GRUPO DE TRABALHO DE PROTEÇÃO DE DADOS DO ARTIGO 29.º
00461/13/PT
WP 202
Parecer 2/2013 sobre as aplicações em dispositivos inteligentes
Adotado em 27 de fevereiro de 2013
O Grupo de Trabalho foi instituído pelo artigo 29.º da Diretiva 95/46/CE. Trata-se de um órgão consultivo europeu
independente em matéria de proteção de dados e de privacidade. As suas atribuições estão descritas no artigo 30.º da Diretiva
95/46/CE e no artigo 15.º da Diretiva 2002/58/CE.
O secretariado é assegurado pela Direção C (Direitos Fundamentais e Cidadania da União) da Direção-Geral da Justiça da
Comissão Europeia, B-1049 Bruxelas, Bélgica, Gabinete n.º MO-59 02/013.
Sítio Web: http://ec.europa.eu/justice/data-protection/index_pt.htm
Síntese
Para cada tipo popular de dispositivo inteligente, existem centenas de milhares de aplicações (ou
simplesmente apps) diferentes à venda em lojas de aplicações (app stores). Segundo as informações
disponíveis, todos os dias são adicionadas mais de 1 600 novas aplicações a estas lojas. Diz-se que o
utilizador médio de telemóveis inteligentes (smartphones) descarrega 37 aplicações, cujo custo inicial
para o utilizador final pode ser muito reduzido ou inexistente, e que podem ter uma base de
utilizadores constituída por apenas algumas pessoas ou por muitos milhões.
As aplicações conseguem recolher grandes quantidades de dados a partir do dispositivo (por exemplo,
dados armazenados pelo utilizador no dispositivo e dados de diferentes sensores, incluindo a
localização) e proceder ao seu tratamento, a fim de prestar serviços novos e inovadores ao utilizador
final. Contudo, estas mesmas fontes de dados podem ser sujeitas a um tratamento posterior,
geralmente destinado a proporcionar um fluxo de receitas e potencialmente desconhecido ou não
desejado pelo utilizador final.
Os criadores de aplicações que não conheçam os requisitos aplicáveis em matéria de proteção de dados
podem criar riscos significativos para a vida privada e para a reputação dos utilizadores de dispositivos
inteligentes. Os principais riscos para os utilizadores finais em matéria de proteção de dados são a falta
de transparência e de conhecimento dos tipos de tratamento que uma aplicação pode realizar,
conjugada com a inexistência de um consentimento informado dos utilizadores antes desse tratamento.
A fragilidade das medidas de segurança adotadas, a aparente tendência para a maximização dos dados
e a elasticidade dos fins para os quais os dados pessoais são recolhidos contribuem ainda mais para os
riscos em matéria de proteção de dados existentes no atual ambiente de aplicações.
O elevado grau de fragmentação entre os muitos intervenientes no panorama da criação de aplicações
também representa um elevado risco para a proteção de dados. Entre estes intervenientes contam-se,
entre outros: os criadores de aplicações, os proprietários das aplicações, as lojas de aplicações, os
fabricantes de sistemas operativos e de dispositivos (fabricantes de SO e de dispositivos) e outros
terceiros que poderão também estar envolvidos na recolha e tratamento de dados pessoais a partir de
dispositivos inteligentes, tais como os prestadores de serviços de análise e monitorização estatística de
dados e as empresas de publicidade. Embora a maioria das conclusões e recomendações apresentadas
no presente parecer se destinem aos criadores de aplicações (na medida em que são eles quem possui o
maior grau de controlo sobre o modo exato como o tratamento é realizado ou como as informações são
apresentadas na aplicação), muitas vezes estes têm de colaborar com outras partes no ecossistema de
aplicações para garantirem o mais elevado nível de privacidade e de proteção de dados. Esta
colaboração assume especial importância no domínio da segurança, onde a cadeia dos vários
intervenientes é apenas tão forte quanto o seu elemento mais fraco.
Muitos dos dados disponíveis em dispositivos móveis inteligentes são dados pessoais. O quadro
jurídico relevante é a Diretiva Proteção de Dados, conjugada com as disposições da Diretiva
Privacidade Eletrónica sobre a proteção dos dispositivos móveis como parte integrante da esfera
privada dos utilizadores. Estas regras são aplicáveis a qualquer aplicação destinada a utilizadores de
aplicações dentro da UE, independentemente da localização do criador ou da loja de aplicações.
No presente parecer, o Grupo de Trabalho clarifica o quadro jurídico aplicável ao tratamento de dados
pessoais no contexto da criação, distribuição e utilização de aplicações em dispositivos inteligentes,
dedicando especial atenção ao requisito do consentimento, aos princípios da limitação da finalidade e
da minimização dos dados, à necessidade de tomar medidas de segurança adequadas, à obrigação de
informar corretamente os utilizadores finais, aos seus direitos, à definição de períodos razoáveis de
conservação dos dados e, concretamente, ao tratamento leal dos dados recolhidos junto de crianças e
sobre crianças.
2
Índice
1. Introdução....................................................................................................................................................... 4
2. Riscos para a proteção de dados ..................................................................................................................... 5
3 Princípios da proteção de dados ...................................................................................................................... 7
3.1 Legislação aplicável ............................................................................................................................ 7
3.2 Dados pessoais tratados por aplicações ............................................................................................... 8
3.3 Partes envolvidas no tratamento de dados ........................................................................................... 9
3.3.1 Criadores de aplicações .........................................................................................................10
3.3.2 Fabricantes de SO e de dispositivos ......................................................................................11
3.3.3 Lojas de aplicações ................................................................................................................12
3.3.4 Terceiros ................................................................................................................................13
3.4 Fundamento jurídico .......................................................................................................................... 14
3.4.1 Consentimento anterior à instalação e ao tratamento de dados pessoais ...............................14
3.4.2 Fundamentos jurídicos para o tratamento de dados durante a utilização da aplicação ..........17
3.5 Limitação da finalidade e minimização dos dados ............................................................................ 17
3.6 Segurança .......................................................................................................................................... 19
3.7 Informação ......................................................................................................................................... 23
3.7.1 A obrigação de informar e o conteúdo exigido ......................................................................23
3.7.2 A forma das informações .......................................................................................................24
3.8 Direitos do titular de dados ................................................................................................................ 25
3.9 Períodos de conservação .................................................................................................................... 26
3.10 Crianças ........................................................................................................................................... 27
4 Conclusões e recomendações ........................................................................................................................ 28
3
1. Introdução
As aplicações são programas informáticos muitas vezes concebidos para executarem uma tarefa
específica e destinados a um conjunto específico de dispositivos inteligentes, tais como telemóveis
inteligentes, computadores-tablete e televisores com ligação à Internet. Organizam a informação de
forma adequada às características específicas do dispositivo em causa e, muitas vezes, existe uma
estreita interação com as funcionalidades do hardware e do sistema operativo dos dispositivos.
Para cada tipo popular de dispositivo inteligente, existem centenas de milhares de aplicações
diferentes à venda em lojas de aplicações. As aplicações servem diversas finalidades, nomeadamente
navegação na Web, comunicação (correio eletrónico, telefonia e envio de mensagens pela Internet),
entretenimento (jogos, filmes ou vídeos e música), redes sociais, serviços bancários e serviços
baseados na localização. Segundo as informações disponíveis, todos os dias são adicionadas mais de
1 600 novas aplicações às lojas de aplicações.1 O utilizador médio de telemóveis inteligentes
descarregará 37 aplicações,2 cujo custo inicial para o utilizador final pode ser muito reduzido ou
inexistente, e que podem ter uma base de utilizadores constituída por apenas algumas pessoas ou por
muitos milhões.
O sistema operativo subjacente também conterá software ou estruturas de dados que são importantes
para os serviços nucleares do dispositivo inteligente, como, por exemplo, o livro de endereços de um
telemóvel inteligente. O sistema operativo é concebido para que as aplicações possam ter acesso a
estes componentes através de Interfaces de Programação de Aplicações (API). Estas API
proporcionam o acesso a uma grande quantidade de sensores que podem estar presentes em
dispositivos inteligentes. São exemplos de tais sensores: giroscópio, bússola digital e acelerómetro
para indicar a velocidade e a direção do movimento; câmaras frontais e traseiras para capturar vídeos e
fotografias; e um microfone para fazer gravações de áudio. Alguns dispositivos inteligentes também
contêm sensores de proximidade3e permitem a conexão através de uma variedade de interfaces de
rede, nomeadamente Wi-Fi, Bluetooth, NFC ou Ethernet. Por último, os serviços de geolocalização
permitem determinar com exatidão uma localização (tal como descrito no Parecer 13/2011 do Grupo
de Trabalho do artigo 29 sobre serviços de geolocalização em dispositivos móveis inteligentes4). O
tipo, a exatidão e a frequência dos dados deste sensor variam consoante o dispositivo e o sistema
operativo.
1
2
2
3
4
Relatório divulgado em ConceivablyTech, de 19 de agosto de 2012, disponível em
www.conceivablytech.com/10283/business/apple-app-store-to-reach-1mapps-this-year-sort-of. Citado por
Kamala D. Harris, Procuradora-Geral, Departamento de Justiça da Califórnia, Privacy on the go,
Recommendations
for
the
mobile
ecosystem,
janeiro
de
2013,
http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf
Trata-se
de
uma
estimativa
a
nível
mundial
da
ABI
Research
para
2012,
http://www.abiresearch.com/press/smartphone-users-worldwide-will-download-37-apps-o
Trata-se
de
uma
estimativa
a
nível
mundial
da
ABI
Research
para
2012,
http://www.abiresearch.com/press/smartphone-users-worldwide-will-download-37-apps-o
Um sensor capaz de detetar a presença de um objeto físico sem contacto físico. Ver:
http://www.w3.org/TR/2012/WD-proximity-20121206/
Ver o Parecer 13/2011 do Grupo de Trabalho do artigo 29.º sobre serviços de geolocalização em dispositivos
móveis
inteligentes
(maio
de
2011),
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp185_pt.pdf.
4
Através da API, os criadores de aplicações podem recolher continuamente estes dados, aceder a dados
de contacto e escrevê-los, enviar mensagens de correio eletrónico, SMS ou mensagens em redes
sociais, ler, modificar ou eliminar o conteúdo de cartões SD, efetuar gravações de áudio, utilizar a
câmara e aceder a imagens guardadas, ler o estado e a identidade do telefone, modificar as definições
globais do sistema e evitar que o telefone entre em modo de baixo consumo. As API podem ainda
fornecer informações relacionadas com o próprio dispositivo através de um ou mais identificadores
únicos, bem como informações sobre outras aplicações instaladas. Estas fontes de dados podem ser
sujeitas a um tratamento posterior, geralmente destinado a proporcionar um fluxo de receitas e
potencialmente desconhecido ou não desejado pelo utilizador final.
O presente parecer tem por objetivo clarificar o quadro jurídico aplicável ao tratamento de dados
pessoais no contexto da distribuição e utilização de aplicações em dispositivos inteligentes e analisar o
tratamento posterior que poderá ter lugar fora da aplicação, nomeadamente a utilização dos dados
recolhidos para criar perfis e visar determinados utilizadores. O parecer analisa os principais riscos
para a proteção de dados, descreve as diferentes partes envolvidas e chama a atenção para as diversas
responsabilidades jurídicas. As partes envolvidas incluem, nomeadamente: os criadores de aplicações,
os proprietários das aplicações, as lojas de aplicações, os fabricantes de sistemas operativos e de
dispositivos (fabricantes de SO e de dispositivos) e outros terceiros que poderão também estar
envolvidos na recolha e tratamento de dados pessoais a partir de dispositivos inteligentes, tais como os
prestadores de serviços de análise e monitorização estatística de dados e as empresas de publicidade.
É dedicada especial atenção ao requisito do consentimento, aos princípios da limitação da finalidade e
da minimização dos dados, à necessidade de tomar medidas de segurança adequadas, à obrigação de
informar corretamente os utilizadores finais, aos seus direitos, à definição de períodos razoáveis de
conservação dos dados e, concretamente, ao tratamento leal dos dados recolhidos junto de crianças e
sobre crianças.
O seu âmbito de aplicação abrange vários tipos de dispositivos inteligentes, com especial incidência
nas aplicações disponíveis para dispositivos móveis inteligentes.
2. Riscos para a proteção de dados
A estreita interação com o sistema operativo permite às aplicações aceder a um número
significativamente maior de dados do que um programa de navegação tradicional.5 As aplicações
podem recolher grandes quantidades de dados a partir do dispositivo (dados sobre a localização, dados
guardados no dispositivo pelo utilizador e dados dos diferentes sensores) e proceder ao seu tratamento
a fim de prestar serviços novos e inovadores ao utilizador final.
O elevado grau de fragmentação entre os muitos intervenientes no panorama da criação de aplicações
representa um elevado risco para a proteção de dados. Um único item de dados do dispositivo pode ser
transmitido, em tempo real, para ser objeto de tratamento por todo o mundo ou ser reproduzido entre
cadeias de terceiros. Algumas das aplicações mais conhecidas são criadas por grandes empresas de
tecnologia, mas muitas outras são concebidas por pequenas start-ups. Um único programador com
uma ideia e poucos ou nenhuns conhecimentos prévios de programação pode chegar a uma audiência
global num curto espaço de tempo. Os criadores de aplicações que não conheçam os requisitos
aplicáveis em matéria de proteção de dados podem criar riscos significativos para a vida privada e para
5
No entanto, graças ao trabalho desenvolvido pelos criadores de jogos Web, os programas de navegação
Web dos computadores desktop têm um acesso cada vez maior a dados sensoriais existentes nos
dispositivos dos utilizadores finais.
5
a reputação dos utilizadores de dispositivos inteligentes. Simultaneamente, os serviços prestados por
terceiros, como a publicidade, estão a registar uma rápida evolução e, se forem integrados por um
criador de aplicações sem as devidas precauções, poderão divulgar quantidades significativas de dados
pessoais.
Os principais riscos para os utilizadores finais em matéria de proteção de dados são a falta de
transparência e de conhecimento dos tipos de tratamento que uma aplicação pode realizar, conjugada
com a inexistência de um consentimento informado dos utilizadores antes desse tratamento. A
fragilidade das medidas de segurança adotadas, a aparente tendência para a maximização dos dados e a
elasticidade dos fins para os quais os dados pessoais são recolhidos contribuem ainda mais para os
riscos em matéria de proteção de dados existentes no atual ambiente de aplicações. Muitos destes
riscos foram já analisados e objeto de uma resposta por parte de outras autoridades reguladoras
internacionais, como a Comissão Federal do Comércio (FTC) dos EUA, o Gabinete do Comissário
para a Privacidade do Canadá e a Procuradora-Geral do Departamento da Justiça da Califórnia.6
Um dos principais riscos para a proteção de dados é a falta de transparência. Os criadores de
aplicações estão limitados pelas funcionalidades disponibilizadas pelos fabricantes de sistemas
operativos e pelas lojas de aplicações para assegurar a disponibilização oportuna de
informações exaustivas ao utilizador final. No entanto, nem todos os criadores de aplicações
tiram partido destas funcionalidades, dado que muitas aplicações não dispõem de uma política
de privacidade ou não fornecem aos potenciais utilizadores informações úteis sobre o tipo de
dados pessoais que poderão ser tratados pela aplicação e para que finalidades. A falta de
transparência é um problema que não afeta apenas as aplicações gratuitas ou de criadores
inexperientes, dado que, segundo um estudo recente, apenas 61,3 % das 150 aplicações mais
populares disponibilizavam uma política de privacidade.7
A falta de transparência está estreitamente relacionada com a falta de consentimento livre e
informado. Uma vez descarregada a aplicação, o consentimento é frequentemente reduzido a
uma caixa que o utilizador final deve assinalar para indicar que aceita os termos e condições,
sem lhe ser dada a opção de os recusar expressamente. De acordo com um estudo da GSMA
de setembro de 2011, 92 % dos utilizadores de aplicações gostariam de um leque de escolhas
mais diversificado.8
6
7
8
Ver, entre outros, o relatório dos serviços da FTC intitulado «Mobile Privacy Disclosures, Building Trust
Through
Transparency»,
fevereiro
de
2013,
http://www.ftc.gov/os/2013/02/130201mobileprivacyreport.pdf, relatório dos serviços da FTC intitulado
«Mobile Apps for Kids: Current Privacy Disclosures are Disappointing», fevereiro de 2012,
http://www.ftc.gov/os/2012/02/120216mobile_apps_kids.pdf e o relatório de seguimento «Mobile Apps for
Kids:
Disclosures
Still
Not
Making
the
Grade»,
dezembro
de
2012,
http://www.ftc.gov/os/2012/12/121210mobilekidsappreport.pdf,
Gabinetes dos Comissários para a
Privacidade do Canadá, «Seizing Opportunity: Good Privacy Practices for Developing Mobile Apps»,
outubro de 2012, http://www.priv.gc.ca/information/pub/gd_app_201210_e.pdf, Kamala D. Harris,
Procuradora-Geral do Departamento de Justiça da Califórnia, Privacy on the go, Recommendations for the
mobile ecosystem, janeiro de 2013, http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf
Estudo
da
FPF
sobre
aplicações
para
dispositivos
móveis,
junho
de
2012,
http://www.futureofprivacy.org/wp-content/uploads/Mobile-Apps-Study-June-2012.pdf
Oitenta e nove por cento dos utilizadores consideram que é importante saber se as suas informações
pessoais são partilhadas por uma aplicação e ter a possibilidade de aceitar ou recusar esta partilha. Fonte:
User perspectives on mobile privacy, setembro de 2011, http://www.gsma.com/publicpolicy/wpcontent/uploads/2012/03/futuresightuserperspectivesonuserprivacy.pdf
6
A fragilidade das medidas de segurança poderá conduzir a um tratamento não autorizado de
dados pessoais (sensíveis), por exemplo se um criador de aplicações sofrer uma violação de
dados pessoais ou se a própria aplicação for responsável pela fuga de dados pessoais.
Outro risco para a proteção de dados prende-se com o desrespeito (intencional ou devido a
ignorância) do princípio da limitação da finalidade, nos termos do qual só é permitida a
recolha e tratamento de dados pessoais para fins específicos e legítimos. Os dados pessoais
recolhidos por aplicações podem ser largamente distribuídos por diversos terceiros para fins
indeterminados ou elásticos, como «pesquisa de mercado». O princípio da minimização dos
dados também é objeto de um desrespeito alarmante. Estudos recentes revelaram que muitas
aplicações recolhem abundantemente dados a partir de telemóveis inteligentes sem que exista
qualquer relação pertinente com a funcionalidade aparente da aplicação.9
3 Princípios da proteção de dados
3.1 Legislação aplicável
O quadro jurídico europeu relevante é a Diretiva Proteção de Dados (95/46/CE), aplicável a qualquer
situação em que a utilização de aplicações existentes em dispositivos inteligentes envolva o tratamento
de dados pessoais de pessoas singulares. Para identificar a legislação aplicável, é fundamental
conhecer, em primeiro lugar, o papel desempenhado pelas diferentes partes envolvidas: a identificação
do responsável ou responsáveis pelo tratamento realizado através de aplicações móveis é
particularmente importante para a determinação da legislação aplicável, constituindo um elemento
decisivo para desencadear a aplicação da legislação da UE em matéria de proteção de dados, embora
não seja o único critério. De acordo com o artigo 4.º, n.º 1, alínea a), da Diretiva Proteção de Dados, o
direito nacional de um Estado-Membro é aplicável a todo o tratamento de dados pessoais efetuado «no
contexto das atividades de um estabelecimento» do responsável pelo tratamento no território desse
Estado-Membro. Nos termos da alínea c) do mesmo artigo, o direito nacional de um Estado-Membro
também é aplicável nos casos em que o responsável pelo tratamento não estiver estabelecido no
território da Comunidade e recorrer a meios situados no território desse Estado-Membro. Uma vez que
o dispositivo desempenha um papel instrumental no tratamento de dados pessoais obtidos junto do
utilizador e sobre o utilizador, este critério é geralmente preenchido.10 No entanto, esta disposição só é
relevante se o responsável pelo tratamento não estiver estabelecido na UE.
Consequentemente, sempre que uma parte envolvida na criação, distribuição e funcionamento de
aplicações for considerada responsável pelo tratamento, essa parte será responsável, isoladamente ou
em conjunto com outras, pela garantia do cumprimento de todos os requisitos estabelecidos ao abrigo
da Diretiva Proteção de Dados. A identificação do papel das partes envolvidas em aplicações móveis
será objeto de uma análise mais aprofundada no ponto 3.3 infra.
Além da Diretiva Proteção de Dados, a Diretiva Privacidade Eletrónica (2002/58/CE), com a redação
dada pela Diretiva 2009/136/CE, estabelece uma norma específica para todas as partes do mundo que
pretendam armazenar informações ou aceder a informações armazenadas nos dispositivos de
utilizadores no Espaço Económico Europeu (EEE).
9
10
Wall
Street
Journal,
Your
Apps
Are
Watching
You,
http://online.wsj.com/article/SB10001424052748704694004576020083703574602.html
Na medida em que a aplicação gera tráfico com dados pessoais para os responsáveis pelo tratamento de
dados. Este critério poderá não ser preenchido se os dados apenas forem objeto de um tratamento local, no
próprio dispositivo.
7
O artigo 5.º, n.º 3 da Diretiva Privacidade Eletrónica impõe que o armazenamento de informações ou a
possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou
utilizador só sejam permitidos se este tiver dado o seu consentimento prévio com base em informações
claras e completas, nos termos da Diretiva 95/46/CE, nomeadamente sobre os objetivos do
processamento. (…)
Embora muitas disposições da Diretiva Privacidade Eletrónica sejam apenas aplicáveis a serviços de
comunicações eletrónicas publicamente disponíveis e a fornecedores de redes públicas de
comunicações na Comunidade Europeia, o artigo 5º, n.º 3 aplica-se a qualquer entidade que coloque
informações em dispositivos inteligentes ou leia informações a partir dos mesmos. Esta disposição é
aplicável independentemente da natureza da entidade (ou seja, públicas e privadas, programadores
individuais e grandes empresas ou responsáveis pelo tratamento de dados, subcontratantes e terceiros).
O requisito do consentimento previsto no artigo 5.º, n.º 3 é aplicável a qualquer informação,
independentemente da natureza dos dados que são armazenados ou acedidos. O âmbito não se limita
aos dados pessoais; incluem-se no conceito de informação todo o tipo de dados armazenados no
dispositivo.
O requisito do consentimento do artigo 5.º, n.º 3, da Diretiva Privacidade Eletrónica é aplicável aos
serviços oferecidos «na Comunidade», ou seja, a todas as pessoas que vivem no Espaço Económico
Europeu, independentemente da localização do prestador de serviços. É importante que os criadores de
aplicações saibam que ambas as diretivas são leis imperativas, na medida em que os direitos
individuais são intransmissíveis e não se encontram na disponibilidade das partes. Tal significa que a
aplicabilidade da legislação europeia em matéria de privacidade não pode ser afastada por meio de
uma declaração unilateral ou contrato.11
3.2 Dados pessoais tratados por aplicações
Muitos tipos de dados armazenados num dispositivo inteligente ou por este gerados são dados
pessoais. Nos termos do considerando 24 da Diretiva Privacidade Eletrónica:
«O equipamento terminal dos utilizadores de redes de comunicações eletrónicas e todas as
informações armazenadas nesse equipamento constituem parte integrante da esfera privada
dos utilizadores e devem ser protegidos ao abrigo da Convenção Europeia para a Proteção
dos Direitos Humanos e das Liberdades Fundamentais.»
São dados pessoais sempre que se referirem a uma pessoa que seja diretamente (por exemplo, pelo
nome) ou indiretamente identificável pelo responsável pelo tratamento ou por um terceiro. Podem
respeitar ao proprietário do dispositivo ou a qualquer outra pessoa, como acontece com as informações
de contacto de amigos num livro de endereços.12 Os dados podem ser recolhidos e tratados no
dispositivo ou, uma vez transferidos, noutro local na infraestrutura dos criadores de aplicações ou de
11
12
Por exemplo, declarações que estipulem a aplicabilidade exclusiva da legislação de uma jurisdição fora do
EEE.
Os dados podem ser (i) gerados automaticamente pelo dispositivo com base em funcionalidades
pré-determinadas pelo fabricante do SO e/ou dispositivo ou pelo prestador de serviços de telefonia móvel em
causa (por exemplo, dados de geolocalização, definições da rede, endereço IP); (ii) gerados pelo utilizador
através de aplicações (listas de contactos; notas; fotografias); (iii) gerados pelas aplicações (por exemplo,
histórico de navegação).
8
terceiros, através de uma ligação a uma API externa, em tempo real e sem conhecimento do utilizador
final.
São exemplos de dados pessoais suscetíveis de ter um impacto significativo nas vidas privadas dos
utilizadores e de outras pessoas:
– A localização
– Os contactos
– Os identificadores únicos dos dispositivos e dos clientes (tais como o IMEI13, o IMSI14, o
UDID15 e o número de telemóvel)
– A identidade do titular de dados
– A identidade do telefone (ou seja, nome do telefone16)
– Os dados sobre cartões de crédito e pagamento
– Os registos de chamadas telefónicas, SMS ou mensagens instantâneas
– O histórico de navegação
– O correio eletrónico
– As credenciais de autenticação de serviços da sociedade da informação (especialmente
serviços com funcionalidades sociais)
– As imagens e vídeos
– Os dados biométricos (por exemplo, modelos de impressões digitais e de reconhecimento
facial).
3.3 Partes envolvidas no tratamento de dados
São muitas as partes envolvidas na criação, distribuição e funcionamento de aplicações, e cada uma
tem responsabilidades diferentes no domínio da proteção de dados.
É possível identificar quatro partes principais. São elas: (i) os criadores das aplicações (incluindo os
proprietários das aplicações)17; (ii) os fabricantes do sistema operativo e do dispositivo («fabricantes
do SO e do dispositivo»)18; (iii) as lojas de aplicações (o distribuidor da aplicação); e, por último, (iv)
outras partes envolvidas no tratamento de dados pessoais. Em alguns casos, as responsabilidades no
domínio da proteção de dados são partilhadas, especialmente quando a mesma entidade está envolvida
em várias fases (por exemplo, quando o fabricante do SO também controla a loja de aplicações).
Os utilizadores finais também devem assumir certas responsabilidades, na medida em que criam e
armazenam dados pessoais através dos seus dispositivos móveis. Se este tratamento servir fins
puramente pessoais ou domésticos, a Diretiva Proteção de Dados não será aplicável (artigo 3.º, n.º 2) e
o utilizador estará isento das obrigações formais em matéria de proteção de dados. Porém, se os
utilizadores decidirem partilhar dados através da aplicação (por exemplo, disponibilizando
13
14
15
16
17
18
Identidade Internacional do Equipamento Móvel
Identidade Internacional de Assinante Móvel
Identificador único do dispositivo
Os utilizadores dão geralmente o seu verdadeiro nome ao telefone: «iPhone da Maria».
O Grupo de Trabalho utiliza a terminologia comum de «criadores de aplicações», mas salienta que o termo
não se restringe aos programadores ou criadores técnicos das aplicações, abrangendo também os proprietários
das aplicações, ou seja, as empresas e organizações que contratam a criação de aplicações e determinam as
suas finalidades.
Em alguns casos, o fabricante do SO e o fabricante do dispositivo são a mesma entidade, enquanto noutros o
fabricante do dispositivo é uma empresa diferente do fornecedor do SO.
9
publicamente informações a um número indeterminado de pessoas19 através de uma aplicação de redes
sociais), estarão a proceder a um tratamento que ultrapassa as condições da isenção para fins
domésticos.20
3.3.1 Criadores de aplicações
Os criadores de aplicações criam aplicações e/ou colocam-nas à disposição dos utilizadores finais.
Esta categoria inclui organizações do setor público e privado que subcontratam a criação de
aplicações, bem como as empresas e as pessoas que criam e lançam aplicações. Os criadores de
aplicações concebem e/ou criam o software que será executado nos telemóveis inteligentes e, como
tal, decidem em que medida a aplicação poderá aceder às diferentes categorias de dados pessoais e
proceder ao seu tratamento, no dispositivo e/ou através de recursos de computação remota (unidades
de computação dos criadores de aplicações ou de terceiros).
Se o criador da aplicação determinar as finalidades e os meios do tratamento de dados pessoais nos
dispositivos inteligentes, será o responsável pelo tratamento dos dados na aceção do artigo 2.º, alínea
d) da Diretiva Proteção de Dados. Nesse caso, terá que cumprir todas as disposições desta Diretiva. As
disposições mais importantes são explicadas nos pontos 3.4 a 3.10 do presente parecer.
Mesmo se a isenção respeitante aos fins domésticos for aplicável a um utilizador, o criador da
aplicação continuará a ser o responsável pelo tratamento caso trate dados para os seus próprios fins.
Esta situação é relevante, por exemplo, se a aplicação necessitar de aceder a todo o livro de endereços
para prestar o serviço (mensagens instantâneas, chamadas telefónicas, chamadas de vídeo).
As responsabilidades do criador da aplicação serão consideravelmente menores se não forem tratados
e/ou disponibilizados dados pessoais fora do dispositivo ou se aquele tiver tomado medidas técnicas e
organizativas adequadas para assegurar a agregação e a anonimização irreversíveis dos dados no
próprio dispositivo, antes de quaisquer dados saírem do mesmo.
Em qualquer caso, se o criador da aplicação tiver acesso a informações que se encontram armazenadas
no dispositivo, a Diretiva Privacidade Eletrónica também será aplicável e aquele terá que cumprir o
requisito do consentimento estipulado no seu artigo 5.º, n.º 3.
Se o criador da aplicação subcontratar um terceiro para realizar uma parte ou a totalidade das
operações de tratamento de dados e esse terceiro assumir o papel de responsável pelo tratamento, o
criador da aplicação terá de cumprir todas as obrigações relacionadas com o recurso a um
subcontratante. Inclui-se aqui também o recurso a um prestador de serviços de computação em nuvem
(por exemplo, para armazenamento externo de dados).21
Na medida em que o criador da aplicação permita o acesso de terceiros aos dados do utilizador (como,
por exemplo, o acesso de uma rede de publicidade aos dados de geolocalização do dispositivo para
fins de publicidade comportamental), terá de utilizar mecanismos adequados para cumprir os
19
20
21
Ver processos do Tribunal de Justiça Europeu: Processo C-101/01, Processo-crime contra Bodil Lindqvist,
acórdão de 6 de novembro de 2003 e Processo C-73/07 Tietosuojavaltuutettu contra
SatakunnanMarkkinapörssiOy e SatamediaOy, acórdão de 16 de dezembro de 2008. 20 Ver o Parecer 5/2009
do Grupo de Trabalho do artigo 29.º sobre as redes sociais em linha (junho de 2009),
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_pt.pdf
Ver o Parecer 5/2009 do Grupo de Trabalho do artigo 29.º sobre as redes sociais em linha (junho de 2009),
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_pt.pdf
Ver o Parecer 05/2012 Grupo de Trabalho do artigo 29.º relativo a computação em nuvem do (julho de
2012),
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp196_pt.pdf.
10
requisitos aplicáveis ao abrigo do quadro jurídico da UE. Se o terceiro aceder a dados armazenados no
dispositivo, será aplicável a obrigação de obter o consentimento informado prevista no artigo 5.º, n.º 3,
da Diretiva Privacidade Eletrónica. Além disso, se o terceiro tratar dados pessoais para os seus
próprios fins, poderá também ser corresponsável pelo tratamento de dados, juntamente com o criador
da aplicação, pelo que terá de assegurar o respeito pelo princípio da limitação da finalidade e o
cumprimento das obrigações em matéria de segurança22 relativamente à parte do tratamento para a
qual determina as finalidades e os meios. Uma vez que poderão ter sido celebrados diferentes tipos de
acordos – tanto comerciais como técnicos – entre os criadores de aplicações e terceiros, a
responsabilidade de cada parte terá que ser determinada caso a caso, tendo em conta as características
específicas do tratamento em causa.
O criador de uma aplicação poderá utilizar bibliotecas de terceiros com software que proporciona
funcionalidades comuns como, por exemplo, uma biblioteca para uma plataforma de jogos sociais. O
criador da aplicação deve certificar-se de que os utilizadores têm conhecimento de qualquer tratamento
de dados realizado por tais bibliotecas e, se for esse o caso, que esse tratamento cumpre o quadro
jurídico da UE, nomeadamente, quando relevante, obtendo o consentimento do utilizador. Nesse
sentido, os criadores de aplicações têm de evitar o uso de funcionalidades que não são visíveis para o
utilizador.
3.3.2 Fabricantes de SO e de dispositivos
Os fabricantes de SO e de dispositivos também devem ser considerados responsáveis pelo tratamento
(e, em certos casos, corresponsáveis pelo tratamento) de quaisquer dados pessoais que sejam tratados
para os seus próprios fins, como o bom funcionamento do dispositivo, a segurança, etc. Incluir-se-iam
aqui os dados gerados pelo utilizador (por exemplo, os dados do utilizador fornecidos no momento do
registo), os dados gerados automaticamente pelo dispositivo (por exemplo, se o dispositivo possuir a
funcionalidade de ligação automática ao servidor – «telefonar para casa» – para indicar o seu
paradeiro) e os dados pessoais tratados pelo fabricante do SO ou do dispositivo e resultantes da
instalação ou da utilização das aplicações. Sempre que o fabricante do SO ou do dispositivo
disponibilizar funcionalidades adicionais, tais como uma função de cópias de segurança ou de
localização remota, será igualmente considerado responsável pelo tratamento de dados pessoais para
este fim.
As aplicações que necessitam de acesso a dados de geolocalização têm de utilizar os serviços de
localização do SO. Quando uma aplicação utiliza a geolocalização, o SO poderá recolher dados
pessoais para lhe fornecer as informações de geolocalização, podendo igualmente ponderar a
utilização dos dados para melhorar os seus próprios serviços de localização. Relativamente a esta
última finalidade, o responsável pelo tratamento dos dados é o SO.
Os fabricantes de SO e de dispositivos também são responsáveis pela interface de programação da
aplicação (API) que possibilita o tratamento de dados pessoais por aplicações nos dispositivos
inteligentes. O criador da aplicação poderá aceder às funcionalidades e funções que os fabricantes de
SO e de dispositivos disponibilizam através da API. Uma vez que os fabricantes de SO e de
dispositivos determinam os meios (e o grau) de acesso a dados pessoais, têm de se certificar de que o
criador da aplicação possui um controlo suficientemente diferenciado para que apenas seja concedido
acesso aos dados que sejam necessários para o funcionamento da aplicação. Estes fabricantes devem
ainda assegurar a possibilidade de revogar este acesso de forma simples e eficaz.
22
Ver o Parecer 2/2010 Grupo de Trabalho do artigo 29.º sobre publicidade comportamental em linha (junho de
2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_pt.pdf e o Parecer 1/2010 Grupo
de Trabalho do artigo 29.º sobre os conceitos de «responsável pelo tratamento» e «subcontratante» (fevereiro
de 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_pt.pdf
11
O conceito de «privacidade desde a conceção» (privacy by design) é um princípio importante que já é
indiretamente mencionado na Diretiva Proteção de Dados23 e que, juntamente com o conceito de
«privacidade por defeito» (privacy by default), surge de forma mais clara na Diretiva Privacidade
Eletrónica.24 Este princípio exige que os fabricantes de um dispositivo ou de uma aplicação
incorporem a proteção de dados desde o início da sua conceção. A Diretiva relativa aos equipamentos
de rádio e equipamentos terminais de telecomunicações prevê expressamente a privacidade desde a
conceção para o equipamento de telecomunicações.25 Assim, os fabricantes de SO e de dispositivos,
bem como as lojas de aplicações, têm a importante responsabilidade de proporcionar salvaguardas que
assegurem a proteção dos dados pessoais e da privacidade dos utilizadores de aplicações. Tal inclui
assegurar a disponibilidade de mecanismos adequados para informar e educar o utilizador final sobre o
que as aplicações podem fazer e a que dados têm acesso, bem como disponibilizar definições
apropriadas para os utilizadores das aplicações alterarem os parâmetros do tratamento.26
3.3.3 Lojas de aplicações
Cada um dos tipos mais utilizados de dispositivo inteligente tem a sua própria loja de aplicações e,
muitas vezes, um determinado SO está profundamente integrado com uma determinada loja de
aplicações. As lojas de aplicações processam frequentemente pagamentos de aplicações a pronto e
podem igualmente suportar compras in-app, exigindo, por conseguinte, o registo do utilizador, que
terá de fornecer o seu nome, morada e dados financeiros. Estes dados (diretamente) identificáveis
podem ser combinados com dados sobre o comportamento em matéria de compras e utilização e com
dados lidos a partir do dispositivo ou gerados por este (tais como os identificadores únicos).
Relativamente ao tratamento destes dados pessoais, o responsável pelo tratamento será provavelmente
a loja de aplicações, mesmo que transmita essas informações aos criadores das aplicações. Quando a
loja de aplicações procede ao tratamento do histórico de descarregamento ou de utilização de
aplicações de um utilizador final (ou de outra função semelhante) para restaurar aplicações
descarregadas anteriormente, será também o responsável pelo tratamento de dados pessoais para este
fim.
As lojas de aplicações registam os dados de acesso, bem como o histórico de aplicações compradas
anteriormente, pedindo ainda ao utilizador o número do cartão de crédito que será guardado com a sua
conta. A loja de aplicações é o responsável pelo tratamento em relação a estas operações.
Por outro lado, os sítios Web que permitem o descarregamento de uma aplicação e a sua instalação no
dispositivo sem qualquer autenticação não estarão provavelmente a tratar quaisquer dados pessoais.
As lojas de aplicações estão numa posição importante para permitir que os criadores de aplicações
forneçam informações adequadas sobre a aplicação, nomeadamente os tipos de dados que a aplicação
pode tratar e para que fins. As lojas de aplicações podem fazer cumprir estas regras através da sua
23
24
25
26
Ver considerando 46 e artigo 17.º.
Ver artigo 14.º, n.º 3.
Diretiva 1999/5/CE, de 9 de março de 1999, relativa aos equipamentos de rádio e aos equipamentos terminais
de telecomunicações e ao reconhecimento mútuo da sua conformidade (JO L 91 de 7.4.1999, p. 10). O artigo
3.º, n.º 3, alínea c) estabelece que a Comissão Europeia pode decidir que os aparelhos destinados a
utilizadores finais sejam construídos por forma a incluírem salvaguardas que assegurem a proteção dos dados
pessoais e da privacidade do utilizador e do assinante.
O Grupo de Trabalho congratula-se com as recomendações formuladas pela FTC nesta matéria no relatório
intitulado «Mobile Privacy Disclosures» referido na nota 6 supra, o qual refere, por exemplo, na página 15
que as plataformas se encontram numa posição privilegiada para divulgarem informações coerentes em todas
as aplicações e são encorajadas a fazê-lo, acrescentando que deveriam ainda considerar a divulgação destas
informações em vários momentos.
12
política de aceitação (com base em controlos ex ante ou ex post). Em colaboração com o fabricante do
SO, a loja de aplicações pode desenvolver um quadro para permitir que os criadores de aplicações
disponibilizem avisos informativos úteis e coerentes (tais como símbolos que representem
determinados tipos de acesso a dados sensoriais) e incluí-los, de forma bem visível, no seu catálogo.
3.3.4 Terceiros
Existem muitos terceiros diferentes envolvidos no tratamento de dados através da utilização de
aplicações.
Por exemplo, muitas aplicações gratuitas são pagas por publicidade, que pode ser, designadamente,
publicidade contextual ou personalizada, viabilizada por mecanismos de monitorização como os
testemunhos de conexão (ou cookies) ou outros identificadores dos dispositivos. A publicidade pode
consistir numa faixa dentro da aplicação, em anúncios fora da aplicação que são exibidos mediante a
modificação das definições do programa de navegação ou a colocação de ícones no ambiente de
trabalho do dispositivo móvel ou exibidos através de uma organização personalizada do conteúdo da
aplicação (por exemplo, resultados de pesquisas patrocinados).
A publicidade para aplicações é geralmente realizada por redes de publicidade e intermediários
semelhantes, que poderão ser o fabricante do SO ou a loja de aplicações ou estar ligados a estes. Tal
como referido no Parecer 2/2010,27 a publicidade em linha implica frequentemente o tratamento de
dados pessoais, de acordo com a definição do artigo 2.º da Diretiva Proteção de Dados e a
interpretação do Grupo de Trabalho do artigo 29.º.28
São também exemplos de terceiros os prestadores de serviços de análise e monitorização estatística de
dados e os prestadores de serviços de comunicações. Os primeiros ajudam os criadores de aplicações a
compreender a utilização, a popularidade e a usabilidade das suas aplicações. Os prestadores de
serviços de comunicações29 poderão também desempenhar um papel importante na determinação das
pré-definições e das atualizações de segurança de muitos dispositivos e poderão igualmente tratar
dados sobre a utilização das aplicações. A sua personalização («branding») poderá ter consequências
para as possíveis medidas técnicas e funcionais que o utilizador pode aplicar para proteger os seus
dados pessoais.
Em comparação com os criadores de aplicações, os terceiros podem desempenhar dois tipos de papéis:
um consiste em executar operações para o proprietário da aplicação como, por exemplo, prestar
serviços de análise e monitorização estatística de dados dentro da aplicação. Nesse caso, quando agem
exclusivamente por conta do criador da aplicação e não tratam dados para os seus próprios fins e/ou
partilham dados com vários criadores, é provável que estejam a atuar como subcontratantes.
O outro papel consiste em recolher informações de várias aplicações para prestar serviços adicionais:
fornecer dados analíticos em maior escala (popularidade da aplicação, recomendação personalizada)
ou evitar a exibição do mesmo anúncio ao mesmo utilizador. Quando terceiros procedem ao
tratamento de dados para os seus próprios fins, estão a atuar como responsáveis pelo tratamento e,
como tal, têm de cumprir todas as disposições aplicáveis da Diretiva Proteção de Dados.30No caso da
27
28
29
30
Parecer 2/2010 do Grupo de Trabalho do artigo 29.º sobre publicidade comportamental em linha (junho de
2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_pt.pdf
Ver também a interpretação do conceito de dados pessoais no Parecer 4/2007 do Grupo de Trabalho do artigo
29.º
sobre
o
conceito
de
dados
pessoais
(junho
de
2007),
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_pt.pdf
Os prestadores de serviços de comunicações também estão sujeitos a obrigações em matéria de proteção de
dados aplicáveis especificamente ao seu setor, que estão fora do âmbito do presente parecer.
Parecer 2/2010 do Grupo de Trabalho do artigo 29.º sobre publicidade comportamental em linha, p. 11-12.
13
publicidade comportamental, o responsável pelo tratamento dos dados tem de obter o consentimento
válido do utilizador para recolher e tratar dados pessoais, nomeadamente para a análise e combinação
de dados pessoais e a criação e/ou aplicação de perfis. Tal como explicado anteriormente pelo Grupo
de Trabalho do artigo 29.º no Parecer 2/2010 sobre publicidade comportamental em linha, a forma
mais adequada de obter esse consentimento é através de um mecanismo de aceitação prévia.
Uma empresa fornece métricas a proprietários de aplicações e anunciantes através de mecanismos de
monitorização (trackers) incorporados, pelo criador, nas aplicações. Os trackers da empresa podem,
assim, ser instalados em muitas aplicações e dispositivos. Um dos seus serviços consiste em informar
os criadores de aplicações sobre as outras aplicações utilizadas por um utilizador através da recolha de
um identificador único. A empresa define os meios (ou seja, os trackers) e as finalidades das suas
ferramentas antes de as colocar à disposição dos criadores de aplicações, anunciantes e outros e, por
conseguinte, atua como responsável pelo tratamento de dados.
Se terceiros acederem ou armazenarem informações no dispositivo inteligente, terão de cumprir o
requisito do consentimento previsto no artigo 5.º, n.º 3, da Diretiva Privacidade Eletrónica.
Neste contexto, importa salientar que, nos dispositivos inteligentes, a possibilidade de os utilizadores
instalarem software para controlar o tratamento de dados pessoais é mais limitada do que num
ambiente Web de um computador desktop. Ao invés de recorrerem a testemunhos de conexão, os
terceiros acedem frequentemente a identificadores únicos para identificar (grupos de) utilizadores e
oferecerem serviços direcionados para os mesmos, incluindo anúncios publicitários. Uma vez que os
utilizadores não podem eliminar ou alterar muitos destes identificadores (tais como IMEI, IMSI,
MSISDN31e identificadores únicos específicos do dispositivo adicionados pelo sistema operativo),
estes terceiros podem tratar volumes significativos de dados pessoais sem qualquer controlo por parte
do utilizador final.
3.4 Fundamento jurídico
O tratamento de dados pessoais tem de ter por base um dos fundamentos enumerados no artigo 7.º da
Diretiva Proteção de Dados. Este artigo distingue seis fundamentos jurídicos para o tratamento de
dados: o consentimento do titular de dados dado de forma inequívoca; a necessidade da execução de
um contrato com o titular de dados; o objetivo de proteção de interesses vitais do titular de dados; a
necessidade de cumprimento de uma obrigação legal; (para autoridades públicas) a execução de uma
missão de interesse público; e a necessidade de prosseguir interesses (comerciais) legítimos.
No que respeita ao armazenamento de informações ou à possibilidade de acesso a informações já
armazenadas no dispositivo inteligente, o artigo 5.º, n.º 3 da Diretiva Privacidade Eletrónica (ou seja, o
requisito do consentimento para colocar ou recolher informações de um dispositivo) estabelece mais
limitações ou restrições aos fundamentos jurídicos que podem ser invocados.
3.4.1 Consentimento anterior à instalação e ao tratamento de dados pessoais
No caso das aplicações, o principal fundamento jurídico é o consentimento. Quando uma aplicação é
instalada, são colocadas informações no dispositivo do utilizador final. Muitas aplicações também
acedem a dados armazenados no dispositivo, contactos no livro de endereços, imagens, vídeos e outros
documentos pessoais. Em todos estes casos, o artigo 5.º, n.º 3 da Diretiva Privacidade Eletrónica exige
que o utilizador preste o seu consentimento com base em informações claras e completas antes da
colocação e recolha de informações do dispositivo.
31
Mobile Station Integrated Services Digital Network
14
Importa chamar a atenção para a distinção entre o consentimento exigido para colocar quaisquer
informações no dispositivo e ler informações armazenadas no dispositivo, e o consentimento
necessário para haver fundamento jurídico para o tratamento de diferentes tipos de dados pessoais.
Embora ambos os requisitos de consentimento sejam simultaneamente aplicáveis, cada um deles com
base num fundamento jurídico diferente, o consentimento tem de ser, em ambos os casos, livre,
específico e informado (de acordo com a definição constante do artigo 2.º, alínea h) da Diretiva
Proteção de Dados). Por conseguinte, é possível aglutinar os dois tipos de consentimento na prática,
quer durante a instalação quer antes de a aplicação começar a recolher dados pessoais a partir do
dispositivo, desde que o utilizador seja inequivocamente informado do objeto do seu consentimento.
Muitas lojas de aplicações proporcionam aos criadores de aplicações a oportunidade de informarem os
utilizadores finais sobre as funcionalidades básicas de uma aplicação antes da instalação e requerem
uma ação positiva por parte do utilizador antes de a aplicação ser descarregada e instalada (ou seja,
clicar no botão «Instalar»). Embora essa ação possa, em certos casos, satisfazer o requisito do
consentimento previsto no artigo 5.º, n.º 3, é pouco provável que forneça informações suficientes para
servir como consentimento válido para o tratamento de dados pessoais. Este tema já foi anteriormente
discutido pelo Grupo de Trabalho do artigo 29.º no seu Parecer 15/2011 sobre a definição de
consentimento.32
No contexto dos dispositivos inteligentes, «livre» significa que o utilizador tem de poder escolher
entre aceitar ou recusar o tratamento dos seus dados pessoais. Assim, se uma aplicação necessitar de
tratar dados pessoais, o utilizador tem de ter a liberdade de o aceitar ou recusar. O utilizador não deve
ser confrontado com um ecrã que contenha apenas a opção «Sim, aceito» para poder concluir a
instalação. Também tem de estar disponível uma opção para «Cancelar» ou parar de outro modo a
instalação.
«Informado» significa que o titular de dados tem de ter ao seu dispor as informações necessárias para
avaliar corretamente a situação.33A fim de evitar qualquer ambiguidade, essas informações têm de ser
disponibilizadas antes do tratamento dos dados pessoais. Isso inclui o tratamento de dados durante a
instalação, por exemplo, para fins de depuração («debugging») ou monitorização. O teor e a forma de
tais informações é um aspeto que será desenvolvido no ponto 3.7 do presente parecer.
«Específico» significa que a manifestação de vontade tem de estar relacionada com o tratamento de
um determinado item de dados ou de uma categoria limitada de tratamento de dados. É por este
motivo que um simples clique num botão «instalar» não pode ser considerado um consentimento
válido para o tratamento de dados pessoais, pois o consentimento não pode ser uma autorização
genérica. Em alguns casos, quando é solicitado o consentimento para cada tipo de dados a que a
aplicação pretende aceder, os utilizadores têm a possibilidade de dar um consentimento diferenciado.34
Esta abordagem permite satisfazer dois importantes requisitos legais: em primeiro lugar, o de informar
adequadamente o utilizador sobre elementos importantes do serviço e, em segundo, o de solicitar o
consentimento específico para cada um deles.35A abordagem alternativa, em que o criador da
32
33
34
35
Parecer 15/2011 do Grupo de Trabalho do artigo 29.º sobre a definição de consentimento (julho de 2011),
http://ec.europa.eu/justice/data-protection/article29/documentation/opinionrecommendation/files/2011/wp187_pt.pdf
Idem, p. 21.
O consentimento considera-se diferenciado quando as pessoas podem controlar (especificamente) as funções
de tratamento de dados pessoais oferecidas pela aplicação que pretendem ativar.
A necessidade de um consentimento diferenciado é também expressamente subscrita pelos serviços da FTC
no seu relatório mais recente (nota 6 supra), que refere, a p. 15-16, que as plataformas deveriam considerar o
15
aplicação pede aos utilizadores para aceitarem um longo conjunto de termos e condições e/ou política
de privacidade, não constitui um consentimento específico.36
A natureza específica do consentimento também está relacionada com a prática de monitorizar o
comportamento dos utilizadores adotada por anunciantes e quaisquer outros terceiros. As prédefinições dos SO e das aplicações devem evitar qualquer tipo de monitorização, a fim de permitir que
os utilizadores deem o seu consentimento específico para este tipo de tratamento de dados. Estas
pré-definições não podem ser contornadas por terceiros, como acontece muitas vezes atualmente com
os mecanismos «Do Not Track» implementados nos programas de navegação.
Exemplos de consentimento específico
Uma aplicação fornece informações sobre os restaurantes existentes nas proximidades. Para ser
instalada, o criador da aplicação tem de obter o consentimento. Para aceder aos dados de
geolocalização, o criador da aplicação tem de solicitar separadamente o consentimento, por exemplo,
durante a instalação ou antes do acesso à geolocalização.
Para ser específico, o consentimento tem de se limitar ao objetivo específico de informar o utilizador
sobre os restaurantes existentes nas proximidades. Consequentemente, só é possível aceder aos dados
de localização a partir do dispositivo quando o utilizador estiver a usar a aplicação para aquele fim. O
consentimento do utilizador para o tratamento de dados de geolocalização não autoriza a aplicação a
recolher continuamente dados de localização a partir do dispositivo. Este tratamento posterior exigiria
informações adicionais e um consentimento separado.
Da mesma forma, para que uma aplicação de comunicação aceda à lista de contactos, o utilizador tem
de poder selecionar os contactos com os quais deseja comunicar, ao invés de ter de conceder o acesso
a todo o livro de endereços (incluindo a dados de contacto de pessoas que não utilizam aquele serviço
e que não poderiam ter dado o seu consentimento para o tratamento de dados relacionados com elas).
Porém, importa salientar que, mesmo que o consentimento reúna as três características anteriormente
descritas, não corresponde a uma licença para um tratamento desleal e ilícito. Se a finalidade do
tratamento de dados for excessiva e/ou desproporcionada, mesmo que o utilizador tenha dado o seu
consentimento, o criador da aplicação não terá um fundamento jurídico válido para esse tratamento e
provavelmente violará a Diretiva Proteção de Dados.
Exemplo de tratamento de dados excessivo e ilícito
Uma aplicação de despertador oferece uma funcionalidade opcional que permite ao utilizador silenciar
o alarme ou ativar o modo «snooze» com um comando verbal. Neste exemplo, o consentimento para a
gravação limitar-se-ia ao momento em que o alarme toca. Qualquer monitorização ou gravação de
áudio noutro momento seria provavelmente considerada excessiva e ilícita.
No caso de aplicações instaladas no dispositivo por defeito (antes de o utilizador final adquirir o
dispositivo) ou outras operações de tratamento realizadas pelo SO que têm como fundamento jurídico
o consentimento, os responsáveis pelo tratamento têm de analisar cuidadosamente a validade desse
consentimento. Em muitos casos, deveria ser considerado um mecanismo de consentimento separado,
36
fornecimento oportuno de informações e a obtenção do consentimento expresso afirmativo para a recolha de
outro conteúdo que muitos consumidores considerariam sensível em vários contextos, tais como fotografias,
contactos, anotações em calendários e gravações de áudio ou de vídeo.
O mesmo relatório acrescenta, a p. 34-35, que um consentimento genérico sem indicação concreta do
objetivo do tratamento com o qual o titular de dados concorda, não cumpre o referido requisito. Defende,
assim, que as informações sobre a finalidade do tratamento não devem ser incluídas nas disposições gerais,
devendo antes constar de uma cláusula específica sobre o consentimento.
16
possivelmente quando a aplicação fosse executada pela primeira vez, a fim de dar ao responsável pelo
tratamento oportunidade suficiente para informar plenamente o utilizador final. Quando os dados se
integram em categorias específicas, tal como definidas no artigo 8.º da Diretiva Proteção de Dados, o
consentimento tem de ser expresso.
Por último, importa ainda sublinhar que os utilizadores têm de ter a possibilidade de revogar o seu
consentimento de forma simples e eficaz. Esta questão será desenvolvida no ponto 3.8 do presente
parecer.
3.4.2 Fundamentos jurídicos para o tratamento de dados durante a utilização da aplicação
Tal como explicado anteriormente, o consentimento é o fundamento jurídico para que o criador da
aplicação possa ler e/ou escrever licitamente informações e, consequentemente, proceder ao
tratamento de dados pessoais. Numa fase posterior, durante a utilização da aplicação, o criador da
aplicação poderá invocar outros fundamentos jurídicos para outros tipos de tratamento de dados, desde
que tal não envolva o tratamento de dados pessoais sensíveis.
Entre estes fundamentos jurídicos contam-se a necessidade para a execução de um contrato com o
titular de dados ou a necessidade para a prossecução de interesses (comerciais) legítimos (artigo 7.º,
alíneas b) e f), da Diretiva Proteção de Dados).
Estes fundamentos jurídicos respeitam apenas ao tratamento de dados pessoais não sensíveis de um
utilizador específico e só podem ser invocados se uma determinada operação de tratamento for
absolutamente necessária para prestar o serviço pretendido ou, no caso do artigo 7.º, alínea f), apenas
se os referidos interesses não forem afastados pelos interesses de proteção dos direitos e liberdades
fundamentais do titular de dados.
Exemplos do fundamento jurídico contratual
Um utilizador dá o seu consentimento para a instalação de uma aplicação de banca móvel. Para
satisfazer um pedido para efetuar um pagamento, o banco não tem de solicitar especificamente o
consentimento do utilizador para divulgar o seu nome e o número da sua conta bancária ao destinatário
do pagamento. Esta divulgação é absolutamente necessária para executar o contrato celebrado com
este utilizador específico e, como tal, o banco pode invocar o fundamento jurídico previsto no artigo
7.º, alínea b) da Diretiva Proteção de Dados. Este raciocínio também é válido para as aplicações de
comunicações: quando fornecem informações essenciais, tais como o nome da conta, o endereço de
correio eletrónico ou o número de telefone à pessoa com quem o utilizador pretende comunicar, a
divulgação é obviamente necessária para executar o contrato.
3.5 Limitação da finalidade e minimização dos dados
Dois princípios fundamentais subjacentes à Diretiva Proteção de Dados são a limitação da finalidade e
a minimização dos dados. A limitação da finalidade permite aos utilizadores fazer uma escolha
deliberada de confiar a outra pessoa os seus dados pessoais, uma vez que serão informados do modo
como os seus dados são utilizados e poderão recorrer à descrição limitativa da finalidade para
compreender para que fins os seus dados serão utilizados. Por conseguinte, as finalidades do
tratamento de dados têm de estar bem definidas e ser compreensíveis para um utilizador médio sem
conhecimentos técnicos ou jurídicos especializados.
Simultaneamente, a limitação da finalidade exige que os criadores de aplicações estejam bem cientes
dos seus argumentos antes de começarem a recolher dados pessoais junto dos utilizadores. Só é
permitido proceder ao tratamento de dados para fins leais e lícitos (artigo 6.º, n.º 1, alínea a) da
Diretiva Proteção de Dados) e esses fins têm de estar definidos antes do início do tratamento de dados.
17
O princípio da limitação da finalidade não admite alterações súbitas nas condições essenciais do
tratamento.
Por exemplo, uma aplicação tinha inicialmente por finalidade permitir que os utilizadores enviassem
mensagens de correio eletrónico uns aos outros, mas o criador da aplicação decide alterar o seu
modelo de negócios e junta os endereços de correio eletrónico dos seus utilizadores com os números
de telefone dos utilizadores de outra aplicação. Neste caso, os responsáveis pelo tratamento de dados
de cada uma das partes teriam de contactar individualmente todos os utilizadores e solicitar o seu
consentimento prévio inequívoco para esta nova finalidade do tratamento dos seus dados pessoais.
O princípio da limitação da finalidade está intrinsecamente ligado ao princípio da minimização dos
dados. A fim de evitarem operações de tratamento de dados desnecessárias e potencialmente ilícitas,
os criadores de aplicações têm de considerar cuidadosamente quais os dados que são absolutamente
necessários para a funcionalidade pretendida.
As aplicações podem ter acesso a muitas das funcionalidades do dispositivo e, como tal, podem fazer
muitas coisas, tais como enviar um SMS silencioso, aceder a imagens e a todo o livro de endereços.
Muitas lojas de aplicações suportam atualizações (semi) automáticas, que permitem ao criador de
aplicações integrar novas funcionalidades e disponibilizá-las com pouca ou nenhuma interação com o
utilizador final.
O Grupo de Trabalho aproveita para salientar que os terceiros que tenham acesso a dados do utilizador
através das aplicações são obrigados a respeitar os princípios da limitação da finalidade e da
minimização dos dados. Não devem ser usados identificadores únicos (e, muitas vezes, inalteráveis)
dos dispositivos para fins de publicidade baseada em interesses e/ou de análise e monitorização
estatística de dados, porque os utilizadores não podem revogar o seu consentimento. Os criadores de
aplicações devem assegurar que o desvirtuamento da função seja evitado, abstendo-se, para tal, de
mudar o tratamento de uma versão da aplicação para outra sem fornecerem informações adequadas aos
utilizadores finais e sem lhes darem a oportunidade de revogarem o consentimento para o tratamento
ou de cancelarem totalmente o serviço. Devem ser colocados à disposição dos utilizadores os meios
técnicos para verificar as declarações sobre as finalidades pretendidas, concedendo-lhes o acesso a
informações sobre o volume de tráfego de saída por aplicação em relação ao tráfego gerado pelo
utilizador.
A informação e os controlos do utilizador são fundamentais para assegurar o respeito pelos princípios
da minimização dos dados e da limitação da finalidade.
O acesso a dados subjacentes no dispositivo através das API dá aos fabricantes de SO e de dispositivos
e às lojas de aplicações a oportunidade de imporem regras específicas e de fornecerem informações
adequadas aos utilizadores finais. Por exemplo, os fabricantes de SO e de dispositivos devem
disponibilizar uma API com controlos precisos para diferenciar cada tipo de dados e assegurar que os
criadores de aplicações só poderão solicitar o acesso aos dados que forem absolutamente necessários
para a funcionalidade (lícita) da sua aplicação. Os tipos de dados solicitados pelo criador de aplicações
podem ser então exibidos, de forma bem visível na loja de aplicações, para informar o utilizador antes
da instalação.
Neste aspeto, o controlo do acesso a dados armazenados no dispositivo baseia-se em diferentes
mecanismos:
18
a. Os fabricantes de SO e de dispositivos e as lojas de aplicações definem regras aplicáveis
à submissão de aplicações na sua loja: os criadores de aplicações têm de respeitar estas
regras sob pena de as suas aplicações não estarem disponíveis nestas lojas.37
b. As API dos sistemas operativos definem métodos-padrão para aceder aos dados
armazenados no telefone aos quais as aplicações têm acesso e afetam igualmente a recolha
de dados do lado do servidor.
c. Controlos ex ante - controlos implementados antes da instalação de uma aplicação.38
d. Controlos ex post - controlos implementados após a instalação de uma aplicação.
3.6 Segurança
Nos termos do artigo 17.º da Diretiva Proteção de Dados, os responsáveis pelo tratamento e os
subcontratantes devem pôr em prática as medidas técnicas e organizativas necessárias para assegurar a
proteção dos dados pessoais que tratam. Assim, todos os intervenientes identificados no ponto 3.3. têm
de adotar determinadas medidas, cada um de acordo com o seu papel e com a sua responsabilidade.
O cumprimento das obrigações em matéria de segurança tem um duplo objetivo: capacitar os
utilizadores para controlarem de forma mais rigorosa os seus dados e reforçar a confiança nas
entidades que tratam efetivamente os dados dos utilizadores.
A fim de cumprirem as obrigações em matéria de segurança que lhes incumbem como responsáveis
pelo tratamento, os criadores de aplicações, as lojas de aplicações, os fabricantes de SO e de
dispositivos e os terceiros têm de tomar em consideração os princípios da privacidade desde a
conceção e da privacidade por defeito. Isso requer uma avaliação constante dos riscos atuais e futuros
para a proteção de dados, bem como a implementação e a avaliação de medidas eficazes de atenuação
dos riscos, incluindo a minimização dos dados.
Criadores de aplicações
Estão publicamente disponíveis muitas orientações sobre a segurança das aplicações móveis
publicadas por fabricantes de SO e de dispositivos e por terceiros independentes como, por exemplo, a
ENISA.39
Não cabe no âmbito do presente parecer a análise de todas as melhores práticas de segurança na
criação de aplicações; porém, o Grupo de Trabalho aproveita esta oportunidade para analisar aquelas
que poderão afetar gravemente os direitos fundamentais dos utilizadores de aplicações.
Uma decisão importante que é necessário tomar antes da conceção de uma aplicação prende-se com o
local de armazenamento dos dados. Em alguns casos, os dados do utilizador são armazenados no
dispositivo, mas os criadores de aplicações poderão também recorrer a uma arquitetura
cliente-servidor. Isso significa que os dados pessoais são transferidos ou copiados para os sistemas do
prestador do serviço. O armazenamento e tratamento dos dados no dispositivo dá aos utilizadores
finais maior controlo sobre esses dados, na medida em que, por exemplo, podem eliminá-los se
revogarem o consentimento para o seu tratamento. No entanto, o armazenamento seguro dos dados
37
38
39
Os dispositivos desbloqueados permitem a instalação de aplicações fora das lojas oficiais; os dispositivos
Android também permitem a instalação de aplicações de outras fontes.
Com o caso especial das aplicações pré-instaladas.
ENISA, «Smartphone Secure Development Guideline»: http://www.enisa.europa.eu/activities/Resilienceand-CIIP/critical-applications/smartphone-security-1/smartphone-secure-development-guidelines.
19
num local remoto pode ser útil para a recuperação de dados em caso de extravio ou furto de um
dispositivo. Também é possível recorrer a métodos intermédios.
Os criadores de aplicações têm de identificar políticas claras sobre o modo como o software é criado e
distribuído. Os fabricantes de SO e de dispositivos também podem desempenhar um papel importante
na promoção de um tratamento de dados seguro por parte das aplicações; esta matéria será
desenvolvida mais adiante. Em segundo lugar, os criadores de aplicações e as lojas de aplicações têm
de conceber e implementar um ambiente compatível com a segurança, com ferramentas para evitar a
propagação de aplicações malévolas e permitir que cada aplicação seja facilmente
instalada/desinstalada.
Entre as boas práticas que podem ser implementadas durante a conceção de uma aplicação figuram a
minimização das linhas e da complexidade do código e a introdução de controlos para impedir que os
dados sejam acidentalmente transferidos ou comprometidos. Além disso, todos os dados de entrada
devem ser validados para evitar ataques do tipo «buffer overflow» ou ataques de injeção. Outros
mecanismos de segurança que vale a pena mencionar são as estratégias de gestão de patches de
segurança e a realização de auditorias de segurança do sistema independentes e regulares. Por outro
lado, os critérios de conceção das aplicações devem contemplar o cumprimento, pelo menos, do
princípio da privacidade por defeito, segundo o qual as aplicações só poderão aceder aos dados de que
realmente necessitam para disponibilizar uma funcionalidade ao utilizador. Os criadores de aplicações
e as lojas de aplicações devem ainda incentivar os utilizadores, através de avisos, a complementarem
estas boas práticas de conceção com práticas virtuosas, tais como a atualização das aplicações de
acordo com as últimas versões disponíveis e lembretes para evitar a utilização da mesma palavra-passe
em diferentes serviços.
Durante a fase de conceção da aplicação, os criadores também têm de adotar medidas para evitar o
acesso não autorizado a dados pessoais, assegurando a sua proteção tanto em trânsito como quando se
encontram armazenados, se for o caso.
As aplicações móveis devem ser executadas em locais específicos dentro da memória dos dispositivos
(caixas de areia40), a fim de minimizar as consequências de aplicações/programas malévolos. Em
estreita colaboração com o fabricante do SO e/ou a loja de aplicações, os criadores de aplicações têm
de usar os mecanismos disponíveis para permitir que os utilizadores vejam quais os dados que estão a
ser tratados e por que aplicações, bem como para ativar e desativar seletivamente as autorizações. O
uso de funcionalidades ocultas não deveria ser permitido.
Os criadores de aplicações têm de estudar cuidadosamente os seus métodos de identificação e
autenticação dos utilizadores. Não devem usar identificadores persistentes (específicos dos
dispositivos), mas sim identificadores de dispositivos temporários ou específicos da aplicação de baixa
entropia para evitar a monitorização dos utilizadores ao longo do tempo. Devem ser considerados
mecanismos de autenticação que respeitem a privacidade. Na autenticação dos utilizadores, os
criadores de aplicações têm de dedicar especial atenção à gestão dos ID e das palavras-passe dos
utilizadores. Estas devem ser encriptadas e armazenadas em segurança como um valor hash codificado
com chave. A disponibilização aos utilizadores de um teste de robustez da palavra-passe escolhida
também é uma técnica útil para melhorar as palavras-passe (verificação da entropia). Em certos casos
(acesso a dados sensíveis, mas também acesso a recursos pagos), deve ser contemplada a
reautenticação, recorrendo também a vários fatores e a diferentes canais (por exemplo, código de
acesso enviado por SMS) e/ou à utilização de dados de autenticação associados ao utilizador final (e
não ao dispositivo). Além disso, aquando da seleção de identificadores de sessão, devem ser utilizadas
40
Uma caixa de areia é um mecanismo de segurança para separar programas em execução.
20
cadeias de carateres imprevisíveis, possivelmente em combinação com informação contextual, como o
dia e a hora, mas também o endereço IP ou os dados de geolocalização.
Os criadores de aplicações devem ainda ter em atenção os requisitos estabelecidos na Diretiva
Privacidade Eletrónica sobre violações de dados pessoais e a necessidade de informar proativamente
os utilizadores. Embora atualmente estes requisitos só sejam aplicáveis a prestadores de serviços de
comunicações eletrónicas publicamente disponíveis, o futuro Regulamento relativo à proteção de
dados deverá alargar esta obrigação a todos os responsáveis pelo tratamento de dados (e
subcontratantes), tal como previsto nas propostas da Comissão (COM 2012/0011/COD). Assim,
verifica-se uma necessidade acrescida de estabelecer e avaliar continuamente um «plano de
segurança» exaustivo que abranja a recolha, o armazenamento e o tratamento de dados pessoais, a fim
de evitar tais violações de dados e o pagamento das pesadas multas previstas para estes casos. O plano
de segurança deve igualmente prever a gestão de vulnerabilidades e a disponibilização oportuna e
segura de correções fiáveis de erros de programação (bugs).
A responsabilidade dos criadores de aplicações pela segurança dos seus produtos não termina com o
lançamento de uma versão funcional no mercado. Tal como qualquer produto de software, as
aplicações poderão apresentar vulnerabilidades e falhas ao nível da segurança e os criadores de
aplicações terão de criar correções ou patches para as aplicações e disponibilizá-las aos utilizadores,
ou recorrer, para tal, a terceiros em posição de o fazer.
Lojas de aplicações
As lojas de aplicações são um importante intermediário entre os utilizadores finais e os criadores de
aplicações, devendo, como tal, submeter as aplicações a uma série de controlos robustos e eficazes
antes de as admitirem no mercado. Estas lojas devem fornecer informações sobre os controlos que
efetivamente realizam, bem como sobre o tipo de controlos de conformidade com as regras de
proteção de dados que conduzem.
Embora esta medida não seja 100 % eficaz para eliminar a disseminação de aplicações malévolas, as
estatísticas indicam que esta prática reduz significativamente a ocorrência de funcionalidades
malévolas em lojas de aplicações «oficiais».41 A fim de lidar com o vasto número de aplicações que
são submetidas diariamente, este processo beneficiaria com ferramentas de análise automática, bem
como com a implementação de canais de intercâmbio de informações entre especialistas em segurança
e profissionais de software, e procedimentos e políticas eficazes para responder aos problemas
comunicados.
Além de serem analisadas antes da sua aceitação na loja de aplicações, as aplicações devem ser
também submetidas a um mecanismo de reputação pública. As aplicações não devem ser classificadas
pelos utilizadores exclusivamente com base no facto de serem ou não consideradas «cool», mas
também com base nas suas funcionalidades, devendo ser feita uma referência expressa aos
mecanismos de segurança e de proteção da privacidade. Além disso, devem ser criados mecanismos de
reputação para evitar falsas classificações. Os mecanismos de qualificação e reputação de aplicações
também podem contribuir eficazmente para reforçar a confiança mútua entre as diversas entidades,
especialmente se existir um intercâmbio de dados através de uma longa cadeia de terceiros.
Muitas lojas de aplicações implementaram um método para desinstalar remotamente aplicações
malévolas ou não seguras. Se não for corretamente concebido, este mecanismo poderá constituir um
obstáculo à capacitação dos utilizadores para manterem um controlo mais rigoroso sobre os seus
41
«Hey, You, Get Off of My Market: Detecting Malicious Apps in Official and Alternative Android Markets»,
Y Zhou et al., Network and Distributed System Security Symposium (NDSS) 2012.
21
dados. Para respeitar as regras sobre privacidade, o método utilizado por uma loja de aplicações para
desinstalar remotamente aplicações deve, por conseguinte, basear-se na informação e no
consentimento do utilizador. De um ponto de vista mais prático, devem também ser colocados à
disposição dos utilizadores canais para comunicarem problemas de segurança com as suas aplicações e
fornecerem informações sobre a eficácia de eventuais procedimentos de desinstalação remota.
Tal como os criadores de aplicações, as lojas de aplicações devem estar familiarizadas com futuras
obrigações de notificação de violações de dados pessoais e trabalhar em estreita colaboração com os
criadores de aplicações para evitar tais violações.
Fabricantes de SO e de dispositivos
Os fabricantes de SO e de dispositivos também desempenham um papel importante na definição de
normas mínimas e de melhores práticas entre os criadores de aplicações, não apenas na segurança do
software subjacente e das API como também nas ferramentas, orientações e material de referência que
disponibilizam. Estes fabricantes devem disponibilizar algoritmos de encriptação fortes e bem
conhecidos e suportar comprimentos de chave adequados. Devem igualmente disponibilizar
mecanismos de autenticação seguros e robustos para os criadores de aplicações (por exemplo, o uso de
certificados assinados por autoridades de certificação fidedignas para verificar a autorização de um
recurso remoto). Deste modo, os criadores de aplicações não teriam necessidade de criar mecanismos
de autenticação exclusivos. Na prática, a implementação desta medida é, muitas vezes, deficiente e
poderá representar uma vulnerabilidade grave.42
O acesso a dados pessoais e o seu tratamento pelas aplicações deve ser gerido através de classes
pré-definidas de API e métodos que proporcionem garantias e controlos adequados. Os fabricantes de
SO e de dispositivos devem certificar-se de que os métodos e as funções que permitem o acesso a
dados pessoais incluem funcionalidades destinadas a implementar pedidos de consentimento
diferenciado. Da mesma forma, devem ser tomadas medidas para impedir ou limitar o acesso a dados
pessoais mediante o recurso a funções de baixo nível ou a outros meios suscetíveis de contornar os
controlos e garantias incorporados nas API.
Os fabricantes de SO e de dispositivos têm igualmente de incorporar trilhos de auditoria claros nos
dispositivos, para que os utilizadores finais possam ver claramente quais as aplicações que têm
acedido a dados nos seus dispositivos.
Todas as partes têm de responder rapidamente a vulnerabilidades de segurança para que os utilizadores
finais não estejam desnecessariamente expostos a falhas de segurança. Infelizmente, alguns fabricantes
de SO e de dispositivos (e operadores de telecomunicações, quando distribuem dispositivos de marca)
não garantem o suporte a longo prazo de diferentes versões do SO, deixando os utilizadores
desprotegidos contra vulnerabilidades de segurança bem conhecidas. Estes fabricantes, juntamente
com os criadores de aplicações, têm de fornecer previamente aos utilizadores finais informações sobre
o período durante o qual tencionam disponibilizar atualizações de segurança regulares. Devem
igualmente informar os utilizadores, logo que possível, da necessidade de uma atualização para
resolver um problema de segurança.
42
Recentemente, foi referido que a inexistência de indicadores visuais de segurança para o uso do SSL/TLS e a
utilização inadequada do SSL/TLS podem ser exploradas para lançar ataques conhecidos como
«Man-in-the-Middle» (MITM). De acordo com um estudo recente, a base total de aplicações instaladas com
vulnerabilidades confirmadas face a ataques MITM abrange vários milhões de utilizadores. «Why Eve and
Mallory Love Android: An Analysis of Android SSL (In)Security», Bernd Freisleben e Matthew Smith, 19.ª
Conferência sobre Segurança Informática e de Comunicações da ACM (ACM CCS 2012).
22
Terceiros
As considerações e funcionalidades de segurança acima descritas também têm de ser aplicadas por
terceiros quando recolhem e tratam dados pessoais para os seus próprios fins (sobretudo anunciantes e
prestadores de serviços de análise e monitorização estatística de dados). Tal inclui a transmissão
segura e o armazenamento encriptado de identificadores únicos de dispositivos e de utilizadores de
aplicações, e de outros dados pessoais.
3.7 Informação
3.7.1 A obrigação de informar e o conteúdo exigido
De acordo com o artigo 10.º da Diretiva Proteção de Dados, cada titular de dados tem o direito de
conhecer a identidade do responsável pelo tratamento dos seus dados pessoais. Além disso, no
contexto das aplicações, o utilizador final tem o direito de saber que tipo de dados pessoais estão a ser
tratados e para que finalidade se destinam a ser usados. Se os dados pessoais do utilizador forem
recolhidos de outros intervenientes do ecossistema das aplicações (tal como descrito no ponto 3.3 do
presente parecer), nos termos do artigo 11.º da referida Diretiva, o utilizador final tem, ainda assim, o
direito de ser informado de tal tratamento nos moldes anteriormente descritos. Por conseguinte, se
tratar dados pessoais, o responsável pelo tratamento em questão tem de informar os potenciais
utilizadores, no mínimo, sobre:
a sua identidade e dados de contacto;
as categorias exatas de dados pessoais que o criador de aplicações irá recolher e tratar;
as finalidades exatas do tratamento;
se os dados serão divulgados a terceiros;
o modo como os utilizadores poderão exercer os seus direitos em termos de revogação do
consentimento e eliminação de dados.
O fornecimento destas informações sobre o tratamento de dados pessoais é determinante para obter o
consentimento do utilizador para o tratamento de dados. O consentimento só será válido se a pessoa
tiver sido previamente informada dos principais elementos do tratamento de dados. O fornecimento
dessas informações já depois de a aplicação ter dado início ao tratamento de dados pessoais (muitas
vezes durante a instalação) não é considerado suficiente e é inválido. Subscrevendo as conclusões do
relatório dos serviços da FTC, o Grupo de Trabalho chama a atenção para a necessidade de fornecer
informações no momento em que isso é relevante para os consumidores, precisamente antes da recolha
de tais informações pelas aplicações. Ser informado dos dados que estão a ser tratados é
particularmente importante, dado que as aplicações têm, em regra, um vasto acesso a sensores e a
estruturas de dados no dispositivo e, em muitos casos, esse acesso não é intuitivamente óbvio. O
fornecimento de informações adequadas também assume uma importância vital nos casos em que a
aplicação trata categorias específicas de dados pessoais, por exemplo, sobre o estado de saúde, as
convicções políticas, a orientação sexual, etc. Por último, o criador de aplicações deve estabelecer uma
distinção clara entre informações obrigatórias e opcionais e o sistema deve permitir ao utilizador
recusar o acesso a informações opcionais utilizando opções por defeito que respeitem a privacidade.
Relativamente à identidade do responsável pelo tratamento, os utilizadores precisam de saber quem é
juridicamente responsável pelo tratamento dos seus dados pessoais e de que modo este responsável
pode ser contactado. Caso contrário, não podem exercer os seus direitos, nomeadamente o direito de
acesso aos dados armazenados (remotamente) sobre eles. Devido à natureza fragmentada do panorama
das aplicações, é crucial que cada aplicação tenha um ponto de contacto único que assuma a
responsabilidade por todas as operações de tratamento de dados que ocorram através dela. Não deve
ser deixada aos utilizadores finais a tarefa de investigar as relações entre os criadores de aplicações e
outras partes que tratam dados pessoais através da aplicação.
23
No que respeita à(s) finalidade(s), os utilizadores finais têm de ser adequadamente informados sobre
os dados que são recolhidos sobre eles e por que motivo. Os utilizadores devem ainda ser informados,
em linguagem clara e simples, se os dados poderão ser reutilizados por outras partes e, em caso
afirmativo, para que finalidades. A referência a finalidades elásticas, como «inovação do produto»,
não informa adequadamente os utilizadores. Deve ser declarado abertamente se será solicitado o
consentimento dos utilizadores para partilhar dados com terceiros para fins de publicidade e/ou análise
e monitorização estatística de dados. As lojas de aplicações têm a importante responsabilidade de
assegurar que estas informações estão disponíveis e são de fácil acesso para cada aplicação.
As lojas de aplicações têm a importante responsabilidade de assegurar a disponibilização de
informações adequadas. É altamente recomendado o uso de ícones ou símbolos visuais sobre
utilizações de dados para que os utilizadores tenham conhecimento dos tipos de tratamento de dados.
Além das informações mínimas supramencionadas, que são necessárias para obter o consentimento do
utilizador da aplicação, o Grupo de Trabalho, com o intuito de assegurar o tratamento leal dos dados
pessoais, aconselha vivamente os responsáveis pelo tratamento a fornecerem também aos utilizadores
informações sobre:
considerações em matéria de proporcionalidade relativas aos tipos de dados recolhidos ou
acedidos no dispositivo;
períodos de conservação dos dados;
medidas de segurança aplicadas pelo responsável pelo tratamento de dados.
O Grupo de Trabalho recomenda ainda que os criadores de aplicações incluam na sua política de
privacidade informações destinadas aos utilizadores europeus sobre o modo como a aplicação cumpre
a legislação europeia em matéria de proteção de dados, incluindo possíveis transferências de dados
pessoais da Europa para, por exemplo, os EUA, e se a aplicação cumpre (e, em caso afirmativo, de que
modo) o acordo «Porto Seguro».
3.7.2 A forma das informações
As informações básicas sobre o tratamento de dados têm de estar ao dispor dos utilizadores antes da
instalação da aplicação por intermédio da loja de aplicações. Em segundo lugar, também deverá ser
possível aceder às informações relevantes sobre o tratamento de dados a partir da aplicação, após a
instalação.
Enquanto corresponsáveis pelo tratamento juntamente com os criadores de aplicações, as lojas de
aplicações têm de se certificar de que cada aplicação fornece as informações essenciais sobre o
tratamento de dados pessoais. Estas lojas devem verificar as hiperligações para páginas incluídas com
informações sobre privacidade e retirar as aplicações com ligações que não funcionam ou com
informações sobre o tratamento de dados que, por qualquer outro motivo, não estejam acessíveis.
O Grupo de Trabalho recomenda que também estejam disponíveis, e sejam fáceis de localizar,
informações sobre o tratamento de dados pessoais na loja de aplicações e, de preferência, nos sítios
Web normais do criador de aplicações em causa. É inaceitável que os utilizadores sejam colocados
numa posição em que sejam obrigados a pesquisar na Internet informações sobre as políticas de
tratamento de dados da aplicação, ao invés de serem informados diretamente pelo criador da aplicação
ou por outro responsável pelo tratamento de dados.
No mínimo, todas as aplicações deveriam ter uma política de privacidade legível, compreensível e de
fácil acesso, da qual constassem todas as informações supramencionadas. Muitas aplicações não
cumprem este requisito mínimo de transparência. De acordo com o estudo da FPF de junho de 2012,
56 % das aplicações pagas e quase 30 % das aplicações gratuitas não possuem uma política de
privacidade.
24
As aplicações que não tratam ou que não se destinam ao tratamento de dados pessoais devem referir
claramente este facto na política de privacidade.
É evidente que existem limites para a quantidade de informações que podem ser apresentadas num
pequeno ecrã, mas esse facto não é desculpa para não informar adequadamente os utilizadores finais.
Podem ser adotadas várias estratégias para garantir que os utilizadores tenham conhecimento dos
principais elementos do serviço. O Grupo de Trabalho vê benefícios na utilização de avisos com vários
níveis, conforme descrito no seu Parecer 10/200443, em que o aviso inicial ao utilizador contém as
informações mínimas exigidas pelo quadro jurídico da UE, estando disponíveis informações adicionais
através de ligações para o texto integral da política de privacidade. As informações devem ser
apresentadas diretamente no ecrã, facilmente acessíveis e altamente visíveis. Junto a informações
abrangentes adequadas à dimensão do ecrã dos dispositivos móveis, devem existir ligações para
explicações mais exaustivas, por exemplo na política de privacidade, sobre o modo como a aplicação
utiliza os dados pessoais, sobre quem é responsável pelo tratamento e sobre onde o utilizador pode
exercer os seus direitos.
Esta abordagem pode ser combinada com o uso de ícones, imagens, vídeo e áudio, bem como utilizar
notificações contextuais em tempo real quando a aplicação acede ao livro de endereços ou a
fotografias.44Estes ícones têm de ser úteis, ou seja, claros, intuitivos e inequívocos. Obviamente, o
fabricante do SO também tem a importante responsabilidade de facilitar o uso de tais ícones.
Com efeito, os criadores de aplicações distinguem-se pela sua capacidade de programar e conceber
interfaces complexas para ecrãs pequenos e o Grupo de Trabalho apela à indústria para explorar este
talento criativo com vista a criar mais soluções inovadoras para informar eficazmente os utilizadores
nos dispositivos móveis. A fim de garantir que as informações sejam realmente compreensíveis para
utilizadores sem conhecimentos técnicos ou jurídicos, o Grupo de Trabalho (em consonância com o
relatório dos serviços da FTC) recomenda vivamente o teste das estratégias de informações escolhidas
junto dos consumidores.45
3.8 Direitos do titular de dados
Nos termos dos artigos 12.º e 14.º da Diretiva Proteção de Dados, os criadores de aplicações e outros
responsáveis pelo tratamento de dados no ecossistema das aplicações móveis têm de permitir que os
utilizadores das aplicações exerçam os seus direitos de acesso, retificação e apagamento, e de oposição
ao tratamento de dados. Se um utilizador exercer o direito de acesso, o responsável pelo tratamento
dos dados tem de lhe fornecer informações sobre os dados que estão a ser tratados e sobre a fonte
desses dados. Se o responsável pelo tratamento tomar decisões automatizadas com base nos dados
compilados, terá também de informar o utilizador da lógica subjacente a essas decisões. Poderá ser
este o caso quando a conduta ou o desempenho dos utilizadores é avaliado, por exemplo, com base em
dados financeiros, em dados sobre a saúde ou em outros dados do perfil. Se o utilizador o solicitar, o
responsável pelo tratamento de dados da aplicação também tem de permitir a retificação, apagamento
ou bloqueio de dados pessoais, caso estejam incompletos, sejam inexatos ou tenham sido alvo de um
tratamento ilícito.
43
44
45
Parecer 10/2004 do Grupo de Trabalho do artigo 29.º sobre a prestação mais harmonizada da informação
(julho de 2004), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp100_pt.pdf
Por exemplo, o ícone de aviso de tratamento de dados de geolocalização utilizado nos iPhones.
Relatório dos serviços da FTC, nota 6 supra, p. 16.
25
Para que os utilizadores possam controlar o tratamento dos seus dados pessoais, as aplicações têm de
informar os seus utilizadores, de forma clara e visível, sobre a existência destes mecanismos de acesso
e correção. O Grupo de Trabalho do artigo 29.º recomenda a conceção e implementação de
ferramentas de acesso em linha simples, mas seguras. As ferramentas de acesso devem estar
disponíveis, de preferência, dentro de cada aplicação ou através da apresentação de uma ligação para
uma funcionalidade em linha, onde os utilizadores possam ter acesso imediato a todos os seus dados
que estejam a ser objeto de tratamento e às correspondentes explicações. Os prestadores de serviços
em linha adotaram iniciativas semelhantes, tais como diferentes painéis (dashboards) e outros
mecanismos de acesso.
A necessidade de um fácil acesso em linha faz-se sentir com maior acuidade no caso das aplicações
que procedem ao tratamento de perfis de utilizador complexos, tais como aplicações de redes sociais e
de mensagens ou aplicações que tratam dados sensíveis ou financeiros. Obviamente, só deve ser
concedido acesso se a identidade do titular de dados tiver sido determinada, a fim de evitar fugas de
dados para terceiros. No entanto, esta obrigação de verificar a identidade correta não deve conduzir a
uma recolha adicional e excessiva de dados pessoais sobre o titular de dados. Em muitos casos, bastará
a autenticação, sendo dispensada a identificação (completa).
Além disso, deve ser sempre dada aos utilizadores a possibilidade de revogarem o seu consentimento
de forma simples e linear. O titular de dados poderá revogar o seu consentimento para o tratamento de
dados de várias formas e por vários motivos. De preferência, a opção de revogação do consentimento
deve estar disponível através de mecanismos de fácil acesso, tal como referido anteriormente. Tem de
ser possível desinstalar as aplicações e, dessa forma, eliminar todos os dados pessoais, inclusivamente
os que se encontram armazenados nos servidores do responsável ou responsáveis pelo tratamento. A
fim de permitir que o criador da aplicação elimine os dados dos utilizadores a pedido destes, o
fabricante do SO tem um papel importante a desempenhar, fornecendo um sinal ao criador da
aplicação depois de o utilizador desinstalar a aplicação. Esse sinal poderia ser fornecido através da
API. Em princípio, depois de o utilizador ter desinstalado a aplicação, o criador da aplicação não tem
qualquer fundamento jurídico para continuar a tratar dados pessoais relacionados com aquele
utilizador e, por conseguinte, tem de eliminar todos os dados. Se o criador da aplicação desejar manter
determinados dados, por exemplo para facilitar a reinstalação da aplicação, tem de solicitar
separadamente o consentimento durante o processo de desinstalação, perguntando ao utilizador se
concorda com uma determinada prorrogação do período de conservação dos dados. A única exceção a
esta regra será a possível existência de obrigações jurídicas de conservação de alguns dados para fins
específicos, como as obrigações fiscais relacionadas com transações financeiras.46
3.9 Períodos de conservação
Os criadores de aplicações têm de considerar a questão da conservação dos dados recolhidos com a
aplicação e os riscos que estes representam para a proteção de dados. Os prazos concretos dependerão
da finalidade da aplicação e da relevância dos dados para o utilizador final. Por exemplo, numa
46
O Grupo de Trabalho relembra a todos os serviços da sociedade da informação, como as aplicações, que a
obrigação europeia de conservação de dados (Diretiva 2006/24/CE) não lhes é aplicável e, por conseguinte,
não pode ser invocada como fundamento jurídico para continuar a tratar dados sobre os utilizadores da
aplicação depois de estes a terem desinstalado. O Grupo de Trabalho aproveita esta oportunidade para
salientar os riscos acrescidos associados aos dados sobre tráfego, que merecem precauções e garantias
especiais per se – tal como sublinhado no Relatório do Grupo de Trabalho do artigo 29.º sobre o
cumprimento da Diretiva Conservação de Dados (WP172) – em que todos os intervenientes relevantes foram
instados a implementar as medidas de segurança adequadas.
26
aplicação de calendário, agenda ou partilha de fotografias, os prazos de conservação seriam
controlados pelo utilizador final, enquanto numa aplicação de navegação, poderá ser suficiente
conservar apenas os dez locais visitados mais recentemente. Os criadores de aplicações devem
igualmente considerar os dados dos utilizadores que já não utilizam a aplicação há muito tempo. Estes
utilizadores poderão ter perdido o dispositivo móvel ou ter mudado para outro dispositivo sem terem
desinstalado ativamente todas as aplicações no primeiro dispositivo. Por conseguinte, os criadores de
aplicações devem definir previamente um período de inatividade, findo o qual se considerará que a
conta expirou, e informar o utilizador desse prazo. Decorrido este período, o responsável pelo
tratamento de dados deve alertar o utilizador e dar-lhe a oportunidade de recuperar dados pessoais. Se
o utilizador não responder ao alerta, os dados pessoais relacionados com o utilizador e a utilização da
aplicação devem ser irreversivelmente anonimizados ou eliminados. O período de inatividade depende
da finalidade da aplicação e do local onde os dados estiverem armazenados. Se estiverem em causa
dados armazenados no próprio dispositivo, por exemplo uma pontuação elevada num jogo, estes
poderão ser conservados enquanto a aplicação estiver instalada. Se estiverem em causa dados que só
são utilizados uma vez por ano, tais como informações sobre uma estância de esqui, o período de
inatividade poderia ser de 15 meses.
3.10 Crianças
As crianças são utilizadoras ávidas de aplicações, quer nos seus próprios dispositivos quer em
dispositivos partilhados (por exemplo, dos seus pais, dos seus irmãos ou num contexto educativo) e
existe claramente um mercado vasto e diversificado de aplicações destinadas às crianças.
Simultaneamente, porém, a compreensão e o conhecimento das crianças sobre a quantidade e a
sensibilidade dos dados a que as aplicações poderão ter acesso são muito reduzidos ou mesmo
inexistentes, o mesmo acontecendo com a extensão da partilha de dados com terceiros para fins
publicitários.
O Grupo de Trabalho analisou exaustivamente a questão do tratamento de dados das crianças no
Parecer 2/2009 sobre a proteção dos dados pessoais das crianças e, no presente ponto, aborda apenas
alguns riscos e recomendações respeitantes especificamente às aplicações.47
Os criadores de aplicações e outros responsáveis pelo tratamento de dados devem ter em atenção o
limite de idade que define as crianças ou os menores de acordo com a legislação nacional, nos casos
em que o consentimento parental for uma condição prévia para o tratamento lícito de dados pelas
aplicações.48
Quando a lei permite que o menor dê o seu consentimento e a aplicação se destinar a crianças ou a
menores, o responsável pelo tratamento de dados deve ter em consideração as potenciais limitações do
menor em termos de compreensão das informações sobre tratamento de dados e de atenção a essas
informações. Tendo em conta a vulnerabilidade característica das crianças e a obrigação de tratar os
dados pessoais de forma leal e lícita, os responsáveis pelo tratamento de dados que visem crianças
devem respeitar ainda com maior rigor os princípios da minimização dos dados e da limitação da
finalidade. Concretamente, os responsáveis pelo tratamento não devem tratar dados de crianças para
fins de publicidade comportamental, quer direta quer indiretamente, uma vez que tal iria além da
47
48
WP 160, Parecer 2/2009 sobre a proteção dos dados pessoais das crianças (Orientações gerais e a situação
especial
das
escolas)
(11
de
fevereiro
de
2009),
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp160_pt.pdf
Nos Estados-Membros da UE, este limite varia entre os 12 e os 18 anos.
27
capacidade de compreensão da criança e, consequentemente, ultrapassaria os limites do tratamento
leal.
O Grupo de Trabalho partilha as preocupações expressas pela Comissão Federal do Comércio no seu
relatório sobre as aplicações móveis para crianças.49
Os criadores de aplicações, em colaboração com as lojas de aplicações e os fabricantes de SO e de
dispositivos, devem apresentar as informações relevantes de forma simples e em linguagem adequada
à idade. Além disso, os responsáveis pelo tratamento de dados devem abster-se especificamente de
recolher dados relacionados com os pais ou com outros membros da família da criança utilizadora, tais
como informações financeiras ou informações sobre categorias específicas de informações,
nomeadamente dados médicos.
4 Conclusões e recomendações
Muitos dos dados disponíveis em dispositivos móveis inteligentes são dados pessoais. O quadro
jurídico relevante é a Diretiva Proteção de Dados, em conjugação com o requisito de consentimento
específico previsto no artigo 5.º, n.º 3, da Diretiva Privacidade Eletrónica. Estas regras são aplicáveis a
qualquer aplicação destinada a utilizadores de aplicações dentro da UE, independentemente da
localização do criador ou da loja de aplicações.
A natureza fragmentada do ecossistema das aplicações, o vasto leque de possibilidades técnicas de
acesso a dados armazenados em dispositivos móveis ou gerados por estes, bem como a falta de
conhecimentos jurídicos dos criadores, geram uma série de riscos graves para a proteção de dados dos
utilizadores das aplicações. Estes riscos vão desde a falta de transparência e falta de conhecimentos
por parte dos utilizadores das aplicações às medidas de segurança deficientes, aos mecanismos de
consentimento inválidos, à tendência para a maximização dos dados e à elasticidade das finalidades do
tratamento de dados.
Existe uma sobreposição das responsabilidades em matéria de proteção de dados entre as diferentes
partes envolvidas na criação, na distribuição e nas capacidades técnicas das aplicações. Embora a
maioria das conclusões e recomendações se destine aos criadores de aplicações (na medida em que são
eles quem possui o maior grau de controlo sobre o modo exato como o tratamento é realizado ou como
as informações são apresentadas na aplicação), muitas vezes estes têm de colaborar com outras partes
no ecossistema de aplicações, tais como os fabricantes de SO e de dispositivos, as lojas de aplicações e
terceiros, como os prestadores de serviços de análise e monitorização estatística de dados e as redes de
publicidade, a fim de garantirem o mais elevado nível de privacidade e de proteção de dados.
Os criadores de aplicações devem:
conhecer e cumprir as suas obrigações enquanto responsáveis pelo tratamento de dados quando
tratam dados recolhidos junto dos utilizadores e sobre os utilizadores;
conhecer e cumprir as suas obrigações enquanto responsáveis pelo tratamento de dados quando
recorrem a subcontratantes, nomeadamente quando subcontratam criadores, programadores e, por
exemplo, prestadores de serviços de armazenamento em nuvem para recolher e tratar dados
pessoais;
49
Relatório dos serviços da FTC «Mobile Apps for Kids: Current Privacy Disclosures are Disappointing» (fev.
2012), http://www.ftc.gov/os/2012/02/120216mobile_apps_kids.pdf. Este relatório refere que, apesar de
terem sido identificadas diversas aplicações para crianças criadas por centenas de entidades diferentes, os
serviços da FTC encontraram pouca ou nenhuma informação nos mercados de aplicações sobre a recolha de
dados e as práticas de partilha dessas aplicações.
28
solicitar o consentimento, antes da instalação da aplicação, para recolher ou colocar informações
no dispositivo; esse consentimento tem de ser livre, específico e informado;
solicitar o consentimento diferenciado para cada tipo de dados a que a aplicação terá acesso; pelo
menos, para as categorias Localização, Contactos, Identificador Único do Dispositivo, Identidade
do titular de dados; Identidade do telefone, Dados do cartão de crédito e de pagamento, Telefonia
e SMS, Histórico de navegação, Correio eletrónico, Dados de acesso a redes sociais e Dados
biométricos;
estar cientes de que o consentimento não legitima um tratamento excessivo ou desproporcionado;
fornecer informações concretas e compreensíveis sobre as finalidades do tratamento de dados
antes da instalação da aplicação e não alterar essas finalidades sem solicitar novamente o
consentimento; fornecer informações exaustivas se os dados forem utilizados para fins de
terceiros, tais como publicidade ou análise e monitorização estatística de dados;
permitir que os utilizadores revoguem o seu consentimento, desinstalem a aplicação e eliminem os
dados, quando for o caso;
respeitar o princípio da minimização dos dados e recolher apenas os dados que sejam estritamente
necessários para executar a funcionalidade desejada;
tomar as medidas organizativas e técnicas necessárias para assegurar a proteção dos dados
pessoais a cujo tratamento procedem, em todas as fases da conceção e implementação da aplicação
(privacidade desde a conceção), tal como descrito no ponto 3.6 do presente parecer;
atuar como ponto de contacto único para os utilizadores da aplicação;
disponibilizar uma política de privacidade legível, compreensível e de fácil acesso, que informe os
utilizadores, no mínimo, sobre:
a sua identidade e dados de contacto,
as categorias exatas de dados pessoais que a aplicação pretende recolher e tratar,
o motivo pelo qual o tratamento dos dados é necessário (para que finalidades exatas),
se os dados serão divulgados a terceiros (sendo necessária uma descrição específica, e não
meramente genérica, das entidades a quem os dados serão divulgados),
os direitos dos utilizadores em termos de revogação do consentimento e eliminação de dados;
permitir que os utilizadores das aplicações exerçam os seus direitos de acesso, retificação e
apagamento, e de oposição ao tratamento de dados, bem como informá-los da existência destes
mecanismos;
definir um período razoável de conservação dos dados recolhidos junto da aplicação e pré-definir
um período de inatividade após o qual se considerará que a conta expirou;
no que respeita às aplicações destinadas a crianças: prestar atenção ao limite de idade que define
as crianças ou os menores de acordo com a legislação nacional, escolher a abordagem de
tratamento de dados mais restritiva no pleno respeito pelos princípios da minimização dos dados e
da limitação da finalidade, abster-se de tratar dados de crianças para fins de publicidade
comportamental, direta ou indiretamente, e abster-se de recolher dados através das crianças sobre
os seus familiares e/ou amigos.
O Grupo de Trabalho recomenda que os criadores de aplicações:
estudem as orientações relevantes sobre riscos e medidas de segurança específicos;
informem proativamente os utilizadores sobre violações de dados pessoais, em conformidade com
os requisitos da Diretiva Privacidade Eletrónica;
informem os utilizadores sobre as suas considerações em matéria de proporcionalidade
relativamente aos tipos de dados recolhidos ou acedidos no dispositivo, os períodos de
conservação dos dados e as medidas de segurança aplicadas;
criem ferramentas para permitir que os utilizadores personalizem os períodos de conservação dos
seus dados pessoais com base nas suas preferências e contextos específicos, ao invés de
estabelecer condições de conservações pré-definidas;
incluam informações dedicadas aos utilizadores europeus na sua política de privacidade;
criem e implementem ferramentas de acesso em linha para os utilizadores, simples mas seguras,
sem recolherem dados pessoais adicionais excessivos;
29
em colaboração com os fabricantes de SO e de dispositivos e as lojas de aplicações, usem o seu
talento criativo no desenvolvimento de soluções inovadoras para informar adequadamente os
utilizadores nos dispositivos móveis, por exemplo, através de um sistema de avisos com vários
níveis, conjugado com ícones úteis.
As lojas de aplicações devem:
conhecer e cumprir as suas obrigações enquanto responsáveis pelo tratamento de dados quando
tratam dados recolhidos junto dos utilizadores e sobre os utilizadores;
assegurar o cumprimento da obrigação de informação do criador da aplicação, incluindo os tipos
de dados a que a aplicação poderá aceder e para que fins, bem como a possibilidade de os dados
serem partilhados com terceiros;
prestar especial atenção às aplicações dirigidas às crianças para as proteger contra o tratamento
ilícito dos seus dados e, em especial, assegurar o cumprimento da obrigação de apresentar as
informações relevantes de forma simples e em linguagem adequada à idade;
fornecer informações detalhadas sobre os controlos que efetivamente realizam sobre as aplicações
submetidas, incluindo aqueles que visam avaliar questões de privacidade e de proteção de dados.
O Grupo de Trabalho recomenda que as lojas de aplicações:
em colaboração com o fabricante de SO, criem ferramentas de controlo para os utilizadores, tais
como símbolos que representem o acesso a dados armazenados no dispositivo móvel e gerados por
este;
submetam todas as aplicações a um mecanismo de reputação pública;
implementem um mecanismo de desinstalação remota que respeite a privacidade;
disponibilizem canais para os utilizadores comunicarem problemas de privacidade e/ou segurança;
colaborem com os criadores de aplicações para informarem proativamente os utilizadores sobre
violações de dados pessoais;
avisem os criadores de aplicações sobre as especificidades da legislação europeia antes de
submeterem a aplicação na Europa, por exemplo, sobre o requisito do consentimento e no caso de
transferências de dados pessoais para países não pertencentes à UE.
Os fabricantes de SO e de dispositivos devem:
atualizar as suas API, regras das lojas e interfaces do utilizador para proporcionarem aos
utilizadores um controlo suficiente para darem um consentimento válido em relação aos dados
tratados pelas aplicações;
implementar mecanismos de obtenção do consentimento nos seus SO no primeiro lançamento da
aplicação ou na primeira vez que a aplicação tentar aceder a uma das categorias de dados com um
impacto significativo sobre a privacidade;
aplicar o princípio da privacidade desde a conceção para evitar a monitorização secreta do
utilizador;
garantir a segurança do tratamento;
assegurar que as (pré-definições das) aplicações pré-instaladas estão em conformidade com a
legislação europeia em matéria de proteção de dados;
proporcionar um acesso diferenciado a dados, sensores e serviços, a fim de assegurar que o criador
de aplicações só possa aceder aos dados necessários para a sua aplicação;
disponibilizar meios eficazes e de fácil utilização que permitam evitar a monitorização por
anunciantes e outros terceiros (as predefinições devem evitar qualquer tipo de monitorização);
assegurar a disponibilidade de mecanismos adequados para informar e educar o utilizador final
sobre aquilo que as aplicações podem fazer e a que dados podem aceder;
assegurar que cada acesso a uma categoria de dados se reflita na informação do utilizador antes da
instalação da aplicação: as categorias apresentadas devem ser claras e compreensíveis;
implementar um ambiente compatível com a segurança, com ferramentas para evitar a propagação
de aplicações malévolas e permitir que cada funcionalidade seja facilmente instalada/desinstalada.
30
O Grupo de Trabalho recomenda que os fabricantes de SO e de dispositivos:
permitam que os utilizadores desinstalem aplicações e forneçam um sinal (por exemplo, através da
API) ao criador da aplicação para permitir a eliminação dos dados relevantes do utilizador;
disponibilizem e facilitem sistematicamente atualizações de segurança regulares;
assegurem que os métodos e as funções que permitem o acesso a dados pessoais possuam
funcionalidades destinadas a implementar pedidos de consentimento diferenciado;
ajudem ativamente a desenvolver e facilitar ícones que alertem os utilizadores para diferentes
utilizações dos dados pelas aplicações;
incorporem trilhos de auditoria claros nos dispositivos, para que os utilizadores finais possam ver
claramente quais as aplicações que têm acedido a dados nos seus dispositivos e qual o volume de
tráfego de saída por aplicação, em relação ao tráfego gerado pelo utilizador.
Os terceiros devem:
conhecer e cumprir as suas obrigações enquanto responsáveis pelo tratamento de dados e quando
tratam dados pessoais sobre os utilizadores;
cumprir o requisito do consentimento estabelecido no artigo 5.º, n.º 3, da Diretiva Privacidade
Eletrónica quando leem ou escrevem dados nos dispositivos móveis, em cooperação com os
criadores de aplicações e/ou lojas de aplicações, que essencialmente fornecem ao utilizador
informações sobre as finalidades do tratamento de dados;
abster-se de contornar qualquer mecanismo destinado a evitar a monitorização, como acontece
atualmente muitas vezes com os mecanismos «Do Not Track» implementados nos programas de
navegação;
quando se trata de prestadores de serviços de comunicações que lançam dispositivos de marca,
certificar-se de que os utilizadores deram um consentimento válido para as aplicações
pré-instaladas e assumir responsabilidades relevantes quando contribuem para determinadas
funcionalidades do dispositivo e do SO como, por exemplo, quando limitam o acesso do utilizador
a certos parâmetros de configuração ou filtram versões de correções (de segurança e funcionais)
disponibilizadas pelos fabricantes de SO e de dispositivos;
quando se trata de empresas de publicidade, evitar especificamente a exibição de anúncios fora do
contexto da aplicação, por exemplo, modificando as definições do programa de navegação ou
colocando ícones no ambiente de trabalho do dispositivo móvel e abster-se de utilizar
identificadores únicos de dispositivos ou assinantes para fins de monitorização;
abster-se de tratar dados de crianças para fins de publicidade comportamental, quer direta quer
indiretamente, e aplicar medidas de segurança adequadas, incluindo a transmissão segura e o
armazenamento encriptado de identificadores únicos de dispositivos e de utilizadores de
aplicações e de outros dados pessoais.
O Grupo de Trabalho recomenda que terceiros:
criem e implementem ferramentas de acesso em linha, simples mas seguras para os utilizadores,
sem recolherem dados pessoais adicionais excessivos;
recolham e tratem apenas dados compatíveis com o contexto em que o utilizador disponibiliza os
dados.
31