Não é de hoje que a política de privacidade do WhatsApp, aplicativo presente em cerca de 99% dos celulares brasileiros, gera controvérsias. A alteração recente nesta política e nos termos de uso da plataforma piorou este cenário e foi alvo de intenso debate nos primeiros meses de 2021, mas é sabido que, desde 2016, ela viola o Código de Defesa do Consumidor, o Marco Civil da Internet e, desde 2020, também a LGPD (Lei Geral de Proteção de Dados).
A partir de 1º de agosto, as sanções da LGPD passaram a valer. Assim, big techs (e outras empresas que tratam dados) estão sujeitas a processos administrativos que podem gerar multas de até 2% de seu faturamento. Porém, a ANPD (Autoridade Nacional de Proteção de Dados) ainda depende de processo regulatório - que foi tema de consulta pública, mas ainda não está consolidado – para poder aplicá-las.
Ou seja, mesmo devendo esperar pela finalização da regulação de sanções, a ANPD poderá punir fatos ocorridos após agosto de 2021 ou delitos continuados iniciados antes desta data, como são as violações cometidas pelo WhatsApp e pelo Facebook. Com esta possibilidade cada vez mais próxima, fica a dúvida se a entidade adotará postura mais ativa na análise deste caso específico.
As violações ao direito de informação – como a falta de articulação entre quais dados são coletados, para que são utilizados e por quem - presentes na política de privacidade do WhatsApp são resultado de um fluxo informacional extremamente complexo e mutável de difícil tradução ao consumidor. A ausência de base legal válida para os compartilhamentos de dados com as empresas do grupo Facebook é consequência de um modelo de negócio baseado na exploração máxima dos dados, sem atrelá-los a finalidades e situações específicas (invalidando o uso de legítimo interesse), sem obstáculos (como o consentimento) e não necessárias para a execução do serviço essencial (invalidando a base legal por necessidade contratual). A possibilidade de alterar unilateralmente sua política de privacidade, de modo a deteriorar a qualidade do serviço sem perder usuários é resultado do enorme poder de mercado que a empresa possui – ao mesmo tempo que as alterações (por aumentarem a coleta de dados, insumo básico para o funcionamento do Facebook) reforçam esse poder de mercado do WhatsApp e Facebook.
Até o momento, a principal atuação das autoridades foi a publicação de uma recomendação do Ministério Público Federal, da Secretaria Nacional do Consumidor, do Conselho Administrativo em Defesa da Concorrência e da própria ANPD. O documento recomendava, por exemplo, que o Facebook deixasse de compartilhar dados recolhidos do WhatsApp, mas não apresentava efeito vinculativo e não impunha sanções, já que a imposição de sanções dependeria de procedimento administrativo anterior de cada uma das autoridades. Além disso, a ANPD, autoridade chave nessa cooperação considerando as questões técnicas de proteção de dados pessoais, não tinha dentes, à época, para impor de maneira vinculativa qualquer decisão tomada.
As violações ao direito de informação presentes na política de privacidade do Whatsapp são resultado de um fluxo informacional extremamente complexo e mutável de difícil tradução ao consumidor
Esta recomendação foi importante e representou uma cooperação inédita entre autoridades, que é fundamental para casos complexos de proteção de dados pessoais, haja visto suas imbricações com o direito do consumidor e com direito concorrencial.
Em 20 de agosto, a ANPD anunciou o compromisso da plataforma com mudanças em transparência e acesso facilitado ao exercício de direitos, além de aprimoramentos de mecanismos de controle interno, como a produção de relatório de impacto incluindo temas não abordados anteriormente.
A atuação das autoridades, de forma gradual e em cooperação com o Facebook e WhatsApp, parece ter sido eficiente para a adoção de medidas de transparência e procedimentais pelas empresas. Mas, até o momento, não foram divulgadas ações para limitar o compartilhamento de dados entre WhatsApp e empresas do Facebook às expectativas e escolhas do consumidor, atrelando-o a uma base legal válida. Dessa forma, as violações de maior impacto ao consumidor parecem não ter sido solucionadas
É certo que atuar em casos como este, que envolvem alterar (ou ao menos perturbar) o cerne do modelo de negócios de big techs – por restringir o compartilhamento de dados que seria usado para perfilização dos usuários e personalização de conteúdos e de publicidade – exige das autoridades investigação profunda e procedimento sancionatório eficiente. A falta de cooperação nesse aspecto, portanto, indica a necessidade de uma atuação mais incisiva das autoridades.
Os desafios que envolvem a atuação de autoridades brasileiras neste caso ficam cada vez mais nítidos: é preciso um enfrentamento de práticas conectadas ao modelo de negócios de uma das maiores empresas do mundo – cujas práticas e governança de dados são padronizadas mundialmente – e isso deve acontecer em meio a um ambiente institucional ainda em consolidação com uma autoridade de proteção de dados que recém ganhou o poder de imposição de sanções.
Caso se pretenda impor limites a essas práticas empresariais, consolidando a LGPD como uma lei forte e em respeito aos direitos do consumidor e ao direito fundamental da proteção de dados pessoais, é impreterível que as autoridades competentes, individualmente e em articulação, lancem mão de todos os instrumentos regulatórios disponíveis no Brasil, incluindo agora o peso das sanções previstas na LGPD.
Juliana Oms é advogada e pesquisadora do Idec (Instituto Brasileiro de Defesa do Consumidor).