0
0
LGPD na prática: O que a multa aplicada pelo MJSP ao Facebook pode nos ensinar. Em 27 de dezembro de 2019, o Diretor do Departamento de Proteção e Defesa do Consumidor (DPDC) Fernando Menghin – vinculado à Secretaria Nacional do Consumidor (SENACON) e ao Ministério da Justiça e Segurança Pública (MJSP) – assinou a Nota Técnica nº 32/2019/CGCTSA/DPDC/SENACON/MJ (a Nota Técnica), referente à decisão obtida em processo administrativo em face de Facebook Inc. e Facebook Serviços Online do Brasil Ltda.
O Site Jota publicou um artigo muito bom que reproduzimos aqui na íntegra, preservando todos os créditos aos autores que nos trouxeram uma excelente reflexão.
O intuito deste artigo não é, de forma alguma, analisar o mérito da demanda ou da fundamentação trazida pela Nota Técnica, mas, sim, utilizar os pontos abaixo dispostos para apresentar alguns conceitos e medidas referentes à privacidade e à proteção de dados pessoais, que podem ser úteis às organizações, especialmente em tempos de adequação à Lei Geral de Proteção de Dados (LGPD), a qual vigorará a partir de agosto de 2020.
Focaremos em 3 (três) aspectos: (i) mapeamento de dados pessoais; (ii) privacy by design and by default; e (iii) consentimento.
1. Mapeamento de Dados Pessoais
O primeiro aspecto relevante da Nota Técnica diz respeito ao chamado mapeamento de dados pessoais (Mapeamento). O Mapeamento refere-se ao entendimento e à documentação quanto a como as operações de tratamento de dados pessoais são organizadas e realizadas por determinada organização. É com base no Mapeamento que a organização deverá definir quais medidas de adequação precisarão ser adotadas[i],[ii].
Na Nota Técnica aqui analisada, dois fatores nos chamaram a atenção, os quais possuem ligação com o Mapeamento: (a) a simples veiculação de uma notícia pela mídia desencadeou uma ação fiscalizatória; e (b) a quantidade e o nível de detalhamento dos pedidos são consideráveis.
Nesse contexto, fato é que qualquer organização que não possua o mínimo de estruturação interna, Mapeamento de seus processos e, especificamente para o caso, mapeamento de dados pessoais, não conseguiria responder, de forma minimamente satisfatória, questionamentos dessa natureza. Ademais, para fins de defesa e argumentação em caso de eventual processo administrativo ou judicial, fatores como os questionados pela Nota Técnica dependeriam da existência de um devido e detalhado Mapeamento por parte da organização, para que os questionamentos pudessem ser devidamente endereçados.
Evidentemente, uma organização do porte do Facebook deve possuir toda a estrutura necessária para tratar situações como esta; no entanto, como dito, não é o objetivo aqui avaliar o mérito do caso prático (i.e. se o Facebook respondeu ou não de maneira adequada aos questionamentos), mas, sim, utilizarmos o caso concreto como exemplo, a fim de tirarmos lições e ensinamentos quanto a como organizações precisam se atentar para fatores como a correta realização e documentação de um Mapeamento de dados pessoais.
Nesse sentido, sustentamos que um Mapeamento de dados pessoais completo e atualizado não se mostra exclusivamente como (a) um fator de prestação de contas a autoridades, no sentido de demonstrar como a organização estaria se adequando (ou se adequado) à legislação, ou (b) uma simples medida para demonstração de boas práticas, tampouco (c) a figura de mero instrumento para a determinação das bases legais de tratamento de dados.
Em verdade, o Mapeamento de dados pessoais se mostra como ferramenta de grande valia e utilidade às organizações, por ser uma verdadeira fonte para otimização de seus processos internos e, especialmente, no sentido de que permite que as organizações respondam e lidem com requerimentos de autoridades, titulares e parceiros de negócios da melhor forma possível, a partir do histórico e trabalho feito “dentro de casa”.
2. Privacy by Design and Default
Verifica-se que a Nota Técnica apresenta o fato de que o Facebook adotou uma forma de configuração na qual os dados eram compartilhados como padrão. Ou seja: somente em caso de interação do titular é que os dados deixariam de ser compartilhados com terceiros, mesmo para aqueles titulares que não tinham aderido a termos relacionados a aplicações de tais terceiros.
A pergunta ao titular de dados pessoais seria: você permite que compartilhemos seus dados com terceiros, ainda que não tenha dado consentimento diretamente a esses terceiros e ainda que não utilize suas aplicações? A resposta do titular, por padrão da configuração, seria mantida como “sim”; caso desejasse dizer “não”, precisaria tomar uma ação por conta própria. Não é necessário profundo conhecimento de Economia Comportamental (embora seja desejável [iii]) para concluirmos que o padrão da configuração dessa forma implica na maior chance de que o titular responda “sim”, por mera inércia.
Parece-nos, a esse respeito, que um conceito que poderia ser adotado por uma organização que tem por objetivo evitar a discussão acima seria a implementação do método chamado de Privacy by Design (PbD). O conceito de PbD ganhou notoriedade nos anos 1990, em documento de trabalho de Ann Cavoukian [iv], quando atuante como Comissioner for Information and Privacy de Ontario, Canadá. O trabalho estabelecia sete princípios pelos quais se implementaria o PbD [v].
Com relação ao caso prático aqui tratado, destacamos o segundo princípio de PbD, o qual recomenda que sua implementação seja realizada como um padrão na organização – Privacy by Design as the default setting – a fim de garantir que, ainda que nada seja feito por parte do titular, seus dados permaneceriam resguardados de forma adequada [vi]. É uma forma, inclusive, de garantir o que prevê o próprio primeiro princípio do PbD, que diz respeito ao caráter proativo e não reativo do PbD (proactive, not reactive).
3. Consentimento
Como terceiro ponto de destaque, uma abordagem relevante trazida pela Nota Técnica – e que merece a devida atenção das organizações e demais envolvidos com o tema – foi a interpretação variável de acordo com a forma de estruturação do modelo de coleta de consentimento. Para melhor entendimento, há necessidade de se destacar alguns trechos do texto. De início, destaca-se o seguinte:
“Isso colocado, ainda que haja inserção, nos termos de uso da plataforma, da possibilidade de compartilhamento instantâneo de dados de usuários discutida na presente nota, tal autorização de compartilhamento se deu em caráter genérico, uma vez que, ex ante, permaneciam em abertos dois pontos: a) que agentes concretamente teriam acesso a esses dados (notadamente os desenvolvedores de aplicativos na plataforma) e b) qual a finalidade do tratamento das informações fornecidas pelos consumidores na plataforma. Isso está em violação aos termos do art. 7º, inc. VIII, alín. “c”, supra transcrito. Afinal de contas, dizer que houve consentimento específico para uma finalidade indefinida ex ante é o mesmo que dizer que não houve consentimento para finalidade nenhuma, uma vez que não se encontra presente o atributo da especificidade”.
Ao analisarmos o trecho destacado, nota-se que há uma exigência quanto à forma necessária para a legitimidade do consentimento fornecido para o tratamento de dados pessoais dessa natureza. Essa forma precisaria ser garantida pelas organizações, o que implicaria na necessidade de se observar as questões de design adequado, como já mencionadas acima.
Continua o texto da Nota Técnica no seguinte sentido (destaque nosso):
“Isso implica dizer, ainda, que os consentimentos obtidos desta forma são ilícitos ou que tal modelo de negócios, per se, não deveria ser adotado? Obviamente não.”
Parece-nos que o entendimento da autoridade é de que, ainda que o consentimento seja coletado de maneira genérica e ampla, inclusive com finalidades indefinidas e de modo ex ante, o consentimento não se mostraria ilícito, enquanto o modelo de negócios, per se, permaneceria lícito.
Contudo, o parágrafo imediatamente seguinte traz ponto que merece grande destaque:
“Por outro lado, caso algum fornecedor queira enveredar por esta prática, em vez de por exemplo, exigir autorização pontual e episódica (ou algo que se traduzisse como um modelo de opt-in) para cada ato de tratamento de dados de usuários, terá de arcar com um nível de monitoramento, sobre os desenvolvedores de aplicação da plataforma, muito mais eficiente do que a exigida nesse modelo de opt-in. Afinal de contas, os riscos à privacidade dos usuários decorrentes deste modelo mais ‘agressivo’ de obtenção de dados de usuários são muito mais significativos do que na primeira hipótese. Tanto isso se confirma que, se forem considerados apenas os dados de brasileiros que tenham feito adesão ao aplicativo do Dr. Kogan, haveria apenas oitenta e quatro usuários envolvidos (ou um número quantitativo não muito superior a isso), enquanto que, no modelo de opt-out adotado pelas Representadas, esse número salta para mais de quatrocentos e quarenta e três mil.”
Fato é que a redação acima parece apontar para uma escolha estratégica ao agente de tratamento de dados, no sentido de que, se escolhido o consentimento nos moldes estabelecidos de forma ampla e genérica, a exigência quanto à gestão dos terceiros com os quais o agente pretende compartilhar os dados pessoais deverá se mostrar muito mais intensa e severa. Por outro lado, caso o agente opte por uma forma de coleta do consentimento específica e pontual, estará sujeito a uma análise menos rigorosa do que a anterior, quanto à responsabilidade relacionada aos terceiros com quem compartilhar os dados pessoais.
É interessante a abordagem fornecida pela Nota Técnica, pois, no limite, autorizaria as organizações a escolher entre variados modelos de negócio, adotando, assim, a estratégia que melhor se adequasse aos seus objetivos.
Considerações Finais
A Nota Técnica analisada nesse artigo representa um excelente caso prático de discussões relacionadas à privacidade e à proteção de dados pessoais, as quais certamente seguirão ocorrendo nos novos anos 20. Além das demandas já existentes, fundamentadas em legislações em vigor, o advento da LGPD trará ainda mais à pauta o tema e suas implicações.
Concluímos enfatizando que todas as organizações precisarão estar preparadas para lidar não somente com autoridades e titulares, mas também com questionamentos de seus próprios parceiros de negócios, colaboradores, clientes, consumidores etc. [vii], a fim de demonstrarem estar aptas a lidar com demandas como a ora exemplificada. As ferramentas fornecidas por esse artigo são alguns dos exemplos de instrumentos que podem auxiliar as organizações nesse sentido.
A discussão está quente no Brasil, mas apenas começando!
[i] Via de regra, entre outras informações que podem variar caso a caso, o Mapeamento implica entender: (i) quais dados pessoais são tratados pela organização; (ii) quais são as fontes desses dados; (iii) quem são os titulares desses dados; (iv) quais são os processos internos envolvidos com o tratamento desses dados; (v) quais as partes internas envolvidas no tratamento desses dados; (vi) quais as finalidades de tratamento; (vii) quais as operações de tratamento realizadas; (viii) quais são os eventuais dados qualificados como sensíveis envolvidos no tratamento; (ix) quais são os eventuais compartilhamentos de dados envolvidos nos tratamentos realizados; (x) quem são as partes receptoras dos dados compartilhados; (xi) quais as finalidades de compartilhamento desses dados; (xii) quais são as formas de armazenamento desses dados; (xiii) por quais períodos de retenção esses dados são armazenados; e (xiv) quais as hipóteses e formas de descarte desses dados.
[ii] Para maiores informações sobre Mapeamento de Dados: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/documentation/how-do-we-document-our-processing-activities/.
Ver também: DENSMORE, Russell. Privacy Program Management: Tools for Managing Privacy Within Your Organization. IAPP. 2013.
[iii] Para quem se interesse por Economia Comportamental, recomendamos as seguintes obras, de 2 ganhadores do Nobel de Economia (um psicólogo e um economista, respectivamente): (i) KAHNEMAN, Daniel. Rápido e Devagar: duas formas de pensar. Rio de Janeiro: Objetiva, 2012; e (ii) THALER, Richard. Misbehaving: a construção da economia comportamental. Rio de Janeiro: Intrínseca, 2019.
[iv]Disponível em: https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf.
[v] Para maiores informações sobre Privacy by Design, recomenda-se: CAVOUKIAN, Ann. Privacy Engineering: Proactively Embedding Privacy, by Design. Information and Privacy Commissioner. Ontario, Canada. 2014.
[vi] Ver também: QVSIT, Karen Lawrence; JOHNSSÉN, Filip. Hands-on Guide to GDPR Compliance. IAPP. 2018.
[vii] Como já foi sustentado em outros artigos no Site Jota : www.jota.info/opiniao-e-analise/artigos/o-novo-contencioso-de-dados-pessoais-sua-organizacao-esta-preparada-13102019; e www.jota.info/opiniao-e-analise/artigos/protecao-de-dados-pessoais-na-pratica-24122019.
AUTORES: RODRIGO DUFLOTH – Graduado pela USP. Mestre em Direito Comercial pela USP. Especialista em Direito & Economia pelo Instituto de Economia da UNICAMP. Diretor da Associação Brasileira de Direito & Administração (ABD&A). Membro da Associação Brasileira de Direito & Economia (ABDE) e da International Association of Privacy Professionals (IAPP). Sócio de CMT - Carvalho, Machado e Timm Advogados. RENATO CAOVILLA – Graduado pela PUC-RS. LLM pela Universidade da California, Berkeley. MBA em Gestão da Tecnologia da Informação pela FGV-SP. Sócio de CMT - Carvalho, Machado e Timm Advogados. MATHEUS NORONHA STURARI – Advogado Associado do Carvalho, Machado e Timm Advogados. MBA em Digital Data Marketing pela FIAP.
FONTE: MINUTO DA SEGURANÇA