Publicado originalmente em: Jota
ecentemente o Ministério Público Federal (MPF) suscitou um debate interessante sobre proteção de dados pessoais em uma ação civil pública em que pede a responsabilização civil da empresa Google por violações ao Marco Civil da Internet (Lei 12.965/2014) e do Código de Defesa do Consumidor (Lei 8.078/1990) realizadas no âmbito dos seus serviços de hospedagem de e-mails, o Gmail.
Na visão do MPF, a Google realiza um “scaneamento não autorizado” das mensagens dos usuários do Gmail. Esta prática violaria as regras de proteção de dados pessoais previstas no Marco Civil da Internet, que exigem a obrigatoriedade da obtenção de um consentimento expresso e apresentado de forma destacada para a coleta e exploração comercial dos de dados dos usuários para fins de publicidade comportamental.
O scaneamento também violaria o Código de Defesa do Consumidor, por não oferecer informações completas e de fácil compreensão para seus usuários nos termos de uso do serviço de e-mail e na sua política de privacidade. Por fim, a criação de categorias ou perfis de grupos de usuários para fins de publicidade comportamental violaria o direito ao anonimato de usuários da internet, conforme explica o MPF na página 10 da petição inicial da ação civil pública.
Para o Parquet, a Google deveria oferecer informações completas ao usuário, solicitando a autorização deste para todas os atos de coleta e tratamento de dados. Na prática, imagine que apareceria uma caixa de mensagem na tela do usuário (e.g. laptop, celular e tablet) pedindo a autorização do usuário continuamente durante toda a sua navegação. Hoje, o usuário oferece o seu consentimento no ato de adesão aos serviços online.
Fato é que a internet já se provou como um espaço privilegiado de produção de conteúdo, troca de informações e compartilhamento de experiências. Embora, hoje, seja difícil avaliar como teria evoluído uma internet baseada em serviços pagos, é razoável supor que grande parte dessa riqueza cultural seja atribuída à ampla disponibilidade de serviços que permitem a criação e disponibilização de conteúdo e interação entre usuários de forma gratuita. Gratuita, mas não filantrópica.
Comercialmente, tudo isso foi possível em razão da elaboração de um modelo de negócio que associa estes serviços gratuitos à oferta de anúncios, geralmente baseados em publicidade comportamental, na qual os hábitos de navegação dos usuários da rede são utilizados como referência para a oferta de anúncios publicitários direcionados.
O uso da publicidade comportamental na internet já é corriqueiro. Atualmente, é comum a realização de buscas sobre um determinado assunto – por exemplo, uma viagem para Paris – ser seguida do surgimento de banners, anúncios nas laterais de sites, pop-ups e outras formas de veiculação de anúncios publicitários oferecendo passagens em promoção para Paris, hotéis em oferta para a cidade luz.
A publicidade comportamental se utiliza de diversas tecnologias para associar nossos atos na rede às nossas possíveis propensões de consumo futuras, permitindo a visualização de anúncios teoricamente mais relevantes para um determinado usuário.
Notamos esta associação nos mais diversos serviços, nas recomendações de livros da empresa Amazon, nas recomendações de contatos de redes sociais como Facebook, Twitter e Linkedin, em anúncios disponibilizados por terceiros em sites de jornais de grande circulação como Folha de São Paulo e Estadão, em que nossa navegação acessa, pelo menos em parte, conteúdos e sugestões gratuitas baseadas no uso de nossos dados pessoais [2].
Nesse sentido, a realização da coleta e tratamento de dados como contrapartida da oferta de serviços gratuitos não seria uma novidade, mas sim uma das bases da economia digital e meio de preservar a riqueza de conteúdos na internet. Ainda assim, evidentemente a coleta e utilização destes dados devem ser realizadas com responsabilidade pelos provedores de aplicação, e justamente por isso, o Marco Civil da Internet se preocupa em estabelecer alguns critérios e requisitos para estas atividades, dentre os quais se destaca a obrigação de obter o consentimento do usuário.
Contudo, o fato da Google (e outras empresas) não solicitarem o consentimento para todo e qualquer ato do usuário durante operações de coleta e tratamento de dados faria com que estas coletas fossem consideradas não autorizadas e, portanto, em descumprimento aos requisitos de obtenção de consentimento expresso e destacado previsto no Marco Civil da Internet?
Para responder a esta pergunta, vale compreender o sentido do artigo 7º do Marco Civil da Internet, em especial em como harmonizá-lo com o artigo 54 do Código de Defesa do Consumidor.
Em primeiro lugar, parte da controvérsia que se discute neste artigo ocorre pois o Marco Civil da Internet não é uma lei própria de proteção de dados pessoais, mas sim uma lei geral de regulação da rede, tendo versado sobre diversos temas relevantes como neutralidade da rede, responsabilidade de provedores por remoção de conteúdos ofensivos, guarda de registros de conexão e aplicação, entre outros.
O Marco Civil da Internet dispõe apenas de dois artigos (7º e 8º) para tratar da proteção de dados pessoais de usuários da rede e é natural que temas relevantes sobre o assunto ainda não tenham sido contemplados pelo diploma legal, tais como: (i) uso de dados anonimizados por empresas públicas e privadas; (ii) regulação de uso de dados sensíveis; (iii) limites para uso automatizado de dados pessoais; (iv) exceções para operações de tratamento de dados (e.g. pesquisa); (v) criação de perfis de usuário e o seu uso comercial; entre outros.
Em seus argumentos, o Ministério Público Federal parece deixar de lado a relação intrínseca entre serviços gratuitos e publicidade comportamental como a base da viabilidade comercial da oferta de serviços na rede, bem como tenta extrair do art. 7º conceitos que não estão regulados ali, tais como a exploração comercial de perfis de usuários (profiling), a regulação de dados sensíveis e os limites do uso automatizado de dados por serviços na rede.
Nesse sentido, parece-nos arriscada a proposta de interpretação dos incisos VIII e IX do art. 7º do Marco Civil da Internet com o uso de conceitos que não estão presentes no diploma normativo, em especial se tais conceitos já estão sendo discutidos em dois projetos de lei atualmente tramitando no Congresso Nacional, PL 5.276/2016 e PLS 330/2013.
Em segundo lugar, a interpretação sugerida pelo MPF nos parece desconsiderar aspectos práticos do funcionamento deste modelo de negócios, tais como a usabilidade dos serviços onde os dados estariam sendo coletados, vantagens de segurança no controle de spams e malwares, a utilização de robôs e algoritmos para a realização da coleta dos dados, além de não ter levado em conta esforços antigos de comunicação de empresas com seus usuários, que, muitas vezes, são subestimados na sua capacidade de compreensão destas comunicações.
A previsão dos incisos VIII e IX do art. 7º do Marco Civil da Internet visa garantir que o usuário tenha condições de obter informações que permitam com que ele avalie como os seus dados pessoais serão utilizados, conferindo-lhe o direito de gestão sobre os próprios dados ao prever que as finalidades das coletas e tratamento de dados pessoais estejam previstas em termos de uso de aplicações de internet (conforme redação da alínea “a”).
Não significa que para isso ele seja demandado a todo o momento sobre o uso dos seus dados, ao contrário, se concordar com a descrição das operações de coleta e tratamento no momento de sua adesão ao serviço, já confere o seu consentimento para os fins do Marco Civil da Internet, desde que tal documento seja redigido de forma clara, destacando-se as hipóteses de coleta e tratamento de dados pessoais.
Vale ressaltar que, ainda que academicamente exista certa polêmica com relação à efetividade dos Termos de Uso e Políticas de Privacidade, este ainda é o modelo de regulação das relações entre usuários e aplicações de internet mais aceito, utilizado e consagrado no mundo, sendo, inclusive, expressamente mencionado pelo Marco Civil da Internet.
Do ponto de vista da obtenção do consentimento expresso e de forma destacada, pode se dizer que há elementos no relacionamento entre a empresa e seus usuários que apontem para a obtenção do consentimento expresso do usuário e de forma destacada. Nesse sentido, a Google parece não destoar das práticas adotadas por qualquer aplicação de internet que, de alguma forma, trate e monetize dados pessoais para garantir seu funcionamento gratuito.
Por outro lado, há dispositivo no Marco Civil da Internet muito mais específico que poderia ter sido trazido à discussão em comento. Trata-se do inciso III, do art. 7º, que garante ao usuário de internet a “inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial”. Será que os atos da Google, especialmente a formação de perfil comportamental de seus usuários a partir do conteúdo de e-mails, no caso em tela, violariam o sigilo das comunicações privadas armazenadas? No entanto, essa não parece ser uma pergunta cuja relevante resposta se extrairá da ação judicial ora em comento.
Por fim, todas essas considerações não significam que os temas trazidos pelo MPF em sua petição inicial não sejam importantes para o debate sobre proteção de dados pessoais. É louvável que a proteção de dados e da privacidade do usuário de internet esteja, enfim, ganhando os holofotes no Brasil – um dos países onde, segundo as revelações de Edward Snowden, mais se praticavam atos de vigilância e espionagem [3]. No entanto, a ausência de uma Lei Brasileira de Proteção de Dados Pessoais acaba por trazer enorme insegurança jurídica a autoridades, usuários e aplicações de internet, como se percebe no caso em tela.
Desta forma, sem prejuízo de já tutelarmos a privacidade do usuário com os dispositivos que temos hoje, devemos centrar nossos esforços na aprovação de nossa lei de proteção de dados pessoais, para evitarmos o cenário de insegurança jurídica que vivemos hoje quando o assunto é a proteção de dados dos usuários de internet.
[1] Noticiada pelo portal UOL na última sexta-feira (11.11.2016). Disponível: <http://tecnologia.uol.com.br/noticias/redacao/2016/11/11/mpf-pede-que-google-pare-de-analisar-conteudo-de-mensagens-do-gmail-no-pais.htm>.
[2] Outro debate interessantíssimo – mas que foge ao escopo do presente artigo – se dá em razão da criação de filtros-bolhas, fenômeno que decorre desse direcionamento de navegação promovido por algoritmos que são ativados com base no comportamento do usuário. Discute-se até que ponto esse modelo de atividade não afeta a garantia de uma internet livre e aberta, na medida em que a navegação do usuário fica restrita aquilo que os algoritmos entendem adequado de se expor, com base em experiências pretéritas de uso da internet.
[3] “Brasil é o grande alvo dos EUA”, diz jornalista que obteve documentos de Snowden”. Disponível em: http://noticias.uol.com.br/internacional/ultimas-noticias/2013/09/04/brasil-e-o-grande-alvo-dos-eua-diz-jornalista-que-obteve-documentos-de-snowden.htm
Alexandre Pacheco da Silva – Professor dos cursos de graduação e pós-graduação da Escola de Direito de São Paulo da Fundação Getulio Vargas (FGV Direito SP) e coordenador do Grupo de Ensino e Pesquisa em Inovação (GEPI) da mesma instituição.
Luis Fernando Prado Chaves – Advogado que atua no ramo do Direito Digital e Eletrônico, especialista em Propriedade Intelectual e Novos Negócios pela Escola de Direito de São Paulo da Fundação Getulio Vargas (FGV Direito SP) e colaborador do Grupo de Ensino e Pesquisa em Inovação (GEPI) da mesma instituição.
