A pessoa em causa

O artigo 5.º, n.º 3, em análise, exige que sejam prestadas informações claras e completas e que seja obtido o consentimento do utilizador ou assinante. A formulação adotada é alternativa, ao contrário do que acontece, noutras disposições da Diretiva da Privacidade Eletrónica, nomeadamente no n.º 1 do mesmo artigo.

Como tivemos oportunidade de ver 497 , enquanto “utilizador” é

“qualquer pessoa singular que utilize um serviço de comunicações eletrónicas publicamente disponível para fins privados ou comerciais, não sendo

necessariamente assinante desse serviço”498_{, “assinante” é “a pessoa}

singular ou coletiva que é parte num contrato com um prestador de serviços

495

GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Documento de trabalho sobre a determinação ..., op. cit, p. 10.

496

GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Documento de trabalho sobre a determinação ..., op. cit, pp. 11 e 12.

497

Título 2.3. do Capítulo II.

498

Artigo 2.º, alínea a), da Diretiva 2002/58/CE. Ou seja, a pessoa que acede ao(s) site(s).

140

de comunicações eletrónicas acessíveis ao público para o fornecimento

desses serviços”.499

Se, muitas vezes, assinante e utilizador são a mesma pessoa, nem sempre assim é.

A Diretiva não esclarece a quem compete a escolha nem qual a vontade que deve prevalecer no caso de divergência.

Eleni Kosta questiona se a escolha estará a cargo da entidade que utiliza o testemunho e conclui, em respeito pelo direito à autodeterminação

informativa, que se deve procurar o consentimento do utilizador500.

Parece ser esse, também, o sentido do considerando 66 da Diretiva dos Cidadãos que se refere, unicamente, ao utilizador.

No entanto, o Information Commissioner's Office (ICO) – entidade

pública independente do Reino Unido, criada para promover o acesso à

informação oficial e proteger informações pessoais – refere-se a casos em

que, por exemplo, um empregador fornece a um empregado um terminal com acesso a determinados serviços para a realização de uma tarefa concreta cuja execução depende da utilização de testemunhos de conexão. O ICO entende que pode ter precedência a vontade do empregador ressalvando, porém, os casos que envolvam a recolha de informações pessoais do empregador/utilizador em que só o consentimento deste pode ser

considerado válido para a instalação do testemunho em causa.501

A verdade é que esta é uma questão muito complexa.

499

Artigo 2.º, alínea k), da Diretiva 2002/21/CE do Parlamento Europeu e do Conselho, de 7 de março de 2002 relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrónicas (diretiva-quadro), por remissão do artigo 2.º, da Diretiva 2002/58/CE.

Ou seja, a pessoa que é titular do contrato com o fornecedor do serviço de internet.

500

KOSTA, Eleni, Consent in European ... , op. cit., p. 313, e KOSTA, Eleni, Handling cookies within ..., cit., p. 409.

501 _{UK INFORMATION COMISSIONER’S OFFICE (ICO), Guidance on the rules on use of cookies and similar}

technologies, VV.3, maio de 2012, 10 e ss., disponível em

http://www.ico.org.uk/for_organisations/privacy_and_electronic_communications/the_guide/cookiespp, última consulta em 30 de agosto de 2013.

141 Atendendo ao considerando 24 da Diretiva 2002/58/CE, ao texto e ao próprio objetivo do artigo 5.º n.º 3, entendemos que a resposta a esta questão também deve passar pela titularidade do equipamento terminal.

O artigo em análise 502 exige o consentimento do utilizador ou

assinante em cujo terminal se pretendam armazenar ou aceder a informações.

Como vimos503, o principal objetivo do artigo 5.º, n.º 3 é a proteção do

equipamento terminal do utilizador e de quaisquer informações aí

armazenadas, enquanto parte da esfera privada dos utilizadores504, no que

respeita ao tratamento de dados pessoais505.506

Mas, a verdade é que através dos testemunhos de conexão podem ser armazenadas informações relativas à navegação de vários utilizadores num mesmo equipamento terminal (que, por sua vez, pode ter vários titulares).

Os utilizadores, em relação a quem são “gerados” os testemunhos de conexão, serão os titulares dos dados tratados através deste mecanismo, enquanto que os titulares dos equipamentos terminais são as pessoas cuja esfera privada se visa proteger especialmente com esta norma. Porém, estes só são chamados a dar o seu consentimento quando sejam assinantes ou utilizadores.

Assim, quando o utilizador seja o titular do equipamento terminal, é o consentimento deste que é exigido.

Quando o titular do equipamento terminal seja o assinante, é o

consentimento deste que se exige – pense-se no suprarreferido exemplo do

empregador, que será o assinante e o titular do equipamento terminal utilizado pelo trabalhador.

502

Artigo 5.º, n.º 3, da Diretiva 2002/58/CE com a redação que lhe foi dada pela Diretiva 2009/136/CE.

503

Título 2. deste Capítulo III.

504

Considerando 24 da Diretiva 2002/38/CE.

505

Artigo 1.º da Diretiva da Privacidade Eletrónica.

142

O consentimento em análise é o fundamento de legitimidade

específico para o armazenamento de informações507. Quando as informações

em causa forem dados pessoais do utilizador, ou seja, quando através dos testemunhos de conexão instalados no terminal de um assinante, titular do equipamento terminal, se recolham dados pessoais do utilizador, este sempre estará protegido pelas regras da Diretiva da Proteção de Dados. O responsável pelo tratamento está obrigado a cumprir todas essas regras, que passam pela verificação de um fundamento legitimante, quando o consentimento especialmente obtido pela instalação de testemunhos de conexão não se revele, no caso concreto, válido para de legitimar o tratamento de dados pessoais de um titular diferente da pessoa a quem competia prestar o consentimento especial.

Situação mais complicada será quando o assinante, utilizador e titular do equipamento terminal sejam pessoas diferentes.

É em relação a esta situação não prevista, em que o titular do

equipamento terminal não pode ser chamado a dar o seu consentimento –

em desconformidade com o objetivo da própria norma –, que entendemos

que o consentimento do utilizador deve prevalecer sobre o do assinante, em respeito pelo direito à autodeterminação informativa.

Chamamos a atenção para o facto de, na prática, não ser fácil à entidade responsável pelo site saber se em causa está o titular do equipamento terminal ou, sequer, a pessoa que é parte no contrato com um prestador de serviço de comunicações eletrónicas. A entidade responsável pelo site pode nem ser capaz de distinguir entre vários utilizadores.

Quando várias pessoas utilizem o mesmo equipamento terminal e o mesmo navegador para aceder ao mesmo site podem facilmente ser confundidas e tratadas por aquele como se do mesmo utilizador se tratasse.

143 Pode, porém, acontecer que o grau de imiscuição dos dados pessoais de cada uma delas seja tal que impeça a sua identificação ou as torne não identificáveis. Não deixarão, no entanto, de ser informações dependentes de consentimento para serem tratadas. O consentimento prestado por uma dessas pessoas pode, formalmente, legitimar o tratamento de informações

relativas a outras508. É outro problema de aplicação desta norma509 para o

qual se chama a atenção.