3. Panorama principiológico do Marco Civil da Internet – Lei nº 12.965/2014
A Lei nº 12.965/2014 – Marco Civil da Internet constitui verdadeira norma principiológica, um vetor de interpretação a orientar a legislação presente e vindoura para a proteção de pessoas no ambiente virtual. Sua elaboração remete a um trâmite lento, com participação popular e diversas consultas públicas, mas que foi, ao final, acelerado, diante da imposição de um regime de urgência na Câmara dos Deputados, em decorrência da notável revelação de Edward Snowden, em 2013, de que o Brasil foi alvo de espionagem por meio da Internet, pelos Estados Unidos (VAINZOF, 2014, p. 179).
Especificamente quanto aos dados pessoais, a sua proteção foi elencada como princípio para o uso da Internet no Brasil, pelo art. 3º, inciso III. Ademais, foi conferido ao usuário de Internet o direito de sigilo sob seus dados pessoais, bem como a garantia de informação e a prerrogativa de autorizar as operações de “coleta, uso, armazenamento e tratamento” sob os mesmos (art. 7º, VII a X).
Contudo, somente com a regulamentação do Marco Civil da Internet, conferida pelo Decreto nº 8.771 (BRASIL, 2016), delimitaram-se alguns conceitos, tais como (i) os dados cadastrais – a filiação, endereço, nome, prenome, estado civil e profissão (art. 11, §2º); (ii) dados pessoais – aqueles relacionados “[...] à pessoa natural identificada ou identificável [...]” (art. 14, I), e (iii) o tratamento de dados pessoais – “toda operação realizada com dados pessoais [...]”, tecendo rol exemplificativo (art. 14, II).
Ainda sobre o Decreto, este fixou, em relação aos dados coletados, a obrigação de seguir padrões de segurança e sigilo do art. 13; a retenção mínima de dados, com obrigação de excluí-los depois de exaurida sua finalidade ou o prazo do § 2º do referido dispositivo; bem como o dever de sanar dúvidas acerca dessa segurança da informação a qualquer interessado, respeitada a confidencialidade do segredo empresarial (art. 16).
Em suma, verifica-se que foi concedida a liberdade dos modelos de negócio nela promovidos, cristalizando alguns aspectos da autorregulamentação da Internet,[5] desde que não conflitem com estes direitos conferidos aos internautas. O principal deles, para fins do presente, é o tratamento de dados, caso em que se conferem prerrogativas diferenciadas aos usuários em relação a seus dados pessoais, elencadas no art. 7º, incisos VII a X.
Portanto, extrai-se do texto legal que não se proíbe a coleta de dados e transferência a terceiros, mas garante-se ao usuário o direito de ser inequivocamente informado do procedimento e de autorizar, de maneira livre e expressa, a coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais.
4. Dados pessoais e responsabilidade civil do provedor de aplicações de Internet
Em linhas gerais, a responsabilidade civil tem previsão nos artigos 186, 187, 389 e seguintes, e 927 e seguintes do Código Civil Brasileiro (CCB), e corresponde a uma consequência do descumprimento de uma obrigação, não se confundindo com esta. Conforme a natureza da norma violada, a responsabilidade será contratual ou extracontratual, configurando um sistema dualista. Para fins de reparação, adotou-se no art. 391 do diploma civil o princípio da responsabilidade patrimonial, ou seja, pelo dano causado respondem todos os bens daquele que o provocou. Ademais, incide também o princípio da reparação integral, insculpido no art. 944, o qual materializa o ideal de sanção civil pelo ato ilícito, bem como uma forma de compensar a vítima pelo desfalque sofrido.
O dano, por sua vez, é o prejuízo suportado pela vítima. Consubstancia-se em elemento imprescindível à obrigação de indenizar, necessariamente efetivo e real, bem como contemporâneo ao momento em que se aduz a pretensão reparatória. A verificação de sua ocorrência depende de uma análise casuística, principalmente em sede de proteção de dados pessoais. O Tribunal de Justiça do Rio Grande do Sul (TJ-RS), por exemplo, já decidiu, em consonância com o preceito da autodeterminação informativa, que nem todo compartilhamento desautorizado de dados pessoais configura dano a seus titulares, pois, no julgado, as informações compartilhadas já eram publicamente acessíveis.[6]
Doutrinariamente, classificam-se os danos em (i) clássicos ou tradicionais: material e moral; e (ii) novos ou contemporâneos: danos estéticos, danos morais coletivos, danos sociais e danos por perda de uma chance (TARTUCE, 2011, p. 425). Fala-se ainda do dano pela perda de tempo útil. Trata-se de uma construção recente, em que se concebe o tempo útil como um bem jurídico extrapatrimonial indenizável – uma espécie de dano moral, portanto. Deve sua existência à acentuada má prestação de serviços que oneram o consumidor em desperdiçar seu tempo produtivo em contato com o fornecedor, por meio de Serviços de Atendimento ao Consumidor (SACs) ou callcenters (GUGLINSKI, 2012).
Quanto aos atos ilícitos praticados na Internet, não se verificam elementos especiais no CCB para excluí-los ou qualificá-los. Assim, sempre que houver dano, de qualquer natureza, advindo da conduta culposa de outrem, ainda que por meio da Internet, surge a obrigação de indenizar, na forma de seu art. 186.
Por outro lado, antes mesmo da publicação da LGPD, a doutrina já apontava que a responsabilidade civil do provedor de serviços de Internet deve partir do pressuposto de que existem deveres específicos a eles impostos, no ensinar de Marcel Leonardi (2007, p. 52):
“Não se afigura possível, portanto, falar em responsabilidade civil sem a noção de dever, o que torna necessária a análise de cada um dos deveres dos provedores de serviços de Internet: utilizar tecnologias apropriadas, conhecer os dados de seus usuários, manter informações por tempo determinado, manter em sigilo os dados dos usuários, não monitorar, não censurar e informar em face de ato ilícito cometido por usuário”.
Especificamente na atividade de coleta e tratamento de dados pessoais, Manoel J. Pereira dos Santos (2012, p. 351) identifica algumas obrigações nesse sentido, como sendo:
“(a) obrigação de lealdade e boa-fé́; (b) obrigação de exatidão; (c) obrigação de permanente atualização; (d) obrigação de utilização restrita (quanto à finalidade e quanto ao prazo); (e) obrigação de confidencialidade; e (f) obrigação de segurança."
Vale dizer, os deveres aventados pela doutrina se assemelham ao dever objetivo de cuidado, uma postura institucional que deve pautar a atividade do provedor de serviços de Internet, sob pena de responsabilidade pelos danos que venham a causar a seus usuários.
4.1. Delimitações trazidas pela Lei Geral de Proteção de Dados
No art. 2º da Lei nº 13.709 de 14 de agosto de 2018 foram insculpidos os “fundamentos” da disciplina de proteção de dados pessoais. De plano, pode-se inferir que a volunta legis é de conciliar a importância econômica e tecnológica da atividade de tratamento de dados pessoais (incisos V e VI) com a proteção de direitos fundamentais, como a privacidade, autodeterminação informativa e outros (demais incisos).
Elevou-se a princípio da atividade de tratamento de dados pessoais no art. 6º, inciso X, a responsabilização do agente operador de dados pela adoção de medidas pela proteção das informações que possua, bem como a eficácia das mesmas.
Em consonância com o dever de não causar danos a outrem, a LGPD previu em seu art. 7º e seguintes os requisitos indispensáveis para a regularidade das operações de tratamento de dados pessoais.
Destaca-se que seu inciso I exige o consentimento do titular dos dados pessoais para seu processamento. Trata-se da instrumentalização da "autodeterminação informativa", já exposta anteriormente.
No plano internacional, a título comparativo, existem regulamentos divergentes quanto ao momento de obtenção do consentimento, em relação ao início do tratamento dos dados. Nos Estados Unidos a Direct Marketing Association (DMA) regulamentou o consentimento posterior – negative option, enquanto que na União Europeia o Conselho Europeu instituiu o consentimento prévio – positive option (MARTINS, 2014, p. 270). A doutrina defende esta última, sustentando que a regulamentação europeia é a mais avançada do mundo neste quesito (VIEIRA, 2007, p. 273), e que é mais adequada aos princípios da relação de consumo (MARTINS, 2014, p. 270). Felizmente, o legislador brasileiro a preferiu, não apenas na recente LGPD, mas também no Marco Civil da Internet, como visto anteriormente, e no § 2º do art. 43 do Código de Defesa do Consumidor (CDC).
Quanto à forma da manifestação do titular dos dados (art. 8º da LGPD), esta deverá ser escrita, em cláusula destacada das demais, ou por outro meio apto a comprovar a autorização. Os parágrafos do mesmo dispositivo tratam ainda, à semelhança do CDC, de alguns requisitos para a validade do consentimento manifestado. Por exemplo, o dever de informação adequada e especificada, a nulidade de autorizações genéricas, a imprescindibilidade da delimitação das finalidades do procedimento, entre outras.
Importante denotar a restrição imposta, no art. 11, ao tratamento de dados pessoais sensíveis, cujo processamento pode ensejar discriminações indevidas e prejuízos ao seu titular. Exige-se também a obtenção de seu consentimento livre e esclarecido, ou que exista uma situação que o dispense, taxativamente prevista nas alíneas do inciso II, relacionadas a hipóteses de interesse público, ou em que seja possível “anonimizar” [7] tais dados para fins estatísticos.
Existem ainda direitos conferidos pela LGPD ao titular dos dados pessoais submetidos a tratamento, no art. 17 e seguintes. Cumpre destacar a prerrogativa do titular ter acesso e retificar seus dados pessoais, caso estejam incorretos. Trata-se da consolidação do princípio da veracidade, já previsto pelo CDC em seu art. 43, § 3º. Este se refere à prerrogativa de exigir a retificação de dados pessoais incorretos (VIEIRA, 2007, p. 273), e tem como justificativa prevenir danos que podem ser ocasionados ao titular em decorrência de seu processamento. Marcelo Cardoso Pereira (2011, p. 193) reconhece que “a consequência será a elaboração de um perfil pessoal que não reflete a realidade e que formará uma ideia falsa acerca do modo de ser do internauta [...]”.
Por fim, desde antes da Lei nº 13.709, a doutrina sustentava que ao internauta cabia o direito de requerer a exclusão definitiva dos dados pessoais que houver fornecido a algum provedor, finda a relação entre as partes (MONTEIRO, 2014, p. 142). Verifica-se, contudo, que a LGPD foi além, instituindo no art. 16, como uma regra, a eliminação dos dados pessoais coletados após o término do seu tratamento, salvo as exceções aduzidas em seus incisos, nas quais os riscos do arquivamento de tais dados pessoais podem ser relevados em face da necessidade de atender obrigações legais ou regulatórias (inciso I), da autorização do titular para transferência de suas informações a terceiros (inciso III), ou ainda de sua anonimização para utilização por órgãos de pesquisa ou do próprio controlador (incisos II e IV).
Tendo analisado algumas das obrigações e deveres impostos aos agentes de tratamento de dados pela LGPD, pode-se adentrar ao ponto de maior interesse, para fins do presente, i.e., a regulação da responsabilidade civil do mesmo diploma.
4.2. A responsabilidade civil na Lei nº 13.709/2018
O art. 42 da Lei in comento instituiu a obrigação de reparação de danos, patrimoniais ou extrapatrimoniais, que tenham nexo causal com a atividade de tratamento de dados.
A leitura do texto do dispositivo faz concluir que o legislador optou pela responsabilidade civil objetiva com base na Teoria do Risco, na qual não se exige a demonstração de dolo ou culpa do autor do dano: basta que a atividade desenvolvida contenha um risco intrínseco a sua realização. Cabe destacar que a natureza do risco, conforme a classificação elencada na doutrina de Flávio Tartuce (2011, p. 446), será de “risco-proveito”, na hipótese de haver finalidade lucrativa, ou de “risco-administrativo” caso se trate de operação realizada por ente estatal, ou por particular em colaboração com este.
O art. 43, por sua vez, instituiu causas de exclusão da responsabilidade dos agentes de tratamento pautadas pela quebra do nexo de causalidade entre os elementos do dano e do risco. De antemão, as hipóteses dos incisos I e III não inovam em relação à matéria do CCB, pois se referem à prova da negativa do fato ou da autoria, e culpa exclusiva da vítima ou de terceiro, respectivamente.
De outro giro, merece atenção especial o inciso II do mesmo, o qual exclui a responsabilização do agente de tratamento mediante comprovação de que atuou “em conformidade com a legislação pertinente”. Conclui-se, portanto, que a LGPD presumiu que o cumprimento da Lei e das normas técnicas pertinentes eliminaria o risco da atividade a ponto de afastar seu dever de indenizar, na ocorrência de eventual dano.
O artigo seguinte prevê circunstâncias que podem ser analisadas em Juízo para verificar a regularidade da atividade desenvolvida pelo gestor de dados, sendo eles o modus operandi do gestor de dados, resultados e riscos esperados, e técnicas disponíveis à época da operação. Elenca, ainda, como parâmetros, não apenas a pura observância da legislação, mas também o nível de segurança da informação em padrões aceitáveis, sob o ponto de vista do titular dos dados.
Por fim, o art. 45 afirma o caráter geral da Lei nº 13.709, pois ressalva que as relações de consumo nas operações com dados pessoais, em que ocorrerem “violações de direito do titular”, permanecerão reguladas pela legislação especial. Certamente, nessa se inclui o dever de indenizar imposto ao fornecedor, pautado pela Responsabilidade Civil por fatos e vícios de produtos e serviços, regulados na Lei nº 8.078 de 11 de setembro de 1990 – CDC.
Em suma, a LGPD, Lei Geral aplicável à atividade de tratamento de dados, sem prejuízo de outras Leis Especiais, adotou a Teoria do Risco para fundamentar uma responsabilidade objetiva nas operações de tratamento de dados. Apesar da previsão de causas excludentes de responsabilidade aos agentes de tratamento, pode-se afirmar seu caráter exemplificativo, visto que não contemplou hipóteses como o caso fortuito e a força maior.
Ademais, a LGPD demonstra-se compatível com a base principiológica instituída pelo Marco Civil da Internet, pois regulamentou as operações de coleta e tratamento, fixando direitos, garantias e deveres, de maneira a ponderar a economicidade das aplicações de Internet com o direito de privacidade de seus usuários.
4.3. O CDC como instrumento para proteção de dados pessoais – Cadastros e bancos de dados de consumidores
A Internet se constitui num meio de comunicação, o qual serve para veiculação de informações e de manifestação de vontades. Nesse sentido, para o Direito do Consumidor, o ato de simples navegação na Internet não configura relação de consumo entre o provedor de aplicações de Internet e o usuário, o qual possui liberdade para escolher qual conteúdo acessar (LEONARDI, 2004, p. 27). Contudo, se restarem configuradas práticas comerciais online ou comércio eletrônico, i.e., aquele contratado por meio da Internet, será perfeitamente aplicável o CDC (MARQUES, 2004, p. 58).
Especificamente na matéria de proteção de dados pessoais, o CDC trata dos arquivos de consumidores a partir de seu art. 43. De plano, é necessário esclarecer que referidas disposições da legislação consumerista abordam de forma ampla o manejo de “arquivos de consumo”, efetivamente, um gênero, do qual se afiguram as espécies (i) banco de dados; e (ii) cadastro de consumidores (BENJAMIN, 1998, p. 329).
Por banco de dados, entende-se o conjunto de informações organizadas, de forma especializada, por entidades com essa finalidade específica – e.g. Serviço de Proteção ao Crédito (SPC), SERASA – sendo que os dados são arquivados para atender ao interesse e solicitações de terceiros, que não o banco de dados, nem o titular das informações arquivadas, e cuja finalidade primordial é a proteção ao crédito. Distinguem-se, ainda, duas modalidades de bancos de dados: cadastros positivos, regulados na Lei nº 12.414 (BRASIL, 2011), que “disciplina a formação e consulta a [...] informações de adimplemento, [...] para formação de histórico de crédito”, e os cadastros negativos, ou seja, conjuntos de informações acerca de dívidas não adimplidas por consumidores (LIMBERGER, 2007, p. 187).
Cadastros de consumidores, de outro giro, conceituam-se como o conjunto de informações mantidas pelos fornecedores, em caráter interno, a respeito de seus próprios clientes, em regra, a pedido destes, com a finalidade específica de subsidiar a atividade econômica que desenvolvem (BENJAMIN, 1998, p. 329).
De qualquer modo, a regulamentação constante no Diploma Consumerista encontra plena aplicabilidade, tanto em relação a cadastros internos formulados por empresas, como também, no caso específico, provedores de aplicações de Internet, para a tutela de dados pessoais de internautas que ostentem também a qualidade de consumidores (VIEIRA, 2007, p. 278-279). Nesse viés, corrobora a previsão da especialidade do CDC pelo art. 45 da LGPD, analisado retro, bem como o Marco Civil da Internet, o qual previu a aplicabilidade de outros diplomas na regulamentação dos fatos jurídicos cibernéticos, em seu art. 3º, parágrafo único e art. 6º (OLIVEIRA, 2014).
No tocante à utilização dos dados pessoais, a LGPD permitiu seu compartilhamento com terceiros, desde que obtida autorização específica do titular (art. 7º, § 5º). Mutatis mutandis, é a mesma posição do CDC, com a observação de que este, segundo o egrégio Tribunal Regional Federal da 3ª Região, adota outros princípios protetivos, tais como a vulnerabilidade do consumidor, e a boa-fé nas relações de consumo.[8]
Sob outro aspecto, especificamente no § 2º do art. 43, do CDC, verifica-se a proibição da coleta desautorizada de quaisquer dados de consumidores, com a imposição de um dever de comunicação escrita quando o procedimento deva ser realizado, embora não haja solicitação do cliente.
Em regra, no âmbito da Internet, quando um indivíduo se cadastra em um website, e.g., uma rede social ou plataforma de e-commerce, o mesmo deve aceitar os “Termos de Uso e Politica de Privacidade” do provedor de aplicação. Trata-se de uma espécie de contrato de adesão eletrônico para o uso da aplicação (PECK, 2016, p. 535-536), atribuindo direitos e obrigações ao internauta e ao provedor, inclusive a autorização para coleta e tratamento de dados pessoais. Contudo, frequentemente, sua redação costuma ser demasiada longa, visualmente homogênea, e empregar vocabulário técnico, o que pode torná-los incompreensíveis, tomando como pressuposto a hipossuficiência do consumidor.
O art. 8º da LGPD prescreve que o consentimento para o tratamento de dados pessoais pode se dar “[...] por outro meio que demonstre a manifestação de vontade do titular”, i.e., que não seja o contrato escrito com cláusulas destacadas. Num primeiro momento, poder-se-ia sustentar que o legislador quis conferir ampla legitimidade ao emprego de Termos de Uso.
Entretanto, não se pode conferir validade jurídica de modo indiscriminado a tais contratos, sobretudo porque os parágrafos desse art. 8º não dispensam que a manifestação de vontade seja informada, válida e não viciada. Ademais, o ônus da prova da regularidade de sua obtenção cabe ao agente controlador de dados. Maior rigidez ainda se verifica nas relações de consumo, pautadas pelo principio da vulnerabilidade do consumidor. O art. 46 do CDC aduz que o consumidor não se obriga por instrumentos contratuais em que não houvera oportunidade de conhecimento prévio, seja real, quando sequer o texto contratual fora apresentado, ou efetivo, quando de difícil leitura e compreensão.
Patricia Peck (2016, p. 537), por outro lado, entende que a questão pode ser solucionada por uma atuação preventiva na elaboração de tais instrumentos, e exemplifica com a anexação de glossários dos termos técnicos utilizados na redação, e a prévia delimitação do grau de responsabilidade das partes envolvidas em relação a cada aspecto da aplicação eletrônica contratada.
Em virtude disso, é preciso que os provedores de aplicações revisem seus websites, de modo a adequar seus Termos de Uso, ou outras formas de contratos eletrônicos de adesão, aos destaques que atendam às exigências da LGPD e do CDC, primando, dessa maneira, pela efetiva e adequada informação dos internautas, tanto cidadãos como consumidores.
