Estadão – Data Scraping e a responsabilidade do controlador
Imagem: Unsplash
Link original
Conhecido como Data Scraping ou “raspagem de dados”, a técnica consiste na extração de forma automatizada de dados pessoais em páginas da internet e em bases de dados públicos com objetivo de reutilização de tais dados para outras finalidades.
Normalmente os dados coletados são aqueles de identificação do indivíduo, tais como nome, número de contato, endereço, e-mail, entre outros, e na maioria das vezes são utilizados para envio de comunicação de marketing direto para a venda de produtos ou serviços, ou para a criação de um banco de dados vendido posteriormente a terceiros para propósitos completamente desconhecidos.
Entretanto, é indispensável atentarmos para o fato de que ainda estando os dados disponíveis em espaços públicos online, os mesmos são dados pessoais e as empresas que utilizam esta técnica devem cumprir os princípios básicos de proteção de dados.
O art. 7º da Lei Geral de Proteção de Dados (1), em seu parágrafo terceiro, dispõe que o tratamento de dados pessoais, cujo acesso é público, deve considerar a finalidade, a boa-fé e o interesse público que justificou a disponibilização dos mesmos, dispensando em seu parágrafo quarto o consentimento do titular, desde que resguardados os direitos do mesmo e os princípios previstos na lei.
Portanto, resta evidente que mesmo os dados tornados voluntariamente públicos pelo indivíduo exigem a observância aos princípios norteadores da Lei Geral de Proteção de Dados.
É possível, tratando-se de dados públicos, a utilização da técnica de web scraping, desde que a sua reutilização esteja amparada por uma das bases legais elencadas nos artigos 7º ou 11º do dispositivo legal, além de observar os fundamentos de proteção de dados do artigo 2º e os princípios norteadores do artigo 6º (2).
Sendo assim, nas hipóteses de extração de dados pessoais de dados públicos para novas finalidades é imprescindível que sejam respeitados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular sob pena de se tornarem ilícitos e, consequentemente, aptos a atrair as sanções aplicáveis pela Autoridade Nacional de Proteção de Dados.
Dados públicos não são um cheque em branco, passíveis de serem utilizados ao bel-prazer dos controladores.
O Regulamento de Proteção de Dados da União Europeia (3), em seu art. 14º, dispõe que quando os dados pessoais não forem obtidos diretamente do titular, o responsável pelo tratamento deverá fornecer ao mesmo as informações relacionadas nos parágrafos 1º ao 5º, incluindo, entre estes, os fins do tratamento a que se destinam bem como a base jurídica para o tratamento.
Nessa linha, a Autoridade Francesa de Proteção de Dados (Commission Nationale de l’ Informatique – CNIL) (4) publicou em abril de 2020 orientações acerca da extração de dados pessoais de usuários da web por ferramentas de web scraping.
Na referida orientação, a autoridade recomendou que as empresas antes de executar essas ferramentas devem verificar a natureza e a origem dos dados que serão extraídos, a minimização da coleta de dados, evitando a coleta de informações irrelevantes e excessivas. Salientou expressamente que as empresas que utilizam essa técnica para o envio de marketing direto devem comunicar ao titular na primeira comunicação estabelecida.
A realização de uma avaliação de impacto à proteção de dados também é recomendável em alguns casos como demonstração de uma boa prática por parte do controlador. A elaboração de um contrato entre controlador e fornecedor, estabelecendo as obrigações e responsabilidades de ambos, também se faz necessária.
Entretanto, há outra modalidade de web scraping, que se desenvolve em um ambiente não autorizado, a exemplo das plataformas de redes sociais, as quais expressamente proíbem em seus termos de uso a coleta de dados, configurando-se em uma violação contratual.
Nestes casos, estamos diante de uma atividade claramente ilícita por parte de quem os coletou, tendo em vista a proibição da prática por parte do controlador e sem qualquer finalidade e base legal autorizadora do tratamento de dados.
Ao que parece, o uso de dados públicos através da técnica de scrape, pela qual um software é capaz de baixar informações de um site, removendo-as e formando um novo banco de dados, tem se tornado uma prática comum e preocupante pelo potencial de risco à violação da privacidade e à privacidade dos dados.
Em abril do corrente ano, o aplicativo de mídia social Clubhouse sofreu um vazamento de dados através de um download automatizado de informações públicas dos usuários. (5)
A remoção dessas informações aparentemente foi facilitada pelo fato de que o Clubhouse usou em seu banco de dados numeração sequencial na criação de perfis dos usuários, bastando que os IDs dos usuários fossem copiados através de um acesso a uma API privada do aplicativo. (6)
O Linkedin também foi alvo de vazamento de dados através de “raspagem de dados” e que culminou com a oferta de venda de mais de 700 milhões de usuários em um fórum hacker, tendo o cibercriminoso exibido uma amostra com informações de aproximadamente um milhão de usuários da rede social. (7)
A rede social manifestou-se no sentido de que as investigações pertinentes ainda estão em curso, mas ao que tudo indica não haveria qualquer violação de dados por parte do aplicativo, uma vez que aparentemente a coleta de dados teria ocorrido através da técnica denominada web scraping e os dados copiados seriam informações tornadas públicas pelos usuários. (8)
Impõe-se neste contexto analisar a responsabilidade dos controladores sob a luz da Lei Geral de Proteção de Dados (9) e do Código de Defesa do Consumidor (10) com relação aos eventos mencionados.
Tanto pela ótica do art. 14º do CDC (11), que estabelece a responsabilidade objetiva pela falha na prestação do serviço do prestador, como pela interpretação dos arts. 44º e 46º da Lei Geral de Proteção de Dados (12), que dispõem que o tratamento será irregular quando este não fornecer a segurança que o titular espera, sendo os agentes de tratamento responsáveis por adotar e implementar medidas de segurança aptas a proteger os dados pessoais desde a concepção do serviço até a sua execução, a conclusão natural parece apontar para a responsabilização dos controladores por não terem proporcionando as condições de segurança necessárias para impedir a coleta dos dados por meio de ferramentas de automação de extração de informações, mesmo que públicas.
Afinal, usuários das redes sociais não autorizaram a coleta de seus dados pessoais para quaisquer outras finalidades que não as relacionadas ao uso dos respectivos aplicativos.
*Martha Leal – advogada especialista em Privacidade e Proteção de Dados, Data Protection Expert pela Universidade de Maastricht e Fellow do Instituto Nacional de Proteção de Dados (INPD)
Notas
(1) BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Acesso em: 03 jul. 2021.
(2) BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Acesso em: 03 jul. 2021.
(3) GENERAL DATA PROTECTION REGULATION – GPDR. [Site institucional]. Acesso em: 03 jul. 2021.
(4) COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS – CNIL. [Site institucional]. Acesso em: 03 jul. 2021.
(5) RIGUES, Rafael. Clubhouse: vazamento expõe dados de 1,3 milhão de usuários. Olhar Digital, 12 abr. 2021. Acesso em: 03 jul. 2021.
(6) Ibidem
(7) SILVA, Elias. Mais vazamentos: depois do Facebook, agora foi a vez do LinkedIn. Olhar Digital, 08 abr. 2021. Acesso em: 03 jul. 2021.
(8) SILVA, Elias. Mais vazamentos: depois do Facebook, agora foi a vez do LinkedIn. Olhar Digital, 08 abr. 2021. Acesso em: 03 jul. 2021.
(9) BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Acesso em: 03 jul. 2021.
(10) Brasil. Código de Proteção e Defesa do Consumidor (1990) Código de Defesa do Consumidor. Edição comemorativa 25 anos ampliada com os Decretos nº 2.181, de 20 de março de 1997, nº 6.523 de 31 de julho de 2008, nº 7.962 de 15 de março de 2013, nº 7.963 de 15 de março de 2013 e nº 8.753 de 19 de novembro de 2015 – Brasília: Ministério da Justiça, 2016
(11) Ibidem.
(12) BRASIL, 2018, op. cit.