Em julho deste ano, a Corte de Justiça da União
Europeia (CJUE) estabeleceu um importante precedente no caso envolvendo a
Autoridade Federal da Concorrência alemã (Bundeskartellamt) e a Meta
Platforms Ireland, subsidiária europeia da empresa controladora do
Facebook, Instagram e WhatsApp (caso C 252/21).[5]
A decisão versa sobre a relevância dos dados pessoais para o domínio de mercado
exercido por grandes empresas de tecnologia, debate que se tornou central
para as atuais discussões sobre políticas de competição em plataformas
digitais.[6]
O caso julgado pela CJUE teve origem em 2019,
quando o Bundeskartellamt emitiu uma decisão inovadora ao interpretar
matérias de privacidade e proteção de dados pessoais na análise de um processo
envolvendo o direito concorrencial[7] e a atuação
das plataformas digitais. No caso, a autoridade considerou que o Facebook
violava a Seção 19(1) da Lei Concorrencial Alemã (Gesetz gegen
Wettbewerbsbeschränkungen – GWB) que proíbe o abuso da posição
dominante.
Em síntese, a autoridade alemã argumentou que o
Facebook impôs, por meio de seus termos de uso, que os usuários consentissem
com o tratamento de dados pessoais coletados dentro e fora de sua plataforma
(dados off-Facebook) que incluiriam, por exemplo, aqueles
obtidos via WhatsApp e Instagram, assim como de outros sites e parceiros
comerciais da empresa[8]). Os
reguladores concluíram que os consumidores possuíam uma falsa escolha:
concordar em entregar seus dados pessoais ou não usar os serviços de rede
social. Decidiu-se que a coleta e uso de dados pessoais off-Facebook
como condição para a celebração de um contrato era uma exigência indevida, e
que violava o Regulamento Geral de Proteção de Dados europeu (General
Data Protection Regulation ou GDPR).
Considerou-se que a ação da empresa, que detinha
cerca de 95% do mercado na época, era abusiva e exploratória.[9]
Essa decisão desencadeou uma discussão internacional intensa e controversa
sobre a relação entre a lei de defesa da concorrência e a lei de proteção de
dados (ou privacidade) sob as novas condições dos mercados de plataformas
digitais. Há corrente doutrinária que defende que as preocupações com a
privacidade e com a proteção de dados pessoais devem ser tratadas
exclusivamente por meio de leis de proteção de dados ou de defesa dos
consumidores.[10] Há, entretanto, corrente alternativa que
defende ser mais adequada uma abordagem colaborativa e integradora para lidar
com a complexa conexão entre a lei de concorrência e a lei de proteção de
dados.
De forma a enfrentar a decisão, o Facebook
apresentou uma reclamação ao Tribunal Regional Superior em Düsseldorf (OLG
Düsseldorf) e solicitou uma medida provisória (interim relief)
pedindo que se atribuísse efeito suspensivo ao recurso. O Tribunal atendeu ao
pedido do Facebook em 26 de agosto de 2019, e o Bundeskartellamt recorreu
da decisão ao Tribunal Federal de Justiça (Bundesgerichtshof – BGH). Em 23 de
junho de 2020, o BGH proferiu decisão favorável ao Bundeskartellamt,
atestando que “não havia dúvidas sérias quanto à posição dominante do Facebook
no mercado alemão de redes sociais e que o Facebook abusava dessa posição
dominante ao usar os termos de serviço proibidos pelo Bundeskartellamt”[11].
Por fim, o caso chegou à CJUE sob a forma de
questões elaboradas pelo OLG Düsseldorf. Excetuadas as questões sobre a
organização das autoridades de proteção de dados da UE, o tribunal de
Düsseldorf solicitou esclarecimentos sobre os seguintes pontos:
1) se é possível uma autoridade antitruste constatar violação ao GDPR:
Em resposta, a CJUE determinou que as autoridades
antitruste têm competência para analisar a conformidade com o GDPR no contexto
de análises antitruste, mas devem consultar a autoridade de proteção de dados
competente durante a análise. O acesso e o tratamento de dados pessoais tornaram-se
fatores importantes na concorrência digital, e excluir as regras de proteção de
dados do escopo das autoridades antitruste seria prejudicial à própria decisão.
2) se o tratamento de dados off-Facebook que revelam dados
sensíveis deve ser feito conforme as regras ao art. 9 do GDPR:
A CJUE considerou que a revelação de informações
sensíveis por meio de dados off-Facebook é considerada tratamento
de dados pessoais sensíveis, e sujeito às restrições do GDPR.
3) se a navegação na internet e/ou a interação em redes sociais tornam
dados pessoais “manifestamente públicos” (no sentido do artigo 9º, 2, alínea
(e) do GDPR):
A CJUE apresentou entendimento de que usuários não
tornam seus dados pessoais manifestamente públicos ao navegar na internet e,
portanto, precisariam consentir explicitamente com a disponibilização dos dados
para que eles fossem tratados. Contudo, as interações ativas dos usuários podem
ser consideradas como “manifestamente públicas” quando as configurações de
privacidade assim indicarem.
4) se execução de contrato e/ou legítimo interesse justificam o tratamento
de dados pessoais obtidos de outras redes sociais da empresa ou de terceiros; e
5) se o cumprimento de obrigação legal, a proteção a
interesses vitais e a persecução de interesses públicos se aplicam às
finalidades listadas pelo Tribunal:
A CJUE determinou, ainda, que o tratamento de dados
com base na execução de contrato só é válido quando o tratamento é necessário
para alcançar o objetivo principal do contrato. No caso da Meta, a CJEU não
considerou que a personalização de conteúdos seria necessária para fornecer os
serviços de rede social; o entendimento da CJEU também foi pela
não-essencialidade do tratamento de dados de outros serviços da Meta para o uso
do Facebook.
Com relação ao tratamento de dados com base no
legítimo interesse, a CJUE estabeleceu que a personalização de publicidade
online não poderia ser justificada pelo legítimo interesse, prevalecendo os
interesses do usuário sobre os da empresa. Quanto à segurança na rede social,
apesar de considerada um interesse legítimo, a CJEU determinou que a
necessidade de tratamento dos dados deve ser avaliada no caso concreto. Por
fim, a melhora dos serviços da empresa também foi questionada frente aos
interesses dos titulares dos dados. A CJUE não se pronunciou sobre outras bases
legais do GDPR, pois não foram fornecidos elementos suficientes pelo Tribunal
alemão.
6) se o consentimento fornecido a empresas com posição dominante em um
mercado pode ser considerado válido:
Quanto ao consentimento dado a uma empresa com
posição dominante no mercado, a CJUE destacou que a posição dominante é um
fator relevante, mas não invalida automaticamente o consentimento. Conforme a
CJEU, contudo, a amplitude do tratamento de dados pela Meta e a falta de
expectativa razoável dos usuários exigem um consentimento específico para o
tratamento de dados off-Facebook que não havia sido obtido.
Aspecto de grande destaque da decisão da CJUE é o
de que, apesar de as autoridades concorrenciais não atuarem sob a mesma
competência das autoridades de proteção de dados, e não exercerem, portanto, a
fiscalização e aplicação do GDPR, reconheceu-se a competência das autoridades
antitruste para analisar a “conformidade” com o GDPR, caso essa análise esteja
inserida no contexto de uma análise antitruste. Assim, conclui-se que a
compatibilidade com o GDPR pode ser um importante indicador de que a conduta é
(ou não) um ilícito concorrencial.
Nesses termos, a confirmação pela CJUE da decisão da
autoridade antitruste alemã demonstra como a lei concorrencial e a lei de
proteção de dados interagem e, muitas vezes, se complementam. De fato, a
autoridade europeia de proteção de dados pessoais, a European
Data Protection Board (“EDPB”), estabelece como um de seus
objetivos estratégicos a cooperação entre as autoridades.[12]
A publicação sobre a estratégia para os anos de 2021-2023 da EDPB[13]
destaca esse objetivo, apontando inclusive para cooperação com a autoridade
concorrencial.
Não há dúvidas de que a decisão europeia irá
impactar outras autoridades e jurisdições, atentando-se à tendência de maior
escrutínio em mercados digitais. O Brasil é uma dessas jurisdições,
particularmente porque aqui também há influência entre proteção de dados
pessoais e defesa da concorrência. A autoridade de proteção da concorrência no
Brasil – o Conselho Administrativo de Defesa Econômica (“CADE”) – e a
autoridade de proteção de dados – a Autoridade Nacional de Proteção de Dados
(“ANPD”) – celebraram em 2021 o Acordo de Cooperação Técnica, cujo objetivo é o
fomento e disseminação da concorrência no âmbito dos serviços de proteção de
dados.[14]
O acordo destaca que “(...) dados os efeitos concorrenciais da coleta de dados
pessoais (...) não se pode imiscuir o CADE da competência em proceder à análise
e administração de situações em que haja riscos concorrenciais decorrentes do
tratamento de dados”. Esta cooperação já está destacada na própria LGPD, em seu
artigo 55-J, §§3º e 4º.
Nesse sentido, há potencial para que análises
concorrenciais de abuso de posição dominante contem com o apoio da ANPD.
Citando um exemplo brasileiro da atuação integrada entre concorrência e dados
pessoais, CADE, ANPD, Ministério Público Federal (“MPF”) e Secretaria Nacional
do Consumidor (“Senacon”) publicaram em maio de 2022 uma recomendação conjunta
destacando pontos de preocupação sobre a então alteração na política de
privacidade do WhatsApp,[15] que previa o
compartilhamento de dados pessoais dos usuários do aplicativo com outras
empresas do grupo econômico Meta.
Dentre as observações feitas pelas autoridades
estava o questionamento quanto à redação substancialmente distinta entre as
versões brasileira e europeia do documento, apesar das similaridades entre a
LGPD e o GDPR. As recomendações das autoridades focaram-se então no potencial
descumprimento de princípios de transparência (Art. 6º, VI da LGPD) e na
garantia aos titulares de dados pessoais (Art. 18, LGPD) de que poderiam
exercer seus direitos previstos em lei.
O aspecto concorrencial da recomendação, por sua
vez, foi embasado na “literatura antitruste internacional sobre dominância em
mercados digitais, cujo abuso pode constituir infração à ordem econômica nos
termos do artigo 36 da Lei nº 12.529/2011 (...)”, bem como na necessidade de
uma atuação tempestiva e eficaz da autarquia, de forma a evitar abusos de poder
econômico resultante de posição dominante de agentes econômicos, especialmente
em mercados disruptivos.[16] O CADE
considerou que a conduta do WhatsApp na comunicação sobre a atualização de sua
política de privacidade com aceite obrigatório poderia configurar abuso de
posição dominante. Impor ao usuário o rompimento da prestação de um serviço de
comunicação essencial caso houvesse recusa em relação ao compartilhamento
obrigatório de dados com o Facebook e seus parceiros, seria abusivo nos termos
do artigo 36, inciso IV c/c o § 3º, inciso XII, da Lei nº 12.529/2011. O
WhatsApp, contudo, se comprometeu a colaborar com as autoridades após a
publicação das recomendações.[17]
Assim, a recomendação conjunta das autoridades dá
indícios sobre como o CADE pretende atuar em casos de potenciais violações
concorrenciais envolvendo dados pessoais e players que possuam posição
dominante em mercados digitais. No próprio documento conjunto, as autoridades
também destacaram ser vantajosa uma “sinalização integrada e coordenada com as
demais autoridades responsáveis pela regulação ou fiscalização de mercado, de
forma a promover maior previsibilidade e segurança jurídica às decisões
privadas de seus agentes”, reforçando as expectativas de uma atuação
coordenada, particularmente em casos de maior complexidade.
Bernardo Fico - mestre em Direito pela Northwestern University, pesquisador do Legal Grounds Institute.
Beatriz de Sousa - graduanda em Direito na USP, pesquisadora do Legal Grounds Institute.
Humberto Fazano - mestre em Direito pela Pontifícia Universidade Católica de São Paulo, pesquisador no Legal Grounds Institute.
Amália Batocchio - mestranda em Filosofia e Teoria Geral do Direito e bacharel em Direito pela USP, pesquisadora do Legal Grounds Institute.
[5] CJUE, C-252/21, Meta Platforms (Condições gerais de utilização de uma rede social), Acórdão de 4 de julho de 2023. Disponível em: https://curia.europa.eu/juris/document/document.jsf?docid=275125&mode=req&pageIndex=1&dir=&occ=first&part=1&text=&doclang=PT&cid=225395. Acesso 06 jul 23.
[6] KERBER, W.; ZOLNA, K. K. The German Facebook case: the law and economics of the relationship between competition and data protection law. European Journal of Law and Economics, [s. l.], v. 54, n. 2, p. 217–250, 2022. Disponível em: https://doi.org/10.1007/s10657-022-09727-8. Acesso em: 19 jul. 2023.
[7] EIN VERSTOSS GEGEN DAS WETTBEWERBSRECHT? – DER FACEBOOK-FALL DES BUNDESKARTELLAMTS. [S. l.], [s. d.]. Disponível em: https://www.mpipriv.de/1007605/20191112-facebook-fall-des-bundeskartellamts. Acesso em: 19 jul. 2023.
[8] THIEDE, Thomas. HERZOG, Laura. The German Facebook Antitrust Case – A Legal Opera. Kluwer Competition Law Blog, 11 fev.2021. Disponível em: https://competitionlawblog.kluwercompetitionlaw.com/2021/02/11/the-german-facebook-antitrust-case-a-legal-opera/. Acesso em: 21 jul. 2023.
[9] KERBER, W.; ZOLNA, K. K. The German Facebook case: the law and economics of the relationship between competition and data protection law. European Journal of Law and Economics, [s. l.], v. 54, n. 2, p. 217–250, 2022. Disponível em: https://doi.org/10.1007/s10657-022-09727-8. Acesso em: 19 jul. 2023.
[10] Ibid. p.219
[11] FEDERAL COURT OF JUSTICE. Federal Court of Justice provisionally confirms allegation of Facebook abusing dominant position: Courtesy translation of Press Release No 080/2020 published by the Bundesgerichtshof. 23 de junho de 2020, Karlsruhe. Disponível em: https://www.bundeskartellamt.de/SharedDocs/Publikation/EN/Pressemitteilungen/2020/23_06_2020_BGH_Facebook.pdf?__blob=publicationFile&v. Acesso em 19 jul. 23 Cf. SATARIANO, A. Facebook Loses Antitrust Decision in Germany Over Data Collection. The New York Times, [s. l.], 23 jun. 2020. Technology. Disponível em: https://www.nytimes.com/2020/06/23/technology/facebook-antitrust-germany.html. Acesso em: 19 jul. 2023.
[12] UNIÃO EUROPEIA. European Data Protection Board. GDPR Cooperation and Enforcement. Disponível em: https://edpb.europa.eu/our-work-tools/support-cooperation-and-enforcement/gdpr-cooperation-and-enforcement_en. Acesso em 09 jul. 2023.
[13] UNIÃO EUROPEIA. European Data Protection Board. EDPB Strategy 2021-2023. Disponível em: https://edpb.europa.eu/sites/default/files/files/file1/edpb_strategy2021-2023_en.pdf. Acesso em 15 jul. 2023.
[14] CONSELHO ADMINISTRATIVO DE DEFESA ECONÔMICA (“CADE”); AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (“ANPD”). Acordo de Cooperação Técnica. Brasília, DF: CADE; ANPD, 2021.
[15] BRASIL. MINISTÉRIO PÚBLICO FEDERAL (MPF). SECRETARIA NACIONAL DO CONSUMIDOR (SENACON). CONSELHO ADMINISTRATIVO DE DEFESA ECONÔMICA (CADE). AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Disponível em: https://cdn.cade.gov.br/Portal/assuntos/noticias/2021/Recomendac%CC%A7a%CC%83o_WhatsApp_-_Assinada.pdf. Acesso em: 15 jul. 2023.
[16] Ibid.
[17] Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/whatsapp-se-compromete-a-colaborar-com-cade-mpf-anpd-e-senacon-em-relacao-a-nova-politica-de-privacidade. Acesso em 15 jul. 2023.
Nenhum comentário:
Postar um comentário