Invasão da privacidade através de redes wifi gratuitas: Como se aplica a LGPD?
O serviço de rede wifi gratuita, oferecido em aeroportos e lojas, cria e vende perfis psicológicos dos usuários mediante cruzamento dos dados cadastrados com outros dados coletados na internet, sem sequer o conhecimento do seu titular.
segunda-feira, 26 de agosto de 2024
Atualizado às 14:22
Uma recente reportagem1 chamou a atenção ao noticiar um modelo de negócio milionário, baseado no que chamou de "império dos dados", que consiste na coleta de dados pessoais através de redes wifi oficialmente oferecidas de forma gratuita por estabelecimentos como aeroportos, shopping centers, lojas e outros.
De acordo com a reportagem, a plataforma que oferece os serviços "capta dados ao oferecer wifi gratuito em espaços como aeroportos e usa essas informações para tornar empresas mais competitivas" e ainda, diz que a plataforma "puxa muitos dados sobre qualquer pessoa. Basta digitar o nome e descobrir o telefone, a faixa de renda, o e-mail, onde trabalha, com quem e o que curte nas redes sociais, entre muitas outras informações."
Sob a afirmação de que se trata de "dados públicos ou que, em algum momento, foram compartilhados com o consentimento de todos nós", considerando para tanto o "aceite" às políticas de privacidade das empresas, a plataforma tenta justificar a legalidade da atividade que desenvolve mas, na realidade, indica múltiplas invasões de privacidade dos usuários e violação das disposições da LGPD (lei 13.709/18).
O responsável pela plataforma chega compará-la com a Booking.com, afirmando que "assim como a Booking tem uma biblioteca com vários hotéis", a plataforma de wifi gratuito "tem uma biblioteca de centenas de milhares de dados. E muitas empresas querendo cruzá-los para serem mais estratégicas e assertivas."
O direito à proteção de dados pessoais tem por foco a proteção de outros direitos das pessoas, como a privacidade e a liberdade, que podem ser condicionadas ou restringidas se não se assegurar o direito à autodeterminação informacional. É o titular dos dados quem deve decidir se os seus dados podem ser utilizados, quando, como, onde e por quem.
Sendo fato que os dados são hoje um importante ativo econômico, o Direito permite o uso de dados pessoais de terceiros, mas sob certas condições impostas pela lei, para que não se coloque em risco os direitos e liberdades do titular dos dados. A LGPD tem assim o propósito de equilibrar a relação entre o titular dos dados e aquele que pretende utilizar estes dados. Por isso, mesmo nas hipóteses em que a LGPD dispensa o consentimento do titular dos dados para a utilização das suas informações, permanece o imprescindível dever de informação deste titular sobre todos os aspectos relevantes do tratamento que será dispensado aos seus dados, incluindo os riscos associados a este tratamento. Se realizado o tratamento dos dados com base na hipótese legal do legítimo interesse, "deve ser respeitada a autodeterminac¸a~o informativa dos titulares, assegurando-lhes a capacidade de conhecer e de participar de forma ativa das deciso~es referentes ao tratamento de seus dados, incluindo a possibilidade efetiva de se opor a` operac¸a~o realizada com base no legi'timo interesse quando na~o observada a LGPD no tratamento de seus dados", conforme adverte a ANPD - Autoridade Nacional de Proteção de Dados no Guia Orientativo "Hipóteses Legais de Tratamento de Dados Pessoais: legítimo interesse".
O cumprimento deste dever de informação é fundamental para assegurar o respeito ao direito à autodeterminação informacional dos titulares de dados.
Deste modo, a afirmação da plataforma de wifi gratuito de que utiliza dados públicos não legitima a sua utilização. Dados pessoais nunca são dados públicos, são informações que dizem respeito a uma pessoa e, portanto, são sempre privados. Embora não fosse necessário, a LGPD assegura a toda pessoa humana a titularidade dos seus dados pessoais (art. 17). O que pode haver é a publicização do acesso ou mesmo do uso dos dados para fins específicos, como por exemplo para prestação de contas da Administração Pública ou a publicação pelo próprio titular em suas redes sociais, com o fim de gerar visualização por muitas pessoas. Entretanto, tornar públicos os dados é lhes conferir publicidade e não os converte em dados "de uso público". Nenhuma das hipóteses mencionadas autoriza a captação dos dados para lhes conferir um outro uso - esta conduta é expressamente vedada pela LGPD.
Com efeito, a finalidade da publicação dos dados pessoais, seja para dar transparência à gestão pública, seja para gerar a visualização de eventos ou momentos do seu titular, não inclui o propósito de apropriação destes dados por terceiros, para lhes conferir outra utilização. Qualquer utilização destes dados que não seja a sua visualização, mesmo que seja a coleta e o armazenamento, consiste num novo tratamento de dados que depende do cumprimento dos requisitos da LGPD, como uma hipótese legal que o autorize, uma finalidade legítima específica e informada ao titular, a necessidade e a adequação destes dados para se alcançar a finalidade específica informada, a transparência na realização do tratamento e o acesso do titular aos dados, assim como a garantia do exercício dos seus direitos, dentre outros requisitos.
Também a afirmação de que utiliza dados que "em algum momento, foram compartilhados com o consentimento de todos nós" não se sustenta juridicamente. O consentimento para tratamento de dados é uma manifestação de vontade qualificada, devendo ser expressa, inequívoca, livre, específica, adequadamente informada, ou seja, o consentimento deve ser dado a partir de uma real compreensão do titular dos dados acerca dos elementos envolvidos no tratamento dos seus dados, dos riscos a que está sujeito e dos eventuais efeitos negativos que suportará caso não o outorgue. Por exemplo, a hipótese de privação do titular de benefícios ou acessos caso não consinta com o tratamento de dados que não sejam necessários para a prestação dos serviços pretendidos, torna nulo o consentimento dado, porque ausente a liberdade no consentir.
Por outro lado, a exigência de que o consentimento seja expresso e inequívoco impede que seja ele uma cláusula da política de privacidade, devendo ser tomado de forma destacada, conforme expressamente determinado pelo art. 8º, § 1º da LGPD. E não existe consentimento tácito, já que tem que ser expresso, de modo que a frase "ao continuar a usar o serviço o usuário consente" com os termos ou políticas da empresa não tem o efeito jurídico pretendido. E são da empresa que trata os dados os ônus de provar que o consentimento foi obtido em cumprimento de todos os requisitos e que o titular pôde compreender prévia e adequadamente como os dados seriam tratados, com quem seriam compartilhados e para qual finalidade legítima, bem como os riscos inerentes ao tratamento dos seus dados.
Um ponto importante a ser destacado é o de que o consentimento não supre a realização de operações ilegais de tratamento dos dados. Deste modo, a finalidade para a qual os dados são coletados estabelece os limites para o agente de tratamento. Concedido o consentimento, por exemplo, para o envio de publicidade das lojas do shopping center onde o titular utilizou uma rede wifi, não é esperado, pelo titular de dados, que outros dados seus, além dos fornecidos para uso da rede wifi, sejam utilizados para a formação de perfis de consumo pelos lojistas do shopping. Não se encontra no âmbito da expectativa do usuário da rede, por exemplo, que a plataforma da rede wifi, a partir do seu nome, CPF, e-mail e número de telefone cadastrados, acesse outros dados seus, em outros bancos de dados, para fazer cruzamentos segundo os propósitos de cada lojista, sem o seu conhecimento, sem o seu consentimento específico, sem a definição prévia de qual a responsabilidade de cada envolvido nesta troca de informações que dizem respeito à sua pessoa. Mais que a troca ou o compartilhamento dos dados brutos, têm-se o cruzamento das informações, gerando dados secundários sobre si (perfis), que poderão ser guardados e sucessivamente comercializados por diversas empresas à sua revelia, por tempo indeterminado e sem qualquer controle.
Desta forma, ainda que a política de privacidade da plataforma da rede wifi gratuita preveja a utilização dos dados cadastrados para buscar outros dados do usuário, em outros bancos de dados, ou mesmo nas redes sociais, o "aceite" da política de privacidade não substitui a adequada hipótese legal para tal uso dos dados, seja esta hipótese legal o consentimento ou outra. E ainda que se consiga enquadrar tal uso dos dados numa hipótese legal que não seja o consentimento, em nenhuma situação a LGPD dispensa a informação do titular dos dados acerca do que é feito com as suas informações, como quem as utiliza e quais os possíveis riscos disso para o titular dos dados, para que ele possa fazer a gestão das suas informações, exercendo o seu direito à autodeterminação informacional. Afinal, em qualquer caso, detectada alguma violação da LGPD no uso dos seus dados, tem ele o direito se opor ao aludido tratamento de dados.
As características do modelo de negócio sugerem que ele se baseia num tipo de atividade de tratamento de dados pessoais que pode ser classificado como de alto risco, nos termos da Resolução CD/ANPD 2/22, que dispõe sobre a aplicação da LGPD para agentes de tratamento de dados de pequeno porte. Segundo a Resolução, são de alto risco as operações de tratamento de dados que atendem cumulativamente a pelo menos um critério geral e um específico, dispostos no art. 4º da norma, e o modelo de negócio da plataforma de wifi gratuito parece atender aos dois critérios gerais (inciso I) e a dois dos quatro critérios específicos (inciso II), quais sejam: I- a) tratamento de dados em larga escala e b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares; II- a) uso de tecnologias emergentes ou inovadoras; c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo ou de crédito ou os aspectos da personalidade do titular.
O critério da 'larga escala' determina a necessidade de realização do RIPD - Relatório de Impacto em Proteção de Dados e também é utilizado para classificar uma infração como grave, nos termos da Resolução CD/ANPD 4/23, que dispõe sobre a dosimetria e a aplicação das sanções administrativas. O tratamento de dados se caracteriza como de larga escala quando abrange um número significativo de titulares de dados, considerando ainda o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado (art. 4º, §1º da Resolução CD/ANPD 2/22 e art. 8º, §3º, I, "a" da Resolução CD/ANPD 4/23) e deve ser precedido do RIPD.
A infração à LGPD de natureza grave se caracteriza quando, além da atividade de tratamento de dados infratora poder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, como impedir ou limitar, de forma significativa, o exercício de direitos ou a utilização de um serviço, ou gerar discriminação, dentre outras situações, ainda verificar-se ao menos uma das hipóteses do art. 8º, §3º, I da Resolução CD/ANPD 4/23, sendo possível que se verifique, na prestação do serviço de rede wifi gratuita, a ocorrência de pelo menos quatro hipóteses: a) realização de tratamento de dados em larga escala; b) o infrator auferir vantagem econômica com a infração cometida; e) realização do tratamento de dados sem amparo em uma das hipóteses legais previstas na LGPD; g) adoção sistemática de práticas irregulares pelo infrator.
A prática de coleta massiva de dados dos usuários da rede wifi, inclusive em outros bancos de dados, analisá-los, realizar o seu cruzamento com formação de diversos perfis consoante o interesse das empresas interessadas, mediante a utilização de tecnologias emergentes de inteligência artificial, e cujos resultados apoiam decisões tomadas unicamente com base no tratamento automatizado dos dados pessoais, tudo isso à revelia dos titulares dos dados, apresenta fortes indícios de múltiplas violações à LGPD, com violação da privacidade dos titulares de dados, do seu direito à autodeterminação informacional, com possibilidade de estarem eles sujeitos a tratamento discriminatório e a restrições em vários dimensões da sua liberdade.
A eventual confirmação, no caso concreto, dos aspectos levantados neste artigo, indica que o modelo de negócio de oferecimento de rede wifi para uso gratuito é potencialmente de alto risco, com violações concretas de vários direitos fundamentais das pessoas, e precisa ser devidamente balizado para que se desenvolva dentro dos limites do Direito, da Constituição e do regime jurídico do direito à proteção de dados que, no Brasil, é centralizado na LGPD.
Resta lembrar que os estabelecimentos que oferecem o serviço da rede wifi gratuita são corresponsáveis com a plataforma que presta o serviço e realiza tal massiva coleta e tratamento de dados pessoais dos usuários, tanto no âmbito civil, quanto no âmbito administrativo, conforme disposto na LGPD.
1 Disponível em: https://exame.com/negocios/ele-criou-um-imperio-de-dados-de-r-100-milhoes-com-o-sinal-wi-fi-que-voce-acessa-de-graca-por-ai/