4 VIOLAÇÕES AO DIREITO À PROTEÇÃO DE DADOS PESSOAIS E O EQUILÍBRIO EXERCIDO PELA RESPONSABILIDADE CIVIL EM RELAÇÃO AOS BENS DIGITAIS
Para Bruno Zampier, faz-se necessário caracterizar uma nova categoria de bens no direito civil. Assim, os ativos digitais dos quais trata este artigo, segundo o autor, podem ser denominados de bens digitais, “ou na expressão já consagrada internacionalmente, ‘digital acess’.” (ZAMPIER, 2020, p. 62). O mesmo autor define bens digitais como:
[...] aqueles conhecidos como bens incorpóreos, os quais são progressivamente inseridos na Internet por um usuário, consistindo em informações de caráter pessoal que trazem alguma utilidade àquele, tenha ou não conteúdo econômico.” (ZAMPIER, 2020, p. 63).
Os bens digitais podem ter importância econômica, como milhas aéreas, por exemplo, e importância sentimental, segundo Zampier. Ele afirma que “a memória afetiva de uma pessoa está cada vez mais digitalizada” (ZAMPIER, 2020, p. 69) e, sem dúvidas, nesse aspecto estão incluídas a privacidade e intimidade do usuário.
Zampier dividiu os bens digitais em três classes: bens digitais patrimoniais; bens digitais existenciais e bens digitais patrimoniais-existenciais. Sobre bens digitais patrimoniais, afirma: “quando a informação inserida em rede for capaz de gerar repercussões econômicas imediatas, há que se entender que ela será um bem tecnodigital patrimonial.” (ZAMPIER, 2020, p. 78). Quanto ao bem digital existencial, o autor define que este se refere ao “conjunto de atributos extrapatrimoniais digitalizados ao longo do tempo.” (ZAMPIER, 2020, p. 117). São exemplos de bem digital existencial: fotos, vídeos, e-mails, entre outros. Já os bens digitais patrimoniais-existenciais caracterizam-se por serem um misto das características dos anteriores, ou seja, podem ser perfis de personalidades ou de um youtuber nas redes sociais, que contêm não apenas dados de sua personalidade, mas também lhe rendem um valor financeiro, o que fez surgirem, inclusive, novas profissões no ambiente digital.
Os titulares de bens digitais podem sofrer lesões e devem ser reparados por isso, ou seja, há que se refletir sobre a responsabilidade civil quando houver dano relacionado a bens digitais, sendo a conduta lícita ou ilícita, como vimos anteriormente. Zampier (2020) cita quatro tipos de lesões associadas aos titulares dos bens digitais. São elas: lesões oriundas da conduta de outro particular; da conduta do próprio provedor; da conduta do Estado e da conduta de familiares do titular. Um exemplo recente de uma lesão a um bem dessa classe foi a queda do provedor de conteúdo Youtube e a declaração do youtuber Felipe Neto a respeito da sua perda financeira. Por meio da rede social Twitter, o influenciador disse:
Calculando os danos… A queda do Youtube por 2 horas, durante horário nobre, fez meu canal deixar de fazer 1.6 milhão de visualizações durante o período. Tive em torno de 3.3 mil dólares de prejuízo, o que dá aproximadamente 17.7 mil reais. Bizarro. (YOUTUBER, 2020)
Podemos entender que, nesse caso, caberia uma indenização financeira, dado que houve dano patrimonial, considerando o conceito de bens digitais de acordo com Bruno Zampier.
Em contrapartida, o direito ao esquecimento, por exemplo, pode ser uma lesão da conduta de outro particular e dá ao sujeito o direito de exigir que os dados sejam apagados e de que haja um pedido público de desculpas. Esses são exemplos de ações que vão além da recompensa monetária e que, muitas vezes, têm efeitos mais valiosos para o ofendido no caso concreto. Demonstrado, assim, que um bem digital existencial nem sempre poderá ser reparado financeiramente, dado que muitas vezes há uma impossibilidade de retornar ao estado quo ante. Isso confirma, então, o conceito de Rosenvald (2020), de que a restauração patrimonial de quem sofreu lesão decorrente de um ato, ilícito ou não, pode não ser efetiva quando se trata dessa sociedade tecnológica em que vivemos.
A renomada economista alemã Shoshana Zuboff, em 2018, apresentou o conceito “capitalismo de vigilância” no artigo Big Other: capitalismo de vigilância e perspectivas para uma civilização da informação. Posteriormente, voltou a descrever, em seu livro The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power, de 2019, o que entende por “capitalismo de vigilância”. A autora tem o objetivo de apresentar uma nova forma de acumulação capitalista, que é realizada através da exploração, do tratamento e da comercialização de dados. O conceito é absolutamente adequado para repensarmos a forma como interagimos com os provedores de conteúdo e nossos dados pessoais.
Para a autora, há uma nova forma de capitalismo de informação que “procura prever e modificar o comportamento humano como meio de produzir receitas e controle de mercado” (ZUBOFF, 2018, p. 18). Para a professora emérita da Harvard Business School,
[a] indústria digital prospera graças a um princípio quase infantil: extrair dados pessoais e vender aos anunciantes previsões sobre o comportamento dos usuários. No entanto, para que os lucros cresçam, os prognósticos devem ser cada vez mais certos. Para tanto, não é necessário apenas prever: trata-se de modificar em grande escala os comportamentos humanos. (ZUBOFF, 2019a)
É evidente o enorme valor econômico que os dados possuem, o que se pode observar pelo simples fato de que as maiores companhias do mundo, como Google, Microsoft e Amazon, sejam tão valiosas, justamente por serem detentoras de grandes quantidades de dados de usuários do mundo inteiro. E por possuírem valor econômico, é recorrente a comercialização dos dados pessoais na internet, sendo fácil encontrar sites que anunciam a venda de e-mails e telefones, por exemplo, o que contraria a LGPD[18], uma vez que o compartilhamento desses dados sem a autorização do titular caracteriza um ilícito, resultando no dever de indenizar. Acontece que é bem difícil para o magistrado fixar um quantum indenizatório, pois, embora esteja claro que todos dados pessoais ou digital acess possuam valor econômico, qual seria esse valor?
Em um estudo publicado em 2017, chamado What’s your data worth?, a avaliação do valor de um dado pessoal se baseava da análise de 3 fatores: 1) a expectativa de geração de riquezas a partir daqueles dados; 2) o valor atrelado ao uso desses dados e 3) o valor inerente aos dados, gerado com sua possível monetização (SHORT; TODD, 2017). Assim, haja vista a complexidade de definir o valor desses bens, cabe ao magistrado ponderar sobre a importância do bem jurídico violado; os deveres legais não observados pelo controlador no caso concreto; o dano efetivamente causado; a repercussão do fato, etc., para fixar um quantum indenizatório, que vise não só a uma restituição monetária, mas que induza o controlador a um maior cuidado, que estabeleça procedimentos para que não voltem a ocorrer atos semelhantes.
Nessa perspectiva, há inúmeros exemplos pertinentes e de relevante impacto dessa indústria digital na vida dos usuários. Nesta oportunidade, analisaremos alguns casos que consideramos emblemáticos para demonstrar os aspectos práticos da responsabilidade civil na proteção de dados. Assim, partindo da proposta abordada anteriormente, de responsabilidade civil multifuncional, em que as sanções passariam a ter um caráter preventivo, efetivando ainda mais a proteção dos bens jurídicos, é possível refletir sobre como esse conceito pode ser aplicado frente a tantas ilicitudes.
De um outro ponto de vista, com a vigência da LGPD, o MPDFT rompeu a inércia da jurisdição e instituiu a primeira ação civil pública do Brasil pautada na nova legislação de proteção de dados, argumentando que a proteção de dados é direito que decorre de tutela constitucional e infraconstitucional:
A proteção dos dados pessoais decorre da tutela constitucional de proteção à vida privada e à intimidade, consubstanciado no controle que o cidadão possui sobre seus próprios dados pessoais.
Tal dispositivo deve ser considerado conjuntamente com a legislação infraconstitucional (Código Civil, Código de Defesa do Consumidor, Lei de Acesso à Informação, Marco Civil da Internet, Regulamento do Marco Civil da Internet e a Lei Geral de Proteção de Dados Pessoais), a fim de possibilitar uma proteção efetiva dos dados pessoais dos brasileiros.
Verifica-se, pois, que a legislação brasileira de regência protege a privacidade das pessoas, tratando como invioláveis os direitos à intimidade, à privacidade e à imagem, o que inclui o direito à proteção de seus dados pessoais, bem como que o seu respectivo tratamento seja feito de forma adequada. (DISTRITO FEDERAL, 2020).
De acordo com a mídia e diversos doutrinadores, a decisão do STF a respeito da proteção de dados como direito fundamental, citada anteriormente, é histórica. Segundo reportagem do site Jota, “O Supremo Tribunal Federal proferiu decisão histórica ao reconhecer um direito fundamental autônomo à proteção de dados pessoais” (MENDES, 2020). O julgamento de maio de 2020 é um marco, pois tornou expressa a tutela dos dados pessoais como direito fundamental.
Como afirmado pela Ministra Rosa Weber em seu voto, a história nos ensina que uma vez estabelecida a sistemática de vigilância, há grande perigo de que as medidas não retrocedam e que os dados já coletados sejam usados em contextos muito diversos daquele que justificaram inicialmente a sua coleta. (MENDES, 2020).
Ademais, o MPDFT (órgão ativo e precursor no movimento de proteção de dados no Brasil) obteve êxito na recente ação contra a construtora Cyrela por descumprimento à LGPD. A referida condenação se deu por falta de consentimento do titular para o compartilhamento de seus dados pessoais com terceiros, pois um cliente dessa construtora teve seus dados compartilhados com parceiros sem sua autorização. Assim, de acordo com “a juíza Tonia Yuka Koroku, da 13ª Vara Cível de São Paulo, a Cyrela não apenas infringiu normas da LGPD como também direitos previstos no Código de Defesa do Consumidor e da própria Constituição.” (DEMARTINI, 2020).
Em um outro exemplo, motoristas do Reino Unido e de Portugal processaram a empresa de aplicativo Uber por terem sido desligados da plataforma em razão de decisões automatizadas, tomadas com base nos algoritmos da companhia (APP, 2020). Os motoristas alegam que foram desligados unilateralmente da plataforma, sem direito de questionamento, por acusação de “atividade fraudulenta”, conforme detectado pelos sistemas da empresa de aplicativo. Nas ações, pedem a anulação das decisões automatizadas adotadas pela empresa de aplicativo, com base no artigo 22 do GDPR. Autoridades europeias discutem qual a responsabilidade da empresa nesse caso, dado que o algoritmo utiliza técnicas avançadas de Machine Learning (ML) e a empresa argumenta que não possui controle efetivo sobre as decisões automatizadas que porventura possam ter gerado tais decisões. Nas palavras de Diniz e Oliveira:
A implementação de modelos preditivos baseados em machine learning exige atenção, à medida que o dinamismo com que esses modelos evoluem, captam dados do ambiente e podem ser implementados, a um custo cada vez menor, contrasta com o caráter estático das legislações ou regulações possíveis. (DINIZ; OLIVEIRA, 2019, p. 209).
De qualquer forma, podemos afirmar que as tecnologias de Big Data não são neutras: há uma influência do comportamento humano que não pode ser ignorada[19], dado que os vieses que resultam em preconceitos são impressos quando se insere a base de dados para que o algoritmo comece a aprender e executar suas funções de tomadas de decisão.
A respeito de tais decisões automatizadas, Ana Frazão, em 2018, comentou em seu artigo no site jurídico Jota:
No que diz respeito à responsabilidade civil, os caminhos são menos áridos, pois seria possível se cogitar da responsabilidade objetiva pelo fato da coisa – no caso de máquinas ou robôs que tomem decisões – ou também pelo risco. Por mais que se saiba tal discussão deva encontrar um equilíbrio entre regulação e inovação – de que a questão do risco do desenvolvimento é um tema a ser enfrentado -, ao menos já existem ferramentas jurídicas que possibilitam o equacionamento de muitas questões daí resultantes. (FRAZÃO, 2018).
No Brasil, o Mercado Livre é uma plataforma online de compra e venda dos mais variados produtos, inclusive de base de dados pessoais. Após a entrada e vigor da LGPD, o MPDFT, no processo nº 0733785-39.2020.8.07.0001, alegou que tal plataforma estava monetizando dados pessoais e solicitou que o juízo deferisse o pedido de suspensão de todos os anúncios envolvendo esse conteúdo. O juiz de primeiro grau acatou a decisão e instituiu multa de dois mil reais para cada operação irregular realizada através da plataforma.
Nessa situação, o Mercado Livre, como intermediador entre a compra e a venda de dados, tem responsabilidade solidária perante o CDC e também é responsável solidário perante a LGPD. Além disso, o artigo 1.016 do Código Civil traz a cláusula geral de responsabilidade civil de administradores, que informa: “Os administradores respondem solidariamente perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções.” (BRASIL, 2002). Vale ressaltar que, complementarmente, o artigo 1.011 do Código Civil trata do desvelo do administrador, afirmando que esse deverá ter, no exercício de suas funções, o cuidado e a diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios. Isto é, a responsabilidade civil é expressa na legislação infraconstitucional, logo, há que se ter controle sobre o que é posto à venda na plataforma, inclusive, as ações de funcionários e consumidores devem ser monitoradas, visando a uma maior segurança e aumentando a possibilidade de uma futura prestação de contas, ou accountability, como recomenda a LGPD.
Gordon (2014) discutiu os impactos dos sistemas de Big Data e, em suas considerações, o autor destaca o acesso restrito a dados pessoais, bem como a capacidade de auditoria das ações tomadas com esses dados. O acesso restrito, muitas vezes chamado de log na área de tecnologia, permite que cada perfil de usuário tenha acesso a somente alguma parcela dos dados e das áreas que podem ser realizadas, evitando que decisões individuais sejam tomadas ou até mesmo possibilitando o rastreamento e o armazenamento do histórico das ações realizadas por determinado usuário do sistema. A capacidade de auditar, mesmo parcialmente, permite avaliar de maneira retrospectiva as decisões tomadas e armazenadas, permitindo identificar violações aos direitos dos indivíduos.
Outro exemplo é uma loja de São Paulo da empresa de roupas Hering que decidiu, em 2019, instalar um monitoramento facial de seus clientes, sem consentimento e sem transparência (NOGUEIRA, 2019). O objetivo era captar as reações dos clientes às peças expostas pelo local e identificar quais os locais de preferência do cliente ao circular pela loja. o Departamento de Proteção e Defesa do Consumidor (DPDC) investigou indícios de coleta de dados dos clientes sem o seu consentimento prévio. Para o Instituto Brasileiro de Defesa do Consumidor (Idec), essa ação representa um grande risco à privacidade dos clientes da marca de roupas, assim como um caso semelhante que ocorreu, também em 2019, na rede de supermercados Carrefour (IDEC, 2019).
A coleta de dados sem consentimento, pelo controlador, é ilegal e prevê sanções financeiras rígidas na LGPD. Segundo a mídia, aliás, a multa aplicada ao final da investigação no caso da Hering poderia chegar a 100 milhões de reais. Há que se refletir também sobre quais outras ações podem ser tomadas, além da resposta monetária, para que a responsabilidade civil abarque um caráter preventivo e educativo, dado que a sanção financeira pode ser totalmente eficaz se a loja mantiver o tratamento de dados, por exemplo. Assim, há que se planejar sanções que deem mais estabilidade para esse binômio de privacidade e monetização dos dados pessoais, e acreditamos que a responsabilidade civil é o equilíbrio para que a sociedade possa ter um amplo desenvolvimento tecnológico e econômico, com inovação, livre iniciativa, livre concorrência e, ao mesmo tempo, criando um ambiente no qual o tratamento irregular de dados sofra sanções adequadas.
A regulamentação do direito à proteção de dados em todo o mundo é o cerne dessa discussão e da mudança global que devemos enfrentar nos próximos anos, com impactos sociais e econômicos. Qualquer tentativa de regular o movimento de dados pessoais tem efeito sobre o comércio e os serviços, porque o uso de dados pessoais é essencial para o fornecimento de muitos tipos de serviços no mundo, senão de todos.
No artigo 12 da seção II do MCI, que, por sinal, leva o título "Da Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas”, são previstas as sanções que podem ser aplicadas a um infrator do direito à proteção de dados, começando por uma advertência, com indicação de prazo para adoção de medidas corretivas. As demais sanções impactam diretamente o funcionamento da empresa e podem comprometer sua estrutura funcional e, até mesmo, sua existência, dado que há previsão de multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício; de suspensão temporária das atividades de tratamento de dados ou de proibição de exercício das atividades de tratamento de dados.
Vale salientar que a multa monetária citada no MCI pode ser maior, uma vez que não há um limite financeiro, como ocorre na multa da LGPD, que prevê, em seu artigo 52, II:
Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. (BRASIL, 2018).
Há que se ter muita cautela na aplicação dessas sanções, pois é possível que elas inviabilizem a continuidade de muitos negócios no Brasil caso sejam aplicadas com muita discricionariedade pelos órgãos reguladores. A repercussão econômica pode ser irreversível, ainda mais considerando-se um contexto de pós-pandemia em que temos uma economia ainda mais fragilizada e vulnerável.
Conforme Rosenvald (2020), há uma tendência de desmonetização da indenização, porque o dinheiro é incapaz de fazer frente à complexidade de lesões que são sofridas. Remédios compensatórios específicos para cada dano mostram-se mais efetivos para retificar esses danos. Diante disso, consideramos urgente o debate entre os princípios da ordem econômica, previstos na Constituição Federal de 1988, e os impactos das sanções das legislações de proteção de dados.