GRUPO DE TRABALHO DE PROTECÇÃO DE DADOS DO ARTIGO 29.º

O Grupo de Trabalho do artigo 29.º foi instituído pelo artigo 29.º da Directiva 95/46/CE. Trata-se de um órgão consultivo europeu independente em matéria de protecção de dados e de privacidade. As suas atribuições estão descritas no artigo 30.º da Directiva 95/46/CE e no artigo 15.º da Directiva 2002/58/CE. O secretariado é assegurado pela Direcção C (Direitos Fundamentais e Cidadania da União) da Direcção-Geral da Justiça da Comissão Europeia, B-1049 Bruxelas, Bélgica, Gabinete n.º MO59 06/036. Sítio Web: http://ec.europa.eu/justice/data-protection/index_pt.htm

01197/11/PT WP187

Parecer 15/2011 sobre a definição de consentimento

Adoptado em 13 Julho de 2011

2

Síntese

O presente parecer contém uma análise exaustiva do conceito de consentimento, tal como actualmente definido na Directiva de Protecção de Dados Pessoais e na Directiva da Privacidade Electrónica. Com base na experiência adquirida pelos membros do Grupo de Trabalho do artigo 29.º, o parecer fornece muitos exemplos de consentimento válido e inválido, focando-se nos seus elementos-chave, tais como o significado de «manifestação», «livre», «específico», «inequívoco», «explícito», «informado», etc. O parecer clarifica ainda alguns aspectos relacionados com o conceito de consentimento, como por exemplo, o momento em que deve ser obtido o consentimento, a diferença entre direito de oposição e consentimento, etc.

O consentimento é um de entre vários fundamentos legais para o tratamento de dados pessoais. Desempenha um papel importante, mas não exclui a possibilidade, dependendo do contexto, de outros fundamentos serem, porventura, mais apropriados, tanto do ponto de vista do responsável pelo tratamento como da pessoa em causa. Se for utilizado correctamente, o consentimento consubstancia uma ferramenta que confere à pessoa em causa controlo sobre o tratamento dos seus dados. Se for utilizado incorrectamente, o controlo da pessoa em causa torna-se ilusório e o consentimento constitui uma base inadequada para o tratamento dos dados.

O presente parecer é, em parte, emitido em resposta a um pedido da Comissão no contexto da revisão da Directiva de Protecção de Dados Pessoais em curso. Nesta medida, exprime recomendações para análise durante o processo de revisão. Estas recomendações incluem:

(i) a clarificação do significado de consentimento «inequívoco», sendo que apenas o consentimento baseado em declarações ou actos que manifestem aceitação constitui um consentimento válido;

(ii) a obrigatoriedade de os responsáveis pelo tratamento dos dados instituírem mecanismos que permitam fazer prova do consentimento (no âmbito de uma obrigação genérica de responsabilização);

(iii) a previsão de uma exigência expressa relativa à qualidade e acessibilidade da informação que forma a base para o consentimento, e

(iv) várias sugestões relativas a menores e a outras pessoas sem capacidade jurídica.

3

O GRUPO DE PROTECÇÃO DAS PESSOAS SINGULARES NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS Instituído pela Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, tendo em conta os artigos 29.º e 30.º, n.º 1, alínea a) e n.º 3 da referida directiva, tendo em conta o seu regulamento interno,

ADOPTOU O PRESENTE PARECER:

I. Introdução O consentimento da pessoa em causa sempre foi um conceito-chave na protecção de dados pessoais. No entanto, nem sempre é claro em que situações é necessário tal consentimento nem que condições têm que estar preenchidas para aquele ser válido. Esta situação pode conduzir a abordagens diferentes e entendimentos divergentes das boas práticas nos diversos Estados-Membros, o que pode, por sua vez, enfraquecer a posição das pessoas em causa. Este problema tem vindo a agravar-se à medida que o tratamento de dados pessoais se torna uma componente cada vez mais importante da sociedade moderna, tanto em ambientes on-line como of-line, envolvendo frequentemente diferentes Estados-Membros. O Grupo de Trabalho do artigo 29.º decidiu, por este motivo, no âmbito do seu programa de trabalho para 2010-2011, analisar cuidadosamente esta questão. O consentimento é igualmente um dos assuntos relativamente aos quais a Comissão solicitou contribuições no âmbito da revisão da Directiva 95/46/CE. Na Comunicação da Comissão subordinada ao tema «Uma abordagem global da protecção de dados pessoais na União Europeia»1 pode ler-se que: «A Comissão irá analisar meios de clarificar e reforçar as normas que regem o consentimento». A Comissão explica este aspecto2 da seguinte forma: «Sempre que se exige um consentimento informado, as normas em vigor estabelecem que o consentimento das pessoas para o tratamento dos respectivos dados pessoais deve ser uma “manifestação de vontade livre, específica e informada”, pela qual a pessoa em causa aceita que alguns dados pessoais que lhe dizem respeito sejam objecto de tratamento. No entanto, estas condições são actualmente interpretadas de formas diferentes nos vários Estados-Membros, que vão desde a exigência de consentimento escrito à aceitação do mero consentimento implícito.»

1 COM (2010) 609 final, de 4.11.2010. 2 O primeiro relatório da Comissão sobre a implementação da directiva relativa à protecção de dados (95/46/CE)

(COM(2003)265 final), já mencionava na sua página 18: «A noção de “consentimento inequívoco” (alínea a) do artigo 7.º) em particular, se comparada com a noção de “consentimento explícito” do artigo 8.º, precisa de uma maior clarificação e de uma interpretação uniforme. É necessário que os operadores saibam o que constitui um consentimento válido, especialmente no contexto dos casos em linha.»

4

«Além disso, no ambiente em linha, dada a opacidade dos regimes de privacidade, é frequentemente mais difícil as pessoas estarem cientes dos respectivos direitos e darem um consentimento informado. A questão complica-se ainda mais pelo facto de, em alguns casos, nem sequer ser claro em que é que consiste o consentimento livre, específico e informado, como acontece na publicidade comportamental, em que a configuração do programa de navegação é considerada por alguns como um consentimento do utilizador para o tratamento de dados, mas por outros não.» «Por conseguinte, devem ser esclarecidas as condições em que as pessoas devem dar o consentimento, de forma a garantir sempre um consentimento informado e que as pessoas estejam plenamente cientes do que estão a consentir e em que contexto de tratamento de dados, em conformidade com o artigo 8.º da Carta dos Direitos Fundamentais da UE. A clareza dos conceitos-chave pode igualmente favorecer o desenvolvimento de iniciativas de auto-regulação para conceber soluções práticas conformes com o direito da UE. » Com vista a responder ao pedido de contribuições efectuado pela Comissão e no âmbito da execução do seu programa de trabalho para 2010-2011, o Grupo de Trabalho do artigo 29.º comprometeu-se a elaborar um parecer. O objectivo do presente parecer consiste na clarificação dos assuntos por forma a assegurar um entendimento comum do quadro normativo em vigor. Simultaneamente, esta acção segue a lógica de pareceres anteriores sobre outras disposições-chave da directiva3. Uma vez que as potenciais alterações ao quadro normativo existente levarão algum tempo, a clarificação do conceito de «consentimento» e dos seus elementos principais tem as suas virtudes e vantagens próprias. A clarificação das disposições em vigor ajudará igualmente a identificar as áreas que carecem de aperfeiçoamento. Assim, com base na análise, o parecer procurará formular recomendações políticas por forma a ajudar a Comissão e os decisores políticos a definir as alterações ao quadro normativo de protecção de dados aplicável.

O conteúdo base do parecer é o seguinte: após uma análise geral dos antecedentes legislativos e do papel do consentimento na legislação sobre protecção de dados, examinaremos os diferentes elementos e requisitos de validade do consentimento ao abrigo da legislação aplicável, incluindo alguns aspectos relevantes da Directiva 2002/58/CE relativa à privacidade e às comunicações electrónicas. A análise será ilustrada com exemplos práticos baseados nas experiências nacionais. As recomendações efectuadas na parte final do presente parecer são baseadas na análise feita ao longo do mesmo e apontam no sentido de deverem estar obrigatoriamente reunidos certos elementos para que possa ser solicitado e obtido um consentimento válido ao abrigo da directiva. São igualmente apresentadas recomendações políticas para serem tidas em conta pelos decisores políticos no contexto da revisão da Directiva 95/46/CE.

3 Tais como o Parecer 8/2010 sobre a lei aplicável, adoptado em 16.12.2010 (WP 179) e o Parecer 1/2010 sobre os

conceitos de «responsável pelo tratamento» e «subcontratante», adoptado em 16.2.2010 (WP 169).

5

II. Considerações gerais e questões de política

II.1. Resumo dos antecedentes legislativos

Embora algumas legislações nacionais relativas à protecção de dados/privacidade adoptadas nos anos setenta previssem o consentimento como um dos fundamentos legais para o tratamento de dados pessoais4, esta abordagem não encontrou expressão na Convenção n.º 108 do Conselho da Europa5. Não se vislumbra nenhuma razão aparente para o consentimento não desempenhar um papel mais importante na Convenção.6.

Ao nível da UE, desde o início do processo legislativo que terminou com a adopção da Directiva 95/46/CE, que o consentimento foi visto como um critério de legitimação das actividades de tratamento de dados pessoais. O artigo 12.º da proposta da Comissão7, de 1990, estabelecia as características que o consentimento tinha que revestir para legitimar as actividades de tratamento de dados: tinha que ser «prestado expressamente» e «ser específico». O artigo 17.º relativo a dados sensíveis exigia que o consentimento fosse «expresso e reduzido a escrito». A proposta alterada da Comissão8, de 1992, introduziu uma redacção próxima da definição de «consentimento da pessoa em causa» constante do actual artigo 2.º, alínea h), substituindo o artigo 12.º originário, que estabelecia que o consentimento tinha que ser «prestado de forma livre e específica». A referência a «prestado expressamente» foi substituída pelo consentimento como «uma manifestação expressa da vontade da pessoa em causa». O memorando explicativo que acompanhava a proposta alterada, de 19929, estabelecia que o consentimento podia ser obtido quer verbalmente quer por escrito. No que toca aos dados sensíveis, mantinha-se a exigência do consentimento «escrito». Em 1992, a proposta alterada da Comissão reestruturou a proposta anterior e introduziu um artigo 7.º, que regula os fundamentos legais para o tratamento. A alínea a) deste artigo dispunha que o tratamento de dados poderia ser efectuado se «a pessoa em causa tiver dado o seu consentimento»; a lista original incluía, tal como hoje, cinco fundamentos adicionais (a acrescer ao consentimento), que podem ser invocados para legitimar o tratamento de dados.

Uma Posição Comum do Conselho10, de 1995, introduziu a definição de consentimento final e que se encontra actualmente em vigor. O consentimento foi definido como «qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa

4 Ver, por exemplo, o artigo 31.º da Lei francesa n.º 78-17, de 6 de Janeiro de 1978, relativa à informática, aos ficheiros e

às liberdades (Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés). 5 A Convenção para a protecção das pessoas relativamente ao tratamento automatizado de dados de carácter pessoal

(designada «Convenção nº 108»). A referida Convenção entrou em vigor em 1 de Outubro de 1985. 6 Convenção n.º 108 introduziu os conceitos de «tratamento leal e lícito» e de «finalidades legítimas» (artigo 5.º). No

entanto, ao contrário da Directiva 95/46/CE, não forneceu uma lista de critérios para aferir a legitimidade do tratamento de dados. O consentimento da pessoa em causa apenas é relevante no contexto da assistência mútua (artigo 15.º). No entanto, o requisito do «consentimento» veio a ser mencionado repetidas vezes em várias recomendações do Comité de Ministros.

7 Proposta para uma directiva relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, COM (90), 314 final, SYN 287 e 288, Bruxelas, 13 de Setembro 1990.

8 Proposta alterada para uma Directiva do Conselho relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, COM (92) 422 FINAL - SYN 287, Bruxelas, 15 de Outubro de 1992.

9 Ver página 11 da proposta alterada para uma Directiva do Conselho relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, COM (92) 422 FINAL - SYN 287, Bruxelas, 15 de Outubro de 1992.

10 Posição Comum adoptada pelo Conselho em 20 de Fevereiro de 1995, tendo em vista a adopção da Directiva do Parlamento Europeu e do Conselho relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, (00/287) COD.

6

aceita que dados pessoais que lhe dizem respeito sejam objecto de tratamento». A principal diferença em relação à proposta alterada da Comissão, de 1992, consistiu na eliminação da palavra «expressa» que se seguia à palavra «manifestação». Ao mesmo tempo, foi adicionada a palavra «inequívoca» ao artigo 7.º, alínea a), que tem a seguinte redacção: «A pessoa em causa tiver dado de forma inequívoca o seu consentimento». A exigência de consentimento escrito relativamente aos dados sensíveis foi substituída por «consentimento explícito».

A fundamentação do Conselho11 não explica especificamente aquelas mudanças. No entanto, pode ler-se na página 4 que: «... foram efectuadas numerosas modificações destinadas ... a imprimir uma certa flexibilidade; estas alterações, embora garantindo um nível equivalente de protecção nos Estados-Membros, não deverão resultar na diminuição do nível de protecção, pois permitem uma aplicação eficaz e não burocrática dos princípios gerais definidos em função da extrema variedade nos moldes específicos em que é efectuado o tratamento de dados.»

O papel do consentimento foi expressamente reconhecido na Carta dos Direitos Fundamentais da União Europeia ao consagrar a protecção de dados pessoais. O artigo 8.º, n.º 2 dispõe que os dados pessoais podem ser objecto de tratamento «com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei». O consentimento é, assim, reconhecido como um aspecto essencial do direito fundamental à protecção de dados pessoais. Não obstante, o consentimento ao abrigo da Carta não é o único fundamento legal legitimador do tratamento de dados pessoais: a Carta reconhece expressamente que podem ser previstos outros fundamentos na legislação, como é o caso da Directiva 95/46/CE.

Em suma, os antecedentes legislativos, particularmente na UE, mostram que o consentimento desempenhou um papel importante nos conceitos de protecção de dados e de privacidade. Por outro lado, demonstra igualmente que o consentimento não tem sido considerado o único fundamento para legitimar as actividades de tratamento de dados. Os actos preparatórios da Directiva 95/46/CE mostram algum consenso no que toca às condições de validade do consentimento, a saber: livre, específico e informado. No entanto, denotam igualmente alguma incerteza quanto às formas pelas quais o consentimento pode ser prestado - se tem que ser explícito, escrito, etc. - Este aspecto é de seguida analisado mais detalhadamente.

11 V. página 4 da Posição Comum.

7

II.2. Papel do conceito: fundamento de licitude

Fundamento geral/específico:

O consentimento surge na directiva como um fundamento geral de licitude (artigo 7.º) e como um fundamento específico em certos contextos (artigo 8.º, n.º 2, alínea a) e artigo 26.º, n.º 1, alínea a)). O artigo 7.º faz referência ao consentimento como o primeiro de seis fundamentos diferentes para legitimar o tratamento de dados pessoais. O artigo 8.º, por seu lado, prevê a possibilidade do consentimento legitimar o tratamento, que de outra forma seria proibido, de categorias especiais de dados (sensíveis). Neste caso, o grau de exigência para obtenção do consentimento é mais elevado, uma vez que este consentimento ultrapassa o grau de exigência normal, devendo ser «explícito».

Acresce que a directiva permite a interacção com outra legislação, conforme mencionado no Considerando 23: «os Estados-membros podem assegurar a concretização da protecção das pessoas tanto por uma lei geral relativa à protecção das pessoas no que diz respeito ao tratamento de dados pessoais, como por leis sectoriais». Na prática, o sistema funciona de uma forma complexa: cada Estado-Membro adoptou a sua própria abordagem e, em alguns casos, isso gerou diversidade.

O conceito de consentimento nem sempre foi transposto de forma literal ao nível nacional. A título exemplificativo, refira-se que o consentimento, como conceito geral, não foi definido na legislação francesa relativa à protecção de dados. Não obstante, o seu significado tem sido explicado de forma precisa e consistente na jurisprudência da autoridade de protecção de dados (CNIL), por referência à definição contida na Directiva da Protecção de Dados Pessoais. No Reino Unido, o conceito de consentimento tem sido desenvolvido pela jurisprudência por referência ao texto da directiva. Para além disso, o consentimento tem sido por vezes explicitamente definido em sectores específicos, como por exemplo no contexto da privacidade electrónica e da administração ou saúde em linha. O conceito desenvolvido na legislação específica irá, desta forma, interagir com o conceito desenvolvido na legislação geral de protecção de dados. O conceito de consentimento é comum a outras áreas do direito, em particular ao direito das obrigações. Neste contexto, por forma a assegurar a validade de um contrato, são tidos em consideração outros critérios, como a idade, influência indevida, etc. Não existe contradição, mas antes sobreposição, entre o âmbito do direito civil e o âmbito da directiva: a directiva não aborda as condições gerais de validade do consentimento num contexto de direito civil, mas não as exclui. Isto significa, por exemplo, que, para determinar a validade de um contrato no contexto do artigo 7.º, alínea b), da directiva, têm que ser tidas em consideração as exigências do direito civil. Acresce que à aplicação das condições gerais de validade do consentimento ao abrigo do direito civil, o consentimento exigido no artigo 7.º, alínea a) deve igualmente ser interpretado tendo em consideração o artigo 2.º, alínea h), da directiva.

Esta interacção com outra legislação é visível não só ao nível nacional mas também ao nível europeu. Semelhante entendimento sobre os elementos da directiva tem sido retirado de outros contextos, como é demonstrado num acórdão do Tribunal de Justiça

8

na área do direito do trabalho12, que se debruça sobre uma situação em que foi exigido o consentimento no contexto da renúncia a um direito social. O Tribunal interpretou o conceito de consentimento no contexto da Directiva 93/104/CE relativa a determinados aspectos da organização do tempo de trabalho. O Tribunal esclareceu que o «acordo do trabalhador» exige o consentimento prestado pelo trabalhador (e não pelos interlocutores sindicais em representação do trabalhador) e que «acordo» (...) significa consentimento livre e com conhecimento de causa. Sustentou igualmente que o facto de o trabalhador assinar um contrato de trabalho que remete para uma convenção colectiva que permite o prolongamento da duração máxima do trabalho semanal não preenche o requisito do consentimento prestado de forma livre, expressa e com conhecimento de causa. Esta interpretação de consentimento num contexto específico está muito próxima do texto da Directiva 95/46/CE. O consentimento não é o único fundamento de licitude

A directiva apresenta claramente o consentimento como um dos fundamentos de licitude. No entanto, alguns Estados-Membros encaram o consentimento como um fundamento preferencial, por vezes próximo de um princípio constitucional, ligado ao estatuto da protecção de dados como direito fundamental. Outros Estados-Membros podem encarar o consentimento como uma de seis opções, uma exigência operacional não mais importante do que as outras opções. A clarificação da relação do consentimento com os outros fundamentos de licitude – por ex., em relação a contratos, funções de interesse público ou interesses legítimos do responsável pelo tratamento e o direito de oposição - ajudará a destacar o papel do consentimento em casos específicos.

A ordem pela qual os fundamentos legais são enunciados no artigo 7.º é relevante. No entanto, não significa que o consentimento seja, em todos os casos, o fundamento mais adequado para legitimar o tratamento de dados pessoais. O artigo 7.º começa pelo consentimento e continua com uma lista de outros fundamentos, incluindo contratos e obrigações legais, caminhando gradualmente para o equilíbrio de interesses. É de notar que os restantes cinco fundamentos que se seguem ao consentimento estão sujeitos a um teste de «necessidade», que limita de forma estrita o seu âmbito de aplicação. Isto não significa que a exigência de consentimento deixe mais margem de manobra do que os outros fundamentos do artigo 7.º. Para além do mais, a obtenção de consentimento não exonera o responsável pelo tratamento das obrigações estabelecidas no artigo 6.º relativas à lealdade, necessidade e proporcionalidade, assim como à qualidade dos dados. Por exemplo, mesmo que o tratamento de dados seja baseado no consentimento da pessoa em causa, este consentimento não legitimaria uma recolha de dados excessiva em relação ao fim em causa. Nem tão-pouco a obtenção de consentimento permite a evasão a outras disposições, como o artigo 8.º, n.º 5. Apenas em circunstâncias muito limitadas pode o consentimento legitimar o tratamento de dados que seria de outra forma proibido, nomeadamente em relação ao tratamento de alguns dados sensíveis (artigo 8.º) ou para permitir o uso de dados pessoais para tratamento posterior, quer este seja ou não

12 Acórdão do Tribunal de Justiça (Grande Secção), de 5 de Outubro de 2004, Pfeiffer, Roith, Süß, Winter, Nestvogel,

Zeller, Döbele, nos processos apensos C-397/01 a C-403/01.

9

compatível com a finalidade originária. Por princípio, o consentimento não devia ser visto como uma derrogação aos outros princípios de protecção de dados, mas sim como uma salvaguarda. O consentimento é, antes de mais, um fundamento de licitude, não afastando a aplicação de outros princípios.

A escolha do fundamento legal mais adequado nem sempre é óbvia, especialmente entre as alíneas a) e b) do artigo 7.º. Nos termos do disposto na alínea b), o tratamento deve ser necessário para a execução de um contrato no qual a pessoa em causa é parte ou para diligências prévias à formação do contrato decididas a pedido da pessoa em causa e não mais do que isso. Um responsável pelo tratamento que invoque a alínea b) como fundamento legal no âmbito da celebração de um contrato não pode alargá-la para justificar o tratamento de dados para além do necessário: terá que legitimar o tratamento adicional com um consentimento específico ao qual são aplicáveis as exigências da alínea a). Isto demonstra a necessidade de detalhe no clausulado dos contratos. Na prática, significa que pode ser necessário obter consentimento como uma condição adicional para certa parte do tratamento. Ou o tratamento é necessário à execução de um contrato ou deverá ser obtido o consentimento (livre).

A algumas transacções podem ser aplicáveis, simultaneamente, vários fundamentos legais. Por outras palavras, qualquer tratamento de dados deve, estar sempre em conformidade com um ou mais fundamentos legais. Isto não exclui a aplicação simultânea de vários fundamentos, desde que sejam aplicados no contexto correcto. Nos termos do contrato com a pessoa em causa, pode ser necessária alguma recolha de dados e tratamento posterior – artigo 7.º, alínea b); pode ser necessário outro tratamento em consequência de uma obrigação legal – artigo 7.º, alínea c); a recolha de informação adicional pode exigir um consentimento autónomo – artigo 7.º, alínea a); por outro lado, o tratamento pode ser legítimo ao abrigo de um equilíbrio de interesses – artigo 7.º, alínea f).

Exemplo: Adquirir um automóvel O responsável pelo tratamento pode proceder ao tratamento de dados com diferentes finalidades e com base em diversos fundamentos: - Dados necessário para comprar o automóvel: artigo 7.º, alínea b), - Para tratar dos documentos do automóvel: artigo 7.º, alínea c), - Para serviços de gestão de clientes (por ex., para que o automóvel seja assistido noutras filiais na UE): artigo 7.º, alínea f), - Para transferir os dados a terceiros para as suas próprias actividades de comercialização: artigo 7.º, alínea a).

II.3. Conceitos relacionados

Controlo

O conceito de consentimento está tradicionalmente ligado à ideia de que a pessoa em causa deve exercer controlo sobre a utilização que é feita dos dados que lhe dizem respeito. De um ponto de vista dos direitos fundamentais, o controlo exercido através do consentimento constitui um conceito importante. Simultaneamente, e partindo do

10

mesmo ponto de vista, a decisão de uma pessoa singular de aceitar o tratamento de dados deve ser sujeita a rigorosas exigências, particularmente tendo em consideração que a pessoa singular pode estar ao mesmo tempo a renunciar a um direito fundamental. Embora o consentimento desempenhe um papel importante ao conferir controlo às pessoas em causa, não é a única forma de o fazer. A directiva prevê outros meios de controlo, em especial o direito de oposição. No entanto, este é um instrumento diferente e que é exercido numa fase diferente do tratamento, i.e., após o início do tratamento e com base num fundamento legal diferente. O consentimento está relacionado com o conceito de autodeterminação informativa. A autonomia da pessoa em causa é simultaneamente uma condição prévia e uma consequência do consentimento: dá à pessoa em causa influência sobre o tratamento de dados. Este princípio tem, contudo, limites, como veremos no próximo capítulo, existindo casos em que a pessoa em causa não está em posição de tomar uma verdadeira decisão. O responsável pelo tratamento pode desejar usar o consentimento da pessoa em causa como uma forma de transferir a sua responsabilidade para a pessoa. A pessoa em causa pode, por exemplo, sofrer danos como consequência de ter consentido na publicação de dados pessoais na internet ou na transferência para uma entidade duvidosa em país terceiro. Ora, nestes casos, o responsável pelo tratamento pode alegar que a pessoa em causa consentiu nesta situação. É, por isso, importante relembrar que o consentimento, ainda que inteiramente válido, não exonera o responsável pelo tratamento das suas obrigações, nem tão-pouco legitima um tratamento que, de outra forma, seria considerado desleal à luz do artigo 6.º da directiva. O conceito de controlo está igualmente ligado ao facto de a pessoa em causa dever ter a possibilidade de revogar o consentimento prestado. A revogação não tem efeito retroactivo mas devia, em princípio, evitar qualquer tratamento posterior dos dados da pessoa em causa por parte do responsável pelo tratamento. A forma como isto funciona na prática será aprofundada mais à frente (capítulo III).

Transparência

Uma segunda dimensão do consentimento respeita à informação: transparência perante a pessoa em causa. A transparência é uma condição essencial para que as pessoas possam exercer o controlo sobre os seus próprios dados e para garantir um consentimento válido. Embora a transparência em si não seja suficiente para legitimar o tratamento de dados pessoais, constitui uma condição essencial para assegurar a validade do consentimento. Para ser válido, o consentimento tem de ser informado. Isto significa que toda a informação tem de ser dada no momento em que o consentimento é solicitado e que esta informação deve abranger todos os aspectos fulcrais relativos ao tratamento que se pretende legitimar com o consentimento. Em circunstâncias normais, devem ser abrangidos os elementos enunciados no artigo 10.º da directiva, mas isto poderá variar igualmente em função do momento e das circunstâncias nas quais o consentimento é solicitado.

11

Independentemente do consentimento ser ou não prestado, a transparência do tratamento de dados é igualmente uma condição de lealdade, que assume um valor em si mesma também após a informação inicial ter sido prestada.

Actividade/momento: formas de manifestar o consentimento

Esta terceira dimensão prende-se com a forma como o controlo é exercido: por que formas pode o consentimento ser prestado e quando deve o mesmo ser solicitado por forma a garantir que consubstancia um verdadeiro consentimento? Estas questões têm um impacto decisivo na forma como o consentimento é exercido e interpretado.

Embora a directiva não estabeleça expressamente qual o momento em que o consentimento deve ser obtido, aquele resulta implicitamente de várias disposições que indicam que, em regra, o consentimento deve ser prestado antes do início do tratamento de dados13. A obtenção do consentimento antes do início do tratamento de dados constitui uma condição essencial da legitimidade do tratamento de dados. Este ponto será objecto de desenvolvimento no capítulo III.B relativo à Directiva da Privacidade Electrónica.

O consentimento, entendido como uma autorização dada pela pessoa para o tratamento de dados que lhe dizem respeito, pode ser prestado de diversas formas: o artigo 2.º, alínea h) faz referência a uma qualquer «manifestação»; deve ser inequívoco (artigo 7.º, alínea a)) e expresso no que toca aos dados sensíveis (ex artigo 8.º). É, no entanto, essencial sublinhar o facto de o consentimento ser diferente do direito de oposição previsto no artigo 14.º. No caso do artigo 7.º, alínea a), o responsável pelo tratamento não pode proceder ao tratamento dos dados enquanto não obtiver o consentimento da pessoa em causa. Já no caso do artigo 7.º, alínea f), o responsável pelo tratamento pode proceder ao tratamento dos dados, sujeito a condições e salvaguardas, desde que a pessoa em causa não se tenha oposto. Como referido no documento de trabalho n.º 114 do Grupo de Trabalho: «A importância de o consentimento constituir um acto pela positiva exclui de facto qualquer hipótese de sistema em que a pessoa em causa só tivesse o direito de se opor à transferência depois de realizada»14. Por estas razões, o direito de oposição ex artigo 14.º da directiva não pode ser confundido com o consentimento. Este último constitui um fundamento legal para o tratamento de dados pessoais ex artigos 7.º, alínea a), 8.º, n.º 2, alínea a), 26.º, n.º 1 ou conforme previsto em várias disposições da Directiva 2002/58/CE.

II.4. Uso adequado do consentimento como fundamento legal do tratamento

É necessário sublinhar que o consentimento nem sempre é o primeiro meio ou o meio mais desejável para legitimar o tratamento de dados pessoais. O consentimento é, por vezes, uma base pouco sólida para justificar o tratamento de dados pessoais e perde o seu valor quando o seu âmbito é alargado ou restringido para

13 Por exemplo, a versão alemã da directiva (e a lei federal alemã sobre a protecção de dados) usa o conceito de

«Einwilligung», que é definido no Código Civil alemão como «aceitação prévia». 14 WP114 - Documento de trabalho do Grupo de Trabalho do artigo 29.º sobre uma interpretação comum do n.º 1 do artigo

26.º da Directiva 95/46/CE, de 24 de Outubro de 1995.

12

se adequar a situações para as quais nunca foi pensado. A utilização do consentimento «no contexto certo» é crucial. Se for utilizado em circunstâncias para as quais não é adequado, em virtude de, provavelmente, não estarem reunidos os elementos que constituem um consentimento válido, isto conduziria a uma grande vulnerabilidade, o que, na prática, enfraqueceria a posição da pessoa em causa.

Esta abordagem já recolheu o apoio do Grupo de Trabalho e da AEPD nas suas contribuições para o debate sobre o novo quadro legal da protecção de dados. Foi afirmado, em particular, que «aquilo que constitui um consentimento verdadeiro e inequívoco nem sempre é claro. Alguns responsáveis pelo tratamento exploram esta incerteza recorrendo a métodos que não são adequados para se obter um consentimento verdadeiro e inequívoco»15, assim violando as condições do artigo 6.º da directiva. Na mesma linha, o Grupo de Trabalho do artigo 29.º notou que «a complexidade das práticas de recolha de dados, modelos de negócio, relações com os vendedores e aplicações tecnológicas em muitos casos suplanta a capacidade ou vontade da pessoa singular para tomar decisões para controlar o uso e partilha de informação através de uma escolha activa»16. É, assim, importante clarificar os limites do consentimento e assegurar que apenas os actos interpretados de forma consentânea com a lei sejam considerados consentimento.17 III. Análise das disposições Na presente análise, iremos focar-nos no capítulo III.A da Directiva 95/46/CE. Algumas partes importantes da Directiva 2002/58/CE relativa à privacidade e às comunicações electrónicas serão analisadas no capítulo III.B. É de notar que estas directivas não se excluem mutuamente. As condições gerais de validade do consentimento, tal como previstas na Directiva 95/46/CE, aplicam-se tanto no mundo of-line como no mundo on-line. A Directiva 2002/58/CE especifica estas condições para alguns serviços em linha expressamente identificados, sempre à luz das condições gerais da Directiva da Protecção de Dados Pessoais. III.A Directiva 95/46/CE O conceito de «consentimento da pessoa em causa» é definido no artigo 2.º, alínea h) e, subsequentemente, utilizado nos artigos 7.º, 8.º e 26.º. O papel do consentimento é igualmente mencionado nos considerandos 30 e 45. Estas disposições e todos os detalhes relevantes serão discutidos no presente capítulo. III.A.1. Artigo 2.º, alínea h): Nos termos do disposto no artigo 2.º, alínea h), entende-se por «consentimento da pessoa em causa» «qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam

15 Parecer da Autoridade Europeia para a Protecção de Dados, de 14 de Janeiro de 2011, sobre a Comunicação da

Comissão, subordinada ao tema «Uma abordagem global da protecção de dados pessoais na União Europeia». 16 "O futuro da privacidade: contribuição conjunta para a consulta da Comissão Europeia sobre o quadro legal do direito

fundamental à protecção de dados pessoais", de 1 de Dezembro de 2009, WP 168. 17 Parecer da Autoridade Europeia para a Protecção de Dados, de 14 de Janeiro de 2011, op. cit.

13

objecto de tratamento». Esta definição contém vários elementos-chave, que serão objecto de análise de seguida. «… qualquer… manifestação de vontade ... pela qual …aceita»

Não existem, em princípio, limites quanto à forma que o consentimento pode revestir. No entanto, nos termos da directiva, o consentimento, para ser válido, deve ser uma manifestação de vontade. Ainda que possa ser uma «qualquer» forma de manifestação, deve ser claro exactamente o que é abrangido pela definição de manifestação.

A forma da manifestação (i.e. a forma como é manifestada a vontade) não é definida na directiva. Por razões de flexibilidade, o consentimento «escrito» foi excluído do texto final. Deve sublinhar-se que a directiva admite «qualquer» manifestação de vontade. Isto possibilita um entendimento alargado do âmbito de tal manifestação. A expressão mínima de uma manifestação poderia ser qualquer sinal, suficientemente claro, susceptível de manifestar a vontade da pessoa em causa e de ser entendido pelo responsável pelo tratamento. As palavras «manifestação» e «pela qual... aceita» apontam efectivamente na direcção de ser necessário um acto (por oposição a uma situação em que o consentimento pudesse ser inferido de uma omissão). O consentimento deve incluir uma manifestação de vontade pela qual a pessoa em causa aceita: pode incluir uma assinatura feita pelo próprio punho e aposta no final de um formulário, mas também declarações orais pelas quais a pessoa aceite ou ainda um comportamento a partir do qual se possa razoavelmente inferir que a pessoa consentiu. Para além do exemplo clássico da assinatura, o acto de deixar o cartão de visita pode ser abrangido pela definição. O mesmo se aplica se uma pessoa singular enviar o seu nome e morada para uma organização com o objectivo de obter informações. Neste caso, a sua acção deve ser entendida como um consentimento para o tratamento de dados na medida em que este for necessário para processar e responder ao pedido. No seu parecer sobre a utilização de dados de localização para criar serviços de valor acrescentado (WP115), o Grupo de Trabalho examinou o modo como as pessoas devem dar o seu consentimento para serviços que exigem a sua localização automática (por ex., a possibilidade de utilizar um número de telefone específico para saber as condições meteorológicas do local em que se encontra o utilizador). Neste caso, tem sido reconhecido que, desde que aos utilizadores seja previamente fornecida informação completa sobre o tratamento dos dados que dizem respeito à sua localização, telefonar para o número em causa equivale a dar consentimento para se ser localizado.

Exemplo: Painéis publicitários bluetooth Uma ferramenta publicitária em expansão são os painéis que enviam mensagens solicitando a activação da ligação por bluetooth para as pessoas que passam na zona circundante poderem receber publicidade. As mensagens são enviadas às pessoas que activaram as ligações bluetooth nos seus telemóveis. A mera activação da função bluetooth não constitui um consentimento válido pois a função bluetooth podia encontrar-se activada para outros fins. Por outro lado, quando alguém é informado sobre o serviço e se aproxima com o seu telemóvel do painel ficando apenas a alguns centímetros deste, existe, normalmente, uma manifestação de vontade. Isto demonstra quais as pessoas realmente interessadas em receber a publicidade. Deve considerar-se que apenas estas deram o seu consentimento e apenas estas deveriam receber as mensagens nos seus telemóveis.

14

É questionável se a ausência de um comportamento – ou mesmo um comportamento passivo - pode ser igualmente interpretada como uma manifestação em circunstâncias muito específicas (ou seja, um contexto totalmente inequívoco). O conceito de manifestação é amplo, mas parece ter implícita a necessidade de um acto. Esta interpretação é apoiada por outros elementos da definição de consentimento, bem como pelo requisito adicional previsto no artigo 7.º, alínea a) para que o consentimento seja inequívoco. A exigência de que a pessoa em causa emita uma manifestação «pela qual» aceite parece indicar que a simples omissão não é suficiente e que é exigida alguma forma de acção para que possa existir consentimento, embora sejam admissíveis diversos tipos de actos, consoante o contexto em causa. Na prática, na ausência de um comportamento activo por parte da pessoa em causa, será difícil ao responsável pelo tratamento determinar se o silêncio significa aceitação ou consentimento. Por exemplo, um responsável pelo tratamento de dados pode não ter o grau de certeza necessário para assumir que existe consentimento no seguinte caso. Imaginemos uma situação em que, após enviar uma carta aos clientes a informar que está prevista uma transferência dos seus dados, a não ser que estes se oponham no prazo de duas semanas, apenas 10 % dos clientes respondem. Neste exemplo, é discutível que os 90 % que não responderam tenham efectivamente concordado com a transferência. Neste tipo de casos, o responsável pelo tratamento dos dados não tem qualquer manifestação clara da intenção das pessoas em causa. Para além disso, não dispõe de qualquer prova, pelo que não poderá demonstrar que obteve o consentimento. Na prática, a ambiguidade de uma resposta passiva dificultará o preenchimento dos requisitos da directiva. «… livre …»

O consentimento apenas será válido se a pessoa em causa puder exercer uma verdadeira escolha e não existir nenhum risco de fraude, intimidação, coacção ou consequências negativas importantes se o consentimento for recusado. Se as consequências do consentimento comprometerem a liberdade de escolha da pessoa, o consentimento não será livre. A própria directiva prevê, no artigo 8.º, n.º 2, alínea a), que, em certos casos, a serem determinados pelos Estados-Membros, a proibição de tratamento de categorias especiais de dados pessoais não pode ser ultrapassada pelo consentimento da pessoa em causa.

Um exemplo disto é o caso em que a pessoa em causa está sob a influência do responsável pelo tratamento dos dados, como no caso de um vínculo laboral. Neste exemplo, embora não necessariamente, a pessoa em causa pode encontrar-se numa situação de dependência em relação ao responsável pelo tratamento dos dados - devido à natureza da relação ou a circunstâncias especiais - e pode temer retaliações se não consentir no tratamento dos seus dados.

O Grupo de Trabalho explorou, em diversos pareceres, os limites do consentimento em situações em que este não pode ser prestado de forma livre. São especialmente relevantes os seus pareceres sobre o tratamento de dados pessoais ligados à saúde em registos de saúde electrónicos (WP131), sobre o tratamento de dados no contexto laboral (WP48) e sobre o tratamento de dados pela Agência Mundial Antidopagem (WP162).

15

No documento WP131, o Grupo de Trabalho menciona que «entende-se por “livre” consentimento uma decisão voluntária, tomada por uma pessoa na posse de todas as suas faculdades, sem qualquer tipo de coerção, de carácter social, financeiro, psicológico ou outro. Num contexto médico, o consentimento sob a ameaça de não tratamento ou de tratamento de menor qualidade não pode ser considerado “livre”. Se, em virtude de uma consequência necessária e inevitável, a situação médica exigir que um profissional da saúde trate dados pessoais num sistema RES, não é lícito procurar legitimar este tratamento através de um consentimento. O recurso ao consentimento deve limitar-se a casos em que a pessoa em causa tenha uma liberdade de escolha genuína e possa subsequentemente retirar o consentimento sem correr riscos.» 18 Se, uma vez revogado o consentimento, o tratamento de dados prosseguir com outro fundamento legal, podem ser levantadas dúvidas quanto ao uso original do consentimento como fundamento legal inicial: se o tratamento dos dados podia ter tido lugar desde o início com recurso a outro fundamento legal, apresentar à pessoa singular uma situação na qual lhe é solicitado que consinta no tratamento pode ser considerado enganador ou desleal. Diferente seria se ocorresse uma alteração de circunstâncias, por exemplo, se surgisse um novo fundamento legal no decurso do tratamento, como uma nova lei que regulasse a base de dados em causa. Se este novo fundamento legal se aplicasse validamente ao tratamento de dados, o mesmo poderia prosseguir. No entanto, estas circunstâncias não são frequentes na prática. Em princípio, o consentimento pode ser considerado deficiente se não for permitida uma forma eficaz de revogação do mesmo.

O Grupo de Trabalho adoptou uma posição coerente quanto à interpretação de consentimento livre no contexto laboral19, defendendo que, se o consentimento do trabalhador for necessário e a ausência de consentimento acarretar prejuízos relevantes reais ou potenciais, o consentimento não será válido ao abrigo dos artigos 7.º e 8.º na medida em que não foi prestado de forma livre. Se o trabalhador não tiver a possibilidade de recusar, então não é consentimento. Se o consentimento for uma condição da contratação, a situação poderá ser mais dúbia. O trabalhador pode, em teoria, recusar o consentimento, mas a consequência poderá ser a perda de uma oportunidade de emprego. Em tais circunstâncias, o consentimento não é prestado livremente e, logo, não é válido. A situação é ainda mais clara quando, como é frequentemente o caso, todos os empregadores impõem condições de emprego idênticas ou semelhantes.

Exemplo: Colocação de fotografias numa intranet O consentimento no contexto laboral pode ser válido, conforme é demonstrado pelo seguinte exemplo: uma empresa decide criar uma intranet que conterá os nomes e principais funções dos trabalhadores. É perguntado a cada trabalhador se gostaria de ter a fotografia colocada junto do respectivo nome. As pessoas que pretendem ter a fotografia na intranet são convidadas a enviar uma fotografia para um determinado

18 O documento WP162 sobre a AMA conclui da mesma forma: «As sanções associadas a uma eventual recusa por parte

dos participantes de se sujeitarem às obrigações impostas pelo Código (por exemplo, fornecer documentos sobre a localização) levam o Grupo de Trabalho a considerar que o consentimento não será dado de forma livre».

19 WP48 sobre o tratamento de dados pessoais no âmbito do emprego. WP114 - Documento de trabalho do Grupo de Trabalho do artigo 29.º sobre uma interpretação comum do n.º 1 do artigo 26.º da Directiva 95/46/CE, de 24 de Outubro de 1995 - é igualmente relevante nesta sede.

16

endereço. Tendo a pessoa recebido informação adequada, o acto de enviar a fotografia seria considerado consentimento. Se a empresa tiver fotografias digitais de cada trabalhador e pedir a cada um o seu consentimento para que as mesmas sejam colocadas na intranet para os fins acima mencionados, o acto de cada trabalhador de clicar num botão para prestar o seu consentimento será igualmente considerado um consentimento válido. Em ambos os casos, é inteiramente respeitada a escolha dos trabalhadores sobre se a sua fotografia aparece na intranet ou não.

O contexto laboral requer uma discussão específica: os aspectos culturais e sociais da relação laboral desempenham aqui um papel, bem como a forma como os princípios da protecção de dados interagem com outra legislação. No contexto laboral, os dados pessoais podem ser tratados para vários fins:

o Dados necessários para o exercício das funções pelo trabalhador: aplicação do

artigo 7.º, alínea b) - necessidade para a execução de um contrato o Para determinar o direito dos trabalhadores a adquirir opções de compra de acções:

pode ser considerado tanto com base no consentimento - artigo 7.º, alínea a), ou considerado inerente aos aspectos administrativos da relação contratual de trabalho - artigo 7.º, alínea b)

o Tratamento do número de beneficiário da segurança social para fins de segurança social: artigo 7.º, alínea c) - obrigação legal ou, possivelmente, o artigo 8.º, alínea b) - cumprimento das obrigações no domínio da legislação do trabalho

o Tratamento de dados étnicos: em alguns países, pode consistir igualmente numa obrigação no domínio da legislação do trabalho - artigo 8.º, alínea b), enquanto noutros países seria absolutamente proibido.

Embora possa existir uma forte presunção de que, em tais contextos, o consentimento é frágil, esta presunção não exclui o mesmo, desde que existam garantias suficientes de que é verdadeiramente livre.

Embora a situação de subordinação seja muitas vezes a principal razão que impede que o consentimento seja livre, outros elementos contextuais podem influenciar a decisão da pessoa em causa. Estes podem ter uma dimensão financeira, emocional ou prática. O facto de a recolha de dados ser efectuada por uma autoridade pública pode igualmente ter influência sobre a pessoa em causa. Pode, no entanto, ser difícil distinguir entre os simples incentivos e algo que tem uma real influência na liberdade de escolha da pessoa em causa. Os exemplos indicados de seguida procuram ilustrar a diferente natureza dos esforços ou custos para as pessoas que podem influenciar as suas decisões. Exemplo - Registos de saúde electrónicos Muitos Estados-Membros estão a desenvolver esforços para criar resumos em formato electrónico dos registos de saúde dos pacientes. Isto permitirá aos prestadores de cuidados de saúde ter acesso a informação-chave em qualquer lugar onde o paciente precise de tratamento. - Na primeira hipótese, a criação do resumo do registo médico é absolutamente voluntária e o paciente receberá tratamento quer tenha ou não consentido na criação de um resumo. Neste caso, o consentimento para a criação de um resumo é prestado de forma livre porque o paciente não sofrerá qualquer desvantagem se o consentimento não for prestado ou se for recusado.

17

- Na segunda hipótese, existe um incentivo financeiro moderado à escolha do registo de saúde electrónico. Os pacientes que recusem o registo de saúde electrónico não sofrem nenhuma desvantagem na medida em que os custos permanecem inalterados. Desta forma, poderia considerar-se que, também nesta situação, são livres de dar ou não o seu consentimento para o novo sistema. - Na terceira hipótese, os pacientes que recusem o sistema de registos de saúde electrónicos não só têm que pagar um custo adicional substancial comparado com o sistema de tarifa anteriormente aplicado, como verão o tratamento do seu processo sofrer um atraso considerável, o que se traduz numa clara desvantagem para aqueles que não derem o seu consentimento, que tem por objectivo abranger todos os cidadãos pelo sistema de registos de saúde electrónicos dentro de um determinado prazo. O consentimento não é, assim, suficientemente livre. Nesta medida, deve igualmente ser examinada a existência de outros fundamentos legítimos para o tratamento de dados pessoais ou a aplicação do disposto no artigo 8.º, n.º 3, da Directiva 95/46/CE. Exemplo: Scanners corporais A utilização de scanners corporais em alguns espaços públicos tem vindo a aumentar, em particular no acesso às áreas de embarque dos aeroportos. Tendo em consideração que os dados dos passageiros estão a ser tratados ao mesmo tempo que o scanner é utilizado20, o tratamento deve basear-se num dos fundamentos legais previstos no artigo 7.º. Passar ou não pelos scanners corporais é muitas vezes invocado como uma opção aos passageiros, o que permitiria inferir que o tratamento poderia ser justificado pelo seu consentimento. No entanto, a recusa de passar pelos scanners corporais pode levantar suspeitas ou dar azo a medidas de controlo adicionais, como ser revistado. Muitos passageiros darão o seu consentimento à utilização do scanner porque, ao fazê-lo, evitarão potenciais problemas ou atrasos, uma vez que a prioridade é embarcar a tempo. Este consentimento não é suficientemente livre. Na medida em que deve ser demonstrado que o tratamento é necessário (por razões de segurança pública), o fundamento legal não deve ser o consentimento da alínea a), mas sim um acto do legislador – artigo 7.º, alíneas c) ou e). O fundamento para o scanner corporal deve assim ser a lei: a lei pode ainda prever uma escolha entre o scanner e o controlo manual ; no entanto a escolha seria oferecida à pessoa apenas numa perspectiva complementar, como parte de medidas adicionais.

A natureza do responsável pelo tratamento dos dados pode igualmente ser decisiva no que respeita à escolha do fundamento legal para o tratamento de dados pessoais. Este é particularmente o caso dos responsáveis pelo tratamento inseridos no sector público, em que o tratamento de dados se prende normalmente com o cumprimento de uma obrigação legal, tal como mencionado no artigo 7.º, alínea c) ou com a execução de uma missão de interesse público, conforme mencionado no artigo 7.º, alínea e). A invocação do consentimento da pessoa em causa para legitimar o tratamento de dados não é, assim, o fundamento legal adequado. Isto torna-se especialmente claro no caso do tratamento de dados pessoais por parte de autoridades públicas investidas de poderes de autoridade - tais como as autoridades policiais e judiciárias no exercício das suas funções. As

20 Ver a carta, datada de 11 de Fevereiro de 2009, do Presidente do Grupo de Trabalho do artigo 29.º, dirigida a Daniel

CALLEJA CRESPO, director na DG TREN, relativa aos scanners corporais, em resposta à consulta da Comissão sobre o impacto da utilização de scanners corporais no domínio da segurança aérea nos direitos humanos, privacidade, dignidade pessoal, saúde e protecção de dados pessoais. Disponível em: http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/2009-others_en.htm.

18

autoridades policiais não podem invocar o consentimento da pessoa em causa para medidas não previstas na lei ou que a lei não permitiria. Deve ser reconhecido, no entanto, que, embora os Estados tenham uma obrigação jurídica de fazer o tratamento de certos dados pessoais, nem sempre a pessoa tem o dever de colaborar. Casos poderão existir em que são fornecidos às pessoas «serviços de valor acrescentado» que aquelas podem decidir ou não usar. Contudo, na maioria dos casos, o tratamento é, na verdade, obrigatório. Muitas vezes, não é fácil identificar se o tratamento de dados pessoais por parte das autoridades públicas se baseia legitimamente no consentimento da pessoa em causa. Assim, o tratamento de dados pessoais no sector público envolve frequentemente esquemas híbridos, que podem conduzir a incertezas e abusos se incorrectamente justificados com base no consentimento.

Embora o consentimento possa constituir, em casos excepcionais, um fundamento válido para o tratamento de dados pessoais por parte do Estado, deve ser feita uma verificação cuidadosa, caso a caso, por forma a aferir se o consentimento é, na verdade, suficientemente livre. Como os exemplos seguintes demonstram, quando o responsável pelo tratamento é uma autoridade pública, o fundamento legal para o tratamento será não o consentimento, mas sim o cumprimento de uma obrigação legal ex artigo 7.º, alínea c), ou a execução de uma missão de interesse público ex artigo 7.º, alínea e).

Exemplo: Administração pública electrónica Estão a ser desenvolvidos nos Estados-Membros novos cartões de identidade com funcionalidades electrónicas incorporadas num chip. Pode até ser que não seja obrigatório activar os serviços electrónicos associados ao cartão. No entanto, sem a activação, o utilizador pode ver-se impedido de aceder a alguns serviços administrativos que, de outra forma, seriam muito difíceis de obter (transferência de alguns serviços on-line, redução de horários de abertura ao público de certos serviços). O consentimento não pode ser invocado como o fundamento legal válido para justificar o tratamento. Neste caso, a lei que regulou o desenvolvimento dos serviços em linha, juntamente com as salvaguardas adequadas, deve constituir o fundamento legal relevante.

Exemplo: - (Registos de identificação dos passageiros) PNR Passenger Name Records Tem sido discutida a questão de saber se o consentimento dos passageiros pode ser validamente utilizado para legitimar a transferência dos dados da reserva (dados PNR) das companhias aéreas europeias para as autoridades dos EUA. O Grupo de Trabalho entende que o consentimento dos passageiros não pode ser prestado de forma livre, uma vez que as companhias aéreas estão obrigadas a enviar os dados antes de o avião descolar, pelo que os passageiros não têm, assim, nenhum poder real de escolha sobre se pretendem ou não viajar21. Neste caso, o fundamento legal não é o consentimento do passageiro, mas sim, nos termos do disposto no artigo 7.º, alínea c), as obrigações previstas no acordo entre a UE e os EUA sobre a transferência de dados contidos nos registos de identificação dos passageiros.

21 Ver Parecer 6/2002 do Grupo de Trabalho sobre a transmissão para os Estados Unidos de informações sobre o manifesto

de passageiros e outros dados provenientes das companhias aéreas.

19

Exemplo: Censos nacionais Durante um censo nacional, é solicitado à população que responda a várias perguntas sobre a sua situação pessoal e profissional. A resposta a estas perguntas é obrigatória. Os censos incluem também uma pergunta relativa aos meios de transporte utilizados pela pessoa, cuja resposta está claramente indicada como opcional. Embora seja certo que não existe livre consentimento na maior parte do censo, existe o poder de escolha quanto à resposta a esta última pergunta opcional. Tal não prejudica o facto de que o principal objectivo prosseguido pelo Estado com este questionário é a obtenção de respostas. De uma forma geral, o consentimento não constitui um fundamento jurídico válido neste contexto.

«… específica …»

Para ser válido, o consentimento deve ser específico. Por outras palavras, não é aceitável um consentimento genérico, que não especifique a finalidade exacta do tratamento. Para ser específico, o consentimento deve ser inteligível: deve fazer referência, de forma clara e precisa, ao âmbito e consequências do tratamento de dados. Não pode aplicar-se a um conjunto aberto de actividades de tratamento. Significa isto, por outras palavras, que o consentimento se aplica a um contexto limitado. O consentimento deve ser prestado em relação aos diferentes aspectos do tratamento, claramente identificados, que incluem, nomeadamente, quais os dados objecto de tratamento e quais os fins a que se destinam. Este entendimento deve ser baseado nas expectativas razoáveis das partes. O conceito de «consentimento específico» está, desta forma, intrinsecamente ligado ao facto de o consentimento ter de ser informado. Existe uma exigência de detalhe ou pormenor do consentimento relativamente aos diferentes elementos que compõem o tratamento de dados: não se pode entender que cobre «todos os fins legítimos» prosseguidos pelo responsável pelo tratamento dos dados. O consentimento deve dizer respeito ao tratamento razoável e necessário em relação ao fim a que se destina. Em princípio, bastará aos responsáveis pelo tratamento obter o consentimento uma vez para diferentes actividades, se estas estiverem abrangidas pelas expectativas razoáveis da pessoa em causa. O Tribunal de Justiça proferiu recentemente um acórdão no âmbito de um processo de decisão prejudicial22 relativo ao artigo 12.º, n.º 2, da Directiva da Privacidade Electrónica, no que diz respeito à necessidade de novo consentimento do assinante que já havia prestado o seu consentimento para a publicação dos seus dados numa lista pública para a transferência dos dados pessoais com vista à sua publicação em outras listas públicas. O Tribunal de Justiça entendeu que, tendo um assinante sido informado da possibilidade da transmissão de dados de carácter pessoal que lhe dizem respeito a uma empresa terceira, e tendo esse assinante dado o seu consentimento para a

22 Acórdão do Tribunal de Justiça de 5 de Maio de 2011, Deutsche Telekom AG (Processo C-543/09). Este processo

iniciou-se com um pedido de decisão prejudicial apresentado pelo Tribunal Administrativo Federal alemão respeitante a listas de telecomunicações e, em particular, à interpretação do artigo 25.º, n.º 2, da Directiva Serviço Universal (2002/22/CE e do artigo 12.º, n.º 2, da Directiva Privacidade Electrónica (2002/58/CE). Está particularmente ligado ao papel especial das listas na Directiva Serviço Universal.

20

publicação de tais dados nessa lista, a transmissão desses mesmos dados à outra empresa não deve ser objecto de um novo consentimento pelo assinante, se existir a garantia de que os dados em causa não serão utilizados para fins diferentes daqueles para os quais foram recolhidos com vista à sua primeira publicação (n.º 65).

Um novo consentimento pode ser, no entanto, necessário, se o responsável pelo tratamento pretender fazer o tratamento de dados para fins diferentes. Por exemplo, o consentimento pode ser dado para cobrir tanto informação à pessoa sobre novos produtos como acções promocionais específicas, uma vez que isto poderia ser considerado abrangido pelas expectativas razoáveis da pessoa em causa. Contudo, deve ser exigido um consentimento autónomo e adicional para permitir a transmissão a terceiros dos dados da pessoa. A necessidade de detalhe na obtenção do consentimento deve ser avaliada casuisticamente, dependendo do fim ou fins ou do destinatário dos dados. Importa relembrar que o tratamento de dados pode ser efectuado com base em diversos fundamentos legais: alguns dados podem ser tratados porque são necessários no quadro de um contrato com a pessoa em causa, tais como realização do produto e gestão de serviço e o consentimento específico pode ser necessário para tratamento que extravase o que é necessário para a execução do contrato, designadamente para avaliar a capacidade financeira da pessoa em causa (avaliação de crédito).

O Grupo de Trabalho clarificou este aspecto do consentimento no documento WP131 sobre os registos de saúde electrónicos: consentimento «específico» deve dizer respeito a uma situação bem definida e concreta, em que é ponderado o tratamento de dados médicos. Por conseguinte, um «acordo geral» da pessoa em causa, por exemplo em relação à recolha dos seus dados médicos para um registo de saída electrónico e a transferência subsequente dos dados médicos passados e futuros para profissionais da saúde envolvidos no tratamento não constitui um consentimento nos termos do artigo 2.º, alínea h), da directiva.

A mesma linha de pensamento foi expressa no documento WP115 sobre a utilização de dados de localização para criar serviços de valor acrescentado: «(a) definição elimina explicitamente o consentimento decorrente da aceitação dos termos e das condições gerais que presidem ao serviço de telecomunicações prestado. ... Consoante o tipo de serviço oferecido, o consentimento pode ser relativo a uma operação específica ou a um acordo geral para autorizar uma localização continuadamente.» No acórdão do Tribunal de Justiça referido no capítulo II na secção intitulada «Papel do conceito: fundamento de licitude», ainda que o termo «específico» não seja explicitamente usado, na fundamentação insiste-se igualmente na necessidade do consentimento ser específico ao afirmar-se que «não basta que o contrato de trabalho do interessado remeta para uma convenção colectiva que permita esse prolongamento».

Exemplo: Redes sociais O acesso às redes sociais é frequentemente condicionado à manifestação de um acordo com diversos tipos de tratamento de dados pessoais.

21

Para se registar numa rede social pode ser exigido ao utilizador que concorde em receber publicidade comportamental, sem que haja qualquer especificação adicional ou sejam dadas opções alternativas. Tendo em consideração a importância que algumas redes sociais adquiriram, algumas categorias de utilizadores (como os adolescentes) aceitarão a publicidade comportamental por forma a evitar o risco de serem parcialmente excluídos de interacções sociais. O utilizador deve ser colocado em posição de prestar um consentimento livre e específico para receber publicidade comportamental, independentemente do seu acesso à rede social. Para oferecer essa possibilidade ao utilizador poderia ser utilizada uma janela pop-up. As redes sociais oferecem a possibilidade de usar aplicações externas. O utilizador está, na prática, muitas vezes impedido de usar uma aplicação se não consentir na transmissão dos seus dados para o responsável pelo desenvolvimento da aplicação para vários fins, incluindo a publicidade comportamental e a revenda a terceiros. Tendo em consideração que a aplicação pode ser executada sem que quaisquer dados sejam transferidos para o responsável pelo desenvolvimento da aplicação, o Grupo de Trabalho apela ao detalhe na obtenção do consentimento do utilizador, ou seja, obtendo o consentimento autónomo do utilizador para a transmissão dos seus dados ao responsável pelo desenvolvimento para vários fins. Mecanismos diferentes, tais como as janelas pop-up, poderiam ser utilizados para oferecer a possibilidade de seleccionar a utilização de dados com a qual o utilizador concorda (transmissão para o responsável pelo desenvolvimento, serviços de valor acrescentado, publicidade comportamental, transmissão a terceiros, etc.). A especificidade do consentimento significa também que, se os fins para os quais o tratamento dos dados é efectuado mudarem em determinado momento, o utilizador deve ser informado e ser colocado em posição de poder dar o seu consentimento para o novo tratamento de dados. A informação fornecida deve, em especial, abordar as consequências da recusa face às mudanças propostas.

«… informada …»

O último elemento da definição de consentimento - que, contudo e como veremos de seguida, não é o seu último requisito - é o seu carácter informado.

Os artigos 10.º e 11.º da directiva estabelecem a obrigação de prestação de informação às pessoas em causa. A obrigação de informar é, por conseguinte, distinta, mas, em muitos casos, está obviamente ligada ao consentimento. Embora o consentimento nem sempre se siga à prestação de informação (pode ser utilizado outro fundamento legal previsto no artigo 7.º), deve sempre existir informação antes de poder haver consentimento.

Na prática, isto significa que «o consentimento da pessoa em causa (deve ser) baseado numa apreciação e compreensão dos factos e implicações de uma acção. A pessoa em causa deve receber, de forma clara e compreensível, informações exactas e completas sobre todas as questões pertinentes, designadamente as especificadas nos artigos 10.° e 11.° da Directiva, como a natureza dos dados tratados, as finalidades do tratamento, os

22

destinatários das eventuais transferências e os seus direitos. Isto implica igualmente a consciência das consequências do não consentimento do tratamento em questão»23. Em muitos casos, o consentimento será obtido no momento da recolha de dados pessoais, quando é iniciado o tratamento. Nesta eventualidade, a informação que deve ser prestada coincide com aquela que é enunciada no artigo 10.º da directiva. No entanto, o consentimento pode também ser solicitado «a jusante», quando a finalidade do tratamento muda. Neste caso, a informação que deve ser prestada terá que se concentrar no que é necessário no contexto específico, relativamente à finalidade.

O consentimento informado é particularmente decisivo no contexto das transferências de dados pessoais para países terceiros: «requer que a pessoa em causa seja devidamente informada do risco concreto que acarreta a transferência dos seus dados para um país em que o nível de protecção é inadequado» 24.

Podem ser identificados dois tipos de exigências com vista a assegurar a adequação da informação: • Qualidade da informação - a forma como a informação é prestada (em texto simples, sem uso de gíria, compreensível, evidente) é crucial para avaliar se o consentimento é «informado». A forma como esta informação deve ser prestada depende do contexto: deve ser susceptível de ser entendida por um utilizador médio. • Acessibilidade e visibilidade da informação - a informação deve ser prestada directamente às pessoas. Não basta que a informação esteja «disponível» num qualquer local. O Tribunal de Justiça sublinhou este ponto num acórdão de 200425, no contexto de um contrato de trabalho que incluía condições que não eram expressas, mas para quais era feita uma remissão. A informação deve ser claramente visível (tipo e tamanho das letras), proeminente e completa. Podem ser utilizadas caixas de diálogo para dar informação específica no momento em que é pedido o consentimento. Conforme previamente referido relativamente ao «consentimento específico», as ferramentas de informação on-line são especialmente úteis em relação às redes sociais, com vista a fornecer suficiente detalhe e clareza às configurações de privacidade. Os avisos com vários níveis podem também ser uma ferramenta importante para que seja prestada a informação correcta de uma forma fácil e acessível.

Com o passar do tempo, podem surgir dúvidas sobre se um consentimento que se baseou originariamente em informação válida e suficiente permanece válido. As pessoas mudam de opinião por variadas razões, seja porque as suas escolhas iniciais foram erradas ou por causa duma alteração das circunstâncias, como o amadurecimento de um menor26. É por esta razão que, por uma questão de boa prática, os responsáveis pelo tratamento devem envidar esforços no sentido de, decorrido um certo período de tempo, rever as escolhas das pessoas, designadamente informando-as da sua escolha actual e

23 WP131 - Documento de trabalho sobre o tratamento de dados pessoais ligados à saúde em registos de saúde

electrónicos. 24 WP12 - Documento de trabalho sobre a transferência de dados pessoais para países terceiros: aplicação dos artigos 25.º e

26.º da Directiva comunitária relativa à protecção de dados. Ver também WP114 - Documento de trabalho sobre uma interpretação comum do n.º 1 do artigo 26.º da Directiva 95/46//CE de 24 de Outubro de 1995.

25 Ver nota de rodapé n.º 12 (Capítulo II.2). 26 Documento de trabalho 1/2008 sobre a protecção dos dados pessoais das crianças, WP 147, 18 de Fevereiro de 2008.

23

oferecendo a possibilidade de confirmação ou revogação27. O período relevante deve, evidentemente, depender do contexto e das circunstâncias de cada caso.

Exemplo: Mapeamento da criminalidade Algumas forças policiais estão a considerar publicar mapas ou divulgar outros dados que mostrem onde ocorreram certos tipos de crime. Normalmente, as salvaguardas incorporadas no processo não permitem a publicação de quaisquer dados pessoais relativos às vítimas, uma vez que o crime apenas é ligado a regiões geográficas relativamente amplas. Algumas forças policiais, contudo, pretendem identificar o crime com maior exactidão, quando a vítima dá o seu consentimento para este efeito. Nestes casos, torna-se possível ligar de forma mais precisa a pessoa em causa ao local onde o crime foi praticado. Contudo, não é especificamente dito à vítima que será publicada abertamente na internet informação identificável que lhe é relativa, nem como é que esta informação pode ser utilizada. Por conseguinte, o consentimento não é válido neste caso porque as vítimas podem não compreender inteiramente a medida em que a informação que lhes é relativa é publicada.

Quanto mais complexo for o tratamento de dados, mais pode ser esperado do responsável pelo tratamento. Quanto mais difícil for para um cidadão médio supervisionar e entender todos os elementos do tratamento de dados, maiores devem ser os esforços do responsável pelo tratamento para demonstrar que o consentimento foi obtido com base em informação específica e compreensível. O consentimento, tal como definido no artigo 2.º, alínea h), deve ser interpretado tendo em conta as exigências mencionadas no resto do texto da directiva. O artigo 7.º acrescenta a palavra «inequívoco» aos elementos da definição e o artigo 8.º acrescenta a palavra «explícito» quando o tratamento diga respeito ao tratamento de categorias específicas de dados.

III.A.2. Artigo 7.º, alínea a)

Nos termos do artigo 7.º, alínea a), da directiva, o consentimento inequívoco da pessoa em causa constitui um fundamento legal para o tratamento de dados pessoais. Assim, para ser válido, para além dos critérios estabelecidos no artigo 2.º, alínea h), o consentimento deve também ser inequívoco. Para que o consentimento seja inequívoco, o procedimento para obter e prestar este mesmo consentimento não pode dar azo a qualquer dúvida quando à intenção da pessoa de dar o seu consentimento. Dito de outro modo, a manifestação pela qual a pessoa aceita que os seus dados sejam objecto de tratamento deve ser inequívoca quanto à sua intenção. Se existir uma dúvida razoável quanto à intenção da pessoa, existirá ambiguidade.

Como veremos mais adiante, este requisito obriga os responsáveis pelo tratamento a criar procedimentos rigorosos para as pessoas em causa prestarem o seu consentimento,

27 O Grupo de Trabalho do artigo 29.º fez recomendações semelhantes no Parecer 171 sobre publicidade comportamental

em linha, adoptado em 22.6.2010.

24

nomeadamente procurando obter o consentimento expresso ou baseando-se em tipos de procedimentos a partir dos quais o consentimento possa claramente ser inferido. O responsável pelo tratamento deve também assegurar-se de que a pessoa que presta o consentimento é, efectivamente, a pessoa em causa, o que assume particular relevância quando o consentimento é prestado por telefone pela internet. Relacionado com este assunto surge a questão da prova do consentimento. Os responsáveis pelo tratamento podem desejar ou necessitar de provar que o consentimento foi efectivamente prestado, designadamente numa situação de litígio. Com efeito, em alguns casos, tal prova pode ser exigida no contexto de medidas de aplicação coerciva. Os responsáveis pelo tratamento de dados devem, por conseguinte, e por uma questão de boa prática, gerar e conservar provas de que o consentimento foi efectivamente dado, ou seja, o consentimento deve ser susceptível de verificação.

Iremos agora analisar alguns métodos de prestação de consentimento e avaliar se estes têm ou não como resultado um consentimento inequívoco.

As declarações expressas que indiquem aceitação, como um acordo assinado ou declarações escritas que manifestem a intenção de aceitar, constituem procedimentos ou mecanismos adequados para prestar um consentimento inequívoco. Simultaneamente, estas fornecem ao responsável pelo tratamento dos dados um meio de provar que o consentimento foi obtido.

Exemplo: Consentimento para receber informação promocional pelo correio Um hotel solicita às pessoas que coloquem a sua morada postal num formulário em papel no caso de desejarem receber informação promocional por correio. Se a pessoa, após ter fornecido a informação relativa à sua morada, assinar o formulário, isto consubstanciará o seu consentimento inequívoco. Neste caso, o consentimento será expresso e escrito. Este procedimento fornece ao responsável pelo tratamento prova adequada de que o consentimento foi prestado por todos os clientes, desde que o responsável pelo tratamento guarde todos os formulários assinados.

No entanto, nem todas as formas de consentimento que possam parecer explícitas terão como resultado o consentimento. Esta matéria foi debatida num processo recentemente julgado pelo Tribunal de Justiça (Volker und Markus Schecke/Land Hessen), relativo à publicação dos nomes de beneficiários de vários fundos da UE28 bem como dos montantes recebidos por cada beneficiário. A advogada-geral analisou se estavam reunidas as condições para um consentimento inequívoco, sendo que as pessoas tinham assinado uma declaração que dizia: «Tenho conhecimento de que o artigo 44.°-A do Regulamento (CE) n.º 1290/2005 impõe a publicação de informações sobre os beneficiários de fundos do FEAGA e do FEADER, bem como sobre os montantes recebidos pelos beneficiários.» A advogada-geral concluiu que: «tomar conhecimento da informação prévia de que será efectuada uma qualquer publicação não é o mesmo que dar consentimento “de forma inequívoca” a um certo tipo de publicação bem pormenorizada. Assim como tal também não pode ser descrito como uma “manifestação de vontade, livre específica” da pessoa em causa, na acepção da definição do consentimento do titular dos dados que consta do seu artigo 2. °, alínea h).» A advogada-geral concluiu, por conseguinte, que os recorrentes não tinham

28 Fundo Europeu Agrícola de Garantia (FEAGA) e o Fundo Europeu Agrícola de Desenvolvimento Rural (FEADER).

25

dado o seu consentimento ao tratamento (ou seja, à publicação) dos seus dados pessoais na acepção do artigo 7.º, alínea a), da Directiva 95/46/CE.29 O consentimento expresso pode também ser prestado através da internet. Tal como no mundo off-line, existem modos de dar um consentimento inequívoco, como é ilustrado no exemplo que se segue:

Exemplo: Consentimento prestado através da internet para inscrição num programa de fidelização O sítio web de um hotel inclui um formulário de reserva, que permite às pessoas reservar quartos com antecedência por via electrónica. O formulário on-line, no qual as pessoas inserem as datas da estadia pretendidas e a informação relativa ao pagamento, inclui também uma caixa visível para as pessoas seleccionarem se pretenderem que os seus dados sejam utilizados para a inscrição num programa de fidelização. O acto de seleccionar esta caixa após recepção da informação relevante constituiria consentimento expresso e inequívoco, uma vez que o facto de seleccionar a caixa é suficientemente claro para não deixar qualquer dúvida quanto à intenção da pessoa de se inscrever num programa de fidelização.

O consentimento expresso pode também ser prestado verbalmente, através de declarações que manifestem a aceitação. Seria prestado um consentimento expresso verbal na seguinte situação:

Exemplo: Consentimento verbal para receber informação promocional No acto de pagamento à saída do hotel, o funcionário pergunta se o cliente estará interessado em fornecer a sua morada por forma a que o hotel possa enviar informação promocional. As pessoas que fornecem a sua morada, em resposta ao pedido do funcionário, após terem sido informadas, estarão a dar o seu consentimento expresso. A acção de dar a morada pode constituir uma manifestação inequívoca da vontade da pessoa. O responsável pelo tratamento dos dados pode, contudo, decidir implementar mecanismos mais fiáveis para provar que o consentimento foi efectivamente dado.

Em certas circunstâncias, o consentimento inequívoco pode ser inferido de determinados actos, em especial quando estes actos conduzem à conclusão inequívoca de que o consentimento foi prestado. No entanto, isto dependerá de ter sido fornecida a informação relevante sobre o tratamento de dados que permita à pessoa tomar uma decisão (quem é o responsável pelo tratamento dos dados, quais as finalidades do tratamento, etc.).

29 Conclusões da advogada-geral Eleanor Sharpston, apresentadas em 17 de Junho de 2010, Volker und Markus Schecke

GbR, nos processos apensos C-92/09 e C-93/09. É de notar que o Tribunal de Justiça, no seu acórdão de 9 de Novembro de 2010, decidiu que o tratamento de dados não era baseado no consentimento: «63. A regulamentação em causa da União, que se limita a prever que os beneficiários de ajudas serão informados antes da publicação dos dados que lhes digam respeito, não procura, pois, fundamentar o tratamento de dados pessoais que institui no consentimento dos beneficiários em causa.»

26

Exemplo: Consentimento para ser fotografado Durante o check-in num hotel, o funcionário informa o hóspede que irá decorrer uma sessão fotográfica numa das cafetarias do hotel durante a tarde. Serão seleccionadas imagens para utilização publicitária, em especial em brochuras do hotel. O hóspede é convidado a aparecer na cafetaria durante aquele período de tempo, caso pretenda ser fotografado. Estará disponível uma outra cafetaria para os hóspedes que não desejem ser fotografados. Deve considerar-se que os hóspedes que, tendo sido informados, decidem dirigir-se à cafetaria no decurso da sessão fotográfica, deram o seu consentimento para serem fotografados. O consentimento é inferido da comparência na cafetaria em causa no momento da sessão fotográfica. Neste caso, ir à cafetaria constitui uma manifestação da vontade da pessoa, que pode, em princípio, ser considerada inequívoca na medida em que restam poucas dúvidas quanto ao facto de a pessoa que vai à cafetaria desejar ser fotografada. No entanto, o hotel pode considerar ser mais prudente obter uma prova documental de que o consentimento foi obtido, para o caso da validade de tal consentimento vir a ser contestada no futuro.

Conforme já foi referido, as exigências relativas ao consentimento inequívoco aplicam-se de igual forma no mundo on-line e off-line. O Grupo de Trabalho nota, no entanto, que o risco do consentimento ser ambíguo é maior no mundo on-line, pelo que esta situação requer especial atenção. O exemplo que se segue ilustra um caso em que o consentimento inferido a partir de determinado acto (participação num jogo on-line) não satisfaz os requisitos para poder ser considerado um consentimento válido.

Exemplo: Jogos on-line Um fornecedor de jogos on-line exige aos jogadores que indiquem a sua idade, nome e morada para o efeito de participação num jogo on-line (distribuição de jogadores por idades e moradas). O sítio web contém um aviso, acessível através de uma hiperligação (embora o acesso ao dito aviso não seja necessário para participar no jogo), que indica que, ao utilizar o sítio web (e, logo, ao fornecer a informação), os jogadores consentem no tratamento dos seus dados para efeito de envio de informação comercial, por parte tanto do fornecedor de jogos on-line como de terceiros. O facto da pessoa aceder e participar no jogo não equivale a um consentimento inequívoco para o tratamento posterior da sua informação pessoal para efeitos diversos da participação no jogo. Significa isto que não pode ser inferido da participação no jogo a intenção da pessoa consentir em outro tratamento para além daquele que é estritamente necessário para jogar. Este tipo de comportamento não constitui uma manifestação inequívoca pela qual a pessoa aceita que os seus dados sejam tratados para fins comerciais.

Exemplo: Configurações de privacidade pré-definidas As configurações de privacidade pré-definidas de uma rede social, às quais os utilizadores não têm necessariamente que aceder para utilizar a rede, activam a categoria «amigos de amigos», tornando visível toda a informação pessoal a todos os «amigos de amigos». Os utilizadores que pretendam que a sua informação não seja visualizada por «amigos de amigos» têm de clicar num botão. Se os utilizadores nada

27

fizerem, ou não clicarem no botão, o responsável pelo tratamento considera que o utilizador consentiu que a sua informação fosse visualizada. É, contudo, muito questionável que não clicar no botão signifique que as pessoas em geral consentiram em ter a sua informação visível a todos os «amigos de amigos». Não é certo que uma omissão possa significar consentimento, pelo que não clicar no botão não pode ser considerado um consentimento inequívoco.

O exemplo acima referido ilustra um caso em que a pessoa nada faz (por ex., omissão ou «silêncio»). A exigência de um consentimento inequívoco não se coaduna com procedimentos para obtenção de consentimento baseados numa omissão ou no silêncio das pessoas: ao silêncio ou omissão de uma pessoa está inerente uma ambiguidade (a pessoa em causa pode ter pretendido dar o seu assentimento ou pode simplesmente ter desejado não praticar o acto). Isto é ilustrado no exemplo que se segue: Existe ambiguidade numa situação em que se considere que as pessoas consentiram se não responderam a uma carta em que são informadas que a falta de resposta equivale a consentimento. Neste tipo de situações, o comportamento da pessoa (ou melhor, a falta deste) levanta sérias dúvidas quanto à intenção da pessoa de manifestar o seu consentimento. O facto de a pessoa não ter praticado nenhuma acção não permite concluir que deu o seu consentimento. Assim, não cumpre o requisito do consentimento inequívoco. Por outro lado, como será melhor ilustrado de seguida, será também muito difícil ao responsável pelo tratamento dos dados fazer prova de que a pessoa deu o seu consentimento. O Grupo de Trabalho defendeu a inadequação do consentimento baseado no silêncio da pessoa no contexto do envio de publicidade directa através de mensagens de correio electrónico. «O consentimento implícito para receber tais mensagens não é compatível com a definição de consentimento da Directiva 95/46/CE ..... De modo análogo, as quadrículas assinaladas previamente nos sítios da Web, por exemplo, também não são compatíveis com a definição da directiva.»30. O exemplo que se segue corrobora este entendimento:

Exemplo: Consentimento inválido para utilizações adicionais de dados dos clientesUma livraria on-line envia uma mensagem de correio electrónico aos clientes do seu programa de fidelização informando-os de que os seus dados serão transferidos para uma empresa publicitária que pretende usá-los para efeitos de comercialização. É dado aos utilizadores o prazo de duas semanas para responderem, sendo os mesmos informados de que, na falta de resposta, se considera que houve consentimento para a transferência. Este tipo de mecanismo, em que o consentimento deriva de uma falta de reacção das pessoas, não conduz a um consentimento válido e inequívoco. Não é possível determinar, sem margem para dúvidas, que as pessoas concordaram com a transferência com base na falta de uma resposta.

Decorre do acima exposto que, como consequência da exigência do consentimento ser inequívoco, os responsáveis pelo tratamento dos dados são, na prática, incentivados a implementar procedimentos e mecanismos que não deixem quaisquer dúvidas de que o

30 Parecer 5/2004 sobre as comunicações não solicitadas para fins de comercialização no âmbito do artigo 13.º da Directiva

2002/58/CE, adoptado em 27 de Fevereiro de 2004 (WP90).

28

consentimento foi prestado, seja com base num acto expresso da pessoa, seja inferido a partir de um acto dessa pessoa. Conforme referido anteriormente, por uma questão de boa prática, os responsáveis pelo tratamento dos dados deviam pensar em adoptar medidas e procedimentos adequados para demonstrar que o consentimento foi dado. Quanto mais complexo for o ambiente em que aqueles actuam, mais medidas serão necessárias para assegurar que o consentimento é susceptível de ser verificado. Esta informação deve ser disponibilizada à autoridade de protecção de dados sempre que solicitada. III.A.3. Artigo 8.º, n.º 2, alínea a)

O artigo 8.º da directiva dedica especial atenção a «categorias específicas de dados» que, pela sua natureza, são considerados sensíveis. O tratamento de tais dados é proibido salvo se se aplicar pelo menos uma de várias excepções. O artigo 8.º, n.º 2, alínea a) dispõe que a proibição não se aplica quando a pessoa em causa tiver dado o seu consentimento explícito para esse tratamento.

Em termos jurídicos, entende-se que «consentimento explícito» tem o mesmo significado que «consentimento expresso». Abrange todas as situações em que as pessoas são confrontadas com a oportunidade de dar ou não o seu acordo para um uso especial ou divulgação da informação pessoal que lhes diz respeito e respondem activamente a essa questão, verbalmente ou por escrito. Normalmente, o consentimento explícito ou expresso é dado por escrito, com a aposição de uma assinatura manuscrita. Por exemplo, é dado consentimento explícito quando a pessoa em causa assina uma autorização que estabelece claramente porque é que o responsável pelo tratamento pretende recolher e tratar os dados.

Embora o consentimento explícito seja tradicionalmente prestado por escrito, seja em papel ou electronicamente, conforme exemplificado no capítulo III.A.2, pode igualmente ser prestado verbalmente. Este entendimento é corroborado pelo facto de a exigência da redução a escrito do consentimento ao abrigo do artigo 8.º da directiva ter sido eliminada da versão final da directiva. No entanto, conforme é exemplificado no mesmo capítulo, pode ser difícil provar o consentimento verbal e, por conseguinte, na prática, é aconselhável que os responsáveis pelo tratamento recorram ao consentimento escrito por razões probatórias.

A exigência de um consentimento explícito significa que o consentimento inferido não satisfará, em regra, a exigência do artigo 8.º, n.º 2. Importa relembrar, a este respeito, o parecer do Grupo de Trabalho do artigo 29.º sobre os registos de saúde electrónicos31 onde se lê que: «Contrariamente ao disposto no artigo 7.° da Directiva, o consentimento em relação a dados pessoais sensíveis e, portanto, constantes do registo de saída electrónico, deve ser explícito. As soluções de auto-exclusão (“opt-out”) não satisfazem o requisito de serem “explícitas”.....».

31 WP131 - Documento de trabalho sobre o tratamento de dados pessoais ligados à saúde em registos de saúde electrónicos

(RSE).

29

Exemplo: Dados médicos para investigação No caso em que o paciente é informado por uma clínica que o seu processo médico será transferido para um investigador salvo se o paciente se opuser (telefonando para um determinado número), não se pode considerar satisfeita a exigência de um consentimento explícito.

Conforme referido no capítulo II.A.2, as pessoas podem dar o seu consentimento explícito, verbalmente e também por escrito, através de um acto pela positiva pelo qual aceitem uma forma de tratamento de dados. Num ambiente on-line, o consentimento explícito pode ser dado através de assinaturas electrónicas ou digitais. Contudo, pode também ser dado clicando num botão, dependendo do contexto, enviando mensagens de correio electrónico de confirmação, clicando em ícones, etc.32. O apoio aos procedimentos que implicam um acto pela positiva por parte da pessoa é explicitamente reconhecido no considerando 17 da Directiva da Privacidade Electrónica, onde se pode ler que: «O consentimento do utilizador pode ser dado por qualquer forma adequada que permita obter uma indicação comunicada de livre vontade, específica e informada sobre os seus desejos, incluindo por via informática ao visitar um sítio na internet». O consentimento não tem que ser gravado para ser válido. Contudo, o responsável pelo tratamento tem interesse em conservar provas desse consentimento. Obviamente, a força probatória conferida pelos diferentes mecanismos pode variar. O consentimento obtido clicando num botão, sendo a identidade da pessoa suportada por um endereço de correio electrónico terá muito menos valor probatório do que um processo semelhante suportado, por exemplo, por mecanismos de consentimento graváveis33. A necessidade de provas sólidas dependerá igualmente do tipo de dados recolhidos e da finalidade prosseguida: não será necessária uma assinatura digital para consentir na recepção de ofertas comerciais, mas poderá ser necessária para consentir no tratamento de certos dados financeiros on-line. O consentimento explícito dado através da internet terá que ser gravável para ser acessível em situações futuras.34

Face ao acima exposto, considera-se que os formulários de registo on-line, a serem preenchidos pelas pessoas com a informação relativa à sua identificação e contendo o consentimento para o tratamento de dados, satisfazem a exigência de consentimento explícito, desde que todos os outros requisitos estejam preenchidos. Por exemplo, para abrir um processo médico personalizado on-line, os pacientes podem dar o seu consentimento através do fornecimento dos seus contactos e assinalando uma caixa específica. O uso de métodos de autenticação mais exigentes - por exemplo, as

32 Esta interpretação está de acordo com a legislação da UE, sobretudo a relativa ao comércio electrónico e a uma

utilização mais ampla de assinaturas digitais, que obrigou os Estados-Membros a alterar a legislação que exigia que os documentos fossem «reduzidos a escrito» e «manuscritos» por forma a que os equivalentes electrónicos sejam igualmente aceites, preenchidas determinadas condições.

33 Ver, a este respeito, designadamente as legislações grega e alemã no que toca aos requisitos para prestar consentimento por meios electrónicos, que exigem que o consentimento seja gravado de forma segura e a possibilidade de acesso e revogação por parte do utilizador ou assinante a todo o tempo (artigo 5.º, n.º 3 da Lei grega n.º 3471/2006 relativa à protecção de dados pessoais no sector das comunicações electrónicas; artigo 13.º, n.º 2 da Lei alemã sobre os teleserviços, artigo 94.º da Lei alemã relativa às telecomunicações e o artigo 28.º, n.º 3 da Lei federal alemã da protecção de dados).

34 A análise das condições técnicas que devem ser preenchidas pelos documentos electrónicos e assinaturas digitais por forma a que tenham o mesmo valor probatório dos equivalentes manuscritos está fora do âmbito do presente parecer. Esta matéria extravasa a legislação relativa à protecção de dados e que foi regulada ao nível da UE.

30

assinaturas digitais - conseguirá, obviamente, alcançar o mesmo resultado, constituindo um meio de prova mais forte35.

Em certos casos, os Estados-Membros podem decidir que um determinado tratamento de dados deve ser legitimado com base no consentimento e especificar o tipo de consentimento. Por exemplo, para requerer um cartão de saúde que permite o acesso ao historial médico, os Estados-Membros podem decidir que as pessoas que se registam on-line têm que assinar com uma assinatura digital especial. Esta opção assegurará que o consentimento é expresso; por outro lado, dá ao responsável pelo tratamento uma maior garantia de que poderá produzir prova do consentimento da pessoa. III.A.4. Artigo 26.º, n.º 1

O artigo 26.º, n.º 1, alínea a) prevê o consentimento inequívoco da pessoa em causa como uma excepção à proibição de transferência de dados para um país terceiro que não assegure um nível de protecção adequado. As reflexões feitas a propósito do artigo 7.º, alínea a), têm igualmente aplicação nesta sede. Isto significa que, para além dos requisitos de validade do consentimento ex artigo 2.º, alínea h), o consentimento deve igualmente ser inequívoco. O Grupo de Trabalho do artigo 29.º dedicou um grande esforço a fornecer orientações sobre a aplicação dos artigos 25.º e 26.º da directiva, incluindo a excepção do consentimento. Importa relembrar, a este propósito, o documento WP12 do Grupo de Trabalho36 sobre o significado de consentimento inequívoco: «Uma vez que o consentimento tem de ser inequívoco, qualquer dúvida acerca da sua existência acarretará igualmente a inaplicabilidade da derrogação. É possível que tal signifique que as várias situações em que o consentimento é implícito (nomeadamente, porque a pessoa em causa teve conhecimento da transferência e não apresentou qualquer objecção) não sejam susceptíveis de derrogação».

Face ao acima exposto, é mais provável que se obtenha um consentimento inequívoco quando existe um acto pelo qual a pessoa aceita, pela positiva, a transferência, por exemplo, através da assinatura de uma autorização ou de outros actos que permitam concluir indubitavelmente que o consentimento foi dado. No documento WP 11437 sobre a utilização do consentimento para a transferência de dados, o Grupo de Trabalho afirmou que «o consentimento não é susceptível de facultar um quadro adequado a longo prazo para os responsáveis pelo tratamento, no caso de transferências repetidas ou estruturais para o tratamento em questão. De facto, particularmente se a transferência formar uma parte intrínseca do tratamento principal (centralização de uma base de recursos humanos à escala mundial, por exemplo, que seria alimentada com transferências contínuas e sistemáticas para ser operacional), os responsáveis pelo tratamento chegariam a uma situação insolúvel se uma única pessoa em causa resolvesse retirar o seu consentimento. Ou seja, os dados dessa pessoa

35 Isto deve-se ao facto de se presumir que o uso de certos tipos de assinaturas digitais (assinaturas electrónicas avançadas

baseada num certificado qualificado e que são criadas por um sistema de criação de assinaturas seguras) têm o mesmo valor probatório que as assinaturas escritas.

36 WP12 - Documento de trabalho sobre a transferência de dados pessoais para países terceiros: aplicação dos artigos 25.º e 26.º da directiva comunitária relativa à protecção de dados.

37 Documento de trabalho sobre uma interpretação comum do n.º 1 do artigo 26.º da Directiva 95/46/CE de 24 de Outubro de 1995, adoptado em 25.11.2005.

31

deixariam de ser transferidos; neste caso, a transferência continuaria a basear-se parcialmente no consentimento da pessoa em causa, mas teria que ser encontrada uma solução alternativa (contrato, código de conduta obrigatório, etc.) para os dados das pessoas que tivessem retirado o seu consentimento. Basear-se no consentimento pode revelar-se uma “falsa boa solução”, simples à primeira vista, mas complexa e pouco flexível na realidade.»

III.A.5. Consentimento prestado por pessoas sem capacidade jurídica plena A Directiva 95/46/CE não contém quaisquer disposições especiais sobre a obtenção do consentimento das pessoas sem capacidade jurídica plena, incluindo os menores. É importante que esta realidade seja tomada em conta no contexto da revisão da Directiva da Protecção de Dados Pessoais. Para além das questões levantadas acima, o consentimento destas pessoas apresenta problemas específicos. As condições para o consentimento válido dos menores são diferentes nos vários Estados-Membros. O Grupo de Trabalho do artigo 29.º já analisou várias vezes a questão do consentimento dos menores, tendo investigado as práticas nacionais38.

Os trabalhos anteriores mostram que, quando é pretendido o consentimento dos menores, a lei pode exigir a obtenção do consentimento do menor e do seu representante legal, ou o consentimento exclusivo do menor se este tiver um nível de maturidade suficiente. A idade definidora da aplicação de um ou outra regra varia. Não existem procedimentos harmonizados para verificar a idade de um menor.

A ausência de regras gerais sobre este aspecto conduz a uma abordagem fragmentada e não reconhece a necessidade de uma protecção específica dos menores em circunstâncias especiais, em razão da sua vulnerabilidade e da insegurança jurídica que acarreta, especialmente no que toca ao modo como é obtido o consentimento dos menores. O Grupo de Trabalho considera que a falta de harmonização tem consequências em termos de segurança jurídica. A harmonização das condições que permitem aos incapazes o exercício dos seus direitos ao nível da UE, com especial incidência no limite de idade, traria concerteza garantias adicionais. No entanto, o Grupo de Trabalho está consciente de que esta questão pode ultrapassar o âmbito da protecção de dados, uma vez que se prende de uma forma mais geral com questões de direito civil. O Grupo de Trabalho chama a atenção da Comissão para os desafios que se colocam nesta área.

Além disso, o Grupo de Trabalho do artigo 29.º entende que os interesses dos menores e de outras pessoas sem capacidade jurídica plena seriam melhor protegidos se a directiva contemplasse disposições adicionais que regulassem especialmente a recolha e tratamento dos seus dados. Estas disposições poderiam prever as circunstâncias nas quais é exigido o consentimento do representante legal, simultaneamente ou em substituição do consentimento da pessoa incapaz, bem como as circunstâncias em que não seria possível invocar o consentimento para legitimar o tratamento de dados

38 WP147 - Documento de trabalho 1/2008 sobre a protecção dos dados pessoais das crianças (Orientações gerais e a

situação especial das escolas); WP160 Parecer n.º 2/2009 sobre a protecção dos dados pessoais das crianças (Orientações gerais e a situação especial das escolas).

32

pessoais. Deveria igualmente prever a exigência de utilização de mecanismos de verificação de idade on-line. Existem diversos mecanismos e diversos limites de idade. Por exemplo, a verificação da idade, em vez de ser sujeita a um única regra, podia ser baseada numa abordagem de escala móvel, em que o mecanismo a ser utilizado dependeria das circunstâncias, tais como o tipo de tratamento (as finalidades), risco, tipo de dados recolhidos, utilizações dos dados (se é pretendida a divulgação dos dados), etc.

III.B. Directiva 2002/58/CE

A Directiva da Privacidade Electrónica (Directiva 2002/58/CE), recentemente alterada39, constitui lex specialis face à Directiva 95/46/CE, na medida em que estabelece um regime específico para a privacidade e as comunicações electrónicas. A maioria das suas disposições aplica-se a fornecedores de serviços de comunicações electrónicas disponíveis publicamente (por ex., fornecedores de serviços telefónicos, fornecedores de serviços de internet, etc.).

Algumas das disposições da Directiva da Privacidade Electrónica baseiam-se no consentimento como base jurídica que os fornecedores de serviços de comunicações electrónicas disponíveis publicamente podem invocar para efectuar o tratamento de dados40. É o caso, por exemplo, do uso de dados de tráfego ou de localização. O Grupo de Trabalho do artigo 29.º entende ser útil comentar determinados aspectos relativos à utilização do consentimento ao abrigo da Directiva da Privacidade Electrónica, que se revestem de especial interesse. Para este efeito, serão abordadas as seguintes cinco questões: a) A relação entre a definição e o significado geral do consentimento na Directiva 95/46/CE e na Directiva da Privacidade Electrónica, com base no artigo 2.º, alínea f), da Directiva da Privacidade Electrónica; b) A questão de saber se a violação da confidencialidade das comunicações (por exemplo, a monitorização ou intercepção de uma comunicação telefónica) exige o consentimento de uma ou de ambas as partes envolvidas na comunicação. Esta questão é regulada pelo artigo 6.º, n.º 3 e pelo artigo 5.º, n.º 1; c) A questão relativa ao momento em que o consentimento deve ser obtido. Esta questão é abordada em várias disposições da Directiva da Privacidade Electrónica, incluindo o artigo 5.º, nº 3, e os artigos 6.º e 13.º; d) O âmbito de aplicação do direito de oposição e a sua distinção face ao consentimento. Esta distinção pode ser analisada à luz do artigo 13.º da Directiva da Privacidade Electrónica;

39 Directiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de Novembro de 2009, que altera a Directiva

2002/22/CE relativa ao serviço universal e aos direitos dos utilizadores em matéria de redes e serviços de comunicações electrónicas, a Directiva 2002/58/CE relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas e o Regulamento (CE) n.º 2006/2004 relativo à cooperação entre as autoridades nacionais responsáveis pela aplicação da legislação de defesa do consumidor, de 18.12.2009.

40 Dados de tráfego são quaisquer dados tratados para efeitos do envio de uma comunicação através de uma rede de comunicações electrónicas ou para efeitos da facturação da mesma, incluindo dados relativos ao encaminhamento, à duração, ou ao tempo de uma comunicação.

33

e) A possibilidade de revogar o consentimento expressamente prevista no artigo 6.º, n.º 3 e no artigo 9.º, n.os 3 e 4, da Directiva da Privacidade Electrónica. III.B.1. Artigo 2.º, alínea f) - Consentimento e relação com a Directiva 95/46/CE «consentimento do utilizador ou assinante»

O artigo 2.º da Directiva da Privacidade Electrónica estabelece expressamente que são aplicáveis as definições constantes da Directiva 95/46/CE à Directiva 2002/58/CE. O artigo 2.º, alínea f) dispõe que: «"Consentimento" por parte do utilizador ou assinante significa o consentimento dado pela pessoa a quem dizem respeito os dados, previsto na Directiva 95/46/CE». Significa isto que, sempre que for exigido o consentimento ao abrigo da Directiva da Privacidade Electrónica, os critérios para determinar a validade do consentimento são os estabelecidos na Directiva 95/46/CE, a saber a definição do artigo 2.º, alínea h) e a especificidade incluída no artigo 7.º, alínea a). O entendimento segundo o qual o consentimento na Directiva da Privacidade Electrónica deve ser interpretado à luz dos artigos 2.º, alínea h) e 7.º, alínea a), conjugados, é confirmado no considerando 1741. III.B.2. Artigo 5.º, n.º 1 - Consentimento de uma ou ambas as partes

«… consentimento dos utilizadores em causa …»

O artigo 5.º, n.º 1, da Directiva da Privacidade Electrónica protege a confidencialidade das comunicações ao proibir qualquer forma de intercepção ou vigilância de comunicações sem o consentimento de todos os utilizadores em causa.

Neste caso, o artigo 5.º, n.º 1 exige o consentimento de «todos os utilizadores em causa», ou seja, das duas partes envolvidas na comunicação. Não basta o consentimento de uma das partes.

No contexto da elaboração do Parecer 2/200642, o Grupo de Trabalho do artigo 29.º analisou diversos serviços que implicavam a filtragem do conteúdo das mensagens de correio electrónico e, em alguns casos, a detecção da abertura de correio electrónico. O Grupo de Trabalho expressou a sua preocupação com o facto de, em tais serviços, uma das partes na comunicação não ser informada. Para que estes serviços estejam em conformidade com o artigo 5.º, n.º 1, é necessário o consentimento de ambas as partes envolvidas na comunicação.

41 Onde se pode ler que: «Para efeitos da presente directiva, o consentimento por parte do utilizador ou

assinante, independentemente de este ser uma pessoa singular ou colectiva, deve ter a mesma acepção que o consentimento da pessoa a quem os dados dizem respeito conforme definido e especificado na Directiva 95/46/CE»

42 Parecer 2/2006 sobre a prestação de serviços de filtragem de correio electrónico, adoptado em 21.2.2006 (WP118).

34

III.B.3 Artigos 6.º, n.º 3, 9.º, 13.º e 5.º, n.º 3 - Momento em que é exigido o consentimento

«... com base em informações claras e completas, ...» Várias disposições da Directiva da Privacidade Electrónica contêm linguagem explícita e implícita indicativa de que o consentimento deve ser prévio ao tratamento, o que está em conformidade com a Directiva 95/46/CE. O artigo 6.º, n.º 3, da Directiva da Privacidade Electrónica inclui uma referência explícita ao consentimento prévio do assinante ou utilizador em causa, estabelecendo uma obrigação de fornecimento de informação e obtenção de consentimento prévio antes do tratamento de dados de tráfego para os efeitos de serviços de comunicações electrónicas de comercialização ou serviços de valor acrescentado. Para certos tipos de serviços, o consentimento do assinante pode ser obtido no momento da assinatura do serviço. Noutros casos, poderá ser viável obter o consentimento directamente do utilizador. Abordagem semelhante é adoptada no artigo 9.º relativamente ao tratamento de dados de localização para além dos dados de tráfego. O fornecedor de serviços deve informar os utilizadores ou assinantes - antes de obter o seu consentimento - sobre o tipo de dados de localização para além dos dados de tráfego que serão tratados. O artigo 13.º estabelece a obrigatoriedade de consentimento prévio dos assinantes para a utilização de sistemas de chamada automatizados sem intervenção humana, aparelhos de fax ou correio electrónico para fins de comercialização directa.

O artigo 5.º, n.º 3 contém uma norma específica sobre o armazenamento de informações ou sobre a possibilidade de acesso à informação armazenada no equipamento terminal de um utilizador, incluindo com o objectivo de acompanhar as actividades on-line do utilizador. Embora o artigo 5.º, n.º 3 não utilize o termo «prévio», este resulta claramente da redacção da disposição. Faz todo o sentido que o consentimento seja obtido antes do início do tratamento dos dados. De outra forma, o tratamento efectuado entre o início do tratamento e o momento em que o consentimento é obtido seria ilegal por falta de fundamento legal. Para além disso, em tais casos, se a pessoa decidisse não dar o seu consentimento, qualquer tratamento de dados que já tivesse tido lugar seria, pela mesma razão, ilícito. Decorre do acima exposto que sempre que o consentimento é exigido, este deve ser prévio ao início do tratamento de dados. A possibilidade de iniciar o tratamento sem obtenção de consentimento prévio apenas é lícita quando a Directiva da Protecção de Dados Pessoais ou a Directiva da Privacidade Electrónica, em vez de exigirem o consentimento, preverem um fundamento alternativo e remeterem para o direito de oposição ou de recusar o tratamento. Estes mecanismos distinguem-se claramente do consentimento. Nestes casos, o tratamento pode já ter-se iniciado e a pessoa tem o direito de se opor ou de o recusar. Exemplo disto é o artigo 5.º, n.º 3 da antiga Directiva da Privacidade Electrónica, no qual se podia ler que (sublinhado nosso): «a utilização de redes de comunicações electrónicas para a armazenagem de informações ou para obter acesso à informação armazenada no equipamento terminal de um assinante ou utilizador só seja permitida na condição de serem fornecidas ao assinante ou ao utilizador em causa informações

35

claras e completas, nomeadamente sobre os objectivos do processamento, em conformidade com a Directiva 95/46/CE, e de lhe ter sido dado, pelo controlador dos dados, o direito de recusar esse processamento.» Esta redacção do artigo 5.º, n.º 3, da Directiva da Privacidade Electrónica deve ser comparada com a nova redacção que lhe foi dada pela Directiva 2009/136/CE43: «(...) o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador só sejam permitidos se este tiver dado o seu consentimento prévio (...)». As consequências desta alteração na redacção do artigo 5.º, n.º 3 foram explicadas pelo Grupo de Trabalho do artigo 29.º no seu parecer 2/2010 sobre publicidade comportamental on-line44. A diferença entre a recusa e o consentimento é explorada em mais profundidade no próximo capítulo.

Em muitos dos casos em que a Directiva da Privacidade Electrónica ou Directiva da Protecção de Dados Pessoais prevêem a possibilidade de recusa do tratamento de dados, isso deve-se ao facto do fundamento legal ser outro que não o consentimento, como, por exemplo, um contrato. Isto é ilustrado de forma mais aprofundada na próxima secção, que se debruça sobre o artigo 13.º da Directiva da Privacidade Electrónica. III.B.4. Artigo 13.º, n.º 2 e n.º 3 – direito de oposição e distinção entre o direito de oposição e o consentimento

«…desde que aos clientes tenha sido dada clara e distintamente a possibilidade de recusarem …» O artigo 13.º da Directiva da Privacidade Electrónica prevê a utilização do consentimento para o envio legal de comunicações electrónicas para fins de comercialização, e fá-lo com base num princípio geral e numa disposição específica.

A referida disposição exige o consentimento prévio da pessoa em causa para a utilização de sistemas de chamada e de comunicação automatizados, de aparelhos de fax ou de correio electrónico.

Se o destinatário da comunicação comercial for um cliente já existente e a comunicação se destinar à comercialização dos seus próprios produtos ou serviços análogos, não é necessário o consentimento, bastando que seja assegurado «que aos clientes tenha sido dada clara e distintamente a possibilidade de recusarem» ex artigo 13.º, n.º 2. No considerando 41, encontramos a razão pela qual o legislador não exigiu, neste caso, o consentimento: «No contexto de uma relação comercial existente, é razoável permitir a utilização de coordenadas electrónicas do contacto para a oferta de produtos ou serviços análogos». Assim, em princípio, a relação contratual entre a pessoa e o

43 Directiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de Novembro de 2009, que altera a Directiva

2002/22/CE relativa ao serviço universal e aos direitos dos utilizadores em matéria de redes e serviços de comunicações electrónicas, a Directiva 2002/58/CE relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas e o Regulamento (CE) n.º 2006/2004 relativo à cooperação entre as autoridades nacionais responsáveis pela aplicação da legislação de defesa do consumidor (Texto relevante para efeito do EEE), JO L 337, 18/12/2009 P. 0011 - 0036

44 Parecer de 22 de Junho de 2010, WP 171: a questão de saber se o consentimento pode ser manifestado através «do uso dos parâmetros adequados do programa de navegação ou de outra aplicação» [considerando 66 da Directiva 2009/136/CE] é directamente abordada no ponto 4.1.1 do documento WP 171.

36

fornecedor de serviços é o fundamento legal que permite o primeiro contacto através de correio electrónico. No entanto, deve ser dada às pessoas a oportunidade de se oporem a mais contactos. Conforme o Grupo de Trabalho já indicou: «Deverá continuar a ser-lhe dada gratuitamente essa oportunidade em todas as subsequentes mensagens de comercialização directa, excepto no que diz respeito a eventuais custos para a transmissão dessa recusa»".45 A necessidade de consentimento deve ser distinguida deste direito de oposição. Como foi ilustrado no capítulo III.A.2 acima, o consentimento baseado na omissão da pessoa, por exemplo, através de caixas assinaladas previamente, não consubstancia um consentimento válido nos termos da Directiva 95/46/CE. A mesma conclusão é aplicável aos programas de navegação cuja configuração pré-definida permite que os utilizadores sejam visados (através da utilização de testemunhos de conexão, ou «cookies»). Isto foi clarificado na nova redacção do artigo 5.º, n.º 3 citado supra no capítulo III.B.3. Em nenhum dos exemplos é satisfeita a exigência de uma manifestação de vontade inequívoca. É essencial que à pessoa em causa seja dada a oportunidade de tomar uma decisão e de a manifestar, por exemplo, seleccionando uma caixa, face aos fins do tratamento de dados. No seu parecer sobre publicidade comportamental, o Grupo de Trabalho concluiu que «parece fundamental que os referidos programas estejam pré-configurados para proteger a privacidade ou, por outras palavras, que a configuração pré-definida seja a de “não aceitação e não transmissão de testemunhos de terceiros”. Para complementar e tornar esta medida mais eficaz, os programas de navegação deveriam lançar automaticamente um assistente de privacidade aquando da sua instalação ou actualização e prever um modo fácil de escolher a opção desejada durante a utilização.»46.

III.B.5. Artigos 6.º, n.º 3 e 9.º, n.º 4 - possibilidade de revogar o consentimento

«… possibilidade aos utilizadores ou assinantes de retirarem a qualquer momento o seu consentimento …»

A possibilidade de revogar o consentimento, que está implícita na Directiva 95/46/CE, é acolhida em várias disposições da Directiva da Privacidade Electrónica. Isto foi expressamente afirmado no parecer do Grupo de Trabalho sobre a utilização de dados de localização para criar serviços de valor acrescentado47:

«Nos termos do artigo 9.º da Directiva 2002/58/CE, as pessoas que deram o consentimento para que sejam tratados dados de localização além dos dados de tráfego têm o direito de retractação a todo e qualquer momento e a possibilidade, fácil e grátis, de recusar temporariamente o tratamento desses dados. O Grupo de Trabalho considera que estes direitos — que podem ser exercidos recorrendo ao direito de objectar ao tratamento de dados de localização — são essenciais, dada a natureza sensível deste tipo de dados. O Grupo de Trabalho considera que a informação

45 Parecer 5/2004 sobre as comunicações não solicitadas para fins de comercialização no âmbito do artigo 13.º da Directiva

2002/58/CE, adoptado em 27.2.2004. 46 Parecer de 22.06. 2010, WP 171, op.cit. 47 Parecer 5/2005 sobre a utilização de dados de localização para criar serviços de valor acrescentado, adoptado em

25.11.2005 (WP115).

37

contínua das pessoas constitui um requisito prévio para o exercício destes direitos, não só na altura em que se tornam assinantes de um serviço, mas também quando o utilizam. Sempre que um serviço depende do tratamento contínuo de dados de localização, o Grupo de Trabalho é do parecer que o prestador deve relembrar regularmente aos seus clientes que o equipamento terminal que utilizam foi, é, virá ou poderá vir a ser localizado. Desta forma, facultará aos clientes o exercício do direito de retractação previsto no artigo 9.º da Directiva 2002/58/CE, se estes assim o entenderem.» Conforme acima referido, isto implica que a revogação é exercida para o futuro e não para o tratamento de dados que teve lugar no passado, durante o período em que os dados foram legitimamente recolhidos. As decisões ou os processos adoptados anteriormente com base nesta informação não podem, por conseguinte, ser simplesmente anulados. No entanto, se não existir nenhum outro fundamento legal que justifique a continuação do armazenamento dos dados, o responsável pelo tratamento deve proceder à sua eliminação.

IV. Conclusões

O presente parecer debruça-se sobre o quadro normativo relativo à utilização do consentimento ao abrigo das Directivas 95/46/CE e 2002/58/CE e tem um duplo objectivo: em primeiro lugar, clarificar os requisitos legais em vigor e ilustrar a sua aplicação prática e, simultaneamente, analisar a adequação do quadro normativo em vigor à luz das inúmeras novas formas de tratamento de dados pessoais, bem como apurar se aquele quadro normativo carece de alterações. IV.1. Clarificação dos aspectos-chave do quadro normativo actual

O artigo 2.º, alínea h), da Directiva 95/46/CE define consentimento como «qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam objecto de tratamento». O artigo 7.º da directiva, que estabelece a base jurídica para o tratamento de dados pessoais, prevê o consentimento inequívoco como um dos fundamentos legais. O artigo 8.º requer o consentimento explícito como um fundamento legal para o tratamento de dados sensíveis. O artigo 26.º, n.º 1, da Directiva 95/46/CE, assim como várias disposições da Directiva da Privacidade Electrónica, requerem o consentimento para que possam ser realizadas actividades de tratamento de dados específicas no seu âmbito de aplicação. Os pontos desenvolvidos no presente parecer visam clarificar os vários elementos deste quadro normativo numa tentativa de facilitar a sua aplicação pelas partes interessadas em geral.

Elementos/observações de carácter geral

• O consentimento é um dos seis fundamentos legais para o tratamento de dados pessoais (um de cinco no caso dos dados sensíveis); é um fundamento importante, uma vez que confere algum controlo à pessoa em causa relativamente ao tratamento dos dados que lhe dizem respeito. A relevância do consentimento como um factor da autonomia e autodeterminação da pessoa baseia-se no seu uso no contexto certo, estando reunidos os elementos necessários.

38

• De uma forma geral, o quadro normativo da Directiva 95/46/CE aplica-se sempre que o consentimento é requerido, independentemente de tal acontecer on-line ou off-line. Por exemplo, são aplicáveis as mesmas regras se um vendedor de tijolos e argamassa quiser obter inscrições para um programa de fidelização através da assinatura de uma autorização em papel ou se o fizer no seu sítio web. Acresce que a Directiva da Privacidade Electrónica especifica certos tipos de tratamento de dados que estão sujeitos ao consentimento: prendem-se maioritariamente com o tratamento de dados relativos à prestação de serviços de comunicações electrónicas publicamente disponíveis. As condições de validade do consentimento no contexto da Directiva 2002/58/CE são as mesmas da Directiva 95/46/CE.

• As situações em que os responsáveis pelo tratamento dos dados recorrem ao consentimento como fundamento legal dos dados não devem ser confundidas com as situações em que o responsável pelo tratamento baseia o tratamento em outros fundamentos legais que acarretam o direito de oposição da pessoa em causa. Este pode ser, designadamente, o caso quando o tratamento se baseie em «interesses legítimos» do responsável pelo tratamento ao abrigo do artigo 7.º, alínea f), da Directiva 95/46/CE, sendo atribuído à pessoa em causa o direito de oposição ex artigo 14.º, alínea a), da Directiva 95/46/CE. Outro exemplo será o caso em que um responsável pelo tratamento envia mensagens de correio electrónico aos seus clientes para venda dos seus próprios produtos ou serviços análogos tendo, no entanto, as pessoas em causa, o direito de oposição nos termos do artigo 13.º, n.º 2, da Directiva 2002/58/CE. Em ambos os casos, a pessoa em causa tem o direito de se opor ao tratamento dos dados, o que é distinto do consentimento.

• Ao basear-se no consentimento para tratar os dados pessoais, o responsável pelo tratamento não fica exonerado da obrigação de preencher os demais requisitos do quadro normativo da protecção de dados, designadamente a observância do princípio da proporcionalidade, nos termos do artigo 6.º,n.º 1, alínea c), a segurança do tratamento ex artigo 17.º, etc.

• O consentimento válido pressupõe a capacidade do indivíduo para consentir. As normas relativas à capacidade para prestar consentimento não se encontram harmonizadas e podem, por conseguinte, variar entre os Estados-Membros.

• As pessoas que deram o seu consentimento devem ter a possibilidade de o revogar, evitando que o tratamento dos seus dados continue. A Directiva da Privacidade Electrónica confirma isto em relação ao tratamento de dados específicos baseado no consentimento, designadamente o tratamento de dados de localização para além dos dados de tráfego.

• O consentimento deve ser prestado antes do início do tratamento de dados, mas pode também ser necessário no decurso do tratamento, sempre que exista um novo objectivo. A Directiva 2002/58/CE sublinha este aspecto em várias das suas disposições, quer através da exigência expressa de um consentimento «prévio» (por ex., artigo 6.º, n.º 3) ou através da redacção das disposições (por ex., artigo 5.º, n.º 3).

Elementos específicos do quadro normativo relativos ao consentimento

• Para ser válido, o consentimento deve ser prestado de forma livre. Significa isto que não pode existir risco de fraude, intimidação ou consequências negativas

39

importantes para a pessoa em causa se esta recusar o seu consentimento. As actividades de tratamento de dados no ambiente laboral, em que existe o elemento da subordinação, bem como no contexto de serviços públicos, tais como a saúde, poderão exigir uma avaliação cuidadosa da liberdade das pessoas para darem o seu consentimento.

• O consentimento deve ser específico. Um consentimento genérico, que não especifique as finalidades exactas do tratamento, não satisfaz este requisito. A informação relativa ao consentimento, em vez de ser inserida nas condições gerais de um contrato, deve ser objecto de cláusulas específicas, separadas dos termos e condições gerais do contrato.

• O consentimento deve ser informado. Os artigos 10.º e 11.º da directiva enunciam o tipo de informação que deve obrigatoriamente ser fornecida às pessoas em causa. Em qualquer das circunstâncias, a informação prestada deve ser suficiente para garantir que as pessoas podem tomar decisões informadas sobre o tratamento dos dados pessoais que lhes dizem respeito. A necessidade de o consentimento ser informado traduz-se em dois requisitos adicionais. Em primeiro lugar, a forma como a informação é prestada deve assegurar a utilização de linguagem adequada por forma a que as pessoas em causa entendam o objecto e fins do consentimento, o que pode variar em função do contexto. A informação prestada através da utilização de linguagem jurídica ou técnica demasiado complexa não cumprirá as exigências da legislação. Em segundo lugar, a informação fornecida aos utilizadores deve ser clara e suficientemente evidente para que não possa passar despercebida aos utilizadores. A informação deve ser prestada directamente às pessoas, não bastando ser disponibilizada num qualquer local.

• Relativamente à forma pela qual o consentimento deve ser prestado, o artigo 8.º, n.º 2, exige, para o tratamento de dados pessoais sensíveis, um consentimento explícito, o que significa uma resposta activa, verbal ou por escrito, pela qual a pessoa aceita o tratamento, para determinados fins, dos dados pessoais que lhe dizem respeito. Por conseguinte, não pode ser obtido consentimento expresso através de uma caixa assinalada previamente. A pessoa em causa deve praticar um acto pela positiva que manifeste o seu consentimento e deve, por outro lado, ser livre para recusar o seu consentimento.

• Para os dados não considerados como sensíveis, o artigo 7.º, alínea a), exige que o consentimento seja inequívoco, o que obriga ao uso de mecanismos para obter o consentimento que não deixem qualquer dúvida de que a pessoa em causa teve a intenção de dar o seu consentimento. Em termos práticos, esta disposição dá espaço de manobra aos responsáveis pelo tratamento para utilizarem diversos tipos de mecanismos de obtenção de consentimento, que podem ir desde declarações que manifestem o consentimento (consentimento expresso) até mecanismos que se baseiem em actos que visem manifestar a aceitação.

• O consentimento baseado na omissão ou silêncio de uma pessoa normalmente não consubstanciará um consentimento válido, especialmente num contexto on-line. Esta questão coloca-se, em especial, relativamente ao uso de configurações pré-definidas, que têm de ser alteradas pela pessoa em causa para rejeitar o tratamento. Este é o caso, por exemplo, da utilização de caixas assinaladas previamente ou dos motores de navegação cujas configurações pré-definidas permitem a recolha de dados.

40

IV.2 Avaliação do quadro normativo actual e eventual necessidade de alterações

Avaliação global O Grupo de Trabalho entende que o quadro normativo actual relativo à protecção de dados contém um conjunto de normas bem concebido que regulam as condições de validade do consentimento com vista à legitimação das actividades de tratamento de dados pessoais. Estas aplicam-se tanto em ambientes off-line como on-line. Mais especificamente: O quadro normativo alcança o equilíbrio de uma série de aspectos preocupantes. Por um lado, assegura que apenas o consentimento genuíno e informado é considerado como tal. A este respeito, o facto de o artigo 2.º, alínea h), exigir expressamente que o consentimento seja prestado através de uma manifestação livre, específica e informada é relevante e satisfatório. Por outro lado, este requisito não é rígido, fornecendo, pelo contrário, suficiente flexibilidade e evitando normas específicas do ponto de vista tecnológico. Isto é ilustrado na mesma disposição – artigo 2.º, alínea h) - que define o consentimento como qualquer manifestação da vontade da pessoa em causa, o que proporciona uma margem de manobra suficiente em termos das formas que essa manifestação pode assumir. Os artigos 7.º e 8.º, que exigem, respectivamente, consentimento inequívoco e explícito, são bons exemplos da necessidade de equilíbrio entre as duas preocupações, permitindo flexibilidade e evitando estruturas demasiado rígidas ao mesmo tempo que garantem protecção.

O resultado é um quadro normativo que, se for aplicado e executado de forma adequada, é capaz de acompanhar a grande variedade de actividades de tratamento de dados que muitas vezes resultam dos desenvolvimentos tecnológicos.

Na prática, contudo, nem sempre é fácil estabelecer as situações em que o consentimento é necessário e, em especial, os requisitos de validade do consentimento, incluindo a forma de aplicação concreta dos mesmos, o que se deve à falta de uniformidade entre os Estados-Membros. A execução ao nível nacional resultou em abordagens diferentes. Durante as discussões no âmbito do Grupo de Trabalho do artigo 29.º que conduziram ao presente parecer, foram identificadas mais deficiências, que são descritas em maior detalhe de seguida.

Alterações eventuais

• O conceito de consentimento inequívoco é útil para a criação de um sistema que não seja demasiado rígido, mas forneça uma protecção firme. Embora tenha o potencial para conduzir a um sistema razoável, o seu significado é, lamentavelmente, muitas vezes mal entendido ou simplesmente ignorado. Embora as indicações e exemplos desenvolvidos acima devessem contribuir para reforçar a segurança jurídica e a protecção dos direitos das pessoas quando o consentimento serve de fundamento legal, a situação acima indicada parece carecer de algumas alterações.

• O Grupo de Trabalho do artigo 29.º considera, em especial, que a redacção em si («inequívoco») beneficiaria com uma clarificação adicional no âmbito da revisão do quadro normativo geral da protecção de dados. A clarificação deveria procurar sublinhar que o requisito do consentimento inequívoco obriga ao uso de mecanismos que não deixem qualquer dúvida de que a pessoa em causa teve a intenção de dar o seu consentimento. Simultaneamente, deve ser clarificado que a utilização de

41

configurações pré-definidas, que têm de ser alteradas pela pessoa em causa para rejeitar o tratamento (consentimento baseado no silêncio) não conduzem a um consentimento inequívoco. Isto é especialmente verdade num ambiente em linha.

• Para além da clarificação descrita acima, o Grupo de Trabalho do artigo 29.º sugere o seguinte:

i. Em primeiro lugar, incluir na definição de consentimento do artigo 2.º, alínea h), do termo «inequívoco» (ou outro equivalente) por forma a reforçar a ideia de que apenas o consentimento baseado em declarações ou actos que signifiquem aceitação consubstancia um consentimento válido. Para além de acrescentar clareza, alinharia o conceito do artigo 2.º, alínea h), com os requisitos de validade do consentimento constantes do artigo 7.º. Acresce que o significado do termo «inequívoco» poderia ser objecto de explicação mais aprofundada num dos considerandos do futuro quadro normativo.

ii. Em segundo lugar, no contexto de uma obrigação genérica de responsabilização, os responsáveis pelo tratamento devem estar em posição de demonstrar que o consentimento foi obtido. Com efeito, se o ónus da prova for reforçado de forma a que os responsáveis pelo tratamento sejam obrigados a demonstrar que, efectivamente, obtiveram o consentimento da pessoa em causa, serão compelidos a pôr em prática práticas e mecanismos de obtenção e prova de consentimento inequívoco. O tipo de mecanismos dependerá do contexto e deverá tomar em conta os factos e circunstâncias do tratamento, em especial os seus riscos.

• O Grupo de Trabalho do artigo 29.º não está convencido de que o quadro normativo actual devesse exigir o consentimento explícito como regra geral para todas as actividades de tratamento de dados, incluindo aquelas que são abrangidas pelo artigo 7.º da directiva. Entende que tanto o consentimento inequívoco, que inclui o consentimento explícito, como o consentimento que resulta de actos inequívocos devem continuar a ser aceitáveis. A escolha proporciona maior flexibilidade aos responsáveis pelo tratamento na obtenção do consentimento e o procedimento global poderá ser mais rápido e mais simples.

• Vários aspectos do quadro normativo aplicáveis ao consentimento são deduzidos do texto, de antecedentes legislativos ou desenvolvidos através da jurisprudência e dos pareceres do Grupo de Trabalho do artigo 29.º. A inclusão de tais aspectos, de forma expressa, no novo quadro normativo da protecção de dados conferiria uma maior segurança jurídica. Poderiam ser tidos em conta os seguintes pontos:

i. A inclusão de uma cláusula que preveja expressamente o direito de revogação do consentimento.

ii. O reforço da noção de que o consentimento deve ser dado antes do início do tratamento dos dados, ou antes de qualquer uso adicional dos dados para fins que não estavam inicialmente cobertos por um consentimento inicial, sempre que não exista outro fundamento legal para o tratamento.

42

iii. A inclusão de requisitos explícitos relativos à qualidade (obrigação de prestar informação sobre o tratamento de dados de forma fácil de entender, em linguagem clara e simples) e acessibilidade da informação (obrigação da informação ser evidente, bem visível e directamente acessível). Isto é vital para permitir às pessoas tomarem decisões informadas.

• Finalmente, no que diz respeito às pessoas sem capacidade jurídica, poderiam ser previstas disposições que assegurassem uma protecção reforçada, incluindo:

i. Clarificação das situações em que é necessário o consentimento dos pais ou representantes legais de uma pessoa incapaz, incluindo o limite de idade abaixo do qual esse consentimento é obrigatório.

ii. Estabelecimento da obrigação de utilização de mecanismos de verificação de idade, que podem depender consoante a idade do menor, o tipo de tratamento, se este apresenta riscos especiais e se a informação será conservada pelo responsável pelo tratamento ou disponibilizada a terceiros;

iii. Exigência de adaptação da informação aos menores, facilitando o entendimento dos menores face ao que significa a recolha dos seus dados e, por conseguinte, a prestação do seu consentimento;

iv. Criação de salvaguardas específicas que identifiquem as actividades de tratamento de dados, como a publicidade comportamental, em que não deveria ser possível invocar o consentimento para legitimar o tratamento de dados pessoais.

O Grupo de Trabalho do artigo 29.º irá reanalisar a questão do consentimento. Concretamente, as autoridades de protecção de dados pessoais, bem como o Grupo de Trabalho poderão decidir, numa fase posterior, redigir orientações para desenvolver o presente parecer, fornecendo exemplos práticos adicionais relacionados com a utilização do consentimento.

Feito em Bruxelas, em 13 de Julho de 2011 Pelo Grupo de Trabalho O Presidente Jacob KOHNSTAMM