A União Europeia iniciou neste ano a sua trajetória em direção à “Década Digital” até 2030, programa que visa a modernização tecnológica do meio europeu, incluindo o aprimoramento das leis que versam sobre as atividades desenvolvidas na internet – que ainda são muito escassas se comparadas com as leis voltadas ao mundo físico.
Portanto, uma parte dos esforços de equiparar o nível de proteção dada pela legislação do mundo virtual com o físico se dirige justamente ao controle das atividades de empresas como Google, Meta e Microsoft, que por conta de suas gigantescas esferas de influência são capazes de dominar o mercado e causar enormes impactos sociais.
Justamente para coibir esta enorme influência estão sendo aprovadas a “Lei dos Mercados Digitais” e a “Lei dos Serviços Digitais” (respectivamente, Digital Markets Act – DMA e Digital Services Act – DSA), trazendo inúmeras normas que prometem causar mudanças globais no direito de concorrência e, destacadamente, na proteção de dados.
O que é DMA?
A “Lei dos Mercados Digitais”, ou Digital Markets Act (DMA) em inglês, pretende regular as atividades dos Controladores de Acesso (Gatekeepers): empresas que fornecem serviços de alto impacto no mercado, que são essenciais às atividades de outros profissionais ou que ocupem posições comerciais solidificadas, como plataformas de redes sociais e transmissão de vídeos.
Em razão da posição avantajada das empresas Controladoras de Acesso no mercado, é apenas natural que diversos dados pessoais de clientes e usuários caiam em suas mãos, e por isso este novo regulamento criou normas especiais de proteção de dados que vão além do disposto no Regulamento Geral de Proteção de Dados Pessoais (General Data Protection Regulation – GDPR) Europeu.
Em geral, o DMA estabeleceu limitações ao recolhimento de dados de usuários de forma predatória, com disposições expressas referentes ao recolhimento de dados de profissionais que usam as plataformas das empresas. Ele também exige a abertura das plataformas de produtos e serviços dos Controladores de Acesso à interoperação com plataformas terceirizadas, o que permite uma nova situação de cruzamento de dados, entre outras medidas de promoção da concorrência.
O que é DSA?
A “Lei dos Serviços Digitais”, ou Digital Services Act (DSA), possui uma abordagem diferente da DMA porque, apesar de também afetar empresas de grande porte, se destina à regulação de todos os prestadores de serviços intermediários (serviços de transporte e armazenamento de informações, o que abordamos no artigo Armazenamento de dados fora do país e a LGPD), abrangendo uma maior quantidade de organizações.
A lei estabelece regras sobre a responsabilidade das empresas pelos dados transmitidos e regula deveres de monitoramento de atividades ilegais e prestação de informações a autoridades, mediante solicitações administrativas e judiciárias.
Exemplo disso é o dever dos prestadores de serviços de armazenamento de dados criar meios de contato acessíveis para que o público denuncie ilegalidades que ocorram entre os dados que monitorar. Estas empresas também precisarão emitir um relatório anual detalhando precisamente como a moderação por conteúdo ilegal foi realizada, entre outras obrigações legais.
Para os agentes que agregam mais de 45 milhões de clientes, também surge a necessidade de realizar avaliações de riscos anuais e adotar medidas razoáveis para mitigá-los; fazer auditorias anuais; dar transparência ao público sobre como funciona a exibição dos anúncios publicitários em suas plataformas; prestar informações referentes ao cumprimento da DSA; nomear um responsável pela conformidade e apresentar o relatório mencionado acima.
Qual é a relação entre DMA, DSA e GDPR?
Como já comentado acima, o DMA e o DSA causam um enorme rebuliço ao cenário da proteção de dados, atualmente regulado principalmente pelo GDPR (Regulamento Geral de Proteção de Dados), ao interligar o direito de concorrência com a proteção de dados em um ambiente vastamente dominado pelos gigantes da tecnologia.
O GDPR, como o próprio nome indica, foi criado pensando em um escopo amplo de proteção de dados: os tratamentos de dados pessoais realizados no Espaço Econômico Europeu, com algumas exceções. Neste sentido, o seu foco é homogêneo, erguendo bases gerais para a proteção de dados na União Europeia.
No entanto, isto não significa que todas as empresas serão igualmente impactadas. Organizações como Twitter e Amazon recolhem uma quantidade tão expressiva de dados pessoais e exercem posições de tanta força no mercado que as disposições do GDPR não são suficientes para garantir a proteção dos usuários, sendo necessária a criação de normas especiais para essas situações.
Desta forma, o DMA e o DSA entram em efeito com o intuito de complementar as normas do GDPR, garantindo que seus pressupostos sejam reforçados nas situações atípicas de corporações de grande porte e de prestadores de serviços intermediários.
Como o DSA e o DMA vão impactar o mercado digital?
O Impacto que essas disposições tratarão aos Mercados Digitais ainda são incertos, pois a real eficácia das obrigações criadas a essas empresas depende de inúmeros fatores complexos, como o mercado financeiro, tecnologias emergentes e a dinâmica das grandes corporações.
É possível antecipar, contudo, que suas influências no controle e captação de dados será menor, por conta de limites como os impostos à combinação de dados, entre outras obrigações que podem ser reforçadas pela imposição de multas expressivas, que no caso do descumprimento do DMA podem alcançar 10% do faturamento anual e, na violação do DSA, até 6%.
Será necessário avaliar quais serão os efeitos das novas obrigações de implementação de estruturas de gestão e de monitoramento/prestação de informações para os prestadores de serviços intermediários, mas o controle de ilegalidades e as medidas de transparência podem ser considerados avanços consideráveis.
Contudo, é seguro afirmar que a introdução do DMA e do DSA ratificou uma tendência que já se verificava com a GDPR e, no Brasil, com a própria LGPD (Lei Geral de Proteção de Dados): a implementação da conformidade com as leis de proteção de dados é uma realidade das quais as empresas não podem escapar.
Apesar de elas possuírem um escopo voltado às atividades na União Europeia, é questão de tempo até as novas obrigações criadas pelo DMA e DSA sejam incorporadas pelas práticas de mercado, assim como sua incorporação pelas legislações de outros países como ocorreu com a LGPD, que possui grande influência do GDPR.
Por estes motivos, é possível afirmar que a implementação da conformidade com o DSA e o DMA será um destaque no mercado, tanto em antecipação ao movimento legal de conformidade como para melhorar a sua imagem perante o mercado.