Direito e Informação na Sociedade em Rede: atas Direito e Informação na Sociedade em Rede: atas | Page 107

consentimento. A dúvida é adensada quando na legislação específica de protecção de dados no sector das comunicações electrónicas – falamos da Lei nº 41/2004, de 18 de Agosto, alterada pela Lei nº 46/2012, de 29 de Agosto8 – é expressamente exigido o consentimento prévio (opt in) a respeito do uso de cookies9. O sistema de opt in é, pela sua própria natureza, mais protector da privacidade do titular dos dados (Edwards, 2009), mas a verdade é que o opt out é actualmente utilizado por vários responsáveis pelo tratamento de dados, principalmente no meio digital, e quando se trata, inclusive, de dados pessoais não fornecidos pelo próprio titular, mas por terceiros10. Atendendo a que um dos requisitos que o consentimento tem de cumprir, para ser válido, se trata, precisamente, de uma manifestação de vontade, entendemos que este não é compatível, em regra, com o conceito de opt out. O próprio Grupo de Trabalho do Artigo 29º para a Protecção dos Dados (2011) parece ser dessa opinião, ao expor que o consentimento baseado na inacção do individuo ou do seu “silêncio” não poderá normalmente considerar-se um consentimento válido e eficaz, para o propósito da Directiva 95/46/EC. Por outro lado, os recentes desenvolvimentos trazidos pela discussão sobre o Regulamento Geral de Protecção de Dados, nomeadamente a consagração legal do conceito de privacy by design11 ajudam a que, pelo menos após a sua entrada em vigor, se torne claro que o consentimento, para ser válido, terá de ser por via de opt in. Uma última questão que o regime vigente levanta, é a respeito da duração do consentimento. Não sendo permitido um consentimento genérico, mas apenas específico, limitado a determinadas finalidades, parece claro que terá de ser limitado no tempo, enquanto tais finalidades existirem. Na verdade, a LPDP obriga a que os dados sejam apenas conservados no estrito tempo necessário para a prossecução dessas finalidades, de acordo com a alínea e) do nº 1 do artigo 5º. De todo o modo, como alerta Lilian Edwards (2009), na Internet a retenção por períodos indefinidos parece ser a regra, existindo fortes incentivos económicos para a sua conservação, em virtude da possibilidade de serem explorados financeiramente. 1.3. Direito Comparado: a figura de notice and choice Nos Estados Unidos da América, ao contrário da União Europeia, não existe um quadro normativo geral aplicável à protecção de dados. Outrossim, a protecção de dados é regulada de acordo com as especificidades de cada sector de actividade em Que transpôs, para o ordenamento jurídico interno, a Directiva 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de Julho, de acordo com a redacção que lhe foi dada pela Directiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de Novembro. 9 Artigo 5º, nº 1. 10 A discussão da legitimidade de terceiro para a divulgação de dados pessoais do titular é algo que transcende o âmbito do nosso estudo, não obstante o interesse do tema. Alexandre Sousa Pinheiro (2015) aborda esta questão, com particular enfoque no contexto das redes sociais (p. 813 ss.). 11 Vide secção 3.2. infra. 8 95