A par da proteção conferida ao tratamento de dados pessoais pelo Regulamento 2016/679, de 27 de abril de 2016 (“RGPD”) aplicável desde 25 de maio de 2018, chegou agora a vez do tratamento dos dados não pessoais ser regulado pelo Direito da União Europeia (“UE”).
O Parlamento Europeu adotou um novo regulamento – Regulamento 2018/1807, de 14 de novembro de 2018 –, que visa promover a livre circulação dos dados eletrónicos não pessoais na UE, quando: (i) o tratamento tenha por destinatários residentes ou utilizadores estabelecidos na UE, independentemente de o prestador de serviços estar estabelecido na UE, ou (ii) o tratamento seja realizado, para necessidades próprias, por pessoas singulares ou coletivas com residência ou estabelecimento na EU (“Regulamento”).
Mas, afinal, o que são “dados não pessoais”? Por contraposição a “dados pessoais”, são informações que não se reportam diretamente a uma pessoa singular (indivíduo) identificada ou identificável. Exemplos de dados não pessoais incluem conjuntos de dados agregados e anonimizados utilizados para a análise de grandes volumes de dados, no atual contexto de forte expansão da internet das coisas, da inteligência artificial, dos sistemas autónomos e do 5G.
Por forma a permitir a livre circulação dos dados não pessoais na UE, os Estados-Membros ficam obrigados a remover todos os requisitos de localização de dados eletrónicos não pessoais estabelecidos na sua legislação, até 30 de maio de 2021. Caso, no entanto, essa remoção possa ser prejudicial à segurança pública, o Estado-membro deverá consultar a Comissão Europeia, que, após análise, poderá decidir pela manutenção (ou não) dos requisitos de localização.
A regra será, no entanto, a livre circulação de dados eletrónicos não pessoais na UE, incluindo a sua portabilidade a utilizadores profissionais, o que apenas deverá ser limitado ou proibido por motivos de segurança pública justificados.
Atendendo a que podem coexistir dados não pessoais e dados pessoais, não havendo a obrigação de armazenar em separado os diferentes tipos de dados, o Regulamento é aplicável em conjunto com o RGPD. Assim, se, por exemplo, os progressos tecnológicos permitirem transformar dados anonimizados em dados pessoais, esses dados devem ser tratados como dados pessoais, ao abrigo do RGPD.
Com isto podem surgir novas questões jurídicas (e éticas), em particular, quando sejam tomadas decisões sem interação humana, entre outras, no que diz respeito ao acesso e reutilização dos dados e imputação de responsabilidades ao longo da cadeia de valor de tratamento de dados.
No futuro, a Comissão Europeia ficará encarregue de elaborar códigos de conduta com as melhores práticas e requisitos de informação por forma a garantir uma total transparência e interoperabilidade naquela a que já se chama a “economia dos dados e das tecnologias emergentes”.