No início deste mês, o presidente do Facebook Inc., Mark Zuckerberg, confirmou os planos para implementar a integração dos aplicativos WhastApp, messenger e instagram direct, todas plataformas de mensagens independentes que pertencem ao grupo econômico Facebook, do qual Zuckerberg é o atual diretor executivo.
Em meio aos escândalos de privacidade e vazamento de dados que envolveram a referida rede social nos últimos meses, um ponto a ser analisado diz respeito à legalidade da proposta de combinação relativamente à proteção de Dados Pessoais, tópico este de extrema relevância na atualidade, em especial na União Europeia.
O mercado europeu é um dos maiores e mais importantes consumidores de tais aplicativos e, tendo em vista o standard criado pelo GDPR (do inglês General Data Protection Regulation, ou Regulamento Geral sobre a Proteção de Dados), uma posição favorável ou contrária à integração pode afetar o projeto da empresa em escala mundial, inclusive influenciando decisões similares sobre privacidade e proteção de dados em outros continentes.
O Bundeskartellamt - órgão de controle à concorrência da Alemanha (semelhante ao Cade no Brasil) - em Fevereiro de 2019, antes mesmo de os planos da empresa serem oficialmente confirmados, expressou sua posição contrária à integração dos três aplicativos. Além das questões relacionadas ao direito da concorrência, o órgão alemão demonstrou preocupação com a privacidade e proteção de dados dos usuários.
Nesse contexto, entendeu o Bundeskartellamt que, por causa da posição dominante que o Facebook teria no mercado, o consentimento dos titulares de dados pessoais para o processamento de dados pessoais não seria livre e voluntário, o que contrapõe o previsto no artigo (6)(1)(a) do GDPR. Nesse cenário, devido à escassez de outras opções de aplicativos de mensagens instantâneas disponíveis no mercado, os usuários se sentiriam forçados a consentir com o processamento dos dados pessoais, o que é incongruente com o regulamento europeu.
Outro ponto de incógnita se lastreia no artigo (6)(1)(f) do regulamento europeu: com a possível unificação do sistema de mensagens do WhastApp, Facebook messenger e instagram direct, qual seria a base legal (ou licitude do tratamento) que o grupo econômico usaria para o processamento de dados dos usuários? Seria o tratamento dos dados necessário para efeito dos interesses legítimos do Facebook? De acordo com o órgão alemão, o processamento dos dados pessoais seria quase ilimitado e, por essa razão, o projeto tem sido visto com resistência pelo Bundeskartellamt.
Em sentido análogo, a Comissão Irlandesa de Proteção de Dados - autoridade competente responsável pela fiscalização do Facebook na União Europeia em matéria de proteção de dados pessoais- também afirmou estar atenta e observar minuciosamente este movimento da empresa, inclusive solicitando informações ao Facebook sobre tal proposta de integração. A referida Comissão também lembrou que tal projeto deve estar em harmonia com os preceitos do GDPR para que a integração seja válida nos países em que o Regulamento está vigente.
O artigo 6 do GDPR dispõe a respeito da licitude do tratamento dos dados pessoais (tais como a coleta, organização, estruturação, conservação, adaptação, alteração, recuperação, consulta, utilização, divulgação) e oferece uma série de bases legais para que eles sejam processados, tais como o consentimento do titular (que deve ser concedido de forma livre), necessidade do tratamento para o cumprimento de contrato ou de obrigação e a necessidade do tratamento para efeito de interesses legítimos do responsável pelo tratamento ou por terceiros, desde que não se sobreponham aos direitos e interesses dos titulares.
Dessa forma, além de observar outros preceitos do GDPR, os responsáveis pelo tratamento (data controllers) e os subcontratantes (data processors) devem identificar e adotar qual é a base legal utilizada por eles para que o processamento dos dados seja feito de forma lícita e congruente com o referido regulamento da União Europeia, pois o processamento lícito, justo e de forma transparente é um dos princípios para o tratamento de dados pessoais.
Estas são as perspectivas quanto à União Europeia. Mas como a integração dos aplicativos será regulada no Brasil em relação à proteção de dados pessoais dos usuários?
Proteção de dados pessoais no Brasil
A Lei Geral de Proteção de Dados (LGPD), claramente inspirada no regulamento europeu, entrará em vigor em fevereiro de 2020. Nesse viés, o Facebook tem cerca de 01 ano para analisar e realizar compliance com as normas e princípios do ordenamento jurídico brasileiro, caso tenha por objetivo a continuidade de seus serviços e aplicativos no Brasil.
Nos moldes do GDPR, a LGPD também elenca o consentimento dos titulares como uma das hipóteses para o tratamento de dados pessoais, desde que ele seja fornecido por escrito ou por outro meio capaz de demonstrar a manifestação de vontade do titular (inteligência dos artigos 8 e 7, inciso I). Além disso, o artigo 8o determina que:
- a cláusula de consentimento deverá ser destacada das demais cláusulas;
- o controlador terá o ônus de comprovar a obtenção do consentimento de acordo com a LGPD;
- em caso de vício de consentimento, o tratamento de dados é proibido;
- as autorizações genéricas para o processamento de dados serão nulas, de forma que o consentimento deverá ser concedido em relação à finalidades determinadas;
- o consentimento do titular pode ser revogado a qualquer momento caso ele se manifeste expressamente nesse sentido.
Portanto, o plano de integração proposto pelo Facebook deve se adequar não somente às normas de proteção à concorrência ao redor do globo, mas também aos preceitos de proteção de dados pessoais do GDPR, da LGPD e de outras leis sobre a matéria.
Nessa perspectiva, além de observar os princípios relacionados à proteção de dados -- tais como a integridade e confidencialidade, limitação das finalidades, minimização dos dados, licitude, lealdade, transparência e responsabilidade --, respeitar os direitos dos titulares, atentar-se para as peculiaridades e ditames dos sistemas de transferência internacional de dados pessoais, conformar-se às demais regras e boas práticas de proteção de dados, deve-se identificar e pôr em prática as bases legais previstos no GDPR e na LGPD, com o objetivo de que o processamento de dados seja realizado de forma lícita e em harmonia com as leis de proteção de dados pessoais.
__________
BUNDESKARTELLAMT. Facebook; Konditionenmissbrauch gemäß § 19 Abs. 1 GWB wegen unangemessener Datenverarbeitung. Acesso em: 9/3/19.
DATA PROTECTION COMMISSION. Data Protection Commission statement on proposed integration of Facebook, WhastApp and Instagram. Acesso em: 9/3/19.
HERN, A. EU data watchdog raises concerns over Facebook integration | Facebook | The Guardian. Acesso em: 9/3/19.
REDAÇÃO OLHAR DIGITAL. Entenda por que a Alemanha não quer a integração de Messenger, Instagram e WhastApp. Acesso em: 9/3/19.
__________
*Estela Schmidt é advogada, LL.M. em direito europeu e transnacional da Propriedade Intelectual e da Informação tecnológica pela University of Göttingen e bacharel em Direito pela Universidade Presbiteriana Mackenzie.
*Mateus Mello Garrute é advogado e consultor do escritório Pimenta Advocacia e Consultoria Jurídica, mestre em direito processual pela UFES e LL.M. em direito europeu e transnacional da Propriedade Intelectual e da Informação tecnológica pela University of Göttingen.