Por Amália Batocchio, Bernardo Fico, Beatriz de Sousa e Humberto Fazano
Publicado originalmente no Jornal Jurid.
Em julho deste ano, a Corte de Justiça da União Europeia (CJUE) estabeleceu um importante precedente no caso envolvendo a Autoridade Federal da Concorrência alemã (Bundeskartellamt)e a Meta Platforms Ireland, subsidiária europeia da empresa controladora do Facebook, Instagram e WhatsApp (caso C 252/21).[1] A decisão versa sobre a relevância dos dados pessoais para o domínio de mercado exercido por grandes empresas de tecnologia, debate que se tornou central para as atuais discussões sobre políticas de competição em plataformas digitais.[2]
O caso julgado pela CJUE teve origem em 2019, quando o Bundeskartellamt emitiu uma decisão inovadora ao interpretar matérias de privacidade e proteção de dados pessoais na análise de um processo envolvendo o direito concorrencial[3] e a atuação das plataformas digitais. No caso, a autoridade considerou que o Facebook violava a Seção 19(1) da Lei Concorrencial Alemã (Gesetz gegen Wettbewerbsbeschränkungen – GWB) que proíbe o abuso da posição dominante.
Em síntese, a autoridade alemã argumentou que o Facebook impôs, por meio de seus termos de uso, que os usuários consentissem com o tratamento de dados pessoais coletados dentro e fora de sua plataforma (dados off-Facebook) que incluiriam, por exemplo, aqueles obtidos via WhatsApp e Instagram, assim como de outros sites e parceiros comerciais da empresa[4]). Os reguladores concluíram que os consumidores possuíam uma falsa escolha: concordar em entregar seus dados pessoais ou não usar os serviços de rede social. Decidiu-se que a coleta e uso de dados pessoais off-Facebook como condição para a celebração de um contrato era uma exigência indevida, e que violava o Regulamento Geral de Proteção de Dados europeu (General Data Protection Regulation ou GDPR).
Considerou-se que a ação da empresa, que detinha cerca de 95% do mercado na época, era abusiva e exploratória.[5] Essa decisão desencadeou uma discussão internacional intensa e controversa sobre a relação entre a lei de defesa da concorrência e a lei de proteção de dados (ou privacidade) sob as novas condições dos mercados de plataformas digitais. Há corrente doutrinária que defende que as preocupações com a privacidade e com a proteção de dados pessoais devem ser tratadas exclusivamente por meio de leis de proteção de dados ou de defesa dos consumidores.[6] Há, entretanto, corrente alternativa que defende ser mais adequada uma abordagem colaborativa e integradora para lidar com a complexa conexão entre a lei de concorrência e a lei de proteção de dados.
De forma a enfrentar a decisão, o Facebook apresentou uma reclamação ao Tribunal Regional Superior em Düsseldorf (OLG Düsseldorf) e solicitou uma medida provisória (interim relief) pedindo que se atribuísse efeito suspensivo ao recurso. O Tribunal atendeu ao pedido do Facebook em 26 de agosto de 2019, e o Bundeskartellamt recorreu da decisão ao Tribunal Federal de Justiça (Bundesgerichtshof – BGH). Em 23 de junho de 2020, o BGH proferiu decisão favorável ao Bundeskartellamt, atestando que “não havia dúvidas sérias quanto à posição dominante do Facebook no mercado alemão de redes sociais e que o Facebook abusava dessa posição dominante ao usar os termos de serviço proibidos pelo Bundeskartellamt”[7].
Por fim, o caso chegou à CJUE sob a forma de questões elaboradas pelo OLG Düsseldorf. Excetuadas as questões sobre a organização das autoridades de proteção de dados da UE, o tribunal de Düsseldorf solicitou esclarecimentos sobre os seguintes pontos:
1) se é possível uma autoridade antitruste constatar violação ao GDPR:
Em resposta, a CJUE determinou que as autoridades antitruste têm competência para analisar a conformidade com o GDPR no contexto de análises antitruste, mas devem consultar a autoridade de proteção de dados competente durante a análise. O acesso e o tratamento de dados pessoais tornaram-se fatores importantes na concorrência digital, e excluir as regras de proteção de dados do escopo das autoridades antitruste seria prejudicial à própria decisão.
2) se o tratamento de dados off-Facebook que revelam dados sensíveis deve ser feito conforme as regras ao art. 9 do GDPR:
A CJUE considerou que a revelação de informações sensíveis por meio de dados off-Facebook é considerada tratamento de dados pessoais sensíveis, e sujeito às restrições do GDPR.
3) se a navegação na internet e/ou a interação em redes sociais tornam dados pessoais “manifestamente públicos” (no sentido do artigo 9º, 2, alínea (e) do GDPR):
A CJUE apresentou entendimento de que usuários não tornam seus dados pessoais manifestamente públicos ao navegar na internet e, portanto, precisariam consentir explicitamente com a disponibilização dos dados para que eles fossem tratados. Contudo, as interações ativas dos usuários podem ser consideradas como “manifestamente públicas” quando as configurações de privacidade assim indicarem.
4) se execução de contrato e/ou legítimo interesse justificam o tratamento de dados pessoais obtidos de outras redes sociais da empresa ou de terceiros; e 5) se o cumprimento de obrigação legal, a proteção a interesses vitais e a persecução de interesses públicos se aplicam às finalidades listadas pelo Tribunal:
A CJUE determinou, ainda, que o tratamento de dados com base na execução de contrato só é válido quando o tratamento é necessário para alcançar o objetivo principal do contrato. No caso da Meta, a CJEU não considerou que a personalização de conteúdos seria necessária para fornecer os serviços de rede social; o entendimento da CJEU também foi pela não-essencialidade do tratamento de dados de outros serviços da Meta para o uso do Facebook.
Com relação ao tratamento de dados com base no legítimo interesse, a CJUE estabeleceu que a personalização de publicidade online não poderia ser justificada pelo legítimo interesse, prevalecendo os interesses do usuário sobre os da empresa. Quanto à segurança na rede social, apesar de considerada um interesse legítimo, a CJEU determinou que a necessidade de tratamento dos dados deve ser avaliada no caso concreto. Por fim, a melhora dos serviços da empresa também foi questionada frente aos interesses dos titulares dos dados. A CJUE não se pronunciou sobre outras bases legais do GDPR, pois não foram fornecidos elementos suficientes pelo Tribunal alemão.
6) se o consentimento fornecido a empresas com posição dominante em um mercado pode ser considerado válido:
Quanto ao consentimento dado a uma empresa com posição dominante no mercado, a CJUE destacou que a posição dominante é um fator relevante, mas não invalida automaticamente o consentimento. Conforme a CJEU, contudo, a amplitude do tratamento de dados pela Meta e a falta de expectativa razoável dos usuários exigem um consentimento específico para o tratamento de dados off-Facebook que não havia sido obtido.
Aspecto de grande destaque da decisão da CJUE é o de que, apesar de as autoridades concorrenciais não atuarem sob a mesma competência das autoridades de proteção de dados, e não exercerem, portanto, a fiscalização e aplicação do GDPR, reconheceu-se a competência das autoridades antitruste para analisar a “conformidade” com o GDPR, caso essa análise esteja inserida no contexto de uma análise antitruste. Assim, conclui-se que a compatibilidade com o GDPR pode ser um importante indicador de que a conduta é (ou não) um ilícito concorrencial.
Nesses termos, a confirmação pela CJUE da decisão da autoridade antitruste alemã demonstra como a lei concorrencial e a lei de proteção de dados interagem e, muitas vezes, se complementam. De fato, a autoridade europeia de proteção de dados pessoais, a European Data Protection Board (“EDPB”), estabelece como um de seus objetivos estratégicos a cooperação entre as autoridades.[8] A publicação sobre a estratégia para os anos de 2021-2023 da EDPB[9] destaca esse objetivo, apontando inclusive para cooperação com a autoridade concorrencial.
Não há dúvidas de que a decisão europeia irá impactar outras autoridades e jurisdições, atentando-se à tendência de maior escrutínio em mercados digitais. O Brasil é uma dessas jurisdições, particularmente porque aqui também há influência entre proteção de dados pessoais e defesa da concorrência. A autoridade de proteção da concorrência no Brasil – o Conselho Administrativo de Defesa Econômica (“CADE”) – e a autoridade de proteção de dados – a Autoridade Nacional de Proteção de Dados (“ANPD”) – celebraram em 2021 o Acordo de Cooperação Técnica, cujo objetivo é o fomento e disseminação da concorrência no âmbito dos serviços de proteção de dados.[10] O acordo destaca que “(…) dados os efeitos concorrenciais da coleta de dados pessoais (…) não se pode imiscuir o CADE da competência em proceder à análise e administração de situações em que haja riscos concorrenciais decorrentes do tratamento de dados”. Esta cooperação já está destacada na própria LGPD, em seu artigo 55-J, §§3º e 4º.
Nesse sentido, há potencial para que análises concorrenciais de abuso de posição dominante contem com o apoio da ANPD. Citando um exemplo brasileiro da atuação integrada entre concorrência e dados pessoais, CADE, ANPD, Ministério Público Federal (“MPF”) e Secretaria Nacional do Consumidor (“Senacon”) publicaram em maio de 2022 uma recomendação conjunta destacando pontos de preocupação sobre a então alteração na política de privacidade do WhatsApp,[11] que previa o compartilhamento de dados pessoais dos usuários do aplicativo com outras empresas do grupo econômico Meta.
Dentre as observações feitas pelas autoridades estava o questionamento quanto à redação substancialmente distinta entre as versões brasileira e europeia do documento, apesar das similaridades entre a LGPD e o GDPR. As recomendações das autoridades focaram-se então no potencial descumprimento de princípios de transparência (Art. 6º, VI da LGPD) e na garantia aos titulares de dados pessoais (Art. 18, LGPD) de que poderiam exercer seus direitos previstos em lei.
O aspecto concorrencial da recomendação, por sua vez, foi embasado na “literatura antitruste internacional sobre dominância em mercados digitais, cujo abuso pode constituir infração à ordem econômica nos termos do artigo 36 da Lei nº 12.529/2011 (…)”, bem como na necessidade de uma atuação tempestiva e eficaz da autarquia, de forma a evitar abusos de poder econômico resultante de posição dominante de agentes econômicos, especialmente em mercados disruptivos.[12] O CADE considerou que a conduta do WhatsApp na comunicação sobre a atualização de sua política de privacidade com aceite obrigatório poderia configurar abuso de posição dominante. Impor ao usuário o rompimento da prestação de um serviço de comunicação essencial caso houvesse recusa em relação ao compartilhamento obrigatório de dados com o Facebook e seus parceiros, seria abusivo nos termos do artigo 36, inciso IV c/c o § 3º, inciso XII, da Lei nº 12.529/2011. O WhatsApp, contudo, se comprometeu a colaborar com as autoridades após a publicação das recomendações.[13]
Assim, a recomendação conjunta das autoridades dá indícios sobre como o CADE pretende atuar em casos de potenciais violações concorrenciais envolvendo dados pessoais e players que possuam posição dominante em mercados digitais. No próprio documento conjunto, as autoridades também destacaram ser vantajosa uma “sinalização integrada e coordenada com as demais autoridades responsáveis pela regulação ou fiscalização de mercado, de forma a promover maior previsibilidade e segurança jurídica às decisões privadas de seus agentes”, reforçando as expectativas de uma atuação coordenada, particularmente em casos de maior complexidade.
[1] CJUE, C-252/21, Meta Platforms (Condições gerais de utilização de uma rede social), Acórdão de 4 de julho de 2023. Disponível em: https://curia.europa.eu/juris/document/document.jsf?docid=275125&mode=req&pageIndex=1&dir=&occ=first&part=1&text=&doclang=PT&cid=225395. Acesso 06 jul 23.
[2] KERBER, W.; ZOLNA, K. K. The German Facebook case: the law and economics of the relationship between competition and data protection law. European Journal of Law and Economics, [s. l.], v. 54, n. 2, p. 217–250, 2022. Disponível em: https://doi.org/10.1007/s10657-022-09727-8. Acesso em: 19 jul. 2023.
[3] EIN VERSTOSS GEGEN DAS WETTBEWERBSRECHT? – DER FACEBOOK-FALL DES BUNDESKARTELLAMTS. [S. l.], [s. d.]. Disponível em: https://www.mpipriv.de/1007605/20191112-facebook-fall-des-bundeskartellamts. Acesso em: 19 jul. 2023.
[4] THIEDE, Thomas. HERZOG, Laura. The German Facebook Antitrust Case – A Legal Opera. Kluwer Competition Law Blog, 11 fev.2021. Disponível em: https://competitionlawblog.kluwercompetitionlaw.com/2021/02/11/the-german-facebook-antitrust-case-a-legal-opera/. Acesso em: 21 jul. 2023.
[5] KERBER, W.; ZOLNA, K. K. The German Facebook case: the law and economics of the relationship between competition and data protection law. European Journal of Law and Economics, [s. l.], v. 54, n. 2, p. 217–250, 2022. Disponível em: https://doi.org/10.1007/s10657-022-09727-8. Acesso em: 19 jul. 2023.
[6] Ibid. p.219
[7] FEDERAL COURT OF JUSTICE. Federal Court of Justice provisionally confirms allegation of Facebook abusing dominant position: Courtesy translation of Press Release No 080/2020 published by the Bundesgerichtshof. 23 de junho de 2020, Karlsruhe. Disponível em: https://www.bundeskartellamt.de/SharedDocs/Publikation/EN/Pressemitteilungen/2020/23_06_2020_BGH_Facebook.pdf?__blob=publicationFile&v. Acesso em 19 jul. 23 Cf. SATARIANO, A. Facebook Loses Antitrust Decision in Germany Over Data Collection. The New York Times, [s. l.], 23 jun. 2020. Technology. Disponível em: https://www.nytimes.com/2020/06/23/technology/facebook-antitrust-germany.html. Acesso em: 19 jul. 2023.
[8] UNIÃO EUROPEIA. European Data Protection Board. GDPR Cooperation and Enforcement. Disponível em: https://edpb.europa.eu/our-work-tools/support-cooperation-and-enforcement/gdpr-cooperation-and-enforcement_en. Acesso em 09 jul. 2023.
[9] UNIÃO EUROPEIA. European Data Protection Board. EDPB Strategy 2021-2023. Disponível em: https://edpb.europa.eu/sites/default/files/files/file1/edpb_strategy2021-2023_en.pdf. Acesso em 15 jul. 2023.
[10] CONSELHO ADMINISTRATIVO DE DEFESA ECONÔMICA (“CADE”); AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (“ANPD”). Acordo de Cooperação Técnica. Brasília, DF: CADE; ANPD, 2021.
[11] BRASIL. MINISTÉRIO PÚBLICO FEDERAL (MPF). SECRETARIA NACIONAL DO CONSUMIDOR (SENACON). CONSELHO ADMINISTRATIVO DE DEFESA ECONÔMICA (CADE). AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Disponível em: https://cdn.cade.gov.br/Portal/assuntos/noticias/2021/Recomendac%CC%A7a%CC%83o_WhatsApp_-_Assinada.pdf. Acesso em: 15 jul. 2023.
[12] Ibid.
[13] Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/whatsapp-se-compromete-a-colaborar-com-cade-mpf-anpd-e-senacon-em-relacao-a-nova-politica-de-privacidade. Acesso em 15 jul. 2023.
