Bom dia   ,

Bem-vindo(a) à newsletter n.º 68 da DPO Consulting, o nosso meio informativo sobre o mundo da Privacidade, Proteção de Dados e Segurança da Informação.

A polémica estalou dentro das quatro linhas. Cerca de 900 jogadores da liga inglesa deram o pontapé de saída naquele que poderá ser o remate certeiro contra a forma como os dados dos jogadores de futebol tem vindo a ser usados no meio desportivo para os mais variados fins, nomeadamente, comerciais. Vivemos tempos em que o algoritmo é rei, também no desporto e a previsão, rainha. São estas diversas fontes que alimentam as empresas de apostas, de videogames entre outras que usam os dados pessoais dos jogadores para fins comerciais dando ganhos milionários sem qualquer compensação financeira aos seus titulares. A tática de jogo tem vindo a ser usada desde há muito, e parece-nos que o momento deve ter uns minutos de desconto. É tempo de redefinir as estratégias e olhar para as atuais regras de jogo.

Os jogadores de futebol não podem estar fora de jogo no campo da privacidade e da proteção dos seus dados, uma vez que cada jogador de futebol é titular dos seus dados tendo o direito a saber se os seus dados são tratados, para que fins, tal como prescreve o disposto no art.º 13.º do Regulamento Geral sobre a Proteção de Dados.

Tive a oportunidade de vincar junto do Expresso a necessidade de delimitação do que é o direito à imagem e o direito de acesso ao tratamento de dados pessoais constitutivos do profiling como dois conceitos autónomos.

Chegou a altura de mostrar um cartão vermelho às empresas que utilizam os dados dos jogadores em detrimento das regras e os princípios positivados no RGPD. Os contratos com jogadores de futebol deverão conter as respetivas cláusulas sobre o tratamento dos seus dados e assegurar que a todos é pedido o seu consentimento para o tratamento dos dados, na falta de outro fundamento de licitude. Por cá, ainda não houve registos de queixas, e a CNPD até agora, enquanto árbitro deste jogo ainda não deu qualquer apito final nem levantou um cartão amarelo à forma como os dados tem vindo a ser alvo dos sucessivos tratamentos. Os jogadores têm o direito de aceder aos seus próprios dados de profiling, saber quais as características suas tratadas e, acima de tudo, gerir esses ativos.

Convido o leitor o artigo no link infra.

A discussão não é de agora. Depois do pedido da Assembleia da República a 27 de setembro de 2021, conforme a informação disponibilizada no sítio web da Assembleia da República, veio a Comissão Nacional da Proteção de Dados emitir o seu parecer face à proposta de lei, entretanto, aprovada na generalidade, sobre a utilização de câmaras de videovigilância.

O parecer assinado pela Presidente da CNPD reforça aquilo que já noutras instâncias avançámos: a proposta de lei está ferida de inconstitucionalidade. O diploma contém determinados campos deixados à discricionariedade e livre-arbítrio de quem decide, sem se olhar aos direitos fundamentais dos titulares dos dados. Existem requisitos mínimos que não estão acautelados no normativo, seja pelo desrespeito e ausência de regras uniformizadoras ou ainda quanto ao controlo efetivo dos dispositivos e equipamentos de segurança pelas forças de segurança.

Existe, potencialmente, um verdadeiro desequilíbrio entre os direitos fundamentais dos cidadãos e os motivos para a restrição desses mesmos direitos. De igual modo, parece existir indiferença do legislador face à prevenção e repressão de um crime no mesmo pé de igualdade de uma perturbação menor, o que levaria a que tais dispositivos fossem usados de forma desproporcional e, portanto, violando o princípio da proporcionalidade e a proibição do excesso, quando confrontados com os direitos, liberdades e garantias dos cidadãos, titulares de dados pessoais.

Pese embora a proposta esteja aprovada na sua generalidade, o trabalho árduo começa agora. A discussão na especialidade reclama um debate e análise profundos sobre a afetação dos direitos fundamentais e em que circunstâncias o podem ser.

Somos a favor de uma sociedade segura, com respeito pelos direitos de todos. Entendemos que o uso de câmaras fixas ou portáteis poderá ser um meio eficaz e até garantístico de uma defesa justa no alcance da descoberta da verdade material. Os meios justificam os fins, mas não a qualquer preço para os titulares dos dados. Está em causa a reserva da vida privada de cada um enquanto pedras basilares da esfera de direitos do cidadão cuja restrição de direitos, liberdades e garantias apenas pode ocorrer nos casos expressamente previstos na Constituição, devendo as restrições limitar-se ao necessário para salvaguardar outros direitos ou interesses constitucionalmente protegidos (art.º 18.º da Constituição da República Portuguesa).

Por ocasião da febre do IVAUCHER decidi também fazer uso do meu direito a ser reembolsada por compras efetuadas nos estabelecimentos aderentes IVAUCHER, mas sem antes, conhecer a política de privacidade da entidade que gere a plataforma. Da sua leitura, soaram-me vários alertas e destaco dois que me pareceram importantes abordar: a identificação do responsável pelo tratamento e o consentimento como fundamento de licitude do tratamento.

A plataforma IVAUCHER é um programa desenvolvido pelo Governo nos termos do disposto na Lei n.º 75/-B/2020, de 31 de dezembro (Lei do Orçamento do Estado), o Decreto Regulamentar n.º 2-A/2021, de 28 de maio, alterado pelo Decreto Regulamentar n.º 6-A/2021, de 8 de setembro.

Segundo o art.º 405.º da Lei do Orçamento de Estado, foi criado um mecanismo que permite ao consumidor final acumular o valor correspondente à totalidade do IVA suportado em consumos nos setores do alojamento, cultura e restauração e, entretanto, nos combustíveis, durante um trimestre, utilizando esse valor, durante o trimestre seguinte, em consumos nesses mesmos setores.

O disposto no art.º 3.º do Decreto Regulamentar n.º 2-A/2021, de 28 de maio refere a Autoridade Tributária enquanto entidade responsável pelo apuramento do montante de benefício acumulado ao abrigo do programa do IVAUCHER; a Direção-Geral do Tesouro e Finanças (DGTF) enquanto entidade responsável pela gestão do processamento dos valores pecuniários do benefício devido ao abrigo do programa IVAUCHER. À AT, a DGTF e o IGCP, E. P. E., entidades responsáveis pela garantia da correta utilização dos recursos públicos afetos ao programa «IVAUCHER; à Agência de Gestão da Tesouraria e da Dívida Pública - IGCP, E. P. E. (IGCP, E. P. E.), como responsável pelas operações bancárias necessárias ao processamento dos valores pecuniários do benefício no âmbito do programa. O mesmo decreto regulamentar prevê ainda a participação no programa «IVAucher» da entidade operadora do sistema, contratada pelo agrupamento de entidades indicadas, enquanto responsável pelo processamento de pagamentos eletrónicos através de transações com cartões bancários.

Por sua vez, o art.º 4.º do decreto regulamentar elenca as funções das entidades gestoras em causa: à AT, DGTF e IGCP, E.P.E. compete garantir a correta utilização dos recursos públicos afetos ao programa IVAUCHER. Por sua vez, AT acumula ainda a função de conceção e implementação de um modelo de controlo do benefício que assegure um adequado sistema de controlo interno, bem como a disponibilização de informação que permita o controlo e a auditoria do programa e a celebração dos protocolos necessários para o programa IVAUCHER; à DGTF compete ainda controlar os movimentos financeiros, designadamente, o respetivo valor global, e autorizar os correspondentes débitos associados à conta no IGCP, E. P. E., afeta ao programa IVAUCHER, enquanto entidade gestora do capítulo 60 do Orçamento do Estado.

A definição de responsável pelo tratamento segundo o disposto no n.º 7 do art.º 4.º do Regulamento Geral sobre a Proteção de Dados: “a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras determina as finalidades e os meios de tratamento de dados pessoais (…)”. Se o Estado, através do seu órgão executivo determina as finalidades conforme a lei do orçamento de Estado para 2021 e indica quais os meios para o tratamento dos dados para este programa, como pode agora a SALTPAY PORTUGAL, S.A., e a SALTPAY IIB HF (sediada na Islândia, parte do Espaço Económico Europeu onde se aplica o RGPD) vir dizer que são responsáveis conjuntas pelo tratamento quando são apenas um meio para os fins definidos anteriormente pelo Estado?

Do meu ponto de vista, ambas as entidades SALTPAY são subcontratantes do Estado Português atendendo à própria nomenclatura de subcontratante no n.º 8 do art.º 4.º do RGPD “pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes”.

Como se não bastasse a própria política de privacidade refere expressamente que o fundamento de licitude reside no consentimento. Ora o n.º 11 do art.º 4.º do RGPD diz-nos que o consentimento do titular dos dados se positiva numa manifestação de vontade livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento. Foi exatamente esta definição que a Lei do Orçamento de Estado enuncia no disposto no n.º 4 do art.º 405.º da Lei do Orçamento de Estado como condição para aceder a este programa.

O Decreto Regulamentar refere que “são elegíveis para beneficiar do programa os consumidores pessoas singulares que adiram ao programa, mediante aceitação dos respetivos termos de adesão junto da entidade operadora do sistema”. Todos os cidadãos que pretendam beneficiar dando o seu consentimento deparam-se com a nuance de que o seu consentimento não é válido, uma vez que, para beneficiar deste programa é necessário aderir. Caso eu não adira não posso ser beneficiada. O consentimento em causa é condicionado.

O n.º 4 do art.º 7.ºdo RGPD diz-nos que na avaliação da liberdade do consentimento é necessário verificar com a máxima atenção se, designadamente a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para tratamento dos dados pessoais que não é necessário para a execução desse contrato, e neste caso em concreto, desse benefício.

Ora, não é preciso um grande raciocínio para concluirmos que este consentimento é condicionado pela obtenção do benefício: o reembolso do valor em sede de IVAUCHER. Quase como se de uma verdade lapaliciana se tratasse, este consentimento não é livre e, portanto, não poderá ser um fundamento de licitude.

Não me querendo alongar muito mais quanto a este assunto, fiquei incrédula com tanta incongruência e os alarmes soaram demasiado alto para, eventualmente, continuar a minha senda do reembolso.

É claro, que cabe a cada um avançar ou não na plataforma, mas cabe a quem de direito cumprir com a conformidade com o RGPD e quanto a isso, no caso de incumprimento, a CNPD deve atuar, e as coimas, essas, que por mais elevadas que sejam, não são reembolsáveis.

Partilhe, querendo, a newsletter da DPO Consulting.

Ficamos ao dispor para qualquer esclarecimento que haja por conveniente e voltamos ao contacto na próxima newsletter, com mais novidades e informações de relevo.

Com os melhores cumprimentos,

Elsa Veloso
CEO da DPO Consulting

Siga-nos nas redes sociais:

DPO Consulting

Contacte-nos

A DPO Consulting tratará os seus dados pessoais,
nos termos da sua Política de Privacidade,
cuja leitura recomendamos.