Jogue a primeira pedra quem nunca instalou um programa (software) ou utiliza um aplicativo em seu celular __ tais como os serviços de streaming __ sem ter sequer passado minimamente os olhos nos termos de uso e licenciamento – ou deixou de abrir ou até mesmo de rolar a barra do texto até o final __, mas selecionou a opção “Li e Concordo”.
Este modelo falho (para não dizer “fake”) é oriundo principalmente do mercado norte-americano, de onde surgiram três principais espécies de tentativas de vinculação, o que tecnicamente denominamos de consentimento, do consumidor aos termos de licenciamento, ainda que unilateralmente redigidos pelos fornecedores, quais sejam:
i) o shrinkwrap: onde o contrato de licenciamento é “empacotado” com a embalagem do produto. Modelo já ultrapassado, mas que comumente é distribuído com o CD ou outro dispositivo de instalação, bastante similar a uma bula de medicamento;
ii) o clickwrap: modelo atualmente mais difundido, onde o usuário deve clicar na caixa de texto descrita como “Li e Concordo”, em referência aos documentos de “termos e condições de uso” e/ou “políticas de privacidade”, como condição para instalação ou utilização do produto); e
iii) o browsewrap: modelo em ascensão, conhecido como modelo passivo, onde é fornecido apenas o link para acesso dos documentos de “termos e condições de uso” e/ou “políticas de privacidade”, conjuntamente com a frase padrão “ao acessar/utilizar o website/aplicativo você usuário automaticamente aceita e concorda em se vincular aos termos e acordo de licenciamento desta plataforma”.
Vivemos na era da Sociedade da Informação, onde os dados pessoais dos consumidores tornaram-se um ativo econômico muito valioso para todas as empresas, independente da atividade ou do setor ou ainda se atuantes no ambiente online ou offline.
Diante da formatação de uma economia de vigilância e de um varejo dos dados pessoais, verificou-se a necessidade de surgimento de legislações protetivas – movimento global especialmente influenciado pela edição do Regulamento Geral de Proteção de Dados da União Europeia – GDPR – visando a regulamentação do uso e tratamento de dados, tanto por agentes privados quanto pelo Poder Público.
No Brasil, o recente advento da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709, de 14.08.2018), somado às alterações trazidas pela Medida Provisória nº 869/18 (já aprovada pelo Congresso), constituem-se no marco legal brasileiro de proteção aprovado com o objetivo de proteger os direitos fundamentais da liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural, com o intuito de trazer maior segurança jurídica aos titulares de dados pessoais coletados em território nacional, independente do meio.
Neste sentido, a LGPD exige que o tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento pelo titular (art. 7º, inciso I) – ainda que a lei também preveja, no mesmo art. 7º, outras hipóteses que autorizam o tratamento de dados (v.g., para cumprimento de obrigação legal, execução de contrato, em processo judicial ou arbitral, para proteção da vida, tutela da saúde, proteção do crédito, etc.).
Para a hipótese do consentimento, a LGPD estabelece que esta deve representar uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (art. 5º, inciso XII).
A finalidade é definida inclusive como um princípio, como sendo uma “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados” (art. 6º, inciso I). Ou seja, pretende-se claramente vedar desvios de finalidades no processo de tratamento, como os impertinentes casos em que titulares que fornecem seus dados pessoais para aquisição de um determinado produto e que começam a ser importunados ao receberem, de forma não consentida, publicidades de outros produtos, a partir de sua inserção em um determinado perfil de consumo.
Quanto à forma, nos termos do caput do art. 8º, o consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Quando inserido em contratos escritos, a cláusula do consentimento deve estar destacada (§1º), cabendo sempre ao responsável pela coleta e tratamento da informação o ônus da prova de que o consentimento foi obtido em conformidade com a legislação (§2º), também sendo aplicável as hipóteses de vício de consentimento, tais como erro, dolo ou coação (§3º).
As novas regras advindas da LGPD impactarão bastante no modelo até então vigente (do “li e concordo” sem saber precisamente com o que), ao demandar que as empresas reavaliem seus procedimentos e revisem seus documentos padrões (termos de uso e políticas de privacidade), principalmente porque o §4º do art. 8º expressamente prevê que as autorizações genéricas (sem especificação de finalidade) serão consideradas nulas.
Por fim, cabe salientar que a LGPD também prevê que o consentimento pode ser revogado a qualquer momento, em procedimento gratuito e facilitado (§5º), e que o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizados de forma clara e adequada (princípio do livre acesso, previsto no art. 9º).
Apesar de eventuais críticas pertinentes com relação aos custos e ônus decorrentes deste modelo regulatório para as empresas e ao próprio empreendedorismo, também se faz necessário sopesar a importância de uma legislação protetiva, a partir do empoderamento do titular dos dados pessoais (todos nós), inegavelmente suscetíveis a práticas abusivas ou discriminatórias, especialmente por algoritmos, com o objetivo de dar conteúdo e efetividade ao princípio da autodeterminação informacional.
