5093/98/PT/final WP 17 Grupo de trabalho sobre a protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais Recomendação 1/99 sobre o tratamento invisível e automatizado de dados pessoais na Internet realizado por software e hardware Adoptado pelo grupo de trabalho em 23 de Fevereiro de 1999
Recomendação 1/99 Sobre o tratamento invisível e automatizado de dados pessoais na Internet realizado por software e hardware Adoptado pelo grupo de trabalho em 23 de Fevereiro de 1999 O GRUPO DE TRABALHO SOBRE A PROTECÇÃO DAS PESSOAS SINGULARES NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS Instituído pela Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, Tendo em conta o artigo 29.º e o n.º 3 do artigo 30.º da directiva, Tendo em conta o seu regulamento interno e, particularmente, os seus artigos 12.º e 14.º, ADOPTOU A PRESENTE RECOMENDAÇÃO: 1. O grupo de trabalho encoraja a indústria de software e de hardware a desenvolver, para a Internet, produtos que respeitem a privacidade e forneçam os instrumentos necessários para respeitar as regras europeias de protecção de dados. Uma condição para o tratamento legítimo dos dados pessoais é a exigência de que a pessoa em causa seja informada e, como tal, tenha a consciência do tratamento em questão. Assim, o grupo de trabalho está particularmente preocupado com todos os tipos de operações de tratamento que estão actualmente a ser realizados por software e hardware na Internet sem o conhecimento da pessoa em causa e que, portanto, lhe são "invisíveis". Exemplos típicos deste tratamento invisível são o chattering a nível do HTTP 1, as hiperligações automáticas a terceiros, o conteúdo activo (como Java, ActiveX ou outras tecnologias de transcrição com base no cliente) e o mecanismo dos cookies tal como é actualmente aplicado nos browsers (rotinas de pesquisa) comuns. 2. Os produtos de software e hardware da Internet deveriam fornecer ao utilizador da Internet informações sobre os dados que tencionam recolher, armazenar ou transmitir e o objectivo para o qual são necessários. Os produtos de software e hardware da Internet também deveriam permitir ao utilizador aceder facilmente a todos os dados sobre ele recolhidos em qualquer altura posterior. 1 Isto significa que a informação enviada no pedido HTTP excede o necessário para contactar o servidor. -2-
Isto significa, por exemplo: - No caso do software dos browsers, ao estabelecer uma ligação com um servidor web (enviar um pedido ou receber uma página web), que o utilizador deveria ser informado de quais os dados que se tencionam transferir e com que objectivo. - No caso das hiperligações enviadas por um sítio web a um utilizador, qualquer que seja a via, que o browser do utilizador deveria revelá-las todas ao utilizador. - No caso dos cookies, que o utilizador deveria ser informado de quando o software da Internet tenciona receber, armazenar ou enviar um cookie. A mensagem deveria especificar, numa linguagem compreensível a nível geral, qual a informação que se tenciona armazenar no cookie, com que objectivo e, também, qual o seu prazo de validade. 3. A configuração de produtos de hardware e de software não deveria, por defeito, permitir a recolha, armazenagem ou o envio de informação permanente sobre o cliente 2. Por exemplo: - O software dos browsers deveria, por defeito, estar configurado de modo a que apenas seja processado o mínimo de informação necessário para estabelecer a ligação Internet. Os cookies não deveriam, por defeito, ser enviados ou armazenados. - Durante a sua instalação, a propriedade do browser destinada a armazenar e a enviar dados sobre a identidade do utilizador ou sobre o seu comportamento na comunicação (perfil) não deveria ser preenchida automaticamente com outros dados anteriormente armazenados no seu equipamento. 4. Os produtos de software e hardware da Internet deveriam permitir que a pessoa em causa pudesse decidir livremente do tratamento a dar aos seus dados pessoais, oferecendo instrumentos conviviais de filtragem, isto é, para rejeitar ou modificar a recepção, o armazenamento ou o envio de informação permanente sobre o cliente, respeitando certos critérios (incluindo os perfis, o domínio ou a identidade do servidor Internet, o tipo e a duração da informação recolhida, armazenada, enviada, etc.). O utilizador deveria receber instruções claras quanto à utilização do software e do hardware para aplicar estas opções e instrumentos. Por exemplo: 2 Informação permanente sobre o cliente é um termo técnico (e não jurídico): abrange a informação relativa ao cliente (o PC do utilizador) que permanece durante mais de uma sessão no equipamento do computador. Uma sessão começa quando o cliente pede uma página num sítio web específico e acaba quando ele decide desligar o browser ou o computador, ou quando pede uma página de outro sítio web. Os cookies são exemplos típicos de informação permanente sobre o cliente. O mesmo acontece com as preferências relativas à privacidade. -3-
- Isto significa que o software do browser deveria fornecer opções de modo a que o utilizador o pudesse configurar, especificando as informações que este pode ou não recolher e transmitir. - Isto significa, no caso dos cookies, que se deveria dar sempre ao utilizador a opção de aceitar ou de rejeitar o envio ou o armazenamento de um cookie no seu conjunto. Também se deveria dar ao utilizador opções para determinar as informações que devem ser guardadas ou retiradas de um cookie, dependendo, por exemplo, do prazo de validade do cookie ou do envio e recepção de sítios web. 5. Os produtos de software e hardware da Internet deveriam permitir que os utilizadores retirassem informação permanente sobre o cliente de uma forma simples e sem o envolvimento de quem as envia. Deveriam ser fornecidas ao utilizador instruções claras sobre o modo de o fazer. Se a informação não puder ser retirada, deverá existir um modo fiável de a impedir de ser transferida e lida. - Os cookies e outra informação permanente sobre o cliente deveriam ser armazenados de forma normalizada e deveriam poder ser fácil e selectivamente apagados no computador do cliente. ANTECEDENTES Actualmente, é quase impossível utilizar a Internet sem se ser confrontado com propriedades invasoras da privacidade que levam a cabo todo o tipo de operações de tratamento de dados pessoais de um modo invisível para a pessoa em causa. Por outras palavras, o utilizador da Internet não tem consciência de que os seus dados pessoais foram recolhidos e tratados e de que podem ser usados com objectivos que lhe são desconhecidos. Não tem conhecimento desse facto, nem a liberdade de tomar decisões a esse respeito. Um exemplo deste tipo de técnica é o chamado cookie, que pode ser definido como um registo informático de informações enviadas de um servidor web para o computador de um utilizador, com o objectivo de identificar futuramente esse computador aquando de visitas posteriores ao mesmo sítio web. Os browsers são programas de software destinados, entre outras coisas, a exibir graficamente o material que está disponível na Internet. Estabelecem a comunicação entre o computador do utilizador (cliente) e o computador remoto onde a informação está armazenada (servidor web). Frequentemente, enviam mais informação para o servidor web do que aquela que é estritamente necessária para estabelecer a comunicação. Os browsers clássicos enviam automaticamente para o servidor web visitado o tipo e a linguagem do browser, o nome de outros programas de software instalados no computador do utilizador e a identificação do sistema operacional, bem como a página de referência, os cookies, etc. Estes dados também podem ser transmitidos sistematicamente a terceiros, pelo software do browser, de forma não visível. -4-
Estas técnicas permitem a criação de "rastos" sobre o utilizador da Internet. Os "rastos" consistem em informações sobre o comportamento, a identidade, o percurso ou as escolhas de um indivíduo, expressos durante uma visita a um sítio web. Contêm as ligações que o utilizador utilizou e encontram-se no servidor web. As Directivas europeias 95/46/CE e 97/66/CE relativas à protecção de dados contêm disposições pormenorizadas para a protecção das pessoas singulares no que diz respeito à protecção de dados pessoais. As duas directivas são pertinentes para as situações abordadas por esta recomendação, porque os dados pessoais relativos aos utilizadores da Internet são tratados neste contexto. Os cookies e os browsers podem conter ou tratar dados que permitem a identificação directa ou indirecta do utilizador individual da Internet. A aplicação das disposições sobre o tratamento equitativo, a legalidade do tratamento e o direito da pessoa em causa de decidir sobre o tratamento dos seus próprios dados conduziu à presente recomendação. O grupo de trabalho está especialmente preocupado com os riscos inerentes ao tratamento de dados pessoais sem qualquer conhecimento das pessoas singulares a que se referem. Assim, instam-se os criadores de software e de hardware a tomarem em consideração e a respeitarem os princípios destas directivas de modo a aumentar a privacidade dos utilizadores da Internet. Feito em Bruxelas, em 23 de Fevereiro de 1999 Pelo grupo de trabalho O Presidente Peter HUSTINX -5-