Atenção com o plugin do Facebook

Para você que administra sites, tenha atenção com o plugin do Facebook – ou de qualquer outra rede social. Na última segunda-feira, dia 29 de julho, o Tribunal de Justiça da União Europeia divulgou a edição provisória do acórdão resultante do reenvio prejudicial por parte do Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Düsseldorf, Alemanha) referente ao caso C-40/17 – Fashion ID GmbH & Co.KG contra Verbraucherzentrale NRW eV.

Resumo da situação

Em resumo, o litígio é decorrente do fato de que a Fashion ID GmbH Co. KG – empresa de venda online de vestuário – inseriu em seu site um plugin do Facebook com o objetivo de permitir aos usuários que deem likesaos produtos por ela vendidos. Ao fazer isso, a Fashion ID acaba por transmitir dados pessoais dos visitantes do seu site ao Facebook, já que são identificados, por exemplo, o endereço IP do computador do referido visitante, bem como os dados técnicos do navegador – e isto é feito “para que o servidor [no caso, o Facebook] possa determinar em que formato o conteúdo é entregue nesse endereço” (§ 26). Mais que isso, identificou-se que esta transmissão de dados pessoais ocorre “sem que o referido visitante disso esteja ciente e independentemente do facto de ser membro da rede social Facebook ou de ter clicado no botão Facebook «Gosto»” (§ 27).

(Em português de Portugal o botão de like é chamado de gosto, daí a expressão acima identificada.)

É neste contexto que a Verbraucherzentrale NRW, que é uma associação de utilidade pública de defesa dos interesses dos consumidores, acusou a Fashion ID de transmitir dados pessoais ao Facebook em que haveria a infração de dois pilares do Regulamento Geral de Proteção de Dados (RGPD): 1) A transmissão teria sido feita sem o consentimento dos usuários do site; e 2) Não teria havido o cumprimento da obrigação de informação aos usuários, por parte da Fashion ID, a respeito de tal transmissão.

Tendo sido condenada em primeira instância, a Fashion ID recorreu ao Tribunal Regional Superior de Düsseldorf alegando que: 1) Uma associação de utilidade pública não poderia atuar de maneira genérica em nome dos visitantes do seu site por não ter legitimidade para tal (aspecto que não será aprofundado neste texto); e 2) Ela (Fashion ID) não poderia ser considerada como responsável pelo tratamento dos dados transmitidos ao Facebook porque ela “não tem influência nenhuma sobre os dados transmitidos pelo navegador do visitante do seu sítio Internet nem sobre a questão de saber se e, sendo o caso, como é que a Facebook Ireland os vai utilizar” (§ 34).

As perguntas ao Tribunal de Justiça da União Europeia

Ao fazer o reenvio prejudicial do caso ao Tribunal de Justiça da União Europeia, o Tribunal Regional Superior de Düsseldorf fez ao primeiro as seguintes perguntas: (há outras questões no § 42 do acórdão, mas aqui estão indicadas as mais relevantes para o argumento)

  1. Uma associação sem fins lucrativos de defesa dos interesses dos consumidores tem legitimidade para, em caso de infrações, procederem contra os infratores?
  2. Numa situação como a do caso vertente, em que alguém integra na sua página Web um código de programação que permite ao navegador do utilizador solicitar conteúdos de um terceiro e transmitir para o efeito dados pessoais a terceiros, é aquele que integra o código de programação o “responsável pelo tratamento” na acepção do artigo 2.°, alínea d), da Diretiva [95/46], quando ele próprio não pode influenciar esta operação de tratamento de dados?
  3. Numa situação como a do caso vertente, a quem deve ser dado o consentimento previsto no artigo 7.°, alínea a), e no artigo 2.°, alínea h), da Diretiva [95/46]?
  4. A obrigação de informação prevista no artigo 10.° da Diretiva [95/46], numa situação como a do caso vertente, também incumbe ao administrador da página Web que tenha integrado o conteúdo de um terceiro e que está, assim, na origem do tratamento de dados pessoais pelo terceiro?

(As perguntas indicam a antiga Diretiva 95/46 porque os fatos ocorreram antes da entrada em vigor do RGPD.)

As respostas do Tribunal de Justiça da União Europeia

As respostas dadas pelo Tribunal de Justiça da União Europeia às questões acima apresentadas foram, respectivamente, as seguintes:

  1. “Os artigos 22.° a 24.° da Diretiva 95/46 devem ser interpretados no sentido de que não se opõem a uma regulamentação nacional que permite às associações de defesa dos interesses dos consumidores agirem judicialmente contra o autor presumido de uma violação da proteção dos dados pessoais” (§ 63);
  2. “O administrador de um sítio Internet, como a Fashion ID, que insere no referido sítio um módulo social que permite ao navegador do visitante desse sítio solicitar conteúdos do fornecedor do referido módulo e transmitir para esse efeito a esse fornecedor dados pessoais do visitante, pode ser considerado responsável pelo tratamento, na acepção do artigo 2.°, alínea d), da Diretiva 95/46. Essa responsabilidade é, porém, limitada à operação ou ao conjunto de operações de tratamento de dados pessoais cujas finalidades e meios são efetivamente determinados por esse administrador, a saber, a recolha e a comunicação por transmissão dos dados em causa” (§ 85);
  3. e 4) (respondidas em conjunto) “O artigo 2.°, alínea h), e o artigo 7.°, alínea a), da Diretiva 95/46 devem ser interpretados no sentido de que, numa situação como a que está em causa no processo principal, […] o consentimento previsto nessas disposições deve ser obtido pelo referido administrador unicamente no que diz respeito à operação ou ao conjunto de operações de tratamento de dados pessoais cujas finalidades e meios são efetivamente determinados por esse administrador. Além disso, o artigo 10.° dessa diretiva deve ser interpretado no sentido de que, em tal situação, a obrigação de informação prevista nesta disposição impende igualmente sobre o referido administrador, devendo, no entanto, a informação que este deve fornecer à pessoa em causa incidir apenas sobre a operação ou o conjunto das operações de tratamento de dados pessoais cujas finalidades e meios são efetivamente determinados por esse administrador” (§ 106).

Traduzindo…

Em síntese, portanto, e “traduzindo”:

  1. Associações de utilidade pública de defesa de consumidores têm legitimidade para atuar em defesa destes, desde que a legislação nacional assim permita;
  2. Os donos de sites na internet que inserirem o plugin do Facebook em seus sites (ou, para todos os efeitos, o plugin de qualquer rede social) são também considerados como “responsáveis pelo tratamento” (ou, na linguagem da LGPD, controladores) dos dados pessoais – mas apenas em relação aos dados efetivamente tratados pelos donos do site, e não por aquilo que o Facebook (ou outra rede social) venha a fazer depois com tais dados pessoais;
  3. Os donos de sites na internet devem solicitar aos seus usuários o consentimento para transmitir seus dados pessoais por meio do plugin do Facebook (ou de outra rede social), devendo também cumprir com a obrigação de informação de que está sendo feita a recolha e transmissão de tais dados pessoais.

Por que isto é importante?

A importância da decisão não está no fato de que o Facebook é responsável pelo tratamento dos dados pessoais “em todos os sites da internet que contenham seu plugin”, como alguns disseram durante a semana. Isto já era explícito mesmo antes da decisão.

O ponto central vincula-se a que qualquer site que utilize o plugin do Facebook ou de outra rede social é considerado como responsável pelo tratamento dos dados pessoais transmitidos por tal plugin. Ou seja, o dono do site não poderá mais dizer que “é o Facebook que trata os dados, eu só disponibilizo o plugin”. Assim o é porque o dono do site tem um objetivo claro ao inserir na sua página o plugin – qual seja, o de indicar aos futuros potenciais compradores dos bens ou serviços ofertados que outros clientes gostam do produto. É fato que o like do Facebook influencia no resultado das vendas, já que um produto com 100 likes provavelmente venderá menos do que outro produto com 10.000 likes.

Como diz o próprio Tribunal de Justiça da União Europeia: “a inserção, pela Fashion ID, do botão Facebook «Gosto» no seu sítio Internet permite‑lhe otimizar a publicidade dos seus produtos, tornando‑os mais visíveis na rede social Facebook quando um visitante do seu sítio Internet clica no referido botão. Foi para poder beneficiar desta vantagem comercial que consiste nessa publicidade acrescida para os seus produtos que a Fashion ID, ao inserir tal botão no seu sítio Internet, parece ter consentido, pelo menos implicitamente, na recolha e na comunicação por transmissão dos dados pessoais dos visitantes do seu sítio, uma vez que operações de tratamento são efetuadas no interesse económico tanto da Fashion ID como da Facebook Ireland, para quem o facto de poder dispor desses dados para os seus próprios fins comerciais constitui a contrapartida da vantagem oferecida à Fashion ID” (§ 80).

Atenção com o plugin do Facebook!

Portanto, tenha atenção com o plugin do Facebook: se você disponibiliza um plugin de rede social em seu site, você é, aos olhos do Tribunal de Justiça da União Europeia, responsável pelo tratamento dos dados pessoais resultante da utilização do plugin pelos visitantes do seu site. Ainda que esta seja uma decisão em âmbito europeu, é importante destacar que futuramente a ANPD poderá ter o mesmo tipo de interpretação, pelo que toda atenção é relevante em relação aos deveres e obrigações que o responsável pelo tratamento tem em relação à proteção de dados pessoais dos seus usuários.

Deixe um comentário