On n’est pas à l’ouest: França aplica a multa mais pesada desde a vigência do GDPR

On n’est pas à l’ouest é uma expressão popular da qual se valem os franceses quando querem dizer que não estão perdidos em algum lugar ou tarefa. A locução parece se aplicar perfeitamente à proteção de dados na França, tendo em vista a mais recente decisão da Comissão Nacional de Proteção de Dados (CNIL), a autoridade de proteção de dados daquele país.

Com efeito, no último 21 de janeiro, com base no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), a comissão francesa impôs uma pesada multa de cinquenta milhões de euros ao Google, devido à baixa transparência da empresa com seus usuários no tratamento de dados pessoais e à falta de consentimento válido para personalização de anúncios em suas plataformas digitais¹.

• +JOTA: Assine o JOTA e não deixe de ler nenhum destaque!

A penalidade é, até então, a maior dentre aquelas cujo fundamento encontra-se no GDPR, e está alinhada com a postura das jurisdições ocidentais que parecem cada vez mais fechar o cerco sobre a BigTech².

Com isso, acende-se um alerta para as empresas que lidam com dados de usuários e atuam – além da Europa, é evidente – no Brasil, haja vista a considerável semelhança estrutural e material que a recém editada lei brasileira de proteção de dados (LGPD) possui em relação ao regulamento do velho continente.

A notícia, por si só, ratifica a ideia de que o marco regulatório de proteção de dados, ao contrário de diversas normas vazias que orbitam nosso ordenamento jurídico, produz efeitos concretos e demanda que os destinatários da lei – que não são apenas as empresas de tecnologia³ – adequem suas práticas para evitar sanções regulatórias e ações judiciais individuais e coletivas⁴.

Essa percepção é ainda reforçada a partir da edição da Medida Provisória 869 de 2018, que, ao prever a criação da Autoridade Nacional de Proteção de Dados (ANPD), dá concretude às previsões de fiscalização e penalização da Lei 13.709/18, à semelhança do já mencionado órgão francês, e promete replicar em nosso território o fenômeno de conscientização sobre dados e privacidade que se verifica em sociedades estrangeiras, sobretudo europeias, desde os anos 90⁵.

Sobre o caso, a primeira consideração jurídica que merece menção tem a ver com o direito processual administrativo do GDPR – mais especificamente, a questão atinente à competência das autoridades de controle para processar administrativamente as empresas que supostamente violaram o regulamento europeu.

Sendo o Google uma empresa originalmente americana cuja sede na Europa fica na Irlanda, por que foi a autoridade francesa aquela a impor a multa à companhia, e não a irlandesa ou algum outro órgão europeu? A resposta para isso está na interpretação sistêmica de certos artigos do GDPR.

Tomando-se como premissa o fato de que as violações das quais o Google foi acusado são de natureza multinacional e afetaram usuários de diferentes jurisdições, tem-se que o artigo aplicável para a determinação da competência é o 56 do GDPR⁶. Em sua redação, está previsto que, na hipótese de as violações no tratamento de dados serem transfronteiriças, será competente para exercer os poderes do regulamento a autoridade de controle do Estado-Membro onde fica a sede do ente violador.

A interpretação mais automática desse dispositivo nos faz crer que a CNIL, francesa, seria incompetente para multar o Google, haja vista que a empresa, como dito, tem sua sede europeia na Irlanda (Google Ireland Limited), país que conta com sua própria autoridade. Esse ponto, vale dizer, foi matéria de defesa da empresa.

Ocorre que a CNIL não lançou mão do artigo 56 para avaliar sua jurisdição, pois, no entendimento de seus membros, a empresa constituída na Irlanda não é a matriz do Google na Europa segundo os critérios e conceitos estabelecidos pelo GDPR⁷, porquanto não possui nenhum poder de decisão para os negócios do Google no continente.

A comissão faz, portanto, uma verdadeira diferenciação entre os conceitos de sede social e de estabelecimento principal, primando pelo segundo como fator capaz de atrair competência e usando o poder de tomar decisões como elemento que o caracteriza.

Assim, considerou-se que a matriz do Google era somente a sociedade americana, constituída na Califórnia, e, em consequência, decidiu-se que, na falta de um estabelecimento principal na Europa que permitisse a identificação de uma autoridade líder neste continente, a CNIL seria competente para dar sequência ao procedimento contra a empresa, tendo em vista que foi perante esta autoridade que duas associações da França denunciaram a companhia californiana e deflagraram o processo administrativo ora comentado.

Em segundo lugar, é necessário compreender o que seriam e como podem ser aferidas as violações referentes à proteção de dados que o Google supostamente cometeu. A primeira delas – transparência insuficiente – é curiosa, porque traz consigo algumas pitadas de subjetividade que podem ser cruéis aos destinatários da norma.

Uma das formas mais eficazes de se garantir segurança jurídica para reguladores e regulados é buscar elementos concretos que afastem certo axioma da classe dos conceitos jurídicos indeterminados.

Assim sendo, é útil destrinchar quais foram as ações – ou omissões – que, na prática, fizeram a CNIL considerar o Google pouco transparente com seus usuários.

Nesse sentido, as violações imputadas pela Comissão podem ser sistematizadas em cinco tópicos, quais sejam: (i) dificuldade de acesso dos usuários às informações do Google; (ii) dificuldade de acesso dos usuários a informações sobre a coleta de seus próprios dados, como por exemplo os relativos à geolocalização; (iii) explicação insuficiente acerca da finalidade da coleta e do uso comercial dos dados dos usuários; (iv) ausência de informação clara no sentido de que o fundamento jurídico a permitir o processamento de dados para personalização de anúncios é o consentimento do usuário, e não o interesse da empresa; e (iv) ausência de informação acerca do tempo de retenção dos dados, não fornecida para algumas das informações pessoais coletadas.

Sem a pretensão de avaliar se o entendimento da comissão está correto ou não, já é possível ter uma ideia do que uma notável autoridade europeia julga ser baixa transparência no processamento de dados, e isso pode ajudar os destinatários da LGPD no Brasil a se adequarem antes do encerramento da vacatio legis.

Ainda, outro aspecto relevante da multa imposta ao Google diz respeito ao consentimento (inválido) que os usuários deram à empresa para que ela usasse seus dados na personalização de anúncios. Enquanto o primeiro descumprimento legal tem maior conexão com as políticas de transparência adotadas pela companhia, esta segunda falha decorre do desrespeito a medidas objetivas ordenadas pelo legislador na relação contratual direta entre a sociedade californiana e as pessoas que pretendam utilizar suas plataformas digitais.

Com efeito, a CNIL considerou que o Google:

1. diluiu o processamento de dados para personalização de anúncios em diversos documentos, o que impede que o usuário tenha ciência da extensão do uso de suas informações;

2. não especificou quais dos diversos serviços de suas múltiplas plataformas (YouTube, PlayStore, Google Home e etc.) estariam envolvidos nas operações de coleta de dados e personalização de anúncios, fazendo com que o consentimento não fosse nem específico e nem inequívoco, conforme ordena o GDPR⁸;

3. deixou algumas opções de concordância com a exibição de anúncios em caixas pré-validadas, o que, para o GDPR, não é considerado consentimento inequívoco (o regulamento exige que o usuário leia a opção da respectiva caixa e a selecione posteriormente, por sua própria conta); e

4. não criou um consentimento específico para o processamento de dados em cada uma de suas atividades ao momento em que o usuário vai criar sua conta, convidando-o a marcar tão somente um aceite geral, pelo qual se concorda com os termos de serviço da empresa e com o processamento de suas informações conforme a política de privacidade, sem maiores detalhamentos.

Em linhas gerais, percebe-se que o Google, aos olhos da CNIL, não cumpriu os requisitos do GDPR no que se refere à obtenção do consentimento específico e inequívoco dos usuários para processamento de seus dados, fazendo com que fosse inválido o aceite por parte de milhões de pessoas que utilizavam a plataforma.

Nesse aspecto, as medidas objetivas que a empresa deve tomar para evitar a punição relativa ao consentimento inválido parecem melhor detalhadas pela comissão francesa do que aquelas vinculadas à transparência insuficiente, não exigindo muita hermenêutica nem interpretação de texto para serem compreendidas e obedecidas.

O valor da multa também chamou muita atenção: cinquenta milhões de euros. Em reais, na cotação média dos últimos seis meses, o montante estaria por volta dos duzentos e vinte milhões, o que representa mais de quatro vezes o teto de penalidade por infração na LGPD⁹.

Cabe entender as razões da comissão francesa para aplicar tão severa multa, e aqui estão alguns dos motivos elencados na decisão: (i) as violações privam os usuários de garantias fundamentais na cessão de informações que podem afetar sua vida particular; (ii) não se trata de infração única e nem pontual: são diversas violações espalhadas em longo período de tempo; (iii) na França, há milhões de usuários do Android, sistema operacional do Google usado, principalmente, em smartphones¹⁰; e (iv) o modelo de negócio do Google é fundamentado majoritariamente na personalização de anúncios a partir do processamento de dados de seus usuários, o que deveria fazer com que a empresa tivesse um cuidado especial em cumprir as exigências legais relativas a esse mercado específico.

A conclusão mais evidente depois que analisamos a decisão da CNIL contra o Google é simples: a onda da proteção de dados está estourando e, no Brasil, também promete ser igualmente implacável – a julgar pela já comentada semelhança entre GDPR e LGPD.

O marco regulatório da proteção de dados, ao que tudo indica, não será daquelas leis que, por motivos estudados pela sociologia e psicologia do direito, “não pegam”.

Assim sendo, parece ser de importância ímpar que se comece a pavimentar uma doutrina da proteção de dados que não só analise, mas também critique, a aplicação da norma no direito estrangeiro.

Trata-se de um caminho importante para que, ao momento de a LGPD começar a produzir efeitos em território nacional, haja um material conciso que auxilie tanto as autoridades de controle como os destinatários da norma no lidar cotidiano – profilático e remediativo – com a proteção de dados pessoais.

—————————————–

Daniel Becker – Sócio do Lima ≡ Feigelson Advogados e Diretor de Novas Tecnologias no Centro Brasileiro de Mediação e Arbitragem (CBMA). Advogado de resolução de disputas com foco em litígios contratuais oriundos de setores regulados. Professor convidado de diversas instituições, palestrante frequente e autor de diversos artigos publicados em livros e revistas nacionais e internacionais sobre os temas de arbitragem, processo civil, regulação e tecnologia. Organizador dos livros “O Advogado do Amanhã: Estudos em Homenagem ao professor Richard Susskind”, "Regulação 4.0" e “Comentários à Lei Geral de Proteção de Dados”, todos publicados pela Revista dos Tribunais.
João Pedro Brígido – Associado do Lima ≡ Feigelson Advogados. Graduado em Direito pela Universidade Federal Fluminense (UFF), Intercâmbio na Faculdade de Direito da Université de Liège ­– Bélgica (ULg), Membro da Equipe de Arbitragem e Direito Internacional da UFF, Membro do Comitê de Jovens Arbitralistas do Centro Brasileiro de Mediação e Arbitragem (CJA/CBMA) e do Comitê de Jovens Processualistas do Instituto Carioca de Processo Civil (CJP/ICPC).