Por Ricardo Campos, Samuel de Oliveira e Carolina Xavier* (artigo publicado originariamente no Conjur)

Com o avanço da tecnologia e a criação de novas formas de interação entre as pessoas, Estado e empresas, surgem também novas áreas do Direito que precisam ser compreendidas e regulamentadas. A tecnologia traz consigo desafios que não existiam há algumas décadas e cuja compreensão por vezes depende do recurso a institutos ou conceitos jurídicos já existentes em outros âmbitos, adaptados para atender às demandas específicas das inovações. Esse não é um fenômeno novo ou recente. O direito à privacidade, por exemplo, foi primeiro enxergado sob a óptica do direito à propriedade e não como um direito da personalidade [1]. Já no contexto de regulação das plataformas digitais, o conceito de risco sistêmico, originário do Direito Financeiro, tem sido aplicado para dar dimensão aos potenciais danos decorrentes da atividade das plataformas e ferramentas de busca de muito grande dimensão [2].

Mas também outro conceito jurídico tem despontado nas discussões sobre as obrigações e responsabilidades das plataformas digitais: o dever de cuidado (“duty of care“). Princípio fundamental da responsabilidade civil [3], o dever de cuidado exige que as pessoas e organizações tomem medidas razoáveis para evitar causar danos a terceiros, sendo aplicável a qualquer pessoa que possa ser suficientemente afetada pelas ações ou omissões da pessoa ou organização em questão [4]. Trata-se de uma obrigação legal que estabelece que uma pessoa ou entidade é responsável por suas ações ou inações que resultem em danos a outros. Diversos exemplos ilustram a aplicação deste princípio, como a obrigação dos médicos de fornecer um tratamento correspondente ao estado da arte aos seus pacientes; empregadores, responsáveis por proporcionar um ambiente de trabalho seguro aos seus funcionários; motoristas, que devem dirigir com segurança e obedecer às leis de trânsito, zelando pelo bem-estar de outros usuários das vias; e proprietários de imóveis, que têm a obrigação de manter suas instalações seguras para os visitantes [5].

Historicamente, o conceito de dever de cuidado tem sido aplicado no direito empresarial desde antes de uma concepção moderna de empresa [6]. Diversas são as decisões no sentido de que “os diretores de uma corporação, ao gerenciar os assuntos corporativos, estão obrigados a empregar o grau de cuidado que homens cuidadosos e prudentes normalmente utilizariam em circunstâncias semelhantes” [7]. Mais recentemente, porém, a noção de dever de cuidado do tort law tem sido aplicada em outros contextos. Wolf Sauter, por exemplo, se propôs a investigar se o dever de cuidado também pode ser aplicado à responsabilidade especial já existente das chamadas empresas dominantes [8]. Sua abordagem baseia-se em uma premissa clássica do direito concorrencial da União Europeia, estabelecido no Artigo 102 do Tratado sobre o Funcionamento da União Europeia: a responsabilidade especial das empresas dominantes, proibidas de abusar de sua posição tona no que diz respeito às pessoas físicas, o que envolveria uma obrigação de não explorar injustamente o poder de barganha desigual do consumidor. Sauter argumenta que, neste contexto, haveria o dever de cuidado da empresa de não agir de maneira abusiva, como se fora limitada pela posição de barganha do consumidor em um sentido moral, e pelas normas comportamentais no direito antitruste refletidas nas proibições de exploração e discriminação. Isso serviria para garantir que a posição desigual/assimétrica que de fato existe não fosse explorada, levando em consideração, de maneira significativa, o interesse do consumidor. O dever de cuidado decorrente da responsabilidade especial das empresas dominantes não seria, ainda, apenas um dever negativo de se abster de violar, mas também um dever de tomar medidas positivas para evitar que tal violação ocorra — o que fica claro, por exemplo, com a decisão do Bundeskartellamt (órgão regulador concorrencial alemão) de 2019, que considerou uma violação de privacidade pelo Facebook, uma empresa dominante, como uma infração de natureza concorrencial [9].

No âmbito do direito à privacidade e proteção de dados pessoais, especificamente em relação aos Estados Unidos, Sasha Romanosky e Alessandro Acquisti afirmam ser possível concluir que as leis estaduais de proteção de dados e a autorregulação “estão construindo uma base para um dever de cuidado mais robusto para as empresas protegerem adequadamente as informações dos consumidores” [10]. Segundo os autores, ações de indenização com base na responsabilidade por negligência no contexto de violações de informações pessoais geralmente têm reconhecido o direito de compensação às vítimas que comprovem, com sucesso, quatro condições: (1) que uma empresa tinha o dever de cuidado de proteger as informações do autor, (2) que a empresa violou esse dever, (3) que ocorreu um dano real e (4) que esse dano foi resultado direto da violação do dever por parte da empresa. No entanto, ressalvam que a existência de um número relativamente pequeno de sanções, bem como o crescente número de violações de dados relatadas, sugerem que as empresas ainda têm falhado no cumprimento deste dever.

Esse comportamento — a falha no cumprimento dos deveres de cuidado — é recorrente e se torna cada vez mais visível à medida em que avançam as tecnologias e despontam imbróglios delas decorrentes. O ponto é que, atualmente, há uma amplificação da dimensão dos danos possibilitada pelas “câmaras de eco” [11] digitais (sobretudo nas plataformas online). Assim, confiar que uma interpretação analógica do dever de cuidado (ou demais institutos de responsabilidade contratual ou extracontratual) será suficiente (ou suficientemente realizada) para evitar a propagação desses danos seria, no mínimo, ingenuidade. Tanto é que algumas iniciativas legislativas surgiram nos últimos anos, com o objetivo de trazer maior clareza e precisão quanto às reais obrigações dos provedores de serviços online. Uma delas é a Online Safety Bill (OSB) do Reino Unido ^[12], sobre a qual falaremos brevemente; outra, o Digital Services Act da União Europeia, que abordaremos a seguir.

As plataformas que se enquadram nos requisitos da futura lei britânica, caso aprovada com sua redação atual, deverão cumprir com uma série de deveres de cuidado para manter seus usuários seguros, exigindo que avaliem os riscos, implementem políticas e procedimentos para minimizá-los e tomem ações necessárias para reparar danos. Inicialmente, as plataformas deverão realizar pelo menos uma e potencialmente até três “avaliações de risco” detalhadas, abordando riscos de conteúdo ilegal (Seção 22), danos causados às crianças e danos aos adultos (Seção 24), que também deverão levar em consideração a manutenção de conteúdo considerado legal, mas prejudicial. As plataformas deverão cumprir os deveres detalhados nos códigos de conduta formulados pelo Ofcom (órgão regulador do setor de telecomunicações) e relatar suas atividades (Seção 36). Além dos deveres centrais de cuidado, estipulados em dez artigos da Parte III do projeto de lei, as plataformas online também precisarão cumprir com outros requisitos de transparência e cooperação com autoridades estatais para mitigação de riscos advindos de suas atividades.

Disposições semelhantes são encontradas no Digital Services Act europeu. Embora, diferentemente da OSB, o DSA não empregue explicitamente [13] a terminologia “dever de cuidado” em seu texto legal, a nova regulamentação europeia também institui diversas obrigações que deverão ser cumpridas pelas plataformas a fim de prevenir e/ou reparar danos aos seus usuários e, de maneira ulterior, à sociedade como um todo. Estabelecem-se obrigações de transparência para plataformas online, que deverão informar os usuários sobre como o conteúdo é recomendado a eles e permitir que escolham opções que não se baseiem em profiling, concedendo-lhes um maior controle sobre seus dados pessoais (Artigo 27). Quanto a propagandas nas plataformas, há vedação à publicidade direcionada com base em informações sensíveis como religião, etnia e orientação sexual e, em se tratando de menores, há uma proibição total de publicidade direcionada (Artigo 28, 2). A manipulação das escolhas dos usuários por meio de “padrões obscuros” (dark patterns) também é vedada (Artigo 25). Além disso, para combater conteúdo considerado ilegal e casos de desinformação, as plataformas online, a depender de sua dimensão, deverão avaliar e mitigar os chamados riscos sistêmicos (Artigos 34 e 35) e estarão sujeitas a auditorias independentes anualmente para avaliar a conformidade com a legislação e eventuais códigos de conduta e acordos a que estejam submetidas (Artigo 37).

O que se conclui é que as regulamentações do Reino Unido e da UE aproximam-se da noção de dever de cuidado, princípio basilar da responsabilidade no common law. Porém, apesar de a premissa de que fornecedores de bens e serviços têm a responsabilidade de procurar antecipar a concretização de efeitos adversos de suas ofertas e tomar medidas para mitigar esses efeitos estar há tempos consolidada, a experiência dos últimos anos demonstrou que as plataformas digitais, em ocasiões diversas, falharam em exercer adequadamente esse dever. Por tal razão, governos se viram obrigados a intervir, a fim de estabelecer parâmetros para a identificação e a mitigação dos riscos advindos do modelo de negócio das plataformas online. O dever de cuidado é uma ferramenta poderosa para proteger os direitos e interesses das pessoas (e da própria sociedade) na era digital. As iniciativas estrangeiras aqui abordadas são importantes primeiros passos na construção de um regime adequado de responsabilização das plataformas. Em nada perderemos se nelas buscarmos inspiração para a regulação da matéria no Brasil.

[1] Sobre a construção histórico-jurídica do direito à privacidade, cf., entre outros, IGO, Sarah Elizabeth. The known citizen: a history of privacy in modern America. Cambridge, Massachusetts: Harvard University Press, 2018.

[2] Sobre o assunto, cf. CAMPOS, R.; SANTOS, C. X.; OLIVEIRA, S.R. Riscos sistêmicos no Digital Services Act e suas lições para o Brasil. Consultor Jurídico. Disponível em: <https://www.conjur.com.br/2023-mar-07/direito-digital-riscos-sistemicos-dsa-licoes-brasil>. Acesso em: 13 mar. 2023.

[3] De modo geral, o que países de tradição de civil law compreendem como responsabilidade civil e regulamentam em um único corpo legal (no caso brasileiro, o Código Civil), os países de tradição anglo-saxônica (common law) dividem em duas grandes categorias: contract law (responsabilidade contratual) e a lei de atos ilícitos civis, ou tort law (responsabilidade extracontratual). GÁMEZ, R.; CUÑADO, F. La responsabilidad civil en el Derecho inglés: terminología y comparativa con el Derecho español. Puntoycoma, n. 158, p. 15-22, maio-junho 2018.

[4] JAMES, Fleming. Scope of Duty in Negligence Cases. Faculty Scholarship Series, 1953. Disponível em: <https://openyls.law.yale.edu/handle/20.500.13051/2584>. Acesso em: 14 mar. 2023.

[5] Id., ib.

[6] MCMURRAY, M. M. An Historical Perspective on the Duty of Care, the Duty of Loyalty, and the Business Judgment Rule. Vanderbilt Law Review, v. 40, nº 3, p. 605-629, 1987. Disponível em: https://scholarship.law.vanderbilt.edu/vlr/vol40/iss3/4

[7] No original, “directors of a corporation in managing the corporate affairs are bound to use that amount of care which ordinarily careful and prudent men would use in similar circumstances.” (GRAHAM v. ALLIS-CHALMERS MFG. CO., 188 A.2d 125, 130 (Del. 1963)).

[8] SAUTER, W. A duty of care to prevent online exploitation of consumers? Digital dominance and special responsibility in EU competition law. Journal of Antitrust Enforcement, v. 8, n. 2, p. 406-427, 2020.

[9] BUNDESKARTELLAMT, Facebook; Konditionenmissbrauch gemäß §1 GWB wegen unangemessener Datenverarbeitung, 06.02.2019, disponível em: <https://www.bundeskartellamt.de/SharedDocs/Entscheidung/DE/Fallberichte/Missbrauchsaufsicht/2019/B6-22-16.pdf?__blob=publicationFile&v=5>. Acesso em: 15 mar. 2023.

[10] ROMANOSKY, S.; ACQUISTI, A. Privacy costs and personal data protection: Economic and legal perspectives. Berkeley Tech. LJ, v. 24, 2009.

[11] SUNSTEIN, C. R. Echo Chambers: Bush v. Gore, Impeachment, and Beyond. Princeton: Princeton University Press, 2001.

[12] “A Bill to make provision for and in connection with the regulation by OFCOM of certain internet services; for and in connection with communications offences; and for connected purposes“. Disponível em: https://bills.parliament.uk/publications/49376/documents/2822. Acesso em: 14 mar. 2023.

[13] Não obstante, a existência de deveres de cuidado foi reconhecida em um comunicado de imprensa emitido pelo Conselho da União Europeia. Cf. https://www.consilium.europa.eu/en/press/press-releases/2022/04/23/digital-services-act-council-and-european-parliament-reach-deal-on-a-safer-online-space/.

*Ricardo Campos é sócio do Opice Blum Advogados, docente na Goethe Universität Frankfurt am Main (Alemanha), coordenador nacional de Direito Digital da OAB Federal/ESA Nacional, diretor do Instituto Legal Grounds e vencedor do prêmio Werner Pünder (2021) com trabalho sobre regulação do espaço digital.

*Samuel Rodrigues de Oliveira é advogado do Opice Blum Advogados, doutorando em Teoria do Estado e Direito Constitucional pela PUC-Rio, mestre em Direito e Inovação pela Universidade Federal de Juiz de Fora (UFJF), pesquisador do Instituto Legal Grounds e advogado.

*Carolina Xavier Santos é advogada do Opice Blum Advogados, mestranda em Direito Constitucional pela Universidade de Lisbo, pesquisadora no Legal Informatics Laboratory (DTI-BR) e no Instituto Legal Grounds e advogada.