Migalhas de Peso

Violação transfronteiriça de privacidade e ações coletivas: o caso 'Zoom' nos EUA e as lições para o direito brasileiro

Um acordo envolvendo reclamações de violação de privacidade apresentadas contra o Zoom nos Estados Unidos custou 85 milhões de dólares à plataforma de videoconferência que se tornou absolutamente popular durante a pandemia.

16/8/2021

(Imagem: Arte Migalhas)

Um acordo envolvendo reclamações de violação de privacidade apresentadas contra o Zoom nos Estados Unidos custou 85 milhões de dólares à plataforma de videoconferência, que se tornou absolutamente popular durante a pandemia. Até a expressão ‘zooming’ foi cunhada para denominar novos padrões de comunicação no isolamento social provocado pela Covid-19, entre os encontros remotos em eventos, aulas e reuniões.

Desde maio do ano passado, o Zoom vinha enfrentando uma ação coletiva nos Estados Unidos, com base nos pedidos feitos por usuários que alegavam violação da proteção de privacidade e informações pessoais. Segundo as principais alegações de usuários, a plataforma havia: (i) utilizado ferramentas de criptografia ponta-a-ponta aparentemente disponíveis para enganá-los a respeito das funcionalidades do serviço, (ii) compartilhado indevidamente os dados de usuários com terceiros e (iii) fornecido controles de segurança e privacidade inadequados, resultantes no chamado “zoombombings”. Conforme definido na minuta de acordo proposta pela empresa, Zoombombings são “interrupções indesejadas e não autorizadas” de reuniões de Zoom, que causaram vários problemas e interrupções para Zoom e seus usuários. O Departamento de Justiça dos EUA, no ano passado, considerou delito criminal a prática de ‘zoombombing’ por usuários externos (interrupção das reuniões via Zoom); para as pessoas que os conduzem há sanções, como multas ou detenção com base em outros tipos penais previstos nas leis estatais ou federais nos Estados Unidos. 

O acordo preliminar (‘settlement agreement’) para pagamento da quantia em questão pela plataforma Zoom foi apresentado durante o último final de semana de julho à Corte do Distrito Norte da California e agora aguarda a homologação em juízo até outubro deste ano. A juíza do caso é magistrada Lucy Koh, famosa por lidar com ações coletivas semelhantes envolvendo grandes empresas no Estado da California, e que provavelmente deve aprovar o pedido. Ao total, de março a maio de 2020, foram intentadas 14 ações judiciais contra o Zoom, então consolidadas em uma ‘class action’. Se aprovado o valor proposto de 85 milhões de dólares, a quantia indenizatória será distribuída entre usuários, de tal modo que os que pagaram por um conta (assinatura) estariam qualificados para receber 15% do valor que pagaram para o Zoom por suas assinaturas.

Enquanto o Zoom ganhou $1,3 bilhões em assinaturas de membros entre 2020 e a presente data, a empresa considerou a razoabilidade do acordo de 85 milhões de dólares, sobretudo em função dos riscos significativos de litígio. Litigar nos Estados Unidos, como conhecido por advogados e especialistas em solução de disputas, é muito caro. Uma ação judicial perante tribunais estadunidenses envolve fases preparatórias, júri, decisão final e recursos.   

Além do pagamento dos 85 milhões de dólares, a plataforma Zoom também concordou em estabelecer várias mudanças em seus termos de serviços, centrados na melhoria da segurança, no reforço da privacidade, e na salvaguarda dos dados dos consumidores digitais. A empresa concordou, ainda, em permitir notificações na reunião para facilitar aos usuários a compreensão de quem pode ver, guardar, e compartilhar as informações e conteúdos gerados pelos usuários do Zoom. O risco imediato dos ‘zoombombings’ reside no efeito de diluição da proteção da privacidade de dados de usuários – pessoais e não-pessoais, além de probabilidade de apropriação ilegal de dados por terceiros, externos à cadeia de operações envolvendo tratamento de dados segundo as leis nacionais. Segundo as modificações a serem introduzidas no serviço da plataforma, haveria um alerta para usuários no caso de um anfitrião de reunião ou outro participante utilizarem aplicativo ou programa, desenvolvido por terceiros, durante uma sessão de reunião (por exemplo, um gravador de tela, um decodificador de mensagens privadas entre usuários, um transmissor de streaming ou carregador de conteúdo postado dentro da reunião). Ainda segundo o Acordo, o Zoom também não reintegrará o kit de desenvolvimento de software (SDK) do Facebook para iOS nas reuniões do Zoom durante um ano, e solicitará que o Facebook elimine quaisquer dados de utilizador dos EUA obtidos do SDK.

Para o Brasil, o caso descrito é um exemplo entre casos semelhantes a serem trazidos perante a Autoridade Nacional de Proteção de Dados - ANPD, dentre suas competências estabelecidas pela LGPD, e aqueles que podem ser judicializados com fundamento na Lei. Isso porque a LGDP prevê, em seu Art. 22, o direito de titulares de dados pessoais de recorrer aos tribunais para tutela individual ou coletiva, e, nessas hipóteses, o processamento das demandas será disciplinado pelas regras do Código de Processo Civil, tratados e convenções de que o Brasil é parte, e da legislação especial em tutela coletiva. Inclusive, valores em termos de ajustamento de conduta e decisões indenizatórias poderão ser revertidos para o Fundo de Defesa de Direitos Difusos, particularmente nas situações específicas envolvendo demandas de interface com direitos do consumidor, infração à ordem econômica, e outros interesses difusos e coletivos.  

Da mesma forma que a ANPD, em suas atribuições relacionadas ao processo administrativo de apuração de condutas dos agentes de tratamento relacionadas à violação das normas de proteção de dados e aplicação de sanções e multas, os tribunais não estão impedidos de apreciar demandas fundadas na LGPD. A ANPD ainda deverá definir, por regulamento, as regras aplicáveis sobre procedimento envolvendo sanções administrativas aplicadas em casos de violação à LGPD, compreendendo, ainda, as metodologias que guiarão o cálculo do valor-base de multas. Segundo o Art. 52, inciso II, da lei, a multa poderá ser de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, até o patamar de R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Importante observar que a atuação da ANPD, como autoridade regulatória, exercendo a jurisdição administrativa, não exclui o recurso ao Judiciário, como tem sido observado corretamente por especialistas, sobretudo os que consideram, igualmente, o caráter coletivo do direito fundamental à privacidade e proteção de dados pessoais. Grandes blocos de questões e controvérsias poderão entrar em cena nos tribunais brasileiros, como discussões sobre a repercussão coletiva e constitucional da violação de obrigações gerais e específicas por parte de agentes de tratamento, irregularidade no tratamento, mas também aquelas da violação dos direitos de titulares. O próprio STF, na decisão declarando a inconstitucionalidade da Medida Provisória 954/2020 (entrega de dados ao IBGE pelas operadoras de telefonia), adiantou os subsídios para a interpretação conforme à Constituição de direitos que informam a LGPD. Casos de compartilhamento de dados, por exemplo devem ser testados segundo as bases de tratamento e obrigações a controladores de dados, em linha com a LGPD e Constituição. A Constituição também garante liberdades aos agentes econômicos na modelagem de políticas de privacidade ajustadas ao direito brasileiro e normas internacionais relevantes.

O exercício casuístico da plataforma Zoom, como visto da perspectiva da prática dos acordos submetidos a homologação pelos tribunais dos Estados Unidos da América, demonstra ainda que grandes conglomerados de tecnologia buscarão mitigar os riscos de excessiva judicialização nas demandas coletivas ao redor do globo. Empresas perceberam os graves riscos - reputacionais, prejuízos financeiros, conflitos com acionistas e perdas de valor de mercados - que decorrem das más experiências envolvendo condutas de violação de privacidade de dados de usuários, clientes e consumidores. Da mesma forma, elas buscarão evitar o tensionamento político em matéria de dados, esse, aliás, promovido por algumas autoridades regulatórias descomprometidas com graus de transparência, respeito aos padrões democráticos e império da lei. Certamente, a ANPD brasileira fará rota contrária, fomentando o diálogo e permitindo que atores interessados em cultura de privacidade e proteção de dados ocupem um lugar dentro das instituições da governança digital.

Fabrício Bertini Pasquot Polido
Advogado, professor associado de Direito Internacional, Direito Comparado e Novas Tecnologias da Faculdade de Direito da UFMG, doutor em Direito Internacional pela USP e sócio das áreas de Inovação & Tecnologia e Solução de Disputas de L.O. Baptista.

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas Quentes

Especialista avalia que nova política de privacidade do WhatsApp "não será muito bem vista"

11/1/2021

Artigos Mais Lidos

“Salve o Corinthians”

24/12/2024

Comentários ao acórdão proferido no RE 107.248 sobre terço de férias

26/12/2024

Doença degenerativa da coluna lombar aposenta? Entenda!

26/12/2024

A utilização da inteligência artificial no franchising

24/12/2024

Comentários ao anteprojeto do Código de Processo do Trabalho - Do incidente de declaração de grupo econômico (art. 115)

25/12/2024