Personal Data as Counter-performance and Consumer Protection. An Unfair Commercial Practices Italian Decision

Jurisprudência

By Donato Maria Matera

On March 30th, 2021, with the decision n. 2631, the Italian Consiglio di Stato ended a dispute concerning an unfair commercial practices case where Facebook was involved.

The most important part of this decision deals with a misleading commercial practice: in particular, the question was if the Facebook’s advertisement that the social service is «for free» can be considered as a misleading behaviour, since consumers are actually «paying» it with their personal data.

Hence, the core issue is the possibility to consider personal data as a counter-performance, or, if one prefers, as a payment method, other than money. The answer to this question has very relevant practical consequences: in fact, if personal data are a counter-performance to a service, this economic operation can be considered as an actual contract and, if the parties are consumers and traders, consumer law can be applicable.

During the trial, the Facebook defence argued that personal data are an extra commercium good and data protection is a fundamental right, so they cannot be sold, traded or reduced to an economic interest. In this sense, as personal data cannot be a counter-performance, the operation where Facebook provides consumers with a digital service is for free and consumer law cannot be applied neither can be configured an unfair commercial practice.

This position seems to be in continuity with a European Data Protection Supervisor Opinion (n. 4/2017), provided with regard to the European Commission proposal for a Directive on certain aspects concerning contracts for the supply of digital content (COM(2015) 634 final). On this occasion the EDPS underlined that personal data are related to a fundamental right and they cannot be considered as a commodity and it defined as «dangerous» the possibility to let people «pay» with their personal data.

The Italian decision goes to a different direction. The judges affirm that Facebook actually capitalizes users’ personal data and make a profit from them. In addition, once a user provides his personal data and successively decides to remove them by a deselecting operation, this causes the loss of some services originally available. According to the Italian judges this circumstance clearly shows how Facebook social services are not for free, but they are a counter-performance to the provision of personal data, for commercial purposes. At the same time is it also clear that, due to their particular legal regime, these data cannot be considered as an actual commodity.

These argumentations lead the Court to consider applicable consumer law and, in particular the one on unfair commercial practices (Directive 2005/29/CE; in Italy this Directive has been transposed in the legislative decree 2005/206, articles 18 and following). In this regard, the judges clarify that there is no contrast between consumer and privacy law (as regulated by the Reg. UE 2016/679), but they provide consumers with a «multilevel» protection, being compatible with each other. This interaction, as many authors had already highlighted, contributes to increase the standard of consumer protection, since it allows to extend the application of certain business-to-consumer remedies to cases where processing of personal data is involved.

In light of these considerations, the Consiglio di Stato claims that a misleading commercial practice was adopted: Facebook represented his service as free, while actually it was not. In fact, as a consequence of this conduct, consumers were unaware that personal data they provided at the time of subscription were used for commercial and remunerational purposes. This circumstance, according to the Italian Court, is likely to materially distort their economic behaviour, falling within the scope of Directive 2005/29/CE.

For these reasons the judges confirm the penalties stated by the Italian independent market Authority (AGCM) to the social networks company, in relation to this practice. This case represents another step in the debate focused on considering personal data as consideration, especially in consumer contracts.  It has become clear that nowadays many business models are based on personal data, and a «data market» exists, as scholars observe. In this context, it would be fundamental the application of consumer law principles and rules to these cases, in order to provide consumers (the weak part) with an actual protection. The first step to be made in order to reach such achievement is the qualification of these operations as contracts where personal data are to be considered the counter-performance.

A Clubhouse e a privacidade dos utilizadores

Nossa Pesquisa

A nova rede social Clubhouse é já bastante conhecida entre o público, tendo chegado a Portugal no início deste ano. A sua popularidade eclodiu após ter sido palco de um debate entre Elon Musk, Marc Andreessen, Vlad Tenev e muitos outros empresários e elementos do público em geral, que chegaram mesmo a esgotar a capacidade da sala de chat hospedada pela Clubhouse para o efeito. O seu crescimento exponencial trouxe também alguns desafios e uma certa polémica em torno da privacidade dos utilizadores.

O grande fator que torna a Clubhouse atrativa prende-se com a sua exclusividade: além de apenas estar disponível para iOS, cada utilizador começa com dois convites para enviar a outras pessoas para aderirem à rede social. Esta rede social permite manter diálogos com outros utilizadores através de áudio – diálogos estes que, de acordo com a política de privacidade, não ficam gravados, pois quando a sala virtual é encerrada, não subsiste qualquer registo daquele chat. Existem exceções: os áudios dos utilizadores poderão ser temporariamente armazenados se houver, por exemplo, o reporte de um incidente. Nesta é ainda possível acumular-se seguidores e seguir outros utilizadores. O nome de utilizador é público e poderá ser utilizado para encontrar outros utilizadores. É possível mudar a fotografia de perfil, ligar a aplicação às contas do Twitter e Instagram, entre muitas outras opções.

Não obstante toda esta atratividade e utilidade, várias têm sido as preocupações levantadas pelos utilizadores no que se refere à privacidade. Até agora, muitos foram os relatos apresentados de falhas nesta vertente. Um dos casos mais falados é datado de fevereiro deste ano: um utilizador conseguiu transmitir em direto o áudio de uma sala de chat no seu website, mas foi rapidamente banido pois a gravação ou streaming sem a autorização explícita dos oradores viola os termos e condições da rede social.

Outro incidente ocorreu há poucos dias: a Clubhouse sofreu um ataque informático, o que resultou na disponibilização da informação relativa a 1,3 milhões de utilizadores em plena internet. Do que foi possível apurar, não foram revelados dados relativos a cartões bancários, moradas e emails. No entanto, a informação disponibilizada poderá facilitar ataques de phishing. A Clubhouse manifestou-se publicamente quanto a este assunto, afirmando que os dados disponibilizados já seriam públicos e poderiam ser consultados por qualquer utilizador através da aplicação.

Outro problema e desafio que a Clubhouse comporta relaciona-se com a facilidade de difusão de opiniões e informações, sem qualquer controlo por parte de um moderador associado à rede social – deste modo, será mais fácil a propagação de fake news, ódio, difamação contra utilizadores, teorias da conspiração, etc. O facto de as conversas não deixarem qualquer registo, após o encerramento de cada sala, implica que se os incidentes não forem reportados em tempo útil, não restem quaisquer provas que permitam reagir contra estes abusos.

Apesar destes incidentes, a questão mais relevante que cumpre analisar prende-se com o seguinte: se um utilizador quiser convidar amigos a utilizar a aplicação, terá de autorizar o acesso da aplicação à sua lista de contactos. Se não autorizar este acesso, o utilizador poderá continuar a utilizar a aplicação, mas ser-lhe-á relembrado constantemente através de uma notificação de que ainda não deu tal permissão.

Importa agora analisar a Política de Privacidade da Clubhouse, através de uma visão guiada pelo Regulamento Geral de Proteção de dados (RGPD). Na política de privacidade consta que a rede social recolhe dados fornecidos pelo utilizador titular de dados quer quando este acede à rede social, quer quando este a utiliza, criando ou partilhando conteúdos e comunicando com outros utilizadores da rede, o que é algo normal e necessário à execução do contrato, ou seja, de acordo com o art. 6.º, nº 1, alínea b), do RGPD, estamos perante um tratamento válido e lícito. Além do tratamento ser válido e lícito, também a questão dos deveres de informação é cumprida, pois aplica-se o artigo 14º, uma vez que a pessoa que recebe o convite recebe todas as informações necessárias sobre o tratamento de dados, os seus direitos, prazos de conservação. Supõe-se também que se o titular de dados não aceitar o convite num certo período de tempo, o Clubhouse deve apagar os dados utilizados nesta operação de tratamento (caso não lhe tenha sido dada autorização para o acesso contínuo à lista de contactos pelo utilizador). Releva ainda para a discussão o facto de na política de privacidade, no ponto relativo a Networks and Connections, a rede social menciona que, se o utilizador escolher dar permissão à aplicação para esta fazer o upload, sincronizar ou importar as informações da sua lista de contactos pessoais, esta poderá ser utilizada para “melhorar a experiência do utilizador em vários aspetos”, notificando-o quando um dos seus contactos se junte à rede social e utilizando a lista de contactos para recomendar outros utilizadores que possa querer seguir e recomendando, por sua vez, a sua conta a outros utilizadores.

Dado o exposto, se a aplicação requer que o utilizador dê permissão para que a mesma possa aceder à sua lista de contactos, estaremos já perante outra base de licitude, que será o consentimento, ou seja, sem o consentimento do utilizador titular de dados, a rede social não poderá ter acesso a esta informação (art. 6º, n.º 1, alínea a), do RGPD). Levantam-se aqui várias questões: em primeiro lugar, existem queixas de utilizadores que não deram permissão e mesmo assim a aplicação teve acesso aos dados das suas listas de contactos. Em segundo lugar, é suspeito e bastante invasivo um utilizador dar permissão para o acesso à sua lista de contactos à aplicação, e pessoas que nem sequer utilizam a aplicação veem os seus dados recolhidos e tratados pela Clubhouse sem terem dado o seu consentimento. Esta prática designa-se shadow profile.

Podemos concluir que, apesar de esta não aceitação da permissão de acesso à lista de contactos por parte do utilizador não afetar o funcionamento e utilização da rede social por parte do mesmo, este não poderá disfrutar da experiência completa da rede social, uma vez que será mais difícil encontrar e conectar-se com os seus amigos e familiares e, além disso, também não poderá enviar os seus dois convites disponibilizados inicialmente, o que criará entraves à socialização com amigos, que é o verdadeiro objetivo da rede social. Todavia, a autorização que o titular de dados dá para o acesso da aplicação à lista de contactos não se trata de um verdadeiro consentimento para o tratamento, na medida em que o utilizador não é o titular destes dados, devendo tratar-se de uma imposição dos termos de serviço do IOS e da App Store da Apple. Esta autorização dada pelo utilizador vai de encontro ao princípio da transparência e lealdade do RGPD, sendo que até pode ser considerada como uma oportunidade dada ao utilizador de exercer o direito de oposição.

Em março, surgiu uma atualização para tentar colmatar esta e muitas outras questões e falhas, sobretudo no que se refere à encriptação. No entanto, as queixas mantêm-se. Aguardemos o desenrolar da situação.

O início do(s) Caso(s) TikTok? – Cláusulas Contratuais Gerais, Bens Virtuais e Copyright

Nossa Pesquisa

A Organização Europeia do Consumidor BEUC apresentou uma queixa à Comissão Europeia e à rede de autoridades de defesa do consumidor contra o TikTok, na passada terça-feira, dia 16 de Fevereiro, por várias violações de Direito do Consumo, nomeadamente quanto a cláusulas contratuais abusivas e práticas comerciais desleais. Para além da BEUC, em mais 15 Estados[1], associações de defesa dos direitos dos consumidores também apresentaram queixas às autoridades e entidades reguladoras, de forma coordenada, contra o TikTok – e não, Portugal (ainda?) não se encontra nesta lista.

O TikTok, da chinesa ByteDance, começou em 2016 como uma app que procurava inovar no modelo do Vinee do Musical.ly e tornar-se numa rede social de partilha de vídeos curtos dos utilizadores, em diferentes temáticas e interesses, com enfâse na reprodução de músicas atuais e áudio de cenas de filmes e séries populares – adquirindo para este propósito licenças junto dos right holders. Com a aquisição do Musical.ly no final de 2017 e a fusão de ambas as apps em Agosto de 2018, o TikTok conseguiu sair da bolha do mercado chinês e penetrar no mercado americano (e, por conseguinte, mundial), convertendo-se rapidamente numa das mais populares plataformas em todo o mundo, entre as várias faixas etárias – com uma estimativa de mais de 1,1 mil milhões de utilizadores mensais.

Com a extraordinária popularidade, também vieram controvérsias – desde de a app ser banida na India; executive orders do ex-presidente dos Estados Unidos para bloquear a app devido a receios de espionagem e partilha de dados pessoais com o Governo Chinês, procurando assim forçar a sua venda a uma multinacional americana; ser forçada a bloquear todos os utilizadores italianos e realizar um controlo apertado da sua idade, para a sua readmissão (devido à morte de uma menor de 13 anos); e claro, alegações relativas a invasão de privacidade e tratamento ilícito dos dados dos utilizadores, incluindo a utilização de tecnologia de reconhecimento facial, por autoridades de proteção de dados europeias.

Estas novas queixas da BEUC e das associações de proteção de consumidores vêm abrir um novo capítulo, uma nova frente de combate aos abusos do TikTok (e outras multinacionais que utilizem as mesmas técnicas), centrando as queixas no Direito do Consumo, nomeadamente quanto a práticas comerciais desleais, cláusulas contratuais gerais abusivas e falta de transparência no tratamento de dados pessoais e publicidade.

As práticas sob escrutínio incluem:

  • Publicidade oculta e enganosa, seja colocada pelo TikTok, seja pela utilização de funcionalidades que permitem que marcas usem influencers para campanhas de marketing agressivas junto dos seus fãs – especialmente direcionada a crianças e outras pessoas vulneráveis;
  • Falta de transparência nas obrigações de informação aos titulares de dados pessoais, possível ausência de base de licitude do tratamento, reutilização de dados para finalidades incompatíveis, (…) diversas possíveis violações do Regulamento Geral de Proteção de Dados.

Em paralelo com a abertura deste tema, é de destacar também o recém publicado relatório do Parlamento Europeu sobre a necessidade de “atualizar” a Diretiva das Cláusulas Contratuais Abusivas (93/13/CEE), para os serviços digitais. Este relatório aborda, entre vários temas, as cláusulas predatórias sobre o copyright do user-generated content, como a referida acima do TikTok.

É possível que estas queixas das associações de defesa dos consumidores se convertam no futuro em processos judiciais, sejam movidos pelas entidades reguladores ou como ações coletivas de indeminização dos consumidores – e que, quem sabe, cheguem ao Tribunal de Justiça, de forma a conseguir uma atualização jurisprudencial, uniforme na União Europeia, da aplicabilidade das Diretivas sobre Cláusulas Contratuais Abusivas e Práticas Comerciais Desleais a este tipo de práticas e modelos de negócio.

 

[1] Os Estados em questão: Bélgica, Chipre, República Checa, Dinamarca, França, Alemanha, Grécia, Itália, Países Baixos, Noruega, Eslováquia, Eslovênia, Suécia, Espanha e Suíça.

[2] No contexto de redes socias, este modelo de negócio aparenta ser inspirado no sistema de awards do Reddit, em que os utilizadores premeiam as publicações que gostam mais, dando-lhes maior visibilidade e notoriedade a terceiros, pelo algoritmo.