Coima por adicionar uma pessoa a um grupo de WhatsApp sem consentimento? Sim, é possível.

O QUE SE PASSOU?

Através de reclamação apresentada à Agencia Española de Protección de Datos (AEPD), em dezembro de 2020, e publicada em outubro de 2021 por esta autoridade de controlo, foi aplicada uma sanção ao abrigo do RGPD ao CLUB DESPORTIVO SANSUEÑA, S.L., pelo facto de o requerente em causa ter sido adicionado a um grupo do WhatsApp sem o seu consentimento. O requerente era um antigo utilizador do centro desportivo em causa, mas não teria relação há mais de 10 anos.

A AEPD, como autoridade de controlo competente, abriu investigação e decidiu depois aplicar sanções.

Foram, por isso, aplicadas 4 sanções, com fundamentos distintos:

• Coima de 1000€ por violação do artigo 6.º do RGPD, tipificada no artigo 83.º, n.º 5, alínea b) do RGPD – violação dos direitos dos titulares dos dados;
• Coima de 1000€ por violação do artigo 5.º, n.º 1, alínea e) do RGPD, tipificada no artigo 83.º, n.º 5 do RGPD – violação do princípio da limitação da conservação, segundo o qual os dados apenas deverão ser conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos.
• Coima de 1000€ por infração do artigo 32.º, n.º 1, alínea b) do RGPD, tipificada no artigo 83.º, n.º 4 do RGPD – a incapacidade de assegurar (essencialmente e neste caso concreto) a confidencialidade e integridade dos dados.
• Coima de 1000€, por violação do artigo 32.º, n.º 1, alínea d) do RGPD, tipificada no artigo 83.º, n.º 4 do RGPD – ausência de um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.

Passaremos, então, a analisar sequencialmente as questões essenciais do que se sucedeu:

1. O n.º de telemóvel pode ser considerado um dado pessoal? Segundo a aceção do RGPD, pode e deve ser considerado um dado pessoal, na medida em que identifica ou torna identificável a pessoa em causa, mormente no contexto de WhatsApp, em que, geralmente, ao número estará associado o nome da pessoa, no respetivo perfil.
2. Mas é necessário o consentimento de alguém para que seja adicionado a um grupo de WhatsApp? Seria exagerado dizer que sim na generalidade dos casos. Conforme referem os obrigacionistas sobre o nexo de causalidade no Direito Civil, teríamos que “ir a Adão e Eva”. Segundo o RGPD, será responsável pelo tratamento a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades de tratamento e os meios de tratamento de dados pessoais. Será difícil, por exemplo, classificar um indivíduo, amigo de outro, que simplesmente o adiciona a um casual grupo de WhatsApp para combinar um jantar como responsável pelo tratamento.

Isto porque, também segundo o referido regulamento, tratamento será uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a  consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.  

Ora, vista esta definição e por referência ao exemplo que se menciona acima, é líquido que a atividade desenvolvida pelo clube é tratamento de dados pessoais, naturalmente sujeita ao RGPD. Ademais, e sem ter sido revelada informação prévia sobre em que termos teriam sido fornecidos os dados pessoais do requerente, a AEPD teve como óbvia a deturpação das finalidades de tratamento de dados, razão essa que torna também o tratamento ilícito.

I.e., caso os dados tivessem sido fornecidos no âmbito de uma relação contratual e sendo essa a única finalidade chave do tratamento (o que aparenta ser o caso), para a qual seria necessário o número de telemóvel, mormente para a conservação dessa relação, comunicações telefónicas e cobranças de eventuais créditos que o clube pudesse vir a ter sobre a requerente, não seria lícito (na hipótese ora configurada), tratar os dados para outras finalidades que não as permitidas pelo artigo 5.º, n.º 1, alínea e) do RGPD, como seria o caso de os dados serem posteriormente tratados para fins de interesse público, investigação científica ou para fins estatísticos, dentro de certos parâmetros.

3. Os dados pessoais dos titulares podem ser conservados durante tanto tempo? Respondendo de forma muito geral, é possível que sim. Por regra, os dados deverão apenas ser tratados enquanto forem necessários à finalidade para a qual foram recolhidos. A AEPD considerou que, para além de o clube ter violado o artigo 6.º do RGPD, por adicionar o número do requerente sem o seu consentimento, violaria também o artigo 5.º, n.º 1, alínea e) (respeitante ao princípio da limitação da conservação), na medida em que, passados 10 anos de inexistência de relação de clientela entre o requerente e o clube, essa finalidade já teria claramente atingido o seu termo, devendo, por isso, tais dados ser eliminados, por referência também ao que se menciona acima.
4. Em que medida foi violada a confidencialidade de dados? A confidencialidade de dados, conforme relata a AEPD, foi violada na medida em que, ao ser adicionado ao referido grupo, o n.º de telemóvel do requerente é partilhado com todos os participantes do mesmo, que a ele passarão a ter acesso. Acrescenta-se também que este acontecimento revela a inadequação de medidas de segurança adotadas pelo clube, o que culmina na violação do artigo 32.º, n.º 1, alínea b) e d).

Declarou então a autoridade de controlo que teria sido impossível assegurar essa confidencialidade e teria faltado a implementação de um processo para apreciar e avaliar medidas técnicas e organizativas que garantissem a segurança desse tratamento.

Em acrescento, a situação que se descreve acabou também por violar o artigo 6.º do RGPD, mormente no que toca à ausência de base legal para o referido tratamento. Ademais, deveria também o titular dos dados ter sido informado pelo responsável pelo tratamento no que toca às obrigações declarativas deste, em conformidade com os artigos 13.º e 14.º do Regulamento (consoante os dados tenham sido recolhidos junto do titular ou não). Por isso acrescentou a AEPD essa violação ao rol de sanções a aplicar, que encontra representação no artigo 83.º, n.º 5, alínea b) do RGPD, por violação do direito do titular dos dados a ser informado.

5. E o consentimento?

Para que o consentimento do titular dos dados fosse válido para o tratamento realizado, em primeira mão, este teria de ter existido. Não obstante, para que o consentimento para o tratamento de dados pessoais seja válido, tem de preencher uma série de requisitos, que nos são fornecidos pelo artigo 4.º, n.º 11 do RGPD, através da definição: uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

Assim, passaremos a analisar:

    A. “Manifestação de vontade livre”: “implica uma verdadeira escolha e controlo para os titulares dos dados. Regra geral, o RGPD prevê que se o titular dos dados não puder exercer uma verdadeira escolha, se sentir coagido a dar o consentimento ou sofrer consequências negativas caso não consinta, então o consentimento não é válido”.[1] No presente caso, claramente não houve qualquer escolha para o titular dos dados, nem tampouco um pedido de consentimento.

    B. “Específica”: O consentimento deve ser prestado em relação a uma ou mais finalidades específicas, sendo que o titular dos dados deve ter escolha face a cada uma das finalidades de tratamento – é o que se chama de granularidade nos pedidos de consentimento.[2] Assim, não apenas deve cada finalidade de tratamento ser objetivamente discriminada, como o titular dos dados deve ter a opção de escolher aquelas para as quais fornece o seu consentimento, sob pena de o tratamento ser ilícito, por invalidade do consentimento.

    C. “Informada”: Este requisito encontra-se fortemente associado ao princípio da transparência[3], e é fundamental fornecer informações aos titulares dos dados antes da obtenção do seu consentimento, de maneira a que tomem decisões informadas.

Associadas a este requisito, encontram-se as obrigações declarativas do responsável pelo tratamento de dados pessoais, de forma a cumprir com os princípios gerais da proteção de dados e assegurar a comunicação ao titular dos seus direitos.

    D. “Explícita”: O RGPD prevê que, para que o consentimento seja explícito, o titular dos dados terá de manifestar a sua vontade, o seu consentimento, mediante declaração ou ato positivo inequívoco, significando isto que o titular deve manifestar o seu consentimento de forma expressa[4]. A maneira mais fácil de comprovar o consentimento expresso será, naturalmente, o recurso a uma declaração escrita. Quando seja possível certificar isso mesmo, é possível eliminar quaisquer dúvidas que possam surgir.

O mesmo é possível pela via eletrónica, na medida em que se preencha a usual “caixa” encontrada pela internet fora, demonstrando inequivocamente a intenção do utilizador. Será de ressalvar, porém, que de forma a respeitar os princípios de privacy by design and by default, na Internet, será necessário que essas mesmas caixas se encontrem por preencher. Caso contrário, o consentimento não deve ser tido como válido.

CONCLUSÕES

Por fim, e destacando linhas mais obvias:

• O tratamento de dados ora apreciado seria lícito caso houvesse um fundamento legal para que acontecesse.
• Não obstante tais dados terem sido tratados previamente, ao abrigo de uma prestação de serviços do ginásio à requerente, essa finalidade já teria expirado há mais de 10 anos, uma vez que este teria deixado de ser cliente há precisamente 10 anos.
• A conservação de tais dados, com a finalidade inicial já extinta, apenas seria lícita com o propósito de (i) cumprir obrigações legais, (ii) fazer valer um direito ou um crédito face ao requerente, (iii) tratar os dados para fins de interesse público, investigação científica ou histórica ou (iv) para fins estatísticos, em conformidade com o artigo 89.º do RGPD, sujeitos à aplicação de medidas técnicas e organizativas.
• Não obstante o ginásio poder estar a armazenar tais dados para o cumprimento de obrigações legais, não poderia utilizá-los para finalidades díspares das supramencionadas, a não ser que o titular dos dados tivesse fornecido o seu consentimento.
• Não tendo sido pedido nem fornecido o consentimento para a finalidade específica em causa, a de adicionar a um grupo de WhatsApp, com determinado intuito, essa atividade de tratamento será ilícita, para além de violar a privacidade do titular e a confidencialidade dos seus dados.
• Assim violou o ginásio em causa o RGPD, tendo sido advertido pela Autoridade de Controlo competente para o efeito.

Finalmente, e ressalvando, deve atentar-se que o consentimento apenas deverá ser utilizado enquanto fundamento de licitude para o tratamento de dados pessoais na medida em que não exista outro fundamento que se possa aplicar ao caso. Não se deverá, em momento algum, privilegiar o consentimento como fundamento em detrimento de outros. Aliás, assim sindica o artigo 7.º, n.º 4 do RGPD, alertando para uma das situações mais frequentes de um consentimento deturpado.

[1] European Data Protection Board, Diretrizes 05/2020 relativas ao consentimento na aceção do Regulamento 2016/679, Adotadas em maio de 2020, pág. 8, disponíveis em https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_pt.pdf

[2] Idem, pp. 15 e 16.

[3] Idem, p. 17.

[4] Idem, p. 23.