O Conselho de Estado italiano, que é o órgão jurisdicional de competência administrativa hierarquicamente mais elevada no país, julgou em março de 2021 um recurso do Facebook contra uma sanção antitruste e a manteve, ao considerar que a rede social não pode ser apresentada aos seus usuários como um serviço gratuito, porque explora os seus dados pessoais com fins comerciais.
Em resumo, ao confirmar a decisão da Autoridade Garantidora da concorrência e do mercado (Autorità Garante per la concorrenza ed il mercato), o Consiglio di Stato concluiu que o Facebook induziu a erro os seus usuários, por oferecer os seus serviços como supostamente gratuitos, mas que são pagos por meio da destinação comercial dos dados pessoais. Ressaltou ainda, que, mesmo que o tratamento dos dados não pudesse ser considerado como uma contraprestação pelos serviços digitais prestados, a exploração comercial dos dados impede o oferecimento da rede social como um serviço gratuito.
No Brasil, a LGPD não se limita a condicionar o tratamento dos dados pessoais ao respeito à privacidade e às liberdades individuais, mas vai além e especifica o desenvolvimento livre da personalidade, o que compreende a necessidade de uma proteção ampla dos direitos da personalidade do titular em todas as formas de tratamento de dados (art. 2º, VII, da LGPD).
A LGPD não se limita a condicionar o tratamento dos dados pessoais ao respeito à privacidade e às liberdades individuais, mas vai além e especifica o desenvolvimento livre da personalidade, o que compreende a necessidade de uma proteção ampla dos direitos da personalidade do titular em todas as formas de tratamento de dados.
Por outro lado, a LGPD não proíbe a cessão onerosa ou qualquer espécie de comercialização dos dados pessoais, o que poderia levar à conclusão de que, nas relações privadas, se não é proibido está autorizado (princípio da legalidade). Porém, essa seria uma solução muito simplista, porque, ao mesmo tempo, todas as operações de tratamento previstas na lei (tanto no conceito do art. 5º, X, quanto em outras normas relativas a ele, como o uso compartilhado, a transferências internacional etc.) não há nenhuma que regule ou autorize operações comerciais com os próprios dados (mas apenas a partir deles). A LGPD regula as atividades de tratamento que transformam dados em informações e informações em conhecimento, que pode levar à prática de atividades comerciais que gerem lucro para o controlador.
Relembra-se que, em novembro de 2020, uma decisão monocrática proferida em agravo de instrumento na 2ª Turma do Tribunal de Justiça do Distrito Federal e Territórios, determinou a suspensão da comercialização de dados pessoais pela empresa Serasa Experian em seu site na internet.
A decisão indica que a empresa oferecia para venda os dados pessoais de aproximadamente 150 milhões de brasileiros (contato, localização, idade, sexo, poder aquisitivo, entre outros), pelo valor de R$ 0,98 (noventa e oito centavos). Concluiu-se que a existência de uma base legal de tratamento desses dados pessoais pela empresa controladora não autoriza a sua comercialização, por violar direitos e liberdades fundamentais dos titulares.
Esse assunto deve gerar mais dúvidas e conflitos a partir de sua regulação pela Lei Geral de Proteção de Dados Pessoais, sob três aspectos: a comercialização de dados pessoais pelo próprio titular, pelo controlador ou por pessoas (naturais ou jurídicas) que coletam os dados (em redes sociais, sites, bancos de dados públicos e outras fontes) e realizam o tratamento de forma ilegal (sem o conhecimento dos titulares e sem a indicação da base legal) com o objetivo de venda para terceiros.
Na prática, negociações jurídicas tendo os dados pessoais como objeto de troca para o acesso a produtos ou serviços oferecidos como gratuitos ocorrem aos milhares diariamente na internet. Por isso, é preciso definir se os dados pessoais são (ou não) bens fora do comércio, os limites, as possibilidades e as proibições à sua utilização como objetos de contratos.