O European Data Protection Board – EDPB (Comitê Europeu de Proteção de Dados Pessoais) proferiu decisão aplicando multa de 390 milhões de euros à Meta Platforms, empresa controladora do Facebook, Instagram, WhatsApp, Messenger e Workplace.
O EDPB é um órgão que promove cooperação entre as autoridades de proteção de dados da União Europeia e zela pelo comprimento do General Data Protection Regulation (GDPR), lei de privacidade da União Europeia.
Segundo o órgão, ao utilizar os termos com os usuários do Facebook e Instagram para justificar o envio de anúncio com base em suas atividades online, a Meta teria violado o GDPR.
Isso porque, de acordo com os termos de serviço das referidas plataformas, ou os usuários permitem que seus dados pessoais sejam utilizados para criação de anúncios personalizados, ou não conseguem ter acesso aos serviços de tais mídias sociais.
A conclusão do órgão é que os usuários são obrigados a fornecer consentimento (“Forced Consent”) para aceitar anúncios personalizados, não havendo a real opção ao usuário, o que infringiria o GDPR.
O processo de apuração que resultou na decisão publicada esta semana foi iniciado após denúncia de um usuário austríaco, em relação ao Facebook, e um usuário bélgico, em relação ao Instagram, realizadas em 25 maio de 2018 (data em que o GDPR entrou em vigor) por meio da Associação Europeia sobre direito digital, NOYB. A Meta informou que pretende recorrer da decisão.
O que prevê a Lei brasileira de Proteção de Dados Pessoais (LGPD)?
A LGPD, tal qual o GDPR, também prevê que os dados pessoais só poderão ser processados por empresas com base em uma das bases legais previstas no art. 7º da Lei 13.709/18. No caso de o tratamento ser baseado no consentimento, este deve ser livre, claro e passível de revogação pelo usuário. Ou seja, também não poderia haver consentimento forçado do usuário.
Qual é a importância da LGPD?
Visando proteger os dados pessoais dos brasileiros, a LGPD é essencial pelos seguintes motivos:
- Proteger os direitos de liberdade e a privacidade;
- Proteger a liberdade de expressão, de informação, de comunicação e de opinião;
- Garantir segurança e transparência no uso de informações pessoais;
- Padronizar regulamentos e práticas para a proteção de dados pessoais;
- Alcançar padrões internacionais de proteção de dados;
É possível que empresas brasileiras sejam penalizadas a partir de denúncia de um único usuário?
A lei brasileira prevê que o titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional. Ainda, o usuário pode optar por defender seus interesses em processo judicial.
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão brasileiro responsável por instaurar o processo administrativo para apuração de denúncias e, conforme o caso, de aplicar as sanções previstas na LGPD.
Ou seja, desde que haja fundamento e observado o devido processo legal, é possível que empresas recebam sanções administrativas a partir da denúncia de apenas um ou de mais titulares.
Qual é a multa prevista em caso de descumprimento da LGPD?
A LGPD, assim como o GDPR, prevê a possibilidade de aplicação de multas de alto montante, a depender das circunstâncias da infração. O GDPR prevê multa de até 4% do faturamento global da empresa infratora ou até 20 milhões de euros, o que for maior.
Já a LGPD prevê multa de até 2% do faturamento da empresa no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 50 milhões de reais por infração. Dessa forma, as empresas têm procurado consultorias de advogados especializados em LGPD para evitar essas multas e outras penalidades, que podem, inclusive, prejudicar a reputação da empresa no mercado.
Para a fixação da penalidade de multa pela ANPD, deverão ser levados em consideração elementos como a gravidade e a natureza das infrações, a reincidência e a condição econômica do infrator, a pronta adoção de medidas corretivas, a adoção de política de boas práticas e governança, entre outras circunstâncias.
Além da multa, a LGPD prevê a aplicação de outras sanções, tais como:
- Advertência com prazo para medidas corretivas;
- Eliminação dos dados pessoais;
- Publicização da infração;
- Suspensão da possibilidade do trabalho com tratamento de dados por até seis meses;
- Suspensão parcial do acesso ao banco de dados;
- Proibição total ou parcial de quaisquer trabalhos relacionados ao tratamento dessas informações.
Fonte: https://noyb.eu/en/noyb-win-personalized-ads-facebook-instagram-and-whatsapp-declared-illegal
Íntegra da decisão: https://noyb.eu/sites/default/files/2021-10/IN%2018-5-5%20Draft%20Decision%20of%20the%20IE%20SA.pdf
