03Numa altura de aparente acalmia em que muitos acreditavam que o sobressalto provocado pela entrada em vigor do Regulamento Geral de Protecção de Dados não passava disso mesmo, um mero alvoroço empolgado pelo marketing legislativo e respectivos ecos na comunicação social, surge a primeira condenação da gigante tecnológica Google. Concluído o período gestacional desde a produção plena de efeitos do RGPD, foi generalizada a sensação mal-avisada de que poderia ser suficiente uma nova redacção de políticas de privacidade e o surgimento de mais janelas pop-up para cumprimento da legislação. Eis que surge a decisão da Autoridade de Controlo Francesa (CNIL – Commission Nationale de L’Informatique et des Libertés) que aplicou, em decisão proferida a 21 de Janeiro de 2019, uma coima de 50 milhões de Euros à Google.
O processo foi impulsionado pela apresentação de duas denúncias junto da CNIL, a 25 e a 29 de Maio de 2018, ou seja, imediatamente após a produção plena de efeitos do RGPD em todo o território da União (mas não só, atendendo ao âmbito de aplicação potencialmente mundial do Regulamento).
Em síntese, foram denunciadas práticas relacionados com o incumprimento pela Google das normas para obtenção de consentimentos válidos para operações de tratamento de dados pessoais, bem como o incumprimento de deveres de informação e transparência junto dos titulares de dados. Após as investigações levadas a cabo pela Autoridade de Controlo Francesa foram efectivamente detectadas falhas relacionadas, não só com o incumprimento desses deveres, como também com a obtenção de consentimentos. O mais atraente negócio da tecnológica centra-se na publicidade dirigida, ou seja, na venda de spots publicitários cujos conteúdos serão disponibilizados aos utilizadores da web em função dos seus perfis criados através da agregação de uma infinidade de dados, como as pesquisas efectuadas e a localização, por exemplo. Obviamente que os dados agregados para a definição dos perfis não se cingem a estes, não fosse o algoritmo desenvolvido pela Google a sua galinha dos ovos de ouro, que permite atingir resultados precisos com eficácia e alcance notáveis.
A CNIL entendeu que não são prestadas informações relativas às finalidades concretas do tratamento, ao período de tempo durante o qual os dados são armazenados, mais tendo sido criticado o facto destas informações “estarem excessivamente espalhadas por vários documentos, que incluem botões e links que são necessários para ativar a leitura de informações adicionais. Informações relevantes são acessíveis somente após várias etapas, às vezes envolvendo até cinco ou seis ações.” – conforme se pode ler na decisão.
Já relativamente ao consentimento, a Autoridade Francesa afirma que a Google não tem fundamento legal para o tratamento de dados relacionados com a definição de perfis com vista ao envio de publicidade dirigida – profiling – alertando para o facto desta falha estar intimamente relacionada com o incumprimento dos deveres de informação e transparência.
Pode ler-se na decisão que: “(…) através das informações disponíveis na secção «Fornecer serviços personalizados, incluindo conteúdos e anúncios» da Política de Privacidade, o utilizador não é capaz de entender o tipo de tratamento de dados para definição de perfis a que está sujeito (…) embora esse tratamento implique uma pluralidade de serviços (por exemplo: pesquisas do Google, Youtube, Google Maps, Google Photo) (…) e o tratamento de uma grande quantidade de dados pessoais. Os utilizadores não conseguem ter uma percepção adequada da natureza e do volume de dados que são recolhidos.”, concluindo assim que o consentimento dos utilizadores para o tratamento de dados com vista ao envio de publicidade personalizada é recolhido de forma ilegal, na medida em que não é dado através de um acto positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca para fins de personalização de publicidade.
Até à data esta foi a coima de valor mais elevado aplicada por incumprimento do RGPD. Em Portugal, muito embora com realidades manifestamente distintas, as coimas mais elevadas foram aplicadas ao Centro Hospitalar do Barreiro no valor global de 400 mil Euros por violação de princípios de minimização, integridade e confidencialidade de dados, bem como pela violação da obrigação de aplicação de medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco.
É neste panorama que devem ser refletidas as políticas corporativas e decisões organizacionais num futuro próximo, sendo imperativo valorizar o compliance em matéria de privacidade e proteção de dados pessoais, em especial para as operações que envolvam definição de perfis (profiling), por serem consideradas particularmente intrusivas para a privacidade dos titulares.
Data Privacy Advisors / Advogados; Associados da Nuno Cerejeira Namora, Pedro Marinho Falcão & Associados
