Entrevista de Luís M. Faria, publicada no Jornal Expresso, a 28 de janeiro de 2020, pelo Dia Europeu da Proteção de Dados

No Dia Europeu da Proteção de Dados, o EXPRESSO falou com Alexandre Sousa Pinheiro, professor da Faculdade de Direito de Lisboa e autor ou co-autor de várias obras sobre o assunto, incluindo “Privacy e Proteção dos Dados Pessoais: a Construção Dogmática do Direito à Identidade Informacional” (AAFDL Editora), “Comentário ao Regulamento Geral da Proteção de Dados” (Almedina).

Para este jusrista, a proteção de dados é um elemento essencial para garantir a dignidade humana. “Caso contrário, acabamos por ser não pessoas mas autómatos”, resume. “Completamente definidos, completamente compreendidos, completamente espelhados para o mundo. O que nós não somos”. Quanto à ideia de que ‘quem não deve não teme’, portanto não precisa de ter segredos, Sousa Pinheiro é taxativo: “Isso é um pensamento que está na base das ditaduras”.

Como descreveria o estado atual da proteção de dados na Europa?

Em 2016 foi aprovada legislação muito relevante, com o Regulamento Geral de Proteção de Dados. Esse regulamento está a ser aplicado pelas autoridades de controle. Começa a verificar-se a aplicação de sanções a entidades públicas ou privadas que não cumprem as regras do regulamento.

Este é um dos temas fortes da privacidade e da proteção de dados na Europa. Outro assunto importante é saber como o Tribunal de Justiça da União Europeia vai interpretar o Regulamento. Ainda não houve uma decisão completamente fundada nele – isto é, que o tenha apenas a ele como objeto – mas este ano haverá certamente. Já foram enviadas para o tribunal questões que vão ter de ser resolvidas. Uma das decisões mais aguardadas é Schrems 2, que dirá se é ou não incompatível com a legislação europeia o Privacy Shield que foi aprovado depois de o Safe Harbour ter sido invalidado pelo Tribunal de Justiça.

Este caso diz respeito a saber se as autoridades norte-americanas garantem um nível de proteção de dados idêntico ao que existe na União Europeia. Algumas empresas podem inscrever-se numa espécie de lista que garante o cumprimento da legislação europeia, e acontece que, com o Safe Harbour (o sistema de porto seguro aprovado em 2000), o tribunal considerou que as normas em causa não estavam garantidas. Por um lado, o facto de as empresas se inscreverem não assegurava esse cumprimento. Por outro, a própria legislação norte-americana, ao permitir uma fiscalização dos dados enviados da Europa para os Estados Unidos, levantava problemas.

Com o Privacy Shield, procurou-se instituir a figura do provedor e a aprovação de um relatório. Neste momento, só temos a decisão do advogado-geral, que é uma espécie de ministério público europeu, e ele aponta para a não-incumprimento da legislação europeia. Agora espera-se a decisão do tribunal. Este é o caso que está a causar mais expetativa neste momento.

Em termos gerais, e tendo em conta as novas tecnologias que se estão a desenvolver, quais são hoje os principais desafios em matéria de proteção de dados?

A relação entre a tecnologia e o direito, no domínio da proteção de dados, deve basear-se numa lógica de ‘privacy by design’ ou ‘privacy by default’ – privacidade desde a concepção ou privacidade por defeito. Quando uma tecnologia é criada e colocada no mercado, devem ser pensados os problemas de proteção de dados. Ora sucede que frequentemente isso não acontece, nomeadamente no que diz respeito a matérias de segurança. Por exemplo, com câmaras de videovigilância com mecanismos de inteligência artificial. Também com a identificação facial através dos pontos de reconhecimento, independentemente da finalidade que se pretenda ou a que se chegue. E também com a criação de algoritmos. Não só nas redes sociais. Ela existe no domínio laboral, e em entidades públicas. Os algoritmos não devem ter um conteúdo discriminatórios. Isto é um dos aspetos mais importantes em discussão hoje em dia.

A propósito, por exemplo, do ‘predictive policing’ (a utilização de tecnologia para prever, entre outras coisas, a probabilidade de determinadas pessoas virem a cometer crimes)?

Sim. Essa é uma das áreas em questão. Não se deve permitir que os benefícios da tecnologia se transformem em elementos que acabam por pôr em causa os direitos e liberdades fundamentais. Isso acontece não só com a inteligência artificial, com mecanismos que permitem um reconhecimento e uma seriação do indivíduo e que, sem intervenção humana, podem pôr em causa esses direitos, mas também com aquilo a que se chama a internet das coisas, com a captação de informações através de mecanismos inteligentes colocados em instrumentos do dia a dia. Um caso concreto: um relógio que consiga transmitir informação sobre condições de saúde ou sobre o ritmo cardíaco de quem o usa. Aqui o problema não é tanto em relação a essa pessoa, mas a possibilidade de ser captada também informação de quem circula perto dessa pessoa.

Existem já exemplos conhecidos de situações em que informações desse tipo foram indevidamente captadas e usadas?

Existem situações que estão neste momento a ser apreciadas em tribunais. Uma decisão judicial nesse domínio da internet das coisas, no plano europeu, ainda não há. Ainda não foi provado em nenhum provado que tenha sido indevidamente usada informação obtida assim. Mas é um tema que já vai sendo estudado nas universidades de uma forma, eu diria, quase clássica, no sentido de saber se não estamos perante direitos fundamentais que são postos em causa. Se houvesse privacidade ‘by design’, não seria possível captar informações cardíacas de uma pessoa próxima, por exemplo. Não digo que todos os aparelhos desse tipo o façam.

Falando agora das tecnologias de reconhecimento facial. O exemplo da China, que parece usá-las a um nível especialmente intenso, tem sido um alerta para nós.

Recentemente, a União Europeia publicou um trabalho manifestando preocupação pela utilização dessa tecnologia, particularmente quando ela ocorre não em certos aspetos bem definidos – por exemplo, num passaporte, à entrada num país – para reconhecimento de pessoas dentro de grupos, da multidão. Essa utilização alargada é perigosíssima para os direitos fundamentais, ainda por cima quando as finalidades ou não estão definidas, ou são claramente discriminatórias.

Em relação à videovigilância, hoje em dia temos câmaras por todo o lado…

Uma recente decisão da Comissão de Proteção de Dados apontou para a necessidade de realização de um estudo sobre a utilização de câmaras em Portimão e Leiria. Tudo estava em saber se a utilização de câmaras com mecanismos de inteligência artificial e a possibilidade de criação de conhecimento independentemente da via humana era ou não compatível com a legislação europeu. A Comissão disse que havia aspetos, nomeadamente relativos à finalidade, que não estavam inteiramente definidos. Também disse que para se avançar com uma solução dessa natureza era necessária a realização de um estudo de impacto sobre a privacidade. Por vezes há câmaras que produzem um determinado tipo de informação e quer-se progredir para uma informação mais completa. Aí temos de garantir os direitos fundamentais, para não chegar a uma situação como a da China ou de outros estados.

Como avalia a sensibilidade para estes assuntos em Portugal?

É muito maior do que há uns anos, sem dúvida. A aprovação do regulamento levou a que se falasse desta matéria. Mas ainda há muitas limitações, em especial no que diz respeito à consciência de que estamos a falar sobre informação das pessoas, e a informação das pessoas é a sua própria identidade. Se as pessoas não forem de carne e osso mas de vidro, tudo se vê. Uma sociedade sem segredos é uma sociedade na qual nenhum ser pensante quer viver.