O “direito ao esquecimento” no GDPR: primeiras impressões

Poucos temas sobre a proteção de dados estão tão intimamente ligados aos desenvolvimentos recentes no direito europeu como o chamado "direito ao esquecimento". Não é de se espantar então que o novo Regulamento Europeu sobre Proteção de Dados (GDPR) trate do assunto com destaque.

Antes da entrada em vigor do GDPR, o tema do direito ao esquecimento esteve amplamente relacionado a pedidos de desindexação enviados a provedores de busca. O caso mais emblemático envolveu um cidadão espanhol, Mario Costeja, que havia descoberto que, ao procurar pelo seu nome no Google, o primeiro resultado da pesquisa era um link para uma página do jornal La Vanguardia. Nesse link constava a informação de que o Sr. Costeja teve um imóvel vendido para o pagamento de dívida. Segundo alegou, esse fato lhe causava grande constrangimento e que, decorridos os anos, era injusto que essa informação continuasse a assombrá-lo quando se pesquisava por seu nome no buscador.

O Tribunal de Justiça da União Europeia concordou com o argumento do Sr. Costeja e ordenou que buscadores passassem a receber e a analisar pedidos extra-judiciais de desindexação de resultados de busca a partir dos nomes de europeus. Uma controvérsia adicional foi então gerada: caso entendesse procedente, bastaria ao buscador desindexar o link indicado de sua ferramenta nacional (".fr" para franceses, ".pt" para portugueses, por exemplo) ou deveria desindexar globalmente? A questão permanece em aberto.

O direito ao esquecimento que consta do texto do GDPR parece ser mais amplo e trazer uma série de novos questionamentos. De início, vale ressaltar que ele agora está previsto no artigo 17 do Regulamento, intitulado "Direito ao apagamento de dados ('direito a ser esquecido')". Não deixa de ser curioso que o chamado direito ao esquecimento apareça no texto do GDPR entre aspas. Isso talvez aponte para o fato de que o nome pegou e vem sendo usado na prática com enorme frequência, mas, como já tivemos oportunidade de apontar, a sua definição está longe de ser incontroversa.

Outra questão importante pode ser encontrada também no título do artigo 17: o "direito ao esquecimento" aparece lado a lado com o direito ao apagamento de dados. Até então, o procedimento para o apagamento de dados era conhecido, envolvendo a solicitação por parte do titular dos dados pessoais de que os mesmos, quando possível, fossem eliminados. O direito ao esquecimento, quando aplicado na Internet, esteve quase sempre ligado à desindexação de chaves de busca. Resta saber agora como o esquecimento (ligado ao apagamento) pode afetar novos agentes econômicos que se valem de dados pessoais para desenvolver seus modelos de negócio. Podemos esperar algumas ações que vão testar o alcance do dispositivo do artigo 17.

Mas o que diz então o artigo 17? Ele determina que o titular de dados pessoais tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados sem demora injustificada. O responsável pelo tratamento terá então o dever de apagar dados quando se aplique um dos seguintes motivos: (i) os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua coleta ou tratamento; (ii) o titular retirou o consentimento em que se baseava o tratamento dos dados, não existindo outro fundamento jurídico para o tratamento; (iii) o titular manifestou a sua oposição ao tratamento e não existem interesses legítimos prevalecentes que justifiquem o tratamento; (iv) os dados pessoais foram tratados ilicitamente; (v) os dados pessoais têm de ser apagados para o cumprimento de uma obrigação jurídica decorrente do direito da União ou de um Estado-Membro a que o responsável pelo tratamento esteja sujeito; ou (vi) os dados pessoais foram coletados no contexto da oferta de serviços da sociedade da informação e envolvem menores de 16 anos (para menores de 16 anos o tratamento só é lícito com o consentimento dos responsáveis).

Um dispositivo que certamente enfrentará controvérsias é o item 2 do artigo 17, que determina que quando "o responsável pelo tratamento tiver tornado públicos os dados pessoais e for obrigado a apagá-los, ele deverá tomar as medidas que forem razoáveis, incluindo de caráter técnico, tendo em consideração a tecnologia disponível e os custos da sua aplicação, para informar os responsáveis pelo tratamento efetivo dos dados pessoais de que o titular dos dados lhes solicitou o apagamento das ligações para esses dados pessoais, bem como das cópias ou reproduções dos mesmos."

Essa cadeia de comunicação avisando que foi recebido um pedido de direito ao esquecimento vai gerar um debate sobre quais comportamentos devem ser esperados por parte do responsável pelo tratamento de dados.

Por fim, vale lembrar que o chamado direito ao esquecimento encontra diversas limitações já no próprio texto do Regulamento. Sendo assim, o responsável não deverá seguir com o pedido quando o tratamento se revele necessário: (i) ao exercício da liberdade de expressão e de informação; (ii) ao cumprimento de uma obrigação legal que exija o tratamento prevista pelo direito da União ou de um Estado-Membro a que o responsável esteja sujeito, ao exercício de funções de interesse público ou ao exercício da autoridade pública de que esteja investido o responsável pelo tratamento; (iii) por motivos de interesse público no domínio da saúde pública; (iv) para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos; ou (v) para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

Os tribunais brasileiros, desde o julgamento do caso Costeja, em 2014, vem aplicando o chamado direito ao esquecimento de variadas formas. Vale lembrar que não existe na legislação brasileira um dispositivo dedicado ao tema. Mais recentemente, o STJ determinou que fossem desindexados de provedores de busca os resultados de pesquisa que apontassem para uma suposta fraude em concurso para a magistratura. A ação, movida por uma promotora, talvez não se adequasse aos limites traçados pelo GDPR. Haveria interesse público ou direito à informação que demandasse o não apagamento?

Essas inquietações não são exclusivas da realidade brasileira e será interessante acompanhar como o mecanismo do "direito ao esquecimento" será implementado nessa nova roupagem na Europa. A única certeza é que não faltarão controvérsias.