Você comenta num grupo de amigos e, pouco depois, vê um anúncio sobre o assunto no Instagram ou Facebook. Pareceria mania de perseguição, não fosse o fato de o WhatsApp, principal mensageiro em uso no Brasil, ter acesso a seus horários de dormir e acordar, aos locais em que esteve, contatos e empresas com que falou e links que passou ou clicou – e compartilhar tudo isso com outras empresas do grupo Meta. E, sim, você concordou com isso.
Bom, não conscientemente, já que seria impedido de usar o app caso recusasse ter seus dados cedidos. Coação? É, foi o que entendeu o Ministério Público Federal (MPF) ao pedir, em 17 de julho, que a Justiça Federal aplique multa ao WhatsApp em R$ 1,733 bilhão por impor suas alterações nas políticas de privacidade em 2021. Mais que isso, o órgão e o Instituto de Defesa de Consumidores (Idec) apontaram na ação contra a empresa que a Meta se porta distintamente quanto aos usuários europeus sobre o tópico da privacidade.
Não, não é exatamente uma questão de legislação. Ao menos é o que avaliam especialistas ouvidos pela Agência Pública. A Lei Geral de Proteção de Dados (LGPD), em vigor no Brasil desde setembro de 2020, bebe diretamente na fonte da europeia General Data Protection Regulation (GDPR, que, em tradução livre, significa Regulamento Geral de Proteção de Dados) e, em termos gerais, oferece o mesmo tipo de proteção que os cidadãos dispõem por lá. Mas três pontos ajudam a explicar a diferença.
Interpretação, fiscalização e risco assumido
“Não existe uma diferença substancial”, resume o professor e mestre em direito constitucional pelo Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP) Alisson Alexsandro Possa, quando o assunto é a comparação entre LGPD e GDPR. Ele explica, no entanto, que o arcabouço do dispositivo legal europeu é mais robusto que o da LGPD, inclusive com requisitos mais restritos quando o assunto é a transferência internacional de dados, como a praticada pela Meta entre o WhatsApp e outras plataformas do grupo, como Facebook e Instagram, visando a anúncios e outros tipos de recomendações.
“Mesmo que não falasse da questão da transferência [de informações pessoais], o uso secundário [desses dados], como faz a Meta, já acabaria limitado. A diferença existe, mas não ao ponto de gerar no Brasil a possibilidade de uma big tech se comportar de uma forma no país e de outra na União Europeia”, afirma Possa.
“A diferença não é necessariamente regulatória, de legislação em si, mas a forma como as leis são interpretadas”, concorda a professora, pesquisadora e doutoranda em filosofia e teoria geral do direito pela Universidade de São Paulo (USP) Maria Cecília Oliveira Gomes. Ela detalha que a política de privacidade exposta aos usuários do WhatsApp na União Europeia é menos genérica e especifica os tratamentos aplicados aos dados dos usuários e que há não apenas um cuidado maior em relação à comunicação de mudanças nas políticas praticadas, como uma fiscalização maior.
“O problema não está na redação da lei, mas na forma como ela é interpretada por organizações, que usam de uma flexibilidade maior no entendimento para tratá-la de acordo com seus interesses”, detalha Gomes, uma das autoras do parecer feito pela organização não governamental internacional Eko, de 2021, usado como uma das fundamentações da ação civil pública contra o WhatsApp. “Fazendo um link com o treinamento da Meta de inteligência artificial (IA) usando dados de usuários [prática proibida pela Autoridade Nacional de Proteção de Dados (ANPD) no último dia 2 de julho], eram oito telas para o usuário conseguir acessar e conseguir negar a autorização. O mais urgente, no momento, é a transparência”, destaca.
Os professores concordam que há uma vulnerabilidade no quesito de fiscalização, cuja função similar exercida pela Comissão Europeia, por aqui, é de responsabilidade da ANPD. Com níveis de força bem distintos, os dois órgãos acabam tendo resultados bem discrepantes, mesmo que façam valer leis “irmãs”.
“Não é que não houve fiscalização, mas como os processos administrativos se desdobraram. Há processos administrativos e inquéritos desde 2021 que estão em sigilo e a sociedade acaba não tendo acesso”, destaca Gomes. No entanto, “as big techs, no geral, sabem que a LGPD não tem tido uma atuação forte, então o risco é relativamente baixo. ‘Vale a pena’ tentar ‘passar’ enquanto a gente não tiver entidade fiscalizadora forte, porque o risco de voltar atrás ou de lidar com as sanções econômicas é relativamente baixo”, completa Possa.
A Pública procurou a Meta para comentar sobre os apontamentos de que atuaria de modo diferente na Europa e no Brasil e vai atualizar este espaço assim que houver resposta.
Quanto vale sua privacidade?
Além dos custos de desenvolvimento e pessoal, a Meta deve desembolsar menos de R$ 12 para violar seus dados. Caso a Justiça Federal decida aceitar a solicitação de MPF e Idec, a empresa pagaria R$ 11,79 por cada um dos 147 milhões de usuários brasileiros devido a abusos de sua política de privacidade. O dinheiro não vai para você, mas para projetos financiados pelo Fundo de Defesa de Direitos Difusos (FDD).
O valor foi estipulado com base na multa de 225 milhões de euros aplicada pela autoridade da Irlanda, onde a Meta é sediada, por motivo semelhante, utilizando o câmbio praticado no dia anterior ao ajuizamento da ação. “A adoção desse parâmetro utilizado na União Europeia não apenas garante objetividade para a punição esperada no Brasil, como ainda reforça o significado da ação, de que aos usuários brasileiros deve ser garantido o mesmo respeito garantido aos cidadãos europeus”, afirmou o MPF.
A ANPD foi citada na mesma ação, acusada de omissão na fiscalização da empresa, mas não está condicionada à multa e ainda foi solicitada a dar transparência a seus processos para passar do polo passivo para o polo ativo na mesma ação.
Em resposta à Pública, a agência alegou não ter sido formalmente notificada sobre a ação judicial e que a maior parte de seus processos são públicos, exceto os que tratam de segredo comercial. “O dispositivo determina que a ANPD zele pela observância dos segredos comercial e industrial, bem como das informações protegidas por lei. Os trechos que não se enquadram na hipótese legal mencionada [art. 55-J, II da LGPD] estão públicos.”
