Decifrando a mensagem do caso Whatsapp enviado pelo grupo de autoridades brasileiras

Introdução

A recomendação conjunta das principais autoridades brasileiras de direitos difusos – incluindo aqui os direitos à ordem econômica justa e direitos dos consumidores, previstos na Constituição Federal – sobre a nova Política de Privacidade do Whatsapp, ocorrida na última sexta-feira (07/05), é fato político de alta relevância e de notável caráter simbólico.

É a primeira vez que Ministério Público Federal (MPF), Secretaria Nacional do Consumidor (Senacon), Conselho Administrativo de Defesa Econômica (Cade) e Autoridade Nacional de Proteção de Dados (ANPD) se posicionam em conjunto diante de uma potencial violação de direitos à proteção de dados pessoais.

Com o posicionamento de sexta-feira, o país se junta ao rol de países do “Sul Global” que contestam as práticas de compartilhamento de dados entre empresas do grupo Facebook Inc., incluindo Índia e Turquia. É, no entanto, o primeiro com tamanho nível de cooperação e articulação interinstitucional.

A recomendação do quarteto (MPF-ANPD-Cade-Senacon) parece ser uma demonstração efetiva daquilo que está previsto na Lei Geral de Proteção de Dados Pessoais, quando se diz que é papel da ANPD “articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação” (Art. 55-J, XXIII, LGPD). 

Como afirmado pela recomendação, pede-se o adiamento da política “enquanto não forem adotadas as recomendações sugeridas após as análises dos órgãos reguladores”. As autoridades também formularam um conjunto de perguntas, com prazo de resposta até 10 de maio.

Articulações possíveis

Além do caráter pioneiro de uma efetiva articulação – a ideia de “junção” de partes do corpo, em uma analogia à anatomia humana, no sentido de ligação e conexão -, a recomendação também pode ser vista como uma articulação no sentido de “produzir os sons da fala”, quando, por exemplo, articulamos uma palavra.

E que palavras foram articuladas ali? O que se extrai do seu significado?

Há três significados profundos da recomendação que merecem ser vistos em detalhes e que podem gerar boas discussões no Brasil, diante da polêmica das novas políticas do Whatsapp. São articulações de sentido, para além da inédita cooperação institucional em si simbólica em termos de atuação política em conjunto.

A primeira articulação de sentido é que a recomendação apóia-se no direito constitucional à proteção de dados pessoais, como consequência da atuação do Supremo Tribunal Federal no caso IBGE. O que motiva a atuação articulada dos agentes públicos é precisamente o reconhecimento de que a proteção de dados pessoais é uma garantia fundamental autônoma e distinta do direito à privacidade. Seu objetivo não é restringir (privar) a circulação de informações, mas, muito pelo contrário, estimulá-la. Desde que o fluxo informacional seja íntegro ao interesse público da defesa do consumidor, da livre concorrência e de outras liberdades individuais públicas e privadas por ele instrumentalizadas. Uma política pública transversal que atrai justamente a competência do quarteto.  

A segunda articulação de sentido é o caráter simbólico da recomendação ao WhatsApp que “adie a data de vigência de sua nova política, prevista para 15 de maio, enquanto não forem adotadas as recomendações sugeridas após as análises dos órgãos reguladores”. Como dito, não se trata de uma decisão em processo administrativo, mas uma recomendação. É notável, no entanto, o peso simbólico disso. O que significa descumprir uma recomendação de peso por parte dessas quatro autoridades em conjunto?

A terceira articulação, e talvez o ponto central desse movimento de diálogo do quarteto, é no sentido de que deve haver uma discussão pública sobre o caso em questão. O que é feito com os dados pessoais dos usuários da principal ferramenta de comunicação do(a)s brasileiro(a) e qual seu amparo legal? É sintomático que os artigos citados da LGPD e CDC sejam aqueles relativos ao princípio da transparência, bem como haver “assimetria informacional” por parte do Cade sobre esse novo mercado (digital). Esse fio condutor ajuda a compreender todo o sentido articulado em seus 24 (vinte e quatro) “Considerandos“.

A delicada dança das bases legais 

Ao pontuar que a nova política de privacidade não contém “informações claras e precisas sobre que dados dos consumidores serão tratados e sobre a finalidades das operações”, o quarteto mira no que há de mais complexo e, ao mesmo tempo, mais opaco em termos jurídicos-regulatórios desde a vigência da LGPD: como dar um lastro adequado a uma operação de tratamento de dados? 

A natureza do dado e a finalidade pela qual é tratado são os principais fatores para a definição de uma base legal, isto é, de uma das (10) dez ou 08 (oito) hipóteses autorizativas, que não se resumem ao consentimento, para o tratamento de dados triviais ou sensíveis (como se denota da leitura da LGPD). 

Em particular, desde 2016, aumentou-se o volume e a variedade dos dados tratados dos usuários que instrumentalizam muito mais do que apenas a prestação do serviço de mensageria. E não apenas com o WhatsApp. Do combate à desinformação, passando por outras questões de segurança dos usuários até para fins de marketing e “melhoria da experiência do usuário”, há diferenças que desafiam bases legais distintas. 

Ao recomendar que haja a devida correlação entre o dado e seu respectivo propósito de uso, joga-se luz sobre sobre qual base legal pode ser tirada para dançar dentre as várias faixas de uma operação de tratamento de dados. Com isso, as quatro autoridades orquestram o que pode ser o primeiro teste público da mais controvertida das bases legais prevista na LGPD.

Legítimo interesse e poder de escolha: opt-out 

Um dos debates a serem enfrentados é sobre a natureza dos direitos a serem exercidos pelos titulares quando há tratamento de dados com base legal firmada no “legítimo interesse”.

Como defendemos em nosso policy paper publicado em fevereiro de 2021, o debate sobre legítimo interesse e LGPD passa por algumas questões importantes a serem debatidas e solucionadas pela comunidade jurídica no Brasil, considerando nossa tradição jurídica firmada em leis e nas Cortes.

A primeira é a ideia de que a “legítima expectativa”, que integra a previsão do legítimo interesse, se relaciona diretamente com o princípio da boa-fé, na medida em que está calcado em um dever de lealdade e não frustração da confiança do titular de dados. 

A segunda é a exigibilidade do exercício desse direito quando o tratamento é feito com base no interesse legítimo próprio ou de terceiros. O direito de oposição pode ser exercido, por parte do titular, quando sua confiança for frustrada? O direito de oposição poderia e deveria ser expressão dessa frustração?

Nesse sentido, chama atenção a ressalva da recomendação de que não se “retire por completo a liberdade de escolha do usuário (…) de autorizar ou não o compartilhamento dos seus dados”. Inclusive, cita-se, como analogia, a opção do consumidor em “não querer receber comunicações indesejadas”. Isto é exercer o seu direito de opt-out, o que também foi chamado de “não me perturbe”, de ligações de telemarketing. Há também o paralelo com exercício de opt-out no novo regime do Cadastro Positivo, reformado em 2019. Apesar da inclusão automática, há direito de cancelamento de cadastro, que implica na “impossibilidade de uso das informações do histórico de crédito pelos gestores”.

Ao ressalvar que esse é um tema sujeito à interpretações em nosso referido relatório de pesquisa, pontuou-se que tal direito, ainda que não absoluto, pode ter sim esse alcance. “Essa é uma recomendação normativa que evita um regime assimétrico entre as bases legais, mais especificamente frente ao consentimento, já que nesse caso o titular dos dados detém o direito potestativo de revogá-lo a qualquer momento. Uma interpretação que coloque consentimento e legítimo interesse em pé de igualdade, tal como foram articulados no artigo 7º, é também uma questão de coerência normativa interna da LGPD”.

Se as bases são “coirmãs”, como se costuma dizer, os direitos dos titulares devem possuir a mesma carga genética. O direito de oposição é pilar dos direitos básicos dos titulares, garantidos no Capítulo III da LGPD.

Articulação de um sistema nacional de proteção de dados 

Uma ANPD que “está muito alinhada em seguir o caminho da regulação responsiva, que além de colocar a entidade como uma grande organizadora do sistema de proteção de dados no País, implementa ações e agendas regulatórias junto aos entes regulados não somente com o foco punitivo, mas também com ações de incentivo, na tentativa de facilitar a solução de problemas”. Essas são as palavras da diretora Miriam Wimmer da ANPD no 2º Summit Data Privacy Brasil, que ressoa na fala de seus pares, que também pontuam ser o principal papel da autoridade de dados o de orientação e conscientização na formação de uma cultura de proteção de dados. 

Será essa recomendação a manifestação de uma ANPD responsiva, capaz de articular um sistema nacional de proteção de dados, composto por outros órgãos reguladores, para a solução de conflitos cuja primeira e preferencial solução não é punitiva? A recomendação pode ser vista da perspectiva de uma regulação responsiva?

Talvez essa seja a principal mensagem a ser decifrada do caso Whatsapp no Brasil: a recomendação é um incentivo para agir, para reavaliar decisões e para aprofundar os valores das escolhas de interpretação de conformidade à LGPD. 

Por fim, ao “abrirmos a mensagem” desse grupo, o que percebemos é que, no fundo, há outras questões a serem discutidas:

1. Quais são as finalidades de tratamento de dados e suas respectivas bases legais?
2. Se há a aplicação de legítimo interesse, há algum teste (LIA) que informa essa tomada de decisão e porque ele não foi publicado?
3. Por que estabelecer configurações de privacidade distintas, especialmente aos brasileiros que não têm um controle granular sobre seus dados (e.g., opt-out para fins de marketing e compartilhamento com o grupo econômico do Facebook)?
4. Quais são as razões e os fundamentos dos acordos travados com DPAs (Autoridades de Proteção de Dados Pessoais), que resultaram ou na proibição de compartilhamento de dados ou em uma configuração de privacidade com mais opções?

O debate, nesse sentido, está muito longe de acabar. A filosofia restaurativa por trás da regulação responsiva pressupõe justamente isso: nossa capacidade de sempre formular perguntas, estabelecer uma comunicação dialógica e criar empreendimentos regulatórios cooperativos.

Por Bruno R. Bioni & Rafael A. F. Zanatta