Por Carina Branco (*)

O movimento da Auto-quantificação (“Quantified Self“ ou do “Eu Quantificado”) investe numa melhor compreensão de nós mesmos a partir de dados e informação, cada vez mais acessíveis através de aplicações, dispositivos, materiais e equipamentos que nos permitem a monitorização e controlo de aspetos tão diversos da nossa vida como as calorias que ingerimos, o quanto andamos face à nossa condição física, quanto e como gastamos, o que consumimos, quanto dormimos, qual o nosso ritmo cardíaco ou qual o nosso nível de humor.

Até muito recentemente os dados observados eram recolhidos e tratados de forma distante por um sistema acessível a partir do nosso dispositivo ou aplicação, mas fora do nosso controlo. O Regulamento Geral de Proteção de Dados Pessoais (RGDP) pretendeu contrariar essa tendência introduzindo o direito à portabilidade dos dados, que confere aos titulares o direito de receberem os dados pessoais que lhes digam respeito e que tenham fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática (...)” (Art. 20º nº1 RGDP).

O direito à portabilidade, que em Portugal se popularizou com a chamada “portabilidade do número” nos serviços de telecomunicações, abrange os dados fornecidos de forma ativa e consciente pelo titular, mas também – e esta é uma inovação do diploma europeu - os “dados observados” gerados pela sua atividade em dispositivos, aplicações... Excluem-se os dados anónimos e os dados inferidos ou derivados de uma análise que possa ter sido realizada pelo responsável pelo tratamento (ou por um terceiro) sobre os dados em bruto (por exemplo, relatórios de perfilagem a partir de dados de consumo captados; os relatórios que a aplicação de fitness gera em cima dos dados de exercício físico captados pelo dispositivo; ou o relatório de risco financeiro gerado em cima dos dados de rendimento, despesas e consumos carregados para um simulador).

Os titulares passam, assim, a ter o direito de obter e reutilizar estes seus dados, de os poderem transmitir e reutilizar entre serviços, podendo, a seu justo critério, decidir se portam os dados para si próprios e os guardam e tratam por si mesmos - num dispositivo privado ou nuvem privada, por exemplo; se solicitam ao atual prestador que os porte para um novo prestador; ou se encarregam um terceiro para, por sua conta, armazenar e/ou tratar os dados da forma/para os fins que entenderem.

O objetivo confesso do legislador europeu foi o de promover a liberdade de escolha do utilizador, de potenciar o seu controlo e capacitação, procurando devolver aos titulares um papel ativo no ecossistema de dados[Segundo expressão adotada e constante das Orientações do Grupo de Trabalho criado ao abrigo do artigo 29 da Diretiva 95/46/CE, em 13 de dezembro de 2016, revistas e atualizadas.], esperando-se que a portabilidade dos mesmos pudesse trazer novas oportunidades de inovação. Entendemos, todavia, que o direito da portabilidade, conforme foi gizado, traz alguns vieses.

Desde logo, o direito à portabilidade aparece apenas associado a situações de tratamento de dados pessoais com base no consentimento do titular ou no âmbito de um contrato. Nos casos em que ocorra tratamento de dados pessoais com base num fundado interesse legítimo ou para o cumprimento de obrigações legais, não existe um direito próprio à portabilidade que seja conferido ao titular. Esta circunstância, parece-nos, que restringe consideravelmente o controlo por parte dos titulares da sua estrutura de dados na rede.

Acresce que os responsáveis pelo tratamento de dados devem colaborar ativamente para a portabilidade mas não estão vinculados à garantia de portabilidade, e isso porque, desde logo, não existe qualquer obrigação de remoção de obstáculos técnicos identificados ou identificáveis de acordo com o estado da arte ou do conhecimento que possam ter. Paralelamente, os responsáveis a quem seja solicitada a portabilidade por parte de um titular devem garantir a portabilidade dos dados num formato interoperável, embora o responsável recetor não esteja obrigado a suportar esse formato ou sequer a receber esses dados.  Portanto, parece que ocorrendo um problema técnico que impeça a portabilidade/transmissão de dados, a obrigação do responsável pelo tratamento cinge-se a uma explicação detalhada ao titular dessas mesmas circunstâncias. Parece-nos insuficiente.

Por último, a transmissão direta entre responsáveis pelo tratamento depende da comunicação entre os dois sistemas ser possível, de poder ocorrer de forma segura e do sistema recetor ter condições técnicas para receber os dados de entrada, ao que acresce o problema de qual deve ser o “formato” a adotar.

Ora, a respeito deste último, muito se tem sugerido e muitas soluções haverão certamente.  Cremos, ainda assim, que as ferramentas interoperáveis que permitem a portabilidade dos dados sem exigência de compatibilidade entre sistemas, ou as ferramentas automatizadas síncronas de extração de dados, serão as que mais garantias oferecem de efetiva portabilidade, sobretudo, quando estão em causa volumes consideráveis de dados, como poderá suceder nos casos ilustrativos com que abrimos este texto; i.e. quando se devem portar não só dados fornecidos de forma ativa e consciente pelo titular, como também dados observados.

Restará ainda saber quanto irão os responsáveis por tratamento de dados pessoais contribuir para a construção e o engrandecimento do nosso “Eu Quantificado” e para os desígnios do legislador Europeu, numa nova era digital em que ansiamos que cada Um possa valer mais que a soma dos seus dados.

(*) Senior Tech & IT Counsel da Techlwayers by pbbr