DESTAQUES LEGISLATIVOS
*PL 1179/20 sancionado sem veto ao artigo sobre LGPD e MP 959/2020 ainda em vigor.
O presidente Jair Bolsonaro sancionou o PL 1179/20 (Lei 14.010/2020). O artigo 20 do projeto de lei, que tratava do prazo de vigência para aplicação das penalidades da LGPD (arts. 52, 53 e 54 da Lei 13.709/18), foi sancionado em sua íntegra.
De outro lado, a Medida Provisória (MP) 959/2020, que prorroga a entrada em vigor da LGPD para 03/05/2021, continua em vigor, aguardando tramitação no Congresso Nacional.
Desta forma, temos os seguintes cenários para vigência da LGPD e suas penalidades:
1) Se a MP 959 for aprovada
Vigência da LGPD: 03/05/21
Penalidades: 01/08/21
2) Se a MP caducar ou for rejeitada
Vigência da LGPD: 16/08/20
Penalidades: 01/08/21
3) Se a MP for modificada
Vigência e penalidades unificadas para maio ou agosto de 2021.
No último dia 10/06, 8 confederações do setor produtivo encaminharam ofício ao Presidente da Câmara dos Deputados, dep. Rodrigo Maia (DEM/RJ), pedindo esforços para que a MP 959 seja votada e aprovada pelo Congresso Nacional.
(Saiba mais sobre novidades legislativas com nossa área de Relações Governamentais: fpa@ajdc.com.br)
DESTAQUES
STF suspende eficácia de MP sobre compartilhamento de dados com o IBGE
O Supremo Tribunal Federal confirmou a medida cautelar concedida pela ministra Rosa Weber suspendendo os efeitos de Medida Provisória que prevê o compartilhamento de dados por empresas de telecomunicações com o Instituto Brasileiro de Geografia e Estatística (IBGE). De acordo com a MP nº 954/2020, os dados que seriam compartilhados para oferecer suporte à produção de pesquisa estatística durante a pandemia do Covid-19 incluem nomes, números de telefone e endereços dos consumidores – pessoas físicas e jurídicas – das referidas empresas.
A decisão se refere às cinco Ações Diretas de Inconstitucionalidade (ADIs) ajuizadas em abril deste ano pelo Conselho Federal da Ordem do Advogados do Brasil (CFOAB), pelo Partido da Social Democracia Brasileira (PSDB), pelo Partido Socialista Brasileiro (PSB), pelo Partido Socialismo e Liberdade (PSOL) e pelo Partido Comunista do Brasil (PCdoB).
Ao conceder a medida cautelar, a Ministra Rosa Weber reconheceu que os dados pessoais integram o âmbito das cláusulas constitucionais assecuratórias da liberdade individual, da privacidade e do livre desenvolvimento da personalidade. A Ministra argumentou que a MP não oferece condições que permitem avaliar a sua adequação, uma vez que (i) não define a finalidade que se busca atingir a partir da realização da pesquisa estatística; (ii) não esclarece a necessidade de disponibilização dos dados ou como estes serão utilizados; e (iii) não apresenta medidas de segurança que visem proteger os dados pessoais de acessos não autorizados, vazamentos acidentais ou uso inadequado. Segundo a Ministra, ainda que se possa inferir que a estatística tenha relação com a pandemia, a MP não demonstra a relação entre a finalidade que se pretende alcançar por meio da pesquisa estatística e o combate à pandemia.
O Ministro Alexandre de Morais acompanhou o voto da relatora, ressaltando que os direitos e garantias previstos na Constituição Federal não são absolutos. O Ministro acrescentou que a medida provisória não apresenta os requisitos de proporcionalidade e razoabilidade que, ao seu ver, seriam necessários para excepcionalmente relativizar a proteção constitucional ao sigilo de dados.
Já o Ministro Luiz Roberto Barroso salientou a importância dos dados na sociedade contemporânea, bem como os riscos associados ao tratamento inadequado. Nesse sentido, o Ministro destacou a necessidade de realização de um debate público prévio à publicação do ato normativo para que fossem discutidas questões relacionadas à necessidade, relevância e urgência da norma, bem como os riscos e os mecanismos de segurança previstos para evitar a malversação dos dados.
O Ministro Luiz Fux enfatizou a desproporcionalidade da medida provisória, argumentando que o IBGE sempre realizou com precisão suas pesquisas por amostragem. Além disso, o Ministro afirmou que a proteção de dados e a autodeterminação informativa são direitos fundamentais autônomos extraídos da garantia constitucional de inviolabilidade à privacidade e à vida privada, bem como do princípio da dignidade da pessoa humana. Por fim, o Ministro ressaltou que a prorrogação da entrada em vigor da Lei Geral de Proteção de Dados (LGPD) agravaria os riscos associados à malversação dos dados pessoais, uma vez que a referida lei prevê princípios e procedimentos para o tratamento de dados pessoais, bem como a responsabilização dos agentes públicos por eventuais danos causados por esse tratamento.
O Ministro Ricardo Lewandowski argumentou que o exercício progressivo de controle estatal sobre a vida privada dos cidadãos mediante a coleta massiva e indiscriminada de informações pessoais representa grave risco para a democracia. O Ministro acrescentou que os princípios previstos na LGPD limitam o tratamento de dados pessoais ao condicionar a coleta de dados à finalidade pretendida. Assim, segundo o ministro, a MP ensejaria um tratamento de dados pessoais desarrazoado, desnecessário e incompatível com a suposta finalidade de avaliação e manejo dos riscos causados à saúde pública pela atual pandemia.
Em seu voto, o Ministro Gilmar Mendes reconheceu a existência de um direito fundamental à proteção de dados pessoais, bem como de um direito à autodeterminação informativa. Segundo o Ministro, tal compreensão deriva do princípio constitucional à dignidade da pessoa humana e da garantia ao habeas data.
Os demais ministros acompanharam o voto da relatora, com exceção do ministro Marco Aurélio, que votou contra a suspensão da medida provisória em questão por entender que esta deveria ser avaliada pelo Congresso Nacional, e não pelo judiciário. O Ministro acrescentou que não haveria violação ao princípio da dignidade da pessoa humana por considerar a MP uma tentativa de se evitar a paralisação da produção estatística oficial, sendo o levantamento de dados necessário para a implementação de políticas públicas. Ainda com relação ao princípio da dignidade da pessoa humana, o Ministro argumentou que os dados que seriam objeto de compartilhamento, segundo a medida provisória, não teriam o condão de ferir a dignidade da pessoa humana. Por fim, o ministro considerou que a finalidade prevista na medida provisória – isto é, oferecer suporte a produção estatística oficial – estaria suficientemente especificada e delimitada.
Tribunal do Novo México indefere recurso interposto pelo Google requerendo o arquivamento de ação judicial
Em meados de 2018, a procuradoria do estado do Novo México apresentou denúncia em face de diversas empresas – Tiny Lab Productions, Google, Twitter, InMobi, Applovin e ironSource – por supostas violações às normas de privacidade associadas a coleta de dados pessoais de crianças através de aplicativos de jogos móveis sem o consentimento dos responsáveis legais.
A Tiny Lab Productions é uma empresa sediada na Lituânia que desenvolve aplicativos móveis voltados para o público infantil. Segundo a denúncia, as redes de anúncios publicitários do Google, Twitter, InMobi, Applovin e ironSource teriam fornecido seus kits de desenvolvimento de software proprietário para que a Tiny Lab os instalasse como componentes em seus aplicativos, coletando uma série de dados pessoais. Tais dados incluiriam impressões digitais, histórico de navegação na internet e localização geográfica dos dispositivos móveis, permitindo o rastreamento o comportamento online dos usuários dos referidos aplicativos para fins de direcionamento de anúncios publicitários.
Ao requerer o arquivamento da ação, as empresas denunciadas argumentaram que as alegações apresentadas na peça acusatória não demonstram o efetivo conhecimento por parte das referidas empresas de que os aplicativos desenvolvidos pela Tiny Lab eram direcionados para crianças. Por outro lado, a procuradoria do estado do Novo México apresentou uma série de argumentos visando demonstrar que todas as empresas tinham ciência de que os aplicativos em questão eram voltados para o público infantil.
O tribunal alegou, em sua decisão, que o título do aplicativo não necessariamente indicaria a natureza infantil do conteúdo. Além disso, o tribunal constatou que a Lei de Proteção à Privacidade Online das Crianças (COPPA) não inclui títulos de aplicativos dentre os fatores que permitem avaliar se um aplicativo é direcionado para crianças. O tribunal também concluiu que a capacidade de um servidor de coletar informações e veicular anúncios não demonstra o conhecimento da empresa quanto à identidade do usuário.
No entanto, tendo em vista que os aplicativos da Tiny Lab eram disponibilizados através do Google Play Store e, segundo a denúncia, aprovados através do programa “Feito para Família” (com aplicativos com conteúdo direcionado para crianças), o tribunal concluiu que seria possível inferir que o Google tinha ciência de que os aplicativos eram direcionados ao público infantil. Por essas razões, o tribunal julgou procedente o pedido de arquivamento da ação judicial instaurada em face das empresas Twitter, InMobi, Applovin e ironSource, mas determinou que a ação permaneça em trâmite com relação ao Google.
Autoridade de Proteção de Dados da Turquia condena Amazon por violações aos requisitos legais de consentimento e transferência internacional de dados
A Autoridade de Proteção de Dados Pessoais da Turquia publicou, em 7 de maio de 2020, sua decisão de 27 de fevereiro de 2020, condenando a Amazon Turkey Retail Services Limited por diversas violações às normas de proteção de dados. Em particular, a decisão trata da ausência de consentimento explícito dos usuários para o envio de mensagens publicitárias, bem como para a transferência internacional de dados pessoais.
Em sua defesa, a Amazon afirmou que o consentimento de seus usuários é obtido no momento em que estes criam uma conta em sua plataforma e aceitam as Políticas de Privacidade. A Amazon destacou que seus usuários têm liberdade para selecionar, limitar ou negar o envio de mensagens publicitárias.
Ao analisar a Política de Privacidade da Amazon, a autoridade constatou que a empresa estaria vinculando o acesso a seus serviços à obtenção de consentimento do usuário para o envio de anúncios publicitários. A permissão para o envio e mensagens publicitárias seria um pré-requisito para a criação de uma conta de usuário – que é obrigatória para realizar compras através da plataforma – e não poderia ser considerada um consentimento explícito, manifestação livre da vontade.
Com relação à transferência internacional de dados, a lei de proteção de dados da Turquia estabelece a necessidade de a empresa obter a aprovação da autoridade para transferir dados pessoais para o exterior sem o consentimento explícito do titular dos dados. Nesse sentido, considerando que a empresa não obteve a aprovação da autoridade ou o consentimento explícito dos titulares dos dados, concluiu-se que a transferência de dados pessoais para o exterior teria sido realizada de forma ilegal.
Tendo em vista as violações destacadas acimas, a autoridade decidiu impor uma penalidade administrativa de TL 1.200.000 à Amazon – equivalente a BRL 877.784,77. A autoridade também determina que a empresa atualize os processos de tratamento de dados pessoais contidos nos documentos de Política de Privacidade, Termos de Uso e Avisos de Cookies.
Facebook celebra acordo com o Departamento de Concorrência do Canadá para arquivar as invetigações sobre suas práticas de privacidade
Em 19 de maio de 2020, o Departamento de Concorrência do Canadá anunciou um acordo celebrado com o Facebook após concluir que a empresa teria prestado declarações falsas e enganosas sobre as condições privacidade dos dados pessoais de seus usuários nas plataformas Facebook e Messenger.
A partir de uma investigação relativa às condutas praticadas pela empresa entre 2012 e 2018, o Departamento de Concorrência do Canadá concluiu que o Facebook teria enganado seus usuários ao indicar que estes poderiam utilizar os recursos de privacidade da plataforma para controlar o acesso de terceiros aos seus dados pessoais. Ao contrário das disposições contidas em sua política de privacidade, o Facebook teria compartilhado dados pessoais de usuários da rede social com terceiros desenvolvedores de aplicativos. Tais dados incluíam o conteúdo postado por usuários em suas páginas de perfil no Facebook, bem como mensagens trocadas através do Messenger. A investigação revelou que, após efetuado o download de
determinados aplicativos por usuários, o Facebook permitia que os desenvolvedores de tais aplicativos tivessem acesso aos dados pessoais de amigos destes usuários.
O acordo impõe uma multa administrativa de CAD 9 milhões – aproximadamente BRL 33,2 milhões –, e um adicional de CAD 500 mil – aproximadamente BRL 1,8 milhões – para os custos da investigação do Bureau. Além disso, o acordo exige a implementação de um programa de compliance para impedir que o Facebook preste declarações falsas ou enganosas acerca das medidas de privacidade e divulgação dos dados pessoais de seus usuários, incluindo o grau de controle conferido aos usuários sobre suas informações pessoais.
Tribunal Constitucional Federal confere eficácia extraterritorial ao direito de privacidade
O Tribunal Constitucional Federal da Alemanha (Bundesverfassungsgericht) julgou parcialmente inconstitucional a Lei do Serviço Federal de Inteligência que regula as atividades da agência nacional de inteligência – Bundesnachrichtendienst (BND). A ação de inconstitucionalidade foi proposta por diversas organizações de direitos civis, incluindo a organização não governamental Repórteres Sem Fronteiras (RSF), em 2018.
As autoras da referida ação demonstraram receio com relação à coleta massiva de dados de telecomunicações pelo serviço de inteligência, alegando que haveria risco de quebra do sigilo e de acesso governamental indevido às comunicações sensíveis trocadas entre jornalistas e suas fontes. Nesse sentido, o excesso de vigilância conferido pela lei colocaria em risco a integridade e o livre funcionamento da imprensa, reprimindo a publicação e exposição de condutas criminosas praticadas por agentes públicos. A ação trata principalmente de dispositivos legais em vigor desde 2017 que permitem o monitoramento de telecomunicações de estrangeiros situados em outros países pela BND.
O Tribunal Constitucional Federal concluiu, em decisão proferida em 19 de maio de 2020, que os dispositivos criam uma base legal para a prática de vigilância estatal de indivíduos situados em países estrangeiros. Tais dispositivos permitiriam que a BND acesse rotas e redes de transmissão de telecomunicações e utilize ferramentas de análise por meio de palavras-chave para coletar dados de interesse do serviço de inteligência. A lei determina que os dados relativos às telecomunicações envolvendo cidadãos alemães ou indivíduos que se encontrem na Alemanha devem ser separados dos dados de estrangeiros situados fora do território nacional e excluídos antes de qualquer análise posterior.
O Tribunal constatou que a lei não especifica os direitos fundamentais afetados pelo monitoramento de telecomunicações, bem como não limita a finalidade para a qual tal monitoramento será realizado. Segundo o Tribunal, a lacuna permite a fiscalização e o controle irrestrito por parte da BND. A Corte verificou que a lei não apresenta restrições e salvaguardas suficientes para a coleta de dados provenientes de comunicações envolvendo jornalistas e advogados, bem como para a transferência internacional de dados realizada no contexto de cooperação entre agências de inteligência estrangeiras. Por fim, o Tribunal determinou que o direito à privacidade previsto na constituição alemã se aplica não apenas aos indivíduos situados dentro do país, mas também àqueles residentes e domiciliados em território estrangeiro.
O Tribunal Constitucional Federal destacou a necessidade de se criar um órgão independente para fiscalizar as atividades de vigilância promovidas pela BND. A decisão concedeu período para que o Parlamento promulgue novas disposições, de modo que os trechos declarados inconstitucionais permanecem em vigor até 31 de dezembro de 2021.
Conselho de Estado da França suspende o uso de drones para fiscalizar isolamento social
A Associação La Quadrature du Net e a Liga dos Direitos do Homem propuseram uma ação judicial com pedido de tutela de urgência para suspender o uso de drones por autoridades policiais. Tal tecnologia foi implementada com o objetivo de monitorar o cumprimento das regras de isolamento social diante da Covid-19. A ação foi julgada improcedente pelo juiz do tribunal administrativo de Paris, resultando na interposição de recurso pelas referidas entidades perante o Conselho de Estado da França.
As entidades sustentaram que a aplicação de técnicas de captação de imagens e de identificação pessoal através do uso de drones em espaços públicos constituiria grave atentado aos direitos e liberdades fundamentais, em especial ao direito à vida privada. Em contraposição, as autoridades policiais parisienses alegaram que este tipo de tecnologia estaria sendo implementada exclusivamente com o objetivo de monitorar locais onde há concentração ilegal de pessoas durante o período de emergência sanitária. Segundo as autoridades, tais métodos de vigilância seriam necessários para conter a propagação do vírus.
Em decisão proferida em 18 de maio de 2020, o Conselho de Estado da França concluiu pela existência de riscos associados à utilização inadequada de tal tecnologia. Segundo a Corte, os drones poderiam ser utilizados para finalidades contrárias às normas de proteção de dados, uma vez que permitem que a polícia identifique indivíduos através da captação de imagens.
Segundo entendimento da Corte, autoridades policiais estariam visualizando em tempo real as imagens captadas por drones para exercer suas funções públicas, o que caracterizaria uma atividade de tratamento de dados pessoais, de acordo com a Diretiva 2016/680 da União Europeia. Nesse sentido, a Corte concluiu que a realização desse tipo de tratamento de dados pessoais em nome do Estado constituiria uma afronta aos direitos de privacidade, uma vez que não há qualquer regulamento que o autorize.
Por essas razões, o Conselho de Estado anulou a decisão proferida pelo Tribunal Administrativo de Paris, determinando a suspensão do uso de drones pela polícia até que estes sejam equipados com tecnologia que impossibilite a captação de imagens e a identificação de indivíduos, ou até que um decreto autorizando o uso de tal tecnologia seja expedido pela autoridade de proteção de dados da nacional (CNIL).
Autoridade de Proteção de Dados da Argentina condena Google por impedir o acesso de usuária do serviço Gmail aos seus próprios dados
A Autoridade de Proteção de Dados Pessoais da Argentina instaurou uma investigação em face das empresas Google LLC e Google Argentina SRL. No caso, a reclamante afirmou que um terceiro não autorizado teria acessado sua conta no Gmail, alterando sua senha e apagando o histórico de acesso a todos os dispositivos vinculados a essa conta. Nesse contexto, a reclamante afirmou ter perdido o acesso ao conjunto de dados e informações valiosas contidas em seu e-mail e em aplicativos relacionados, quais sejam, Google Drive, Google Photos e YouTube.
Por esse motivo, a reclamante solicitou ao Google Argentina SRL a recuperação de acesso aos dados pessoais contidos em seu e-mail. Em resposta, a empresa teria negado o pedido da reclamante, afirmando que tal solicitação deveria ser direcionada à Google LLC, responsável pela administração do aplicativo Gmail.
Após a autoridade ordenar o acesso às informações solicitadas pela reclamante, as empresas se manifestaram, argumentando que: (i) a autoridade não teria competência para a ordem; (ii) a via adequada para solicitar de tais informações seria a interposição de habeas data, tendo em vista que apenas uma ordem judicial seria capaz de obrigar as empresas a disponibilizarem tais informações; (iii) a reclamante pode utilizar ferramentas disponíveis na web para recuperar a senha de seu e-mail.
A autoridade rejeitou os argumentos apresentados pelas empresas. Segundo decisão publicada em 19 de maio de 2020, Google Argentina SRL teria incorrido em infração grave por não permitir o exercício do direito de acesso pela reclamante. Nesse sentido, a autoridade decidiu aplicar multas administrativas no valor de ARS 180 mil ao Google Argentina SRL – aproximadamente BRL 13 mil – e ARS 100 mil ao Google LLC – aproximadamente BRL 7 mil.
FTC celebra acordo com empresa desenvolvedora de jogos virtuais acusada da prática de condutas desleais
Em 19 de maio de 2020, o Federal Trade Commission (FTC) anunciou um acordo celebrado com a Miniclip, S.A., uma empresa sediada na Suíça que fabrica jogos virtuais. O acordo resulta de alegações de que a empresa teria iludido consumidores quanto à sua participação em programa voltado a garantir a adesão das empresas aos requisitos da Lei de Proteção à Privacidade Online das Crianças de 1998 (COPPA).
De acordo com a denúncia apresentada pelo FTC, a Miniclip teria aderido ao programa Safe Harbor com aprovação da Children’s Advertising Review Unit (CARU) em 2009, permanecendo membro do programa até 2015. Todavia, após ter tido sua adesão cancelada pela CARU, a Miniclip continuou afirmando, em seu website e em sua página de Política de Privacidade de Games no Facebook, ser membro do referido programa até 2019. Nesse contexto, o FTC concluiu que a Miniclip teria prestado declarações falsas sobre sua participação no referido programa.
O acordo homologado proíbe a Miniclip de prestar declarações falsas acerca de sua adesão ou conformidade com qualquer programa de privacidade ou segurança promovido por entidades governamentais. Além disso, exige, em síntese, que a empresa apresente ao FTC relatórios de conformidade periodicamente, bem como registros de informações e documentos necessários para demonstrar conformidade com relação aos termos do acordo.
Tribunal de Apelações da Nona Circunscrição indefere pedido de anulação de provas obtidas meadiante a utilização de tecnologia de identificação de placas de veículos
O Tribunal de Apelação da Nona Circunscrição dos Estados Unidos confirmou a decisão proferida pelo Tribunal Distrital de Nevada, que indeferiu o recurso interposto pelo réu alegando a inadmissibilidade de provas ilícitas obtidas em sede de processo criminal.
Em meados de 2016, Jay Yang foi acusado da prática de roubo de correspondências contidas nas caixas de correio e porte ilegal de arma de fogo. A partir das imagens fornecidas por câmeras de vigilância instaladas em vias públicas da cidade de Las Vegas, o Serviço de Inspeção Postal – órgão que conduziu a investigação do ocorrido – constatou que o indivíduo responsável pela prática das condutas estaria dirigindo um GMC Yukon alugado.
Ao entrar em contato com a empresa locadora de veículos automotores, o inspetor postal foi informado de que a devolução do veículo em questão estava com aproximadamente seis dias de atraso. Considerando que o dispositivo de GPS móvel do veículo teria sido desativado, o inspetor consultou o banco de dados de placas de carros – administrado por uma empresa privada. Esse banco de dados utiliza uma tecnologia de identificação automática de placas de veículos (ALPR) através do processamento de imagens e registra coordenadas GPS do veículo.
O acesso às informações contidas no banco de dados permitiu que a inspetoria postal identificasse a localização do GMC Yukon e, consequentemente, a residência de Jay Yang. Então, a inspetoria postal efetuou uma busca e apreensão no domicílio do acusado, onde diversas evidências da prática do crime foram encontradas. Yang confessou às autoridades policiais o seu envolvimento em atividades ilícitas.
Ainda em 2016, Yang interpôs recurso – indeferido pelo Tribunal Distrital de Nevada – impugnando a legalidade das provas apreendidas em sua residência, bem como do depoimento de confissão prestado às autoridades policiais. Posteriormente, interpôs recurso contra a decisão de indeferimento proferida pelo Tribunal Distrital. Dentre as alegações apresentadas, Yang destaca que o mandado de busca e apreensão obtido pelo Serviço de Inspeção Postal teria se baseado em provas obtidas ilegalmente através da consulta ao banco de dados de placas de veículos automotores. Nesse sentido, o uso da tecnologia ALPR sem autorização judicial para rastrear a sua localização violaria seu direito à privacidade previsto pela Quarta Emenda da Constituição Federal dos EUA.
Ao analisar o recurso interposto pelo réu, o Tribunal de Apelação da Nona Circunscrição dos Estados Unidos concluiu que não houve violação à Quarta Emenda, uma vez que, ao deixar de devolver o veículo automotor dentro do prazo estipulado no contrato de locação, o réu perdeu qualquer expectativa razoável de privacidade com relação aos dados do histórico de localização do veículo.
A decisão do Tribunal de Apelação foi unânime. Entretanto, o Juiz Carlos Bea divergiu dos demais quanto ao argumento de que o réu não teria expectativa de privacidade em razão do término do período de locação do veículo. Segundo o Juiz, a consulta ao banco de dados não exigia a expedição de mandado, uma vez que as informações ali contidas não revelavam características individuais do réu. Nesse sentido, não teria havido acesso aos dados pessoais de Yang a partir da consulta ao banco de dados em questão.
Tribunal Federal de Justiça da Alemanha encaminha ação judicial referente às práticas de privacidade adotadas pelo Facebook ao Tribunal de Justiça da União Europeia
O Tribunal Federal de Justiça da Alemanha (Bundesgerichtshof) suspendeu a tramitação da ação judicial movida pela Federação das Organizações Alemãs de Consumidores (VZBV) contra o Facebook e encaminhou os autos ao Tribunal de Justiça da União Europeia a fim de obter esclarecimentos sobre a legislação aplicável ao caso.
No caso, a VZBV alegou que o Facebook estaria violando normas de privacidade ao permitir que operadoras de aplicativos de jogos online coletassem indevidamente dados pessoais dos usuários. Os jogos online eram oferecidos através do App Center do Facebook em 2012. Ao acessá-los, o usuário automaticamente concordava em compartilhar seus dados pessoais. Ao final do jogo, o usuário recebia uma mensagem informando que o aplicativo poderia publicar seu status, fotos e outros dados pessoais.
Segundo o Tribunal, a dúvida gira em torno da aplicabilidade da legislação alemã sobre o caso, uma vez que certos dispositivos do Regulamento Geral de Proteção de Dados (GDPR) impedem a aplicação de normas nacionais dos estados-membros. O GDPR prevê expressamente que associações de defesa ao consumidor detêm legitimidade ativa somente quando a ação judicial for movida em nome de determinado indivíduo – ou seja, não há previsão quanto à legitimidade ativa de associações de defesa ao consumidor para moverem ações em nome próprio. Por outro lado, a legislação antitruste alemã confere o direito de ação a estas associações para moverem processos judiciais contra condutas comerciais que violam direitos de consumidores. Portanto, apesar de a conduta do Facebook se tratar de uma violação às normas de proteção de dados, em especial ao dever de informar usuários da rede social sobre a extensão e finalidade da coleta e uso de seus dados pessoais, há dúvidas quanto à legitimidade ativa da VZBV, bem como quanto à competência dos tribunais cíveis alemães para processar e julgar a ação.
Elaboração: Equipe de Proteção de Dados da AJDC
Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br
Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br