Topo
Blog Porta 23

Blog Porta 23

FTC flexibiliza o consentimento como forma de garantir a privacidade online

Cristina De Luca

20/11/2018 08h19

Definir quando o usuário/consumidor/cidadão deve consentir entregar seus dados e para quais finalidades é um dos muitos desafios de aplicação da modernas leis de proteção de dados pessoais, como o Regulamento Geral de Proteção de Dados (o GDPR) e a Lei Geral de Proteção de Dados Pessoais (a nossa LGPD). A questão passa sempre por considerar que algumas aplicações talvez não precisem de consentimento inequívoco e expresso. Tanto que a LGPD enumera 10 hipóteses que autorizam o uso dos dados por quem os coleta e trata. Entre elas, o "legítimo interesse", que também está previsto no GDPR. E inclui entre as exceções da obrigatoriedade do consentimento dados públicos ou que atendam a leis específicas que a dispensem.

A ideia por trás do consentimento é a de que ele é uma das formas para o controle efetivo do usuário/consumidor/cidadão sobre suas próprias informações. A única onde esse usuário/consumidor/cidadão faz realmente a opção de deixar que seus dados sejam usados. Portanto, ele não pode ser genérico, nem estar camuflado em cláusulas abrangentes ou imprecisas, como geralmente acontece com os termos de uso de serviço. Além disso,  precisa ser expresso por meios que demonstrem a vontade do dono dos dados em autorizar sua coleta, tratamento e guarda, e a comprovação daqueles que desempenham essas atividades de que o obteve.

O consentimento tem que ser provado. Quem diz que vai tratar dados com base no consentimento tem que se preocupar em ter maneiras de demonstrar que esses consentimento foi obtido de maneira válida.

E aqui cabe um parêntese: a LGDP define como dado pessoal todo dado que identifica a pessoa ou que pode identificá-la. Portanto, cookie está dentro. E o dado anonimizado que puder ser revertido, e identificar alguém, também.

Não por acaso, entre os segmentos que demandarão esforço extra com a adequação à LGPD estão o de Marketing e o de Publicidade digitais. Em diversos casos, empresas do setor terão que se adequar para buscar o consentimento do usuário para a coleta de dados estruturados e não estruturados e informar para o quê, quando e como esses dados serão usados, em uma linguagem clara e objetiva. Em outro, para garantir que possa usar o expediente do "legítimo interesse".

Por tudo isso, causou surpresa, especialmente entre os ISPs e as empresas de publicidade Digital, a notícia de que a Comissão Federal de Comércio americana (a FTC, na sigla em inglês) está contestando a ideia de empresas devam obter permissão explícita dos consumidores antes de aproveitar sua atividade online para a segmentação de anúncios. Vai de encontro à obrigatoriedade do consentimento inserida nas legislações atuais sobre privacidade e proteção de dados, e a favor da manutenção do atual tratamento dado às informações dos usuários/consumidores/cidadãos para o marketing online.

"Se os consumidores optarem por não receber anúncios online por padrão, o resultado provavelmente levará à perda de conteúdo online financiado por publicidade", disse a FTC em um relatório enviado à National Telecommunications and Information Administration (NTIA, uma agência do Departamento de Comércio dos Estados Unidos que serve como principal assessora do presidente sobre políticas de telecomunicações).

No texto, a FTC apoia uma abordagem "equilibrada" para a exigência de opt-in, que "pese os riscos do mau uso dos dados com os benefícios dos dados para a inovação e a concorrência".

Em 2016, a FTC da era Obama também rejeitou uma abordagem opt-in para todas as formas de publicidade comportamental online, mas defendeu,na época, que os provedores de serviços de Internet deveriam obter o consentimento dos consumidores antes de usar uma ampla gama de informações – incluindo consultas de pesquisa de usuários, mensagens de e-mail, postagens de mídias sociais e títulos de livros lidos ou filmes exibidos – para a segmentação de publicidade. Especialmente quando essas informações estivessem relacionadas a dados sensíveis.

Na LGDP, por exemplo, os dados sensíveis (aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político,  referente à saúde ou à vida sexual) exigem consentimento expresso e formal (seja assinatura de um contrato, o clique em um checkbox).

A consulta da NTIA não menciona exclusivamente os ISPs, é verdade. É mais abrangente. O objetivo é modernizar a política de privacidade de dados dos EUA para o século XXI, à luz das legislações de proteção de dados pessoais que começam a ser aprovadas por estados norte-americanos, como a Califórnia. O que torna o posicionamento da FTC ainda mais surpreendente. Vale lembrar que, em março deste ano, a Comissão fez uma profunda  investigação sobre as práticas de privacidade do Facebook, após o escândalo da Cambridge Analytics. O objetivo foi justamente saber se o Facebook havia violado os termos de consentimento, que devem ser aceitos pelo usuário de forma explícita para compartilhamento de informações com apps de terceiros.

Agora, a FTC apoia uma legislação Federal de proteção de Dados nos EUA. Mas não qualquer legislação. Na opinião da Comissão, ela deve uma lei que equilibre as preocupações legítimas dos consumidores sobre as proteções quanto a coleta, uso e compartilhamento de dados, com a necessidade de regras claras que contemplem a demanda dos consumidores por produtos e serviços orientados por dados e a flexibilidade que promova a inovação.

Porque a Comissão, que tem uma profunda experiência na protecção da privacidade dos consumidores, acredita agora que flexibilizar o consentimento é o mais adequado?

A FTC argumenta no relatório que dar aos consumidores a capacidade de exercer controle significativo sobre a coleta e uso de dados sobre eles é benéfica, mas apenas em alguns casos. "Certos controles podem ser caros de implementar e podem ter consequências", como prejuízo à inovação. "A abordagem adequada ao controle do consumidor – que equilibre custos e benefícios – deve levar em consideração as preferências do consumidor e o contexto (incluindo aí os riscos)".

Em outras palavras, a necessidade do consenso deve depender do contexto. "Se o uso de dados corresponder ao contexto da transação ou ao relacionamento da empresa com o consumidor_ ou ainda se for exigido ou autorizado por lei _ a escolha pode ser presumida ou dispensável". Lembrou do legítimo interesse? Pois é… Se cabe a alegação de legítimo interesse não é necessária a exigência do consentimento. No GDPR há várias formas de dosar o legítimo interesse. Na LGPD isso não é tão claro. Sem uma Autoridade Nacional de Proteção de Dados a aplicação desse dispositivo fica prejudicada.

Entrariam nesses casos, segundo a FTC, a coleta de taxas de cliques para melhorar a navegação nos sites, o acompanhamento dos registros comuns do servidor web para detectar fraudes, a recomendação de produtos nos varejistas online com base nas compras anteriores dos clientes, ou ainda a coleta de dados para programas de fidelidade.

"Não por acaso, esse enfoque balanceado proposto pela FTC é justamente o que defendem as grandes empresas de internet como o Google", comenta o professor Danilo Doneda.

Para Doneda o maior risco, prevalecendo o novo entendimento da FTC, é que os dados usados para Marketing, em um ambiente não regulado, acabem facilmente transbordando para outras utilizações. Vale lembrar que os EUA (e nós, também) estão no meio de uma discussão tremenda sobre a utilização para fins políticos e dados coletados com a finalidade de marketing digital e segmentação publicitária e de conteúdo.

E esse risco fica evidente quando a FTC argumenta que o consentimento "também pode ser desnecessário quando as empresas coletarem e divulgarem dados que possam alimentar análises e pesquisas de dados (potencialmente beneficiando consumidores e
a sociedade), minimizando as preocupações com a privacidade". Por exemplo, segundo a Comissão,  empresas de eletrodomésticos podem coletar dados sobre o uso de dispositivos inteligentes em residências, divulgar dados de uso de forma agregada e incentivar a poupança de energia nos agregados familiares. Tudo isso sem a necessidade de pedir autorização para o so dos dados. Ou cientistas podem coletar dados de dispositivos wearable de forma não identificada para melhorar os resultados de saúde para uma população maior de pacientes.

Mas, e se esses dados anonimizados, cruzados com outros, puderem chegar a identificar um consumidor? Ao contrário da LGPD, a Comissão não aborda essa possibilidade.

A maior preocupação da FTC parece ser evitar que a obrigatoriedade do consentimento seja mal utilizada. De fato, há várias situações nas quais o excesso de pedidos de autorização para uso dos dados pode gerar outros tipos de problemas. Tanto que na própria LGPD o consentimento é apenas uma das formas para obtenção de autorização para o uso dos dados. Quam acompanha os debates a respeito sabe que essa é, realmente, uma questão sensível.

Vale ressaltar que a proposta colocada em consulta pela NTIA prevê que:

1. As organizações devem ser transparentes sobre como coletam, usam, compartilham e armazenam informações pessoais dos usuários.

2. Os usuários devem poder exercer controle sobre as informações pessoais que fornecem às organizações.

3. A coleta, o uso, o armazenamento e o compartilhamento de dados pessoais devem ser razoavelmente minimizados de maneira proporcional ao escopo dos riscos de privacidade.

4. As organizações devem empregar proteções de segurança para proteger os dados que coletam, armazenam, usam ou compartilham.

5. Os usuários devem poder acessar e corrigir os dados pessoais fornecidos de forma razoável .

6. As organizações devem tomar medidas para gerenciar o risco de divulgação ou uso nocivo de dados pessoais.

7. As organizações devem ser responsáveis pelo uso de dados pessoais que tenham sido coletados, mantidos ou usados ​​por seus sistemas.

Se será assim, com maior flexibilização do consentimento, só o tempo dirá. Mas o caminho apontado pela maior autoridade americana a respeito aponta para lá.

Sobre a autora

Cristina De Luca é jornalista especializada em ambiente de produção multiplataforma. Hoje trabalha como colunista de tecnologia da Rádio CBN e editor-at-large das publicações do grupo IDG no Brasil. Foi diretora da área de conteúdo do portal Terra; editora-executiva da área de conteúdo da Globo.com; e editora-executiva da unidade de Novos Meios da Infoglobo, responsável pela criação e implantação do Globo Online. Master em Marketing pela PUC do Rio de Janeiro, é ganhadora do Prêmio Comunique-se em 2005, 2010 e 2014 na categoria Jornalista de Tecnologia.

Sobre o blog

Este blog, cujo nome faz referência à porta do protocolo Telnet, que é o protocolo de comunicação por texto sem criptografia, traz as informações mais relevantes sobre a economia digital.