Volvidos quase 4 anos da produção plena de efeito do Regulamento EU 679 (vulgo, RGPD), muitos foram os booms comunicacionais gerados e, porventura, muita informação pouco esclarecida foi veiculada. É inquestionável que o discurso do medo e da necessidade de compliance pelo risco das potenciais coimas cultivou uma desvalorização transversal destas matérias, uma vez que praticamente apenas soaram ecos de contraordenações aplicadas às gigantes tecnológicas por autoridades de controlo estrangeiras e, muito pontualmente, as aplicadas pela CNPD ao Hospital Barreiro-Montijo e, recentemente, à Câmara Municipal de Lisboa.
No dia em que se celebra a “Proteção de Dados”, foco a objetiva na recente decisão da autoridade de controlo espanhola (AEPD), congénere da “nossa” CNPD, no âmbito de um processo contraordenacional movido contra a My Heritage, sociedade com sede em Israel.
O tema merece particular interesse por se tratar de uma situação frequente, cujos riscos são desconhecidos ou levianamente aceites pelas organizações que exploram comercialmente os seus websites ou serviços digitais. Não raras vezes encontramos documentação legal obrigatória – como Políticas de Privacidade, Políticas de Cookies ou Termos e Condições – que não foi concebida para o caso concreto e, com a mesma frequência, esses documentos são aprovados e colocados online com a percepção de que serão pouco relevantes e em nada influirão.
A denúncia apresentada pela Organizacion de Consumidores y Usuarios (OCU) que motivou o início da investigação da AEPD elencava um amplo catálogo de alegadas desconformidades no website gerido pela My Heritage, onde esta disponibiliza os serviços de criação de árvores genealógicas e ainda serviços de testes de ADN (com possibilidade de posterior integração na plataforma para encontrar outros familiares). Toda a investigação assentou na informação visível na documentação legal disponível online, uma vez que inexistiam dados concretos de utilizadores específicos para análise.
Num primeiro plano, deteve-se a AEPD com a análise do (não) cumprimento do dever de informação no momento da recolha – conforme previsto no artigo 13.º do RGPD – como corolário do princípio da transparência. Concluiu que não estava expressamente comunicada a possibilidade de exercer o direito de portabilidade de limitar o tratamento de dados pessoais, tal como não era indicado o direito de apresentação de queixa junto da Autoridade de Controlo. Não obstante, considerou ser de aplicar uma mera advertência, tendo concorrido a favor da My Heritage o facto de, apesar das falhas apontadas, ter elaborado e disponibilizado uma política de privacidade assaz e completa. Além da advertência, impôs a medida correctiva de actualização, em conformidade da informação disponível na política de privacidade, por forma a cumprir integralmente o dever de informação.
Já sobre a informação e termos anunciados quanto ao tratamento de dados pessoais de menores de 14 anos (conforme legislação espanhola), aos termos e respectivas distinções entres as finalidades de criação de arvore genealógica dos serviços de teste ADN, bem como às condições aplicáveis às comunicações comerciais, considerou a AEPD não existir qualquer violação do RGPD.
O que me leva ao último e mais interessante tema sob análise da autoridade e que conduziu à condenação final: a utilização de cookies no website da My Heritage. Os cookies, ou testemunhos de conexão, são pequenos ficheiros em formato de texto, instalados nos equipamentos de determinado utilizador (sejam computadores ou dispositivos móveis) durante uma visita a um website, com a finalidade de armazenar, recuperar ou actualizar informação após novas visitas.
Numa era em que a Internet faz parte do nosso quotidiano, a preocupação com o armazenamento de cookies e com o seu impacto na proteção de dados e privacidade dos utilizadores tem vindo a aumentar. Desde logo, a utilização destas ferramentas pode assumir intensidades e riscos totalmente distintos: do ponto de vista da responsabilidade de gestão poderemos ter os cookies de origem ou cookies de terceiros; pela duração poderemos ter cookies de sessão ou cookies persistentes; e conforme a sua finalidade poderemos ter cookies estritamente necessários, de funcionalidade, de desempenho ou de publicidade comportamental.
Pela premência do tema, foi apresentada, em 2017, uma proposta de Regulamento ePrivacy – desde então em discussão –, tendo já sido objecto de nova proposta em 2020, com uma alteração substancial ao regime aplicável em matéria de utilização de cookies. A nova proposta introduz algumas alterações quanto à utilização de cookies para a medição de audiência, prevendo-se que tal medição possa ser efectuada por terceiros em nome do operador do website, desde que seja celebrado entre o operador e o terceiro fornecedor um acordo de subcontratação ou de responsabilidade conjunta, em conformidade com o previsto nos artigos 28.º e 26.º do RGPD.
Não obstante, no que respeita à legislação europeia em vigor, as condições para o armazenamento de cookies encontram-se previstas na Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, com as alterações introduzidas pela Directiva n.º 2009/136/CE, ambas relativas ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas – Directiva e-Privacy. Entre nós, foi transposta pela Lei n.º 41/2004, de 18 de Agosto.
A Directiva e-Privacy tem como objectivo principal proteger os utilizadores de qualquer intromissão na sua esfera privada, independentemente de a utilização de cookies determinar o tratamento de dados pessoais.
Em face dos normativos europeus que foram sendo transpostos para os ordenamentos jurídicos dos Estados-Membros, fica claro que, na União Europeia, os operadores de websites apenas podem armazenar informações no equipamento terminal do utilizador mediante obtenção do seu consentimento prévio, excepto quando se trate de cookies estritamente necessários ao correcto funcionamento do website. O consentimento deverá ser interpretado em conformidade com o previsto na legislação europeia em matéria de proteção de dados pessoais (que, à data, seria a Directiva 95/46/CE, hoje revogada), devendo considerar-se para o efeito o diploma vigente, ou seja, o RGPD.
Neste conspecto, e regressando ao caso da My Heritage, verificou a AEPD que ao entrar na página inicial do website – sem executar qualquer acção sobre a mesma (incluindo sem aceitar ou rejeitar qualquer banner de cookies) – o website utilizava por defeito cookies desnecessários, quer próprios (ou de origem), quer de terceiros. Além disso, observou ainda que o banner apresentado na página inicial não fornecia as informações essenciais que lhe competia. Por fim, analisada a Política de Cookies disponível online, verificou que a mesma não identificava concretamente os cookies utilizados, ficando, assim, aquém das imposições legais.
Foi neste cenário que a AEPD condenou a My Heritage no pagamento de coima no valor de € 20.000 (vinte mil euros) –reduzidos € 16.000 (dezasseis mil euros), beneficiando de uma redução de 20% pelo pagamento voluntário dentro do período concedido – pela desconformidade legal do seu website no que toca à utilização de cookies.
O montante máximo de coima para este tipo de contraordenação em Espanha está fixado em € 30.000. Em Portugal, a moldura equivalente para pessoas colectivas é de € 5000 a € 50.0000. Se as informações armazenadas pelos cookies constituírem dados pessoais, aplicar-se-á também o RGPD, designadamente o artigo 83.º que estabelece um quadro sancionatório com limites mínimos e máximos, substancialmente mais elevados (€ 20 000 000 ou 4% do volume de negócios anual a nível mundial).
Perguntemo-nos: que valor terá a nossa pegada digital?
Gonçalo Cerejeira Namora
Cerejeira Namora, Marinho Falcão



