• Nenhum resultado encontrado

Grupo de trabalho para a protecção de dados do artigo 29.º

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "Grupo de trabalho para a protecção de dados do artigo 29.º"

Copied!
22
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 22 páginas )

Texto

(1)

Grupo de trabalho para a protecção de dados do artigo 29.º

Este grupo de trabalho foi instituído pelo artigo 29.º da Directiva 95/46/CE. Trata-se de um órgão consultivo europeu independente em matéria de protecção de dados e de privacidade. As suas atribuições são descritas no artigo 30.º da Directiva 95/46/CE e no artigo 15.º da Directiva 2002/58/CE.

As funções de secretariado são asseguradas pela Direcção C (Direitos fundamentais e cidadania da União) da Direcção-Geral da Justiça da Comissão Europeia, B-1049 Bruxelas, Bélgica, Gabinete MO59 02/013.

881/11/PT WP 185

Parecer 13/2011 sobre serviços de geolocalização em dispositivos móveis inteligentes

(2)

ÍNDICE

1. Introdução... 3

2. Contexto: diversas infra-estruturas de geolocalização ... 4

2.1 Dados das estações de base ... 4

2.2 Tecnologia GPS... 5

2.3 WiFi ... 5

2.3.1 Pontos de acesso WiFi... 5

3. Riscos para a privacidade ... 7

4. Quadro jurídico... 8

4.1 Dados das estações de base tratados pelos operadores de telecomunicações... 8

4.2 Dados de estações de base, WiFi e GPS tratados por fornecedores de serviços da sociedade da informação... 9

4.2.1 Aplicabilidade da Directiva Privacidade e Comunicações Electrónicas revista ... 9

4.2.2 Aplicabilidade da Directiva Protecção de Dados ... 9

5. Obrigações decorrentes da legislação em matéria de protecção de dados ... 12

5.1 Responsável pelo tratamento dos dados ... 12

5.1.1 Responsável pelo tratamento dos dados de uma infra-estruturas de geolocalização ... 12

5.1.2 Fornecedores de aplicações e serviços de geolocalização... 13

5.1.3 Criador do sistema operativo... 13

5.2 Responsabilidades das outras partes... 14

5.3 Justificação legítima ... 14

5.3.1 Dispositivos móveis inteligentes ... 14

5.4 Informação... 18

5.5 Direitos das pessoas em causa ... 19

5.6 Períodos de conservação... 19

(3)

O GRUPO DE TRABALHO PARA A PROTECÇÃO DAS PESSOAS NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS, instituído pela

Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, tendo em conta o artigo 29.º e o artigo 30.º, n.º 1, alínea a), e n.º 3, da referida directiva, Tendo em conta o seu regulamento interno,

ADOPTOU O PRESENTE DOCUMENTO:

1. Introdução

A informação geográfica desempenha um papel importante na nossa sociedade. Quase todas as actividades e decisões humanas têm uma componente geográfica. Em geral, o valor da informação aumenta quando ela está ligada a um local. Todos os tipos de informações podem ser associados a um local geográfico, nomeadamente dados financeiros, dados de saúde e outros dados comportamentais dos consumidores. Com o rápido desenvolvimento tecnológico e a ampla aceitação dos dispositivos móveis inteligentes, está a surgir toda uma nova categoria de serviços assentes na localização. O objectivo do presente parecer consiste em clarificar o quadro jurídico aplicável aos serviços de geolocalização que estão disponíveis em - e/ou são gerados por - dispositivos móveis inteligentes que podem ligar-se à Internet e estão equipados com sensores de localização, como os sensores GPS. São exemplos desses serviços os serviços de cartografia e navegação, os serviços geopersonalizados (inclusive os que indicam pontos de interesse nas proximidades), os serviços de realidade aumentada, a geomarcação de conteúdos na Internet, a monitorização do paradeiro de amigos, o controlo de crianças e a publicidade baseada na localização.

O presente parecer abrange igualmente os três principais tipos de infra-estruturas utilizadas na oferta de serviços de geolocalização, designadamente GPS, estações de base GSM e WiFi. É dada especial atenção às novas infra-estruturas que têm por base os pontos de acesso WiFi.

O grupo de trabalho está bem ciente de que existem muitos outros serviços que tratam dados de localização que podem também suscitar preocupações em matéria de protecção de dados. O leque destes serviços vai de sistemas de bilhética electrónica a sistemas de portagem para automóveis e de serviços de navegação por satélite a serviços de localização assistidos, por exemplo, por câmaras vídeo ou pela geolocalização dos endereços IP. No entanto, dada a rápida evolução tecnológica, sobretudo no que respeita à cartografia dos pontos de acesso sem fios, e atendendo ao facto de que os novos operadores se preparam para desenvolver novos serviços assentes na localização que se apoiam numa combinação de dados de estações de base, GPS e WiFi, o grupo de trabalho decidiu clarificar especificamente os requisitos legais aplicáveis a esses serviços nos termos da Directiva Protecção de Dados.

O parecer começa por descrever a tecnologia e, em seguida, identifica e avalia os riscos para a vida privada e apresenta conclusões respeitantes à aplicação das disposições legais pertinentes a vários responsáveis pelo tratamento de dados que recolhem e tratam

(4)

dados de localização derivados de dispositivos móveis. Esses responsáveis são, nomeadamente, os fornecedores de infra-estruturas de geolocalização, os fabricantes de telemóveis inteligentes e os criadores de aplicações assentes na geolocalização.

O presente parecer não avalia tecnologias específicas de geomarcação associadas à chamada Web 2.0, mediante as quais os utilizadores integram informações georreferenciadas em redes sociais, como a Facebook ou a Twitter. O parecer também não analisa em pormenor outras tecnologias de geolocalização utilizadas para interligar dispositivos numa zona relativamente pequena (centros comerciais, aeroportos, edifícios de escritórios, etc.), nomeadamente etiquetas RFID assentes nas tecnologias Bluetooth, ZigBee, geodelimitação e WiFi, embora muitas das suas conclusões respeitantes a justificações legítimas, informações e direitos das pessoas a quem os dados dizem respeito se apliquem também a essas tecnologias, quando utilizadas para geolocalizar pessoas através dos seus dispositivos.

2. Contexto: diversas infra-estruturas de geolocalização 2.1 Dados das estações de base

A área de cobertura dos diversos operadores de telecomunicações divide-se em zonas denominadas células. Para poder ser utilizado ou ligado à Internet através de comunicações 3G, um telemóvel ou outro dispositivo móvel tem de estabelecer uma ligação à antena (estação de base) que assegura a cobertura dessa célula. As células abrangem zonas de dimensão diversa, em função, por exemplo, das interferências com montanhas ou edifícios altos.

Desde que esteja activo (on), um dispositivo móvel está sempre ligado a uma determinada estação de base. O operador de telecomunicações regista continuamente essas ligações. Cada estação de base possui um código de identificação único e está registada com uma localização específica. Tanto o operador de telecomunicações como muitos dispositivos móveis têm a capacidade de utilizar os sinais de células sobrepostas (estações de base vizinhas) para determinar a localização do dispositivo móvel com uma exactidão crescente. Esta técnica é também conhecida como triangulação.

A precisão pode ainda ser aumentada graças, nomeadamente, a informações RSSI (Received Signal Strength Indicator - indicador da intensidade do sinal recebido), TDOA (Time Difference of Arrival - diferença de tempo à chegada) e AOA (Angle Of

Arrival - ângulo de incidência).

Os dados das estações de base podem ser utilizados de forma inovadora, designadamente para detectar congestionamentos de tráfego. Para cada estrada, é conhecida a velocidade média em cada parte do dia; quando a transferência para a estação de base seguinte demora mais tempo do que o previsto, pode deduzir-se que há congestionamento do tráfego.

Em suma, este método fornece uma indicação rápida e grosseira da localização, muito menos precisa do que a obtida com os dados GPS e WiFi. A margem de erro é de cerca de 50 metros em zonas urbanas densamente povoadas, podendo chegar a vários quilómetros em zonas rurais.

(5)

2.2 Tecnologia GPS

Muitos dispositivos móveis inteligentes estão equipados com circuitos integrados que constituem receptores GPS, ou seja, que determinam a sua localização.

A tecnologia GPS (Global Positioning System - sistema de localização global) utiliza 31 satélites, percorrendo cada um uma de seis órbitas diferentes em torno da Terra1. Cada satélite emite um sinal rádio muito preciso.

O dispositivo móvel pode determinar a sua localização quando o sensor GPS capta pelo menos quatro desses sinais. Em contraste com os dados das estações de base, o sinal é unidireccional. As entidades que gerem os satélites não têm a possibilidade de manter registos dos dispositivos que receberam o sinal rádio.

A tecnologia GPS oferece uma localização precisa, com uma margem de erro de 4 a 15 metros. O grande inconveniente do GPS reside na relativa lentidão do seu arranque2. Outro inconveniente reside no facto de não funcionar, ou não funcionar bem, em espaços interiores. Assim, na prática, os dados GPS são frequentemente combinados com os dados das estações de base e/ou a cartografia dos pontos de acesso WiFi.

2.3 WiFi

2.3.1 Pontos de acesso WiFi

Uma fonte de dados de geolocalização relativamente nova são os pontos de acesso WiFi. A tecnologia é semelhante à utilizada para as estações de base. Ambas se baseiam num identificador único (da estação de base ou do ponto de acesso WiFi) que pode ser detectado por um dispositivo móvel e enviado a um serviço que conhece a localização correspondente a esse identificador.

O identificador único de cada ponto de acesso WiFi é o seu endereço MAC (Medium

Access Control - controlo de acesso ao meio). Um endereço MAC é um identificador

único atribuído a uma interface de rede e que, em geral, está registado no hardware, designadamente pastilhas de memória e/ou cartões de rede nos computadores, telefones, computadores portáteis ou pontos de acesso3.

1

O sistema GPS é constituído por satélites lançados pelos Estados Unidos da América para fins militares. A Comissão Europeia tenciona lançar, até 2014, o sistema Galileo, uma rede de 18 satélites que oferecerá um serviço de localização global por satélite gratuito e não-militar. Os dois primeiros satélites devem ser lançados em 2011, seguindo-se mais dois em 2012. Fonte: Comissão Europeia, «Commission presents midterm review of Galileo and EGNOS» (Comissão apresenta avaliação intercalar do Galileo e do EGNOS), 25 de Janeiro de 2011, URL:

http://ec.europa.eu/enterprise/newsroom/cf/itemlongdetail.cfm?displayType=news&tpa_id=0&ite m_id=4835

2

Para acelerar o início da detecção de sinais GPS, é possível carregar previamente as chamadas tabelas arco-íris, que indicam a localização prevista para os diversos satélites nas semanas seguintes.

3

Exemplo de um endereço MAC: 00-1F-3F-D7-3C-58. O endereço MAC de um ponto de acesso WiFi denomina-se BSSID (Basic Service Set Identifier - identificador de componente básico de serviço).

(6)

Os pontos de acesso WiFi podem ser utilizados como uma fonte de informação de geolocalização porque anunciam continuamente a sua existência. Na sua maioria, os pontos de acesso em banda larga à Internet têm também, de raiz, uma antena WiFi. Na configuração predefinida dos pontos de acesso mais utilizados na Europa, essa ligação sem fios está activada, mesmo nos casos em que o utilizador liga o(s) seu(s) computador(es) ao ponto de acesso unicamente através de cabos/fios. Tal como um emissor de rádio, o ponto de acesso WiFi difunde continuamente o nome da sua rede e o seu endereço MAC, mesmo quando ninguém está a utilizar a ligação ou quando o conteúdo da comunicação sem fios está cifrado segundo o método WEP, WPA ou WPA2.

Há duas formas diferentes de obter o endereço MAC de um ponto de acesso WiFi4. 1. Varrimento activo: envio de pedidos activos5 a todos os pontos de acesso WiFi próximos e registo das respostas. As respostas não incluem informações sobre os dispositivos ligados ao ponto de acesso WiFi.

2. Varrimento passivo: registo das sequências de sinais de identificação (beacon

frames) transmitidas periodicamente por cada ponto de acesso (em geral, 10

vezes por segundo). Como alternativa não canónica, pode recorrer-se a ferramentas que registam, de um modo mais geral, todas as sequências de sinais WiFi emitidas pelos pontos de acesso, incluindo as que não incluem sinais de identificação. Caso seja efectuado sem respeitar adequadamente os princípios da privacidade de raiz, este tipo de varrimento pode originar a recolha dos dados transferidos entre os pontos de acesso e os dispositivos a eles ligados. Desta forma, é possível registar os endereços MAC dos computadores de secretária, dos computadores portáteis e das impressoras. Este tipo de varrimento pode também conduzir ao registo ilegal do conteúdo das comunicações. Esse conteúdo é de fácil leitura caso o proprietário do ponto de acesso WiFi não tenha activado a cifragem dos sinais WiFi (WEP/WPA/WPA2).

A localização de um ponto de acesso WiFi pode ser determinada de duas formas distintas.

1. Estaticamente/uma única vez: os próprios responsáveis pelo tratamento obtêm os endereços MAC dos pontos de acesso WiFi conduzindo, na zona, veículos equipados com antenas. Registam a latitude e a longitude exactas do veículo no momento em que o sinal é captado, podendo calcular a localização dos pontos de acesso com base, designadamente, na intensidade do sinal.

2. Dinamicamente/continuadamente: os utilizadores dos serviços de geolocalização obtêm automaticamente os endereços MAC detectados pelos seus dispositivos dotados da função WiFi quando utilizam, por exemplo, um mapa em linha para determinar a sua própria posição (Onde estou?). O dispositivo móvel envia então todas as informações disponíveis para o fornecedor de serviços de geolocalização, nomeadamente o endereço MAC, os SSID e a intensidade do sinal. O responsável pelo tratamento pode utilizar

4

Os varrimentos activo e passivo foram normalizados (IEEE 802.11) com vista à detecção de pontos de acesso.

5

(7)

estas observações continuadas para calcular e/ou melhorar o cálculo da localização dos pontos de acesso WiFi nas suas bases de dados de pontos de acesso WiFi cartografados. É importante notar que os dispositivos móveis não necessitam de se «ligar» aos pontos de acesso WiFi para obter dados sobre os mesmos. Detectam automaticamente a presença dos pontos de acesso (em modo de varrimento activo ou passivo) e obtêm automaticamente os dados sobre estes.

Acresce que os telemóveis que emitem um pedido de geolocalização enviarão não só dados WiFi mas também, em muitos casos, quaisquer outras informações de localização que possuam, designadamente dados GPS e dados sobre estações de base. Consequentemente, o fornecedor pode calcular a localização de «novos» pontos de acesso WiFi e/ou melhorar esse cálculo para os pontos de acesso WiFi que já constam da base de dados. Assim, a recolha de informações sobre os pontos de acesso WiFi é descentralizada de modo muito eficiente, sem que os clientes se apercebam necessariamente deste processo.

Em suma: a geolocalização com base nos pontos de acesso WiFi permite determinar rapidamente e, através de medições continuadas, com uma precisão crescente a localização de um dispositivo.

3. Riscos para a privacidade

Um dispositivo móvel inteligente está muito intimamente ligado a uma determinada pessoa. A maior parte das pessoas mantém os seus dispositivos móveis junto de si, no bolso, na bolsa e, à noite, próximo da cama.

É raro uma pessoa emprestar um desses dispositivos a outra pessoa. Na sua maioria, as pessoas estão cientes de que o seu dispositivo móvel contém um leque de informações muito íntimas, que vai de mensagens de correio electrónico a fotos privadas, do histórico de navegação à lista de contactos.

Essas informações permitem que os fornecedores de serviços de geolocalização obtenham um panorama íntimo dos hábitos e padrões do proprietário desse dispositivo e elaborem extensos perfis. Com base no padrão de inactividade durante a noite pode ser deduzido o local de dormida e com base num padrão regular de deslocações de manhã pode ser deduzido o local de trabalho. O padrão pode incluir ainda dados derivados dos padrões de movimentos de amigos com base no chamado gráfico social6.

Um padrão de comportamento pode incluir igualmente categorias especiais de dados, caso revele, por exemplo, visitas a hospitais e a locais de culto religioso e a presença em manifestações políticas ou noutros locais específicos relacionados, designadamente, com a vida sexual. Tais perfis podem ser utilizados para a tomada de decisões que afectam significativamente o proprietário.

As tecnologias dos dispositivos móveis inteligentes permitem a monitorização constante dos dados de localização. Os telemóveis inteligentes podem recolher continuamente

6

«Gráfico social» é uma expressão que indica a visibilidade dos amigos em sítios de redes sociais e a capacidade de inferir características comportamentais a partir de dados sobre esses amigos.

(8)

sinais provenientes das estações de base e dos pontos de acesso WiFi. Tecnicamente, a monitorização pode ser ocultada, ou seja, efectuada sem conhecimento do proprietário. A monitorização também pode ser feita de modo semi-oculto, quando as pessoas se «esquecem» ou não estão devidamente informadas de que os serviços de localização estão activos ou quando os parâmetros de acessibilidade dos dados de localização mudam de «privado» para «público».

Mesmo nos casos em que as pessoas disponibilizam intencionalmente na Internet os seus dados de geolocalização, através de serviços de monitorização do paradeiro e geomarcação, o acesso ilimitado à escala mundial cria novos riscos que vão do roubo de dados ao assédio, ao assalto ou mesmo à agressão física.

Tal como sucede com outras novas tecnologias, um risco importante associado à utilização de dados de localização é o desvirtuamento da função, ou seja, a criação, com base na disponibilidade de um novo tipo de dados, de novas finalidades que não estavam previstas na altura da recolha inicial dos dados.

4. Quadro jurídico

O quadro jurídico relevante é a Directiva Protecção de Dados (95/46/CE). Esta directiva é aplicável nos casos em que são tratados dados pessoais como resultado do tratamento de dados de localização. A Directiva Privacidade e Comunicações Electrónicas (2002/58/CE, revista pela Directiva 2009/136/CE) aplica-se apenas ao tratamento de dados das estações de base pelos serviços e redes de comunicações electrónicas públicas (operadores de telecomunicações).

4.1 Dados das estações de base tratados pelos operadores de telecomunicações

Os operadores de telecomunicações tratam continuamente dados das estações de base no âmbito da oferta de serviços públicos de comunicações electrónicas7. Podem também tratar os dados das estações de base para fornecerem serviços de valor acrescentado. Esta questão foi já analisada pelo grupo de trabalho no parecer 5/2005 (WP115). Embora alguns dos exemplos apresentados no parecer estejam inevitavelmente ultrapassados, dada a difusão crescente das tecnologias e dos sensores associados à Internet em dispositivos de dimensões cada vez menores, as conclusões e recomendações de carácter jurídico deste parecer permanecem válidas no que respeita à utilização dos dados das estações de base.

1. Uma vez que se relacionam com pessoas físicas identificadas ou identificáveis, os dados de localização derivados das estações de base são abrangidos pelas disposições que regem a protecção dos dados pessoais, constantes da Directiva 95/46/CE, de 24 de Outubro de 1995.

2. A Directiva 2002/58/CE de 12 de Julho de 2002 (revista em Novembro de 2009 pela Directiva 2009/136/CE) é também aplicável, de acordo com a definição constante do seu artigo 2.º, alínea c):

7

Note-se que a oferta de pontos de acesso WiFi público pelos fornecedores de serviços de telecomunicações é também considerada um serviço público de comunicações electrónicas, pelo que deverá, acima de tudo, respeitar o disposto na Directiva Privacidade e Comunicações Electrónicas.

(9)

«Dados de localização», quaisquer dados tratados numa rede de comunicações electrónicas ou por um serviço de comunicações electrónicas que indiquem a posição geográfica do equipamento terminal de um utilizador de um serviço de comunicações electrónicas acessível ao público.

Se um operador de telecomunicações oferecer um serviço híbrido de geolocalização que se baseie também no tratamento de outros tipos de dados de localização, como os dados GPS ou WiFi, essa actividade é considerada um serviço público de comunicações electrónicas. O operador de telecomunicações deve obter o consentimento prévio dos seus clientes caso forneça esses dados de geolocalização a terceiros.

4.2 Dados de estações de base, WiFi e GPS tratados por fornecedores de serviços da sociedade da informação

4.2.1 Aplicabilidade da Directiva Privacidade e Comunicações Electrónicas revista Normalmente, os serviços e aplicações de localização com base numa combinação de dados de estações de base, GPS e WiFi são considerados serviços da sociedade da

informação. Como tal, são explicitamente excluídos do âmbito de aplicação da

Directiva Privacidade e Comunicações Electrónicas, com base na definição estrita de serviço de comunicações electrónicas (artigo 2.º, alínea c), da Directiva-Quadro revista (não alterado)8.

A Directiva Privacidade e Comunicações Electrónicas não se aplica ao tratamento de dados de localização por serviços da sociedade da informação, mesmo quando esse tratamento é efectuado através de uma rede pública de comunicações electrónicas. Um utilizador pode optar por transmitir dados GPS através da Internet, nomeadamente quando acede a serviços de navegação na Internet. Nesse caso, o sinal GPS é transmitido no nível «aplicações» da comunicação na Internet, independentemente da rede GSM. O fornecedor de serviços de telecomunicações actua como simples transportador. Não tem acesso aos dados GPS e/ou WiFi e/ou de estações de base comunicados de e para um dispositivo móvel inteligente, entre um utilizador/assinante e um serviço da sociedade da informação, a menos que recorra a meios muito intrusivos, como a inspecção aprofundada dos pacotes.

4.2.2 Aplicabilidade da Directiva Protecção de Dados

Nos casos em que a Directiva Privacidade e Comunicações Electrónicas não é aplicável, em conformidade com o artigo 1.º, n.º 2, é aplicável a Directiva 95/46/CE: «Para os

8

Directiva 2002/21/CE, de 7 de Março de 2002, artigo 2.º, alínea c): «Serviço de comunicações

electrónicas", o serviço oferecido em geral mediante remuneração, que consiste total ou principalmente no envio de sinais através de redes de comunicações electrónicas, incluindo os serviços de telecomunicações e os serviços de transmissão em redes utilizadas para a radiodifusão, excluindo os serviços que prestem ou exerçam controlo editorial sobre conteúdos transmitidos através de redes e serviços de comunicações electrónicas; excluem-se igualmente os serviços da sociedade da informação, tal como definidos no artigo 1.º da Directiva 98/34/CE que não consistam total ou principalmente no envio de sinais através de redes de comunicações electrónicas.

(10)

efeitos do n.º 1, as disposições da presente directiva especificam e complementam a Directiva 95/46/CE».

Com base na Directiva Protecção de Dados, dados pessoais são qualquer informação

relativa a uma pessoa singular identificada ou identificável («pessoa em causa»); é considerado identificável todo aquele que possa ser identificado, directa ou indirectamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social; - artigo 2.º, alínea a), da Directiva.

O considerando 26 da Directiva incide, em especial, no termo «identificável», podendo ler-se o seguinte: «para determinar se uma pessoa é identificável, importa considerar o

conjunto dos meios susceptíveis de serem razoavelmente utilizados, seja pelo responsável pelo tratamento, seja por qualquer outra pessoa, para identificar a referida pessoa».

O considerando 27 refere-se ao âmbito alargado da protecção: «o âmbito desta

protecção não deve, na prática, depender das técnicas utilizadas, sob pena de se correr o sério risco de a protecção poder ser contornada».

No seu parecer 4/2007 sobre o conceito de dados pessoais, o grupo de trabalho forneceu amplas orientações sobre a definição de dados pessoais.

Dispositivos móveis inteligentes

Os dispositivos móveis inteligentes estão indissociavelmente ligados a pessoas singulares. Normalmente, existe uma identificabilidade directa e uma identificabilidade indirecta.

Em primeiro lugar, o operador de telecomunicações que fornece serviços de GSM e de acesso móvel à Internet possui, em geral, um registo com o nome, o endereço e as referências bancárias dos clientes, em combinação com vários números únicos do dispositivo, como o IMEI e o IMSI.

Em segundo lugar, a compra de software suplementar (aplicações) para o dispositivo exige normalmente um número de cartão de crédito, o que enriquece a combinação de números únicos e dados de localização com dados de identificação directa.

A identificação indirecta pode obter-se através da combinação dos números únicos do dispositivo com uma ou várias posições determinadas por cálculo.

Cada dispositivo móvel inteligente tem, pelo menos, um identificador único, o seu endereço MAC, mas pode ter outros números de identificação únicos, acrescentados pelo criador do sistema operativo. Estes identificadores podem ser transmitidos e tratados no contexto dos serviços de geolocalização. É um facto que a localização de um determinado dispositivo pode ser calculada de forma muito precisa, em especial quando se recorre às diversas infra-estruturas de geolocalização. Essa localização pode indicar uma casa ou as instalações de uma empresa. Mediante observações recorrentes, é possível identificar o proprietário do dispositivo.

(11)

Quando se examinam os meios de identificação disponíveis, deve ter-se em conta que as pessoas tendem a divulgar cada vez mais dados de localização pessoal na Internet, nomeadamente ao tornarem público o local de residência ou de trabalho em combinação com outros dados de identificação. Essa divulgação pode também ocorrer sem o conhecimento dos próprios, quando são objecto de geomarcação por terceiros. Este processo facilita a associação de um local ou padrão comportamental a um determinado indivíduo.

Deve ainda notar-se que, segundo o parecer 4/2007 sobre o conceito de dados pessoais, um identificador único, no contexto acima descrito, permite rastrear o utilizador de um dispositivo específico e, por conseguinte, destacá-lo, mesmo quando o seu nome verdadeiro não é conhecido.

Pontos de acesso WiFi

Esta identificabilidade indirecta aplica-se igualmente aos pontos de acesso WiFi9. O endereço MAC de um ponto de acesso WiFi, em combinação com a sua localização calculada, está indissociavelmente ligado à localização do proprietário do ponto de acesso.

Um responsável pelo tratamento razoavelmente equipado pode calcular com precisão crescente a localização de um ponto de acesso WiFi com base na intensidade do sinal e nas contínuas actualizações da localização através dos utilizadores do seu serviço de geolocalização.

Com a ajuda destes recursos, é possível identificar, em muitos casos, um pequeno grupo de apartamentos ou casas que inclui a residência do proprietário do ponto de acesso. A facilidade com que é possível identificar o proprietário com base no endereço MAC depende do meio envolvente:

• Em zonas pouco povoadas, nas quais o endereço MAC aponta para uma única casa, o proprietário da mesma pode ser determinado directamente com instrumentos como, por exemplo, os registos de propriedade predial, as listas telefónicas, os registos eleitorais ou mesmo com uma pesquisa simples num motor de pesquisa10.

• Em zonas mais densamente povoadas, é possível, com base, por exemplo, na intensidade do sinal e/ou no SSID (que qualquer pessoa pode detectar com um dispositivo dotado da função WiFi), determinar a localização precisa do ponto de acesso e, em muitos casos, a identidade da pessoa ou pessoas que vivem no local (casa ou apartamento) onde está instalado o ponto de acesso.

• Em zonas muito densamente povoadas, mesmo recorrendo à informação sobre a intensidade do sinal, o endereço MAC aponta para vários apartamentos onde poderá situar-se o ponto de acesso. Nestas circunstâncias, não é possível, sem um esforço irrazoável, identificar com precisão a pessoa que vive no apartamento onde se situa o ponto de acesso.

O facto de em alguns casos não ser possível identificar o proprietário do dispositivo sem um esforço irrazoável não obsta à conclusão geral de que a combinação do endereço

9

Os pontos de acesso WiFi podem mesmo ser directamente identificáveis, caso o fornecedor de acesso à Internet mantenha um registo dos endereços MAC dos encaminhadores WiFi que fornece aos seus clientes identificados.

10

(12)

MAC de um ponto de acesso WiFi com a sua localização calculada deve ter o estatuto de dados pessoais.

Nestas circunstâncias e tendo em conta ser pouco provável que o responsável pelo tratamento dos dados possa fazer a distinção entre os casos em que o proprietário do ponto de acesso WiFi é identificável e os casos em que não o é, o responsável pelo tratamento de dados deve tratar todos os dados sobre encaminhadores WiFi como dados pessoais.

Convém lembrar que não é necessário que a finalidade do tratamento desses dados de geolocalização seja a identificação dos utilizadores. A necessidade de um esforço irrazoável para identificar os proprietários dos pontos de acesso WiFi é, em grande parte, determinada pelos meios técnicos de que o responsável pelo tratamento ou qualquer outra pessoa dispõe para identificar os utilizadores.

5. Obrigações decorrentes da legislação em matéria de protecção de dados

5.1 Responsável pelo tratamento dos dados

No contexto dos serviços de geolocalização em linha incluídos nos serviços da sociedade da informação, é possível distinguir três funcionalidades diferentes correspondentes a diferentes responsabilidades no tratamento de dados pessoais. São elas: responsável pelo tratamento dos dados de uma infra-estrutura de geolocalização, fornecedor de uma aplicação ou serviço específico de geolocalização e criador do sistema operativo de um dispositivo móvel inteligente. Na prática, muitas vezes, as empresas desempenham simultaneamente muitas funções, nomeadamente quando combinam um sistema operativo com uma base de dados de pontos de acesso WiFi cartografados e uma plataforma publicitária.

5.1.1 Responsável pelo tratamento dos dados de uma infra-estruturas de geolocalização Tal como os operadores de telecomunicações quando determinam a localização de um dispositivo específico com a ajuda das suas estações de base, os proprietários das bases de dados de pontos de acesso WiFi cartografados tratam dados pessoais quando calculam a localização de um determinado dispositivo móvel inteligente. Dado que determinam as finalidades e os meios desse tratamento, são ambos responsáveis pelo tratamento, de acordo com a definição constante do artigo 2.º, alínea d), da Directiva Protecção de Dados.

É importante sublinhar que o dispositivo específico é um elemento fundamental para calcular a sua localização, transmitindo ao proprietário da base de dados os seus próprios dados de localização (muitas vezes, uma combinação de dados GPS, WiFi e da estação de base) e os identificadores únicos dos pontos de acesso WiFi mais próximos11.

11

O dispositivo móvel pode encaminhar os diversos dados de geolocalização recebidos para o responsável pelo tratamento, para que este calcule a sua localização, ou pode, ele próprio, calcular a sua localização. Em ambos os casos, o dispositivo é um equipamento essencial no tratamento dos dados.

(13)

Esse dispositivo satisfaz ainda o critério do artigo 4.º, n.º 1, alínea c), da Directiva Protecção de Dados, meios situados no território de um Estado-Membro.

Dado que o endereço MAC de um ponto de acesso WiFi, em combinação com a sua localização calculada, deve ser tratado como dados pessoais, a recolha desses dados origina igualmente o tratamento de dados pessoais. Independentemente do modo como esses dados são recolhidos (uma única vez ou continuadamente), o proprietário de uma base de dados deste tipo deve respeitar o disposto na Directiva Protecção de Dados.

5.1.2 Fornecedores de aplicações e serviços de geolocalização

Os dispositivos móveis inteligentes permitem a instalação de software de terceiros, conhecido como aplicações. Essas aplicações podem tratar os dados de localização (e outros dados) provenientes de um dispositivo móvel inteligente, independentemente do criador do sistema operativo e/ou dos responsáveis pelo tratamento dos dados das infra-estruturas de geolocalização.

São exemplos desses serviços: um serviço meteorológico que prevê a probabilidade de precipitação nas horas seguintes numa região muito específica, um serviço que oferece informações sobre lojas nas proximidades, um serviço de identificação de um telefone perdido ou um serviço que indica a localização de amigos.

O fornecedor de uma aplicação capaz de tratar dados da geolocalização é o responsável pelo tratamento dos dados pessoais resultantes da instalação e utilização dessa aplicação.

Claro que nem sempre é necessário instalar software à parte num dispositivo móvel inteligente. O acesso a muitos serviços de geolocalização pode ser igualmente obtido através de um programa de navegação. Um exemplo deste tipo de serviço é a utilização de mapas em linha para orientar a caminhada de uma pessoa numa cidade.

5.1.3 Criador do sistema operativo

O criador do sistema operativo do dispositivo móvel inteligente pode ser o responsável pelo tratamento dos dados de geolocalização se esse sistema interagir directamente com o utilizador e recolher dados pessoais (nomeadamente quando exige o registo inicial do utilizador e/ou recolhe dados de localização para melhorar os serviços). Como responsável pelo tratamento, o criador do sistema operativo deve aplicar os princípios da privacidade de raiz, para impedir uma monitorização secreta, quer pelo próprio dispositivo quer pelas diversas aplicações e serviços.

O criador do sistema operativo é também o responsável pelo tratamento que efectua dos dados, caso o dispositivo possua a funcionalidade de ligação automática ao servidor desse criador («telefonar para casa») para indicar o seu paradeiro. Dado que, neste caso, decide dos meios e finalidades desse fluxo de dados, o criador do sistema operativo é o responsável pelo tratamento desses dados. Um exemplo vulgar da funcionalidade «telefonar para casa» é a actualização automática do fuso horário com base na localização.

(14)

Em terceiro lugar, o criador do sistema operativo é responsável pelo tratamento quando oferece uma plataforma publicitária e/ou um ambiente do tipo «loja Web» para aplicações e consegue tratar dados pessoais resultantes da instalação e utilização das aplicações de geolocalização, independentemente dos fornecedores de aplicações.

5.2 Responsabilidades das outras partes

Existem muitas outras partes em linha que viabilizam o tratamento subsequente dos dados de localização, designadamente programas de navegação, sítios de redes sociais ou meios de comunicação que servem de suporte, por exemplo, à geomarcação. Quando incorporam meios de geolocalização na sua plataforma, têm a grande responsabilidade de decidir das regulações preestabelecidas da aplicação (função «activada» ou «desactivada» de origem). Embora sejam apenas responsáveis pelo tratamento na medida em que tratam, elas próprias, dados pessoais, essas outras partes têm um papel fundamental a desempenhar na legitimidade do tratamento de dados pelos responsáveis pelo tratamento, nomeadamente os fornecedores de aplicações específicas, no que respeita, por exemplo, à visibilidade e à qualidade das informações sobre o tratamento dos dados de geolocalização.

5.3 Justificação legítima

5.3.1 Dispositivos móveis inteligentes

Se os operadores de telecomunicações pretenderem utilizar os dados das estações de base para fornecer um serviço de valor acrescentado a um cliente, devem, de acordo com a Directiva Privacidade e Comunicações Electrónicas revista, obter o seu consentimento prévio. Devem igualmente certificar-se de que o cliente é informado das condições desse tratamento.

Dado o carácter sensível do tratamento de (padrões de) dados de localização, o

consentimento prévio informado é igualmente a principal justificação invocável para

legitimar o tratamento de dados no que se refere ao tratamento dos dados de localização de um dispositivo móvel inteligente no contexto dos serviços da sociedade da informação.

De acordo com o artigo 2.º, alínea h), da Directiva Protecção de Dados, o consentimento deve ser uma manifestação de vontade, livre, específica e informada da pessoa em causa.

Consoante o tipo de tecnologia utilizada, o dispositivo do utilizador desempenha um papel relativamente activo no tratamento dos dados de geolocalização. O dispositivo tem capacidade para transmitir a terceiros dados de localização provenientes de diferentes fontes. Tal capacidade técnica não deve ser confundida com a legalidade desse tratamento de dados. Se a configuração preestabelecida de um sistema operativo permitir a transmissão de dados de localização, a não-intervenção dos seus utilizadores não deve ser confundida com o seu livre consentimento.

(15)

Os próprios criadores de sistemas operativos e de serviços da sociedade da informação, na medida em que tratam activamente dados de geolocalização (por exemplo quando obtêm acesso a informações de localização residentes no dispositivo ou por ele transmitidas) devem igualmente obter o consentimento prévio informado dos seus utilizadores. Deve ficar claro que tal consentimento não pode ser obtido livremente através da aceitação obrigatória dos termos e condições gerais nem através de opções de exclusão (inacção entendida como aceitação). De origem, os serviços de localização devem estar desactivados, podendo os utilizadores aceitar diferenciadamente a activação de aplicações específicas.

Consentimento dos empregados

O consentimento como justificação legítima para o tratamento é problemático num contexto laboral. No seu parecer sobre o tratamento de dados pessoais no contexto laboral, o grupo de trabalho escreveu o seguinte: «quando se pedir a um trabalhador o

seu consentimento e ele for potencial ou efectivamente penalizado se o recusar, o consentimento não é válido nos termos do artigo 7.º ou do artigo 8.º, uma vez que não é dado livremente. Se o trabalhador não tiver a possibilidade de o recusar, não existe consentimento. (...) Uma situação problemática é aquela em que o consentimento é uma condição para o recrutamento. O trabalhador pode, em teoria, recusar dar o seu consentimento, mas a consequência pode ser a perda de uma oportunidade de emprego. Nestas circunstâncias, o consentimento não é dado livremente, pelo que não é válido»12. Em vez de pedirem esse consentimento, os empregadores devem verificar se é comprovadamente necessário monitorizar a localização exacta dos empregados para um fim legítimo e ponderar essa necessidade face aos direitos e liberdades fundamentais dos empregados. Nos casos em que essa necessidade seja devidamente justificada, a base jurídica de tal tratamento pode ser o interesse legítimo do responsável pelo tratamento dos dados (artigo 7.º, alínea f) da Directiva Protecção de Dados). O empregador deve recorrer sempre aos meios menos intrusivos, evitar uma monitorização contínua e, por exemplo, escolher um sistema que emita um alerta quando um empregado atravessa uma linha de demarcação virtual preestabelecida. O empregado deve poder desligar o dispositivo de monitorização fora do seu horário de trabalho, devendo ser-lhe indicado o modo de o fazer. Os dispositivos de localização de veículos não são dispositivos de localização do pessoal. A sua função é determinar ou monitorizar a localização dos veículos em que são instalados. Os empregadores não devem considerá-los como dispositivos de localização ou monitorização do comportamento ou do paradeiro dos condutores ou outros empregados, nomeadamente enviando alertas relacionados com a velocidade do veículo.

Consentimento das crianças

Em alguns casos, o consentimento das crianças deve ser dado pelos seus pais ou outros representantes legais. Tal significa, por exemplo, que o fornecedor de uma aplicação de geolocalização tem de informar os pais da recolha e utilização de dados de geolocalização das crianças e obter o seu consentimento antes de recolher e utilizar as informação sobre os seus filhos. Algumas aplicações de geolocalização são especificamente concebidas para a supervisão parental, nomeadamente revelando continuamente, num sítio Web, a localização do dispositivo ou emitindo um alerta se o dispositivo sair de um território predeterminado. A utilização dessas aplicações é

12

(16)

problemática. No seu parecer 2/200913 sobre a protecção dos dados pessoais das crianças, o grupo de trabalho do artigo 29.º escreveu o seguinte: As crianças não devem

em caso algum ser submetidas, por motivos de segurança, a um excesso de vigilância que possa reduzir a sua autonomia. Neste contexto, tem de se encontrar o justo equilíbrio entre a protecção da intimidade e da privacidade das crianças e a sua segurança.

O quadro jurídico determina que os pais têm a responsabilidade de garantir o direito das crianças à privacidade. No mínimo, se os pais considerarem que a utilização dessa aplicação se justifica em determinadas circunstâncias, devem informar as crianças desse facto e, logo que seja razoavelmente possível, permitir que elas participem na decisão de utilizar a referida aplicação.

O consentimento deve ser específico para cada uma das finalidades do tratamento de dados. O responsável pelo tratamento deve indicar de modo muito claro se o seu serviço se limita a dar resposta à pergunta voluntária «Onde estou neste momento?» ou se tem como finalidade fornecer respostas às perguntas «Onde estás?», «Por onde andaste?» e «Onde vais estar na próxima semana?». Por outras palavras, o responsável pelo tratamento deve prestar especial atenção ao consentimento para fins que são inesperados para a pessoa em causa, nomeadamente o estabelecimento de perfis e/ou de alvos comportamentais.

Caso a finalidade do tratamento seja substancialmente alterada, o responsável pelo tratamento deve obter a renovação do consentimento para esse fim específico. Por exemplo, se inicialmente uma empresa declarou que não iria partilhar dados pessoais com terceiros, mas mais tarde deseja fazê-lo, deve obter o consentimento prévio activo de cada cliente. A ausência de resposta (ou outro tipo de opção de exclusão) não é suficiente.

É importante estabelecer uma distinção entre o consentimento para um serviço pontual e o consentimento para uma assinatura periódica. Por exemplo, para se utilizar um determinado serviço de geolocalização, pode ser necessário activar serviços de geolocalização no dispositivo ou no programa de navegação. Caso essa função de geolocalização esteja activada, qualquer sítio Web pode ler os dados de localização do utilizador desse dispositivo móvel inteligente. Para prevenir os riscos de monitorização secreta, o grupo de trabalho do artigo 29.º considera essencial que o dispositivo indique continuamente que a geolocalização está activada, designadamente através de um pictograma permanentemente visível.

O grupo de trabalho recomenda que os fornecedores de aplicações ou serviços de geolocalização obtenham a renovação do consentimento individual (mesmo quando a natureza do tratamento não muda) após um período adequado. Por exemplo, não seria correcto continuar a tratar dados de localização caso uma pessoa não tenha utilizado activamente o serviço nos 12 meses anteriores. Ainda que tenha utilizado o serviço, o utilizador deve ser novamente informado, pelo menos uma vez por ano (ou mais frequentemente, caso a natureza do tratamento o justifique), da natureza do tratamento dos seus dados pessoais e de um modo fácil de optar pela recusa desse tratamento.

13

WP160, parecer 2/2009 sobre a protecção dos dados pessoais das crianças (orientações gerais e situação especial das escolas).

(17)

Por último, mas igualmente importante, as pessoas em causa devem ter a possibilidade de anular o seu consentimento de forma muito simples, sem quaisquer consequências negativas para a utilização do dispositivo. Independentemente das directivas europeias em matéria de protecção de dados, o consórcio World Wide Web (W3C) elaborou um projecto de norma para interfaces de programação de aplicações (API) de geolocalização que salienta a necessidade de um consentimento prévio, expresso e informado14. O W3C justifica especificamente a necessidade de respeitar a anulação do consentimento, aconselhando todos os que irão aplicar essa norma a considerarem que «os conteúdos presentes num dado URL mudam de tal modo que as autorizações anteriormente concedidas em matéria de localização deixam de ser aplicáveis ao utilizador em causa. Por outro lado, os utilizadores podem simplesmente mudar de opinião».

Exemplo de boas práticas para os fornecedores de aplicações de geolocalização

Uma aplicação que necessite de utilizar dados de geolocalização informa claramente o utilizador das finalidades dessa utilização e pede o seu consentimento inequívoco para cada uma dessas finalidades. O utilizador escolhe activamente o grau de diferenciação da geolocalização (por exemplo, a nível de país, de cidade ou de código postal ou com a máxima precisão possível). Assim que o serviço de localização fique activado, surge e mantém-se permanentemente visível no ecrã um pictograma indicando que está activado um serviço de localização. O utilizador pode anular a cada momento o seu consentimento, sem ter de fechar a aplicação. O utilizador pode também apagar fácil e definitivamente quaisquer dados de localização armazenados no dispositivo.

5.3.2 Pontos de acesso WiFi

Com base na Directiva Protecção de Dados, as empresas podem ter um interesse legítimo na recolha e tratamento dos endereços MAC e das localizações calculadas de pontos de acesso WiFi, necessários especificamente para a oferta de serviços de geolocalização.

A justificação legítima prevista no artigo 7.º, alínea f), da Directiva Protecção de Dados exige um equilíbrio entre os interesses legítimos do responsável pelo tratamento e os direitos fundamentais das pessoas em causa. Dada a natureza semiestática dos pontos de acesso WiFi, a acção de cartografar esses pontos constitui, em princípio, uma ameaça à privacidade dos seus proprietários menor do que a determinação em tempo real da localização dos dispositivos móveis inteligentes.

O equilíbrio entre os direitos do responsável pelo tratamento e os direitos das pessoas em causa é dinâmico. Para que os seus interesses legítimos venham, a prazo, a prevalecer sobre os interesses das pessoas em causa, os responsáveis pelo tratamento têm de definir e pôr em prática garantias, nomeadamente o direito dos utilizadores de optarem, de modo fácil, pela exclusão permanente das bases de dados, sem que tenham de fornecer dados pessoais suplementares aos responsáveis por essas bases de dados.

14

(18)

Podem, por exemplo, utilizar software que detecte automaticamente que uma pessoa está ligada a um ponto de acesso específico15.

Além disso, para efeitos de oferta de serviços de geolocalização, não é necessário recolher e tratar os SSID. Por conseguinte, a recolha e o tratamento dos SSID excedem o necessário para a oferta de serviços de geolocalização com base na cartografia dos pontos de acesso WiFi.

5.4 Informação

Os diversos responsáveis pelo tratamento devem assegurar que os proprietários de dispositivos móveis inteligentes são adequadamente informados das características essenciais do tratamento, em conformidade com o artigo 10.º da Directiva Protecção de Dados, designadamente a sua identidade enquanto responsáveis pelo tratamento, a finalidade do tratamento, o tipo de dados, a duração do tratamento e o direito das pessoas em causa de obterem acesso aos seus dados, de os rectificarem ou anularem e de anularem o seu consentimento.

A validade do consentimento está indissociavelmente ligada à qualidade das informações sobre o serviço. As informações devem ser claras, completas, compreensíveis para as pessoas que não têm formação técnica e ainda fácil e permanentemente acessíveis.

As informações devem visar um vasto público. Os responsáveis pelo tratamento não podem presumir que os seus clientes são pessoas tecnicamente qualificadas pelo simples facto de possuírem um dispositivo móvel inteligente. As informações devem ser adaptadas de acordo com a faixa etária, caso o responsável pelo tratamento saiba que atrai um público jovem.

Se pretenderem determinar repetidamente a localização de um dispositivo, os fornecedores de aplicações de geolocalização devem manter os clientes informados ao longo do tratamento dos dados de localização. Devem, igualmente, permitir que os seus clientes mantenham ou anulem o seu consentimento. Para alcançar estes objectivos, os fornecedores de aplicações devem colaborar estreitamente com o criador do sistema operativo. Em termos técnicos, é este que está em melhor posição para criar um sinal de aviso permanentemente visível que indique estar em curso um tratamento de dados de localização. Está também em melhor posição para verificar se são oferecidas aplicações que monitorizam secretamente o paradeiro dos dispositivos móveis inteligentes.

15

Eis uma situação que justifica essa prática:

1. A pessoa em causa visita uma determinada página Web na qual pode introduzir o endereço MAC do seu ponto de acesso WiFi.

2. Se o endereço MAC constar da base de dados de pontos de acesso WiFi cartografados, o responsável pelo tratamento pode apresentar uma página de verificação com um script que solicita a tabela ARP do dispositivo de acesso à Internet. Teoricamente, os endereços MAC das WLAN podem ser apresentados por meio do comando «ARP —a». Com a ajuda de código residente no programa de navegação, nomeadamente código Java, essa tabela ARP pode ser criada em tarefa de fundo.

3. Se o endereço MAC constar da tabela, conclui-se que o utilizador ligado à WLAN é também o utilizador que tem acesso ao endereço MAC dessa WLAN. Assim, o responsável pelo tratamento verifica fácil e automaticamente o pedido de apagamento.

(19)

Caso tenha incluído a funcionalidade «telefonar para casa» ou outro meio de acesso aos dados armazenados no dispositivo ou de acesso a dados de localização por outras vias, nomeadamente por intermédio de terceiros anunciantes, o criador do sistema operativo deve informar previamente a pessoa em causa das finalidades (específicas e legítimas) do tratamento que pretende efectuar com esses dados e da duração desse tratamento. A obrigação de informar as pessoas em causa aplica-se igualmente aos responsáveis por bases de dados de pontos de acesso WiFi geolocalizados, que devem informar adequadamente o público em geral da sua identidade, das finalidades do tratamento e de outros aspectos relevantes. A simples menção da eventual recolha de dados sobre os pontos de acesso WiFi numa declaração específica sobre privacidade destinada aos utilizadores de uma aplicação de geolocalização não é suficiente. Existem numerosos meios para informar o público em geral, em linha e fora de linha.

5.5 Direitos das pessoas em causa

As pessoas em causa têm o direito de obter, dos diversos responsáveis pelo tratamento, acesso aos dados de localização que esses responsáveis recolheram dos seus dispositivos móveis inteligentes, bem como a informações sobre as finalidades do tratamento e os destinatários ou categorias de destinatários desses dados. As informações devem ser fornecidas num formato legível para as pessoas, ou seja, que indique claramente os locais, e não que apresente números abstractos correspondentes, por exemplo, a estações de base.

As pessoas em causa têm também o direito de acesso aos eventuais perfis criados com base nesses dados de localização. Se forem armazenados, os dados de localização devem poder ser actualizados, rectificados ou apagados pelos utilizadores.

O grupo de trabalho recomenda que os responsáveis pelo tratamento utilizem meios seguros para oferecerem um acesso directo em linha aos dados de localização e aos eventuais perfis. É fundamental que esse acesso seja oferecido sem a exigência de dados pessoais suplementares que permitam determinar a identidade das pessoas em causa.

5.6 Períodos de conservação

Os fornecedores de serviços de geolocalização e de aplicações devem determinar um período de conservação dos dados de localização não superior ao necessário para as finalidades da recolha dos dados ou do seu posterior tratamento. Devem assegurar que os dados de geolocalização ou perfis deles derivados são apagados após um período justificado.

Caso o criador do sistema operativo e/ou o responsável pelo tratamento dos dados de uma infra-estrutura de geolocalização demonstrem a necessidade da recolha de dados históricos anónimos de localização para efeitos de actualização ou melhoria dos seus serviços, importa ter o máximo cuidado para evitar que esses dados se tornem (indirectamente) identificáveis. Concretamente, ainda que o dispositivo móvel seja identificado com um identificador único de dispositivo (UDID) atribuído aleatoriamente, tal identificador só deve ser armazenado por um período máximo de 24 horas para fins operacionais. Após esse período, o identificador deve ser anonimizado,

(20)

mas deve ter-se em conta que uma verdadeira anonimização apresenta dificuldades crescentes e que a conjugação dos dados de localização ainda pode dar origem a uma identificação. O referido identificador não deve ser associável a anteriores ou futuros identificadores atribuídos ao dispositivo nem a qualquer identificador fixo do utilizador ou do telefone (nomeadamente o endereço MAC, o número IMEI ou IMSI ou quaisquer outros números de conta).

No que respeita aos dados sobre os pontos de acesso WiFi, assim que o endereço MAC de um ponto de acesso WiFi seja associado a uma nova localização, determinada com base em repetidas observações dos proprietários de dispositivos móveis inteligentes, a localização anterior deve ser imediatamente apagada para evitar a posterior utilização dos dados para fins inadequados, designadamente para marketing destinado a pessoas que mudaram de residência.

6. Conclusões

Com a ajuda das tecnologias de geolocalização, nomeadamente as que utilizam dados das estações de base, dados GPS e dados cartográficos de pontos de acesso WiFi, os dispositivos móveis inteligentes podem ser monitorizados por todo o tipo de responsáveis pelo tratamento de dados, com finalidades muito diversas, que vão da publicidade comportamental à monitorização de crianças.

Dado que os telemóveis inteligentes e os computadores tabulares estão indissociavelmente ligados aos seus proprietários, os padrões de movimentação desses dispositivos fornecem uma visão muito íntima da vida privada dos referidos proprietários. Um dos grandes riscos é o de os proprietários não se aperceberem de que transmitem dados de localização nem saberem quem os recebe. Outro risco nesta matéria é o da não-validade do consentimento da utilização dos dados de localização por determinadas aplicações, pelo facto de as informações sobre os elementos essenciais do tratamento serem incompreensíveis, antiquadas ou de qualquer outro modo inadequadas.

Há diversas obrigações a cumprir pelas várias partes interessadas, nomeadamente os criadores dos sistemas operativos, os fornecedores de aplicações e os sítios de redes sociais que incorporam nas suas plataformas funções de localização para dispositivos móveis.

6.1 Quadro jurídico

• O quadro jurídico da UE para a utilização dos dados de geolocalização provenientes de dispositivos móveis inteligentes é constituído essencialmente pela Directiva Protecção de Dados. Os dados de localização provenientes de dispositivos móveis inteligentes são dados pessoais. A combinação do endereço MAC único com a localização calculada de um ponto de acesso WiFi deve ser considerada e tratada como dados pessoais.

• Além disso, a Directiva Privacidade e Comunicações Electrónicas (2002/58/CE) revista aplica-se apenas ao tratamento dos dados das estações de base pelos operadores de telecomunicações.

(21)

• Podem distinguir-se três tipos de responsáveis pelo tratamento de dados. São eles: os responsáveis pelo tratamento dos dados de infra-estruturas de geolocalização (em especial os responsáveis pelas bases de dados de pontos de acesso WiFi cartografados), os fornecedores de aplicações e serviços de geolocalização e os criadores dos sistemas operativos dos dispositivos móveis inteligentes.

6.3 Justificação legítima

• Como os dados de localização provenientes dos dispositivos móveis inteligentes revelam elementos íntimos da vida privada dos seus proprietários, a principal justificação legítima invocável é o consentimento prévio e informado.

• Esse consentimento não pode ser obtido através dos termos e condições gerais. • O consentimento ser específico para as diversas finalidades do tratamento dos

dados, nomeadamente a definição, pelo responsáveis pelo tratamento, de perfis e/ou de alvos comportamentais. Caso a finalidade do tratamento seja substancialmente alterada, o responsável pelo tratamento deve obter a renovação do consentimento para esse fim específico.

• Os serviços de localização devem estar, de origem, desactivados. A eventual existência de uma opção de recusa por indicação expressa do utilizador não constitui um mecanismo adequado para se obter o consentimento informado deste.

• O consentimento é problemático no que respeita a empregados e crianças. No que se refere aos empregados, os empregadores só podem utilizar essa tecnologia se demonstrarem que essa utilização é necessária para alcançar um objectivo legítimo e que esse objectivo não pode ser alcançado por meios menos intrusivos. No que se refere às crianças, os pais devem decidir se a utilização de uma aplicação desse tipo se justifica em determinadas circunstâncias. No mínimo, devem informar os seus filhos dessa decisão e, logo que seja razoavelmente possível, permitir que eles participem na decisão de utilizar essa aplicação.

• O grupo de trabalho recomenda que o âmbito do consentimento seja limitado no tempo e que os responsáveis pelo tratamento sejam obrigados a relembrar aos utilizadores, no mínimo uma vez por ano, a natureza e as condições do tratamento dos seus dados pessoais. O grupo de trabalho recomenda igualmente que o consentimento seja suficientemente diferenciado no que respeita à precisão dos dados de localização.

• As pessoas em causa devem ter a possibilidade de anular o seu consentimento de forma muito simples, sem quaisquer consequências negativas para a utilização do dispositivo.

• No que se refere à cartografia dos pontos de acesso WiFi, as empresas podem ter um interesse legítimo na recolha e tratamento dos endereços MAC e das localizações calculadas dos pontos de acesso WiFi, necessários especificamente para a oferta de serviços de geolocalização. O equilíbrio de interesses entre os direitos do responsável pelo tratamento e os direitos das pessoas em causa exige que o responsável pelo tratamento reconheça o direito dessas pessoas de optarem de modo fácil e permanente pela não-inclusão dos seus dados na base de dados, não lhes exigindo dados pessoais suplementares.

(22)

6.4 Informação

• As informações devem ser claras, completas, compreensíveis para as pessoas que não têm formação técnica e ainda fácil e permanentemente acessíveis. A validade do consentimento está indissociavelmente ligada à qualidade das informações sobre o serviço.

• Outros intervenientes, como os programas de navegação e os sítios de redes sociais, têm um papel fundamental a desempenhar no que toca à visibilidade e à qualidade das informações sobre o tratamento dos dados de geolocalização. 6.5 Direitos das pessoas em causa

• Os diversos responsáveis pelo tratamento dos dados de geolocalização provenientes de dispositivos móveis devem permitir que os seus clientes tenham acesso aos seus dados de localização num formato legível para pessoas e possam rectificar e apagar esses dados e não devem recolher uma quantidade excessiva de dados pessoais.

• As pessoas em causa têm igualmente o direito de aceder aos eventuais perfis criados com base nesses dados de localização, bem como de os rectificar ou apagar.

• O grupo de trabalho recomenda a criação de um acesso em linha (seguro). 6.6 Períodos de conservação

• Os fornecedores de aplicações ou serviços de geolocalização devem estabelecer políticas de conservação que assegurem o apagamento, após um período justificado, dos dados de geolocalização ou dos perfis deles derivados.

• Caso o criador do sistema operativo e/ou o responsável pelo tratamento dos dados de uma infra-estrutura de geolocalização tratem um número único, como um endereço MAC ou um UDID, associando-o a dados de localização, o número de identificação único só pode ser armazenado por um período máximo de 24 horas para fins operacionais.

Feito em Bruxelas, em 16 de Maio de 2011

Pelo grupo de trabalho O Presidente

Referências

Descarregar agora ( PDF - 22 páginas - 117.79 KB )

Documentos relacionados

Protein translation in mammalian spermatozoa

The SUnSET bovine spermatozoa results demand the use of other translation elongation inhibitors, namely emetine, in place of cycloheximide, a competitive inhibitor of the

Tagetes patula L. como inibidor natural contra dengue vírus tipo três

patula inibe a multiplicação do DENV-3 nas células, (Figura 4), além disso, nas análises microscópicas não foi observado efeito citotóxico do extrato sobre as

UNIDADES ACADÊMICAS DA CAPITAL

libras ou pedagogia com especialização e proficiência em libras 40h 3 Imediato 0821FLET03 FLET Curso de Letras - Língua e Literatura Portuguesa. Estudos literários

UNIVERSIDADE FEDERAL DE SANTA CATARINA CENTRO DE CIÊNCIAS FÍSICAS E MATEMÁTICAS DEPARTAMENTO DE QUÍMICA QMC5515 Estágio Supervisionado

Em relação à seguridade/produção de alimentos, a Embrapa – Soja realiza, especificamente no Laboratório de Análise de Solo e Tecido Vegetal (LASTV), as

PageSpeed Insights. A compactação de recursos com gzip ou deflate pode reduzir o número de bytes enviados pela rede.

http://okestudante.pt/wp-includes/js/jquery/jquery.js?ver=1.12.4

Sobre a dialética

Assim, o método dialético visa a apreensão da totalidade social que é, em si e para si, uma totalidade concreta, modo de ser das múltiplas determinações que imbricam o

Contribuições do modelo transteórico de mudança na análise de adultos com atitude alimentar de risco e/ou IMC de risco

O primeiro passo para introduzir o MTT como procedimento para mudança do comportamento alimentar consiste no profissional psicoeducar o paciente a todo o processo,

Desenvolvimento dos serviços de telecomunicações e especialização territorial e urbana em Uberlândia-MG

São eles, Alexandrino Garcia (futuro empreendedor do Grupo Algar – nome dado em sua homenagem) com sete anos, Palmira com cinco anos, Georgina com três e José Maria com três meses.