Recomendações 2/2025 do CEPD sobre a base jurídica para a exigência de contas obrigatórias no comércio eletrónico

1. Introdução

Nos sítios Web de comércio eletrónico, os utilizadores são frequentemente obrigados a criar uma conta em linha antes de poderem aceder a ofertas ou adquirir bens e serviços. O Comité Europeu para a Proteção de Dados (a seguir designado "CEPD") salienta que a criação destas contas em linha pode resultar na conservação de dados pessoais numa base de dados ativa durante mais tempo do que o estritamente necessário para concluir a compra e entregar a encomenda, aumentando assim o risco de violações da segurança que afectem os dados pessoais.

Além disso, os ambientes electrónicos que exigem o início de sessão facilitam a possibilidade de o responsável pelo tratamento de dados registar o histórico de navegação dos utilizadores e seguir os seus hábitos de navegação para melhorar o potencial de marketing direcionado. Este tratamento de dados pessoais sem uma base legítima constitui uma violação do Regulamento Geral sobre a Proteção de Dados (a seguir designado por "RGPD").

As Recomendações analisam as atividades de tratamento mais comuns que os responsáveis pelo tratamento de dados no setor do comércio eletrónico utilizam para exigir a criação de contas de utilizador em função do fundamento jurídico que consideram relevante em cada caso, nomeadamente: (i) a execução de um contrato no qual o titular dos dados é parte; (ii) o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento de dados esteja sujeito; ou (iii) a prossecução de um interesse legítimo do responsável pelo tratamento de dados ou de um terceiro. Por último, são propostas alternativas à criação obrigatória destas contas.

2. Execução de um contrato

Para que esta base jurídica seja relevante, é essencial que o tratamento seja necessário para a execução do contrato ou, por outras palavras, que sem este tratamento de dados pessoais seja impossível cumprir o contrato. Por conseguinte, no contexto da criação de uma conta de utilizador, as actividades de tratamento baseadas na execução de um contrato devem passar um teste de necessidade.

As actividades de tratamento que os responsáveis pelo tratamento de dados invocam mais frequentemente com base na execução de um contrato são as seguintes

• Venda única: de acordo com o EDPB, para uma venda única, os dados pessoais necessários podem ser recolhidos sem exigir a criação de uma conta, por exemplo, utilizando o modo de convidado.
• Assinaturas: uma assinatura é entendida como um acordo em que uma parte concorda em pagar uma quantia em dinheiro à outra parte em troca da receção regular de um produto ou serviço, o que implica que o responsável pelo tratamento de dados tem interesse em estabelecer uma relação contratual de longo prazo com o utilizador.

Neste caso, a criação de uma conta pode ser considerada relevante, desde que o responsável pelo tratamento de dados demonstre que a sua criação é necessária para aceder ao serviço que o utilizador subscreveu.

• Acesso a ofertas exclusivas: a criação de uma conta de utilizador será considerada necessária nos casos em que o acesso a ofertas ou serviços é reservado a uma comunidade selecionada de membros, com caraterísticas específicas e verificáveis, e em que a inscrição nesta comunidade exclusiva se torna o principal objetivo do contrato.
• Compra condicional: alguns sítios de comércio eletrónico apenas permitem a compra de bens ou serviços a utilizadores que tenham um estatuto específico, como o de estudante. Neste caso, a possibilidade de o utilizador efetuar a compra não depende da sua relação contratual com o responsável pelo tratamento de dados, mas sim do seu estatuto. De acordo com o teste de necessidade, o responsável pelo tratamento de dados deve demonstrar que não existem meios menos intrusivos do que a criação de uma conta para efetuar as verificações necessárias deste estatuto.
• Celebração de um contrato para receber recomendações personalizadas no contexto de uma compra: este cenário pressupõe que, para além do contrato principal, o utilizador subscreve outro contrato para receber recomendações personalizadas antes de concluir a compra. O responsável pelo tratamento de dados deve demonstrar que este contrato existe e que o utilizador o aceitou conscientemente.
• Serviços pós-venda e exercício de direitos: os serviços pós-venda (trocas e devoluções, reclamações) e a gestão dos direitos do consumidor ou dos direitos RGPD podem ser fornecidos sem que o utilizador tenha de criar uma conta, através de ligações específicas ou de comunicações por correio eletrónico. Por conseguinte, a base de execução contratual também não justifica a criação obrigatória de contas nestes casos.

3. Cumprimento de uma obrigação legal

Relativamente a este fundamento jurídico, os casos em que a lei exige expressamente a atribuição de contas de utilizador (serviços regulamentados) não são abrangidos pelo âmbito de aplicação das Recomendações. Para além destas excepções, os responsáveis pelo tratamento de dados devem determinar em que medida as obrigações legais que lhes são aplicáveis exigem a criação de contas de utilizador. O CEPD considera muito pouco provável que esse tratamento possa ser justificado com base neste fundamento jurídico, uma vez que existem normalmente alternativas menos intrusivas para cumprir as obrigações legais.

4. Interesse legítimo

Na ausência de uma definição do conceito de interesse legítimo no RGPD, os responsáveis pelo tratamento de dados que pretendam basear qualquer tratamento de dados relacionado com a criação de contas de utilizador no artigo 6.º, n.º 1, alínea f), devem cumprir três condições, tal como estabelecido nas Orientações 1/2024 do Comité Europeu para a Proteção de Dados:

• O responsável pelo tratamento de dados ou um terceiro deve ter um interesse legítimo e genuíno.
• Deve haver necessidade de tratar os dados pessoais para atingir os objectivos que contribuem para o interesse legítimo invocado. O tratamento só pode ser considerado necessário com base neste fundamento jurídico se não existirem outros meios para atingir o objetivo que sejam menos intrusivos para os direitos e liberdades das pessoas em causa (teste de necessidade).
• Os interesses ou direitos e liberdades fundamentais das pessoas em causa não devem prevalecer sobre os interesses legítimos do responsável pelo tratamento de dados ou de terceiros (critério do equilíbrio).

Nas actividades de tratamento analisadas ao abrigo desta base jurídica, que envolvem a facilitação da gestão de encomendas - através do acompanhamento de encomendas ou da gestão de alterações pós-encomenda -, a promoção da fidelização dos clientes e a facilitação de compras futuras, a EDPB considera improvável que os testes de necessidade e de equilíbrio exigidos sejam cumpridos; por conseguinte, a criação de contas de utilizador no contexto destas actividades de tratamento não deve basear-se no interesse legítimo do responsável pelo tratamento de dados.

No que diz respeito à prevenção da fraude, embora a sua deteção e prevenção possam constituir um interesse legítimo do responsável pelo tratamento de dados, o tratamento de dados efectuado para este fim deve também passar os testes de necessidade e proporcionalidade para se basear no artigo 6.1.f) do RGPD.

A fraude pode manifestar-se através da utilização de credenciais roubadas, encomendas fraudulentas, alterações suspeitas nos endereços de entrega ou roubo de identidade. Alguns responsáveis pelo tratamento de dados argumentam que exigir a criação de uma conta ajuda a detetar esse tipo de comportamento devido a informações como o histórico de comportamento, alterações nos dados da conta ou variações na pegada digital do dispositivo. No entanto, o CEPD considera improvável que a criação de uma conta seja necessária para evitar fraudes, e observa que:

• Muitos retalhistas não exigem que os clientes criem uma conta e continuam a aplicar medidas antifraude.
• Uma nova conta não fornece um historial útil para detetar comportamentos suspeitos.
• Factores como alterações nos dispositivos, endereços ou actualizações de software podem gerar falsos positivos.
• A exigência de criar uma conta pode até aumentar os riscos para os utilizadores, uma vez que requer o armazenamento de dados que, de outra forma, não seriam recolhidos.

Por conseguinte, é pouco provável que esta medida passe o teste da necessidade. Além disso, mesmo que fosse considerada necessária, o responsável pelo tratamento de dados teria de passar o teste de adequação, justificando o tipo de fraude que pretende evitar e os dados específicos de que realmente necessita para o fazer.

5. Conclusões

A posição do CEPD nestas Recomendações - cuja fase de consulta pública terminou a 12 de fevereiro - está claramente orientada para a ideia de que a criação de uma conta de utilizador raramente é necessária para atingir os objectivos prosseguidos pelos responsáveis pelo tratamento de dados. No entanto, estes exemplos não constituem uma lista exaustiva. Cada caso deve ser avaliado individualmente, aplicando rigorosamente os testes da necessidade e do equilíbrio para determinar se a exigência de criar uma conta de utilizador é verdadeiramente relevante e proporcional em cada caso específico.

Para além da criação obrigatória destas contas, oferecer aos utilizadores a opção de se registarem voluntariamente - ou seja, basear a criação da conta no consentimento do utilizador, de acordo com o artigo 6.1.a do RGPD - ou permitir compras em modo convidado são, de acordo com o EDPB, as alternativas mais adequadas e eficientes para recolher dados pessoais de forma lícita neste contexto.

Nota informativa do Departamento de Proteção de Dados da ECIJA Madrid.