GRUPO DE TRABALHO DE PROTECÇÃO DE DADOS DO ARTIGO 29.º

Transcrição

1 GRUPO DE TRABALHO DE PROTECÇÃO DE DADOS DO ARTIGO 29.º 00327/11/PT WP 180 Parecer 9/2011 sobre a proposta revista da indústria relativa a um quadro para as avaliações do impacto das aplicações RFID na protecção da privacidade e dos dados Adoptado em 11 de Fevereiro de 2011 O Grupo de trabalho foi instituído pelo artigo 29.º da Directiva 95/46/CE. Trata-se de um órgão consultivo europeu independente em matéria de protecção dos dados e da privacidade. As suas atribuições estão descritas no artigo 30.º da Directiva 95/46/CE e no artigo 15.º da Directiva 2002/58/CE. O secretariado é assegurado pela Direcção C (Direitos Fundamentais e Cidadania da União) da Direcção-Geral da Justiça da Comissão Europeia, B-1049 Bruxelas, Bélgica, escritório MO-59 06/36. Sítio Web:

2 Índice 1 Contexto Introdução Resumo do quadro revisto Análise Conclusão... 7

3 O GRUPO DE TRABALHO DE PROTECÇÃO DAS PESSOAS NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS, Instituído pela Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, Tendo em conta o artigo 29.º e o artigo 30.º, n.º 1, alínea a), e n.º 3, da referida directiva, bem como o artigo 15.º, n.º 3, da Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, Tendo em conta o seu regulamento interno, Adoptou o seguinte parecer: 1 Contexto 1.1 Introdução O presente parecer dá seguimento ao parecer 1 5/2010 (WP 175) sobre a proposta da indústria relativa a um quadro para as avaliações do impacto das aplicações RFID na protecção da privacidade e dos dados. Embora esta introdução repita alguns elementos contextuais necessários para compreender o objectivo e o âmbito do presente parecer, o leitor é convidado a consultar o parecer 5/2010 para informações mais pormenorizadas. Em 12 de Maio de 2009, a Comissão Europeia emitiu uma Recomendação 2 relativa à aplicação dos princípios de protecção da privacidade e dos dados nas aplicações assentes na identificação por radiofrequências. Nesta recomendação, convidou os Estados-Membros a assegurar que as empresas do sector, em colaboração com as partes interessadas ( ), estabeleçam um quadro para as avaliações do impacto na protecção da privacidade e dos dados. Este quadro deve ser apresentado para aprovação ao grupo de trabalho para a protecção de dados, criado nos termos do artigo 29.º. Uma vez definido o quadro para as avaliações do impacto na protecção da privacidade e dos dados, os Estados-Membros devem assegurar que os operadores de RFID procedam a uma avaliação do impacto das aplicações RFID na protecção da privacidade e dos dados (AIP), antes da sua implantação. Os Estados-Membros devem assegurar também que os operadores de RFID disponibilizem os relatórios resultantes da AIP à autoridade competente. Em 31 de Março de 2010, os representantes da indústria apresentaram uma proposta de quadro para as avaliações do impacto na protecção da privacidade e dos dados ao Grupo de trabalho do artigo 29.º, para aprovação. Todavia, embora esta proposta tenha constituído um bom ponto de partida, não recolheu o pleno apoio do Grupo de trabalho, nomeadamente devido à falta de 3 elementos essenciais no quadro proposto: 1) Uma abordagem da avaliação dos riscos claramente definida. 1 2 Parecer 5/2010 sobre a proposta da indústria relativa a um quadro para as avaliações do impacto das aplicações RFID na protecção da privacidade e dos dados, WP 175, 13 de Julho de

4 2) A tomada em consideração das etiquetas RFID usadas por pessoas para além do perímetro operacional da aplicação. 3) Uma forma de ter em conta expressamente os princípios da desactivação das etiquetas no sector retalhista estabelecidos na Recomendação da Comissão Europeia relativa à aplicação dos princípios de protecção da privacidade e dos dados nas aplicações assentes na identificação por radiofrequências. Em 13 de Julho de 2010, o Grupo de trabalho resumiu estes elementos, bem como outros pontos problemáticos, no parecer 5/2010, no qual convidou a indústria a apresentar uma proposta revista do quadro para as avaliações do impacto das aplicações RFID na protecção da privacidade e dos dados. No que diz respeito à avaliação dos riscos, o Grupo de trabalho encorajou vivamente a indústria a basear-se nos conhecimentos especializados que a Agência Europeia para a Segurança das Redes e da Informação (ENISA) pode disponibilizar neste domínio. No mesmo mês, a ENISA publicou um parecer independente 3 com recomendações concretas destinadas a melhorar o quadro proposto. No seu parecer, a ENISA propôs, em especial, algumas orientações iniciais com vista à adopção de uma abordagem metodológica abrangente e reconhecida da avaliação de riscos, tendo sugerido a introdução de várias melhorias estruturais. Nos meses seguintes, a indústria reformulou o quadro AIP, tendo em consideração tanto os contributos do Grupo de trabalho como os da ENISA. Em 12 de Janeiro de 2011, este quadro AIP revisto foi apresentado para aprovação ao Grupo de trabalho de protecção de dados do artigo 29.º. O presente parecer constitui a resposta oficial do Grupo de trabalho a essa nova proposta. No texto que se segue, por «Recomendação RFID» entende-se a recomendação da Comissão Europeia relativa à aplicação dos princípios de protecção da privacidade e dos dados nas aplicações assentes na identificação por radiofrequências, publicada em 12 de Maio de Por «quadro revisto» ou simplesmente «quadro» entende-se o quadro para as avaliações do impacto das aplicações RFID na protecção da privacidade e dos dados, transmitido ao Grupo de trabalho do artigo 29.º em 12 de Janeiro de 2010 e reproduzido no Anexo do presente parecer. 1.2 Resumo do quadro revisto O quadro revisto começa por examinar os procedimentos internos importantes a ter em conta para realizar uma AIP, tais como a programação e o reexame da AIP, a compilação de documentação pertinente, a designação na organização das pessoas responsáveis pelo bom desenrolar da AIP, a identificação das condições susceptíveis de dar origem a uma futura revisão da AIP e a consulta das partes interessadas. O procedimento AIP desenrola-se em duas fases: 3 Parecer da ENISA sobre a proposta da indústria relativa a um quadro para as avaliações do impacto das aplicações RFID na protecção da privacidade e dos dados, de 31 de Março de

5 I. Fase de pré-avaliação que consiste em classificar uma aplicação RFID segundo uma escala de 4 níveis, com base num esquema de decisão. O resultado desta avaliação permite determinar se a AIP é necessária ou não e optar por uma «AIP completa» ou uma «AIP limitada». As aplicações que utilizam etiquetas RFID susceptíveis de serem usadas por pessoas exigirão, pelo menos, uma «AIP limitada» (nível 1), ao passo que as aplicações que fazem um tratamento posterior de dados pessoais requerem uma «AIP completa» (níveis 2 e 3). Em contrapartida, as aplicações que não utilizam etiquetas susceptíveis de serem usadas por pessoas e que não procedem a um tratamento posterior de dados pessoais não são sujeitas a uma AIP (nível 0). II. Fase de avaliação de riscos, composta por 4 etapas principais: 1) Caracterização da aplicação (tipos de dados, fluxos de dados, tecnologia RFID, armazenagem e transferência de dados, etc.). 2) Identificação dos riscos para os dados pessoais, mediante a avaliação das ameaças, da sua probabilidade e respectivas consequências em termos de privacidade e respeito da legislação europeia. 3) Identificação e recomendação de controlos, em resposta a riscos previamente identificados. 4) Documentação dos resultados da AIP, elaboração de uma resolução relativa às condições de execução da aplicação RFID em análise, bem como informação sobre os riscos residuais. Cada etapa na fase de avaliação dos riscos é também completada por elementos fornecidos nos anexos do quadro revisto, concebidos para dar orientações à pessoa encarregada do controlo: Um modelo que permita descrever as principais características da aplicação RFID. Uma lista de 9 objectivos que as aplicações RFID devem satisfazer em matéria de privacidade, inspirada na Directiva 95/46/CE. Uma lista dos riscos típicos para a privacidade, acompanhada de descrições e exemplos. Uma lista de exemplos de controlos e de medidas de correcção a que se pode recorrer em resposta aos riscos identificados anteriormente. O resultado de uma AIP é formalizado pelo operador da aplicação RFID num relatório AIP, que descreve a aplicação RFID e apresenta em pormenor as 4 etapas da avaliação de riscos acima referida. 2 Análise O Grupo de trabalho reconhece o trabalho aprofundado realizado nos últimos meses pelas associações e os peritos do sector, pelos representantes do mundo académico, bem como por certas empresas, com vista a elaborar um quadro revisto. Os autores do quadro aproveitaram a oportunidade oferecida por esta revisão não só para responder à maior parte das preocupações expressas pelo Grupo de trabalho, mas também para apresentar uma estrutura mais clara e orientações mais sólidas aos operadores de RFID que aplicarão este quadro. 5

6 O Grupo de trabalho nota que o quadro revisto se baseia numa abordagem de gestão dos riscos, reiterando que esta é uma componente essencial de qualquer quadro para as avaliações do impacto das aplicações RFID na protecção da privacidade e dos dados. O Grupo de trabalho congratula-se também com a inclusão expressa de um procedimento de consulta das partes interessadas nos procedimentos internos necessários para a realização de uma AIP. O método de avaliação de riscos proposto é iniciado com um esquema de decisão de pré-avaliação que classifica as aplicações RFID em quatro níveis. O Grupo de trabalho observa que o esquema de decisão proposto encerra uma certa ambiguidade quanto à definição do que pode ou não ser considerado como um dado pessoal numa aplicação RFID. Se uma etiqueta com um elemento de identificação único se destinar a ser usada por uma pessoa, convém considerar o referido elemento como um dado pessoal, como já salientado no parecer 5/2010. Por conseguinte, na maioria dos cenários, se a etiqueta se destinar a ser usada por uma pessoa, a aplicação é de nível 2 e não de nível 1, como sugerido pelo quadro. Não obstante, o Grupo de trabalho regozija-se com o facto de o quadro revisto exigir claramente que os operadores de RFID efectuem uma AIP sempre que as etiquetas sejam usadas por uma pessoa. Como explicado em vários pareceres anteriores 4, uma das principais preocupações em termos de privacidade relacionadas com a tecnologia RFID «decorre das utilizações da tecnologia RFID que implicam a localização das pessoas e a obtenção do acesso a dados pessoais». Embora um operador de RFID possa não ter esse objectivo em mente ao desenvolver uma aplicação RFID, é importante ter em conta o risco que representa a eventual utilização das etiquetas por um terceiro para fins distintos dos previstos. O quadro revisto exige agora claramente que os operadores de RFID avaliem os riscos que podem surgir se as etiquetas forem utilizadas fora do perímetro operacional de uma aplicação RFID e/ou forem usadas por pessoas. Esta preocupação foi objecto de especial atenção no sector retalhista, onde se teme que os artigos com etiquetas adquiridos por pessoas possam ser utilizados de forma abusiva pelos retalhistas ou por terceiros para fins de localização ou de criação de perfis. A Comissão Europeia apontou uma solução para este problema na recomendação ao estabelecer o princípio da desactivação das etiquetas no ponto de venda, a menos que os clientes aceitem, com conhecimento de causa, que as etiquetas sejam mantidas operacionais. A mesma recomendação prevê a possibilidade de abrir uma excepção a este princípio, se a AIT concluir que o facto de manter as etiquetas operacionais depois de saírem do ponto de venda não representa uma ameaça provável à privacidade ou à protecção dos dados pessoais. O Grupo de trabalho observa que uma abordagem de gestão de riscos, como sugerida no quadro, constitui um instrumento fundamental para o operador de RFID avaliar os riscos que corre ao assumir a responsabilidade de manter as etiquetas activas depois de saírem do ponto de venda. A realização de uma AIP dará origem à elaboração de um relatório, que deve ser disponibilizado à autoridade competente pelo menos seis semanas antes da implantação da aplicação RFID em causa. O Grupo de trabalho gostaria de sublinhar que a realização de uma AIP exige também que os operadores de RFID elaborem e publiquem uma política de informação concisa, precisa e fácil de entender para cada uma das suas aplicações (como 4 Ver, por exemplo, o parecer 5/2010 (WP 175) e WP 105, «Documento de trabalho sobre as questões de protecção de dados relacionadas com a tecnologia RFID», de 19 de Janeiro de

7 estabelecido no ponto 7 da Recomendação). Esta política de informação deve incluir nomeadamente um resumo da avaliação do impacto na protecção da privacidade e dos dados. Quando este quadro começar a ser aplicado em aplicações RFID concretas, é provável que o seu conteúdo exija adaptações, que só poderão ser efectuadas com base na experiência adquirida e nas contribuições de todas as partes interessadas, incluindo a indústria, os consumidores, as autoridades responsáveis pela protecção dos dados e a ENISA. Tal será provavelmente o caso no que se refere à distinção entre uma AIP «completa» ou «limitada», tal como definidas no quadro revisto. Segundo a Recomendação, a Comissão Europeia deve além disso apresentar um relatório sobre a sua aplicação, a sua eficácia e o seu impacto nos operadores e nos consumidores, em especial no que respeita às medidas relativas ao sector retalhista. Este relatório deve ser apresentado três anos após a publicação da Recomendação, isto é, em Maio de No entanto, tendo em conta que podem decorrer seis meses até o quadro produzir plenos efeitos, seria útil conceder um prazo suplementar às partes interessadas antes da realização dessa avaliação. Por conseguinte, o Grupo de trabalho gostaria de sugerir à Comissão Europeia que adie a apresentação do relatório proposto ou o complete numa data ulterior, fixada em três anos após a publicação do presente parecer. 3 Conclusão O Grupo de trabalho aprova o quadro revisto apresentado em 12 de Janeiro de Este quadro produzirá efeitos o mais tardar seis meses após a publicação do presente parecer. Uma AIP é um instrumento concebido para assegurar a privacidade «de raiz», informar melhor os cidadãos, bem como favorecer a transparência e o diálogo com as autoridades competentes. Uma vez que algumas aplicações RFID serão aplicadas em vários Estados-Membros, é importante que os relatórios AIP sejam traduzidos e disponibilizados às autoridades competentes na respectiva língua nacional. O Grupo de trabalho continuará a apoiar o futuro diálogo com a indústria, melhorando e clarificando a estrutura e a aplicação do quadro AIP às aplicações RFID, com base na experiência adquirida e nas informações transmitidas por todas as partes interessadas. 7