Agressividade ou Lealdade? O Dilema do Modelo “Consent or Pay”

Doutrina

Em novembro de 2023, os utilizadores europeus das redes sociais Facebook e Instagram foram confrontados com uma escolha quanto à utilização dos seus dados pessoais, para efeitos da sua utilização em publicidade comportamental pela gigante Meta. De repente, um consumidor utilizador destas redes sociais recebe uma notificação persistente, na qual a Meta informa que terá de optar entre continuar a “utilizar gratuitamente com anúncios”, ou pagar uma subscrição mensal de pelo menos € 9.99 para aceder a uma versão da rede social sem publicidade comportamental. Para a maior parte dos milhares de milhões de utilizadores esta foi uma escolha simples (e obrigatória), uma vez que não era fácil remover a notificação que bloqueava o acesso à página do utilizador na rede.

Contudo, as instituições europeias e a doutrina têm feito correr muita tinta quanto à legalidade deste modelo de negócio implementado pela Meta e comumente designado de “Consent or pay” ou “Pay or okay”. Esta novidade surgiu na sequência do Acórdão do Tribunal de Justiça da União Europeia Bundeskartellamt, no qual o Tribunal reconhece que os utilizadores têm o direito de recusar dar o seu consentimento de forma individual a operações de tratamento de dados que não sejam necessárias à execução do contrato, sem serem obrigados a abdicar da utilização do serviço digital no seu todo. Assim, é referido que o operador do serviço deve fornecer uma “alternativa equivalente não acompanhada de tais operações de tratamento de dados” e, se necessário, “mediante uma remuneração adequada” (Parágrafo 150).

Este tema está longe de estar encerrado, e encontra-se em discussão aberta à luz de vários ramos do direito da União, nomeadamente à luz do direito à proteção de dados pessoais, do direito da concorrência, e ainda do direito do consumo.

Após o lançamento do modelo de subscrição, o Bureau Européen des Unions de Consommateurs (doravante BEUC) emitiu um comunicado de imprensa expressando a sua convicção de que este modelo viola a Diretiva da Práticas Comercias Desleais, consubstanciando uma prática agressiva pelo exercício de influência indevida sobre o consumidor, e uma prática comercial enganosa por ação. Em julho de 2024, a Comissão Europeia e a CPC anunciaram o seguimento da ação e enviaram uma carta à Meta pedindo-lhe que proponha soluções até 1 de setembro de 2024 (as quais são, até ao momento, desconhecidas).

Cabe-nos aqui desenvolver o modelo “Consent or pay” pelo olhar da Diretiva das Práticas Comerciais Desleais, cingindo-se esta análise à validade dos argumentos que sustentam a agressividade desta prática.

Prática Comercial Agressiva

A Organização de Consumidores argumenta que o design da notificação consubstancia um “dark pattern”, que não possibilita que o consumidor utilizador aceda à sua página, contactos e fotos, e o pressiona a tomar uma decisão quanto ao modelo de subscrição.

De facto, uma configuração tendenciosa da interface da rede, se apresentada num contexto B2C, pode consubstanciar uma prática comercial enganosa, agressiva ou contrária à diligência profissional imposta pelo artigo 5.º da Diretiva. Tal dependerá do padrão em concreto, e se for suscetível de afetar o comportamento económico do consumidor médio (ou, tratando-se uma prática dirigida a um grupo de consumidores particularmente vulneráveis, o consumidor médio desse grupo).

No caso em análise, o argumento prende-se especificamente com a persistência da notificação da alteração do modelo de negócio, e a urgência que cria no consumidor para tomar uma decisão para poder aceder à sua conta. Ainda que este tipo de “subscrição forçada” não conste do elenco exemplificativo apresentado pela Comissão na UCPD Guidance, a verdade é que os elementos do caso concreto nos levam facilmente à conclusão de que tal prática é suscetível de distorcer o comportamento económico e transacional do consumidor médio.

Como nos indica o Acórdão Orange Polska[1] (C-628/17 [2019] ECLI:EU:C:2019:480), os Tribunais nacionais devem ter cautela ao qualificar uma prática comercial como o “exercício de influência indevida”, e na análise deste conceito as “informações prestadas antes da celebração de um contrato sobre as condições contratuais e as consequências da referida celebração são de importância fundamental para o consumidor” (para. 35).

Ora, por um lado, voltando ao nosso caso, a Meta anunciou no seu site oficial, a 30 de outubro de 2023, que iria “oferecer uma subscrição sem anúncios para os utilizadores na Europa”. Não obstante, o consumidor médio não é suficientemente diligente ao ponto de verificar este site, pelo que um email ou notificação prévia na própria interface da rede social teria mais oportunidades de retirar o elemento surpresa da notificação. É aqui que reside uma diferença factual muito relevante face ao Acórdão Orange Polska e que poderá por analogia, porventura, nortear uma decisão favorável ao BEUC.

Por outro lado, o formato binário e a persistência da notificação criam indubitavelmente uma pressão para o consumidor fazer a sua escolha de imediato, que penderá, tendencialmente, para a opção que afirma a continuação da utilização “gratuita”, mas com anúncios.

O formato e modo da notificação utilizado pela Meta é suscetível de prejudicar significativamente o período de ponderação do consumidor, nomeadamente, quanto ao impacto que cada opção tem nos seus dados pessoais e na sua carteira, levando-nos a tomar uma decisão de transação que, possivelmente, não tomaríamos em circunstâncias comerciais leais. Aliás, muitos de nós não lemos o texto até ao fim, com a pressa de verificar se tínhamos notificações novas.

Assim, a natureza da notificação, qualificável como “dark pattern”, e a persistência da mesma, intercedem a favor do argumento de que a Meta exerceu influência indevida sobre os seus utilizadores.

Ademais, não era evidente, para o consumidor médio, a opção de apagar a sua conta de utilizador ou de fazer o download dos seus dados pessoais, uma vez que tal não aparecia diretamente na notificação que bloqueava a página principal da rede.

É aqui que reside o fundamento da qualificação desta prática como “subscrição forçada”, como argumenta o BEUC.

Este elemento, por si só, justifica a invocação do Artigo 9(d) da Diretiva, consubstanciando um entrave desproporcional ao exercício pelo consumidor dos seus direitos, nomeadamente, a resolução do contrato ou troca de serviço.

Noutra perspetiva, esta é também uma clara violação do normativo do RGPD (Regime Geral de Proteção de Dados), segundo o qual retirar o consentimento deve ser tão fácil para o sujeito de dados, como dá-lo (Artigo 7(3), in fine). Esta violação de direito da proteção de dados pessoais deverá ser considerada e pesada na qualificação da prática comercial como agressiva, como o refere várias vezes a Comissão na UCPD Guidance.

Conclusão

A alteração do modelo de negócio da Meta per se não viola a Diretiva da Práticas Comerciais Desleais. A questão é mais profunda que isto, pois estão aqui essencialmente em conflito o direito fundamental à proteção dos dados pessoais (Artigo 8.º da Carta dos Direitos Fundamentais da União Europeia) e o direito fundamental à liberdade de empresa (Artigo 16.º da Carta dos Direitos Fundamentais da União Europeia) e de livre iniciativa económica (Artigo 61.º da Constituição da República Portuguesa). A análise que aqui se fez reporta-se sobretudo ao modo como o modelo foi apresentado aos consumidores europeus. E, nessa medida, a ponderação geral destes argumentos leva-nos a acompanhar a posição do BEUC quanto à qualificação como prática comercial desleal agressiva. No entanto, considerando a falta de precedente, não é inteiramente evidente se os Tribunais acompanharão este juízo.


[1] O caso em questão envolvia um consumidor que solicitou um contrato de telecomunicações por via do site da empresa de telecomunicações. Durante o processo de solicitação do contrato, o consumidor teve a possibilidade de consultar os detalhes da oferta e os contratos-padrão diretamente no site da empresa. Contudo, a celebração do contrato só seria possível na presença do funcionário da empresa, tendo o consumidor de declarar que tomou conhecimento dos documentos e que aceitava o seu conteúdo. O TJUE acabou por concluir que não se tratava de uma prática comercial agressiva por influência indevida, tendo, contudo, deixado orientações para a interpretação do conceito.

Sharenting, responsabilidade parental e o DSA: responsabilidade civil, conhecimento efetivo e risco sistémico

Doutrina

A prática de partilhar imagens ou vídeos de crianças nas redes sociais pelos pais (share + parenting) e outros familiares é conhecida como “sharenting”. Note-se que, apesar do caráter expressivo do termo, os pais não são os familiares que mais partilham fotografias de crianças. Os primos, os irmãos mais velhos e os tios e tias partilham mais frequentemente do que os avós e os pais das crianças. Esta é uma prática que põe em risco os direitos fundamentais dos menores nas redes sociais e à qual a resposta da lei e das autoridades públicas tem sido bastante limitada. Os processos de responsabilidade civil revelam-se excessivamente lentos, tendo em conta a importância do tempo quando se trata da exposição de menores no ambiente digital, e os meios de intervenção das autoridades (por exemplo, o artigo 84.º, n.º 2, da LOPDgdd, que obriga o Ministério Público a atuar) não foram até hoje utilizados.

Talvez o Regulamento dos Serviços Digitais (DSA) nos permita, enquanto consumidores e utilizadores de redes sociais, contribuir para a proteção dos menores contra estas práticas, especialmente quando aqueles que publicam estes conteúdos lucram com eles (influenciadores).

Existem poucos estudos sobre a incidência do sharenting entre os menores, um dos quais é o relatório EU Kids Online, que analisa comportamentos como os seguintes: (1) pais que publicam fotografias sem perguntar aos menores, (2) menores que pedem aos pais para eliminarem conteúdos, (3) menores que se sentem frustrados quando veem conteúdos publicados e (4) consequências negativas para a vida social dos menores em resultado da publicação de conteúdos. As respostas por país podem ser vistas no gráfico abaixo:

A maioria das situações de sharenting tende a envolver práticas sociais com uma influência relativamente baixa (o que não significa que não representem um risco para as crianças), que correspondem ao equivalente funcional no ambiente digital de mostrar fotografias ou vídeos de crianças a familiares e amigos: pessoas cujas contas nas redes sociais têm poucos seguidores, que são cuidadosas nas definições de privacidade das contas e que publicam conteúdos neutros (não íntimos ou humilhantes) sobre crianças. Podemos referir-nos a esta prática como “partilha social”. Se a conta atingir um certo nível de notoriedade, ou se o número de publicações exceder um número significativo, falamos de “oversharenting”, o que não é aceitável devido ao risco que representa para os direitos dos menores. No entanto, deve ter-se em conta que qualquer prática de sharenting comporta um risco para os menores, na medida em que, uma vez carregado o conteúdo na Internet, há pouco controlo sobre a sua difusão (e muito menos sobre a sua eliminação).

A prática de sharenting que representa o maior risco para os menores é o sharenting lucrativo, efetuado por aqueles conhecidos como “instamamis” ou “instapapis”: influenciadores cujo conteúdo está em grande parte (ou mesmo quase inteiramente) relacionado com menores. O sharenting lucrativo deve ser sempre considerado como “oversharenting”.

A prática do sharenting comporta riscos para os direitos fundamentais dos menores, que serão mais ou menos acentuados consoante o nível de notoriedade e o número de publicações. Concretamente, estão em risco o direito à honra (menores em situações domésticas que podem causar constrangimento), o direito à privacidade (menores em situações que gostariam de excluir do conhecimento geral, quer causem ou não constrangimento), o direito à própria imagem (em fotografias ou vídeos em que aparecem sem o seu consentimento) e o direito à proteção de dados (não só imagens ou vídeos, uma vez que a autoimagem também é um dado pessoal, mas também áudios ou textos em que são mencionados menores). A prática do sharenting é igualmente prejudicial ao direito ao livre desenvolvimento da personalidade e contrária ao interesse superior da criança. Por fim, a segurança dos menores também é posta em causa, como alertou o Tribunal da Relação de Évora em 2015, precisamente num caso de sharenting.

Todos estes direitos são reconhecidos tanto a nível internacional como nacional. Podemos citar, sem sermos exaustivos, o artigo 26.º da Constituição Portuguesa, segundo o qual “todos têm direito à identidade pessoal, ao desenvolvimento da personalidade, à capacidade civil, à cidadania, ao bom nome e reputação, à imagem, à palavra, à reserva da intimidade da vida privada e familiar e à proteção jurídica contra quaisquer formas de discriminação (nº 1) e “a lei estabelecerá garantias efetivas contra a obtenção e utilização abusivas, ou contrárias à dignidade humana, de informações relativas às pessoas e famílias” (nº 2), o artigo 18.º, segundo o qual “é garantido o direito à honra, à reserva da intimidade da vida privada e familiar e à imagem” (n.º 1), e “a lei limita a utilização da informática para garantir a honra e a reserva da intimidade da vida privada e familiar dos cidadãos e o pleno exercício dos seus direitos” (nº 4); e o artigo 10.º da Constituição espanhola (“a dignidade da pessoa humana, os direitos invioláveis que lhe são inerentes, o livre desenvolvimento da personalidade, o respeito pela lei e pelos direitos dos outros são a base da ordem política e da paz social”). O direito à proteção de dados é reconhecido no artigo 8.º da Carta dos Direitos Fundamentais da UE, juntamente com o direito ao respeito pela vida privada e familiar (artigo 7.º), bem como pelo RGPD e respetivas implementações nacionais.

O consentimento da criança é essencial para avaliar se algum dos direitos acima mencionados foi violado (outros, como a honra ou a privacidade, dependem não só do conteúdo, mas também das características do conteúdo e das repercussões sociais que este tem). No âmbito dos seus deveres de responsabilidade parental (art. 1877.º e 1878.º CC-PT; art. 154.º CC-ESP, art. 18.º Convenção sobre os Direitos da Criança de 1989), os pais devem proteger a identidade digital da criança e, se esta ainda não tiver capacidade jurídica para consentir, fazê-lo em seu nome. No entanto, o consentimento que os pais podem dar em nome dos filhos deve ser utilizado em benefício destes e não para pôr em risco os seus direitos. Os menores devem adquirir progressivamente a autonomia negocial (art. 127.º do CC-PT; art. 2.º da LOPJM), razão pela qual é por vezes difícil determinar o momento a partir do qual têm capacidade para consentir, consoante as circunstâncias. No que diz respeito ao sharenting, parece que a idade a partir da qual podem consentir (ou opor-se) é de 13 anos, que é a idade a partir da qual podem exprimir o seu consentimento em conformidade com o artigo 8.º do RGPD. Este limite mínimo de idade é seguido em Portugal (art. 16.º da Lei da Proteção de dados pessoais) e é aumentado em um ano em Espanha (art. 7.2 da LOPDgdd).

Tendo em conta os riscos que a prática do sharenting representa para os menores, vale a pena perguntar se existem elementos de defesa contra a mesma.

Podemos começar por dizer que é possível exigir a responsabilidade civil derivada da lesão de direitos de personalidade (arts. 70.º e 483.º CC-PT; art. 1902.º CC-ESP) associada a um exercício ilegítimo dos deveres de responsabilidade parental (art. 334.º CC-PT). É certo que a posição jurisprudencial tradicional da imunidade dos ilícitos familiares deve ser ultrapassada, como bem salienta Mariana García Duarte Marum (pp. 114-115), embora não seja menos verdade que um dos primeiros casos conhecidos de condenação por sharenting condena precisamente uma mãe por publicar posts sobre o quão mal a atitude do filho para com ela a fazia sentir (Sentença do Tribunal de Roma de 21 de dezembro de 2017). Do mesmo modo, pode ser invocada a responsabilidade civil pela violação do direito à proteção de dados, nos termos do art. 82.º do RGPD. Neste caso, colocar-se-ia a questão de saber se os pais devem ser considerados “responsáveis pelo tratamento de dados” nos termos do art. 82.º, n.º 1, do RGPD, ou apenas as próprias redes sociais. Neste último caso, parece razoável estabelecer como critério mínimo para a responsabilidade o facto de terem conhecimento efetivo da ilegalidade do conteúdo, uma questão que discutiremos mais adiante. Em todo o caso, é necessário provar a conduta negligente ou dolosa do arguido para que se possa invocar a responsabilidade civil, não sendo suficiente a mera violação do RGPD (Sentença do TJUE de 4 de maio de 2023).

As dúvidas que acabámos de apontar não são o maior obstáculo à proteção dos menores contra o sharenting através da responsabilidade civil (quer geral, quer por violação das normas de proteção de dados). De facto, em Portugal, Itália e Espanha já existem sentenças de tribunais regionais ou provinciais que condenam o sharenting. O maior problema é a lentidão (associada a qualquer procedimento judicial) com que os conteúdos seriam removidos e o consequente prejuízo que a sua permanência nas redes geraria para os menores. Neste contexto, é possível que o Regulamento dos Serviços Digitais, que entrou em vigor em fevereiro de 2024, possa proporcionar um meio mais ágil de bloquear e, se for caso disso, remover conteúdos relativos a menores nas redes sociais.

Nos termos do artigo 6.º do Regulamento Serviços Digitais (DSA), “em caso de prestação de um serviço da sociedade da informação que consista na armazenagem de informações prestadas por um destinatário do serviço (por exemplo, redes sociais), o prestador do serviço não é responsável pelas informações armazenadas a pedido de um destinatário do serviço, desde que: não tenha conhecimento efetivo da atividade ou conteúdo ilegal e, no que se refere a uma ação de indemnização por perdas e danos, não tenha conhecimento de factos ou de circunstâncias que evidenciem a ilegalidade da atividade ou do conteúdo” (art. 6.1.a). É considerado “conhecimento efetivo” aquelas notificações que “permitem a um prestador diligente de alojamento virtual identificar a ilegalidade da atividade ou das informações em causa sem um exame jurídico pormenorizado” (art. 16.3).

É importante notar que, para que a notificação obrigue a rede social a agir, deve ser suficientemente pormenorizada e precisa, em conformidade não só com o n.º 3 do artigo 16.º do DSA, mas também com o considerando 53, que estabelece que “os mecanismos de notificação e ação deverão permitir a apresentação de notificações que sejam suficientemente precisas e devidamente fundamentadas para permitir que o prestador de serviços de alojamento virtual em causa tome uma decisão informada e diligente, compatível com a liberdade de expressão e de informação, relativamente aos conteúdos a que se refere a notificação, em especial se esses conteúdos devem ser ou não considerados ilegais e devem ser suprimidos ou o acesso aos mesmos deve ser bloqueado. Esses mecanismos deverão facilitar a apresentação de notificações com uma explicação das razões pelas quais a pessoa ou a entidade que apresenta a notificação considera que o conteúdo é ilegal e uma indicação clara da localização desse conteúdo. Sempre que uma notificação contenha informações suficientes para permitir a um prestador diligente de serviços de alojamento virtual identificar, sem um exame jurídico pormenorizado, que é evidente que o conteúdo é ilegal, deverá considerar-se que a notificação dá origem ao conhecimento efetivo ou ao conhecimento da ilegalidade”.

Quando a rede social recebe uma notificação (por exemplo, através das suas caixas de correio de denúncia de conteúdos) que a informa de forma suficientemente pormenorizada sobre conteúdos de partilha de conteúdos e indica os direitos fundamentais dos menores que podem ser afetados, deve agir de forma diligente e imediata para bloquear ou remover esses conteúdos, sob pena de ser considerada responsável pelos mesmos, uma vez que, de acordo com o n.º 1, alínea b), do artigo 6.1.b do DSA, o prestador de um serviço da sociedade da informação será responsável pelo conteúdo que aloje “a partir do momento em que tenha conhecimento da ilicitude, atue com diligência no sentido de suprimir ou desativar o acesso aos conteúdos ilegais”.

O artigo 6.º, em conjugação com o artigo 16.º e o considerando 53, permite a adoção de medidas contra práticas específicas de partilha de bens, independentemente da frequência com que os pais ou familiares praticam a partilha de bens (desde que os direitos dos menores estejam efetivamente em risco, embora seja esse o caso na maioria das situações de partilha de bens) e independentemente da dimensão da plataforma.

Se a plataforma for considerada de grande dimensão (very large online platform, VLOP) nos termos do artigo 33.º do DSA, devem aplicar-se medidas de atenuação dos riscos que sejam razoáveis, proporcionadas e eficazes e adaptadas aos riscos sistémicos específicos identificados nos termos do artigo 34.º. Em 25 de abril de 2023, a Comissão Europeia publicou a primeira lista de plataformas de muito grande dimensão, incluindo redes sociais como o Facebook, o Instagram, o TikTok ou o YouTube. Em 16 de maio de 2024, a Comissão Europeia abriu um processo contra a Meta em relação ao risco de dependência em menores e ao chamado efeito de orifício dos coelhos, mas ainda não se tem conhecimento de ter iniciado um processo semelhante em relação aos riscos de sharenting. Em Espanha, a Lei Orgânica de Proteção de Dados Pessoais e Garantia dos Direitos Digitais foi além do mero desenvolvimento nacional do RGPD e, no n.º 2 do artigo 84.º, estabelece que “a utilização ou difusão de imagens ou dados pessoais de menores nas redes sociais e serviços equivalentes da sociedade da informação que possam implicar uma ingerência ilícita nos seus direitos fundamentais determinará a intervenção do Ministério Público, que solicitará as medidas cautelares e de proteção previstas na Lei Orgânica 1/1996, de 15 de janeiro, de Proteção Jurídica de Menores”. Apesar da clareza da redação literal da norma, não se conhecem ainda ações intentadas pelo Ministério Público em casos de lenocínio lucrativo.

Do #NOFILTER ao #FILTERDROP: o esforço legislativo no combate à distorção digital da beleza

Doutrina

Tem circulado pela internet nos últimos dias a notícia de que fora sancionada no último dia 11, através do Decreto Legislativo 146 (2020-2021), a emenda à Lei de Marketing norueguesa, que “visa ajudar a reduzir a pressão corporal na sociedade devido às pessoas idealizadas na publicidade[1]. Após uma esmagadora votação de 72 votos a favor e 15 contra, a alteração legislativa passa a obrigar os influenciadores digitais a identificar as fotografias que tenham sido retocadas. As redes sociais visadas pela medida vão desde o Instagram, passando pelo Facebook, TikTok, Twitter e Snapchat.

Não é de hoje que o NOVA Consumer Lab tem trabalhado sobre a influência das redes sociais e das tecnologias sobre o comportamento social. Mais do que nunca, as redes sociais deixaram de ser meros instrumentos de compartilhamento de rotina e vida pessoal, com fotos de família, crianças e animais para ceder espaço ao lucro e à comercialização de produtos e serviços. Hoje, a regra é clara: curvas incríveis, padrões inigualáveis e um quase “conto de fadas da beleza”.

Por trás da perfeição dos corpos e lifestyle presentes nas mídias sociais, sob a égide da despretensiosa naturalidade, estão, entretanto, os patrocínios, parcerias, publicidades e, sobretudo, os inúmeros retoques às fotos e vídeos publicados por aqueles que ditam, para além de tendências, o novo ideal de vida e beleza.  Naomi Wolf, autora feminista e ativista dos direitos civis nos EUA, já em 1992 apontava o fato de o mito da beleza estar sempre prescrevendo comportamentos, não aparência[2]. Cada vez mais incomodados com os resultados sociais advindos dessa dita pressão estética, reguladores e legisladores pelo mundo estão a reagir à propaganda da perfeição aparente. Em fevereiro deste ano, logo após uma campanha que circulava dentro das próprias redes sociais (#filterdrop), a Advertising Standards Authority (ASA) – agência reguladora de propagandas do Reino Unido, aprovou uma legislação muito semelhante à norueguesa, e passou a determinar que os influenciadores digitais do país não fizessem mais uso de filtros “enganosos” em campanhas com produtos de beleza nas mídias.

Na França, desde 2017, vigora a determinação de obrigatoriedade da mensagem “photografie retouchée” para fotos que tenham sofrido qualquer tipo de alteração por programas digitais, demonstrando o esforço por tornar a mídia mais responsável em termos de publicidade.

Já na Noruega, a regra visa proibir que os influenciadores compartilhem imagens sem a devida sinalização de retoque e uso de filtros de beleza, os quais foram projetados para melhorar a aparência, incluídos como recursos comuns aos aplicativos de redes sociais atuais. Proposta pelo Ministério da Infância e da Família, a lei integra os esforços públicos de contenção da distorção de imagem no país, devendo ser seguida por todos influenciadores e celebridades que recebam pagamento para criação de anúncios nas redes com uso de técnicas de pré e pós-produção de imagem. O não cumprimento da lei pode implicar não somente em sanções pecuniárias, como também pena de prisão.

Acerca da construção de um ideal de beleza física e da influência das redes sociais sobre o bem-estar, uma pesquisa recente realizada pela Dove, e conduzida pela Edelman Data & Intelligence, com mulheres dos EUA, Reino Unido e Brasil, aponta que 84% das jovens com 13 anos já aplicaram filtro ou realizaram algum tipo de edição em suas fotos. Os dados divulgados pela pesquisa ainda tratam do fato de que mais da metade das mulheres se compara com as fotos publicadas na internet, além de temer publicar fotos de seu corpo em virtude dos padrões atualmente estabelecidos.

Em Portugal, a pesquisa aponta que 2 em cada 3 raparigas tentem mudar ou esconder pelo menos uma parte do corpo antes de publicarem uma fotografia sua, tal como a cara, o cabelo, a pele, a barriga ou o nariz, para removerem “imperfeições” e corresponderem a padrões de beleza irrealistas”.

As técnicas de produção que aprimoram ou alteram uma imagem com fins comerciais não são novidade no mundo da publicidade e exige atenção dos consumidores que, em razão dos retoques realizados, possam vir a ser enganados pelas alegações visuais exageradas ou, até mesmo, impossíveis de atingir. Em Portugal, o tema ainda não tem nenhum tipo de tratamento especial, embora vigore o Código da Publicidade e a Constituição da República Portuguesa estabeleça, no art. 60º, a proibição à publicidade considerada oculta, o que, em nossa visão, pode estar pressuposta em posts relacionados a produtos e serviços de estética, alimentação ou emagrecimento, por exemplo.

No mesmo sentido, a Entidade Reguladora da Saúde, em 2015, após a aprovação do Decreto-Lei n.º 238/20, tornou-se a entidade competente para a fiscalização em matéria de publicidade em saúde. A normativa é mais uma a prescrever a obrigatoriedade de clareza na publicidade, em seu art. 7.º, ainda que não trate especificamente da abordagem relacionada às redes sociais. 

Fato é que padrões de beleza sempre existiram e as características ideais variam ao longo da história. A despeito do esforço legislativo em favor do combate à distorção digital de corpos e da construção de padrões inatingíveis de beleza física, normalmente ocultos sob retoques e adaptações de imagem, é preciso notar que nem sempre o Direito terá as soluções para problemas cujas raízes são de cunho muito mais social, e psíquico, do que legal. Atualmente, até mesmo a mercantilização do movimento “body positive” pode impedir uma autêntica solução da questão que, historicamente, remonta ao uso de espartilhos, pílulas de arsênicos, maquiagens com chumbo e dietas absurdamente restritivas.

Ainda que os instrumentos regulamentares sejam necessários e possamos enxergá-los como meios hábeis a reduzir a pressão sobre a imagem física, é preciso compreender o espectro limitado dessas atuações e recordar que a idealização da beleza é muito mais profunda e complexa do que a utilização de filtros. Não podemos, não queremos e nem devemos nos reduzir a somente legislar o tema, quando é preciso discutir seriamente questões como representação, sexualização e objetificação do corpo como instrumento comercial, atentos ao fato de que redes sociais são mais do que redes de socialização, mas grandes empresas voltadas, sobretudo, ao lucro.


[1] Tradução da Decisão resumida da emenda legislativa à Lei de Marketing, 2009, da Noruega.

[2] WOOLF, N. O Mito da Beleza. Como as Imagens de Beleza são usadas contra as Mulheres. Tradução de Waldéa Barcellos. Rio de Janeiro. Ed. Rocco, 1992


Personal Data as Counter-performance and Consumer Protection. An Unfair Commercial Practices Italian Decision

Jurisprudência

By Donato Maria Matera

On March 30th, 2021, with the decision n. 2631, the Italian Consiglio di Stato ended a dispute concerning an unfair commercial practices case where Facebook was involved.

The most important part of this decision deals with a misleading commercial practice: in particular, the question was if the Facebook’s advertisement that the social service is «for free» can be considered as a misleading behaviour, since consumers are actually «paying» it with their personal data.

Hence, the core issue is the possibility to consider personal data as a counter-performance, or, if one prefers, as a payment method, other than money. The answer to this question has very relevant practical consequences: in fact, if personal data are a counter-performance to a service, this economic operation can be considered as an actual contract and, if the parties are consumers and traders, consumer law can be applicable.

During the trial, the Facebook defence argued that personal data are an extra commercium good and data protection is a fundamental right, so they cannot be sold, traded or reduced to an economic interest. In this sense, as personal data cannot be a counter-performance, the operation where Facebook provides consumers with a digital service is for free and consumer law cannot be applied neither can be configured an unfair commercial practice.

This position seems to be in continuity with a European Data Protection Supervisor Opinion (n. 4/2017), provided with regard to the European Commission proposal for a Directive on certain aspects concerning contracts for the supply of digital content (COM(2015) 634 final). On this occasion the EDPS underlined that personal data are related to a fundamental right and they cannot be considered as a commodity and it defined as «dangerous» the possibility to let people «pay» with their personal data.

The Italian decision goes to a different direction. The judges affirm that Facebook actually capitalizes users’ personal data and make a profit from them. In addition, once a user provides his personal data and successively decides to remove them by a deselecting operation, this causes the loss of some services originally available. According to the Italian judges this circumstance clearly shows how Facebook social services are not for free, but they are a counter-performance to the provision of personal data, for commercial purposes. At the same time is it also clear that, due to their particular legal regime, these data cannot be considered as an actual commodity.

These argumentations lead the Court to consider applicable consumer law and, in particular the one on unfair commercial practices (Directive 2005/29/CE; in Italy this Directive has been transposed in the legislative decree 2005/206, articles 18 and following). In this regard, the judges clarify that there is no contrast between consumer and privacy law (as regulated by the Reg. UE 2016/679), but they provide consumers with a «multilevel» protection, being compatible with each other. This interaction, as many authors had already highlighted, contributes to increase the standard of consumer protection, since it allows to extend the application of certain business-to-consumer remedies to cases where processing of personal data is involved.

In light of these considerations, the Consiglio di Stato claims that a misleading commercial practice was adopted: Facebook represented his service as free, while actually it was not. In fact, as a consequence of this conduct, consumers were unaware that personal data they provided at the time of subscription were used for commercial and remunerational purposes. This circumstance, according to the Italian Court, is likely to materially distort their economic behaviour, falling within the scope of Directive 2005/29/CE.

For these reasons the judges confirm the penalties stated by the Italian independent market Authority (AGCM) to the social networks company, in relation to this practice. This case represents another step in the debate focused on considering personal data as consideration, especially in consumer contracts.  It has become clear that nowadays many business models are based on personal data, and a «data market» exists, as scholars observe. In this context, it would be fundamental the application of consumer law principles and rules to these cases, in order to provide consumers (the weak part) with an actual protection. The first step to be made in order to reach such achievement is the qualification of these operations as contracts where personal data are to be considered the counter-performance.

A Clubhouse e a privacidade dos utilizadores

Doutrina

A nova rede social Clubhouse é já bastante conhecida entre o público, tendo chegado a Portugal no início deste ano. A sua popularidade eclodiu após ter sido palco de um debate entre Elon Musk, Marc Andreessen, Vlad Tenev e muitos outros empresários e elementos do público em geral, que chegaram mesmo a esgotar a capacidade da sala de chat hospedada pela Clubhouse para o efeito. O seu crescimento exponencial trouxe também alguns desafios e uma certa polémica em torno da privacidade dos utilizadores.

O grande fator que torna a Clubhouse atrativa prende-se com a sua exclusividade: além de apenas estar disponível para iOS, cada utilizador começa com dois convites para enviar a outras pessoas para aderirem à rede social. Esta rede social permite manter diálogos com outros utilizadores através de áudio – diálogos estes que, de acordo com a política de privacidade, não ficam gravados, pois quando a sala virtual é encerrada, não subsiste qualquer registo daquele chat. Existem exceções: os áudios dos utilizadores poderão ser temporariamente armazenados se houver, por exemplo, o reporte de um incidente. Nesta é ainda possível acumular-se seguidores e seguir outros utilizadores. O nome de utilizador é público e poderá ser utilizado para encontrar outros utilizadores. É possível mudar a fotografia de perfil, ligar a aplicação às contas do Twitter e Instagram, entre muitas outras opções.

Não obstante toda esta atratividade e utilidade, várias têm sido as preocupações levantadas pelos utilizadores no que se refere à privacidade. Até agora, muitos foram os relatos apresentados de falhas nesta vertente. Um dos casos mais falados é datado de fevereiro deste ano: um utilizador conseguiu transmitir em direto o áudio de uma sala de chat no seu website, mas foi rapidamente banido pois a gravação ou streaming sem a autorização explícita dos oradores viola os termos e condições da rede social.

Outro incidente ocorreu há poucos dias: a Clubhouse sofreu um ataque informático, o que resultou na disponibilização da informação relativa a 1,3 milhões de utilizadores em plena internet. Do que foi possível apurar, não foram revelados dados relativos a cartões bancários, moradas e emails. No entanto, a informação disponibilizada poderá facilitar ataques de phishing. A Clubhouse manifestou-se publicamente quanto a este assunto, afirmando que os dados disponibilizados já seriam públicos e poderiam ser consultados por qualquer utilizador através da aplicação.

Outro problema e desafio que a Clubhouse comporta relaciona-se com a facilidade de difusão de opiniões e informações, sem qualquer controlo por parte de um moderador associado à rede social – deste modo, será mais fácil a propagação de fake news, ódio, difamação contra utilizadores, teorias da conspiração, etc. O facto de as conversas não deixarem qualquer registo, após o encerramento de cada sala, implica que se os incidentes não forem reportados em tempo útil, não restem quaisquer provas que permitam reagir contra estes abusos.

Apesar destes incidentes, a questão mais relevante que cumpre analisar prende-se com o seguinte: se um utilizador quiser convidar amigos a utilizar a aplicação, terá de autorizar o acesso da aplicação à sua lista de contactos. Se não autorizar este acesso, o utilizador poderá continuar a utilizar a aplicação, mas ser-lhe-á relembrado constantemente através de uma notificação de que ainda não deu tal permissão.

Importa agora analisar a Política de Privacidade da Clubhouse, através de uma visão guiada pelo Regulamento Geral de Proteção de dados (RGPD). Na política de privacidade consta que a rede social recolhe dados fornecidos pelo utilizador titular de dados quer quando este acede à rede social, quer quando este a utiliza, criando ou partilhando conteúdos e comunicando com outros utilizadores da rede, o que é algo normal e necessário à execução do contrato, ou seja, de acordo com o art. 6.º, nº 1, alínea b), do RGPD, estamos perante um tratamento válido e lícito. Além do tratamento ser válido e lícito, também a questão dos deveres de informação é cumprida, pois aplica-se o artigo 14º, uma vez que a pessoa que recebe o convite recebe todas as informações necessárias sobre o tratamento de dados, os seus direitos, prazos de conservação. Supõe-se também que se o titular de dados não aceitar o convite num certo período de tempo, o Clubhouse deve apagar os dados utilizados nesta operação de tratamento (caso não lhe tenha sido dada autorização para o acesso contínuo à lista de contactos pelo utilizador). Releva ainda para a discussão o facto de na política de privacidade, no ponto relativo a Networks and Connections, a rede social menciona que, se o utilizador escolher dar permissão à aplicação para esta fazer o upload, sincronizar ou importar as informações da sua lista de contactos pessoais, esta poderá ser utilizada para “melhorar a experiência do utilizador em vários aspetos”, notificando-o quando um dos seus contactos se junte à rede social e utilizando a lista de contactos para recomendar outros utilizadores que possa querer seguir e recomendando, por sua vez, a sua conta a outros utilizadores.

Dado o exposto, se a aplicação requer que o utilizador dê permissão para que a mesma possa aceder à sua lista de contactos, estaremos já perante outra base de licitude, que será o consentimento, ou seja, sem o consentimento do utilizador titular de dados, a rede social não poderá ter acesso a esta informação (art. 6º, n.º 1, alínea a), do RGPD). Levantam-se aqui várias questões: em primeiro lugar, existem queixas de utilizadores que não deram permissão e mesmo assim a aplicação teve acesso aos dados das suas listas de contactos. Em segundo lugar, é suspeito e bastante invasivo um utilizador dar permissão para o acesso à sua lista de contactos à aplicação, e pessoas que nem sequer utilizam a aplicação veem os seus dados recolhidos e tratados pela Clubhouse sem terem dado o seu consentimento. Esta prática designa-se shadow profile.

Podemos concluir que, apesar de esta não aceitação da permissão de acesso à lista de contactos por parte do utilizador não afetar o funcionamento e utilização da rede social por parte do mesmo, este não poderá disfrutar da experiência completa da rede social, uma vez que será mais difícil encontrar e conectar-se com os seus amigos e familiares e, além disso, também não poderá enviar os seus dois convites disponibilizados inicialmente, o que criará entraves à socialização com amigos, que é o verdadeiro objetivo da rede social. Todavia, a autorização que o titular de dados dá para o acesso da aplicação à lista de contactos não se trata de um verdadeiro consentimento para o tratamento, na medida em que o utilizador não é o titular destes dados, devendo tratar-se de uma imposição dos termos de serviço do IOS e da App Store da Apple. Esta autorização dada pelo utilizador vai de encontro ao princípio da transparência e lealdade do RGPD, sendo que até pode ser considerada como uma oportunidade dada ao utilizador de exercer o direito de oposição.

Em março, surgiu uma atualização para tentar colmatar esta e muitas outras questões e falhas, sobretudo no que se refere à encriptação. No entanto, as queixas mantêm-se. Aguardemos o desenrolar da situação.

O início do(s) Caso(s) TikTok? – Cláusulas Contratuais Gerais, Bens Virtuais e Copyright

Doutrina

A Organização Europeia do Consumidor BEUC apresentou uma queixa à Comissão Europeia e à rede de autoridades de defesa do consumidor contra o TikTok, na passada terça-feira, dia 16 de Fevereiro, por várias violações de Direito do Consumo, nomeadamente quanto a cláusulas contratuais abusivas e práticas comerciais desleais. Para além da BEUC, em mais 15 Estados[1], associações de defesa dos direitos dos consumidores também apresentaram queixas às autoridades e entidades reguladoras, de forma coordenada, contra o TikTok – e não, Portugal (ainda?) não se encontra nesta lista.

O TikTok, da chinesa ByteDance, começou em 2016 como uma app que procurava inovar no modelo do Vinee do Musical.ly e tornar-se numa rede social de partilha de vídeos curtos dos utilizadores, em diferentes temáticas e interesses, com enfâse na reprodução de músicas atuais e áudio de cenas de filmes e séries populares – adquirindo para este propósito licenças junto dos right holders. Com a aquisição do Musical.ly no final de 2017 e a fusão de ambas as apps em Agosto de 2018, o TikTok conseguiu sair da bolha do mercado chinês e penetrar no mercado americano (e, por conseguinte, mundial), convertendo-se rapidamente numa das mais populares plataformas em todo o mundo, entre as várias faixas etárias – com uma estimativa de mais de 1,1 mil milhões de utilizadores mensais.

Com a extraordinária popularidade, também vieram controvérsias – desde de a app ser banida na India; executive orders do ex-presidente dos Estados Unidos para bloquear a app devido a receios de espionagem e partilha de dados pessoais com o Governo Chinês, procurando assim forçar a sua venda a uma multinacional americana; ser forçada a bloquear todos os utilizadores italianos e realizar um controlo apertado da sua idade, para a sua readmissão (devido à morte de uma menor de 13 anos); e claro, alegações relativas a invasão de privacidade e tratamento ilícito dos dados dos utilizadores, incluindo a utilização de tecnologia de reconhecimento facial, por autoridades de proteção de dados europeias.

Estas novas queixas da BEUC e das associações de proteção de consumidores vêm abrir um novo capítulo, uma nova frente de combate aos abusos do TikTok (e outras multinacionais que utilizem as mesmas técnicas), centrando as queixas no Direito do Consumo, nomeadamente quanto a práticas comerciais desleais, cláusulas contratuais gerais abusivas e falta de transparência no tratamento de dados pessoais e publicidade.

As práticas sob escrutínio incluem:

  • Publicidade oculta e enganosa, seja colocada pelo TikTok, seja pela utilização de funcionalidades que permitem que marcas usem influencers para campanhas de marketing agressivas junto dos seus fãs – especialmente direcionada a crianças e outras pessoas vulneráveis;
  • Falta de transparência nas obrigações de informação aos titulares de dados pessoais, possível ausência de base de licitude do tratamento, reutilização de dados para finalidades incompatíveis, (…) diversas possíveis violações do Regulamento Geral de Proteção de Dados.

Em paralelo com a abertura deste tema, é de destacar também o recém publicado relatório do Parlamento Europeu sobre a necessidade de “atualizar” a Diretiva das Cláusulas Contratuais Abusivas (93/13/CEE), para os serviços digitais. Este relatório aborda, entre vários temas, as cláusulas predatórias sobre o copyright do user-generated content, como a referida acima do TikTok.

É possível que estas queixas das associações de defesa dos consumidores se convertam no futuro em processos judiciais, sejam movidos pelas entidades reguladores ou como ações coletivas de indeminização dos consumidores – e que, quem sabe, cheguem ao Tribunal de Justiça, de forma a conseguir uma atualização jurisprudencial, uniforme na União Europeia, da aplicabilidade das Diretivas sobre Cláusulas Contratuais Abusivas e Práticas Comerciais Desleais a este tipo de práticas e modelos de negócio.

 

[1] Os Estados em questão: Bélgica, Chipre, República Checa, Dinamarca, França, Alemanha, Grécia, Itália, Países Baixos, Noruega, Eslováquia, Eslovênia, Suécia, Espanha e Suíça.

[2] No contexto de redes socias, este modelo de negócio aparenta ser inspirado no sistema de awards do Reddit, em que os utilizadores premeiam as publicações que gostam mais, dando-lhes maior visibilidade e notoriedade a terceiros, pelo algoritmo.