Por Paulo R. Roque A. Khouri
Os dados pessoais estão no centro das atenções dos ordenamentos jurídicos modernos. A Europa editou a General Data Protection Regulation (GDPR), nos Estados Unidos tem-se a California Consumer Privacy Act of 2018 (CCPA) e o Brasil aprovou recentemente a Lei Geral de Proteção de dados, a LGPD. Qual o sentido de todo esse movimento regulatório? A corrida no mundo virtual é diretamente por maior número de usuários [1], que deixam seus dados armazenados nas mais diversas plataformas. Quanto ao Facebook, que tem 2,2 bilhões de usuários, v.g., estima-se que a cada três meses cada usuário nos Estados Unidos e Canadá lhe dê uma receita de cerca de US$ 16 em média (aproximadamente R$ 64) [2]. Tal fato levou Tim Wu, professor de Direito da Universidade Columbia, em Nova York, a afirmar que "a maior inovação do Facebook não é a rede social, mas o fato de ter convencido as pessoas a darem muita informação em troca de quase nada" [3]. Nas palavras do professor de Columbia, a atenção virou uma das maiores comodities do tempo atual [4]: "A razão é simples: quanto maior o tempo em que o usuário permanece online na plataforma, maior o tempo que esta dispõe para coletar os dados dele e ainda para submetê-lo à publicidade e a outras formas de exploração comercial" [5].
A Lei Geral de Proteção de Dados Pessoais tem três pilares fundamentais: 1) necessidade de proteção à privacidade e intimidade do cidadão titular dos dados; 2) autodeterminação informativa do titular, no sentido de que só ele compete autorizar e controlar os seus dados; 3) consentimento informado e esclarecido da informação para tratamento de dados. Portanto, não é e nem poderia ser a proteção de dados um fim em si mesmo, como adverte Danilo Doneda [6]. Essa atividade ao ser regulada legalmente retira das empresas que atuam nesse setor da aparente zona cinzenta em que viviam, entre a licitude e a ilicitude do tratamento de dados, prestigiando, por conseguinte, a segurança jurídica.
O problema do consentimento
Na LGPD, o consentimento do consumidor é necessário porque a propriedade dos dados tratados foi e sempre será do seu titular, motivo pelo qual pode revogar a qualquer tempo o consentimento.
O fato é que no cenário atual, como dito antes, plataformas como o Facebook, Google, Instagram têm no tempo que o usuário fica exposto nas suas redes o seu maior ativo, porque quanto mais tempo está exposto mais dados são coletados nesse período. Todas essas plataformas já obtém o consentimento do usuário, através dos conhecidos termos de uso, verdadeiros ordens de autorização dados incondicionalmente pelo titular.
Por esse consentimento, no caso do Facebook, por exemplo, o usuário está consentindo: 1) com a utilização, inclusive comercial, de qualquer foto ou vídeo publicada no perfil [7]; 2) captura de dados e informações sobre o usuário sempre que ele curte uma publicação ou visita a linha do tempo de outro perfil [8]; 3) usuário concede direito de utilizar o seu nome e quaisquer conteúdos, incluindo, imagens, fotos, sons por ele publicados no seu perfil [9].
É muito comum nesse tipo de plataforma o consentimento genérico da seguinte forma: "Os tipos de informações listados abaixo estão sempre disponíveis publicamente e são tratados da mesma forma que as informações que você decidiu tornar pública" [10]. Nesse contexto, como fica o consentimento nos termos de uso dessas plataformas? Os exemplos aqui transcritos demonstram que essas plataformas tradicionais terão que adequar fortemente seus procedimentos e conteúdo dos termos de uso ao que determina a LGPD, como vem ocorrendo no âmbito da União Europeia com a entrada em vigor da GDPR [11] [12]. O diploma legal que tem no consentimento um de seus pilares, entende que o consentimento deve ocorrer com manifestação livre, informada e inequívoca dada pelo titular, ou seja, o titular deve concordar com o tratamento de dados para uma finalidade determinada e o artigo 8º, §4º [13].
Ou seja, não basta dizer dar o "aceito" ou "li e concordo". Em sintonia com a GPDR [14], é preciso que esse consentimento seja livre, informado e inequívoco. De forma expressa, a LGPD veda consentimentos genéricos: é o chamado "consentimento informado livre e esclarecido". Não é o mero consentir, é o consentir qualificado. É o consentir que não autoriza consentimentos genéricos: tem que ser livre, informado e inequívoco. É com todas essas qualificações que o seu artigo 5º, XII, estabelece como deve ser o consentimento: "(...) Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada".
Pode-se dizer que, sem o cumprimento das condições impostas pelo inciso XII do artigo 5º, não há consentimento válido. "(...) O consentimento livre, expresso e informado, será aquele em que o usuário não é forçado a concordar com os termos do contrato, e as cláusulas que discorrem sobre qualquer tipo de tratamento de dados — inclusive fornecimento a terceiros — deverão ser redigidas de forma destacada, e se possível, separadas das demais" [15]. "A escolha do legislador por uma solução com consequências legais mais drásticas — nulidade em lugar da anulabilidade — pode se justificar pelo fato de que, segundo a LGPD, os dados pessoais são projeções da personalidade individual do seu respectivo titular e, assim, merecem proteção rígida (...)" [16].
Ainda que válido, o consentimento não é ad aeternun, pois a sua validade no tempo é determinada pelo princípio da necessidade [17] (pois os dados devem ser apagados tão logo a finalidade para os quais tenham sido obtidos já tenha sido cumprida) e pela própria vontade do titular [18], que pode revogá-lo a qualquer tempo. Com essa proteção à vontade do titular, que, inclusive, tem o direito à "portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa (...)" [19].
Em relação ao titular dos dados, também será necessária uma importante mudança de comportamento, pois ele terá de passar a ler o conteúdo desses termos, o que até aqui não vem ocorrendo. O fato é que, a de cada dez usuários da rede, menos de um lê os termos de uso para os quais deu o "aceito". A Universidade de Stanford [20] fez uma pesquisa e chegou ao resultado astronômico: 97% dos usuários só dão o "concordo", sem ler o conteúdo dos termos de uso. Como a disposição imediata é de acessar logo o conteúdo e os benefícios da plataforma, o usuário simplesmente dá a sua concordância sem saber ao que está concordando [21]. A empresa norte americana de software PC Pitstop, em 2005, colocou no meio do termo de uso dos serviços disponibilizados na rede um prêmio de mil dólares para o primeiro cliente que lesse a cláusula. Apenas depois de cinco meses, e três mil cadastros, a cláusula foi lida e o prêmio, pago.
No contexto aqui apresentado, observa-se a importância da LGPD para a proteção dos titulares de dados no tocante aos seus direitos da personalidade, sobretudo, a intimidade, a privacidade e liberdade de manifestação do pensamento. Nesse sentido, na perspectiva da proteção do titular do direito dos dados, ou seja, na maioria das vezes o consumidor, o consentimento informado, livre e esclarecido previsto na LGPD não se compatibiliza com os modelos atuais de termos de uso genéricos e de aceite automático adotados por Facebook, Google, Instagram, Youtube e empresas afins; As empresas que tratam dados atualmente no mercado brasileiro, inclusive as que trabalham com mídias digitais, deverão adotar procedimentos e revisar os termos negociais vigentes para se adequarem às exigências da LGPD.
[1] Segundo estimativas de abril de 2019 do site Statista, a rede social segue como a sexta maior. O grupo de estatística coloca em primeiro o Facebook, com 2,2 bilhões de usuários ativos, seguido de YouTube (1,5 bi), WhatsApp (1,5 bi), Facebook Messenger (1,3 bi) e WeChat (1 bi). In: <https://canaltech.com.br/redes-sociais/instagram-bate-marca-de-1-bilhao-de-usuarios-ativos-116344/>. Acesso em 30 de julho de 2019.
[2] EZRACHI, Ariel; STUCKE, Maurice E. Virtual competiton: the promise and perils of the algorithm-driven economy. Cambridge: Harvard University Press, 2017. p. 235. Segundo Eraschi, informação prestada pelo próprio Google os dados de um usuário anualmente são estimados em 720 dólares ou quase R$ 3mil.
[3] Quanto dinheiro o Facebook ganha com você e como isso acontece. Disponível em: <https://www.bbc.com/portuguese/internacional-37898626>. Acesso em 30 de julho de 2019.
[4] WU, Tim. The attention merchants: the epic scramble to get inside our heads. Nova Iorque: Alfred A. Knopf, 2016.
[5] FRAZÃO, Ana. Big data e impactos sobre a análise concorrencial: Direito da Concorrência é um dos mais afetados pela importância dos dados. Disponível em: <https://www.jota.info/colunas/constituicao-empresa-e-mercado/big-data-e-impactos-sobre-a-analise-concorrencial-29112017>. Acesso em 30 de julho de 2019.
[6] DONEDA, Danilo. Um Código para a proteção de dados pessoais na Itália. Disponível em: <http://egov.ufsc.br/portal/sites/default/files/anexos/29727-29743-1-PB.pdf>. Acesso em 30 de julho de 2019.
[7] "Para o conteúdo coberto pelas leis de direitos de propriedade intelectual, como fotos e vídeo (conteúdo IP), você nos concede especificamente a seguinte permissão, sujeita às configurações de privacidade e aplicativos: você nos concede uma licença mundial não exclusiva, transferível, sub licenciável, livre de royalties, para usar qualquer conteúdo IP publicado por você ou associado ao Facebook (Licença IP)".
[8] "Recebemos dados sobre você sempre que você usa ou entra no Facebook, como quando você olha a linha do tempo de outra pessoa, envia ou recebe mensagens, procura um amigo ou uma página, clica, visualiza ou de alguma forma interage com as coisas, usa um aplicativo móvel do Facebook, compra Créditos do Facebook ou faz outras compras pelo Facebook" (in Política de uso de dados,"Informações que recebemos de você).
[9] "Você nos concede permissão para usar seu nome, a imagem do perfil, conteúdo e informações em relação a conteúdo comercial, patrocinado ou relacionado (como uma marca que você gosta) fornecido ou aperfeiçoado por nós....você permite uma empresa ou outra entidade a nos pagar para exibir seu nome e/ou imagem do perfil com seu conteúdo ou informações, sem qualquer compensação a você" (in Declaração de direitos e responsabilidades, item 10.1).
[10] Texto original: "There‘s a number of abusive apps and they dig a lot more of your data than you thought they were. One of the big problems is Facebook gave you the impression you could control your own privacy by setting your settings in certain ways — but those settings didn‘t do anything, said Wu. ―They were like fake buttons". In BURCH, Sean. Facebook Is Rotten,‟ Privacy Is Its Kryptonite,‟ Says Ex-FTC Advisor: Social network‘s business model is at odds with protecting its users, according to one expert. 2018. Disponível em: . Acesso em: 30 jun. 2019.
[11] "A GDPR passa a guiar como essas empresas, que lidam com vastos bancos de dados, precisam se comportar diante dos usuários. A regulamentação impõe uma série de normas que estimulam termos de uso mais compreensíveis, controles de privacidade simples...". SOPRANA, Paula. O que é a GDPR, a lei de proteção de dados europeia, e por que ela importa. 2018. Disponível em: < https://gizmodo.uol.com.br/lei-proteca-dados-gdpr/>. Acesso em: 30 jun. 2019.
[12] Lei Geral de Proteção de Dados (LGPD): "Artigo 5 — Para os fins desta lei, considera-se: (...) XII — consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada".
[13] "§4º. O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas".
[14] Regulamento 2016/679: "Artigo 4º — (...) 11 - Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento".
[15] MONTEIRO, Renato Leite. Da Proteção aos Registros, aos dados pessoais e às comunicações privadas. In: MASSO, Fabiano del et al. (Coord.). Marco Civil da Internet. São Paulo: Revista dos Tribunais, 2014. p. 149.
[16] Soares, Pedro. In: Questão do consentimento na proteção de dados. Disponível em: <https://www.conjur.com.br/2019-mai-11/pedro-soares-questao-consentimento-lei-protecao-dados>. Acesso em 31 de julho de 2019.
[17] "Artigo 16 — Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: I - cumprimento de obrigação legal ou regulatória pelo controlador; II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados".
[18] "§5º. O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do artigo 18 desta Lei".
[19] "Artigo 18 — ...V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial".
[20] Não li e concordo. Disponível em: <https://super.abril.com.br/tecnologia/nao-li-e-concordo/>. Acesso em 31 de julho de 2019.
[21] "em abril de 2010, a loja de jogos GameStation foi ainda mais longe: escondeu uma cláusula que fazia o usuário ceder os direitos da própria alma à empresa. Enquanto mil pessoas identificaram a brincadeira, 7 mil concordaram. São 97%, segundo pesquisa da Universidade Stanford, os usuários que pulam direto para o "concordo". Disponível em: < https://super.abril.com.br/tecnologia/nao-li-e-concordo/>. Acesso em 29 de julho de 2019.
https://www.conjur.com.br/2021-mar-31/garantias-consumo-problema-consentimento-informado-lgpd