Lições da multa da Google para empresas brasileiras

  • Fernando Santiago - 22 fevereiro, 2019 - Publicações

Em 21 de janeiro, a Commission Nationale de l’Informatique et des Libertés (CNIL), autoridade francesa de Proteção de Dados Pessoais, aplicou a maior multa da sua história — 50 milhões de euros — à Google LLC por desrespeito aos princípios do General Data Protection Regulation (GDPR). Uma vez que a Lei Geral de Proteção de Dados Brasileira (LGPD) inspira-se fortemente do GDPR, as empresas brasileiras têm a oportunidade de aprender lições valiosas com essa decisão.

A CNIL sancionou o caráter obscuro das informações disponibilizadas ao usuário pela Google. A empresa impõe ao utilizador um verdadeiro percurso de obstáculos para obter acesso às informações completas sobre a coleta dos seus dados relacionados à personalização das publicidades e geolocalização (finalidade, duração da conservação, categorias de dados etc). Tais informações encontram-se dispersas em inúmeros documentos não necessariamente conexos, e o acesso ao conjunto das informações exige 5 ou 6 ações (cliques em botões e links), além do difícil trabalho de interpretação e correlação das informações esparsas constantes em todos os documentos fornecidos.

Assim como o GDPR, a LGPD brasileira também garante a transparência das informações sobre o tratamento, determinando que as mesmas devem ser claras, precisas e facilmente acessíveis, e considera nulo o consentimento dado sem a apresentação de informações transparentes, claras e inequívocas. Em consequência, a reflexão sobre a redação das Condições Gerais de Uso e Política de Confidencialidade das empresas deve ser pautada na mais alta qualidade e seriedade, de forma a evitar sanções semelhantes pelas autoridades de controle.

A CNIL também sancionou a insuficiência da base jurídica do “consentimento” para a personalização de publicidade na utilização do sistema Android. No ato da habilitação de um telefone celular Android, cumulado com a abertura de uma conta Google para o seu funcionamento, solicita-se o consentimento do usuário para o uso massivo dos seus dados pessoais. Ora, tal consentimento é solicitado em bloco – para finalidades extremamente distintas e variadas entre si e para aproximadamente 20 serviços.

Porém, o GDPR exige o consentimento “inequívoco” e “específico” para cada finalidade, o usuário deve escolher claramente os tratamentos que deseja e os que não deseja, pois é o mestre dos seus dados pessoais. Ademais, a opção “autorização de uso dos dados pessoais para fins do recebimento de publicidade personalizada” aparece pré-selecionada. Dessa forma, não há ação “positiva” do usuário para autorizar o uso dos seus dados para esta finalidade. Ao contrário, caso recuse tal tratamento, o usuário deve praticar uma ação positiva visando opor-se ao mesmo.

No direito brasileiro, o consentimento também é um dos principais fundamentos jurídicos que autorizam o tratamento de dados pessoais. Assim, teoricamente, os mesmos fatos poderiam eventualmente ter o mesmo enquadramento legal no Brasil. De fato, a LGPD impõe um consentimento livre, informado e inequívoco, versando sobre finalidades específicas, sendo vedadas autorizações genéricas para o tratamento de dados pessoais.

A Google tem uma “sede para operações europeias” – Google Ireland Limited, sediada na Irlanda. No entanto, a empresa sancionada foi a Google LLC, sociedade americana baseada em Mountain View, Califórnia. Isso porque constatou-se que a sede europeia atua na esfera administrativa e comercial, mas não pode ser qualificada de “responsável pelo tratamento” em direito da proteção de dados pessoais. Tal figura, cujo homólogo em direito brasileiro é o “controlador”, é que detém real poder de decisão sobre os “meios” e as “finalidades” dos tratamentos efetuados. No caso, todas as decisões sobre os tratamentos de dados realizados são tomadas pela empresa-mãe, nos Estados Unidos.

A extraterritorialidade da sanção serve de alerta principalmente para duas categorias de empresas brasileiras: as que oferecem bens e serviços ao mercado europeu, ainda que de forma não onerosa; e as que são simplesmente subcontratadas ou sucursais/filiais de empresas europeias e que, por consequência, tenham acesso aos dados pessoais de residentes europeus. Tais empresas têm interesse em adotar, rapidamente, as melhores práticas em matéria de proteção de dados pessoais para evitar sanções não só das autoridades brasileiras, mas também das europeias.

Assistimos neste momento ao nascimento do direito da proteção dos dados pessoais. O nosso desafio, nos próximos anos, consiste em disseminá-lo e formar os futuros DPOs (Data Protecion Officers) — advogados, juízes, promotores e demais autoridades encarregadas da correta interpretação e aplicação desse novo ramo do direito.

Por Fernando Santiago, Sócio Fundador do Chenut Oliveira Santiago Advogados

http://digital.em.com.br/estadodeminas/22/02/2019/p48