Direito Digital e Compliance

Categorias


Direito Digital e Compliance

Por que a Google foi multada em 50 milhões de euros?

Para a autoridade francesa de proteção de dados a Google violou princípios do GDPR.

Ricardo Córdoba BaptistaRicardo Córdoba Baptista

Recentemente, no dia 21 de janeiro, a autoridade francesa de proteção de dados, CNIL (Comissão Nacional de Informática e Liberdades), multou a Google em 50 milhões de euros (cerca de US$ 56,8 milhões) por violar o Regulamento Geral de Proteção de Dados da União Europeia (GDPR). A autoridade fundamentou a decisão em alguns dos princípios estabelecidos pelo GDPR: transparência, informação e consentimento. Trata-se da primeira e maior multa já estabelecida por um órgão regulador europeu. A companhia já recorreu da decisão interpondo recurso ao Conseil D´État, o mais alto tribunal administrativo da França.1

Quem fez a reclamação ao CNIL?

As investigações da autoridade francesa de proteção de dados tiveram início a partir de queixas apresentadas separadamente por duas associações de defesa dos direitos dos usuários da Internet: NOYB, organização sem fins lucrativos fundada por Max Shrems, conhecido ativista austríaco de proteção de dados, e La Quadrature du Net, a qual representou 10 mil internautas franceses.

De acordo com o art. 80 do GDPR, “o titular dos dados tem o direito de mandatar um organismo, organização ou associação sem fins lucrativos, que esteja devidamente constituído ao abrigo do direito de um Estado-Membro, cujos objetivos estatutários sejam do interesse público e cuja atividade abranja a defesa dos direitos e liberdades do titular dos dados no que respeita à proteção dos seus dados pessoais, para, em seu nome, apresentar reclamação …”.

É muito importante estar em conformidade com a lei, a fim de se prevenir contra iniciativas das organizações de defesa do consumidor e da privacidade.

Quais foram as alegações?

Embora a CNIL tenha reconhecido os esforços da Google no cumprimento dos requisitos do GDPR, a autoridade sustentou que a empresa violou o princípio da transparência e que não satisfazia a exigência de ter bases legais válidas para implementar o processamento de dados pessoais para fins de análise de comportamento e segmentação de publicidade.

Princípio da transparência

O Art. 12 do GDPR exige que as informações divulgadas aos titulares de dados, antes de qualquer tratamento, sejam concisas, transparentes, inteligíveis e de fácil acesso.

A CNIL concluiu que a Google não forneceu aos titulares de dados informações transparentes e suficientes para que eles fossem capazes de compreender facilmente as principais atividades de processamento.

Informações essenciais, como aquelas referentes aos propósitos do processamento de dados, os períodos de armazenamento de dados ou as categorias de dados pessoais usados para a personalização de anúncios, só poderiam ser acessadas depois de vários passos, implicando, por vezes, até 5 ou 6 ações. Como as informações estavam diluídas em vários documentos, os titulares não conseguiam entender completamente o que estavam acordando.

Consentimento livre e inequívoco

De acordo com o art. 4º do GDPR, o consentimento do titular dos dados “é uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento”.

Para a CNIL, não havia ação positiva do usuário para consentir com a personalização dos anúncios. 2

A multa

Apesar da multa de 50 milhões de euros ser modesta para uma companhia que fatura mais de 96 bilhões de euros3, ela representa um inequívoco sinal de alerta, principalmente para as empresas de tecnologia que têm modelos de negócio baseados na exploração de dados pessoais de cidadãos europeus.

Deve ser dada especial atenção às políticas de privacidade, fornecendo informações concisas, claras e de fácil acesso, de forma que os titulares possam ter a oportunidade de compreender a extensão do tratamento dos seus dados pessoais.

Referências

  1. The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC: https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc
  2. Em relação à inequívoco concordância, ver o considerando 32 do GDPR: “O consentimento do titular dos dados deverá ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito, como por exemplo mediante uma declaração escrita, inclusive em formato eletrónico, ou uma declaração oral. O consentimento pode ser dado validando uma opção ao visitar um sítio web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação ou mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais. O silêncio, as opções pré-validadas ou a omissão não deverão, por conseguinte, constituir um consentimento. O consentimento deverá abranger todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos, deverá ser dado um consentimento para todos esses fins. Se o consentimento tiver de ser dado no seguimento de um pedido apresentado por via eletrónica, esse pedido tem de ser claro e conciso e não pode perturbar desnecessariamente a utilização do serviço para o qual é fornecido.”
  3. A multa máxima estabelecida pelo GDPR, com base em 4% do volume de negócios da Google, seria de 3,8 bilhões de euros

Advogado com pós-graduações em Direito Digital, Compliance e Segurança da Informação. Graduação em Filosofia. Certificado EXIN Data Protection Officer (PDPP). Membro da Internet Society. Faz parte do escritório Silva, Santana & Teston Advogados.

Comments 0
There are currently no comments.