Políticas de proteção de dados e privacidade e o mito do consentimento
sexta-feira, 15 de janeiro de 2021
Atualizado às 08:18
Quem já não ouviu falar nas políticas de privacidade e políticas de proteção de dados? Mesmo aqueles que não atuam na área de proteção de dados, estes documentos já fazem parte do cotidiano de todos nós. Smart Phones, Smart TVs, além de todas as aplicações de Internet apresentam estes documentos, demasiadamente extenso e pouco ou quase nenhum pouco explicativo, com os quais os usuários devem anuir para poder usufruir destes bens e serviços.
Neste contexto, surgem graves problemas quanto ao consentimento destes usuários, que geralmente concordam sem ao menos ler estes textos longos e fartos do "juridiquês". Há vários estudos e pesquisas que demonstram os problemas que surgem pelo fato dos usuários não lerem as denominadas EULA.1 Estes motivos va~o desde a pressa e ingenuidade do usuário à complexidade de compreensão dos termos usados pelo fornecedor. Entretanto, o consentimento deve ser informado, isto é, o conteúdo das políticas de proteção de dados e privacidade deve efetivamente chegar ao conhecimento dos usuários.
Neste texto, pretende-se analisar em que consistem estas políticas de proteção de dados e privacidade, indicando o seu conteúdo mínimo e indicando algumas sugestões para o compliance à LGPD2. Ademais, o texto enfrenta o fenômeno denominado "mito do consentimento", a indicar uma atuação constante da ANPD para a efetiva proteção dos titulares de dados pessoais.
Políticas de Proteção de Dados e Privacidade: conceito e conteúdo
As políticas de proteção de dados e privacidade, disponibilizadas nos sites dos agentes de tratamento de dados pessoais3, poderão assumir uma das três figuras, quais sejam: "shrink-wrap", "click-wrap" ou "browse-wrap"4. Por isso, torna-se ainda mais relevante o estudo dos contratos de adesão eletrônicos e dos termos e condições de uso.
Entretanto, via de regra, utiliza-se a expressão "políticas de privacidade". No entanto, entendemos que tal terminologia não é a mais adequada tendo em vista a distinção entre privacidade e proteção de dados. A origem do termo privacidade no sentido jurídico moderno remete ao famoso artigo de Samuel Warren e Louis Brandeis intitulado "The right to privacy". Nesta obra paradigmática, os autores definiram privacidade (privacy) como o direito de estar só ou, talvez mais preciso, o direito de ser deixado só ("right to be let alone")5. Este direito impõe que os agentes de tratamento exponham nas políticas de privacidade as obrigações para com as informações sobre a vida privada e intimidade do usuário (titular dos dados pessoais6).
O direito à proteção dos dados pessoais, por sua vez, é uma evolução do direito à privacidade, sintetizado por Stefano Rodotà7 que destaca as quatro fases de evolução do direito à privacidade, a saber: 1) do direito de ser deixado só ao direito de manter o controle sobre suas próprias informações; 2) da privacidade ao direito à autodeterminação informativa; 3) da privacidade a não discriminação; 4) do segredo ao controle.
Neste sentido, garante-se para além da privacidade, a autodeterminação informacional, entendida como o controle dos titulares dos dados de suas informações.8 Portanto, este direito assegura diversas ferramentas para o exercício de diversos direitos, hoje previstos nos arts. 18 e seguintes da Lei Geral de Proteção de Dados, a saber: a confirmação do tratamento e o acesso aos dados, a correção dos dados incompletos, inexatos ou desatualizados, a anonimização dos dados nos termos da lei, a portabilidade dos dados, a eliminação dos dados nos termos da lei e a revogação do consentimento, além de outros.
Em verdade tal distinção já estava estampada no Marco Civil da Internet que, no art. 3o, prevê a proteção à privacidade (inc. II) e a proteção dos dados pessoais (inc. III) em incisos distintos. Muito embora o MCI tenha previsto algumas destas ferramentas de proteção de dados (art. 7o, incisos VI a X), a LGPD trouxe um sistema de proteção de dados, inspirada claramente no Regulamento Geral europeu sobre Proteção de Dados (GDPR, Regulation 2018/679).
Assim, exige-se que estas políticas de privacidade e de proteção de dados pessoais estejam disponibilizadas de maneira fácil, com informações claras e completas sobre os contratos (art. 7o, inc. XI). Neste sentido, o art. 9o da LGPD determina:
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
I - finalidade específica do tratamento;
II - forma e duração do tratamento, observados os segredos comercial e industrial;
III - identificação do controlador;
IV - informações de contato do controlador;
V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI - responsabilidades dos agentes que realizarão o tratamento; e
VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta lei.
Diante da atual normativa, o agente de tratamento de dados pessoais deve indicar, no mínimo, nas políticas de proteção de dados pessoais a finalidade específica do tratamento, a forma e duração do tratamento, a identificação e informações do controlador, informações sobre o compartilhamento de dados pessoais e responsabilidade dos agentes de tratamento. A estas deve-se acrescentar a indicação do encarregado que, nos termos do art. 5o, inc. VIII da LGPD, será a pessoa indicada pelo controlador para atuar como canal de comunicação entre este e os titulares dos dados pessoais, bem como entre os controladores e a Autoridade Nacional de Proteção de Dados (ANPD). Ora se o encarregado tem esta função, os titulares dos dados devem ter todas as informações e como entrar em contato com esta figura afim de que possa exercer os direitos previstos na lei.
Substancialmente, os termos elencados na política de proteção de dados não podem contrariar o texto de lei, devendo-se atentar também aos deveres estabelecidos no CDC diante da possibilidade quase que certa de se enquadrar como fornecedor nos termos do art. 3o do CDC combinado com o art. 45 da LGPD.
Além do conteúdo das políticas de privacidade e de proteção de dados, os agentes de tratamento devem se atentar à técnica contratual empregada. Isto porque, se adotarem um "shrink-wrap", por exemplo um aparelho de Smart TV, comprado em uma loja, mas que o consumidor somente terá acesso aos termos destas políticas quando iniciar o uso do produto na sua casa, deve ser garantido a ele a devolução do bem (direito de arrependimento), caso ele não concorde com as políticas de privacidade e de proteção de dados. Ademais, se o fornecedor, no caso também, agente de tratamento não disponibilizar estes termos de maneira fácil, o "shrink-wrap" deve ser considerado inexistente por ausência de consentimento.9
Se, por outro lado, o instrumento utilizado for um "click-wrap", o titular dos dados apenas concluirá a compra se concordar com os termos, clicando no ícone correspondente. Somente este padrão pode garantir que o consumidor (titular dos dados) tenha a efetiva oportunidade de ler os termos antes de manifestar sua aceitação.
Outra possibilidade é inserir as políticas de privacidade e de proteção de dados no site do agente de tratamento por meio de um hiperlink, ou seja, um "browse-wrap". Nesta hipótese, destaca-se a necessidade de indicar ostensivamente a existência destes termos, cujo acesso deve ser facilitado, indicando a conduta do titular dos dados que implica em anuência. Assim, a prática contratual denominada "browse-wrap" com aviso (with notice) concilia a dinâmica das transações eletrônicas e a necessária transparência imposta tanto pelo CDC quanto pela LGPD. Esta prática tem sido usada para disponibilizar as políticas de uso de cookies, considerados este um dado pessoal, pois identifica ou pode identificar a pessoa.
A autodeterminação informativa e o mito do consentimento
De fato, o consentimento do titular de dados deve ser analisado com atenção, pois é uma das bases para o tratamento de dados elencadas no art. 7o da LGPD. A autodeterminação informacional é exercida por meio do consentimento do titular dos dados pessoais.10 A LGPD trouxe um conceito de consentimento no art. 5o, inc. XII, ou seja, a "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada". A LGPD adjetiva o consentimento, que deve ser informado, o que ressalta ainda mais o dever de informar e de transparência conforme destacado supra, ou seja, deve-se dar efetiva oportunidade para que o titular possa tomar conhecimento dos termos das políticas de proteção de dados.
Entretanto, o Marco Civil da Internet estabeleceu como direito dos usuários da internet o "consentimento expresso sobre a coleta, o uso, o armazenamento e o tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais".
Surgindo, portanto, um conflito aparente de norma. Todavia, o MCI é lei geral, porque estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Ao passo que a LGPD, além de ser posterior, é específica em comparação ao MCI, portanto, pelas regras de solução de antinomias normativas, prevalece a lei posterior e especial. Ainda que o título normativo seja "Lei Geral de Proteção de Dados", expressamente indicado na alteração feita pela lei 13.853, de 08 de julho de 2019, a LGPD deve ser compreendida como um microssistema de proteção de dados pessoais, à semelhança do Código de Defesa do Consumidor (CDC). Entretanto, ressalva algumas leis setoriais, como a Lei do Cadastro Positivo, que quando comparadas à LGPD, esta é geral em relação àquelas.
Em suma, o agente de tratamento deve demonstrar que as políticas de privacidade e de proteção de dados pessoais são redigidas de forma clara e disponibilizadas ao titular que as pode acessar facilmente se assim o desejar.
Portanto, caberá à ANPD uma fiscalização intensa sobre as práticas dos agentes de tratamento de dados com relação às políticas de proteção de dados, bem como orientá-los sobre as melhores práticas.11
*Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD. Advogada.
__________
1 AYRES, Ian; SCHWARTZ, Alan. The no-reading problem in consumer contract law. In: Stanford Law Review, vol. 66, março de 2014, pp. 545 - 610. p. 547.
2 PEROLI, Kelvin. LGPD: 07 passos para implementá-la nas empresas. Disponível aqui, acessado em 14/1/2021.
3 Nos termos do art. 5º, inc. IX da LGPD, agentes são o controlador e o operador, definidos respectivamente no inc. VI e VII da lei. Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; e operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
4 LIMA, Cíntia Rosa Pereira de Lima. Contratos de Adesão Eletrônicos (Shrink-Wrap e Click-Wrap) e Termos e Condições de Uso (Browse-Wrap). São Paulo: Quartier Latin, 2021. No prelo.
5 WARREN, Samuel D.; BRANDEIS, Louis D. The Right to Privacy. In: Harvard Law Review, v.4, pp. 193-220, 1890. p. 193.
6 Entendido como a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (art. 5º, inc. V da LGPD). A LGPD considera dado pessoal qualquer informação relacionada a pessoa natural identificada ou identificável (art. 5o, inc. I).
7 Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali. In: Rivista Critica del Diritto Privato, anno XV, n. 1, março 1997, pp. 583 - 609. pp. 588 - 591.
8 LIMA, Cíntia Rosa Pereira de. O que é LGPD? Disponível aqui, último acesso em 2/2/2020.
9 CELSO, Fernando. PROTEÇÃO DA LGPD: APENAS MAIS UM CLICK? Uma análise da L 13.709/2019. Disponível aqui, acessado em 14 de janeiro de 2021.
10 NIGER, Sergio. Le nuove dimensioni dela privacy: dal diritto ala riservatezza ala protezione dei dati personali. Napoli: CEDAM, 2006. p. 127. p. 153.
11 Sobre a Autoridade Nacional de Proteção de Dados e os argumentos do veto à criação da ANPD vide: DE LUCCA, Newton; LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. In: LIMA, Cíntia Rosa Pereira de. Comentários à Lei Geral de Proteção de Dados. São Paulo: Editora Almedina, 2019. pp. 373 - 398.