BGH manda Facebook suspender imediatamente a coleta abusiva de dados pessoais
terça-feira, 30 de junho de 2020
Atualizado às 08:46
Não é de hoje que o Judiciário alemão tem combatido a coleta indevida de dados pessoais pelo Facebook. E isso, por uma razão muito simples: a prática prejudica não apenas os usuários, mas também a concorrência. Foi o que disse semana passada o Bundesgerichtshof, a corte infraconstitucional alemã.
A coleta predatória de dados
Atualmente, não é mais novidade para ninguém que quem se registra no Facebook acaba fornecendo uma série de dados pessoais à empresa, os quais variam desde dados sobre a pessoa até informações referentes ao aparelho e à conexão utilizada para se conectar à plataforma.
Sabe-se hoje também que a empresa coleta uma infinidade de dados do usuário quando ele utiliza a plataforma, que é, por assim dizer, a fonte direta de coleta de dados pela empresa.
Mas, além dessa fonte direta, a companhia liderada por Mark Zuckerberg é alimentada diariamente com dados provenientes de fontes indiretas, como WhatsApp e Instagram, pertencentes ao conglomerado digital.
Não só: a empresa ainda consegue sugar dados de qualquer internauta que, surfando despretensiosamente num site qualquer, clicar no botão de curtida do Facebook, chamado plug in, instalado no site. Detalhe: isso ocorre ainda quando o internauta sequer tenha perfil no Facebook. O Tribunal de Justiça Europeu já se manifestou sobre essa específica prática, em 2019, provocado por consulta do Tribunal de Justiça (Oberlandesgericht) de Düsseldorf, na Alemanha, comentado aqui nessa coluna.
De posse de toda essa infinidade de dados pessoais, o Facebook traça um perfil individual do usuário, mais preciso que qualquer psicólogo bem qualificado, e vende esse perfil para diversas empresas interessadas em ofertar produtos e serviços para o usuário. No mundo digital, é exatamente o fato de ser uma fonte inesgotável de dados que faz o (alto) valor de mercado do Facebook, segundo o Bundeskartellamt (BKartA), a agência antitruste alemã.
As condições gerais de uso do Facebook, elaboradas unilateralmente pela empresa e aceita pelos usuários, permitem evidentemente a coleta, o processamento e a utilização dos dados coletados, dando aparência de legalidade às práticas comerciais da empresa. Afinal, por meio delas, o usuário concede uma licença de uso gratuita à empresa em troca da utilização da plataforma de comunicação.
Mas, a verdade é que os usuários aderentes são obrigados a dar sua concordância com a ampla coleta e tratamento de dados, sob pena de não fazer parte da maior rede social do planeta, havendo aqui verdadeira imposição unilateral das condições contratuais, sem qualquer possibilidade de negociação.
E, ademais, os usuários pagam com seus dados pessoais pelo uso da plataforma. Afinal, o conto da carochinha de que o usuário usaria de graça a plataforma caiu por terra quando o mundo começou a entender o modelo de negócio desenvolvido pelo Facebook e se deu conta de que os dados pessoais são o ouro do século 21.
O que, de fato, ocorre é que o Facebook cede o uso da plataforma digital em troca dos valiosos dados pessoais dos usuários, o que configura um contrato oneroso sui generis, no qual a contraprestação não se dá em dinheiro, mas na cessão do uso dos dados pessoais, que a empresa converte em milhões de dólares com muita habilidade.
Mas aqui surgem dois problemas. O primeiro é que a coleta dos dados é feita sem o consentimento expresso e consciente do usuário, que sequer tem mecanismos para recusar a coleta dos seus dados, em clara afronta ao art. 6, inc. 1, alínea a) da lei alemã de proteção de dados. O segundo, é que a empresa suga não apenas dados na própria plataforma, mas também em outras plataformas e, dessa forma, lesa não apenas os usuários, mas também a concorrência.
Diante da coleta desenfreada de dados pessoais e de sua comercialização, o órgão antitruste alemão percebeu que, no frigir dos ovos, essa prática do Facebook configura, no plano do direito concorrencial, abuso da posição dominante no mercado, conduta vetada no § 19, inc. 1 da lei antitruste - Gesetz gegen Wettbewerbsbeschränkungen (GWB).
O processo administrativo no Bundeskartellamt
Por conta disso, o BKartA instaurou processo administrativo contra a empresa por violação do art. 6, inc. 1, alínea a) da lei de proteção de dados e do § 19, inc. 1 da GWB. Para a agência antitruste, o Facebook domina o mercado alemão enquanto fornecedor de rede social de comunicação e abusa de sua posição dominante ao coletar ilegalmente dados pessoais de usuários e internautas, dentro e fora de sua plataforma.
Por isso, em 2019, o Bundeskartellamt determinou a suspensão imediata da coleta de dados sem o consentimento livre, expresso e individualizado de seus usuários, afirmando que os termos de uso do conglomerado não legitimam a prática.
Assim, o BKartA impôs ao Facebook o dever de pedir autorização ao usuário sempre que pretender coletar seus dados em qualquer plataforma, facultando ao titular recusar a coleta de dados. Ou seja: não basta a autorização genérica no momento da criação da conta no Facebook, tem que haver concordância prévia para toda e qualquer coleta de dados.
Contra essa decisão, o Facebook interpôs recurso ao Tribunal de Justiça de Düsseldorf, que ainda não se manifestou sobre o caso.
Nada obstante, o Oberlandsgericht Düsseldorf levantou dúvidas acerca da assertividade da decisão do BKartA e recebeu o recurso interposto com efeito suspensivo, de modo que a proibição do órgão anticoncorrencial permaneceu inexequível. Trata-se da decisão OLG Düsseldorf Az VI-Kart 1/19 (V), proferida em 26/8/2019.
Segundo a Corte estadual, nem toda conduta ilegal no domínio do mercado configura violação ao direito concorrencial, sendo indispensável a prova de rígido nexo causal para a configuração do suporte fático descrito no § 19 I GWB, ausente no caso concreto.
Segundo o OLG Düsseldorf, a concordância do usuário no tratamento dos dados pessoais resultaria de ato de autonomia privada e não do aproveitamento, pelo Facebook, de uma situação de necessidade ou de falta de alternativa do usuário. Além disso, disse o Tribunal, o BKartA não demonstrou como a coleta de dados obstrui deslealmente a concorrência.
A decisão do Bundesgerichtshof
A Corte de Karlsruhe, entretanto, discordou do entendimento do OLG Düsseldorf e cassou a decisão que atribuiu eficácia suspensiva do recurso. Segundo o BGH, é inegável a posição dominante do Facebook no mercado alemão de redes sociais e que a empresa abusa dessa posição.
A decisão provisória foi tomada pela Câmara (Senat) especializada em direito concorrencial semana passada, dia 23/6/2020.
Segundo a Corte, o fato do usuário não ter possibilidade de impedir a coleta de seus dados, inclusive fora da plataforma do Facebook, viola não apenas a autonomia pessoal do usuário, mas também seu direito à autodeterminação informacional, tutelado expressamente na lei alemã de proteção de dados.
Além disso, as condições de uso do Facebook são aptas a prejudicar excessivamente a concorrência, pois o acesso do Facebook a uma base tão imensa de dados fortalece sua posição no mercado, contribuindo para a lucratividade de seu modelo de negócio. Dessa forma, o poder excessivo do Facebook sobre os dados pessoais de bilhões de pessoas dificulta que seus potenciais concorrentes tenham êxito no mesmo mercado.
Por isso, o BGH confirmou a decisão do órgão antitruste, que determinou a imediata paralisação da coleta abusiva de dados. Essa coleta só pode ser feita com a prévia concordância, livre e ativa, do titular todas as vezes que a empresa pretender realizar a coleta, permitindo-lhe, inclusive, desautorizar o procedimento. Agora, o Facebook tem quatro meses para apresentar ao Bundeskartellamt mecanismos hábeis a colher o consentimento prévio dos titulares dos dados pessoais.
As repercussões da decisão
Embora tenha apenas retirado a eficácia suspensiva do recurso interposto pelo Facebook, a decisão do BGH provocou reação imediata, pois dá uma clara orientação ao Tribunal a quo.
Ela foi saudada pelo Presidente do Bundeskartellamt, Andreas Mundt, que alertou para algo hoje muito evidente: dados são um fator decisivo para o poderio econômico e isso vale principalmente no mercado digital. Quando dados pessoais são coletados e utilizados ilegalmente, é necessário a intervenção do órgão antitruste a fim de evitar abusos no poder de mercado, disse1.
Não é de hoje que as práticas abusivas do Facebook vem sendo denunciadas na Europa. A coleta ilimitada e generalizada de dados, inclusive fora de sua própria plataforma, afronta o sentido e o fim último da lei de proteção de dados e reduz a pó o direito fundamental à autodeterminação informacional, componente inafastável da autonomia privada. Essa coleta predatória não pode ser chancelada com o pálido consentimento, colhido de forma genérica e sem qualquer possibilidade de recusa pelo usuário.
Da mesma forma, não se pode tolerar que players privados do mercado pretendam alterar, através de termos de uso unilaterais e abusivos, os princípios e regras estruturantes do direito vigente nos países, como têm feito mundo afora o Facebook e outros conglomerados digitais no afã de escapar às normas impositivas de direito obrigacional, contratual e, não por último, sucessório, como dá prova a discussão em torno da herança digital, que esses conglomerados têm alimentado com o inebriante discurso da proteção da privacidade e intimidade, embora reste evidente o interesse comercial por trás da cortina de fumaça.
A proteção de dados no Brasil
No Brasil, a proteção de dados pessoais ainda está engatinhando, mas tem sido feita, de forma consequente, pelo Judiciário com base na Constituição vez que a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) tem tido adiada sob os mais diversos subterfúgios. Um dos últimos atos desse drama foi protagonizado pelo próprio Parlamento, que, com o PL 1.179/2020, pretendeu adiar a LGPD para 2021.
Após muitas críticas, o citado projeto foi modificado e, transformado na lei 14.010/2020, acabou adiando a vigência das sanções administrativas para agosto de 2021. Ninguém sabe, contudo, quando a LGPD entrará em vigor, pois a MP 959/20 também adiou sua vigência para maio de 2020.
Lamentável, porém, ver o próprio Parlamento adiar a LGPD justamente durante um período sensível como o da pandemia de Covid-19, quando dados pessoais dos cidadãos estão sendo coletados para fins de combate à propagação do coronavírus, tanto pelo Estado, como por particulares.
Na Alemanha, onde a vida começa a voltar ao "novo normal", muitos empregadores estão coletando dados pessoais - inclusive dados sensíveis, como informações sobre a saúde dos funcionários - para poder adotar medidas de proteção eficientes no local de trabalho, protegendo os demais funcionários. Se lá essa coleta está sendo devidamente acompanhada e fiscalizada pelos agentes de proteção de dados, o mesmo não ocorrerá por aqui, caso tais dados sejam coletados, até porque falta, além do diploma legal, órgão competente para tal.
Mas não só. Em alguns lugares já se encontram detectores de temperatura corporal, câmeras com reconhecimento facial e aplicativos para rastrear pessoas infectadas ou suspeitas de contaminação.
Não custa lembrar ainda que o governo Federal baixou a MP 954/20 determinando que as empresas de telefonia móvel e fixa enviassem os dados de seus clientes ao IBGE sob a (vaga) justificativa de que tais dados seriam utilizados em pesquisas e trabalhos desenvolvidos na área de saúde, com vista ao enfrentamento dos efeitos da pandemia do coronavírus.
O STF, porém, manteve a suspensão do repasse dos dados de pessoas físicas e empresas ao IBGE, determinada inicialmente pela Min. Rosa Weber em sede de medida cautelar na ADI 6.387 sob a justificativa de que a medida colocava em risco o direito à intimidade, privacidade e proteção de dados pessoais dos cidadãos, violando a Constituição.
Um dos muitos pontos problemáticos era que a MP 954/20, além de não explicar claramente como e para quê os dados seriam utilizados, não apresentava qualquer mecanismo apto a proteger os dados pessoais contra acessos não autorizados, vazamentos acidentais ou utilização indevida, bem como não assegurava o sigilo e o anonimato dos dados, pondo em risco direitos fundamentais das pessoas.
Aqui vale lembrar que a questão da proteção de dados pessoais diz respeito não apenas à tutela da autodeterminação informacional do cidadão, mas à tutela do Estado democrático de direito, diante do risco, real no mundo contemporâneo, de controle das pessoas e de manipulação de dados para fins políticos.
__________