“Mudámos o paradigma” relativamente aos metados, declarou a ministra da Justiça após o último Conselho de Ministros. Catarina Sarmento e Castro referia-se à alternativa de acesso às comunicações electrónicas para investigação penal na sequência da declaração de inconstitucionalidade da anterior lei pelo Tribunal Constitucional.
A nova proposta legislativa vai contemplar “o acesso às bases de dados que já existem e que são mantidas pelas operadoras no exercício da sua actividade comercial, ou seja, não vamos manter uma base de dados separada, com dados conservados durante um ano para a exclusiva finalidade da investigação criminal”, disse, “vamos antes aceder às bases de dados que no dia-a-dia da sua actividade corrente estas operadoras já utilizam na sua prestação de serviços”.
Para a ministra, não se pretende “um dever de retenção da informação relativa a todas as pessoas” mas “há uma mudança de paradigma e para a investigação criminal serão utilizados os dados de que hoje, correntemente, as operadoras já dispõem”.
Mas o que têm essas bases de dados?
Como circulam os dados pessoais nas operadoras
Uma análise às três maiores operadoras de telecomunicações em Portugal revela que têm demasiada informação desnecessária para o processamento da faturação – o principal motivo que lhes permite guardar dados pessoais normalmente durante seis meses (o prazo pode ser alargado em caso de litigação ou em investigações das autoridades, por exemplo).
Em geral, todas guardam os dados essenciais à facturação do serviço, como o nome, a morada, o número de telefone ou o endereço de correio eletrónico do cliente. A localização é registada para gerir as chamadas de emergência e os restantes dados só são utilizados com a finalidade para a qual foram recolhidos, se obtido o consentimento do titular ou a pedido das autoridades com mandado judicial.
As três operadoras garantem, como é de lei, direitos como os de acesso, rectificação, actualização ou eliminação dos dados pessoais.
Altice: das telecomunicações para a energia
A Altice Portugal acrescenta que pode usar os dados para “efeitos de recrutamento, acções de intervenção social, do envio de reclamações e sugestões, difusão de informações institucionais do Grupo e/ou dar a conhecer campanhas, promoções, publicidade e notícias sobre os produtos e/ou serviços da Altice Portugal, bem como para a realização de estudos de mercado ou inquéritos de avaliação”.
A empresa guarda “os dados de tráfego, localização geográfica, perfil e ou consumo do cliente/utilizadores” com o objectivo declarado de dar acesso “a funcionalidades específicas dos serviços, a sugestões de conteúdos e a serviços informativos de proximidade”. E servem também “para fins de marketing ou divulgação de ofertas de bens ou serviços da Altice Portugal”, com autorização do titular – o mesmo sucedendo “para efeitos de divulgação de serviços informativos e listas, no âmbito do serviço universal”.
A antiga PT comunica os dados pessoais no cumprimento de obrigações legais, “para fins de investigação, deteção e repressão de crimes graves”, a entidades policiais, judiciais, fiscais e reguladoras. Mas também pode “recorrer a terceiros para a prestação de determinados serviços”, o que implica a partilha com essas entidades dos dados dos clientes. E ainda às empresas do grupo, desde a PT Portugal SGPS à Fundação Altice Portugal ou à MEO Energia.
NOS: conhecer os clientes que vão às suas salas de cinema
Além dos dados gerais referidos, a NOS guarda a data de nascimento, o género ou até informação sobre o agregado familiar dos clientes. No âmbito dos perfis individuais, a operadora regista o interesse em “filmes, séries, música, desporto, clube de futebol, redes sociais, ou outras preferências”.
Quanto aos dados de uso de serviços, exemplifica com o registo de “números de destino e de origem das chamadas efetuadas, data/hora da comunicação, duração da comunicação, endereço IP, mac address e os dados relativos à taxação de produtos e serviços, filmes vistos, salas de cinema frequentadas, dados de cookies e de navegação relativos a websites e apps”.
Também regista a referência geográfica dos clientes ou o equipamento terminal usado na rede móvel, WiFi, GPS, “beacons” ou outras tecnologias não especificadas.
A NOS assume tratar dados de conteúdo como a “informação incluída nas comunicações dos clientes, como por exemplo a voz, SMS/MMS ou URLs completos de sessões de dados”. É também guardado um perfil de utilização com “dados que resultam da análise da utilização de produtos e serviços de comunicações electrónicas ou de cinema”, tal como “consumos médios, chamadas realizadas, visualizações de TV, gravações, aluguer de vídeos, filmes vistos ou apps utilizadas”.
Por fim, declara guardar do cliente as “informações de autenticação nos websites e nas apps (identificador de utilizador, password, respostas a perguntas de recuperação de password), logs de acesso”.
A operadora guarda estes dados durante um ano “para efeitos de investigação, detecção e repressão de crimes graves”, o que a nova legislação vem alterar. Mas continua a armazenar “por 10 anos os dados necessários para informação à Autoridade Tributária para efeitos contabilísticos ou fiscais”, ou a manter os dados pessoais durante a relação contratual.
Estes “dados podem ser transmitidos a subcontratantes” externos mas também a empresas do Grupo NOS ou a entidades com quem a operadora “desenvolva parcerias”.
Vodafone: interesses comerciais mais importantes do que direitos dos utilizadores
Finalmente, a Vodafone Portugal é clara no tratamento dos dados pessoais e garante que “sempre” que depender do “interesse legítimo do negócio” para tratamento dos dados, “avaliaremos os nossos interesses comerciais para garantir que não se sobrepõem aos seus direitos. Além disso, em determinados casos, terá direito a opor-se a esse tratamento”.
A empresa recolhe dados pessoais sempre que essas “informações estejam disponíveis publicamente”, nomeadamente recolhe “informações junto de determinadas organizações, quando legitimados e na medida em que tivermos fundamento legal para o fazer. Incluem-se neste grupo: directórios de empresas e agências de avaliação/controlo de crédito”.
Mas também pode, além das habituais partilhas dentro do grupo Vodafone, obter e transferir informações dos clientes para “agências de notação de crédito, de prevenção contra fraudes ou de avaliação empresarial, ou outras agências de avaliação de crédito” ou “agências de cobrança de dívidas ou outras organizações para recuperação de dívidas”.
Como sucede com a concorrência, a Vodafone declara poder “recolher palavras-passe, respostas a perguntas de recuperação de password e outras informações de segurança usadas para a autenticação e acesso a contas e serviços”, bem como “preferências por produtos, serviços e actividades específicas, sempre que nos forneça tal informação ou nos seja possível inferir tais preferências de acordo com a forma como usa os produtos e serviços”.
É ainda obtida informação sobre como o cliente usa o serviço de televisão, nomeadamente “informações sobre as suas visualizações (o que poderá incluir anúncios), sobre o tempo passado a assistir e sobre as suas acções, tais como gravações, aluguer de conteúdos no videoclube e aplicações utilizadas”.
A empresa pode cruzar os dados pessoais de contacto com dados correspondentes nas redes sociais para apresentar publicidade. Pode ainda partilhar os dados dos clientes com entidades terceiras para “desenvolver promoções e acções conjuntas” mas, neste caso, são esses terceiros que ficam responsáveis pelo cumprimento da lei.
TICtank 