4. REPERCUSSÕES DA NOVA LEI AO ORDENAMENTO JURÍDICO
4.1 Responsabilidade Civil sob a Ótica da LGPD
Inicialmente cumpre destacar o fato gerador da responsabilidade civil que conforme Flávio Tartuce (2014, p. 953) surge devido a um descumprimento de uma obrigação, seja ela uma regra contratual, seja por um preceito normativo.
Neste sentido nos ensina Pablo Stolze e Rodolfo Pamplona:
A palavra “responsabilidade” tem sua origem no verbo latino respondere, significando a obrigação que alguém tem de assumir com as consequências jurídicas de sua atividade, contendo, ainda, a raiz latina de spondeo, fórmula através da qual se vinculava, no Direito Romano, o devedor nos contratos verbais. [...] Se uma pessoa, dolosa ou culposamente, causar prejuízo a outrem, fica obrigada a reparar o dano (GAGLIANO; FILHO, 2012, p. 47).
Diante do conceito de responsabilidade civil, passamos para a suas características e requisitos de aplicação do referido instituto, que podem ser extraídas do artigo 186 do código civil, quais sejam: a) conduta humana (positiva ou negativa); b) dano ou prejuízo; c) o nexo de causalidade (GAGLIANO; FILHO, 2012, p. 74).
Dito isto, cabe agora analisar a responsabilidade civil de cada um dos indivíduos presentes no rol do artigo 5º da LGPD como veremos no tópico abaixo.
4.1.1 Responsabilidade civil do controlador e operador dos dados
Com efeito, a LGPD apresenta uma série de requisitos e obrigações que devem ser observadas pelos agentes de proteção de dados, seja para que se possa prestar contas em caso de dano, seja para a tutela efetiva dos direitos em questão.
Nas palavras de Sérgio Ricardo Correia de Sá Júnior (2018):
Portanto, o melhor cenário, em termos de responsabilidade civil relacionada à proteção de dados seria encontrar o ponto de equilíbrio entre três fatores: empreendedor (uso legítimo e responsável de dados para gerar desenvolvimento econômico sustentável), indivíduo (garantia de direitos fundamentais, recolocando o um pouco mais na cadeia de controle de aspectos de sua personalidade) e consultorias (seguramente boas oportunidades profissionais a partir de agora e pelos próximos anos).
Nos moldes do artigo 37, deve o controlador e o operador registrarem todas as operações e processamentos realizados com os dados obtidos. Ficando a previsão da responsabilidade civil do controlador e operador no artigo 42 da mesma lei, senão vejamos: “O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.
Insta salientar que a responsabilidade aqui demonstrada é objetiva, sendo comparada a responsabilidade pelo fato do produto ou do serviço do Código de Defesa do Consumidor (CDC), ressaltado tal nuance no artigo 43 da LGPD onde aponta as situações onde fica excluído a responsabilidade de tais agentes, bem como, baseado nos princípios da segurança; prevenção; responsabilização e prestação de contas (MORAES, QUINELATO, 2019).
Além disto, outros institutos da LGPD foram inspirados no Código de Defesa do Consumidor, a exemplo, da inversão do ônus da prova por parte do juiz (art. 42, § 2º, da LGPD) (TEPEDINO, 2019).
Para melhor esclarecimento acerca das características da responsabilidade do código consumerista Holthausen (2010) aduz que:
A responsabilidade que o Código de Defesa do Consumidor impõe ao fornecedor (de produtos ou de serviços) é um dever de qualidade e de segurança. Isto quer dizer que aquele que coloca um produto ou um serviço no mercado tem a obrigação legal de ofertá-lo sem risco ao consumidor no que diz respeito à sua saúde, à sua integridade física e psíquica, bem como ao seu patrimônio.
[...]
Esta responsabilidade não é ilimitada e sua compreensão deve se dar dentro de um contexto do razoável, ou, como diz Cláudia Lima Marques, deve ser entendida como um dever de qualidade-segurança que será limitado, na forma como consta do § 1° do art. 12 do CDC (GRIFO NOSSO)
A justificativa de tal medida está no fato da responsabilidade civil objetiva ser aplicada nos casos em que o legislador julgou existir vulnerabilidade entre alguma das partes. Nesta configuração de responsabilidade não se considera a culpa, todavia, é uma forma especial que decorre da Lei (GAGLIANO; FILHO, 2012).
Reforçando este entendimento quanto a aplicação da responsabilidade objetiva aos casos de proteção de dados está o entendimento jurisprudencial do Supremo Tribunal Federal no Recurso Especial 1.419.698/RS vejamos:
RECURSO ESPECIAL REPRESENTATIVO DE CONTROVÉRSIA (ART. 543-C DO CPC). TEMA 710/STJ. DIREITO DO CONSUMIDOR. SISTEMA "CREDIT SCORING". DANO MORAL. desrespeito aos limites legais na utilização do sistema "credit scoring", configurando abuso no exercício desse direito (art. 187 do CC), pode ensejar a responsabilidade objetiva e solidária do fornecedor do serviço, do responsável pelo banco de dados, da fonte e do consulente (art. 16 da lei 12.414/2011) pela ocorrência de danos morais na hipóteses de utilização de informações excessivas ou sensíveis (art. 3, §3, I e II, da lei n. 12.414/2011)
(SUPERIOR TRIBUNAL DE JUSTIÇA, 2015, GRIFO NOSSO).
Diante disto, a sagacidade do legislador em diferenciar o papel do controlador e operador encontra-se na distribuição de responsabilidades. Assim, o fato do controlador deter o poder de decisão são lhe atribuídas maiores responsabilidades com relação aos dados que detém, devendo produzir as orientações ao operador para o tratamento de dados, bem como, elaborar relatório de impacto à proteção de dados pessoais quando solicitado pela Autoridade Nacional de Proteção de Dados, entre outras obrigações previstas no corpo da lei (SIMÃO e COSTA, 2020).
Já para o operador, em razão de agir conforme as orientações do controlador, responderá solidariamente pelos danos causados, podendo a sua responsabilidade ser equiparada a do controlador caso, caso descumpra a legislação ou também as orientações lícitas do controlador (MALDONADO e BLUM, 2019).
Nesta toada, a inteligência do legislador foi no sentido de proteger a parte considerada vulnerável (titular), para tanto, sendo responsabilizado os detentores da posse, e suas ramificações, dos dados daquele. Sendo importante, portanto, o estudo acerca do limite do quantum13 indenizatório da irresponsabilidade, tema do próximo tópico.
4.1.2 Limites da responsabilidade civil versus quantum indenizatório
Entendido acerca da responsabilidade, é relevante entender os limites da indenização, conforme o que consta no art. 944, caput, do Código Civil. Sendo que na LGPD, vale a regra do Princípio da Responsabilização e prestação de contas, ou seja, os danos suportados pela vítima serão indenizados (TARTUCE, 2014).
A inteligência do artigo 944 do Código Civil estabelece que “A indenização mede-se pela extensão do dano”. Desta forma, o dano à proteção de dados deve ser medido na proporção da culpa dos responsáveis pela administração dos dados, sendo possível considerar os seguintes critérios:
a) a quantidade de dados pessoais afetados;
b) a natureza dos dados pessoais afetados: o vazamento de dados pessoais sensíveis, por exemplo, determinará uma indenização maior, especialmente se se tratar de dados biométricos, que não podem ser substituídos;
c) a reincidência da conduta;
d) a omissão em tomar medidas de segurança e técnicas para minorar o dano ou em colaborar com a Autoridade Nacional de Proteção de Dados;
e) a ausência de notificação dos usuários da ocorrência do incidente;
f) a comprovada utilização dos dados pessoais vazados de titulares por terceiros. (CAPANEMA, 2020, p. 168)
Outrossim, é importante relembrar ser possível existirem hipóteses cabíveis de indenização moral nos casos de dano à proteção de dados, bem como, a acumulação por dano moral e material, conforme prevê a Súmula 37 do Superior Tribunal de Justiça, além de julgados, senão vejamos:
RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE NÃO FAZER C.C. INDENIZAÇÃO POR DANOS MORAIS. VEICULAÇÃO DA IMAGEM DA AUTORA EM PROGRAMA DE TELEVISÃO, EM CONTEXTO DESRESPEITOSO E COM INSINUAÇÕES DE NATUREZA SEXUAL, SEM AUTORIZAÇÃO. VIOLAÇÃO AOS DIREITOS DE PERSONALIDADE DA AUTORA (IMAGEM E PRIVACIDADE). DANO MORAL DEVIDAMENTE CARACTERIZADO. [...] Sempre que houver agressão a algum direito da personalidade do indivíduo estará configurado o dano moral, a ensejar a devida compensação indenizatória.
(SUPERIOR TRIBUNAL DE JUSTIÇA, 2018).
Além disto, conforme o enunciado da V Jornada de Direito Civil os danos de privacidade e dados não se resumem a danos individuais, mas permitem também a configuração em danos coletivos: “A expressão ‘dano’, no art. 944, abrange não só os danos individuais, materiais ou imateriais, mas também os danos sociais, difusos, coletivos e individuais homogêneos, a serem reclamados pelos legitimados para propor ações coletivas” (Enunciado n. 456), e a título de exemplo prático no julgado “APELAÇÃO CÍVEL. PROCESSUAL CIVIL. PRIVACIDADE. VIOLAÇÃO DE CORRESPONDÊNCIA. INTERESSE COLETIVO DAS INFORMAÇÕES. DANO MORAL IN RE IPSA” (TRIBUNAL DE JUSTIÇA DO DISTRITO FEDERAL, 2019).
Feito a análise da responsabilidade civil e consequências no campo da reparação por parte do controlador e operador, passamos à análise da figura da Autoridade Nacional de Proteção de Dados no tópico a seguir.
4.1.3 Responsabilidades e competências da figura da Autoridade Nacional de Proteção de Dados sob a ótica da fiscalização legal
Entre as figuras existentes no rol do artigo 5º, no inciso XIX da LGPD, a autoridade nacional possui o objetivo e responsabilidade de zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional (BRASIL, 2018).
Cujas competências são elencadas no artigo 55-J do mesmo diploma legal, vejamos:
I - zelar pela proteção dos dados pessoais, nos termos da legislação;
II - zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
III - elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
V - apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
VI - promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
VII - promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
VIII - estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
IX - promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
X - dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
XI - solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
XII - elaborar relatórios de gestão anuais acerca de suas atividades;
XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
XIV - ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
XV - arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;
XVI - realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
XVII - celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;
XVIII - editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclararem startups ou empresas de inovação, possam adequar-se a esta Lei;
XIX - garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
XX - deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos;
XXI - comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
XXII - comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
XXIII - articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação;
XXIV - implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei (BRASIL, 2018, GRIFO NOSSO).
Insta salientar quanto ao papel da Autoridade Nacional de Proteção de Dados que parte da doutrina a equipara como sendo uma agência reguladora, eis que possui “autonomia financeira, poder de regulamentar em diversas atividades de interesse coletivo que obrigam os prestadores de serviços a efetivamente cumprir suas determinações e orientações” (NONATO, 2020). Desta forma, preenchendo todos os requisitos de qualificação para uma norma regulamentadora.
Feito as considerações acerca da Autoridade Nacional de Proteção de Dados, passamos para a análise dos impactos da lei citada em alguns setores da sociedade.
4.2 A Lei Geral de Proteção de Dados e sua reverberação pela sociedade
Nos moldes da lei protecionista e seus princípios, inexistem dados pessoais irrelevantes, sendo todos sendo tratados de forma a preservar sua integridade e finalidade. Nesta ótica, a LGPD trouxe um impacto significativo para as empresas e para as pessoas físicas titulares dos dados, pois as pessoas físicas terão que ajustar suas atividades conforme o que diz a lei, já as pessoas físicas adquiriram, agora pela lei, a possibilidade consultar e revisar seus dados, que serão abordados com mais detalhes nos tópicos a seguir.
4.2.1 Impactos da lei para as pessoas jurídicas
Em contrapartida, a aquisição de direitos aos titulares dos dados, para as pessoas jurídicas representadas pelos operadores, controladores e encarregados passaram a adquirir ônus de zelar pelos dados (desde a aquisição válida do consentimento a exclusão devida).
Primeiro ponto a ser abordado, é a melhor classificação das empresas preparadas com relação às empresas despreparadas, garantindo uma melhor imagem e credibilidade perante o mercado, fortalecendo relações comerciais em virtude da responsabilidade solidária (VASCONCELOS, 2020).
Para maiores esclarecimentos acerca dos impactos para os negócios está a Figura 1 que aborda a empresa dividida por setores. Fazendo uma análise da figura verificamos serem vários os setores impactados, para tanto, existe a figura do Encarregado ou DPO (Data Protection Officer) com o objetivo de auxiliar na adaptação dos setores da empresa (SANTOS e CARVALHO, 2019).
Quanto a um prazo de adaptação, a lei foi divida em três partes, sendo que a seção que dispõe sobre a Autoridade Nacional de Proteção de Dados fica valendo a partir da data da publicação desta lei, conforme o inciso I, do artigo 65; a segunda parte, fica prevista no inciso I-A, do artigo 65, diz que, a parte que trata da fiscalização e sanção entrará em vigor somente em agosto de 2021, muito em razão da lei emergencial transitória da situação pandêmica; por fim, a terceira hipótese, no inciso II, do artigo 65, considera os demais artigos que não foram citados nas hipóteses anteriores com o vigor de 24 meses a partir da publicação da lei de agosto de 2018 (BRASIL, 2018).
Alguns destas mudanças são levantas por Carlos Santos e Felipe Carvalho (2019), as quais destaco:
1. Revisão e melhoramento de processos externos e internos de dados como gestão de dados, mecanismos de controle e auditoria, atualização de ferramentas de segurança;
2. Revisão de documentos que envolvem normas, políticas, contratos que englobam fornecedores e demais parceiros de negócio;
3. Promover uma verdadeira mudança cultural com o envolvimento de toda a empresa em treinamentos periódicos bem como a conscientização de fornecedores, parceiros e clientes (SANTOS e CARVALHO, 2019, p.18)
Partidos dos pontos apresentados acima, merece destaque a promoção cultural de agir conforme a norma. Relembramos o papel do compliance14 nesta atuação, que antes do advento da lei protecionista possuía o objetivo de estabelecer em empresas a cultura de atuação probo conforme as normas sem desvios.
Desta forma, os departamentos de compliance devem promover as normativas internas das respectivas organizações estejam em linha com a LGPD.
Sobre o assunto melhor nos esclarece o professor Gustavo Tepedino (2019):
Para compreender a relevância que os programas de compliance assumem na tutela da proteção dos dados pessoais [...] afigura-se fundamental determinar o que se entende por compliance, suas funções e o conteúdo de tais programas. [...] Sobre o assunto, não é demais lembrar as lições de Diane Rowland, Uta Kohl e Andrew Charlesworth de que o problema da regulação, especialmente no ambiente digital, não é, na prática, uma escolha rígida entre o modelo ‘comando-controle’ e a autorregulação, até porque os dois não são polos extremos que se excluem mutuamente. Daí a discussão atual sobre um terceiro gênero – o da corregulação – que combinaria diferentes categorias de práticas regulatórias e exigiria o envolvimento central dos agentes privados e dos governos, a fim de propiciar muitas vantagens da autorregulação sem as mesmas desvantagens. [...] sem a correta avaliação dos riscos envolvidos não é possível elaborar um efetivo programa de compliance. Tal identificação pressupõe profundo conhecimento das especificidades da entidade empresarial e, para auxiliar nessa tarefa, recorre-se a um conjunto de questionamentos, variáveis a depender do objeto do programa a ser implementado [...] Uma vez identificados os riscos, passa-se à elaboração do Código de Ética e de Conduta – documentos escritos que consubstanciam os valores e princípios da entidade, a serem observados por todos (inclusive terceiros) [...] eficácia de um programa de compliance depende do fornecimento do adequado treinamento aos funcionários, por meio do qual se permite a integral compreensão de todos os envolvidos do comportamento que deles se espera. (TEPEDINO, 2019, p. 371-375).
Nessa perspectiva, nota-se que o compliance proteção de dados não se resume ao relacionamento com o consumidor, mas repercute em vários setores da empresa que o detém. Com um caráter transversal de modo a realizar uma forma de repensar os padrões de conduta estabelecidos para cumprimento de outras normas, por exemplo, a coleta de dados desnecessários para admissão de algum funcionário ou então o emprego de algum dado possa ser considerado discriminatório (TEPEDINO, 2019).
Outro impacto gerado às empresas devido a LGPD foi na fase pós contratual de uma relação de trabalho, pois na ocorrência do desligamento de um colaborador, deve a empresa observar os preceitos da lei protecionista em seu artigo 15.
Além disso, na fase contratual, vale lembrar, o consentimento do colaborador deve estar expresso em algum documento sobre o assunto, na toada dos princípios da finalidade, transparência e segurança da referida lei (ARAUJO e CALCINI, 2020).
Feito a análise dos impactos gerados pela LGPD para as pessoas jurídicas, é necessário também pontuar as consequências para as pessoas físicas, tema do próximo tópico.
4.2.2 Impactos da lei para as pessoas físicas
Antes de mais nada, é relevante entender a posição das pessoas físicas perante a LGPD. Para a referida lei, o considera como sendo titular de dados, logo, a parte vulnerável da relação, comparando a relação com a do código consumerista. Nas palavras de Flávio Tartuce e Daniel Assumpção Neves (2018, p.49) “[...] para se reconhecer a vulnerabilidade, pouco importa a situação política, social, econômica ou financeira da pessoa, bastando a condição de consumidor [...]”.
Neste sentido, é importante frisar que o conceito de vulnerabilidade não pode ser confundido com o de hipossuficiência, já que o primeiro tem relação jurídica devido sua fraqueza perante uma briga contratual, no segundo, tem relação fática da situação econômica ou de conhecimento técnico sobre o assunto, assim “todo consumidor é vulnerável, mas nem todo consumidor é hipossuficiente” (TARTUCE e NEVES, 2018, p. 50).
Entendido o contexto, perante a lei, a qual está inserido o titular dos dados, passamos a entender a razão das repercussões da referida lei para as pessoas físicas, qual seja, a aquisição de direitos. Sobre o assunto é notável as lições do professor Paulo Nader:
Os direitos subjetivos não são eternos e nem imutáveis. Estão sujeitos a uma evolução análoga à dos seres vivos, pois nascem, duram e perecem. Alguns acompanham a pessoa a partir do nascimento, como os direitos personalíssimos; outros são adquiridos durante a existência. A aquisição é um fato pelo qual alguém assume a condição de titular de um direito subjetivo. Duas razões podem ditar seu aparecimento: a) determinação da lei (ope legis), como no direito à vida, à honra etc.; b) por ato de vontade, em que surge pela prática de ato jurídico. A aquisição pode decorrer de um ato exclusivo do agente, como na ocupação; por ato de outra pessoa, como no testamento; por ato conjunto de pessoas, como nos contratos (NADER, 2014, p. 289)
Portanto, estamos defronte à evolução jurídica em que se destaca a aquisição do direito de “acesso aos dados, retificação, cancelamento ou exclusão, oposição ao tratamento, de informação e explicação sobre o uso dos dados” (REANI, 2018).
Além disto, goste ou não, as empresas que detenham os dados são obrigadas a acatar o direito à portabilidade, ou seja, permite ao titular não somente requerer a cópia de seus dados, mas também a transferência destes para outras empresas, ainda que sejam concorrentes (REANI, 2018).
Outra situação em que a LGPD trará grande diferença é nas eleições. De acordo com o que prevê a norma, as eleições municipais de 2020 já estão abarcadas pela lei, ou seja, os candidatos e os partidos políticos devem se adequar às normas.
Todavia, tal assunto ainda é polêmico entre a doutrina, sendo partes concordam com a aplicação e outra parte acredita que não se aplicaria (JORNAL BRASÍLIA, 2020).
Caso houvesse a aplicação, mudaria totalmente o rumo das eleições, haja vista “candidato só poderá enviar material de campanha após prévia autorização por escrito do eleitor que receberá a propaganda em sua casa” ainda que seja por meio eletrônico, com uma mensagem simples sem intenção (JORNAL BRASÍLIA, 2020).
Importante ressaltar que a eleição municipal de 2020 já foi transformada em razão da pandemia COVID-19, que forçou a campanha virtual reduzindo o contato corpo-a-corpo (BRASIL, 2020).
Neste mesmo sentido Diogo Rais, Stela Sales e Alinne lopes (2020) completam que:
Durante a pandemia, as plataformas digitais viraram o único palanque possível para milhares de candidatos e, nesta via infinita digital, a captação, tratamento e utilização de dados se transformou no maior ativo e também no maior desafio de uma campanha eleitoral.
O Tribunal Superior Eleitoral ao normatizar a propaganda eleitoral para as eleições de 2020 considerou que a LGPD poderia ter vigência e trouxe, em diversos dispositivos, a previsão de que a aplicação das regras eleitorais deveria respeitar, no que couber, a LGPD.
[...]
Assim, instaurou-se uma verdadeira esquizofrenia jurídica tanto sobre a data quanto a extensão de sua eficácia. Questões e incertezas sobre o consentimento e anuência diante do uso dos dados estarão no comando do processo eleitoral.
Aqui vale mencionar o julgamento do STF sobre a medida provisória 954/2020 que pretendia regularizar o compartilhamento de dados das empresas de telecomunicação com o IBGE. A falta de transparência do dispositivo ensejou cinco ações sobre sua constitucionalidade no STF.
Outrossim, embora a matéria seja recentíssima, já existem julgados acerca do assunto, inclusive com citações da lei protecionista. Vale a pena citar o acórdão prolatado pela relatora Juliana Marzagão no Tribunal de São Paulo (2020) que senão uma verdadeira aula sobre assunto, vejamos:
Recurso Inominado. Direito Da Personalidade. Compartilhamento não autorizado de dados pessoais do consumidor. Comprovação de que o nome, o telefone e as informações específicas da contratação foram repassados a terceiros fornecedores. Consumidora Exposta a inúmeras ligações em sua residência, sem sua autorização, com a oferta de produtos e serviços para o imóvel que adquiriu. Violação da intimidade e da vida privada (art. 5º, X, da CF e art. 21 do CC). Prática Publicitária abusiva caracterizada (Art. 39, caput e III,do CDC). Obrigação de não fazer bem imposta. Eventual descumprimento a ser apurado no momento oportuno. Danos Morais Configurados. Sentença Mantida. Recurso não provido.
Cuida-se de recurso interposto por corretora de imóveis contra sentença que a condenou na obrigação de se abster de compartilhar informações cadastrais da consumidora para terceiros, incluindo parceiros comerciais, e ao pagamento de indenização por danos morais (R$ 1.000,00) em razão das dificuldades enfrentadas para fazer cessar as ligações indesejadas após o fornecimento dos dados à corretora.
Insiste no fato de que não compartilhou os dados da autora com terceiros, o que não teria sido comprovado, até porque a autora deu seus dados a outros fornecedores. Diz que a obrigação de não fazer imposta é inútil e impossível de ser cumprida, pois não é responsável pelo vazamento de dados. Nega a ocorrência de danos morais.
O recurso não merece provimento.
[...]
Reclama a autora do recebimento de inúmeros contatos, por telefone por e-mail, de terceiros oferecendo-lhe serviços, inclusive especificamente destinados ao imóvel na planta, o que só teria sido possível diante da transmissão daqueles dados informados à ré. A autora apresentou seus reclamos extrajudiciais à ré a partir de meados de maio de 2019, indicando ligações telefônicas desde 14 de maio, protraindo-se durante o curso do processo ao menos até fevereiro de 2020 (fls.10/17, 108/109 e 286/289 e 363/374).
[...]
Portanto, extrai-se do conjunto probatório que os dados da autora, informados à ré quando da aquisição de imóvel, foram efetivamente transmitidos a diversos outros fornecedores, que passaram a oferecer seus serviços com a utilização de seu nome, número de telefone e as informações da contratação. Aliás, não se pode ignorar que a própria recorrente noticiou em boletim de ocorrência possível vazamento não autorizado de dados de clientes, inclusive a partir de reclamações de outros consumidores e de outros empreendimentos (fls. 346/348).
Ademais, não há que se falar em prova diabólica imposta à ré, pois a forma como os terceiros fornecedores, devidamente identificados, chegaram aos dados da contratação e aos dados pessoais da autora sequer é fato negativo.
Assim, a despeito do esforço argumentativo da recorrente, não há que se cogitar da obtenção destes dados por outro meio e de sua divulgação por terceiros a ela estranhos, porque especificamente vinculados ao negócio intermediado pela ré. Ausente comprovação ou mesmo indicação de qualquer excludente de sua responsabilidade, a ré deve responder pelos danos causados diante da falha de segurança no armazenamento dos dados pessoais.
Podemos inferir que foi aplicado a empresa ré a obrigação de não-fazer prevista no código civil com o objetivo de impedir a disseminação não autorizada de dados dos então clientes para outras empresas estranhas ao caso.
Neste sentido, refutando os argumentos apresentados pela empresa, acerca da não necessidade do pagamento de danos morais, a relatora diz mais ainda, aprofundando em institutos do código civil, como da responsabilidade. Sendo que a empresa deverá responder até pelo dano eventual em caso de falha de segurança.
Continua ainda a relatora em seu voto, aduzindo o aspecto constitucional relacionado ao ordenamento jurídico brasileiro:
A propósito, o artigo 5º, inciso X, da Constituição Federal consagra o direito à intimidade e à vida privada, cuja proteção é reiterada no âmbito infraconstitucional pelo artigo 21 do Código Civil. Para tratar especificamente da recepção, armazenamento e utilização de dados pessoais no mercado de consumo, o artigo 43 do Código de Defesa do Consumidor já previa cuidados específicos a cargo do fornecedor, em especial o de comunicação ao consumidor (parágrafo 2º),do que decorre a necessidade de consentimento para a manipulação de dados que não sejam estritamente públicos ou de interesse público (como aqueles relacionados à proteção ao crédito) e vinculação à finalidade com a qual fornecidos.
Por todos, vale a delimitação do conteúdo do direito à intimidade e à vida privada de Ana Paula Gambogi Carvalho, para quem “a faculdade concedida ao indivíduo, a todos oponível, de subtrair à intromissão alheia e ao conhecimento de terceiros certos aspectos da sua vida que não deseja participar a estranhos, ou seja, de decidir o que vai desnudar aos outros, de que forma e em que circunstâncias", incluindo “a confidencialidade de certos dados e informações sobre as pessoas, bem como sobre suas relações privadas, o que inclui a proteção do indivíduo contra a captação e a divulgação de seus dados pessoais sensíveis,bem como a violação de sua vida privada mediante a manipulação indiscriminada de bancos de dados, em especial os informatizados” (O consumidor e o direito à autodeterminação informacional - considerações sobre os bancos de dados eletrônicos, Revista de Direito do Consumidor, v. 46, 2003, p. 77-119).
Sem a expressa autorização da pessoa, não alberga o ordenamento jurídico brasileiro, mesmo antes da vigência da Lei 13.709/18 (LGPD), a possibilidade de utilização dos dados pessoais, sensíveis ou privados para fins diversos daqueles expressamente autorizados ou diretamente vinculados às circunstâncias em que fornecidos. A rigor, viola a boa-fé objetiva (art. 422 do Código Civil) o comportamento do contratante que, tendo recebido os dados preenchidos em ficha cadastral vinculada a determinado negócio jurídico, transmite esses dados a terceiros estranhos ao ajuste.
Tem-se, neste contexto, uma violação ao direito à autodeterminação informacional, corolário do direito constitucional à intimidade e à vida privada.Enquanto representação virtual da pessoa, os dados pessoais são extensão de sua personalidade (v. Ellen Carina Mattias Sartori, Privacidade e dados pessoais: a proteção contratual da personalidade do consumidor na internet, Revista de Direito Civil Contemporâneo, v. 9, 2016, p. 49-104).
Partir disto, a riqueza argumentativa apresentada com relação às várias facetas apresentadas do ordenamento jurídico protegendo o consumidor, ora titular dos dados, completa com a doutrina consumerista:
Nesse sentido valem ainda as considerações de Ana Paula Gambogi Carvalho: “é comum nas relações de consumo que o fornecedor exija do consumidor o preenchimento de questionários e cadastros de dados, com o fim de apoiar a realização de um ato específico de consumo, como a aquisição de um produto. Esta exigência deve se restringir aos dados efetivamente relevantes para o ato de consumo em questão, sendo vedado ao fornecedor demandar informações pessoais que não tenham qualquer importância para a realização do negócio que se está celebrando. Quando o consumidor autoriza a coleta de seus dados em uma situação como esta, o faz na legítima expectativa de que as informações que está prestando apenas serão utilizadas para aquela finalidade específica. O uso dos dados para fins diversos, como a comercialização ou cessão a terceiros, ofende a boa-fé objetiva e o direito constitucional do consumidor à intimidade e à vida privada, podendo lhe causar sérios e irreparáveis danos. Isto significa que, para que um banco de dados possa ser objeto de comercialização entre empresas, é necessário que o seu organizador obtenha o consentimento expresso e prévio de todos os titulares dos dados nele armazenados.” (O consumidor e o direito à autodeterminação informacional - considerações sobre os bancos de dados eletrônicos, Revista de Direito do Consumidor, v. 46, 2003, p. 77-119).
Tal é a compreensão de Antonio Carlos Morato, ressaltando que “para tornar ainda mais grave o caso das mensagens eletrônicas não solicitadas, o custo é incomparavelmente menor para o remetente, pois este não tem gastos com a postagem, no caso da mala direta ou com o valor das ligações, quando a divulgação do produto ou serviço é feita por meio do telemarketing. Em todas, em nossa linha de análise há a patente violação do direito à intimidade quando inexistir solicitação prévia da divulgação do produto ou serviço.” (Mensagens Eletrônicas não solicitadas como prática abusiva no mercado de consumo, Revista Do Instituto dos Advogados de São Paulo, v. 16, 2005, p. 55-84)
Por tudo isto, caracterizada a ilicitude e a responsabilidade da ré.
Assim, justifica-se a imposição da obrigação de não fazer imposta, de “se de compartilhar informações da autora, para qualquer empresa, fornecedores ou parceiros”. Trata-se de norma concreta e individual para a tutela de direitos de constitucionalidade, como se viu, justificada diante do descumprimento efetivamente verificado.
[...]
Por fim, era mesmo devida indenização por danos morais
(TRIBUNAL DE SÃO PAULO, 2020).
No caso acima, infere-se que um indivíduo buscou a tutela de seus direitos por uma venda de suas informações a uma terceira empresa sem ligação contratual com ele.
Para fundamentar o voto, a relatora utilizou como argumento a proteção conferida na constituição, bem como, no código consumerista aplicado à Lei Geral de Proteção de Dados, levantando assuntos importantíssimos como a responsabilidade.
Diante do todo exposto, a LGPD trouxe muitos pontos positivos para a titular dos dados, trazendo estabilidade e segurança jurídica ao ambiente virtual, aplicando sanções, caso necessário em ultima ratio15 as empresas que descumprirem tal norma alinhando a privacidade constitucional com o ordenamento jurídico.
