Cláusulas de processamento de dados pessoais inseridas nos contratos de adesão: a falta de autonomia e liberdade na expressão da vontade e vias de proteção (efetiva) do titular de dados
Personal data processing clauses inserted in adhesion contracts: the lack of autonomy and freedom in the expression of will and ways of (effective) protection of the data holder
Autor:
Inês Camarinha Lopes. Assistente convidada na Faculdade de Direito da Universidade do Porto (FDUP); Investigadora colaboradora do Centro de Investigação Jurídico-Económicas (CIJE, FDUP); Doutoranda em Direito na Faculdade de Direito da Universidade do Porto. ilopes@direito.up.pt
Resumen:
A contratação em massa hodierna revela-se inseparável das cláusulas de processamento de dados pessoais, as quais, inelutavelmente, integram os clausulados destes contratos de adesão padronizados, celebrados com recurso a cláusulas contratuais gerais. Assim, à posição, por natureza frágil, de aderente destes contratos, soma-se a de titular de dados pessoais objeto de processamento(s), cuja esfera jurídica pessoal, em particular, a sua vida privada e familiar, e por vezes até intimidade, pode conhecer intromissões com a aceitação das referidas cláusulas. Sendo o consentimento do titular um dos fundamentos de licitude para o tratamento de dados pessoais, nos termos do artigo 6.º/1/a) do Regulamento Geral de Proteção de Dados (doravante, RGPD ou “Regulamento europeu”), o responsável pelo tratamento serve-se da manifestação da vontade do aderente contratual para legitimar o processamento de dados. Todavia, considerando que a manifestação de vontade terá de ser livre sob pena de invalidade, discute-se no presente artigo a validade do consentimento prestado no âmbito do clausulado de um contrato de adesão. Deste modo, ponderam-se duas vias de proteção do titular de dados e parte mais débil nestes contratos, quer através da cláusula geral da boa-fé, cuja contrariedade determina a nulidade das cláusulas nos termos do artigo 15.º do DL 446/85, quer através da força expansiva e (quase) normativa das cláusulas contratuais tipo adotadas pela Comissão, cuja vinculação “interpartes” não é, aparentemente, suficiente, na linha da recente jurisprudência do TJUE no âmbito das transferências de dados pessoais a países terceiros, entendimento que acentuou a extraterritorialidade das garantias conferidas pelo RGPD, que se impõe a países não pertencentes à União.
Palabras clave:
proteção do titular de dados; consentimento; vontade livre; contratos de adesão; cláusulas de processamento de dados pessoais
Abstract:
The mass contracting proves to be inseparable from the processing of personal data clauses, which are part of contracts of adhesion that use general contractual clauses. The position of adhering to these contracts, which is fragile by its nature, joins the data subjects position, whose personal sphere, in particular his private and family life and sometimes even his intimacy, can suffer intrusions with the acceptance of the referred clauses. The data subjects consent is one of the legal grounds for the processing of personal data, pursuant to the article 6/1/a) of the General Data Protection Regulation (hereinafter, RGPD or “European Regulation”). The controller uses the adherent's will expressed through the contract to legitimize data processing. However, considering that consent must be free, this article discusses the validity of the consent given through the clauses of an adhesion contract. Thus, considering the vulnerable position of the data subject and adherent of the contract, this article expose two ways of protecting him/her, either through the general clause of good faith, pursuant to article 15 of DL 446/85, either through the expansive and (almost) normative force of the standard contractual clauses adopted by the Commission, whose binding between parties is apparently not sufficient, in line with recent European Court of Justice jurisprudence in the scope of transfers of personal data to third countries, which accentuated the extraterritoriality of the guarantees granted by the RGPD, that are imposed in countries even outside the European Union.
Key Words:
data subjects protection; consent; free will; contracts of adhesion; personal data protection clauses