Sociedade digital e a Lei de Proteção de Dados – aplicação da LGPD fora do ambiente digital

1. RESUMO

É dever do Direito acompanhar as mutações da sociedade em que está inserido. O passar dos anos modifica os costumes, os meios da sociedade se relacionar e as pessoas, núcleo de uma sociedade, não mais se comunicam ou buscam informações da mesma forma que antes. É também papel do Direito estar atento aos avanços da sociedade, não como uma forma  de restringí-los, mas sim como meio de garantir que tais evoluções não prejudiquem valores imutáveis e já pré-estabelecidos através de conquistas anteriormente garantidas, como, por exemplo, o direito à privacidade, à personalidade humana, o acesso à informação e o ainda recente, mas também necessário, direito ao esquecimento.

Foi buscando tal evolução que foi sancionada, em 15 de agosto de 2018 a Lei de Proteção de Dados, pelo então presidente Michel Temer, que visa entender e proteger as novas relações criadas através da possibilidade de leitura e interpretação de dados que podem ser utilizados com as mais diversas finalidades.

A Lei 13.709/18 pretende regular a relação de empresas que utilizam informações fornecidas pelos usuários de serviços destas, partindo do pressuposto de um oferecimento, por parte dos controladores, de um consentimento real e específico para utilização de dados fornecidos pelos usuários, vedando práticas conhecidas como o “click-bait” ou a utilização de termos de serviços volumosos, que dificultam a compreensão do que e porquê suas informações estão sendo fornecidas para empresas.

No entanto, poderá ser observado que a legislação atua de forma não delimitada, mas sim de maneira ampla e não taxativa, e, muito embora pareça que o legislador tenha de certa forma, mirado os efeitos da lei nos avanços tecnológicos, possa o mesmo ter atingido também outras formas e empresas que tratam de dados, ainda que de forma não digital.

É neste sentido que busca-se com o presente artigo, a verificação de como deverá ser interpretada a lei de proteção de dados para os casos de informações mantidas de forma offline, e se as informações estocadas de maneira não digital merecem e justificam a aplicação da LGPD como forma de garantia dos direitos já mencionados, e se a não observância dos critérios estabelecidos também são capazes de gerar responsabilidade aos controladores e danos aos usuários de serviços, quando esta não observância dar-se em mundo diverso ao da internet.

---

2. O ADVENTO DA LEI DE PROTEÇÃO DE DADOS E O DIREITO DIGITAL

Com a chegada da Lei 13.709/18 – LPD em 2018, o Brasil ingressou no rol de países que contêm uma legislação própria para proteção de dados e responsabilização pelo vazamento de tais informações. A notória necessidade global de se ter uma legislação que trate sobre data protection deu-se após os midiáticos casos da possível intervenção da empresa Cambridge Analytica nas eleições presidencias dos Estados Unidos e a saída da Inglaterra da União Européia, em que pese países como Suécia e Chile já contarem com legislação sobre o assunto antes dos referidos casos.

E ainda, o RGPD (Regulamento Geral sobre Proteção de Dados), em vigência na união européia, aumentou a pressão dos demais países e blocos econômicos pela edição de uma lei que desse garantias similares aos seus cidadãos.

Fato é que, com o passar dos anos, e a evolução da tecnologia, atualmente encontra-se registro de absolutamente tudo em nuvens, sites e aplicativos que facilitam e registram bem mais do que podemos prever. Acredita-se que,  da leitura e interpretação de dados como, lugares frequentados, notícias compartilhadas e grupos dos quais se faz parte, a tecnologia e os algorítimos possam chegar a uma conclusão das preferências políticas e tendências de cada usuário em acreditar ou não em determinadas notícias e informações.

Por exemplo, diga-se de que a empresa X deseja aumentar significamente a quantidade de votos de um determinado candidato, e que esta empresa possui em seu poder certa quantidade de dados, como o IP de um usuário e o histórico de pesquisas em determinado servidor de internet. A empresa X nota  que tal usuário procura por notícias relacionadas ao baixo valor do salário mínimo e ainda sobre críticas ao atual sistema de migração.A leitura destes dados então o categoriza da seguinte maneira: um usuário que acredita estar recebendo menos do que deveria e que não concorda com a entrada de estrangeiros em seu país. Após isto, começa a disparar entrevistas deste determinado candidato em que o mesmo defende o aumento do salário mínimo e uma política mais restritiva com relações à estrangeiros, e assim, através da leitura destes dados, a empresa X consegue mais um voto para determinado candidato – essa ação multiplicada milhares e milhares de vezes inegavelmente tem o condão de influenciar votações e opiniões públicas de sociedades através do uso de algoritmos digitais para se entender o perfil de cada usuário de um determinado aplicativo ou rede social.

O registro de informações é algo comum e em nada possui relação com os avanços tecnológicos. Desde que o Homem existe, há uma tendência dos mais diversos tipos de sociedade em de algum modo registrar suas informações, seja através de códigos, desenhos, escritas ou, como nos dias atuais, por meio de históricos de localização de GPS, armazenamento de dados, fotos e mais, v.g.

Via de regra, manter um arquivo e uma história de cada período já vivido faz parte da natureza humana, e parece ser comum a estocagem de dados para os mais diversos fins. O problema que se aponta é a utilização destes dados de forma não consensual e de forma genérica, através da leitura de informações por algoritmos que podem acabar influenciando decisões importantes de um grupo, ou sociedade, baseada na influência de poucas pessoas que controlam os dados em seu poder.  Frisa-se que o que a LGPD visa combater é mais que a simples estocagem de dados, o que, inicialmente, não é eivada de ilicitude. O que busca-se com a chegada da lei é impedir que tais informações sejam vendidas como forma de auferir lucro mediante um tratamento de dado não consentido e, mais ainda, que tais plataformas utilizem da facilidade do one-click e de aplicativos que prometem mais rapidez e celeridade para obter dados sobre os quais o cidadão se quer possuem ciência ou deram consentimento para que estes estejam em poder de empresas.

Justa mostra-se a preocupação do legislador em garantir meios de a pessoa natural possuir gerência sobre os seus dados armazenados por empresas. A crescente do meio tecnológico e o avanço da interpretação de dados através de algoritmos mostra que tal proteção deve de fato ocorrer, sob pena de, cada vez mais, o homem médio vê-se perdido em meio a invasões de privacidade e ingerência sobre suas próprias informações frente à empresas que utilizam da facilidade e celeridade para lucrar com os dados obtidos através da utilização de sites e aplicativos, ou, pior ainda, influenciar em decisões de massa com base na leitura destes.

Além disso, os impactos gerados pela atividade de hackers preocupa não só a pessoa física e a privacidade de cada um, mas também empresas e governos que já demonstraram haver perdas financeiras oriundas de crimes cibernéticos que chegam a ultrapassar a receita de US$ 1,5 trilhão de dólares, segundo informe do World Forum for Municipal Economy de Davos – Suíça.

No entanto, a LPD não parece restringir a interpretação do conceito de dado para o mundo digital. Nota-se que a lei trata de quatro institutos chaves para maior compreesão do que pretende o legislador, sendo eles: 1 – dado; 2 – tratamento; 3 – consentimento e 4 – responsabilidade. Por ora, os conceitos mais relevantes para o estudo da lei além da data monetization são os de dado e tratamento. Ocorre que o conceito de dado é amplo, não limitando-se o legislador em enquadrar tal conceituação em dado digital ou dado. De acordo com o artigo 5º da lei, considera-se dado pessoal a “informação relacionada a pessoa natural identificada ou identificável”.

---

3. LEI DE PROTEÇÃO DE DADOS – UMA VISÃO ALÉM DO DATA MONETIZATION

Uma das mais severas críticas que a lei de proteção de dados recebeu, além dos vetos presidenciais que acabam por dificultar o implante de órgãos de controle e cumprimento da legislação, é quanto a definição generalista do que pode ou não ser interpretado como dado. Não há na norma um apontamento que delimite onde começa e termina o siginificado de dado para os fins da Lei 13.709/2018, o que acarreta em uma interpretação vasta, devendo qualquer pessoa - física ou jurídica, pública ou privada, ter em mente que tipos de ações deverão tomar para que estejam em conformidade com a legislação.

Já foi citado anteriormente que a LGPD conceitua dado como a “informação relacionada a pessoa natural identificada ou identificável”. A importância do presente trabalho dá-se justamente pela amplitude de tal conceito, bastando que a informação possa ser atribuída a alguém para que seja enquadrada como dado nos fins da lei. Tal extensão da margem do conceito de dados acaba por fazendo com que as empresas e controladoras de dados venham, a todo tempo, modernizar-se preocupando com o vazamento destas informações também fora do ambiente virtual.

 Restou excluído tão somente aquele dado referente à pessoa que não pode ser identificada. Ou seja, uma informação vaga não atribuída à alguma pessoa, não se enquadra na hipótese de dado – desde que não reversível tal anonimização - portanto, não merecendo o respaldo da lei. A legislação contempla, por conseguinte, não um direito sobre a informação, pois, se assim o fizesse, imputaria aos controladores de dados o dever de zelo com toda e qualquer informação, anonimizada ou não que, por qualquer meio, chegasse ao seu poder, mas sim uma proteção ao que entende ser dado, dando ao título da lei uma interpretação literal (“lei de proteção de dados”).

 Em vista disso, a proteção dada pelo legislador não diretamente ao dado ou o tipo de informação que o controlador obtém, mas sim à pessoa, real detentora daquele dado e, que, sem a sua identificação ou atribuição de determinada informação a um determinado sujeito, se quer existirá a figura que a lei protege. Em outras palavras, para que haja a tutela jurídica conferida ao titular, é necessária uma associação, ou um vínculo entre a informação e a pessoa titular daquela informação, para que assim tenhamos um dado passível de segurança junto à LGPD.

  Neste mesmo raciocínio, pode se chegar à conclusão de que, se o que a lei em um primeiro momento visa proteger é a figura do titular, caracterizando dado como qualquer informação associada à uma pessoa, a mesma possui gerência sobre este dado na esfera física e digital.

  Pode ser observado que não houve a preocuçação em considerar como dado, para os fins da lei, somente a informação mantida em servidor ou encontrada no mundo digital. Muito tem se discutido em como a LGPD poderá impactar os meios digitais que trabalham com a comercialização de dados, ou que os utilizam de alguma forma para o funcionamento da empresa. No entanto, o conceito amplo da lei nos mostra que dado é qualquer informação relacionada a uma pessoa natural já identificada, ou que possa ser identificável, não sendo de relevância para observação do dever de guardar, se o mesmo será estocado online ou offline, tampouco o objeto de tratamento que será realizado naquele dado.

 Existe ainda a figura do dado sensível, que segue o mesmo raciocínio de sua forma genérica, no entanto, a lei o trata como “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

 De novo, não há qualquer menção sobre em que esfera este dado deva estar armazenado para que assim seja considerado, o que enfatiza a preocupação que deve se haver com a data protection mesmo fora do mundo digital. Noutro giro, a conceituação de tratamento também mostra-se ampla. O inciso X do mesmo artigo conceitua o tratamento como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

  Assim, parece que toda e qualquer ação que se realiza com um dado, digitalmente ou não enquadra-se na hipótese de tratamento. Ou seja, uma empresa que mantém em arquivo físico o endereço atualizado de seus funcionários e ex funcionários, ao desejar enviar uma correspondência a estes contendo ofertas e planos de fidelidade para trabalhadores e ex trabalhadores, realiza tratamento de dado, ou ainda, se uma pequena farmácia mantiver em seu registro físico o histórico de compras de determinado cliente, e utiliza de tal informação para lhe oferecer novo remédio baseado na informação que possui, esta também realiza tratamento. Parece ser fácil a compreensão da aplicação da Lei de Proteção de Dados em casos que fogem ao Direito Digital e da Tecnologia, todavia, o estudo do impacto desta legislação nas maneiras que os dados são tratados dependerá do futuro posicionamento do Judiciário e das interpretações dadas ao conceito de consentimento.

  Nos termos da LPD, consentimento é “a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Em outras palavras, no momento da coleta dos dados, é imprescíndivel que o titular dê ao controlador a permissão para que mantenha em seu poder aqueles dados. Todavia, tal consentimento não é irrestrito para qualquer ato, visto que, muito embora o controlador mantenha os dados em seu poder, o proprietário dos dados permanece sendo o titular, cedendo apenas o direito de utilização destes dados para um fim específico, informado e consentido quando da realização da coleta.

A concepção de manter a característica de titular com aqueles que fornecem os dados, em detrimento daqueles que os detém, muito embora possa parecer inovadora com a chegada da LGPD, assim não é. Nas relações consumeristas, o Código de Defesa do Consumidor já disciplinava a matéria, em que pese de maneira mais tímida, em seu artigo 43.

“Art. 43, CDC: O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas,registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.”

Neste caso, a inovação fica por conta do parágrafro segundo do mesmo código acima, que parece em descompasso com as regras já citadas neste trabalho. Para melhor ilustrar, abaixo colacionamos a leitura do parágrafro:

“Art. 43, §2º da Lei 8.078/90: (...) A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.”

A interpretação da norma deixa claro que o legislador oferece às controladoras de dados a chance de abrir cadastro, ficha de registro e manter dados pessoais e de consumo sem que haja uma autorização específica do consumidor para tal finalidade (vide RE 1346050/SP Re. Min. Sidnei Beneti).

Com a chegada da Lei de Proteção de Dados, não parece razoável a manutenção do parágrafo 2º do artigo 43 da lei 8.078/90, visto que em total desacordo com o significado de consentimento trazido pela LGPD e já tratado neste trabalho, já que a lei trata de autorização específica para o tratamento de dados, não somente a mera comunicação.

Resta a dúvida se a jurisprudência adotará o detrimento do artigo do Código do Consumidor em razão da LGPD, ou se entenderá ser suficiente nas relações de consumo a comunicação por escrito ao consumidor comunicando que passará a ter em poder dados cujo titular é o próprio. Em sendo o titular o efetivo dono dos dados que mantém parece razoável seguir com o entendimento da legislação específica para tratamento de dados, não bastando a mera comunicação, mas sim a autorização expressa e específica para o devido fim que se o controlador busca. A discussão acerca da legislação a ser aplicada nos casos consumeristas restará para um entendimento e um trabalho futuro, mas parece razoável dizer que o pêndulo cai de forma mais contundente para a aplicação da Lei de Proteção de Dados em toda matéria que discipline tratamento de dados, até porquê as relações de consumo não fazem parte do rol de possibilidades que não estão no escopo da lei.

De outra sorte, parece que os rumos desta pesquisa mostram que a inovação chave para compreensão do que pretende o legislador com a edição da Lei de Proteção de Dados é não só destacar a pessoa a cujo dado é atribuído como a titular de fato deste, mas sim utilizar desta titularidade declarada para que a mesma tenha total gerência e ciência sobre os seus atos. Se por um lado, nas ações consumeristas a ideia de notificar o consumidor para que o mesmo tenha ciência sobre a utilização de seus dados já existia, hoje, com a vigência da lei, o termo notificar dá lugar a palavra autorizar, principal mudança na lei.

Neste raciocínio, podemos dizer que a legislação trata sobre um consentimento irrestrito, ou seja, todo e qualquer ato que envolva data storage deverá observar o sentido de consentimento tratado neste trabalho. Temos que, pouco importa o ambiente em que essa a lei de proteção estará inserida, devendo sua observância ser tanto digitalmente, quanto no universo físico sob pena de implicar nas consequências trazidas pela não observância da lei.

---

4. DA RESPONSABILIDADE CIVIL

   No decorrer do presente capítulo, buscaremos averiguar não só em como se dá a responsabilidade civil das controladoras de dados, mas também se há alguma diferenciação no tipo de responsabilidade a depender do ambiente em que este dado encontra-se inserido. Não será alvo de estudo a ampla conceituação do instituto da responsabilidade e seus pilares, visto não ser a prioridade com o presente trabalho.

De Plácido e Silva define responsabilidade civil como "(...) a obrigação de reparar o dano ou de ressarcir o dano, quando injustamente causado a outrem.” SILVA, De Plácido e. Vocabulário jurídico. 27. ed. Rio de Janeiro: Forense, 2008.

Por derradeiro, pode-se dizer então que haverá o dever de reparar o dano sempre que a conduta gerada por determinado agente causar dano a outrem. A responsabilidade civil também é sedimentada nos artigos 186 e 927 do Código Civil, senão vejamos:

“Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito.”

“Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.”

Parece evidente a preocupação do legislador em garantir ao lesado, o direito de haver em vias judiciais a reparação do dano, mediante indenização capaz de tornar quase nulo os efeitos da ação ou omissão do agente. A responsabilidade poderá ser atribuída de forma subjetiva ou objetiva, sendo esta primeira, a que decorre do elemento culpa. Ou seja, para que seja imputada a responsabilidade ao agente, necessário será demonstrar que o mesmo incorreu em culpa para que o resultado fosse alcançado. Já na segunda, tal elemento não se faz necessário. A responsabilidade objetiva decorre do próprio ato, aqui, por força de lei ou quando a própria atividade assim demonstrar necessário, o dano por si só já é capaz de gerar dever de indenizar, salvo nos casos de excludentes de responsabilidade.

“Parágrafo único, artigo 927 do Código Civil: Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.”

Nota-se que razoável seria atribuir a espécie de responsabilidade objetiva às controladoras de dados, por força da parte final da legislação acima (teoria da garantia). Ora, o titular, ao consentir com a armazenagem e tratamento específico de seus dados, o faz acreditando que o controlador observará tal consentimento pautado nos principíos que regem a boa-fé e, não só armazenará estes dados com a finalidade do consentimento do titular, como também adotará medidas para que impeça a desvirtuação do fim específico dado pela pessoa para utilização de suas informações. Neste sentido, pode-se afirmar que a própria relação entre titualr e controlador pressupõe uma responsabilidade objetiva deste segundo que, no caso de não observação das regras da lei geral de proteção de dados, responderá pelos danos independente de culpa.

Uma das mais notaveis inovações trazidas pela LGPD é o reconhecimento do dever de indenizar daquele que, em não observância a lei, causar dano a outrem:

“Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.”

Não bastasse, o legislador reconheceu, ainda, a hipossufiência de informação existente entre titular e controlador, constituindo, de modo a facilitar a defesa daquele que houver sofrido dano por conta das ações dos controladores de dados, a inversão do ônus probatório para que o controlador detenha o dever de produzir a prova de que não incorreu na hipótese do artigo 42. Importante trazer a baila que tal inversão não é automática e que o modelo parece seguir os moldes do artigo 6º do Código de Defesa do Consumidor, requerendo que o titular demonstre ser verossímel a alegação e hipossuficiência para fins de produção de provas.

A ação de reparação mostra-se ser bastante prejudicial ao controlador de dados, que poderá, além de responder objetivamente pela má utilização dos dados, ter o ônus invertido em seu desfavor, podendo a constituição de ações indenizatórias no escopo da LGPD ser de grande incômodo para as controladoras de dados.  No entanto, a máxima do direito patrimonial que diz “a indenização mede-se pela extensão do dano” poderá sofrer mitigação com a chegada da nova lei. O legislador mostrou-se preocupado não só com o tipo de responsabilidade e facilitação dos meios de produzir prova do titular, mas também em como as controladoras deverão se comportar para que possa haver diminuição da indenização.

O legislador não só se preocupou com com as regras de segurança e padrões de boa prática a serem adotados, como também deu a chance às controladoras de terem por diminuida a gravidade do incidente, se demonstrar que adotou práticas suficientes para ao menos tentar com que os dados em seu poder mantivessem protegidos, a redação do art. 48, §3º da lei nos mostra exatamente o alegado:

“Art. 48, §3º: No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.”

Conclui-se que o legislador não se preocupou com o local de armazenagem das informações, tampouco diferenciou o tipo de tratamento a ser efetuado com os dados. Em outras palavras, parece razoável afirmar que a Lei de Proteção de Dados inova ao trazer a figura da responsabilidade civil das controladoras, porém não diferencia o dado online e offline,  tampouco a pretensão da controladora ao obter o dado. Busca a norma, no entanto, privilegiar com uma possível redução do quantum indenizatório, aquelas que comprovarem que adotaram técnicas adequadas para preservar o dado obtido, por isso, é de inestimável relevância o trabalho de compliance e adoção de medidas que possam amenizar as chances de vazamentos de dados.

---

5. CONCLUSÃO

O presente trabalho teve a finalidade de averiguar a aplicação da Lei de Proteção de Dados fora do ambiente virtual e mais, fora do chamado data monetization, ou seja, tentativa de lucrar e manipular sociedades com a obtenção de dados de terceiros. A visão da lei fora do prisma do Direito digital é de suma importância para que tenhamos conhecimento das implicâncias da LGPD sobre as informações de terceiros mantidas por empresas em qualquer meio que não o digital.

Ao decorrer do artigo, foi demonstrada a importância do advento da legislação e a recente mudança da sociedade que agora migra para se transformar em uma comunidade digital. No entanto, grande parte das empresas que tratam com pessoas tem ainda sua base de dados em sistemas offline, e não usam a transação de dados como forma de negócio. Com o presente trabalho, restou comprovado que a aplicação da lei também possui escopo no direito civil comum, corriqueiro, fora do ainda recente e inexplorado direito digital e de tecnologia.

Não bastasse, foi pontuado ainda que, em que pese o legislador ter adotado uma postura de mensurar através da própria atividade da controladora e os cuidados que a mesma tomou para, ao menos, tentar manter o dado que possui em segurança, a extensão do dano e a gravidade do incidente, pouco é relevante para os fins da lei e o ambiente em que o dado se encontra, inclusive para fins de responsabilidade civil e administrativa.

Diante do alegado, apesar de a lei ter sido incentivada pela crescente preocupação com as informações digitais em poder de empresas e as formas como elas são obtidas, os impactos não são restritos a essas, devendo toda pessoa que utilize do tratamento de dados – seja para enviar uma peça promocional ao cliente, ou para que mantenha em seus registros fisicos algum dado de seu consumidor para facilitar a entrega de determinado produto ou serviço, v.g. – estar em plena atenção às implicações da lei de proteção de dados, sob pena de sofrer com as consequências nela previstas.