Recentemente, foi noticiada uma decisão monocrática em agravo de instrumento na 2ª Turma do Tribunal de Justiça do Distrito Federal e Territórios, que determinou a suspensão da comercialização de dados pessoais pela empresa Serasa Experian em seu site na internet.
A decisão indica que a empresa oferecia para venda os dados pessoais de aproximadamente 150 milhões de brasileiros (contato, localização, idade, sexo, poder aquisitivo, entre outros), pelo valor de R$ 0,98 (noventa e oito centavos). Concluiu-se que a existência de uma base legal de tratamento desses dados pessoais pela empresa controladora não autoriza a sua comercialização, por violar direitos e liberdades fundamentais dos titulares (para saber mais sobre a decisão, clique aqui).
Esse assunto deve gerar mais dúvidas e conflitos a partir de sua regulação pela Lei Geral de Proteção de Dados Pessoais, sob três aspectos: a comercialização de dados pessoais pelo próprio titular, pelo controlador ou por pessoas (naturais ou jurídicas) que coletam os dados (em redes sociais, sites, bancos de dados públicos e outras fontes) e realizam o tratamento de forma ilegal (sem o conhecimento dos titulares e sem a indicação da base legal) com o objetivo de venda para terceiros.
Para esse fim, deve se levar em consideração que a relação do titular com os seus dados pessoais não é de direito real, mas sim de direito pessoal. Não existem proprietários, mas sim titulares dos dados pessoais.
Em consequência, essa relação também é regulada pelo Código Civil, especialmente pelos arts. 11/21, que tratam dos direitos da personalidade. Essas regras têm como fundamentos a intransmissibilidade e a irrenunciabilidade pelos titulares, logo, a menos que exista autorização expressa em lei, os titulares não podem, de modo voluntário, renunciar ou transferir os seus direitos de personalidade (que são aqueles relacionados a aspectos constitutivos da identidade, como o nome, o corpo, a imagem, entre outros).
De forma específica, o art. 12 do Código Civil protege o titular dos dados pessoais contra atividades de tratamento que violem qualquer direito de personalidade, ao conferir a ele os direitos de “(...) exigir que cesse a ameaça, ou a lesão, a direito da personalidade, e reclamar perdas e danos, sem prejuízo de outras sanções previstas em lei”.
Por isso, a LGPD tem entre seus objetivos e fundamentos o livre desenvolvimento da personalidade da pessoa natural (arts. 1º e 2º, VII) e protege a personalidade no direito de revisão das decisões automatizadas (art. 20).
A LGPD não se limita a condicionar o tratamento dos dados pessoais ao respeito à privacidade e às liberdades individuais, mas vai além e especifica o desenvolvimento livre da personalidade, o que compreende a necessidade de uma proteção ampla dos direitos da personalidade do titular em todas as formas de tratamento de dados.
Por outro lado, a LGPD não proíbe a cessão onerosa ou qualquer espécie de comercialização dos dados pessoais, o que poderia levar à conclusão de que, nas relações privadas, se não é proibido está autorizado (princípio da legalidade). Porém, essa seria uma solução muito simplista, porque, ao mesmo tempo, todas as operações de tratamento previstas na lei (tanto no conceito do art. 5º, X, quanto em outras normas relativas a ele, como o uso compartilhado, a transferências internacional etc.) não há nenhuma que regule ou autorize operações comerciais com os próprios dados (mas apenas a partir deles). A LGPD regula as atividades de tratamento que transformam dados em informações e informações em conhecimento, que pode levar à prática de atividades comerciais que gerem lucro para o controlador.
Além disso, existem as limitações do Código Civil à disponibilidade dos direitos da personalidade. Por exemplo, uma pessoa não pode vender ou alugar o seu número de CPF para outra, ou comercializar a sua CNH ou a sua carteira de identidade. De outro lado, não seria possível ao titular receber alguma vantagem para o fornecimento do consentimento para o tratamento dos dados pessoais? Na prática isso ocorre, por exemplo, na obtenção de descontos ou de pontos em clubes de fidelidade em troca do preenchimento de pesquisas ou formulários (porém, nesses casos os dados pessoais costumam ser anonimizados e se tornam dados não pessoais, não regulados pela LGPD).
A partir disso (e de outros fundamentos e argumentos), deverá ocorrer a discussão sobre a existência – ou não – de um direito à comercialização dos dados pessoais (pelo titular, pelo controlador ou por terceiros) e, em caso positivo, quais são as suas regras e limites.
