Regulação da privacidade electrónica: O que está realmente a vir na tua direcção?

8 Min.
Regulação da privacidade electrónica: Isto está a vir na tua direcção.
Última actualização em

Embora a "Regulamentação sobre Privacidade e Comunicações Electrónicas" (e-Privacy Regulation) só deva ser adoptada mais tarde, em 2020, ela já está a lançar a sua sombra. Neste artigo eu gostaria de dar uma visão geral do que é o regulamento de privacidade eletrônica, como é a situação legal atual para o uso de ferramentas de rastreamento e como ela pode mudar sob o EPVO. No final, explico brevemente porque é que o novo regulamento é importante na minha opinião. Mas não entrem em pânico: Tal como, ao contrário de todas as previsões, o mundo ainda está no processo de GDPR em 25.05.2018, isto também não é de esperar para a validade do regulamento de privacidade eletrônica.

I. O Regulamento da E-Privacidade

1. Qual é o regulamento da e-privacidade?

O EPVO (E-Privacy Regulation) é um regulamento actualmente em discussão a nível europeu. Projecto de Regulamento da Comissão Europeiaque substitui a directiva sobre a privacidade electrónica em vigor desde 2002 (Directiva 2002/58/CEcom a última redacção que lhe foi dada por Directiva 2009/136/CEE-Privacy Directive) e adaptá-los ao estado actual da técnica (por exemplo, os chamados serviços "over-the-top", ou seja, serviços de comunicação baseados em IP, não são actualmente abrangidos pela Directiva E-Privacy).

Como regulamento europeu, o EPVO será directa e imediatamente aplicável em toda a União Europeia. Ao contrário da diretriz de privacidade eletrônica, ela não dependerá da implementação na legislação nacional por cada Estado membro. A propósito, esta transposição da directiva sobre a privacidade electrónica para o direito nacional nunca teve lugar na Alemanha, no que diz respeito à parte da protecção de dados relevante para os operadores de websites.

2. Qual é o objectivo do regulamento da e-privacidade?

A regulação da privacidade electrónica visa proteger a confidencialidade das comunicações e a confidencialidade e integridade dos equipamentos terminais dos utilizadores.

Em termos simples, os utilizadores devem ser protegidos de serem espiados sem o seu conhecimento quando visitam um website ou utilizam um serviço de e-mail ou mensageiro.

Ao contrário do GDPR, não só as pessoas físicas (pessoas), mas também as pessoas jurídicas (empresas e associações) são protegidas. A Portaria E-Privacy especifica e complementa a GDPR no que diz respeito aos dados de comunicações electrónicas que são dados pessoais.

3. O que regula o regulamento da e-privacidade?

A Portaria E-Privacy não só regula a comunicação via telefonia (clássica) de voz, mensagens de texto (SMS) e e-mail, mas também a comunicação via telefonia VoIP, serviços de mensageiro e serviços de e-mail baseados na web. Também se aplica à cada vez mais importante comunicação máquina-a-máquina (palavra-chave "Internet das Coisas").

O EPVO presta especial atenção à forma como a informação é armazenada ou enviada, solicitada ou processada pelos equipamentos terminais dos usuários (por exemplo, PCs e smartphones). Isto porque os dados pessoais sensíveis são praticamente sempre armazenados nestes dispositivos finais (por exemplo, e-mails e mensagens, imagens, dados de contacto e de localização). Os usuários do dispositivo final devem, portanto, ser protegidos contra o uso de ferramentas de rastreamento para observar secretamente suas atividades sem o seu conhecimento (por exemplo, cookies, impressões digitais do navegador e tecnologias similares para rastrear o comportamento do usuário).

4. Quando entrará em vigor o regulamento da e-privacidade?

A intenção original era que a regulamentação da privacidade electrónica entrasse em vigor ao mesmo tempo que o GDPR. A Comissão Europeia já tinha publicado o seu projecto de EPVO no início de Janeiro de 2017. No entanto, como o Parlamento Europeu e o Conselho da União Europeia também devem estar envolvidos no processo legislativo, muitas das disposições do Regulamento ePrivacidade ainda estão em discussão política. Devido à complexidade do procedimento legislativo, não se espera que o Regulamento de Privacidade e-Privacidade entre em vigor antes do final de 2019. Além disso, provavelmente haverá um período de transição, semelhante ao GDPR, até que o EPVO entre realmente em vigor.

Caixas de correio electrónico RAIDBOXES

II. situação legal para o uso de ferramentas de rastreamento

1. O que são ferramentas de rastreamento?

Ferramentas de rastreamento são utilizadas para rastrear o comportamento dos usuários da Internet: Com que frequência é utilizado um website visitado por um utilizador concreto ou um serviço de mensageiro (se o comportamento de um utilizador concreto for "analisado", já não é uma pura ferramenta de análise e estatística, mas uma ferramenta de seguimento)? Qual é o conteúdo das mensagens enviadas? Que artigos são pesquisados e encomendados em uma loja virtual? Em quais contas de redes sociais você está logado? Um artigo vinculado é clicado e comprado (marketing afiliado)?

Os dados não são coletados apenas ao visitar o site ou ao usar o serviço, mas muitas vezes por um longo período de tempo depois disso. Isto acontece porque os cookies, contagem de pixels, etc., definidos no dispositivo terminal não são normalmente apagados quando o serviço é terminado. Muitas vezes eles permanecem no dispositivo final do usuário por vários meses e continuam a enviar dados sem que o usuário esteja ciente disso.

Em muitos casos, os dados recolhidos desta forma não só são recolhidos e processados pelo próprio prestador de serviços, como muitas vezes são também transmitidos a terceiros.

A consequência é que um grande número de perfis de usuários são criados sem que o usuário esteja ciente disso.

2. Onde é actualmente regulado o uso de ferramentas de localização?

Observação preliminar: Esta parte é necessariamente formulada de forma algo legal. Se você não está interessado nestas sutilezas, você pode ler sem nenhum problema ao 3.

Na Alemanha, os requisitos para os serviços de informação e comunicação electrónica estão definidos em Lei alemã da Telemedia (TMG) regulamentado. A Lei Telemedia entrou em vigor em 2007 e foi emendada pela última vez em setembro de 2017. No entanto, a Directiva E-Privacy, que foi alterada em 2009 e regula no seu Art. 5, n.º 3 o armazenamento e acesso à informação armazenada no equipamento terminal do utilizador, não foi formalmente transposta para a legislação alemã. O pano de fundo disto é que o Governo Federal não considerou isto necessário com base nas disposições já contidas no artigo 15 (3) TMG. Também não foram adaptadas ao GDPR as disposições de protecção de dados da Lei Telemedia (Secção 4; Secções 11 e seguintes TMG), que regulam as obrigações dos prestadores de serviços.

A consequência disto é que a regra de conflito do Art. 95 GDPR, que rege a relação entre GDPR e a Directiva E-Privacy, não é aplicável. Uma vez que a aplicação directa da Directiva ePrivacidade está também fora de questão (as directivas europeias, ao contrário dos regulamentos europeus, não se aplicam directa e imediatamente), a Primazia da aplicação do GDPR.

Isto significa que desde que o GDPR está em vigor, ou seja, desde 25 de Maio de 2018, a base legal para o tratamento de dados pessoais pelos prestadores de serviços é exclusivamente o artigo 6 (1) GDPR; as disposições correspondentes da Lei Telemedia já não são aplicáveis desde então.

Isto provavelmente não mudará até que o regulamento de e-privacidade entre em vigor: Na situação actual, as disposições do EPVO terão precedência sobre as disposições correspondentes do GDPR, desde que prossigam o mesmo objectivo.

3. Qual é a situação legal actual no que diz respeito ao uso de ferramentas de localização?

A base legal atual para o uso de ferramentas de rastreamento é o Art. 6 § 1 GDPR. Isto significa que as ferramentas de rastreamento só podem ser utilizadas, geralmente, se

  • o processamento com o objectivo de preservar justos interesses do responsável pelo tratamento ou de um terceiro, excepto se os interesses ou direitos e liberdades fundamentais da pessoa em causa que exigem a protecção de dados pessoais forem ignorados, em particular se a pessoa em causa for uma criança (Art. 6, n.º 1, subparágrafo 1, letra f GDPR)

ou

  • a pessoa em questão deve dar o seu Consentimento ao tratamento dos dados pessoais que lhe dizem respeito para uma ou mais finalidades específicas (alínea aRGPD) do primeiro parágrafo do n.o 1 do artigo 6.o), - ao tratamento de dados pessoais que lhe digam respeito para uma ou mais finalidades específicas (alínea a) do primeiro parágrafo do n.o 1 do artigo 6.o), - ao tratamento de dados pessoais que lhe digam respeito para uma ou mais finalidades

>> Detalhes sobre os interesses legítimos do prestador de serviços

Onde um prestador de serviços interesses legítimos predominantes para o uso de ferramentas de rastreamento, não é necessário o consentimento do usuário.

Em um site, por exemplo, uma caixa de seleção seria então supérflua. O operador do site teria apenas que informar sobre as ferramentas de rastreamento utilizadas na declaração de proteção de dados.

Os interesses legítimos do prestador de serviços podem ser reais, económicos e não materiais.

Muitas vezes, é claro, será interesses comerciais comércio. Estes podem, por exemplo, consistir no armazenamento da cesta de compras do cliente numa loja online ou na integração de fontes web, serviços de cartões e redesPlugins sociais num website. Mas também a análise web e as ferramentas estatísticas sobre os visitantes do site ou o uso de rastreadores de publicidade devem ser considerados interesses legítimos.

Se o respectivo tratamento de dados for necessário para salvaguardar estes interesses legítimos, estes devem ser ponderados contra os interesses ou direitos e liberdades fundamentais do utilizador. Estas incluem protecção contra desvantagens económicas, o direito ao respeito pela vida privada e à comunicação, de acordo com o artigo 7. Carta dos Direitos Fundamentais da União Europeia (CRCh)o direito básico de proteção de dados de acordo com o Art. 8 GRCh e o direito à autodeterminação informativa.

Ao ponderar os respectivos interesses, os efeitos do tratamento de dados pretendido e a sua susceptibilidade ao uso indevido são particularmente importantes. Outros fatores a serem levados em consideração incluem que expectativas razoáveis o usuário tem sobre o serviço e se ele pode razoavelmente prever que o processamento de dados pretendido pode ter lugar.

Se os interesses legítimos do prestador do serviço (ou de um terceiro) ou os interesses do usuário superam os legítimos interesses do usuário é, por vezes, difícil de decidir em casos individuais.

Deve-se notar que o prestador de serviços deve demonstrar que os seus interesses legítimos prevalecem. Se essa prova não for bem sucedida em uma disputa, a coleta de dados foi ilegal e o prestador de serviços deve esperar uma multa.

O equilíbrio de interesses deve, portanto, ser uma questão para as autoridades de supervisão rastreável ser e bem documentado vai ser.

FREE DEV Programa RAIDBOXES

>> Detalhes do consentimento do usuário

Se o prestador de serviços não puder basear a integração de uma ferramenta de rastreamento em um interesse legítimo, o consentimento do usuário é obrigatório.

Os requisitos para o consentimento efectivo são regulados no Art. 7 GDPR. Estes são:

  • Forma compreensível;
  • linguagem clara e simples;
  • Distinção de outras situações;
  • aviso prévio do direito de rescisão a qualquer momento;
  • o cumprimento da proibição de vinculação (ou seja, que um serviço não deve ser condicionado à concessão de consentimento para o tratamento de dados pessoais não relacionados com o serviço).

O consentimento também pode ser dado por implicação, ou seja, por acção conclusiva. No entanto, é sempre necessário o consentimento explícito quando são processadas categorias especiais de dados pessoais (ver Art. 9 Parágrafo 2 Carta a GDPR).

Deve-se também notar que o consentimento pode ser revogado a qualquer momento. Portanto, o processamento de dados deve cessar a partir do momento em que a pessoa em causa tenha retirado o seu consentimento.

Atualmente, o consentimento para o uso de cookies e tecnologias similares em websites é normalmente obtido por meio da chamada "checkbox", que o usuário deve verificar ativamente (opt-in).

Se não forem definidos apenas os cookies tecnicamente necessários, é dada uma dica sucinta num dos chamados "Cookie Banner", que depois só é confirmada clicando no botão "OK", insatisfatório.

Em qualquer caso, os usuários devem ser informados na política de privacidade sobre as ferramentas de rastreamento utilizadas.

4. Qual é a situação legal provável para o uso de ferramentas de rastreamento?

A Comissão Europeia publicou o Projecto de regulamento sobre a privacidade electrónica ainda está actualmente em discussão política. Entre outras coisas, há declarações do Comité Europeu para a Protecção de Dados e o Autoridade Europeia para a Protecção de Dadosemendas do Parlamento Europeu e documentos de discussão do Conselho da União Europeia.

Está, portanto, em aberto qual será a redacção exacta do regulamento sobre a privacidade electrónica.

No entanto, tendo em conta os "escândalos de dados" em curso nos últimos tempos, os proteccionistas de dados, em particular, estão cada vez mais a fazer campanha para garantir que o EPVO não fique aquém do actual nível de protecção ao abrigo da directiva sobre privacidade e privacidade e do GDPR.

O Comité Europeu de Protecção de Dados tem num artigo datado de Maio de 2018 declarou que a confidencialidade das comunicações electrónicas requer uma protecção especial, que deve ir além do GDPR. Por este motivo, os interesses legítimos do prestador de serviços devem deixar de ser, no futuro, a base legal para o processamento de conteúdos e metadados das comunicações electrónicas.

Se esta visão prevalecer, as ferramentas de rastreamento só devem ser utilizadas com o consentimento prévio do usuário (por exemplo, por meio de uma caixa de seleção).

III. Porque é que a regulação da privacidade electrónica é uma coisa boa.

Ao contrário de todas as profecias de desgraça, o EPVO é um regulamento sensato e há muito esperado. Afinal, o monitoramento completo do nosso comportamento de usuário, que agora é tecnicamente possível, não deve ser aceito assim.

Portanto, é bom que os operadores e prestadores de serviços do website forneçam antecipadamente informações claras e transparentes sobre quais dados são coletados quando um website é visitado ou um serviço é utilizado e a quem são passados e para que fins. Somente desta forma os visitantes e usuários do site podem decidir se vale realmente a pena visitar o site ou usar o serviço, divulgando seus dados.

No entanto, como operador de um site, você não precisa enterrar a cabeça na areia. Como medida imediata, é melhor verificar se você pode basear todos os serviços incluídos em seu site em um interesse legítimo ou consentimento dos usuários. Caso contrário, deverá obter o consentimento em falta dos utilizadores. Além disso, você também deve tornar suas atividades de rastreamento transparentes na política de privacidade.

Assim que o texto final do regulamento da e-privacidade for conhecido, você deve antes de tudo verificar se e, se necessário, a partir de quando você tem que obter consentimento adicional. Para que você possa implementar isso e tudo o mais que é necessário em paz e tranqüilidade, vale a pena ficar de olho na regulamentação da e-privacidade.

Figura: Scott Webb [Pexels]

Mario Steinberg é advogado e advogado especialista em direito administrativo na LIEB.Rechtsanwälte. Uma das suas principais áreas de especialização é o aconselhamento em direito de protecção de dados & lei de segurança informática. Ele também é co-fundador da rede de consultores "moldando a sua organização"que aconselha empresas nas áreas de TI empresarial, conformidade e desenho legal.

Artigos relacionados

Comentários sobre este artigo

Escreva um comentário

O seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com * marcado.