Cumprimento das regras de proteção de dados no jogo ilícito: será possível?

É inegável que a atividade do jogo online está a crescer em Portugal. De acordo com o Relatório “Registo da atividade de jogo online em Portugal” (1.º trimestre 2021) do Serviço de Regulação e Inspeção de Jogos, o volume de apostas, as receitas brutas e o número de apostadores mantiveram a sua tendência de crescimento no início de 2021. A título de exemplo, no referido trimestre, a receita bruta das entidades exploradoras de apostas desportivas online foi de 69,5 milhões de euros (mais que duplicando quando comparada com o mesmo período de 2020).

Com a crescente afirmação da indústria do jogo online vem também uma expansão no número de utilizadores, o que leva a que seja recolhido um volume cada vez maior de dados pessoais, sendo preciso salvaguardar os direitos dos utilizadores.

De facto, a proteção de dados pessoais não é uma questão menor, é antes um direito fundamental, consagrado tanto na Carta dos Direitos Fundamentais da União Europeia, como na Constituição da República Portuguesa. Como tal, as entidades exploradoras de apostas desportivas à cota online (ou casas de apostas online) quando recolhem dados dos seus utilizadores, devem assegurar que cumprem a lei. Tal significa que, entre outros requisitos, devem desde logo tratar os dados de acordo com um dos fundamentos jurídicos previstos no Regulamento Geral sobre a Proteção de Dados (RGPD): a) consentimento; b) execução de um contrato ou diligências pré-contratuais; c) cumprimento de obrigações legais; ou d) prossecução de interesses legítimos.

A prática do mercado é que no momento do registo no site, sejam recolhidos dados de identificação e de contacto, na maioria das vezes, utilizando-se como fundamentos jurídicos a execução do contrato e o cumprimento de obrigações legais (outros dados sobre a navegação e preferências do utilizador podem ser recolhidos durante a utilização da plataforma, com base noutros fundamentos).

Acontece que nos termos do Regime Jurídico dos Jogos e Apostas Online, a exploração de jogos e apostas online está dependente da atribuição de uma licença por parte da Comissão de Jogos do Turismo de Portugal, I.P. Contudo, se uma casa de apostas online não tiver licença e estiver a fornecer este tipo de serviços em Portugal, será possível basear o tratamento de dados pessoais em algum dos fundamentos acima apresentados?

É que para invocar o fundamento da execução do contrato ou diligências pré-contratuais a pedido do utilizador, é preciso garantir que no direito de cada Estado-Membro os contratos são válidos, respeitando os limites legais. Em Portugal, a regra é a de que os contratos de jogo e aposta não são válidos, salvo se, no caso das apostas online, a exploração estiver licenciada a um operador.

Esta é a opinião do Comité Europeu para a Proteção de Dados, que nos diz que o contrato deve respeitar os requisitos do direito dos contratos (no caso português, do Código Civil). Apenas desta forma, o tratamento de dados com base na execução do contrato é lícito. Assim, no caso de um contrato entre uma casa de apostas online não licenciada e um utilizador português, a execução do mesmo não poderá servir como fundamento jurídico, pois a invalidade do contrato “contamina” o tratamento dos dados pessoais.

Quanto ao fundamento do cumprimento das obrigações legais, este também só é aplicável às entidades devidamente licenciadas (uma vez que não se pode cumprir uma obrigação “ilegal”).

No consentimento e na prossecução dos interesses legítimos (por serem contrários à lei) encontram-se obstáculos similares. Adicionalmente, no que respeita ao consentimento deve ser ainda possível ao utilizador (o “titular dos dados”) recusar ou retirar o consentimento sem ser prejudicado. Para que o consentimento seja livre, as casas de apostas online não licenciadas não podem obrigar o titular dos dados a concordar com a utilização dos dados pessoais, nem ameaçar negar os serviços caso este não dê o seu consentimento.

A verdade é que o RGPD parece conviver mal com este tipo de situações, uma vez que o princípio da licitude (que implica que o tratamento de dados cumpra a lei) oferecerá sempre resistência a tratamentos de dados no seio de atividades que são elas próprias ilícitas.

Em suma, no caso de o tratamento não respeitar as regras constantes do RGPD, este será considerado ilícito, não sendo assim permitido o tratamento de dados pessoais. Caso uma entidade proceda ao tratamento de dados em desconformidade com a lei, essa atuação poderá ser punida com uma coima até 20 000 000 de euros ou 4% do volume de negócios anual, a nível mundial (conforme o que for mais elevado).