Grupos no Facebook e proteção de dados

Por

Qual a relação entre grupos no Facebook e proteção de dados? As responsabilidades decorrentes das legislações de proteção de dados se aplicam também em grupos fechados?

Segundo a Autoridade de Proteção de Dados da Bélgica, a resposta é afirmativa.

Na sua Decisão 59/2022 de 19 de abril de 2022, a Autoridade analisou uma reclamação feita em 2020 em relação a um grupo privado no Facebook. Os reclamantes indicaram que eram publicadas mensagens referentes a colegas de trabalho e também de passageiros de trens, geralmente de maneira pejorativa (os membros do grupo são (ex-)funcionários das ferrovias belgas). Em síntese, a Autoridade indicou que:

  1. Os três administradores determinam os objetivos do grupo, podem monitorar o cumprimento desses objetivos, podem excluir ou permitir mensagens inadequadas e podem adicionar ou excluir membros. Portanto, os três administradores do grupo determinam os propósitos e meios do grupo e devem, portanto, ser identificados como os controladores de dados no presente caso.
  2. Os controladores são pessoas privadas e que as operações de tratamento ocorrem em um contexto privado, mas relacionado ao trabalho. A gestão do grupo não faz parte das funções profissionais dos controladores, mas está inextricavelmente ligada às suas atividades profissionais. Afinal, o objetivo do grupo é publicar mensagens relacionadas ao exercício de sua profissão (tais como troca de informações, mudanças de serviço, anedotas sobre o trabalho, etc.) e os membros são (ex-)funcionários. Portanto, não há dúvidas neste caso de que o tratamento não pode ser visto como uma atividade puramente pessoal ou doméstica.
  3. As operações de tratamento em questão não são necessárias para atingir um dos propósitos listados no grupo, nem o reclamante deu consentimento para as operações de tratamento, o que constitui uma violação do Artigo 5(1)(a) do RGPD.
  4. Os dados pessoais do reclamante não haviam sido utilizados para os propósitos do grupo do Facebook, conforme descrito na descrição do grupo (“ir em serviço, organizar um evento agradável (sem coisas comerciais), se você experimentou algo agradável ao longo do caminho, ou seja, apenas coisas relacionadas ao trabalho”). Comentários negativos sobre o reclamante como colega (ou sobre outras pessoas envolvidas) não estão de acordo com os objetivos do grupo e, portanto, constituem uma violação dos requisitos estabelecidos no Artigo 5.1(b) do RGPD.
  5. Os comentários sobre colegas ou fotos de viajantes, zombadores ou não, não são suficientes e relevantes para os propósitos do grupo acima mencionados. Há, portanto, uma violação do Artigo 5.1(c) do RGPD.
  6. Os controladores não têm as medidas técnicas e organizacionais em vigor para garantir o cumprimento dos princípios básicos estabelecidos no Artigo 5º do RGPD e são incapazes de demonstrar isto.
  7. Em vista do acima exposto, concluiu-se que os controladores não cumprem com o princípio da responsabilização e prestação de contas do Artigo 5.2 em conjunto com o Artigo 24.1 do RGPD.

Após a análise, a Autoridade emitiu uma repreensão e uma advertência aos controladores, indicando que as mensagens nos grupos do Facebook que não cumprem os princípios fundamentais da proteção de dados pessoais contidos no Artigo 5º do RGPD constituem uma violação ao Regulamento. Além disso, o fato de dois administradores se retirarem do gerenciamento do grupo não significa que eles não estavam mais agindo como controladores durante o período em que os fatos que deram origem à reclamação neste caso ocorreram.

Como se pode perceber, é essencial a definição das responsabilidades dos controladores – mesmo em atividades aparentemente “simples” – considerando-se os impactos que estas atividades podem trazer tanto para os titulares quanto para os próprios controladores. Isto, é claro, sem desconsiderar a aplicação básica e basilar dos princípios das legislações de proteção de dados – essencial para a concretização do privacy by design.

E como fica a questão dos grupos no Facebook e proteção de dados pela LGPD? Você acredita ser possível aplicar os argumentos acima de maneira análoga a grupos do Facebook no Brasil? Deixe abaixo seus comentários!