Direito ao Esquecimento – Ed. 2020

4. Mecanismos de Busca e Demandas por Desindexação

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Como já mencionado, nem toda demanda por desindexação pode ser considerada uma demanda por esquecimento. Nesse sentido, foram apontados exemplos em que a informação disponibilizada seria considerada ilícita e, portanto, sujeita à desindexação.

Caso específico e distinto, entretanto, é a desindexação de informação que originalmente foi considerada lícita, em resposta a uma demanda de esquecimento.

Na ausência de uma norma de proteção de dados pessoais, o reconhecimento de tal direito requereria um imenso esforço hermenêutico. Necessitaria da criação de uma forma de tutela específica, sem previsão legal, a partir da qual um conteúdo considerado legal poderia ser parcialmente (nas buscas por palavras-chave específicas) ou completamente (em qualquer caso) obscurecido ou ofuscado. 1

Aqui reside, no entanto, a novidade trazida pela decisão do TJUE no caso Google Espanha. Apoiando-se nas normas de proteção de dados pessoais europeias então vigentes, o tribunal determinou, de maneira criativa, a ofuscação parcial (a partir de buscas nominais) de certos conteúdos, bem como o direito individual de, em certas circunstâncias, solicitar tal desindexação diretamente ao mecanismo de busca, caso que analisamos agora em detalhe.

Como se verá, entretanto, a análise do tribunal apontou não apenas para um direito ao esquecimento mas também para um amplo direito à desindexação.

4.1. O Caso Google Espanha

Para entender com a profundidade necessária o Caso Google Espanha, a presente análise da decisão do TJUE divide-se nas seguintes partes: i) na primeira parte, traremos uma visão geral e o histórico do caso concreto; ii) na segunda, abordaremos a natureza dos mecanismos de busca e detalharemos aspectos de seu funcionamento; iii) na terceira parte, traremos os conceitos essenciais das normas de proteção de dados europeias vigentes à época da decisão, bem como a forma como esses conceitos foram aplicados no caso concreto; iv) na quarta parte, serão apresentados os argumentos utilizados pelo TJUE em sua decisão; v) na quinta e última parte, apresentaremos uma visão crítica da decisão.

4.1.1. Visão Geral e Histórico do Caso

i) Visão Geral

Como já mencionado neste trabalho, a decisão do Caso Google Espanha surgiu em um momento em que os diversos países europeus ainda não haviam tomado um posicionamento definitivo sobre um direito ao esquecimento. Pela via da interpretação da Diretiva 95/46/EC, portanto, afirmou-se uma possibilidade que ainda estava sendo lentamente decantada nas diversas culturas jurídicas daquele continente. 2

De maneira geral, a decisão extraída do caso Google Espanha no TJUE aponta que, em certas circunstâncias, um mecanismo de buscas possui a obrigação de responder a solicitações de indivíduos que não desejam ter informações que contêm dados pessoais indexadas pelo buscador quando essa pesquisa é realizada utilizando seu nome.

Como explica Peguera, o direito à desindexação afirmado pela UE é mais amplo do que a maioria das pessoas imagina, pois a informação a ser desindexada não precisa ser difamatória, imprecisa, privada, discriminatória ou mesmo ilegal. Ou seja, o TJUE admitiu que um indivíduo pode solicitar a remoção das páginas de resultados de informações não difamatórias, verídicas, públicas e inofensivas, mesmo nos casos em que o responsável pela publicação tiver o direito de mantê-la. Especificamente, o Tribunal decidiu que esse direito poderá ser exercido nos casos em que tais informações forem inadequadas, não forem pertinentes ou já não sejam pertinentes ou sejam excessivas, 3 a não ser que o público possua um interesse preponderante em acessar tal informação por meio de uma busca nominal (como nos casos em que a pessoa retratada seja uma figura pública). 4

Tal como apresentado, o direito à desindexação reconhecido no caso Google Espanha parece excessivamente amplo. E esse parece ser, com efeito, um dos seus grandes problemas. Como afirma Peguera, o TJUE buscou endereçar um problema mais específico: situações em que determinada informação, que não seria notada ou encontrada em outras situações, são levadas à atenção do público mediante uma busca nominal em mecanismos de busca que retornariam em reposta um perfil mais ou menos detalhado de um indivíduo. 5

A forma como o caso se desenvolveu é importante para entender o seu resultado final. De início, a reclamação apresentada por Mario Costeja González era apenas mais uma entre tantas que tramitavam na Agencia Española de Protección de Datos (AEPD). Quando a agência determinou o direito do reclamante de desindexar o conteúdo apontado, a empresa Google recorreu à Audiencia Nacional (AN). Diante do caso, a AN optou por suspender a ação e submetê-la ao Tribunal de Justiça da UE para que oferecesse uma interpretação do caso à luz da Diretiva 95/46/EC.

Dessa maneira, é de suma importância compreender quais as questões referenciadas pela AN ao TJUE e como o Tribunal decidiu sobre esses questionamentos. Segundo Peguera, o Tribunal as reformulou sutilmente – em um salto importante – de modo a criar um direito muito específico de desindexação.

Como já mencionado, a decisão do caso Google Espanha encontra fundamento jurídico nas normas de proteção de dados europeias, incluindo a então vigente Diretiva 95/46/EC (substituída pelo Regulamento Geral de Proteção de Dados Pessoais) e a Carta de Direitos Fundamentais da UE, que reconhece, no seu artigo 7º, o direito à privacidade e, em seu artigo 8º, o direito à proteção de dados pessoais. Dessa forma, foi à luz dessas normas que as questões levantadas pela AN foram formuladas ao TJUE.

ii) Histórico Geral

Em 1998, um jornal impresso chamado La Vanguardia publicou um anúncio oficial sobre o leilão de bens imóveis seguindo procedimentos para recuperar valores devidos ao sistema de seguridade social espanhol. Uma das pessoas que estava listada nesses anúncios era Mario Costeja González, coproprietário de um dos imóveis a ser leiloado.

Dez anos depois, o jornal La Vanguardia digitalizou seus arquivos. A partir de então, ao buscar o nome de Mario Costeja utilizando um mecanismo de busca, alguns dos primeiros resultados indexados traziam links para o arquivo do jornal, com a notícia do leilão e do débito de Costeja.

Em novembro de 2009, Costeja iniciou os procedimentos para tentar remover tais informações da Internet. Buscou primeiramente o jornal La Vanguardia, solicitando a remoção da notícia de seus arquivos. O jornal respondeu negativamente, afirmando que publicou a informação seguindo ordem oficial. 6 Costeja solicitou, então, a remoção do conteúdo da subsidiária do Google Inc. (matriz da empresa, nos EUA) na Espanha (a Google Spain SL). Os responsáveis pelo Google Espanha direcionaram Costeja a buscar diretamente a matriz da empresa nos EUA, alegando que esta seria a entidade que controlava o mecanismo de buscas.

O caso na AEPD

Em 05 de Março de 2010, Costeja buscou a Agencia Española de Protección de Datos (AEPD), abrindo uma reclamação contra o jornal La Vanguardia, o Google Espanha e o Google Inc. A agência iniciou o procedimento contra a subsidiária e a matriz da empresa Google, excluindo o jornal La Vanguardia do processo. 7 A decisão da agência, em 30 de Julho de 2010, reconheceu a demanda de Costeja contra a matriz e a subsidiária que controlam o mecanismo de busca, ordenando-lhes que adotassem as medidas necessárias para remover os dados do seu index, bem como que evitassem novos acessos. 8

A decisão da AEPD seguiu a seguinte razão jurídica: um indivíduo comum (que não é uma figura pública e que não está envolvido em um evento público relevante) não precisa se conformar com que seus dados pessoais estejam publicamente disponíveis na Internet. Entretanto, a agência considerou que requerer o consentimento prévio dos indivíduos ou impor filtros ao mecanismo de busca seriam medidas gravosas demais à liberdade de expressão e informação, semelhantes à censura e, portanto, constitucionalmente inviáveis. Diante disso, a AEPD entendeu que os cidadãos poderiam reagir ao aparecimento de informações online, por meio, por exemplo, do direito ao apagamento de dados previsto na Diretiva 95/46/EC. Dessa reforma, reconheceu o direito de Costeja de ter seus dados apagados para evitar efeitos permanentes contra sua vontade. 9

Segundo Miquel Peguera, a decisão não discutiu expressamente se o Google seria um controlador, se teria razões legítimas para realizar o tratamento. A decisão teria citado uma passagem de um documento do Grupo de Trabalho do Artigo 29 que tratava o Google como controlador. No entanto, tal documento apenas cuidava do tratamento de dados dos usuários que realizam as buscas, e não dos dados indexados, sendo, portanto, dificilmente aplicável ao caso concreto. 10

Peguera refere-se, em sua análise, à Opinião 1/2008 (WP 148) sobre os mecanismos de busca, elaborada pelo Grupo de Trabalho do Artigo 29 (GT-A29). 11 A decisão da AEPD citou o documento ao tratar de uma das importantes questões debatidas no Caso Google Espanha: deveria a Diretiva de Proteção de Dados se aplicar ao mecanismo de busca que, conforme se alegava, funcionava a partir dos EUA – e, portanto, fora do Espaço Econômico Europeu (EEE)? 12

Como observado, parte da discussão diz respeito sobre como categorizar os mecanismos de busca à luz da Diretiva 95/46/EC, bem como sobre definir a extensão da aplicação das normas europeias à matriz e à subsidiária do Google. Nesse sentido, a agência de proteção de dados da Espanha reconheceu o mecanismo de busca como controlador, sem elaborar sobre a distinção apresentada pelo GT-A29 entre os dados coletados dos seus usuários (aqueles que realizam as buscas) pelo mecanismo de busca e as informações que contêm dados pessoais publicadas por um terceiro na rede e indexadas pelo serviço. No que diz respeito à sua competência, a AEPD ainda reconheceu que o Google possuía um estabelecimento na UE (por meio do Google Espanha), bem como que, ao indexar páginas armazenadas na Espanha, se valia de meios situados no território espanhol. 13

Pela análise da legislação nacional, a AEPD apontou que um intermediário de Internet que facilite o enlace (link) a outros conteúdos (incluindo, portanto, os mecanismos de busca) não deveria ser responsabilizado pela informação a que direciona se: i) não tiver conhecimento efetivo de que a atividade ou informação a que remetem é ilícita ou lesiona direitos de terceiro; ii) ao adquirir tal conhecimento, atuem com diligência para suprimir o enlace correspondente.

Foi a partir desses raciocínios que a AEPD concluiu que os dados obtidos (leia-se, indexados) pelo Google afetam a dignidade da pessoa humana e podem lesionar direitos de terceiros. 14 A decisão transcreveu, ainda, outro precedente da própria Agência (TD/266/2007), no qual afirmou que “ningún ciudadano que ni goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de carácter personal circulen por la RED sin poder reaccionar ni corregir la inclusión ilegítima de los mismos en un sistema de comunicación universal como Internet”, 15 apontando para uma construção interpretativa que, tal como no caso Lindqvist, 16 alcança (por meio das normas de proteção de dados) as informações publicadas na forma de expressão ou discurso veiculado pela Internet.

Antes de proferir a sua decisão, a agência, inclusive, analisou alguns aspectos técnicos dos mecanismos de busca e apontou para a impossibilidade de o provedor de pesquisa apagar a informação na fonte original. Entretanto, considerando o armazenamento pela empresa das informações indexadas em seus servidores em sua memória cache (aspecto que será melhor detalhado no próximo item), a agência apontou que a lei espanhola não possuía normas mandando que os dados do reclamante (Costeja) figurassem nos índices do Google, nem impedindo o exercício do direito de cancelamento na situação concreta. 17

Dessa forma, determinou que a empresa deveria ter implementando as medidas necessárias para retirar os dados de seu índice e impossibilitar o acesso posterior a eles, ordenando a exclusão dos dados dos índices elaborados pelo mecanismo de busca. 18

Apelação para a Audiencia Nacional

Google Espanha e Google Inc. apelaram, separadamente, para a Audiencia Nacional, corte competente para rever decisões administrativas da AEPD, que referenciou a decisão para o TJUE apresentando três tipos de questões: i) sobre o escopo territorial das normas de proteção de dados europeias e seu alcance; ii) sobre como a atividade do mecanismo de buscas deveria ser interpretada pela diretiva ou, em outras palavras, se o Google poderia ser considerado como um controlador ou processador. A AN indagou quais seriam as obrigações de um mecanismo de buscas, particularmente em relação aos direitos a apagamento e objeção, especialmente no caso de informação publicada legalmente em sua origem; iii) por fim, a AN indagou se as informações poderiam ser removidas simplesmente a pedido do indivíduo, ou se tal indivíduo precisaria demonstrar que tal informação teria lhe acarretado ou poderia acarretar algum tipo de prejuízo.

O caso no TJUE

Antes de ser apreciado pelo Tribunal de Justiça da UE, o caso foi analisado pelo Advogado-Geral (AG) no Tribunal de Justiça Europeu, Niilo Jääskinen. Em 25 de Junho de 2013, o AG apresentou sua opinião no caso C-131/12 (Google Spain SL, Google Inc. v. AEPD) não recomendando considerar o mecanismo de busca como “responsável pelo tratamento” 19 e, por extensão, afirmando que o direito ao apagamento e ao bloqueio dos dados e o direito de oposição ao tratamento não deveriam conferir ao titular dos dados pessoais um direito de ir diretamente aos mecanismos de busca para “impedir a indexação de informações referente à sua pessoa, legalmente publicada em páginas web de terceiros, alegando não desejar que tais informações sejam conhecidas pelos utilizadores da Internet por considerar que as mesmas lhe podem ser prejudiciais ou pretender ser esquecida20 .

O Tribunal, entretanto, decidiu em favor de Costeja. Segundo Keller, o TJUE concluiu que o Google atuava como controlador ao indexar o anúncio oficial do governo espanhol porque determinava os propósitos e meios pelos quais trataria tais dados. O Tribunal, ainda, teria focado na função de indexação do Google, enfatizando que os mecanismos de buscas agregariam informações dispersas e desconectadas para “estabelecer um perfil mais ou menos detalhado da pessoa em causa”. 21 O Tribunal, ademais, enfatizou que esse tratamento seria distinto daquele realizado pelo La Vanguardia ao postar a informação na rede, devendo, portanto, ser objeto de uma análise em separado para definir a que tipo de obrigações deveria estar sujeito. Para Keller, por essa razão, um mecanismo de buscas poderia ser obrigado a remover os links de resultados mesmo quando a publicação original fosse lícita. A decisão teria criado um efetivo procedimento de notificação e retirada, sem, no entanto, fazer referência às normas que cuidam da responsabilidade dos intermediários de internet na Espanha, implementando a Diretiva de Comércio Eletrônico da UE. 22

Para entender melhor a decisão, é imperativo compreender como funcionam os mecanismos de busca.

iii) Mecanismos de busca

Antes de nos indagarmos se as normas de proteção de dados pessoais europeias (e, por extensão, as brasileiras) devem se aplicar aos mecanismos de busca na Internet, é importante compreendermos, ao menos em linhas gerais, como operam esses buscadores.

O próprio Google oferece informações sobre como a ferramenta funciona. 23 A empresa explica que, quando realizamos uma busca, não estamos varrendo toda a web à procura de informações. Estamos, na realidade, buscando em um índice da web construído e armazenado pelo Google (index). Segundo a explicação em vídeo disponibilizada pela empresa, esse índice é construído do trabalho de spiders (software que explora a teia de informações da Internet). 24 O trabalho das spiders teria início na análise de algumas páginas da rede. A partir daí, o software acessa todos os enlaces (links) existentes naquela página. Assim por diante, o software vai acessando todas as páginas até construir um índice o mais completo possível (bilhões de páginas, conforme a empresa). 25

Quando um usuário realiza uma busca, os softwares do Google pesquisam, no índice construído, todas as páginas que incluem os termos buscados. A partir de todos os resultados encontrados (que incluem, não raras vezes, centenas de milhares de páginas), a empresa apresenta os resultados em um ranking criado a partir de algoritmos 26 que buscam priorizar as páginas mais relevantes.

O trabalho desses algoritmos pode ser traduzido como uma série de perguntas (mais de duzentas, segundo a empresa) sobre os conteúdos encontrados, como: quantas vezes os termos aparecem nessa página?; esses termos aparecem no título ou na URL (endereço) da página?; a página usa algum sinônimo do termo?; é uma fonte reconhecidamente de “boa qualidade” ou uma fonte de má qualidade (que propaga SPAM, por exemplo)? Qual o PageRank dessa página? 27 Cada enlace recebe uma pontuação geral e, assim, o mecanismo de busca retorna com uma lista apresentando os resultados em ordem de relevância.

Na apresentação dos resultados, cada página indexada é apresentada com seu título, URL e um snippet (pequeno trecho do seu conteúdo). Os resultados também apresentam links para páginas similares, a última versão da página indexada que se encontre armazenada nos servidores do Google e sugestões de buscas similares. Próximo aos resultados, são exibidos anúncios que se relacionam com os termos buscados.

O funcionamento do mecanismo de busca também foi objeto de análise do Advogado-Geral do TJUE. Na sua análise, o AG apontou para diferentes tratamentos realizados pela empresa, nos seguintes termos:

33. Em primeiro lugar, na sua forma mais básica, um motor de pesquisa na Internet não cria, em princípio, novos conteúdos autónomos. Na sua forma mais simples, apenas indica onde podem ser encontrados conteúdos já existentes, disponibilizados por terceiros na Internet, fornecendo uma hiperligação [hyperlink] para o sítio web que contém os termos da pesquisa.

34. Em segundo lugar, os resultados da pesquisa exibidos por um motor de pesquisa na Internet não se baseiam numa pesquisa imediata de toda a World Wide Web, mas são recolhidos a partir de conteúdos que o motor de pesquisa tratou previamente. Isto significa que um motor de pesquisa recupera conteúdos de sítios web existentes e copia, analisa e indexa esses conteúdos nos seus próprios dispositivos. Este conteúdo inclui dados pessoais se alguma das páginas-fonte incluir tais dados.

35. Em terceiro lugar, muitas vezes, para tornar mais fácil a utilização dos resultados, os motores de pesquisa apresentam conteúdos adicionais a par da ligação ao sítio web original. Podem ser excertos de um texto, conteúdos audiovisuais ou mesmo imagens (instantâneos) das páginas‑fonte. Esta informação pré-visualizável pode, pelo menos em parte, ser recuperada dos dispositivos do prestador do serviço de motor de pesquisa, e não instantaneamente do sítio web original. Isto significa que o prestador de serviços detém efetivamente a informação exibida. 28

Como se pode observar, portanto, as análises das etapas de funcionamento dos mecanismos de busca partem do princípio de que as informações publicadas (uma notícia de jornal, um artigo em um blog, uma foto) são dados pessoais, sujeitos, assim, às normas de proteção de dados.

Além desses aspectos, é importante atentar que a cópia das informações indexadas pode permanecer nos servidores do mecanismo de busca na forma de uma memória cache, 29 mesmo que a fonte original já tenha sido apagada. 30

Controles pelo Webmaster e Protocolos de Exclusão de Robôs

O mecanismo de buscas do Google e outros buscadores oferecem diferentes níveis de controle a um webmaster (o responsável por determinado sítio eletrônico, onde as informações foram originalmente publicadas e de onde são indexadas) em relação às formas como os crawlers podem agir relativamente ao seu sítio. Esse controle é realizado por meio de informações que o webmaster disponibiliza, informando quais as restrições e permissões conferidas aos crawlers. Essas informações devem respeitar determinados padrões, conhecidos como Protocolos de Exclusão de Robôs ou Robots.txt. 31

Na explicação do Google sobre o tema:

Oferecemos ferramentas para webmasters de modo que os proprietários de sites tenham opções granulares sobre como o Google faz o rastreamento: eles podem fornecer instruções detalhadas sobre como processar as páginas nos sites deles, solicitar um novo rastreamento ou desativar totalmente esse processo por meio de um arquivo chamado robots.txt. O Google nunca aceita pagamentos para rastrear sites com mais frequência. Oferecemos as mesmas ferramentas para todos os sites a fim de garantir os melhores resultados possíveis para nossos usuários. 32

Esse padrão teria sido proposto em Fevereiro de 1994 33 e rapidamente se tornou um padrão adotado pelos principais mecanismos de busca da época. 34 Por esse padrão, qualquer webmaster pode criar um arquivo de texto (robots.txt) e deixá-lo acessível em sua página inicial, informando que páginas podem ser varridas e indexadas pelos crawlers dos diversos mecanismos de busca.

Diante disso, a busca na Internet estruturou-se a partir de um modelo em que todos os sítios eletrônicos podem ser rastreados e indexados, a não ser que os webmasters optem por impedir o crawling em algumas de suas páginas parcial ou integralmente por meio de um arquivo robots.txt. Se, além de impedir o rastreamento, o webmaster desejar impedir a indexação, isso é possível por meio de inserção de uma metatag (espécie de etiqueta) chamada noindex na página, de modo a indicar essa preferência. 35

É possível restringir a atuação de determinados mecanismos de buscas, deixando outros atuarem livremente. Além disso, é possível pedir para que os crawlers “atrasem” a indexação, de forma a evitar que mecanismos de busca que atuem intensivamente em grandes websites acessem as diversas páginas múltiplas vezes, possivelmente deteriorando a qualidade do serviço. 36

Um interessante comando (ou diretiva) disponibilizado pelo Google é a diretriz “unavailable_after”, por meio da qual é possível a um webmaster determinar que a página não seja rastreada após determinada data. 37 Esse comando pode servir para instrumentalizar a implementação de uma desindexação de informações antigas ou expiradas, alternativa que, até onde se sabe, não foi amplamente explorada nas discussões sobre um direito ao esquecimento. Outro comando, chamado nocache, permite aos webmasters indicarem que não desejam que uma página fique disponível na memória cache do buscador em sua página de resultados. 38

No caso Google Espanha, ao tratar da responsabilidade de um webmaster pelos dados pessoais existentes em suas páginas, o Advogado-Geral da UE fez considerações sobre a possibilidade de que o editor das páginas-fonte utilizasse códigos de exclusão para que um motor de buscas não indexasse ou armazenasse uma página. 39

Esses apontamentos abrem algumas alternativas em relação às possibilidades de lidar com informações antigas disponíveis na Internet e indexadas pelos mecanismos de busca, incluindo a de demandar que os webmasters tomem medidas para a desindexação do conteúdo, tornando-os, assim, integralmente responsáveis pela forma como seus conteúdos são disseminados na rede.

A título de conclusão desta seção, é importante notar que esse protocolo é absolutamente voluntário. Dessa forma, há crawlers que não respeitam as restrições estabelecidas. Alguns chegam a buscar preferencialmente as subpáginas de um sítio eletrônico que foram apontadas pelo webmaster como páginas em que os robôs não são bem-vindos, talvez exatamente na busca de informações que o webmaster tenta camuflar.

iv) A Lei Europeia e os Mecanismos de Busca

A análise do caso Google Espanha pelo TJUE envolveu a discussão de, pelo menos, dois corpos de normas distintos. De um lado, a discussão sobre a caracterização dos mecanismos de busca como controladores de dados pessoais e, consequentemente, a aplicação a essas ferramentas (e em que medida) das normas de proteção de dados pessoais constantes da Diretiva 95/46/EC. De outro, a discussão sobre a caracterização desses provedores de pesquisa como intermediários de Internet e, consequentemente, a aplicação das normas que tratam da responsabilidade dos intermediários de Internet constantes da Diretiva de Comércio Eletrônico da UE (Diretiva 2000/31/EC). 40

Ao tratar da interface das duas normas europeias, Daphne Keller abordou largamente o caso Google Espanha. Na apresentação da questão, a autora ofereceu a seguinte visão geral do problema:

Google Spain also surfaced tensions between two strikingly different areas of law, both of which shape Internet users’ rights online. The first area of law, intermediary liability, focuses on the legal responsibility that Online Service Providers (OSPs) have for their users’ speech. It is a key source of protection for individual expression and information rights on the Internet. The second, data protection, focuses on information about individual people. It gives them legal rights to limit the ever-proliferating uses of their personal data, both online and off. Both sets of laws protect fundamental rights and preserve Internet services as, in the words of the European Court of Human Rights (ECHR), “essential tools for participation” in contemporary society and public life.1 But these laws do so through profoundly different legal frameworks. Tensions between intermediary liability and data protection persist in the EU’s major new data protection law – the General Data Protection Regulation (GDPR). In provisions that have gone largely unexamined, the GDPR subtly reshapes the RTBF. 41

O reconhecimento de um direito ao esquecimento (ou à desindexação) no caso Google Espanha, portanto, situa-se exatamente na interpretação da interface entre as normas europeias de proteção de dados pessoais e de responsabilidade dos intermediários. Os problemas interpretativos endereçados no caso Google Espanha devem ser, mais cedo ou mais tarde, alvo de discussão também no Brasil. Antes de explorarmos as importantes diferenças entre as normas europeias e brasileiras (item 6.3), vejamos como as normas da Diretiva 95/46/EC foram aplicadas nesse caso concreto.

Mecanismos de busca e a proteção de dados pessoais

Antes mesmo de o caso Google Espanha ser julgado pelo TJUE, a forma como as normas de proteção de dados europeias deveriam ser aplicadas aos mecanismos de busca já era objeto de discussão. Na Opinião 1/2008, adotada em 04 de abril de 2008 (WP 148), sobre aspectos da proteção de dados pessoais relacionados a mecanismos de buscas, o GT-A29 analisou a questão, apontando para dois papéis principais dos mecanismos de busca em relação a dados pessoais.

A Opinião 42 traçou uma importante distinção entre a coleta de dados pessoais daqueles que usam o motor de busca (e que têm seu histórico de pesquisa e outras informações coletadas para diversas finalidades) e a atividade-fim do motor de busca, de tornar acessíveis informações publicadas por terceiros na rede, que, não raras vezes, contém variados tipos de dados pessoais. 43 O GT-A29 enfatizou como a agregação de informações disponíveis em diversas fontes distintas pode representar a criação de um perfil de uma pessoa, afetando suas vidas pessoais e em sociedade, especialmente se os resultados são “incorretos, incompletos ou excessivos”. 44

Esse segundo papel exercido pelos mecanismos de buscas (encontrar a informação buscada e devolvê-la na forma de resultados) partiria do princípio de que as informações rastreadas e indexadas podem conter dados pessoais. Em outras palavras, tais informações públicas (ou publicadas, mesmo que na forma de manifestação da expressão) podem ser consideradas dados pessoais. Como visto anteriormente, essa foi a decisão no caso Lindqvist, que considerou uma postagem de blog como um processamento de dados pessoais.

De acordo com a Diretiva 95/46/EC, é considerada dado pessoal “qualquer informação relativa a uma pessoa singular identificada ou identificável”. Diante da incerteza e diversidade na interpretação de tal expressão, esta chegou a ser detalhada no Parecer 4/2007 45 sobre o conceito de dado pessoal, que analisou os elementos da definição de dado pessoal. O próprio documento reconhece que o termo é propositadamente amplo, seguindo a Convenção 108, justamente com o objetivo de alcançar qualquer informação que possa ser ligada a um indivíduo. 46

Entretanto, o escopo e exceções presentes na Diretiva excluem determinadas atividades do seu alcance, apontando que certa flexibilidade está incorporada ao texto de modo a dar uma resposta jurídica adequada nas circunstâncias concretas, mesmo considerando a amplitude dos conceitos de dado pessoal e de tratamento. 47

Entre os vários exemplos analisados na opinião, um importa especificamente para o tema deste trabalho. Ao tratar do elemento “pessoa identificada ou identificável”, o documento traz a situação hipotética de uma matéria de jornal sobre um crime antigo que não cita o nome dos indivíduos envolvidos.

Exemplo n.º 10: informação fragmentada na imprensa

É publicada informação na imprensa sobre um antigo crime que, no passado, suscitou grande interesse por parte do público. Da presente publicação não constam nenhum dos identificadores tradicionais apresentados, não há nome nem data de nascimento de nenhuma das pessoas envolvidas.

Não será extraordinariamente difícil obter informação adicional que permita descobrir quem são os principais envolvidos, por exemplo, consultando jornais do período em causa. De facto, pode presumir-se que não é completamente improvável que alguém tome essas medidas (consultando antigos jornais) que, muito provavelmente, forneceriam nomes e outros identificadores para as pessoas referidas no exemplo. Parece assim justificado que se considere a informação referida no exemplo como sendo “informação sobre pessoas identificáveis” e, como tal, “dados pessoais”. 48

Nesse caso, como se pode observar, a interpretação do GT-A29 foi ampla no sentido de reconhecer que a informação veiculada na matéria, mesmo sem citar o nome do indivíduo, caracteriza-se como um dado pessoal. Esse tipo de interpretação, associado ao reconhecimento de que uma publicação pode constituir “tratamento de dados pessoais” (tal como no já citado caso Lindqvist), pode levar a uma interpretação ampliativa das normas de proteção de dados, que certamente interferirá na liberdade de expressão e de comunicação social.

Se o conteúdo publicado representa dados pessoais, seu rastreamento e sua indexação estarão sujeitos às normas de proteção de dados? Para responder a essa pergunta no caso Google Espanha, o TJUE precisou analisar se o mecanismo de busca deveria ser considerado um controller nos termos da Diretiva 95/46/EC.

A Diretiva trazia a definição de um controller (ou responsável pelo tratamento, na versão em português), no seu artigo 2 (d). Dizia a Diretiva:

d) “Responsável pelo tratamento”, a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios do tratamento sejam determinadas por disposições legislativas ou regulamentares nacionais ou comunitárias, o responsável pelo tratamento ou os critérios específicos para a sua nomeação podem ser indicados pelo direito nacional ou comunitário; (...). 49

Em outras palavras, o controller é aquela entidade ou pessoa que determina as finalidades e os meios de tratamento dos dados pessoais. Na sua Opinião sobre os mecanismos de busca, o GT-A29 foi claro em apontar que um motor de busca é claramente controlador dos dados coletados de seus usuários (aqueles que fazem as buscas). 50

Já no que diz respeito ao conteúdo rastreado e indexado, o GT-A29 apresentou a opinião de que o critério decisivo para a aplicação da Diretiva 95/46/EC seria a definição de “responsável pelo tratamento” (controlador). Apontando para um princípio da proporcionalidade, o GT-A29 apontou que um provedor de pesquisa não deveria ser considerado o principal responsável pelo tratamento das informações indexadas. O principal responsável deveria ser, nesse caso, o responsável pela publicação do conteúdo. Além disso, o documento afirmou que o controle formal, legal e prático que um mecanismo de buscas possui sobre os dados pessoais envolvidos é geralmente limitado à possibilidade de remover tais dados de seus servidores. 51

Dessa forma, a Opinião do GT-A29 parece indicar para uma responsabilidade diferenciada do mecanismo de busca no caso de este ser considerado um controlador das informações publicadas por terceiros, especialmente quando o buscador agir puramente como um intermediário. Logo, importa compreender como a atividade dos intermediários de Internet é regulada no direito comunitário europeu.

Mecanismos de busca e a responsabilidade dos intermediários

Para além de controladores de dados pessoais sujeitos às normas de proteção de dados, mecanismos de busca também podem ser considerados como intermediários de Internet. Na qualidade de intermediários, mecanismos de busca podem gozar de proteções especiais criadas pela lei com o objetivo de preservar a inovação e a liberdade de expressão. São os chamados safe harbors, ou portos seguros, que imunizam de responsabilidade civil e penal aqueles intermediários que não exerçam um controle editorial ativo sobre quais os conteúdos postados por seus usuários ou terceiros em suas plataformas.

Ao formular o problema diante do TJUE, o Advogado-Geral apontou para a necessidade de se analisar a responsabilidade do mecanismo de busca como um information society service provider, ou seja, partindo da categoria jurídica criada pela E-Commerce Directive do ano 2000, que trata exatamente das normas de responsabilidade dos intermediários. Tratando dessas normas, Peguera afirmou o quanto segue:

As normas da UE estabeleceram safe harbors (portos-seguros) excepcionando certos tipos de intermediários da responsabilidade civil de modo que, desde que atendidas certas condições, tais intermediários não podem ser responsabilizados por conteúdos ilegais disponibilizados por seus usuários. Esse modelo de safe harbors foi estabelecido nos artigos 12 a 15 da Diretiva de Comércio Eletrônico de 2000, um conjunto de regras que se inspirou, em grande medida, no US Digital Millenium Copyright Act (DMCA) de 2000. 52

Ao tratar das normas de responsabilidade dos intermediários no contexto da proteção de dados, Daphne Keller abordou essa natureza complexa dos intermediários de Internet em relação aos dados dos seus usuários e aos conteúdos que são postados em suas plataformas. Segundo a autora:

Provedores de serviços online (OSPs ou Online Service Providers) são criaturas complexas à luz das normas proteção de dados. De um lado, como operadores em seu back-end de bases de dados proprietárias e de sistemas de armazenamento contendo registros dos clicks, compras e outros comportamentos de seus usuários, tais provedores parecem ser controladores de dados no sentido clássico do termo. Ao mesmo tempo, esses provedores processam conteúdo criado e compartilhado por seus usuários – e, em alguns casos, esse conteúdo inclui dados pessoais de outras pessoas. Um usuário que posta uma foto ou um comentário sobre outra pessoa está colocando os dados pessoais desse terceiro nas mãos de um provedor. É difícil identificar, no contexto das normas de proteção de dados pessoais, as obrigações do provedor em relação ao seu usuário (speaker), à pessoa sobre a qual se fala e em relação ao discurso veiculado. 53

A partir dessa distinção (reconhecida, reitera-se, no Parecer 1/2008 sobre mecanismos de busca), um importante aspecto deve ser observado. Na relação direta estabelecida usuário-plataforma, a coleta de dados se dá no âmbito de um contrato (termos de uso) e não envolve, muito provavelmente, as diversas dimensões da liberdade de expressão de terceiros. Já no que diz respeito a publicações de terceiros que eventualmente contêm informações pessoais do titular de dados pessoais, outro conjunto de interesses está em discussão. Trata-se de uma relação usuário/titular de dados-plataforma-autor da publicação-interesse público no acesso à publicação.

A partir dessa distinção, Keller aponta que enquanto no caso de back-end data apenas os interesses do usuário e da empresa que coletou os dados estão envolvidos, no caso de expressão pública, ao menos outros dois interesses estariam presentes: aqueles do responsável pela publicação do conteúdo e do público em ter acesso à informação. 54

A autora aponta, portanto, para o desafio de assegurar a proteção de dados pessoais em contextos que envolvem também os interesses de garantir a liberdade de expressão e de acesso à informação. Nesse sentido, as normas que cuidam da responsabilidade dos intermediários e os debates já travados sobre o tema podem apresentar importantes insumos à discussão.

v) A decisão do TJUE

Tendo em vista os conceitos trazidos pelas normas europeias de proteção de dados pessoais, é possível compreender o raciocínio do TJUE no caso Google Espanha e, acima de tudo, visualizar as suas consequências no contexto europeu.

Na decisão, o TJUE afirmou que os mecanismos de busca, ao rastrearem e indexarem as informações publicadas por terceiros na rede, estão realizando o tratamento de dados pessoais e que, dessa forma, deveriam ser reconhecidos como controladores de dados pessoais no sentido estabelecido pela Diretiva. Isso significa dizer que o TJUE entendeu que o mecanismo de busca é, nos termos da Diretiva, um “organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais”. 55

Esse passo foi importante para definir a responsabilidade do mecanismo de busca em desindexar determinadas informações. Antes de ingressar nessa questão, o TJUE foi chamado a responder se a legislação europeia se aplicava à empresa norte-americana ou à sua subsidiária espanhola. Respondendo a essas questões (que compunham o primeiro grupo de perguntas formuladas pela AN), o TJUE, então, passou a analisar se a presença da subsidiária (Google Espanha) em território espanhol se caracterizava como um estabelecimento nos termos do artigo 4 (1)(a) da Diretiva. 56

Para materializar juridicamente esse raciocínio, o TJUE afirmou que a atividade de venda de anúncios conduzida pela subsidiária espanhola do Google era uma atividade intrinsicamente ligada ao mecanismo de busca, fazendo-a economicamente lucrativa. Dessa forma, reconhecendo que a atividade de anúncios era conduzida no contexto do tratamento de dados pessoais (os resultados de busca eram exibidos na mesma página e acompanhados...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
19 de Janeiro de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1201075295/4-mecanismos-de-busca-e-demandas-por-desindexacao-direito-ao-esquecimento-ed-2020