Novas realidades: internet of things e big data

Até este momento analisamos o que se poderiam chamar as formas tradicionais de recolha de dados no mundo digital. Sucede que, actualmente, nos deparamos com outras formas – mais desconhecidas e, eventualmente, mais intrusivas – de recolha de dados pessoais.

É costume referir que nos encontramos no pleno advento da Internet of Things, a “Internet das Coisas”, também vulgarmente designada pela sigla IoT. A questão que urge colocar é se já não entramos a fundo nela. O mundo smart está aí: são os smart phones, as smart TVs, os smart watches, os smart cars. Os wearables digitais. Os sistemas de domótica, os sensores da via verde, os sensores de saúde ou de fitness. Os electrodomésticos digitais… Poderíamos continuar com uma panóplia infindável de

dispositivos tecnológicos, interligados entre si, que constituem, genericamente, a “Internet das Coisas”. E todos estes objectos distinguem-se pelo facto de possuírem um código de identificação único que os permite interagir com outros aparelhos ou sistemas20_.

Como bem aponta o Grupo de Trabalho do Artigo 29º para a Protecção dos Dados (2014a), a IoT assenta no princípio de tratamento extensivo dos dados que os vários objectos vão armazenando e trocando entre si. Para tal, é essencial o uso de tecnologias que permitem a identificação dos objectos e a sua interconexão, sendo a Radio Frequency Identification (RFID) e a sua evolução tecnológica o principal alicerce (Pinheiro, 2015)21_.

A IoT possibilita a interconexão de dados sobre uma determinada pessoa de forma nunca antes vista. É, na verdade, o que possibilita que o digital e o analógico passem a ser uma e única realidade para a recolha e tratamento de dados pessoais. Ao invés da navegação na Internet e uso de serviços da Sociedade da Informação, em que a informação recolhida se limita à que é dada directamente pelo utilizador ou que se encontra no seu sistema informático, os objectos que compõem a IoT recolhem informações do dia-a-dia, do que uma pessoa vai fazendo, não se limitando ao que o utilizador escolhe fornecer ou ao que está armazenado no dispositivo: a localização geográfica actual, o número de quilómetros que se faz numa corrida, o batimento cardíaco, o estado anímico, entre outras informações. Muitas dessas informações são enviadas para a Internet, dando a esta algo que, até então, não conseguia saber de nós: informação imediata, actualizada ao segundo.

Que problemas surgem para o consentimento, nesta nova realidade da IoT? Muitos.

Com efeito, é fácil verificar a dificuldade dogmática de garantir, à luz dos requisitos legais, um consentimento válido e eficaz.

Atendendo aos objectos que recolhem os dados – muitos de tamanho minimalista, como os “relógios inteligentes” – de que maneira assegurar que o respectivo titular é devidamente informado das finalidades e métodos de tratamento de dados (e eventuais transmissões a terceiros)?

Como assegurar que o titular presta o seu consentimento de forma inequívoca22_?

O facto do titular dos dados ter adquirido o objecto é suficiente para concluir pela sua concordância no processamento dos dados para qualquer finalidade

20 _{Veja-se, por exemplo, o cada vez mais banal efeito de mirroring, que permite passar para o ecrã de uma televisão}

o que se está a ver no telemóvel ou no tablet, através de uma simples ligação Wi-Fi.

21 _{A este respeito, veja-se, ainda, a Deliberação nº 9/2004 da CNPD, disponível em}

https://www.cnpd.pt/bin/orientacoes/RFID.pdf (acedido em 14.03.2016).

22 _{E, tratando-se de dados sensíveis, como sucederá, por exemplo, com objectos que recolham dados de saúde,}

estabelecida pelo fabricante do objecto23 _{ou terceiro para cujas aplicações ou}

servidores tais informações são encaminhadas?

E se estivermos a falar de um titular de dados estranho a esse objecto24_?

Será o consentimento livre quando, pela própria natureza dos objectos da IoT, a falta de autorização para a recolha e tratamento de dados implicará a “destruição” de grande parte, se não da totalidade, das vantagens e funções desse mesmo objecto? Como vemos, são muitas as questões(não exaustivas), para as quais a legislação existente não fornece, ainda, respostas claras.

Uma forma de “escapar” à exigência do consentimento seria defender que o tratamento de dados no âmbito da IoT cairia sempre na alínea e) do artigo 6º da LPDP, uma das formas de legitimação do tratamento por via da lei, que se traduz na prossecução de interesses legítimos do responsável pelo tratamento ou de terceiro a quem os dados sejam comunicados. Sucede que tal legitimação de tratamento tem uma restrição, na medida em que não será aplicável quando devam prevalecer os interesses ou os direitos, liberdades e garantias do titular dos dados, conforme a parte final do referido normativo. Como bem refere o Grupo de Trabalho do Artigo 29º para a Protecção dos Dados (2014a), no caso da IoT, parece tratar-se de uma invasão significativa do direito à reserva da intimidade da vida privada e da protecção de dados, na medida em que se consegue ter acesso a dados (maxime os de saúde) que, de outra forma, dificilmente seria possível.

Assim, voltamos à necessidade do consentimento, para que o tratamento no âmbito da IoT seja legítimo. A dificuldade aqui está, principalmente, na forma como disponibilizar a informação necessária para que o consentimento possa ser suficientemente esclarecido. Como salienta Luis Filipe Antunes (2016), “Um dos principais desafios da privacidade na IoT é desenvolver tecnologias em que seja obtido o consentimento dos utilizadores de uma forma transparente e eficiente (…)” (p. 56).

O Grupo de Trabalho do Artigo 29º (2014a) salienta o uso das políticas de privacidade como forma de facilitar à obtenção de um consentimento válido, embora alerte que estas deverão ser, tanto quanto possível, user friendly, não sendo recomendável uma remissão para a política geral de privacidade. De todo o modo, o Grupo de Trabalho reconhece a dificuldade de assegurar a informação necessária para o consentimento atendendo ao próprio tamanho físico dos dispositivos que, muitas vezes, torna incompatível o uso de dashboards informativos. Assim, para colmatar eventuais insuficiências do consentimento, o Grupo de Trabalho entende ser de todo o interesse que a informação obtida seja desde logo anonimizada, evitando-se, assim, a sua qualificação como dado pessoal25_.

23 _{Aqui, verdadeiro Responsável pelo Tratamento, como, aliás, o Grupo de Trabalho do Artigo 29º para a}

Protecção dos Dados (2014a) também concluiu.

24 _{Pense-se, por exemplo, no grupo de amigos que se reúne em casa de um deles, equipada com uma smart TV.}

Também nos Estados Unidos se verifica uma ausência de preparação legal para o advento da IoT. A FTC (2015) tem também vindo a abordar esta temática, defendendo não só que os fabricantes dos dispositivos deverão ter no seu website a política de privacidade aplicável aos dispositivos que fabricam, permitindo ao utilizador o seu acesso fácil, sem prejuízo da utilização de dashboards claros e concisos, quando o objecto utilizado assim o permita.

O potencial de recolha de dados que a IoT nos traz, faz surgir novos modelos de negócio, intrinsecamente (e, arriscamos dizer, exclusivamente) focados na análise e (pressuposto) no tratamento dos dados. É a chegada dos anglicismos que vimos ouvindo cada vez mais no nosso dia-a-dia: data mining, data analytics, data brokerage, data science… Em suma, é só escolher o termo que melhor se adapta a cada caso em concreto, mas, no fundo, todos têm em comum a mesma ideia-chave: O uso dos dados recolhidos pelos milhares de dispositivos digitais existentes no mundo para a finalidade última de descobrir padrões comportamentais da colectividade e, em ultima ratio, do indivíduo.

Os dados tornam-se, assim, uma verdadeira commodity, um activo fundamental para os novos avanços na compreensão do ser humano e nas tentativas de padronizar o seu comportamento. O que muitos chamam de Big Data, mais do que uma particular tecnologia, é, na verdade, um novo paradigma, uma crença na possibilidade de criar padrões, modelos ou estruturas através da análise de enormes quantidades de dados (Barocas e Nissenbaum, 2014).

Este tipo de análise encontra-se já em implementação em alguns sectores de mercado, como o sector de retalho, na banca, no marketing, entre outros (Miguel, 2015).

Um dos principais argumentos utilizados para justificar o tratamento destes dados diz respeito ao facto de os mesmos serem tratados de forma agregada, não individual e, por outro lado, anonimizada, permitindo a sua não identificação como dados pessoais per se. Sobre o conceito de anonimização e as suas técnicas mais comuns – aleatorização e a generalização - já o Grupo de Trabalho do Artigo 29º (2014b) se pronunciou num parecer, em que conclui que estas técnicas são úteis e ajudam a salvaguardar a privacidade, mas, por outro lado, na maioria das situações ainda permitem que exista, ainda que de forma marginal, o risco de conduzir à identificação do indivíduo.

Que papel para o consentimento nesta realidade iminente? Torna-se claro que o titular dos dados perde o controlo sobre os mesmos quando estamos a falar de inúmeras formas de acesso e recolha de dados – através do que colocamos nas redes sociais, das pesquisas que fazemos, dos cookies que aceitamos, dos gadgets que usamos, do facto de respirarmos tecnologia a cada dia que passa… Acrescente-se ainda que a reutilização dos dados para diversas finalidades e a necessidade de recolher um novo consentimento para cada um desses tratamentos, no panorama do Big Data, torna-se, eventualmente, impraticável (Cate e Mayer-Schönberger, 2012).

Poderá dizer-se, então, que se a figura do consentimento é uma ilusão e, na Internet, um “(…) puro logro (…)” (Pinheiro, 2015, p. 812), então no âmbito do Big Data, que conjuga analógico e digital numa só realidade, poder-se-á dizer que é miragem de um tempo que nunca aconteceu. Estamos, por isso, obrigados a procurar novas soluções, já que o sistema legal vigente não parece adequado à regulação desta nova realidade (Mantelero e Vaciago, 2015).