RESUMO: Pretende-se analisar a responsabilidade civil na atividade de coleta e tratamento de dados pessoais na Internet destinados à monetização de provedores de aplicações por publicidade direcionada. A pesquisa inicia por uma síntese acerca deste modelo de negócio, seu impacto em relação ao direito à privacidade, e analisa a proteção dos dados pessoais na Internet à luz da recente Lei nº 13.709/2018, Lei de Proteção de Dados Pessoais, e do Código de Defesa do Consumidor, analisando ainda o Marco Civil da Internet e o Código Civil. Assim, será possível obter subsídios para ponderar o conflito entre o direito à privacidade e a livre iniciativa dos serviços de Internet, contribuindo para o aprofundamento com qualidade do debate.
Palavras-Chaves: Lei de proteção de dados. Responsabilidade civil. Internet.
Sumário: Considerações iniciais. 1. Serviços de Internet e o tratamento de dados pessoais. 1.1. Comércio eletrônico. 2. Do direito à privacidade e os dados pessoais. 2.1. Privacidade e autodeterminação informativa. 2.2. Dados pessoais e dados sensíveis. 3. Panorama principiológico do Marco Civil da Internet – Lei nº 12.965/2014. 4. Dados pessoais e responsabilidade civil do provedor de aplicações de Internet. 4.1. Delimitações trazidas pela Lei Geral de Proteção de Dados. 4.2. A responsabilidade civil na Lei nº 13.709/2018. 4.3. O CDC como instrumento para proteção de dados pessoais – Cadastros e bancos de dados de consumidores. Considerações finais. Referências.
Considerações iniciais
Um tema bastante recorrente no estudo do Direito é a sua alegada incapacidade de se desenvolver ao mesmo ritmo que as transformações da sociedade. Trata-se de um assunto bastante reiterado no estudo da integração normativa, isto é, o suprimento das lacunas legislativas, visto que sua própria razão de existir deve-se a essa impossibilidade da norma jurídica em prever todas as situações possíveis e imagináveis da convivência humana.
Efetivamente, em nenhum momento da história este fenômeno ocorreu com tamanha acentuação como na atualidade, e o grande motor desta transformação social acelerada é, sem sombra de dúvidas, a revolução informática. A previsão de Gordon E. Moore (1965, p. 84), cofundador da Intel Corporation, fabricante norte-americana de circuitos integrados e microprocessadores, de que o número de componentes em um chip[1] aumentaria em 100% (cem por cento) a cada dois anos, mas com custo de manufatura constante, surpreendentemente, se concretizou.
Justamente a esta rápida evolução da capacidade de computação atribui-se o desenvolvimento científico e tecnológico em todas as demais áreas do conhecimento, e então, eis o mundo atual.
Entretanto, destas transformações não existem apenas resultados positivos. São justamente as negatividades, os litígios, delas decorrentes, que o Direito deve solucionar.
Neste ano de 2018, o Brasil avançou com a Lei nº 13.709, publicada em 14 de agosto, a qual teve como proposta regular a proteção de dados pessoais em face das atividades de tratamento, com fundamento na proteção dos direitos fundamentais de seus titulares.
Propõe-se, portanto, uma investigação acerca da proteção de dados pessoais em face da atividade de tratamento de dados pessoais na Internet, e da responsabilidade civil dela decorrente, à luz da recente Lei de Proteção de Dados Pessoais e do Código de Defesa do Consumidor, empregando-se métodos de pesquisa bibliográfica.
Para tanto, será necessário discorrer brevemente acerca dos serviços de Internet, mormente sua forma de remuneração, feita com base no tratamento de dados pessoais coletados de internautas, bem como, em linhas gerais, o comércio eletrônico que se desenvolve com essas operações.
1. Serviços de Internet e o tratamento de dados pessoais
Existe na Internet uma miríade de serviços que podem ser utilizados e acessados. Correspondem a conteúdos ou informações, disponibilizadas por provedores de aplicações de Internet[2] em seus websites, de autoria própria ou de terceiros, tais como notícias, blogs, imagens, vídeos etc.
Ocorre que, o ato de navegar na web, por suas diversas páginas, transmite a impressão de gratuidade. Certamente, com exceção do provedor de acesso,[3] que em regra cobra pela disponibilização ou uso da conexão à Internet, não há qualquer pagamento realizado diretamente aos proprietários de websites como condição para seu acesso, visualização ou utilização, salvo disposição contratual diversa – caso em que estaria configurada uma prestação de serviços por meio eletrônico, ou seja, um contrato propriamente dito, o que foge ao ponto in comento.
Na realidade, o usuário, muitas vezes de maneira inadvertida, “paga” pelo conteúdo que visualiza e pelos serviços que utiliza na web, com seus dados pessoais, referentes aos registros de seu comportamento na Rede, e.g., as páginas visitadas, os termos de pesquisa, as informações de seu perfil em redes sociais, etc.. Cada website possui uma política de privacidade na qual o internauta pode e deveria buscar maiores informações acerca da destinação de suas informações coletadas.
Por oportuno, cabe esclarecer o conceito de “tratamento de dados”. Para a Lei nº 13.709 (BRASIL, 2018), Lei Geral de Proteção de Dados (LGPD):
“Art. 5º. Para os fins desta Lei, considera-se: [...] X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;”
Portanto, refere-se a qualquer operação no ciclo de processamento de quaisquer dados. Um informativo constante no site da Comissão Europeia (2018) exemplifica algumas situações que a configuram:
“Gestão de pessoal e de folhas de pagamentos; acesso/consulta de uma base de dados de contactos que contenha dados pessoais; envio de mensagens de correio eletrónico promocionais*; destruição de documentos que contenham dados pessoais; publicação/colocação de uma foto de uma pessoa num sítio web; armazenamento de endereços IP ou endereços MAC; gravação de vídeo (CCTV)”.
De qualquer forma, apesar do tratamento de dados possuir diversos fins – estatísticos, acadêmicos, elaboração de políticas públicas, segurança pública, entre outros – o ponto de interesse, no presente, limita-se ao seu emprego por provedores de aplicações de Internet.
Embora a atividade de coletar dados pessoais e de navegação de internautas pareça, à primeira vista, irrelevante, o tratamento a que são submetidos agregam-lhes valor econômico, suficiente para manutenção de um website, que possui despesas como qualquer empreendimento, e também lucrativo suficiente para que seja atrativo do ponto de vista empresarial. Com efeito, justamente os dados é que são responsáveis em grande parte pelo desenvolvimento da Internet àquilo que ela é hoje. Vale citar trecho da obra do esclarecedor Marcelo Cardoso Pereira (2011, p. 186-188):
“O êxito dos negócios na denominada "economia digital" está pendente de que os Prestadores de Serviços da Sociedade da Informação possam apresentar produtos e serviços adequados a pessoas adequadas. Para isso, devem, esses prestadores (...), saber os gostos, preferências, hábitos, costumes, etc., de potenciais clientes que não são outros, como já dissemos, senão os usuários da Rede”.
Trata-se, portanto, daquilo que se denomina de “profiling”: o provedor de serviços de Internet, tendo coletado os dados deste usuário, pode processá-los, de maneira a identificar padrões e preferências de consumo de cada internauta, para utilizá-los em marketing direcionado próprio, ou transferir (vender) esses resultados para terceiros.
Tatiana Malta Vieira (2007, p. 197) expressa opinião desfavorável acerca do desenvolvimento deste modelo de negócio, em face da potencialidade de danos que podem acarretar à intimidade dos internautas, e também esclarece:
“Apenas a titulo exemplificativo, resgata-se o caso da empresa Geocities, grande e poderoso provedor que, como condição para disponibilizar páginas gratuitas na Internet, exigia que seus usuários preenchessem formulários com dados pessoais, tais como endereço, salário, formação educacional, sexo, estado civil, profissão, áreas de interesse. A partir desses dados, criava o perfil de seus usuários e vendia tais dados para empresas de marketing. Noticia-se que nos EUA, 92% (noventa e dois por cento) dos websites coletam dados pessoais de seus usuários e os processam segundo interesses comerciais próprios”.
Oportunamente, verificar-se-á de que formas o direito de privacidade, intimidade e vida privada dos usuários da Internet podem ser vulnerados por esta operação de coleta e processamento de dados.
Cabe antecipar, por oportuno, que a total ausência de coleta é inadmissível, porque ela sustenta justamente a economicidade desses serviços virtuais, cuja utilidade social resta consolidada. É cabível, contudo, restringir os tipos de dados que podem ser coletados e submetidos a tratamento, por meio de uma regulamentação legal (MONTEIRO, 2014, p. 143), tal como a proposta da LGPD, objeto de análise ulterior.
1.1. Comércio eletrônico
Do outro lado desta atividade de coleta e processamento de dados de usuários de Internet, encontra-se, naturalmente, o interesse comercial que a movimenta, atraído pelas vantagens acentuadas que esta forma de atuação publicitária apresenta, visto que permite o direcionamento de ofertas e propagandas a usuários específicos, na exata medida de seus interesses e preferências identificados a partir de seus dados.
Ou seja, deve haver uma aproximação entre os fornecedores e consumidores para a concretização do comércio eletrônico, e no ambiente virtual, isso é feito principalmente por meio do tratamento de dados pessoais, coletados diretamente ou por intermédio de terceiros.
Sob o ponto de vista do internauta-consumidor, este verá, nos websites que acessar, anúncios publicitários de produtos e serviços relacionados aos conteúdos que acessou, pesquisas que realizou, etc., apresentados de maneira gráfica em locais específicos das páginas web, fato que pode auxiliá-lo quando visita a Internet para acessar o mercado de consumo virtual.
No entanto, existem práticas comerciais muito mais intrusivas. Um exemplo corriqueiro refere-se ao spam,[4] i.e., o envio de e-mails com ofertas e propagandas para consumidores em potencial, ou mesmo ligações telefônicas com a mesma finalidade, possibilitado pela obtenção de dados pessoais direta e voluntariamente do consumidor, ou então por meio do compartilhamento dos mesmos entre fornecedores.
Assim, são diversas as práticas comerciais adotadas em sede de comércio eletrônico, e cada uma delas possui especificidades em relação à sua legalidade. Por conseguinte, podem ocasionar, em determinadas hipóteses, a responsabilidade civil não apenas do comerciante, mas também do provedor de aplicações de Internet.
2. Do direito à privacidade e os dados pessoais
A privacidade corresponde a uma construção filosófica moderna. Uma de suas primeiras manifestações ocorreu na common law por Samuel D. Warren e Louis D. Brandeis (1890) entendido como “o direito de ser deixado só” (the right to be left alone). Com efeito, esta clássica construção sintetiza “privacy” a partir dos direitos de liberdade e de propriedade, como a escolha individual de tornar públicos fatos seus, ou não (LIMBERGER, 2007, p.55). No entanto, somente assumiu contornos jurídicos autônomos a partir da década de 1950, no contexto do Pós-Segunda Guerra, vencidos os regimes Fascistas da Europa (SCHERKERKEWITZ, 2014, p. 124), concomitantemente à própria ideia de dignidade da pessoa humana.
Apesar dos benefícios que o avanço tecnológico trouxe à modernidade, seus impactos renovam a importância atribuída àquilo que se entende como “direito à privacidade”, a seguir aprofundado.
2.1. Privacidade e autodeterminação informativa
Principie-se pela própria Constituição Federal (CF) de 1988, que elencou no rol de direitos e garantias individuais do artigo 5º, inciso X, a inviolabilidade da intimidade, vida privada, honra e imagem das pessoas, e a decorrente indenização em caso de sua violação.
A primeira constatação é fato de que o texto constitucional não fala em “privacidade”, mas elenca especificamente alguns direitos: direito à honra, imagem, intimidade e vida privada.
No que concerne a esta redação pormenorizada do Constituinte de 1988, a doutrina evidencia um choque cultural quando trata do direito à privacidade, tendo em vista a origem anglo-saxã e consuetudinária deste instituto jurídico. É que o termo “privacidade” se consubstancia em um neologismo de “privacy” e não possui um verbete cujo significado seja equivalente na língua portuguesa, ao menos quando se comparam no sentido técnico-jurídico. O termo estrangeiro, esclarece Marcelo Cardoso Pereira (2011, p. 118-119), é demasiadamente amplo e abrangente em relação ao termo em língua portuguesa.
Nesse sentido, recomenda, ainda, que no Brasil seja adotado o uso do termo "privacidade", mas com um sentido ampliado, para equipará-lo ao significado de "privacy" norte americano, de maneira a resguardar a devida correspondência técnico-jurídica (PEREIRA, 2011, p. 125).
Gilmar Mendes (2012, p. 407) também ilustra brevemente a celeuma doutrinária em relação à privacidade e intimidade: a primeira seria mais abrangente que a segunda, limitando-se a última às relações familiares e amizades mais próximas.
José Afonso da Silva (2005, p. 206), por ângulo diverso, opta por tomar as expressões do texto constitucional por conjunto, referindo-se a eles com o termo “Direito à Privacidade”, por entendê-lo como expressão mais genérica e ampla, capaz de sintetizar sucintamente os termos empregados pela Constituinte de 1988.
Também possui destaque a obra da doutrina alemã, que concebeu a Teoria das Esferas ou dos Círculos Concêntricos, i.e., a sistematização da privacidade por meio de um diagrama de três níveis ou círculos, cada qual conscrito por outro maior. O nível mais restrito seria o segredo pessoal, o nível intermediário corresponderia às informações compartilhadas com pessoas íntimas e o nível externo seriam informações compartilhadas com terceiros, mas ainda assim relativas à pessoa do indivíduo. Vale citar o esforço de Marcelo Cardoso Pereira (2011, p. 113) em sintetizá-la:
“No esforço de conceituar o que seja a intimidade, e ainda que em uma tentativa de delimitar seu conteúdo, merece destaque a posição da doutrina alemã, a qual, mediante uma teoria denominada “teoria das esferas ou dos círculos concêntricos” (Sphärentheorie), tentou defini-la valendo-se para tanto de uma distinção entre “intimsphäre”, que corresponderia à esfera do segredo e que seria vulnerada quando do conhecimento de fatos que deveriam permanecer ignorados; “privatshäre”, que equivaleria a nossa noção de íntimo e que englobaria a vida pessoal e familiar; e “individualshäre”, que corresponderia a todo tipo de dados ou informações relativas ao indivíduo, tais como o nome, a honra, etc.”
Parte da doutrina vislumbra que o direito à intimidade, confrontado com o novo significado de sociedade, informatizada e globalizada, resultaria no reconhecimento de um novo direito fundamental, denominado “autodeterminação informativa”, entendida como “consequência da limitação da informática pela intimidade, que garante ao indivíduo um direito público de conteúdo subjetivo e objetivo.” (LIMBERGER, 2007, p. 115). De modo sintético, pode ser conceituado como o direito, conferido ao indivíduo, de atribuir às próprias informações caráter público ou reservado (MARTINS, 2014, p. 284-287).
Seu reconhecimento enquanto direito fundamental se deu, pela primeira vez, num julgamento da Corte Constitucional da Alemanha, em 1983, acerca da inconstitucionalidade da Lei do Censo, a qual obrigava que todos os cidadãos alemães se submetessem a um questionário estatístico com perguntas que afrontariam o direito à intimidade (VIEIRA , 2007, p. 35).
Atualmente, no ordenamento brasileiro, a autodeterminação informativa é tomada como um dos fundamentos da LGPD (art. 2º, inciso II). A mesma reaparece no art. 7º, § 4º, do mesmo diploma, o qual, ao tratar dos requisitos para a realização de tratamento de dados pessoais, dispensa a exigibilidade de obtenção de consentimento do titular, em relação às informações que o próprio tenha previamente tornado ”manifestamente públicos”. Naturalmente, a dispensa desse requisito específico não afasta o dever legal de indenizar danos porventura causados, mas é representativo dessa autodeterminação.
Diante desse cenário, a previsão específica da intimidade, vida privada, e demais valores na Lei Maior representa sua condição de direitos individuais, intimamente ligados ao direito à vida, do qual se origina a autodeterminação informativa (PEREIRA, 2011, p. 120-122). Cabe, neste diapasão, um aprofundamento acerca do conceito de dados pessoais, as unidades de informação submetidas ao processo de tratamento.
2.2. Dados pessoais e dados sensíveis
É necessário compreender o que são dados pessoais. No entender de Tatiana Malta Vieira (2007, p. 252), o dado “representa uma informação em sua dimensão mais reduzida.” Caso o dado transmita, isoladamente, uma mensagem inteligível, terá valor intrínseco, mas se depender de outros para fazê-lo, não o terá.
Manoel J. Pereira dos Santos (2012, p. 351) afirma que dados pessoais são “fatos, juízos e representações referentes a uma pessoa física ou jurídica.” Afirma ainda que estes se subdividem em dados (i) nominativos, e (ii) não-nominativos ou anônimos, conforme seja possível associá-los a pessoa determinada. Os dados pessoais nominativos, por sua vez, sofrem outra subdivisão, em “sensíveis” e “não sensíveis”.
Para Tatiana Malta Vieira (2007, p. 259), os dados pessoais seriam classificáveis em três categorias, relacionando cada uma delas com a Teoria dos Círculos Concêntricos da doutrina alemã, conforme o grau de privacidade que se verifique: (a) não-sensíveis, que corresponderia a informações que meramente identificam e individualizam uma pessoa; (b) sensíveis, relativos à vida pessoal e familiar; e (c) de tratamento proibido, relacionado ao âmbito do segredo.
De qualquer modo, para as definições conceituais do art. 5º da LGPD, dado pessoal é a “informação relacionada a pessoa natural identificada ou identificável”, ao passo que o dado pessoal sensível tem o atributo adicional de referir-se a “[...] origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Especificamente quanto aos dados sensíveis, estes trazem informações que podem ser indevidamente utilizadas para fins discriminatórios e, por esta razão, merecem proteção especial em relação à segurança de seu processamento (LIMBERGER, 2007, p. 203), de maneira a resguardar o direito de autodeterminação informativa de seu titular.
Em virtude disso, Vieira (2007, p. 297-298) explica que parte da doutrina argumenta que os dados sensíveis (aqueles referentes à intimidade) estão excluídos, em tese, de serem tratados no âmbito da Internet. Contudo, verifica duas exceções importantes: (i) a de que os dados sensíveis podem ser colhidos sem autorização, desde que exista fundamento legal, para fins estatísticos ou científicos, sem identificação de seus titulares; e outra, de que (ii) o conceito de dados sensíveis não é objetivo, permanente ou rígido, mas sim flexível, uma cláusula aberta, a ser verificada no caso concreto em relação à potencialidade de danos que podem gerar a seus titulares, considerando as informações que podem revelar a seu respeito.
Superados esses conceitos iniciais, adentra-se na análise desta proteção de dados pessoais sob a perspectiva da principiologia do Marco Civil da Internet.