RESUMO: Com a edição da Lei Geral de Proteção de Dados (LGPD), o tratamento de dados passou a se sujeitar a inúmeros requisitos, o que exigiu a adequação de empresas privadas e da Administração Pública às novas regras. A falta de preocupação com a maneira como os dados pessoais eram coletados, armazenados, manipulados e compartilhados deu lugar a uma inquietação, visto que a nova norma impõe sanções para aqueles que não observarem seus dispositivos. Nesse contexto, as Juntas Comerciais, órgãos executivos do Sistema Nacional de Registro de Empresas Mercantis (Sinrem) e que coletam grande quantidade de dados pessoais, tiveram que adotar medidas para se adaptar às novas regras, implicando na alteração e revisão de práticas administrativas que há muito tempo eram realizadas. No entanto, tendo em vista as novidades da LGPD, a escassez de decisões judiciais e a pequena produção doutrinária brasileira sobre o tema, emergiram muitas dúvidas sobre as ações que deveriam ser adotadas, tais como: as práticas administrativas utilizadas continuam legais? Os assentamentos mercantis continuam sendo públicos e de livre acesso? Quais dados podem ser coletados? As certidões podem conter quaisquer dados pessoais? Há responsabilidade das Juntas Comerciais sobre o uso indevido de dados pessoais por terceiros que adquiriram esses dados nas autarquias? Questões como essas passaram a preocupar os gestores públicos. O presente artigo busca explorar o assunto e provocar discussões para futuros trabalhos sem, contudo, ter a pretensão de esgotar o tema.
Palavras-chave: Registro. Mercantil. Dados. Pessoais. Publicidade.
1 INTRODUÇÃO
No Brasil, os empresários são obrigados a se registrar nas Juntas Comerciais, entidades da Administração Indireta de natureza híbrida mantida pelos Estados membros e subordinadas tecnicamente ao Departamento Nacional de Registro Empresarial e Integração (DREI), órgão central do Sistema Nacional de Registro de Empresas Mercantis (Sinrem). As Juntas Comerciais, por sua vez, são responsáveis pela execução e administração dos atos de registro. Durante o processo de registro e arquivamento de atos, inúmeros dados pessoais de empresários individuais e de sócios são coletados e gravados em bancos de dados. Esses dados são de acesso público, sendo possível a qualquer pessoa consultá-los sem a necessidade de demonstração de interesse, desde que se pague o preço público estipulado. Desse modo, dados como nome, endereço, cadastro de pessoa física, estado civil, nacionalidade, condição de sócio, dentre outros, podem ser de conhecimento de qualquer pessoa. Ao se adquirir, por exemplo, a cópia de um contrato social, tem-se acesso a vários dados pessoais que constam no documento, vez que a qualificação dos sócios é parte que o integra. Aliás, a receita das Juntas Comerciais provém, em grande parte, da venda de certidões, que nada mais são do que documentos chancelados pelas Juntas Comerciais que contém dados arquivados nas autarquias.
Em 2018 surgiu a Lei Geral de Proteção de Dados - LGPD, que alterou o tratamento conferido aos dados pessoais. Eles passaram a ser percebidos como de titularidade das pessoas ao qual se vinculam e, não mais a quem os possuía. Se antes, uma empresa que detinha dados pessoais podia utilizá-los da forma como bem entendesse, com o advento da nova legislação esse comportamento passou a não mais ser possível. Isso porque para que haja tratamento de dados pessoais, passou a ser exigido, como regra, o consentimento do titular dos dados. Práticas até então corriqueiras em empresas, como compartilhamento e monetização de dados pessoais, tiveram que se adequar à nova legislação.
Destaca-se, contudo, que a LGPD trouxe consigo inúmeras dúvidas. Ao tratar de um tema relativamente novo e ainda pouco explorado em terras brasileiras, os ditames da nova norma logo resultaram em inúmeras dúvidas práticas. No contexto dos órgãos de registro mercantil surgiram questionamentos como: a lei de registro mercantil foi derrogada em algum aspecto? Em que medida a promulgação da LGPD afeta a publicidade dos assentamentos prevista na Lei de Registro Mercantil? Os dados pessoais que constam no cadastro de registro de empresas mercantis continuam sendo públicos? A comercialização de certidões e de dados ainda é permitida? As Juntas Comerciais precisam controlar como os dados acessados por terceiros estão sendo usados? Esses questionamentos impactam direta e significativamente nas Juntas Comerciais, seja porque, a depender das respostas, exigirão complexas e custosas adequações, seja porque podem impactar diretamente em relevante fonte de receita das autarquias.
O presente artigo buscará abordar os temas que permeiam as questões supramencionadas sem, contudo, apresentar uma resposta taxativa. Primeiramente será analisada a Lei de Registro Mercantil, que trata da publicidade dos dados que são registrados nas Juntas Comerciais. Em seguida, serão feitas considerações sobre a Lei Geral de Proteção de Dados. Na sequência, serão abordadas questões relativas aos impactos da LGPD nas Juntas Comerciais. Ressalta-se que o objetivo do trabalho não é esgotar o tema, nem propor uma resposta definitiva para as dúvidas suscitadas, mas evidenciar um assunto ainda pouco explorado pela doutrina e carente de decisões judiciais, que vem sendo discutido nas Juntas Comerciais e que pode repercutir nos serviços prestados pelas autarquias. Busca-se lançar ponderações e considerações iniciais sobre o tema que poderão ser melhor desenvolvidas em trabalhos posteriores.
2 REGISTRO DE EMPRESAS MERCANTIS E JUNTAS COMERCIAIS
A prática de se registrar atos e fatos comerciais é antiga, havendo autores, como Villanueva (2016, apud Brito, 2007), que apontam a Idade Média como sua origem. Naquela época, as corporações de ofício criaram métodos de registro para manter o controle de seus membros e de suas atividades comerciais. As práticas de registro tiveram início na Itália e se espalharam para os demais países da Europa, notadamente Espanha e Portugal (BRITO, 2007).
No Brasil, até 1875, o registro dos atos e fatos comerciais cabia aos Tribunais de Comércio. Com a sua extinção, o Registro Público das Empresas Mercantis, ou do Comércio, ficou a cargo das Juntas Comerciais e das Inspetorias Comerciais, que mais tarde também foram as últimas - extintas (ROCHA FILHO, 2004, p. 115). Restaram, assim, apenas as Juntas Comerciais.
Com a proclamação da república e a adoção da Constituição de 1891, a execução do registro público, de uma maneira geral, passou a ser de responsabilidade dos estados membros. Houve, então, a criação de um regime híbrido de atribuições, pois a organização administrativa das Juntas Comerciais fico sendo de competência estadual e o direito substantivo, ou seja, a matéria referente ao comércio, ficou como competência legislativa da União (ROCHA FILHO, 2004).
As Constituições subsequentes, de 1946, 1967 e 1988, não modificaram a estrutura híbrida construída em 1891. Ocorreu, no entanto, a edição de normas infraconstitucionais que, sucessivamente, regulamentaram os serviços de registro do comércio. Em 1965, foi editada a Lei nº 4.726, de 13 de julho, que dispunha sobre os serviços de Registro do Comércio e atividades afins. Em 1981 surgiu a Lei nº 6.939, de 9 de setembro, que instituiu o regime sumário de registro e arquivamento, modernizando um pouco mais o instituto. Esta lei foi regulamentada pelo Decreto nº 86.764, de 22 de dezembro de 1981. Finalmente, em 1994 entrou em vigor a Lei 8.934, de 18 de novembro, que revogou as Leis 4.726/65 e 6.939/81 e foi regulamentada pelo Decreto nº 1.800, de 30 de janeiro de 1966. Sendo assim, atualmente, essas são as principais normas que tratam de Registro Público de Empresas Mercantis, sendo necessário incluir os artigos 967 e 1.150 a 1.154 do Código Civil (ROCHA FILHO, 2004).
A obrigatoriedade de inscrição do empresário no Registro Público de Empresas Mercantis está prevista no artigo 967 do Código Civil, enquanto o artigo 1.150 vincula o empresário e a sociedade empresária ao Registro Público e Empresas Mercantis.
Art. 967. É obrigatória a inscrição do empresário no Registro Público de Empresas Mercantis da respectiva sede, antes do início de sua atividade (BRASIL, 2002).
Art. 1.150. O empresário e a sociedade empresária vinculam-se ao Registro Público de Empresas Mercantis a cargo das Juntas Comerciais, e a sociedade simples ao Registro Civil das Pessoas Jurídicas, o qual deverá obedecer às normas fixadas para aquele registro, se a sociedade simples adotar um dos tipos de sociedade empresária (BRASIL, 2002).
Ponto de grande relevância para este trabalho é tratado no artigo 1º da Lei 8.934/1994 ao estabelecer as finalidades do Registro Público de Empresas Mercantis, in verbis:
Art. 1º O Registro Público de Empresas Mercantis e Atividades Afins, observado o disposto nesta Lei, será exercido em todo o território nacional, de forma sistêmica, por órgãos federais, estaduais e distrital, com as seguintes finalidades: (Redação dada pela Lei nº 13.833,de 2019)
I - dar garantia, publicidade, autenticidade, segurança e eficácia aos atos jurídicos das empresas mercantis, submetidos a registro na forma desta lei;
II - cadastrar as empresas nacionais e estrangeiras em funcionamento no País e manter atualizadas as informações pertinentes;
III - proceder à matrícula dos agentes auxiliares do comércio, bem como ao seu cancelamento (BRASIL, 1994).
Como é possível notar, o inciso I elenca a publicidade como uma das finalidades do registro. De acordo com Santa Cruz (2020):
Não poderia ser diferente. As Juntas Comerciais, como órgãos públicos de registro dos empresários e das sociedades empresárias, possuem justamente a função de tornar público os atos relativos a esses agentes econômicos. Daí por que os assentamentos feitos na Junta Comercial são públicos, e não secretos, podendo a eles ter acesso qualquer pessoa, sem que para tanto precise justificar ou mostrar a existência de algum interesse pertinente.
As Juntas, portanto, desempenham uma importante função de tornar públicos os atos jurídicos que constam de seu registro; assim, se eu quero saber quem são os sócios quotistas de uma sociedade limitada qualquer, ou quem é o seu administrador, basta pedir uma certidão de tal informação (SANTA CRUZ, 2020, p. 203).
Em complemento, o artigo 29 da Lei 8.934/1994 dispõe que qualquer pessoa, sem necessidade de provar interesse, poderá consultar os assentamentos existentes nas juntas comerciais e obter certidões, mediante pagamento do preço devido (BRASIL, 1994). É justamente esse artigo que fundamenta os serviços prestados pelas Juntas Comerciais para acesso aos dados existentes em suas bases de dados após o pagamento do preço público estabelecido.
As Juntas Comerciais registram três tipos de atos, a saber: matrícula, arquivamento e autenticação. A matrícula refere-se à inscrição dos auxiliares do comércio, que são leiloeiros, tradutores públicos, intérpretes, trapicheiros e administradores de armazéns-gerais. O arquivamento diz respeito ao registro de pessoas jurídicas, como atos de constituição, alteração e dissolução das sociedades empresárias. O empresário individual, as cooperativas e os consórcios também devem fazer seu registro nas Junta Comercial. Por fim, a autenticação se refere aos instrumentos de escrituração contábil (livros empresariais) e dos agentes do comércio, configurando-se me requisito extrínseco de validade da escrituração mercantil (SANTA CRUZ, 2020; COELHO, 2020).
Importa destacar que o processo de registro realizado nas Juntas Comerciais, que segue a Instrução Normativa nº 81 do Departamento Nacional de Registro Empresarial e Integração - DREI, resulta na coleta de inúmeros dados pessoais pela autarquia, seja do empresário individual, seja dos sócios das sociedades empresárias. Dentre os diversos dados pessoais coletados destacam-se: nome, nacionalidade, estado civil, regime de bens, endereço, data de nascimento, CPF, e-mail e cópia de documentos.
Nota-se, portanto, que as Juntas Comerciais possuem numerosos dados pessoais e que esses dados podem ser acessados por qualquer pessoa, sem a necessidade de demonstração de interesse, bastando o pagamento do preço público. A forma mais conhecida de acesso ocorre por meio das certidões, que podem ser simplificadas, específicas e de inteiro teor, nos termos da Resolução DREI nº 81/1995. A certidão simplificada constitui-se de extrato de informações atualizadas, constantes de atos arquivados e/ou de arquivos eletrônicos. A certidão específica constitui-se de relato dos elementos constantes de atos arquivados que o requerente pretende ver certificados. A certidão de inteiro teor constitui-se de cópia reprográfica ou digitalizada, certificada, de ato arquivado. Também é possível adquirir dados em formatos específicos e estruturados[2], o que facilita a utilização em sistemas voltados para o processamento dos dados. Este serviço é muito utilizado por birôs de crédito, bancos e conselhos de classe, dentre outros.
Em resumo, as Juntas Comerciais possuem inúmeros dados pessoais aos quais dão publicidade e franqueiam acesso sem necessidade de motivação específica. Com a edição da LGPD indaga-se em que medida essa atividade sofrerá impactos. No próximo tópico, serão apresentadas considerações sobre a LGPD.
3 A Lei Geral de Proteção de Dados e o tratamento de dados pessoais
Em 14 de agosto de 2018 foi promulgada a Lei 13.709, atualmente denominada Lei Geral de Proteção de Dados - LGPD. O caminho percorrido para a aprovação da lei foi longo e complexo, tendo sido iniciado em 2010. Isso porque, além de interesses políticos, havia diversos agentes e interessados envolvidos que representavam setores como: empresas de tecnologia da informação, indústria, instituições financeiras, agronegócio, governo federal, procuradores, acadêmicos, entre outros (REDECKER, 2021). Posteriormente, em 10 de fevereiro de 2022, como decorrência do projeto de emenda à Constituição nº 17, foi promulgada a Emenda Constitucional nº 115, alçando a proteção de dados pessoais ao status de direito fundamental ao incluí-la no inciso LXXIX do artigo 5º da Constituição Federal.[3]
Ao abordar o tratamento de dados pessoais, a LGPD acaba por adotar como um de seus fundamentos o respeito à privacidade. Aliás, essa também foi uma das justificativas que embasou o parecer da Comissão de Constituição e Justiça do Senado ao projeto de emenda à constituição nº 17:
[...] pode-se afirmar que, questões efetivas e atuais como a eficácia horizontal dos direitos fundamentais, a proteção dos direitos da personalidade, principalmente a proteção à privacidade e intimidade, o direito ao esquecimento como atributo relativo ao direito da personalidade, trazem à baila a necessidade da proteção dos dados pessoais com enfoque constitucional (BRASIL, 2019, p.5).
De acordo com Doneda (2020), a noção de privacidade é antiga, mas suas feições atuais são recentes. A moderna doutrina do direito à privacidade pode ser atribuída ao artigo The right to privacy, de Samuel Warren e Louis Brandeis, publicado em 1890. Neste trabalho, os autores abordaram a relação entre o desenvolvimento tecnológico, como máquinas fotográficas, e a forma como seu uso poderia resultar na extrapolação de limites da inviolabilidade da vida privada e doméstica (MALDONADO; BLUM, 2020).
Desde as suas discussões iniciais, o desenvolvimento da tecnologia e sua popularização resultou em uma maior importância da informação e de como ela é utilizada. A disseminação de computadores e da internet geraram a intensificação dos fluxos de informação, bem como novas possibilidades para uso dos dados pessoais. A realidade passou a se condicionar, em boa parte, pelo desenvolvimento tecnológico (DONEDA, 2020), o que resultou na expansão do conceito de privacidade, que passou do indivíduo para a sociedade. Se antes a preocupação com a privacidade centrava-se apenas em casos pontuais e isolados, atualmente a questão é abordada como relevante para toda a sociedade. De acordo com Stefano Rodotà (p. 27, apud Doneda, 2020, p.43) [] a evocação da privacidade supera o individualismo tradicional e se dilata em uma dimensão coletiva, a partir do momento que não se considera mais o interesse do indivíduo enquanto tal, porém como membro de um determinado grupo social. É justamente nesse contexto de evolução tecnológica com forte repercussão nos direitos fundamentais, notadamente na privacidade, que a LGPD surge com a complexa tarefa de proteger não apenas os indivíduos, mas toda a sociedade, sem, contudo, restringir a utilização e a adoção das inúmeras novas tecnologias.
A Lei busca um equilíbrio da manutenção do desenvolvimento econômico e tecnológico de modelos de negócio inovadores, com a inviolabilidade de direitos constitucionais dos cidadãos. Porém, a parte final do seu art. 1° não deixa qualquer dúvida de que o seu objetivo principal está intrinsecamente vinculado à proteção dos direitos fundamentais de liberdade e de privacidade e ao livre desenvolvimento da personalidade da pessoa natural. E a utilização do verbo "proteger", no referido art. 1°, demonstra essa necessidade coerente que o legislador enxergou no titular dos dados como vulnerável em comparação com os agentes de tratamento (controlador e operador) (VAINZOF, 2020, p.26).
Superado o entendimento sobre o surgimento da norma, sua relevância e sua relação com a privacidade, é fundamental que sejam abordados três aspectos: a quem se aplica, o conceito de dados pessoas e as hipóteses para seu tratamento. Conforme previsto em seu art. 1º, a LGPD incide sobre pessoas naturais e jurídicas, de direito público e de direito privado. Sendo assim, não há dúvidas de que deve ser observada pelos setores privado e público, incluindo-se os órgãos da Administração Direta e entidades da Administração Indireta. Aliás, esse é o entendimento da Autoridade Nacional de Dados[4] (ANPD) ao afirmar que o termo Poder Público é definido pela LGPD de forma ampla e inclui órgãos ou entidades dos entes federativos (União, Estados, Distrito Federal e Municípios) e dos três Poderes (Executivo, Legislativo e Judiciário) (BRASIL, 2022, p.6).
No que se refere ao conceito de dados pessoais, a definição está inscrita no inciso I do art. 5º da LGPD, segundo o qual trata-se da informação relacionada a pessoa natural identificada ou identificável (BRASIL, 2018). Em uma análise rápida, esse conceito parece simples e de fácil aplicação, contudo a prática tem se demonstrado tortuosa. Na União Europeia, o Grupo de Trabalho de Proteção de Dados do artigo 29 tratou da complexidade conceitual da expressão dados pessoais no Parecer 4/2007. A seguir serão abordadas de forma suscinta algumas das discussões feitas pelo grupo.
Ao tratar de forma genérica o termo informação[5], entende-se que a definição legal optou por um conceito alargado e que abarca qualquer informação sobre uma pessoa, o que inclui dados objetivos e subjetivos, verdadeiros ou não. Dessa forma, podem se incluir nesse conceito itens como nível de confiança, comportamento subjetivo, características individuais, dados biométricos e genéticos, opiniões, práticas e hábitos profissionais, comportamento e hábitos de consumo, histórico de consumo de medicamentos, receituários médicos, gravações de áudio e vídeo, dentre outros.
Outro ponto de complicação vincula-se ao fato de os dados relacionarem-se às pessoas. Em muitos casos, os dados estão ligados a objetos de propriedade dos indivíduos, sendo que há uma zona não muito clara da separação entre dado referente à pessoa ou ao objeto. Por exemplo, o valor de uma casa pode não ser um dado pessoal, vez que se refere a um objeto. Contudo, ao se analisar o valor como um ativo de uma pessoa e utilizar essa informação para se calcular um imposto devido, não há dúvidas de que o dado serviu para a individualização de uma pessoa. Nota-se, portanto, que a definição de dado pessoal dependerá de uma análise contextual.
Também pode gerar confusão para identificar se um dado é pessoal ou não o fato de o Brasil ter adotado o conceito expansionista (VAINZOF apud MALDONADO; BLUM, 2019), já que tanto a informação que permite a identificação direta de uma pessoa, quanto a informação que tem o potencial de tornar a pessoa identificável estão incluídas na acepção legal. A identificação direta se dá quando uma pessoa pode ser apontada entre os membros de um grupo. Por outro lado, a identificação indireta se dá nas situações e que a pessoa ainda não estiver identificada, mas for possível fazê-lo. Essa análise deve ser feita de forma contextual visto que determinados identificadores poderão ser suficientes para individualizar alguém em determinada situação e insuficientes em outra. Por exemplo: um apelido poderá não servir de nada para distinguir alguém entre toda a população de uma país, mas auxiliará na identificação de um aluno em uma sala de aula. Ademais, informações que sozinhas não possibilitam a identificação, quando combinadas com outras, podem passar a permiti-la, o que é mais um fator de complexidade na análise do conceito em debate.
Todos os pontos acima discutidos são relevantes para o presente trabalho na medida em que evidenciam a complexidade da aplicação do conceito de dado pessoal, bem como a necessidade de sua apreciação contextual. Endereço, gênero, sexo, orientação sexual, raça, número de um processo de registro de uma empresa, atividade econômica de uma empresa, valores de cotas sociais, condição de administrador, NIRE, CNPJ dentre outros, podem ser dados pessoais ou não, a depender da situação avaliada. Isso torna o trabalho do Poder Público e, especificamente das Juntas Comerciais, para se adequar à LGPD mais difícil.
Por fim, cabe comentar sobre as hipóteses legais de tratamento de dados, focando no caso das Juntas Comerciais. Em princípio deve-se entender que o termo tratamento é tão amplo que praticamente qualquer manuseio de um dado se inclui nele. Sua definição está expressa no inciso X do art. 5º da LGPD, a saber:
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (BRASIL, 2018).
No que se refere à fundamentação legal para tratamento de dados pessoais, o consentimento do titular previsto no inciso I do art. 7º da LGPD é considerado a principal base autorizativa. Consentimento é definido no inciso XII do art. 5º da LGPD como a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (BRASIL, 2018). Além dessa base legal, há outras nove hipóteses de tratamento que independem de consentimento, sendo relevantes para o presente trabalho aquelas previstas nos incisos II, III e IX do art. 7º da LGPD.
O inciso II aborda a possibilidade de tratamento de dados pessoais para o cumprimento de obrigação legal ou regulatória. É interessante notar que as determinações legais podem estar inscritas em leis ou em outras normas de menor hierarquia, como decretos, resoluções, instruções normativas, entre outros. Esse ponto é relevante, pois as Juntas Comerciais seguem as orientações[6] do DREI, que é o órgão central do Sistema Nacional de Registro de Empresas Mercantis.
O inciso III, por sua vez, tem como destinatária a Administração Pública e autoriza o tratamento e o uso compartilhado de dados para a execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres [...]. (BRASIL, 2018). Maldonado e Blum (2019, p.205) definem políticas públicas[7] como toda atividade realizada por qualquer ente da administração pública com o objetivo de solucionar demandas da sociedade, englobando setores, tais como saúde, educação, economia, entre outros. Em sentido semelhante manifesta-se a Autoridade Nacional de Proteção de Dados (ANPD) ao recomendar que o:
[...] conceito de política pública seja interpretado de forma ampla, de modo a abranger qualquer programa ou ação governamental, definido em instrumento formal, isto é, lei, regulamento ou ajuste contratual, conforme o caso, cujo conteúdo inclui, em regra, objetivos, metas, prazos e meios de execução (BRASIL, 2022, p. 12).
Por fim, o inciso IX institui o legítimo interesse do controlador ou de terceiros como fundamento autorizativo do tratamento de dados pessoais, excluindo-se os dados pessoais sensíveis. Nesse caso, a ANPD recomenda que haja uma avaliação demonstrando a proporcionalidade entre os interesses do controlador e os direitos e as expectativas do titular. Orienta, ainda, que não seja utilizada em situação de tratamento compulsório de dados, notadamente para o cumprimento de obrigações legais, devendo-se empregar, nesses casos, outras bases legais.
Após a explanação sobre a aplicabilidade da LGPD, o conceito de dados pessoais e suas peculiaridades e das hipóteses de tratamento de dados pela Administração Pública, o próximo tópico tratará da relação entre a Lei de Registro Mercantil e a Lei Geral de Proteção Dados, abordando a existência ou não de conflito entre as normas e questionamentos sobre os impactos da novel norma na publicidade das informações existentes nas Juntas Comerciais.
4 Impactos da Lei Geral de Proteção de Dados nas atividades desenvolvidas pelas Juntas Comerciais
A edição da LGPD gerou uma movimentação da Administração Pública para se adequar às novas exigências de tratamento de dados. No contexto das Juntas Comerciais emergiram inúmeras dúvidas sobre a existência de conflitos entre a Lei de Registro Mercantil e a LGPD. Mas não apenas isso: por se tratar de uma norma muito recente, a ausência de diretrizes da ANPD e de órgãos de controle, a falta de decisões judiciais sobre o tema, a escassa produção acadêmica e a própria complexidade da novel norma geraram calorosas discussões sobre práticas administrativas e regras de negócios há muito tempo adotadas. A própria Autoridade Nacional de Proteção de Dados destacou que:
O tratamento de dados pessoais pelo Poder Público possui muitas peculiaridades, que decorrem, em geral, da necessidade de compatibilização entre o exercício de prerrogativas estatais típicas e os princípios, regras e direitos estabelecidos na Lei Geral de Proteção de Dados Pessoais (BRASIL, 2022, p. 5)
O presente tópico tratará, justamente, dessa complexidade na compatibilização de normas, legais e infralegais, princípios, prerrogativas e práticas no âmbito das Juntas Comerciais. Afinal, existem antinomias entre a Lei de Registro Mercantil e a LGPD? A lei de registro mercantil foi derrogada em algum aspecto? Em que medida a promulgação da LGPD afeta as atividades desenvolvidas pelas Juntas Comerciais? Os dados pessoais que constam no cadastro de registro de empresas mercantis continuam sendo públicos? A comercialização de certidões e de dados ainda é permitida? Há a necessidade de anonimizar dados pessoais que integram as certidões? Esses questionamentos impactam direta e significativamente nas Juntas Comerciais, seja porque, a depender das respostas, exigirão complexas e custosas adequações, seja porque podem afetar diretamente as receitas das autarquias.
Quanto ao tema antinomia, o direito deve ser percebido em sua dinâmica como uma realidade que está em movimento perpétuo, pois acompanha as relações humanas e se modifica para se adaptar às novas exigências e necessidades sociais (DINIZ, 1998).
A evolução da vida social traz em si novos fatos e conflitos, de maneira que os legisladores, quase que diariamente, passam a elaborar novas leis; juízes e tribunais, constantemente, estabelecem novos precedentes e os próprios valores sofrem mutações, devido ao grande e peculiar dinamismo da vida (DINIZ, 1998, p. 9).
Considerando a dinamicidade e a complexidade do sistema jurídico, não é incomum que certa desordem aconteça quando não existir uma solução expressa para determinado caso. Em outras palavras, em razão da busca pela adaptação do sistema jurídico à volátil e complexa realidade, pode acabar havendo um conflito entre duas normas, entre dois princípios ou entre uma norma e um princípio geral de direito. Contudo, ao se levar em conta o postulado da unicidade do sistema jurídico, é necessário que as contradições aparentes sejam solucionadas, de forma a se garantir a homogeneidade desse sistema e a segurança na aplicação do direito (DINIZ, 1998). Afinal de contas, o Direito não tolera antinomias (Bobbio, 1995, p. 81).
A antinomia ocorre quando há duas normas válidas e emanadas de autoridade competente em conflito, não sendo possível afirmar qual delas merecerá aplicação no caso concreto (DINIZ, 1998; GONÇALVES, 2018; TARTUCE, 2016). Bobbio (1995) propôs três critérios para a solução dessa situação, quais sejam: i) cronológico, ii) hierárquico e; iii) especialidade. Se o caminho a seguir fosse a constatação de eventual antinomia, chegar-se-ia à conclusão de que ambas as normas são especiais, pois cada qual trata especificamente de uma matéria e possuem a mesma hierarquia, qual seja lei ordinária. Sobraria apenas a cronologia como critério de solução do conflito, prevalecendo a LGPD, uma vez que é a lei posterior. Sendo assim, o mais desavisado poderia concluir que a publicidade do cadastro de registro mercantil deveria se subordinar às regras de consenso para tratamento de dados pessoais, afetando o espírito da própria existência do registro das empresas. Isso porque um de seus principais propósitos, como já exposto em tópico anterior deste trabalho, é o de tornar público os atos relativos aos agentes econômicos (SANTA CRUZ, 2020). Contudo, ao se analisar a LGPD e a Lei de Registro Mercantil, parece não haver antinomias uma vez que as dúvidas existentes podem ser solucionadas com esforço hermenêutico, seja pela aplicação dos clássicos critérios interpretativos (gramatical, lógico, sistemático e teleológico), seja pela ponderação de princípios. Aliás, a própria LGPD traz como possibilidade de tratamento de dado pessoal o respeito às exigências legais já existentes. Não se vislumbra, assim, incompatibilidade entre a LGPD e a Lei de Registro Mercantil.
Nessa toada, destaca-se que o principal fundamento para que as Juntas Comerciais tratem dados pessoais está inscrito no inciso II do art. 7º da LGPD, uma vez que as autarquias devem obedecer, dentre outras normas, aos ditames da Lei de Registro Mercantil, do Código Civil e das instruções normativas do DREI. Como já citado, as Juntas Comerciais mantêm os registros de comércio e as matrículas de agentes auxiliares (leiloeiros, tradutores e intérpretes), devendo dar publicidade aos dados que compõem sua base de dados. Abaixo são destacados alguns dos comandos legais que devem ser seguidos pelas Juntas Comerciais e que se relacionam com a publicidade dos dados pessoais coletados:
· Lei 10.406/2002, art. 997: estabelece cláusulas obrigatórias para os contratos sociais, definindo dados que constarão nos registros das Juntas Comerciais;
· Lei 8.934/1994, art. 29: franqueia acesso aos assentamentos das Juntas Comerciais a qualquer pessoa, sem a necessidade de demonstração de interesse;
· Instrução normativa DREI nº 72/2019, art. 39: define que as Juntas Comerciais devem manter em seus sites os seguintes dados de tradutores e intérpretes: nome, matrícula, data da posse, telefone, e-mail, website e situação funcional;
· Instrução normativa DREI nº 72/2019, art. 84: define que as Juntas Comerciais devem manter em seus sites os seguintes dados de leiloeiros: nome, matrícula, data da posse, endereço, telefone, e-mail, website, nome do preposto, situação, situação da matrícula, dentre outros.
· Instrução normativa DREI nº 81/2020 (alterada pela IN DREI nº 112/2022), art. 95 e seguintes: trata das certidões (simplificada, específica e de inteiro teor) e define que dados pessoais que constam em atos arquivados podem compor as certidões emitidas pelas Juntas Comerciais sem a necessidade de consentimento do titular.
Além da obediência às leis, outro fundamento para tratamento de dados pelas Juntas Comerciais está no inciso III do art. 7º da LGPD[8], uma vez que as autarquias realizam o tratamento de dados para a concretização de políticas públicas, como por exemplo a implantação da Rede Nacional para Simplificação do Registro e da Legalização de Empresas e Negócios - REDESIM, prevista na Lei nº 11.598, de 3 de dezembro de 2007. A REDESIM busca facilitar a formalização de empresas integrando em um único ambiente as etapas de abertura (tais como viabilidade, documento básico de entrada e licenciamento), alteração e extinção. O art. 9º[9] da citada lei prevê que as Juntas Comerciais colocarão à disposição dos demais integrantes da Redesim, por meio eletrônico, dados de registro de empresários ou pessoas jurídicas e imagens digitalizadas dos atos arquivados, impondo o compartilhamento de dados.
Em suma, os fundamentos principais para que as Juntas Comerciais tratem dados são o cumprimento de obrigação legal e regulatória e a execução de políticas públicas previstas em leis e regulamentos, ou respaldadas em contratos, convênios e instrumentos congêneres. Não se embasam, portanto, no legítimo interesse do controlador ou no consentimento do titular. Tal ponto é relevante tendo-se em vista que, a depender do fundamento utilizado, aplicam-se ou não algumas das regras previstas na LGPD.
Deve-se atentar que o §6º do art. 7º da LGPD estipula que a possibilidade de tratamento de dados sem consentimento não desobriga os agentes de tratamento das demais exigências previstas na lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular. A ANPD, em seu Guia Orientativo para Tratamento de Dados Pessoais pelo Poder Público (BRASIL, 2022), destacou os princípios da finalidade, adequação, necessidade, transparência e livre acesso como os mais relevantes para a atuação do setor público.
A finalidade (art. 6º, I, LGPD) ocorre quando o tratamento é realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades (BRASIL, 2018). Desse modo, as Juntas Comerciais devem se ater aos propósitos específicos previstos na legislação aplicável, na persecução do interesse público, bem como observar suas missões institucionais. Ademais, há uma limitação quanto ao tratamento posterior de dados quando incompatível com a finalidade original. Na mesma linha, o princípio da adequação (art. 6º, II, LGPD) estipula a necessidade de se compatibilizar o tratamento com as finalidades informadas ao titular. Em complemento, o caput do art. 23 da LGPD, reforça esse entendimento ao prescrever que o tratamento de dados pessoais deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público (BRASIL, 2018). Nesse ínterim, as finalidades do Registro Público de Empresas Mercantis e das Juntas Comerciais podem ser encontradas, respectivamente, nos arts. 1º e 8º da Lei nº 8.934/1994.
Quanto ao princípio da necessidade (art. 6º, III), estabelece que o tratamento deve se limitar ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados (BRASIL, 2018). Sendo assim, as Juntas Comerciais devem se limitar a exigir os dados estabelecidos nas normas que regulamentam sua atuação e que não necessários para a realização de suas atribuições legais. Para ilustrar esse princípio, cita-se o fato de a Junta Comercial de Minas Gerais ter deixado de coletar dados sobre sexo dos sócios durante o processo de abertura de empresas. Esse é um caso interessante, pois tal dado era utilizado em pesquisas sobre empreendedorismo feminino e masculino. Contudo, em razão de se tratar de um dado pessoal sensível[10], não necessário para o alcance das atribuições da autarquia e sem fundamento legal para a coleta, optou-se por não mais exigi-lo.
O princípio da transparência (art. 6º, VI) garante aos titulares informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento. O livre acesso (art. 6º, IV), de forma similar, assegura a consulta facilitada e gratuita aos titulares de dados sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais. A LGPD concretiza esse comando no inciso I do art. 23 ao exigir que haja acesso facilitado, de preferência nos sites, informando os titulares sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para o tratamento de dados. Pode-se, inclusive, conjugar esse comando com a previsão do art. 19[11] da mesma norma, que estipula a obrigação de que seja disponibilizado relatório confirmando a existência ou o acesso do órgão ou da entidade aos dados pessoais. Como consequência, as Juntas Comerciais começaram a divulgar em seus sites as Políticas de Privacidade e de Uso de dados, bem como a adaptar seus sistemas para que relatórios sobre o uso dos dados pessoais fossem gerados.
No entanto, dúvidas sobre o tema persistem, pois, considerando que qualquer pessoa pode acessar os assentamentos das Juntas Comerciais sem que se demonstre interesse, indaga-se se seria necessário informar ao titular todas as pessoas físicas e jurídicas que acessaram seus dados pessoais. Se assim for, as autarquias deverão gerar relatórios com todos que acessaram certidões que continham dados do titular, bem como informar todos os órgãos que consultaram dados do titular. Além disso, remessas de dados enviados para os órgãos de proteção ao crédito também deveriam constar dos relatórios de dados. Veja-se que há uma imensa complexidade nessa tarefa. Indo além: os dados pessoais daqueles que realizaram as consultas deveriam constar nos relatórios emitidos? Ou seja, se João comprou uma certidão que continha dados pessoais de Maria e esta solicita, com fundamento no art. 19 da LGPD, relatório completo sobre o tratamento de seus dados, este relatório deveria especificar cada tratamento realizado, incluindo o nome de João? Ou bastaria informar os tipos de tratamento, explicando que o dado foi compartilhado por meio de certidão (ou outro formato)? Em se colocando o nome de João, deveria haver anonimização? Note-se que tais questões não ficam claras observando-se a letra da lei. Acredita-se que, com o passar do tempo, tais dúvidas acabarão sendo enfrentadas pela ANPD ou pelo Poder Judiciário. Para o presente trabalho, adota-se posicionamento de que bastaria citar o número consultas aos dados pessoais do titular, sem se ater a detalhes quanto aos adquirentes, mas explicitando-se a forma de compartilhamento utilizada (certidão, remessa a órgãos, listagem emitida por pedido específico, webservice ou API, dentre outras existentes). Isso porque, como já comentado, cabe às Juntas Comerciais dar publicidade aos atos de registro.
Outro ponto relevante refere-se ao controle, pela autarquia, da finalidade do acesso aos dados pessoais feito por terceiros. Assim, por exemplo, se um birô de proteção ao crédito adquire dados e, posteriormente utiliza esses dados para finalidades não abarcadas pela LGPD, as Juntas Comerciais teriam algum tipo de responsabilidade? Sobre o uso indevido de dados pessoais, no processo 0736634-81.2020.8.07.0001 o Ministério Público do Distrito Federal e Territórios questionou judicialmente a venda de dados pelos Serasa S.A. para a prospecção de clientes sem o consentimento dos titulares. Em sua sentença, o juiz de primeiro grau entendeu que a ré possuía interesse e legitimidade para a comercialização dos dados, mas que não estava dispensada do consentimento. A decisão foi confirmada em segunda instância:
APELAÇÃO. AÇÃO CIVIL PÚBLICA. PRELIMINAR DE NEGATIVA DE PRESTAÇÃO JURISDICIONAL. REJEITADA. COMERCIALIZAÇÃO DE PRODUTOS E FERRAMENTAS DE TRATAMENTO DE DADOS PESSOAIS. PROTEÇÃO DOS DIREITOS DO CONSUMIDOR. INOBSERVÂNCIA DA LEGISLAÇÃO DE REGÊNCIA. [...] 5. Mesmo que o produto final dos serviços impugnados garanta ao contratante um apanhado de informações de natureza meramente cadastral, é inafastável a conclusão de que a segmentação e o direcionamento de mercado prometidos pela requerida depende de tratamento de informações outras, de natureza socioeconômica e comportamental, elementos intrinsecamente vinculados à esfera da privacidade. Assim, não havendo transparência sobre os trâmites de coleta e tratamento, é impositivo o acolhimento da pretensão autoral.[12]
O caso acima expõe o uso indevido de dados pessoais cuja origem pode ter sido as Juntas Comerciais, visto que parte dos dados dos birôs de crédito são adquiridos das autarquias. Tal situação ensejou a dúvida sobre a necessidade de controlar a finalidade do acesso. Dever-se-ia verificar se órgãos de persecução criminal e de controle, por exemplo, estariam realizando consultas para atendimento à sua finalidade institucional? Ou, se alguém quiser adquirir uma lista com CNPJs, razão social e e-mails de empresas, as Juntas deveriam indagar se a finalidade seria a captação de clientes? Tendo em vista que o art. 29 da Lei 8.934/1994 é claro quanto à desnecessidade de provar interesse para consultar os assentamentos e obter certidões nas Juntas Comerciais, entende-se que não há necessidade de tal controle. Além disso, a sua operacionalização seria deveras complexa, pois as autarquias teriam que fiscalizar o uso dos dados por todos os adquirentes, o que seria inviável e extremamente custos.
Como é possível notar, muitas são as dúvidas existentes sobre o tema ora abordado. Cabe aguardar o passar do tempo para verificar como a ANPD atuará em seu esclarecimento e como o Poder Judiciário se posicionará quando provocado.
5 CONSIDERAÇÕES FINAIS
O tema proteção de dados pessoais ainda é muito recente no Brasil e muitas dúvidas sobre as repercussões práticas da LGPD surgiram após a promulgação da lei. Empresas privadas e órgãos e entidades da Administração Pública terão que rever inúmeras práticas para se adaptar às novas exigências legais. No presente artigo buscou-se discutir os impactos da lei nas Juntas Comerciais que, na condição de executoras do registro mercantil, possuem grande quantidade de dados pessoais.
Como regra, empresários devem se registrar no Registro Publico de Empresas Mercantis. Esse cadastro, que tem caráter público e pode ser acessado por qualquer pessoa mediante pagamento do preço público estipulado, é gerenciado e mantido pelas Juntas Comerciais. Sendo assim, milhares de dados pessoais estão disponíveis para consulta sem a necessidade de demonstração de interesse.
Até a vigência da LGPD, as Juntas Comerciais realizavam o tratamento com fundamento na Lei de Registro Mercantil, sem muita preocupação sobre o que era feito com dados coletados. Com a nova norma, iniciaram-se discussões sobre os impactos da lei na autarquia e quais ações deveriam ser adotadas. O presente trabalho buscou apresentar os fundamentos legais da LGPD que possibilitam o tratamento de dados pelas Juntas Comerciais concluindo que as principais regras autorizativas são os incisos II e III do art. 7º da novel lei. Destaca-se, contudo, que a permissão legal não exime as autarquias de adequarem práticas e, sobretudo, observarem os princípios norteadores do tratamento de dados pessoais. Desse modo, entende-se que, ainda que as Juntas Comerciais possam realizar o tratamento de dados pessoais, é imperativo que sejam observados os mandamentos de otimização da finalidade, adequação, necessidade, transparência e livre acesso, dentre outros.
A despeito das conclusões acima citadas, por se tratar de nova norma, sem muitas regulamentações, com escassa produção doutrinária e com decisões judiciais quase inexistentes, acredita-se que ainda haverá discussões sobre pontos que geram discussões e não estão claros, tais como a necessidade de controle da finalidade de acesso dos dados pessoais por terceiros; a responsabilidade das Juntas Comerciais sobre o uso de dados que terceiros adquiriram das autarquias; a forma de fornecimento aos titulares dos tratamentos realizados, dentre outros pontos.
Espera-se que as discussões suscitadas instiguem futuros trabalhos e lancem luz sobre um assunto de grande relevância para as autarquias.
