O Digital Markets Act (DMA) e seus impactos na proteção de dados
As previsões do DMA demonstram que as leis de concorrência e de proteção de dados tendem a estar cada vez mais interligadas no mundo dos mercados digitais.
quarta-feira, 20 de abril de 2022
Atualizado às 08:23
1. Gatekeepers como alvos do DMA
No dia 25/3/22, o conselho e o parlamento da UE - União Europeia chegaram a um acordo político provisório sobre o DMA - Digital Markets Act, que visa tornar o mercado digital mais justo e competitivo.
O texto aprovado provisoriamente tem por alvo as plataformas digitais chamadas de gatekeepers, que são aquelas que devem atender, inicialmente, aos seguintes requisitos: (a) ter tido um volume de negócios anual de pelo menos 7,5 bilhões de Euros na União Europeia nos últimos três anos ou uma avaliação de mercado de, pelo menos, 75 bilhões de Euros; e (b) possuir, pelo menos, 45 milhões de usuários finais mensais e, pelo menos, 10 mil usuários-empresas anuais, estabelecidos na UE.
Além disso, os gatekeepers devem oferecer em pelo menos três Estados Membros da UE, "serviços essenciais de plataforma", como serviços de intermediação online; motores de busca; redes sociais; serviços de compartilhamento de vídeo; serviços de comunicação eletrônica interpessoal, independentes de números; sistemas operacionais; serviços em nuvem; e serviços de publicidade.
Ainda não há uma lista de gatekeepers, mas, apesar de o escopo do DMA ter sido objeto de debate bastante acalorado, as empresas GAFAM - Google, Amazon, Facebook/Meta, Apple e Microsoft certamente estão nessa lista, além de um número limitado de outras grandes empresas do mercado digital.
2. O que é o DMA
Em linhas gerais, podemos dizer que o DMA é um instrumento adicional de direito da concorrência para lidar com distorções nos mercados digitais, especialmente em virtude do aumento de poder econômico dos gigantes da tecnologia. Mas, o DMA também traz uma série de implicações em matéria de proteção de dados, como decorrência da regulação concorrencial.
Uma vez enquadrada como gatekeeper, a plataforma está sujeita a um rol de deveres e proibições inspiradas em práticas de mercados digitais já investigadas anteriormente pelas autoridades concorrenciais.
Se um gatekeeper não cumprir as regras, a comissão europeia pode aplicar multas de até 10% do seu volume total de negócios no exercício anterior, e 20% em caso de reincidência. Na hipótese de infrações sistemáticas, a comissão pode proibir o gatekeeper de adquirir outras empresas por um determinado período.
3. DMA e Proteção de Dados
O acordo provisório a respeito do DMA para limitar o poder de mercado das grandes plataformas toca questões de proteção de dados, especialmente envolvendo publicidade, troca de mensagens, portabilidade de dados pessoais, entre outros. Vejamos, a seguir, as principais disposições do DMA com implicações de dados pessoais1:
Os gatekeepers não poderão combinar dados pessoais provenientes dos serviços da plataforma principal com dados pessoais de quaisquer outros serviços por eles oferecidos, ou ainda, com dados pessoais de serviços de terceiros. Também não poderão conectar usuários finais a outros serviços, a menos que haja o consentimento do usuário final. As crescentes preocupações com a publicidade direcionada com base no rastreamento do comportamento online estão no centro desta disposição.
Também fica vedado exigir que os usuários-empresa e usuários finais registem-se em quaisquer outros serviços da plataforma principal, oferecidos pelo gatekeeper, limitando assim obviamente a quantidade de dados pessoais que os gatekeepers podem reter para si.
Os gatekeepers devem permitir que os usuários finais desinstalem quaisquer aplicativos de software pré-instalados na sua plataforma.
Devem, ainda, fornecer portabilidade efetiva dos dados gerados por meio da atividade do usuário-empresa ou do usuário final, por meio de ferramentas para facilitar o exercício dessa portabilidade de dados, bem como de acesso e uso em tempo real de dados agregados e não agregados, com uma referência específica à necessidade de cumprimento do GDPR - General Data Protection Regulation e seus requisitos de consentimento para acesso a dados pessoais.
Além disso, os gatekeepers devem fornecer a motores de busca acesso a dados de consulta, cliques e visualização, com anonimização de dados pessoais. A EDPS - European Data Protection Supervisor já referiu no seu parecer 2/2021 que consultar, clicar e visualizar dados relativos a pesquisas geradas por particulares têm implicações de dados pessoais.
As previsões do DMA mencionadas acima demonstram que as leis de concorrência e de proteção de dados tendem a estar cada vez mais interligadas no mundo dos mercados digitais. Isso significa que os profissionais de proteção de dados e de concorrência na UE precisam trabalhar de forma conjunta para que as empresas estejam em conformidade, não apenas com as leis de proteção de dados, mas também com o DMA.
Embora o DMA diga que suas disposições são "sem prejuízo" do GDPR, ele não estabelece como eventuais conflitos seriam tratados, uma vez que há significativas diferenças entre ambos, especialmente com relação à sua aplicação e às sanções previstas em cada um deles. A EDPS e outras entidades já manifestaram preocupação com potenciais conflitos no referido parecer 2/2021 e pretendem organizar uma reunião das partes interessadas nos próximos meses para discutir a aplicação do DMA no mercado digital.
4. DMA e Tendências na Regulação de Proteção de Dados
Após anos de preparação e implementação do GDPR, a UE está longe de finalizar sua intenção de regular o universo digital de forma mais ampla. A comissão europeia vem anunciando uma ambiciosa estratégia digital e divulgando uma série de projetos de legislação para sustentar o que chama de "década digital": além do DMA, podemos também citar o DAS - Digital Services Act e o DGA - Data Governance Act.
A intenção da estratégia é cultivar um mercado digital saudável na UE para dados pessoais e não pessoais em business-to-business, business-to-government e government-to-business. Embora a estratégia digital da UE ainda não tenha sido finalizada, o que está claro é que o GDPR parece ser apenas a "ponta do iceberg" em um contexto mais amplo de regulação de mercados digitais na UE.
Essa estrutura digital complexa está, portanto, se desenvolvendo paralelamente ao GDPR e afetará o campo da proteção de dados de forma bastante acentuada. É um cenário que ainda está sendo moldado e há muito por vir, para que seja atingido o intuito do órgão executivo que é o de fazer com que dados pessoais circulem livremente no mercado da UE.
O DMA e as demais normativas de regulação da esfera do digital vêm nessa linha, pois buscam trazer maior confiança nas transações de dados, criar condições equitativas para os poderes de mercado, permitir o fluxo de dados para o bem público e garantir a equidade.
____________
1 Cf. TIELEMANS, Jetty. The EU's DMA and DSA: why this should be of interest to privacy pros. December 1, 2021. Disponível em
Guilherme Carboni
Sócio do escritório Cesnik, Quintino e Salinas Advogados.
Camila M. de M. Vilela
Advogada do escritório CQS/FV - Cesnik, Quintino, Salinas, Fittipaldi e Valerio Advogados.