4. O CASO DE VIOLAÇÃO DE DADOS DO FACEBOOK: AÇÕES JUDICIAIS NO BRASIL E A APLICAÇÃO DA LEI GERAL DE DADOS PESSOAIS LGPD
Atualmente, as redes sociais revolucionaram a forma de agir, de expressar, de se comunicar etc. Com isso, grandes plataformas emergiram nesse sentido, algumas logo no princípio dos anos 2000, outras um pouco mais tarde, mas o fato é que tais aplicativos foram tidos como ferramentas de interação social de grande valia (WENDT, JORGE, 2013).
Assim, pode-se dizer que hoje está cada vez mais raro encontrarmos pessoas que, de fato, consigam interagir como antigamente. Isso se dá pelo fato de que hoje temos uma verdadeira sucumbência no tocante às relações propriamente físicas perpetradas pelo meio da fala, do toque e dos amplexos. Hoje, abre-se espaço grande para interações sociais virtuais, em que a facilidade de nos conectarmos e desconectarmos de pessoas por todo o mundo é gigantesca (WENDT, JORGE, 2013).
Ou seja, o novo modo virtual de viver trouxe grandes avanços no sentido de diminuir a distância entre os dois polos do planeta Terra, sendo certo que, a qualquer momento, podemos reencontrar um conhecido ou parente distante por intermédio de uma simples chamada de vídeo.
Diante desse cenário pós-moderno, empresas surgiram a todo vapor, por todo o planeta, com objetivo de captar usuários que pudessem fazer uso frequente para comunicação, exposição de opinião, compras e outras tantas possibilidades trazidas pela globalização. Com isso, tais empresas passaram a oferecer o serviço de conexão apenas por intermédio de simples páginas virtuais ou aplicativos, trazendo facilidade e comodidade para que o usuário pudesse utilizar o máximo possível (LIMA, 2016).
Dessa maneira, é preciso salientar que, assim como há o lado positivo da tecnologia, também há o lado negativo, onde muitas pessoas se utilizam das grandes descobertas para fazer desses avanços os seus meios de fraudar ou burlar o correto. Nosso objeto de debate aqui não se dá nesse tocante, mas cumpre frisar que muitas vezes as máquinas são completas invasoras de privacidade e tornam-se problemáticas quando utilizada de forma errônea.
Um grande exemplo de empresa virtual nesse segmento é o mundialmente conhecido Facebook. Tal plataforma foi criada em 2004 e teve seu ápice iniciado logo nos anos seguintes, visto que era uma das viabilizadoras ímpares de contato social virtual (FERRAZ, 2018).
Com isso, o Facebook tomou proporções imensuráveis, com mais usuários do que a soma da população de vários países juntos, obtendo uma vasta lucratividade no mundo virtual capaz de superar o PIB de muitas nações, prestando o serviço de interação social (FERRAZ, 2018).
Não obstante, para que o usuário possa adentrar na plataforma, deverá preencher um cadastro com dados pessoais de grande valia como, por exemplo, seu endereço, seus gostos, locais que costuma frequentar e seus hábitos consumeristas. Ocorre que esses dados obtidos pela plataforma nem sempre são mantidos em real sigilo (COUTINHO, 2014).
Neste patamar, o Facebook passou a obter cada vez mais dados dos usuários, o que era, na realidade, uma maneira de lucrar cada vez mais, uma vez que podia vendê-los a outras empresas para divulgação de produtos e serviços. Se certo usuário deixa registrado que gosta de determinado produto, as empresas que o fabricam vão querer cada vez mais informações sobre ele para que possam alcançá-lo. Os dados pessoais passaram a ser fonte de lucratividade (FERRAZ, 2018).
Contudo, quando do preenchimento do cadastro inaugural, o usuário não concorda necessariamente com a exposição de seus dados pessoais ou até mesmo oferecimento para outras plataformas com o ensejo de lhe oferecer seus produtos. Com isso, os termos de aceitação não reproduziam o objetivo da obtenção de tais dados, o que ocasionou em vários grandes vazamentos de informações de cunho estritamente pessoal de milhares de usuários mundo afora (COUTINHO, 2014).
Ou seja, em resumo, ao utilizar o Facebook você não apenas estaria se comunicando, como também mostrando objetos e ideologias de seu interesse, haja visto o sentimento de pertencimento proprietário proporcionado por uma ‘‘timeline’’ (linha do tempo ou, em outras palavras, um perfil de usuário montado pelo mesmo, traduzindo sua identidade) (GRINBERG, 2020).
Sendo assim, passaram a ocorrer cada vez mais vazamentos de dados de usuários não somente do Facebook, como também de várias outras plataformas virtuais, sendo considerado totalmente ilegal, haja vista a inocorrência de pedido de autorização para tal.
Logo, no tocante ao caso do Facebook no nosso país, vários usuários perceberam ter tido seus dados vazados, e isso acarretou numa quantidade expressiva de processos judiciais contra a empresa, sendo um dos mais famosos o caso em que tal plataforma, à época das eleições presidenciais americanas, envolvida com a Cambridge Analytica, vazou dados de mais de 50 milhões de usuários do mundo todo com ensejo de fazer propaganda política (ROSSI, 2019).
Diante de tal caso, estima-se que no Brasil, segundo o El País, cerca de 443 mil usuários tiveram seus dados violados e vazados sem consentimento no caso em comento (ROSSI, 2019). Diante desse cenário, ainda antes da autorização para criação da Autoridade Nacional de Proteção de Dados, ANPD, trazida pela LGPD, quem tomou a frente no caso foi o Departamento de Proteção e Defesa do Consumidor por intermédio de representação no Ministério da Justiça e Segurança Pública, que veio, posteriormente, a analisar como real o vazamento e, diante disto, aplicou multa de 6,6 Milhões de reais ao Facebook (GRINBERG, 2020) .
Nesse caso, passa-se a analisar e compreender que a proteção de dados é coisa séria, devendo ser levada em consideração principalmente por empresas que trabalham com captação de cadastros, isso porque dados personalíssimos não podem serem usados para fins diferente do coletados. Portanto, o tratamento deve ser adequado e os usuários não devem ter seus dados vazados.
4.1. O RELATO DO ESTUDO DE CASO
Em março de 2018, dois jornais conhecidos mundialmente, o americano The New York Times e o britânico The Guardian, noticiaram o caso do vazamento e uso não autorizado dos dados de 87 milhões de usuários do Facebook, com a suspeita de ter elaborado campanhas com a finalidade de intervir no resultado das eleições presidenciais dos Estados Unidos em 2016. A responsável por isto foi a empresa Cambridge Analytica, que realizava o uso indevido de dados a fim de auxiliar seus clientes a obterem vantagens políticas e comerciais com base nas informações extraídas dessas operações.
Assim, segundo os jornais, os usuários do Facebook eram induzidos a realizar um teste de personalidade através de um aplicativo criado por Aleksandr Kogan, pesquisador da Universidade de Cambridge. O mesmo era conectado ao perfil do Facebook e solicitava autorização para coleta de dados pessoais para fins acadêmicos (FONTES, 2018). Até o momento não tinha nem uma irregularidade, visto que o uso de dados com o consentimento do titular para o fim determinado não tem nenhuma ilegalidade.
No entanto, o uso dos dados coletados era para fins diversos ao solicitado, sem a permissão dos usuários. O aplicativo de Kogan teve acesso a informações e dados de todos amigos que o usuário tivesse no Facebook. Por óbvio, não tinha consentido o uso de seus dados para tal ação. Todo o conteúdo coletado de forma indevida foi vendido para a empresa Cambridge Analytica, que trabalha com marketing eleitoral e responsável pela campanha do atual presidente dos Estados Unidos (CADWALLADR, 2018). Conforme os jornais The New York Times e The Guardian, a empresa Cambridge Analytica teria utilizado dos dados coletados para influenciar de maneira personalizada os eleitores, com a intenção de convencer os usuários do Facebook em relação à preferência em determinado candidato em detrimento de outro no conhecido face news, assim influenciando no resultado final das eleições presidenciais de 2016 (FONTES, 2018).
O Facebook, mesmo não tendo envolvimento direto no caso, é também responsável pelo acesso de terceiros à sua plataforma de dados dos usuários, sendo que o termo de adesão e de permissão de acesso ao aplicativo é muito extenso e geralmente não é lido pelos seus usuários (CADWALLADR, 2018).
A própria empresa Facebook teve perda de milhões no valor de mercado após a divulgação do vazamento de dados, e ainda teve que adotar medidas urgentes de segurança e proteção, visando a privacidade de seus usuários, bem como banir a empresa de análise de dados da plataforma (CADWALLADR, 2018).
A repercussão do caso foi tamanha que empresas de tecnologia de diversos países foram obrigadas a adequar o termo de uso de suas plataformas, deixando-o claro e objetivo, assim trazendo mais segurança aos usuários e credibilidade às empresas (FONTES, 2018).
No caso em comento no tópico mencionado, o Estado Brasileiro já se impunha a tais violações antes mesmo da vigência da Lei Geral de Proteção de Dados, com a justificativa de que o consumidor não poderia ter seu direito de suas informações pessoais violado por empresas visando obtenção lucrativa (BRASIL, 2014).
Nesse tocante, surgiu em 2018, conforme já vastamente mencionado nesta obra, a Lei 13.709/2018, explicitando em seu texto, no que concerne ao período de vacatio legis, a fixação da antecipação dos trabalhos para a fundação de um órgão responsável por fiscalizar sua aplicação em todo território nacional, qual seja, a ANPD, que entrou em vigor, pela letra da lei, em 09 de julho de 2019, pela Lei nº 13.853 /2019, antes mesmo da entrada em vigor da lei por completo (BRASIL, 2019).
Outrossim, é importante destacar que o caminho até a possibilidade de criação do referido órgão fiscalizador foi bastante difícil, haja vista que muitos entendiam que o Poder Legislativo não poderia, em tese, criar despesas para o Poder Executivo, posto que nossa Constituição Federal expressa a autonomia dos três poderes, mas também lhes implica a necessidade de serem harmônicos entre si (SENADO FEDERAL, 2019).
Visto isso, foi necessária, por parte do então Presidente da República Michel Temer, a edição da Medida Provisória nº 869/2018 para viabilizar a criação da Autoridade Nacional de Proteção de Dados. Assim o fez com alguns vetos.
Nesse aspecto, nos explica o artigo do site do Serviço Federal de Proteção de Dados, SERPRO, (2019) que a ANPD:
[...] que está em processo de formação, será vinculada à Presidência da República, e com autonomia técnica garantida pela lei. A autoridade contará com o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. O colegiado será composto por 23 titulares, não remunerados, com mandato de dois anos, e de diferentes setores: seis do Executivo Federal; um do Senado Federal; um da Câmara dos Deputados; um do Conselho Nacional de Justiça; um do Conselho Nacional do Ministério Público; um do Comitê Gestor da Internet no Brasil; quatro da sociedade civil com atuação comprovada em proteção de dados pessoais; quatro de instituição científica, tecnológica e de inovação; e quatro de entidade do setor empresarial ligado à área de tratamento de dados pessoais (SERPRO, 2019, s/p).
Posto isto, entende-se que o caso da multa aplicada ao Facebook foi verdadeiramente legítimo, haja vista os vários indícios de violação dos dados dos usuários brasileiros perpetrados pela empresa Cambridge Analytica, posto que a plataforma não deveria ter disponibilizado tais dados.
No entanto, não há o que se questionar quanto à competência administrativa do Ministério da Justiça e Segurança Pública para aplicar a multa, visto ser o mesmo dotado de capacidade jurídica para tal, uma vez que se ocupa de reger atos atentatórios, também, à segurança das pessoas, no que se consubstanciou totalmente o caso em análise, uma vez que informações pessoais valiosas foram utilizadas com o ensejo esdrúxulo de fazer propaganda política de um país que sequer é o nosso (SANTAELLA, 2020).
Entretanto, tal caso nos serve de exemplo para que possamos perceber o quanto nossos dados pessoais cadastrais e interativos são preciosos, e o quanto os mesmos devem ser respeitados, uma vez que, ao violá-los, estamos diante de um grave atentado não somente contra nós na qualidade de meros consumidores, como também enquanto cidadãos (SANTAELLA, 2020).
Isso serve de escopo para entender cada vez mais a necessidade da lei objeto de estudo desta obra, haja vista que violações podem nos causar os mais diversos prejuízos. Informações valem ouro, as nossas são nosso tesouro, que a somente nós mesmos ou àqueles em que confiamos, devem poder ser vistas (ROSSI, 2019).
Neste sentido, enquanto ainda tratava-se de Medida Provisória, a criação da LGPD foi novamente questionada, tendo sido modificada pela Câmara e pelo Senado em maio deste ano, sendo certo ainda de que o Presidente da República, Jair Bolsonaro, realizou vetos como, a exemplo, o de barrar o dispositivo que permitia a criação da taxa para a cobrança de serviços prestados por tal órgão (BRASIL, 2019).
Vale ressaltar, contudo, que a LGPD não punirá somente empresas virtuais, mas sim todas aquelas de pequeno, médio e grande porte, ou até mesmo o poder público, que repassem nossas informações pessoais sem nossa devida autorização para tal.
4.2. O ENTENDIMENTO DOS TRIBUNAIS ANTES DA LGPD
Antes do surgimento da LGPD propriamente dita já havia uma preocupação não somente do legislador como também dos outros poderes em resguardar dados. Neste sentido, os tribunais de todo Brasil não restavam omissos diante da fragilidade com que as empresas coletoras e propagadoras de dados pessoais tratavam esses dados, em especial no caso de seu vazamento, o que acarretava prejuízo para o titular dos mesmos. Assim será analisado o entendimento dos tribunais.
O Supremo Tribunal Federal (STF) por diversas vezes julgou casos de direito digital e virtual. Para destacar o entendimento do STF em relação ao tema, serão retirados três entendimentos do tribunal.
O primeiro trata de repercussão geral, retirada do agravo 652.777/SP32, de relatoria do Min. Ayres Britto, onde o estado de São Paulo recorre de decisão judicial onde determinava a retirada de informações pessoais de servidores públicos de sítio da Internet de acesso público. Neste caso, ocorre o conflito entre interesse público e privado, bem como de direitos fundamentais.
A Lei de Acesso à Informação nº 12.527/11 dispõe a obrigação da administração pública de publicar clara e publicamente sempre que possível, a qualquer cidadão, informações como a renda, cargos e nome de funcionários públicos. Assim sendo, a publicidade é a regra e o sigilo, a exceção (BRASIL, 2011).
Conforme o entendimento dos Ministros, segue a ementa:
CONSTITUCIONAL. ADMINISTRATIVO. DIVULGAÇÃO, EM SÍTIO ELETRÔNICO OFICIAL, DE INFORMAÇÕES ALUSIVAS A SERVIDORES PÚBLICOS. CONFLITO APARENTE DE NORMAS CONSTITUCIONAIS. DIREITO À INFORMAÇÃO DE ATOS ESTATAIS. PRINCÍPIO DA PUBLICIDADE ADMINISTRATIVA. PRIVACIDADE, INTIMIDADE E SEGURANÇA DE SERVIDORES PÚBLICOS. Possui repercussão geral a questão constitucional atinente à divulgação, em sítio eletrônico oficial, de informações alusivas a servidores públicos.
(ARE 652777 RG, Relator(a): Min. AYRES BRITTO, julgado em 29/09/2011, ACÓRDÃO ELETRÔNICO DJe-071 DIVULG 11-04-2012 PUBLIC 12-04-2012 ).
O posicionamento do tribunal foi de que o interesse público, nesse caso, estava acima do interesse privado e as informações publicadas não excedam a competência do estado para tal, assim como assegura o relator: “[...]a remuneração bruta dos servidores, os cargos e funções por eles titularizados, os órgãos de sua formal lotação, tudo é constitutivo de informação de interesse coletivo ou geral”.
O segundo entendimento se desenvolve também de repercussão geral, extraída do 660.861/MG, relatoria do Ministro Luiz Fux. No agravo mencionado, o Google recorre a sua condenação de pagamento a indenização em danos morais devido ao conteúdo ofensivo publicado em site de seu domínio por terceiros. Em sua defesa, a empresa utilizou dos princípios da liberdade de expressão e da proibição de censura prévia. Argumenta que não seria razoável proceder a fiscalização do conteúdo que seus usuários publicam em seus sites hospedeiros, sob pena de afrontar tais princípios e, portanto, não poderia ser responsabilizada pelos danos causados pelas publicações.
Segue a ementa:
GOOGLE – REDES SOCIAIS – SITES DE RELACIONAMENTO – PUBLICAÇÃO DE MENSAGENS NA INTERNET – CONTEÚDO OFENSIVO – RESPONSABILIDADE CIVIL DO PROVEDOR – DANOS MORAIS – INDENIZAÇÃO – COLISÃO ENTRE LIBERDADE DE EXPRESSÃO E DE INFORMAÇÃO vs. DIREITO À PRIVACIDADE, À INTIMIDADE, À HONRA E À IMAGEM. REPERCUSSÃO GERAL RECONHECIDA PELO PLENÁRIO VIRTUAL DESTA CORTE.
(ARE 660861 RG, Relator(a): Min. LUIZ FUX, julgado em 22/03/2012, PROCESSO ELETRÔNICO DJe-219 DIVULG 06-11-2012 PUBLIC 07-11-2012 ).
Por outro lado, o tribunal deu provimento ao agravo da recorrente, garantindo a tese defendida no Código de Defesa do Consumidor que discorre a responsabilidade objetiva do fornecedor de serviço (PEREIRA,2020). Nas palavras do relator, “O fato do conteúdo ora discutido ter sido elaborado por terceiros não exclui a responsabilidade da recorrente em fiscalizar o conteúdo do que é publicado e se os usuários estão observando as políticas elaboradas pelo próprio site”. Portanto, deve ser responsável pelos danos causados, por assumir os riscos inerentes à atividade (FONTES, 2018).
Logo, percebe-se que já havia certo amparo com relação ao tratamento de dados no Código de Defesa do Consumidor. No entanto, apesar de parecer um pouco simplista, o código servia como parâmetro legal a ser aplicado nos casos em que os consumidores eram lesados pela maneira com a qual as empresas tratam seus dados pessoais.
Segundo o julgamento a ser analisado é o habeas corpus 103.425/AM, de relatoria da Ministra Rosa Weber. O fato de serem usados computadores de uma lan house para encaminhar mensagens ofensivas, “veiculando acusações de corrupção, ofensas pessoais de toda a ordem e incitação à prática de crimes contra as instituições militares”. A recorrida alega que as provas colhidas durante o inquérito policial se deram de forma legal, pois teve o consentimento do proprietários dos computadores para a coleta de dados e perícia dos mesmos, sendo que, após ,os dados publicados se tornam públicos.
Assim considera o acórdão:
PROCESSO PENAL. HABEAS CORPUS. CRIME MILITAR. MENSAGENS CRIMINOSAS ENVIADAS PELA INTERNET. ACESSO AO CONTEÚDO DAS COMUNICAÇÕES DISPONIBILIZADO PELOS DESTINATÁRIOS. ACESSO AOS DADOS DE COMPUTADOR EM LAN HOUSE COM AUTORIZAÇÃO DO PROPRIETÁRIO JUDICIAL. INTERROGATÓRIO POR PRECATÓRIA. INVALIDADES NÃO RECONHECIDAS. Envio de comunicações criminosas, contendo injúria, desacato e incitação à prática de crimes, por meio de computador mantido em Lan House. Só há intromissão na esfera privada de comunicações, a depender de prévia autorização judicial, na hipótese de interferência alheia à vontade de todos os participantes do ato comunicativo. Caso no qual o acesso ao conteúdo das comunicações ilícitas foi disponibilizado à investigação pelos destinatários das mensagens criminosas. Autoria de crimes praticados pela Internet desvelada mediante acesso pela investigação a dados mantidos em computador de Lan House utilizado pelo agente. Acesso ao computador que não desvelou o próprio conteúdo da comunicação criminosa, mas somente dados que permitiram identificar o seu autor. Desnecessidade de prévia ordem judicial e do assentimento do usuário temporário do computador quando, cumulativamente, o acesso pela investigação não envolve o próprio conteúdo da comunicação e é autorizado pelo proprietário do estabelecimento e do aparelho, uma vez que é este quem possui a disponibilidade dos dados neles contidos. Não é inválida a realização de interrogatório por precatória quando necessária pela distância entre a sede do Juízo e a residência do acusado. Não se prestigia a forma pela forma e, portanto, não se declara nulidade sem prejuízo, conforme princípio maior que rege a matéria (art. 499. do Código de Processo Penal Militar). Ordem denegada.
(STF - HC: 103.425/AM. Relator Min. Rosa Weber, Data do Julgamento: 26/06/2012, Primeira turma, Data de Publicação: ACÓRDÃO ELETRÔNICO DJe - 159 DIVULG 13-08-2012 PUBLIC 14-08-2012).
Portanto, o entendimento do tribunal acompanha o da recorrida. Os dispositivos que tiveram as informações coletadas são de uso comum, não cabendo direito ao paciente sobre elas. O mesmo, não sendo proprietário dos computadores, não cabe igualmente reclamar o direito à privacidade, sendo que ele disponibilizou o conteúdo questionado por sua própria vontade, tornando-o público. Afirma a Ex.ma Min. que não ocorreu violação à privacidade, uma vez que o paciente disponibilizou por vontade própria as comunicações com terceiros, por seu teor criminoso, comparando a situação com o caso de alguém alegar violação à privacidade por carta enviada com ameaças a outrem, onde este comunicou-as às autoridades policiais (FONTES, 2018).
No que pese necessariamente ao tema deste tópico em comento, verifica-se que a jurisprudência de vários tribunais já vinha combatendo a utilização indevida de dados cadastrais de pessoas, seja nas relações de consumo ou até mesmo cíveis, visto que, em tese, já se entendia que era ilegal, uma vez que carecia de autorização, ocasionando assim reparação cível em razão da matéria. Abaixo a ementa de uma decisão do Tribunal de Justiça do Estado de Minas Gerais, no que concerne especificamente ao uso indevido de dados cadastrais:
ABERTURA DE CONTAS FRAUDULENTAS – PROVA DA PARTICIPAÇÃO DOLOSA DA ENTIDADE BANCÁRIA – USO INDEVIDO DE DADOS CADASTRAIS DOS FUNCIONÁRIOS PÚBLICOS MUNICIPAIS – DANO MORAL CARACTERIZADO – QUANTUM QUE SE MOSTRA EXACERBADO – DIMINUIÇÃO.
Abertura de contas fraudulentas (fantasmas) por parte da entidade financeira, em conluio com o governo municipal, usando os dados cadastrais dos funcionários públicos municipais sem o seu consentimento, para concessão de empréstimo clandestino, constitui dano moral passível de indenização.
Considerando que, embora reprovável, a atitude do governo municipal tinha fins lícitos, deve o quantum indenizatório ser minorado, para ser fixado em patamar mais razoável.
(TJ-MG 200000050489480001 MG 2.0000.00.504894-8/000, Relator: ANTÔNIO DE PÁDUA, Data de julgamento: 23/08/2005, Data de publicação: 10/09/2005.)
Como pode-se observar, a data do julgado nos remete há 15 anos antes do fazimento da presente obra, ou seja, muito antes de se imaginar a possibilidade de criação da LGPD, o que nos faz perceber que, embora a ementa em comento fomente um caso em que houve uso indevido de dados cadastrais àquela época por parte de uma instituição financeira em conluio com o próprio governo municipal, nota-se que tal instituição abriu empréstimos em nome dos funcionários públicos municipais somente com seus dados, sem qualquer tipo de autorização por sua parte.
Ora, o uso indevido de dados pode ocasionar prejuízos como este, que, a título de exemplo, nos demonstra a necessidade de regulamentação no tratamento de dados, visto que os danos podem ser diversos.
Destarte, é de se entender ainda que, apesar do entendimento passado dos tribunais já reprovar a matéria de uso indevido de dados cadastrais sem prévia autorização, a LGPD não deve ser deixada em plano secundário na atual conjuntura, haja vista que a mesma, além de ser uma lei específica sobre a matéria, trata-se de uma imposição que obriga quaisquer empresas a tratar nossos dados privativos com a devida segurança.
4.3. PERSPECTIVAS APÓS A VIGÊNCIA DE LGPD
Em linhas gerais, a LGPD representa um grande avanço no cenário legislativo brasileiro, uma vez que, diante do que vivemos, em especial nas plataformas virtuais, nossos dados estão cada vez mais vulneráveis a suscetíveis violações que podem nos causar inúmeros danos.
A Lei do Cadastro Positivo (Lei nº 12.414, de 9 de junho de 2011) está em vigor desde 2011, mas foi significativamente alterada pela Lei Complementar nº 166, de 8 de abril de 2019 (“LC nº 166/2019”). Estas leis estabelecem as condições para a criação de bancos de dados sobre o adimplemento de pessoas físicas e jurídicas para a formação de histórico de crédito (informações sobre operações de crédito e pagamento adimplidas ou em andamento).
Os princípios, direitos e obrigações envolvendo provedores de Internet, incluindo os de conteúdos e os de infraestrutura, estão previstos na Lei nº 12.965, de 23 de abril de 2014, mais conhecida como Marco Civil da Internet (MCI). Essa lei apresenta algumas considerações sobre tratamento de dados pessoais no ambiente online, enquanto a LGPD também se aplica para dados offline.
Diante disto, a Lei surge num momento de atualização da sociedade física para virtual, e se adequa a ambos cenários, no sentido de que dificulta não somente a proliferação ilegal de dados sem consentimento, como também alguns trabalhos de empresas antiéticas que não deveriam sequer operar neste sentido.
Outrossim, representará um grande avanço na segurança de dados, principalmente após sua entrada em vigor em maio de 2021 (MEDIDA PROVISÓRIA Nº 959), quando se espera que de fato possa vir a ser aplicada em sua integralidade.
Desse modo, outro lado se apresenta quando da força de tal lei perante as empresas, o que se pode dizer que muitas que atuam neste setor podem vir a sofrer com multas e complicações administrativas, uma vez que será cada vez mais ilegal coletar e vender dados dos cidadãos brasileiros (JUNIOR, 2018).
Logo, é imperioso que as empresas de pequeno, médios e grandes portes se adequem enquanto há tempo aos ditames legais do referido dispositivo, assim como as S.A., uma vez que multas altíssimas podem vir a ser aplicadas, inclusive, até o teto de 50 milhões de reais, de acordo com o poder econômico da empresa (BRASIL, 2018).
Ou seja, por um lado ela traz mudanças significativas no tocante à proteção de dados, e, por outro, ela traz mudanças devastadoras para empresas que atuam neste segmento, posto que agora ficará condicionada à prévia autorização do cliente para que possa vir a utilizar alguns de seus dados.
No entanto, é de se destacar que este período de vacatio legis que está sendo aplicado permite que as empresas elaborem outros métodos de angariar capital, seja por intermédio de outros serviços prestados ou por trazer promoções significativas no que concerne ao consumidor que permite a utilização de seus dados (LIMA, 2018).
Entretanto, é necessário frisar que o consumidor deverá ser informado para que finalidade seus dados poderão ser utilizados, o que aumenta a possibilidade de ele optar por declinar de sua escolha. Além disso, por consagrar a necessidade de segurança dos dados, a LGPD traz proteção aos cidadãos que a qualquer momento podem cessar o acesso que deu de seus dados para qualquer empresa (LIMA, 2018).
Outra curiosidade a respeito da LGPD é o fato de que ela terá aplicação extraterritorial, ou seja, qualquer empresa, seja lá onde for sua sede, que trate dados de pessoas brasileiras, deverá seguir os parâmetros estabelecidos na norma. O que em tese representa um grande avanço no sentido da proteção dos dados.
Ademais, no que pese haja uma carga considerada negativa pelas empresas no tocante à grande tarefa de cumprir os preceitos legais que as onera no sentido não somente de serem obrigadas a cumprir seus requisitos como também a serem capazes de demonstrar que cumprem, temos também de enxergar o lado positivo da referida lei no que concerne às empresas (JÚNIOR, 2018).
Neste sentido, quando da sua entrada em vigor, a lei trará segurança jurídica no sentido de ser também uma garantia para as empresas que seguirem seus ditames, o que de fato acaba por representar também um avanço nesse setor.
Como benefícios que a LGPD trouxe para empresas, podemos citar, a título exemplificativo, o aumento da credibilidade perante o consumidor ao ser consultado sobre sua anuência ao uso de dados, aumento da segurança jurídica para atuar com dados, maior investimento em segurança cibernética com consequente melhoria de qualidade dos serviços prestados, dentre outros.
Em síntese, a lei, ao tratar da privacidade dos dados, acaba também por trazer à tona uma verdadeira chave de segurança impositiva, uma vez que possibilita e proporciona maiores investimentos na área de segurança cibernética, visto que, nos dias atuais, vemos muitas empresas sofrendo ataques em suas plataformas virtuais capazes de furtar dados pessoais de seus clientes e roubar receitas importantes para o negócio. Ou seja, ao impor a obrigatoriedade de mais segurança no critério de tratamento de dados, acaba por melhorar, consequentemente, a maneira de como essas empresas operam, trazendo assim mais segurança a todos os envolvidos (JUNIOR, 2018).
Portanto, para que se evite as penalidades a seguir expostas, é demasiado importante que as empresas não sejam omissas a esta norma, visto que devem fazer de tudo para cumprir seus preceitos de maneira legal e ética, uma vez que passaram não somente por fiscalização como também pelo crivo dos consumidores que agora desejam depositar credibilidade em empresas que transmitem, sobretudo, transparência nas suas operações sem abusar da sua confiança.
4.4. AS PENALIDADES PREVISTAS EM CASO DA VIOLAÇÃO DE DISPOSITIVOS DA LGPD
Quando falamos da LGPD, certamente vem à nossa mente que, em caso de descumprimento dos seus preceitos, deva haver algum tipo de punição. E isso é real. De fato, há punições estabelecidas no bojo legal. As punições podem variar entre advertência à multa, e tem caráter educativo, uma vez que sua finalidade atrial é fazer com que quem a viola não volte a cometer tal ato (LIMA, 2020).
Diante disso, as punições pecuniárias são extremamente necessárias nesse cenário de proteção de dados, uma vez que não se pode aplicar algo que seja considerado ínfimo como meio para obstar a utilização maléfica e ilegal dos dados das pessoas Brasil afora.
Logo, é presumível que violar a Lei de Proteção de Dados é algo grave, visto que, ao lidar com informações preciosas e personalíssimas de pessoas, o cuidado com as mesmas deve ser absoluto por se tratar de privacidade, onde deve imperar, sobretudo, a confidencialidade no tratamento de tais (MAGALHÃES, 2020).
No entanto, ainda é primitivo estabelecer uma valoração de acordo com a violação que venha a ser cometida, uma vez que a lei em si traz um teto para multa, mas não traz um valor para cada violação. Ou seja, queremos dizer que este estudo quantitativo deverá ficar a cargo da Autoridade Nacional de Proteção de Dados (BRASIL,2018).
A ANPD deverá então verificar a violação e estabelecer parâmetros personalizados para os quais deva aplicar uma multa que deva ser considerável para a empresa violadora, uma vez que, como já mencionado, em caso de valores ínfimos, a tendência seria a pouca aplicação da lei em si, com várias reincidências (LIMA,2020).
Portanto, é imperioso voltar ao estudo da Teoria do Direito para melhor compreender que existem requisitos para que a lei de fato venha a alcançar seus objetivos, dentre eles os três mais importantes são validade, vigência e eficácia (MAGALHÃES, 2020).
Ao se tratar do último requisito mencionado, notamos que a norma precisa ser aplicável e vigente para que se possa vir a produzir maior ou menor efeito jurídico. Ou seja, para ser eficaz, a norma precisa estar vigente, ter aplicabilidade, exigibilidade ou executoriedade.
Ora, deste modo, entendemos que a LGPD preenche os requisitos para ser uma lei aplicável e eficaz, onde se observa que a mesma regula a criação de um órgão específico para fazer cumprir seus termos, facilitando, por conseguinte, seu acesso e sua execução.
Logo, devemos entender que a LGPD, além de preencher os requisitos para sê-la, está, de fato, adequada à situação social em que vivemos, uma vez que, em especial no que concerne ao período social atual em que se pode apelidar de pós-modernismo, a lei em si traz avanços significativos na proteção dos nossos dados, sejam eles na modalidade virtual ou física.
Assim sendo, estando adequada à situação social a qual nos encontramos, a LGPD deve de fato zelar pela imposição de suas penalidades, para assim obstar novas ocorrências (PINHEIRO,2020). Diante disso, ao explorar o texto legal, nota-se que, a partir da sua entrada em vigor maio de 2021, suas sanções podem envolver advertência, multa simples, multa diária, proibição de determinadas atividades até mesmo bloqueios etc.
Nesta linha, o Advogado Fábio Teles (2019) nos descreve sinteticamente em seu artigo o que seriam parte das referidas sanções. Vejamos:
Advertência. Nesse caso, haverá um prazo para corrigir as medidas. Depois, acontece a fiscalização novamente; Multa simples, que chega a até 2% do faturamento líquido da pessoa jurídica, com o máximo de 50 milhões de reais por infração; Multa diária; Publicação da infração, caso seja confirmada; Proibição total ou parcial das atividades relacionadas ao tratamento de dados; Bloqueio dos dados pessoais envolvidos na infração enquanto a situação não for regularizada e, em caso de outro descumprimento, há a eliminação desses dados (TELES, 2019),
Desse modo, é de se observar que a LGPD em si nos traz a seguinte redação no concernente às sanções previstas na conjuntura atual da escrita da presente obra. Vejamos o teor do artigo 52:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
VII - (VETADO);
VIII - (VETADO);
IX - (VETADO).
X - (VETADO);
XI - (VETADO);
XII - (VETADO);
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, de 2019)
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019)
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (Incluído pela Lei nº 13.853, de 2019) (BRASIL, 2018)
Não bastasse tal análise acerca das punições previstas, ainda é fato que temos de entender quem seria, de fato, o sujeito passivo de que trata o caput artigo 52 do título legal.
A lei no referido dispositivo traz a nomenclatura ‘‘Agentes de Tratamento de Dados’’. Portanto, é imperioso que conheçamos as partes envolvidas na relação da LGPD, por isso pedimos vênias para fazer uso, mais uma vez, da excelente explicação do Douto Advogado Fábio Teles (2019). Vejamos:
No meio jurídico, existem quatro denominações para as pessoas envolvidas nas operações da LGPD: o titular, o controlador, o operador e o encarregado.
O titular é, no caso de ser uma pessoa física, o proprietário dos dados. Se for o número do seu telefone, por exemplo, o titular é você. O controlador é a pessoa jurídica que recebe esses dados. Ele é diferente do operador, que é a empresa que coleta os dados através de automação. O encarregado é o profissional responsável pela segurança e pela proteção desses dados. É ele que fica em contato direto com a Autoridade Nacional de Proteção de Dados (ANPD), que vamos falar mais pra frente (TELES, 2019, s/p).
Neste sentido, notamos que as partes envolvidas têm o dever de proteger os dados coletado do titular, dando o eficaz tratamento, tendo cada agente a função definida em lei para as pessoas envolvidas.
Todavia, no que pese haja previsões legais para tais sanções, é imperioso destacar que o país é um Estado Democrático de Direito, o que, por si só, oportuniza o direito à ampla defesa e ao contraditório não somente na esfera judicial como também na administrativa (MAGALHÃES, 2020). Portanto, a Constituição Federal de 1988 consagrou no plexo de Direitos e Garantias Fundamentais do Artigo 5º, o inciso LV. Vejamos:
LV - aos litigantes, em processo judicial ou administrativo, e aos acusados em geral são assegurados o contraditório e ampla defesa, com os meios e recursos a ela inerentes (BRASIL, 1988, s/p).
Ou seja, no caso das infrações em comento, é bem certo que deverá se oportunizar ao suposto infrator a possibilidade de elaborar uma defesa, para que a mesma possa ser analisada pelo eminente órgão gestor da lei e então se decida pela aplicação ou revogação da multa (PINHEIRO, 2020).
Pensando nisto, a LGPD, além de ser considerada uma lei razoavelmente adequada ao seio social em que vivemos, ainda pode ser tida como bastante exemplificativa, uma vez que nos traz em seu bojo, no que concerne especialmente ao direito constitucional à ampla defesa e também às diretrizes para fixação das sanções, o seguinte dispositivo:
Art. 52, § 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II - a boa-fé do infrator;
III - a vantagem auferida ou pretendida pelo infrator;
IV - a condição econômica do infrator;
V - a reincidência;
VI - o grau do dano;
VII - a cooperação do infrator;
VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48. desta Lei;
IX - a adoção de política de boas práticas e governança;
X - a pronta adoção de medidas corretivas; e
XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção (BRASIL, 2018, s/p).
As sanções serão aplicadas de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerando sua gravidade e a natureza. Além das sanções administrativas, o infrator poderá responder judicialmente por repercussões decorrentes do descumprimento da LGPD, individual ou coletivamente (DONEDA, 2018).
Portanto, ao fixar tais parâmetros, vincula a ANPD a segui-los para que possa então fixar uma multa de acordo com a proporcionalidade prevista à empresa ou pessoa física infratora de algum ditame da lei em apreço.
