Regulamento da privacidade eletrónica: O que te reserva?

Mario Steinberg Última atualização em 21.10.2020
8 min.
E-Privacy-Verordnung: Das kommt auf dich zu
Última atualização em 21.10.2020

Embora o Regulamento de Privacidade e Comunicações Electrónicas (ePrivacy Regulation) só deva ser adoptado mais tarde, em 2020, já está a lançar a sua sombra. Neste artigo, quero dar-vos uma visão geral sobre o que é o Regulamento da E-Privacidade, qual é a situação legal actual para o uso de ferramentas de monitorização e como pode mudar no âmbito do EPVO. No final, vou resumir brevemente porque acho que o novo regulamento é importante. Mas não entres em pânico: Tal como o mundo, ao contrário de todas as previsões, vai mudar com a entrada em vigor do RGPD 25.05.2018 não terminou, o mesmo não é de esperar para a validade do regulamento de privacidade eletrônica.

I. O Regulamento da Privacidade Eletrónica

1. O que é o Regulamento da e-Privacidade?

O Regulamento da E-Privacidade (EPVO) é um projecto de regulamento actualmente em discussão a nível europeu pela Comissão Europeia. projecto de regulamento da Comissão Europeiaque substitui a Directiva E-Privacy (Directiva 2002/58/CEúltima alteração por Directiva 2009/136/CEA Directiva E-Privacy), em vigor desde 2002, e para a adaptar ao estado actual da tecnologia (por exemplo, os chamados serviços "over-the-top", ou seja, serviços de comunicação baseados em IP, não são actualmente abrangidos pela Directiva E-Privacy).

Como regulamento europeu, o Regulamento relativo à Privacidade e Comunicações Eletrónicas será direta e imediatamente aplicável em toda a União Europeia. Ao contrário da diretriz sobre privacidade eletrónica, ele não dependerá da implementação na legislação nacional por cada Estado-Membro. A propósito, esta transposição da diretiva sobre a privacidade eletrónica para o direito nacional nunca teve lugar em Portugal, no que diz respeito à parte da proteção de dados relevante para os operadores de sites.

2. Qual é o objectivo do regulamento da e-privacidade?

A regulação da privacidade electrónica visa proteger a confidencialidade das comunicações e a confidencialidade e integridade dos equipamentos finais dos utilizadores.

Por outras palavras, os utilizadores devem ser protegidos de serem espiados sem o seu conhecimento quando visitam um site ou utilizam um serviço de e-mail ou mensagem.

Ao contrário do RGPD, não só as pessoas físicas (pessoas), mas também as pessoas jurídicas (empresas e associações) são protegidas. O Regulamento sobre a Privacidade Eletrónica especifica e complementa o RGPD no que diz respeito aos dados de comunicações eletrónicas, que são dados pessoais.

3. O que regula o regulamento da e-Privacidade?

O regulamento de privacidade eletrónica não regula apenas a comunicação via telefonia de voz (clássica), mensagens de texto (SMS) e e-mail, mas também a comunicação por meio de telefonia VoIP, serviços de mensagens e serviços de e-mail baseados na web. Também se aplica à cada vez mais importante comunicação máquina-a-máquina (palavras-chave "Internet das Coisas").

O Regulamento relativo à Privacidade e Comunicações Eletrónicas presta especial atenção à forma como a informação é armazenada ou enviada, solicitada ou processada pelos equipamentos finais dos utilizadores (por exemplo, PCs e smartphones). Isto, porque os dados pessoais sensíveis são praticamente sempre armazenados nestes dispositivos finais (por exemplo, e-mails e mensagens, imagens, dados de contacto e de localização). Os utilizadores do dispositivo final devem, por isso, ser protegidos contra o uso de ferramentas de rastreamento, que monitorizam secretamente as suas atividades sem o seu conhecimento (por exemplo, cookies, impressões digitais do navegador e tecnologias similares para rastrear o comportamento do utilizador).

4. Quando entrará em vigor o regulamento sobre a privacidade eletrónica?

A intenção original era que o regulamento sobre privacidade eletrónica entrasse em vigor ao mesmo tempo que o RGPD. A Comissão Europeia já tinha publicado o seu projeto de Regulamento de Privacidade Eletrónica no início de janeiro de 2017. No entanto, como o Parlamento Europeu e o Conselho da União Europeia também devem estar envolvidos no processo legislativo, muitas das disposições do Regulamento  de Privacidade Eletrónica ainda estão em discussão política. Devido à complexidade do procedimento legislativo, não se espera que o Regulamento de Privacidade Eletrónica entre em vigor antes do final de 2019. Além disso, provavelmente haverá um período de transição, semelhante ao RGPD, até que o Regulamento de  Privacidade Eletrónica entre realmente em vigor.

II. Situação legal para o uso de ferramentas de rastreamento

1. O que são ferramentas de rastreamento?

Ferramentas de rastreamento são utilizadas para rastrear o comportamento dos utilizadores da internet: Com que frequência um site é acessado por um determinado utilizador ou um serviço de mensagens (se o comportamento de um determinado utilizador for "analisado", já não é uma mera ferramenta de análise e estatística, mas uma ferramenta de rastreamento)? Qual é o conteúdo das mensagens enviadas? Que artigos são pesquisados e encomendados numa loja online? A que contas das redes sociais se está conetado? Um artigo associado através de link é clicado e comprado (marketing afiliado)?

Os dados não são recolhidos apenas quando visitas o site ou quando usas o serviço, mas geralmente por um longo tempo depois disso, uma vez que os cookies, a contagem de pixels etc. configurados no dispositivo final geralmente não são apagados quando o serviço é terminado. Eles geralmente permanecem no dispositivo do utilizador por vários meses e continuam a enviar dados sem que este esteja ciente disso.

Em muitos casos, os dados assim determinados não são apenas recolhidos e processados ​​pelo próprio prestador de serviços, mas muitas vezes também transmitidos a terceiros.

A consequência é que um grande número de perfis de utilizador é criado sem que o utilizador saiba.

2. Onde é actualmente regulado o uso de ferramentas de localização?

Observação preliminar: Esta parte é necessariamente formulada de forma algo legal. Se não estás interessado nestas subtilezas, podes continuar a no ponto 3. sem nenhum problema.

Na Alemanha, os requisitos para os serviços electrónicos de informação e comunicação estão estabelecidos no Lei da Telemedia (TMG) regulamentado. A Lei Telemedia entrou em vigor em 2007 e foi emendada pela última vez em setembro de 2017. No entanto, a Directiva E-Privacy, emendada em 2009, que no seu Art. 5 (3) regula o armazenamento e acesso à informação armazenada no equipamento terminal do utilizador, não foi formalmente transposta para a legislação alemã. O pano de fundo disto é que o Governo Federal não considerou isto necessário devido aos regulamentos já contidos no Artigo 15 (3) TMG. As disposições de protecção de dados da Lei Telemedia (Secção 4; Secções 11 e seguintes da TMG), que regulam as obrigações dos prestadores de serviços, também não foram adaptadas a RGPD .

A consequência disto é que a regra de conflito do Art. 95 RGPD, que regula a relação entre RGPD e a Directiva e-Privacy, não é aplicável. Uma vez que uma aplicação directa da Directiva ePrivacidade está também fora de questão (ao contrário dos regulamentos europeus, as directivas europeias não se aplicam directa e imediatamente), a primazia da aplicação do RGPD.

Isto significa que desde que o GDPR está em vigor, ou seja, desde 25 de Maio de 2018, a base legal para o tratamento de dados pessoais pelos prestadores de serviços é exclusivamente o artigo 6 (1) GDPR; as disposições correspondentes da Lei Telemedia já não são aplicáveis desde então.

Isto provavelmente não mudará até que o regulamento de e-privacidade entre em vigor: Na situação actual, as disposições do EPVO terão precedência sobre as disposições correspondentes do GDPR, desde que prossigam o mesmo objectivo.

3. Qual é a situação legal atual para o uso de ferramentas de rastreamento?

A base legal atual para o uso de ferramentas de rastreamento é o Art. 6 § 1 GDPR. Isto significa que as ferramentas de rastreamento só podem ser utilizadas, geralmente, se

  • o processamento é necessário para proteger interesses legítimos do responsável pelo tratamento ou de um terceiro, excepto se esses interesses forem ultrapassados pelos interesses ou direitos e liberdades fundamentais da pessoa em causa que exigem a protecção de dados pessoais, em especial se a pessoa em causa for uma criança (n.º 1, primeiro parágrafo, alínea f), do artigo 6.º RGPD)

ou

  • a pessoa em causa dá o seu autorização ao tratamento de dados pessoais que lhe digam respeito para uma ou mais finalidades específicas (artigo 6.º, n.º 1, primeiro parágrafo, alínea a) RGPD).

>> Detalhes sobre os interesses legítimos do prestador de serviços

Se um prestador de serviços tiver interesses legítimos preponderantes para o uso de ferramentas de rastreamento, não é necessário o consentimento do usuário.

Num site, por exemplo, uma caixa de seleção seria então supérflua. O operador do site teria apenas que informar sobre as ferramentas de rastreamento utilizadas na declaração de proteção de dados.

Os interesses legítimos do prestador do serviço podem ser reais, económicos e não materiais.

Muitas vezes, é claro, será interesses económicos estão envolvidos. Estes podem, por exemplo, consistir em salvar o carrinho de compras do cliente numa loja online ou integrar fontes da web, serviços de mapas e redes sociaisPlugins num website. Mas também a análise da web e ferramentas estatísticas sobre os visitantes das páginas ou o uso de rastreadores de publicidade são considerados interesses legítimos.

Se o respectivo tratamento de dados for necessário para salvaguardar estes interesses legítimos, estes devem ser ponderados contra os interesses ou direitos e liberdades fundamentais do utilizador. Estas incluem protecção contra desvantagens económicas, o direito ao respeito pela vida privada e às comunicações, nos termos do artigo 7. Carta dos Direitos Fundamentais da União Europeia (CFR)o direito fundamental à protecção de dados nos termos do artigo 8º do CFR e o direito à autodeterminação informativa.

Ao ponderar os respectivos interesses, os efeitos do tratamento de dados pretendido e a sua susceptibilidade a abusos são de importância primordial. Além disso, deve ser levado em conta, entre outras coisas, que expectativas razoáveis o usuário tem sobre o serviço e se ele pode razoavelmente prever que o processamento de dados pretendido pode ter lugar.

Se os interesses legítimos do prestador de serviços (ou de terceiros) ou os interesses do utilizador prevalecem é por vezes difícil de decidir em casos individuais.

Deve-se notar que o prestador de serviços deve provar que os seus interesses legítimos prevalecem. Se esta prova não puder ser apresentada em caso de litígio, a recolha de dados foi ilegal e o prestador de serviços deve esperar uma multa.

O equilíbrio de interesses deve, portanto, ser compreensível para a supervisão compreensível e bem documentado estar bem documentado.

>> Detalhes do consentimento do usuário

Se o prestador de serviços não puder basear a integração de uma ferramenta de rastreamento em um interesse legítimo, o consentimento do usuário é obrigatório.

Os requisitos para um consentimento efetivo estão regulados no art. 7 PGPD. Estes são:

  • forma compreensível;
  • linguagem clara e simples;
  • distinção de outras situações;
  • aviso prévio do direito de rescisão a qualquer momento;
  • Observância da proibição de acoplamento (ou seja, um serviço não deve ficar dependente da concessão de consentimento para o processamento de dados pessoais não relacionados com o serviço).

O consentimento também pode ser dado por implicitamente, ou seja, por ação conclusiva. No entanto, é sempre necessário o consentimento explícito quando são processadas categorias especiais de dados pessoais (ver art. 9 secção 2 a) do RGPD).

Deve-se também notar que o consentimento pode ser retirado a qualquer momento. Portanto, o processamento de dados deve cessar a partir do momento em que a pessoa em causa tenha retirado o seu consentimento.

Atualmente, o consentimento para o uso de cookies e tecnologias similares em sites é normalmente obtido através da chamada "checkbox" ou "caixa de seleção", que o utilizador deve marcar ativamente (opt-in).

A menos que apenas os cookies tecnicamente necessários sejam definidos, um aviso sucinto em um "banner de cookies", que só é então confirmado clicando em um botão "OK", não é suficiente.

Em qualquer caso, os usuários devem ser informados sobre as ferramentas de rastreamento utilizadas na política de privacidade.

4. Qual é a situação legal provável para o uso de ferramentas de rastreamento?

O projecto de regulamento sobre e-privacidade publicado pela Comissão Europeia no início de Janeiro de 2017 projecto do regulamento sobre a privacidade electrónica ainda está actualmente em discussão política. Há opiniões sobre o assunto, entre outras, da Conselho Europeu para a Protecção de Dados e o Autoridade Europeia para a Protecção de Dadosemendas do Parlamento Europeu e documentos de discussão do Conselho da União Europeia.

Está, portanto, em aberto qual será a redacção exacta do regulamento da e-privacidade.

No entanto, tendo em conta os "escândalos de dados" em curso nos últimos tempos, os proteccionistas de dados, em particular, estão cada vez mais a fazer campanha para garantir que o EPVO não fique aquém do actual nível de protecção ao abrigo da directiva sobre privacidade e privacidade e do GDPR.

Por exemplo, a Comissão Europeia para a Protecção de Dados em um artigo publicado em maio de 2018 o Conselho Europeu para a Protecção de Dados argumentou que a confidencialidade das comunicações electrónicas requer uma protecção especial, que deve ir além de RGPD . Portanto, os interesses legítimos do prestador de serviços não devem continuar a ser uma base legal para o processamento de conteúdos e metadados das comunicações electrónicas no futuro.

Se esta visualização prevalecer, as ferramentas de rastreamento só devem ser utilizadas com o consentimento prévio do utilizador (por exemplo, por meio de uma caixa de seleção).

III. Porque é que a regulação da privacidade electrónica é uma coisa boa

Ao contrário de todas as profecias da desgraça, o EPVO é um regulamento sensato e há muito esperado. Afinal, o monitoramento completo do nosso comportamento de usuário, que agora é tecnicamente possível, não deve ser simplesmente aceito.

Portanto, é bom que os operadores e prestadores de serviços do site tenham de fornecer antecipadamente informações claras e transparentes sobre quais dados são coletados ao visitar um site ou usar um serviço e a quem são passados e para quais propósitos. Somente desta forma os visitantes e usuários do site podem decidir se vale realmente a pena divulgar seus dados.

No entanto, como operador de um site, você não precisa enterrar a cabeça na areia. Como medida imediata, você deve verificar se pode basear todos os serviços integrados em seu site em um interesse legítimo ou consentimento do usuário. Caso contrário, você deve obter o consentimento do usuário ausente. Além disso, você deve, acima de tudo, explicar de forma transparente suas atividades de rastreamento na política de privacidade.

Assim que o texto final do regulamento da privacidade eletrônica for conhecido, você deve verificar se e, em caso afirmativo, a partir de quando você tem que obter consentimentos adicionais. Para garantir que você pode implementar isso e tudo o mais que for necessário à sua vontade, vale a pena ficar em cima do regulamento de privacidade eletrônica.

Imagem contribuída: Scott Webb [Pexels]

Mario Steinberg é advogado e especialista em direito administrativo no escritório de advocacia comercial LIEB.Rechtsanwälte. O foco de seu trabalho inclui a lei de proteção de dados, a lei de segurança de TI e a lei de TI.

Artigos relacionados

Comentários sobre este artigo

Escreve um comentário

O teu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com *.