Diretriz 2019/2 – Sobre os tratamentos de dados pessoais no contexto das redes inteligentes de distribuição de energia elétrica

Ago 20, 2021 | Decisões CNPD

WARNING: unbalanced footnote start tag short code found.

If this warning is irrelevant, please disable the syntax validation feature in the dashboard under General settings > Footnote start and end short codes > Check for balanced shortcodes.

Unbalanced start tag short code found before:

“Cf. n.º 1 do artigo 9.º da Diretiva 2012/27/UE, com uma intensa frequência (de 15 em 15 minutos – cf. artigo 7.º da Portaria n.º 231/2013, de 22 de julho, e a alínea f) do n.º 1 do respetivo Anexo I), com o objetivo declarado de promover a produção, a distribuição e o fornecimento raci…”

Consulte aqui o documento original

 

I. Introdução

As redes inteligentes de distribuição de energia elétrica são hoje uma realidade em Portugal, assim como no resto da Europa. Previstas e impostas por legislação europeia – vejam-se as Diretivas 2009/72/CE, de 14 de agosto de 2009, e 2012/27/UE, de 25 de outubro de 2012, a qual foi transposta no nosso ordenamento jurídico pelo Decreto-Lei n.º 68-A/2015, de 30 de abril –, elas implicam a transmissão, por via remota, de informação sobre a distribuição e o consumo de energia elétrica, por recurso a contadores inteligentes, correspondendo a um «sistema eletrónico que mede o consumo de energia, fornecendo mais informações do que um contador convencional, e que está preparado para transmitir e receber dados através de comunicações eletrónicas».[ref]Cf. definição prevista na alínea 28) do artigo 2.º da Diretiva 2012/27/UE[/ref], de 25 de outubro de
2012.[/ref] Com efeito, são recolhidas e transmitidas informações relativas ao «exato consumo real de energia elétrica» em relação a cada consumidor final e respetivo «período real de utilização»[ref]Cf. n.º 1 do artigo 9.º da Diretiva 2012/27/UE, com uma intensa frequência (de 15 em 15 minutos – cf. artigo 7.º da Portaria n.º 231/2013, de 22 de julho, e a alínea f) do n.º 1 do respetivo Anexo I), com o objetivo declarado de promover a produção, a distribuição e o fornecimento racional e eficiente de energia elétrica.

Conclui-se, deste modo, que as redes inteligentes de distribuição de energia elétrica implicam o tratamento de dados pessoais sempre que os consumidores finais sejam pessoas singulares, porquanto envolvem a recolha, conservação, comunicação e análise de informação relativa a indivíduos identificados ou identificáveis – cf. alínea 1) e 2) do artigo 4.º do Regulamento (UE) 2016/679, de 27 de abril de 2016 (Regulamento Geral sobre a Proteção de Dados, doravante RGPD).

Se, como se disse, esses dados correspondem sobretudo ao exato consumo de energia elétrica, a verdade é que o detalhe e frequência da comunicação do consumo relativo a (tendencialmente) todos os consumidores finais no território português (e europeu) permite deduzir ainda um conjunto alargado de informação relativa aos mesmos (v.g., quando se encontram em casa, se se encontra apenas uma pessoa ou mais, que eletrodomésticos estão a ser utilizados) e a criação e análise de perfis sobre todos eles com base nas atividades que desenvolvem em casa, com impacto significativo sobre a sua vida privada.

Na verdade, estas redes implicam a recolha massiva de dados pessoais detalhados, os quais são, por imposição da legislação europeia e nacional, conservados por consideráveis períodos de tempo (os dados de consumo devem ser conservados por dois e três anos, nos termos do n.º 8 do artigo 17.º do Decreto-Lei n.º 68-A/2015, de 30 de abril, que transpõe a Diretiva 2012/27/UE, de 25 de outubro de 2012). Tal representa um elevado risco para os dados pessoais dos clientes finais, que o Decreto-Lei n.º 68-A/2015, de 30 de abril, não previne, apesar de a alínea a) do n.º 2 do artigo 9.º da Diretiva já citada impor aos Estados-Membros a obrigação de assegurar a privacidade dos consumidores finais.

O referido impacto sobre a vida privada dos titulares dos dados não se reflete apenas no marketing adaptado ao perfil detalhado do cliente ou no risco de discriminação (nomeadamente, no preço a cobrar pelo serviço de distribuição e fornecimento de energia), como também no risco de utilização indevida da informação, de negócio com a venda da informação e ainda de pretensão da sua utilização para os fins de investigação criminal[ref]Neste sentido, v. pareceres do Grupo de Trabalho do Art. 29 (que congregava os comissários de
proteção de dados dos Estados-membros da União) n.º 12/2011, de 4.04.2011, e n.º 4/2013, de
22.04.2013 (WP205), acessíveis em https://ec.europa.eu/justice/article-29/documentation/opinionrecommendation/files/2011/wp183_en.pdf e em https://ec.europa.eu/justice/article29/documentation/opinion-recommendation/files/2013/wp205_en.pdf[/ref].

Acresce que o conjunto massivo de informação sobre hábitos ou características (inclusive, do estado de saúde) das pessoas que a georreferenciação e a Internet das Coisas permite recolher potencia o risco de combinação ou relacionamento dos diferentes tipos de dados pessoais, tornando imperiosa a adoção de medidas mitigadoras de tais impactos É tendo em conta estes riscos, e na sequência do Regulamento da ERSE n.º 610/2019, de 2 de agosto, relativo aos Serviços das Redes Inteligentes de Distribuição de Energia Elétrica, – o qual acautela já alguns aspetos do regime de proteção de dados –, que a CNPD entende ser oportuno emitir um conjunto de orientações para todos aqueles que intervêm na rede inteligente de distribuição de energia elétrica no território nacional, com o propósito de garantir a minimização do impacto dos tratamentos de dados pessoais sobre os direitos dos titulares desses dados, em especial sobre os direitos fundamentais à reserva da vida privada e à proteção dos dados pessoais.

Assim, enquanto autoridade de controlo nacional com a atribuição definida na alínea d) do n.º 1 do artigo 57.º do RGPD (em conjugação com o disposto no artigo 3.º da Lei n.º 58/2019, de 8 de agosto), a CNPD vem definir um conjunto de orientações sobre os tratamentos de dados pessoais no contexto das redes inteligentes de energia elétrica.

A presente diretriz tem por destinatários os operadores de rede de distribuição em baixa tensão, os comercializadores em baixa tensão e demais entidades que acedam aos dados pessoais no contexto das redes inteligentes de distribuição de energia elétrica.

1. Verificação da licitude do tratamento de dados pessoais

Nos termos do n.º 2 do artigo 5.º do RGPD, recai sobre o responsável pelo tratamento de dados pessoais o dever de verificar previamente e demonstrar que o tratamento que realiza respeita o disposto no RGPD. Importa, desde já, elencar as entidades que realizam tratamentos de dados pessoais e que, nessa medida, se apresentam como responsáveis pelos respetivos tratamentos (cf. alínea 7) do artigo 4.º do RGPD). Aqui assumem particular destaque os operadores de rede de distribuição em baixa tensão e os comercializadores. Mas também assumem essa mesma qualidade os operadores logísticos de mudança de comercializador, bem como outras entidades que estejam legitimadas a aceder aos dados de consumo por vontade do próprio titular dos dados (entidades terceiras, na terminologia empregue no

Regulamento da ERSE n.º 610/2019, de 2 de agosto). Enquanto responsáveis, a primeira obrigação que recai sobre os diferentes sujeitos intervenientes na rede inteligente de energia elétrica é a de verificar a licitude do tratamento e, portanto, se cumprem uma das condições previstas no artigo 6.º do RGPD.

Em relação a alguns dos sujeitos intervenientes, como sucede com os comercializadores em baixa tensão, o tratamento dos dados pessoais de consumo detalhado é necessário à celebração e execução de um contrato de prestação de serviço de fornecimento de energia com o titular dos dados visado (cf. alínea b) do n.º 1 do artigo 6.º do RGPD), ou decorre de obrigação legal, desenvolvida no plano regulamentar, como sucede com os operadores de rede de distribuição em baixa tensão (cf. alínea c) do n.º 1 do artigo 6.º do RGPD).

Também o tratamento de dados realizado pelo operador logístico de mudança de comercializador encontrará a sua legitimidade no âmbito do contrato que com ele o titular celebre.

Todavia, as demais entidades, inclusive o comercializador de instalação (quando não coincida, portanto, com o comercializador do serviço de fornecimento) quanto aos dados relativos aos diagramas de carga (i.e., a informação relativa ao consumo de 15 em 15 minutos), não poderão aceder aos dados pessoais de consumo do utilizador sem o consentimento deste ou sem um contrato celebrado com o utilizador para cuja execução seja necessário o acesso aos dados (cf. alíneas a) e b) do n.º 1 do artigo 6.º do RGPD).

A este propósito, importa aqui destacar que o consentimento, para ser juridicamente relevante enquanto condição legitimadora do acesso aos dados pessoais pelas entidades terceiras, tem de preencher os atributos previstos na alínea 11) do artigo 4.º do RGPD, i.e., ser informado, livre, específico e explícito. Pelo que o primeiro passo que estas entidades têm de dar, em ordem a obterem o consentimento, é prestar informação clara e rigorosa sobre este tratamento de dados, nos termos dos artigos 13.º e 14.º do RGPD.

Para efeito de verificação da licitude do tratamento de dados, os responsáveis têm ainda que garantir o cumprimento dos princípios definidos no n.º 1 do artigo 5.º do RGPD, tendo presente que a finalidade para a recolha destes dados de consumo detalhado está, nos casos do tratamento pelos operadores de rede de distribuição em baixa tensão e pelos comercializadores, balizada na lei e no Regulamento da ERSE n.º 610/2019. Na verdade, os tratamentos de dados pessoais da responsabilidade dos operadores de rede de distribuição e dos comercializadores têm por finalidades o cumprimento das suas obrigações de leitura, verificação e faturação (cf. n.º 4 do artigo 11.º do mesmo Regulamento da ERSE). Os comercializadores só poderão tratar os dados para outras finalidades, se preencherem as condições previstas nas alíneas a) ou c) do n.º 1 do artigo 6.º do RGPD, uma vez que os critérios definidos no n.º 4 desse mesmo artigo não se verificam, prima facie, nesta situação.

No que diz respeito às entidades terceiras, o acesso terá a finalidade ou as finalidades que constarem de contrato celebrado com o titular dos dados, ou da declaração de consentimento, recordando-se aqui a importância da sua definição em termos claros para que esse consentimento possa ter-se por específico, como exige a alínea 11) do artigo 4.º do RGPD.

Especial destaque merece ainda a garantia dos princípios da proporcionalidade do tratamento e da minimização dos dados consagrados na alínea c) do n.º 1 do artigo 5.º do RGPD.

Como em seguida se explica, a verificação de se o tratamento de dados pessoais, no contexto das redes inteligentes de energia elétrica, respeita estes princípios implicará a realização de um estudo de impacto sobre a proteção dos dados pessoais, nos termos definidos no artigo 35.º do RGPD.

2. Minimização do Impacto sobre a proteção dos dados pessoais

Na verdade, estando em causa tratamentos de dados pessoais no contexto de tecnologia nova que implica a recolha e análise de dados de natureza altamente pessoal, designadamente relativos à vida privada, é necessária uma avaliação de impacto sobre a proteção de dados (cf. n.º 1 do artigo 35.º do RGPD, bem como o n.º 9 do Regulamento da CNPD n.º 1/2018, publicado com o n.º 798/2018 no Diário da República 2.ª Série, de 30 de novembro[ref]Acessível em https://www.cnpd.pt/bin/decisoes/regulamentos/regulamento_1_2018.pdf[/ref]).

Recorda-se que o estudo de impacto tem por objetivo detetar os riscos para os direitos dos titulares e encontrar as medidas necessárias à eliminação ou minimização de cada um dos riscos identificados. Deve, por isso, começar por se identificar as operações de tratamento para cada finalidade visada, bem como as categorias de dados objeto do tratamento, para, em seguida, se identificar os riscos que tais operações são suscetíveis de representar para os direitos dos titulares dos dados, avaliando-os ou ordenando-os segundo critérios de gravidade e probabilidade de ocorrência[ref]Para uma exemplificação dos riscos equacionáveis neste tipo de tratamentos, veja-se, para além
do que se afirma na introdução da presente Diretriz, as páginas 11 e 12 do Parecer do Grupo de
Trabalho do Art. 29 n.º 4/2013, já citado.[/ref] Esta análise de risco deve ser fundamentada à luz dos princípios da proporcionalidade e da minimização dos dados pessoais.

Só então devem ser definidas medidas destinadas a prevenir ou mitigar os riscos identificados.
Assinala-se a este propósito que, como medida mitigadora do impacto na vida privada dos titulares dos dados provocado pela recolha regular e massiva de dados detalhados de consumo e pela sua obrigação de conservação por longos períodos de tempo, ficou, por recomendação da CNPD, definido na alínea b) do n.º 5 do Regulamento da ERSE n.º 610/2019 que a identificação do consumo (na plataforma eletrónica de disponibilização dos dados ou em outro meio eletrónico) não seja feita pelo nome do cliente final, quando seja uma pessoa singular, mas antes pelo Código do Ponto de Entrega.

Considerando que a rede inteligente de energia elétrica implica a realização de operações de tratamento de dados pessoais por diferentes responsáveis, seria vantajoso que o estudo de impacto fosse realizado em conjunto pelos vários intervenientes ou, pelo menos, pelos principais intervenientes (operador de rede de distribuição e comercializadores). O estudo deve ainda ser acompanhado das medidas de proteção de dados desde a conceção e por defeito (cf. artigo 25.º do RGPD).

3. Direitos dos titulares dos dados, em especial o direito de informação e o direito de acesso

Em relação aos direitos dos titulares dos dados, consagrados nos artigos 12.º e seguintes do RGPD, importa, desde logo, que cada responsável forneça toda a informação sobre o tratamento dos dados aos titulares, nos termos dos artigos 13.º e 14.º do RGPD.

Destaca-se aqui a explicitação da finalidade ou finalidades do tratamento, as categorias de dados especificamente tratadas e os prazos de conservação. Em especial, o titular deve ser informado sobre o procedimento de recolha remota dos dados e do subsequente circuito destes. Deve ainda ser especificamente explicada a finalidade e o procedimento de criação de perfis, de modo que o titular dos dados possa compreender as consequências visadas, ou simplesmente eventuais, do seu tratamento.

No que diz respeito ao direito de acesso pelo titular aos dados de consumo, sendo este um dos objetivos invocados pela legislação que prevê este sistema inteligente de distribuição de energia, ele tem sempre de ser garantido. Por essa razão, no cumprimento da obrigação que recai sobre o operador de rede de distribuição, definida no artigo 9.º, n.ºs 3 e 4, do Regulamento da ERSE n.º 610/2019, deve ter em conta o disposto no artigo 15.º do RGPD. Recorde-se que cada um dos restantes responsáveis pelo tratamento tem também de garantir ao respetivo titular o direito de acesso aos dados pessoais, nos termos da mesma norma.

A terminar, reitera-se que recai sobre cada responsável pelo tratamento de dados pessoais a obrigação de demonstrar que o tratamento respeita o disposto no RGPD.

Aprovada na reunião de 3 de setembro de 2019