On n’est pas à l’ouest é uma expressão popular da qual se valem os franceses quando querem dizer que não estão perdidos em algum lugar ou tarefa. A locução parece se aplicar perfeitamente à proteção de dados na França, tendo em vista a mais recente decisão da Comissão Nacional de Proteção de Dados (CNIL), a autoridade de proteção de dados daquele país.

Com efeito, no último 21 de janeiro, com base no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), a comissão francesa impôs uma pesada multa de cinquenta milhões de euros ao Google, devido à baixa transparência da empresa com seus usuários no tratamento de dados pessoais e à falta de consentimento válido para personalização de anúncios em suas plataformas digitais¹.

+JOTA: Assine o JOTA e não deixe de ler nenhum destaque!

A penalidade é, até então, a maior dentre aquelas cujo fundamento encontra-se no GDPR, e está alinhada com a postura das jurisdições ocidentais que parecem cada vez mais fechar o cerco sobre a BigTech².

Com isso, acende-se um alerta para as empresas que lidam com dados de usuários e atuam – além da Europa, é evidente – no Brasil, haja vista a considerável semelhança estrutural e material que a recém editada lei brasileira de proteção de dados (LGPD) possui em relação ao regulamento do velho continente.

A notícia, por si só, ratifica a ideia de que o marco regulatório de proteção de dados, ao contrário de diversas normas vazias que orbitam nosso ordenamento jurídico, produz efeitos concretos e demanda que os destinatários da lei – que não são apenas as empresas de tecnologia³ – adequem suas práticas para evitar sanções regulatórias e ações judiciais individuais e coletivas⁴.

Essa percepção é ainda reforçada a partir da edição da Medida Provisória 869 de 2018, que, ao prever a criação da Autoridade Nacional de Proteção de Dados (ANPD), dá concretude às previsões de fiscalização e penalização da Lei 13.709/18, à semelhança do já mencionado órgão francês, e promete replicar em nosso território o fenômeno de conscientização sobre dados e privacidade que se verifica em sociedades estrangeiras, sobretudo europeias, desde os anos 90⁵.

Sobre o caso, a primeira consideração jurídica que merece menção tem a ver com o direito processual administrativo do GDPR – mais especificamente, a questão atinente à competência das autoridades de controle para processar administrativamente as empresas que supostamente violaram o regulamento europeu.

Sendo o Google uma empresa originalmente americana cuja sede na Europa fica na Irlanda, por que foi a autoridade francesa aquela a impor a multa à companhia, e não a irlandesa ou algum outro órgão europeu? A resposta para isso está na interpretação sistêmica de certos artigos do GDPR.

Tomando-se como premissa o fato de que as violações das quais o Google foi acusado são de natureza multinacional e afetaram usuários de diferentes jurisdições, tem-se que o artigo aplicável para a determinação da competência é o 56 do GDPR⁶. Em sua redação, está previsto que, na hipótese de as violações no tratamento de dados serem transfronteiriças, será competente para exercer os poderes do regulamento a autoridade de controle do Estado-Membro onde fica a sede do ente violador.

A interpretação mais automática desse dispositivo nos faz crer que a CNIL, francesa, seria incompetente para multar o Google, haja vista que a empresa, como dito, tem sua sede europeia na Irlanda (Google Ireland Limited), país que conta com sua própria autoridade. Esse ponto, vale dizer, foi matéria de defesa da empresa.

Ocorre que a CNIL não lançou mão do artigo 56 para avaliar sua jurisdição, pois, no entendimento de seus membros, a empresa constituída na Irlanda não é a matriz do Google na Europa segundo os critérios e conceitos estabelecidos pelo GDPR⁷, porquanto não possui nenhum poder de decisão para os negócios do Google no continente.

A comissão faz, portanto, uma verdadeira diferenciação entre os conceitos de sede social e de estabelecimento principal, primando pelo segundo como fator capaz de atrair competência e usando o poder de tomar decisões como elemento que o caracteriza.

Assim, considerou-se que a matriz do Google era somente a sociedade americana, constituída na Califórnia, e, em consequência, decidiu-se que, na falta de um estabelecimento principal na Europa que permitisse a identificação de uma autoridade líder neste continente, a CNIL seria competente para dar sequência ao procedimento contra a empresa, tendo em vista que foi perante esta autoridade que duas associações da França denunciaram a companhia californiana e deflagraram o processo administrativo ora comentado.

Em segundo lugar, é necessário compreender o que seriam e como podem ser aferidas as violações referentes à proteção de dados que o Google supostamente cometeu. A primeira delas – transparência insuficiente – é curiosa, porque traz consigo algumas pitadas de subjetividade que podem ser cruéis aos destinatários da norma.

Uma das formas mais eficazes de se garantir segurança jurídica para reguladores e regulados é buscar elementos concretos que afastem certo axioma da classe dos conceitos jurídicos indeterminados.

Assim sendo, é útil destrinchar quais foram as ações – ou omissões – que, na prática, fizeram a CNIL considerar o Google pouco transparente com seus usuários.

Nesse sentido, as violações imputadas pela Comissão podem ser sistematizadas em cinco tópicos, quais sejam: (i) dificuldade de acesso dos usuários às informações do Google; (ii) dificuldade de acesso dos usuários a informações sobre a coleta de seus próprios dados, como por exemplo os relativos à geolocalização; (iii) explicação insuficiente acerca da finalidade da coleta e do uso comercial dos dados dos usuários; (iv) ausência de informação clara no sentido de que o fundamento jurídico a permitir o processamento de dados para personalização de anúncios é o consentimento do usuário, e não o interesse da empresa; e (iv) ausência de informação acerca do tempo de retenção dos dados, não fornecida para algumas das informações pessoais coletadas.

Sem a pretensão de avaliar se o entendimento da comissão está correto ou não, já é possível ter uma ideia do que uma notável autoridade europeia julga ser baixa transparência no processamento de dados, e isso pode ajudar os destinatários da LGPD no Brasil a se adequarem antes do encerramento da vacatio legis.

Ainda, outro aspecto relevante da multa imposta ao Google diz respeito ao consentimento (inválido) que os usuários deram à empresa para que ela usasse seus dados na personalização de anúncios. Enquanto o primeiro descumprimento legal tem maior conexão com as políticas de transparência adotadas pela companhia, esta segunda falha decorre do desrespeito a medidas objetivas ordenadas pelo legislador na relação contratual direta entre a sociedade californiana e as pessoas que pretendam utilizar suas plataformas digitais.

Com efeito, a CNIL considerou que o Google:

diluiu o processamento de dados para personalização de anúncios em diversos documentos, o que impede que o usuário tenha ciência da extensão do uso de suas informações;

não especificou quais dos diversos serviços de suas múltiplas plataformas (YouTube, PlayStore, Google Home e etc.) estariam envolvidos nas operações de coleta de dados e personalização de anúncios, fazendo com que o consentimento não fosse nem específico e nem inequívoco, conforme ordena o GDPR⁸;

deixou algumas opções de concordância com a exibição de anúncios em caixas pré-validadas, o que, para o GDPR, não é considerado consentimento inequívoco (o regulamento exige que o usuário leia a opção da respectiva caixa e a selecione posteriormente, por sua própria conta); e

não criou um consentimento específico para o processamento de dados em cada uma de suas atividades ao momento em que o usuário vai criar sua conta, convidando-o a marcar tão somente um aceite geral, pelo qual se concorda com os termos de serviço da empresa e com o processamento de suas informações conforme a política de privacidade, sem maiores detalhamentos.

Em linhas gerais, percebe-se que o Google, aos olhos da CNIL, não cumpriu os requisitos do GDPR no que se refere à obtenção do consentimento específico e inequívoco dos usuários para processamento de seus dados, fazendo com que fosse inválido o aceite por parte de milhões de pessoas que utilizavam a plataforma.

Nesse aspecto, as medidas objetivas que a empresa deve tomar para evitar a punição relativa ao consentimento inválido parecem melhor detalhadas pela comissão francesa do que aquelas vinculadas à transparência insuficiente, não exigindo muita hermenêutica nem interpretação de texto para serem compreendidas e obedecidas.

O valor da multa também chamou muita atenção: cinquenta milhões de euros. Em reais, na cotação média dos últimos seis meses, o montante estaria por volta dos duzentos e vinte milhões, o que representa mais de quatro vezes o teto de penalidade por infração na LGPD⁹.

Cabe entender as razões da comissão francesa para aplicar tão severa multa, e aqui estão alguns dos motivos elencados na decisão: (i) as violações privam os usuários de garantias fundamentais na cessão de informações que podem afetar sua vida particular; (ii) não se trata de infração única e nem pontual: são diversas violações espalhadas em longo período de tempo; (iii) na França, há milhões de usuários do Android, sistema operacional do Google usado, principalmente, em smartphones¹⁰; e (iv) o modelo de negócio do Google é fundamentado majoritariamente na personalização de anúncios a partir do processamento de dados de seus usuários, o que deveria fazer com que a empresa tivesse um cuidado especial em cumprir as exigências legais relativas a esse mercado específico.

A conclusão mais evidente depois que analisamos a decisão da CNIL contra o Google é simples: a onda da proteção de dados está estourando e, no Brasil, também promete ser igualmente implacável - a julgar pela já comentada semelhança entre GDPR e LGPD.

O marco regulatório da proteção de dados, ao que tudo indica, não será daquelas leis que, por motivos estudados pela sociologia e psicologia do direito, “não pegam”.

Assim sendo, parece ser de importância ímpar que se comece a pavimentar uma doutrina da proteção de dados que não só analise, mas também critique, a aplicação da norma no direito estrangeiro.

Trata-se de um caminho importante para que, ao momento de a LGPD começar a produzir efeitos em território nacional, haja um material conciso que auxilie tanto as autoridades de controle como os destinatários da norma no lidar cotidiano – profilático e remediativo – com a proteção de dados pessoais.

-----------------------------------------

1 Délibération SAN-2019-001 du 21 janvier 2019. Disponível em: https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=2103387945&fastPos=1. Acesso em 10/02/2019.

2 O Facebook encontra desafios jurídicos na Alemanha no que diz respeito à coleta de dados de terceiros. Disponível em: https://www.bloomberg.com/amp/opinion/articles/2019-01-14/facebook-would-suffer-from-user-data-ban-in-germany. Acesso em 10/02/2019.

3 Um bom exemplo disso é a primeira multa com base no GDPR aplicada na Europa. A Comissão Nacional de Proteção de Dados de Portugal (CNPD) penalizou certo hospital em quatrocentos mil euros por não ter protegido adequadamente dados de pacientes que por lá passaram. Disponível em: https://iapp.org/news/a/first-gdpr-fine-in-portugal-issued-against-hospital-for-three-violations/. Acesso em 09/02/2019.

4 Top 10 GDPR Violations and Incidents of 2018. Disponível em: https://www.htbridge.com/blog/top-10-gdpr-violations-and-incidents-of-2018.html. Acesso em 11/02/2019.

5 LEORATTI, Alexandre. Com GDPR, número de notificações de vazamento de dados ultrapassa 41 mil casos. Disponível em: https://www.jota.info/paywall?redirect_to=//www.jota.info/pesquisa-empirica/gdpr-vazamento-de-dados-41-mil-casos-06022019. Acesso em: 11/02/2019.

6 Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN. Acesso em: 12/02/2019.

7 Artigo 4, item 16 c/c considerando 36 do regulamento.

Ver considerando 32 do GDPR.

BRASIL. Lei 13.709 de 2018. Art. 52. “Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (...)

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; ” (sublinhou-se)

10 É interessante fazer um paralelo entre este aspecto da decisão e o tópico de competência da comissão francesa anteriormente abordado. Embora a natureza da violação ao GDPR fosse multinacional, a CNIL, na hora de quantificar a pena, pareceu ater-se somente aos danos e potenciais danos causados aos seus jurisdicionados franceses, o que, a priori, pode abrir caminho para que outras autoridades de outros Estados-Membros também processem o Google pelas violações que atingiram seus respectivos cidadãos.