Busca sem resultado
jusbrasil.com.br
23 de Maio de 2024

Análise Jurídica sobre a adequação do serviço Dropbox à legislação brasileira sobre privacidade e proteção de dados pessoais

Publicado por Rodolfo Roic
há 7 anos

DIREITO DIGITAL

João Pedro Gargantini Grapella Leite

Rodolfo Roic

Vitor Siqueira Ricardi

SÃO PAULO

2017

Resumo

Este estudo tem por objetivo analisar, sob o ponto de vista jurídico, os aspectos e possíveis riscos envolvidos na atuação do provedor de aplicação Dropbox, no que diz respeito a proteção dos dados pessoais e a privacidade do usuário.

Analisando a Política de Privacidade, os Termos de Uso e o Contrato Social do Dropbox, verifica-se o compartilhamento de dados com empresas não pormenorizadas, e nem mesmo identificadas; retenção de dados por mais tempo que o permitido e carecimento de explicações quanto a finalidade da coleta de dados.

Conclui-se que, embora o Dropbox utilize uma linguagem clara e simples, é repleto de omissões e termos genéricos em suas prestações de serviços. Há a prática de compartilhamento desautorizado e procedimentos abusivos de retenção de dados pessoais.

Deverá, o Dropbox, ser mais detalhista em seus termos e políticas, exigir tão somente os dados pessoais necessários e justificar, minuciosamente, a necessidade e a finalidade de sua coleta. Vale dizer que a retenção dos dados deverá ser evitada em caso de desnecessidade.

1 - Descrição do modelo de negócio:

O Dropbox é um provedor de aplicação que utiliza do modelo de computação em nuvem para o armazenamento e partilha de arquivos. O serviço de nuvem cria uma rede que possibilita ao usuário acessar seus arquivos hospedados de qualquer forma e por meio de qualquer dispositivo.

O modelo de negócios do Dropbox segue a realidade da grande maioria das empresas provedoras de aplicação na Internet, que pratica a coleta de dados pessoais de seus usuários, a fim de converter as informações comportamentais monetizadas em receita, proveniente de exploração publicitária, visto que a efetividade dos anúncios depende de uma análise relativa ao que os usuários acessam na rede. Ademais, a coleta de dados contribui à produção de provas, necessárias para a solução de conflitos extra e judiciais.

2 - Aspectos jurídicos

a) Legislação geral:

A análise dos termos de uso do aplicativo permite auferir que é necessário aplicar ao parecer sobre o Dropbox as normas dispostas na Constituição Federal (“CF”), no Código Civil (“CC”), na Lei de Introdução do Direito Brasileiro (“LINDB”), Código de Defesa do Consumidor (“CDC”), no Marco Civil da Internet (“MCI”) e seu respectivo Decreto Regulamentador nº 8.771/2016. A aplicação do artigo 5º, incisos X e XI da CF1, mostra-se imprescindível no que tange à inviolabilidade do direito à intimidade e ao sigilo de dados. O CC e a LINDB, aplicam, respectivamente, seus artigos 1.137 e 172, quanto à primazia da soberania nacional e das leis brasileiras no que diz respeito aos atos praticados no Brasil. Ademais, a LINDB é utilizada para qualificar e reger a legislação aplicável quando de ordenamentos jurídicos diferentes (artigo 9º) 3. O CDC, por sua vez, mostra-se aplicável quanto à clareza das cláusulas nos contratos de adesão (artigo 54, parágrafo 3º) 4e na previsão de cláusulas abusivas (artigo 51, II e XV) 5. Já o MCI, é aplicável no que tange aos direitos e garantias do usuário (artigo 7º, VII, VIII e artigo 16, II) 6, aplicabilidade do CDC (artigo 7º) 7, expressa garantia de do direito à privacidade e à liberdade de expressão nas comunicações (artigo 8º) 8, procedimentos de segurança e sigilo dos dados (artigo 10) 9e quanto à cláusula de jurisdição (artigo 11, parágrafo 2º). Por fim, o Decreto 8.771/2016, aplica-se quanto à definição de dados pessoais e a qualificação dos procedimentos de segurança.

b) Aspectos legais relacionados à proteção da privacidade e dos dados pessoais:

Com relação aos termos de serviço, a “lei aplicável” pelo provedor Dropbox, não viola o ordenamento jurídico brasileiro, visto que o artigo 9º, § 2º da LINDB dispõe que para regerem as obrigações, serão obedecidas as leis do local onde se deu o fato, e no caso do Dropbox, como a residência do proponente é fixada no estado da Califórnia – EUA, torna-se necessária a aplicação da lei americana na redação dos termos contratuais, desde que não violem a soberania nacional brasileira, o que foi obedecido pelo provedor, todavia, quanto aos demais aspectos que configuram a relação entre as partes, será aplicada a lei brasileira, obedecendo os dispostos no artigo 11 do MCI, e, nesse sentido, constata-se violações aos dispositivos legais pátrios.

No que tange à proteção de privacidade e dos dados pessoais, necessário ressaltar o Direito Autoral. O Dropbox tem atuação marcante e definitiva quanto à proteção dos direitos autorais. No entanto, o MCI, em seu artigo 19, dispõe que o provedor de aplicação, após ordem judicial, deverá retirar de circulação os conteúdos que ferirem o direito autoral, caso contrário, será responsabilizado civilmente. Porém, os termos de uso do Dropbox, não mencionam a referida ordem judicial, apenas relatam que após identificar o conteúdo, com base nas alegações de violação de direito autoral, o Dropbox irá removê-lo imediatamente sem que haja análise pelo judiciário. Tendo, dessa forma, o aplicativo realizando manobra abusiva em relação ao controle da utilização e circulação de informações utilizada por seus usuários.

A rescisão contratual, por sua vez, não se encontra em conformidade com o disposto no MCI (artigo 7º, X), uma vez que, segundo o disposto, deve haver a exclusão definitiva dos dados pessoais que fornecidos a determinada aplicação de internet. No entanto, após tal rescisão, o Dropbox menciona que poderá excluir os dados. Na verdade, de acordo com o MCI, deverá ser excluído definitivamente os dados pessoais que tiverem sidos fornecidos, não sendo tal disposição uma faculdade do provedor de aplicação.

Há, no Dropbox, a opção do usuário aumentar o espaço de sua conta mediante pagamento, criando, portanto, uma relação de consumo e de fornecimento de serviços na internet, que, obrigatoriamente, deverá respeitar o Código de Defesa do Consumidor (art. 7º, XIII, MCI). A Empresa não se enquadra na regularidade no que tange à sua cláusula de não reembolsonos termos de uso em casos de cancelamento de contas, uma vez que, pelo CDC, é nula de pleno a cláusula que estabelece a subtração da possibilidade de reembolso de quantias já pagas (art. 51, II, CDC).

Vale ressaltar, que os termos de serviço apresentam informações gerais quanto à data da publicação e quem são as partes do contrato, além de explicar simploriamente do que se trata a Política de Uso Aceitável e a Política de Privacidade, deixando claro ao usuário que, ao utilizar os serviços do Dropbox, está concordando com o exposto no contrato. Devido sua generalidade, atende apenas a essência do exposto no art. 7º do MCI, uma vez que procura abordar os princípios de modo geral.

Outra obscuridade presente nos termos de serviço é possível de ser observada no tópico em que o Dropbox trata de sua limitação de responsabilidade e elenca diversas situações das quais em nenhuma circunstância o próprio Dropbox ou suas filiais serão responsabilizadas, como por exemplo, perda de uso e dados. Ocorre que, ao final do disposto, informa que alguns locais não permitem os tipos de limitações expostos, e que talvez essas limitações não se apliquem ao usuário, sem ao menos elencar quais os locais que admitem ou não essa restrição. Assim, possibilita uma lacuna nos termos de serviço, deixando totalmente impreciso e incerto se essa limitação de responsabilidade decai sobre o usuário ou não. Dessa forma, afronta diretamente ao artigo 7º, VI do MCI, visto que se trata de um direito e garantia dos usuários, informações claras e completas nos termos de serviço referentes às práticas de gerenciamento da rede.

Quanto a política de privacidade, o site do provedor de aplicações enumera os dados pessoais coletados pelo aplicativo, que possuem sua monetização permitida, em conformidade com o art. º 10, caput, do MCI. Em suma, segundo definição do art. º 14, I do Decreto 8.771/2016, os dados pessoais se caracterizam por possibilitarem a identificação de uma pessoa, e, segundo o conteúdo elencado, eles não são excessivos em relação à finalidade para qual o usuário consentiu o que seria vedado pelo art. º 16, II do MCI. Todavia, o disposto também carece de explicações mais específicas acerca da finalidade da coleta de dados, elucidações que são exigíveis pelo art. º 7, VIII, a, do MCI, e seriam necessárias para o consentimento livre, expresso e informado previsto no art. º 7, IX do MCI.

A maneira pela qual a coleta de dados pessoais é feita, não está em conformidade com o que foi recentemente regulamentado pelo Decreto 8.771/2016, uma vez que, dentre outras informações, os provedores de aplicação na rede devem reter a menor quantidade possível de dados pessoais, devendo ser excluídos tão logo a finalidade pela qual eles foram coletados foi atingida ou findo o prazo para cumprimento de obrigação legal, de acordo com o art. 13, § 2º do dispositivo legal, o que vai de encontro com a política de privacidade do Dropbox que se compromete a excluir as informações coletadas, tão somente a relação entre as partes foi encerrada, e viola o princípio da limitação de propósito no uso de dados pessoais, previsto no MCI.

Relativamente à segurança dos dados, o apêndice 2 do contrato empresarial e a política de privacidade se complementam para esclarecer ao usuário as maneiras para garantir o sigilo e proteção dos dados pessoais coletados, como a utilização de criptografia, central de dados e procedimentos internos para garantir que os funcionários do provedor estejam em conformidade com o art. 13 do Decreto 8.771/2016.

A política de privacidade e central de ajuda do Dropbox esclarecem a possibilidade da não aceitação do contrato como um todo, podendo o usuário restringir a utilização de tecnologias cookies e tags de pixel, procedimentos que armazenam dados quando um site é visitado para informar hábitos de navegação ao servidor, demonstrando que isso pode impor limites no uso dos serviços do Dropbox, esclarecimento essencial para o consentimento do usuário, já mencionado anteriormente.

A política do provedor de aplicação informa que os cookies e outras tecnologias similares são utilizados para melhorar, promover e proteger os serviços do Dropbox, todavia, a partir da instalação do aplicativo Privacy Badger, cuja função se funda em bloquear anúncios publicitários e coletadores indesejáveis de dados, constata-se a presença de cookies provenientes da aplicação gstatic (conforme documento anexo), a qual rastreia dados para criar um número extenso de anúncios, podendo promover a proliferação de vírus e a consequente piora no desempenho da máquina conectada a rede.

A presença do gstatic viola a disposição do art. 57, § 3º do CDC a qual exige que a redação dos contratos de adesão deve ser feita em termos claros, o que não foi observado pelo Dropbox que omitiu a consequência maléfica que os cookies instalados podem trazer ao usuário que utiliza de seus serviços e viola o art. 16, I, do MCI, que proíbe a guarda de dados de registros de acesso a outras aplicações de internet sem o consentimento de quem usa os serviços do provedor.

Ademais, verifica-se, também, a presença de cookies da Google, de natureza apis, cuja função se funda em integrar os dados coletados com os serviços dessa empresa, como busca, tradutor e mapas. Todavia, isso também não é esclarecido ao usuário, que concorda com a política de privacidade acreditando estar somente sujeito a coleta e compartilhamento de dados com o que é descrito no setor “com quem compartilhamos”, onde a Google não é mencionada.

As políticas de privacidade, ao tratarem sobre o compartilhamento dos dados do usuário (“Com quem compartilhamos”), violam não apenas o MCI como também o próprio contrato social do aplicativo. Inicialmente, vale ressaltar que o MCI prevê expressamente (artigo 7º, VII) a vedação ao compartilhamento de dados com terceiros, salvo mediante consentimento expresso, livre e informado do usuário, disposição que não é observada pelo Dropbox quando prevê o compartilhamento de dados com empresas terceirizadas ditas confiáveis, porém não pormenorizadas, violando a cláusula 2) e., a qual prevê que o usuário será cientificado quanto ao terceiro que solicitar seu dado pessoal, importante ressaltar que tal dispositivo deve ser interpretado conjuntamente com o artigo , XIII do MCI, que trata sobre a aplicação do CDC às relações de consumo realizadas na internet. Além disso, preza o aplicativo pela proteção aos dados do usuário, porém, prevê expressamente na cláusula 1) b. Do contrato social, que a referida proteção é feita sob a égide das leis da União Europeia, porém novamente inobservando a imposição legal da aplicação do CDC (artigo 7º, XIII MCI).

Já a informação acerca dos locais de coleta de dados (“Onde coletamos”) apresenta uma sensível violação ao MCI quando prevê a transmissão de informações do usuário pelo mundo inteiro, sem em momento algum requer a autorização do usuário para tal (artigo 7º, VII). Além disso, é questionável a necessidade da transmissão, armazenamento e processamento das informações do usuário pelo mundo todo, sem haver qualquer justificativa para a referida coleta de dados, indo de encontro com o disposto no artigo 7º, VIII e no artigo 16, II do MCI. Insta frisar conjuntamente, que o Dropbox é signatário do Safe Harbor, acordo entre os Estados Unidos da América e a União Europeia que regulamenta como as companhias norte-americanas irão exportar os dados pessoais dos cidadãos europeus, porém em momento algum preza sobre os cidadãos não europeus e como se dará sua proteção, não se atentando para a cláusula da jurisdição disposta no artigo 11, parágrafo 2º do MCI, o qual prevê o respeito à legislação brasileira a atos ocorridos em território nacional como ao próprio CDC (artigo 7º, XIII).

c) Mitigadores de riscos:

A fim de sanar as irregularidades contidas nas disposições “Com quem compartilhamos” e “Onde coletamos”, é necessário reformular as políticas de privacidade para que sejam individualizadas as empresas com as quais serão compartilhados os dados e fornecendo justificativa para esse compartilhamento, visando enquadrar-se nas normas do MCI, como também apresentar a possibilidade do usuário não aceitar as cláusulas, desde que informado de suas consequências. Além disso, deverá o aplicativo informar expressamente os procedimentos de segurança de forma didática e compreensível, de modo que o artigo 7º, XII do MCI não seja violado.

Em relação ao direito autoral, a retirada de circulação deveria ser feita por ordem judicial, mas não somente pelo provedor de aplicação, como prevê os termos de serviço do Dropbox. No que diz respeito às cláusulas contratuais, deverá o Dropbox retirar do seus termos de uso a cláusula que revoga de pleno qualquer hipótese de reembolso no cancelamento de contas. Problema recorrente na política de privacidade do Dropbox é a omissão de informações, que pela legislação brasileira, devem ser fornecidas ao usuário que utiliza os serviços dos provedores de aplicações em geral. No que tange a finalidade que enseja a coleta de dados pessoais, necessário seria explicar de maneira especificada o porquê das informações de natureza íntima e privada são rastreadas pelo site, ainda que a exigência desses dados para a utilização do Dropbox seja permitida pelo MCI e respectivo Decreto Regulamentador. A omissão de informações também se faz presente na instauração dos cookie gstatic e apis, que realiza práticas não previstas na política de uso do Dropbox e ferem, claramente, os dispositivos do art. 7º, VIII do MCI comprometendo o consentimento pleno do usuário. Dessa forma, para ambos os casos, o provedor precisa complementar sua política de privacidade e esclarecer melhor as razões que ensejam a coleta nos dois aspectos. Em razão de o Dropbox reter os dados pessoais por mais tempo do que é permitido pelo ordenamento brasileiro, verifica-se a necessidade de atualizar, também, o sistema de segurança do provedor para que exclua os dados pessoais coletados assim que a finalidade que ensejou o rastreamento deles cessar. No caso da limitação de responsabilidade, o Dropbox deverá indicar expressamente nos termos de serviço, quais são os locais em que os usuários estão sujeitos à tal limitação da empresa e quais não, para que fique claro para os usuários que estão prestes à assinar os termos dos serviços fornecidos toda a responsabilidade da empresa. Já no que tange à lei aplicável, deverá o Dropbox atentar-se a atualização normativa dos países nos quais presta o serviço, devendo, portanto, atualizar os termos contratuais visando acobertar os direitos adquiridos dos usuários.

Por fim, deverá o Dropbox recepcionar as normas de proteção de dados do país do usuário, como no caso, o próprio MCI e seu respectivo Decreto Regulamentador, o CDC e a LINDB.

3. Conclusão

O Dropbox, ao contrário dos tradicionais contratos digitais, apresenta uma linguagem simples, acessível ao usuário, sendo um avanço no que tange a esse assunto. Afinal, espera que o usuário, ao contratar o serviço, entenda o que está contratando, bem como seus riscos e consequências. Isso porque o MCI, no capítulo IV, ressalta a importância da acessibilidade para promover a inclusão, a qual não se limita apenas ao simples acesso ao provedor, mas envolve também o fato do usuário compreender com exatidão o que está acessando. Em suma, contratos digitais demasiadamente rebuscados, de difícil compreensão, tornam-se barreiras que ferem diretamente o princípio da acessibilidade.

Entretanto, é possível notar que essa busca incessante pela simplicidade prejudica outro aspecto essencial: o detalhamento. Desde o Direito do Consumidor, até os próprios contratos do Direito Civil, é imprescindível o detalhamento das cláusulas, as especificidades quanto ao serviço a ser prestado, falha recorrente nos termos do aplicativo, que, por essa razão, não está em conformidade com as normas brasileiras de regulamentação de uso da Internet, no que tange à proteção de dados pessoais e privacidade do usuário.

As omissões e presença de termos genéricos nas prestações de serviço do provedor Dropbox, não colaboram para que o usuário seja informado e consinta de maneira livre, problema que proporciona práticas de compartilhamento desautorizado e procedimentos de retenção abusivos de dados pessoais, o que compromete a efetividade, principalmente, do MCI, Decreto 8.771/2016 e CDC.

Dessa forma, para que o funcionamento do serviço esteja adequado, necessário seria uma atualização dos termos e políticas do provedor quanto à proteção de dados, que estão disponibilizadas ao público, em prol de um melhor clareamento do funcionamento dos serviços do Dropobox aos seus usuários.

4. Anexos

1 CF Art X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;

XI - a casa é asilo inviolável do indivíduo, ninguém nela podendo penetrar sem consentimento do morador, salvo em caso de flagrante delito ou desastre, ou para prestar socorro, ou, durante o dia, por determinação judicial;

2 CC art. 1.137 - A sociedade estrangeira autorizada a funcionar ficará sujeita às leis e aos tribunais brasileiros, quanto aos atos ou operações praticados no Brasil.

Parágrafo único. A sociedade estrangeira funcionará no território nacional com o nome que tiver em seu país de origem, podendo acrescentar as palavras "do Brasil" ou "para o Brasil".

LINDB art. 17 - As leis, atos e sentenças de outro país, bem como quaisquer declarações de vontade, não terão eficácia no Brasil, quando ofenderem a soberania nacional, a ordem pública e os bons costumes.

3 LINDB art 9 Para qualificar e reger as obrigações, aplicar-se-á a lei do país em que se constituírem.

§ 1o Destinando-se a obrigação a ser executada no Brasil e dependendo de forma essencial, será esta observada, admitidas as peculiaridades da lei estrangeira quanto aos requisitos extrínsecos do ato.

§ 2o A obrigação resultante do contrato reputa-se constituída no lugar em que residir o proponente.

4 CDC Art. 54. Contrato de adesão é aquele cujas cláusulas tenham sido aprovadas pela autoridade competente ou estabelecidas unilateralmente pelo fornecedor de produtos ou serviços, sem que o consumidor possa discutir ou modificar substancialmente seu conteúdo.

5 CDC Art. 51. São nulas de pleno direito, entre outras, as cláusulas contratuais relativas ao fornecimento de produtos e serviços que:

II - subtraiam ao consumidor a opção de reembolso da quantia já paga, nos casos previstos neste código;

XV - estejam em desacordo com o sistema de proteção ao consumidor.

6 MCI Art. 7o O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:

VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:

a) justifiquem sua coleta;

b) não sejam vedadas pela legislação; e

c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;

Art. 16. Na provisão de aplicações de internet, onerosa ou gratuita, é vedada a guarda:

II - de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular.

7 CDCArt. 7º Os direitos previstos neste código não excluem outros decorrentes de tratados ou convenções internacionais de que o Brasil seja signatário, da legislação interna ordinária, de regulamentos expedidos pelas autoridades administrativas competentes, bem como dos que derivem dos princípios gerais do direito, analogia, costumes e equidade.

8 CDC Art. Os produtos e serviços colocados no mercado de consumo não acarretarão riscos à saúde ou segurança dos consumidores, exceto os considerados normais e previsíveis em decorrência de sua natureza e fruição, obrigando-se os fornecedores, em qualquer hipótese, a dar as informações necessárias e adequadas a seu respeito.

9 CDC Art. 10. O fornecedor não poderá colocar no mercado de consumo produto ou serviço que sabe ou deveria saber apresentar alto grau de nocividade ou periculosidade à saúde ou segurança.

5. Bibliografia

https://www.dropbox.com/privacy

Código Civil de 2002

Decreto nº 8771 de 11/05/2016

Decreto-Lei nº 4.657 de 04/09/1942

Lei 8.078 de 11/09/1990

Lei 12.965 de 23/04/2014

  • Publicações1
  • Seguidores0
Detalhes da publicação
  • Tipo do documentoArtigo
  • Visualizações234
De onde vêm as informações do Jusbrasil?
Este conteúdo foi produzido e/ou disponibilizado por pessoas da Comunidade, que são responsáveis pelas respectivas opiniões. O Jusbrasil realiza a moderação do conteúdo de nossa Comunidade. Mesmo assim, caso entenda que o conteúdo deste artigo viole as Regras de Publicação, clique na opção "reportar" que o nosso time irá avaliar o relato e tomar as medidas cabíveis, se necessário. Conheça nossos Termos de uso e Regras de Publicação.
Disponível em: https://www.jusbrasil.com.br/artigos/analise-juridica-sobre-a-adequacao-do-servico-dropbox-a-legislacao-brasileira-sobre-privacidade-e-protecao-de-dados-pessoais/453948065

Informações relacionadas

Ena Varjão, Estudante
Artigoshá 7 anos

Análise Jurídica sobre a adequação do serviço Dropbox à legislação brasileira sobre privacidade e proteção de dados pessoais

Supremo Tribunal Federal
Jurisprudênciahá 3 anos

Supremo Tribunal Federal STF - RECLAMAÇÃO: Rcl 43007 DF XXXXX-48.2020.1.00.0000

Lucas Prates, Advogado
Artigoshá 4 anos

A contratação de serviços de cloud computing/data centers no exterior – Breve análise da tributação incidente nos referidos serviços.

0 Comentários

Faça um comentário construtivo para esse documento.

Não use muitas letras maiúsculas, isso denota "GRITAR" ;)