Coleta ilegal de dados pessoais na plataforma do Facebook: o impacto global do fato e a regulação setorial em cada país

Na perspectiva econômica, há a repercussão sobre o valor de mercado do Facebook o que perdeu bilhões de dólares (ocorrendo a desvalorização de suas ações) em razão da captura ilegal dos dados dos usuários e não usuários da aplicação de internet. O caso referente ao vazamento de dados da plataforma Facebook, no episódio com a […]

Na perspectiva econômica, há a repercussão sobre o valor de mercado do Facebook o que perdeu bilhões de dólares (ocorrendo a desvalorização de suas ações) em razão da captura ilegal dos dados dos usuários e não usuários da aplicação de internet.

O caso referente ao vazamento de dados da plataforma Facebook, no episódio com a companhia Cambridge Analytica, com impacto global em diversos países, inclusive no Brasil, apresenta interessantes questões no âmbito do direito comparado, na perspectiva econômica (valor econômico da empresa, política (eleições) e jurídica (regulação aplicável), a seguir a analisados.

Na perspectiva econômica, há a repercussão sobre o valor de mercado do Facebook o que perdeu bilhões de dólares (ocorrendo a desvalorização de suas ações) em razão da captura ilegal dos dados dos usuários e não usuários da aplicação de internet. Também, este fato repercute sobre seu modelo de negócios, bem como sobre a política de privacidade e o grau de abertura da plataforma para os desenvolvedores de aplicativos (Apps). Vale dizer, o acesso aos dados pessoais na plataforma do Facebook por terceiros, empresas que coletam dados, mediante aplicações de internet.

No âmbito eleitoral política, o caso tem relação com a influência da plataforma digital Facebook sobre as eleições, em diversos países, em especial nos Estados Unidos. Em destaque, a possibilidade de manipulação da opinião pública, bem como dos votos dos eleitores, mediante campanhas nas redes sociais, inclusive com notícias falsas (fake news). Vale dizer, o tema está diretamente relacionado aos riscos da democracia, mediante campanhas de desinformação da opinião pública, bem como de desvirtuamento da verdade.

Por sua vez, na dimensão jurídica, o fato implica sobre o modelo de regulação adequado às aplicações de internet, como é o caso da plataforma digital do Facebook, controlado por uma empresa de tecnologia. Em debate, a medida da regulação estatal, juntamente com medidas de autorregulação pela própria empresa de aplicação de internet.

Outro aspecto jurídico, refere-se à legislação nacional de cada país, a seguir analisado. Em especial, o modelo de regulação setorial adotado às aplicações de internet, bem como as medidas de autorregulação.

Assim, é importante considerar o contexto maior de regulação atual do tema no âmbito internacional sobre a proteção de dados pessoais, bem como o direito de acesso às informações pessoais por autoridades nacionais e governos estrangeiros, em hipóteses previstas em lei.

Em fevereiro de 2018, os Estados Unidos aprovaram o Cloud Act, o que trata das regras sobre o uso de dados coletados em território estrangeiro.

Por sua vez, o Reino Unido aprovou, em janeiro deste ano, o Data Protection Bill, o qual trata da proteção de dados pessoais, com regras sobre a transferência de internacional de dados para terceiros países, bem como regras sobre acesso de dados pelos serviços de inteligência.

Na União Europeia, em maio, entra em vigor o Regulamento do Parlamento e Conselho Europeu sobre proteção das pessoas e tratamento de dados pessoais.

No Brasil, o Ministério Público do Distrito Federal abriu inquérito para apurar se dados pessoais de brasileiros foram indevidamente capturados no episódio Facebook e Cambridge Analytica.

Mas, o Brasil, diferentemente dos demais países, não possui legislação específica sobre proteção de dados pessoais, sequer há agência reguladora sobre o tema.

A seguir, a análise do caso do Facebook (coleta ilegal de dados pessoais), bem como sua repercussão em diferentes países.

1. Brasil

No Brasil o Ministério Público do Distrito Federal solicitou informações ao Facebook a respeito do vazamento dos dados dos usuários da rede social, bem como de seus respectivos amigos.1

O fundamento do inquérito civil encontra-se nos direitos à intimidade, vida privada, honra e imagem das pessoas, bem como no Marco Civil da Internet, o qual proíbe o fornecimento a terceiros de dados pessoais sem o devido consentimento do usuário.

Também, alega-se que se trata de incidente de segurança, caracterizada como a quebra da segurança da plataforma que permite o acesso não autorizado a dados pessoais, transmitidos, armazenados e processados.

Conforme a Portaria do MP/DF, diante das suspeitas de que a Cambrige Analytica pode estar utilizando de modo ilegal dados pessoais de milhões de brasileiros, usuários do Facebook ou não, para fins de identificação de perfil político, religioso, racional, ou sexual, é que se determinou a abertura do inquérito civil.2

Destaque-se que no Brasil não há uma lei geral de proteção aos dados pessoais. Há, apenas, projetos de leis sobre o tema, ora em tramitação no Congresso Nacional.

No âmbito das eleições brasileiras neste ano, o Tribunal Superior Eleitoral está debatendo o tema da influência das plataformas digitais no processo eleitoral, bem como no funcionamento da democracia. Estudo da Fundação Getúlio Vargas, mencionado pelo TSE, apontou a utilização de robôs nas eleições de 2014, por três candidatos à Presidência da República.

Em debate, a questão das notícias falsas (fake news), a desinformação, bem como o financiamento das campanhas dos candidatos, através das plataformas tecnológicas.

A propósito, o TSE, por decisão de seu Presidente, intimará a empresa Cambridge Analytica a respeito de suas atividades no Brasil.3

O tema da plataforma digital, por redes sociais, é significativo na perspectiva da democracia, pois envolve bens essenciais, tais como: a liberdade de expressão, com a vedação à censura, o direito à informação, direito à vida privada e à privacidade e à intimidade, entre outros.

Para além da questão eleitoral, a propósito, recente decreto Federal 9.319/2018 estabeleceu o Sistema Nacional para Transformação Digital. Em destaque, o objetivo fundamental de alcançar a confiança no ambiente digital, mediante a proteção aos direitos e privacidade e a defesa e segurança no ambiente digital.

2. Estados Unidos da América

Nos EUA, a Federal Trade Comission abriu investigação para apurar a responsabilidade do Facebook diante da obtenção de dados dos usuários da rede social, bem como dos respectivos amigos e familiares, sem o respectivo consentimento, pela empresa Cambrige Analytica.

O fundamento para abertura desta investigação encontra-se no acordo entre a Federal Trade Comission e o Facebook a respeito das garantias de proteção às informações sobre os consumidores.4

Segundo declaração da Comissão de Proteção ao Consumidor da Agência de Comércio dos EUA:

“The FTC is firmly and fully commited to using all of its tools to protect the privacy of consumers. Foremost among these tools is enforcement action against companies that fail to honor their privacy promises, including to comply whith Privacy Shield, or tha engage in unfair acts that cause substantial injury to consumers in violantion of the FTC Act. Companies who have settled previsous FTC actions must also comply with FTC order provisions imposing privacy and data security requirements. Accordingly, the FTC takes very seriously recent press reports raising substancial concerns about the privacy practices of Facebook. Today, the FTC is confirming that it has an open non-public investigation into these practices”.

O Congresso norte-americano intimou o Presidente do Facebook Mark Zuckerberg a testemunhar sobre o fato. Para além da questão de proteção aos usuários da rede social, há a questão política, diante da influência no resultado das eleições norte-americanas de 2016, com a eleição do Presidente Trump.

Também, Advogados-Gerais de diversos estados norte-americanos requereram explicações ao Facebook sobre as práticas de controle aos dados pessoais dos usuários e não usuários. Em questão, o tema da proteção à privacidade dos consumidores, bem como a quebra da confiança em relação à expectativa de privacidade quanto aos dados pessoais.Eles questionam se o Facebook monitora as atividades dos desenvolvedores de aplicativos, bem como o tipo de dados por eles coletados, se o Facebook realiza auditorias para garantir que os desenvolver não utilizem indevidamente os dados pessoais dos usuários da rede social.

Em comunicado público, o Facebook afirmou que restringirá o acesso à plataforma para terceiros, no caso, as empresas de tecnologia desenvolvedoras de aplicativos que coletam dados pessoais. Também, comunicou que limitará as informações compartilhadas com as empresas investidoras do mercado de dados pessoais, especialmente daquelas que coleta e vende dados de consumidores para fins de publicidade dirigida.6

Em sua defesa, mediante press release, a empresa Cambrige Analytica afirma que obteve os dados, através de contrato com a companhia Global Science Research (GSR), conforme a legislação britânica (UK Data Protection Act).

Na perspectiva econômica, a imprensa noticia que o Facebook perdeu mais de 30 (trinta) bilhões de dólares em valor econômico (e respectivamente com a desvalorização de suas ações), com o episódio de coleta ilegal de dados pessoais.

Por outro lado, a título ilustrativo, os Estados Unidos aprovaram o Cloud Act, em janeiro de 2018, o qual trata das regras de esclarecimento sobre a utilização de dados coletados em territórios estrangeiros. Em destaque, as regras de guarda e apresentação do conteúdo das comunicações privadas, pelos provedores de serviços eletrônicos, bem como o acesso às informações pelos governos estrangeiros.

3. Reino Unido

A legislação britânica proíbe a venda ou uso de dados pessoais sem consentimento das pessoas, conforme o UK Data Protection Act. Em declaração, Diretora da Information Comssioner’s Office (ICO), autoridade responsável pela proteção de dados pessoais, no Reino Unido, declarou que está preparando relatório sobre a utilização de dados por terceiros, no caso da publicidade dirigida.7

O Parlamento Britânico convidou o Presidente do Facebook para explicar as relações com a companhia Cambridge Analytica.

A imprensa noticia que há a suspeita de que a operação realizada pela empresa Cambridge Analityca inclusive tenha influenciado o resultado do Brexit, saída do Reino Unido da União Europeia.

4. União Europeia

As autoridades da União Europeia declararam que irão investigar o fato da captura ilegal de dados pessoais na plataforma do Facebook. Em maio, entra em vigor o novo Regulamento Europeu 2016/679 de Proteção aos Dados Pessoais, General Data Protection Regulation. Este Regulamento Europeu contém regras de maior proteção ao direito à privacidade e a proteção aos dados pessoais, exigindo-se o consentimento específico e claro antes da coleta de dados, na hipótese de utilização destes dados pessoais por terceiros.8

Cumpre mencionar que a União Europeia possui Diretiva específica 2016/680, aprovada em 2016 pelo Parlamento e Conselho Europeu, de proteção de pessoas, bem com tratamento de dados pessoais, para fins de prevenção, investigação, detenção ou repressão de infrações penais ou execução de sanções penais.

Por sua vez, a União Europeia exige na transferência internacional de dados o mesmo nível de proteção aos dados pessoais quando transferidos para terceiros países. Segundo declaração do Presidente da European Data Protection Supervisor, Giovanni Buttareli:

“Why, therefore, does the EU address itself to questions of security and the surveillance activities of a third country such as the United States in the context of data protection? Because the very same data protection framework which states that personal data may not be transferred to a third contry unless certain safeguards apply (GDPR Article 44) also exempts (GDPR Articule 2 (2) (d) data processing by competente authorities in the Member States for purposes of law enforcement and preventing threats to public security”.

O Parlamento Europeu também convidou o Presidente do Facebook para explicar se os dados de milhões de usuários e não usuários foram coletados de forma indevida e utilizados para manipular o resultado das eleições.

Em debate, pelos eurodeputados a imposição de maiores garantias da privacidade nas comunicações eletrônicas, com limites mais rigorosos no processamento de dados, definindo-se que os mesmos somente podem ser utilizados na hipótese de consentimento, com a garantia de que os metadados (informações websites visitados e localização geográfica) sejam tratados de forma confidencial, vedando-se a transmissão para terceiros.

Cabe mencionar que cada país europeu possui autoridade regulatória de proteção aos dados pessoais.

A título ilustrativo, recentemente a Agência Espanhola de Proteção de Dados impôs multas ao WhatsApp e ao Facebook, cada um no valor de 300.000 (trezentos mil euros), devido a transferência ilegal de dados entre as duas companhias.

Também, cabe destacar a existência de Tratado entre a União Europeia e os Estados Unios que regulamenta a transferência intercontinental de dados (EU-US Privacy Shield), para fins de proteção à privacidade e a proteção dos dados pessoais. Segundo declaração da Comissão Europeia, este acordo protege o direito fundamental dos europeus quando seus dados pessoais são transferidos às companhias norte-americanas. E, ainda, segundo ele, as companhias norte-americanas que pretendam importar dados pessoais da Europa devem seguir obrigações mais robustas na maneira como os dados pessoais são processados, bem como os direitos individuais garantidos.

Conclusões

Enfim, a relevância do tema da coleta e utilização de dados pessoais pelas aplicações de internet (provedores e desenvolvedores de aplicativos), afeta o modelo de negócios das plataformas digitais, bem como de suas relações econômicas com os desenvolvedores de aplicativos.

Também demanda maior atenção do usuário das aplicações de internet sobre os termos de serviços, relacionados aos aplicativos, bem como serviços digitais, principalmente em garantia ao direito à fundamental à privacidade.

E, finalmente, é fundamental o conhecimento sobre a regulação setorial aplicável aos provedores de aplicações de internet e aos desenvolvedores de aplicativos, inclusive as medidas de autorregulação, bem como sobre a proteção de dados pessoais, em cada um dos países mencionados.

______________

1.Ver MP/DFT. Comissão de Proteção dos Dados Pessoais, 1ª Promotoria de Justiça de Defesa do Consumidor, Portaria n. 2/2018.

2. Ver MP/DFT, Comissão de Proteção dos Dados Pessoais, 1ª Promotoria de Justiça de Defesa do Consumidor, Portaria n. 2/2018.

3. Ver notícia site TSE.

4. Ver site da Federal Trade Comission.

5. Ver: Carta da National Association of Attorneys General de 26.3.2018.

6. Ver: Wall Street Journal, 29.3.2018.

7. A propósito, o UK Data Protection Act assegura o direito à informação, o direito de acesso à informação, o direito de retificar a informação, o direito a apagar a informação, o direito de restringir o processamento da informação, o direito de portabilidade da informação, o direito a não automatização em processos de decisão. Ver: site ICO, Preparing for the General Data Protection Regulation (GDPR).

8. Ver Jornal Oficial da União Europeia.

Artigo publicado em 05/04/2018 no portal jurídico Migalhas, para consulta clique aqui.

Publicações