A autoridade nacional de proteção de dados francesa (“CNIL”) tornou pública nesta segunda-feira (21) decisão1 que aplica sanção pecuniária de 50 milhões de euros ao Google por descumprimento do Regulamento Geral sobre a Proteção de Dados2 (Regulamento UE 2016/697, globalmente reconhecido pelo acrônimo em inglês “GDPR”). Essa é a primeira vez que a CNIL aplica uma sanção baseada no GDPR, que está em vigência desde maio de 2018.

• +JOTA: Assine o JOTA e não deixe de ler nenhum destaque!

As denúncias apresentadas pelas associações NOYB e LQDN

A decisão resulta de duas denúncias coletivas feitas pelas associações austríaca NOYB e francesa LQDN – ambas engajadas na proteção da privacidade e de dados pessoais na internet – nos dias subsequentes à entrada em vigência do GDPR. O artigo 80 do Regulamento prevê que associações sem fins lucrativos atuando na referida área podem, em nome do interesse público, representar coletivamente e reivindicar os direitos individuais previstos no diploma legal3.

Esse foi exatamente o caso, uma vez que tais associações agiram em nome de mais de dez mil cidadãos europeus, em sua maioria franceses.

As denúncias indicavam que o Google estaria desrespeitando de forma reiterada alguns dos princípios do GDPR, violando frontalmente direitos dos usuários da internet, notadamente aqueles previstos nos artigos 06, 12 e 13 do Regulamento, que dispõem sobre a licitude e as garantias de transparência e informação relativos ao tratamento dos dados pessoais.

Em sua argumentação, a NOYB alegou que os usuários do sistema Android são induzidos a aceitar as políticas de confidencialidade e as condições gerais de utilização dos serviços do Google, que não são apresentadas de acordo com as exigências dos artigos 12 e 13 do Regulamento, para ter acesso à plataforma.

A LQDN, por sua vez, suscitou que o Google não disporia de uma base legal válida, conforme exigido pelo artigo 6 do GDPR, para tratar os dados pessoais de seus usuários para finalidade de análise comportamental e publicidade personalizada.

A decisão proferida pela CNIL

Após apreciar as denúncias, a CNIL iniciou uma investigação online, pela qual testou diretamente os serviços e a plataforma Android do Google, a fim de averiguar os fatos narrados pelas associações. Os indícios de que a empresa estaria descumprindo alguns dos preceitos do GDPR deram início, na sequência, à instauração do processo que culminou com a imposição da multa de 50 milhões de euros.

A decisão da CNIL é muito bem fundamentada e se baseia não só no GDPR, como também em algumas das diretrizes do antigo “Article 29 Protection Working Party – WP29”, órgão consultivo que reunia as autoridades de proteção de dados europeias e que foi substituído pelo Comitê Europeu de Proteção de Dados (“CEPD”) com o advento do Regulamento.

Inicialmente, a CNIL rebate o argumento suscitado pela defesa do Google, sobre a suposta incompetência da autoridade para tratar as denúncias apresentadas. Segundo a empresa, apenas a autoridade irlandesa seria competente para tratar a questão, nos termos do artigo 56 do GDPR, que cria a figura da “autoridade líder”, única responsável por processar demandas relacionadas ao tratamento de dados transcontinental por empresas estrangeiras que possuam um estabelecimento principal na Europa.

No entanto, a CNIL afirma que o Google Irlanda não atende aos requisitos para ser qualificado como estabelecimento principal da empresa no continente, uma vez que não é verdadeiramente responsável pelo tratamento de dados realizado em solo europeu. Nessa hipótese, todas as autoridades nacionais de proteção de dados são competentes para tratar demandas de violação do GDPR, desde que o tratamento questionado se dê em nível europeu e não apenas em um único país.

Desse modo, a CNIL confirma sua competência e passa à apreciação do mérito das denúncias, concluindo que a política de tratamento de dados do Google viola dispositivos do GDPR.

Em um primeiro momento, a autoridade estabelece que a empresa viola suas obrigações de transparência e de informação em relação a seus usuários, por meio dos serviços propostos pela plataforma Android. Embora a criação de uma conta Google para utilizar o sistema Android não seja obrigatória, a forma como as informações são dispostas pela empresa na inicialização do sistema pelo usuário induz à criação da mesma.

Nesse sentido, as informações sobre o tratamento de dados que será feito por meio do uso da referida conta, segundo a CNIL, não são facilmente acessíveis. Informações essenciais, tais como a finalidade do tratamento e a duração da conservação dos dados encontram-se espalhadas em diversos documentos e só são encontradas após diversas etapas, exigindo do usuário um grau de esforço rechaçado pelo Regulamento.

Ademais, a CNIL constatou que as informações fornecidas pelo Google não são claras e compreensíveis, de modo que os usuários não são capazes de entender a amplitude dos tratamentos realizados pelo Google, que, de acordo com a autoridade, são “massivos e intrusivos, em razão do número de serviços propostos, da quantidade e da natureza dos dados tratados e combinados”.

Em um segundo momento, a autoridade passa à análise da violação à obrigação do Google de calcar seu tratamento de dados para fins de personalização publicitária em uma base legal válida, conforme preceitua o artigo 6 do GDPR.

O tratamento de dados pelo Google para tal finalidade é, de acordo com a defesa da própria empresa, baseado no consentimento de seus usuários. No entanto, para que esse consentimento seja considerado válido, ele deve ser “uma manifestação de vontade livre, específica, informada e explícita, por meio da qual o titular dos direitos aceita, mediante declaração ou ato positivo inequívoco, que seus dados pessoais sejam sujeitos a um tratamento”4.

De acordo com a CNIL, o consentimento fornecido pelos usuários da plataforma é dado de maneira nebulosa, já que as informações relativas ao tratamento estão diluídas em diversos documentos, impedindo que os indivíduos tomem conhecimento da sua verdadeira amplitude.

Ademais, a autoridade estima que o consentimento também não é específico e inequívoco, já que os usuários são obrigados a explorar diversos documentos fornecidos pelo Google para que ter acesso à opção de não consentir com o tratamento para fins de publicidade personalizada. Ou seja, o ato de consentimento não é um “ato positivo”. Pelo contrário, o padrão adotado na política da empresa considera-o presumido.

Dessa maneira, o tratamento dos dados para fins publicitários careceria de base legal válida, sendo ilegal.

Diante das violações constadas, a CNIL decidiu por multar o Google em 50 milhões de euros, além de ter tornado a decisão pública, a fim de reforçar seu caráter pedagógico.

É importante notar que as autoridades de proteção de dados possuem poder discricionário para estabelecer as medidas a serem tomadas em caso de violação do GDPR, entre as possibilidades elencadas nos artigos 58.2 e 83 do Regulamento. A decisão deve ser tomada de forma casuística, à luz das peculiaridades das violações detectadas.

A decisão da CNIL de sancionar pecuniariamente o Google, sem buscar corrigir as violações previamente por meio de medidas mais amenas, se deu por diferentes motivos: a autoridade estima que as violações perpetradas pelo Google são de natureza grave, além de ocorrerem de forma recorrente e não pontual e atingirem um número altamente expressivo de usuários. A autoridade também reitera que o tratamento de dados pessoais é uma das principais atividades desempenhadas pelo do Google, o que deveria resultar em atenção especial à conformidade da empresa ao GDPR.

O valor da sanção, segundo a CNIL, é justificável, já que o Regulamento prevê multa de 20 milhões de euros ou de até 4% do faturamento anual global da empresa, o que for maior, para o caso das violações incorridas pela empresa. O valor fixado é superior a 20 milhões, mas muito inferior a 4% do faturamento global do Google, que em 2017 atingiu a impressionante marca de 109,65 bilhões de dólares.

Lições: o que reter da decisão proferida pela CNIL?

A decisão da CNIL muito provavelmente será objeto de questionamento pelo Google, que tem no Conselho de Estado francês sua primeira via de recurso, conforme preceitua o artigo 78.3 do GDPR.

De todo modo, independente das futuras discussões envolvendo o assunto, a verdade é que a decisão, tal como proferida, constitui desde já importante norteador na área de proteção de dados.

Em primeiro lugar, a França – cuja autoridade de dados é uma das mais antigas da Europa, com criação que remonta a 1978 – é tida como referência na proteção de dados pessoais no continente, tendo sua prática e legislação influenciado de forma direta a redação do GDPR.

Assim, futuras decisões das autoridades europeias análogas à CNIL, em casos tratando de violações às obrigações relativas a consentimento, transparência e informação, provavelmente serão proferidas com consulta prévia aos entendimentos fixados pela deliberação da autoridade francesa.

Dessa maneira, parece adequado que responsáveis pelo tratamento e processadores de dados submetidos ao GDPR deem especial atenção aos mínimos detalhes da decisão francesa, ainda que na prática não estejam submetidos à jurisdição da autoridade. Nesse sentido, destaca-se que mesmo empresas brasileiras podem estar suscetíveis à aplicação do Regulamento, devido ao caráter extraterritorial da norma.

Para os profissionais do direito no Brasil, a experiência mostra que as grandes multinacionais vêm se movimentado no sentido de se adequar de maneira uniforme ao GDPR. Desse modo, mesmo que as atividades de uma multinacional em território brasileiro não estejam, após apreciação, sujeitas ao GDPR, a tendência é que a decisão política do grupo seja de agir em conformidade com o Regulamento.

Ademais, cabe lembrar que a Lei 13.709/18 (“LGDP”), lei brasileira concernente à proteção de dados pessoais que entrará em vigor em agosto de 2020, foi claramente inspirada no GDPR e dispõe igualmente sobre a necessidade de base legal válida para o tratamento e sobre as obrigações de transparência e informação. Possíveis violações à LGPD serão tratadas pela Autoridade Nacional de Proteção de Dados (“ANPD”), instituída pela Medida Provisória 869/18.

Assim, os parâmetros fixados pela deliberação da CNIL poderão funcionar como balizadores no momento de aconselhar sobre as melhores práticas, tanto a empresas nacionais quanto internacionais, de conformidade às legislações de proteção de dados nacional e europeia, no âmbito das obrigações tratadas neste artigo.

Finalmente, sob uma ótica global, a decisão da autoridade francesa corrobora a posição da Europa – que vem se fortalecendo no mundo inteiro –, no sentido de garantir aos cidadãos o efetivo controle de seus dados pessoais. Dados esses que possuem valor imensurável e que atualmente ocupam lugar de grande destaque no desenvolvimento das atividades empresariais.

—————————

Jaqueline Simas de Oliveira – advogada especializada nas áreas de direito digital e propriedade intelectual. Graduada pela Universidade Federal Fluminense – UFF, possui experiência em um dos maiores escritórios especializados em propriedade intelectual do Brasil. Atualmente compõe a turma de mestrado em Direito e Tecnologia da Université Paris II Panthéon-Assas, na França, sendo titular da bolsa de excelência Eiffel, concedida pelo governo francês. No âmbito da experiência profissional exigida pelo seu mestrado, integrará o setor de relações internacionais da CNIL, autoridade de proteção de dados francesa, a partir de março de 2019. Contatos: jaqueline.sco@icloud.com (e-mail) e https://www.linkedin.com/in/jaqueline-sco/ (LinkedIn).