Facebook paga mais de R$ 2 bilhões por uso indevido de dados pessoais
- Criado em 30/01/2020 Por Raphael Di Tommaso
Eis que o glorioso Facebook gastou mais de 2 bilhões de reais recentemente pelo uso indevido de ferramentas de reconhecimento facial. "Tá, Rapha, mas o que a LGPD tem a 'dizer' sobre isso?". Vamos por partes.
Comecemos pelo começo: o caso concreto. Sabe quando você posta uma foto e o Facebook sai marcando todo mundo? Pois é. Segundo a ação coletiva movida no estado americano de Illinois, a ferramenta de reconhecimento facial utilizada viola a lei estadual de proteção à privacidade dos dados biométricos.
Isso ocorre porque os dados de milhões de usuários foram usados para alimentar o algoritmo de reconhecimento facial sem permissão dos usuários e sem informá-los por quanto tempo os dados ficariam armazenados.
Para evitar maiores desgastes, a empresa fez um acordo e desembolsou a bagatela de 550 milhões de dólares (e, mesmo assim, reportou crescimento de 25% no faturamento e 7% nos lucros do último trimestre de 2019).
E voltemos à pergunta inicial: como fica isso tudo do ponto de vista da Lei Geral de Proteção de Dados Pessoais (LGPD) brasileira?
Claro que é cedo para dizer como a ANPD vai regulamentar e como o Judiciário vai legislar, digo, interpretar o assunto. Mas, pelo que diz a lei, a situação do Facebook não seria muito favorável por aqui. Explico.
Inicialmente, o artigo 5º, II da LGPD classifica os dados biométricos como dados sensíveis, o que se aplica ao caso do reconhecimento facial. O artigo 11, por sua vez, estabelece as regras para o tratamento desses dados. Seu inciso I não deixa margens para dúvida: exige o consentimento do titular ou seu responsável legal, de forma específica e destacada, para finalidades específicas. O inciso II trata das hipóteses de tratamento sem consentimento, e nenhuma delas se aplica à prática do Facebook.
Vale lembrar que a atitude também viola o Marco Civil da Internet. De acordo com a lei, é direito do usuário ter informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais. Além disso, tudo deve estar especificado nos contratos de prestação de serviços ou termos de uso.