No dia 19 de dezembro de 2024, um julgamento emblemático, proferido às vésperas do recesso judicial, movimentou o mundo corporativo tecnológico: Apple e Google foram condenadas pelo Judiciário brasileiro ao ressarcimento de danos morais coletivos no valor de 19 milhões de reais.
A condenação se deu em razão da comercialização do aplicativo “FaceApp” em desconformidade com a legislação brasileira de proteção de dados pessoais. A decisão, que ainda poderá ser objeto de recurso, teve origem na Vara de Interesses Difusos e Coletivos de São Luís, no Maranhão, e foi movida pelo Instituto Brasileiro de Estudo e Defesa das Relações de Consumo (autos n. 0815717-65.2020.8.10.0001).
O aplicativo, famoso por permitir edições quase mágicas em fotos de rostos — como envelhecer, rejuvenescer ou até modificar o gênero — tornou-se um fenômeno viral em poucas semanas. A questão é que, para essa “mágica” acontecer, fotos dos usuários eram colhidas, consideradas dados pessoais sensíveis de caráter biométrico. E foi assim que esse mesmo sucesso acendeu um debate sobre o uso indiscriminado de dados biométricos — uma preocupação rigorosamente tratada pelo Marco Civil da Internet e pela Lei Geral de Proteção de Dados (LGPD).
Para o julgamento da ação, apontaram-se graves violações ao direito dos usuários por parte dessas empresas, desde o compartilhamento indevido de imagens e vídeos capturados até a deficiência nas comunicações sobre o propósito desses dados coletados — em línguas estrangeiras, o que agravou o acesso à informação essencial para os usuários. Essa linha de julgamento já vem sendo aplicada no âmbito administrativo, como pelo Procon, Senacon e outros órgãos.
Apple e Google são agora exemplos tangíveis do custo de negligenciar essas normas, frente à severidade das penalidades — um paralelo que pode ser feito com a multa similar aplicada ao Banco Itaú pelo Senacon, no valor de 9,6 milhões de reais, pelo uso inadequado de dados pessoais.
O precedente que se estabelece com este julgamento promove uma diretriz inequívoca para corporações globais que atuam no Brasil, especialmente com relação à necessidade, imperativa e urgente, de adesão aos regulamentos de dados de acordo com a legislação brasileira, e não somente com as regras de suas controladoras estrangeiras. É um chamado para a responsabilidade ética e legal.
No Brasil, é relevante apontar que todo tratamento de dado pessoal, isto é, aquele que identifica uma pessoa natural, está submetido à legislação brasileira, ainda que realizado por empresa estrangeira. Notadamente, isso inclui o Marco Civil da Internet e a Lei Geral de Proteção de Dados.
Todo esse aparato normativo decorre de uma previsão “maior” da Constituição, que tutela a intimidade e a vida privada. No caso em questão, esses direitos podem ter sido gravemente violados, especialmente pelo vazamento de conteúdos do celular de milhares de usuários, incluindo menores e adolescentes, cuja proteção legal é ainda mais rigorosa no país.
Para algumas empresas, o cuidado com dados biométricos pode parecer algo trivial — especialmente quando comparado a um aplicativo com milhões de usuários no mundo. Contudo, ele está presente em rotinas simples, como controle de ponto por reconhecimento facial ou digital, por exemplo. Isso demonstra que a preocupação com proteção de dados é de todos. A LGPD prevê a possibilidade de multa de até 2% do faturamento, com limite de até 50 milhões de reais.
A decisão reforça a importância da implantação e do aperfeiçoamento dos programas de compliance e LGPD pelas empresas, especialmente aquelas de matriz estrangeira que necessitam da “tropicalização” dessas políticas. Esse processo não se limita a traduzir políticas de um idioma para outro, mas exige uma verdadeira adequação às normas e regras locais, garantindo a continuidade das diretrizes e o padrão internacional entre matriz e filial. Esse trabalho deve ser realizado de forma minuciosa e por consultorias especializadas em compliance e proteção de dados.
Bruna Trajano é especialista em Direito Público, com foco na área de licitações, contratos públicos, compliance e proteção de dados do Briganti Advogados.
Ive Caroline Cândido é especialista em Direito Empresarial no Briganti Advogados.
