliás, quantas pessoas usam e concordaram conscientemente com a política de privacidade da WhatsApp?

Não conheço uma única pessoa que utilize a aplicação Mobdro para ver televisão e tenha lido o aviso de privacidade. Não acredito que alguém na ânsia de ver um Porto-Benfica se dê ao cuidado de ler a política de privacidade.

Certo é que nem todas as aplicações suscitam a mesma necessidade de adesão que a Mobdro ou a WhatsApp, mas em muitos casos a funcionalidade pretendida pelo utilizador acaba por ser soberana e ditar uma aceitação menos consciente, ou menos livre, ou mais condicionada, da política de privacidade. De uma forma geral a alternativa de serviço pago versus serviço por contrapartida de utilização dos dados pessoais é uma opção razoável, mas muitas vezes essa opção não é disponibilizada ao utilizador da aplicação.

Em qualquer o caso, fica a pergunta se será humanamente possível ou concebível que alguém tenha lido todas as politicais de privacidade das aplicações que tem instaladas nos seus dispositivos eletrónicos.

A resposta parece evidente e é por isso que Woodrow Hartzog (WH) afirma que os ganhos em privacidade virão de melhores regras para as aplicações informáticas e não pelo dito “controlo” exercido pelos utilizadores. Contudo, o modelo de negócio predominante na Internet consiste em recolher o máximo de dados possível e vendê-los ou usá-los para alcançar ou persuadir os utilizadores. O valor dos dados pessoais leva a que a generalidade das empresas decida dar primazia às estratégias que maximizem a recolha de dados.

O ano passado postei (aqui) sobre a intervenção de Woodrow Hartzog no IAPP Europe Data Protection Congress, relativa à questão do controlo e agora que volto ao tema refiro que o vídeo dessa apresentação já está disponível no youtube (aqui). Ainda a este propósito, e porque se falamos de controlo de privacidade temos que ter ideias claras sobre privacidade importa ver um outro vídeo de WH que alerta para o facto de que a privacidade é uma palavra cada vez mais vazia de sentido que teima em resistir a considerar devidamente o conceito de obscuridade (obscurity) e que pode ser visto aqui.

Nesta objetiva dificuldade em defender o direito à privacidade fica a dúvida se, em termos práticos, o que vai sobressair do RGPD não será, sobretudo, a regulação da liberdade de circulação dos dados pessoais que é o que alimenta a economia do Big Data.

O considerando nº7 do RGPD refere que “Esta evolução [tecnológica e da globalização] exige um quadro de proteção de dados sólido e mais coerente na União, apoiado por uma aplicação rigorosa das regras, pois é importante gerar a confiança necessária ao desenvolvimento da economia digital no conjunto do mercado interno. As pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais. Deverá ser reforçada a segurança jurídica e a segurança prática para as pessoas singulares, os operadores económicos e as autoridades públicas”. A segurança prática dos operadores económicos parece estar a ser conseguida, já a segurança prática das pessoas singulares parece não estar muito bem entregue a esse conceito de as pessoas ficarem responsáveis pelo controlo da sua privacidade. É que como referido anteriormente, não há condições para tal.

Note-se que a regulação da liberdade de circulação dos dados pessoais que é o que alimenta a economia do Big Data não é uma questão menor. É, de resto, tão grande que poderá por em risco a própria ideia de privacidade. A ideologia do Dataísmo que dá suporte à economia do Big Data transmite a ideia que num futuro mais ou menos próximo a privacidade será tida como uma anomalia.

A ideologia do Dataísmo apresentada inicialmente por David Brooks, em 2013, e desenvolvida posteriormente pelo historiador israelita Yuval Noah Harari considera a informação como o “valor supremo” que tenderá a esmagar a privacidade, até porque, o próprio utilizador optará sempre a favor da operacionalidade em detrimento da privacidade. E acrescento eu, que optará de forma descontrolada, deitando pelo chão qualquer esperança de que “as pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais”.

Poderá encontrar uma boa síntese da ideologia do Dataísmo no artigo de António Covas no Observador (aqui).

Nesta perspetiva, a tendência será para o RGPD ser, sobretudo, o quadro jurídico para a economia do Big Data e uma salvaguarda contra o Estado-Big-Brother. No caso português parece que o legislador está apostado em desenvolver legislação no sentido de garantir que o RGPD não obstaculize o Estado-Big-Brother. Aguardemos pela legislação nacional para aplicação do RGPD, legislação que já tarde e há muito tempo.

Accountability a quanto obrigas?

Todos sabemos que a Accountability é o melhor antídoto para coimas e indemnizações, mas qual o significado de Accountablity no contexto da proteção de dados?

Durante os últimos 40 anos a proteção de dados tem introduzido uma serie de conceitos inovadores como os códigos de conduta, privacy by design, privacy-enhancing technologies, binding corporate rules, standard contratual clauses, mas o conceito de accountability é, sem dúvida, dos mais significativos.

A raiz deste movimento pró accountability encontra-se no OCDE Guidelines on the Protection of Privacy and Transborder Flows of Personal Data(1981) sendo um conceito que tem vindo a ser trabalhado revestindo-se de uma complexidade que dificulta uma definição linear.

Continue reading “Accountability a quanto obrigas?”

Lei de dados à boleia da Web Summit

O caminho do sucesso das empresas e a possibilidade de se reorganizarem de modo frutífero não tem no RGPD uma barreira a transpor, mas antes um caminho de oportunidades a aproveitar.

Os temas da privacidade e proteção de dados surgem novamente em Portugal, desta vez através do imenso palco da Web Summit.

Na cimeira tecnológica, grandes figuras como Sir Tim Berners-Lee, o inventor da World WideWeb, salientaram a importância do tema, enaltecendo o direito à privacidade como um direito fundamental. Não deixa de ser extremamente importante que uma das maiores figuras da internet reconheça a relevância da privacidade, acrescentando ainda que o RGPD deveria servir para que mais países e gigantes tecnológicos pensassem sobre o assunto.

Em contra ciclo, o legislador português parece continuar alheado da manifesta urgência em aprovar a legislação nacional de concretização do RGPD, adiando sem justificação aparente um diploma normativo que há muito se aguarda, decorridos que estão mais de seis meses da aplicação plena do RGPD na ordem jurídica dos Estados Membros.

Continue reading “Lei de dados à boleia da Web Summit”