Direito concorrencial em transformação: Homenagem a Mauro Grinberg

De Daniel Athias

Esta coletânea possui duas seções, a primeira com catorze artigos preparados em homenagem e a segunda quatro comentários sobre decisões proferidas pelo Tribunal do Cade em casos apontados pelo homenageado como os principais em que atuou ao longo da sua vida profissional como advogado.

• Idioma: Português
• Editora: Editora Singular
• Data de lançamento: 10 de out. de 2021
• ISBN: 9786586352146

Pré-visualização do livro

Empresas da nova economia digital e as duas faces de uma nova regulamentação: o direito à proteção de dados pessoais e o (novo) direito antitruste

Ana Carolina Cagnoni Ribeiro¹

1. A nova realidade: GDPR e leis horizontais de proteção a dados pessoais, como a Lei Geral de Proteção de Dados Pessoais brasileira. A discussão americana. Razões para tal movimentação legislativa

A entrada em vigor do General Data Protection Regulation (Regulamento 2016/679 ou GDPR) em 25 de maio de 2018 marca o momento em que os 28 Estados² pertencentes à União Europeia, seus territórios e demais países que com estes têm relações comerciais se depararam com novos e mais rigorosos standards de proteção jurídica aos dados pessoais. Igualmente, todas as entidades públicas e privadas alcançadas pelo novo Regulamento se defrontaram com instrumentos de efetivação de tais padrões de proteção mais robustos, incluindo aqui autoridades nacionais competentes para tal trabalho de enforcement, direito concedido aos indivíduos para reclamar uso indevido de seus dados no Judiciário e possibilidade de altas multas (que variam de 2% a 4% do faturamento global de empresas privadas), além de outras sanções possíveis. O alcance dessa nova legislação, portanto, passou a ser muito maior que as fronteiras daquele continente e com maiores proporções e riscos a ele associados.

O GDPR, pode-se dizer, inaugura formalmente uma tendência que vinha sendo debatida e sentida mundo afora: a criação de legislações específicas para proteção de dados pessoais. Tais leis se apresentam, nas diferentes jurisdições, com certas particularidades. Primeiro, são legislações que protegem especificamente dados pessoais,³ processados de forma digital ou física. Segundo, são legislações que não endereçam um setor ou um tipo de dado (como o setor financeiro ou dados de saúde), nem mesmo uma categoria de titular (como leis para proteção de crianças ou de consumidores); ao contrário, são leis que indistintamente protegem tais dados e seus titulares e, por essa razão, são denominadas leis horizontais. Terceiro, são legislações que visam a dar direitos e mecanismos de exercício desses direitos aos titulares, objetivando que a estes sejam garantidos acesso e controle sob informações que os identifiquem perante terceiros que delas façam uso, como empresas, entidades não governamentais e até órgãos do Estado.

Leis inspiradas no GDPR ou que contenham tais características, paulatinamente, foram adotadas por diversos países e hoje já somam 113 jurisdições, incluindo o Brasil, que promulgou a Lei Geral de Proteção de Dados Pessoais (LGPD) em agosto de 2018 e que contará, a partir de sua vigência, com regime muito semelhante ao europeu.⁴ Visualmente, conforme mapa a seguir,⁵ apresenta-se ainda mais nítida a afiliação das diversas jurisdições ao modelo pensado primeiramente na Europa (países em tom de cinza escuro) em contraposição a países que não dispõem de legislação voltada para a proteção de dados pessoais ou que, de forma distinta, possuem instrumentos setoriais, como é o caso dos Estados Unidos (países em tons claros). Países em tons intermediários estão discutindo a alteração de suas leis nacionais.

Mapa mundial

É claro, portanto, que esse movimento de evolução legislativa continua: atualmente, Índia⁶ e China⁷ (que representam mais de 2 bilhões de titulares de dados pessoais) discutem a modificação de suas legislações atuais para se assemelharem ou ao menos incorporarem determinadas características do Regulamento europeu. Ademais, de forma mais intensa e diariamente noticiada, há grande discussão hoje nos Estados Unidos sobre a necessidade e conveniência daquele país em adotar legislação horizontal de proteção de dados pessoais e privacidade, ou seja, uma legislação que os aproximaria do modelo do GDPR.

Especificamente no caso americano, a discussão sobre a criação de uma lei federal de proteção de dados pessoais tem gerado extensivo debate em razão do modelo adotado naquele país, pois, atualmente, a legislação americana que regulamenta as chamadas PIIs – personal identifiable information (em diferentes momentos, como coleta, transferência, descarte ou processamento) é setorial e segmentada.⁸ Setorial porque existem algumas legislações federais específicas para certos tipos de dados pessoais e determinados agentes de processamento⁹ que estão sujeitas a diferentes órgãos governamentais (como o Federal Trade Commission, a Consumer Financial Protection Bureau ou o U.S. Department of Health and Human Services). Conforme colocado por Peter Swire e DeBrae Kennedy-Mayo: For example, in the United States, different laws delineate conduct and specify the requisite level of data protection for video rental records, consumer financial transactions, credit records, law enforcement and medical records.¹⁰

Segmentada porque, em razão da organização federativa americana, cada Estado tem competência para estabelecer legislações específicas em seu território para matérias que não estão reguladas pelas leis federais.¹¹ Ocorre que, com o aumento da pressão popular e internacional para a adoção de legislação mais ampla sobre o tema, e de certa forma mais alinhada ao modelo europeu que vem sendo seguido pelo restante do mundo, um dos receios é o de que cada um dos 50 Estados americanos busque promulgar sua regra estadual própria. Evidentemente que isso seria operacionalmente complexo para empresas que atuam naquele país, além de ser questionável quanto à proteção garantida aos cidadãos americanos, sob o ponto de vista da interação destes com órgãos públicos e agentes de controle da lei.

A pressão popular, contudo, vale mencionar que não se dá em razão do conhecimento sobre os diferentes modelos de proteção de dados pessoais existentes hoje no mundo. Em realidade, muito do que se tem debatido sobre a proteção a dados pessoais e privacidade de indivíduos nos Estados Unidos, no Brasil ou em demais jurisdições é consequência direta dos vários escândalos envolvendo vazamento de dados pessoais e suas implicações à vida das pessoas (como fraude a sistemas eletrônicos e de pagamento, roubo de identidade etc.), notícias de uso inapropriado de dados pessoais por plataformas online e interferências em processos eleitorais democráticos (como no caso da Cambridge Analytica e interferências em eleições nos EUA, Brexit e no Brasil) e até mesmo questionamentos sobre o poder de mercado que as chamadas big tech obtiveram ao longo dos anos. Ademais, não é exagero sustentar que dados (sejam eles dados pessoais ou não) são em grande parte o insumo fundamental que fomenta novos negócios, novos produtos e novos serviços na atual economia digital, o que por si só atrai maior atenção dos agentes envolvidos e de entes impactados economicamente.

Nesse sentido, se se pode argumentar que dados pessoais são o novo petróleo,¹² duas são as consequências inexoráveis concernentes a tais informações: (a) vazamentos e uso indevido tal qual com o petróleo chamam, e chamarão, cada vez mais a atenção da mídia e, por conseguinte, da população que clamará atuação governamental para que tais usos indevidos não se repitam; e (b) empresas com sucesso em seus mercados que se utilizem desses dados como insumo passam a ser alvo de maior escrutínio pela sociedade e pelo Estado.¹³

2. Como essa movimentação protetiva de dados pessoais interage com o direito da concorrência? Poder de mercado e killing mergers como hot topics

O avanço e a importância da economia digital, fortemente fundada na atuação de grandes empresas de tecnologia,¹⁴ trouxeram, portanto, novos olhares para qual proteção jurídica é conferida a dados pessoais, uma das grandes matérias-primas dessas atividades. Nesse ponto, como visto anteriormente, as mais diferentes jurisdições têm se organizado para estabelecer novas legislações e buscar balancear proteções jurídicas disponíveis a tais dados e a seus titulares. Outrossim, nota-se claramente um aumento das ações de enforcement¹⁵ das leis existentes, na mesma demonstração de que sociedade e Estado estão buscando aumentar o standard de proteção e fazer valer os mecanismos existentes.

Curiosamente, porém, as mesmas empresas de tecnologia também têm sido alvo de questionamentos, investigações e até de sanções de órgãos de defesa da concorrência em algumas jurisdições. Em certos casos, tem-se verificado que as multas aplicadas pelas autoridades antitruste são até mais significativas do que aquelas sofridas por violações a leis de proteção de dados pessoais. Ademais, é notório o debate que, mesmo surgido na academia,¹⁶ já alcançou a grande mídia¹⁷ em torno dessas empresas no que se refere a questões afeitas ao direito da concorrência (concentração de mercado, killing mergers, efeitos de rede, abuso de poder econômico) e à proteção do ambiente saudável entre os agentes econômicos.

Num primeiro momento, o que parece entrar em discussão é justamente a grande parcela de mercado que as empresas de tecnologia lucraram alcançar ao longo dessas quase três décadas. Indiscutivelmente, empresas como Google, Facebook, Amazon, Microsoft, Apple (para citar as maiores) dominam hoje grande parcela do mercado em todas as frentes em que atuam, especialmente se considerarmos apenas os mercados ocidentais, onde empresas chinesas de grande envergadura ainda não operam (como as BAT – Baidu, Alibaba e a Tencent, que oferecem serviços semelhantes ao Google, Amazon e Facebook). Se tal concentração de mercado já parece visível a todos, ela tampouco escapa à analise da doutrina e das autoridades concorrenciais:

In 2015, it (i.e. Amazon) earned $107 billion in revenue, and, as of 2013, it sold more than its next twelve online competitors combined. By some estimates, Amazon now captures 46% of online shopping, with its share growing faster than the sector as a whole. In addition to being a retailer, it is a marketing platform, a delivery and logistics network, a payment service, a credit lender, an auction house, a major book publisher, a producer of television and films, a fashion designer, a hardware manufacturer, and a leading provider of cloud server space and computing power.¹⁸

In December 2018, Facebook had 1.52 billion daily active users and 2.32 billion monthly active users. The company has a dominant position in the German market for social networks. With 23 million daily active users and 32 million monthly active users Facebook has a market share of more than 95% (daily active users) and more than 80% (monthly active users). Its competitor Google+ recently announced it was going to shut down its social network by April 2019. Services like Snapchat, YouTube or Twitter, but also professional networks like LinkedIn and Xing only offer parts of the services of a social network and are thus not to be included in the relevant market.¹⁹

Indubitavelmente que o direito da concorrência não pune concentração de mercado por si, e empresas que efetivamente lograrem obter sucesso em suas atividades não devem ser, pelas legislações antitruste atuais, penalizadas por isso. O sucesso empresarial, afinal, é o objetivo máximo de todas as empresas que se lançam no mercado, e impedir que assim seja é punir todo o sistema econômico que tais países elegeram para organizar-se democraticamente.²⁰ Nesse raciocínio, empresas de tecnologia não devem ser condenadas pela fatia significativa que conseguiram no mercado jogando as regras do jogo, da mesma forma que empresas em outros setores não o são. Contudo, na mesma medida, empresas digitais devem estar sujeitas ao direito antitruste e suas autoridades sempre que houver abuso do poder de mercado conquistado na sua atuação empresarial.

Competition law prohibits abuse of market dominance. While dominance by itself is not prohibited, dominant businesses have a responsibility to ensure that their conduct does not distort the market. Professor Pinar Akman did not think that "dominance and market power on their own are a cause for concern … What would be a cause for concern is if companies engage in conduct that is anticompetitive, distorts competition and ultimately harms consumers.²¹

A problemática surge neste ponto específico, portanto: pode a atividade desempenhada pelas empresas de tecnologia, de fato e de forma eficiente, ser compreendida e validada pelas regras de direito antitruste atual, erigidas para as empresas do mundo off-line?

Se é bem verdade que a questão é nova, complexa e apta a gerar grandes debates, fato também é que ela parece estar tomando rumos no sentido de que uma nova abordagem ao direito antitruste se faz necessária para que efetivamente seja possível regular empresas digitais. Dentre exemplos há posicionamentos nesse sentido de comitês parlamentares, autoridades concorrenciais, agentes públicos e membros da academia que acreditam ser necessária uma adaptação ou flexibilização sobre a forma como as regras antitruste são aplicadas quando frente a frente com atividade econômica desempenhada pelas empresas de tecnologia.

Digital markets pose challenges to competition law, including network effects which result in winner-takes-all, the power of intermediaries, and consumer welfare in the context of free of charge services. The largest tech companies can buy start-up companies before they can become competitive. Responses based on competition law struggle to keep pace with digital markets and often take place only once irreversible damage is done. We recommend that the consumer welfare test needs to be broadened and a public interest test should be applied to data-driven mergers²² (grifos nossos).

Digital markets and markets characterized by digital platforms in particular pose new challenges to competition law when it comes to market definition. Hence, there are good arguments for more flexibility in the assessment of dominance. Instead of requiring competition authorities and courts to always define markets first, as is currently the case, it can make sense, in some cases, to simply infer dominance if it can be established that some unilateral conduct is not sufficiently disciplined by competition and this practice has an exclusionary effect²³ (grifos nossos).

Competition law doctrine has evolved and reacted to various challenges and changing circumstances case by case, based on solid empirical evidence. At the same time, the stable core principles of EU competition rules have ensured consistent enforcement. We are convinced that the basic framework of competition law, as embedded in Articles 101 and 102 of the TFEU, continues to provide a sound and sufficiently flexible basis for protecting competition in the digital era. However, the specific characteristics of platforms, digital ecosystems, and the data economy require established concepts, doctrines and methodologies, as well as competition enforcement more generally, to be adapted and refined²⁴ (grifos nossos).

E o mais interessante para fins deste artigo é que tais considerações são frequentemente associadas ao uso que referidas empresas digitais fazem de dados pessoais:

Antitrust enforcers must examine carefully whether greater competitive harms are threatened given today’s market realities. For example, enforcers might consider whether the scale of the data collected has increased by several magnitudes; the type of data collected; and what it means when companies collect usage data, which cannot be easily replicated, in addition to user data. Most notably, enforcers must confront the reality that data insights in the digital economy are combined across the ecosystem of the internet sometimes in ways that transcend product improvement and impact consumer choice altogether. Today’s business methods and practices regarding data appear to be a departure from the kind and scale of old. Thus, it is not particularly compelling to compare today’s data-intensive business practices to a brick-and-mortar store’s loyalty program²⁵ (grifos nossos).

After continued bipartisan conversations with attorneys general from around the country, today I am announcing that we have vastly expanded the list of states, districts, and territories investigating Facebook for potential antitrust violations. Our investigation now has the support of 47 attorneys general from around the nation, who are all concerned that Facebook may have put consumer data at risk, reduced the quality of consumers’ choices, and increased the price of advertising. As we continue our investigation, we will use every investigative tool at our disposal to determine whether Facebook’s actions stifled competition and put users at risk²⁶ (grifos nossos).

In exploitative abuses, many important issues remain open. How to forge theories of harm capable of unmasking the abuses occurring online? Part of the debate should focus on the pivotal specificity of our digital economy, meaning the frequent absence of a price paid by the consumer. The so-called zero price markets, to which abundant literature from both sides of the Atlantic and beyond devoted careful attention, are still a mystery to be fully unveiled. We need a metrics and a reliable methodology to assess what the real cost of non-monetary pricing is. Degradation of privacy and data protections risks capturing only one part of the overall picture²⁷ (grifos nossos).

Além dessa discussão supra, sobre o potencial abuso de poder econômico pelas empresas de tecnologia e maneiras de como o direito antitruste deveria ser reformulado a fim de realizar tais análises, outra face do direito concorrencial que tem se deparado com a importância dos dados pessoais para empresas digitais é a de controle de atos de concentração empresariais, quais sejam, operações de fusão ou aquisição entre empresas que têm como ativos relevantes os dados pessoais que detêm. De fato, como mostra o gráfico a seguir da revista The Economist,²⁸ diversas foram as operações realizadas por grandes empresas de tecnologia ao longo dos últimos anos:

Nesse ponto, a avaliação antitruste sobre tais operações revela outras dificuldades justamente em razão da forma particular como empresas digitais se estruturam, atuam e interagem com as demais do mercado. Como se vê supra, tais movimentações societárias apresentam complexidades para a avaliação das autoridades antitruste seja porque envolvem empresas que não atuam exatamente no mesmo mercado (por exemplo, a aquisição do LinkedIn pela Microsoft), seja porque tais operações podem não alcançar os valores de market share ou de faturamento necessários perante legislações concorrenciais para que a operação mereça conhecimento e aprovação desses órgãos.

Ocorre que tais aquisições podem, porém, apresentar consequências negativas futuras à estruturação dos mercados digitais e fortalecer ainda mais poucos agentes de mercado que têm a capacidade de (a) identificar um potencial concorrente no começo de suas atividades e (b) eliminar tal concorrência previamente, adquirindo o rival. Por isso o nome killing mergers. No cerne de tal entendimento estaria uma preocupação recente sobre como a aquisição de tais empresas menores tem como fundamento o acesso à maior base de dados pessoais ou a outra forma de coleta de dados pessoais que, posteriormente integrados com as bases da empresa adquirente, podem potencializar seu poder no mercado digital muito além do previsto num primeiro momento de análise antitruste.²⁹ Em outras palavras, como colocado pelo representante do DOJ americano:

Data scientists conceive of data along dimensions often referred to as the three V’s: the volume of data; the variety of data; and the velocity of data, which refers to how quickly data is generated and collected. Sometimes there is also discussion of a fourth V, related to the value of the data. Each of these dimensions may permit a company to glean insights that strengthen a digital product or service.³⁰

Tal aspecto da interface entre proteção de dados pessoais e direito da concorrência também está sendo debatido entre várias jurisdições justamente para compreender se novos critérios para avaliação de potenciais competitivos devem ser adotados no momento de aprovação ou não de referidas operações societárias.

[...] one specific aspect of the current debate on the role of merger control in the digital era: acquisitions by dominant platforms of small start-ups with a quickly growing user base and significant competitive potential. We focus, in particular, on whether the current regime of EU merger control needs to be adjusted to better address concerns relating, inter alia, to the early elimination of potential rivals. Such concerns are reinforced by the importance of network externalities in the digital economy and may be particularly serious if dominant platforms engage in systematic patterns of such acquisitions³¹ (grifos nossos).

Assessing the future effects on competition of the acquisition of relatively small innovative startup companies poses particular challenges for competition authorities and courts. Many such acquisitions – also by large digital firms – are a legitimate part of the competitive process. At the same time, some of these acquisitions can have anticompetitive effects, in particular if firms that are already dominant succeed to systematically identify and acquire potential future rivals at an early stage³² (grifos nossos).

Recentemente, uma operação anunciada em 2019 que já gerou questionamentos iniciais sobre sua licitude concorrencial, justamente em razão da alta concentração de dados pessoais, foi a aquisição, pelo Google/Alphabet, da FitBit. Trata-se de empresa líder em equipamentos digitais vestíveis (wearables), como relógios inteligentes e demais pulseiras de medição de sinais vitais e de saúde (como batimentos cardíacos), muito utilizadas por aqueles que praticam esportes ou buscam ter vida mais saudável.

A compra anunciada em novembro de 2019 por 2,1 bilhões de dólares levantou novamente discussões sobre o papel da avaliação de autoridades concorrenciais em aquisições ou fusões como essas que abrangem empresas de tecnologia. Como em casos anteriores, essa operação não envolve empresas concorrentes, o que a princípio não levantaria questões concorrenciais.³³ A preocupação e o foco do debate agora, como mencionado, são a concentração de dados pessoais pela empresa adquirente e o incremento de tais bases de dados com mais informações de diferentes naturezas, nesse caso, dados de saúde e biométricos. Como anunciado pela mídia, aparentemente, tal aquisição sofrerá um maior escrutínio dos órgãos antitruste, especialmente na Europa.³⁴

3. Onde está o Brasil nesta discussão?

Como referido no início deste artigo, atualmente vivemos no Brasil o período de vacatio legis da LGPD.³⁵ Da mesma forma, está em tramitação no Congresso Nacional a Proposta de Emenda Constitucional 17/2019, cujo objetivo é incluir dentre os direitos fundamentais a proteção aos dados pessoais, incluindo aqueles dos meios digitais (como cookies ou endereços de IP).³⁶ Se aprovada, a disposição concederá proteção constitucional a dados pessoais, do mesmo modo que já ocorre com o direito à vida privada, o sigilo de correspondências ou telefônico.

Quanto ao enforcement da LGPD, cabe mencionar que os diretores da Autoridade Nacional de Proteção de Dados (ANPD) ainda não foram nomeados pelo Poder Executivo.³⁷ Tal cenário atualmente traz incertezas à comunidade jurídica, às empresas e demais entidades que deverão se sujeitar à nova lei, em razão da grande quantidade de dispositivos que dependem de regulamentação adicional por tal órgão.

Se, por um lado, temos que, pelos termos da lei, competirá privativamente à ANPD fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, de outro têm ocorrido declarações de outras autoridades e entidades no sentido de se entenderem igualmente competentes para fiscalizar atividades e aplicar sanções eventualmente devidas quando aquelas violarem dispositivos legais outros que não aqueles previstos na LGPD, por exemplo, o Código de Defesa do Consumidor.³⁸

Nesse ponto específico, reforçamos que a própria LGPD determina ser possível ao titular dos dados pessoais exercer seu direito de petição contra o controlador dos dados perante órgãos de defesa do consumidor, tais como os Procons estaduais e municipais.³⁹ Portanto, sob a perspectiva de efetivação dos direitos garantidos aos titulares de dados pessoais, não é possível fugir da constatação de que são diversas as maneiras pelas quais questionamentos quanto à legalidade do tratamento de dados poderão ser feitos.

Contudo, sob a perspectiva da tensão existente entre direito da concorrência e dispositivos legais que protegem dados pessoais e privacidade, não nos parece, hoje, haver elementos que possam prever como o ordenamento jurídico se organizará. Inquestionável, evidentemente, que o Cade⁴⁰ poderá ser chamado no futuro a discutir temas relacionados à proteção de dados pessoais ou, ainda, a avaliar a viabilidade e legalidade de movimentos empresariais (como fusões ou aquisições mencionadas anteriormente) que utilizem dados pessoais em suas atividades. Tal como preceitua a própria LGPD, um dos fundamentos da disciplina jurídica da proteção de dados pessoais é justamente a livre concorrência.⁴¹ No entanto, é importante ressaltar que tais intervenções do órgão da concorrência evidentemente estarão relacionadas à sua área de atuação primeira, qual seja, a defesa da concorrência no País, nos limites impostos pela Constituição Federal e pela Lei 12.529/2011.

De qualquer modo, até o presente momento, o Cade não teve que enfrentar nenhuma discussão relacionada ao abuso de poder de mercado derivado do acesso a grandes bases de dados pessoais, tampouco os efeitos concorrenciais possíveis em atos de concentração cujo resultado traria concentração de base de dados pessoais, como vimos em outras jurisdições ao longo deste artigo.⁴²

4. Conclusão

Claro está, portanto, que a importância econômica e jurídica alcançada pelos dados pessoais na nova economia digital está atraindo maior regulamentação e escrutínio do Estado no que se refere à adoção e aplicação de leis específicas de proteção de dados pessoais, como também está provocando grandes discussões acerca dos objetivos almejados pela política antitruste das diferentes jurisdições e a respeito da aplicação dos atuais conceitos e metodologias de direito concorrencial disponíveis atualmente.

A interface entre as duas áreas parece ser uma grande tendência para os próximos anos, sendo vista por diversas autoridades de vários Estados como faces de uma mesma moeda capaz de regular de forma mais contundente e eficaz as empresas de tecnologia que nos últimos anos alçaram grande poder econômico e político nos quatro cantos do globo. Possivelmente, adaptações, flexibilizações e até mesmo modificações deverão surgir ao atual direito antitruste para que se possa compatibilizar sua atuação com a nova realidade da economia do big data e com que tipo de regulamentação os diferentes Estados querem exercer sobre elas. Trata-se, evidentemente, de um debate que ainda sequer começou, se considerarmos sua real complexidade.

Referências

BUTTARELLI, Giovanni. This is not an article on data protection and competition law. Disponível em: https://edps.europa.eu/sites/edp/files/publication/19-03-11_cpi_buttarelli_en.pdf. Acesso em: 2 fev. 2020.

CRÉMER, Jacques; MONTJOYE, Yves-Alexandre de; SCHWEITZER, Heike. Competition policy for the digital era. Disponível em: https://ec.europa.eu/competition/publications/reports/kd0419345enn.pdf. Acesso em: 22 jan. 2020.

DELRAHIM, Makan. Blind[ing] me with science: antitrust, data, and digital markets. Departamento de Justiça (DOJ) dos Estados Unidos. Challenges to Antitrust in a Changing Economy, 8 nov. 2019. Disponível em: https://www.justice.gov/opa/speech/assistant-attorney-general-makan-delrahim-delivers-remarks-harvard-law-school-competition. Acesso em: 2 fev. 2020.

FORGIONI, Paula. Fundamentos do antitruste. São Paulo: Saraiva, 2018.

INVESTOPEDIA. FAAMG Stocks, maio 2019. Disponível em: https://www.investopedia.com/terms/f/faamg-stocks.asp. Acesso em: 25 jan. 2020.

JAMES, Letitia. Nota pública. Disponível em: https://ag.ny.gov/press-release/2019/attorney-general-james-gives-update-facebook-antitrust-investigation. Acesso em: 31 jan. 2020.

KHAN, Lina. Amazon’s Antitrut Paradox. Yale Law Journal, v. 126, jan. 2017. Disponível em: https://www.yalelawjournal.org/note/amazons-antitrust-paradox. Acesso em: 31 jan. 2020.

NEW YORK TIMES, 10 dez. 2019. Disponível em: https://www.nytimes.com/2019/12d/10/technology/on-data-privacy-india-charts-its-own-path.html. Acesso em: 21 jan. 2020

REGULATING in a Digital World. Disponível em: https://publications.parliament.uk/pa/ld201719/ldselect/ldcomuni/299/299.pdf. Acesso em: 2 fev. 2020.

SCHWEITZER, Heike; HAUCAP, Justus; KERBER, Wolfgang; WELKER, Robert. Modernising the law on the abuse of market power, set. 2018. Disponível em: https://ssrn.com/abstract=3250742. Acesso em: 2 fev. 2020.

SILVA, Isabelle de. Entrevista. Disponível em: https://www.reuters.com/article/us-france-competition/lessons-to-be-learned-from-facebooks-whatsapp-deal-french-watchdog-says-idUSKBN1ZG15R. Acesso em: 21 jan. 2020.

THE ECONOMIST. Data is giving rise to a new economy. Disponível em: https://www.economist.com/briefing/2017/05/06/data-is-giving-rise-to-a-new-economy. Acesso em: 24 jan. 2020.

THE ECONOMIST. The world’s most valuable resource is no longer oil, but data, 6 jun. 2017. Disponível em: https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data. Acesso em: 24 jan. 2020.

U.S. Private Sector Privacy – Law and Practice for Information Privacy Professionals.

VALOR ECONÔMICO. Disponível em: https://valor.globo.com/opiniao/coluna/big-techs-vendem-distopia.ghtml. Acesso em: 30 jan. 2020.

VESTAGER, Margareth. Entrevista. Disponível em: https://veja.abril.com.br/tecnologia/europa-tenta-impedir-aquisicao-da-fitbit-pela-google/. Acesso em: 3 jan. 2020.

¹ Advogada de propriedade intelectual e direito digital, expert em proteção de dados pessoais (CIPP/E e CIPP/US), mestre pela Queen Mary and Westfield College da Universidade de Londres e graduada pela Universidade de São Paulo. Sócia do Grinberg Cordovil Advogados.

² Naquele momento, o Brexit ainda não era uma realidade. Contudo, mesmo agora com a confirmada saída do Reino Unido do bloco ao final de janeiro de 2020, a regulamentação adotada pelos países seguirá a mesma, ao menos durante o período de transição, conforme informações do governo britânico disponíveis em: https://www.itgovernance.co.uk/eu-gdpr-uk-dpa-2018-uk-gdpr. Acesso em: 2 jan. 2020.

³ Na definição comumente adotada, são os dados identificados ou identificáveis de determinada pessoa física (conforme art. 5.º, I, da LGPD e art. 4(1) do GDPR).

⁴ Lei 13.709/2018 com posteriores alterações.

⁵ Mapa criado por David Banisar e atualizado em novembro de 2019. Disponível na plataforma SSRN em: https://ssrn.com/abstract=1951416. Acesso em: 16 jan. 2020.

⁶ Como noticiado pelo New York Times em 10 de dezembro de 2019, o governo indiano, nas próximas semanas, apresentaria ao parlamento projeto de lei para regulamentar a proteção de dados pessoais. A notícia confirma que a proposta a ser enviada é inspirada na legislação europeia e que, se aprovada, permitirá maior controle aos titulares dos dados perante empresas e entidades privadas, além de prever a criação de autoridade central de proteção de dados pessoais no país. Contudo, a proposta indiana apresenta diferenças do modelo original. Dentre elas está a possibilidade de órgãos públicos e governamentais usarem com mais liberdade dados pessoais dos cidadãos e ainda a criação de regras para restrição do tráfego internacional de dados, o que comumente se chama de balcanização. Reportagem disponível em: https://www.nytimes.com/2019/12d/10/technology/on-data-privacy-india-charts-its-own-path.html. Acesso em: 21 jan. 2020.

⁷ Atualmente com mais de 200 disposições legais distintas sobre proteção de dados pessoais, há diversas notícias de que a entrada em vigor da GDPR trouxe certa movimentação legislativa na China, que desde então já alterou sua legislação sobre Segurança Cibernética (em 2016) e criação de novos padrões de segurança para processamento de dados pessoais. A discussão sobre uma nova legislação mais ampla, para abarcar diversas diferentes situações, dados e setores, está ocorrendo como forma de simplificar a intrincada rede legislativa atual e trazer o país mais próximo do padrão europeu. Informações obtidas de reportagens disponíveis em: https://technode.com/2019/06/19/china-data-protections-law/, de 19 jun. 2019; e https://iapp.org/news/a/more-positive-progress-on-chinese-data-protection-regime-in-2019/, de 26 fev. 2019. Acesso em: 20 jan. 2020.

⁸ Vale ressaltar que tal setorização da legislação americana é defendida por muitos, que entendem assim estarem mais bem protegidos determinados dados, sem excessiva regulação para outros setores. Como informam Peter Swire e DeBrae Kennedy-Mayo: Supporters of the sectoral approach emphasize that different parts of the economy face different privacy and security challenges; it is appropriate, for example, to have stricter regulation for medical records than for ordinary commerce (U.S. Private Sector Privacy – Law and Practice for Information Privacy Professionals, p. 21).

⁹ Como exemplo, têm-se (a) a HIPAA (Health Insurance Portability Accountability Act), que versa sobre o processamento e transferência entre entidades do setor da saúde de dados médicos de pacientes; (b) a COPPA (Children Online Privacy Protection Act), que trata sobre coleta e processamento de dados de crianças na internet; (c) e as diversas leis que tratam do sigilo de dados bancários e financeiros e seu compartilhamento entre empresas do setor bancário e de crédito, como a Fair and Accurate Credit Transactions Act, a Gramm-Leach –Billey Act ou a Dood-Frank Wall Street Reform and Consumer Protection Act.

¹⁰ Em U.S. Private Sector Privacy – Law and Practice for Information Privacy Professionals, p. 21.

¹¹ Como exemplo mais recente, o Estado da Califórnia promulgou, em junho de 2018 e com vigência prevista para janeiro de 2020, a CCPA (California Consumer Privacy Act). Tal legislação, aplicável àqueles que se utilizam de dados pessoais daqueles que residem naquele Estado, trouxe direitos de acesso, retificação, correção esquecimento e informação sobre uso e venda desses dados (entre outros) não previstos nas legislações setoriais americanas. Cabe dizer que aqui a lei se aplica a consumidores indistintamente com relação à natureza de tais dados pessoais. A lei, muito debatida e de interpretação controvertida, de fato intensifica a discussão sobre a necessidade de alteração do modelo setorial vigente até o momento. Ademais, em razão de a Califórnia ser a sede de diversas empresas da economia digital (no conhecido Vale do Silício), houve discussões no sentido de como essa lei traz dificuldades operacionais à atuação de empresas em outros Estados.

¹² Uma das primeiras associações entre dados (não apenas dados pessoais) e petróleo foi feita pela revista The Economist, em 6 de junho de 2017, sob o título The world’s most valuable resource is no longer oil, but data, disponível em: https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data. Acesso em: 24 jan. 2020. A revista, na ocasião, continha outras matérias que reforçavam a comparação e afirmavam serem os dados o combustível para a nova economia digital, como o petróleo o foi para a economia do século passado (conforme reportagem Data is giving rise to a new economy. Disponível em: https://www.economist.com/briefing/2017/05/06/data-is-giving-rise-to-a-new-economy. Acesso em: 24 jan. 2020). Posteriormente, em 2019, a mesma revista reforçou a comparação em reportagem que abordava os riscos associados a vazamentos de dados pessoais.

¹³ Vale lembrar aqui o caso muito discutido da Standard Oil Co, empresa fundada pelo John Rockfeller (entre 1870 e 1911), que, por alcançar enorme concentração de mercado, foi investigada sob as regras do Sherman Act e teve, em decorrência de sua condenação, que se desfazer de algumas de suas empresas para restaurar a concorrência no setor.

¹⁴ Essas empresas até são reconhecidas pelo o acrônimo FAAMG, criado pelo Goldman Sachs para identificar facilmente as cinco empresas (Facebook, Apple, Amazon, Microsoft e Google/Alphabet), cujas ações têm maior performance na bolsa Nasdaq. Análises desse mercado evidenciam que, mesmo havendo mais de 3.000 empresas de tecnologia listadas na Nasdaq, os papéis delas representam 55% dos ganhos da bolsa desde junho de 2017. Each of the stocks in the FAAMG class is in the top 10, by market capitalization, of the S&P 500 index. Although the five stocks are only 1% of the 500 companies in the index, they make up 13% of the market value weighting in the S&P 500. Dados conforme reportagem FAAMG Stocks, publicada no site especializado Investopedia em maio de 2019. Disponível em: https://www.investopedia.com/terms/f/faamg-stocks.asp. Acesso em: 25 jan. 2020.

¹⁵ Tais ações de enforcement têm gerado impacto e grande mídia por serem adotadas em diferentes países, mas quase sempre contra as mesmas empresas de tecnologia. Entre as medidas mais severas ocorridas até agora, temos (1) a multa de 5 bilhões de dólares imposta ao Facebook em acordo com o FTC diante do escândalo da Cambridge Analytica (https://edition.cnn.com/2019/10/30/tech/facebook-cambridge-analytica-settlement-uk/index.html); (2) a multa de 50 milhões de euros imposta ao Google pela autoridade de dados francesa CNIL (https://www.nytimes.com/2019/01/21/technology/google-europe-gdpr-fine.html); e (3) a multa imposta pelo FTC ao Youtube/Google de 170 milhões de dólares por violações a regras de processamento de dados de crianças na internet (https://www.ftc.gov/news-events/press-releases/2019/09/google-youtube-will-pay-record-170-million-alleged-violations). Até no Brasil, mesmo sem a LGPD em vigor, as empresas de tecnologia têm sofrido investigações e pesadas multas em razão do uso que fazem de dados pessoais em 2019: (1) a Apple e a Google foram multadas em 8 milhões de reais e 10 milhões de reais, respectivamente, pelo Procon-SP por supostas violações ao direito do consumidor derivadas da disponibilização do aplicativo Faceapp em suas lojas (https://www1.folha.uol.com.br/mercado/2019/08/procon-sp-multa-google-e-apple-por-aplicativo-faceapp.shtml); e (2) o Facebook foi multado em 6,6 milhões de reais pela Secretaria Nacional do Consumidor em razão do escândalo da Cambridge Analytica (https://valor.globo.com/empresas/noticia/2019/12/30/ministrio-da-justia-aplica-multa-de-r-66-milhes-ao-facebook.ghtml). Acessos em: 31 jan. 2020.

¹⁶ Muitos se referem ao artigo Amazon’s Antitrut Paradox, da autora Lina Khan, publicado na Yale Law Journal, v. 126, jan. 2017, como um dos pontos iniciais dessa discussão. O artigo encontra-se disponível em: https://www.yalelawjournal.org/note/amazons-antitrust-paradox. Acesso em: 31 jan. 2020.

¹⁷ O debate na mídia parece ter chegado ao ponto máximo nas discussões entre candidatos democratas que disputam a possibilidade de concorrer às eleições presidenciais americanas em 2020 contra o atual Presidente republicano Donald Trump. Isso porque alguns candidatos, como a Senadora Elizabeth Warren, têm defendido a ideia de que seria necessário quebrar as grandes empresas de tecnologia (break up big tech) para reduzir seu poder de mercado e capacidade de interferência econômica e política. O plano, inclusive, foi disponibilizado ao público em sua página na internet (https://medium.com/@teamwarren/heres-how-we-can-break-up-big-tech-9ad9e0da324c). Além disso, diversos grupos de mídia têm publicado editoriais com críticas sobre como as empresas de tecnologia se desenvolveram ao longo dos anos, afastando-se do modelo original, como o Financial Times (traduzido pelo Valor Econômico) com o editorial de Rana Foroohar: Ao longo dos últimos 20 anos, as maiores empresas do Vale do Silício traçaram um arco narrativo que foi da utopia a distopia. Elas deixaram de ser inovadoras de garagem fragmentárias para se transformar em capitalistas de vigilância, que lucram com dados pessoais e têm o poder de influir nas eleições e esmagar competidores ainda maiores que elas (Disponível em: https://valor.globo.com/opiniao/coluna/big-techs-vendem-distopia.ghtml. Acesso em: 30 jan. 2020).

¹⁸ KHAN, Lina. Amazon’s Antitrut Paradox, cit.

¹⁹ Nota pública do Bundeskartellamt (autoridade de concorrência alemã) emitida após a decisão que condenou o Facebook a alterar sua forma como processa dados pessoais, no entendimento de que a atividade como desempenhada constituía abuso do poder de mercado detido na Alemanha: In the authority’s assessment, Facebook’s conduct represents above all a so-called exploitative abuse. Dominant companies may not use exploitative practices to the detriment of the opposite side of the market, i.e. in this case the consumers who use Facebook. This applies above all if the exploitative practice also impedes competitors that are not able to amass such a treasure trove of data. This approach based on competition law is not a new one, but corresponds to the case-law of the Federal Court of Justice under which not only excessive prices, but also inappropriate contractual terms and conditions constitute exploitative abuse (so-called exploitative business terms) A nota pública e demais documentos do caso (alguns em alemão) estão disponíveis em: https://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2019/07_02_2019_Facebook.html?nn=3591568. Acesso em: 28 jan. 2020.

²⁰ Conforme diversos autores, entre os quais, FORGIONI, Paula. Fundamentos do antitruste. São Paulo: Saraiva, 2018.

²¹ Regulating in a Digital World, p. 34. Esse relatório foi apresentado perante a House of Lords pelo Select Committee on Communications, em março de 2019. Como informado, tal Comitê foi criado pelo Parlamento inglês para avaliar de forma ampla os temas de políticas públicas relacionados a comunicação e radiodifusão e identificar áreas de atenção ao Parlamento e ao público (tradução livre). A partir de tais estudos, análises e conclusões, seriam criadas normas para regulação do ambiente digital naquele país. Disponível em: https://publications.parliament.uk/pa/ld201719/ldselect/ldcomuni/299/299.pdf. Acesso em: 2 fev. 2020.

²² Regulating in a Digital World cit., p. 6.

²³ Relatório Modernising the law on the abuse of market power, de Heike Schweitzer, Justus Haucap, Wolfgang Kerber e Robert Welker, apresentado ao Ministério Federal de Assuntos Econômicos e Energia da Alemanha em setembro de 2018. Disponível em: https://ssrn.com/abstract=3250742. Acesso em: 2 fev. 2020.

²⁴ Relatório Competition policy for the digital era, elaborado por Jacques Crémer, Yves-Alexandre de Montjoye e Heike Schweitzer apresentado para a Comissão Europeia de Defesa da Concorrência em 2019, disponível em: https://ec.europa.eu/competition/publications/reports/kd0419345enn.pdf. Acesso em: 22 jan. 2020.

²⁵ Discurso Blind[ing] me with science: antitrust, data, and digital markets, do Assistant Attorney General Makan Delrahim do Departamento de Justiça (DOJ) dos Estados Unidos perante a Universidade de Harvard que conduziu o seminário Challenges to Antitrust in a Changing Economy, em 8 de novembro de 2019. Íntegra da participação disponível em: https://www.justice.gov/opa/speech/assistant-attorney-general-makan-delrahim-delivers-remarks-harvard-law-school-competition. Acesso em: 2 fev. 2020.

²⁶ Nota pública da Attorney General do Estado de Nova York, Letitia James,