Ação judicial: uma nova dinâmica para ações coletivas?

Legal Watch nº 53 – Novembro de 2022

Ação judicial: uma nova dinâmica para ações coletivas? Recursos legais relativos a questões de proteção de dados pessoais ainda são raros na França e na Europa.

Embora a imprensa noticie regularmente sanções contra gigantes da tecnologia, essas sanções são principalmente obra das autoridades de supervisão.

Em particular, os danos são muitas vezes difíceis de avaliar em questões de violação de privacidade, dados os custos de ações legais.

A situação poderá mudar em breve, com a transposição a nível nacional da Diretiva (UE) 2020/1828 relativa a ações representativas.

Os Estados-membros têm até 25 de dezembro deste ano para cumprir esta diretiva, que visa proteger os interesses coletivos dos consumidores.

Ações coletivas já existem na França e seu escopo tem se expandido gradualmente. Elas existem desde a lei de 17 de março de 2014, relativa a questões do consumidor.

Foi gradualmente estendido a diferentes áreas, incluindo dados pessoais, pela lei de 18 de novembro de 2016, que criou um novo artigo 43ter na Lei de Proteção de Dados.

O texto, no entanto, limita o direito de ajuizar ação coletiva às associações de defesa do consumidor aprovadas, às associações com mais de cinco anos de existência cujo objetivo legal seja a proteção da privacidade e às organizações sindicais que representam empregados ou servidores públicos.

Este quadro legal não permitia a indemnização por danos às pessoas em causa.

Isso agora é possível, desde a lei de 20 de junho de 2018 que adapta a Lei de Proteção de Dados ao GDPR.

A ação coletiva agora permite a indenização por danos materiais e morais perante os tribunais.

O GDPR também permite que tal reparação seja obtida obrigando órgãos, organizações ou associações a registrar uma reclamação em seu nome junto à autoridade supervisora.

A França não é, portanto, a pior situação hoje em termos de ações representativas, como demonstram, por exemplo, as ações de organizações como a La Quadrature du Net, muito ativa no campo da proteção de dados.

Outros países, no entanto, vão mais longe.

A ação coletiva na França é baseada em um “opt-in” e envolve apenas pessoas que aderem explicitamente ao procedimento, diferentemente da "ação coletiva", que a priori inclui todas as pessoas que correspondem ao perfil dos lesados, dando-lhes a possibilidade de desistir do procedimento. Nesse caso, falamos de "opt-out".

Embora esses dois tipos de procedimentos ainda sejam relativamente raros na Europa, ações coletivas no sentido de um procedimento de “exclusão” são ainda mais raras.

A Holanda permite ambos os tipos de recurso.

Nos últimos dois anos, várias fundações foram criadas lá com o objetivo de mover ações coletivas.

Essas fundações, por exemplo, atacaram o comportamento anticompetitivo da Apple e do Google, as práticas de coleta de dados do TikTok, Salesforce e Oracle, e da Airbus e Airbnb.

O fato de a organização representativa poder reivindicar indenização por danos a uma classe inteira de reclamantes, a menos que eles "optem por não participar", é uma mudança significativa nas ações coletivas de proteção de dados, onde as indenizações individuais são geralmente baixas.

A natureza economicamente viável dessas ações fez da Holanda a principal jurisdição europeia para ações coletivas., e há um aumento no financiamento de terceiros desse tipo de organização.

Hoje, o Twitter está sendo processado na Holanda por rastrear seus usuários.

O mesmo vale para outros aplicativos populares, incluindo Shazam, Vinted, mas também aplicativos mais sensíveis, como Grindr e aplicativos de monitoramento do ciclo menstrual.

A Diretiva Europeia permite que os países da UE escolham o modelo opt-in ou opt-out, exceto para a ação liminar que - logicamente - prevê um opt-out.

Vale ressaltar que o texto dá às organizações a possibilidade de intentar ações transfronteiriças e lhes dá a escolha entre diversas jurisdições. : a ação pode ser proposta no Estado-Membro onde a empresa ré tem a sua sede social, mas também em qualquer Estado-Membro onde tenha uma sucursal e no Estado de domicílio da pessoa lesada.

A França terá, portanto, que se preparar para lidar com apelos pan-europeus.

Terá também de adaptar o seu quadro jurídico à princípio do “perdedor paga” no que diz respeito aos honorários advocatícios e às custas processuais, e prever uma procedimento de descoberta, como existe nos países de Common Law, e que permite, mediante decisão fundamentada do juiz, a produção de documentos úteis à lide (como a identidade dos lesados).

Embora os próximos meses esclareçam as condições de aplicação da diretiva, já parece certo que ela terá um impacto no número de ações representativas na Europa.

Seria bom se preparar para isso e monitorar de perto sua transposição na França.

E também

França:

A CNIL multou a DISCORD INC. em 800.000 euros por não cumprir diversas obrigações do RGPD, especialmente no que diz respeito aos períodos de retenção de dados e à segurança dos dados pessoais.

A CNIL também destaca uma falta de proteção de dados por padrão: os usuários não eram informados de que suas conversas ainda poderiam ser ouvidas quando achavam que tinham saído de uma sala de bate-papo por voz.

Por fim, a empresa foi criticada por não ter realizado uma análise de impacto antes de implementar os tratamentos.

A Comissão também publicou um plano de ação em 24 de novembro com o objetivo de apoiar a conformidade de aplicativos móveis e proteger a privacidade dos usuários.

Pretende aprofundar a sua expertise, apoiar os profissionais e informar os cidadãos, por exemplo, na forma de guias e recomendações.

Por fim, realizará verificações específicas e, se necessário, tomará medidas repressivas contra organizações que não respeitarem suas obrigações.

Após um grande número de reclamações, a CNIL esclareceu as condições sob as quais as organizações de seguros de saúde suplementares podem coletar dados de saúde.

Observa que os textos aplicáveis não são suficientemente precisos e recomenda a adoção de uma lei.

1º de janeiro de 2023 marcará o fim dos recibos em papel.

Essa medida "antidesperdício" levanta questões sobre a proteção da privacidade porque os varejistas poderão identificar toda a sua base de clientes, incluindo aqueles que não têm um cartão fidelidade.

A CNIL enfatizou em seu white paper que um endereço de e-mail coletado com a finalidade de enviar um recibo ou pagamento eletrônico não pode ser usado para fins de prospecção comercial, sendo esses dois propósitos bastante distintos.

Será importante obter o consentimento do interessado ou, no caso de prospecção de produtos ou serviços semelhantes aos já prestados pela empresa, informá-lo previamente sobre as finalidades e a possibilidade de oposição no momento da coleta.

O Tribunal de Cassação considerou em sua decisão de 7 de novembro que o código de desbloqueio da tela inicial de um telefone pode constituir uma "chave de descriptografia".

Se houver probabilidade de que tenha sido usado na preparação ou prática de um crime ou delito, seu portador deverá fornecer aos investigadores o código de desbloqueio da tela inicial.

Se ele se recusar a comunicar esse código, ele comete o crime de "recusa de entrega de acordo secreto de descriptografia", punível com multa e prisão.

Europa:

Em 16 de novembro de 2022, o Regulamento de Serviços Digitais (DSA) entrou em vigor.

Este regulamento fornece novas responsabilidades para plataformas digitais, a fim de limitar a disseminação de conteúdos e produtos ilegais, aumentar a proteção de menores e dar aos usuários mais opções e melhores informações.

O Conselho Europeu para a Proteção de Dados (EDPB) publicou suas recomendações sobre o procedimento de aprovação e os elementos a serem incluídos nas Regras Corporativas Vinculativas (BCRs) para controladores de dados.

O documento está aberto para consulta pública até 10 de janeiro de 2023.

A Autoridade Europeia para a Proteção de Dados (EDPS) publicou seu parecer sobre a proposta de regulamento sobre segurança cibernética.

O texto visa definir requisitos de segurança cibernética em toda a UE para uma ampla gama de produtos de hardware e software, como navegadores, sistemas operacionais, firewalls, sistemas de gerenciamento de rede, medidores inteligentes ou roteadores.

O AEPD recomenda a integração dos princípios de proteção de dados neste texto desde o início e por padrão.

Ele também enfatizou que um certificado europeu de segurança cibernética não poderia substituir a certificação GDPR.

A AEPD também comentou a proposta de regulamento que estabelece um quadro comum para os serviços de comunicação social: No seu parecer de 14 de novembro, destaca a inadequação das medidas previstas para proteger os jornalistas, as suas fontes e os prestadores de serviços de comunicação social.

Recomenda esclarecer que qualquer jornalista se beneficiaria dessa proteção e pede uma maior restrição das exceções que permitem a interceptação de comunicações por spyware ou outras formas de vigilância.

Após dois anos de negociações com a Microsoft, o comitê conjunto da Autoridade Federal Alemã de Proteção de Dados e 16 reguladores estaduais emitiu uma declaração que provavelmente terá implicações de longo alcance: os controladores de dados não podem atualmente usar legalmente o MS365 sob o GDPR.

A autoridade holandesa de proteção de dados emitiu um alerta ao governo em 14 de novembro, dissuadindo-o de usar serviços de nuvem americanos. Ela pede que o governo use alternativas europeias.

A DPA húngara ordenou que o operador de um site de previsão do tempo pare de transferir dados para os Estados Unidos via Google.

A DPA concluiu que o operador do site usou o Google Analytics sem implementar salvaguardas adequadas para transferências de dados para os Estados Unidos.

Em 17 de novembro, o Conselho Irlandês para as Liberdades Civis destacou em uma carta à Comissão Europeia que a Meta estava violando o GDPR e não poderia cumprir o Regulamento de Mercados Digitais (DMA).

O ICCL cita documentos judiciais recentemente revelados na Califórnia que dizem que a Meta não respondeu a uma solicitação de informações sobre o que 149 de seus sistemas de processamento de dados fazem, indicando que a operação desses sistemas não era compreensível para humanos.

A Comissão Irlandesa de Proteção de Dados emitiu sua decisão em 25 de novembro em sua investigação sobre a coleta de dados do Facebook, que diz respeito à disponibilidade online de dados pessoais de mais de 530 milhões de usuários.

Os princípios em jogo diziam respeito à proteção de dados desde a concepção e por padrão, conforme previsto no GDPR.

A decisão impõe multas administrativas totalizando € 265 milhões e medidas corretivas.

A Meta enfrenta outros três processos de violação do GDPR na Europa.

Elas dizem respeito às condições gerais do Facebook, mas também do Instagram e do WhatsApp.

As conclusões do CEPD sobre este último assunto deverão ser publicadas em 5 de dezembro e são aguardadas com grande expectativa. 

Elas dizem respeito à base legal para a coleta de dados de usuários de mídias sociais.

A Meta mudou essa base legal do consentimento para a necessidade de processamento sob um contrato, com repercussões legais que, se aprovadas pelas autoridades de proteção de dados, iriam muito além do contexto deste caso.

O Information Commissioner's Office publicou uma atualização de suas diretrizes sobre transferências internacionais em 17 de novembro.

Esta atualização inclui uma nova seção sobre Avaliações de Risco de Transferência (TRA) e uma ferramenta para controladores.

O Reino Unido concluiu um acordo sobre a transferência de dados pessoais com a Coreia, que entrará em vigor em 19 de dezembro.

A empresa afirma que seu acordo é "mais amplo" que o da UE, permitindo que empresas transfiram dados relacionados a informações de crédito.

Internacional:

O Google concordou em pagar um recorde de US$ 391,5 milhões em um acordo sobre violações de privacidade em 40 estados dos EUA.

O caso diz respeito às práticas de geolocalização da empresa: segundo os procuradores-gerais, os usuários foram enganados sobre as condições para desativar sua geolocalização nas configurações de suas contas.

As autoridades europeias de proteção de dados alertaram que os dois aplicativos Ehteraz e Hayya impostos pelas autoridades do Catar para entrada no país geram violações massivas de privacidade, permitindo amplo acesso aos dados do usuário, incluindo dados de localização e dados de chamadas.

A CNIL recomendou que pessoas viajando para o Catar usem um telefone em branco ou redefinido.

O Global Privacy Control, criado em outubro de 2020, agora está vendo seu uso crescer graças à sua adoção por grandes editoras e plataformas de gerenciamento de consentimento online.

O GPC permite que os usuários optem por não vender informações pessoais no nível do navegador com um clique, para todos ou alguns sites.

Ao contrário dos manipuladores de cancelamento, que geralmente carregam conteúdo e começam a coletar dados antes que o usuário tenha a chance de cancelar, o GPC respeita a escolha do usuário antes do site carregar.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.