I. INTRODUÇÃO
O projecto SECURHOME visa desenvolver e validar um dispositivo que possa detectar, utilizando técnicas de inteligência artificial (IA), se uma pessoa está em risco ou não através da sua actividade diária em casa. Para tal, o seu comportamento diário deve ser analisado através do estudo do seu movimento, som, temperatura, utilização de determinados electrodomésticos, etc. O dispositivo, utilizando estas técnicas de inteligência artificial, aprenderá o comportamento do utilizador e as possíveis variações que possam ocorrer. Desta forma ele pode adaptar-se ao seu estilo de vida e será possível evitar qualquer eventualidade. Se o dispositivo detectar uma contingência, enviará alertas para familiares previamente configurados e para o centro de saúde mais próximo. Desta forma será alcançado um método ágil e estratégico de atenção ao utilizador, evitando assim ter de recorrer a algum tipo de comunicação directa para o seu alerta. Para atingir estes objectivos, é essencial recolher e processar uma grande quantidade de dados pessoais e determinar padrões de comportamento na casa dessa pessoa. Portanto, o projeto apresenta desafios muito importantes no campo do direito, especialmente para a privacidade.
Do ponto de vista jurídico, estamos a lidar com o tratamento de dados pessoais, o que significa que devem ser aplicadas as normas que regem esta matéria muito específica. Desde 25 de maio de 2018, é aplicável o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (a seguir designado "RGPD"). O presente regulamento europeu implica alterações muito importantes em relação ao tratamento de dados pessoais, bem como novas responsabilidades e obrigações para quem recolhe e utiliza esses dados pessoais: os responsáveis pelo tratamento e os subcontratantes. Por outro lado, a Lei Orgânica 3/2018, de 5 de dezembro, de Proteção de Dados de Caráter Pessoal e Garantia de Direitos Digitais, está em vigor em Espanha desde 7 de dezembro de 2018, adaptando e completando o sistema jurídico espanhol ao RGPD. Por outro lado, é igualmente necessário abordar todas estas questões tendo em conta que estão em causa vários direitos fundamentais, nomeadamente o direito à protecção dos dados pessoais, previsto no n.o 4 do artigo 18º da Constituição espanhola, no artigo 8.o da Carta dos Direitos Fundamentais da União Europeia e no artigo 8º da Convenção Europeia para a Protecção dos Direitos do Homem de 1950.
Para desenvolver o Dispositivo SECURHOME é necessário recolher dados pessoais, ou seja, informação sobre uma pessoa física identificada ou identificável, que será utilizada para estudar o comportamento dos utilizadores do dispositivo e assim poder detectar alterações nestes comportamentos de modo a prevenir e reagir a qualquer eventualidade. Essa coleta e análise de informações pessoais constitui um processamento de dados pessoais, conforme definido no Artigo 4 do RGPD, e nosso trabalho de pesquisa concentrar-se-à na identificação dos requisitos legais aplicáveis a esse processamento de dados. Este trabalho, entre outras questões, exigirá determinar a natureza e a categoria dos dados pessoais recolhidos, a finalidade ou finalidades compatíveis da utilização de tais dados, as condições para o consentimento das pessoas que detêm os dados pessoais e as medidas de segurança aplicáveis. Este último aspecto, o da segurança, é de vital importância no domínio da Internet das coisas, em que a avaliação dos riscos inerentes ao tratamento de dados pessoais é apresentada como um pré-requisito essencial.
Quando falamos de Internet das Coisas (IoT) estamos a referir-nos às infraestruturas que, através de sensores incorporados em determinados dispositivos do quotidiano, recolhem, armazenam, processam e transferem dados pessoais. Estes sistemas estão associados a identificadores únicos que lhes permitem interagir com outros sensores e dispositivos através das suas capacidades de rede. Estamos no domínio da chamada computação "omnipresente" que, tal como salientado pelo Grupo de Trabalho da União Europeia sobre Proteção de Dados (Parecer 8/2014 sobre a recente evolução da Internet das Coisas), se baseia no "princípio do tratamento extensivo de dados por estes sensores, concebido para comunicar dados inadvertidamente e trocá-los sem descontinuidades". O dispositivo a ser desenvolvido através do projeto SECURHOME seria orientado, não exclusivamente, mas fundamentalmente para o que é conhecido como o "eu quantificado", ou seja, dispositivos concebidos para registar e analisar informação sobre hábitos e estilos de vida. Através da nossa pesquisa, pretendemos analisar a aplicação da legislação de dados pessoais a um dispositivo Internet das Coisas na vida real, para tentar determinar quais serão os maiores desafios na sua aplicação e, ao mesmo tempo, fornecer um exemplo real de como a RGPD pode melhorar a proteção da privacidade por meio de dispositivos IoT.
II. O DIREITO FUNDAMENTAL À PROTECÇÃO DOS DADOS PESSOAIS
A recolha e análise de dados pessoais, bem como as possíveis utilizações dos mesmos ou o resultado do tratamento a que estão sujeitos, têm um impacto directo, não só no gozo efectivo dos direitos fundamentais, mas também na dignidade e autonomia dos indivíduos. A ideia de dignidade, que está no cerne dos direitos humanos, é um conceito complexo que evoluiu ao longo do tempo. A ideia de dignidade humana foi complementada pela noção negativa do direito a não sofrer humilhação, com elementos positivos como as noções de autodisponibilidade e autodeterminação humanas, que se materializam na afirmação positiva do pleno desenvolvimento da personalidade1. O desenvolvimento das tecnologias da informação e da comunicação criou novos riscos para os direitos e liberdades, a autonomia e a dignidade das pessoas. Nas últimas décadas, tornou-se claro que uma das maiores ameaças à dignidade, liberdade e direitos dos cidadãos provinha da capacidade de acumular informação pessoal. A inter-relação das informações pessoais permitirá a obtenção do perfil de qualquer pessoa e servirá para as decisões que o afectam são tomadas sem que as pessoas em causa sejam "tomadas em consideração ou consultadas"2. O tratamento de dados pessoais "permite controlar de facto a vida quotidiana do indivíduo"3, permitindo o registo de uma série de dados que, embora não sendo importantes, estão devidamente ligados entre si e permitem obter o perfil de uma pessoa. Além disso, o tratamento da informação sobre os indivíduos permite que estes sejam socialmente classificados e tomem certas decisões que os afectam. Assim, descobrimos que "a nossa vida individual e social (...) corre o risco de ser submetida àquilo que Frosini justamente descreveu como um "juízo universal permanente"4.
A preocupação com a recolha de dados pessoais e a perda do seu controlo surge ao mesmo tempo que o desenvolvimento tecnológico permitiu a automatização do tratamento de dados pessoais. Por sua própria concepção, o desenvolvimento tecnológico produzido desde a segunda metade do século XX tornou o direito à privacidade insuficiente para responder às ameaças e perigos específicos à dignidade das pessoas, à sua liberdade, ao direito de não serem discriminadas ou ao exercício de outros direitos fundamentais, às possibilidades de tratamento automatizado de informações pessoais e, portanto, a partir dos anos setenta, inicia a construção de um novo direito fundamental. O direito fundamental à protecção dos dados pessoais está consagrado no n.º4 do artigo 18.º da Constituição, que estabelece que a lei limita a utilização de computadores para garantir a honra e a privacidade pessoal e familiar dos cidadãos e o pleno exercício dos seus direitos. Cabia ao Tribunal Constitucional interpretar o conceito e os princípios e direitos que fariam parte do conteúdo essencial e inalienável do direito à protecção dos dados pessoais.
Para o nosso Tribunal Constitucional, o artigo 18.4 da Constituição consagra um direito fundamental que é autónomo e diferente do direito à privacidade, "uma nova garantia constitucional, como forma de resposta a uma nova forma de ameaça concreta à dignidade e aos direitos das pessoas (...) um instituto que é, em si mesmo, um direito ou liberdade fundamental, o direito à liberdade de potenciais agressões à dignidade e liberdade da pessoa resultante de uma utilização ilegítima do processamento mecanizado de dados, o que a Constituição chama de "tecnologia da informação"5. Posteriormente, na sentença 292/2000, de 30 de Novembro, estabeleceu que, ao contrário do direito à privacidade, que tem por função proteger contra qualquer invasão que possa ser realizada no âmbito da vida pessoal e familiar que a pessoa pretenda excluir do conhecimento de terceiros, "o direito fundamental à protecção de dados visa garantir a essa pessoa um poder de controlo sobre os seus dados pessoais, sobre a sua utilização e destino, com o objectivo de prevenir o seu tráfico ilícito e lesivo da dignidade e dos direitos da pessoa afectada". O objecto da protecção do direito à protecção dos dados pessoais não será reduzido exclusivamente à protecção dos dados íntimos da pessoa, "mas a qualquer tipo de dados pessoais, íntimos ou não, cujo conhecimento ou emprego por terceiros pode afectar os seus direitos, quer sejam ou não fundamentais, porque o seu objecto não é apenas a vida privada individual, que para o efeito é a protecção concedida pelo artigo 18.º ,n.º 1, CE, mas também os dados pessoais". Dados protegidos são todos os dados que identificam ou permitem a identificação de uma pessoa, ou seja, que podem ser colocados em relação a um indivíduo específico, direta ou indiretamente, porque qualquer um desses dados pode "servir para a preparação de seu perfil ideológico, racial, sexual, económico ou de qualquer tipo, ou (...) para qualquer outro uso que em certas circunstâncias constitua uma ameaça ao indivíduo".
O direito à protecção dos dados pessoais é igualmente garantido no âmbito do Conselho da Europa pelo artigo 8.º da Convenção de Roma de 4 de Novembro de 1950 para a Protecção dos Direitos do Homem e das Liberdades Fundamentais, que consagra o direito ao respeito pela vida privada e familiar. Este preceito é complementado pelo Regulamento da Convenção 108 do Conselho da Europa, de 28 de Janeiro de 1981, para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal, tendo sido fundamental o papel do Tribunal Europeu dos Direitos do Homem (TEDH) na sua interpretação e aplicação.
A jurisprudência do Tribunal de Justiça Europeu (TJCE), que tem desempenhado um papel importante no domínio da protecção dos dados pessoais desde a entrada em vigor da Directiva 95/46/CE relativa à protecção dos dados pessoais6 e, posteriormente, com o Tratado de Lisboa, que incorporaria a Carta dos Direitos Fundamentais da União Europeia no direito da União Europeia, deve igualmente ser tida em conta. Neste contexto, tanto o Tribunal Europeu dos Direitos do Homem como o Tribunal de Justiça da União Europeia têm vindo a realizar uma tarefa fundamental de interpretação e consolidação do direito fundamental à protecção dos dados pessoais nos respectivos domínios. O Tribunal Europeu dos Direitos do Homem estabeleceu repetidamente que o artigo 8º da Convenção Europeia dos Direitos do Homem contém elementos negativos, se não forem feitos, proibindo a interferência injustificada das autoridades públicas no direito à protecção dos dados pessoais, mas, por outro lado, considerou que este direito tem um conteúdo marcadamente positivo que se materializaria na obrigação dos Estados de tomarem todas as medidas razoáveis e adequadas para proteger os direitos do artigo 8.º da Convenção. Esta dupla obrigação, negativa e positiva, garante a proteção dos indivíduos contra a interferência arbitrária dos Estados, mas também confere proteção contra as ações de entidades ou indivíduos privados. O Tribunal de Justiça da União Europeia desempenhou uma missão fundamental de interpretação do direito da União em matéria de proteção de dados pessoais do ponto de vista dos direitos fundamentais, não só definindo os limites do tratamento de dados pessoais no âmbito das administrações públicas e das entidades privadas, mas também estabelecendo o necessário equilíbrio entre os diferentes interesses em conflito, frequentemente legítimos e opostos.
III. SISTEMA DA FONTE APLICÁVEL
O sistema de fontes aplicável a ter em conta no desenvolvimento do equipamento SECURHOME será o seguinte:
- Nº 4 do artigo 18º do Tratado CE e artigo 8º da Carta dos Direitos Fundamentais da União Europeia.
- REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de Abril de 2016 relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Directiva 95/46/CE (Regulamento geral sobre a protecção de dados).
- L.O. 3/2018, de 5 de dezembro, sobre proteção de dados pessoais e garantia de direitos digitais.
- Convenção 108 do Conselho da Europa, de 28 de Janeiro de 1981, para a protecção das pessoas relativamente ao tratamento automatizado dos seus dados pessoais e artigo 8º da Convenção Europeia para a Protecção dos Direitos do Homem e das Liberdades Fundamentais de 1950.
IV. CONSIDERAÇÕES GERAIS SOBRE O RGPD
Trata-se de um regulamento comunitário:
a) É obrigatório em todos os seus elementos; é de âmbito geral e tem carácter obrigatório em todos os seus elementos directamente aplicável nos Estados-Membros da UE.
b) Em todos os casos em que prevê regras específicas, aplica-se o regulamento; nos casos em que os Estados-Membros estão autorizados a especificar determinados conteúdos, poderão desenvolvê-los. O legislador espanhol, tendo em conta estas autorizações aos Estados-Membros na regulamentação de determinadas matérias "quando devam ser especificadas, interpretadas ou, excepcionalmente, limitadas (...) na medida do necessário por razões de coerência e compreensão" (preâmbulo do O.L. 3/2018), aprovou o referido O.L. 3/2018, de 5 de Dezembro, sobre a protecção de dados pessoais e garantia dos direitos digitais.
c) Em caso de contradição entre a regulamentação europeia e a espanhola deve PREVALIZAR o regulamento.
O regulamento entrou em vigor em 25 de maio de 2016 e é aplicável em Espanha desde 25 de maio de 2018.
O objectivo do regulamento geral relativo à protecção de dados é proteger os direitos e liberdades fundamentais das pessoas singulares e, em especial, o seu direito à protecção dos dados pessoais, consagrado no artigo 8.º da Carta dos Direitos Fundamentais da União Europeia, e garantir a livre circulação desses dados na UE. Isto reflecte-se no artigo 1.o e no preâmbulo7 do RGPD. Afirma que "o tratamento de dados pessoais deve ser concebido para servir a humanidade". A adoção do regulamento ocorre num contexto em que "a rápida evolução tecnológica e a globalização criaram novos desafios para a proteção dos dados pessoais", tanto devido à magnitude da recolha e do intercâmbio de dados pessoais, que aumentou significativamente, como porque tanto as empresas privadas como as autoridades públicas utilizam os dados pessoais a uma escala sem precedentes no exercício das suas atividades.
V. ÂMBITO DE APLICAÇAO
Os artigos 2º e 3º do RGPD estabelecem o seu âmbito de aplicação, ou seja, todo o tratamento de dados pessoais a que se aplicam as suas regras.
A) Âmbito territorial:
Do ponto de vista da sua competência territorial, o regulamento é aplicável:
a) O tratamento de dados pessoais nas atividades de um estabelecimento do responsável pelo tratamento ou subcontratante na União, independentemente de o tratamento ter ou não lugar na União.
b) O tratamento de dados pessoais de titulares de dados residentes na União por um responsável pelo tratamento ou subcontratante não estabelecido na União, se as atividades de tratamento estiverem relacionadas com essas atividades:
- o fornecimento de bens ou serviços a esses titulares de dados na União, independentemente de serem obrigados a pagá-los, ou
- o controlo do seu comportamento, na medida em que este tenha lugar na União.
B) Âmbito de aplicação material:
O RGPD aplica-se ao tratamento total ou parcialmente automatizado de dados pessoais, bem como ao tratamento não automatizado de dados pessoais contidos ou destinados a serem incluídos num ficheiro. Por dados pessoais entende-se qualquer informação relativa a uma pessoa singular identificada ou identificável ("a pessoa em causa"), ou seja, qualquer informação relativa a uma pessoa cuja identidade possa ser estabelecida, directa ou indirectamente, "nomeadamente por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador em linha ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa" (artigo 4.º do RGPD). A consideração de dados pessoais terá qualquer informação que nos permita relacioná-los com uma pessoa física específica. O RGPD aplica-se tanto a ficheiros de dados informatizados como a dados pessoais contidos em ficheiros manuais. As regras de protecção dos dados pessoais serão alargadas aos dados pessoais contidos em ficheiros públicos e privados, automatizados ou não8.
VI AS DEFINIÇÕES LEGAIS INCLÍDAS NO RGPD
Tradicionalmente, as regras relativas à protecção dos dados pessoais incluíam entre os seus preceitos as definições fundamentais para poderem compreender o âmbito das suas regras, bem como para poderem aplicá-las correctamente. Nós vemos o mais relevante para entender o funcionamento dos mecanismos de proteção de dados pessoais.
a) Dados pessoais: qualquer informação sobre uma pessoa singular identificada ou identificável ("a pessoa em causa"); uma pessoa singular identificável é qualquer pessoa cuja identidade possa ser determinada, directa ou indirectamente. A consideração de dados pessoais terá qualquer informação que nos permita relacioná-los com uma determinada pessoa física, independentemente da maior ou menor complexidade da operação que nos leve a ela, exceto nos casos em que tal identificação exija períodos ou atividades excessivos. Além disso, não será necessário que os dados permitam descobrir o nome da pessoa em causa, mas será suficiente que os dados registados permitam descobrir o ADN, a origem social, o nível económico, etc. da pessoa, de modo a permitir-nos determinar quem são. Este conceito de identificação alargada é de grande importância quando se trata de proteger a vida privada das pessoas, evitando, em grande medida, a sua identificação indirecta.
b) Tratamento: qualquer operação ou conjunto de operações efectuadas sobre dados pessoais ou conjuntos de dados pessoais, por processos automatizados ou não, tais como recolha, registo, organização, estruturação, conservação, adaptação ou modificação, extracção, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de permitir o acesso, comparação ou interconexão, limitação, supressão ou destruição (nº 3 do artigo 4º do RGPD).
c) Ficheiro: qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, centralizado, descentralizado ou funcional ou geograficamente distribuído (art. 4.6).
d) Controlador: a pessoa singular ou colectiva, autoridade pública, serviço ou outro organismo que, individualmente ou em conjunto com outros, determina as finalidades e os meios do tratamento (nº 7 do artigo 4º).
e) Processador: a pessoa singular ou colectiva, autoridade pública, serviço ou outra entidade que trata dados pessoais por conta do responsável pelo tratamento (art. 4.8).
f) Perfilagem: qualquer forma de tratamento automatizado de dados pessoais que consista na utilização de dados pessoais para avaliar certos aspectos pessoais de uma pessoa singular, em especial para analisar ou prever aspectos relacionados com o seu desempenho profissional, situação financeira, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocação (nº 4 do artigo 4º).
VII. PRINCÍPIOS DE TRATAMENTO
A legislação sobre a protecção de dados pessoais, tanto a legislação espanhola como a europeia, tenta evitar os riscos para os direitos dos indivíduos envolvidos no tratamento dos seus dados pessoais e, ao mesmo tempo, garantir os interesses públicos ou privados que legitimariam o tratamento. Este objectivo é alcançado, em primeiro lugar, através do estabelecimento de um conjunto de garantias sob a forma de limites, requisitos e formas de obtenção, registo e tratamento de dados pessoais, e sob a forma de direitos subjectivos que conferem um conteúdo efectivo às anteriores salvaguardas e, assim, será alcançado um sistema eficaz de protecção dos direitos fundamentais dos cidadãos. O Regulamento Europeu (UE) 2016/679 integra ambos os tipos de garantias sob a denominação de princípios relativos ao tratamento e aos direitos das pessoas singulares nos seus Capítulos II e III, respectivamente. Estes conjuntos de salvaguardas são complementados pelas obrigações previstas no Capítulo IV para o responsável pelo tratamento e o subcontratante.
O artigo 5 da RGPD regulamenta os princípios básicos que devem ser respeitados na coleta, processamento, uso e armazenamento de dados pessoais; princípios que são amplamente reproduzidos na LO 3/20189: São os seguintes:
a) Princípio da licitude, lealdade e transparência: os dados serão tratados de forma lícita, justa e transparente em relação ao titular dos dados. Os dados pessoais devem ser recolhidos sem artifício ou falsidade por parte da pessoa que os solicita, proibindo a utilização de meios fraudulentos, injustos ou ilícitos. Deste princípio deriva "a necessidade de que os dados pessoais recolhidos em qualquer ficheiro sejam obtidos por meios lícitos, e desta forma a sua utilização é conhecida pelos afectados, sendo os responsáveis pela sua obtenção os responsáveis pelo cumprimento desta obrigação"10. No Regulamento, as referências ao princípio são constantes, pelo menos na sua parte expositiva. Há muitas considerações que incluem a obrigação de fornecer à parte interessada todas as informações de forma simples, facilmente acessível e em linguagem clara relevantes para ele no processo de processamento dos seus dados. O princípio da transparência está estreitamente ligado ao direito de receber informações completas, claras e simples sobre todos os aspetos relevantes do tratamento de dados pessoais e sobre as eventuais consequências que esse tratamento pode ter. A este respeito, a obrigação de informar a pessoa em causa sobre a definição de perfis ou a tomada de decisões automatizada (artigo 22.º do RGPD) pode ser destacada.
b) Princípio da limitação da finalidade. O artigo 5º do RGPD estabelece que os dados pessoais "serão recolhidos para finalidades determinadas, explícitas e legítimas e não serão posteriormente tratados de forma incompatível com essas finalidades". O tratamento posterior de dados pessoais para fins de arquivo de interesse público, para fins de investigação científica e histórica ou para fins estatísticos não é considerado incompatível com as finalidades iniciais". Assim, os dados só podem ser recolhidos e processados para uma finalidade legítima e específica e, portanto, não podem ser recolhidos para fins contrários à lei ou à ordem pública e devem respeitar os valores constitucionais e os direitos fundamentais. Nem os dados pessoais serão recolhidos para o cumprimento de finalidades imprecisas ou inconcretas e, em última análise, os dados pessoais não podem ser utilizados de forma incompatível com as finalidades para as quais foram recolhidos. O cumprimento deste requisito também impede que, uma vez que os dados pessoais tenham sido utilizados para os fins legais para os quais foram recolhidos, possam ser reutilizados para fins diferentes daqueles para os quais foram solicitados e registados. Por último, o princípio da limitação da finalidade proíbe o tratamento posterior de dados pessoais de uma forma incompatível com essas finalidades. No entanto, existe uma excepção, a saber, quando são tratados em conformidade com os requisitos do nº 1 do artigo 89º do RGPD para fins de arquivo de interesse público, para fins de investigação científica e histórica ou para fins estatísticos, não serão considerados incompatíveis com os fins iniciais.
c) Princípio da minimização dos dados: os dados devem ser adequados, pertinentes e limitados ao necessário em relação às finalidades para que são tratados. Por outras palavras, os dados devem "servir" a finalidade para a qual são obtidos, de modo a que exista uma ligação clara entre a informação recolhida e a finalidade para a qual é solicitada. Por conseguinte, não será possível solicitar ou registar mais dados pessoais do que o estritamente necessário para realizar a missão em questão ou para cumprir a finalidade legitimamente confiada ao organismo público ou à empresa privada que os solicitou.
d) Princípio da exactidão: os dados devem ser exactos e, se necessário, actualizados; devem ser tomadas todas as medidas razoáveis para assegurar que os dados pessoais inexactos relativamente às finalidades para que são tratados sejam apagados ou rectificados sem demora11. Este princípio é desenvolvido na Lei Orgânica 3/2018, de Proteção de Dados Pessoais e garantia de direitos digitais12.
e) Princípio da limitação do prazo de conservação: os dados pessoais serão conservados de forma a permitir a identificação das partes interessadas durante o tempo necessário para efeitos do tratamento. Podem ser conservados por períodos mais longos desde que sejam tratados exclusivamente para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, sem prejuízo da aplicação das medidas técnicas e organizativas adequadas impostas pelo presente regulamento a fim de proteger os direitos e liberdades do titular dos dados. Este princípio está directamente ligado ao princípio da limitação da finalidade e ao direito à supressão ou ao "apagamento" dos dados quando deixem de ser necessários para a finalidade legítima para que foram recolhidos e tratados. Por último, o nº 2 do artigo 13º do RGPD prevê que o responsável pelo tratamento deve informar sobre o período previsto durante o qual os dados pessoais serão conservados ou, "se tal não for possível, sobre os critérios utilizados para determinar esse período".
f) Princípio da integridade e da confidencialidade (segurança): os dados pessoais devem ser tratados de forma a garantir uma segurança adequada dos dados pessoais, incluindo a protecção contra o tratamento não autorizado ou ilícito e contra a perda, destruição ou dano acidental, através de medidas técnicas ou organizativas adequadas.
A importância do princípio da segurança, a fim de garantir os direitos das pessoas em causa, está a tornar-se cada vez mais importante. Paralelamente a um desenvolvimento espectacular das capacidades de tratamento dos computadores, da microelectrónica e do software, do desenvolvimento da Internet e da computação em nuvem, que permitiu a proliferação de sistemas informáticos potentes e fáceis de utilizar, registou-se um aumento dos "riscos que ameaçam os dados por eles armazenados e tratados e, consequentemente, os cidadãos a quem esses dados dizem respeito", uma vez que os meios de "ultrapassar" as barreiras de segurança de um ficheiro são maiores. Por conseguinte, as medidas de segurança devem ser melhoradas e adaptadas a estes desenvolvimentos. A segurança é um dos aspectos que fazem parte do conteúdo do direito fundamental e "torna-se um elemento essencial da protecção das pessoas através da protecção dos seus dados e do tratamento dos mesmos".
O conceito de segurança deve abranger tanto a confidencialidade da informação como a disponibilidade e integridade da informação. Este princípio deve necessariamente estar relacionado com o seguinte princípio, de responsabilidade proactiva e com as obrigações de segurança previstas no artigo 32º. Este último estabelece que "tendo em conta o estado da técnica, os custos de aplicação e a natureza, âmbito, contexto e finalidades do tratamento, ası́́ como riscos variáveis de probabilidade e gravidade para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante devem aplicar medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco, incluindo, se for caso disso, nomeadamente:
- pseudonimização e cifragem de dados pessoais;
- A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento de dados;
- A capacidade de restabelecer rapidamente a disponibilidade e o acesso aos dados pessoais em caso de incidente físico ou técnico;
- um processo de verificação, avaliação e apreciação periódicas da eficácia das medidas técnicas e organizativas destinadas a garantir a segurança do tratamento.
Por último, este princípio exigirá um dever geral de confidencialidade das informações pessoais por parte do responsável pelo tratamento e do subcontratante e de todas as pessoas envolvidas em qualquer fase do tratamento. Este dever deve subsistir mesmo depois de terminada a relação com o responsável pelo tratamento de dados, nos termos em que também é pronunciado o artigo 5.º da Lei Orgânica n.º 3/2018.
g) Princípio da responsabilidade proactiva: o responsável pelo tratamento será responsável pelo cumprimento destes princípios e será capaz de o demonstrar. Este princípio é desenvolvido no artigo 24.º do RGPD, estabelecendo a obrigação geral do responsável pelo tratamento de dados de aplicar medidas técnicas e organizativas adequadas para garantir e poder demonstrar que o tratamento está em conformidade com o regulamento, tendo em conta a natureza, âmbito, contexto e finalidades do tratamento, bem como os riscos de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares. O GT29 entende que este princípio tinha dois elementos principais:
"(i) a necessidade do responsável pelo tratamento tomar medidas adequadas e eficazes para aplicar os princípios da proteção de dados;
(ii) a necessidade de demonstrar, se assim for exigido, que foram tomadas medidas adequadas e eficazes; portanto, o controlador deverá fornece provas de (i).
A Agência Espanhola de Protecção de Dados recorda que, em termos práticos, este princípio exige que as organizações analisem que tipo de dados tratam, para que fins e que tipo de operações de tratamento efectuam. Após esta análise, devem "determinar explicitamente a forma como irão aplicar as medidas que o RGPD prevê, assegurando que estas medidas são adequadas para lhe dar cumprimento e que podem prová-lo às partes interessadas e às autoridades de supervisão".
VIII. BASE PARA O PROCESSAMENTO LEGAL
Antes de entrarmos no regulamento do RGPD, previsto no artigo 6º e seguintes, devemos recordar que, na União Europeia, o direito fundamental à protecção dos dados pessoais está expressamente consagrado no artigo 8º da Carta dos Direitos Fundamentais da União Europeia, de 7 de Dezembro de 2000. Na rubrica "protecção de dados pessoais", afirma-se que:
"Todas as pessoas têm direito à protecção dos dados de carácter pessoal que lhes digam respeito.
2. Estes dados devem ser tratados de forma equitativa, para fins específicos e com base no consentimento da pessoa em causa ou noutra base legítima prevista na lei. Todas as pessoas têm direito de acesso e de rectificação dos dados recolhidos que lhes digam respeito.
3. O cumprimento destas regras está sujeito ao controlo de uma autoridade independente.
Por conseguinte, o ponto de partida para compreender e interpretar a base para o tratamento lícito de dados pessoais está estabelecido na própria Carta: o consentimento do titular dos dados ou outra base legítima prevista na lei.
O artigo 6º do RGPD estabelece a base para um tratamento lícito. No nosso caso, o primeiro dos casos será aplicável, ou seja, o processamento dos dados necessários para o desenvolvimento do dispositivo SECURHOME deve ser baseado no consentimento do interessado, para um ou mais fins específicos. Por conseguinte, temos de nos deter nos requisitos e na forma como o consentimento da parte interessada tem de ser dado. O regulamento define-o como "qualquer manifestação de vontade livre, específica, informada e inequívoca pela qual o interessado aceita, quer através de uma declaração, quer de uma acção afirmativa clara, o tratamento de dados pessoais que lhe digam respeito".
O Grupo de Trabalho 29 salienta que o consentimento só pode constituir uma base jurídica adequada para o tratamento de dados pessoais "se for dado ao titular dos dados controlo e uma verdadeira opção quanto à aceitação ou rejeição das condições oferecidas ou à sua rejeição sem sofrer qualquer prejuízo. Ao solicitar o consentimento, o controlador de dados tem a obrigação de avaliar se tal consentimento cumplirá́ todos os requisitos para a obtenção de um consentimento válido. Se obtido em plena conformidade com o RGPD, o consentimento é uma ferramenta que dá aos titulares dos dados controlo sobre se os dados pessoais que lhes dizem respeito serão ou não tratados. Se não for assim, o controle da parte interessada será́ apenas ilusório e o consentimento não será́ uma base legal válida para o processamento, que convertirá́ tal atividade de processamento em uma atividade ilegal"19.
O consentimento é a manifestação da vontade do interessado e deve obedecer aos seguintes elementos ou condições:
Tem de ser livre. Esse consentimento é livre "implica uma verdadeira escolha e controle para as partes interessadas". Para o GT29, o consentimento será livre quando houver um verdadeiro controle e escolha por parte das partes interessadas, "se o sujeito não for realmente livre para escolher porque se sente obrigado a dar o seu consentimento ou sofrerá consequências negativas se não o der, então o consentimento não pode ser considerado válido". Também não será válido se for "incluído como parte não negociável das condições gerais, presumindo-se que não foi dado gratuitamente", ou se "a pessoa em causa não puder recusar ou retirar o seu consentimento sem prejuízo"21. Nestes termos, o n.º 3 do artigo 6.º da Lei Orgânica 3/2018 estabelece especificamente que "a execução do contrato não pode ser sujeita ao consentimento do sujeito dos dados ao tratamento de dados pessoais para fins que não estejam relacionados com a manutenção, desenvolvimento ou controlo da relação contratual".
O consentimento deve ser informado. Como já foi explicado, o principal objectivo do RGPD é garantir o direito à protecção dos dados pessoais. A exigência de consentimento, como o nosso Tribunal Constitucional tem apontado, faz parte da gama de faculdades que compõem esse direito e faz parte do seu conteúdo essencial; portanto, "são elementos característicos da definição constitucional do direito fundamental à protecção dos dados pessoais, os direitos das pessoas em causa de consentirem na recolha e utilização dos seus dados e de tomarem conhecimento"22. Por outras palavras, cabe ao titular dos dados determinar quais dos seus dados podem ser registados e tratados, por quem e com que finalidade, e para este efeito é essencial que a exigência de informação tenha sido previamente respeitada nos termos estabelecidos no próprio regulamento. É importante insistir na ideia de que o respeito prévio do conteúdo do direito à informação na recolha de dados é uma condição indispensável para o consentimento da pessoa em causa23. Por conseguinte, para poderem autorizar o tratamento dos seus dados, devem conhecer as consequências que dele decorrerão, bem como as características e a natureza do tratamento ou a sua finalidade, uma vez que, através do consentimento, as pessoas têm a possibilidade de determinar o nível de protecção dos dados pessoais que lhes dizem respeito, o que torna necessário que estes sejam fornecidos de forma consciente e informada, sabendo qual será realmente o alcance das suas acções. Além disso, o consentimento é dado em condições específicas e para fins, condições e finalidades específicas de que o titular dos dados deve ter conhecimento prévio.
O consentimento será específico. O consentimento será dado para um ou mais fins concretos, específicos e determinados. Esta exigência deve necessariamente estar relacionada com o princípio da limitação do tratamento no artigo 5.1 do RGPD e, portanto, para que o consentimento seja válido, a finalidade específica, explícita e legítima do tratamento pretendido deve ser previamente determinada. Por outro lado, se o consentimento deve ser obtido para diversos fins, cada um deles deve ser especificado e "o interessado deve escolher se o dá ou não em relação a cada um deles"24; em termos semelhantes está incluído no segundo parágrafo do artigo 6º da Lei Orgânica 3/2018".
O consentimento deve ser inequívoco. O RGPD estabelece no artigo 4 que o consentimento é a manifestação da "vontade inequívoca pela qual o titular dos dados aceita, por meio de declaração ou ação afirmativa clara, o tratamento de dados pessoais que lhe digam respeito". Portanto, para dar um consentimento válido, será necessária uma acção por parte do titular dos dados. O GT29 assinala que "acção afirmativa clara" significa que a pessoa em causa deve ter agido deliberadamente a fim de consentir nesse tratamento específico"25 . Caberá ao controlador de dados demonstrar que o consentimento foi obtido através do cumprimento dos requisitos do RGPD. O artigo 7.1 declara que "quando o tratamento se baseia no consentimento do titular dos dados, o responsável pelo tratamento poderá demonstrar que consentiu o tratamento dos seus dados pessoais.
Em certos casos, o RGPD exige que o consentimento, além de ser inequívoco, seja explícito; por exemplo, para o tratamento de dados sensíveis conforme estabelecido no art. 9º ou no caso da adoção de decisões automatizadas em conformidade com as disposições do artigo 22º.
O consentimento pode ser revogado em qualquer momento, mas não produz efeitos retroactivos.
IX. DADOS SENSÍVEIS
Informações sensíveis são informações que se relacionam com questões intimamente ligadas ao cerne da personalidade e dignidade humanas. Existem vários grupos ou categorias de dados que, por várias razões, requerem a máxima protecção, dado que a dignidade e a liberdade das pessoas devido à sua utilização ilegítima ficariam directamente comprometidas. No RGPD, estas categorias especiais de dados encontram-se no artigo 9.o do RGPD, que proíbe "o tratamento de dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas ou filiação sindical, bem como o tratamento de dados genéticos, dados biométricos destinados a identificar inequivocamente uma pessoa singular, dados relativos à saúde ou dados relativos à vida sexual ou à orientação sexual de uma pessoa singular". O seu regulamento apresenta algumas novidades em relação ao regulamento anterior. Em primeiro lugar, são incluídas duas novas categorias de dados sensíveis: dados genéticos e dados biométricos destinados a identificar inequivocamente um indivíduo.
O RGPD não prevê uma proibição absoluta do tratamento de dados pessoais e o n.o 2 do artigo 9.o contém uma série de excepções. De todas elas, a primeira é particularmente relevante para o desenvolvimento do nosso projecto:
Se o titular dos dados der "o seu consentimento expresso para o tratamento desses dados pessoais para uma ou mais das finalidades especificadas, salvo se o direito da União ou dos Estados-Membros estabelecer que a proibição referida no n.o 1 não pode ser levantada pelo titular dos dados".
O artigo 9 da Lei Orgânica 3/2018 estabelece que, para efeitos do artigo 9.2.a) do Regulamento (UE) 2016/679, a fim de evitar situações discriminatórias, o consentimento do titular dos dados, por si só, não será suficiente para levantar a proibição do tratamento de dados cuja finalidade principal seja identificar a sua ideologia, filiação sindical, religião, orientação sexual, crenças ou origem racial ou étnica. No entanto, tal não impede o tratamento desses dados nos outros casos referidos no artigo 9.o, n.o 2, do Regulamento (UE) 2016/679, se aplicável.
X. DIREITOS DA PESSOA EM CAUSA
De acordo com a jurisprudência do Tribunal Constitucional, o conteúdo essencial do direito fundamental à protecção dos dados pessoais é "um conjunto de poderes constituídos por vários poderes que impõem deveres correlativos a terceiros26. Este conjunto de poderes que fazem parte do conteúdo essencial do direito à protecção de dados pessoais estão especificados no RGPD, nos seus artigos 12 e seguintes.
1. O princípio da transparência e o direito à informação
O artigo 5º da RGPD inclui, no âmbito dos princípios relativos ao tratamento, o princípio da transparência, segundo o qual os dados pessoais devem ser "tratados de forma lícita, equitativa e transparente em relação à pessoa em causa ("licitude, lealdade e transparência"). O objetivo deste princípio deve ser o de assegurar que a pessoa em causa esteja efetivamente "ciente da lógica subjacente ao tratamento dos seus dados pessoais" para que possa dispor de um verdadeiro poder de disposição sobre eles. Por força deste princípio e nos termos do artigo 12.o do RGPD, o responsável pelo tratamento toma as medidas adequadas para fornecer ao titular dos dados qualquer informação referida nos artigos 13.o e 14.o, qualquer comunicação nos termos dos direitos previstos no capítulo III do RGPD, bem como em caso de violação dos dados referida no artigo 34.o Essa informação deve ser prestada de forma concisa, transparente, inteligível e facilmente acessível, em linguagem clara e simples, em especial qualquer informação especificamente dirigida a uma criança. Neste último caso, se a informação for dirigida a crianças, a língua utilizada deve ser adaptada de modo a torná-la facilmente compreensível (considerando 58).
As informações, em conformidade com o artigo 12.o do RGPD, devem ser fornecidas por escrito ou por outros meios, incluindo meios electrónicos, por exemplo, através de um sítio web. Pode também ser disponibilizada oralmente, mediante pedido e desde que a identidade do titular dos dados seja estabelecida por outros meios. As informações a disponibilizar às pessoas em causa nos termos dos artigos 13.o e 14.o podem também ser transmitidas por meio de ícones normalizados que forneçam, de forma facilmente visível, inteligível e claramente legível, uma panorâmica adequada do tratamento previsto (n.º 7 do artigo 12.º). O princípio da transparência está estreitamente ligado ao direito de receber informações completas, claras e simples sobre todos os aspetos relevantes do tratamento de dados pessoais e sobre as possíveis consequências desse tratamento. Os artigos 13 e 14 do RGPD detalham o conteúdo do direito à informação, quando os dados pessoais são obtidos do titular dos dados ou quando são obtidos de terceiros.
Se os dados forem obtidos directamente junto da pessoa em causa, devem ser fornecidas as seguintes informações
- a identidade e os dados de contacto do responsável pelo tratamento de dados (ou do seu representante);
- os dados de contacto do encarregado da protecção de dados, se for caso disso;
- as finalidades e a base jurídica do tratamento. Se o processamento for baseado num interesse legítimo do responsável ou de um terceiro, deverá informar-se de esse extremo;
- se tiver de ser feita uma transferência de dados pessoais para um terceiro país ou uma organização internacional, de todos os assuntos relacionados com ela.
- O período durante o qual os dados pessoais serão conservados ou, se tal não for possível, os critérios usados para determinar esse prazo
- que tem o direito de aceder, rectificar e apagar os seus dados pessoais em conformidade com as disposições do RGPD. Da mesma forma, que têm o direito de limitar ou opor-se ao seu tratamento e à portabilidade dos dados;
- que têm o direito de retirar o seu consentimento a qualquer momento, sem terem de o fazer - se é ou não obrigatório fornecer dados e as consequências da recusa de os fornecer quando a comunicação de dados pessoais é uma exigência legal ou contratual, ou uma exigência necessária para celebrar um contrato;
- a existência de decisões automáticas, incluindo a definição de perfis.
Se os dados não forem obtidos junto da pessoa em causa, a pessoa em causa deve ser informda de todos os elementos precedentes e, além disso, das categorias de dados tratados e da fonte de onde provêm os dados pessoais e, se for caso disso, se provêm de fontes acessíveis ao público (artigo 14.º).
O momento da prestação de informações à pessoa em causa varia consoante os dados tenham ou não sido obtidos directamente junto da mesma. A informação deve ser disponibilizada aos titulares dos dados no momento em que estes são solicitados, antes da recolha ou registo, se os dados forem obtidos directamente do titular dos dados. No caso de os dados não serem obtidos junto do titular, o responsável pelo tratamento deve informá-lo num prazo razoável que não pode exceder um mês a contar da recolha dos dados pessoais ou no momento da primeira comunicação ao titular dos dados, quando os dados foram recolhidos para lhe enviar uma comunicação. Se os dados tiverem de ser comunicados a terceiros, o mais tardar no momento da primeira comunicação.
2. Direito de acesso
O direito de acesso é um elemento central do direito à protecção dos dados pessoais. Está incluída, juntamente com o direito de rectificação, no conteúdo do artigo 8º da Carta dos Direitos Fundamentais da União Europeia. Quando a pessoa em causa exerce o seu direito de acesso, o responsável pelo tratamento deve confirmar previamente à pessoa em causa se os seus dados são ou não objecto de tratamento28. Se ele os tratar, deve facultar-lhe o acesso aos seus dados e às informações sobre o seu tratamento, que são praticamente as mesmas que as previstas nos artigos 13º e 14º para o direito de informação, com excepção da referência à base jurídica do tratamento e ao interesse legítimo29. No entanto, na medida em que o TJCE30 tem vindo a reconhecer o direito de acesso como uma função instrumental em relação aos outros direitos reconhecidos na Directiva relativa aos direitos fundamentais, devemos entendê-lo como incluindo estes pontos, uma vez que este direito "deve ser materializado de forma a permitir à pessoa em causa verificar se o tratamento cumpre a lei e, se necessário, exercer os direitos entre 16 e 22"31.
3. Direito de rectificação
Tal como no caso do direito anterior, o direito de rectificação é expressamente mencionado no nº 2 do artigo 8º da Carta dos Direitos Fundamentais da União Europeia. do RGPD, que estabelece que "a pessoa em causa tem o direito de obter do responsável pelo tratamento, sem demora injustificada, a rectificação de dados pessoais inexactos que lhe digam respeito. Tendo em conta as finalidades do tratamento, a pessoa em causa tem direito a que os dados pessoais incompletos sejam completados, nomeadamente através de uma declaração complementar". Uma vez identificados os dados errôneos, os dados são corrigidos, atualizados ou completados para que correspondam à realidade de seu proprietário.
4. Direito de supressão ou direito ao esquecimento
O direito ao esquecimento digital é uma manifestação direta dos princípios da proporcionalidade (minimização de dados) e da finalidade (limitação da finalidade), que exige o cancelamento de dados pessoais que não são mais necessários para a realização da finalidade específica que levou à sua coleta e tratamento. Para a simples passagem do tempo pode tornar o tratamento de dados inadequado inicialmente legítimo. Este é o entendimento do TJUE. No seu acórdão de 13 de maio de 2014 (processo Google Espanha).
O artigo 17º da Directiva RGPD estabelece o direito da pessoa em causa de obter do responsável pelo tratamento, sem demora injustificada, a supressão dos dados pessoais que lhe digam respeito. O responsável pelo tratamento é obrigado a suprimi-los sem demora injustificada nos seguintes casos:
- Quando deixarem de ser necessárias em relação às finalidades para que foram recolhidas;
- Se o consentimento for retirado pela pessoa em causa e não se basear noutro motivo;
- Se existir uma obrigação legal de os apagar;
- Se os dados pessoais tiverem sido obtidos no âmbito da prestação de serviços da sociedade da informação.
A obrigação de apagar os dados pessoais do titular quando se verifica uma das circunstâncias acima referidas é complementada por uma segunda obrigação, cujo cumprimento é muito importante num ambiente em linha. O artigo 17.o, n.o 2, prevê que, sempre que o responsável pelo tratamento tenha tornado públicos os dados e esteja obrigado, por força do disposto no RGPD, a apagá-los, tendo em conta a tecnologia disponível e os custos da sua aplicação, deve tomar medidas razoáveis, incluindo medidas técnicas, para informar os responsáveis pelo tratamento dos dados pessoais do pedido do titular dos dados de supressão de qualquer ligação a esses dados pessoais, bem como de qualquer cópia ou réplica dos mesmos. Não é possível controlar os próprios dados se não for garantido o direito de apagá-los definitivamente na rede e para isso não basta com o seu desaparecimento do web master (principal responsável), mas é necessário estabelecer esta segunda obrigação, dirigida a terceiros do pedido do interessado para "apagar qualquer link, cópia ou reprodução destes, quando ocorrerem determinadas circunstâncias, para que não possam ser acedidos através da Internet" 32.
O direito de supressão não constitui um direito absoluto; o nº 3 do artigo 17º estabelece que as disposições dos números anteriores não são aplicáveis quando o tratamento for necessário:
(b) Pelo cumprimento de uma obrigação jurídica que exija o tratamento de dados imposto pela legislação da União ou dos Estados-Membros aplicável ao responsável pelo tratamento, ou pelo exercício de funções de interesse público ou pelo exercício da autoridade pública de que está investido o responsável pelo tratamento;
d) Para fins de arquivo de interesse público, para investigação científica ou histórica ou para fins estatísticos nos termos do n.o 1 do artigo 89.o , na medida em que o direito referido no n.o 1 torne impossível ou dificulte seriamente a realização dos objectivos desse tratamento; ou
e) Para a formulação, exercício ou defesa de alegações.
5. O direito à limitação do processamento
O artigo 18.o da DPGP estabelece o direito da pessoa em causa de obter do responsável pelo tratamento de dados a limitação do tratamento dos seus dados em determinadas circunstâncias. A limitação do tratamento significa que, a pedido do titular dos dados, as operações de tratamento correspondentes não serão aplicadas aos seus dados pessoais. A limitação do processamento é definida no art. 4 do RGPD como "a marcação de dados pessoais armazenados, a fim de limitar o seu processamento no futuro".
Pode ser solicitada nos seguintes casos:
- A pessoa em causa exerceu o direito de rectificação e pôs em causa a exactidão dos dados.
O sujeito de dados exerceu o direito de objeção e o controlador de dados está no processo de verificar os dados.
determinar se o pedido deve ser atendido.
- O tratamento é ilícito, o que levaria ao apagamento dos dados, mas a pessoa em causa opõe-se a isso.
- Os dados não são mais necessários para o processamento, que também determinaria sua eliminação, mas o titular dos dados solicita a limitação porque precisa deles para a formulação, exercício ou defesa de reclamações.
Trata-se de casos em que, essencialmente, "o tratamento dos dados é ilícito, pelo que a pessoa em causa necessita que seja mantida prova dessa violação para que não desapareça, ou a pessoa em causa necessita que os dados pessoais sejam conservados, mesmo depois de cumprida a finalidade do tratamento, a fim de se apresentar, exercer ou defender em acções"33.
O segundo parágrafo do artigo 18º especifica que, quando o tratamento de dados pessoais é limitado, esses dados só podem ser tratados, com excepção da sua conservação, nos seguintes casos34:
- com o consentimento da pessoa em causa;
- para a formulação, exercício ou defesa de pedidos;
- para proteger os direitos de outra pessoa singular ou colectiva;
- para assegurar um interesse público importante da União ou de um Estado-Membro.
Por último, qualquer pessoa interessada que tenha obtido a limitação do tratamento deve ser informada pelo responsável do mesmo antes de a limitação ser levantada.
6. Obrigação de notificação relativa à rectificação ou ao apagamento de dados pessoais ou à limitação do tratamento
Uma vez que estes direitos tenham entrado em vigor, o responsável pelo tratamento deve comunicar qualquer rectificação ou supressão de dados pessoais ou limitação do tratamento a cada um dos destinatários a quem os dados pessoais tenham sido comunicados, salvo se tal for impossível ou exigir um esforço desproporcionado (artigo 19.º). Deve igualmente informar a pessoa em causa desses destinatários, se a pessoa em causa o solicitar.
7. Direito à portabilidade dos dados
Uma das novidades introduzidas pela RGPD é o direito contido em seu artigo 20. A Lei Orgânica 3/2018 a inclui no artigo 17 com referência direta e sem especificação ao referido preceito da RGPD. É um direito autónomo e diferente dos direitos de arco e cujo antecedente se encontra em Espanha no direito à portabilidade numérica no âmbito da telefonia. De acordo com o RGPD (considerando 68), a razão de ser deste novo direito é "reforçar ainda mais o controlo sobre os seus próprios dados, quando o tratamento de dados pessoais é efectuado por meios automatizados".
O artigo 20 do RGPD estabelece que o interessado terá́ o direito de receber do responsável pelo tratamento os dados pessoais que lhe dizem respeito em formato estruturado, de uso comum e leitura mecânica, e de os transmitir a outro responsável pelo tratamento. O interessado pode também exigir que os dados pessoais sejam transmitidos directamente do responsável a responsável, se tal for tecnicamente possível.
Pode exercer-se:
- Quando o processamento é executado por meios automatizados;
- Quando o processamento é baseado em consentimento ou contrato;
- Quando a pessoa em causa o solicitar relativamente aos dados que forneceu ao responsável pelo tratamento e que lhe digam respeito, incluindo os dados derivados da sua própria actividade.
Este direito não exclui o direito à supressão dos dados do artigo 17º do RGPD.
8. Direito de oposição
O art. 21 garante o direito do titular dos dados de se opor ao tratamento dos seus dados em vários casos35.
Em primeiro lugar, por razões relacionadas com a situação específica do titular dos dados quando o tratamento é necessário para o exercício de funções de interesse público ou no exercício de poderes públicos conferidos ao responsável pelo tratamento (n.o 1, alínea e), do artigo 6.o do RGPD) ou quando o tratamento é necessário para a satisfação de interesses legítimos do responsável pelo tratamento ou de terceiros (n.o 1, alínea f), do artigo 6.o do RGPD), incluindo a definição de perfis com base nessas disposições. Neste caso, o direito de oposição não é um direito absoluto36 , uma vez que, neste caso, o responsável pelo tratamento pode continuar a tratar os dados quando estabelecer razões legítimas imperiosas para o tratamento que prevaleçam sobre os interesses, direitos e liberdades da pessoa em causa, ou para a formulação, exercício ou defesa de reclamações. No entanto, é importante ter presente que, no considerando 69 da RGPD, se afirma que a parte responsável deve ser aquela que prova que os seus interesses legítimos imperiosos prevalecem sobre os interesses ou direitos e liberdades fundamentais da pessoa em causa.
Em segundo lugar, por razões relacionadas com a situação particular, pode opor-se ao tratamento dos seus dados pessoais para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89.o, n.o 1, do RGPD, salvo se o tratamento for necessário para a execução de uma missão realizada por razões de interesse público.
Em terceiro lugar, pode opor-se ao tratamento de dados para efeitos de comercialização directa, incluindo a definição de perfis na medida em que esteja relacionada com essa comercialização.
9. Elaboraçao de perfis e decisões individuais automatizadas
O regulamento europeu rege a definição de perfis e o direito de não ser objecto de decisões baseadas exclusivamente no tratamento automatizado. Esta questão estava anteriormente regulamentada na Directiva 95/46/CE e o Conselho da Europa pronunciou-se sobre ela na Recomendação (2010)13 relativa à protecção das pessoas singulares no que diz respeito ao tratamento automatizado de dados pessoais no contexto da definição de perfis do Comité de Ministros do Conselho da Europa37. O artigo 22.º do regulamento garante o direito da pessoa em causa de não ser objecto de uma decisão baseada exclusivamente no tratamento automatizado, incluindo a definição de perfis38 , que produza efeitos jurídicos ou que a afecte de forma semelhante e significativa, tendo em conta os princípios acima referidos. Não se trata de um direito absoluto, com algumas excepções, embora não seja necessário abordá-las nesta fase.
10. Procedimento para o seu exercício e limites aos direitos da pessoa em causa
O artigo 12.o do RGPD prevê que o responsável pelo tratamento deve facilitar o exercício dos direitos do titular dos dados. O exercício destes direitos será gratuito, regra geral, e deve produzir efeitos no prazo fixado pelo RGPD: o responsável pelo tratamento deve informar o titular dos dados do seu pedido no prazo de um mês (mais dois meses no caso de pedidos particularmente complexos, e deve notificar esta prorrogação no primeiro mês). Se a pessoa responsável decidir não dar seguimento a um pedido, deve igualmente informar o interessado no prazo de um mês a contar da sua apresentação e informá-lo dos motivos da sua inacção e da possibilidade de apresentar uma queixa a uma autoridade de controlo e de intentar uma acção judicial.
Os direitos do titular dos dados não são absolutos e o artigo 23.o prevê que podem ser limitados pelo direito da União ou dos Estados-Membros a fim de salvaguardar determinados valores importantes.
XI. O RESPONSÁVEL PELO TRATAMENTO E O SUBCONTRATANTE: AS SUAS OBRIGAÇÕES.
O RGPD distingue entre duas figuras diferentes no uso de dados pessoais, por um lado, o responsável e, por outro, o encarregado do tratamento. O responsável é a pessoa singular ou colectiva, de natureza pública ou privada ou o órgão administrativo que, individualmente ou em conjunto com outros, determina as finalidades e os meios de tratamento. É a pessoa que dirige e controla os arquivos de dados pessoais e cada uma das operações e tratamentos a que são submetidos. O encarregado pelo tratamento é aquele que trata os dados pessoais em nome da pessoa responsável pelo tratamento. Pode também ser uma pessoa singular ou coletiva, uma autoridade pública, um serviço ou um organismo, independentemente de o tratamento de dados ser efetuado exclusivamente ou em conjunto com outros subcontratantes de dados.
Tanto o responsável como o encarregado dos dados estão unidos por cada um e cada uma das provisões do RGPD. Muitas destas obrigações são deduzidas do conteúdo dos direitos das pessoas afetadas, mas outras foram expressamente reguladas no regulamento e algumas delas foram incluídas na nova lei sobre a proteção de dados pessoais. O RGPD estabelece obrigações específicas para os responsáveis do tratamento. Entre outras: manter um registo das actividades de tratamento, determinar as medidas de segurança aplicáveis ao tratamento que efectuam ou nomear um delegado para a protecção de dados nos casos previstos pelo RGPD.
1. OBRIGAÇÕES GERAIS
O artigo 24.º da DPGP prevê que, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento deve aplicar medidas técnicas e organizativas adequadas a fim de assegurar e poder demonstrar que o tratamento cumpre o disposto no presente regulamento. Essas medidas devem ser revistas e actualizadas na medida do necessário. Como vimos, o artigo 5º do regulamento incorpora o princípio da responsabilidade pró-activa como a necessidade de o responsável pelo tratamento implementar medidas técnicas e organizativas adequadas para garantir e poder demonstrar que o tratamento está em conformidade com o regulamento. Por outro lado, o artigo 28 da Lei Orgânica 3/2018, de 5 de Dezembro, de Protecção de Dados Pessoais e Garantia de Direitos Digitais, desenvolve esta obrigação ao estabelecer que os responsáveis e encarregados, tendo em conta o disposto no Regulamento (UE) 2016/679, determinarão as medidas técnicas e organizativas adequadas que devem aplicar para garantir e acreditar que o tratamento cumpre o referido regulamento, a lei orgânica de protecção de dados, os seus regulamentos de aplicação e a legislação sectorial aplicável.
2. PROTECÇÃO DOS DADOS CONTRA A CONCEPÇÃO E A FALTA DE CONFORMIDADE.
O artigo 25.o da RGPD estabelece o princípio da privacidade desde a concepção e, por defeito, estabelece esse princípio:
a) Tendo em conta o estado da técnica, o custo do pedido e a natureza, âmbito, contexto e finalidades do tratamento, bem como os riscos de probabilidade e gravidade variáveis que o tratamento implica para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento aplica-se tanto no momento da determinação dos meios de tratamento como no momento do próprio tratamento, Medidas técnicas e organizativas adequadas, como a pseudo-animação, destinadas a aplicar eficazmente os princípios da proteção de dados, como a minimização dos dados, e a integrar as garantias necessárias no tratamento, a fim de cumprir os requisitos do presente regulamento e de proteger os direitos dos titulares dos dados.
b) O responsável pelo tratamento aplica as medidas técnicas e organizativas adequadas para assegurar que, por defeito, só sejam tratados os dados pessoais necessários para cada uma das finalidades específicas do tratamento. Esta obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu período de conservação e à sua acessibilidade. Essas medidas devem assegurar, em especial, que, por defeito, os dados pessoais não sejam acessíveis, sem a intervenção da pessoa, a um número indefinido de pessoas singulares.
c) Um mecanismo de certificação tal como estabelecido no RGPD pode ser utilizado como prova do cumprimento destas obrigações.
O princípio da privacidade desde a concepção surge nos anos 90, promovido por Ann Cavoukian, Comissária para a Informação e a Privacidade de Ontário, e alargar-se-ia a uma "trilogia" de aplicações que englobaria sistemas de tecnologia da informação, práticas comerciais responsáveis, concepção física e infra-estrutura de rede39. Esta filosofia baseia-se em 7 princípios fundamentais40: proactiva, não reactiva; privacidade como definição por defeito ou privacidade por defeito41; privacidade integrada, plena funcionalidade; segurança de ponta a ponta; visibilidade e transparência; e respeito pela privacidade dos utilizadores.
A privacidade na concepção é apresentada como "uma forma essencial de exercer a autodeterminação, a ferramenta para facilitar a aplicação da Lei de acordo com seus princípios"42. O ponto de partida é a ideia de que a proteção de dados pessoais e direitos relacionados à vida privada deve ser incorporada na construção de sistemas de informação, empresas, dispositivos, aplicações, etc., avaliando "todos os processos e fluxos de informação previstos no sistema, analisando suas implicações para a privacidade de um ponto de vista holístico e preventivo e com um enfoque além do atual marco legal"43. A ideia é que a proteção de dados pessoais e direitos relacionados à vida privada deve ser a proteção dos mesmos.
3. REGISTO DAS ACTIVIDADES DE TRATAMENTO DE DADOS
Cada responsável pelo tratamento e cada encarregado manterá um registo das actividades de tratamento efectuadas sob a sua responsabilidade (artigo 30.º do RGPD). O registo contém informações sobre o nome e os dados de contacto do responsável pelo tratamento e, se for caso disso, do correspondente, do representante do responsável pelo tratamento e do encarregado da proteção de dados, para efeitos do tratamento, as categorias dos titulares dos dados e dos dados pessoais, as categorias dos destinatários dos dados, incluindo os de países terceiros ou organizações internacionais; se possível, os prazos para a supressão das diferentes categorias de dados, bem como uma descrição geral das medidas técnicas e organizativas de segurança. Esta obrigação é complementada pela obrigação do encarregado manter um registo de todas as categorias de atividades de tratamento efetuadas por conta de um responsável pelo tratamento. Neste sentido, o artigo 31º da Lei Orgânica 3/2018 estabelece que "o registo, que pode ser organizado em torno de conjuntos estruturados de dados, deve especificar, de acordo com os seus fins, as actividades de tratamento realizadas e as demais circunstâncias estabelecidas no referido regulamento". O nº 5 do artigo 30º da prevê uma excepção a esta obrigação devido à dimensão da empresa ou organização, de modo que as empresas ou organizações que empreguem menos de 250 pessoas não são obrigadas a fazê-lo, a menos que o tratamento possa implicar um risco para os direitos e liberdades das pessoas em causa, não seja ocasional ou inclua categorias especiais de dados (dados sensíveis do artigo 9º ou dados relativos a condenações e infracções penais referidos no artigo 10º ).
4. COOPERAÇÃO COM A AUTORIDADE DE CONTROLO
O RGPD estabelece a obrigação de o responsável pelo tratamento e o encarregado cooperarem com a autoridade de controlo, mediante pedido, no exercício das suas funções. O artigo 52º da nova lei de protecção de dados pessoais especifica quem deve colaborar com a Agência Espanhola de Protecção de Dados e em que casos e sob que forma no exercício dos seus poderes de investigação e auditoria prévia.
5. OBRIGAÇÕES RELATIVAS À SEGURANÇA DOS DADOS PESSOAIS
5.1. A obrigação de segurança.
O regulamento impõe várias obrigações ao responsável pelo tratamento e ao encarregado em matéria de segurança, a fim de aplicar o princípio da confidencialidade e da segurança das informações previsto no artigo 5. Em primeiro lugar, como já estudámos, aplicarão medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco, tendo em conta o estado da técnica, os custos de implementação e a natureza, âmbito, contexto e finalidades do tratamento, bem como riscos de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares. Outras medidas devem incluir:
- pseudonimização e cifragem de dados pessoais;
- capacidade para assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos serviços e sistemas de tratamento
- capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma adequada e atempada;
- um processo de verificação, avaliação e apreciação regulares da eficácia de medidas técnicas e organizativas para garantir a segurança do tratamento.
A fim de estabelecer um nível adequado de segurança, devem ser tidos em conta os riscos envolvidos no tratamento dos dados, em especial no que diz respeito à destruição, perda ou alteração, acidental ou ilícita, de dados pessoais transmitidos, armazenados ou tratados de outro modo, ou à divulgação ou acesso não autorizados a esses dados. Além disso, a adesão a um código de conduta ou a um mecanismo de certificação pode servir de elemento para demonstrar o cumprimento dos requisitos de segurança estabelecidos no RGPD.
O apartado 5 prevê ainda que o responsável pelo tratamento e o encarregado tomam medidas para assegurar que qualquer pessoa que atue sob a autoridade do responsável pelo tratamento ou do encarregado tenha acesso a dados pessoais só possa tratar esses dados mediante instruções do responsável pelo tratamento, salvo se tal for exigido pelo direito da União ou dos Estados-Membros.
O artigo 5.º da nova lei sobre a proteção de dados pessoais estabelece uma obrigação geral de confidencialidade para o responsável, o responsável ou qualquer outra pessoa que intervenha em qualquer fase do tratamento de dados pessoais. O dever de confidencialidade é compatível com o dever de sigilo profissional de acordo com a regulamentação aplicável. As obrigações de confidencialidade ou de sigilo profissional são mantidas mesmo que a relação do devedor com o responsável pelo tratamento ou o encarregado tenha terminado.
5.2 Obrigação de notificação das violações da segurança.
Outra obrigação relacionada com a segurança dos dados pessoais é a notificação de uma violação da segurança dos dados pessoais à autoridade de controlo. Em caso de violação da segurança dos dados pessoais, o responsável pelo tratamento informa a AEPD sem demora injustificada e, se possível, o mais tardar 72 horas após ter tomado conhecimento da violação, salvo se for improvável que tal violação da segurança dos dados pessoais venha a ocorrer. A segurança constitui um risco para os direitos e liberdades das pessoas singulares. Se a notificação não respeitar o prazo de 72 horas, deve ser acompanhada de uma indicação dos motivos do atraso.
O encarregado deve igualmente notificar o responsável pelo tratamento, sem demora injustificada, das violações da segurança dos dados pessoais de que tenha conhecimento. Nos casos em que a violação da segurança dos dados pessoais seja suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento deve informar o titular dos dados sem demora injustificada, em linguagem simples, salvo se for aplicável uma das exceções previstas no artigo 33º.
6.AVALIAÇÃO DO IMPACTO NA PROTECÇÃO DE DADOS
O RGPD prevê a obrigação de o responsável pelo tratamento efetuar, antes do tratamento, uma avaliação do impacto das operações de tratamento sobre a proteção de dados pessoais nos casos em que um tipo de tratamento seja suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares (artigo 35.º). Em certos casos, a avaliação de impacto será obrigatória: quando são tratados dados sensíveis, em processos de definição de perfis ou em casos de monitorização em grande escala em zonas acessíveis ao público. Se a avaliação de impacto demonstrar que o tratamento implica um risco elevado, o responsável pelo tratamento não tomar medidas para o atenuar, deverá consultar a autoridade de controlo antes de proceder ao tratamento de dados pessoais.
A análise de impacto na privacidade é "um estudo que descreve os fluxos de informação privada dentro de um sistema ou projecto e analisa os possíveis impactos destes processos na privacidade dos seus utilizadores" e deve incluir pelo menos as seguintes áreas de análise: informação sobre o sistema ou projecto, quadro regulamentar aplicável, caracterização da informação processada, razões e objectivos da recolha da informação e utilizações da informação, partilha interna e externa, identificação de todos os processos, políticas de utilização e privacidade, registo de segurança da informação e, finalmente, tempos de retenção e procedimentos de eliminação segura45.
O regulamento estabelece um conteúdo mínimo para as avaliações de impacto, que deverão incluir uma descrição geral das operações de tratamento previstas, com uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação à sua finalidade, uma avaliação do risco, as medidas previstas para fazer face ao risco, incluindo garantias, medidas de segurança e mecanismos para assegurar a proteção dos dados pessoais, tendo em conta os direitos e interesses legítimos dos titulares dos dados e de outras pessoas em causa. Este regulamento poderá ter consequências sobre a segurança dos dados pessoais, uma vez que será a pessoa responsável a decidir "as medidas a aplicar com base numa avaliação por ela efectuada".
PROTECÇÃO DE DADOS E A INTERNET DAS COISAS: SECURHOME
1Vid. P.REZ LU.O, Antonio E.: Derechos humanos, Estado de Derecho y Constituci.n, novena edici.n, Tecnos, Madrid, 2005, p. 318.
2HEREDERO HIGUERAS, Manuel: “La inform.tica y el uso de la informaci.n personal”, en RIBERO y SANTODOMINGO: Introducci.n a la inform.tica jur.dica”, Fundesco, Madrid, 1986, p. 35.
3HEREDERO HIGUERAS, Manuel: La inform.tica y el uso de la informaci.n personal, ob. cit., p. 34.
4P.REZ LU.O, Antonio E.: Vittorio Frosini y los nuevos derechos de la sociedad tecnol.gica, en Informatica e Diritto, 1-2, Edizioni Scientifiche Italiane, 1992, p. 104.
5STC 254/1993, de 20 de julio, fundamento jur.dico 6.. En el mismo sentido, entre otras, STC 11/1998, de 13 de enero, 94/1998 y 202/1999, de 8 de noviembre.
6DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 24 de octubre de 1995 relativa a la protecció de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
7Especialmente en los Considerando 4,5, 6 y 7.
8El párrafo segundo del art.culo 2 del RGPD se.ala taxativamente los tratamientos a los que no resulta de aplicación las previsiones contenidas en el mismo.
9Título II, art.culos 4 y siguientes.
10Sentencia de la Audiencia Nacional de 22 septiembre 2011.
11Según este principio corresponder. al responsable del tratamiento asegurarse de la exactitud de los datos, es decir, que responde a la situaci.n real del interesado. Así lo han entendido los tribunales españoles; entre otras vid. STS 13/2013, de 29 de enero o SSAN de 19 de abril de 2002, de 21 mayo 2013 y de 24 junio 2014.
12Artículo 4. Exactitud de los datos
1. Conforme al art.culo 5.1.d) del Reglamento (UE) 2016/679 los datos ser.n exactos y, si fuere necesario, actualizados.
2. A los efectos previstos en el art.culo 5.1 d) del Reglamento (UE) 2016/679, no ser. imputable al responsable del tratamiento, siempre que .ste haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, la inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos:
a) Hubiesen sido obtenidos por el responsable directamente del afectado.
b) Hubiesen sido obtenidos por el responsable de un mediador o intermediario en caso de que las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establecieran la posibilidad de intervención de un intermediario o mediador que recoja en nombre propio los datos de los afectados para su transmisón al responsable. El mediador o intermediario asumir. las responsabilidades que pudieran derivarse en el supuesto de comunicaci.n al responsable de datos que no se correspondan con los facilitados por el afectado.
c) Fuesen sometidos a tratamiento por el responsable por haberlos recibido de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad conforme al art.culo 20 del Reglamento (UE) 2016/679 y lo previsto en esta Ley Orgánica.
d) Fuesen obtenidos de un registro p.blico por el responsable..
13CUEVA CALABIA, Jos. L.: "La LORTAD y la seguridad de los sistemas automatizados de datos personales". En Actualidad Informática Aranzadi, n.mero 13, octubre, Aranzadi, 1994, p. 7.
14REBOLLO DELGADO, Lucrecio y SERRANO P.REZ, M. Mercedes: Introducci.n a la protección de datos, ob. cit.,p. 139.
15Vid. DEL PESO NAVARRO, Emilio, RAMOS GONZ.LEZ, Miguel A., DEL PESO RUIZ, Margarita y DEL PESO RUIZ, Mar: Nuevo Reglamento de protección de datos de carácter personal: Medidas de seguridad, Ediciones D.az de Santos, 2012, especialmente p. 309 y ss.
16El GT29 considera que, por ejemplo, se podr.an aplicar las siguientes medidas: medidas revisión interna, evaluación, establecimiento de políticas escritas y vinculantes de protección de datos para asegurar el cumplimiento de los criterios de calidad de datos; establecimiento de procedimientos que garanticen la identificación correcta de todas las operaciones de tratamiento de datos y el mantenimiento de un inventario de operaciones de tratamiento; nombramiento de un responsable de protecci.n de datos (en el RGPD el delegado de protección de datos); realizaci.n de evaluaciones de impacto sobre la privacidad en circunstancias espec.ficas; formaci.n a los miembros del personal, en especial a los directores de recursos humanos y a los administradores de tecnologías de la información; establecimiento de un mecanismo interno de tratamiento de quejas; etc. Dictamen 3/2010 sobre el principio de responsabilidad del GT29, p. 9,12 y 13.
17Gu.a del RGPD para responsables de tratamiento.
18Definición que reproduce el art.culo 6 de la Ley Org.nica 3/2018.
19Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, adoptadas el 28 de noviembre de 2017 y revisadas por última vez y adoptadas el 10 de abril de 2018, p. 6.
20VALDECANTOS, M.: “El consentimiento como base legitimadora del tratamiento en el Reglamento Europeo de protección de datos”, Actualidad Civil n. 5, mayo de 2018.
21Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, adoptadas el 28 de noviembre de 2017 y revisadas por última vez y adoptadas el 10 de abril de 2018, p. 6-8.
22STC 292/2000, de 30 de noviembre, fundamento jur.dico octavo.
23El art.culo 11 de la Ley 3/2018 regula la transparencia e información al afectado en los siguientes términos:
1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podr. dar cumplimiento al deber de informaci.n establecido en el art.culo 13 del Reglamento (UE) 2016/679 facilitando al afectado la informaci.n b.sica a la que se refiere el apartado siguiente e indic.ndole una direcci.n electr.nica u otro medio que permita acceder de forma sencilla e inmediata a la restante informaci.n.
2. La informaci.n b.sica a la que se refiere el apartado anterior deber. contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los art.culos 15 a 22 del Reglamento (UE) 2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboraci.n de perfiles, la informaci.n b.sica comprender. asimismo esta circunstancia. En este caso, el afectado deber. ser informado de su derecho a oponerse a la adopci.n de decisiones individuales automatizadas que produzcan efectos jur.dicos sobre .l o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el art.culo 22 del Reglamento (UE) 2016/679.
3. Cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podr. dar cumplimiento al deber de informaci.n establecido en el art.culo 14 del Reglamento (UE) 2016/679 facilitando a aquel la informaci.n b.sica se.alada en el apartado anterior, indic.ndole una direcci.n electr.nica u otro medio que permita acceder de forma sencilla e inmediata a la restante informaci.n.
En estos supuestos, la informaci.n b.sica incluir. tambi.n:
a) Las categor.as de datos objeto de tratamiento.
b) Las fuentes de las que procedieran los datos.
24VALDECANTOS, M.: “El consentimiento como base legitimadora del tratamiento en el Reglamento Europeo de protecci.n de datos”, Actualidad Civil n. 5, mayo de 2018.
25Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, adoptadas el 28 de noviembre de 2017 y revisadas por .ltima vez y adoptadas el 10 de abril de 2018, p. 18.
26STC 17/2013 de 31 enero.
27HERN.NDEZ CORCHETE, J.A.: “Transparencia en la informaci.n al interesado del tratamiento de sus datos personales y en el ejercicio de sus derechos”; en PI.AR MA.AS, J. L. (Dir.): Reglamento General de protecci.n de datos. Hacia un nuevo modelo europeo de privacidad, Editorial Reus, Madrid, 2016, p. 207.
28El derecho de acceso y las particularidades en relaci.n con su ejercicio est. previsto en el art.culo 13 de la Ley Org.nica 3/2018.
29Deber. informarle sobre: los fines del tratamiento; las categor.as de datos personales; los destinatarios, en particular destinatarios en terceros pa.ses u organizaciones internacionales; el plazo previsto de conservaci.n o, de no ser posible, los criterios utilizados para determinar este plazo; la existencia del derecho a solicitar la rectificaci.n o supresi.n o la limitaci.n del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento; el derecho a presentar una reclamaci.n ante una autoridad de control; si los datos personales no se han obtenido del interesado, cualquier informaci.n disponible sobre su origen; la existencia de decisiones automatizadas, incluida la elaboraci.n de perfiles, a que se refiere el art.culo 22 (art.15 RGPD).
30STJUE C-553/07, Rotterdam v. Rijkeboer.
31HERN.NDEZ CORCHETE, J.A.: “Transparencia en la informaci.n al interesado del tratamiento de sus datos personales y en el ejercicio de sus derechos”, ob. cit., p. 224.
32ARENAS RAMIRO, M.nica: Reforzando el ejercicio del derecho a la protecci.n de datos personales: viejas y nuevas facultades, ob. cit., p. 334. Este es el sentido de esta segunda obligaci.n del responsable del tratamiento seg.n se expresa en el Considerando 66 del RGPD: “A fin de reforzar el .derecho al olvido. en el entorno en l.nea, el derecho de supresi.n debe ampliarse de tal forma que el responsable del tratamiento que haya hecho p.blicos datos personales est. obligado a indicar a los responsables del tratamiento que est.n tratando tales datos personales que supriman todo enlace a ellos, o las copias o r.plicas de tales datos. Al proceder ası́́, dicho responsable debe tomar medidas razonables, teniendo en cuenta la tecnolog.a y los medios a su disposici.n, incluidas las medidas t.cnicas, para informar de la solicitud del interesado a los responsables que est.n tratando los datos personales.”
33RECIO GAYO, M.: “Los nuevos y renovados derechos en Protecci.n de Datos en el RGPD, as. como sus limitaciones”, Actualidad Civil n.. 5, mayo 2018.
34Vid. .LVAREZ CARO, M..: “El derecho de rectificaci.n, cancelaci.n, limitaci.n del tratamiento, oposici.n y decisiones individuales automatizadas”, en PI.AR MA.AS, J. L. (dir.): Reglamento General de protecci.n de datos. Hacia un nuevo modelo europeo de privacidad, ob. cit., p. 235 y ss.
35En este sentido, RECIO GAYO, M.: “Los nuevos y renovados derechos en Protecci.n de Datos en el RGPD, as. como sus limitaciones”, Actualidad Civil n.. 5, mayo 2018.
36ÁLVAREZ CARO, M..: “El derecho de rectificaci.n, cancelaci.n, limitaci.n del tratamiento, oposici.n y decisiones individuales automatizadas”, en PI.AR MA.AS, J. L. (dir.): Reglamento General de protecci.n de datos. Hacia un nuevo modelo europeo de privacidad, ob. cit., p. 236.
37Tambi.n las Autoridades de Control de la UE en la Resoluci.n de Varsovia Resoluci.n de Varsovia sobre profiling de la de la XXXV Conferencia Internacional de Autoridades de Protecci.n de datos y Privacidad.
38En el Considerando 71 del Reglamento se ejemplifican varios tipos de perfiles posibles que consistirían en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
39CAVOUKIAN, Ann: Privacy by Design. The 7 Foundational Principles Implementation and Mapping of Fair Information Practices, Information and Privacy Commissioner of Ontario, Canad., 2010.Puede consultarse en: https://www.iab.org/wp-content/IAB-uploads/2011/03/fred_carter.pdf.
40Ib.dem.
41MEG.AS TEROL, Javier: “Privacy by desing, construcci.n de redes sociales garantes de la privacidad”, en RALLO LOMBARTE, Artemi y MART.NEZ MART.NEZ, Ricard (coord..): Derecho y redes sociales, Civitas, Madrid, 2010, p. 320.
42LL.CER MATAC.S, Mar.a Rosa: La autodeterminaci.n informativa en la sociedad de la vigilancia: Ubiquitous Computing, ob. cit., p. 90.
43MEG.AS TEROL, Javier: “Privacy by desing, construcci.n de redes sociales garantes de la privacidad, ob. cit., p. 320.
44MEG.AS TEROL, Javier: “Privacy by desing, construcci.n de redes sociales garantes de la privacidad, ob. cit., p.322.
45Ib.dem, p. 323 y 324.
46ARENAS RAMIRO, M.nica: Reforzando el ejercicio del derecho a la protecci.n de datos personales, en RALLO LOMBARTE, Artemi y GARC.A MAHAMUT, Rosario: Hacia un nuevo Derecho europeo de protecci.n de datos, Tirant lo Blanch, Valencia, 2015,p. 354.