PL das Fake News e a Privacidade e Proteção de Dados no Brasil

*Por Mário Garcia Junior e Marcelo Brisolla

Atualmente é inegável que presenciamos uma crise global de credibilidade na difusão de informações e notícias, impulsionada pelo crescimento e fortalecimento da divulgação e compartilhamento de fake news em redes sociais. O fenômeno das fake news tem gerado consideráveis impactos em diversas situações, tais como na pandemia do SARS-CoV-2, que inclusive fez com que o Ministério da Saúde dedicasse uma página de seu site apenas para denunciar fake news acerca da COVID-19.

Logo, percebe-se que o fenômeno das fake news é um tema altamente discutido atualmente, de modo que, com o objetivo conceitual de combater e regulamentar as fake news, foi proposto pelo Senador Alessandro Vieira (Cidadania/SE), o Projeto de Lei nº 2630, de 2020 (“PL”), que visa instituir a Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet. O texto base do Projeto de Lei foi aprovado pelo Senado em 30/06/20, sendo que agora passará para apreciação e votação pela Câmara dos Deputados.

O referido PL, todavia, constitui-se em uma séria ameaça a direitos constitucionalmente consagrados como Liberdade de Expressão e privacidade, sendo que o presente artigo tem por intuito expor as claras discordâncias e inconsistências entre o PL e a Lei Geral de Proteção de Dados (“LGPD”), que colocam em dúvida a aplicação e efetividade da LGPD. Cumpre ressaltar que a LGPD tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, tendo como fundamentos o respeito à privacidade, a inviolabilidade da intimidade, da honra e da imagem, dentre outros elencados no art. 2º da Lei.

Inicialmente destacamos que o art. 7º do PL prevê a possibilidade de redes sociais e serviços de mensageria solicitarem a apresentação do documento de identidade do usuário, cuja autenticidade do perfil vier a ser questionada pelo provedor do serviço, sendo que o PL não determina objetivamente como será feita a qualificação do perfil como autêntico ou não, atividade que ficará a cargo e critério das determinações e políticas das redes sociais e serviços de mensageria.

Referido artigo, no mínimo, conflita com dois princípios da LGPD. Em primeiro lugar com o da “necessidade”, que limita a coleta de dados pessoais ao mínimo necessário, devendo ser coletados apenas os dados estritamente essenciais para a atividade. Assim cabe o questionamento se realmente existe a necessidade de o usuário ter que enviar seu documento de identidade para criar uma simples conta em rede social ou serviço de mensagens, bem como se os provedores do serviço possuem a capacidade organizacional e técnica para garantir a segurança e privacidade dos arquivos compartilhados pelo usuário. O que se vê no PL é um retrocesso na cultura de minimização da coleta de informações e dados dos indivíduos que vem sendo difundida pelas legislações de privacidade e proteção de dados pessoais ao redor do mundo.

Adicionalmente, diante da total liberdade para os provedores de serviço determinarem quais são os critérios para a determinação de um perfil autêntico ou não, também é passível de questionamento se o princípio da LGPD de “não discriminação” será seguido por tais empresas, haja visto que esse poder abre espaço para que eles determinem quem poderá ou não fazer parte daquela rede social ou serviço de mensageria a seu exclusivo critério, podendo aplicar conceitos discriminatórios ou abusivos para a aprovação de perfis.

Por sua vez, o art. 8º do PL determina que os serviços de mensageria privada, que ofertam serviços vinculados exclusivamente a números de celulares, ficarão obrigados a suspender as contas de usuários que tiverem os contratos rescindidos. Para tanto, o PL determina um compartilhamento obrigatório de dados dos usuários entre provedores do serviço e operadoras de telefonia.

Então, mais uma vez percebemos conflito com a LGPD, que determina, caso a empresa tenha obtido os dados pessoais através do consentimento do usuário, a mesma deverá obter adicionalmente o consentimento do usuário para compartilhamento dos dados (art. 7º, §5º), bem como garante ao usuário obter todas as informações acerca do compartilhamento e uso dos dados pessoais pela empresa (art. 9º, V).

Fica então o questionamento se os provedores de serviços de mensagens e as operadoras de telefonia terão a capacidade e o discernimento para respeitar as regras da LGPD no tocante ao compartilhamento dos dados dos usuários e garantir a sua proteção e privacidade. Considerando que a LGPD trouxe essas regras em função do compartilhamento indiscriminado de dados pessoais dos usuários sem conhecimento prévio dos mesmos, é imprescindível que seja feita futuramente a verificação do cumprimento conjunto das regras do PL e da LGPD neste caso.

Ainda, o art. 10 do PL determina que os serviços de mensageria privada deverão armazenar os registros dos envios de mensagens veiculadas em massa pelo prazo de 3 (três) meses, devendo ser resguardada a privacidade do conteúdo das mensagens. Neste caso, será crucial que os provedores adotem técnicas de armazenamento que garantam a privacidade dos dados pessoais dos usuários, idealmente devendo aplicar medidas de anonimização que possibilitem a desqualificação de tais dados como dados pessoais, como prevê o art. 12 da LGPD. Também cabe o questionamento se os provedores de serviço irão eliminar os registros das mensagens após o prazo legal de 3 (três) meses, bem como se irão aplicar esta regra de armazenamento apenas para as mensagens veiculadas em massa ou se farão uma aplicação geral para todos os registros de mensagem dos usuários.  Percebe-se então, mais uma vez, o conflito do PL com as normas e regras da LGPD que visam garantir a privacidade, proteção e segurança dos dados pessoais dos indivíduos.

Note-se que o PL em comento impõe severos custos aos serviços de mensageria privada e redes sociais, não previstos a estes originalmente, visto que estes trabalham em escala global e, em virtude de leis como a GPDR e CCPA, desenha suas plataformas de acordo com o princípio do Privacy by Design, diametralmente oposto ao sistema pretendido pelo projeto em comento, só visto, praticamente, em regimes ditatoriais. 

Expostos os claros conflitos do PL das fake news com a LGPD, discorremos agora sobre a incongruência do PL com os importantes e basilares conceitos da privacidade e proteção de dados do Privacy by Design e Privacy by Default. Primeiramente, o conceito de Privacy by Design, segundo o qual todas as etapas do processo de desenvolvimento de um produto ou serviço de uma empresa devem ter a privacidade em primeiro lugar, de modo que o projeto seja concebido com desde o início.  Por sua vez o conceito de Privacy by Default determina que todos os produtos ou serviços lançados no mercado devem vir com as configurações de privacidade no modo mais restrito possível, como padrão, ficando a cargo do usuário decidir se pretende aumentar as configurações ou não. Apesar de não adotar expressamente os princípio de Privacy by Design e Privacy by Default, a LGPD traz alguns conceitos similares ao descrever medidas que as empresas devem tomar para proteção dos dados, ao estabelecer a necessidade de manter um registro das operações de tratamento de dados pessoais que realizam (art. 37, LGPD), bem como a adoção de medidas de segurança para proteção dos dados pessoais em tratamento desde a fase de concepção do produto até a sua execução (art. 46, LGPD).

Em contrapartida a este importante avanço da legislação brasileira para proteção e privacidade de dados, o PL das fake news cria barreiras para que as empresas possam aplicar os princípios do Privacy by Design e Privacy by Default, haja visto que, como acima exposto, cria uma série de obrigações para as empresas que são conflitantes com os conceitos básicos da privacidade e proteção de dados. Destarte, fica a dúvida, como podem os provedores de serviços de mensageria e redes sociais criarem seus produtos com um viés Privacy by Design/Default se precisarão exigir arbitrariamente documentos de identidade dos usuários e manter o registro de suas mensagens, por exemplo? Essa é uma questão crucial e que exigirá uma excelente proatividade e inovação por partes das empresas para que possamos adentrar o tão sonhado mundo da efetiva e eficaz privacidade de dados.

De todo, mais uma vez, o PL se demonstra na contramão dos conceitos atuais de privacidade promovidos ao redor do mundo, criando uma série de obrigações para as empresas que conflitam com os importantes princípios do Privacy by Design e Privacy by Default.

Expostas as questões atreladas a LGPD e privacidade e proteção de dados pessoais, agora discorreremos sobre o surpreendente conflito do PL das fake news com princípios e direitos constitucionais. 

Como determina o art. 5º, X, da Constituição Federal, “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente da sua violação”. Dessa forma, a Carta Magna prevê o direito à privacidade dos cidadãos, garantindo a inviolabilidade da sua vida privada e sua imagem. Embora a existência de tal direito constitucional, o PL entra em conflito em diversas oportunidades ao longo de seu texto: (i) art. 7º, ao permitir que as empresas exijam a apresentação do documento de identidade de usuários considerados não autênticos, (ii) art. 8º, ao obrigar o compartilhamento de dados entre provedores de serviços de mensageria privada e operadoras de telefonia, com acesso irrestrito dos provedores às informações referentes a rescisão dos contratos dos usuários com as operadores de telefone, (iii) art. 10, ao obrigar a manutenção do registro de envios de mensagens veiculadas em encaminhamento em massa, pelo prazo de 3 (três) meses, e (iv) art. 12, ao criar uma série de procedimentos de moderação para os provedores que deverão acompanhar a atividade dos usuários e com poder de indisponibilizar conteúdos e contas que forem denunciados ou que os provedores entenderem que violam os termos do PL e/ou dos termos de uso do serviço.

Assim, verifica-se um claro descompasse entre o PL e o direito constitucional da privacidade, haja visto que a redação atual do PL das fake news permite e, em algumas situações até obriga, as empresas sujeitas à lei a adotar medidas invasivas a privacidade dos usuários que acabam tendo que acatar e seguir as solicitações das empresas para que consigam usufruir do serviço oferecido. Por mais nobre que seja a intenção do PL, é grave que em pleno 2020 esteja em discussão uma lei que traga tantos dispositivos que ferem direitos constitucionais basilares. Portanto, será crucial que as empresas assumam uma posição adequada diante de suas obrigações e tomem todas as precauções necessárias para garantia da privacidade dos usuários. 

Cabe ainda destacar a possível restrição do PL ao direito constitucional da liberdade de expressão (art. 5º, IX, CF), bem como da manifestação do pensamento (art. 5º, IV, CF), haja visto que de acordo com a redação do PL das fake news, as empresas poderão restringir o acesso de usuários que julgarem não autênticos (art. 7º, PL), bem como terão total poder de mediação do conteúdo veiculado em seus aplicativos e serviços (art. 12), ambas prerrogativas que possuem caráter extremamente subjetivo, sem haver diretrizes claras e certas de quais usuários e/ou conteúdos deveriam ser barrados. Assim, é aberta a possibilidade para que as empresas atuem como verdadeiros censores de usuário e conteúdo, permitido a veiculação e divulgação somente de conteúdos que atendam aos seus próprios interesses, ou até, numa digressão ainda maior, daqueles que oferecerem maiores incentivos financeiros para as empresas reguladas pelo PL.

Ante o exposto, é possível perceber que a redação atual do PL das fake news não só conflita com os princípios e regras  da Constituição Federal e da LGPD, mas também abre espaço para que as órgãos governamentais empresas controlem e determinem quem terá direito a acessar suas redes sociais ou serviços de mensageria, tendo poder para monitorar os acessos e as mensagens compartilhadas pelos usuários, permitindo, assim, violações a direitos fundamentais somente vistas em regimes ditatoriais.

Assim, tem-se que se o PL das fake news for aprovado pelo Congresso Nacional e sancionado pelo Presidente da República, o que não se espera, teremos como única consequência um forte abalo na imagem do país perante o mundo, visto que o mesmo traz à baila grande insegurança jurídica, visto que conflita frontalmente com a LGPD e com a Constituição Federal e instaura no país mecanismos de espionagem privados e públicos somente existentes nas piores ditaduras e jamais sonhadas em regimes democráticos.

1. https://www.saude.gov.br/component/tags/tag/novo-coronavirus-fake-news (acessado 08/07/2020)

2. Lei nº 13.709, de 14 de agosto de 2018.

3.   Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

4.  Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

5.  Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

6.  Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.