A Lei Geral de Proteção de Dados não está ainda em vigor. Inicialmente, prevista para entrar em vigor em agosto de 2020, a Medida Provisória 959/20 adiou a entrada em vigor para maio de 2021, por causa da pandemia de covid-19. Contudo, a proteção de dados inerente da LGPD já está em vigor ainda que a lei propriamente dita não esteja.
A proteção se dará em dois casos. Primeiramente, caso a relação entre o titular e o controlador for consumerista, à luz dos artigos 2º e 3º do Código de Defesa do Consumidor (Lei 8.078/90) ou nos casos em que a relação ocorrer on-line, à luz do Marco Civil da Internet (Lei 12.965/14).
Isso se dá porque tais diplomas legais exigem determinada proteção aos dados pessoais dos titulares. Ao mesmo tempo, permitem o direito ao titular de ter acesso aos dados pessoais, bem como corrigir os dados inexatos. O Código de Defesa do Consumidor, em seu artigo 43, determina o direito do consumidor ao acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como suas respectivas fontes.
Além disso, o § 1º determina que os cadastros e dados dos consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo contar informações negativas referentes a período superior a cinco anos. E o § 3º do mesmo artigo dá ao consumidor o direito de exigir imediata correção de informações e dados inexatos.
Ainda, o artigo 14 do diploma consumerista determina a existência de responsabilidade civil, independentemente de culpa, caso o fornecedor de produtos e serviços causem danos aos consumidores por defeitos relativos à prestação dos serviços – como a manutenção, guarda e proteção dos dados pessoais -, bem como por informaões insuficientes ou inadequadas sobre sua fruição e riscos.
Apesar de o CDC não dispor diretamente sobre a necessidade de manutenção e guarda dos dados pessoais dos titulares consumidores, determina a responsabilidade civil objetiva caso haja defeito na prestação de serviços, ensejando a devida indenização.
APELAÇÃO CÍVEL. AÇÃO ANULATÓRIA DE CONTRATO E INDENIZAÇÃO POR DANOS MORAIS. CONTRATAÇÃO DE EMPRÉSTIMOS. CAIXA ELETRÔNICO. CULPA EXCLUSIVA DA VÍTIMA. NÃO CONFIGURADA. DEFEITO NA PRESTAÇÃO DO SERVIÇO BANCÁRIO. VAZAMENTO DE DADOS PESSOAIS. DANOS MORAIS CARACTERIZADOS. QUANTUM INDENIZATÓRIO. ADEQUAÇÃO DEVIDA. SENTENÇA REFORMADA EM PARTE. O fornecedor de serviços responde, independentemente de existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, nos termos do art. 14 do Código de Defesa do Consumidor. Para que seja configurada a excludente de responsabilidade do fornecedor prevista no art. 14, § 3º, II do CDC deve ser comprovada a culpa exclusiva do consumidor. Reveste-de de ilicitude a hipótese em que a instituição financeira permite ou não cuida para impedir o vazamento dos dados pessoais de seus clientes oportunizando, assim, a atuação ilícita de terceiros fraudadores. A fixação da indenização por danos morais pauta-se pela aplicação dos princípios da razoabilidade e da proporcionalidade (TJMG, AC 10471160125947001, Relator: Des. Juliana Campos Horta, Data de publicação: 08 ago. 2019).
O Marco Civil da Internet, em 2014, trouxe maiores regras para o tratamento de dados pessoais, para relações consumeristas ou não, relativas ao âmbito da internet. Um dos princípios basilares da internet é a proteção de dados pessoais, colocado em pé de igualdade com princípios como a liberdade de expressão e manifestação de pensamento e a proteção da privacidade, conforme o artigo 3º da lei.
Já o artigo 7º, primeiramente, determina direitos para os usuários de internet, dentre o quais os incisos VII a X trata exclusivamente de direitos relativos à proteção de dados:
Art. 7º - [...]
VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;
IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;
Adiante, o Capítulo III, Seção II também trata sobre proteção de dados pessoais. Com o título “Da Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas”, a Seção mencionada determina regras e punições aos provedores de internet. O artigo 10 esculpe que a guarda e disponibilização dos registros de conexão e de acesso a aplicações de internet, bem como dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes envolvidas, só podendo ser disponibilizado a terceiros mediante ordem judicial expressa.
O artigo 11 determina que a legislação brasileira é aplicável a qualquer operação de tratamento de dados ou de comunicações por provedores de conexão e de aplicações de internet quando qualquer um dos atos praticados ocorra em território nacional, adiantando a regra da territorialidade da LGPD (artigo 3º, I). Por fim, o artigo 12 traz punições administrativas para o descumprimento do Marco Civil da Internet, novamente adiantando as sanções administrativas da LGPD (artigo 52), embora as punições não sejam idênticas.
O artigo 16 também trata a respeito de dados pessoais, vedando-se aos provedores de internet a guarda de registros de acesso a outras aplicações de internet sem o consentimento expresso e prévio do titular e a guarda de dados pessoais excessivos à finalidade. Novamente, o Marco Civil da Internet adiantou dispositivos da LGPD, como a necessidade de consentimento do titular (artigo 7º, I) e a exclusão de dados tratados excessivamente (artigo 18, IV).
De uma forma ou de outra, caso o titular queira ter acesso ao banco de dados onde suas informações pessoais estejam armazenadas ou tratadas, não pode o controlador se negar a dar tais informações. O Código de Defesa do Consumidor, conforme vimos, é cristalino quanto ao direito a acesso, conforme artigo 43, caput. O Marco Civil da Internet diz apenas sobre a proteção de dados, mas é silente quanto ao acesso.
Contudo, a Constituição Federal de 1988 esculpe nitidamente o direito ao remédio constitucional habeas data para assegurar o conhecimento de informações relativas à pessoa do impetrante da ação, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público, bem como para a retificação de dados (inciso LXXII do artigo 5º). Se o habeas data serve para assegurar um direito constitucional, significa, por lógica, que o acesso e a retificação a dados pessoais são direitos constitucionais.
O artigo 1º, Parágrafo Único da Lei do Habeas Data (Lei 9.507/97) esculpe que bancos de dados de caráter público são aqueles que contém informações que sejam ou que possam ser transmitidas a terceiros ou que não sejam de uso privativo do órgão ou da entidade depositária das informações. Da mesma forma, o artigo 43, § 4º do CDC determina que o banco de dados e cadastros relativos a consumidores e a serviços de proteção ao crédito são considerados entidades de caráter público.
Assim, este pequeno trabalho demonstra que a proteção de dados pessoais e o direito ao acesso do titular aos mesmos já existe, ainda que parcialmente, em legislações anteriores. A Lei Geral de Proteção de Dados virá para assegurar tal direito a todos, independentemente de relação consumerista ou de ser via internet. As empresas já devem prestar atenção ao assunto, ainda que a LGPD ainda esteja atualmente em vigor.
