11/12/2023
Decisão do Tribunal de Justiça da UE aponta para os cuidados a ter pelas entidades contratantes
A inovação e a adopção de novas tecnologias são catalisadores do desenvolvimento empresarial. Em economias dominadas por pequenas e médias empresas, como é o caso da nacional, o recurso a terceiros com vista ao desenvolvimento de aplicações informáticas torna-se, face à inviabilidade de recurso a meios próprios, inevitável. Se não acompanhado das devidas cautelas, o recurso a terceiros com vista ao desenvolvimento de aplicações informáticas pode constituir um enorme risco empresarial.
O recente Acórdão do Tribunal de Justiça da EU (TJ) de 5 de Dezembro de 2023 (processo C-683/21) aponta para os riscos (permitindo simultaneamente retirar linhas de actuação), no que respeita ao tratamento de dados pessoais no contexto da contratação de terceiros para desenvolvimento de aplicações informáticas.
No caso que esteve na origem do pedido de decisão prejudicial do TJ, uma entidade “encomendou” a terceiro o desenvolvimento de uma aplicação informática móvel (“app”), na qual eram disponibilizados pelos utilizadores dados pessoais que incluíam, entre outros, nomes, coordenadas geográficas, número de telefone e morada. O terceiro desenvolveu a app e chegou a disponibilizá-la na Google Play Store e na Apple App Store, tendo sido utilizada por 3802 pessoas no período de cerca de um mês e meio. A entidade que encomendou a app acabou por não a adquirir à entidade que a desenvolveu. No âmbito de uma investigação levada a cabo pela autoridade de controlo, foram aplicadas coimas quer à entidade que encomendou a app quer à que a desenvolveu (e acabou por disponibilizar ao público). A entidade contratante sustentou que apenas a empresa que desenvolveu a app procedeu ao tratamento de dados pessoais, pelo que apenas é esta a responsável pelo tratamento dos dados.
Chamado a pronunciar-se, o TJ decidiu que ao abrigo do artigo 4.º, n.º 7 do Regulamento Geral Sobre a Protecção de Dados (RGPD), pode ser considerado responsável pelo tratamento uma entidade que encarregou uma empresa de desenvolver uma app e que, nesse contexto, participou na determinação das finalidades e dos meios do tratamento dos dados pessoais realizado através desta app, ainda que não tenha, ela própria, procedido a operações de tratamento de tais dados, não tenha dado explicitamente o seu acordo para a realização das operações concretas desse tratamento ou para a disponibilização ao público dessa mesma aplicação e não a tenha adquirido. O TJ admite, porém, que tal entendimento não seria aplicável no caso de a entidade ter manifestado expressamente a sua oposição ao tratamento dos dados.
Acrescentou ainda o TJ que, salvo nos casos em que os dados tenham sido tornados anónimos, a utilização de dados pessoais para efeitos de testes informáticos de uma aplicação constitui um tratamento de dados para efeitos do artigo 4.º do RGPD.
Esta decisão do TJ é amplamente reveladora das consequências que poderão advir para uma empresa que não adopte os cuidados necessários na celebração de contratos para desenvolvimento de aplicações informáticas com terceiros e que impliquem o tratamento de dados pessoais.