Nova proposta de regulamento ePrivacy: o que esperar?

O Conselho da União Europeia aprovou, no passado mês de Fevereiro, a proposta revista do regulamento ePrivacy apresentada pela presidência portuguesa.

A nova proposta de regulamento ePrivacy, relativo ao respeito pela vida privada e à proteção dos dados pessoais nas comunicações eletrónicas e que substituirá a Diretiva 2002/58/CE, integra a Estratégia para o Mercado Único digital (Estratégia MUD), cujo objetivo é o de aumentar a confiança e a segurança nos serviços digitais. O regulamento complementará o RGPD, em virtude dos pontos de contacto entre as matérias reguladas.

O grande princípio orientador é o da confidencialidade das comunicações eletrónicas, aplicável quer às comunicações de pessoas singulares, quer às comunicações de pessoas coletivas. Todavia, segundo a proposta de regulamento, a livre circulação de dados e de serviços de comunicações eletrónicas na União, que também visa assegurar, não deve ser restringida nem proibida por motivos relacionados com o respeito pela vida privada e pelas comunicações e dados pessoais de pessoas singulares, nem pela proteção das comunicações das pessoas coletivas.

Em linha com o princípio da confidencialidade, é estabelecida a regra geral da proibição de qualquer interferência com os dados das comunicações eletrónicas. Mas são previstas diversas hipóteses em que os fornecedores de rede e de serviços de comunicações eletrónicas poderão tratar dados, metadados e conteúdo de comunicações eletrónicas licitamente.

Os dados de comunicações eletrónicas (que incluem metadados e conteúdo de comunicações eletrónicas) poderão ser tratados sem o consentimento dos utilizadores se tal for necessário, nomeadamente, para a prestação de um serviço de comunicação eletrónica, por motivos de segurança ou para detetar falhas técnicas. O seu tratamento será igualmente lícito se se destinar ao cumprimento de obrigações legais, se for necessário para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais e se se destinar à proteção contra ameaças à segurança pública e à prevenção de tais ameaças.

Os metadados poderão ser tratados se tal for necessário, designadamente, para manter a integridade dos serviços, para a execução de um contrato no qual o utilizador é parte, para efeitos de faturação e para proteger os interesses vitais de uma pessoa singular, incluindo para monitorizar epidemias e outras emergências humanitárias. Será ainda possível tratar metadados para uma finalidade distinta daquela para a qual foram recolhidos, desde que compatível com a finalidade inicial e mediante o cumprimento de determinados requisitos.

São também estipuladas algumas hipóteses em que o conteúdo trocado através de serviços de comunicações eletrónicas, sob a forma de texto, voz, vídeos, imagens e som poderá ser alvo de tratamento, além dos casos em que o utilizador tenha consentido nessa utilização.

No que concerne às comunicações de marketing direto, a regra geral mantém-se: em princípio, o seu envio é proibido, exceto se for previamente obtido o consentimento das pessoas singulares. Porém, e à semelhança do que sucede na diretiva vigente, o envio de tais comunicações será lícito se os contactos eletrónicos das pessoas singulares tiverem sido obtidos no contexto da aquisição de um produto ou serviço e se as comunicações forem referentes aos seus próprios produtos ou serviços similares, desde que aos utilizadores finais seja dada a possibilidade de se oporem a essa utilização.

A este respeito, a proposta introduz a possibilidade de os Estados Membros definirem um período de tempo, a contar da data da venda do produto ou da prestação do serviço, dentro do qual os dados de contacto do utilizador que seja uma pessoa singular podem ser utilizados para fins de envio de comunicações de marketing direto.

Em relação aos cookies, vale também como regra a proibição da sua instalação nos equipamentos dos utilizadores, mas são previstas várias exceções. Os cookies poderão ser instalados, nomeadamente, se tal for necessário para assegurar a transmissão da comunicação ou para prestar um serviço solicitado pelo utilizador, se for necessário para medição da audiência da web, desde que efetuada pelo prestador do serviço solicitado pelo utilizador, ou se o utilizador tiver prestado o seu consentimento.

De acordo com a proposta de regulamento, as regras aplicáveis ao consentimento serão as constantes do RGPD, e aplicar-se-ão também às pessoas coletivas, com as necessárias adaptações.

Assim que forem adotadas, as novas regras de ePrivacy entrarão em vigor 20 dias após a publicação do regulamento no Jornal Oficial da União Europeia e tornar-se-ão aplicáveis dois anos após essa data.

O acordo alcançado pelo Conselho da União Europeia sobre a versão final do texto, que se traduziu num avanço nas morosas negociações, permite que a presidência portuguesa encete agora negociações com o Parlamento Europeu com vista à obtenção de um consenso sobre a versão final a adotar.