As discussões sobre a matéria de proteção de dados no Brasil e no mundo seguem cada vez mais intensas e os debates só crescem. Os episódios de incidentes de segurança da informação são cada vez mais frequentes e os casos ganham cada vez mais notoriedade. Nesse cenário, sobretudo ainda em período de vacatio legis da Lei Geral de Proteção de Dados, é natural que os conceitos nela postos sejam cada vez mais destrinchados diante dos diferentes casos práticos que surgem diariamente.
Nessa perspectiva, ao final do mês de julho, a Corte de Justiça da União Europeia se manifestou1 sobre interessante caso envolvendo as empresas Fashion ID GmbH e Facebook enquanto provedores de aplicação de internet. No caso, a Fashion ID, empresa que comercializa vestuário na internet2, colocou o botão like ou curtir do Facebook em seu site, permitindo que os usuários nele clicassem caso gostassem de determinado produto disponível.
Antes de tudo, interessante esclarecer que a discussão na Corte se pautou em conceitos da Diretiva 95/46 e não na GDPR, justamente porque no momento dos fatos, quela norma era vigente3.
Na decisão, a Corte relembra o objetivo perseguido pela Diretiva 95/46 Europeia de assegurar o mais alto nível de tutela das liberdades e dos direitos fundamentais das pessoas naturais, especialmente em relação à privacidade no tratamento dos respectivos dados pessoais. O mesmo documento ainda conferiu conceito mais amplo de “responsável por tratamento de dados”, sendo esse de maneira geral quem determina as finalidades e os meios de tratamento dos dados.
Com base justamente nesse conceito amplo, entendeu que a figura do “responsável por tratamento” não necessariamente é representada por um único agente, mas pode ser compreendida, no caso concreto, pela união de vários agentes que, em conjunto, participam do tratamento, ficando todos sujeitos às normas relativas à proteção de dados.
Nesse ponto, aliás, observa-se que a Lei Geral de Proteção de Dados Brasileira replica a ideia, ao definir como gênero os agentes de tratamento, tendo como espécies o controlador e o operador (art. 5º, IX). Quer dizer, qualquer pessoa que trate dados será responsável por tal operação, na medida, obviamente e por critérios de interpretação, de sua participação no tratamento. Inclusive, a própria Corte reconhece essa separação de responsabilização, ao sinalizar que: “responsabilidade conjunta de vários intervenientes pelo mesmo tratamento, por força desta disposição, não pressupõe que cada um deles tenha acesso aos dados pessoais em causa. Assim sendo, na medida em que o objetivo do artigo 2.°, alínea d), da Diretiva 95/46 é assegurar, através de uma definição ampla do conceito de ‘responsável’, uma proteção eficaz e completa das pessoas em causa, a existência de responsabilidade conjunta não se traduz necessariamente em responsabilidade equivalente, para o mesmo tratamento de dados pessoais, dos diferentes intervenientes. Pelo contrário, os referidos intervenientes podem estar envolvidos em diferentes fases desse tratamento e em diferentes graus, pelo que o nível de responsabilidade de cada um deve ser avaliado tendo em conta todas as circunstâncias pertinentes do caso concreto.”.
Dito isso e da avaliação do caso posto, reconheceu a Corte que ao disponibilizar o botão like ou curtir do Facebook em seu site, a empresa Fashion ID teria oferecido ao Facebook a possibilidade de obter os dados pessoais dos visitantes de seu site.
O mais curioso é que isso ocorreria independentemente do usuário clicar no referido botão ou ter ou não conta na mídia social, os dados seriam repassados apenas com o acesso à seção no sítio da Fashion ID.
Entendeu a Corte, então, que essa operação, de fato, configura o tratamento de dados pessoais e que, embora a empresa não pudesse determinar o uso e destinação dos dados após repassados ao Facebook, a Fashion ID “influencia, por outro lado, de modo determinante a recolha e a transmissão dos dados pessoais dos visitantes desse sítio em proveito do fornecedor do referido módulo, no caso concreto a Facebook Ireland, que, caso o referido módulo não tivesse sido inserido, não teriam existido”.
Segundo a Corte, ainda, tal mecanismo de aproveitamento de dados teria sido utilizado pela Fashion ID, justamente porque “permite‑lhe otimizar a publicidade dos seus produtos, tornando‑os mais visíveis na rede social Facebook quando um visitante do seu sítio Internet clica no referido botão. Foi para poder beneficiar desta vantagem comercial que consiste nessa publicidade acrescida para os seus produtos que a Fashion ID, ao inserir tal botão no seu sítio Internet, parece ter consentido, pelo menos implicitamente, na recolha e na comunicação por transmissão dos dados pessoais dos visitantes do seu sítio”.
Assim, considerou a Corte que a Fashion ID também se caracterizava como responsável pelo tratamento de dados pessoais, ao passo que a empresa e o Facebook “determinam, conjuntamente, as finalidades das operações de recolha e de comunicação por transmissão dos dados pessoais em causa”.
E mesmo diante do fato da empresa não ter acesso aos dados pessoais recolhidos e transmitidos, por atuar em conjunto com o Facebook na determinação das operações, a Fashion ID continua sendo responsável pelo tratamento para fins legais. E mais, se a coleta é feita em seu sítio eletrônico, cumpre à empresa a coleta do consentimento por parte do usuário.
Para transpor a questão à aplicação e conceitos da LGPD parece ser importante extrair as ratio decidendi destacadas no posicionamento da Corte, ou seja, as razões ou motivos determinantes que levaram ao órgão europeu a decidir como decidiu, são elas: (i) adota-se um conceito amplo de responsável pelo tratamento de dados pessoais, justamente para a busca de uma proteção mais eficaz e completa das pessoas naturais em relação à privacidade dos seus dados pessoais; (ii) o provedor de aplicação realiza a coleta de dados pessoais pelo acesso ao seu sítio eletrônico e permite que esses sejam transferidos à mídia social; (iii) mesmo que esse provedor de aplicação não determine a finalidade do tratamento dos dados depois da transferência desses, ele participa diretamente das operações ao passo que graças a ele as informações são coletadas; (iv) sua responsabilidade está limitada às operações que efetivamente realiza; e (v) cumpre a ele obter o consentimento dos usuários.
Aplicando tais motivos à legislação brasileira, reitera-se que a LGPD também adota conceitos amplos em referência ao tratamento de dados pessoais, sendo esse “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (art. 5º, X).
Além disso, também adota o conceito amplo de responsável pelo tratamento, como mencionado, os agentes de tratamento. O controlador como sendo a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” e o operador a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.
Como já se apontou em outra oportunidade, “é sobre o controlador que a LGPD impõe o seu maior peso jurídico, pois é ele o responsável pela tomada de decisões sobre o tratamento de dados pessoais” e “o operador, por sua vez, é quem realiza o tratamento de dados pessoas em nome do controlador. Portanto, este não poderá tratar dados pessoais senão em virtude das determinações do controlador.” 4.
Paralelamente, a LGPD institui os princípios que devem ser respeitados por qualquer agente de tratamento, destacando-se o princípio da finalidade (realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular – art. 6º, I), do livre acesso (garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento e da integralidade dos dados – art. IV) e da transparência (garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento).
São normas programáticas que, além de dispor sobre fins a serem alcançados, impõem verdadeiros deveres legais ao controlador e ao operador do tratamento de dados pessoais. Inclusive, nessa perspectiva de deveres criados, acaba por explicitar como a operação com os dados pessoais deve se dar pelo agente de tratamento, ajudando a entender as situações em que esse será efetivamente responsável.
Posto isso, considerando (i) os fundamentos que motivaram a decisão da Corte europeia e que (ii) eles corroboram com os conceitos adotados pela LGPD, parece ser possível concluir que, no Brasil, caso alguma empresa aloque em seu site o botão like ou curtir do Facebook há a chance plausível de ser considerada como controladora de dados pessoais, agregando-lhe as responsabilidades inerentes de sua atividade. Obviamente, isso será mais concretamente verificável se a mesma dinâmica técnica do caso Fashion ID for aplicada ao caso, com a coleta e transferência dos dados do usuário para a mídia social pelo mero acesso à aplicação por exemplo.
Em sendo considerada como controladora de dados pessoais, a LGPD traz consequências diretas e importantes para empresa. Não só passa a empresa a ter que cumprir a deveres legais, como fica sujeitas às sanções respectivas (p. ex. multa administrativa de até 50 milhões de reais por infração – art. 52, II).
Assim, como controladora de dados pessoais, deve a empresa (i) adequar seu modelo de negócio e respeitar os princípios que orientam o tratamento (finalidade, adequação, necessidade, livre acesso, etc.); (ii) se adequar às bases legais de tratamento de dados pessoais (p. ex. estabelecendo as adequações práticas para garantir o consentimento do titular de dados de forma legal); (iii) entender se trata dados pessoais sensíveis ou não, ou ainda de crianças e adolescentes, o que altera sensivelmente o ajuste às previsões legais; (iv) assegurar os direitos dos titulares de dados pessoais (art. 18), como o acesso aos dados, a portabilidade e a eliminação dos dados nos casos legais; (v) manter registro das operações de tratamento de dados pessoais que são realizadas (art. 37); (vi) indicar o encarregado pelo tratamento de dados pessoais ou DPO (art. 41); (vii) adotar medidas de segurança, técnicas e administrativas para proteção dos dados pessoais (art. 41) e melhores práticas de governança (art. 50); entre outras.
Percebe-se, assim, quantas consequências são possíveis pelo fato da empresa colocar um botão de curtir ou like do Facebook na plataforma!
Assim, dado esse risco concreto de responsabilização e tendo em vista que a grande maioria dos sites tem em sua aplicação o acesso ao botão curtir, justamente para potencializar a visibilidade da plataforma na grande rede, é imprescindível que as empresas também tenham essa dinâmica no radar.
A corrida contra ao tempo na adequação ganha mais um elemento de atenção!
———————————————–
1 Disponível em: http://curia.europa.eu/juris/document/document.jsf;jsessionid=245E21C65EBE136A70FB52A9E05EFBE4?text=&docid=216555&pageIndex=0&doclang=PT&mode=req&dir=&occ=first&part=1&cid=4822209Acesso em: 11.08.2019.
2 “O art. 5, VII, do Marco Civil da Internet, define aplicações de internet como ‘o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet’, sendo, portanto, o provedor de aplicações qualquer entidade que proporcione ao usuário da grande rede mundial de computadores algo funcional, seja qual for a finalidade. Portanto, qualquer serviço de internet, excetuando os provedores backbones e os provedores de conexão ou de acesso, seja pago, gratuito ou filantrópico, como redes sociais, portais de conteúdo, contas de e-mail, mensagens instantâneas e demais aplicativos, podem ser considerados como de aplicações de internet, utilizados em escala mundial por bilhões de usuários no mundo inteiro.” (VAINZOF, Rony. Responsabilidade por danos decorrentes de conteúdo gerado por terceiros In DEL MASSO, Fabiano Dolenc. ABRUSIO, Juliana. FLORÊNCIO FILHO, Marco Aurélio [coord.]. Marco civil da internet: Lei 12.965/2014, São Paulo : Revista dos Tribunais, 2014, p. 188-189).
3 Confira trecho da decisão em que isso é esclarecido: “A Diretiva 95/46 foi revogada e substituída, com efeitos a partir de 25 de maio de 2018, pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 2016, L 119, p. 1). Todavia, atendendo à data dos factos do litígio no processo principal, esta diretiva é aplicável a este processo.”.
4 Comentários de Rony Vainzof ao art. 5º da Lei Geral de Proteção de Dados em MALDONADO, Viviane Nóbrega. BLUM, Renato Opice [coords.]. LGPD: Lei Geral de Proteção de Dados Comentada, São Paulo : Thompson Reuters, 2019, p. 104-105.
Maurício Antonio Tamer – Advogado do Opice Blum, Bruno, Abrusio e Vainzof Advogados, Doutorando em Direito pela Universidade Presbiteriana Mackenzie, Professor em cursos de graduação e pós-graduação (http://lattes.cnpq.br/1292641448156094)
Rony Vainzof – Sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados, Mestre em Soluções Alternativas de Conflitos Empresariais pela Escola Paulista de Direito e Professor de Direito Digital em diversas universidades.
Caio César Carvalho Lima – Sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados, Mestre em Direito Processual Civil pela PUC-SP e Professor de Proteção de Dados e Direito Digital em diversas universidades.