Dispositivos vestíveis e a lei: quando o corpo se transforma em dados

A introdução gradual de dispositivos portáteis - como smartwatches, rastreadores de fitness e biossensores - transformou a relação entre a tecnologia e o indivíduo a um nível sem precedentes; o corpo humano já não é apenas objeto de direitos, mas também uma fonte constante de dados. O ritmo cardíaco, os padrões de sono, a geolocalização e os níveis de atividade física alimentam um fluxo contínuo de informação que, em termos jurídicos, está no cerne da privacidade.

Do ponto de vista da legislação europeia, este fenómeno insere-se claramente no âmbito do Regulamento Geral sobre a Proteção de Dados (RGPD), que reconhece a proteção dos dados pessoais como um direito fundamental e exige que o seu tratamento cumpra princípios como a minimização dos dados, a limitação da finalidade e a segurança desde a conceção. No entanto, os dispositivos portáteis põem estes princípios à prova, uma vez que a recolha de dados é maciça, persistente e, em muitos casos, difícil de compreender para o utilizador médio.

Um dos principais desafios jurídicos reside na natureza dos dados recolhidos. Os dispositivos vestíveis não registam apenas informações de identificação, mas também dados biométricos e de saúde, que são considerados categorias particularmente protegidas. O seu tratamento inadequado pode ter consequências graves, que vão desde a discriminação no local de trabalho ou no sector dos seguros até à criação de perfis comportamentais altamente intrusivos. A isto acresce a capacidade do sistema para fazer inferências: combinando dados fisiológicos com dados contextuais (localização, rotinas, horários, padrões de mobilidade), é possível reconstruir o estilo de vida e os hábitos de uma pessoa com uma precisão notável e, nalguns casos, até antecipar o seu comportamento futuro.

Neste contexto, o consentimento informado, pilar tradicional da proteção de dados, revela as suas limitações, uma vez que os utilizadores não compreendem plenamente a extensão do tratamento ou as potenciais reutilizações futuras, pelo que o consentimento tende a tornar-se uma mera formalidade e não uma garantia efectiva de autodeterminação informativa.

A estes desafios estruturais juntam-se riscos práticos que ilustram a verdadeira dimensão do problema. Um exemplo paradigmático pode ser encontrado no recente caso noticiado pela imprensa nacional e internacional, em que uma negligência na utilização de dispositivos durante um treino militar permitiu a fuga da localização exacta do porta-aviões francês Charles de Gaulle, uma vez que o utilizador tinha carregado os seus dados na aplicação desportiva Strava. O incidente mostra como a combinação da geolocalização e dos hábitos registados pelos dispositivos pessoais pode comprometer não só a privacidade individual, mas também interesses colectivos vitais, incluindo a segurança nacional.

Não se trata de uma anomalia isolada, mas sim da manifestação extrema de uma lógica inerente a estes sistemas, uma vez que todos os dados captados são potencialmente dados que são publicados, reutilizados ou correlacionados com outros dados para gerar conhecimentos adicionais sobre o indivíduo.

Do ponto de vista regulamentar, a União Europeia começou a reagir, alargando as obrigações de segurança aplicáveis aos dispositivos conectados, incluindo os dispositivos portáteis, exigindo que os fabricantes implementem medidas técnicas concebidas para impedir o acesso não autorizado e a manipulação de dados.

No entanto, o ritmo da inovação tecnológica ultrapassa frequentemente a capacidade regulamentar, criando zonas cinzentas onde a responsabilidade legal se dilui entre fabricantes, programadores de aplicações, fornecedores de serviços, plataformas e terceiros que acedem aos dados.

Na prática, o debate não se esgota na segurança, mas exige uma revisão das bases jurídicas do tratamento e da sua coerência com a lógica destes dispositivos. O RGPD exige a definição de finalidades específicas, mas muitos ecossistemas de dispositivos portáteis combinam funções relacionadas com o bem-estar, a personalização, a melhoria de produtos e a exploração comercial, aumentando o risco de mudança de finalidade e dificultando a antecipação das utilizações subsequentes por parte do titular dos dados.

Esta situação é agravada pelo princípio da minimização dos dados, segundo o qual, mesmo quando os dados podem ser tecnicamente captados, a questão legal é saber se são necessários para o serviço prestado e se existe uma alternativa menos intrusiva (por exemplo, processá-los localmente no dispositivo, limitar a granularidade temporal ou permitir a sua utilização sem geolocalização).

A obrigação de responsabilização pró-ativa também ocupa um lugar central. A recolha sistemática e contínua de dados biométricos ou de saúde, juntamente com a possibilidade de definição de perfis, coloca frequentemente estes processos no âmbito das avaliações de impacto da proteção de dados, especialmente quando estão envolvidos dados de grande escala, de monitorização e de categorias especiais.

Esta abordagem requer a identificação de riscos específicos (reidentificação, acesso não autorizado, inferências sensíveis, utilização secundária), a documentação de medidas de mitigação e a implementação de salvaguardas desde a conceção, como a encriptação, a pseudonimização e políticas de retenção rigorosas. Em ambientes complexos, é também essencial clarificar as funções e responsabilidades (controlador de dados, controladores conjuntos, processadores), bem como as cadeias de acesso aos dados que podem incluir aplicações de terceiros, fornecedores de análises ou serviços em nuvem.

Por último, os desafios são agravados quando os dados atravessam fronteiras ou são integrados em decisões com implicações significativas para os indivíduos. A transferência internacional de informações geradas por dispositivos portáteis, que é comum em infra-estruturas globais, exige a conformidade com os mecanismos do RGPD e salvaguardas eficazes, especialmente quando se trata de dados sensíveis. E, em contextos como o emprego, os seguros ou as finanças, a tentação de utilizar métricas de atividade, sono ou stress como indicadores de desempenho, risco ou fiabilidade levanta questões de proporcionalidade, transparência e não discriminação, bem como limitações associadas à tomada de decisões automatizadas e à definição de perfis.

Em todos estes casos, a promessa de controlo por parte do utilizador só é real se se traduzir em opções compreensíveis e funcionais, como definições por defeito prudentes, painéis de gestão claros, revogação simples e acesso efetivo a direitos como a eliminação ou a portabilidade.

Em última análise, os dispositivos portáteis colocam uma questão fundamental: pode a lei continuar a tratar os dados pessoais como uma categoria estática quando estes são gerados continuamente, de forma automática e profundamente integrados na vida quotidiana? A resposta exige que se repense não só os mecanismos de consentimento, mas também a governação dos dados e o seu ciclo de vida, reforçando a transparência, a responsabilidade proactiva e, acima de tudo, o controlo efetivo do indivíduo sobre a sua informação.

Porque, em última análise, o verdadeiro desafio não é tecnológico, mas jurídico: garantir que, na era da quantificação constante, o indivíduo continua a ser mais do que a simples soma dos seus dados.

Leia o artigo completo de Carlota Parra, associada sénior da ECIJA Madrid, aqui.