Antitruste e proteção de dados: o caso Facebook na Alemanha

Quais são os objetivos do antitruste? Quais as suas fronteiras? Onde se encontram os seus limites? Essas são questões centenárias que acompanham a disciplina desde o seu nascimento. Com o advento da economia digital e de profundas modificações nas relações econômicas, essas questões se tornaram novamente prementes. Em um caso envolvendo o tratamento de dados pelo Facebook, na Alemanha, a autoridade antitruste precisou dar uma resposta a respeito dos limites do Direito Concorrencial em sua interface com a proteção de dados. A decisão, de fevereiro, sugere algumas reflexões sobre o que pode estar por vir no Brasil com a recente aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD).

A autoridade antitruste alemã proibiu o Facebook de condicionar o uso da rede social à coleta de dados obtidos em outros aplicativos, como WhatsApp e Instagram. Proibiu a empresa, ainda, de condicionar esse uso à possibilidade de combinar as informações da “conta Facebook” com informações coletadas em sites visitados pelo usuário. Segundo a autoridade antitruste alemã, “foi necessário intervir desde uma perspectiva do Direito Concorrencial porque foram claramente ultrapassados os limites da proteção de dados estabelecidos no Regulamento Geral sobre a Proteção de Dados”. Inclusive, completa o Bundeskartellamt, “tendo em vista a posição dominante do Facebook”[1].

A decisão neste caso é construída a partir de elementos que demandam reflexão. Primeiro, a autoridade alemã afirma que precisou intervir desde a perspectiva do Direito Concorrencial, sinalizando estar mesmo diante de um caso limítrofe, em que a aplicação do Direito Antitruste não é automática. Em seguida, justifica essa intervenção com referência a regramento diverso: a intervenção foi necessária porque foram extrapolados os regulamentos sobre proteção de dados (um equivalente da nossa LGPD). Por fim, completa a justificativa com um elemento próprio do Direito Concorrencial, a existência de posição dominante.

O que está por trás dessa construção não é menos que a tentativa de demarcar uma das interfaces jurídicas mais relevantes na economia digital, aquela entre o antitruste e a proteção de dados. No Brasil, essa interface ganhará relevância crescente com a iminente entrada em vigor da LGPD. Um exame do precedente alemão permite a identificação de três questões que serão centrais também no contexto brasileiro: (i) a autoridade antitruste pode intervir em casos de possível violação ao direito de proteção de dados?; (ii) nesses casos, quais poderiam ser os parâmetros adotados em uma análise antitruste?; (iii) essa intervenção pode se dar ainda que se trate de conduta meramente exploratória e sem que haja uma teoria clara de efeitos exclusionários? Cada uma dessas questões, veremos, leva a um desafio que terá de ser enfrentado pela autoridade antitruste brasileira, o Cade.

Sobre a primeira questão, a autoridade antitruste alemã justificou sua competência com base em um conjunto de elementos. Primeiro, qualificou a conduta do Facebook como um abuso de posição dominante, nos termos da cláusula-geral da seção 19(1) da Lei Concorrencial Alemã (GWB). Em seguida, indicou que a regulação de dados pessoais não inclui disposições a respeito de firmas dominantes, de modo que não abrange especificamente abusos anticompetitivos. Por fim, baseou-se em precedente da Corte Federal alemã (caso Pechstein) para argumentar que direitos constitucionais, inclusive aqueles que fundamentam regulações de proteção de dados, devem ser considerados na análise sobre a adequação de determinado tratamento de dados à luz da legislação concorrencial.

Raciocínio semelhante, nos parece, poderia ser construído no Brasil. O artigo 36, parágrafo 3º, da Lei 12.529/11 traz hipóteses não exaustivas de infrações da ordem econômica, desde que configurem hipótese prevista no caput do artigo[2]. Condutas empresariais que tomem a forma de tratamento de dados não estão excluídas a priori do alcance da norma concorrencial, ainda que venham a se tornar também objeto de regulação diversa. Nesse tipo de contexto, o Cade já procurou delimitar o campo de atuação antitruste aos casos em que (i) mesmo dentro de um regime regulatório é possível que os agentes econômicos, naquelas condutas não especificamente reguladas, pratiquem infrações à concorrência; (ii) o arcabouço regulatório dá opções ao agente econômico quanto à sua atuação e uma dessas opções caracteriza infração à ordem econômica; ou (iii) o agente econômico viola normas regulatórias e, no mesmo ato, o direito da concorrência[3]. Eis, então, o primeiro desafio para o Cade: entender o arcabouço regulatório da LGPD, a fim de perceber condutas não reguladas, opções deixadas ao agente ou hipóteses de violações que representem, no mesmo ato, ilícitos antitruste.

Superada a questão da competência do Cade para analisar condutas de tratamento de dados, surge a segunda questão acima colocada: com que parâmetros? Aqui reside talvez a discussão mais difícil neste tema e também o ponto mais interessante do precedente alemão. A violação de requisitos de proteção de dados é vista, na decisão, como uma manifestação do poder de mercado do Facebook. Isso leva o Bundeskartellamt a aplicar materialmente a lei de proteção de dados a fim de identificar se os interesses do Facebook são legítimos e se são superados por outros interesses, considerando as consequências para os usuários, suas expectativas razoáveis e as respectivas posições de Facebook e usuários. No caso (a) de dados coletados por outros aplicativos e sites visitados, essa ponderação acaba resultando negativa para o Facebook. Mas a contrario sensu pode-se interpretar que o tratamento dos dados coletados na hipótese (b) de uso da própria rede social seria considerada legítima. Ou seja, ainda que o poder de mercado do Facebook seja rigorosamente o mesmo em ambas as hipóteses (a) e (b), uma distinção feita com base na aplicação material da lei de proteção de dados (o critério do “legítimo interesse”) foi considerada suficiente para levar a consequências diversas no âmbito de uma decisão antitruste.

O precedente alemão demanda discussão cuidadosa ao alçar a violação à disciplina da proteção de dados a elemento central para caracterização do ilícito antitruste (o Facebook alegadamente tem poder de mercado e usaria esse poder ao violar o GDPR). Essa é uma lógica usualmente estranha ao antitruste, que normalmente utiliza os efeitos no mercado para identificar uma prática como lícita ou ilícita. Ou seja, ainda que a aderência ou não à legislação possa ser muitas vezes considerada na análise antitruste (por exemplo, dentre os elementos que justificam uma dada conduta), o antitruste frequentemente se volta principalmente a uma análise do comportamento e dos seus efeitos no mercado. No caso Facebook, ao contrário, a ausência de “legítimo interesse” parece ter ocupado lugar central[4]. Eis o segundo desafio ao Cade: haveria justificativas ou especificidades a demandar a alteração da metodologia de análise antitruste usualmente adotada para passar a incorporar a violação ou não da LGPD como elemento central de preocupação?

Por fim, suponhamos que se trata de conduta que seja da competência da autoridade antitruste analisar. Conjecturemos também que esta autoridade tenha chegado à conclusão de que a prática não está coberta pelo legítimo interesse (ou por outra base legal que justifique o tratamento de dados). O que fazer se estamos diante de conduta meramente exploratória? Trata-se, claro, da terceira e última questão acima colocada. A autoridade antitruste alemã utilizou a expressão “termos negociais exploratórios”[5] para se referir a condições comerciais que o Facebook só seria capaz de impor porque os consumidores não possuem alternativa efetiva (levando-se em conta o número de usuários, especialmente os ativos, na Europa, bem como os efeitos de rede nesse mercado). Embora a decisão note também que o acesso a uma ampla fonte de dados resulta em vantagem competitiva sobre concorrentes, parece claro que a exploração do outro lado do mercado — os usuários — teve peso maior na caracterização do ilícito antitruste.

No Brasil, uma abordagem como essa enfrentaria dificuldades relevantes, uma vez que o Cade frequentemente reconhece que condutas meramente exploratórias não são ilícitas do ponto de vista antitruste. A própria Lei 12.529/11 deixou de relacionar, entre as condutas que caracterizam infração da ordem econômica, a conduta de “impor preços excessivos, ou aumentar sem justa causa o preço de bem ou serviço” prevista na legislação concorrencial anterior (Lei 8.884/94, artigo 20, parágrafo 3º, XXIV)[6]. Analogamente, a questão aqui seria entender se o tratamento “excessivo” de dados pela empresa poderia configurar uma infração antitruste[7]. Surge, então, um terceiro desafio para o Cade: a existência de “status assimétrico” na relação de tratamento de dados seria capaz de modificar a postura da autoridade concorrencial sobre condutas meramente exploratórias?

Como não é raro ocorrer na exploração de novas fronteiras, o estudo da interface entre antitruste e proteção de dados promete muitas reflexões, questões e desafios — para usar uma expressão da língua inglesa, excelente food for thought. O caso Facebook, como acabamos de ver, é especialmente ilustrativo a respeito desse potencial “banquete”.