Resumo: Este artigo científico visa demonstrar a responsabilidade no que cerne à segurança dos dados pessoais dos usuários que se cadastram em instituições públicas e privadas, seja para fins de obrigações legais, como declaração de créditos fiscais, bens para a Justiça, ou sobre informação de renda para o fisco, mas também nos casos de cadastro por parte do usuário, como é nos casos de compras pela internet ou criação de perfis nas redes sociais. A importância de se preservar e manter o sigilo das informações colocadas pelos clientes das empresas que recebem tais dados é a premissa básica do recente instituto que emergiu no ordenamento jurídico brasileiro, que será fortemente inserido no teor do artigo. Será exposto no presente artigo, as normais gerais definidas pela Lei Geral de Proteção de Dados, a LGPD, que iniciou sua vigência no ano de 2020, trazendo como diretrizes básicas a proteção dos direitos fundamentais da liberdade e da privacidade dos usuários. A legislação traz figuras importantes como o Chefe de Proteção de Dados, ou DPO, e a manifesta responsabilidade das coletoras dos dados ao armanezar de forma correta para que não haja casos de venda destas informações ou até mesmo vazamentos que 2fragilizem a intimidade de quem registra seus dados nas vias virtuais e físicas. Sem prejuízo dos conceitos iniciais, serão colocadas situações do Direito Digital baseadas no Direito Comparado Europeu e quais consequências as empresas coletoras de tais dados terão caso descumpram com o zelo e segurança definidos pela nova lei.
Palavras-chave: LGPD. Responsabilidade Civil. Dados. Direito Digital..
1.INTRODUÇÃO
Nos Séculos XV e XVI, a grande moeda de valor eram as especiarias, como a pimenta e demais temperos exóticos, assim como outros produtos como o algodão e a seda, onde surgiu a primeira grande multinacional, a Companhia Britânica das Índias Orientais, importância esta citada por Marx, que “na medida em que a indústria do algodão tornava-se de interesse vital para o edifício social da Granbretanha, as Índias Orientais tornavam-se de interesse vital para a indústria algodoeira britânica”.
Nos séculos seguintes, o ouro, e depois, o café, em especial no Brasil com seus ciclos econômico, tendo passado antes pela cana-de-açúcar e pelo pau-brasil. No Século XX, veio a expansão do capitalismo propriamente dito em escala global e a supervalorização do dinheiro e do petróleo. Eis então que chega o terceiro milênio.
No Século XXI, assim como aconteceu em outros tempos da história humana, adveio uma nova moeda de valor, hoje considerada uma das mais importantes: a informação, ou os dados. São estes dados que fazem com que empresas de mídia, montadoras de veículos, instituições financeiras, grandes lojas de departamentos, assim como as donas de notáveis marcas comerciais, consigam direcionar sua gama de clientes, de acordo com o que estes usuários pesquisam na internet e de acordo com o que eles consomem nos meios de comunição radiotelevisiva.
A questão é até onde vai este limite de divulgação das informações das pessoas. Existe ética empresarial em tais exposições ou até mesmo na venda dos dados? A ordem capitalista teria carta branca para usar moeda tão valiosa e assim violar a liberdade e a privacidade dos indivíduos? Questionamentos como estes colocam à tona a necessidade de uma legislação que visa regulamentar os limites sobre o armazenamento das informações assim como impor condutas responsáveis às entidades que recebem os dados pessoais dos usuários para que não ocorra vazamentos indevidos ou comercialização do conteúdo para outras empresas direcionarem seu fluxo de mercado ignorando a intimidade de alguém.
Surge no Brasil no ano de 2018 e passando a vigorar em 2020, a Lei Geral de Proteção de Dados, conhecida como LGPD que determina princípios básicos para sua aplicação assim como definir a responsabilidade das empresas, além da criação de um órgão a nível nacional que irá supervisionar a conduta das instituições que lidam com o registro de dados.
2.A LEGISLAÇÃO SOBRE A PROTEÇÃO DE DADOS NO BRASIL
2.1.Princípios Fundamentais da LGPD
A Lei Brasileira que rege o Sistema de Proteção de Dados, a Lei Geral de Proteção de Dados Pessoais, conhecida pela sigla LGPD, foi inserida no ordenamento jurídico brasileiro em 14 de agosto de 2018, iniciando sua vigência sobre quase todo o seu conteúdo em agosto de 2020, com exceção dos arts. 52, 53 e 54, que versam sobre as sanções administrativas, estes, por sua vez, possuem a vigência prevista para a data de 1º de agosto de 2021.
A legislação, que visa proteger os dados pessoais dos usuários como direitos fundamentais sobre liberdade e privacidade no desenvolvimento da pessoa natural, possui como princípios: respeito à privacidade; autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; inviolabilidade da intimidade, da honra e da imagem; desenvolvimento econômico e tecnológico e a inovação; livre iniciativa, a livre concorrência e a defesa do consumidor; os direitos humanos, e, por fim, livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Trata-se de uma norma que busca adequar-se à nova realidade tecnológica vivenciada no Século XXI, onde a automação é a regra nos serviços públicos e privados. Justamente por isso, faz-se necessário uma legislação que vise resguardar a privacidade de quem coloca seus dados de forma voluntária e autônoma às instituições coletoras das informações, assim como fomentar o mercado de tecnologia da informação para garantir o livre desenvolvimentos das empresas de setor, desta forma, fortificando a segurança e tutela do direito consumerista dos usuários, chegando a uma eficácia fática deste novo instituto jurídico.
2.2.Sobre as exceções à LGPD
Apesar da larga gama de princípios e do objetivo vasto de segurança à privacidade do usuário ao colocar suas informações pessoais, a Lei Geral de Proteção de Dados Pessoais deixará de ser aplicada sobre determinados dados, de acordo com a finalidade destes. As situações estão previstas no art. 4º da Lei nº 13.709/2018.
Não se aplicará a LGPD para os dados pessoais realizados por pessoa natural que tiver finalidade exclusivamente particular e não para fins econômicos. Também valerá a exceção para os dados exclusivamente jornalísticos e artísticos, fazendo-se valer do princípio básico da liberdade de expressão, comunicação, informação e opinião dos profissionais e artistas. Os dados pessoais referentes ao meio acadêmico também não seguirão a regra geral desta lei específica.
No que se refere à ordem pública e interesse estatal, não se aplicará a LGPD os dados pessoais colocados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, ou nos casos de atividades de investigação e repressão de infrações penais, como por exemplo, as operações policiais. E por fim, dados pessoais:
[..] IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. (BRASIL, 2018)
Faz-se importante ressaltar que a totalidade dos dados pessoais, que são quaisquer informações relacionadas a pessoa natural identificada ou identificável, relacionadas ao inciso III do art. 4º da LGPD, ou seja, aqueles de interesse do Estado e da Segurança Nacional, não poderão em caso nenhum ser tratados por pessoa de direito privado, com exceção daquela que possua capital constituído de forma integral pelo Poder Público, logo, não cabendo a responsabilidade das empresas por regra, tema principal deste estudo.
3.RESPONSABILIDADE CIVIL E DIREITO COMPARADO
3.1. Conceito aplicado para a empresa
A princípio, insta observar o que significa a responsabilidade civil para as pessoas jurídicas coletoras dos dados e onde este dever poderá ser aplicado ou sancionado caso descumprido. Assim apresenta Capanema:
A responsabilidade surge do exercício da atividade de proteção de dados que viole a “legislação de proteção de dados”. Por essa expressão, o legislador reconhece que a proteção de dados é um microssistema, com normas previstas em diversas leis, sendo a LGPD a sua base estrutural. Deve-se aqui fazer uma analogia com o conceito de “legislação tributária” do art. 96 do CTN, para incluir não apenas as leis que versem sobre a proteção de dados, mas as normas administrativas regulamentares que serão expedidas pela Autoridade Nacional de Proteção de Dados ou por outras entidades (CAPANEMA, 2020, p. 3).
Sem prejuízo do conceito supracitado, a responsabilidade sobre o ressarcimento de eventuais danos também está positivada na Lei Geral de Proteção de Dados, que em seu art. 42, define que o controlador ou o operador, durante sua atividade de tratamentos dos dados pessoais, será obrigado a reparar a outrem, quando a este cause dano patrimonial, moral, individual ou coletivo, em situação que viole a LGPD.
No parágrafo único do art. 44 da mesma lei, define que o responsável pelos dados em controle e operação responderá pelo dano, se deixar de adotar as medidas de segurança, e estas derem causa ao dano ao cliente ou consumidor da empresa coletora dos dados.
As medidas em questão estão descritas no art. 46 da LGPD, onde o “agente de tratamento”, que em geral, são as empresas, possuem o dever de adotar métodos de segurança, técnicos, administrativos, que estejam aptos a proteger os dados pessoais de acessos não autorizados assim como de situações ilícitas ou acidentais de destruição. Também serão responsáveis em caso de perda, alteração, comunicação ou qualquer tratamento inadequado ou ilícitos sobre as informações.
3.2. Julgado sobre a Responsabilidade das Empresas à luz da LGPD
Como fora descrito anteriormente, é passível o pagamento de danos ao titular dos dados por parte do agente de tratamento dos dados. No processo nº 1080233-94.2019.8.26.0100, a juíza Tonia Yuka Koroku, da 13ª Vara Cível de São Paulo, condenou uma empresa que atua no ramo imobiliário a a indenizar em R$ 10 mil um cliente que teve informações pessoais enviadas a outras empresas. Segue trecho da decisão:
Um dos direitos fundamentais do consumidor é de acesso à informação adequada acerca dos serviços que lhes são postos à disposição. Especificamente sobre o assunto referente ao tratamento de dados, a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados LGPD) prescreve que são fundamentos da disciplina da proteção de dados, dentre outros, o respeito à privacidade, a autodeterminação informativa, a inviolabilidade da intimidade, da honra e da imagem, a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade e a dignidade (art. 2º).
[…]
Patente que os dados independentemente de sensíveis ou pessoais (art. 5º, I e II, LGPD) foram tratados em violação aos fundamentos de sua proteção (art. 2º, LGPD) e à finalidade específica, explícita e informada ao seu titular (art. 6º, I, LGPD).
Após a empresa ré repassar os dados do cliente para empresas parceiras para oferecer serviços alheios aos contratados, fica clara uma violação do sigilo e da segurança dos dados por parte da coletora. A medida adotada pela magistrada data de 29 de setembro de 2020 e trata-se da primeira decisão sobre o tema no Estado de São Paulo que se tem notícia, e que pode servir de alicerce para uma jurisprudência gerando uma segurança jurídica nesta seara.
3.3. O Direito Comparado referente à Proteção de Dados
A Lei Geral de Proteção de Dados, que teve como sua base o Marco Civil da Internet, de 2014, que tinha como um dos princípios básicos a proteção da privacidade dos usuários e de seus dados pessoais, diretriz basilar também da nova LGPD de 2018. No ordenamento jurídico brasileiro foi trazidos este dispositivo normativo inspirado em legislações internacionais que já tutelam a proteção das informações pessoais fornecidas pelos usuários de serviços ou clientes de produtos oferecidos pelas mais diversas empresas mundo afora.
Alguns pontos que as legislações se assemelham estão como a consideração do consentimento do titular dos dados como elemento fundamental para que estes sejam fornecido pelo operador dos dados (empresa) a terceiros, tal como prevê a LGPD no Brasil em seu art. 7º, inciso I; e o Regulamento Geral sobre a Proteção de Dados (RGPD) em Portugal, em seu art. 6º, nº 1, alínea “a”.
A legislação brasileira prevê que o tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento pelo titular, enquanto que na norma portuguesa prevê que o titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas.
Entretanto, no direito norte-americano, tal princípio-base do consentimento não é tão absoluto como Brasil e Portugal consideram em suas legislações. Nos EUA, na Califórnia em específico, o Consumer Privacy Act, limita o direito de o consumidor poder recusar a possibilidade de venda a terceiros da sua informação pessoal, não consagrando em demais situações.
Ainda fazendo um comparativo entre Brasil e Estados Unidos, a LGPD determina no art. 18, VI, o direito à eliminação dos dados, ainda que tratados com o seu consentimento. Já na lei americana, esse direito ao esquecimento não possui a mesma tutela, inclusive, sendo permitido aos motores de busca na internet tratamento de dados alheios, pois de acordo com a I Emenda à Constituição Norte-Americana, trata-se de liberdade de expressão, com entendimento reiterado dos Tribunais dos Estados Unidos da América.
Percebe-se um ponto em comum entre o RGPD europeu e a LGPD brasileira: a segurança no tratamento dos dados pessoais, em que determina o dever do operador das informações ter o zelo que garantam a privacidade e não danificação dos dados.
Com efeito, no RGPD começa por ser enunciado um dever geral de “segurança no tratamento”, o qual se projeta logo como um dos “princípios relativos ao tratamento de dados pessoais”, o da integridade e confidencialidade, pois os dados devem ser: Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas (WACHOWICZ, 2020, p. 44-45)
Enquanto no Brasil, a LGPD segue a mesma visão, ao obrigar a empresa coletora dos dados a agir com medidas que visem a segurança da informação prevista em lei sobre os dados pessoais, mesmo após o término do tratamento destes.
