(i) Introdução
A recente entrada em vigor da lei geral europeia de proteção de dados, o GDPR, trouxe consigo uma verdadeira torrente de atualizações de Termos de Uso e Políticas de Privacidade por empresas de tecnologia do mundo todo.
Aplicável a todas as sociedades que tratem dados em território europeu, ainda que não sediadas na Europa, o GDPR estabelece altas multas àquelas que não se adequarem às suas diretrizes.
Entre nós, foi publicada, em 16/8/18, a lei 13.709/18, conhecida como lei geral de proteção de dados (LGPD) que, seguindo os moldes da lei europeia, regulamenta o tratamento de dados em território brasileiro.
Dessa forma, empresas que operam em ambiente digital devem se adaptar às normas do GDPR e da nova lei brasileira de proteção de dados a fim de se protegerem das multas lá cominadas.
Muitas vezes, entretanto, a mera atualização de Termos de Uso e Políticas de Privacidade não é suficiente para garantir sua eficácia e adequação às supracitadas leis de proteção de dados. Deve-se atentar para aspectos práticos, que, se não implementados corretamente, podem vir a invalidar referidos documentos, deixando as empresas desprotegidas em caso de eventual disputa.
Neste artigo, analisaremos um dos pontos de fundamental importância para a eficácia dos termos de determinada aplicação de internet1: o consentimento do usuário.
(ii) Definição de consentimento
Inicialmente, importante ressaltar que tanto os Termos de Uso como as Políticas de Privacidade são negócios jurídicos estabelecidos entre a sociedade que opera em ambiente digital e seus usuários.
Para que sejam válidos e eficazes, devem ser levados ao conhecimento dos usuários, que, por sua vez, devem manifestar sua aceitação.
No direito contratual, aceitação é o ato pelo qual uma pessoa manifesta, de modo inequívoco, seu consentimento às cláusulas de um contrato. Por meio da aceitação, aperfeiçoa-se o vínculo contratual2.
Enquanto no mundo físico a aceitação se dá, via de regra, pela assinatura do instrumento contratual, no mundo digital esta pode ser manifestada pelo preenchimento de um formulário eletrônico, envio de e-mail, ou até mesmo por um simples clique do usuário determinada checkbox ou link.
A coleta de dados do usuário somente poderá ser realizada após obtenção de seu consentimento válido, sob pena da aplicação das multas cominadas pelo GDPR e, em breve, pela LGPD.
Mas como garantir que o consentimento será válido?
Para responder a essa questão, devemos analisar o conceito de consentimento nas recentes leis de proteção de dados.
O artigo 4 (11) do GDPR define consentimento como "manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento"3.
No mesmo sentido, a LGPD apresenta definição semelhante em seu artigo 5º, XII:
Art. 5º Para os fins dessa lei, considera-se:
XII: consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Dos artigos supracitados, depreendem-se os seguintes elementos constitutivos do consentimento válido: (a) Consentimento livre; (b) informado; (c) inequívoco; e (d) para finalidade específica e determinada.
Passemos, portanto, à análise de cada um deles.
(a) Consentimento livre
Para que o consentimento seja considerado livre, deve ser conferido ao usuário pleno controle sobre o tratamento de seus dados pessoais. O usuário deve poder escolher quais dados fornecer, quais dados não fornecer, e deve poder retirar seu consentimento a qualquer momento.
Em outras palavras, não pode o usuário ser compelido a consentir com o tratamento de seus dados pessoais para ter acesso a determinada aplicação de internet. Nesse caso, o consentimento do usuário não é considerado livremente fornecido, podendo o contrato ser invalidado por ineficácia da aceitação.
Entretanto, existem hipóteses em que o tratamento de dados é essencial ao regular funcionamento da aplicação de internet. Nesses casos, é justificável que se condicione o acesso à aceitação do tratamento de dados essenciais.
Para determinar quais dados são fundamentais à prestação dos serviços, importante determinar o escopo da aplicação de internet em questão.
A Autoridade Europeia de Proteção de Dados (EDPB), ao publicar as diretrizes de interpretação do GDPR4, fornece como exemplo o caso de aplicativo móvel para edição de fotos que condiciona o acesso do usuário ao fornecimento de dados de localização via GPS. A geolocalização, obviamente, não é informação essencial para o funcionamento de aplicativo de edição de imagens, de forma que o consentimento, nesse caso, não é considerado livre.
Não obstante, o consentimento para tratamento de dados essenciais deve ser destacado dos demais, subsistindo a liberdade de escolha do usuário quanto ao fornecimento de dados não obrigatórios.
Em resumo, o consentimento só pode ser exigido, como condição ao acesso a determinada aplicação de internet, em relação ao tratamento de dados absolutamente necessários à prestação dos serviços em questão. Caso as exigências extrapolem o escopo dos serviços a serem prestados, o consentimento não será livre.
(b) Consentimento informado
Ao ponderar pelo tratamento de seus dados pessoais, o usuário deve ter informações suficientes sobre a empresa, os serviços e o tratamento de seus dados, a fim de que possa entender o escopo do contrato ao qual está aderindo e tomar uma decisão consciente.5
Para que o consentimento seja considerado informado, devem ser fornecidas aos usuários, ao menos, informações sobre a identidade da empresa responsável pelo tratamento de dados e as finalidades a que o tratamento se destina6.
A aceitação do usuário, como ato jurídico, sujeita-se ainda aos chamados vícios de consentimento (erro, dolo, coação, etc.), os quais, quando verificados, importam na ineficácia da manifestação de vontade e consequente nulidade do vínculo contratual7.
Não se pode admitir a validade de consentimento, por exemplo, de quem assentiu por erro ou ignorância. Por esse motivo, é fundamental que empresas de tecnologia sejam transparentes com seus usuários, fornecendo-lhes o máximo de informações possíveis sobre seus modelos de negócios e finalidades da coleta de dados.
(c) Consentimento inequívoco
O consentimento inequívoco depende de manifestação por meio de um ato positivo do usuário. Em outras palavras, deve haver uma ação do usuário indicando sua aceitação, seja pelo envio de um e-mail, assinatura eletrônica, ou até mesmo por um clique em local determinado.
A aceitação não pode ser passiva, de forma que o silêncio do usuário não pode ser considerado consentimento.
Antes da entrada em vigor do GDPR, não era incomum que aplicações de internet simplesmente incluíssem links para seus termos no rodapé de seus websites, não exigindo do usuário qualquer demonstração de concordância. Da mesma forma, não era incomum que tais documentos contivessem cláusulas indicando que o mero acesso à aplicação de internet seria considerado aceitação do usuário.
Com base na atual legislação, entretanto, tais práticas não são mais permitidas, por não ser o consentimento, nesses casos, inequívoco.
Outro exemplo que merece atenção é o uso de checkboxes indicando aceitação aos Termos de Uso ou Políticas de Privacidade quando do cadastro de novo usuário. Nos termos do GDPR, por depender o consentimento de uma ação positiva do usuário, é imprescindível que este efetivamente clique na respectiva checkbox indicando sua concordância. Caso referida checkbox já se encontre preenchida no formulário de cadastro, não haverá uma ação do usuário para aceitação, podendo o consentimento vir a ser invalidado em caso de disputa.
O mesmo vale para eventuais alterações aos Termos de Uso ou Políticas de Privacidade. Havendo modificações substanciais quanto ao modelo de negócios da empresa ou tratamento de dados dos usuários, por exemplo, o consentimento originalmente fornecido não será mais válido, sendo necessária comprovação de novo ato positivo do usuário demonstrando sua aceitação.
(d) Finalidade específica e determinada
Por fim, a coleta de dados deve ser sempre vinculada a uma ou mais finalidades específicas e informadas na respectiva Política de Privacidade, sendo coibido o uso de dados para fins não previstos, sem prévio consentimento do usuário.
(iii) Conclusão
Nota-se, portanto, que a validade do consentimento dos usuários aos Termos de Uso e Políticas de Privacidade de aplicações de internet independe da simples redação de referidos documentos.
Trata-se de aspecto prático que, se não implementado corretamente, pode tornar ineficazes termos cuidadosamente redigidos, deixando as sociedades que operam em ambiente digital desprotegidas em caso de eventual disputa.
A capacidade de comprovação de consentimento válido do usuário é uma dentre muitas questões fundamentais para a proteção de empresas digitais às altas multas cominadas pelo GDPR e pelo recém aprovado PLC 53/18.
Por esse motivo, advogados devem atuar em conjunto com seus clientes para, entendendo o modelo de negócio proposto, sugerir soluções práticas capazes de garantir a validade e eficácia de Termos de Uso e Políticas de Privacidade.
__________
1 Segundo o artigo 5º, VII, do Marco Civil da Internet (lei 12.965/14), considera-se aplicação de internet o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet.
2 SILVA, De Plácido e. Vocabulário Jurídico. 28a. Ed. Rio de Janeiro – Forense: 2009, p. 48
3 GDPR Article 4 (11) ‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her
4 Article 29 Working Party; Guidelines on consent under Regulation 2016/679.
5 SILVA, De Plácido e. Vocabulário Jurídico. 28a. Ed. Rio de Janeiro – Forense: 2009
6 GDPR, Recital 42.
7 Código Civil, artigos 138 e seguintes.
__________
*Thiago Barrizzelli Murino é advogado do escritório Amaral Gurgel Advogados.