• Eduardo Natale

Orientações sobre a portabilidade de dados, do WP 29 (resumo)



I. Introdução


O novo direito à portabilidade dos dados visa dar mais poderes aos titulares dos dados em relação aos seus próprios dados pessoais, dado que viabiliza a sua capacidade para transferir, copiar ou transmitir facilmente dados pessoais de um ambiente informático para outro.


Ainda que o direito à portabilidade dos dados pessoais possa igualmente aumentar a concorrência entre os serviços (ao possibilitar a mudança de serviços), o RGPD regulamenta os dados pessoais e não a concorrência. Mais particularmente, não cinge os dados portáveis aos dados necessários ou úteis para mudar de serviços1.

II. Quais são os principais elementos da portabilidade dos dados?


O RGPD2 define do seguinte modo o direito de portabilidade dos dados:

O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados pessoais foram fornecidos o possa impedir […]

Um direito de receber os dados pessoais


Em primeiro lugar, a portabilidade dos dados é um direito do titular dos dados a receber um subconjunto dos dados pessoais tratados por um responsável pelo tratamento e que lhe digam respeito, bem como a armazenar esses dados para uso pessoal posterior. Este armazenamento pode ser feito através de um dispositivo privado ou de uma nuvem privada, sem haver necessariamente lugar a uma transmissão dos dados para outro responsável pelo tratamento.

Um direito de transmitir os dados pessoais de um responsável pelo tratamento para outro responsável pelo tratamento


Os dados podem igualmente ser transmitidos diretamente entre os responsáveis pelo tratamento, a pedido do titular dos dados e sempre que tal seja tecnicamente possível3. A este respeito, o RGPD4 encoraja os responsáveis pelo tratamento de dados a desenvolver formatos interoperáveis que permitam a portabilidade dos dados, mas sem que tal implique para os responsáveis pelo tratamento a obrigação de adotar ou manter sistemas de tratamento que sejam tecnicamente compatíveis.

Controlo


A portabilidade dos dados garante o direito de receber os dados pessoais e de proceder ao seu tratamento, consoante a vontade do titular dos mesmos.


Os responsáveis pelo tratamento de dados que respondam a pedidos de portabilidade dos dados não são responsáveis por um tratamento realizado pelo titular dos dados ou por outra empresa que receba os dados pessoais. Agem em nome do titular dos dados, incluindo quando os dados pessoais são transmitidos diretamente a outro responsável pelo tratamento.


Os responsáveis pelo tratamento de dados que respondam a um pedido de portabilidade dos dados não têm a obrigação específica de controlar e verificar a qualidade dos dados antes de os transmitirem. Naturalmente, estes dados deverão já ser exatos e estar atualizados, em conformidade com os princípios do RGPD5.


Além disso, não existe nenhum requisito adicional no sentido de conservar os dados para além dos períodos de conservação geralmente aplicáveis, com a simples finalidade de satisfazer um eventual pedido futuro de portabilidade dos dados


Compete ao responsável pelo tratamento recetor assegurar que os dados portáveis fornecidos são pertinentes e não são excessivos atendendo ao novo tratamento de dados. Uma organização "recetora" passa a ser um novo responsável pelo tratamento dos dados pessoais em causa e deve respeitar os princípios enunciados no RGPD.

Portabilidade dos dados por oposição a outros direitos dos titulares de dados


Quando uma pessoa exerce o seu direito à portabilidade dos dados, fá-lo sem prejuízo de qualquer outro direito (tal como sucede com qualquer outro direito no âmbito do RGPD). Um titular de dados pode continuar a utilizar e beneficiar dos serviços do responsável pelo tratamento mesmo após uma operação de portabilidade dos dados.


Além disso, a portabilidade dos dados não desencadeia automaticamente o apagamento dos dados provenientes dos sistemas do responsável pelo tratamento e não afeta o período de conservação inicialmente aplicável aos dados que tiverem sido transmitidos. O titular dos dados pode exercer os seus direitos, desde que o responsável pelo tratamento esteja ainda a tratar os dados.

III. Em que situações é aplicável a portabilidade dos dados?


Que operações de tratamento são abrangidas pelo direito à portabilidade dos dados?


De acordo com o RGPD6, para serem abrangidas pelo âmbito da portabilidade dos dados, as operações de tratamento devem basear-se:

- no consentimento do titular dos dados7; ou

- num contrato no qual o titular dos dados é parte8.


Por último, o direito à portabilidade dos dados aplica-se apenas no caso de o tratamento de dados ser "realizado por meios automatizados" e, por conseguinte, não abrange grande parte dos ficheiros em papel.

Que dados pessoais devem ser incluídos?


Nos termos do RGPD9, para se inserirem no âmbito do direito à portabilidade dos dados, os dados devem:

- ser dados pessoais que digam respeito ao titular dos dados, e

- ter sido fornecidos pelo titular dos dados a um responsável pelo tratamento.

condição: dados pessoais no que diz respeito ao titular dos dados


Apenas os dados pessoais são abrangidos pelo âmbito de um pedido de portabilidade dos dados. Por conseguinte, todos os dados que sejam anónimos ou não digam respeito ao titular dos dados não se inserem neste âmbito. Todavia, os dados sob pseudónimos que possam claramente ser associados a um titular de dados são abrangidos pelo âmbito.


Em diversas circunstâncias, os responsáveis pelo tratamento procedem ao tratamento de informações que contêm os dados pessoais de vários titulares de dados. A título de exemplo, os registos de chamadas telefónicas podem incluir informação detalhada sobre terceiros que participaram nas chamadas recebidas ou efetuadas. Embora os registos contenham, portanto, dados pessoais relativos a várias pessoas, os assinantes devem poder aceder a estes registos no seguimento de pedidos de portabilidade dos dados, uma vez que os registos dizem (igualmente) respeito ao titular dos dados.

condição: dados fornecidos pelo titular dos dados


Há muitos exemplos de dados pessoais "fornecidos pelo" titular de dados de forma ativa e consciente, como os dados relativos a contas (p. ex., endereço postal, nome de utilizador, idade) transmitidos através de formulários na Internet. Todavia, os dados "fornecidos pelo" titular devem igualmente incluir os dados pessoais que sejam observados a partir das atividades dos utilizadores, tais como os dados brutos tratados por um contador inteligente ou por outros tipos de objetos conectados, os registos das atividades e os históricos da utilização de um sítio Web ou das pesquisas realizadas.


Esta última categoria de dados não inclui os dados criados pelo responsável pelo tratamento (com base nos dados observados ou diretamente inseridos), por exemplo um perfil de utilizador criado através de uma análise dos dados brutos de contagem inteligente recolhidos.

condição: o direito à portabilidade dos dados não deve prejudicar os direitos e as liberdades de terceiros


No que respeita aos dados pessoais relativos a outros titulares de dados:


A terceira condição destina-se a evitar a recuperação e transmissão de dados que contenham dados pessoais de outros titulares de dados (que não deram o seu consentimento) a novos responsáveis pelo tratamento, sempre que estes dados sejam suscetíveis de ser tratados de um modo que prejudique os direitos e as liberdades dos outros titulares de dados10.


Sempre que estejam incluídos dados pessoais de terceiros no conjunto de dados, tem de ser identificado outro fundamento jurídico para o tratamento. Por exemplo, o responsável pelo seu tratamento pode prosseguir um interesse legítimo11, em especial quando a finalidade do responsável pelo tratamento seja a prestação de um serviço ao titular dos dados que permita a este último tratar dados pessoais no âmbito de atividades exclusivamente pessoais ou domésticas.


Do mesmo modo, os direitos e as liberdades de terceiros não são presumivelmente prejudicados quando é realizado um pedido de portabilidade, desde que os dados sejam utilizados com a mesma finalidade.


No que respeita aos dados abrangidos por direitos de propriedade intelectual e pelo segredo comercial:


O direito à portabilidade dos dados não confere à pessoa em causa o direito de utilizar abusivamente a informação de uma forma que possa configurar uma prática desleal ou constituir uma violação dos direitos de propriedade intelectual.


Contudo, um potencial risco empresarial não pode, por si só, servir de fundamento para recusar responder ao pedido de portabilidade e os responsáveis pelo tratamento podem transmitir os dados pessoais fornecidos pelos titulares dos dados através de um método que acautele a divulgação de informações abrangidas pelo segredo comercial ou por direitos de propriedade intelectual.

IV. De que forma as regras gerais aplicáveis ao exercício dos direitos do titular de dados se aplicam à portabilidade dos dados?


Que informações prévias devem ser prestadas ao titular dos dados?


No sentido de respeitar o novo direito à portabilidade dos dados, os responsáveis pelo tratamento devem informar os titulares dos dados da existência do novo direito à portabilidade. Sempre que os dados pessoais em causa sejam diretamente recolhidos junto do titular dos dados, esta recolha deve ocorrer no momento em que estes dados pessoais são obtidos. Se os dados pessoais não tiverem sido recolhidos junto do titular dos dados, o responsável pelo tratamento deve facultar as informações exigidas pelo disposto no artigo 13.º, n.º 2, alínea b), e no artigo 14.º, n.º 2, alínea c)12.


"Quando os dados pessoais não são recolhidos junto do titular", o RGPD13 exige que as informações sejam comunicadas num prazo razoável não superior a um mês após a obtenção dos dados, durante a primeira comunicação com o titular dos dados, ou quando seja feita uma divulgação a terceiros.


De que forma o responsável pelo tratamento pode identificar o titular dos dados antes de responder ao seu pedido?


Os responsáveis pelo tratamento devem aplicar um procedimento de autenticação, no sentido de apurar de forma fiável a identidade do titular de dados que solicita os seus dados pessoais ou que, de um modo mais geral, exerce os direitos garantidos pelo RGPD.

Muitas vezes, estes procedimentos já existem. O responsável pelo tratamento, por norma, autentica os titulares de dados ainda antes de celebrar um contrato ou de obter o seu consentimento para o tratamento.

Qual é o prazo imposto para responder a um pedido de portabilidade?


O RGPD14 exige que o responsável pelo tratamento forneça "ao titular as informações sobre as medidas tomadas [...], sem demora injustificada e no prazo de um mês a contar da data de receção do pedido". Este prazo de um mês pode ser alargado até três meses no máximo para os casos complexos, desde que o titular dos dados tenha sido informado dos motivos da prorrogação no prazo de um mês a contar da data do pedido inicial.

Em que situações é possível indeferir um pedido de portabilidade dos dados ou exigir o pagamento de uma taxa?


O RGPD15 proíbe o responsável pelo tratamento de exigir o pagamento de uma taxa pelo fornecimento dos dados pessoais, salvo se o responsável pelo tratamento puder demonstrar que os pedidos são manifestamente infundados ou excessivos, "nomeadamente devido ao seu caráter repetitivo".

V. Como devem ser fornecidos os dados portáveis?


Que meios deverão, previsivelmente, ser implementados pelos responsáveis pelo tratamento para fornecer os dados?


No plano técnico, os responsáveis pelo tratamento devem explorar e avaliar duas vias diferentes e complementares para disponibilizar os dados portáveis aos titulares dos dados ou a outros responsáveis pelo tratamento:

- uma transmissão direta do conjunto global de dados portáveis (ou de várias partes extraídas do conjunto global de dados);

- uma ferramenta automatizada que permita a extração dos dados relevantes.


A fim de implementar estas duas vias diferentes e potencialmente complementares destinadas a fornecer os dados portáveis relevantes, podem ser disponibilizados os dados através de vários meios, como, por exemplo, o envio seguro de mensagens, um servidor SFTP, uma API Web ou um portal Web. Os titulares dos dados devem ter a possibilidade de utilizar um arquivo de dados pessoais, um sistema de gestão de informações pessoais ou outros tipos de terceiros de confiança, no sentido de conservar e armazenar os dados pessoais e de conceder autorização aos responsáveis pelo tratamento para efeitos de acesso e tratamento dos dados pessoais, na medida do necessário.

Qual é o formato previsto dos dados?


Quando não existem formatos de utilização comum em determinado setor ou contexto, os responsáveis pelo tratamento devem fornecer os dados pessoais recorrendo a formatos abertos comummente utilizados (p. ex., XML, JSON, CSV, etc.) juntamente com metadados úteis no melhor nível possível de granularidade. Neste sentido, devem ser utilizados metadados adequados, com vista a descrever minuciosamente o significado das informações partilhadas.


Ou seja, ao selecionar um formato de dados para a transmissão dos dados pessoais, o responsável pelo tratamento deve ponderar a forma como o formato escolhido afetaria ou prejudicaria o direito da pessoa à reutilização dos dados.

Como lidar com uma recolha de dados pessoais de grande dimensão ou complexa?


Uma possível forma prática de o responsável pelo tratamento responder a pedidos de portabilidade dos dados consiste na disponibilização de uma API com um nível adequado de segurança e documentação. Esta solução poderia permitir aos titulares apresentar ao responsável pelo tratamento pedidos relativos aos respetivos dados pessoais através de um software próprio ou de terceiros, ou conceder autorização a terceiros para o fazer em sua representação (incluindo outro responsável pelo tratamento), tal como previsto no RGPD16.

De que forma pode ser garantida a segurança dos dados portáveis?


De que modo os responsáveis pelo tratamento podem assegurar que os dados pessoais são entregues em segurança à pessoa certa?


Compete ao responsável pelo tratamento adotar todas as medidas de segurança necessárias para não só garantir que os dados pessoais sejam transmitidos de forma segura (através da utilização de uma cifragem extremo a extremo ou dos dados) ao destino certo (através da utilização de métodos de autenticação sólidos), mas também continuar a proteger os dados pessoais que permaneçam nos seus sistemas, bem como procedimentos transparentes para dar resposta a eventuais violações de dados. Neste sentido, os responsáveis pelo tratamento devem avaliar os riscos específicos inerentes à portabilidade dos dados e tomar medidas adequadas a fim de atenuar os riscos.


Como ajudar os utilizadores a tornar seguro o armazenamento dos seus dados pessoais nos seus próprios sistemas?


Cabe ao titular de dados que solicita os dados identificar as medidas mais adequadas para garantir a segurança dos dados pessoais no seu próprio sistema. No entanto, deverá ser informado desse facto, para tomar medidas destinadas a proteger as informações que tiver recebido.


Como exemplo de prática a seguir preferencialmente, os responsáveis pelo tratamento poderão também recomendar um ou mais formatos apropriados, ferramentas de cifragem e outras medidas de segurança, com vista a ajudar o titular dos dados a cumprir este objetivo.

Fonte: https://www.cnpd.pt/home/rgpd/docs/wp242rev01_pt.pdf


1artigo 20.º

2 artigo 20.º, n.º 1

3 artigo 20.º, n.º 2

4 considerando 68

5 artigo 5.º, n.º 1

6 artigo 20.º, n.º 1, alínea a)

7 ao abrigo do artigo 6.º, n.º 1, alínea a), ou do artigo 9.º, n.º 2, alínea a), no que se refere às categorias especiais de dados pessoais

8 ao abrigo do artigo 6.º, n.º 1, alínea b)

9 artigo 20.º, n.º 1

10 artigo 20.º, n.º 4, do RGPD

11 artigo 6.º, n.º 1, alínea f)

12 A existência do direito de solicitar ao responsável pelo tratamento o acesso aos dados pessoais que lhe digam respeito, e a retificação ou o apagamento, ou a limitação do tratamentor no que disser respeito ao titular dos dados, e do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados;

13 artigo 14.º, n.º 3

14 artigo 12.º, n.º 3

15 artigo 12.º

16 artigo 20.º, n.º 2.

Inscreva-se na nossa newsletter

Receba no seu e-mail nossos artigos sobre Proteção de Dados

2020 Eduardo Natale Advocacia. Todos os direitos reservados.

  • Linkedin
  • Twitter
  • Facebook