18 de janeiro de 2022
18 de janeiro de 2022

Resumo do caso do julgamento da Suprema Corte Lloyd v Google

Por Alex Tyerman, Associado
Por Alex Tyerman, Associado

No caso de alto perfil Lloyd v Google LLC [2021] UKSC 50, a Suprema Corte proferiu sua sentença final em novembro de 2021.

Após uma audiência de dois dias, o julgamento anulou a decisão do Tribunal de Apelação de permitir que o Sr. Lloyd continuasse sua ação representativa contra o Google.

O caso atraiu grande interesse de advogados e grupos de defesa dos direitos do consumidor, pois poderia ter permitido que uma ação coletiva fosse movida em nome de muitos reclamantes por perda de controle de dados pessoais, sem que cada reclamante precisasse ser identificado individualmente, mas ainda assim com direito a indenização.

Histórico do caso Lloyd v Google

A ação foi movida por Richard Lloyd, ex-diretor executivo da Associação de Consumidores do Reino Unido, alegando que a Google LLC violou sua obrigação como controladora de dados, de acordo com a seção 4(4) da Lei de Proteção de Dados de 1998 ("DPA 1998"), de cumprir os princípios de proteção de dados estabelecidos no Anexo 1 da DPA 1998.

A reivindicação alegava que, entre 9 de agosto de 2011 e 15 de fevereiro de 2012, o Google rastreou secretamente a atividade na Internet de milhões de usuários do iPhone da Apple e usou os dados coletados dessa forma para fins comerciais sem o conhecimento ou consentimento dos usuários.

O Google fez isso por meio do navegador de Internet Safari, desenvolvido pela Apple e instalado em seus iPhones.

Na época, e diferentemente da maioria dos outros navegadores de Internet, o Safari foi configurado por padrão para bloquear cookies de terceiros.

Cookies são pequenos blocos de dados colocados em um dispositivo quando o usuário visita uma determinada página da Web. Os cookies de terceiros não são colocados no dispositivo pelo site visitado, mas sim por um terceiro cujo conteúdo está incluído no site. Com o tempo, os cookies de terceiros podem coletar informações sobre o uso da Internet pelo usuário e, em seguida, permitir a entrega de anúncios direcionados a esse usuário específico de acordo com seu histórico de navegação.

Nesse caso, o cookie de anúncio do DoubleClick do Google seria colocado em um dispositivo se o usuário visitasse um site que incluísse conteúdo de anúncio do DoubleClick.

O cookie de anúncio DoubleClick permitiu que o Google identificasse as visitas do dispositivo a qualquer site que exibisse um anúncio de sua vasta rede de publicidade.

Embora as configurações padrão do Safari bloqueassem os cookies de terceiros, a Apple criou várias exceções para permitir o uso de determinadas funções populares da Web. Essas exceções permitiam que o Google colocasse imediatamente o cookie de anúncios da DoubleClick no dispositivo do usuário sem seu conhecimento ou consentimento sempre que o usuário visitasse um site que contivesse conteúdo de anúncios da DoubleClick.

O Google pôde, então, acumular dados pessoais significativos sobre o usuário, que puderam ser repassados aos anunciantes que buscavam atingir grupos específicos de clientes em potencial.

Histórico de apelações

A reivindicação foi apresentada usando o procedimento de ação representativa nos termos da CPR r 19.6. Esse mecanismo permite que uma pessoa (ou pessoas) apresente uma reivindicação em nome de uma grande classe de requerentes, desde que compartilhem o "mesmo interesse".

Para ter o "mesmo interesse", os requerentes devem ter um interesse e uma queixa em comum, e a principal solução buscada deve ser benéfica para todos eles.

Uma ação representativa funciona em uma base de "opt-out", na qual os membros individuais da classe não precisam ser identificados proativamente. Isso difere de outros procedimentos de tutela coletiva, como as Group Litigation Orders (Ordens de Litígio de Grupo), em que os requerentes individuais precisam "optar" e tomar medidas ativas para serem incluídos em um registro de grupo para que sua reivindicação progrida como parte de uma ação de grupo mais ampla.

A reivindicação se baseou na seção 13(1) da DPA de 1998 (a lei aplicável na época da suposta violação), que prevê um direito de compensação quando um indivíduo "sofre danos em razão de qualquer violação por um controlador de dados de qualquer um dos requisitos desta Lei". Desde então, a DPA 1998 foi substituída pelo Regulamento Geral de Proteção de Dados ("GDPR") e pela Lei de Proteção de Dados de 2018 ("DPA 2018").

Tribunal Superior

Em primeira instância, o Sr. Justice Warby indeferiu o pedido de permissão do Sr. Lloyd para notificar a Google LLC fora da jurisdição. Ele considerou que não havia base para buscar indenização porque os membros da classe não tinham sofrido "danos" no sentido da seção 13 do DPA 1998, nem o teste do mesmo interesse foi satisfeito, pois os membros provavelmente teriam sofrido diferentes tipos de danos (ou nenhum dano).

O Sr. Justice Warby também se recusou a usar seu poder discricionário para permitir que a reivindicação prosseguisse como uma ação representativa, de acordo com o CPR r 19.6(2).

Tribunal de Apelação 

A Court of Appeal (Corte de Apelação) deu provimento, por unanimidade, ao recurso do Sr. Lloyd e concedeu permissão para que ele atuasse fora da jurisdição.

A Corte concluiu que, em princípio, era possível conceder indenização por perda de controle de dados de acordo com a seção 13 da DPA de 1998, mesmo que não houvesse perda financeira ou sofrimento. Também considerou que o teste do mesmo interesse foi satisfeito, pois todos os membros sofreram a mesma perda, ou seja, a perda de controle dos dados gerados pelo navegador (tendo negado qualquer confiança em fatos específicos de indivíduos).

O Tribunal de Apelação exerceu seu poder discricionário de acordo com a CPR 19.6(2) novamente e decidiu que a reivindicação poderia prosseguir como uma ação representativa.

Questões a serem consideradas pela Suprema Corte

Diante do exposto, as três questões que a Suprema Corte precisou considerar foram as seguintes

  1. As indenizações podem ser recuperadas de acordo com a seção 13 da DPA de 1998 pela perda de controle de dados em si (ou seja, quando a violação subjacente não resultar em nenhuma perda pecuniária ou sofrimento)?
  2. A classe de requerentes (cerca de 4 milhões de indivíduos) compartilhava o "mesmo interesse", conforme exigido para que uma ação representativa prosseguisse na Inglaterra e no País de Gales?
  3. Se o teste do "mesmo interesse" for satisfeito, o Tribunal deve exercer seu poder discricionário para não permitir que a ação representativa prossiga em qualquer caso?

O que a Corte constatou?

A primeira edição

A Suprema Corte decidiu por unanimidade que as indenizações não eram concedidas por uma mera perda de controle de dados pessoais nos termos da DPA 1998; o requerente deve sofrer algum "dano".

Em uma interpretação adequada (compatível com o artigo 23 da Diretiva de Proteção de Dados), o termo "dano" na seção 13 da DPA de 1998 refere-se a danos materiais (como perda financeira) ou sofrimento mental. O "dano" não pode ser o próprio processamento ilegal de dados.

Além disso, a Corte decidiu que, mesmo que não fosse necessário demonstrar que um indivíduo havia sofrido dano ou angústia como resultado do processamento ilegal, a extensão desse processamento ilegal dependeria do caso individual.

No entanto, considerando os fatos genéricos alegados pelo reclamante, não foi possível determinar o dano sofrido por reclamantes individuais e, portanto, ultrapassar o limite de "gravidade" que dá direito a indenização nos termos da DPA 1998.

O Tribunal deu exemplos de fatores relevantes que devem ser considerados ao decidir sobre indenizações individuais, incluindo:

  • Durante qual período de tempo o histórico de navegação foi rastreado
  • Que quantidade de dados foi processada ilegalmente
  • Se alguma das informações era de natureza sensível ou privada
  • Que uso foi feito das informações
  • Qual benefício comercial, se houver, foi obtido com esse uso.

     

Esses fatores variam claramente caso a caso ao determinar a extensão do dano sofrido.

A segunda edição

O Tribunal considerou que o teste do "mesmo interesse" exigido por uma ação representativa foi satisfeito nesse caso. Surgiram claramente questões comuns em que uma reivindicação individual poderia, teoricamente, ter sido apresentada por cada usuário do iPhone que foi afetado pelo DoubleClick Ad Cookie.

A Suprema Corte também declarou que, mesmo que apenas alguns indivíduos conseguissem obter indenização com base em uma sentença declaratória, isso não deveria ser motivo para recusar a permissão para que uma reivindicação representativa prosseguisse com o objetivo de estabelecer a responsabilidade.

A Corte sugeriu que um "processo bifurcado" poderia ter sido uma maneira adequada de lidar com reivindicações dessa natureza. Nessas circunstâncias, o procedimento de ação representativa seria usado para determinar questões comuns, deixando quaisquer questões que exijam determinação individual - sejam elas relacionadas à responsabilidade ou ao valor dos danos - para serem tratadas em um estágio posterior do processo.

A terceira edição

O Tribunal considerou desnecessário decidir se o Court of Appeal tinha o direito de interferir na decisão discricionária do juiz de primeira instância ou se seria desejável que uma ação coletiva financiada comercialmente estivesse disponível nos fatos alegados. Isso porque, independentemente do ponto de vista adotado, a ação não tinha nenhuma perspectiva real de sucesso.

A Corte, portanto, deu provimento ao recurso e restabeleceu a ordem proferida pelo juiz de primeira instância que recusou o pedido do requerente de permissão para notificar o processo ao Google fora da jurisdição dos tribunais da Inglaterra e do País de Gales.

O que isso significa?

A decisão pode ser vista como um golpe para os milhões de consumidores afetados pelo processamento ilegal de dados e violações de dados.

A decisão significa que, de acordo com a estrutura jurídica atual na Inglaterra e no País de Gales, a maneira mais eficaz de mover uma ação bem-sucedida em nome dos consumidores afetados pela perda de controle de seus dados pessoais continua sendo uma ação representativa "opt-in" limitada aos requerentes cujos danos individuais possam ser calculados em uma base comum.

Considerando o quanto a avaliação desses danos pode ser individualizada, isso significa necessariamente que a disponibilidade de reparação econômica para grandes grupos de consumidores afetados por violações de dados é significativamente restrita.

Dito isso, é significativo que o presente caso tenha sido processado de acordo com a DPA de 1998 e não com o GDPR e a DPA de 2018.

Essa legislação posterior faz provisões específicas para danos materiais e "não materiais"; em particular, a perda de controle sobre dados pessoais é identificada como um exemplo de possível dano resultante de uma violação de dados pessoais.

Embora a Corte não tenha considerado expressamente essa legislação posterior no presente caso, o requisito de "dano" menos rigoroso provavelmente será uma questão fundamental de controvérsia entre as partes em futuras ações judiciais que tratem de questões semelhantes.

A Corte reconheceu que, ao exercer seu poder discricionário ao permitir que uma reivindicação prossiga como uma ação representativa, ela deve procurar dar efeito ao objetivo primordial. Eles continuaram dizendo que muitas das considerações especificamente incluídas nesse objetivo provavelmente militam a favor de permitir que uma reivindicação, quando possível, seja continuada como uma ação representativa em vez de deixar que os membros da classe busquem reivindicações individualmente.

Da mesma forma, a sugestão da Corte de que um "processo bifurcado" pode ser adequado para reivindicações dessa natureza poderia ser vista como um movimento em direção a um tipo híbrido de reivindicação em que as questões comuns são tratadas como parte de uma ação representativa e, em seguida, as questões individuais são tratadas posteriormente - os requerentes individuais (presumivelmente) só precisariam ser identificados depois que as questões comuns tivessem sido determinadas.

Isso aponta para uma abordagem mais favorável às ações representativas do que talvez esteja refletido no presente caso. No entanto, caberá aos requerentes (e seus financiadores) decidir se é economicamente viável que as reivindicações sejam feitas dessa forma.

Mais opiniões

VER TUDO
Tom Goodhead: Combatendo o crescimento do extrativismo predatório
Tom Goodhead juntou-se a especialistas e vítimas de crimes ambientais no Brasil na Universidade de Harvard para discutir as indústrias extrativas.
Leia mais
Navegando no tratamento médico para disforia de gênero em jovens: Insights da Cass Review Abril de 2024
O Relatório Final da Cass foi publicado em abril de 2024, mais de três anos e meio depois e dois anos após a publicação do Relatório Provisório. O objetivo...
Leia mais
O direito e a economia do gerenciamento de riscos legais climáticos e de ESG
Embora as estratégias ambientais e de governança não sejam novidade, o campo do gerenciamento de riscos legais de ESG está crescendo exponencialmente.
Leia mais