Ouça este conteúdo
Em outubro de 2014, a gigante das mídias sociais Facebook finalizou a compra do aplicativo de troca de mensagens WhatsApp, em uma transação que envolveu aproximadamente US$ 22 bilhões. Pouco mais de cinco anos depois, em janeiro de 2021 e já durante a vigência da Lei Geral de Proteção de Dados, o aplicativo passou a notificar os usuários acerca da atualização de sua política de privacidade, que agora passará a compartilhar dados com o Facebook. O aplicativo dá ao usuário duas aparentes opções: concordar com os termos do compartilhamento ou deixar de utilizar o aplicativo, apagando a conta.
Na sua política de privacidade, consta que o compartilhamento de dados pessoais é realizado com a finalidade de operar, executar, aprimorar, entender, personalizar, dar suporte e anunciar os serviços de ambas as empresas. Facebook e WhatsApp justificam o compartilhamento, ainda, por serem empresas do mesmo grupo, conforme trecho digno de destaque: “Passamos a fazer parte da família de empresas do Facebook em 2014. Como parte desta família, o WhatsApp recebe e compartilha dados com os demais membros. Podemos usar os dados fornecidos por eles, e eles podem usar os dados compartilhados por nós para nos ajudar a operar, executar, aprimorar, entender, personalizar, dar suporte e anunciar nossos serviços e as ofertas deles. Isso inclui a ajuda no aprimoramento dos sistemas de infraestrutura e entrega, a compreensão de como nossos serviços ou os serviços deles são usados, a proteção dos sistemas e o combate a spam, abuso ou atividades que violem o uso lícito destes”.
Essas alterações, assim como a abordagem dada à questão, geraram grande repercussão, em especial diante da recente Lei Geral de Proteção de Dados (LGPD). Vieram à tona, como não poderia deixar de ser, discussões relacionadas ao direto à privacidade e proteção de dados, inclusive sobre a importância das políticas de privacidade.
O consentimento deveria ser uma manifestação livre, informada e inequívoca para uma finalidade determinada, mas as possíveis escolhas do usuário do WhatsApp são apenas aceitar o compartilhamento ou desativar a conta
Segundo as boas práticas, as normas corporativas internas (códigos, políticas, procedimentos etc.) têm a função de formalizar e divulgar, para determinado público, a posição da organização em determinado assunto, a qual deve nortear sua atuação e a conduta de seus representantes. É a forma pela qual determinada organização transparece a sua conformidade em determinada matéria. Nesse sentido, as políticas de privacidade e proteção de dados visam dar transparência ao tratamento dos dados pessoais pela organização. Trata-se da principal forma como uma organização informa a um determinado grupo de titulares (empregados, consumidores, fornecedores, usuários etc.) como é realizado o tratamento de dados pessoais. Segundo diretrizes disponibilizadas pela Autoridade Nacional de Proteção de Dados, a política de privacidade é “um documento informativo pelo qual o prestador de serviço transparece ao usuário a forma como o serviço realiza o tratamento dos dados pessoais e como ele fornece privacidade ao usuário”.
Ganha relevância, então, a Lei Geral de Proteção de Dados, que objetiva proteger os direitos fundamentais de liberdade e de privacidade das pessoas naturais. Dessa forma, o tratamento de dados pessoais passou a ser regido por determinadas regras e princípios, as quais incluem a concessão de informações claras, precisas e facilmente acessíveis sobre a utilização e respectivos agentes. As políticas de privacidade e proteção de dados devem descrever a finalidade, os agentes os tratamentos, os meios de segurança, a coleta, meios de compartilhamento, os direitos dos titulares e meios de os exercer, sem prejuízo de disposições adicionais aplicáveis à organização e relevantes para os titulares. Devem, ainda, dispor sobre todos esses temas sem ser prolixos e, ao mesmo tempo, sem ser genéricos.
Não obstante, as políticas precisam transparecer a realidade. Isto é, os termos descritos em qualquer normativo interno têm de ser efetivos, reais. Não basta que as regras descrevam um ambiente ideal e em conformidade com a legislação; elas precisam refletir os processos da organização, para que não sejam considerados “para inglês ver”. Não deve ocorrer de maneira diferente para as questões envolvendo privacidade. Mais do que estar em conformidade com o regramento, as práticas refletidas nas normas devem respeito à privacidade daqueles a que se dirigirem, sendo claras, objetivas e transparentes, sob pena de não cumprirem seu propósito, que deveria ser a finalidade essencial, além de poderem sofrer questionamentos pelo fato de não serem tão explícitas em relação aos seus propósitos.
Para tanto, deve existir uma efetiva proteção de dados pessoais, isto é, meios pelos quais quaisquer informações referentes a pessoas físicas, sejam elas identificadas ou identificáveis, estejam protegidas. Por sua vez, isso demanda a implementação de controles nos níveis de entidades, revisão de processos e implementação da adequada segurança da informação. Ou seja, não existem documentos ou teses mágicas que podem ser utilizados para blindar pessoas e organizações de responsabilidades. Todos os aspectos dependem também da adoção de condutas íntegras e em conformidade com a lei e as melhores práticas.
Com isso em mente, passamos a analisar o caso do aplicativo do WhatsApp. Em primeiro lugar, segundo a política de privacidade do aplicativo, o compartilhamento de dados tem a finalidade de operar, executar, aprimorar, entender, personalizar, dar suporte e anunciar os serviços do grupo econômico. Mas o que isso significa exatamente? O que se entende pelo tratamento descrito? De início, essas informações têm pouco valor, sendo difícil constatar precisamente quais as operações realizadas.
Além disso, a própria política não esclarece quais as informações serão objeto de compartilhamento. A política informa, por diversas vezes, que não monitora o conteúdo das mensagens trocadas, contudo não informa exatamente quais dados serão objeto de tratamento. De acordo com a ICO, deve-se assegurar que os indivíduos cujos dados são tratados tenham acesso fácil a essas informações, sendo também fácil de compreender. Conforme complementa o Recital 58 da GDPR, isso é de “particular relevância em situações em que a proliferação de agentes e a complexidade tecnológica tornam difícil o entendimento e compreensão de quem e por que os dados pessoais referentes a ele são coletados”. Entendemos, portanto, que os termos da política podem ser considerados genéricos, pois significam pouco aos usuários do aplicativo, os quais deveriam ser o seu público-alvo.
Em segundo lugar, nos termos da LGPD, qualquer operação de tratamento de dados pessoais deve possuir um fundamento legal. Para tanto, a lei brasileira estabelece dez possíveis fundamentos para o tratamento, sem o qual esse não deveria ocorrer. Pela natureza dos serviços, entende-se que a base legal mais adequada para o tratamento de tais dados seria o consentimento, o qual deveria consistir em uma manifestação livre, informada e inequívoca para uma finalidade determinada. Porém, há elementos que podem caracterizar um consentimento forçado, isto é, que não seja desimpedido. Conforme consta na notificação, as possíveis escolhas do usuário são aceitar o compartilhamento ou desativar a conta. Entendemos que se trata, pois, de uma imposição. O Recital 32 da GDPR diz expressamente que se “o consentimento do titular deve ser dado por requerimento eletrônico, este deve ser claro, conciso e não prejudicar desnecessariamente o uso dos serviços proporcionados”.
Essa determinação, associada à vulnerabilidade do usuário, em razão de sua qualidade de consumidor e, portanto, sujeito ao Código de Defesa do Consumidor, torna a disposição ainda mais questionável. O Procon-SP, mesmo antes da vigência da LGPD, já possuía precedente nesse sentido. Ao avaliar a política de um aplicativo que simulava o envelhecimento em fotos, o órgão de defesa do consumidor multou o FaceApp, a Google Brasil Internet e a Apple Computer Brasil, uma vez que a respectiva política estava apenas em inglês (falta de informação adequada ao consumidor) e por conter a disposição genérica sobre o compartilhamento e transferência internacional de dados (ausência do devido consentimento e previsões sobre a proteção dos dados).
As práticas do grupo empresarial quanto à privacidade e proteção de dados podem não ser consideradas como ideais e se afastam das melhores práticas de privacidade
Por fim, em terceiro lugar, as referidas alterações na política de privacidade, assim como nas consequentes práticas de compartilhamento, podem ser consideradas como violadoras dos princípios da finalidade, necessidade e adequação. Nos termos da LGPD, toda e qualquer operação envolvendo dados pessoais deve ser guiada necessariamente por determinados princípios (artigo 6.º da LGPD), que a nosso ver foram indicados de maneira muito oportuna, pois atuam como balizadores dos tratamentos feitos. Assim, os tratamentos devem ter propósitos legítimos, específicos, explícitos (princípio da finalidade), serem limitados ao mínimo necessário (princípio da necessidade) e, em especial, serem compatíveis com as finalidades esperadas pelo titular (princípio da adequação).
Ao utilizar o aplicativo de troca de mensagens, a provável expectativa do titular se limitaria à identificação e troca de informações ente usuários, armazenamento de informações, registro de fotografias e vídeos, bem como outras atividades relacionadas ao serviço. Como se vê, foge da finalidade pretendida pelo titular o compartilhamento de seus dados pessoais com outros serviços, ainda mais quando desnecessários ao propósito originário, podendo ser considerado inadequado.
Concluímos, portanto, que as práticas do grupo empresarial quanto à privacidade e proteção de dados podem não ser consideradas como ideais e se afastam das melhores práticas de privacidade. Nesse sentido, questiona-se também o tratamento diferenciado entre usuários da União Europeia e do Brasil, cujas legislações são semelhantes. Ao divulgar o compartilhamento de dados de seus usuários com outros serviços, o aplicativo se afasta de suas práticas originais, as quais priorizavam a privacidade de seus usuários.
André Simoni e Gustavo Fiuza Quedevez são advogados.