Gafam é o acrônimo de gigantes da web, Google, Apple, Facebook, Amazon e Microsoft, que são cinco grandes empresas dos EUA. As plataformas digitais desempenham um papel cada vez mais importante na vida cotidiana de todos e são majoritariamente americanas (as “Mamaa”, sigla para Microsoft, Amazon, Meta, Apple e Alphabet) e chinesas (as “BATX”, sigla para Baidu, Alibaba, Tencent e Xiaomi).
Brasil: a LGPD
No Brasil, vigora a Lei n˚ 13.709/2018, denominada Lei Geral de Proteção de Dados Pessoais (LGPD), que possui o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Notadamente e principalmente, são protegidos os dados pessoais sensíveis sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
A Autoridade Nacional para a Proteção de Dados (ANPD) é estabelecida como o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei em todo o território nacional.
Contudo, o artigo 33 da LGPD permite a transferência internacional de dados pessoais em diversas hipóteses, tornando a exceção praticamente uma regra:
1. para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais;
2. quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei;
3. quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
4. quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
5. quando a autoridade nacional autorizar a transferência;
6. quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
7. quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do artigo 23 desta Lei;
8. quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades
9. quando necessário para atender as hipóteses previstas nos incisos II, V e VI do artigo 7º desta Lei.
A LGPD permite a transferência internacional de dados pessoais em nove hipóteses, o que causa espécie se comparado com o sistema europeu de proteção aos dados pessoais. Nesse sentido, é salutar lembrar que o parágrafo único do artigo mencionado permite que as pessoas jurídicas de direito público do Brasil requeiram, no âmbito de suas competências, a avaliação do nível de proteção a dados pessoais conferidos por país ou organismo internacional, o que exige uma observação e análise constante da jurisprudência estrangeira. É exatamente o parágrafo único do artigo 33 que resguarda a nossa soberania digital e a proteção dos dados dos residentes no Brasil.
Devido à ausência de um órgão regional de proteção de dados como ocorre na UE, seria salutar que as autoridades brasileiras considerassem com rigor o parágrafo único do artigo 33 da LGPD a fim de proteger com eficácia a sua soberania digital brasileira. O ideal seria um banco de dados global, já que as ações dos Gafam não possuem fronteiras. O modelo europeu, abarcado pelo TFUE, pela RGPD, pelo DSA e pelo DMA, pode ser um parâmetro inicial.
UE: tratado sobre o funcionamento
Na União Europeia, o abuso de posição dominante dessas empresas é sancionado pelos artigos n˚ 101 e n˚ 102 do tratado sobre o funcionamento da UE — TFUE. Em 2004, por exemplo, a Microsoft [1] foi condenada pela Comissão Europeia a pagar uma multa de 497,2 milhões de euros por ter abusado da sua posição dominante no mercado dos sistemas operativos para computadores.
No caso C-738/22 P – Google e Alphabet v Comissão, o Tribunal de Justiça da União Europeia ratificou a decisão no sentido de que o Google violou o artigo n˚ 102 do TFUE e o artigo n˚ 54 do Acordo EEE — Acordo sobre o Espaço Económico Europeu, apesar da redução do montante da multa em grau recursal [2].
Em dois acórdãos proferidos em 10 de setembro de 2024, o Tribunal de Justiça da União Europeia (TJUE) impôs sanções definitivas a duas multinacionais do setor digital, a Apple e a Google.
Em 10 de setembro de 2024 o TJUE confirmou uma decisão da Comissão Europeia de 2016, que questionava as vantagens fiscais de que a Apple beneficiou na Irlanda: a empresa deve reembolsar 13 bilhões de euros a este Estado [3].
De 1991 a 2004, a Apple beneficiou de duas decisões fiscais (rulings) que “reduziram artificialmente os impostos” que a empresa deveria pagar na Irlanda. Em uma decisão de 2016, a comissão considerou que se tratava de uma aplicação incorreta das regras tributárias irlandesas.
Destinados a atrair investimentos de multinacionais, tais “acordos fiscais agressivos” eram, para a comissão, auxílios estatais dissimulados que prejudicam a concorrência na UE. O acórdão especificou: “a Irlanda concedeu à Apple um auxílio ilegal que este Estado é obrigado a recuperar”, no valor de 13 bilhões de euros.
No segundo acórdão, o TJUE confirmou uma multa de 2,4 milhões de euros imposta ao Google por abuso de posição dominante. O processo foi instaurado pela Comissão Europeia em 2010 [4]. O Google foi multado em 2,42 bilhões de euros por favorecer seu sistema de comparação de preços Google Shopping nos resultados do seu motor de busca. Essa “auto-referência” constitui um abuso de posição dominante nos termos do artigo 102 do TFUE. Inclusive, foi esse precedente que levou a UE a adotar, em 2022, um regulamento sobre práticas anticoncorrenciais no domínio digital: o DMA.
Em 2023, a Meta, empresa controladora do Facebook, foi condenada a pagar uma multa de 1,2 bilhão de euros pela Comissão de Proteção de Dados (DPC), órgão regulador da privacidade na Irlanda. Um valor sem precedentes na União Europeia, que supera em muito o que a Amazon foi condenada a pagar em julho de 2021, que na época era de 746 milhões de euros.
Regulamento geral de proteção de dados (RGPD)
Posteriormente, o Regulamento geral de proteção de dados (RGPD), aprovado em 2016, foi utilizado pela Comissão Irlandesa para a Proteção de Dados como fundamento para sancionar a Meta, após a empresa ter transferido dados pessoais para os Estados Unidos em violação das disposições do RGPD.
Digital Markets Act (DMA) e o Digital Services Act (DSA)
Em 2022, no âmbito da União Europeia, foram aprovadas duas normativas importantes: o Digital Markets Act (DMA) e o Digital Services Act (DSA). O DMA institui um controle prévio da atividade das plataformas digitais com fins concorrenciais, impondo várias obrigações destinadas a garantir a abertura e a equidade dos mercados digitais. Ainda, impõe às plataformas digitais várias obrigações, tais como permitir aos seus utilizadores cancelar facilmente a subscrição e desinstalar as aplicações que oferecem, garantir a interoperabilidade dos seus principais serviços de mensagens com outros serviços semelhantes ou ter o cuidado de não favorecer os seus produtos e serviços em relação aos de terceiros vendedores.
Por sua vez, o DSA protege os direitos fundamentais dos consumidores online, impondo às plataformas digitais diversas restrições em matéria de transparência e informação (moderação de conteúdos, etc.), luta contra conteúdos ilícitos (criação de sinalizadores de confiança, etc.) ou ainda publicidade (proibição de publicidade dirigida a menores, etc.).
No âmbito europeu, há dois controles: administrativo e judicial, e cada controle depende do seu fundamento jurídico. Se o fundamento jurídico é o artigo 102 do TFUE o controle é efetuado pela Comissão Europeia e pela autoridade nacional de cada país, na França, é a Autoridade da Concorrência.
Por outro lado, se o fundamento jurídico é o RGPD, o Comitê Europeu para a proteção de dados é o responsável na região e o Cnil [5] na França. Ainda, para a proteção das disposições do DSA é competente a Comissão Europeia e na França a Arcom [6] (Autoridade de regulação da comunicação audiovisual e digital). Para a fiscalização das regras do DMA, cabe exclusivamente à Comissão Europeia.
No âmbito global, um necessário diálogo transnacional.
Assim, no âmbito global, é preciso o estabelecimento de um diálogo transnacional entre as comissões nacionais e regionais para a criação de um banco de dados, por exemplo, com as condenações administrativas e judiciais, que reconheceram práticas ilícitas por parte das empresas pertencentes ao Gafam (e outras). As razões para a construção de um diálogo global são diversas. Primeiro, para vedar a transferência internacional de dados pessoais de residentes no Brasil às empresas estrangeiras que já foram condenadas.
Segundo, para que nos lembremos que o (s) Gafam (e plataformas similares) não possuem limites culturais [7] ou geográficos como as leis nacionais. Majoritaramente, somos vistos pelas big techs como meros seguidores e consumidores de algorítimos. Terceiro, para compreendermos que a proteção da soberania deve se desenhar de inéditas formas em um mundo sem fronteiras que tende a se reger pela anomia e pela anarquia digitais.
[1] https://ec.europa.eu/commission/presscorner/detail/fr/ip_04_382
[2]https://curia.europa.eu/juris/document/document.jsf?text=&docid=265421&pageIndex=0&doclang=pt&mode=lst&dir=&occ=first&part=1&cid=2712626
[3]https://curia.europa.eu/juris/document/document.jsf?text=&docid=289923&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=2717336
[4] https://curia.europa.eu/juris/liste.jsf?language=fr&td=ALL&num=C-48/22%20P
[5] Commission Nationale de l’Informatique et des Libertés.
[6] Autorité de régulation de la communication audiovisuelle et numérique – https://www.arcom.fr/nous-connaitre/decouvrir-linstitution
[7] Na França, por exemplo, verifica-se maior cautela pelos direitos de imagem e pelos dados pessoais em geral, no entanto, no Brasil a cultura de dependência pelo pertencimento às redes sociais torna ainda mais complexa a proteção da soberania digital no Brasil, basta comparar a proporção de usuários nos dois países.
—
O post Gafam x soberania digital: Brasil e União Europeia apareceu primeiro em Consultor Jurídico.
