Na sequência de textos sobre relações da Lei Geral de Proteção de Dados com outros atos normativos no país que também tratam da proteção de dados, após a análise da Constituição (clique aqui), passa-se ao Código de Defesa do Consumidor.
O Código de Defesa do Consumidor (Lei nº 8.078/90) contém as primeiras normas sobre a regulação da formação dos bancos de dados no Brasil. Com a entrada em vigor da Lei Geral de Proteção de Dados, o CDC deve ser aplicado em conjunto para reger especificamente as práticas de tratamento de dados pessoais nas relações de consumo.
O diálogo das fontes entre a LGPD e o CDC para a regulação da obtenção, tratamento e proteção de dados nas relações de consumo (entre outras atividades relacionadas aos dados pessoais) deve ser, na prática, a combinação de normas legais mais utilizada.
As relações jurídicas mantidas entre uma pessoa (natural ou jurídica, de direito público ou privado) que realiza atividades de tratamento de dados e outra pessoa (natural) titular desses dados, em regra, enquadra-se no conceito de relação de consumo submetida ao microssistema do Código de Defesa do Consumidor.
Com isso, a incidência do CDC nas atividades de tratamento de dados pessoais deve ocorrer principalmente para equilibrar as relações entre fornecedor e consumidor, assegurar a informação adequada, coibir práticas abusivas prevenir ou reprimir métodos comerciais coercitivos ou desleais, entre outras situações.
Além disso, no Direito Processual, o consumidor também possui um tratamento diferenciado para a facilitação de seus direitos, como, por exemplo, na inversão do ônus da prova a seu favor (art. 6º, VIII, do CDC), o que também poderá incidir nos processos sobre tratamento de dados nas relações de consumo.
Há, assim, uma dupla proteção legal do titular dos dados pessoais em relações de consumo: pelo Código de Defesa do Consumidor e pela Lei Geral de Proteção de Dados.
As normas de proteção de dados previstas no Código de Defesa do Consumidor são as seguintes:
1) Informação adequada e clara sobre os serviços (art. 6º, III): a informação é relevante para conduzir a tomada de decisões, razão pela qual o seu controle e as regras de acesso têm relevância jurídica. A LGPD conceitua o dado pessoal como sendo a “informação relacionada a pessoa natural identificada ou identificável” (art. 5º, I, da LGPD) e tem entre seus fundamentos o princípio da autodeterminação informativa (art. 2º, II, da LGPD), que consiste no respeito ao direito soberano de o titular controlar o acesso de seus dados pessoais. Desse modo, na prestação de serviços de tratamento de dados pessoais, o consumidor deve ter devidamente informado sobre tudo o que será feito com os seus dados, o que compreende a autorização, o conhecimento, a retificação, a boa-fé, a interrupção e a exclusão;
2) Responsabilidade objetiva e solidária pelos fatos do serviço ou do produto ocorridos (arts. 12, 14 e 25, § 1º, do CDC): todos as pessoas envolvidas na cadeia da prestação de serviços de tratamento de dados podem ser responsabilizados, de forma objetiva e solidária, pelos incidentes ocorridos e os danos causados aos consumidores titulares de dados. Há regras semelhantes para a responsabilização do controlador e do operador no exercício de atividade de tratamento de dados pessoais (art. 42 da LGPD), com hipóteses específicas de excludentes da responsabilidade (art. 43 da LGPD);
3) Redação dos documentos de oferta e apresentação dos produtos e serviços em língua portuguesa, com informações corretas, claras, precisas e ostensivas, elaboração de contratos em termos claros e com caracteres ostensivos e legíveis, com tamanho mínimo de fonte em corpo 12 (arts. 31, caput, e 54, § 3º, do CDC): os documentos relacionados ao tratamento de dados dos consumidores devem observar essas regras formais de elaboração e apresentação. Nos contratos de adesão, nas ofertas em massa de produtos e serviços e, especialmente, na internet, como não se sabe previamente se o contratado será – ou não – enquadrado como consumidor, os fornecedores de produtos e serviços que envolvem a captação e o tratamento de dados deverão observar as normas da LGPD e do CDC, para evirar o descumprimento das normas adequadas a cada caso (como, por exemplo, a Política de Privacidade dos sites na internet). Recorda-se que, em agosto de 2019, o PROCON de São Paulo expediu multa contra as empresas Google Brasil e Apple Brasil (em valores totais de quase 18 milhões de reais), em virtude da oferta do aplicativo Faceapp nas lojas de aplicativo brasileiras, sem a apresentação da Política de Privacidade e dos Termos de Uso no idioma português.
4) Comunicação de abertura de cadastro pelo controlador sem a solicitação do titular (art. 43, caput e § 2º, do CDC): o consumidor titular de dados tem o direito de ser informado sempre que houver a inclusão de seus dados pessoais em cadastros, fichas, registros ou banco de dados, quando tiver sido aberto sem o seu consentimento. Além disso, a abertura de qualquer espécie de banco de dados deve ser informada de forma clara ao consumidor, como visto acima (no princípio da autodeterminação informativa), para que haja o seu consentimento informado e inequívoco (art. 5º, XII, da LGPD);
5) Direito ao acesso e alteração dos dados solicitados pelo titular (art. 43, caput e § 3º, do CDC): o controlador tem o prazo de cinco dias úteis para alterar os dados, de acordo com o requerido pelo consumidor titular, ou justificar a eventual desnecessidade de alteração. Há, também, relação direta com o princípio da autodeterminação informativa, para assegurar os direitos do consumidor titular de acesso aos seus dados pessoais e de, se for o caso, requerer a sua retificação. Busca-se, com isso, assegurar que a identidade do titular dos dados seja respeitada (princípio da qualidade de tratamento);
6) Proibição de condutas enganosas, abusivas ou desproporcionais e de venda casada (art. 37, §§ 1º e 2º, e art. 39, I, do CDC): existem diversas práticas consideradas ilícitas e abusivas no CDC, que se aplicam às atividades de coleta e tratamento de dados pessoais nas relações de consumo. A divulgação de comunicações, informações e publicidade falsa ou abusiva, como meio para a obtenção dos dados pessoais, ou o condicionamento da entrega dos dados pessoais para o fornecimento de produto ou de serviço, são condutas ilícitas porque violam os citados dispositivos do CDC e fazem com que o consentimento do titular não seja informado (art. 5º, XII, e art. 7º, I, da LGPD). Essas regras devem ser objeto de dúvidas e controvérsias, nas hipóteses em que se exige o consentimento do titular para o tratamento de dados, considerando a quantidade e as formas variadas de estratégias e técnicas utilizadas (especialmente em meio digital) para a obtenção desse consentimento, o que leva a diversas situações limítrofes sobre a clareza – ou não das informações.