QuiosqueAnteriorSeguinte

Opinião Maria Eduarda Gonçalves

O regulamento europeu sobre protecção de dados pessoais e o desafio do big data

A remissão da responsabilidade regulatória para os operadores gera, no entanto, apreensão quanto a uma efectiva aplicação dos princípios de protecção de dados no futuro.

O Regulamento (UE) n.º 2016/679, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Protecção de Dados – RGPD), foi publicado em Abril de 2016 e entrará em vigor em Maio de 2018. Está-se perante a primeira grande reforma da protecção de dados na Europa, uma reforma que procura responder aos desafios da era digital. Mas consegui-lo-á?

É inegável a crença das instituições europeias na bondade do novo regulamento, que substitui a Directiva n.º 95/46/CE: “Today's agreement is a major step towards a Digital Single Market.... With solid common standards for data protection, people can be sure they are in control of their personal information”, declarou enfaticamente a Comissão Europeia (CE) no momento em que o Parlamento Europeu e o Conselho chegavam a acordo sobre o texto, em Dezembro de 2015, após cinco anos de árduas negociações. Mas, não obstante este optimismo, um exame atento do RGPD suscita dúvidas quanto à sua capacidade de garantir os princípios de protecção de dados em face do fenómeno do big data.

A CE definiu big data como “large amounts of different types of data produced from various types of sources, such as people, machines or sensors. […] Big data may involve personal data, which can be anything from a name, a photo, an email address, bank details, posts on social networking websites, medical information, or a computer IP address”. As tecnologias de big data (data mining e data analytics) tornam possível não só a recolha e o armazenamento de incomensuráveis quantidades de dados, mas também retirar pleno valor desses dados, a fim de informar decisões com base em algoritmos que permitem a identificação de padrões entre diferentes fontes e conjuntos de dados. A outra face desta moeda reside, porém, no uso crescente de big data seja para a definição de perfis de consumidor, seja para efeitos de vigilância e controlo dos comportamentos humanos. Daí que se afigure ilusória a crença no novo regime como conferindo aos indivíduos um controlo reforçado sobre os seus dados.

É legítimo inferir que por detrás desta opção se encontra a vontade da UE de facilitar o desenvolvimento de novos produtos e serviços de informação na Europa, liberalizando a utilização e a reutilização dos dados pessoais.

Estão, de facto, em causa princípios básicos da protecção de dados, a saber: o consentimento (i. e., os dados pessoais devem ser processados apenas se o titular dos dados tiver dado o seu consentimento prévio e explícito); a finalidade (i. e., os dados pessoais só devem ser coligidos para fins específicos, explícitos e legítimos e não devem ser processados de modo incompatível com esses fins); a minimização (i. e., o processamento dos dados deve restringir-se ao mínimo necessário). Não é difícil deduzir que a automação inerente à ‘mineração’ e à análise e reutilização de grandes conjuntos de dados torna o consentimento prévio, a limitação do fim e a minimização deveras difíceis de aplicar.

É, todavia, duvidoso que a melhor forma de resolver estas dificuldades consista na delegação da principal responsabilidade de verificar o respeito pelo regulamento ao ‘controlador dos dados’. Ora, é esta precisamente a opção do legislador europeu. Embora reafirmando os princípios de protecção de dados, o RGPD diminui consideravelmente o papel das autoridades de supervisão (as comissões de protecção de dados), privilegiando em seu lugar uma risk-based approach. Esta exprime-se, principalmente, na obrigação dos controladores dos dados de avaliar previamente o impacto de novos processamentos sobre os direitos e liberdades individuais (avaliação de impacto sobre a protecção de dados), desde que estejam em causa riscos elevados, e de notificarem as violações da protecção de dados de que tenham conhecimento.

É legítimo inferir que por detrás desta opção, mais do que o convencional desfasamento entre direito e tecnologia, se encontra a vontade da UE de facilitar o desenvolvimento de novos produtos e serviços de informação na Europa, liberalizando a utilização e a reutilização dos dados pessoais. Note-se a intenção expressa pela Comissão de ‘simplificar o ambiente regulatório’. A exigência de autorização ou notificação prévias da autoridade de supervisão requerida pela Directiva n.º 95/46/EC representa ‘um peso burocrático que custa às empresas 130 milhões de euros cada ano’, que, segundo a CE, importa abolir.

A remissão da responsabilidade regulatória para os operadores gera, no entanto, apreensão quanto a uma efectiva aplicação dos princípios de protecção de dados no futuro. Daí, a nosso ver, a necessidade de buscar formas de assegurar maior transparência da actuação dos operadores e maior envolvimento das autoridades de supervisão, tendo em vista um equilíbrio mais justo entre usos legítimos dos dados possibilitados pelas novas tecnologias e o direito fundamental à protecção de dados.

Em última análise, o RGPD poderá vir a revelar-se um instrumento ora fraco, ora forte, de protecção dos dados pessoais, dependendo da boa vontade e do sentido de responsabilidade dos controladores dos dados. Os Advogados terão seguramente um papel decisivo na sua informação e aconselhamento.

Referências
1. European Commission, Agreement on Commission’s EU data protection reform will boost Digital Single Market, Bruxelas, 15 de Dezembro de 2015.
2. European Commission, “The EU Data Protection Reform and Big Data”, Factsheet’ Março de 2016.
3. D. Cardon, “À Qui Rêvent les Algorithmes. Nos Vies à l’Heure des Big Data” (Seuil, Paris, 2015); E. Morozov, “Le Mirage Numérique: Pour une Politique du Big Data” (Les Prairies Ordinaires, Paris, 2015).
4. ‘Responsável pelo tratamento’, na linguagem do RGPD, i. e., ‘a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais’.
5. V. Reding, “Assuring Data Protection in the Age of the Internet”, Speech/11/452, at BBA (British Banker’s Association) Data Protection and Privacy Conference, London, 20 de Junho de 2011.
6. European Commission, Press Release, “Agreement on Commission’s EU data protection reform will boost Digital Single Market”, Brussels, 15 de Dezembro de 2015.