GRUPO DE TRABALHO DE PROTEÇÃO DE DADOS DO ARTIGO 29.º. Parecer 2/2013 sobre as aplicações em dispositivos inteligentes

Transcrição

1 GRUPO DE TRABALHO DE PROTEÇÃO DE DADOS DO ARTIGO 29.º 00461/13/PT WP 202 Parecer 2/2013 sobre as aplicações em dispositivos inteligentes Adotado em 27 de fevereiro de 2013 O Grupo de Trabalho foi instituído pelo artigo 29.º da Diretiva 95/46/CE. Trata-se de um órgão consultivo europeu independente em matéria de proteção de dados e de privacidade. As suas atribuições estão descritas no artigo 30.º da Diretiva 95/46/CE e no artigo 15.º da Diretiva 2002/58/CE. O secretariado é assegurado pela Direção C (Direitos Fundamentais e Cidadania da União) da Direção-Geral da Justiça da Comissão Europeia, B-1049 Bruxelas, Bélgica, Gabinete n.º MO-59 02/013. Sítio Web:

2 Síntese Para cada tipo popular de dispositivo inteligente, existem centenas de milhares de aplicações (ou simplesmente apps) diferentes à venda em lojas de aplicações (app stores). Segundo as informações disponíveis, todos os dias são adicionadas mais de novas aplicações a estas lojas. Diz-se que o utilizador médio de telemóveis inteligentes (smartphones) descarrega 37 aplicações, cujo custo inicial para o utilizador final pode ser muito reduzido ou inexistente, e que podem ter uma base de utilizadores constituída por apenas algumas pessoas ou por muitos milhões. As aplicações conseguem recolher grandes quantidades de dados a partir do dispositivo (por exemplo, dados armazenados pelo utilizador no dispositivo e dados de diferentes sensores, incluindo a localização) e proceder ao seu tratamento, a fim de prestar serviços novos e inovadores ao utilizador final. Contudo, estas mesmas fontes de dados podem ser sujeitas a um tratamento posterior, geralmente destinado a proporcionar um fluxo de receitas e potencialmente desconhecido ou não desejado pelo utilizador final. Os criadores de aplicações que não conheçam os requisitos aplicáveis em matéria de proteção de dados podem criar riscos significativos para a vida privada e para a reputação dos utilizadores de dispositivos inteligentes. Os principais riscos para os utilizadores finais em matéria de proteção de dados são a falta de transparência e de conhecimento dos tipos de tratamento que uma aplicação pode realizar, conjugada com a inexistência de um consentimento informado dos utilizadores antes desse tratamento. A fragilidade das medidas de segurança adotadas, a aparente tendência para a maximização dos dados e a elasticidade dos fins para os quais os dados pessoais são recolhidos contribuem ainda mais para os riscos em matéria de proteção de dados existentes no atual ambiente de aplicações. O elevado grau de fragmentação entre os muitos intervenientes no panorama da criação de aplicações também representa um elevado risco para a proteção de dados. Entre estes intervenientes contam-se, entre outros: os criadores de aplicações, os proprietários das aplicações, as lojas de aplicações, os fabricantes de sistemas operativos e de dispositivos (fabricantes de SO e de dispositivos) e outros terceiros que poderão também estar envolvidos na recolha e tratamento de dados pessoais a partir de dispositivos inteligentes, tais como os prestadores de serviços de análise e monitorização estatística de dados e as empresas de publicidade. Embora a maioria das conclusões e recomendações apresentadas no presente parecer se destinem aos criadores de aplicações (na medida em que são eles quem possui o maior grau de controlo sobre o modo exato como o tratamento é realizado ou como as informações são apresentadas na aplicação), muitas vezes estes têm de colaborar com outras partes no ecossistema de aplicações para garantirem o mais elevado nível de privacidade e de proteção de dados. Esta colaboração assume especial importância no domínio da segurança, onde a cadeia dos vários intervenientes é apenas tão forte quanto o seu elemento mais fraco. Muitos dos dados disponíveis em dispositivos móveis inteligentes são dados pessoais. O quadro jurídico relevante é a Diretiva Proteção de Dados, conjugada com as disposições da Diretiva Privacidade Eletrónica sobre a proteção dos dispositivos móveis como parte integrante da esfera privada dos utilizadores. Estas regras são aplicáveis a qualquer aplicação destinada a utilizadores de aplicações dentro da UE, independentemente da localização do criador ou da loja de aplicações. No presente parecer, o Grupo de Trabalho clarifica o quadro jurídico aplicável ao tratamento de dados pessoais no contexto da criação, distribuição e utilização de aplicações em dispositivos inteligentes, dedicando especial atenção ao requisito do consentimento, aos princípios da limitação da finalidade e da minimização dos dados, à necessidade de tomar medidas de segurança adequadas, à obrigação de informar corretamente os utilizadores finais, aos seus direitos, à definição de períodos razoáveis de conservação dos dados e, concretamente, ao tratamento leal dos dados recolhidos junto de crianças e sobre crianças. 2

3 Índice 1. Introdução Riscos para a proteção de dados Princípios da proteção de dados Legislação aplicável Dados pessoais tratados por aplicações Partes envolvidas no tratamento de dados Criadores de aplicações Fabricantes de SO e de dispositivos Lojas de aplicações Terceiros Fundamento jurídico Consentimento anterior à instalação e ao tratamento de dados pessoais Fundamentos jurídicos para o tratamento de dados durante a utilização da aplicação Limitação da finalidade e minimização dos dados Segurança Informação A obrigação de informar e o conteúdo exigido A forma das informações Direitos do titular de dados Períodos de conservação Crianças Conclusões e recomendações

4 1. Introdução As aplicações são programas informáticos muitas vezes concebidos para executarem uma tarefa específica e destinados a um conjunto específico de dispositivos inteligentes, tais como telemóveis inteligentes, computadores-tablete e televisores com ligação à Internet. Organizam a informação de forma adequada às características específicas do dispositivo em causa e, muitas vezes, existe uma estreita interação com as funcionalidades do hardware e do sistema operativo dos dispositivos. Para cada tipo popular de dispositivo inteligente, existem centenas de milhares de aplicações diferentes à venda em lojas de aplicações. As aplicações servem diversas finalidades, nomeadamente navegação na Web, comunicação (correio eletrónico, telefonia e envio de mensagens pela Internet), entretenimento (jogos, filmes ou vídeos e música), redes sociais, serviços bancários e serviços baseados na localização. Segundo as informações disponíveis, todos os dias são adicionadas mais de novas aplicações às lojas de aplicações. 1 O utilizador médio de telemóveis inteligentes descarregará 37 aplicações, 2 cujo custo inicial para o utilizador final pode ser muito reduzido ou inexistente, e que podem ter uma base de utilizadores constituída por apenas algumas pessoas ou por muitos milhões. O sistema operativo subjacente também conterá software ou estruturas de dados que são importantes para os serviços nucleares do dispositivo inteligente, como, por exemplo, o livro de endereços de um telemóvel inteligente. O sistema operativo é concebido para que as aplicações possam ter acesso a estes componentes através de Interfaces de Programação de Aplicações (API). Estas API proporcionam o acesso a uma grande quantidade de sensores que podem estar presentes em dispositivos inteligentes. São exemplos de tais sensores: giroscópio, bússola digital e acelerómetro para indicar a velocidade e a direção do movimento; câmaras frontais e traseiras para capturar vídeos e fotografias; e um microfone para fazer gravações de áudio. Alguns dispositivos inteligentes também contêm sensores de proximidade 3 e permitem a conexão através de uma variedade de interfaces de rede, nomeadamente Wi-Fi, Bluetooth, NFC ou Ethernet. Por último, os serviços de geolocalização permitem determinar com exatidão uma localização (tal como descrito no Parecer 13/2011 do Grupo de Trabalho do artigo 29 sobre serviços de geolocalização em dispositivos móveis inteligentes 4 ). O tipo, a exatidão e a frequência dos dados deste sensor variam consoante o dispositivo e o sistema operativo Relatório divulgado em ConceivablyTech, de 19 de agosto de 2012, disponível em Citado por Kamala D. Harris, Procuradora-Geral, Departamento de Justiça da Califórnia, Privacy on the go, Recommendations for the mobile ecosystem, janeiro de 2013, Trata-se de uma estimativa a nível mundial da ABI Research para 2012, Trata-se de uma estimativa a nível mundial da ABI Research para 2012, Um sensor capaz de detetar a presença de um objeto físico sem contacto físico. Ver: Ver o Parecer 13/2011 do Grupo de Trabalho do artigo 29.º sobre serviços de geolocalização em dispositivos móveis inteligentes (maio de 2011), 4

5 Através da API, os criadores de aplicações podem recolher continuamente estes dados, aceder a dados de contacto e escrevê-los, enviar mensagens de correio eletrónico, SMS ou mensagens em redes sociais, ler, modificar ou eliminar o conteúdo de cartões SD, efetuar gravações de áudio, utilizar a câmara e aceder a imagens guardadas, ler o estado e a identidade do telefone, modificar as definições globais do sistema e evitar que o telefone entre em modo de baixo consumo. As API podem ainda fornecer informações relacionadas com o próprio dispositivo através de um ou mais identificadores únicos, bem como informações sobre outras aplicações instaladas. Estas fontes de dados podem ser sujeitas a um tratamento posterior, geralmente destinado a proporcionar um fluxo de receitas e potencialmente desconhecido ou não desejado pelo utilizador final. O presente parecer tem por objetivo clarificar o quadro jurídico aplicável ao tratamento de dados pessoais no contexto da distribuição e utilização de aplicações em dispositivos inteligentes e analisar o tratamento posterior que poderá ter lugar fora da aplicação, nomeadamente a utilização dos dados recolhidos para criar perfis e visar determinados utilizadores. O parecer analisa os principais riscos para a proteção de dados, descreve as diferentes partes envolvidas e chama a atenção para as diversas responsabilidades jurídicas. As partes envolvidas incluem, nomeadamente: os criadores de aplicações, os proprietários das aplicações, as lojas de aplicações, os fabricantes de sistemas operativos e de dispositivos (fabricantes de SO e de dispositivos) e outros terceiros que poderão também estar envolvidos na recolha e tratamento de dados pessoais a partir de dispositivos inteligentes, tais como os prestadores de serviços de análise e monitorização estatística de dados e as empresas de publicidade. É dedicada especial atenção ao requisito do consentimento, aos princípios da limitação da finalidade e da minimização dos dados, à necessidade de tomar medidas de segurança adequadas, à obrigação de informar corretamente os utilizadores finais, aos seus direitos, à definição de períodos razoáveis de conservação dos dados e, concretamente, ao tratamento leal dos dados recolhidos junto de crianças e sobre crianças. O seu âmbito de aplicação abrange vários tipos de dispositivos inteligentes, com especial incidência nas aplicações disponíveis para dispositivos móveis inteligentes. 2. Riscos para a proteção de dados A estreita interação com o sistema operativo permite às aplicações aceder a um número significativamente maior de dados do que um programa de navegação tradicional. 5 As aplicações podem recolher grandes quantidades de dados a partir do dispositivo (dados sobre a localização, dados guardados no dispositivo pelo utilizador e dados dos diferentes sensores) e proceder ao seu tratamento a fim de prestar serviços novos e inovadores ao utilizador final. O elevado grau de fragmentação entre os muitos intervenientes no panorama da criação de aplicações representa um elevado risco para a proteção de dados. Um único item de dados do dispositivo pode ser transmitido, em tempo real, para ser objeto de tratamento por todo o mundo ou ser reproduzido entre cadeias de terceiros. Algumas das aplicações mais conhecidas são criadas por grandes empresas de tecnologia, mas muitas outras são concebidas por pequenas start-ups. Um único programador com uma ideia e poucos ou nenhuns conhecimentos prévios de programação pode chegar a uma audiência global num curto espaço de tempo. Os criadores de aplicações que não conheçam os requisitos aplicáveis em matéria de proteção de dados podem criar riscos significativos para a vida privada e para 5 No entanto, graças ao trabalho desenvolvido pelos criadores de jogos Web, os programas de navegação Web dos computadores desktop têm um acesso cada vez maior a dados sensoriais existentes nos dispositivos dos utilizadores finais. 5

6 a reputação dos utilizadores de dispositivos inteligentes. Simultaneamente, os serviços prestados por terceiros, como a publicidade, estão a registar uma rápida evolução e, se forem integrados por um criador de aplicações sem as devidas precauções, poderão divulgar quantidades significativas de dados pessoais. Os principais riscos para os utilizadores finais em matéria de proteção de dados são a falta de transparência e de conhecimento dos tipos de tratamento que uma aplicação pode realizar, conjugada com a inexistência de um consentimento informado dos utilizadores antes desse tratamento. A fragilidade das medidas de segurança adotadas, a aparente tendência para a maximização dos dados e a elasticidade dos fins para os quais os dados pessoais são recolhidos contribuem ainda mais para os riscos em matéria de proteção de dados existentes no atual ambiente de aplicações. Muitos destes riscos foram já analisados e objeto de uma resposta por parte de outras autoridades reguladoras internacionais, como a Comissão Federal do Comércio (FTC) dos EUA, o Gabinete do Comissário para a Privacidade do Canadá e a Procuradora-Geral do Departamento da Justiça da Califórnia. 6 Um dos principais riscos para a proteção de dados é a falta de transparência. Os criadores de aplicações estão limitados pelas funcionalidades disponibilizadas pelos fabricantes de sistemas operativos e pelas lojas de aplicações para assegurar a disponibilização oportuna de informações exaustivas ao utilizador final. No entanto, nem todos os criadores de aplicações tiram partido destas funcionalidades, dado que muitas aplicações não dispõem de uma política de privacidade ou não fornecem aos potenciais utilizadores informações úteis sobre o tipo de dados pessoais que poderão ser tratados pela aplicação e para que finalidades. A falta de transparência é um problema que não afeta apenas as aplicações gratuitas ou de criadores inexperientes, dado que, segundo um estudo recente, apenas 61,3 % das 150 aplicações mais populares disponibilizavam uma política de privacidade. 7 A falta de transparência está estreitamente relacionada com a falta de consentimento livre e informado. Uma vez descarregada a aplicação, o consentimento é frequentemente reduzido a uma caixa que o utilizador final deve assinalar para indicar que aceita os termos e condições, sem lhe ser dada a opção de os recusar expressamente. De acordo com um estudo da GSMA de setembro de 2011, 92 % dos utilizadores de aplicações gostariam de um leque de escolhas mais diversificado Ver, entre outros, o relatório dos serviços da FTC intitulado «Mobile Privacy Disclosures, Building Trust Through Transparency», fevereiro de 2013, relatório dos serviços da FTC intitulado «Mobile Apps for Kids: Current Privacy Disclosures are Disappointing», fevereiro de 2012, e o relatório de seguimento «Mobile Apps for Kids: Disclosures Still Not Making the Grade», dezembro de 2012, Gabinetes dos Comissários para a Privacidade do Canadá, «Seizing Opportunity: Good Privacy Practices for Developing Mobile Apps», outubro de 2012, Kamala D. Harris, Procuradora-Geral do Departamento de Justiça da Califórnia, Privacy on the go, Recommendations for the mobile ecosystem, janeiro de 2013, Estudo da FPF sobre aplicações para dispositivos móveis, junho de 2012, Oitenta e nove por cento dos utilizadores consideram que é importante saber se as suas informações pessoais são partilhadas por uma aplicação e ter a possibilidade de aceitar ou recusar esta partilha. Fonte: User perspectives on mobile privacy, setembro de 2011, 6

7 A fragilidade das medidas de segurança poderá conduzir a um tratamento não autorizado de dados pessoais (sensíveis), por exemplo se um criador de aplicações sofrer uma violação de dados pessoais ou se a própria aplicação for responsável pela fuga de dados pessoais. Outro risco para a proteção de dados prende-se com o desrespeito (intencional ou devido a ignorância) do princípio da limitação da finalidade, nos termos do qual só é permitida a recolha e tratamento de dados pessoais para fins específicos e legítimos. Os dados pessoais recolhidos por aplicações podem ser largamente distribuídos por diversos terceiros para fins indeterminados ou elásticos, como «pesquisa de mercado». O princípio da minimização dos dados também é objeto de um desrespeito alarmante. Estudos recentes revelaram que muitas aplicações recolhem abundantemente dados a partir de telemóveis inteligentes sem que exista qualquer relação pertinente com a funcionalidade aparente da aplicação. 9 3 Princípios da proteção de dados 3.1 Legislação aplicável O quadro jurídico europeu relevante é a Diretiva Proteção de Dados (95/46/CE), aplicável a qualquer situação em que a utilização de aplicações existentes em dispositivos inteligentes envolva o tratamento de dados pessoais de pessoas singulares. Para identificar a legislação aplicável, é fundamental conhecer, em primeiro lugar, o papel desempenhado pelas diferentes partes envolvidas: a identificação do responsável ou responsáveis pelo tratamento realizado através de aplicações móveis é particularmente importante para a determinação da legislação aplicável, constituindo um elemento decisivo para desencadear a aplicação da legislação da UE em matéria de proteção de dados, embora não seja o único critério. De acordo com o artigo 4.º, n.º 1, alínea a), da Diretiva Proteção de Dados, o direito nacional de um Estado-Membro é aplicável a todo o tratamento de dados pessoais efetuado «no contexto das atividades de um estabelecimento» do responsável pelo tratamento no território desse Estado-Membro. Nos termos da alínea c) do mesmo artigo, o direito nacional de um Estado-Membro também é aplicável nos casos em que o responsável pelo tratamento não estiver estabelecido no território da Comunidade e recorrer a meios situados no território desse Estado-Membro. Uma vez que o dispositivo desempenha um papel instrumental no tratamento de dados pessoais obtidos junto do utilizador e sobre o utilizador, este critério é geralmente preenchido. 10 No entanto, esta disposição só é relevante se o responsável pelo tratamento não estiver estabelecido na UE. Consequentemente, sempre que uma parte envolvida na criação, distribuição e funcionamento de aplicações for considerada responsável pelo tratamento, essa parte será responsável, isoladamente ou em conjunto com outras, pela garantia do cumprimento de todos os requisitos estabelecidos ao abrigo da Diretiva Proteção de Dados. A identificação do papel das partes envolvidas em aplicações móveis será objeto de uma análise mais aprofundada no ponto 3.3 infra. Além da Diretiva Proteção de Dados, a Diretiva Privacidade Eletrónica (2002/58/CE), com a redação dada pela Diretiva 2009/136/CE, estabelece uma norma específica para todas as partes do mundo que pretendam armazenar informações ou aceder a informações armazenadas nos dispositivos de utilizadores no Espaço Económico Europeu (EEE) Wall Street Journal, Your Apps Are Watching You, Na medida em que a aplicação gera tráfico com dados pessoais para os responsáveis pelo tratamento de dados. Este critério poderá não ser preenchido se os dados apenas forem objeto de um tratamento local, no próprio dispositivo. 7

8 O artigo 5.º, n.º 3 da Diretiva Privacidade Eletrónica impõe que o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador só sejam permitidos se este tiver dado o seu consentimento prévio com base em informações claras e completas, nos termos da Diretiva 95/46/CE, nomeadamente sobre os objetivos do processamento. ( ) Embora muitas disposições da Diretiva Privacidade Eletrónica sejam apenas aplicáveis a serviços de comunicações eletrónicas publicamente disponíveis e a fornecedores de redes públicas de comunicações na Comunidade Europeia, o artigo 5º, n.º 3 aplica-se a qualquer entidade que coloque informações em dispositivos inteligentes ou leia informações a partir dos mesmos. Esta disposição é aplicável independentemente da natureza da entidade (ou seja, públicas e privadas, programadores individuais e grandes empresas ou responsáveis pelo tratamento de dados, subcontratantes e terceiros). O requisito do consentimento previsto no artigo 5.º, n.º 3 é aplicável a qualquer informação, independentemente da natureza dos dados que são armazenados ou acedidos. O âmbito não se limita aos dados pessoais; incluem-se no conceito de informação todo o tipo de dados armazenados no dispositivo. O requisito do consentimento do artigo 5.º, n.º 3, da Diretiva Privacidade Eletrónica é aplicável aos serviços oferecidos «na Comunidade», ou seja, a todas as pessoas que vivem no Espaço Económico Europeu, independentemente da localização do prestador de serviços. É importante que os criadores de aplicações saibam que ambas as diretivas são leis imperativas, na medida em que os direitos individuais são intransmissíveis e não se encontram na disponibilidade das partes. Tal significa que a aplicabilidade da legislação europeia em matéria de privacidade não pode ser afastada por meio de uma declaração unilateral ou contrato Dados pessoais tratados por aplicações Muitos tipos de dados armazenados num dispositivo inteligente ou por este gerados são dados pessoais. Nos termos do considerando 24 da Diretiva Privacidade Eletrónica: «O equipamento terminal dos utilizadores de redes de comunicações eletrónicas e todas as informações armazenadas nesse equipamento constituem parte integrante da esfera privada dos utilizadores e devem ser protegidos ao abrigo da Convenção Europeia para a Proteção dos Direitos Humanos e das Liberdades Fundamentais.» São dados pessoais sempre que se referirem a uma pessoa que seja diretamente (por exemplo, pelo nome) ou indiretamente identificável pelo responsável pelo tratamento ou por um terceiro. Podem respeitar ao proprietário do dispositivo ou a qualquer outra pessoa, como acontece com as informações de contacto de amigos num livro de endereços. 12 Os dados podem ser recolhidos e tratados no dispositivo ou, uma vez transferidos, noutro local na infraestrutura dos criadores de aplicações ou de Por exemplo, declarações que estipulem a aplicabilidade exclusiva da legislação de uma jurisdição fora do EEE. Os dados podem ser (i) gerados automaticamente pelo dispositivo com base em funcionalidades pré-determinadas pelo fabricante do SO e/ou dispositivo ou pelo prestador de serviços de telefonia móvel em causa (por exemplo, dados de geolocalização, definições da rede, endereço IP); (ii) gerados pelo utilizador através de aplicações (listas de contactos; notas; fotografias); (iii) gerados pelas aplicações (por exemplo, histórico de navegação). 8

9 terceiros, através de uma ligação a uma API externa, em tempo real e sem conhecimento do utilizador final. São exemplos de dados pessoais suscetíveis de ter um impacto significativo nas vidas privadas dos utilizadores e de outras pessoas: A localização Os contactos Os identificadores únicos dos dispositivos e dos clientes (tais como o IMEI 13, o IMSI 14, o UDID 15 e o número de telemóvel) A identidade do titular de dados A identidade do telefone (ou seja, nome do telefone 16 ) Os dados sobre cartões de crédito e pagamento Os registos de chamadas telefónicas, SMS ou mensagens instantâneas O histórico de navegação O correio eletrónico As credenciais de autenticação de serviços da sociedade da informação (especialmente serviços com funcionalidades sociais) As imagens e vídeos Os dados biométricos (por exemplo, modelos de impressões digitais e de reconhecimento facial). 3.3 Partes envolvidas no tratamento de dados São muitas as partes envolvidas na criação, distribuição e funcionamento de aplicações, e cada uma tem responsabilidades diferentes no domínio da proteção de dados. É possível identificar quatro partes principais. São elas: (i) os criadores das aplicações (incluindo os proprietários das aplicações) 17 ; (ii) os fabricantes do sistema operativo e do dispositivo («fabricantes do SO e do dispositivo») 18 ; (iii) as lojas de aplicações (o distribuidor da aplicação); e, por último, (iv) outras partes envolvidas no tratamento de dados pessoais. Em alguns casos, as responsabilidades no domínio da proteção de dados são partilhadas, especialmente quando a mesma entidade está envolvida em várias fases (por exemplo, quando o fabricante do SO também controla a loja de aplicações). Os utilizadores finais também devem assumir certas responsabilidades, na medida em que criam e armazenam dados pessoais através dos seus dispositivos móveis. Se este tratamento servir fins puramente pessoais ou domésticos, a Diretiva Proteção de Dados não será aplicável (artigo 3.º, n.º 2) e o utilizador estará isento das obrigações formais em matéria de proteção de dados. Porém, se os utilizadores decidirem partilhar dados através da aplicação (por exemplo, disponibilizando Identidade Internacional do Equipamento Móvel Identidade Internacional de Assinante Móvel Identificador único do dispositivo Os utilizadores dão geralmente o seu verdadeiro nome ao telefone: «iphone da Maria». O Grupo de Trabalho utiliza a terminologia comum de «criadores de aplicações», mas salienta que o termo não se restringe aos programadores ou criadores técnicos das aplicações, abrangendo também os proprietários das aplicações, ou seja, as empresas e organizações que contratam a criação de aplicações e determinam as suas finalidades. Em alguns casos, o fabricante do SO e o fabricante do dispositivo são a mesma entidade, enquanto noutros o fabricante do dispositivo é uma empresa diferente do fornecedor do SO. 9

10 publicamente informações a um número indeterminado de pessoas 19 através de uma aplicação de redes sociais), estarão a proceder a um tratamento que ultrapassa as condições da isenção para fins domésticos Criadores de aplicações Os criadores de aplicações criam aplicações e/ou colocam-nas à disposição dos utilizadores finais. Esta categoria inclui organizações do setor público e privado que subcontratam a criação de aplicações, bem como as empresas e as pessoas que criam e lançam aplicações. Os criadores de aplicações concebem e/ou criam o software que será executado nos telemóveis inteligentes e, como tal, decidem em que medida a aplicação poderá aceder às diferentes categorias de dados pessoais e proceder ao seu tratamento, no dispositivo e/ou através de recursos de computação remota (unidades de computação dos criadores de aplicações ou de terceiros). Se o criador da aplicação determinar as finalidades e os meios do tratamento de dados pessoais nos dispositivos inteligentes, será o responsável pelo tratamento dos dados na aceção do artigo 2.º, alínea d) da Diretiva Proteção de Dados. Nesse caso, terá que cumprir todas as disposições desta Diretiva. As disposições mais importantes são explicadas nos pontos 3.4 a 3.10 do presente parecer. Mesmo se a isenção respeitante aos fins domésticos for aplicável a um utilizador, o criador da aplicação continuará a ser o responsável pelo tratamento caso trate dados para os seus próprios fins. Esta situação é relevante, por exemplo, se a aplicação necessitar de aceder a todo o livro de endereços para prestar o serviço (mensagens instantâneas, chamadas telefónicas, chamadas de vídeo). As responsabilidades do criador da aplicação serão consideravelmente menores se não forem tratados e/ou disponibilizados dados pessoais fora do dispositivo ou se aquele tiver tomado medidas técnicas e organizativas adequadas para assegurar a agregação e a anonimização irreversíveis dos dados no próprio dispositivo, antes de quaisquer dados saírem do mesmo. Em qualquer caso, se o criador da aplicação tiver acesso a informações que se encontram armazenadas no dispositivo, a Diretiva Privacidade Eletrónica também será aplicável e aquele terá que cumprir o requisito do consentimento estipulado no seu artigo 5.º, n.º 3. Se o criador da aplicação subcontratar um terceiro para realizar uma parte ou a totalidade das operações de tratamento de dados e esse terceiro assumir o papel de responsável pelo tratamento, o criador da aplicação terá de cumprir todas as obrigações relacionadas com o recurso a um subcontratante. Inclui-se aqui também o recurso a um prestador de serviços de computação em nuvem (por exemplo, para armazenamento externo de dados). 21 Na medida em que o criador da aplicação permita o acesso de terceiros aos dados do utilizador (como, por exemplo, o acesso de uma rede de publicidade aos dados de geolocalização do dispositivo para fins de publicidade comportamental), terá de utilizar mecanismos adequados para cumprir os 19 Ver processos do Tribunal de Justiça Europeu: Processo C-101/01, Processo-crime contra Bodil Lindqvist, acórdão de 6 de novembro de 2003 e Processo C-73/07 Tietosuojavaltuutettu contra SatakunnanMarkkinapörssiOy e SatamediaOy, acórdão de 16 de dezembro de Ver o Parecer 5/2009 do Grupo de Trabalho do artigo 29.º sobre as redes sociais em linha (junho de 2009), 20 Ver o Parecer 5/2009 do Grupo de Trabalho do artigo 29.º sobre as redes sociais em linha (junho de 2009), 21 Ver o Parecer 05/2012 Grupo de Trabalho do artigo 29.º relativo a computação em nuvem do (julho de 2012), 10

11 requisitos aplicáveis ao abrigo do quadro jurídico da UE. Se o terceiro aceder a dados armazenados no dispositivo, será aplicável a obrigação de obter o consentimento informado prevista no artigo 5.º, n.º 3, da Diretiva Privacidade Eletrónica. Além disso, se o terceiro tratar dados pessoais para os seus próprios fins, poderá também ser corresponsável pelo tratamento de dados, juntamente com o criador da aplicação, pelo que terá de assegurar o respeito pelo princípio da limitação da finalidade e o cumprimento das obrigações em matéria de segurança 22 relativamente à parte do tratamento para a qual determina as finalidades e os meios. Uma vez que poderão ter sido celebrados diferentes tipos de acordos tanto comerciais como técnicos entre os criadores de aplicações e terceiros, a responsabilidade de cada parte terá que ser determinada caso a caso, tendo em conta as características específicas do tratamento em causa. O criador de uma aplicação poderá utilizar bibliotecas de terceiros com software que proporciona funcionalidades comuns como, por exemplo, uma biblioteca para uma plataforma de jogos sociais. O criador da aplicação deve certificar-se de que os utilizadores têm conhecimento de qualquer tratamento de dados realizado por tais bibliotecas e, se for esse o caso, que esse tratamento cumpre o quadro jurídico da UE, nomeadamente, quando relevante, obtendo o consentimento do utilizador. Nesse sentido, os criadores de aplicações têm de evitar o uso de funcionalidades que não são visíveis para o utilizador Fabricantes de SO e de dispositivos Os fabricantes de SO e de dispositivos também devem ser considerados responsáveis pelo tratamento (e, em certos casos, corresponsáveis pelo tratamento) de quaisquer dados pessoais que sejam tratados para os seus próprios fins, como o bom funcionamento do dispositivo, a segurança, etc. Incluir-se-iam aqui os dados gerados pelo utilizador (por exemplo, os dados do utilizador fornecidos no momento do registo), os dados gerados automaticamente pelo dispositivo (por exemplo, se o dispositivo possuir a funcionalidade de ligação automática ao servidor «telefonar para casa» para indicar o seu paradeiro) e os dados pessoais tratados pelo fabricante do SO ou do dispositivo e resultantes da instalação ou da utilização das aplicações. Sempre que o fabricante do SO ou do dispositivo disponibilizar funcionalidades adicionais, tais como uma função de cópias de segurança ou de localização remota, será igualmente considerado responsável pelo tratamento de dados pessoais para este fim. As aplicações que necessitam de acesso a dados de geolocalização têm de utilizar os serviços de localização do SO. Quando uma aplicação utiliza a geolocalização, o SO poderá recolher dados pessoais para lhe fornecer as informações de geolocalização, podendo igualmente ponderar a utilização dos dados para melhorar os seus próprios serviços de localização. Relativamente a esta última finalidade, o responsável pelo tratamento dos dados é o SO. Os fabricantes de SO e de dispositivos também são responsáveis pela interface de programação da aplicação (API) que possibilita o tratamento de dados pessoais por aplicações nos dispositivos inteligentes. O criador da aplicação poderá aceder às funcionalidades e funções que os fabricantes de SO e de dispositivos disponibilizam através da API. Uma vez que os fabricantes de SO e de dispositivos determinam os meios (e o grau) de acesso a dados pessoais, têm de se certificar de que o criador da aplicação possui um controlo suficientemente diferenciado para que apenas seja concedido acesso aos dados que sejam necessários para o funcionamento da aplicação. Estes fabricantes devem ainda assegurar a possibilidade de revogar este acesso de forma simples e eficaz. 22 Ver o Parecer 2/2010 Grupo de Trabalho do artigo 29.º sobre publicidade comportamental em linha (junho de 2010), e o Parecer 1/2010 Grupo de Trabalho do artigo 29.º sobre os conceitos de «responsável pelo tratamento» e «subcontratante» (fevereiro de 2010), 11

12 O conceito de «privacidade desde a conceção» (privacy by design) é um princípio importante que já é indiretamente mencionado na Diretiva Proteção de Dados 23 e que, juntamente com o conceito de «privacidade por defeito» (privacy by default), surge de forma mais clara na Diretiva Privacidade Eletrónica. 24 Este princípio exige que os fabricantes de um dispositivo ou de uma aplicação incorporem a proteção de dados desde o início da sua conceção. A Diretiva relativa aos equipamentos de rádio e equipamentos terminais de telecomunicações prevê expressamente a privacidade desde a conceção para o equipamento de telecomunicações. 25 Assim, os fabricantes de SO e de dispositivos, bem como as lojas de aplicações, têm a importante responsabilidade de proporcionar salvaguardas que assegurem a proteção dos dados pessoais e da privacidade dos utilizadores de aplicações. Tal inclui assegurar a disponibilidade de mecanismos adequados para informar e educar o utilizador final sobre o que as aplicações podem fazer e a que dados têm acesso, bem como disponibilizar definições apropriadas para os utilizadores das aplicações alterarem os parâmetros do tratamento Lojas de aplicações Cada um dos tipos mais utilizados de dispositivo inteligente tem a sua própria loja de aplicações e, muitas vezes, um determinado SO está profundamente integrado com uma determinada loja de aplicações. As lojas de aplicações processam frequentemente pagamentos de aplicações a pronto e podem igualmente suportar compras in-app, exigindo, por conseguinte, o registo do utilizador, que terá de fornecer o seu nome, morada e dados financeiros. Estes dados (diretamente) identificáveis podem ser combinados com dados sobre o comportamento em matéria de compras e utilização e com dados lidos a partir do dispositivo ou gerados por este (tais como os identificadores únicos). Relativamente ao tratamento destes dados pessoais, o responsável pelo tratamento será provavelmente a loja de aplicações, mesmo que transmita essas informações aos criadores das aplicações. Quando a loja de aplicações procede ao tratamento do histórico de descarregamento ou de utilização de aplicações de um utilizador final (ou de outra função semelhante) para restaurar aplicações descarregadas anteriormente, será também o responsável pelo tratamento de dados pessoais para este fim. As lojas de aplicações registam os dados de acesso, bem como o histórico de aplicações compradas anteriormente, pedindo ainda ao utilizador o número do cartão de crédito que será guardado com a sua conta. A loja de aplicações é o responsável pelo tratamento em relação a estas operações. Por outro lado, os sítios Web que permitem o descarregamento de uma aplicação e a sua instalação no dispositivo sem qualquer autenticação não estarão provavelmente a tratar quaisquer dados pessoais. As lojas de aplicações estão numa posição importante para permitir que os criadores de aplicações forneçam informações adequadas sobre a aplicação, nomeadamente os tipos de dados que a aplicação pode tratar e para que fins. As lojas de aplicações podem fazer cumprir estas regras através da sua Ver considerando 46 e artigo 17.º. Ver artigo 14.º, n.º 3. Diretiva 1999/5/CE, de 9 de março de 1999, relativa aos equipamentos de rádio e aos equipamentos terminais de telecomunicações e ao reconhecimento mútuo da sua conformidade (JO L 91 de , p. 10). O artigo 3.º, n.º 3, alínea c) estabelece que a Comissão Europeia pode decidir que os aparelhos destinados a utilizadores finais sejam construídos por forma a incluírem salvaguardas que assegurem a proteção dos dados pessoais e da privacidade do utilizador e do assinante. O Grupo de Trabalho congratula-se com as recomendações formuladas pela FTC nesta matéria no relatório intitulado «Mobile Privacy Disclosures» referido na nota 6 supra, o qual refere, por exemplo, na página 15 que as plataformas se encontram numa posição privilegiada para divulgarem informações coerentes em todas as aplicações e são encorajadas a fazê-lo, acrescentando que deveriam ainda considerar a divulgação destas informações em vários momentos. 12

13 política de aceitação (com base em controlos ex ante ou ex post). Em colaboração com o fabricante do SO, a loja de aplicações pode desenvolver um quadro para permitir que os criadores de aplicações disponibilizem avisos informativos úteis e coerentes (tais como símbolos que representem determinados tipos de acesso a dados sensoriais) e incluí-los, de forma bem visível, no seu catálogo Terceiros Existem muitos terceiros diferentes envolvidos no tratamento de dados através da utilização de aplicações. Por exemplo, muitas aplicações gratuitas são pagas por publicidade, que pode ser, designadamente, publicidade contextual ou personalizada, viabilizada por mecanismos de monitorização como os testemunhos de conexão (ou cookies) ou outros identificadores dos dispositivos. A publicidade pode consistir numa faixa dentro da aplicação, em anúncios fora da aplicação que são exibidos mediante a modificação das definições do programa de navegação ou a colocação de ícones no ambiente de trabalho do dispositivo móvel ou exibidos através de uma organização personalizada do conteúdo da aplicação (por exemplo, resultados de pesquisas patrocinados). A publicidade para aplicações é geralmente realizada por redes de publicidade e intermediários semelhantes, que poderão ser o fabricante do SO ou a loja de aplicações ou estar ligados a estes. Tal como referido no Parecer 2/2010, 27 a publicidade em linha implica frequentemente o tratamento de dados pessoais, de acordo com a definição do artigo 2.º da Diretiva Proteção de Dados e a interpretação do Grupo de Trabalho do artigo 29.º. 28 São também exemplos de terceiros os prestadores de serviços de análise e monitorização estatística de dados e os prestadores de serviços de comunicações. Os primeiros ajudam os criadores de aplicações a compreender a utilização, a popularidade e a usabilidade das suas aplicações. Os prestadores de serviços de comunicações 29 poderão também desempenhar um papel importante na determinação das pré-definições e das atualizações de segurança de muitos dispositivos e poderão igualmente tratar dados sobre a utilização das aplicações. A sua personalização («branding») poderá ter consequências para as possíveis medidas técnicas e funcionais que o utilizador pode aplicar para proteger os seus dados pessoais. Em comparação com os criadores de aplicações, os terceiros podem desempenhar dois tipos de papéis: um consiste em executar operações para o proprietário da aplicação como, por exemplo, prestar serviços de análise e monitorização estatística de dados dentro da aplicação. Nesse caso, quando agem exclusivamente por conta do criador da aplicação e não tratam dados para os seus próprios fins e/ou partilham dados com vários criadores, é provável que estejam a atuar como subcontratantes. O outro papel consiste em recolher informações de várias aplicações para prestar serviços adicionais: fornecer dados analíticos em maior escala (popularidade da aplicação, recomendação personalizada) ou evitar a exibição do mesmo anúncio ao mesmo utilizador. Quando terceiros procedem ao tratamento de dados para os seus próprios fins, estão a atuar como responsáveis pelo tratamento e, como tal, têm de cumprir todas as disposições aplicáveis da Diretiva Proteção de Dados. 30 No caso da Parecer 2/2010 do Grupo de Trabalho do artigo 29.º sobre publicidade comportamental em linha (junho de 2010), Ver também a interpretação do conceito de dados pessoais no Parecer 4/2007 do Grupo de Trabalho do artigo 29.º sobre o conceito de dados pessoais (junho de 2007), Os prestadores de serviços de comunicações também estão sujeitos a obrigações em matéria de proteção de dados aplicáveis especificamente ao seu setor, que estão fora do âmbito do presente parecer. Parecer 2/2010 do Grupo de Trabalho do artigo 29.º sobre publicidade comportamental em linha, p

14 publicidade comportamental, o responsável pelo tratamento dos dados tem de obter o consentimento válido do utilizador para recolher e tratar dados pessoais, nomeadamente para a análise e combinação de dados pessoais e a criação e/ou aplicação de perfis. Tal como explicado anteriormente pelo Grupo de Trabalho do artigo 29.º no Parecer 2/2010 sobre publicidade comportamental em linha, a forma mais adequada de obter esse consentimento é através de um mecanismo de aceitação prévia. Uma empresa fornece métricas a proprietários de aplicações e anunciantes através de mecanismos de monitorização (trackers) incorporados, pelo criador, nas aplicações. Os trackers da empresa podem, assim, ser instalados em muitas aplicações e dispositivos. Um dos seus serviços consiste em informar os criadores de aplicações sobre as outras aplicações utilizadas por um utilizador através da recolha de um identificador único. A empresa define os meios (ou seja, os trackers) e as finalidades das suas ferramentas antes de as colocar à disposição dos criadores de aplicações, anunciantes e outros e, por conseguinte, atua como responsável pelo tratamento de dados. Se terceiros acederem ou armazenarem informações no dispositivo inteligente, terão de cumprir o requisito do consentimento previsto no artigo 5.º, n.º 3, da Diretiva Privacidade Eletrónica. Neste contexto, importa salientar que, nos dispositivos inteligentes, a possibilidade de os utilizadores instalarem software para controlar o tratamento de dados pessoais é mais limitada do que num ambiente Web de um computador desktop. Ao invés de recorrerem a testemunhos de conexão, os terceiros acedem frequentemente a identificadores únicos para identificar (grupos de) utilizadores e oferecerem serviços direcionados para os mesmos, incluindo anúncios publicitários. Uma vez que os utilizadores não podem eliminar ou alterar muitos destes identificadores (tais como IMEI, IMSI, MSISDN 31 e identificadores únicos específicos do dispositivo adicionados pelo sistema operativo), estes terceiros podem tratar volumes significativos de dados pessoais sem qualquer controlo por parte do utilizador final. 3.4 Fundamento jurídico O tratamento de dados pessoais tem de ter por base um dos fundamentos enumerados no artigo 7.º da Diretiva Proteção de Dados. Este artigo distingue seis fundamentos jurídicos para o tratamento de dados: o consentimento do titular de dados dado de forma inequívoca; a necessidade da execução de um contrato com o titular de dados; o objetivo de proteção de interesses vitais do titular de dados; a necessidade de cumprimento de uma obrigação legal; (para autoridades públicas) a execução de uma missão de interesse público; e a necessidade de prosseguir interesses (comerciais) legítimos. No que respeita ao armazenamento de informações ou à possibilidade de acesso a informações já armazenadas no dispositivo inteligente, o artigo 5.º, n.º 3 da Diretiva Privacidade Eletrónica (ou seja, o requisito do consentimento para colocar ou recolher informações de um dispositivo) estabelece mais limitações ou restrições aos fundamentos jurídicos que podem ser invocados Consentimento anterior à instalação e ao tratamento de dados pessoais No caso das aplicações, o principal fundamento jurídico é o consentimento. Quando uma aplicação é instalada, são colocadas informações no dispositivo do utilizador final. Muitas aplicações também acedem a dados armazenados no dispositivo, contactos no livro de endereços, imagens, vídeos e outros documentos pessoais. Em todos estes casos, o artigo 5.º, n.º 3 da Diretiva Privacidade Eletrónica exige que o utilizador preste o seu consentimento com base em informações claras e completas antes da colocação e recolha de informações do dispositivo. 31 Mobile Station Integrated Services Digital Network 14

15 Importa chamar a atenção para a distinção entre o consentimento exigido para colocar quaisquer informações no dispositivo e ler informações armazenadas no dispositivo, e o consentimento necessário para haver fundamento jurídico para o tratamento de diferentes tipos de dados pessoais. Embora ambos os requisitos de consentimento sejam simultaneamente aplicáveis, cada um deles com base num fundamento jurídico diferente, o consentimento tem de ser, em ambos os casos, livre, específico e informado (de acordo com a definição constante do artigo 2.º, alínea h) da Diretiva Proteção de Dados). Por conseguinte, é possível aglutinar os dois tipos de consentimento na prática, quer durante a instalação quer antes de a aplicação começar a recolher dados pessoais a partir do dispositivo, desde que o utilizador seja inequivocamente informado do objeto do seu consentimento. Muitas lojas de aplicações proporcionam aos criadores de aplicações a oportunidade de informarem os utilizadores finais sobre as funcionalidades básicas de uma aplicação antes da instalação e requerem uma ação positiva por parte do utilizador antes de a aplicação ser descarregada e instalada (ou seja, clicar no botão «Instalar»). Embora essa ação possa, em certos casos, satisfazer o requisito do consentimento previsto no artigo 5.º, n.º 3, é pouco provável que forneça informações suficientes para servir como consentimento válido para o tratamento de dados pessoais. Este tema já foi anteriormente discutido pelo Grupo de Trabalho do artigo 29.º no seu Parecer 15/2011 sobre a definição de consentimento. 32 No contexto dos dispositivos inteligentes, «livre» significa que o utilizador tem de poder escolher entre aceitar ou recusar o tratamento dos seus dados pessoais. Assim, se uma aplicação necessitar de tratar dados pessoais, o utilizador tem de ter a liberdade de o aceitar ou recusar. O utilizador não deve ser confrontado com um ecrã que contenha apenas a opção «Sim, aceito» para poder concluir a instalação. Também tem de estar disponível uma opção para «Cancelar» ou parar de outro modo a instalação. «Informado» significa que o titular de dados tem de ter ao seu dispor as informações necessárias para avaliar corretamente a situação. 33 A fim de evitar qualquer ambiguidade, essas informações têm de ser disponibilizadas antes do tratamento dos dados pessoais. Isso inclui o tratamento de dados durante a instalação, por exemplo, para fins de depuração («debugging») ou monitorização. O teor e a forma de tais informações é um aspeto que será desenvolvido no ponto 3.7 do presente parecer. «Específico» significa que a manifestação de vontade tem de estar relacionada com o tratamento de um determinado item de dados ou de uma categoria limitada de tratamento de dados. É por este motivo que um simples clique num botão «instalar» não pode ser considerado um consentimento válido para o tratamento de dados pessoais, pois o consentimento não pode ser uma autorização genérica. Em alguns casos, quando é solicitado o consentimento para cada tipo de dados a que a aplicação pretende aceder, os utilizadores têm a possibilidade de dar um consentimento diferenciado. 34 Esta abordagem permite satisfazer dois importantes requisitos legais: em primeiro lugar, o de informar adequadamente o utilizador sobre elementos importantes do serviço e, em segundo, o de solicitar o consentimento específico para cada um deles. 35 A abordagem alternativa, em que o criador da Parecer 15/2011 do Grupo de Trabalho do artigo 29.º sobre a definição de consentimento (julho de 2011), 29/documentation/opinionrecommendation/files/2011/wp187_pt.pdf Idem, p. 21. O consentimento considera-se diferenciado quando as pessoas podem controlar (especificamente) as funções de tratamento de dados pessoais oferecidas pela aplicação que pretendem ativar. A necessidade de um consentimento diferenciado é também expressamente subscrita pelos serviços da FTC no seu relatório mais recente (nota 6 supra), que refere, a p , que as plataformas deveriam considerar o 15

16 aplicação pede aos utilizadores para aceitarem um longo conjunto de termos e condições e/ou política de privacidade, não constitui um consentimento específico. 36 A natureza específica do consentimento também está relacionada com a prática de monitorizar o comportamento dos utilizadores adotada por anunciantes e quaisquer outros terceiros. As prédefinições dos SO e das aplicações devem evitar qualquer tipo de monitorização, a fim de permitir que os utilizadores deem o seu consentimento específico para este tipo de tratamento de dados. Estas pré-definições não podem ser contornadas por terceiros, como acontece muitas vezes atualmente com os mecanismos «Do Not Track» implementados nos programas de navegação. Exemplos de consentimento específico Uma aplicação fornece informações sobre os restaurantes existentes nas proximidades. Para ser instalada, o criador da aplicação tem de obter o consentimento. Para aceder aos dados de geolocalização, o criador da aplicação tem de solicitar separadamente o consentimento, por exemplo, durante a instalação ou antes do acesso à geolocalização. Para ser específico, o consentimento tem de se limitar ao objetivo específico de informar o utilizador sobre os restaurantes existentes nas proximidades. Consequentemente, só é possível aceder aos dados de localização a partir do dispositivo quando o utilizador estiver a usar a aplicação para aquele fim. O consentimento do utilizador para o tratamento de dados de geolocalização não autoriza a aplicação a recolher continuamente dados de localização a partir do dispositivo. Este tratamento posterior exigiria informações adicionais e um consentimento separado. Da mesma forma, para que uma aplicação de comunicação aceda à lista de contactos, o utilizador tem de poder selecionar os contactos com os quais deseja comunicar, ao invés de ter de conceder o acesso a todo o livro de endereços (incluindo a dados de contacto de pessoas que não utilizam aquele serviço e que não poderiam ter dado o seu consentimento para o tratamento de dados relacionados com elas). Porém, importa salientar que, mesmo que o consentimento reúna as três características anteriormente descritas, não corresponde a uma licença para um tratamento desleal e ilícito. Se a finalidade do tratamento de dados for excessiva e/ou desproporcionada, mesmo que o utilizador tenha dado o seu consentimento, o criador da aplicação não terá um fundamento jurídico válido para esse tratamento e provavelmente violará a Diretiva Proteção de Dados. Exemplo de tratamento de dados excessivo e ilícito Uma aplicação de despertador oferece uma funcionalidade opcional que permite ao utilizador silenciar o alarme ou ativar o modo «snooze» com um comando verbal. Neste exemplo, o consentimento para a gravação limitar-se-ia ao momento em que o alarme toca. Qualquer monitorização ou gravação de áudio noutro momento seria provavelmente considerada excessiva e ilícita. No caso de aplicações instaladas no dispositivo por defeito (antes de o utilizador final adquirir o dispositivo) ou outras operações de tratamento realizadas pelo SO que têm como fundamento jurídico o consentimento, os responsáveis pelo tratamento têm de analisar cuidadosamente a validade desse consentimento. Em muitos casos, deveria ser considerado um mecanismo de consentimento separado, 36 fornecimento oportuno de informações e a obtenção do consentimento expresso afirmativo para a recolha de outro conteúdo que muitos consumidores considerariam sensível em vários contextos, tais como fotografias, contactos, anotações em calendários e gravações de áudio ou de vídeo. O mesmo relatório acrescenta, a p , que um consentimento genérico sem indicação concreta do objetivo do tratamento com o qual o titular de dados concorda, não cumpre o referido requisito. Defende, assim, que as informações sobre a finalidade do tratamento não devem ser incluídas nas disposições gerais, devendo antes constar de uma cláusula específica sobre o consentimento. 16

17 possivelmente quando a aplicação fosse executada pela primeira vez, a fim de dar ao responsável pelo tratamento oportunidade suficiente para informar plenamente o utilizador final. Quando os dados se integram em categorias específicas, tal como definidas no artigo 8.º da Diretiva Proteção de Dados, o consentimento tem de ser expresso. Por último, importa ainda sublinhar que os utilizadores têm de ter a possibilidade de revogar o seu consentimento de forma simples e eficaz. Esta questão será desenvolvida no ponto 3.8 do presente parecer Fundamentos jurídicos para o tratamento de dados durante a utilização da aplicação Tal como explicado anteriormente, o consentimento é o fundamento jurídico para que o criador da aplicação possa ler e/ou escrever licitamente informações e, consequentemente, proceder ao tratamento de dados pessoais. Numa fase posterior, durante a utilização da aplicação, o criador da aplicação poderá invocar outros fundamentos jurídicos para outros tipos de tratamento de dados, desde que tal não envolva o tratamento de dados pessoais sensíveis. Entre estes fundamentos jurídicos contam-se a necessidade para a execução de um contrato com o titular de dados ou a necessidade para a prossecução de interesses (comerciais) legítimos (artigo 7.º, alíneas b) e f), da Diretiva Proteção de Dados). Estes fundamentos jurídicos respeitam apenas ao tratamento de dados pessoais não sensíveis de um utilizador específico e só podem ser invocados se uma determinada operação de tratamento for absolutamente necessária para prestar o serviço pretendido ou, no caso do artigo 7.º, alínea f), apenas se os referidos interesses não forem afastados pelos interesses de proteção dos direitos e liberdades fundamentais do titular de dados. Exemplos do fundamento jurídico contratual Um utilizador dá o seu consentimento para a instalação de uma aplicação de banca móvel. Para satisfazer um pedido para efetuar um pagamento, o banco não tem de solicitar especificamente o consentimento do utilizador para divulgar o seu nome e o número da sua conta bancária ao destinatário do pagamento. Esta divulgação é absolutamente necessária para executar o contrato celebrado com este utilizador específico e, como tal, o banco pode invocar o fundamento jurídico previsto no artigo 7.º, alínea b) da Diretiva Proteção de Dados. Este raciocínio também é válido para as aplicações de comunicações: quando fornecem informações essenciais, tais como o nome da conta, o endereço de correio eletrónico ou o número de telefone à pessoa com quem o utilizador pretende comunicar, a divulgação é obviamente necessária para executar o contrato. 3.5 Limitação da finalidade e minimização dos dados Dois princípios fundamentais subjacentes à Diretiva Proteção de Dados são a limitação da finalidade e a minimização dos dados. A limitação da finalidade permite aos utilizadores fazer uma escolha deliberada de confiar a outra pessoa os seus dados pessoais, uma vez que serão informados do modo como os seus dados são utilizados e poderão recorrer à descrição limitativa da finalidade para compreender para que fins os seus dados serão utilizados. Por conseguinte, as finalidades do tratamento de dados têm de estar bem definidas e ser compreensíveis para um utilizador médio sem conhecimentos técnicos ou jurídicos especializados. Simultaneamente, a limitação da finalidade exige que os criadores de aplicações estejam bem cientes dos seus argumentos antes de começarem a recolher dados pessoais junto dos utilizadores. Só é permitido proceder ao tratamento de dados para fins leais e lícitos (artigo 6.º, n.º 1, alínea a) da Diretiva Proteção de Dados) e esses fins têm de estar definidos antes do início do tratamento de dados. 17

18 O princípio da limitação da finalidade não admite alterações súbitas nas condições essenciais do tratamento. Por exemplo, uma aplicação tinha inicialmente por finalidade permitir que os utilizadores enviassem mensagens de correio eletrónico uns aos outros, mas o criador da aplicação decide alterar o seu modelo de negócios e junta os endereços de correio eletrónico dos seus utilizadores com os números de telefone dos utilizadores de outra aplicação. Neste caso, os responsáveis pelo tratamento de dados de cada uma das partes teriam de contactar individualmente todos os utilizadores e solicitar o seu consentimento prévio inequívoco para esta nova finalidade do tratamento dos seus dados pessoais. O princípio da limitação da finalidade está intrinsecamente ligado ao princípio da minimização dos dados. A fim de evitarem operações de tratamento de dados desnecessárias e potencialmente ilícitas, os criadores de aplicações têm de considerar cuidadosamente quais os dados que são absolutamente necessários para a funcionalidade pretendida. As aplicações podem ter acesso a muitas das funcionalidades do dispositivo e, como tal, podem fazer muitas coisas, tais como enviar um SMS silencioso, aceder a imagens e a todo o livro de endereços. Muitas lojas de aplicações suportam atualizações (semi) automáticas, que permitem ao criador de aplicações integrar novas funcionalidades e disponibilizá-las com pouca ou nenhuma interação com o utilizador final. O Grupo de Trabalho aproveita para salientar que os terceiros que tenham acesso a dados do utilizador através das aplicações são obrigados a respeitar os princípios da limitação da finalidade e da minimização dos dados. Não devem ser usados identificadores únicos (e, muitas vezes, inalteráveis) dos dispositivos para fins de publicidade baseada em interesses e/ou de análise e monitorização estatística de dados, porque os utilizadores não podem revogar o seu consentimento. Os criadores de aplicações devem assegurar que o desvirtuamento da função seja evitado, abstendo-se, para tal, de mudar o tratamento de uma versão da aplicação para outra sem fornecerem informações adequadas aos utilizadores finais e sem lhes darem a oportunidade de revogarem o consentimento para o tratamento ou de cancelarem totalmente o serviço. Devem ser colocados à disposição dos utilizadores os meios técnicos para verificar as declarações sobre as finalidades pretendidas, concedendo-lhes o acesso a informações sobre o volume de tráfego de saída por aplicação em relação ao tráfego gerado pelo utilizador. A informação e os controlos do utilizador são fundamentais para assegurar o respeito pelos princípios da minimização dos dados e da limitação da finalidade. O acesso a dados subjacentes no dispositivo através das API dá aos fabricantes de SO e de dispositivos e às lojas de aplicações a oportunidade de imporem regras específicas e de fornecerem informações adequadas aos utilizadores finais. Por exemplo, os fabricantes de SO e de dispositivos devem disponibilizar uma API com controlos precisos para diferenciar cada tipo de dados e assegurar que os criadores de aplicações só poderão solicitar o acesso aos dados que forem absolutamente necessários para a funcionalidade (lícita) da sua aplicação. Os tipos de dados solicitados pelo criador de aplicações podem ser então exibidos, de forma bem visível na loja de aplicações, para informar o utilizador antes da instalação. Neste aspeto, o controlo do acesso a dados armazenados no dispositivo baseia-se em diferentes mecanismos: 18

19 a. Os fabricantes de SO e de dispositivos e as lojas de aplicações definem regras aplicáveis à submissão de aplicações na sua loja: os criadores de aplicações têm de respeitar estas regras sob pena de as suas aplicações não estarem disponíveis nestas lojas. 37 b. As API dos sistemas operativos definem métodos-padrão para aceder aos dados armazenados no telefone aos quais as aplicações têm acesso e afetam igualmente a recolha de dados do lado do servidor. c. Controlos ex ante - controlos implementados antes da instalação de uma aplicação. 38 d. Controlos ex post - controlos implementados após a instalação de uma aplicação. 3.6 Segurança Nos termos do artigo 17.º da Diretiva Proteção de Dados, os responsáveis pelo tratamento e os subcontratantes devem pôr em prática as medidas técnicas e organizativas necessárias para assegurar a proteção dos dados pessoais que tratam. Assim, todos os intervenientes identificados no ponto 3.3. têm de adotar determinadas medidas, cada um de acordo com o seu papel e com a sua responsabilidade. O cumprimento das obrigações em matéria de segurança tem um duplo objetivo: capacitar os utilizadores para controlarem de forma mais rigorosa os seus dados e reforçar a confiança nas entidades que tratam efetivamente os dados dos utilizadores. A fim de cumprirem as obrigações em matéria de segurança que lhes incumbem como responsáveis pelo tratamento, os criadores de aplicações, as lojas de aplicações, os fabricantes de SO e de dispositivos e os terceiros têm de tomar em consideração os princípios da privacidade desde a conceção e da privacidade por defeito. Isso requer uma avaliação constante dos riscos atuais e futuros para a proteção de dados, bem como a implementação e a avaliação de medidas eficazes de atenuação dos riscos, incluindo a minimização dos dados. Criadores de aplicações Estão publicamente disponíveis muitas orientações sobre a segurança das aplicações móveis publicadas por fabricantes de SO e de dispositivos e por terceiros independentes como, por exemplo, a ENISA. 39 Não cabe no âmbito do presente parecer a análise de todas as melhores práticas de segurança na criação de aplicações; porém, o Grupo de Trabalho aproveita esta oportunidade para analisar aquelas que poderão afetar gravemente os direitos fundamentais dos utilizadores de aplicações. Uma decisão importante que é necessário tomar antes da conceção de uma aplicação prende-se com o local de armazenamento dos dados. Em alguns casos, os dados do utilizador são armazenados no dispositivo, mas os criadores de aplicações poderão também recorrer a uma arquitetura cliente-servidor. Isso significa que os dados pessoais são transferidos ou copiados para os sistemas do prestador do serviço. O armazenamento e tratamento dos dados no dispositivo dá aos utilizadores finais maior controlo sobre esses dados, na medida em que, por exemplo, podem eliminá-los se revogarem o consentimento para o seu tratamento. No entanto, o armazenamento seguro dos dados Os dispositivos desbloqueados permitem a instalação de aplicações fora das lojas oficiais; os dispositivos Android também permitem a instalação de aplicações de outras fontes. Com o caso especial das aplicações pré-instaladas. ENISA, «Smartphone Secure Development Guideline»: 19

20 num local remoto pode ser útil para a recuperação de dados em caso de extravio ou furto de um dispositivo. Também é possível recorrer a métodos intermédios. Os criadores de aplicações têm de identificar políticas claras sobre o modo como o software é criado e distribuído. Os fabricantes de SO e de dispositivos também podem desempenhar um papel importante na promoção de um tratamento de dados seguro por parte das aplicações; esta matéria será desenvolvida mais adiante. Em segundo lugar, os criadores de aplicações e as lojas de aplicações têm de conceber e implementar um ambiente compatível com a segurança, com ferramentas para evitar a propagação de aplicações malévolas e permitir que cada aplicação seja facilmente instalada/desinstalada. Entre as boas práticas que podem ser implementadas durante a conceção de uma aplicação figuram a minimização das linhas e da complexidade do código e a introdução de controlos para impedir que os dados sejam acidentalmente transferidos ou comprometidos. Além disso, todos os dados de entrada devem ser validados para evitar ataques do tipo «buffer overflow» ou ataques de injeção. Outros mecanismos de segurança que vale a pena mencionar são as estratégias de gestão de patches de segurança e a realização de auditorias de segurança do sistema independentes e regulares. Por outro lado, os critérios de conceção das aplicações devem contemplar o cumprimento, pelo menos, do princípio da privacidade por defeito, segundo o qual as aplicações só poderão aceder aos dados de que realmente necessitam para disponibilizar uma funcionalidade ao utilizador. Os criadores de aplicações e as lojas de aplicações devem ainda incentivar os utilizadores, através de avisos, a complementarem estas boas práticas de conceção com práticas virtuosas, tais como a atualização das aplicações de acordo com as últimas versões disponíveis e lembretes para evitar a utilização da mesma palavra-passe em diferentes serviços. Durante a fase de conceção da aplicação, os criadores também têm de adotar medidas para evitar o acesso não autorizado a dados pessoais, assegurando a sua proteção tanto em trânsito como quando se encontram armazenados, se for o caso. As aplicações móveis devem ser executadas em locais específicos dentro da memória dos dispositivos (caixas de areia 40 ), a fim de minimizar as consequências de aplicações/programas malévolos. Em estreita colaboração com o fabricante do SO e/ou a loja de aplicações, os criadores de aplicações têm de usar os mecanismos disponíveis para permitir que os utilizadores vejam quais os dados que estão a ser tratados e por que aplicações, bem como para ativar e desativar seletivamente as autorizações. O uso de funcionalidades ocultas não deveria ser permitido. Os criadores de aplicações têm de estudar cuidadosamente os seus métodos de identificação e autenticação dos utilizadores. Não devem usar identificadores persistentes (específicos dos dispositivos), mas sim identificadores de dispositivos temporários ou específicos da aplicação de baixa entropia para evitar a monitorização dos utilizadores ao longo do tempo. Devem ser considerados mecanismos de autenticação que respeitem a privacidade. Na autenticação dos utilizadores, os criadores de aplicações têm de dedicar especial atenção à gestão dos ID e das palavras-passe dos utilizadores. Estas devem ser encriptadas e armazenadas em segurança como um valor hash codificado com chave. A disponibilização aos utilizadores de um teste de robustez da palavra-passe escolhida também é uma técnica útil para melhorar as palavras-passe (verificação da entropia). Em certos casos (acesso a dados sensíveis, mas também acesso a recursos pagos), deve ser contemplada a reautenticação, recorrendo também a vários fatores e a diferentes canais (por exemplo, código de acesso enviado por SMS) e/ou à utilização de dados de autenticação associados ao utilizador final (e não ao dispositivo). Além disso, aquando da seleção de identificadores de sessão, devem ser utilizadas 40 Uma caixa de areia é um mecanismo de segurança para separar programas em execução. 20