A teoria O enquadramento jurídico do consentimento enquanto pressuposto geral do tratamento de dados pessoais

Qualquer tratamento de dados pessoais, quer feito de forma automática, mecanizada ou electrónica, quer efectuado de forma manual, apenas pode ser executado de forma legítima. De acordo com o regime legal vigente, o tratamento de dados pessoais para ser legítimo tem de ter como fundamento ou a lei, ou o consentimento do respectivo titular dos dados (Pinheiro, 2015). Faremos, de seguida, um enquadramento geral da figura jurídica do consentimento, conforme resulta do sistema legal vigente1_.

1.1. O consentimento como fundamento geral do tratamento de dados pessoais

Uma das principais condições para que tal tratamento de dados seja considerado legítimo diz respeito à obtenção do consentimento do respectivo titular dos dados. É, no fundo, um pressuposto fundamental e necessário quando uma pessoa está perante uma ingerência nos seus direitos: neste caso, o seu direito à reserva da intimidade da vida privada e o direito à protecção dos seus dados pessoais como o qual se relaciona2_.

Em Portugal, a protecção de dados tem protecção jurídico-constitucional, no âmbito do artigo 35º da Constituição da República Portuguesa. No âmbito da União Europeia, o primeiro esforço de harmonização desta temática ocorreu por via da Directiva 95/45/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, que foi transposta para o ordenamento jurídico nacional através da Lei nº 67/98, de 26 de Outubro – a Lei de Protecção de Dados Pessoais (LPDP) – alvo de sucessivas alterações, a última das quais operada em 24 de Agosto do ano passado, através da Lei nº 103/2015.

Mesmo que se possa argumentar que a Directiva 95/45/CE teve como principal propósito assegurar a livre circulação dos dados pessoais dos respectivos titulares entre os Estados-Membros (Marques e Martins, 2006), relegando para segundo plano a protecção dos próprios titulares no que diz respeito ao tratamento dos seus dados pessoais e à livre circulação desses dados entre os Estados-Membros, certo é que depressa o enfoque europeu incidiu na pessoa, no titular dos dados pessoais.

Assim se explica que esteja consagrado, no artigo 8º da Carta dos Direitos Fundamentais da União Europeia, o Direito à Protecção dos Dados Pessoais, referindo- -se expressamente, no seu nº 2, que os dados “(…) devem ser objecto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei.”

1 _{Neste texto cingimo-nos à análise deste requisito de legitimação do tratamento de dados, não obstante se}

recordar que nem sempre o consentimento é necessário para que o tratamento de dados seja legítimo, nem, de igual forma, que não seja necessário cumprir requisitos adicionais para legitimar o tratamento – veja-se, quanto a este último aspecto, a obrigação de notificação à Comissão Nacional de Protecção de Dados (CNPD) previamente ao início de um tratamento de dados, conforme o disposto no artigo 27º da Lei nº 67/98, de 26 de Outubro.

2 _{Da mesma forma que, por exemplo, as intromissões no direito à integridade física exigem, também, o}

Resulta, assim, que a figura do consentimento é importante como fundamento geral para a legitimação de um qualquer tratamento de dados pessoais, pois na ausência de disposição legal em contrário, será apenas por via do consentimento do titular dos dados que o tratamento será legítimo.

1.2. Breve enquadramento do regime legal do consentimento do titular de dados pessoais

O consentimento, enquanto conceito jurídico, possui uma plasticidade que, embora útil a uma mais fácil adaptação às inovações tecnológicas e aos novos desafios da realidade digital, por outro lado leva a que algumas das suas premissas sejam ambíguas. Iremos analisar as normas legais que fazem alusão ao consentimento indicadas na LPDP.

O artigo 6º da LPDP3 _{dispõe que o tratamento de dados pessoais só pode ser}

efectuado se o titular tiver dado de forma inequívoca o seu consentimento. Pergunta- se o que se trata de dar o consentimento de forma inequívoca. Será necessário um documento escrito, assinado pelo titular dos dados? Bastará uma mera comunicação, não formal? Bastará carregar no botão Eu aceito, na adesão a algum serviço na Internet?

Aqui será útil resgatar a definição de consentimento que encontramos na alínea h) do artigo 3º4_{: consentimento será, assim, “qualquer manifestação de vontade, livre,}

específica e informada, nos termos da qual o titular aceita que os seus dados pessoais sejam objecto de tratamento.”

Assim, o consentimento, para ser válido, terá de cumprir quatro requisitos: a) Ser uma manifestação de vontade – ou seja, um acto do próprio titular

dos dados, emanado da sua capacidade jurídica de entender e querer aceitar as consequências do seu consentimento;

b) Ser livre – isto é, sem que se sinta coagido ou obrigado, de qualquer forma, a prestar o acto;

c) Ser específico – tem de dizer respeito a finalidades específicas e balizado por limites. Não é, em princípio, válido um consentimento genérico, que conceda ao responsável pelo tratamento dos dados uma autorização global para proceder ao tratamento para toda e qualquer finalidade;

d) Ser informado – o titular dos dados terá de ter conhecimento suficiente, claro e preciso das finalidades para as quais o responsável pelo tratamento terá de processar os seus dados, o período durante o qual tal tratamento será necessário, eventuais transmissões de dados a terceiros, entre outros. Em suma, pretende-se que seja um consentimento esclarecido.

Pode equacionar-se se o consentimento, para ser válido, necessita de ser expressamente manifestado pelo titular dos dados, ou se podemos depreender o

3 _{Que transpõe o artigo 7º, alínea a) da Directiva 94/45/CE.}

consentimento de acordo com o seu comportamento – falando, assim, de um consentimento tácito.

A Directiva 94/45/CE (e, consequentemente, a LPDP) apenas faz menção à necessidade de obter consentimento expresso quando se tratar do tratamento de dados sensíveis: dados pessoais referentes a convicções filosóficas, religiosas, políticas ou que revelem a origem racial ou étnica, a filiação sindical, dados referentes à saúde ou à vida sexual5_{. Ou seja, tendo o legislador comunitário (e nacional) a preocupação}

de se referir ao consentimento expresso, numa norma especialmente dedicada a certas categorias de dados pessoais, então é seguro concluir-se que, como regra geral, o consentimento não necessita de ser expresso, podendo ser, igualmente, tácito ou implícito (Edwards, 2009). O consentimento expresso é, na verdade, uma excepção, apenas aplicável nos casos expressamente previstos na lei.

De resto, olhando para a alínea a) do artigo 6º da LPDP, verificamos que esta é, na verdade, a consagração, na letra da lei, de uma manifestação do consentimento tácito: o tratamento de dados, neste caso, é legítimo se for necessário para a execução de um contrato no qual o titular dos dados é parte, ou de diligências prévias à formação do contrato decididas a seu pedido. Assim, neste caso, não se exige que o titular dê o seu consentimento, antes, pelo contrário, o mesmo está subentendido já que deseja celebrar um contrato contando já, para tal, com o fornecimento de um conjunto de dados pessoais (como sejam os dados de identificação para a formalização do contrato – nome, morada, cartão de cidadão, entre outros – ou os dados necessários para a efectiva facturação e cobrança dos serviços – como o número de identificação fiscal6_{). Ou seja, o comportamento do próprio titular dos}

dados revela o seu consentimento para o tratamento dos seus dados. Elemento imprescindível, a nosso ver, para que o consentimento tácito seja válido, é que o tratamento de dados seja feito em benefício do titular e com finalidades razoáveis7_.

De igual forma, não se é exigido que o consentimento seja prestado de forma escrita, podendo sê-lo de forma verbal – forma que relevará, sobretudo, no consentimento tácito. De todo o modo, dificilmente se conseguirá provar a existência de consentimento sem um documento escrito que o comprove, pelo que deverá, sempre, procurar-se obter tal documento escrito, sobretudo nos casos em que a lei exige o consentimento expresso.

A lei, contudo, não é clara no sentido de saber se o consentimento tem de ser prestado por via de opt in – isto é, em que o consentimento é dado previamente ao início do tratamento dos dados – ou por via de opt out – em que o tratamento dos dados começa e apenas deixa de ser legítimo se o titular declarar o seu não

5 _{Correspondente ao artigo 8.º da Directiva e ao artigo 7º da LPDP, sendo que o legislador nacional teve ainda}

o cuidado de particularizar que os dados genéticos se incluem nesta categoria ampla de “dados sensíveis”.

6 _{A este respeito veja-se, ainda, a autorização de isenção nº 3/99, da Comissão Nacional de Protecção de Dados}

(CNPD) que isenta da obrigatoriedade de notificação a esta entidade os dados tratados com a finalidade exclusiva de facturação, gestão de contactos com clientes, fornecedores e prestadores de serviços.

7 _{Por exemplo, se a entrega de um currículo a uma empresa, com o propósito de concorrer a um processo de}

recrutamento, pode ser considerada uma forma de consentimento tácito, este será válido enquanto os dados se destinarem unicamente a finalidades de recrutamento, mas já não será válido para a empresa em questão utilizar os dados do currículo para campanhas de marketing.

consentimento. A dúvida é adensada quando na legislação específica de protecção de dados no sector das comunicações electrónicas – falamos da Lei nº 41/2004, de 18 de Agosto, alterada pela Lei nº 46/2012, de 29 de Agosto8 _{– é expressamente exigido}

o consentimento prévio (opt in) a respeito do uso de cookies9_.

O sistema de opt in é, pela sua própria natureza, mais protector da privacidade do titular dos dados (Edwards, 2009), mas a verdade é que o opt out é actualmente utilizado por vários responsáveis pelo tratamento de dados, principalmente no meio digital, e quando se trata, inclusive, de dados pessoais não fornecidos pelo próprio titular, mas por terceiros10_.

Atendendo a que um dos requisitos que o consentimento tem de cumprir, para ser válido, se trata, precisamente, de uma manifestação de vontade, entendemos que este não é compatível, em regra, com o conceito de opt out. O próprio Grupo de Trabalho do Artigo 29º para a Protecção dos Dados (2011) parece ser dessa opinião, ao expor que o consentimento baseado na inacção do individuo ou do seu “silêncio” não poderá normalmente considerar-se um consentimento válido e eficaz, para o propósito da Directiva 95/46/EC.

Por outro lado, os recentes desenvolvimentos trazidos pela discussão sobre o Regulamento Geral de Protecção de Dados, nomeadamente a consagração legal do conceito de privacy by design11 _{ajudam a que, pelo menos após a sua entrada em vigor,}

se torne claro que o consentimento, para ser válido, terá de ser por via de opt in. Uma última questão que o regime vigente levanta, é a respeito da duração do consentimento. Não sendo permitido um consentimento genérico, mas apenas específico, limitado a determinadas finalidades, parece claro que terá de ser limitado no tempo, enquanto tais finalidades existirem. Na verdade, a LPDP obriga a que os dados sejam apenas conservados no estrito tempo necessário para a prossecução dessas finalidades, de acordo com a alínea e) do nº 1 do artigo 5º. De todo o modo, como alerta Lilian Edwards (2009), na Internet a retenção por períodos indefinidos parece ser a regra, existindo fortes incentivos económicos para a sua conservação, em virtude da possibilidade de serem explorados financeiramente.

1.3. Direito Comparado: a figura de notice and choice

Nos Estados Unidos da América, ao contrário da União Europeia, não existe um quadro normativo geral aplicável à protecção de dados. Outrossim, a protecção de dados é regulada de acordo com as especificidades de cada sector de actividade em

8 _{Que transpôs, para o ordenamento jurídico interno, a Directiva 2002/58/CE, do Parlamento Europeu e do}

Conselho, de 12 de Julho, de acordo com a redacção que lhe foi dada pela Directiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de Novembro.

9 _{Artigo 5º, nº 1.}

10 _{A discussão da legitimidade de terceiro para a divulgação de dados pessoais do titular é algo que transcende}

o âmbito do nosso estudo, não obstante o interesse do tema. Alexandre Sousa Pinheiro (2015) aborda esta questão, com particular enfoque no contexto das redes sociais (p. 813 ss.).

que tal tema se levanta12_{. De igual forma, as autoridades competentes para a}

fiscalização e regulamentação dos temas de privacidade e protecção de dados pessoais são diversas, consoante o sector de actividade em que actuam. Não é, contudo, despiciendo indicar-se que muitas das questões de privacidade e protecção de dados estão intimamente ligadas aos direitos dos consumidores estadunidenses e, nesse aspecto, através da intervenção da Federal Trade Commission (FTC).

Neste sentido e embora, de forma geral, as leis estadunidenses na matéria não limitem o tratamento de dados pessoais para determinados fins específicos, permitindo que o consentimento do titular dos dados seja entendido de forma mais ampla do que sucede na União Europeia, certo é que, mesmo assim, os princípios gerais do Direito do Consumo americano exigem que o responsável pelo tratamento informe o titular dos dados (in casu, o consumidor) das finalidades para que pretende utilizar os dados, sendo, ainda, necessária a obtenção do respectivo consentimento. Este procedimento é usualmente referido nos Estados Unidos como notice and choice: O responsável pelo tratamento deve elaborar uma privacy notice, que, por sua vez, deve ser dada a conhecer ao titular e o tratamento de dados (notice), deve ser feito de acordo com os termos indicados nessa mesma privacy notice, que deverá ser aceite ou não pelo titular antes de iniciado o tratamento de dados (choice). A falta de cumprimento deste procedimento será, normalmente, considerada uma prática comercial enganosa e, consequentemente, as autoridades competentes (nomeadamente a FTC) terão legitimidade para actuar contra tal prática, impondo as sanções adequadas. Saliente- se, no entanto, que tudo é analisado sob o prisma da violação de normas de Direito do Consumo, não se valorando a violação da privacidade, ou de uso ilícito de dados pessoais, por si só.