Utilizações não isentas da obrigação de obter consentimento

O Grupo do Artigo 29.º distingue três utilizações dos testemunhos de

conexão não isentas da obrigação de obter consentimento649.

Desde logo, o Grupo destaca os “testemunhos de extensão de redes sociais para seguimento”. Trata-se de testemunhos relativos a módulos de extensão (plug-in) para partilha de conteúdos sociais que servem a finalidades de monitorização da atividade do utilizador em linha (tracking

cookies)650.

Facilmente se percebe que, atendendo à sua finalidade, estes testemunhos de conexão não preenchem os pressupostos de nenhuma das exceções previstas no artigo 5.º, n.º 3, e, por isso, a sua utilização legítima dependa da obtenção de consentimento prévio, concedido com base em informações claras e completas, em conformidade com a Diretiva 95/46/CE,

nomeadamente sobre os objetivos do processamento.651

Não estão, igualmente, isentos da obrigação prevista na regra plasmada no artigo 5.º, n.º 3 da Diretiva da Privacidade Eletrónica, os

testemunhos de conexão utilizados na publicidade comportamental652. O

Grupo do Artigo 29.º esclarece que a exigência de consentimento “aplica-se naturalmente a todos os testemunhos de terceiros conexos utilizados na publicidade, incluindo os testemunhos para efeitos da limitação de frequência, historial financeiro e afiliação de publicidade, deteção da fraude do clique, investigação e análise de mercados, melhoria de produto e

649

GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 4/2012 sobre a isenção ... , cit., p. 10 e ss.

650

Ver Título 2.4 do Capítulo I.

651

GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 4/2012 sobre a isenção ... , cit., pp. 10 e 11.

652

A propósito da utilização de testemunhos de conexão no contexto da publicidade comportamental, ver titulo 2.4. do Capítulo I.

181 depuração, pois nenhuma destas finalidades pode ser considerada relacionada com um serviço ou funcionalidade de um serviço da sociedade

da informação expressamente solicitado pelo utilizador”653

.

Finalmente, em relação à utilização de testemunhos de conexão para

finalidades de “anal tica de origem”654

, o Grupo do Artigo 29.º entende que apesar de não estar isenta da obrigação de obter consentimento, nos termos do n.º 3 do artigo 5.º, não representa um risco para a privacidade quando se limite a “fins próprios de estatísticas agregadas e quando são utilizados por sítios Web que já fornecem informações claras sobre estes testemunhos, conformes com a sua política de proteção da vida privada, bem como garantias adequadas de proteção da privacidade”, sendo que “tais garantias deveriam incluir mecanismos de fácil utilização para excluir qualquer recolha de dados e tornar os dados completamente anónimos, a fim de serem aplicáveis a outros dados identificáveis recolhidos, tais como os endereços I.P.” 655

. Nesse sentido, recomenda a inserção de um terceiro critério de isenção, aquando de uma futura revisão do n.º 3 do artigo 5.º, para os testemunhos que tenham por finalidade estrita obter estatísticas agregadas e

anónimas de origem.656

10. A prestação de informações e a obtenção do consentimento em linha

A utilização de testemunhos de conexão pressupõe, como temos vindo a analisar, por regra, que num primeiro momento sejam prestadas ao utilizador ou assinante informações claras e completas, com base nas quais se exige, e num segundo momento que este preste o seu consentimento. São estes dois passos, a observar antes da instalação de um testemunho,

653

GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 4/2012 sobre a isenção ... , cit., p. 11.

654

Título 2.4 do Capítulo I.

655

GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 4/2012 sobre a isenção ... , cit., pp. 11 e 12.

182

que legitimam a sua utilização. Será assim sempre que, atendendo às suas finalidades, os testemunhos não preencham os requisitos de nenhuma das exceções previstas à obrigação de obtenção de consentimento.

O considerando 66 da Diretiva 2009/136/CE refere que “as formas de prestação de dar informações, proporcionar o direito de recusar ou pedir

consentimento deverão ser tão simples quanto possível”. 657

Obedecendo à ordem das etapas descritas para a legitima utilização de um testemunho de conexão, comecemos por atender à problemática subjacente à forma de prestação de informaç es “claras e completas” em linha.

No entanto, esta questão não releva apenas para os testemunhos de conexão cuja utilização deva preencher os requisitos vertidos na rega do artigo 5.º, n.º 3, sendo igualmente importante para as utilizações situações isentas de obtenção de consentimento prévio, quando em causa esteja o tratamento de dados pessoais. O direito da pessoa em causa de ser informada sobre o tratamento, nos termos da Diretiva 95/45/CE mantém-se e, por isso, apesar de ser distinto o momento em que estas informações devem ser prestadas (antes da instalação do testemunho ou desde a instalação do testemunho), a verdade é que o responsável pelo tratamento não está escusado de as prestar.

657 _{No mesmo sentido, o considerando 25, da Diretiva 2002/58/CE dispunha que “as modalidades para prestar as}

informações, proporcionar o direito de recusar ou pedir consentimento deverão ser tão conviviais quanto possível”. Já tivemos oportunidade de ver, as versões inglesa e francesa da do considerando 66, da Diretiva 2009/136/CE não se referem ao métodos para obter consentimento mas apenas para prestar informações e proporcionar o direito de recusar.

Importa ter essas versões em atenção, também, de modo a perceber o sentido dos requisitos de convivialidade e simplicidade vertidos nas versões portuguesas. Apesar da alteração terminológica, estes devem ser percebidos no mesmo sentido.

Nas vers es inglesas é adotado o termo “user friendly” enquanto requisito para os métodos de prestação de informaç es, em ambas as Diretivas: “The methods for giving information, (...) should be made as user-friendly as possible” (considerando 25, da Diretiva 2002/58/CE) e “The methods of providing information (...) should be as user- friendly as possible” (considerando 66, da Diretiva 2009/136/CE). A mesma estabilidade se verifica nas versões francesas onde termo “conviviales” se repete: “Les méthodes retenues pour communiquer des informations, offrir un droit de refus ou solliciter le consentement devraient être les plus conviviales possibles” (considerando 25, da Diretiva 2002/58/CE) e “Les méthodes retenues pour fournir des informations et offrir le droit de refus devraient être les plus conviviales possibles.” (considerando 66, da Diretiva 2009/136/CE).

183 Por estar em causa um tratamento de dados considerado invisível é da maior relevância não só a prestação de informações completas à pessoa em causa mas a garantia de que essas informações chegam, realmente, ao conhecimento do seu destinatário, de modo a cumprirem os seus objetivos. A informação é essencial à livre prestação do consentimento, sendo condição essencial à sua validade.

O Grupo do Artigo 29.º a respeito da qualidade da informação refere que esta se deve sempre ter em consideração ser prestada em texto simples, sem uso de gíria, compreensível, evidente, de modo a ser suscetível de ser entendida por um utilizador médio.

No que respeita à acessibilidade e visibilidade da informação, o Grupo entende que esta deve ser prestada diretamente às pessoas, não sendo suficiente “ que a informação esteja «disponível» num qualquer local”. A informação deve, ainda, “ser claramente visível (tipo e tamanho das letras),

proeminente e completa”. 658

A apresentação de um mínimo de informações diretamente no monitor,

de forma interativa, facilmente visível acessível e compreensível659 é a forma

mais eficaz de prestar informações, de acordo com o Grupo do Artigo 29.º660.

Entendemos que esse mínimo de informação deve focar as que

resultam do artigo 10.º da Diretiva 95/46/CE661, ainda que de forma não

exaustiva662, bem como informações relativas ao modo como pode expressar

658

GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 15/2011 sobre a definição ... , cit., p. 22.

659

Para que possa ser considerada compreensível, é importante ter em atenção não só o idioma em que a informação é prestada mas, também, a linguagem que deve ser acessível ao utilizador comum.

660 _{GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 2/2010 sobre publicidade comportamental}

... , cit., p. 20.

661

Neste sentido, GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Parecer 2/2010 sobre publicidade comportamental ... , cit., p. 20, nota de rodapé 40, que remete para a Recomendação 2/2001 sobre determinados requisitos mínimos para a recolha de dados pessoais em linha na União Europeia, segundo a qual Grupo entende que, quando através de um site se proceda ao tratamento de dados pessoais, devem ser exibidas diretamente no ecrã, antes da recolha, informações respeitantes à identidade do responsável pelo tratamento dos dados; às finalidade(s); ao carácter obrigatório ou facultativo da informação solicitada; aos destinatários ou categorias de destinatários dos dados recolhidos; à existência do direito de acesso e rectificação; à existência do direito a opor-se a qualquer comunicação dos dados a terceiros, para fins que não sejam a prestação do serviço solicitado, e indicações sobre o modo de o fazer; e informação relativa ao nível de segurança durante todas as fases de tratamento, incluindo a transmissão. GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, Recomendação 2/2001 sobre determinados requisitos ... , cit., pp. 7 e 8.

662

Por exemplo, a informação mínima deve contemplar a eventual comunicação (transmissão) dos dados, podendo a identidade dos destinatários constar de uma página com informações mais completas para que aquela tenha uma hiperligação.