Por Emerson Alecrim
O Google é a primeira grande “vítima” do GDPR, o rigoroso conjunto de regras sobre privacidade que entrou em vigor na União Europeia em maio do ano passado: a companhia foi multada em € 50 milhões por reguladores franceses sob acusação de não explicar de forma clara como informações de usuários são usadas e não exigir consentimento explícito para acesso a esses dados.
Essa não é a primeira multa baseada no GDPR, mas é, até agora, a maior. A CNIL, agência francesa de proteção de dados responsável pela punição, baseou a decisão nas denúncias feitas por duas ONGs: None Of Your Business (NOYB) e La Quadrature du Net (LQDN).
Após as investigações, a CNIL concluiu que o Google não cumpriu com o princípio da transparência do GDPR: detalhes como propósito para a coleta de dados e período de armazenamento de informações até existem, mas estão distribuídos em muitos documentos, obrigando o usuário a acessar vários links para encontrá-los.
Além disso, esses detalhes foram propositalmente redigidos de modo obscuro, no entendimento da CNIL. O GDPR exige uso de linguagem clara, concisa e transparente para que qualquer pessoa possa compreender como seus dados são tratados.
Outra violação apontada pela CNIL está no aspecto do consentimento. Essa “diluição” das informações sobre tratamentos de dados acaba fazendo o usuário concordar com aspectos pouco claros quando, na verdade, o GDPR exige que o serviço faça solicitações específicas e inequívocas de consentimento.
Um exemplo está na autorização para exibição de anúncios personalizados. O Google pergunta se o usuário concorda em receber esse tipo de anúncio quando um smartphone com Android está sendo configurado, mas não deixa claro que essa solicitação diz respeito a vários serviços distintos, como YouTube e Google Maps.
Outro exemplo é o uso de uma abordagem que pode levar ao erro: se o usuário quiser desautorizar a exibição de anúncios personalizados, só poderá fazê-lo se clicar no link de “mais opções”. Tem mais: a caixa de consentimento vem previamente marcada, prática que o GDPR também proíbe.
Procurado para comentar o assunto, o Google disse apenas estar comprometido em atender aos requisitos do GDPR e que ainda está estudando os próximos passos relacionados ao assunto, o que sugere que a empresa ainda não decidiu se irá recorrer da multa.
Poderia ter sido pior. Os € 50 milhões não são inexpressivos, mas o GDPR prevê multa de até 4% do faturamento global da companhia, o que, no caso do Google, poderia implicar em punição bilionária — só no último trimestre de 2018, a empresa registrou receita de quase US$ 34 bilhões.
Com informações: The Verge, TechCrunch.
Fonte: Tecnoblog, em 21.01.2019.