Um dos aspectos mais relevantes quando se fala na coleta de dados pessoais diz respeito ao compartilhamento destes dados com terceiros. Isto se dá porque o compartilhamento assinala com uma possibilidade concreta do usuário perder qualquer controle sobre estes dados. Desenha-se uma situação de insegurança ainda maior do que a coleta e processamento por aqueles com quem o indivíduo já mantém uma relação, em que pesem os termos desta relação. É possível que o terceiro possua algum vínculo legal ou contratual com quem coletou e processou os dados, o que o sujeitaria, pelo menos em tese, aos parâmetros estabelecidos com aquele. Entretanto, com a pessoa de quem os dados foram coletados o terceiro não mantém vinculação contratual alguma.
Observe-se que na Diretiva 95/46/CE, como exposto, exige a comunicação ao usuário quando o responsável pelo processamento dos dados é pessoa diversa
daquela que os coleta. Disposição similar aparece na Lei n. 12.414/2011 (art. 5º, inc. V) que chega a igualar as responsabilidades daqueles que recebem informações:
Art. 9º O compartilhamento de informação de adimplemento só é permitido se autorizado expressamente pelo cadastrado, por meio de assinatura em instrumento específico ou em cláusula apartada. § 1º O gestor que receber informações por meio de compartilhamento equipara-se, para todos os efeitos desta Lei, ao gestor que anotou originariamente a informação, inclusive quanto à responsabilidade solidária por eventuais prejuízos causados e ao dever de receber e processar impugnação e realizar retificações.
Não há disposição similar na Lei do Marco Civil da Internet, encontrando-se no Código de Defesa do Consumidor previsão de aviso quando da abertura de qualquer cadastro (art. 43, §2º), regra que tem sido largamente interpretada e aplicada quanto às chamadas listas de inadimplentes. Não há, por outro lado, no ordenamento nacional, qualquer disposição proibindo o compartilhamento, daí ser possível afirmar que a sua realização não é, por si só, um ato ilegal, muito embora deva ser resguardado pela devida informação ao consumidor.
O que se encontra nos termos de uso, no entanto, é outra opção. Mais uma vez expressões genéricas são utilizadas, não havendo informação precisa quanto às circunstâncias ou para qual finalidade os dados poderão ser compartilhados ou mesmo quem, de uma forma geral, poderá recebe-los. A Apple diz apenas que: “Eventualmente, determinadas informações pessoais podem ser disponibilizadas a parceiros estratégicos que trabalham com a Apple para fornecer produtos e serviços que ajudam a Apple na comercialização com os clientes.” O Dropbox, por sua vez, faz referência apenas a empresas terceirizadas que lhe prestem serviço. A despeito de prever como regra a vedação ao compartilhamento das informações do usuário, o WhatsApp estabelece exceções, entre as quais:
Poderemos compartilhar suas informações pessoais com prestadores de serviços, quando entendermos que é razoavelmente necessário para realizar, melhorar ou manter o serviço WhatsApp.
Os documentos, como se vê, fornecem informações destituídas de um grau mínimo de precisão e objetividade, desenhando-se um cenário onde o usuário não tem qualquer meio para avaliar conveniência ou risco do compartilhamento, porquanto as designações utilizadas nos termos são pontudas por expressões com alto grau de subjetividade, como o Yahoo! que afirma compartilhar informações apenas com “parceiros nos quais confiamos”.
Há de se considerar que as disposições constantes dos termos, neste particular, não estão oferecendo ao usuário informações capazes de proporcionar um livre convencimento informado, ou seja, não existem ali para a proteção do consumidor. As disposições dos termos, na verdade, traduzem uma autorização, geral e genérica, uma espécie de cláusula-mandato, para que os serviços possam compartilhar os dados dos usuários.
Anote-se, por fim, que a existência, como faz referência a Yahoo! de acordos de confidencialidade e proibições expressas quanto ao compartilhamento surtem pouco efeito prático. É que o próprio formato digital, como se viu, facilita a cópia e torna irrelevantes os seus custos, constituindo um grande incentivo para que sejam elas duplicadas nas mãos de quem quer que se encontrem, mesmo que a pretexto de segurança. Por outro lado, o descumprimento de tais obrigações pode até acarretar sanções no plano jurídico, mas estas possivelmente ficarão adstritas ao âmbito contratual da empresa com o terceiro.
Há razões de sobra para ser assim. Como estão postos os termos e considerando as disposições legais existentes, dificilmente o usuário saberá quando, como e com quem os seus dados estão sendo compartilhados. Caberia ao fornecedor dos serviços informar a existência de eventual desvio. Contudo, a possibilidade de ser responsabilizado em razão da solidariedade imposta pelo Código de Defesa do Consumidor servirá como inegável estímulo para que se omita. O que se tem, a partir desta moldura fática, é a possibilidade dos dados serem copiados e distribuídos sem o usuário sequer tomar conhecimento.
Outro ponto merecedor de atenção diz respeito ao compartilhamento com entidades governamentais. Obviamente, tal compartilhamento não necessitaria sequer de previsão no termo de licença uma vez que, no regime constitucional e legal vigente, tal deverá se dar mediante ordem judicial, é dizer, havendo determinação judicial a empresa que mantém os dados é obrigada a entrega-los independente do que fora convencionado com a parte. Nada obstante, todos os termos trazem em seu texto previsão neste sentido. Não o fazem certamente para alertar de uma circunstância que já é prevista em lei e a respeito da qual o usuário pouco ou nada tem a aduzir em desfavor do fornecedor da aplicação ou serviço.
Na verdade, as expressões são utilizadas buscando alargar as disposições para além da hipótese de determinação judicial, estendendo-as a outras autoridades
estatais e, por vezes, sujeitando o tema a um juízo de valor da própria empresa. A Apple, neste particular, afirma:
Pode ser necessário que a Apple revele suas informações pessoais, seja por lei, processo legal, litígio e/ou solicitações de autoridades públicas e governamentais dentro ou fora de seu país de residência. Também podemos revelar informações sobre você se determinarmos que, para propósitos de segurança nacional, imposição da lei ou outros problemas de importância pública, a revelação será necessária ou apropriada.
A Microsoft também afirma que os dados poderão ser fornecidos quando a empresa de boa-fé acreditar que é necessário para “cumprir a lei ou responder a processos legais instaurados por autoridades competentes, incluindo os provenientes das autoridades ou de agências governamentais”. A Yahoo! veicula disposição bastante restritiva, referindo-se expressamente “a ordens judiciais nos termos da legislação em vigor”. Entretanto, no item seguinte do mesmo texto prevê a possibilidade de compartilhamento:
Quando acreditarmos de boa-fé ser necessário compartilhar informações com o objetivo de investigar, impedir ou adotar medidas relativas a atividades ilegais, suspeitas de fraude, situações envolvendo possíveis ameaças à segurança física de qualquer pessoa, violações dos Termos do Serviço do Yahoo e políticas aplicáveis ou com base em procedimentos especificados e autorizados pela lei.
Como no direito nacional não há outra forma de acesso a dados particulares que não seja mediante determinação judicial, o que estes textos almejam, no entanto, é legitimar o compartilhamento de dados em circunstâncias como as encontradas nos Estados Unidos da América, onde o USA Patriot Act e a FISA8 afastaram, sob
determinadas circunstâncias, a exigência de mandado judicial para interceptação de comunicações e dados. A segunda norma é especialmente dirigida a estrangeiros e trabalha com ordens secretas. Sob a égide destas normas foi realizada uma larga captura de dados nos servidores de diversas empresas, apontadas como colaboradoras. Tomando por base informações vazadas por Snowden, Harding (2014, p. 163) traça a seguinte cronologia:
Um slide enfatizava as datas em que empresas de tecnologia do Vale do Silício haviam assumido o compromisso de se tornar parceiras corporativas da agência de espionagem. A primeira a fornecer material
8 USA Patriot Act representa um acr̂nimo para a expressão, em inglês, “Uniting and Strengthening
America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act”, enquanto FISA significa “Foreign Intelligence Surveillance Act”
ao PRISM foi a Microsoft. A data era 11 de setembro de 2007. Exatos seis anos após o 11 de Setembro. Em seguida, vieram Yahoo (março de 2008) e Google (janeiro de 2009). Depois, Facebook (junho de 2009), PalTalk (dezembro de 2009), YouTube (setembro de 2010), Skype (fevereiro de 2011) e AOL (março de 2011). Por razões desconhecidas, a Apple resistiu por cinco anos. Foi a última grande empresa de tecnologia a se inscrever. Ela se juntou em outubro de 2012 – Exatamente um ano após a morte de Jobs. Várias empresas negaram o compartilhamento de dados, mas a sua obtenção foi admitida pelo próprio governo americano (SAVAGE et al, 2013), suspeitando-se que a captura tenha envolvido cerca de dois bilhões de dados de brasileiros (O GLOBO, 2013, online).
O que se pode extrair de tal cenário é a disposição constante da licença sendo utilizada como uma tentativa de legitimar procedimentos que, frente ao sistema jurídico nacional, podem ensejar as mais variadas reações legais.
Outro ponto relevante nesta temática tem a ver com a transferência dos dados em razão de fusões ou aquisições. Considerando serem os dados um dos ativos mais valiosos destas empresas, a sua transferência em caso de aquisições é natural, muito embora isto tenha implicações para o usuário, na medida em que será outra empresa a obter seus dados. O Dropbox prevê expressamente que:
Em caso de reorganização, fusão, aquisição ou venda de nossos ativos, suas informações podem ser transferidas como parte do acordo. Você será notificado (enviaremos uma mensagem para o e- mail associado à sua conta, por exemplo) sobre qualquer mudança desse tipo e explicaremos quais as opções disponíveis.
Muito embora se fale em notificar o usuário, as opções disponíveis, entre as quais a exclusão dos dados, não são apresentadas desde logo, daí não haver garantia de que existirá caso a empresa mude de mãos. O Twitter prevê a transferência dos dados, mas não há qualquer informação quanto a uma eventual notificação do usuário. O WhatsApp, por sua vez, alerta expressamente para a possibilidade de uma transferência, em determinadas circunstâncias, não ser realizada sequer sob a gestão, mas por força de determinações em processos como falência.