Dados pessoais: o uso de um direito fundamental pode ser comercializado?
Legal Watch nº 54 – Dezembro de 2022
Dados pessoais: o uso de um direito fundamental pode ser comercializado? Comentar os procedimentos contra a Meta, empresa controladora do Facebook, WhatsApp e Instagram, pode se tornar cansativo, pois atrai a ira das autoridades de proteção de dados.
A empresa foi, de fato, a mais severamente sancionada entre as empresas GAFAM desde que o GDPR entrou em vigor e acaba de ser multada em mais € 390 milhões.
No entanto, as decisões recentes do Conselho Europeu de Proteção de Dados (EDPB), que foram implementadas pela autoridade irlandesa de proteção de dados no início deste ano, merecem nossa atenção por mais de um motivo.
Por um lado, porque constituem o epílogo de uma guerra de palavras entre a autoridade irlandesa de proteção de dados e as suas congéneres europeias e, por outro, porque clarificam o enquadramento jurídico da definição de perfis publicitários num contexto que vai além do caso específico da Meta.
As decisões adotadas pelo CEPD em 6 de dezembro foram adotadas no âmbito do procedimento europeu de resolução de litígios (artigo 65.º do RGPD). entre autoridades nacionais de proteção de dados.
Em seguida, foi publicada, em 4 de janeiro, a posição final da autoridade irlandesa, que está alinhada com as conclusões do CEPD.
Como líder nesta questão, a Irlanda se viu em desacordo com seus pares em questões relativas a diversas operações de processamento de dados realizadas pelo Facebook, WhatsApp e Instagram.
As decisões adotadas pelo CEPD resolvem a disputa em três pontos principais: a base legal para o processamento (Art. 6 GDPR), os princípios de proteção de dados (Art. 5 GDPR) e o uso de medidas corretivas, incluindo multas.
O ponto de particular interesse para nós é a questão da base legal para o processamento da empresa, com a Meta considerando – com o apoio da autoridade irlandesa – que os dados do usuário poderiam ser coletados para fins de publicidade comportamental (ou melhoria de serviço no caso do WhatsApp), usando a base legal de execução do contrato.
Vale ressaltar que, até a entrada em vigor do GDPR, a Meta legitimava a publicidade comportamental obtendo o consentimento do usuário.
A empresa alterou suas condições gerais em 25 de maio de 2018 para incluir essa finalidade de segmentação de publicidade, que agora é considerada parte integrante do serviço que oferece e limita de fato o controle dos usuários sobre o uso de seus dados.
A empresa argumentou que não precisava obter consentimento porque essa segmentação online faz parte do serviço que ela fornece aos usuários.
Recorde-se que o consentimento, tal como a necessidade de dados no contexto da execução de um contrato, estão entre as seis bases legais do artigo 6.º(1) do RGPD que permitem justificar a licitude de um tratamento.
Essas bases legais são intercambiáveis?
A doutrina europeia sobre esta matéria é clara, e acaba de ser confirmada: a necessidade contratual deve ser interpretada de forma restritiva e os dados recolhidos devem ser estritamente necessários ao serviço prestado, como é o caso, por exemplo, da recolha de dados de cartões de crédito para pagamento online.
No seu parecer de 8 de outubro de 2019 sobre serviços online, o CEPD já considerou que a publicidade comportamental não é um elemento necessário dos serviços online.
Um varejista on-line que deseja, por exemplo, criar perfis de gostos e escolhas de estilo de vida de um usuário com base em visitas ao seu site não pode confiar na execução de um contrato de compra para criar esses perfis.
Mesmo que a criação de perfis seja especificamente mencionada no contrato, esse fato por si só não a torna “necessária” para a execução do contrato.
Se o varejista on-line desejar realizar essa criação de perfil, ele deverá se basear em outra base legal.
Esta posição foi confirmada pelo CEPD nas suas diretrizes de 13 de abril de 2021 sobre a segmentação de utilizadores de redes sociais.
No entanto, nota-se que um número crescente de serviços online se apresentam como gratuitos, quando na realidade são pagos pelos dados dos utilizadores, que constituem a contrapartida do serviço online.
Podemos então “pagar com os nossos dados”?
Esta questão da contratualização de dados não é nova, mas surge com certa acuidade hoje em dia.
Mesmo que os anúncios sirvam para dar suporte ao serviço, o processamento para fins de marketing direto é, em princípio, considerado diferente da finalidade objetiva do contrato entre o titular dos dados e o prestador de serviços, o que implica que o usuário deve permanecer livre para consentir ou não com a segmentação de publicidade.
Em 2017, a Autoridade Europeia para a Proteção de Dados alertou, em um parecer sobre contratos para a prestação de serviços digitais, "contra qualquer nova disposição que introduzisse a ideia de que as pessoas podem pagar com seus dados da mesma forma que podem pagar com dinheiro".
De fato, direitos fundamentais, como o direito à proteção de dados pessoais, não podem ser reduzidos aos interesses exclusivos dos consumidores, e os dados pessoais não podem ser considerados uma simples mercadoria.
Alguns considerarão que pagar com seus dados não significa abrir mão de seus direitos fundamentais.
Devemos também destacar a posição ambígua da CNIL sobre o tema dos "paywalls", que condicionam o acesso a um site ao pagamento para usuários que recusem o uso de cookies, com a Comissão afirmando em seu site que examina essas questões caso a caso.
Deveríamos, portanto, esperar que a Meta cobrasse dos usuários que recusassem a criação de perfis de publicidade?
Como corretamente aponta a ONG NOYB, que apresentou a queixa contra a Meta, a disputa resolvida pelo CEPD diz respeito apenas a essa definição de perfil e não tem impacto em outras formas de publicidade, como a publicidade contextual, baseada no conteúdo de uma página.
A posição do EDPB certamente terá impacto nas finanças da Meta, mas não descarta totalmente a publicidade.
Pelo contrário, deve restaurar a concorrência saudável entre a Meta e outros provedores de serviços on-line, bem como entre empresas sujeitas à lei irlandesa e aquelas estabelecidas em outros lugares da Europa.
E também
França:
Em 19 de dezembro de 2022, a CNIL sancionou a empresa MICROSOFT IRLANDA OPERAÇÕES LIMITADA no valor de 60 milhões de euros pelo uso ilegal de cookies no seu motor de busca “bing.com”.
A empresa é acusada de não ter implementado um mecanismo que permita às pessoas recusar cookies com a mesma facilidade com que os aceitam.
A CNIL justifica esse valor pela abrangência do tratamento, pelo número de pessoas envolvidas e pelos lucros que a empresa obtém com as receitas publicitárias geradas indiretamente a partir dos dados coletados pelos cookies.
Em 30 de novembro de 2022, a CNIL aplicou uma multa de 300.000 euros à empresa FREE.
As inspeções revelaram diversas violações, particularmente nos direitos das pessoas envolvidas (direito de acesso e direito de apagamento) e na segurança dos dados: a Comissão destacou a fraca solidez das senhas, o armazenamento e a transmissão de senhas em texto simples e a recirculação de cerca de 4.100 caixas "Freebox" mal recondicionadas.
Rejeitou ainda o argumento de que as fontes de dados pessoais do controlador deveriam ser consideradas "segredos comerciais".
Em publicação datada de 5 de dezembro de 2022, a CNIL relembra as regras a respeitar na venda de um ficheiro de cliente para fins comerciais: o arquivo deve conter apenas os dados de clientes ativos e, por um período máximo de três anos após o término da relação comercial, somente poderão ser vendidos os dados de clientes que não se opuseram à transmissão de seus dados ou que consentiram com ela, devendo o comprador garantir que os direitos dos indivíduos sejam respeitados (em particular, informações claras e consentimento para prospecção eletrônica).
A CNIL finalmente sancionou isso em 4 de janeiro DISTRIBUIÇÃO INTERNACIONAL DA APPLE até 8 milhões de euros por não ter coletado o consentimento dos usuários franceses do iPhone que utilizam a versão antiga do iOS 14.6 antes de depositar e/ou gravar identificadores usados para fins publicitários em seus dispositivos.
Europa:
A Presidência sueca do Conselho da UE publicou suas prioridades para os próximos seis meses em 14 de dezembro: a tecnologia digital não está no topo da agenda., dados os debates atuais sobre segurança econômica e energética e resiliência no contexto do conflito russo-ucraniano.
No entanto, a Suécia especifica que dará continuidade ao trabalho iniciado em relação à regulamentação de dados ("Data Act"), à regulamentação de "privacidade e comunicações eletrônicas", bem como à proposta de regulamentação relativa a um espaço europeu de dados de saúde.
Esta decisão visa fornecer uma base jurídica duradoura para transferências UE-EUA após a decisão “Schrems II” do Tribunal de Justiça da UE, datada de julho de 2020, que invalidou o “Escudo de Privacidade”.
Antes que uma decisão final possa ser adotada, o projeto ainda precisa ser revisado pelo Conselho Europeu de Proteção de Dados (EDPB) e aprovado pelo comitê de representantes dos Estados-Membros da UE.
O Parlamento Europeu também tem o direito de rever decisões de adequação.
A Comissão Europeia publicou em 15 de dezembro de 2022 uma declaração sobre direitos e princípios digitais para a década digital.
A declaração visa orientar os formuladores de políticas em sua visão de transformação digital ao longo das seguintes linhas: uma transformação digital centrada no cidadão, apoiando a solidariedade e a inclusão, um lembrete da importância da liberdade de escolha nas interações com algoritmos e sistemas de inteligência artificial, e maior segurança, proteção e empoderamento, especialmente para crianças e jovens, garantindo ao mesmo tempo o direito à privacidade e ao controle dos indivíduos sobre seus dados.
Após um ano de investigação, a Provedora de Justiça da UE publicou sua decisão datada de 19 de dezembro de 2022, referente à reclamação do Conselho Irlandês para as Liberdades Civis (ICCL) contra a Comissão Europeia por falha em monitorar adequadamente a aplicação do GDPR pela Irlanda.
Esta decisão enfatiza a necessidade de um melhor monitoramento pela Comissão Europeia do progresso de cada caso de Big Tech levado à Comissão Irlandesa de Proteção de Dados.
Em acórdão de 8 de dezembro, o Tribunal de Justiça da União Europeia esclareceu as condições em que os cidadãos europeus podem obter do Google a remoção dos resultados de pesquisa que lhes dizem respeito.
O caso envolveu dois gestores de investimentos que pediram ao Google para remover os resultados de uma busca realizada usando seus nomes, que fornecia links para certos artigos criticando seu modelo de investimento.
O Tribunal decidiu que "o direito à liberdade de expressão e informação não pode ser levado em consideração quando, no mínimo, uma parte – que não é de menor importância – das informações encontradas no conteúdo referenciado se revelar imprecisa". Pessoas que desejam remover resultados imprecisos de mecanismos de busca devem fornecer evidências suficientes (e razoáveis) de que o que é dito sobre elas é falso.
A Autoridade Holandesa de Proteção de Dados publicou uma declaração em 22 de dezembro sobre seus poderes para supervisionar algoritmos em questões de transparência, discriminação e arbitrariedade.
Também na Holanda, um estudo do grupo holandês de privacidade Incogni revela que muitos aplicativos de compras populares, incluindo o da Amazon, vêm com práticas questionáveis em relação ao compartilhamento de permissões de acesso com bibliotecas de publicidade, o que permite que redes de anúncios acessem indiretamente o dispositivo.
autoridade grega A Autoridade de Proteção de Dados multou a Vodafone PANAFON SA em € 150.000 por não tomar medidas técnicas e organizacionais adequadas para proteger a segurança dos seus serviços de comunicações eletrônicas.
A autoridade islandesa A Autoridade de Proteção de Dados ordenou que uma oficina mecânica cumprisse uma solicitação de acesso nos termos do Artigo 15 do GDPR e fornecesse ao titular dos dados dados relativos a todos os reparos e serviços realizados em seu carro enquanto ele estava em sua posse.
A autoridade portuguesa A Autoridade de Proteção de Dados (CTPD) repreendeu e multou o Município de Setúbal em € 170.000 por violação do princípio da integridade e confidencialidade, do princípio da limitação da conservação, das obrigações de informação previstas no artigo 13.º do RGPD e por não ter nomeado um encarregado da proteção de dados no âmbito da recolha de dados pessoais de refugiados ucranianos que utilizaram uma linha telefónica de apoio em Portugal.
A Comissão Nacional de Proteção de Dados (CNPD) também sancionou o Instituto Nacional de Estatística (INE) por não conformidade com o RGPD, incluindo o envio de dados pessoais do censo de 2021 para os Estados Unidos e a não realização de uma avaliação de impacto na proteção de dados.
A autoridade italiana A Autoridade de Proteção de Dados multou a Alpha Exploration em € 2.000.000 por operar a rede social Clubhouse em violação às disposições do GDPR sobre legalidade e transparência, por não avaliar os riscos decorrentes do processamento e por nomear um representante da UE sem o mandato necessário para agir em nome do controlador.
A autoridade italiana de proteção de dados também multou a operadora de telecomunicações Vodafone Italia em € 500.000 por processar dados pessoais para fins de marketing direto sem base legal, por obter consentimento genérico para operações separadas de processamento de dados e por fornecer informações sobre o processamento de dados pessoais de forma incompreensível.
autoridade espanhola A Autoridade de Proteção de Dados multou um adolescente de 16 anos em € 5.000 por usar vídeos e fotos recebidos via WhatsApp para chantagear um menor de 13 anos que não pôde dar consentimento válido. A Autoridade de Proteção de Dados também ordenou que o adolescente apagasse todos os outros dados pessoais relativos à pessoa em questão e informasse sobre as medidas tomadas para esse efeito.
Internacional
ESTADOS UNIDOS: Epic Games, criadora do videogame Fortnite, terá que pagar mais de meio bilhão de dólares por violar a Lei de Proteção à Privacidade Infantil (COPPA), alterar as configurações de privacidade padrão e enganar os usuários para que façam compras indesejadas.
Os acordos da Comissão Federal de Comércio com a Epic Games foram tornados públicos pela FTC em 15 de dezembro.
Em uma publicação de 29 de dezembro, O Guardian relata que a fabricante chinesa de câmeras de vigilância Hikvision desenvolveu uma plataforma de software para auxiliar a polícia. para acompanhar as atividades dos manifestantes.
A polícia chinesa poderia, assim, criar alertas para vários tipos de manifestações, como "aglomeração de multidões perturbando a ordem em locais públicos", "reuniões, procissões, manifestações ilegais" e ameaças de "petição".
Os países da OCDE adotaram o primeiro acordo intergovernamental sobre privacidade em 14 de dezembro de 2022. ao acessar dados pessoais para fins de segurança nacional e aplicação da lei.
Os princípios definem como as estruturas legais regulam o acesso do governo, os padrões legais aplicados quando o acesso é solicitado, como o acesso é aprovado e como os dados resultantes são processados, além dos esforços para garantir transparência ao público.
Do soluções técnicas estão sendo desenvolvidos para permitir que tanto os usuários controlem o uso de seus dados quanto os controladores de dados gerenciem os dados on-line de acordo com os princípios de proteção de dados.
Além do Global Privacy Control, cujo uso agora está se expandindo no contexto do gerenciamento de consentimento on-line, a plataforma de gerenciamento de consentimento CookieFirst oferece controle avançado aos usuários para serviços de terceiros e os cookies que eles definem, e usa subcontratados baseados na UE para armazenamento de dados.
Ana Cristina Lacoste
Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.
PT 
FR 
EN 
DE 
ES 
EL 
IT 
HR 
NL 
DE_AT 
ET 
FI 
LV 
LT 
SK 
SL