Sobre portabilidade de dados

A seguir, realizamos uma sistematização geral das contribuições trazidas pelas publicações contidas neste repositório. A sistematização será guiada com base nas cinco perguntas elencadas pelo Facebook no White Paper Charting a Way Forward on Privacy and Data Portability, publicado em setembro de 2019:
 

• O que é portabilidade de dados? 
   

• Quais dados devem ser portáteis?
   

• De quem são os dados que devem ser portáteis?
   

• Como devemos proteger a privacidade enquanto habilitamos a portabilidade?
   

• Após a transferência dos dados pessoais, quem é responsável se os dados forem mal utilizados ou protegidos incorretamente?

 

​

O que é portabilidade de Dados?

O conceito mais difundido sobre Portabilidade de Dados é a possibilidade de copiar e transferir os próprios dados pessoais inseridos em um determinado serviço, de forma a permitir a sua reutilização em outro serviço similar ou para outro uso possível. O direito à portabilidade confere ao titular de dados pessoais um elevado nível de poder de gerenciamento sobre seus dados. 

O direito à portabilidade é garantido por meio  de dois atos acessórios: o acesso aos dados pessoais e a transmissão desses dados. 

Caso a requisição de portabilidade não seja cumprida, o titular dos dados pessoais poderá, sem prejuízo do direito de ação, peticionar contra o controlador perante os organismos de defesa do consumidor - quando os dados estiverem armazenados em relação de consumo - ou perante a Autoridade Nacional de Proteção de Dados, a quem compete zelar pela proteção dos dados pessoais, fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso.

Quais dados devem ser portáteis?

O direito à portabilidade não contempla os dados pessoais que já tenham sido anonimizados e a portabilidade não deverá implicar no apagamento dos dados pessoais relativos ao titular que os tenha fornecido para execução de um contrato, enquanto os dados pessoais forem necessários para a execução do referido contrato. 

No âmbito da União Europeia, reconhece-se que o direito à portabilidade deverá aplicar-se também se o titular dos dados tiver fornecido os dados pessoais com base no seu consentimento ou se o tratamento for necessário para o cumprimento de um contrato, mas não deverá ser aplicável se o tratamento se basear num fundamento jurídico que não seja o consentimento ou um contrato.

O direito à portabilidade não deverá impor aos responsáveis pelo tratamento a obrigação de adotar ou manter sistemas de tratamento iguais ou estandardizados, contudo, eventual incompatibilidade dos sistemas não poderá obstar o exercício do direito à portabilidade. Fica a cargo da Autoridade Nacional de Proteção de Dados, então, dispor padrões de interoperabilidade para fins de portabilidade.

 
De acordo com a literatura, há duas formas de interpretar a extensão de dados portáveis “fornecidos”. De acordo com a interpretação restritiva, “dados fornecidos” significa apenas dados pessoais que o sujeito forneceu explicitamente em um formulário escrito ou de qualquer forma explícita, por exemplo, preenchendo um formulário de registro, respondendo a perguntas etc. Mas, de acordo com a extensa interpretação, "dados fornecidos" significa todos os dados pessoais que os controladores de dados coletaram, mediante consentimento ou de acordo com um contrato. 

Além disso, há alguns questionamentos específicos, como por exemplo, o caso de ratings reputacionais. A partir da leitura da doutrina, depreende-se a importância de portar os dados reputacionais, para fins de maior competitividade de mercado, incentivo da livre concorrência, melhoria dos serviços prestados e livre escolha do usuário. Também podem ser considerados como dados suscetíveis de portabilidade, o histórico do uso de determinado website ou serviço, como o serviço de buscas e os dados a respeito de tráfego e localização.

 

​

De quem são os dados que devem ser portáteis?

Os dados podem ter múltiplos titulares, o que pode dificultar a solicitação e autorização para realizar a portabilidade. O Grupo de Trabalho do Artigo 29 adotou uma interpretação consideravelmente rigorosa, declarando que o processamento de dados pessoais por terceiros, deve ser permitido apenas na medida em que os dados sejam mantidos sob o controle exclusivo do usuário solicitante e sejam gerenciados apenas para atividades puramente pessoais ou domésticas.  No entanto, há quem destaque que, em muitas situações, motivos pessoais para portabilidade de dados coincidirão com o uso comercial de dados de terceiros. Estas são situações ainda em aberto. 

Outra questão que vem à tona é a requisição de portabilidade de dados de pessoa já falecidas. Uma das soluções propostas é que a portabilidade de dados da pessoa morta implica também na possível conjunção de dois interesses: um eventual interesse comunicado ou manifestado do falecido de que um parente específico realize a tal portabilidade e o interesse da família em proteger e portar os dados do parente falecido.

Como devemos proteger a privacidade enquanto habilitamos a portabilidade?

Diante da exigência do direito à portabilidade, é preciso primeiro garantir a efetividade dos outros direitos de controle. Se faz necessário, inclusive, delimitar em quais situações estarão garantidos direitos antagônicos, como o direito à portabilidade e o direito ao esquecimento. Também é preciso diferenciar o direito de acesso e o direito à portabilidade. O primeiro se trata de um direito de saber, enquanto o segundo se trata do direito ao controle, ou seja, gerenciamento concedido ao titular sobre seus próprios dados. 

É preciso, também,atentar para questões de segurança. No entanto, qualquer negativa de portabilidade por motivos de segurança da transmissão e proteção à privacidade, deve ser razoavelmente justificada.

Após a transferência dos dados pessoais, quem é responsável se os dados forem mal utilizados ou protegidos incorretamente?

A portabilidade de dados só pode levar ao controle sobre a reutilização de dados se for suportada com uma infraestrutura funcional. O objetivo é fornecer aos indivíduos alguns meios práticos para acessar, obter e usar conjuntos de dados contendo suas informações pessoais, como dados de compra, de tráfego, de telecomunicações, registros médicos, informações financeiras e dados derivados de vários serviços online. Em adição, incentiva-se as organizações  a manter dados pessoais para fornecer aos indivíduos o controle sobre tais, estendendo-se além dos requisitos legais mínimos para isso.