Conjur – Dark patterns e leis de proteção de dados
Imagem: Pixabay
Link original
Talvez muitos desconheçam a expressão “Dark Patterns” e o seu real significado. Mas, com certeza, todos nós convivemos com essa prática em nosso dia a dia. Literalmente, significa a utilização de padrões escuros através de técnicas maliciosas projetadas com a intenção de induzir os usuários de serviços na web a optarem por determinadas escolhas, manipulando as suas decisões.
Poderíamos conceituar como sendo um tipo de técnica enganosa, comumente usada em sites e aplicativos com a finalidade de fazer com que o indivíduo tome decisões não pretendidas. Trazendo para a nossa realidade, vivenciamos esta prática, a título ilustrativo, quando compramos algo ou nos inscrevemos em algum serviço sem a devida compreensão das consequências do nosso ato, além, é claro, das questões atinentes à privacidade, cujas consequências das escolhas impactam diretamente sobre os nossos direitos e liberdades individuais.
Em 2018, o Conselho de Consumidores Norueguês1 publicou um relatório classificando os tipos de padrões obscuros nas seguintes categorias: a) configurações padrão, onde as definições de opções de padrão de privacidade são intrusivas, obscurecendo os padrões pré-selecionados pelo usuário; b) facilidade, onde se dificulta propositalmente a escolha da opção de privacidade, a exemplo do que ocorre com a necessidade de selecionar inúmeros botões de desativação de cookies levando à fadiga do titular; c) enquadramento, onde o enfoque disponibilizado ao usuário evidencia propositalmente os aspectos positivos da escolha, encobrindo os aspectos negativos e potenciais riscos à privacidade; d) esquema de recompensas e punições, o qual tem como objetivo forçar a escolha do usuário por meio de uma ameaça no caso de não opção de um serviço, a exemplo da possibilidade de exclusão da conta do titular em caso de não aceitação da funcionalidade proposta; e, e) a ação forçada no tempo, onde os usuários são levados a tomar ações antes de acessar o serviço de forma condicionante e sem a possibilidade clara para adiar este processo que culmina num ato de decisão do titular.
Explora-se, portanto, através desta prática, a vulnerabilidade dos indivíduos, dificultando a opção de preservação da privacidade em prol das facilidades oferecidas, resultando na exigência de que o usuário execute uma determinada ação para ter acesso a outra funcionalidade.
Em relação ao uso de cookies pelos sites, apesar da Lei Geral de Proteção de Dados 2 não abordar especificamente o tema, não há qualquer dúvida de que tratando-se de pequenos arquivos inseridos no navegador do usuário para fins de coleta de dados pessoais com diferentes finalidades, incidem sobre a maioria destes as leis protetivas de dados pessoais. E é exatamente nesse contexto que as práticas envolvendo a opacidade dos padrões para coleta de dados pessoais comprometem a autonomia da vontade do indivíduo e desafiam a conformidade às Leis de Proteção de Dados 3.
O Regulamento Europeu – GDPR 4 – complementado pela Diretiva e Privacy, estrutura a proteção de dados na União Europeia e formula regras para o processamento de dados pessoais, garantindo direitos aos titulares. Cabe às Autoridades Supervisoras o papel de monitoramento e a responsabilidade por sanções administrativas, modelo este que predominantemente se reproduz no Brasil, através da LGPD 5, com a ressalva de que em nossa legislação a autoridade supervisora é apenas uma, a Autoridade Nacional de Proteção de Dados – ANPD 6.
Tanto o GDPR como a LGPD trazem princípios específicos relacionados ao tratamento de dados – art. 5 GDPR 7 – art. 6 LGPD 8-, dentre os quais merecem especial atenção os princípios da transparência e da prestação de contas. Por princípio da transparência compreende-se a necessidade do usuário e titular de dados ser devidamente informado acerca do processo que envolve os seus dados pessoais e que impacta no resultado da sua decisão. Logo, um tratamento que não tenha as suas finalidades e eventuais consequências informadas e, sem as quais não seria possível presumirmos uma aceitação válida pelo titular, envolve-se pela ilicitude.
O consentimento no Regulamento Europeu 9 apresenta requisitos legais para serem considerados válidos, sendo definido através do art. 4 (11) e complementado pelos arts. 6º. e 7º. como consentimento válido aquele que se configura como livre, específico, informado e inequívoco. Por sua vez, a LGPD 10 em seu art. 8º. ao se referir ao consentimento previsto no art. 7º., I da lei, estabelece a vedação do tratamento de dados mediante vício de consentimento, devendo referir-se às finalidades determinadas. As autorizações genéricas serão consideradas nulas, definindo ainda, em seu art. 5º., XII, que o consentimento válido se trata de uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Assim, a partir das ponderações ora trazidas, parece natural a conclusão de que sendo o princípio da transparência um elemento de valor inestimável para conferir licitude ao tratamento de dados, a ausência do mesmo tem potencial de macular toda a sequência de atos posteriores, podendo caracterizar vício de consentimento na medida em que os padrões obscuros utilizados, a exemplo dos cookies, não permitem ao titular que compreenda as consequências de sua escolha.
Desta forma, nos casos exemplificados, onde se vislumbram a existência de práticas opacas que se utilizam propositalmente de mecanismos e ardis como meios de manipular a escolha do usuário sem que este tenha consciência do que de fato está em jogo, parece inverossímil admitirmos a caracterização de um consentimento livre, inequívoco e informado.
A constatação de que a falta do princípio da transparência no tratamento de dados pessoais ameaça a autonomia da vontade, comprometendo consequentemente o consentimento, impõe a necessidade de revisões urgentes sobre tais práticas.
*Martha Leal é advogada especialista em Privacidade e Proteção de Dados, Data Protection Expert pela Universidade de Maastricht, Fellow do Instituto Nacional de Proteção de Dados (INPD) e sócia da JP Leal Advogados
1.FORBRUKERRÅDET – Norwegian Consumer Council. In: Consumers International. Acesso em: 02 nov. 2021
2.BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Acesso em: 03 nov. 2021.
4.GENERAL DATA PROTECTION REGULATION – GPDR. Acesso em: 29 out. 2020.
5.BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Acesso em: 03 nov. 2021.
6.AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS – ANPD. [Site institucional]. Acesso em: 06 nov. 2021.
7.GENERAL DATA PROTECTION REGULATION – GPDR. Acesso em: 29 set. 2020.
8.BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Acesso em: 03 nov. 2021.
9.GPDR, loc. cit.
10.BRASIL, loc. cit.
REFERÊNCIAS
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS – ANPD. [Site institucional]. Acesso em: 06 nov. 2021.
BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Acesso em: 03 nov. 2021.
FORBRUKERRÅDET – Norwegian Consumer Council. In: Consumers International. Acesso em: 02 nov. 2021
GENERAL DATA PROTECTION REGULATION – GPDR. Acesso em: 29 set. 2020.