A autoridade de proteção de dados da França (CNIL, na sigla em francês) impôs uma multa de 50 milhões de euro (R$ 216 milhões) ao Google por problemas no tratamento de dados de seus usuários, como falta de transparência, informações inadequadas e insuficiências de obtenção de consenso para a personalização de anúncios. Foi a primeira vez que o órgão aplicou a multa no valor máximo previsto pela legislação.
A sanção partiu de uma apuração originada por reclamações apresentadas em maio de 2018 pelas organizações Não é da sua conta e Quadrature du Net. Esta recebeu a procuração de 10 mil usuários para apresentar contestações acerca de como o Google tratava seus dados. Na argumentação das entidades, a forma como a empresa processava as informações pessoais estava em desacordo com o que estabelece a Regulação Geral de Proteção de Dados (GDPR, na sigla em inglês) europeia, que entrou em vigor em maio do ano passado naquele continente.
A autoridade francesa abriu investigação em junho do ano passado. Em setembro, realizou inspeções online para avaliar se a plataforma respeitava a regulação europeia e a lei específica do país. Com base na apuração, foram identificadas duas formas de desrespeito à legislação que regula a atuação de empresas que lidam com dados de usuários franceses.
Informações insuficientes
A equipe responsável pelo procedimento avaliou que as informações fornecidas pelo Google não estão disponibilizadas de maneira acessível aos seus clientes. Para chegar às informações importantes, os usuários devem passar por vários passos, por vezes tendo que avançar por cinco ou seis etapas. É o caso, por exemplo, da explicação sobre o uso da geolocalização de um consumidor com um serviço da empresa.
“Informações essenciais, como o propósito do processamento de dados, o período de armazenamento dos dados e as categorias de dados usadas para a personalização de anúncios, são excessivamente difusas em diversos documentos, com botões e links nos quais é requerido o clique para acessar a informação completa”, afirmou a CNIL em comunicado sobre o caso.
A autoridade pontuou também que as explicações do Google não são suficientemente claras. As formas de processamento das informações e a extensão destas são apresentadas de maneira “genéricas” ao usuário.
Personalização de anúncios
Não é colocado de forma clara, por exemplo, que a base para a personalização de anúncios é o consentimento e que, portanto, o usuário deve autorizar este tipo de tratamento. Embora o Google alegue, segundo a CNIL, que obtém o consenso para essa modalidade de processamento, essa autorização não é conseguida “de forma válida” para os responsáveis pela apuração.
O primeiro problema estaria no fato do usuário não estar “suficientemente informado”. O pedido de permissão não é posto em formulário, mas distribuído em vários documentos “e não permite ao usuário ter ciência da existência do procedimento”, registrou a autoridade no informe sobre o caso. Na seção sobre personalização de anúncios, exemplificou a entidade, não é detalhada toda a extensão deste tratamento e os serviços onde ele será aplicado, como YouTube, Google Home, Google Maps, Playstore e outros).
A obtenção do consentimento não é específica nem “não ambígua”, duas características previstas na legislação. A permissão é dada “no atacado” ao criar uma conta para todos os processamentos pela plataforma e seus diversos serviços, quando pelas normas deveria ser fornecido de maneira “específica” a cada propósito.
Ao usuário é dada a possibilidade de alterar suas preferências de anúncio. Mas este tem que desativar a autorização, registrada como opção “a priori” ao instalar um aplicativo ou utilizar um serviço. Pela legislação europeia, argumentou a CNIL, o processo deveria ser o inverso, com a pessoa clicando em um campo claro para dar esse tipo de permissão.
À Agência Brasil, o escritório do Google no Brasil manifestou o posicionamento do grupo sobre o caso. \”As pessoas esperam do Google um alto padrão de transparência e controle. Nós estamos profundamente comprometidos em atender essas expectativas e as regras de consentimento da GDPR. Estamos estudando a decisão para determinar nossos próximos passos.\”, respondeu a empresa.
Legislação europeia
Segundo a regulação geral, o tratamento de dados é necessário obter consentimento do titular, em um pedido que deve ser apresentado de forma clara e acessível, garantindo também o direito ao usuário de revogá-lo. A norma estabelece uma série de direitos aos cidadãos, entre eles acessar as informações que uma empresa tenha, corrigi-las e negar que elas sejam objeto de tratamento.
As empresas são submetidas a diversas exigências. Precisam notificar usuários em caso de um vazamento que implique risco a eles. Devem informar se há dados sendo processados, como e para qual finalidade. Caso instadas, ficam obrigadas a fornecer dados do usuário em formato que outras máquinas podem ler, instituindo uma espécie de “portabilidade de dados”. Têm ainda de adotar medidas tecnológicas para garantir a proteção dos dados dos usuários.
A regulação estabelece multas de até 20 milhões de euros ou de 4% do faturamento anual da empresa punida (o que for maior). Os valores variam de acordo com a gravidade da infração. Isso vale para quem processa e para quem controla os dados, incluindo armazenamentos feitos na “nuvem” (serviços que permitem acesso remoto a informações por meio da conexão à internet).
Apesar de aprovada para a Europa, as regras geraram impacto também no Brasil.
Por Jonas Valente – Repórter Agência Brasil – Brasília