Por Inês Rocha (Jornalista), Rodrigo Machado (Ilustração e grafismo vídeo)
19 abril, 2022
- Serviços públicos não respondem ou respondem com atraso
- “É mesmo muito grave”, diz CNPD
- Portal das Finanças não cumpre RGPD
- A falta de transparência da Linha Andante
- Como se faz o pedido?
- TAP dificulta o processo
- Empresas confundem direitos
- Quanto tempo demora?
- Em que formato chegam os dados?
- O caminho dos dados
- “Esta área precisa de investimento”
- O controlo que o RGPD dá é “ilusório”?
- Nota metodológica
Três em cada 10 empresas não respondem a pedidos de acesso a dados ou respondem com atraso. Estão assim a violar um direito do titular dos dados, previsto no Regulamento Geral de Proteção de Dados (RGPD), que, para este incumprimento, prevê coimas até 20 milhões de euros ou, no caso de uma empresa, até 4% do seu volume de negócios anual, consoante o montante mais elevado. É o resultado de uma análise feita a 72 entidades, públicas e privadas, no último ano.
Dos pedidos analisados, 21% das entidades não responderam ou não apresentavam forma de fazer o pedido de acesso aos dados. Já 8% das organizações deram uma resposta, mas demoraram mais do que o prazo previsto no RGPD. Três entidades (4,2%) responderam, mas a resposta não foi de encontro ao pedido - houve, por exemplo, quem apagasse os meus dados, sem que o tivesse pedido.
O objetivo desta investigação era perceber se, quase quatro anos depois de o RGPD ter entrado em vigor, a privacidade entra nas prioridades das organizações e se estas dão efetivamente resposta aos direitos dos titulares dos dados.
O exercício era simples: sem me apresentar como jornalista, exercer o meu direito de acesso - um dos direitos previstos no regulamento europeu, mas também inscrito na Constituição Portuguesa desde 1976 - e avaliar as respostas.
Na amostra incluí 72 organizações, públicas e privadas, portuguesas e internacionais - desde as mais óbvias, usadas por grande parte da população mundial, como as gigantes tecnológicas, a serviços portugueses, públicos e privados. Seguradoras, retalhistas, empresas de transportes públicos, entre outros. Incluí também serviços que alguma vez tiveram acesso aos meus dados através de terceiros e “data brokers”, empresas que gerem e vendem dados, para perceber se efetivamente guardavam informação sobre mim.
Para saber mais sobre como foi feito este trabalho, veja a Nota Metodológica
Metade dos serviços públicos não cumpre a lei
Se olharmos apenas para os serviços públicos, entre os oito pedidos de acesso feitos a entidades públicas, o panorama é particularmente grave, com metade a não cumprir a lei neste processo. Três das oito entidades não responderam ao pedido de acesso ou não ofereciam uma forma de o fazer.
No caso do site das Finanças, que não apresentava uma forma de fazer o pedido, fiz um pedido de esclarecimento sobre como exercer os meus direitos, ao qual não recebi resposta. No caso da TAP, que exigia o envio de carta registada, pedi esclarecimentos sobre como fazer o pedido online - também não recebi resposta.
Veja também
Pedi os meus dados a 70 empresas. Isto é o que elas sabem sobre mim
Sites públicos ajudam a construir perfis para nos adaptar publicidade
E se pudéssemos controlar (mesmo) os nossos dados pessoais?
Como se faz um pedido de acesso a dados?
Os Serviços Partilhados do Ministério da Saúde (SPMS), que gerem os dados dos portugueses no portal do SNS24, também não responderam ao pedido de acesso.
A Comboios de Portugal (CP) respondeu após um total 176 dias (quase seis meses), não tendo cumprido o prazo de 30 dias previsto no RGPD. Inicialmente, a entidade pedia a entrega de um formulário numa estação, acompanhado do cartão de cidadão, para efetivar o pedido de acesso. Quando questionei se poderia entregar o formulário assinado com Chave Móvel Digital, a organização respondeu que podia, “excecionalmente”, aceitar.
Dois meses após entregar o formulário, fui informada que o encarregado de Proteção de Dados tinha deixado o cargo. A nova encarregada atendeu então o pedido, demorando mais dois meses a dar resposta.
No Governo que entrou em funções no final de março, a área da Digitalização e Modernização Administrativa passou a estar sob a alçada do gabinete do primeiro-ministro. Pedi uma entrevista ao secretário de Estado Mário Campolargo sobre os resultados desta investigação, que recusou prestar declarações sobre o assunto de momento.
Entre as empresas privadas que não responderam ao pedido estão serviços como Rede de Expressos, Tranquilidade, Iberdrola, mas também Glovo, Zomato, Remax e Casa Sapo. A não responder houve ainda empresas de telemarketing, Data Brokers e ainda um site de divulgação de empregos, “jobsOffer”.
No caso da Imovirtual, o processo foi diferente. Na área privada do site, a empresa oferece ao utilizador uma forma de fazer download dos seus dados. No entanto, o botão nunca funcionou. Pedi esclarecimentos à empresa, que respondeu, dizendo que tinham um problema técnico. Entretanto, afirmaram que estava resolvido. Fiz novos pedidos, mas continuei a nunca receber os dados pedidos.
“É mesmo muito grave”, considera presidente da CNPD
Presidente da CNPD diz ver os resultados desta investigação com “muita tristeza”
Quando questionada sobre os resultados desta investigação, a presidente da Comissão Nacional de Proteção de Dados (CNPD) diz que avalia o panorama encontrado “com muita tristeza”.
“Se me diz que cerca de 30% das organizações não respondem sequer” ou se atrasam na resposta, “se me diz que nas entidades públicas é pior, porque cerca de 50% não está a responder, isso é mesmo muito grave”, considera Filipa Calvão.
A responsável do órgão regulador da proteção de dados em Portugal lembra que o direito de acesso não chegou apenas com o RGPD.
“Esse é um direito que está consagrado na nossa Constituição desde que a Constituição foi aprovada. Portanto é um direito antigo já, vamos dizer assim. O objetivo do direito de acesso é dar o controlo a cada um de nós sobre a nossa informação”.
O RGPD foi “vendido” pelas instituições europeias como uma ferramenta essencial para devolver ao cidadão o controlo sobre os seus dados pessoais. O documento reforçava os direitos existentes e previa novos direitos para o cidadão, nomeadamente o direito de portabilidade dos dados ou o direito ao esquecimento.
Um dos direitos que já existia e foi aprofundado foi o direito de acesso aos dados - ou seja, o direito a saber que dados é que determinada empresa possui sobre nós. Com base neste direito, o utilizador pode questionar as organizações sobre qual a fonte desses dados, caso estes não tenham sido fornecidos pelo próprio, sobre que usos fazem dos dados, o prazo previsto de conservação dos mesmos, com quem os partilham, se estes dados são utilizados em decisões automatizadas e se os dados pessoais são transferidos para países fora do Espaço Económico Europeu - e nesse caso, que garantias são dadas.
“A ideia é que nós tenhamos, pelo menos, uma noção do que é que está a ser feito com a informação que nos diz respeito. E depois podemos exercer o resto dos direitos. O direito de acesso é essencial para nós podermos dizer: queremos opor-nos a este tratamento , achamos que não há razões para o fazer ou que me prejudica por qualquer razão. Queremos retificar aqui dados que estão errados”, explica Filipa Calvão.
O que fazer quando o nosso direito de acesso é desrespeitado?
No caso de vermos um pedido de acesso negado ou que não seja respondido, a presidente da CNPD diz que o titular dos dados “deve ir ter com a comissão, para que esse direito seja assegurado”.
Nesses casos, “nós temos um processo, de natureza mais urgente, para ordenar, se for o caso, à organização que forneça esses dados”.
Neste trabalho, optei por não fazer queixas à CNPD, uma vez que o objetivo era meramente informativo: queria perceber o “estado da arte” na área da privacidade e alertar para as falhas que ainda existem, de forma construtiva.
No entanto, caso tivesse feito queixa das organizações que não cumpriram a lei neste processo, a presidente da CNPD diz que o processo seria “rápido”.
“Às vezes há falhas também aqui, na nossa organização, atrasos, mas é um processo que não tem uma especial complexidade e, portanto, deve ser tramitado com prioridade, até, sobre os outros processos”, garante.
Portal das Finanças, um dos sites com mais dados dos portugueses, não cumpre o RGPD. CNPD abriu um processo
Das 72 empresas ou instituições abrangidas nesta investigação, apenas duas não apresentavam qualquer meio para exercer o pedido de acesso: a Linha Andante/Metro do Porto e o site do Portal das Finanças.
Pelo menos até 21 de outubro de 2021, a política de privacidade do Portal das Finanças não incluía qualquer contacto através do qual o titular dos dados pudesse exercer os seus direitos, como se pode verificar num “printscreen” do site nesta data, disponível no site “Internet Archive”, uma ferramenta que permite visualizar versões anteriores de páginas da internet editadas. A política de privacidade manteve-se assim pelo menos até meados de fevereiro de 2022.
Política de privacidade do portal das Finanças, a 21 de outubro de 2021 (Fonte: Internet Archive)
Por não ter qualquer opção disponível para fazer o pedido, solicitei um esclarecimento sobre como poderia exercer os meus direitos, através do formulário “Pedido de informações/esclarecimentos”, no dia 7 de outubro de 2021. Não obtive qualquer resposta.
Por não ter qualquer contacto no site para fazer o pedido, fiz um pedido de esclarecimento através do e-balcão. Não recebi qualquer resposta
Entretanto, no início deste ano, foi acrescentado um ponto à “Política de Privacidade” do site, que disponibiliza agora um e-mail de contacto do Encarregado de Proteção de Dados da Autoridade Tributária, designado em 2017. No entanto, o site continua a não fazer qualquer menção ao regulamento nem aos direitos do utilizador no âmbito do mesmo.
Fonte da Comissão Nacional de Proteção de Dados adiantou à Renascença que abriu um processo de averiguações ao portal das Finanças, devido a uma queixa de um cidadão. Foi por essa razão que, recentemente, foi acrescentado um contacto do Encarregado de Proteção de Dados (DPO). O processo está ainda a decorrer.
Questionada sobre como avalia a política de privacidade disponível no portal, a advogada Elsa Veloso, especialista em proteção de dados, confirma que o documento não cumpre o RGPD e considera que “a Autoridade Tributária tem alguma confusão entre aquilo que são Termos e Condições e Política de Privacidade”.
A CEO da DPO Consulting diz ainda que a Política de Privacidade “tem outras confusões entre o que é propriedade intelectual e o que é privacidade e proteção de dados e remete para o conhecimento genérico que as pessoas têm de ter da lei”.
A advogada lembra que “a Política de Privacidade obriga a que o responsável pelo tratamento, neste caso a Autoridade Tributária, diga de forma clara quem é o responsável pelo tratamento, que dados é que trata, com que finalidades, quais são as bases legais, por quanto tempo conserva estes dados, se há ou não transferências internacionais de dados e quais são os contactos do DPO, ou uma linha de contacto para os titulares exercerem os seus direitos”.
O documento tem de incluir também os direitos do titular dos dados, como o direito de acesso, retificação, cancelamento, oposição, limitação ao tratamento e direito à portabilidade. “Nada disto se encontra na chamada Política de Privacidade da Autoridade Tributária”, afirma a advogada.
Ao não incluir qualquer destes elementos, a Autoridade Tributária está a violar o dever de informação ao titular dos dados, uma violação considerada grave pelo RGPD, que prevê coimas até 20 milhões de euros ou 4% do volume de negócios, no caso de uma empresa.
“Basicamente a Autoridade Tributária está, como o restante Estado, sentada naquela situação de que não vou ter coimas e não vai acontecer nada”, considera Elsa Veloso.
“O que está aqui em causa é que a CNPD, mesmo em casos mais graves, não aplicou coimas que atingissem estes montantes. O valor máximo de uma coima é 1,5 milhões de euros, como sabemos. Esse é um valor impactante, mas aparentemente não existe uma preocupação tão grande como aquela que deveria existir”, considera a advogada.
A presidente da CNPD assume que a intervenção da comissão em termos sancionatórios não tem sido a mais forte.
“Gostaria que fosse um sinal de que as organizações públicas e privadas estão a cumprir muito bem a lei, mas não creio que seja esse o sinal”, diz à Renascença. “É de facto um problema de falta de meios, de falta de capacidade da CNPD para estar em todo o lado”, admite.
Questionada pela Renascença sobre a sua política de privacidade, a Autoridade Tributária diz que “disponibiliza no Portal das Finanças a informação a que, nos termos do RGPD, está obrigada”, no âmbito do artigo 13. Remete ainda qualquer questão sobre processos instaurados pela CNPD para esta entidade.
A AT adianta que, desde que disponibilizou o contacto do Encarregado de Proteção de Dados, não recebeu qualquer pedido relativo ao exercício de direitos, previsto no RGPD. O referido endereço tem sido usado como meio de contacto com a AT, para resolução de questões de natureza tributária.
Linha Andante não tinha política de privacidade no site - até eu perguntar onde estava
Outro dos serviços que, quando fiz os pedidos de acesso, não apresentava qualquer contacto para o cidadão exercer os seus direitos era a Linha Andante - o serviço prestado pelos Transportes Intermodais do Porto (“TIP”), que junta o Metro do Porto, a STCP e a Comboios de Portugal e que gere os dados recolhidos pelo passe de transportes.
Remeti então o pedido de acesso para o e-mail geral da Metro do Porto, disponibilizado no site.
Aquela empresa respondeu, quase um mês depois, dizendo que não tem qualquer dado meu - sem adiantar para onde deveria dirigir o meu pedido de acesso.
Enviei então um e-mail para o único endereço disponível no site da Linha Andante, perguntando como deveria exercer os meus direitos, uma vez que não encontrava qualquer política de privacidade ou contacto do encarregado de proteção de dados.
Recebi, em resposta, um pedido de um contacto telefónico, para “melhor esclarecermos a exposição apresentada”.
No dia 8 de junho de 2021, ligou-me então uma funcionária dos TIP, dizendo que poderia encontrar a Política de Privacidade no site da Linha Andante, e que a mesma incluía o contacto para onde deveria fazer o pedido.
Fiz o pedido de acesso a dados pessoais à Metro do Porto a 14 de abril. Recorrendo à ferramenta Internet Archive, é possível ver que, até ao dia 12 maio de 2021, a página da Linha Andante não incluía qualquer link para uma política de privacidade. O documento foi entretanto acrescentado à página, tendo como “data de atualização” o dia 31 de maio de 2021.
Ainda assim, a funcionária não assumiu o erro, dizendo que “talvez não seja muito percetível e por isso não tenha reparado”, indicando-me o local onde agora estava o documento.
Site da Linha Andante, a 12 de maio de 2021, e a 8 de junho de 2021, quando foi acrescentada a Política de Privacidade
A ausência de uma política de privacidade no site não é automaticamente uma violação da lei.
Como explica Pedro Vidigal Monteiro, advogado da Telles, o importante é que o responsável do tratamento cumpra o seu dever de informação. “Não é pelo facto de não ter política afixada que não dei informação”, lembra.
O advogado considera que os serviços não têm obrigatoriamente de ter uma política de privacidade afixada ou disponível “online”. “Se eles tiverem os meus dados, podem ter dado o direito de informação quando abri uma ficha de cliente, onde me transmitiram a política de privacidade”, explica o advogado.
De facto, atualmente, quando alguém adere ao passe Andante, nas lojas físicas da Linha Andante, é fornecido um folheto com condições de utilização, que inclui um artigo sobre proteção de dados pessoais. Aí, são especificados os tratamentos feitos e os fundamentos legais para os mesmos, os direitos do utilizador e ainda o contacto do encarregado de proteção de dados.
Ao aderir, o utilizador tem de assinar um Contrato Andante, em que é também referido o responsável pelo tratamento de dados e a legislação em vigor.
No entanto, até maio de 2021, o utilizador que quisesse exercer os seus direitos não tinha um contacto acessível para o fazer - a não ser que tivesse guardado o contrato em papel.
A falta de transparência no processo repetiu-se quando questionei a Metro do Porto sobre a sua política de "cookies". O site não apresenta qualquer "banner" de consentimento, apesar de guardar "cookies" não essenciais no "browser" do utilizador.
Cookies são pequenos ficheiros de texto armazenados no computador através do navegador (“browser”), retendo informação sobre a navegação e preferências do utilizador.
Mais uma vez, a empresa, que integra a Linha Andante, acrescentou uma “Política de Cookies” à página e respondeu que a política estava no site, não assumindo que, até aí, não tinha qualquer informação. De qualquer forma, o site continua a não pedir consentimento do utilizador e a informação acrescentada não cumpre as regras previstas na diretiva e-Privacy, que regula o uso de "cookies" .
Como se faz o pedido? Maioria pede ao utilizador que envie e-mail
A forma de receber pedidos de acesso e de responder varia muito de empresa para empresa.
Mais de metade (58%) das empresas e instituições analisadas nesta investigação pede que o utilizador exerça os seus direitos através de e-mail - neste caso, o titular dos dados pode questionar as empresas sobre todas as questões que quer ver esclarecidas no direito de acesso - como por exemplo, questionar se os seus dados são utilizados para elaborar perfis e tomar decisões automatizadas sobre si.
Há também quem automatize o processo e disponibilize uma forma de o utilizador descarregar todos os dados que aquela empresa guarda sobre si. Entre as empresas analisadas, 22% usavam este automatismo.
É assim que fazem as grandes empresas tecnológicas, como a Google, Facebook, Apple, Amazon ou Linkedin. Nesse caso, é mais difícil obter uma resposta completa sobre como aquela empresa trata os nossos dados - estas questões, normalmente, são esclarecidas na Política de Privacidade da empresa.
Há ainda empresas (16%) a disponibilizar no seu site um formulário para o utilizador exercer os seus direitos - uma forma mais direta para o utilizador, mas por vezes sem espaço, a nível de caracteres, para fazer o pedido completo.
Apenas uma empresa (TAP) pede o envio de carta registada e o site das Finanças não disponibilizava forma de o cidadão exercer os seus direitos.
TAP pede exercício de direitos por carta registada
Mas há também quem dificulte, e muito, o exercício de direitos do utilizador.
No caso da TAP, esta empresa pública, que faz vendas maioritariamente online, dá a possibilidade ao utilizador de exercer os seus direitos, mas pede que o faça na sua área de cliente ou por carta registada.
Para fazer compras no site da TAP, não é necessário ter uma conta, pelo que é possível que a empresa tenha dados de determinado cliente sem que este tenha acesso à área de cliente.
Mas mesmo dentro da área de cliente, não é dada ao utilizador a opção de fazer um pedido de acesso a dados. Na página "gerir privacidade", há apenas a possibilidade de gerir as comunicações de marketing que o utilizador quer receber, de apagar a conta e ainda uma opção para se opor ao tratamento dos seus dados para criação de um “perfil, definição de novos serviços/produtos e apresentação de campanhas e vantagens da TAP ajustadas aos interesses".
Pedi então um esclarecimento através do formulário oferecido no site, questionando se haveria outra via para fazer um pedido de acesso a dados. Desde 14 de abril de 2021, não recebi qualquer resposta.
Questionado sobre a prática de exigir uma carta registada para um exercício de direitos, de uma forma genérica, o advogado Pedro Vidigal Monteiro, da sociedade de advogados Telles, diz que "há um vazio na lei, porque a lei não diz qual é a forma de contactar". No entanto, considera esta uma prática "um pouco excessiva".
"Normalmente o RGPD dá uma guideline muito prática - tem de ser tão fácil dar como retirar consentimento. O espírito tem de ser este. É muito fácil dar o consentimento porque chego aqui, dou um clique, está dado. Mas depois para retirar o consentimento tenho de mandar uma carta registada. Num pedido de acesso, julgo que o princípio aqui terá de ser um bocadinho o mesmo - assim como estou a recolher dados, devia ter um canal que o permitisse fazer da mesma forma."
Sem entrar em casos concretos, a advogada Inês Pires, especialista em proteção de dados, considera que "uma empresa que use esse mecanismo, que é muito mais custoso, como manobra de dilação, num processo contraordenacional vai ter de explicar isso, isso vai ter uma leitura pelo tribunal e pela autoridade de controlo".
Estando a falar de uma empresa que faz vendas online, "parece uma manobra de dilação", diz a advogada, "a não ser que a empresa consiga fazer-se explicar".
"Se me perguntarem, como advogada, se eu aconselho uma empresa que tem uma relação digital com o cliente e depois, para exercer os direitos, pede uma carta com aviso de receção, eu aconselharia o meu cliente a não adotar essa prática. A não ser que haja uma razão material e, se for o caso, eu arranjaria maneira de a fundamentar na política de privacidade", explica.
Empresas confundem direito de acesso com direito ao apagamento
Em resposta a um pedido de acesso, há empresas a proceder à eliminação dos dados, sem aviso prévio
Das 72 empresas contactadas, três deram seguimento ao pedido de acesso mas não souberam dar resposta e apagaram os meus dados sem que o tivesse solicitado.
Em causa a Daufood Portugal, dona do franchising da Domino's Pizza em Portugal, que disse não ter quaisquer dados meus. De facto, quando voltei a fazer login na minha conta, ela já não existia.
Quando pedi esclarecimentos, não obtive mais respostas por parte da empresa.
O mesmo aconteceu com o site Carga de Trabalhos, que respondeu apenas "O seu perfil foi eliminado e o endereço de email associado também (o único dado que forneceu no registo".
Fiz também um pedido de acesso ao site Net-Empregos, que divulga ofertas de emprego.
Desde que me registei no portal, em 2012, passei a receber diariamente no meu e-mail promoções de diversas marcas (que normalmente vão parar ao SPAM), que chegam via Net-Empregos. Na resposta, recebi indicações sobre como proceder para deixar de receber ofertas por e-mail. Quando procurei clarificar que o pedido era de acesso e não para retirar uma subscrição, deixei de receber resposta.
Pedro Vidigal Monteiro e Inês Pires não se surpreendem que casos destes, em que o direito de acesso é confundido com o de apagamento, aconteçam - confessam até que já testemunharam vários casos semelhantes. A advogada conta mesmo que, depois de ter feito um pedido de retificação de dados a uma instituição de saúde, foi a uma consulta e constatou que a consulta já não estava marcada - tinham apagado todos os seus dados.
Para a advogada, casos destes mostram "que o RGPD é um papão" para as empresas, que há um grande medo do regime sancionatório. Mostram também "alguma ignorância, falta de cultura nesta matéria e falta de definição de procedimentos". "Parece-me também que o receio vem da falta de esclarecimento".
Pedro Vidigal Monteiro lembra ainda que o direito ao apagamento não é absoluto. "Quando eu estou no âmbito de execução de um contrato, nós temos de verificar realmente se podemos ou não exercer esse direito. Se eu estiver no âmbito de um contrato, não posso apagar esse contrato".
O advogado diz que esta "é uma situação que às vezes se gera - de repente a empresa apagou os dados e já não tem forma de contactar aquela pessoa com a qual celebrou um contrato".
Quanto tempo demora?
Dos 72 pedidos feitos, seis chegaram depois do prazo de um mês previsto no RGPD para dar resposta a pedidos de acesso: os pedidos feitos a CP, Eyeota, ActivoBank, Prozis, CTT e Tripadvisor.
O único atraso justificado foi o do ActivoBank, que alegou “complexidade de execução” do pedido e solicitou uma prorrogação do prazo para resposta, como previsto no RGPD.
O prazo para resposta a pedidos do titular dos dados pode ser prorrogado até dois meses, quando for necessário, “tendo em conta a complexidade do pedido e o número de pedidos”, segundo o regulamento.
Nesse caso, segundo o RGPD, “o responsável pelo tratamento informa o titular dos dados de alguma prorrogação e dos motivos da demora no prazo de um mês a contar da data de receção do pedido”.
Já no caso da Prozis, aquela empresa respondeu de forma genérica ao pedido dentro do prazo estabelecido, sem reunir quaisquer dados pessoais. Depois de pedir, em resposta, um acesso efetivo aos dados pessoais, o processo foi-se arrastando, tendo a encarregada de proteção de dados pedido que enviasse novamente pedido, mas através da área privada do site, para verificação da identidade.
Desde esse novo pedido até à nova resposta, já com os dados concretos, passaram 42 dias, pelo que, mesmo se olharmos apenas para o segundo pedido, o prazo também não foi cumprido.
A Eyeota, um Data Broker com sede em Singapura, respondeu apenas 176 dias depois, quando enviei novo e-mail a questionar a demora, desculpando-se e dizendo que não receberam qualquer notificação sobre o meu e-mail.
Já os CTT demoraram 51 dias a responder que “após aturadas diligências", não localizaram "quaisquer dados pessoais referentes a V. Exa nos N/sistemas”.
O Tripadvisor demorou ligeiramente mais do que o prazo previsto, 39 dias, respetivamente.
Direito de acesso não precisa de fundamento e tem de ser respondido
Um dos serviços a guardar mais dados sobre nós é o nosso banco. Foi por isso que incluí na lista de pedidos de acesso o ActivoBank, o banco que uso habitualmente.
Ao pedido, respondeu que “tendo em conta o volume de informação tratado pelo Banco, e de modo a conseguir responder no prazo geral de 30 (trinta) dias previsto no RGPD, seria relevante, se possível, que especificasse a informação que pretende exatamente que lhe enviemos, ou o período temporal a que a mesma respeita”.
Questionada, de forma genérica e sem identificar a empresa, se as empresas têm o direito de limitar ou de pedir um fundamento para o direito de acesso, Inês Pires, advogada especialista em proteção de dados, considera que “a lei não diz que haja fundamento para o exercício do direito de acesso”.
“O direito de acesso é livre e a resposta é condicionada pelo exercício do direito de acesso”, afirma.
A advogada alerta as empresas para a dispersão de dados e para a importância de uma boa gestão da informação. “Eu tenho de saber que dados é que trato, ainda que sejam muitos. Tenho de conseguir organizar a informação. Tem de haver uma gestão documental inteligente, viva e atualizada, sob pena de a informação estar dispersa e não conseguir dar resposta ao exercício de direitos ou a inspeções quando há procedimentos contraordenacionais”, diz a advogada.
“Uma empresa que tem muitos dados, que faz várias operações de tratamento ou em que o tratamento é complexo tem de conseguir reunir, no prazo que a lei confere, a informação que o titular solicita com o direito de acesso”, explica. “A dificuldade de responder não me parece que seja causa de exclusão da obrigação da resposta”.
Cada empresa envia os dados no formato que mais lhe convier. Mas vai haver uma norma a especificar como se faz
O formato em que as empresas enviam os dados, em resposta aos pedidos de acesso, varia muito. Das empresas inquiridas, que responderam e tinham dados para enviar, o formato de envio mais frequente para os dados pessoais é em PDF, seguido de texto escrito diretamente no corpo de e-mail.
38% das empresas enviaram dados em diversos formatos, conforme o tipo de base de dados em questão.
A disparidade no tipo de resposta a pedidos de acesso já motivou uma consulta do Comité Europeu de Proteção de Dados para regular esta matéria em forma normativa.
“As interpretações têm sido diferentes e até existe quem tire partido de a situação não estar tão taxativa”, diz a advogada Elsa Veloso. “Embora toda a gente saiba o que é boa fé, o que são bons princípios, o que é o dever de cooperação, como é que tudo deve ser feito”.
A decisão esteve em consulta pública até ao dia 11 de março. O objetivo é regular como devem ser exercidos os direitos dos titulares dos dados. “Isso deve ficar completamente explícito, para que não haja lugar a situações menos bem esclarecidas”, explica a advogada.
Um quarto das entidades pede uma prova de identidade
Entre as empresas que responderam, 26% pedem uma prova de identidade antes de enviar os dados - um procedimento previsto pelo RGPD, que diz que “o responsável pelo tratamento deverá adotar todas as medidas razoáveis para verificar a identidade do titular dos dados que solicite o acesso, em especial no contexto de serviços e de identificadores por via eletrónica”.
Entre as provas de identidade pedidas estão cópias do cartão de cidadão, data de nascimento, nome completo, pedido assinado com Chave Móvel Digital, autenticação do site ou mesmo apenas um e-mail.
Depois de darmos os nossos dados, qual o caminho que eles fazem? Não sabemos
Um dos objetivos deste trabalho era procurar traçar um percurso dos meus dados, desde que o momento em que os cedo a determinada empresa.
Praticamente todas as empresas analisadas neste trabalho mencionam, na sua política de privacidade, as categorias de destinatários dos dados pessoais do utilizador, ou seja, com quem poderão partilhar os dados dos clientes. Na lista estão, invariavelmente, autoridades, como polícias, tribunais ou auditores. Mas também empresas do mesmo grupo, parceiros ou entidades subcontratadas.
Muitas vezes, esta partilha é justificada com obrigações legais ou com o facto de esta ser imprescindível para prestar o serviço ao cliente.
Por exemplo, no caso do Fitness Hut, os dados são partilhados com a Mail Chimp para a gestão de e-mails com os clientes; com a SDA, a empresa fornecedora do software de base de dados; ou com a Easypay, que é a entidade bancária para cobranças. Outras vezes, a partilha acontece para servir interesses da empresa em questão, como dirigir publicidade de forma mais efetiva.
No entanto, na resposta aos pedidos de acesso, foram poucas as empresas que elencaram exatamente quais as empresas ou entidades com quem já partilharam os meus dados.
Nos casos em que elencaram, essa informação acabou por não ser útil.
Por exemplo, quando pedi os meus dados à Mail Chimp, subcontratante do Fitness Hut, a empresa respondeu-me que apenas me poderia ceder os dados que guarda nos casos em que é responsável pelo tratamento - o que não é o caso no serviço que presta ao ginásio.
A diferença entre responsável pelo tratamento e subcontratante
O RGPD define diferentes intervenientes num tratamento de dados pessoais, nomeadamente um responsável pelo tratamento (em inglês, "controller") e um subcontratante (em inglês, "processor").
Quais as diferenças? Pedro Vidigal Monteiro, da Telles, explica que "o subcontratante é a entidade que atua de acordo com as instruções do responsável pelo tratamento. Quem define é o responsável, portanto o 'controller' ; quem atua é o subcontratante, ou 'processor' ".
O próprio nome em português gera confusão, lembra o advogado - o “subcontratante”, na verdade, é “subcontratado” do responsável pelo tratamento.
Quando cedemos os nossos dados a uma empresa, para que esta nos preste um serviço, essa empresa é a responsável pelo tratamento e é ela que tem responsabilidade de responder às nossas questões. Todas as entidades com quem possa partilhar dados são "processors", logo têm de responder apenas à empresa que as contratou.
Ou seja, no exemplo do Fitness Hut, a Mail Chimp, a SDA e a Easypay não têm obrigação de responder às minhas questões sobre como tratam os meus dados. Estes "subcontratantes" apenas têm de responder a quem os contratou - neste caso, o Fitness Hut.
Terá sido isto também que levou a Galp a responder que não tem qualquer dado pessoal meu - apesar de, como utilizadora do Cartão Continente, ser cliente habitual daquela empresa. No entanto, o responsável pelo tratamento, nesse caso, é o Continente - não as empresas com quem partilha os meus dados no âmbito do contrato.
Também a E-goi, empresa portuguesa de automação de marketing, garante não ter qualquer dado meu - apesar de ser “processor” no meu contrato com o MBWay.
Questionado se a forma como o RGPD divide os papéis não retira algum poder ao titular dos dados, que tem de confiar que todos os ‘processors’ vão tratar devidamente os seus dados, Pedro Vidigal Monteiro explica que o controller "tem a obrigação de recorrer apenas a subcontratantes que apresentem garantias suficientes de execução das medidas".
É o responsável de tratamento que tem de responder pelos seus subcontratantes. Por isso, como responsável, "eu não posso contratar um qualquer subcontratante sem saber que tipo de medidas de segurança é que utilizam, como é que realizam normalmente este tipo de tratamento de dados", explica o advogado.
"Eu tenho de assegurar que estou a contratar um “processor” que realmente me dá garantias de que os tratamentos dados estão a ser utilizados da forma prevista no regulamento".
De qualquer forma, o utilizador não tem acesso ao contrato entre as duas partes e, na maioria dos casos, não sabe em que âmbito são partilhados os seus dados.
A advogada Inês Pires considera que, independentemente de quem presta informação, o titular dos dados "não pode ficar de mãos atadas, porque há muitos subcontratantes".
"Eu não posso ficar inibido de exercer determinados direitos, seja o direito de acesso ou ao apagamento porque o ecossistema é mais complexo".
"O responsável pelo tratamento ou responde diretamente perante o titular ou então deu instruções no âmbito do acordo de subcontratação ao “processor” para prestar a informação ao titular". O foco, lembra, é que os direitos dos cidadãos devem ser protegidos.
"Não nos podemos esquecer porque é que esta legislação existe. Estamos a falar de direitos fundamentais dos cidadãos", sublinha a advogada.
“Esta área precisa de investimento”
Confrontada com os resultados desta investigação, a advogada Elsa Veloso, especialista em proteção de dados, diz que “parece que existe um grande caminho no sentido de melhorar”.
“Existe um plano de resiliência que deve ser aproveitado, tem 2,6 mil milhões de euros para a transição digital e seria muito importante que nessa transição digital se assegurasse aquilo que é básico”, diz.
“Fala-se em cibersoldados, estou de acordo. Fala-se em ciberestratégia, claro, estamos todos de acordo. Mas as coisas mais simples, mais básicas do quotidiano não estão preenchidas. As empresas não têm uma política de privacidade, não têm informação aos trabalhadores, não respondem aos direitos de acesso, não fazem auditorias de terceiros que contratam. Existe um enorme mar de coisas por preencher”, considera a advogada, fundadora e CEO da DPO Consulting.
“Era importante que o Estado desse sinal de querer cumprir e recrutasse as pessoas, as formasse, as treinasse, lhes desse instrumentos para elas cumprirem”.
A advogada Inês Pires, especialista em proteção de dados, lembra que o facto de os serviços do Estado estarem atrás das empresas a nível de cumprimento do RGPD “é pernicioso”.
“O regime da proteção de dados nasce para proteger o cidadão do Estado, porque há 20 ou 30 anos era o Estado que tinha força, não eram as tecnológicas. E ainda continua, o RGPD não surge só contra as tecnológicas, mas também para regular a relação do cidadão com o Estado. O Estado tem uma força única, exclusiva, unilateral”, diz a advogada.
“E hoje assistimos a vários organismos públicos… é giro ver, recolhem-nos o cartão de cidadão, apalpam-nos todos, tiram fotografias, fazem videovigilância e não há uma política de privacidade”.
A advogada lembra que “estamos a falar de direitos fundamentais dos cidadãos” e que a área da proteção de dados “merece investimento público”.
“Tem de haver alocação de recursos físicos, intelectuais e financeiros a esta área, sob pena de ser uma bola cheia de nada, uma coisa oca que não se traduz em nada”, afirma a especialista.
Sobre a resposta dada aos cidadãos pela Comissão Nacional de Proteção de Dados, a advogada Inês Pires considera que deixa muito a desejar. A advogada diz já ter tentado ligar para aquela entidade para esclarecer assuntos relacionados com a legislação, sem sucesso. “Não prestam esclarecimentos por telefone”, diz. “Há aqui um mediatismo do acesso à informação - e não é só dos advogados, é do próprio cidadão”, considera a advogada.
“Eu desafio a CNPD a divulgar qual o tempo de resposta e o grau de satisfação das pessoas” que recorrem à instituição através do site. “Eu já exerci pedidos de esclarecimento e não fiquei satisfeita ou esclarecida”, revela.
O controlo que o RGPD dá é “ilusório”?
Maria Eduarda Gonçalves é professora do ISCTE e investigadora na área do Direito da Informação
Em 2018, Maria Eduarda Gonçalves, professora do ISCTE, em entrevista à Renascença, avançava uma previsão: que o controlo prometido pelo RGPD seria “ilusório”.
Quatro anos depois, a professora poderia bem dizer “eu bem avisei”. “Não tenho outra opinião, pelo contrário, tenho até mais confirmação”, diz agora.
A investigadora encontra um grande contraste entre o “detalhe legislativo” do RGPD e o que acontece na prática.
“Há uma preocupação gigante, por exemplo, em detalhar como é que o consentimento da pessoa deve ser dado para os seus dados serem tratados”. Mas na prática, “todos clicamos nos cookies e nas políticas de privacidade” sem as ler. Muitas vezes, sem a possibilidade de exercer esse controlo.
Por outro lado, a própria evolução tecnológica dificulta a aplicação da lei. “A realidade atual de acesso aos dados online entra em choque com a perspetiva de que os cidadãos têm o controlo. O modo como funcionam as sociedades, crescentemente centradas nos dados, na digitalização - na prática este sistema funciona com grande opacidade”, diz a professora.
Já o dinamarquês Stephan Engberg, especialista em cibersegurança e fundador da Citizen Key, um projeto para aumentar a privacidade do cidadão “online”, vai mais longe.
“Sabemos que a China é um sítio terrível porque tem um sistema totalitário em que o Governo quer controlar toda a gente; sabemos que os Estados Unidos também são terríveis porque as empresas podem fazer o que quiserem e a NSA vai ajudá-las, porque trabalham juntos”.
“Mas é ainda pior na Europa, porque na Europa temos a ilusão de que temos direitos. Mas se olharmos para a implementação técnica dos sistemas, são as burocracias que têm controlo”, afirma.
Como se devolve, então, aos cidadãos o controlo sobre os seus dados? Olhando para a raiz dos problemas e inscrevendo a privacidade no desenho dos sistemas. É isso que estes três projetos estão a tentar fazer.
Nota: Artigo atualizado às 15h30 de 20 de abril de 2022, com a resposta do gabinete do secretário de Estado da Digitalização e Modernização Administrativa ao pedido de entrevista
Nota metodológica
Os dados aqui analisados resultam de uma série de 72 pedidos de acesso a dados feitos pela autora do artigo, desde abril a novembro de 2021, na qualidade de titular dos dados - sem se apresentar como jornalista - com o objetivo de avaliar como as entidades dão resposta a este exercício de direitos fundamentais.
A amostra engloba 72 entidades, das quais 64 privadas e oito públicas.
As entidades foram escolhidas com base na frequência de utilização dos serviços por parte da autora. Incluem restaurantes, supermercados, companhias de seguros, bancos, serviços de entrega de produtos, lojas físicas e online, redes sociais, empresas de media, telecomunicações, imobiliário, energia e serviços públicos.
Foram também feitos pedidos de acesso a "data brokers" e a empresas que contactaram a autora contra a sua vontade, nomeadamente de telemarketing ou publicidade digital.
Em alguns casos, em que a autora não é a titular do contrato do serviço que usa, o pedido foi feito por outra pessoa.
Para calcular o tempo que as entidades demoraram a responder, foram contabilizados os dias entre o pedido e a resposta final, sendo subtraídos os dias que a titular dos dados tiver demorado a responder - que não são, por isso, da responsabilidade da entidade em questão.