Por Leonardo Neri
No dia 21 de janeiro de 2019 a Autoridade Nacional de Proteção de Dados francesa aplicou a multa de 50 milhões de euros contra o Google, o que significou a maior sanção já imposta até o momento com fundamento na General Data Protection Regulation (GDPR).
Tal acontecimento é de grande valia para o mercado nacional, já que a Lei Geral de Proteção de Dados (LGPD) segue em grande parte a norma mais atual em termos de proteção de dados, que é o regulamento europeu acima destacado.
Assim, os casos práticos analisados pelas autoridades de proteção de dados na União Europeia exteriorizam aspectos relevantes para que as empresas brasileiras possam se prevenir, com intuito de adquirir mais segurança jurídica na adequação de fatos cotidianos à norma brasileira, que entra em vigor em agosto de 2020.
A decisão ora proferida no continente europeu trouxe alguns pontos de extrema importância. A investigação iniciou-se no dia 1º de junho de 2018, segundo exposto pela CNIL.
Em suma, os tópicos suscitados na decisão emanadademonstram que os procedimentos adotados pela companhia são de frágil aplicação prática, tendo em vista:
- Insuficiência na transparência de informações;
- Consentimento inválido dos usuários; e
- Valor da multa
1.Insuficiência na transparência de informações
A Autoridade julgadora entendeu que as informações fornecidas pela empresa não são facilmente acessíveis aos usuários e, as mais valiosas, estão condicionadas a trâmites morosos e obscuros. Além disso, entendeu-se que as descrições ilustradas na plataforma são genéricas e vagas.
No mais, também foi arguido acerca da falta de clareza do vínculo das informações à necessidade de consentimento do usuário, bem como da ausência de informações precisas sobre o período de retenção de dados pessoais.
2.Consentimento inválido
Ponto crucial discutido na nova legislação, o consentimento do usuário não foi suficientemente informado, segundo alegações da autoridade francesa. Além da ausência de ciência da pluralidade de serviços, sites e aplicativos envolvidos nas operações, o usuário também não seria capaz de ter plena ciência sobre a extensão do conteúdo para personalização de anúncios, visto a pulverização de informações em vários documentos.
Assim, o usuário é induzido a dar seu consentimento integralmente, para todos os fins de operações de processamento realizados pela empresa, no entanto, a GDPR prevê que o consentimento deve ser específico para cada finalidade.
3.Valor da multa
Conforme entendimento da Autoridade Nacional francesa o valor da multa e a sua publicidade justificam-se pela violação aos princípios essenciais da GDPR, quais sejam: transparência, informação e consentimento. Assim, tais afrontas privam os usuários de garantias essenciais em relação às operações de processamento que podem revelar partes importantes de sua vida privada.
É de se destacar o entendimento da Autoridade de que as violações mencionadas foram consideradas de caráter contínuo e com abrangência ilimitada.
Consoante o ocorrido, vejamos alguns pontos de congruência em relação à LGPD.
4.Transparência
De acordo com esse princípio, o usuário poderá deter do controle de seus dados, conforme previsto na legislação nacional. O conceito da transparência é expresso na LGPD, como garantia aos titulares, na obtenção de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento de seus dados.
Ainda, é determinado na norma o livre acesso de consulta facilitada e gratuita aos usuários, sobre a forma e a duração do tratamento, bem como acerca da integralidade de seus dados pessoais.
No mesmo sentido, o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca da finalidade específica do tratamento, a forma e duração do tratamento, observados os segredos comercial e industrial, a identificação do controlador, dentre outros direitos expressos na lei.
5.Consentimento deve ser válido
Conforme amplamente divulgado na LGPD, o consentimento do usuário deve ser livre, informado e inequívoco, para uma finalidade determinada. Deve constar de cláusula destacada das demais, e referir-se a finalidades determinadas, Já as autorizações genéricas para o tratamento de dados pessoais serão consideradas nulas, além das informações que contenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.
6.Multa
Vale destacar que as sanções no Brasil podem chegar a 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração.
Portanto, o posicionamento da CNIL indica que a autoridade de regulação brasileira também pode adotar uma postura repressiva à publicidade digital em desconformidade com as normas de privacidade, de modo que aqueles que coletarem informações pessoais sem transparência evidente nas informações prestadas e expresso consentimento de usuários, com o objetivo de aumentar o direcionamento da oferta de seus produtos e serviços, poderão incorrer em elevadas infrações pecuniárias.