Proteção de Dados: o que a sanção de €50 mi contra o Google nos ensina?

Os casos práticos que começam a ser analisados pelas autoridades de proteção de dados na UE trazem insumos relevantes para a aplicação da nossa LGPD.

Na segunda-feira passada,  21/9, a Autoridade Nacional de Proteção de Dados francesa (Commission Nationale de l'Informatique et des Libertés - CNIL), com base no GDPR, em vigor desde 25 de maio de 2018, após 2 anos de prazo para adequação, impôs a multa de €50 milhões contra o Google, maior sanção já aplicada até o momento com fundamento do novo Regulamento da União Europeia (UE).

E como a nossa LGDP segue em grande parte a norma mais robusta e atual em termos de proteção de dados, globalmente, que é justamente o GDPR, os casos práticos que começam a ser analisados pelas autoridades de proteção de dados na UE, sem dúvida, trazem insumos relevantes para que as empresas brasileiras possam ter mais segurança jurídica na adequação à norma brasileira, que entra em vigor em 16 de agosto de 2020.

Vejamos os principais pontos que fundamentaram a decisão em questão, segundo a CNIL, depois de uma investigação que teve início em 01 de junho de 2018:

Transparência insuficiente

1 - Informações do Google não são facilmente acessíveis para os usuários;

2 - Informação relevante é acessível apenas após vários passos, implicando por vezes até 5 ou 6 ações do usuário. Por exemplo, quando um usuário deseja ter uma informação completa sobre seus dados coletados para fins de personalização ou para o serviço de rastreamento geográfico;

3 - Os propósitos dos processamentos são descritos de maneira muito genérica e vaga, assim como as categorias de dados processados para esses diversos fins;

4 - As informações comunicadas ao usuário não são suficientemente claras para que possam entender que a base legal das operações de processamento para a personalização de anúncios é o consentimento e não o interesse legítimo da empresa;

5 - As informações sobre o período de retenção não são fornecidas para alguns dados.

Consentimento inválido

1 - Consentimento não é suficientemente informado;

2 - Operações de processamento para a personalização de anúncios são diluídas em diversos documentos e não permitem que o usuário esteja ciente de sua extensão;

3 - Não é possível ter ciência da pluralidade de serviços, sites e aplicativos envolvidos nessas operações de processamento (pesquisa do Google, YouTube, Google home, mapas do Google, Playstore, imagens do Google… ) e, portanto, da quantidade de dados processados e combinados. Assim, o consentimento não é nem “específico” nem “inequívoco”;

4 - A exibição da personalização dos anúncios também é pré-marcada. Conforme o GDPR, o consentimento é “inequívoco” apenas com uma ação afirmativa clara do usuário (marcando uma caixa não pré-marcada, por exemplo);

5 - Antes de criar uma conta, o usuário é solicitado a marcar as caixas « Eu concordo com os Termos de Serviço do Google » e « Eu concordo com o processamento de minhas informações conforme descrito acima e explicado na Política de Privacidade.» para criar a conta. Portanto, o usuário dá seu consentimento integralmente, para todos os fins de operações de processamento realizados pelo GOOGLE com base nesse consentimento (personalização de anúncios, reconhecimento de fala, etc.). Porém, o GDPR prevê que o consentimento é “específico” somente se for dado distintamente para cada finalidade.

Valor da multa

1 - O valor da multa e a sua publicidade justificam-se pela severidade das infrações observadas em relação aos princípios essenciais do GDPR: transparência, informação e consentimento;

2 - Apesar das medidas implementadas pelo GOOGLE (documentação e ferramentas de configuração), as violações privam os usuários de garantias essenciais em relação às operações de processamento que podem revelar partes importantes de sua vida privada, pois são baseadas em uma enorme quantidade de dados e uma grande variedade de serviços e combinações possíveis quase ilimitadas;

3 - A extensão dessas operações de processamento servem para garantir que os usuários controlem seus dados. Portanto, eles devem ser informados suficientemente sobre isso e permitir que autorizem validamente o uso de seus dados;

4 - Não é uma infração única e limitada no tempo. As violações são violações contínuas;

5 - O sistema operacional Android é utilizado por milhares de franceses, que criam, todos os dias, uma conta do GOOGLE ao usar seu smartphone;

6 - O modelo econômico da empresa é parcialmente baseado na personalização de anúncios. Portanto, é de sua máxima responsabilidade cumprir as obrigações sobre o assunto;

O impacto da referida decisão é enorme para o mercado mundial, não só na UE, mas em todos os países que tenham normas equivalentes ao GDPR, como o Brasil.

Vejamos alguns pontos de atenção semelhantes em nossa LGPD:

Transparência

1 - A possibilidade do usuário ter o controle de seus dados está previsto como fundamento (autodeterminação informativa - art. 2º, II), bem como como em diversos de seus direitos (art. 18);

2 - É princípio da LGPD a transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento (art. 6º, VI);

3 - É princípio da LGPD o livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais (art. 6º, IV);

4 - No mesmo sentido, o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características: I - finalidade específica do tratamento; II - forma e duração do tratamento, observados os segredos comercial e industrial; III - identificação do controlador; IV - informações de contato do controlador; V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade; VI - responsabilidades dos agentes que realizarão o tratamento; e VII - direitos do titular (art. 9º).

Consentimento (quando for essa a base legal para o tratamento)

1 - Deve ser livre, informado e inequívoco, para uma finalidade determinada (art. 5º, XII);

2 - Deve constar de cláusula destacada das demais (art. 8º, §1º);

3 - Deve referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas (art. 8º, §4º);

4 - Será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca (art. 9º, §1º).

Portanto, quando dados pessoais forem tratados com a base legal do consentimento (lembrando que, no total, são 10 bases legais para tratamento de dados pessoais - art. 7º, da LGPD), a decisão da CNIL traz um importante balizador para empresas brasileiras de como colocar em prática as previsões legais da LGPD.

Lembrando que as sanções no Brasil podem chegar a 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração, seguindo alguns critérios, como:

- A gravidade e a natureza das infrações e dos direitos pessoais afetados;

- A boa-fé do infrator;

- A vantagem auferida ou pretendida pelo infrator;

- A condição econômica do infrator;

- A reincidência;

- O grau do dano;

- A cooperação do infrator;

- A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;

- A adoção de política de boas práticas e governança;

- A pronta adoção de medidas corretivas; e

- A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Contagem regressiva para 16 de agosto de 2020!!!

(*) Rony Vainzof é Cyber Law and Data Protection - Partner do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados