Início Artigo Jurídico Vício de consentimento nos aplicativos para Smartphones

Vício de consentimento nos aplicativos para Smartphones

Por

19 de junho de 2020

Aplicativos

Com a nova moda do FaceApp, que reviveu recentemente com a troca de gênero de imagens carregadas pelos usuários via aplicativo (após ser retirado no fim o ano passado por apresentar termo de privacidade em desacordo com a lei). No entanto, a sociedade, mais uma vez, se depara com termos de privacidade vagos e que não asseguram a vontade dos usuários, fomentando novo debate.

Com o uso do FaceApp, os usuários não sabem, o que será feito com as imagens carregadas, como serão tratadas e descartadas, bem como se ocorrerá o compartilhamento com terceiros ou transferência internacional. Há, até mesmo, a possibilidade das imagens do usuários serem exploradas comercialmente, sem o consentimento destes e sem o recebimento de nenhuma contrapartida. Tal conduta é ilegal sob o prisma de várias legislações específicas, bem como da Constituição Federal, o que será abordado a seguir.

Antes, uma contextualização se faz necessária, pois vivemos na sociedade da informação. O tráfico de dados é muito veloz e não se pode controlar onde as informações vão parar. Isso se dá porque a internet, mesmo que essencial à qualidade de vida do indivíduo, é uma grande rede privada formada de outras redes também privadas, que não conhece fronteiras. Devido ao vasto histórico vazamento de dados, bem como ataques realizados a bancos de dados, desde que a internet se popularizou e promoveu fluxo de dados antes inimaginável, que hoje é uma realidade que forma o Big Data, o legislador viu-se obrigado a promover a proteção dos dados dos cidadãos.

Tal necessidade de proteção culminou, após anos de debates e implementação de outros regramentos, na Europa, com a edição da General Data Protection Regulation (Regulamento Geral sobre a Proteção de Dados 679/2016 – GDPR), em vigor desde 2018. No Brasil, fora promulgada a Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD). Ambos os diplomas (pois o brasileiro teve o europeu como inspiração) protegem os denominados Dados pessoais, que compreendem as informações necessárias (ou que permitam) à identificação e individualização de uma pessoa natural.[1] São aqueles dados convencionais, que sempre são solicitados, tais como: nome, CPF, RG, título eleitoral, certificado de reservista, e-mail, sua imagem, dentre outros dados de pessoa física.

Mesmo que os efeitos da LGPD somente ocorram em 2021 no Brasil, existem princípios a serem seguidos tanto pelo diploma brasileiro, quanto pelo europeu. A GDPR já produz efeitos no bloco que compõe a União Europeia desde 2018 e seus princípios norteiam a atuação de boa parte do planeta, uma vez que a maioria as empresa faz negócios com países ou cidadãos europeus. Princípios são o alicerce de uma legislação. São parâmetros para a interpretação da norma, moldando-se a interpretação da lei, que deve respeitar os princípios que a nortearam.

No caso da LGPD, quando a empresa adota os princípios como valores, nasce a cultura de proteção de dados. Assim acontecendo, o foco passa a não ser mais no cumprimento da lei, mas na segurança e satisfação do usuário. São eles:[2]

Princípio da Finalidade: O tratamento de dados pessoais precisa ter uma finalidade específica que deve, sempre e inequivocamente, ser informada ao titular. O tratamento daquela informação individualizadora (dados) deve se restringir apenas àquela finalidade proposta;

Princípio da Necessidade: Para o tratamento, neste conceito compreendida a coleta, a informação individualizadora (dados) deve ter necessidade para existir. Deve ser necessária para a finalidade a se destina. Neste contexto, sempre coletar o mínimo de dados possível para atender à finalidade. Em outras palavras, coletar apenas os dados realmente necessários.

Princípio da Transparência: É preciso assegurar informações claras aos usuários, pois são os titulares dos dados. Aqui o escopo é criar uma relação de confiança entre titular e empresas que tratam os dados. O usuário deve saber o que a organização fará com seus dados;

Segurança: Consiste na utilização de técnicas eficazes para garantir a segurança das informações (dados) pessoais, com escopo de reduzir ou evitar incidentes de segurança (vazamento de dados);

Prevenção: assevera sobre a importância da adoção de medidas para prevenir a ocorrência de danos aos usuários, pois são os titulares dos dados pessoais;

Adequação: O tratamento dos dados, desde a coleta até o descarte, precisa ser compatível com a finalidade para qual houve sua coleta. Coleta por camadas ou etapas (granularizada);

Livre Acesso: Consiste na permissão, simples, gratuita e desburocratizada, de acesso dos titulares aos dados tratados e à todas as informações sobre o tratamento realizado pela empresa, inclusive compartilhamento, transferência e exploração comercial.

Qualidade dos Dados: Garantia, aos titulares, a exatidão dos dados coletados e tratados, mantendo-os atualizados e verídicos. Como mudança de nome por casamento ou retificação de registro de nascimento, gênero e idade, por exemplo;

Não Discriminação: Garantia de que o tratamento dos dados pessoais não terá, sob nenhuma hipótese, finalidade discriminatória, abusiva ou ilícita.

Prestação de Contas: demonstrar e perseguir, por todos os meios disponíveis, a adoção de práticas para redução dos riscos, em conjunto com a adequação da empresa às normas de privacidade e proteção de dados, comandadas por regramento específico.

Note-se que, a partir de uma imagem (que é um dado), pode-se captar outras informações relevantes sobre o titular desse dado. Uma fotografia ou um vídeo que mostra uma pessoa em uma igreja, ou participando da reunião de agremiação política, torna possível identificar a crença, bem como as convicções políticas desse usuário. Nesse sentido, a situação seria ainda mais complexa, tendo que informações relacionadas a convicções religiosas e opiniões políticas são consideradas, pela LGPD, “dados pessoais sensíveis”. Tal estirpe de dados pessoais recebe uma proteção maior da lei exigindo, para seu tratamento, um cuidado especial por parte das empresas.

Porém, nem toda utilização de imagens de pessoas naturais deve seguir todas as regras e princípios previstos na LGPD. O seu artigo 4º, inciso I, exclui a aplicação da lei em relação ao tratamento de dados pessoais “realizado por pessoa natural para fins exclusivamente particulares e não econômicos”. O inciso II do artigo 4º exclui a aplicação da LGPD quanto o tratamento de dados pessoais se der para fins jornalísticos, artísticos ou acadêmicos, o que não demonstra ser o caso do aplicativo em questão.

Após a contextualização, no caso em tela, com advento do aplicativo FaceApp, nota-se que o funcionamento do mesmo não encontra respaldo legal para o tratamento e eventual compartilhamento de dados pessoais, não somente por possuir vício de consentimento (o que veremos mais adiante) como por: 1) Ausência de Finalidade, uma vez que a sua utilização, por seu desenvolvedor, que se encontra na Rússia, deveria apenas ser contida ao que entrega ao usuário (edição de imagem) e não o compartilhamento com outras organizações e nem a exploração comercial; 2) Ausência de Necessidade, uma vez que, para sua atividade proposta de edição de imagem, não há necessidade de compartilhar dados com ninguém, uma vez que a plataforma do referido aplicativo pode fazer o tratamento da imagem selecionada pelo usuário sem compartilhamento; 3) Ausência de Transparência, uma vez que o usuário não tem a informação, de forma clara, de com quem suas informações (imagens) serão compartilhadas e tratadas. Este, por si só, já é um sério vício de consentimento sob o prisma da GDPR e da LGPD; 4) Ausência de Segurança, não somete técnica mas jurídica, uma vez que as imagens podem ser tratadas para fim ilícito ou discriminatório, sem que o usuário nem mesmo saiba disso; 5) Ausência de Adequação, uma vez que o consentimento outorgado pelo usuário é para a edição da imagem por ele selecionada e não para o tratamento e compartilhamento de seus dados para motivos diversos dos quais deu seu consentimento; 6) Ausência de Livre Acesso, uma vem que o usuário não tem acesso a todos os tipos de tratamento que suas informações sofrerão, bem como com quem serão compartilhados; 7) Ausência de Prestação de Contas, uma vez que os titulares de dados não sabem o fluxo que suas informações percorrerão, nem como serão compartilhadas e se vão ser descartados e como será seu descarte.

A 13.709/2018 (LGPD) visa promover o desenvolvimento das empresas, harmonizado com a proteção aos titulares dos dados (no caso em tela, os usuários). Para isso, o legislador estabeleceu dez bases legais autorizadoras do tratamento dos dados pessoais (nesse tipo também inserida a imagem), que se encontram no artigo 7º da referida lei.[3]

No caso específico do aplicativo FaceApp, observa-se que a base legal a ser utilizada é o consentimento. Contudo, há vício de consentimento, uma vez que este não é livre, informando, específico e inequívoco para o fim que o referido aplicativo possa dar aos dados pessoais. Importante destacar que o consentimento não é granularizado (ou seja, requerido conforme o tratamento a ser realizado com o dado pessoal).

O consentimento é a base legal mais usual que embasa o tratamento de dados, tanto sob a ótica da GDPR na Europa, bem como da LGPD no Brasil, se esta última já estivesse em vigor. Esta base legal deve ser livre, indicando de forma inequívoca, a vontade do titular dos dados pessoais que estes sejam coletados e tratados por determinado agente. Para isso, o consentimento precisa ser informado. Ou seja, o titular precisa saber qual será o tratamento realizado, bem como com quem os dados pessoais vão ser compartilhados.

Parece óbvio mas, sem conhecer o processo e as etapas do tratamento, não há que se falar em consentimento. Em outras palavras, não se pode consentir o que se desconhece. Portanto, sem que o usuário (titular dos dados) saiba o fluxo que seus dados vão tomar, (se vão ser compartilhados com empresas de marketing, se vão ser vendidos para empresas de outros segmentos, ou utilizados em propagandas ao redor do mundo) não se pode falar que há o consentimento do titular, tornando ilegal a utilização fora do que o usuário consentiu.

No caso concreto, observa-se que o consentimento outorgado pelo usuário, somente é específico e inequívoco para a edição da imagem carregada (tratamento da imagem) para fim puramente de entretenimento, com a modificação do gênero, da idade, adição a retirada de barba, bigode, e outras possibilidades. São ilegais outros tratamentos e/ou compartilhamento fora do que o referido aplicativo oferece na tela do smartphone, por vício de consentimento, uma vez que o mesmo não foi livre, nem informado, muito menos específico e inequívoco.

Ainda no que tange ao consentimento, nota-se que políticas de privacidade não podem ser vagas e nem padronizadas, pois não exprimem a vontade inequívoca e específica do usuário. Primordialmente devem ser substituídas “termos de consentimento” granularizado.

Consentimento Granularizado (de grão em grão) significa foi perguntado ao usuário, em cada etapa, que os seus dados receberiam o referido tratamento e que o usuário consentiu. No caso específico, primeiramente deveria ser perguntado se o usuário consente em editar/modificar a foto carregada. Caso positivo, proceder-se-ia com a modificação solicitada. Em outra etapa, seria perguntado ao usuário se ele concorda com o armazenamento da referida foto no banco de dados da empresa AB, por tempo X, para a finalidade Y. Caso positivo, a foto seria salva; caso negativo, a foto seria descartada. Em um terceiro momento, seria perguntado se a foto (caso houvesse consentimento do o armazenamento) poderia ser compartilhada com as empresas Z e W, bem como a finalidade do compartilhamento e a utilização por cada empresa (marketing, propaganda segmentada, exploração comercial e outros). Caso positivo a foto seria compartilhada, caso negativo não. Tudo isso, munindo o titular dos dados (usuário) de informações claras do uso e compartilhamento, para que o consentimento seja válido.

Sem consentimento expresso e válido, seriam ilegais os tratamentos realizados pelo FaceApp, caso a LGPD já estivesse em vigor. Contudo, a GDPR está, o que pode se tornar um pesadelo para a empresa que coleta e trata os dados pelo referido aplicativo. Isso se dá pois, a despeito de o referido programa possuir servidores em países que não têm legislação sobre dados pessoais, a empresa está sob o comando da legislação de onde ocorre a coleta de dados ou tratamento, bem como da nacionalidade dos titulares de dados. Significa que, mesmo que os servidores estejam manipulando (tratando) os dados na Ásia ou Oriente Médico, se a coleta ocorreu na Europa, vale a GDPR, com suas rígidas bases legais, bem como suas pesadas multas.

Destarte, indo para o campo do Direito Constitucional e lei Civil, o direito de imagem foi consagrado e protegido pela Constituição Federal da República de 1988, bem como pelo Código Civil de 2002 e o Marco Civil da Internet. Consiste em direito de personalidade autônomo tratando da projeção da personalidade física da pessoa, incluindo os traços fisionômicos, o corpo, atitudes, gestos, sorrisos, indumentárias, e outros aspectos. É direito da personalidade, o qual todos os seres humanos gozam, objetivando o controle de uso de sua imagem, seja a representação fiel de seus aspectos físicos (fotografia, retratos e pinturas, por exemplo.[4]

O Direito de imagem possui arrimo, no Ordenamento jurídico, no artigo 5º, incisos V e X da Constituição Federal, bem como no artigo 20 do Código Civil Brasileiro. O uso da imagem de um indivíduo ocorre, basicamente, sendo este autorizado, em hipótese nenhuma sem autorização.[5]

Contudo, uma dificuldade para uma eventual ação indenizatória seria decorrente do fato de que o referido aplicativo não está sediado/domiciliado no Brasil e nem possui endereço no país, estando hospedado em países onde a legislação sobre a internet é mais fraca ou inexistente. No entanto, com advento da lei nº 12.965/2014, conhecida como Marco Civil da Internet, os provedores de conteúdo são responsáveis pelas aplicações que fornecem, conforme artigos 11 e 19 da referida lei. Com isso, o provedor poderá ser responsável solidário, segundo a teoria da responsabilidade subjetiva, após determinação de ordem judicial solicitando a remoção do conteúdo. Nesta toada, poderiam ser responsabilizadas a AppStore e PlayStore pelo fornecimento do aplicativo FaceApp.

Concluindo, mesmo sem a entrada em vigor da LGPD, o direito à imagem possui proteção constitucional e infraconstitucional pelo Código Civil e outras legislações específicas, pois diz respeito à prerrogativa da pessoa sobre a projeção de sua personalidade perante a sociedade. É a sua compreensão física e moral, também de palavra e escritos.

Com os avanços nos meios de comunicação, em especial a internet, o direito à imagem tornaram-se um bem jurídico facilmente violável, sendo a imagem captada e transmitida com extrema rapidez. Daí a importância de uma Lei Geral de Proteção de Dados, bem como uma cultura de não desrespeito ao direito de imagem, bem como aos titulares de dados pessoais, agindo segundo o consentimento outorgado, estritamente. Este deve ser livre, informado, específico e inequívoco, sob pena de vício de consentimento e ilegalidade por ausência de bases legais, necessidade, finalidade e adequação.

Mesmo sem a nova lei, que só começa a produzir efeitos em 2021 (LGPD) havendo violação ao direito à imagem, observados os meios para aquisição imagem (com ou sem consentimento), seja em ambiente público ou privado, haverá a responsabilização prevista na legislação vigente. Em se tratando de utilização comercial, como sugere o FaceApp, ocorreria dano moral, o que pode ser alvo da ação a indenizatória competente. Com isso, imperioso que as empresas que desenvolvem aplicações já as conceba de acordo com a legislação, como boas práticas de mercado, agindo estritamente sobre o que lhe foi consentido, validamente, pelo usuário.