Em maio deste ano, a Secretária Nacional do Consumidor (Senacon) deu início a um processo administrativo para apurar supostas violações de dados pessoais de brasileiros cometidos pelo Facebook em dois casos de grande repercussão mundial. O primeiro foi o compartilhamento indevido de informações no escândalo conhecido como Cambridge Analytica. O segundo seria uma invasão de hackers ocorrido na rede social em setembro do ano passado e que teria resultado no acesso ilegal às páginas pessoais de milhões de pessoas em todo o mundo.

A ideia do órgão público é entender se houve a exposição de informações de brasileiros e se o Código de Defesa do Consumidor (CDC) poderia ser aplicado em ambos os casos. Por enquanto, o estabelecimento de uma relação de consumo entre a rede social e os seus usuários ainda é um assunto controverso no País. 

Na semana passada, a Consumidor Moderno teve acesso às respostas enviadas pelo Facebook ao órgão público no dia 27 de maio deste ano. Em linhas gerais, os dois documentos não apresentam novidades sobre o que ocorreu tanto no caso Cambridge Analytica quanto na invasão de hackers na plataforma. Há, no entanto, detalhes curiosos sobre as diferentes atuações da empresa no Brasil e nos EUA.

Os documentos, por exemplo, revelam a existência de “dois Facebooks”, sendo que o americano, localizado na Califórnia, é o verdadeiro responsável pela plataforma. Outro, bem diferente, é a versão brasileira da rede social.

“O Facebook é, atualmente, o fornecedor da ‘plataforma Facebook’ para usuários localizados no Brasil. O serviço da plataforma não é operado no Brasil. O Facebook Brasil é uma sociedade independente do Facebook. A principal atividade do Facebook Brasil é a prestação de serviços relacionados à locação de espaço publicitário, veiculação de publicidade, suporte de vendas, além de outras descritas em seu contrato social”, destaca o documento.

Em outras palavras, todos os questionamentos da Senacon foram enviados à sede americana ou, no mínimo, avaliados por pessoas próximas ao próprio Mark Zuckerberg.

Cambridge Analytica

Sobre o documento do caso Cambridge Analytica, há um resumo sobre todo o escândalo l, as providências tomadas pela empresas e ainda cita alguns dados sobre o impacto no Brasil.

O documento lembra, por exemplo, que a denúncia foi feita em março de 2018 pelos jornais The New York Times, The Guardian e pela emissora de TV Channel 4 News. Na ocasião, os meios de comunicação reportaram que a Cambridge teve acesso ao volume de dados de pessoas por meio de um aplicativo que prometia um teste psicológico embarcado no Facebook. Os usuários que participaram do teste entregaram à companhia de análise de dados não apenas suas informações pessoais, mas também os dados referentes a todos os amigos do perfil.

A empresa também admite, via ofício, que compartilhou essas informações com a Cambridge, o que resultou na exposição de mais de 87 milhões de dados de usuários. No entanto, o Facebook ressalta que nenhum dado de usuários brasileiros foi utilizado pela empresa de análise de dados mas, ao mesmo tempo, a companhia afirma que houve a exposição de seus dados dos usuários brasileiros.

Segundo a empresa, 84 pessoas no País (ou 0,03% do total) instalaram o aplicativo com o teste psicológico entre novembro de 2013 e 17 de novembro de 2015 – justamente o período de funcionamento do app da Cambridge Analytica na rede social. Soma-se a eles, um numeroso grupo de “amigos dos amigos” dos que baixaram o app, o que resultou em um salto exponencial de pessoas que tiveram os seus dados expostos.

“Isso resulta em um número total máximo de 443.117 pessoas no Brasil cujos dados podem ter sido potencialmente compartilhados com o aplicativo, o que representa 0,51% do número global de pessoas potencialmente afetadas”, calculou o Facebook no documento.

O Facebook também comentou sobre as provas que comprovariam que não houve o compartilhamento de dados dos brasileiros. Ela citou, por exemplo, a afirmação de que executivos da Cambridge Analytica assinaram dois contratos para a coleta de dados pessoais. O primeiro abrangeu 11 estados americanos. Já o segundo previa o tratamento de informações de pessoas em todo território ianque. Ou seja, os contratos previam apenas cidadãos norte-americanos.

Furto de tokens

Outro documento do Facebook enviado à Senacon diz respeito a um incidente ocorrido no dia 25 de setembro do ano passado. Na ocasião, o Facebook informou que foi alvo de um ataque hacker, o que resultou no acesso não autorizado aos tokens de acesso às contas de usuários da rede social. Isso ocasionou o uso e interação de terceiros em três serviços dentro do site: as funcionalidades modo “ver como”, o compositor de feliz aniversário e o carregador de vídeo.

De acordo com o próprio Facebook, o modo “ver como” permite que um usuário visualize o seu próprio perfil a partir de um olhar de usuários do Facebook. Já o carregador de vídeo autoriza um usuário a inserir vídeos no facebook. Já o compositor de feliz aniversário permite que um usuário deseje parabéns para outro usuário, enviando uma mensagem, foto ou vídeo enquanto estiver na página desse outro usuário. 

No documento, a empresa informou que o FBI foi avisado do ataque e que o problema foi corrigido já no dia 27 de setembro. De acordo com o documento enviado a Senacon, aproximadamente 90 milhões de contas foram invalidadas por precaução em um primeiro momento. Ao final da investigação interna, descobriu-se que cerca de 29 milhões de tokens foram efetivamente furtados. 

De novo, o documento enviado pelo Facebook não exibe novos detalhes sobre o ataque de hackers.  No entanto, a nota técnica 109/2019 da Senacon (documento que emite pareceres do corpo técnico do órgão público) aponta para uma informação inédita sobre esse ataque: a estimativa de usuários brasileiros atingidos.

“A estimativa é de que 2.546.633 contas de usuários do Facebook no Brasil podem ter tido informações indevidamente acessadas. Assim, o Facebook noticia que imediatamente adotou medidas para sanar a vulnerabilidade que os invasores haviam explorado, com o fim de garantir a segurança das contas dos usuários, bem como notificou as autoridades competentes”, informa o documento da Senacon.

Relação de consumo

Todas essas informações serão analisadas pela Senacon que deve se manifestar sobre o assunto. No entanto, o objetivo principal é estalecer uma relação de consumo entre o Facebook e os seus respectivos usuários. Caso isso tenha ocorrido, o próximo passo é verificar se houve desrespeito ao Código de Defesa do Consumidor (CDC). No entanto, essa não será uma discussão fácil.

Em ambos os casos, a companhia descartou nos dois documentos qualquer desrespeito aos direitos do consumidor. Por outro lado, o Facebook não negou a existência de uma relação de consumo.

Nesse sentido, fica a dúvida: afinal, qual seria a relação entre você e o Facebook?

Na avaliação da Senacon, a relação de consumo entre o Facebook e o usuário existe e ocorre quando “é estabelecida entre o fornecedor de acesso à internet e/ou de conteúdo e o usuário que contrata e deseja ter acesso à internet e/ou conteúdo respectivo para satisfação de uma necessidade pessoal”, informa a nota técnica 109/2019 – um documento técnico e interno da Senacon.

Remuneração

A nota técnica da Senacon expõe ainda outro requisito importante para uma relação de consumo: a remuneração. De acordo com o documento, ela ocorreria de forma indireta e por meio do chamado custo por clique (cost per click). “A remuneração do serviço do Facebook é calculada pelo número de cliques em determinado link (cost per click), constituindo-se em seu modelo de negócios. Desta forma, calculam-se os preços dos contratos de publicidade através da estimativa de consumidores em potencial, especificados pelas informações que disponibilizam sobre si mesmos. Essas mesmas informações constituem em contingente de capital social. Aliás, a forma como o Facebook opera no mercado virtual caracteriza uma aparente gratuidade dos serviços prestados aos consumidores na Internet”, informa o documento. 

Essas conclusões presentes na nota técnica reforçam uma percepção do secretário da Senacon, Luciano Benneti Timm, em uma entrevista concedida a Consumidor Moderno em fevereiro deste ano. Na ocasião, ele já demonstrava preocupação com o Facebook e destacava a aparência de entidade sem fins lucrativos da rede social. 

“Hoje, têm empresas que operam como pontos de encontro entre pessoas, como é o caso do Airbnb, Uber e outras plataformas similares. Existem ainda as redes sociais, que só aparentam não ter uma finalidade voltada para o lucro (o acesso a redes como o Facebook e o Instagram não tem custo em dinheiro). No entanto, elas são entidades com uma finalidade orientada ao lucro, sim. A ideia é entender o que cada uma dessas empresas está fazendo com esses dados e, dessa forma, ganhando dinheiro”.

Negócio ou caridade?

Outro ponto que também reforça a relação de consumo diz respeito ao posicionamento do Facebook como empresa. O secretário tem repetido que a empresa precisa ser mais transparente sobre usar os dados dos consumidores para fins comerciais.

No documento enviado à Senacon, por exemplo, o Facebook afirma que “é uma plataforma para compartilhamento”, sendo que a “sua missão é dar às pessoas o poder de construir comunidades e, em ultima instância, ter o mundo mais unido”. Tal afirmação não deixa claro o apelo comercial do Facebook.

À Senacon também interessa essa mudança de postura do Facebook não apenas sob a ótica do consumido. Ela também é imprescindível para o Brasil cumprir os requisitos de transparência sobre o uso de dados pessoais dos consumidores imposto pelos membros da OCDE – um grupo de países desenvolvidos. Felizmente para o órgão, a guinada no discurso do Facebook já começou a ocorrer em outros países.

Na Europa, o caso Cambridge Analytica acentuou esse debate sobre a necessidade do Facebook ser mais transparente. Em abril deste ano, a discussão deu o primeiro resultado: a rede social anunciou que mudaria o contrato de acesso com usuário de modo a dar deixar claro que a empresa usa dados dos usuários para fins comerciais.

O anúncio foi comemorado pela União Europeia. Uma das responsáveis por costurar o acordo foi V?ra Jourová, comissária da Justiça, Consumidores e Igualdade de Gênero da União Europeia, que falou sobre o assunto. 

“O Facebook mostra finalmente o empenho numa maior transparência e numa linguagem mais simples nas suas condições de utilização. Uma empresa que pretende restabelecer a confiança dos consumidores após o escândalo do Facebook/Cambridge Analytica não deve se esconder atrás de um jargão complexo e legalista quando fala sobre a forma como ganha fortunas com os dados das pessoas. Os utilizadores podem agora compreender claramente que os seus dados são utilizados pela rede social para vender anúncios direcionados. Unindo forças, as autoridades de defesa do consumidor e a Comissão Europeia defendem os direitos dos consumidores da UE”, explicou ela em comunicado à imprensa.

Judiciário

Esse mesmo debate deve desembarcar em breve no País e, mais do que isso, poderá transcender as paredes da própria Senacon. Já existem Procons no País dispostos a discutir esse tipo de relação. Além disso, o Judiciário brasileiro vem discutindo o tema em um número crescente de processos sobre o assunto, muito embora não exista um consenso sobre isso.

Um exemplo ocorreu em 2016 no Rio de Janeiro, quando um grupos de magistrados foi “provocado” a julgar de uma usuária do Facebook que afirma que uma terceira pessoa usou um perfil falso na rede social. A autora recorreu ao Código de Defesa do Consumidor para pedir uma indenização por dano moral, o que resultou em um debate jurídico sobre o tema. Dois colégios de magistrados não chegaram a um consenso sobre qual lei aplicar nesse caso: o CDC ou o Direito Civil com o Marco Civil da Internet. No fim, o assunto foi parar no órgão especial do TJRJ – justamente o tribunal que julga casos onde há conflito sobre a competência de determinadas varas de juízes.

A decisão do órgão especial deu esperança aos que defendem que o CDC deveria ser aplicado. “Um processo pode ‘versar’ sobre direito do consumidor porque algum dispositivo do CDC se lhe aplica, ainda que o objeto da demanda seja totalmente estranho à matéria consumerista, e ainda que as partes não se enquadrem de modo algum nos conceitos de ‘consumidor’, ‘fornecedor’, ‘destinatário final, etc”, informou o colegiado no processo, que, por outro lado, negou o direito ao dano moral da usuária. Isso ocorre porque o uso de perfil não teria relação com uma relação de consumo. Assim, resta uma dúvida: em que casos o consumidor poderia aplicar o CDC em uma relação com o Facebook? Fica o debate.