Limites na utilização de base legal para tratamento de dados e o prejuízo de € 390 milhões da META

O ano começou agitado para a comunidade de privacidade. Na primeira semana de Janeiro de 2023, a autoridade de proteção de dados pessoais da Irlanda (Data Protection Comission – DPC) anunciou que o Conselho Europeu de Proteção de Dados (CEPD) considerou que a META teria utilizado, de maneira indevida, dados pessoais de seus usuários para ações de publicidade em duas de suas plataformas (Facebook e Instagram), fator que deu margem para a aplicação de uma multa de 390 milhões de euros à empresa, valores significativamente expressivos.

A sede europeia da Meta está situada em Dublin, Irlanda, de modo que a referida autoridade de proteção de dados local foi a primeira responsável por analisar as duas reclamações apresentadas pela organização ativista de direitos digitais NOYB (None Of Your Business) em 25 de maio de 2018 – data em que o Regulamento Geral sobre a Proteção de Dados da União Europeia (RGPD) passou a ser aplicável.

As reclamações propostas tiveram como fundamento a alegação da alteração da hipótese legal de tratamento dos dados dos usuários para a finalidade de propagandas direcionadas e rastreamento on-line, feitas pela META.

A NOYB defende que, ao inserir cláusulas indicando esta finalidade de uso dos dados pessoais em seus Termos de Uso e Políticas de Privacidade, a META estaria obrigando os titulares a permitirem o uso de seus dados para oferta de publicidade direcionada, utilizando a base legal de execução de contrato, uma vez que estes documentos constituem modalidades de contrato celebradas entre a empresa e seus usuários.

Importante destacar que a Big tech incluiu estas disposições em seus documentos à meia noite do dia 25 de maio de 2018, e tentou contornar a exigência de consentimento para rastreamento e publicidade online argumentando que os anúncios são uma parte do “serviço” que contratualmente deve aos seus usuários.

A chamada “necessidade contratual” prevista no Artigo 6.1.b da RGPD é geralmente entendida de forma restrita e permitiria, por exemplo, que uma loja online encaminhasse o endereço do seu cliente para o serviço postal uma vez que isso é estritamente necessário para entregar um pedido.

Na prática, a META não teria concedido aos seus usuários a possibilidade de consentir, ou não, com o recebimento de publicidade direcionada em seus perfis (“opt-in” ou “opt-out”), incluindo em seus Termos e Condições. Ao invés disso, disposição expressa na forma de uma cláusula de consentimento. A Big Tech agiu em eventual oposição ao que preceitua a RGPD no tocante à obtenção do consentimento, que deve permitir uma escolha objetiva pelo titular em relação ao elemento sobre o qual se requer a aprovação do titular.

Decorridos quatro anos da formalização das reclamações feitas pela NOYB, o CEPD, em dezembro de 2022, e em reforma a decisão do DPC irlandês que considerava a atuação da META dentro dos limites da RGPD, reconheceu que a Meta não poderá utilizar a base legal de execução do contrato para o tratamento de dados pessoais utilizados no encaminhamento de anúncios direcionados, determinando ainda que os usuários precisam manifestar seu consentimento através de uma opção sim/não (“opt-in”), e aplicando por fim uma multa à Big Tech no valor de 390 milhões de euros, já que reconhecida naquele momento a ilegalidade do uso de dados pessoais.

O tema é relevante em vários sentidos, pois além de ter sido levado formalmente à discussão no início da vigência da RGPD, e também os prejuízos financeiros e reputacionais sobrevindos aos agentes, a META pode ter seu modelo de negócio substancialmente impactado pela inobservância da correta base legal para uso de informações pessoais, e suas obrigações inerentes. De fato, a Autoridade não determinou expressamente o uso do consentimento como base legal obrigatória, mas tão somente determinou que a execução do contrato é incabível neste caso.

Em resposta, a META afirmou que “negócios similares utilizam uma seleção de bases legais para tratar dados e estamos avaliando uma variedade de opções que vão nos permitir utilizar serviços totalmente personalizados aos usuários”. A corporação ainda tem a possibilidade de recorrer da decisão e já adianta que “discorda fortemente” da posição da CEPD, sinalizando a apelação do veredito.

Independentemente dos reflexos posteriores, atualmente a Europa é referência mundial no tocante a legislação e atuação nos âmbitos de privacidade e proteção de dados pessoais, sendo certo que a decisão desta semana deixa em alerta não só as empresas europeias, mas também os países que a utilizam como parâmetro, incluindo o Brasil.

Empresas de diversos setores – principalmente aquelas atuantes no mercado de tecnologia – podem (e devem) avaliar seus procedimentos face à decisão da Autoridade europeia, sendo recomendável um compromisso recorrente no sentido de olhar para dentro de casa e questionar se os elementos básicos da proteção de dados estão sendo cumpridos de acordo com a legislação vigente ou, diante de previsões expressas, de acordo com as melhores práticas de mercado, avaliando sempre quais dados pessoais são coletados, para qual finalidade e qual a hipótese legal efetiva que autoriza esta coleta.

Se a legislação europeia, em um primeiro momento, serviu de referência para a Lei Geral de Proteção de Dados – LGPD, as multas aplicadas pela CEPD podem servir de parâmetro para que as empresas, inclusive aquelas localizadas no Brasil, realizem um exame e eventual atualização de suas práticas de privacidade empresariais.

Fontes: 

Meta prohibited from use of personal data for advertising
Personalized Ads on Facebook, Instagram and WhatsApp declared illegal
The GDPR’s Six Legal Bases for Data Processing