RKL Escritório de Advocacia

Telefones

(31) 3274-5066
(31) 98646-4070

EMAIL

rkl@rkladvocacia.com
 

Contato
Contato
Menu
Instagram Linkedin

Doutrina

A NORMATIVIDADE DOS DADOS SENSÍVEIS NA LGPD E A CONEXÃO COM O DIREITO DO CONSUMIDOR

A NORMATIVIDADE DOS DADOS SENSÍVEIS NA LGPD E A CONEXÃO COM O DIREITO DO CONSUMIDOR

A NORMATIVIDADE DOS DADOS SENSÍVEIS NA LGPD E A CONEXÃO COM O DIREITO DO CONSUMIDOR

Nicole Barzotto Frozza

 

SUMÁRIO: Introdução; 1 O importante marco legal da LGPD; 2 Caracterização dos dados sensíveis; 3 Proteção do consumidor diante do uso de dados; 4 Critérios para aferição do consentimento do consumidor; Conclusão; Referências.

 

INTRODUÇÃO

A Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709/2018, cuja vigência estava definida para agosto do corrente ano, visa à proteção e ao adequado tratamento dos dados pessoais fornecidos pelos cidadãos, e consolida a importante noção de autodeterminação informativa, ou seja, a ideia de que o titular dos dados deve ter amplo poder jurídico sobre os seus próprios dados, conceito construído no Direito brasileiro por influência do direito comparado.

Trata-se de lei preventiva, criada com o objetivo de defender e tutelar os direitos fundamentais, por meio da regulamentação das transações envolvendo dados pessoais.

A LGPD é um marco legal no Direito brasileiro, na medida em que, não obstante já existisse legislação acerca da proteção de determinados dados pessoais – à exemplo da Lei de Cadastro Positivo -, não se tinha até então legislação específica sobre o seu tratamento, inclusive com previsão de uma Autoridade Nacional de Proteção de Dados, qualificada para fiscalizar o atendimento das normas e imputar aos responsáveis as sanções de descumprimento previstas pela lei.

A LGPD aparece em um contexto de evolução tecnológica e de manuseio dos dados pessoais na qualidade de mercadoria, e é a combinação desses fatores que torna urgente a revisão da atual liberdade concedida aos agentes para utilização dos dados com fins estritamente econômicos. A observância aos direitos do titular dos dados pessoais passa a figurar em primeiro plano, implicando no dever de protegê-lo e de informá-lo sobre como, quando e em que condições serão utilizadas as informações que optar fornecer.

Uma das consequências do uso indevido dos dados pessoais que busca combater a LGPD, e cujo fundamento se encontra justamente na mercantilização dos dados, são a segregação e eventual discriminação dos consumidores.

Nesse aspecto, a LGPD se preocupou em tratar especificamente dos dados sensíveis, conceituados como dados pessoais relacionados à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural“, uma vez que o vazamento ou a indevida circulação dessa categoria de dados pode trazer resultados ainda mais alarmantes.

Um dos mecanismos previstos pela LGPD para garantir o tratamento devido dos dados é o requisito do consentimento expresso do titular, ao qual vem vinculado outro conceito fundamental suscitado pela LGPD, qual seja, a noção de finalidade específica. O consumidor precisa assentir expressamente com a circulação das suas informações, bem como com qual finalidade elas serão utilizadas. O consentimento deve ser interpretado restritivamente, ou seja, é defeso ao agente que se utilize de dados pessoais para situação diversa daquela com a qual conscientemente concordou o titular.

Nesse ponto, é importante destacar que a lei indica o controlador como responsável pela comprovação de que as exigências atinentes ao consentimento foram devidamente observadas, tornando-o válido e eficaz.

Ocorre que o surto do novo coronavírus, além de ter se tornado inevitavelmente assunto central de todas as discussões dos últimos meses, apresenta, desde já, impactos significativos no âmbito legal também para os meses subsequentes, entre os quais a publicação da Medida Provisória nº 959/2020, em 29 de abril de 2020, que, em seu art. 4º, ampliou a vacatio legis da LGPD para 3 de maio de 2021.

Uma das justificativas apresentadas para a prorrogação da lei destaca os impactos já constatados nas atividades econômicas em virtude da pandemia e, consequentemente, a futura dificuldade de adaptação das instituições aos parâmetros regulamentados pela LGPD.

Isso porque as alterações e exigências apresentadas pela lei pretendem a implementação de significativas mudanças internas nas instituições comumente detentoras dos dados pessoais, a fim de amoldar-se aos critérios da lei, o que não surpreendentemente demanda tempo e dinheiro.

O que preocupa no adiamento dessa importante regulamentação específica sobre a utilização dos dados pessoais é a insegurança jurídica que isso pode causar, na medida em que a LGPD poderia ser a garantia de uma padronização quanto ao tratamento dos dados pessoais, especialmente os dados sensíveis, entre os quais os dados de saúde, amplamente circulados durante uma pandemia.

 

1 O IMPORTANTE MARCO LEGAL DA LGPD

Com a evolução da sociedade e o desenvolvimento da tecnologia, chegamos a era da sociedade da informação e do compartilhamento de dados. Embora que se saiba da velocidade da tecnologia e do surgimento da Lei Geral de Proteção de Dados (LGPD), seu avanço teve início com o encerramento da Segunda Guerra Mundial[1].

Ao fim da Segunda Grande Guerra, estabeleceu-se a paz mundial e um de seus efeitos foi à expansão da globalização. Em 1950, já havia o debate sobre o uso de computadores, armazenamento e processamento de dados e, ainda, discutia-se sobre a permissão de acesso a essas informações ao público. Para Karvalics, o pai da teoria da sociedade da informação foi o japonês Tadao Umesao, que apresentou a teoria da informação como fenômeno social. Para ele, a sociedade até então industrial fora invadida pela indústria da informação, ou também chamada de sociedade da informação[2].

Contudo, o estopim da indústria da informação está no compartilhamento de dados, e, para que haja regularidade na universalização dessas informações, inclusive sobre serem públicas ou privadas, há a necessidade de regulamentação, não somente no cenário nacional, mas também no âmbito internacional[3].

Conforme Roberto Senise Lisboa, “o compartilhamento da informação é fenômeno social estimulado, numa perspectiva de que a coletividade em rede possibilita a redução espacial e de tempo para que as interações sociais possam ocorrer em maior quantidade e, preferencialmente, com melhor qualidade“. Por isso, é inevitável dizer que a informação é um fator econômico e social, da qual se pode mensurar em valor econômico propriamente dito, pois a partir disso pode-se armazenar tratar e transmitir dados que poderão favorecer e enriquecer quem os detém[4].

Com o advento da Constituição Federal de 1988, que instituiu a tutela da dignidade da pessoa humana e a garantia dos direitos fundamentais, a proteção de dados tem sua base de proteção nela. Porém, o tratamento dessas informações não encontra embasamento legal na Lei Maior, sendo esta apenas uma diretriz à sua regulamentação e conformidade[5].

Para Gustavo Tepedino e Chiara Spadaccini de Teffé, “a tutela dos dados relativos à pessoa natural mostra-se hoje vital para que ela se realize integralmente e se relacione na sociedade, representando garantia de maior segurança às informações dos cidadãos e impedindo práticas autoritárias e de vigilância por parte de instituições públicas e privadas[6].

Até agosto de 2018, o Brasil não regulamentava juridicamente a proteção de dados, apesar de já haver na própria Constituição Federal normas sobre a intimidade da vida privada e inviolabilidade do sigilo de correspondência e das comunicações telegráficas, de dados e telefônicas. Embora houvesse disposições no Código de Defesa do Consumidor e na Lei do Acesso à Informação, ainda se mostrava pouco quando comparado à realidade e à transação de dados que pouco recebia segurança em seu tratamento[7].

Com o advento da Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709/2018, o consentimento passou a ser protegido e elencado como critério ao tratamento de dados por outras pessoas que não sejam as titulares, principalmente no tocante aos dados sensíveis que passaremos a analisar no próximo item. Assim, a partir do surgimento desta lei, a aplicação da LGPD será de acordo com a proteção dos direitos fundamentais elencados na Constituição Federal[8].

No entanto, a tecnologia, ao mesmo tempo em que é aliada, pode causar danos àqueles que se expuseram a ela, ainda mais quando se fala em inteligência artificial. Nesse sentido, fez-se necessária a elaboração de lei para disciplinar as condutas relacionadas à informação eletrônica, bem como às fornecidas fisicamente por pessoas físicas[9].

Segundo Gustavo Tepedino e Chiara Spadaccini de Teffé, “para a melhor tutela dos direitos fundamentais, há que se definir quando, onde, como e para que fins poderão ser colhidos informações pessoais, restringindo-se o seu tratamento como ativo comercial ou expressão de poder político do Estado“. Assim, a privacidade da pessoa física se concentra no seu consentimento, podendo controlar o fluxo e a finalidade de seus dados[10].

Nessa perspectiva, o próprio legislador optou, na elaboração da LGPD, que esta seja vista como uma modalidade preventiva, a fim de que não ocasione danos e que, com o passar do tempo, possa ser adequada ao sistema europeu, facilitando transações. Além disso, o caráter prudente que a lei traz é uma maneira de gerir riscos, afastando danos, vazamento de dados, desrespeito com a finalidade de tratamento e preservação da dignidade da pessoa humana. Por isso, a tríade de finalidade, necessidade e transparência deve ser respeitada para que empresas detentoras de dados possam estar em conformidade com a LGPD[11].

Fato é que se pode ter discussão sobre o direito de proteção de dados que visa defender e tutelar a personalidade humana, e não o dado como um bem (propriedade). Preservar a intimidade e privacidade das informações individuais e coletivas é se conectar diretamente com direitos fundamentais elencados na Constituição Federal e daí a maior urgência pela LGPD, devido ao avanço tecnológico atual[12].

Pode-se referir que a Lei Geral de Proteção de Dados é um marco legal para a proteção de dados no País, tanto no âmbito público quanto no privado, a fim de tutelar a proteção de direitos constitucionais e infraconstitucionais de pessoas físicas, inclusive em ambientes virtuais[13]. Igualmente, o avanço da tecnologia e a ascensão do consumo pelas mídias digitais são cada vez mais recorrentes, fazendo com que o comércio eletrônico dobre até 2021[14].

Bruno Miragem explica que “o acesso ao tratamento de dados pessoais da população em geral dá causa a repercussões não apenas econômicas, mas também, profundamente, relações sociais e políticas, dado suas interações com temas aparentemente distintos entre si (…), temas fundamentais para o desenvolvimento humano“. Nesse sentido, imperioso dizer sobre a relação da LGPD com o direito consumerista, eis que o art. 2º da Lei nº 13.709/2018 abarca a defesa dos consumidores, vez que a proteção dos seus dados pessoais associa-se a sua vulnerabilidade[15].

De fato, o tratamento de dados é relevante para a relação de consumo, mas vale ressaltar que, antes mesmo de a LGPD explicitar tal proteção aos dados das pessoas físicas, já havia legislação que aderisse o assunto, como o próprio Código de Defesa do Consumidor (Lei nº 8.078/1990), o Marco Civil da Internet (Lei nº 12.965/2014), a Lei do Cadastro Positivo (Lei nº 12.414/2011), o Decreto do Comércio Eletrônico (Decreto nº 7.962/2013) e a Lei de Acesso à Informação (Lei nº 12.527/2011).

Diante disso, a LGPD tornou-se um marco legal de suma importância para a proteção de dados pessoais direcionados às pessoas físicas que tem como base os direitos constitucionais fundamentais. Além disso, pode-se dizer que a lei busca equilibrar a linha tênue entre liberdade e privacidade, e por esse motivo tem a transparência como seu pilar. Nesse segmento, os dados sensíveis possuem maior resguardo e caracterização próprios, o que será explanado.

 

2 CARACTERIZAÇÃO DOS DADOS SENSÍVEIS

Consoante discorrido no tópico anterior, a LGPD, enquanto marco legal é uma tentativa de desenvolver mecanismos de tutela dos dados pessoais, mediante o afastamento de práticas abusivas por parte de instituições públicas e privadas que possam eventualmente ferir os direitos fundamentais dos titulares.

Como leciona Bruno Miragem,A rigor, o acesso e tratamento de dados pessoais da população em geral dão causa a repercussões não apenas econômicas, mas afeta também, profundamente, relações sociais e políticas, dado suas interações com temas aparentemente distintos entre si, com a qualidade do debate público, a liberdade de manifestação, a proteção da reserva pessoal e da privacidade, dentre outros temas fundamentais para o desenvolvimento humano.[16]

Nesse sentido, verifica-se que a finalidade da regulação do compartilhamento de dados é atentar para o fato de que a exploração inadequada desses dados pode trazer prejuízos mais graves e extensos do que unicamente a violação da privacidade, mas também a obstaculizarão da livre iniciativa de cada cidadão, a discriminação, a violação da boa-fé, entre outros direitos fundamentais.

É com o objetivo de que o acesso e o manuseio dos dados sejam apropriados que a LGPD propõe uma análise individual e específica para cada categoria de dados, entre os quais prevê os dados sensíveis, os quais suscitam uma atenção especial, como o próprio nome indica. Os dados sensíveis correspondem aos dados relacionados à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural“, como previsto no art. 5º, inciso II, da Lei.

Ao contrário dos dados anonimizados, também contemplados pela LGPD, os dados sensíveis são definidos como um tipo de dado pessoal, ou seja, tem essa particularidade, porque são vinculados a um titular identificado ou identificável, por meio do nome ou do CPF, ou, ainda, de outras características que possam indicar que se referem a uma pessoa em específico, e não a qualquer outra. É justamente por isso que exigem um tratamento especial, porque a má utilização dos dados sensíveis significa o comprometimento dos direitos fundamentais de uma pessoa identificada ou identificável – na categoria genérica de dado pessoal – e, para, além disso, por meio da exposição inadequada de informações costumeiramente sensíveis, como etnia, religião, entre outras, antes elencadas – na especificidade de dado sensível.

O modelo europeu no qual foi inspirada a legislação brasileira busca fundamentar, nos Considerando 51 e 71, a necessidade de serem fixados mecanismos diferenciados para a tutela dos dados sensíveis:

Merecem proteção específica os dados pessoais que sejam, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais.

[…]

[…] A fim de assegurar um tratamento equitativo e transparente no que diz respeito ao titular dos dados, tendo em conta a especificidade das circunstâncias e do contexto em que os dados pessoais são tratados, o responsável pelo tratamento deverá utilizar procedimentos matemáticos e estatísticos adequados à definição de perfis, aplicar medidas técnicas e organizativas que garantam designadamente que os fatores que introduzem imprecisões nos dados pessoais são corrigidos e que o risco de erros é minimizado, e proteger os dados pessoais de modo a que sejam tidos em conta os potenciais riscos para os interesses e direitos do titular dos dados e de forma a prevenir, por exemplo, efeitos discriminatórios contra pessoas singulares em razão da sua origem racial ou étnica, opinião política, religião ou convicções, filiação sindical, estado genético ou de saúde ou orientação sexual, ou a impedir que as medidas venham a ter tais efeitos.

A decisão e definição de perfis automatizados baseada em categorias especiais de dados pessoais só deverão ser permitidas em condições específicas.[17]

Cumpre destacar, como o fez Caitlin Mulholland, que a preocupação direcionada aos dados sensíveis é um cuidado na verdade já presente na legislação brasileira: Já é conhecida da legislação brasileira desde a promulgação da Lei de Cadastro Positivo – Lei nº 12.414/2011 – que em seu art. 3º, § 3º, inciso II, proíbe anotações em bancos de dados usados para análise de crédito de “informações sensíveis, assim consideradas aquelas pertinentes à origem social e étnica, à saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas”.[18]

Contudo, o que a LGPD busca acrescentar à legislação já existente é a garantia de que as previsões normativas sejam efetivamente observadas, na medida em que a prática de tratamento dos dados pessoais ainda é deficitária nesse sentido, como é fato notório nas relações consumeristas. A distinção prevista pela lei no que se refere ao tratamento dos dados sensíveis é um indicativo do obstinado objetivo de impedir a utilização para fins segregatórios ou para obtenção de vantagem econômica, como corriqueiramente acontece.

A identificação e a fiscalização da correta utilização desses dados, entretanto, não é tão óbvia quanto parece. A título de exemplo, Carlos Nelson Konder suscita a nacionalidade[19], uma informação que poderia não ser comumente qualificada como sensível, mas que, se questionada em um determinado contexto, pode ser um indicativo de estigmatizarão.

Diante disso, para melhor compreender o que de fato almeja a LGPD com a delimitação e a proteção dos dados sensíveis, entende-se fundamental a realização de uma análise dos princípios potencialmente violados quando prestado tratamento equivocado aos dados pessoais sensíveis.

Sugere Konder[20] que a chave para uma melhor caracterização dos dados sensíveis é a realização de uma análise sob a ótica do princípio da dignidade da pessoa humana, além de seus possíveis desdobramentos, sendo eles a privacidade, identidade pessoal e vedação de discriminação.

Trata-se a privacidade de um princípio que disciplina amplamente a expectativa do titular acerca do alcance e da utilização dos dados que oferece ao fornecedor. Nessa mesma linha está a identidade pessoal, na medida em que ao titular deve ser concedido o direito de construir a própria identidade, por meio da divulgação e do compartilhamento dos dados que entender cabíveis, podendo julgar a quem, quando, onde e em que condições esse compartilhamento se dará.

Os conceitos de privacidade e de identidade pessoal cuja importância se pretende destacar neste artigo, todavia, superam a ótica tradicional de esfera íntima e da intimidade individual, e sugerem a análise do coletivo de pessoas que a todo o momento estão inconscientemente fornecendo dados pessoais sensíveis para os mais diversos tipos de agentes e por meio dos mais diversos meios, consequências advindas da assimetria informacional.

O que ocorre é que a vertiginosa circulação dos dados é uma realidade e é facilitada a cada segundo pelas evoluções tecnológicas, especialmente considerando que se trata de interesse universal que os dados circulem, uma vez que se tornaram mercadoria. Não se pode mais tratar esses princípios em seus conceitos tradicionais de intimidade, na medida em que os dados, na esfera global, são frequentemente utilizados em grupos intencionalmente segmentados pelo mercado e como degrau para o lucro de diferentes atividades econômicas.

A proteção da pessoa que fornece o dado e justamente viabiliza esse lucro deixou de ser priorizado, o que culmina na violação dos direitos fundamentais, a exemplo da utilização de informações propositadamente não compartilhadas pelo titular, e, quando se trata de dados sensíveis, essa violação surte efeitos ainda mais preocupantes.

A LGPD aparece neste contexto como uma solução ao manuseio acelerado e unicamente econômico dos dados. Busca possibilitar uma segurança ao cidadão de que os seus dados serão protegidos antes, durante e, inclusive, após o encerramento do tratamento, considerando, para tanto, a possível alteração da identidade pessoal nesse processo.

A não discriminação, por fim, aparece como protagonista na proteção dos dados sensíveis, já que é a síntese da busca pela proteção à privacidade e à identidade pessoal: cada cidadão deve ter o direito de reconstruir a própria identidade, inclusive por meio do não compartilhamento de informações que são frequentemente utilizadas para fins discriminatórios, e isso pode ser assegurado também através da garantia da privacidade.

Essa é a justificava encontrada por Konder para definir a tríade da qualificação dos dados sensíveis.

Diante disso, considerando que a proteção dos dados sensíveis já possui previsão na legislação brasileira, a LGPD prevê, no art. 64, que os direitos e princípios expressos na lei não excluem outros previstos no ordenamento jurídico pátrios relacionado à matéria. A

ideia é que os direitos já concedidos aos titulares sejam conjuntamente observados e dialogados com as regulamentações específicas ora previstas na LGPD, assim como sob a luz da realidade do massivo compartilhamento de dados.

 

3 PROTEÇÃO DO CONSUMIDOR DIANTE DO USO DE DADOS

A evolução constante da tecnologia possibilita significativamente a possibilidade de violação a direitos fundamentais e ausência de tratamento adequado para dados pessoais, podendo ocorrer em comercialização e repasse ilícito de informações. Diante disso, a vulnerabilidade dos consumidores passa a estar mais exposta e o desamparo da legislação pode acarretar danos irreversíveis[21].

No que tange aos direitos fundamentais, a Constituição Federal de 1988 contribui para os princípios de privacidade, intimidade, limitação da liberdade e informação, que, por consequência, estimulou a tríade de necessidade, finalidade e transparência abarcada na LGPD. Práticas abusivas podem corroer e afrontar esta lei, visto que sem o prévio consentimento explícito do consumidor ou a ausência de autorização para determinada finalidade ocasionará vazamento de dados indevidamente. Por isso, é direito do consumidor ter conhecimento sobre qual local seus dados estão, sejam eles dados físicos ou eletrônicos[22].

Além dos princípios elencados, pode-se contribuir para o exercício da LGPD, em conjunto com o CDC, os princípios: da boa-fé, em que abarca os deveres anexos de cooperação e lealdade; adequação; livre acesso; qualidade de dados; segurança; prevenção; não discriminação; responsabilização e prestação de contas; e disciplina especial dos bancos de dados de proteção ao crédito[23].

Conforme Gisele Primo Carvalho e Tainá Fernanda Pedrini, os danos pelo vazamento de dados na Internet são infinitamente maiores que outros meios, acarretando danos na mesma proporção, fazendo com que terceiros desconhecidos movimentem seus dados pessoais de forma não autorizada. As autoras elencam o caso em que a empresa de telefonia OI foi condenada em 3,5 milhões por violar de forma abusiva informações de seus consumidores para comercialização de dados[24].

Bruno Miragem assegura que o detentor de dados atinge cada vez mais valor, provocando impactos no mercado econômico e ambição pelas informações. Sabe-se que o mercado está cada vez mais competitivo e que os fornecedores buscam cada vez mais segmentares e oferecer produtos/serviços e determinado tipo de consumidor. Nesse cenário, aquele que quer vender busca dados precisos e características sobre seu público-alvo, e daí a importância dos dados pessoais e sua proteção no Direito do Consumidor[25].

Ressalta-se a necessidade de legislar especificamente o tratamento de dados no Brasil, tendo em vista que o CDC, especialmente o art. 43, e a Lei nº 12.414/2011 não se preocuparam em disciplinar sobre as variantes da coleta e do tratamento. A proteção de dados relativa ao direito consumerista está além da proteção de dados de crédito, como exemplo, transações, frequência e valores envolvidos. Ao mesmo tempo, aquele que desejar fomentar a atividade econômica, direta ou indiretamente, em proveito da coleta de dados de determinada pessoa, submeter-se-á ao CDC e à LGPD[26].

Neste contexto, a Autoridade Nacional de Proteção de Dados e o Sistema Nacional de Defesa do Consumidor têm a finalidade de supervisionar e fiscalizar a obediência pelas leis que abarcam a proteção de dados. A referida autoridade terá o poder de aplicar sanções ao descumprimento da norma jurídica conjuntamente com órgãos de competência sancionatória e normativa. A ANPD possui competência de interpretação da LGPD, vide o art. 55-K, e, segundo Bruno Miragem, “apenas quando se trate da violação de deveres previstos expressamente na LGPD, e que não se reflitam na violação de alguma norma específica na legislação de proteção do consumidor, é que a Autoridade Nacional de Proteção de Dados exercerá sua competência exclusiva“. Ocorre que, mesmo detendo competência exclusiva, a ANPD deverá observar o direito do consumidor[27].

Trata-se, portanto, de direito fundamental à proteção dos dados dos consumidores, que, quando infringido e ocorrido o dano, há o dever da responsabilização civil. Nesse sentido, a boa-fé tem grande influência nas relações, visto que é aplicável aos negócios jurídicos. Ademais, informar ao consumidor sobre o tratamento dos seus dados é imprescindível, inclusive quando menciona em seu art. 7º sobre as restrições ao tratar dados de terceiros.

A confiança e a boa-fé devem proteger o consumidor nas relações em que consentir, por isso é imprescindível diálogo e informação precisa da necessidade e finalidade ao tratamento de dados[28].

A responsabilização civil pela LGPD é reflexa dos princípios de responsabilização e prestação de contas. O legislador teve a intenção não de apenas aplicar sanções àqueles que infringissem a lei, mas também de instituir medidas que prevenissem futuros danos contra pessoas físicas lesadas, que tiveram o tratamento ilícito e não autorizado de seus dados. No entanto, só podem ser responsabilizados pelos danos elencados na LGPD os controladores e operadores, os quais respondem solidariamente. No entanto, as vítimas não são apenas pessoas físicas, mas podendo ser qualquer pessoa que suporte dano em decorrência ao desrespeito à LGPD[29].

No que tange à proteção daqueles afetados pelos ilícitos cometidos na ausência de observância da LGPD, a responsabilidade civil elencada é subjetiva, ou seja, deve haver prova da culpa ou do dolo do agente causador do dano, além do nexo de causalidade.

Especialistas defendem a inviabilidade do regime objetivo da responsabilidade civil, tendo em vista que acarretaria um impasse e risco ligado à coleta e ao tratamento de dados e aumentaria o número de demandas ressarcitórias, o que porventura poderia servir como impedimento ao desenvolvimento de tecnologias[30].

No entanto, Maria Celina Bodin de Moraes afirma que “a história já demonstrou que a adoção dos modelos de culpa presumida ou de responsabilidade objetiva, que flexibilizaram a dificuldade da prova da culpa, não limitou o desenvolvimento de novas tecnologias“. Diante disso, a autora relembra sobre a responsabilização objetiva nas relações de consumo, que efetua o modelo solidarista, e que os interesses empresariais não podem ser mais importantes que os interesses da proteção de dados pessoais dos titulares. Assim, a autora faz sua crítica assegurando que a responsabilidade objetiva deve ser sustentada pelo risco da atividade, visto que traria maior proteção ao titular de dados[31].

Ocorre que, apesar das críticas sobre a responsabilidade civil e proteção do consumidor, vide a LGPD, há a chamada “responsabilização ativa” ou “proativa“, o que faz com que as empresas demonstrem não somente o cumprimento da legislação, mas também da adoção de medidas exigidas para proteger dados, ou seja, a empresa deverá prevenir o dano. Por isso, deverá tratar de forma adequada os dados pessoais, programar medidas de segurança, aplicar regimento interno para conhecimento de todos envolvidos sobre a lei e como agir em conformidade, além de nomear funcionários para melhor gestão do tratamento de dados.

Pode-se concluir que a proteção do consumidor perante seus dados pessoais em face de empresas encontra-se na prevenção. A LGPD é muito clara em seu art. 6º, inciso X, quando menciona que o ambiente empresarial deve ser dotado de medidas que previnem a lesão e infração legal ao tratamento de dados. Por isso, a responsabilização civil da referida lei encontra-se entre a objetividade e subjetividade, vez que é proativa e exige a implementação da gestão de riscos, prevenção e conformidade com a legislação, o que promete ser promissor e adequado, protegendo o consumidor sobre o fornecimento e tratamento de seus dados[32].

 

4 CRITÉRIOS PARA AFERIÇÃO DO CONSENTIMENTO DO CONSUMIDOR

O propósito inquestionável da LGPD de proteger e garantir a participação e o controle de cada indivíduo sobre o tratamento dos seus próprios dados vem consolidado também pelo requisito do consentimento expresso do consumidor titular, previsto no art. 7º, inciso I, da Lei.

O conceito de consentimento descrito pela LGPD no art. 5º, XII, é outra influência adotada do Regulamento Geral europeu[33], na medida em que condiciona enfaticamente a viabilidade do tratamento dos dados pessoais somente após a “manifestação livre, informada e inequívoca” do titular dos dados[34].

Em termos concretos, a exigência do consentimento está ligada à proteção dos direitos fundamentais, com o intento de assegurar ao indivíduo a escolha de quais dados serão utilizados e em quais termos. Nessa linha, assim descrevem Gabrielle Sarlet e Cristina Caldeira: […] como fruto de uma relação gnosiológica, ou seja, como um processo de conhecimento em que, no caso, devem ser previamente esclarecidos em linguagem clara, precisa, apropriada e suficiente, a pertinência, a finalidade, a adequação, o tempo da coleta, o armazenamento, o tratamento e a transmissão dos dados obtidos no sentido de possibilitar a renúncia, a alteração, o uso, a cessão e a disponibilidade ou a recusa daquele que consente.[35]

Na tentativa de viabilizar essa exigência, observa Bruno Miragem que, ao consentimento, são atribuídos: requisitos substanciais, sendo aqueles que dizem respeito à qualidade do consentimento – conhecimento, compreensão, manifestação de vontade informada, finalidade determinada; e requisitos formais, em decorrência da exigência de ser inequívoco, o consentimento devem ser escrito ou por outro meio capaz de demonstrar a manifestação de vontade do titular[36].

Como dito anteriormente, o principal objetivo da LGPD é assegurar que determinadas garantias já legisladas sejam efetivamente observadas, e, em consequência, a fidelidade a esses requisitos se torna fundamental para que a lei cumpra a sua função. Isso porque, no cenário tecnológico atual em que são coletadas informações pessoais por meio de botões apertados muitas das vezes inconscientemente, a transparência e a informação ficam secundarizadas.

Dessa forma, não se pode olvidar o contexto de assimetria informacional e de vulnerabilidade sob o qual legisla a LGPD, motivo pelo qual não há falar em consentimento eficaz se quaisquer dos requisitos destacados supram não estiverem presentes. Para tanto, dialogando, sobretudo com os princípios da transparência e da boa-fé, é fundamental que sejam prestadas e esclarecidas todas as informações necessárias ao titular para que a sua validação seja isenta de vícios. Assim como já é disciplinado pelo direito consumerista, a omissão do titular dos dados a respeito de algum tema não ocasiona o consentimento.

É por essas razões que a validade do consentimento exige mais do que a observância de determinados requisitos objetivos, como clareza, ou seja, o contexto fático em que se dá o cumprimento desses requisitos é também uma exigência protegida pela LGPD – clareza para quem? Como definem Sarlet e Caldeira, “uma temporalidade estrita ao uso previamente informado e esclarecido, qual tenha sido ampla e livremente objeto de deliberação de pessoa autônoma[37].

Seguindo esse mesmo entendimento, o requisito de que o consentimento seja vinculado a uma finalidade específica vem previsto no art. 8º, § 4º, da LGPD, e visa garantir que a aceitação, uma vez emitida pelo consumidor, não seja utilizada para situação diversa daquela com a qual conscientemente concordou, mediante informações transparentemente repassadas pelo agente. Havendo mudanças na finalidade previamente indicada, o consumidor deve ser alertado e novamente questionado, inexistindo qualquer impedimento de que o consentimento antes concedido seja revogado.

Pode parecer incontestável, mas a prática indica que as informações não necessariamente são utilizadas para uma única finalidade, de modo que a LGPD busca consolidar a ideia de que nada é presumível e o assentimento do consumidor para uma situação específica não pode ser amplamente interpretado para quaisquer outras, mesmo que semelhantes.

Nesse ponto, esclarecedor é o entendimento de Gustavo Tepedino e Chiara Teffé, no sentido de que a interpretação oferecida ao consentimento deve ser restritiva, ou seja, “não podendo o agente estender a autorização concedida para o tratamento dos dados para outros meios além daqueles pactuados para momento posterior, para fim diverso ou, ainda, para pessoa distinta daquela que recebeu a autorização[38].

Ademais, como requisito vinculado à formalidade, Miragem destaca a exigência de que inexista dúvida acerca do consentimento. Sobre esse requisito, define Bruno Bioni que o grau e a qualidade de interação do usuário serão determinantes para qualificar o consentimento como sendo inequívoco. Será necessário, sobretudo, chegar a maneira pela qual o design de um ambiente (on-line e off-line) deve incutir no cidadão um controle visceral sobre os seus dados, em vez de manipular as suas escolhas. Algo que está intrinsecamente ligado ao princípio da boa-fé. [39]

Os dados sensíveis, seguindo esse raciocínio, exigem uma atenção especial, considerando a sensibilidade subjacente aos mesmos e aos conteúdos a que se vinculam, assim como a consequente potencialidade lesiva que apresentam. Diante disso, o consentimento dos dados sensíveis vem separadamente qualificado no art. 11, inciso I, dispondo que somente poderá ocorrer de forma específica e destacada, para finalidades específicas.

Assim, é possível constatar que, além dos requisitos atinentes aos dados pessoais lato sensu e, destarte, aplicados aos dados sensíveis enquanto espécie, a lei prevê uma exigência específica com relação aos dados sensíveis: a de que o consentimento ao seu tratamento seja destacado. Essa exigência ressalta o que já se vem discutindo neste artigo, acerca da impossibilidade de persistir qualquer ambiguidade, aos olhos do titular, sobre o que está anuindo em fornecer, motivo pelo qual o próprio controlador dos dados deve facilitar e destacar essas informações.

Além dos desdobramentos que pretende evitar a LGPD com relação aos dados pessoais de maneira geral – uso indevido, comercialização, vazamento -, o tratamento indevido dos dados sensíveis ainda pode acarretar discriminação e embasar preconceitos com relação ao titular dos dados, e, por isso, exigem cuidado excepcional.

Dessa forma, verifica-se que o agente que pretender realizar o tratamento dos dados deve atentar não só aos vícios de consentimento já previstos pelo Código Civil e às normas do Código de Defesa do Consumidor, mas também às hipóteses específicas previstas pela LGPD e os requisitos nela previstos. Serão considerados nulos todos os consentimentos que deixarem de atender a alguma das exigências determinadas pela legislação atinente à matéria, cabendo ao controlador o ônus da prova de demonstrar que elas foram observadas para obtenção do consentimento.

Por fim, é importante registrar que, não obstante a LGPD preveja algumas situações em que o consentimento é dispensado, mesmo nesses casos persiste a obrigação, por parte do agente responsável pelo tratamento, de observância aos demais princípios e direitos assegurados pela legislação.

 

CONCLUSÃO

A aliança entre tecnologia e informação é forte nos dias de hoje, eis que o comércio eletrônico se torna cada vez mais inserido na vida das pessoas, o que, por sua vez, beneficia os consumidores, visto que podem estar em qualquer lugar para consumir determinados produtos ou informações. Todavia, a grande evolução desse ramo fez com que novos horizontes fossem alcançados, como o consumo e a distribuição de dados. Por isso, novas legislações se fizeram relevantes para controlar o tratamento de dados pessoais físicos eletrônicos, com a finalidade de proteger pessoas físicas e seus dados pessoais.

A LGPD é precedida por outras leis que tratam sobre a proteção de dados; porém, foi necessária para combater o comércio de dados e o mau tratamento desses, eis que por vezes não eram respeitadas as finalidades elencadas quando da captação das informações. Não obstante, a própria LGPD estipula princípios que a norteiam e a tríade de finalidade, necessidade e transparência se torna mais relevante, principalmente no que se refere à interpretação dos atos que poderão ocasionar danos às pessoas físicas.

A maior proteção aos consumidores se dá aos dados pessoais sensíveis, tendo em vista que esses possuem maior ligação com direitos fundamentais elencados na Constituição Federal de 1988. É possível dizer que a combinação de um simples dado pessoal com a caracterização de uma pessoa possa fazer com que outros a identifiquem e isso entrará na esfera da sua privacidade e intimidade. E por isso a Lei Geral de Proteção de Dados possui a finalidade de proteger o tratamento desses dados para que não haja o seu vazamento ilícito, evitando que o compartilhamento de dados traga danos irreversíveis aos seus titulares.

Com efeito, o objetivo deste artigo é elencar a LGPD como protetora de direitos e princípios fundamentais que envolvem os consumidores. Por isso, seu caráter preventivo possui valor, tanto econômico quanto moral. Econômico, pelo fato de gerar passivo para aqueles que descumprirem as normas elencadas, e moral, uma vez que aqueles que abraçarem a legislação terão sua reputação, com aqueles que se relacionam, positiva, pois irão se importar com princípios fundamentais sobre pessoas em sua singularidade e individualidade.

Ademais, a proteção do consumidor se encontra no seu consentimento, quando do fornecimento dos dados. Ocorre que é dever daquele que colhe as informações comunicar sua finalidade com transparência e objetividade, para que seja compreendido com clareza o que lhe está sendo perguntado, e é por essa razão que a LGPD assegura que o consentimento pelo consumidor deve preencher todos os requisitos formais e informais, a fim de que o detentor dos dados esteja em conformidade.

Embora haja discussão sobre a responsabilidade civil das empresas que descumprirem as normas ditadas pela LGPD, é imprescindível dizer que o efeito que deseja causar é a proteção do consumidor frente aos danos irreversíveis que a ausência de tratamento de dados pode ocasionar, principalmente quando se fala na proteção de dados sensíveis. Os direitos fundamentais estão na esfera mais íntima das pessoas, e por isso seu acolhimento é tão exarado, fazendo com que a própria lei instituísse órgão específico para que haja sua efetividade, a ANPD.

Os avanços tecnológicos são inevitáveis e com o passar do tempo vão sendo cada vez mais explorados, e por isso o fluxo de informação é cada dia mais comum e veloz. A postergação da entrada em vigor da LGPD devido à pandemia do coronavírus traz a sensação de insegurança jurídica, visto que a lei trará maiores garantias sobre a padronização do tratamento de dados pessoais, principalmente no que se refere aos dados sensíveis. No entanto, não se podem descumprir normas de direitos fundamentais e outras leis esparsas já existentes que por analogia se referem ao assunto em tela, eis que a LGPD apenas explicitará o que já deveria ser regra no mundo dos fatos.

 

REFERÊNCIAS

BIONI, Bruno Ricardo. Proteção de dados pessoais. A função e os limites do consentimento. São Paulo: Forense, 2019. Disponível em: <https://pt.scribd.com/document/419364172/Protecao-de-Dados-Pessoais-Bruno-Ricardo-Bioni-2019-pdf>. Acesso em: 2 maio 2020.

MIRAGEM, Bruno. A Lei Geral de Proteção de Dados e o direito do consumidor. São Paulo: Thomson Reuters Brasil, 2019.

MULHOLLAND, Caitlin Sampaio. Dados pessoais sensíveis e a tutela de direitos fundamentais: uma análise à luz da Lei Geral de Proteção de Dados (Lei nº 13.709/2018). São Paulo: Atlas.

SARLET, Gabrielle Bezerra Sales; CALDEIRA, Cristina. O consentimento informado e a proteção de dados pessoais de saúde na internet: uma análise das experiências legislativas de Portugal e do Brasil para a proteção integral da pessoa humana. Civilistica.com, Rio de Janeiro, a. 8, n. 1, 2019. Disponível em: <http://civilistica.com/wp-content/uploads/2019/04/Sarlet-e-Caldeira-civilistica.com-a.8.n.1.2019.pdf>. Acesso em: 1º maio 2020.

TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato. Lei Geral de Proteção de Dados pessoais e sua repercussão no Direito brasileiro. São Paulo: RT, 2019.

[1] Apud LISBOA, Roberto Senise. Boa-fé e confiança na Lei Geral de Proteção de Dados brasileira. Revista do Advogado da AASP, 2019.

[2] Idem.

[3] Idem.

[4] Idem.

[5] TEPEDINO, Gustavo; TEFFÉ, Chiara Spadaccini de. Consentimento e proteção de dados pessoais na LGPD. São Paulo: Revista dos Tribunais.

[6] Ibidem, fl. 288.

[7] Idem.

[8] Idem.

[9] Idem.

[10] Idem.

[11] Idem.

[12] Idem.

[13]CARVALHO, Gisele Primo; PEDRINI, Tainá Fernanda. Direito a privacidade na Lei Geral de Proteção de Dados Pessoais. Revista da Esmesc, v. 26, n. 32, p. 363-382, 2019, p. 365.

[14] G1 GLOBO. Vendas pela Internet devem dobrar até 2021, diz pesquisa do Google. Disponível em: <http://g1.globo.com/economia/noticia/2016/10/vendas-pela-internet-devem-dobrar-ate-2021-diz-pesquisa-do-google.html>. Acesso em: 4 maio 2020.

[15] MIRAGEM, Bruno. A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e o direito do consumidor. Revista dos Tribunais, v. 1009, 2019.

[16]MIRAGEM, Bruno. A Lei Geral de Proteção de Dados e o direito do consumidor. São Paulo: Thomson Reuters Brasil, 2019. p. 2.

[17] Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex{76169b13dc8071a543622af38f43e06a70fe94f036afac6a80498da78c2dc5a6}3A32016R0679>. Acesso em: 1º maio 2020.

[18] MULHOLLAND, Caitlin Sampaio. Dados pessoais sensíveis e a tutela de direitos fundamentais: uma análise à luz da lei geral de proteção de dados (Lei nº 13.709/2018). São Paulo: Atlas, p. 165.

[19] Carlos Nelson Konder apud TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato. Lei Geral de Proteção de Dados pessoais e sua repercussão no Direito brasileiro. São Paulo: RT, 2019. p. 455.

[20] Ibidem, p. 446

[21] CARVALHO, Gisele Primo; PEDRINI, Tainá Fernanda. Direito a privacidade na Lei Geral de Proteção de Dados Pessoais. Revista da Esmesc, v. 26, n. 32, p. 363-382, 2019, p. 370.

[22] Ibidem, p. 371.

[23] MIRAGEM, Bruno. A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e o direito do consumidor. Revista dos Tribunais, v. 1009, p. 5-16, 2019.

[24] CARVALHO, Gisele Primo; PEDRINI, Tainá Fernanda. Direito a privacidade na Lei Geral de Proteção de Dados Pessoais. Revista da Esmesc, v. 26, n. 32, p. 363-382, 2019, p. 371.

[25] MIRAGEM, Bruno. A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e o direito do consumidor. Revista dos Tribunais, v. 1009, 2019.

[26] Ibidem, p. 4.

[27] Ibidem, p. 17.

[28] LISBOA, Roberto Senise. Boa-fé e confiança na Lei Geral de Proteção de Dados brasileira. Revista do Advogado da AASP, 2019.

[29] BODIN DE MORAES, Maria Celina. LGPD: um novo regime de responsabilização civil dito “proativo”. Editorial à Civilista.com, Rio de Janeiro: a. 8, n. 3, 2019, p. 2. Disponível em: <http://civilistica.com/lgpd-um-novo-regime/>. Acesso em: 21 abr. 2020.

[30] Ibidem, p. 3.

[31] Ibidem, p. 4.

[32] Ibidem, p. 6

[33] MIRAGEM, Bruno. A Lei Geral de Proteção de Dados e o direito do consumidor. São Paulo: RT, 2019. p. 18.

[34] TEPEDINO, Gustavo; TEFFÉ, Chiara Spadaccini. Consentimento e proteção de dados pessoais na LGPD. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato. Lei Geral de Proteção de Dados pessoais e sua repercussão no Direito brasileiro. São Paulo: RT, 2019. p. 298

[35] SARLET, Gabrielle Bezerra Sales; CALDEIRA, Cristina. O consentimento informado e a proteção de dados pessoais de saúde na Internet: uma análise das experiências legislativas de Portugal e do Brasil para a proteção integral da pessoa humana. Civilistica.com, p. 13, 2019. Disponível em: <http://civilistica.com/wp-content/uploads/2019/04/Sarlet-e-Caldeira-civilistica.com-a.8.n.1.2019.pdf>. Acesso em: 1º maio 2020.

[36] MIRAGEM, Bruno. Op. cit., p. 19.

[37] SARLET, Gabrielle Bezerra Sales; CALDEIRA, Cristina. O consentimento informado e a proteção de dados pessoais de saúde na Internet: uma análise das experiências legislativas de Portugal e do Brasil para a proteção integral da pessoa humana. Civilistica.com, p. 23, 2019. Disponível em: <http://civilistica.com/wp-content/uploads/2019/04/Sarlet-e-Caldeira-civilistica.com-a.8.n.1.2019.pdf>. Acesso em: 1º maio 2020.

[38]TEPEDINO, Gustavo; TEFFÉ, Chiara Spadaccini. Consentimento e proteção de dados pessoais na LGPD. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato. Lei Geral de Proteção de Dados pessoais e sua repercussão no Direito brasileiro. São Paulo: RT, 2019. p. 298.

[39] BIONI, Bruno Ricardo. Proteção de dados pessoais. A função e os limites do consentimento. São Paulo: Forense, 2019. p. 200. Disponível em: <https://pt.scribd.com/document/419364172/Protecao-de-Dados-Pessoais-Bruno-Ricardo-Bioni-2019-pdf>. Acesso em: 2 maio 2020.