3) Responsabilidade Civil pelos danos decorrentes da violação ao direito à Privacidade e à Intimidade Digital. Conclusão.
Assim, chegamos em uma questão de alta relevância para esse novo mundo digital, que é a responsabilidade pelo conteúdo das mensagens em rede. O conteúdo das mensagens e informações de toda ordem têm um alcance enorme e quase que impossível de ser freado. As mensagens são compartilhadas, em certos canais informáticos, em uma velocidade e penetração imediatas. “Os bens atingidos podem ser de ordem muito variada. Podem ser, nomeadamente: os direitos das pessoas: invasão de privacidade; a ordem pública: mensagens subversivas; os bons costumes: mensagens obscenas; os direitos intelectuais”[49].
O Estado Democrático de direito inibe a autodefesa e visa garantir que os conflitos jurídicos sejam submetidos ao Poder Judiciário. ACRP consagra em seu art. 20 o princípio da inafastabilidade da jurisdição, que objetiva assegurar que um cidadão resolva suas demandas em um Tribunal.
“Contudo, o Estado, garantidor natural da prestação jurisdicional, vem encontrando resistência desafiadora nas características que perfazem a Internet, com a sua internacionalidade, sua desterritorialidade, e que, por conseguinte, configuram ao órgão de soberania relativa incapacidade em prestar a efetiva tutela jurisdicional”[50].
Surge, assim, a necessidade de se perquirir quem será o responsável pelas lesões ocorridas no mundo digital, como serão enfrentadas estas violações, tendo em vista que por vezes os meios clássicos nãos são adequados para combaterem e resolverem os problemas surgidos. Teremos que investigar se será o fornecer do serviço de rede, ou o emissor de sinal de empresa de telecomunicações, ou até mesmo, quem divulga a informação postada por outrem. “Do que dissemos resulta já como são consideráveis as possibilidades de lesão de dados pessoais mediante estes instrumentos de navegação”[51].
Sendo a internet transnacional, uma nova comunidade internacional está se formando, e as regras de direito internacional precisam ser utilizadas e manejadas para que resolvam as desavenças surgidas neste novo habitat digital. Nesta quadra, percebemos que os poderes judiciários apresentam, já em todo o mundo, muitas dificuldades em ser empregados e efetivadas suas decisões, por vezes desafiando impossibilidade técnicas.
“Infere-se de todo o apanhado, que o ambiente internacional proporcionado pela rede mundial de computadores permite, mais corriqueiramente consequências aos cidadãos resultantes de atividades e ligações provenientes de pessoas e empresas que estão fora das bases jurisdicionalizadas”[52]
Neste contexto, há enormes possibilidades de conhecimento por terceiros de dados tratados, sem que o utilizador da internet desconfie. “Nestas condições, torna-se muito importante conhecer a proteção que as leis asseguram aos dados pessoais. Porque se torna evidente a necessidade de assegurar uma reserva que responda a muitas das formas de intromissão possível na vida privada”[53].
Quanto à responsabilidade que os Estados-membros devem estabelecer para a proteção dos dados pessoais, a Diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de Outubro de 1995, determinava:
“Artigo 23º Responsabilidade 1. Os Estados-membros estabelecerão que qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro acto incompatível com as disposições nacionais de execução da presente directiva tem o direito de obter do responsável pelo tratamento a reparação pelo prejuízo sofrido. 2. O responsável pelo tratamento poderá ser parcial ou totalmente exonerado desta responsabilidade se provar que o facto que causou o dano lhe não é imputável. Artigo 24º Sanções Os Estados-membros tomarão as medidas adequadas para assegurar a plena aplicação das disposições da presente directiva a determinarão, nomeadamente, as sanções a aplicar em caso de violação das disposições adoptadas nos termos da presente directiva”[54].
A partir do novo Regulamento 2016/679, as empresas e organizações terão como meta adaptarem as suas estruturas às novas regras em matéria de protecção de dados da União Europeia. As principais inovações a serem alcançadas e implementadas, serão as previstas no art.º 83 do Regulamento. Verifique-se que, em função da gravidade da violação verificada, as multas administrativas poderão chegar ao patamar de “coimas até 10 000 000 EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado nos termos do n.º 4; ou, coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado nos termos do n.º5”.
Nesta nova feição jurídica do tratamento de dados, o ônus imposto ao responsável ao tratamento de dados, é a implementação de novos mecanismos de proteção de dados, em conformidade com a lei, sob pena de responder civilmente pelo dano causado. Conforme o art.º 37/1, este, terá cariz obrigatório sempre que: “a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional; b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.o e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.o.”.
O responsável pela proteção dos dados, nas empresas que efetuem tratamento de dados, poderá ser um trabalhador ou prestador de serviços contratado pela entidade responsável pelo tratamento de dados ou pelo subcontratante, especializado em matéria de proteção de dados, na forma do art.º 37/5 e 6, a quem incumbirá avaliar e promover a implementação dos mecanismos de cumprimento da legislação em matéria de protecção de dados, prestar aconselhamento devido mediante solicitação, e cooperar com a autoridade de controlo, conforme art.ºs 38 e 39.
A nova alteração de diretiva para regulamento terá um grande impacto. No lugar de terem que se valer de uma legislação nacional que internalizou os regramentos da diretiva, e que, portanto, pode ser diferente de um país para o outro, a regulação cria um regime jurídico único em todos os 28 países membros, conferindo uma maior segurança jurídica as empresas que atuam no Digital Market, que naturalmente não está adstrito a fronteiras geográficas;
No Brasil, a Lei 12.965/2014, estabeleceu que seja aplicada a lei brasileira, a qualquer tratamento de dados que ao menos tenha sido coletado em um terminal em território brasileiro.
“Seção II
Da Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas
Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
§ 1o O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7o.
§ 2o O conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer, respeitado o disposto nos incisos II e III do art. 7o.
§ 3o O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição.
§ 4o As medidas e os procedimentos de segurança e de sigilo devem ser informados pelo responsável pela provisão de serviços de forma clara e atender a padrões definidos em regulamento, respeitado seu direito de confidencialidade quanto a segredos empresariais.
Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.
§ 1o O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil.
§ 2o O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.
§ 3o Os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações.
§ 4o Decreto regulamentará o procedimento para apuração de infrações ao disposto neste artigo”.
O Marco Civil da Interne estipulou, nos moldes do regulamento da EU, que as empresas que tratem dados permitam auditorias para verificação de cumprimento da lei. Estipula, ainda, sanções cíveis, criminais administrativas, com pesadas multas para as empresas que não estejam em conformidade com a lei.
“Art. 12. Sem prejuízo das demais sanções cíveis, criminais ou administrativas, as infrações às normas previstas nos arts. 10 e 11 ficam sujeitas, conforme o caso, às seguintes sanções, aplicadas de forma isolada ou cumulativa:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção;
III - suspensão temporária das atividades que envolvam os atos previstos no art. 11; ou
IV - proibição de exercício das atividades que envolvam os atos previstos no art. 11.
Parágrafo único. Tratando-se de empresa estrangeira, responde solidariamente pelo pagamento da multa de que trata o caput sua filial, sucursal, escritório ou estabelecimento situado no País”.