COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS As dinâmicas de grupo e os perfis de consumo O uso de perfis na empresa • Os perfis são conjuntos de dados que caracterizam categorias de indivíduos destinados a serem aplicados a situações pessoais, por ex., perfis de investimento de clientes bancários construídos a partir de dados como o rendimento, a tolerância ao risco e os investimentos efectuados num determinado período de tempo • “A empresa típica utiliza apenas 2 a 4% dos dados que recolhe e armazena” (Estudo IBM 2007) • As grandes quantidades de dados recolhidos pela empresa nas suas bases transversais (datawarehouses) ou departamentais (datamarts) são processadas através de aplicações de exploração automatizada de dados adaptadas à sua área de negócios (embedded data mining) de modo a agregar os dados de vários indivíduos em perfis que podem ser usados para diferentes fins (marketing, gestão de investimentos, gestão de recursos humanos, prevenção de fraudes, etc.) • O desenvolvimento das TIC permite que estas operações sejam executadas a um custo relativamente baixo Dinâmicas dos grupo de empresas • Nos grupos de empresas o marketing é uma actividade transversal e as decisões tanto podem ser adoptadas estrategicamente ao nível da direcção do grupo, depender da coordenação das filiais com a divisão internacional da empresa-mãe ou serem transmitidas de acordo com uma estrutura matricial • A centralização ou descentralização destas decisões poderá reflectir-se na própria localização das bases de dados de marketing, condicionar o carácter local ou global das campanhas e influir sobre a localização dos respectivos tratamentos de dados • Nestes grupos, dada a dimensão considerável dos recursos humanos, existe uma razão adicional para elaborar perfis aplicáveis aos colaboradores com vista ao marketing interno • Palavras-chave nos grupos de empresas prestadoras de serviços financeiros: datawarehouse, database marketing, data mining, marketing relacional, marketing one-to-one, CRM, perfis de consumo e de investimento, circulação de dados no interior do grupo, transferências de dados pessoais Problemas de protecção de dados • Ao ligar entre si um largo número de indivíduos, os perfis distribuem-nos por um número limitado de categorias de gostos, tendências ou comportamentos, o que significa que efectuam, de algum modo, uma classificação social dessas pessoas • Este tratamento é geralmente levado a cabo sem o conhecimento dos titulares dos dados • Os dados tratados são eminentemente pessoais, interferindo com a privacidade, identidade e até com a dignidade dos seus titulares • A utilização dos perfis pode resultar na restrição ilegítima do acesso das pessoas singulares a certos produtos e serviços, com violação do princípio da não discriminação • Quando atribuídos ao titular dos dados, os perfis permitem criar novos dados pessoais sensíveis para além daqueles que o titular comunicou ao responsável pelo tratamento ou que presume serem do seu conhecimento Fontes da regulamentação • São textos fundamentais a Directiva 95/46/CE, de 24 de Outubro de 1995, a Lei nº 67/98, de 26 de Outubro, e o Decreto-Lei nº 7/2004, de 7 de Janeiro, alterado pelo Decreto-lei nº 62/2009, de 10 de Março • O código de conduta da APMDRI sobre esta matéria carece de revisão e aprofundamento • O código de conduta da FEMD sobre protecção de dados e o seu anexo sobre a protecção de dados no marketing feito por meio de comunicações electrónicas são particularmente úteis pelo grau de desenvolvimento e exemplificação que apresentam • Nenhum destes textos apresenta soluções completas para o problema dos perfis de consumo Lei aplicável ao tratamento • A origem externa ou o alojamento das bases de dados em servidores situados no estrangeiro não afasta, só por si, a aplicação da lei portuguesa, o importante é saber se a empresa está implantada no país e se o seu estabelecimento desenvolve actividades locais utilizando perfis de consumo • Se o grupo possui um estabelecimento em Portugal a LPD é aplicável às actividades desenvolvidas no contexto desse estabelecimento, com ou sem recurso à Internet para o tratamento • Se uma empresa estabelecida noutro EM trata dados através de um subcontratante estabelecido em Portugal a LPD é aplicável mas só à segurança dos tratamentos • A LPD é também aplicável a tratamentos de empresas estabelecidas apenas em países terceiros que recorram a meios situados em Portugal para tratar os dados – designação de um representante junto da CNPD que substitui a empresa nos respectivos direitos e obrigações Princípios gerais • O tratamento de dados pessoais para a elaboração de perfis de consumo deve oferecer garantias de transparência, não discriminação e respeito pelos direitos e liberdades dos titulares dos dados, desiderato que pode ser obtido logo na fase da concepção e planeamento através do recurso a tecnologias que optimizem a protecção da privacidade • O tratamento deve ser efectuado de forma lícita e com respeito pela boa fé • Os dados devem ser recolhidos para finalidades de determinadas, explícitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essas finalidades (não vão ser usados todos os perfis que é possível obter com os dados disponíveis, mas apenas perfis específicos, de consumo, investimento, risco ou rendimento, úteis, por ex.,para as actividades de gestão comercial, gestão de RH e marketing) • Os dados devem ser adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e posteriormente tratados (os dados de identificação dos perfis devem ser codificados ou conservados anónimos) • Os dados utilizados devem ser exactos e actualizados, a empresa deve reavaliar periodicamente a qualidade dos dados e das inferências estatísticas feitas a partir deles • Os dados usados devem ser conservados apenas durante o período necessário para a prossecução das finalidades da recolha ou tratamento posterior Notificação dos tratamentos • Os tratamentos implicados na elaboração e utilização de perfis de consumo devem ser notificadas à CNPD em função das finalidades que determinam o seu emprego (gestão comercial, marketing, prevenção de fraudes, etc.) • Um único perfil pode servir várias finalidades interligadas e o contrário também pode acontecer, isto é, diferentes perfis – de consumo, de investimento, de recursos humanos – serem usados para uma única finalidade (marketing) • Seja qual for a situação interna da informação na empresa (obtenção e tratamento da informação a partir de dados extraídos de uma base de dados transversal a toda a empresa, recurso a bases de dados departamentais), esta relação de meios (perfis) a fins deve estar muito clara nas notificações, de modo a permitir o controlo da proporcionalidade dos tratamentos Consentimento e autorização • O fundamento de legitimidade para o tratamento é, em geral, o consentimento livre, expresso, específico e informado do titular dos dados, verificado pela CNPD, mas também pode ser o consentimento dos representantes de menores, verificado pela CNPD, ou só a autorização da CNPD, no caso dos trabalhadores • Os currículos e dados sobre gostos e preferências cedidos por grupos de empresas com vista à colocação dos trabalhadores com o consentimento dos mesmos não podem ser utilizados para constituição de perfis de consumo, com desvio de finalidade, sem autorização da CNPD • Os dados constantes de ficheiros positivos e negativos de crédito notificados à CNPD não podem ser utilizados para a elaboração de perfis, com desvio de finalidade, sem autorização deste órgão Recolha dos dados • Recolha directa junto do titular dos dados – antes, depois ou no momento da celebração do contrato, feita pelo responsável pelo tratamento ou por alguém por sua conta, presencial ou na Internet através do sítio da empresa, de plataformas para vendas ou contratação de serviços, de redes sociais, eventos interactivos, etc. • Recolha indirecta – a partir de listas e fontes públicas, por transmissão de outras empresas do grupo, de instituições financeiras, por compra ou aluguer dos dados, etc. • A constituição de perfis, ao gerar novos dados, obriga a empresa a prestar de novo ao titular dos dados informações sobre a “recolha” dos dados, mesmo que os perfis tenham sido construídos a partir de dados anteriormente notificados à CNPD para as mesmas finalidades • A recolha de dados em redes abertas obriga a empresa a informar o titular dos dados que os seus dados podem circular na rede sem condições de segurança, correndo o risco de serem vistos e utilizados por terceiros não autorizados • A recolha de dados para a constituição de perfis através de software destinado à observação e monitorização do uso de um determinado equipamento terminal numa rede de comunicações electrónicas deve ser acompanhada de garantias de privacidade adequadas impostas por lei (“privacidade por defeito”) Recolha dos dados (cont.) • Se os dados forem recolhidos junto do seu titular, a empresa deve prestar–lhe as seguintes informações, salvo se já forem dele conhecidas: a) a sua identificação ou do seu representante no país b) que dados são recolhidos para a elaboração dos perfis c) As finalidades da constituição dos perfis d) As consequências que podem surgir da aplicação do perfil ao seu caso individual e) os destinatários ou categorias de destinatários dos dados, incluindo subcontratantes, prestadores de serviços e outras empresas do grupo f) o carácter facultativo ou obrigatório da resposta e as possíveis consequências de se não responder h) a existência e as condições dos direitos de acesso, rectificação e oposição, que são necessárias, nestes casos, para garantir ao titular dos dados um tratamento leal dos mesmos • No caso de recolha indirecta, as mesmas informações devem ser prestadas no momento do registo ou, se estiver prevista a comunicação a terceiros (por ex., a outras empresas do grupo), o mais tardar aquando da primeira comunicação desses dados Direito de oposição • No caso dos perfis de consumo, a revogação do consentimento vale como oposição ao tratamento • O trabalhador ou qualquer outro titular dos dados pode opor-se em qualquer momento a que os seus dados sejam usados pela empresa para marketing directo ou qualquer outra forma de prospecção • O titular dos dados deve ser informado antes de os seus dados pessoais serem comunicados pela primeira vez a terceiros para fins de marketing directo ou utilizados por conta de terceiros, podendo exercer o seu direito de oposição mesmo que tais comunicações ou utilizações tenham como destinatários outras empresas do grupo Direito de acesso e rectificação • O titular dos dados tem o direito de obter da empresa: a) A confirmação de serem tratados dados que lhes digam respeito, informação sobre a finalidade da constituição dos perfis, categorias de dados sobre que incide o tratamento (especialmente relevante no caso de aplicações concebidas para agregar automaticamente certas categorias de dados), destinatários e categorias de destinatários a quem são comunicados os dados (outras empresas do grupo, subcontratantes, prestadores de serviços, outras instituições financeiras, etc.) b) A comunicação, sob forma inteligível, dos seus dados sujeitos a tratamento e de informações disponíveis sobre a respectiva origem c) O conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe digam respeito, de forma a perceber por ex. como a aplicação dos perfis ao seu caso pode indiciar tendências e fundar previsões, sem que, no entanto, este conhecimento ponha em causa os segredos comerciais ou da vida interna da empresa e os seus direitos exclusivos sobre programas de computador e aplicações informáticas Direito de acesso e rectificação (cont.) d) A rectificação, apagamento ou bloqueio dos dados, nomeadamente devido ao seu carácter incompleto ou inexacto e) a notificação a terceiros a quem os dados tenham sido comunicados – incluindo outras empresas do grupo – de qualquer rectificação, apagamento ou bloqueio, salvo se isso for comprovadamente impossível Decisões automatizadas • No caso de a aplicação do perfil a uma situação individual resultar na oferta ou na não oferta automatizada de produtos ou serviços ao titular dos dados isso deverá resultar do âmbito da celebração ou da execução de um contrato com a empresa solicitado pela pessoa em causa • Caso contrário, essa decisão não pode ser adoptada sem que seja garantido o direito de representação e expressão da pessoa afectada ou, em alternativa, mediante autorização da CNPD que defina medidas de defesa dos interesses legítimos do titular dos dados Transferência dos dados • A transferências dos dados sobre perfis de consumo de uma empresa do grupo estabelecida em Portugal para outras empresas do grupo, instituições financeiras ou entidades estabelecidas em Estados que não assegurem um nível adequado de protecção dos dados pode fazer-se: a) Com o consentimento do titular dos dados; b) Se for necessária para a execução de um contrato entre o titular e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido do titular dos dados; c) For necessária para a execução ou celebração de um contrato celebrado ou a celebrar, no interesse do titular dos dados, entre o responsável pelo tratamento e um terceiro d) For necessária ou legalmente exigida para a protecção de um interesse público importante, ou para a declaração, o exercício ou a defesa de direitos num processo judicial; e) For autorizada pela CNPD mediante garantias adequadas, por ex. uso de cláusulas contratuais de transferência dos dados. Transferência dos dados (cont.) • Uma forma expedita de o responsável pelo tratamento estabelecido em Portugal respeitar as garantias adequadas exigidas para a transferência de dados para responsáveis pelo tratamento, incluindo outras empresas do grupo, ou para subcontratantes estabelecidos em países terceiros é a de utilizar as cláusulas contratuais aprovadas para esse efeito por decisão da Comissão Europeia Segurança das informações • Às empresas com estrutura de grupo parece estar reservada uma posição dinamizadora da implementação do cargo de responsável pela protecção dos dados pessoais • Na vertente interna é este actor, em contacto com os designers e fornecedores de software, os designers de perfis, os responsáveis pelos sistemas de informação e os responsáveis pelo marketing digital da empresa, que deve certificar-se que não há um tratamento desnecessário e excessivo de dados pessoais na utilização dos perfis e assegurar que são postas em prática medidas adequadas para proteger os dados pessoais • Na vertente externa compete-lhe transmitir instruções aos subcontratantes em matéria de segurança das informações e assegurar a ligação permanente com as autoridades nacionais de protecção de dados • Em particular, é importante que a comunicação de dados sobre perfis de consumo através da Internet seja acompanhada de medidas de segurança adequadas (utilização de um protocolo seguro, transmissão anónima ou codificada dos perfis) Obrigado pela vossa atenção Vasco Almeida (CNPD)