Quando uma pessoa acessa um site ou uma App a partir da sua conta numa rede social, inicia-se um processo de compartilhamento de suas informações entre o site e a rede social, inclusive informações decorrentes da ativação de botões como “like”, “compartilhar”, além de dados inseridos para autenticação, realizar uma compra ou para se relacionar com alguém. Todas estes dados pessoais passam a ser tratados pelos sites que os recebem e pela plataforma da rede social de diversas formas e para variados fins.  

Para se utilizar informação de caráter pessoal é necessário, antes, encontrar fundamento na Lei Geral de Proteção de Dados - LGPD (Lei nº 13.709/2018) - no art. 7º estão as bases legais para uso de dados comuns e, no art. 11, para dados sensíveis: dados relativos a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, à saúde ou à vida sexual, dado genético ou biométrico.

Os dados sensíveis são informações que geram riscos significativos para os direitos e liberdades do seu titular, porque podem sujeitá-lo a tratamento discriminatório. Em princípio, é vedado o tratamento destes dados, exceto se o próprio titular o consentir. Na ausência do consentimento válido do titular, o tratamento estará justificado se ele se revelar indispensável para alguma das finalidades elencadas no inciso II do art. 11, como para o cumprimento de obrigação legal, o exercício regular de direitos e outras.

A questão que aqui se coloca diz respeito às situações em que os sites ou App visitados pelo usuário da rede social estiverem relacionados a uma ou várias categorias de dados pessoais sensíveis, para cujo tratamento a LGPD exige, em princípio, o consentimento do titular. 

Estão em causa, por exemplo, hipóteses em que o usuário utiliza App de relacionamentos (de que se extrai sua orientação sexual), sites de partidos políticos, religiosos, relacionados com a saúde e outros, inserindo seus dados de autenticação, realizando consultas, compras, ativando botões de seleção, como “like” ou “compartilhar”, e a rede social, através de interfaces integradas nas páginas visitadas e nas App, ou do uso de cookies instalados no dispositivo do usuário ou outra tecnologia de armazenagem semelhante, coleta os dados decorrentes do acesso e da navegação nos sites ou App, promove o cruzamento destes dados com os dados da conta do usuário na rede social e os utiliza para publicidade personalizada e outros fins. 

Da parte da plataforma, há ao menos três operações de tratamento de dados para indicação da base legal: coleta, cruzamento dos dados e utilização. Do seu lado, o site ou App interconectada com a rede social, seja o Facebook ou outra, deve indicar a base legal para permitir o acesso da rede social aos dados inseridos pelo usuário ou resultantes da sua navegação.

Questiona-se então se o usuário, ao acionar os botões “like” ou “compartilhar”, ou se autenticar num site ou App com as credenciais de acesso da rede social, não estaria “tornando manifestamente públicos os seus dados”, hipótese em que a LGPD dispensaria o seu consentimento (art. 7º, §4º).

Sobre a matéria, merece destaque recente julgado do Tribunal de Justiça da União Europeia (TJUE), numa ação judicial proposta pela META, uma vez que as suas decisões servem de baliza para interpretação e aplicação da LGPD, pelo fato do regime de proteção de dados brasileiro ser baseado no modelo europeu.

Entendeu o TJUE que a dispensa do consentimento, por se tratar de exceção à regra geral da vedação do tratamento de dados sensíveis, deve ser interpretada segundo o princípio jurídico de que as exceções se interpretam restritivamente. 

Mas ponderou que a interação que se dá entre usuário, site ou App e a rede social pode ter publicidade variável, passível de configuração individual pelo titular dos dados. Cumpre então verificar se o usuário tem a possibilidade de decidir, com conhecimento de causa, por tornar acessíveis ao grande público tanto os dados por ele inseridos, quanto os dados resultantes da ativação dos botões de seleção, ou ao contrário, se tem ele a possibilidade de restringir o acesso a um número mais ou menos limitado de pessoas selecionadas.

Se os usuários tiverem efetivamente estas opções, os dados voluntariamente inseridos no site ou App, ou decorrentes da ativação dos botões de seleção integrados, poderão ser considerados tornados por ele manifestamente públicos, no caso do usuário ter feito claramente a escolha de tornar os dados acessíveis a um número ilimitado de pessoas.

Caso contrário, se a possibilidade de configuração não for ofertada, para se considerar que os usuários tornaram os dados manifestamente públicos, eles devem ter consentido expressamente que tais dados sejam visualizados por qualquer pessoa que tenha acesso ao site ou aplicativo, com base em informações fornecidas pelo site ou App antes da inserção dos dados ou da ativação dos botões. 

Conclui-se, assim, que os sites, e-commerce, aplicativos, cujo conteúdo tenha relação com as categorias de dados sensíveis, somente podem compartilhar os dados dos seus usuários e clientes com o Facebook, ou outro parceiro, mediante prévio, expresso, livre, específico, inequívoco e informado consentimento do respectivo usuário ou cliente, ou franqueando a possibilidade do usuário configurar individualmente os dados que deseja tornar públicos, hipótese que dispensa o consentimento, mas não afasta as exigências de indicação de outra base legal (que não seja o legítimo interesse) e observância dos princípios da proteção de dados e dos direitos dos titulares.