MARIANE SILVA DE ANDRADE[1]

LUCAS CAMPOS DE ANDRADE SILVA[2]

(orientador)

RESUMO: O presente estudo se propõe a analisar as mudanças no mercado de consumo virtual. Inicialmente, pretende-se compreender a proteção da privacidade como um direito pessoal e fundamental, e, por consequência, abordar a proteção de dados, por ser estes pessoais e sensíveis. Em seguida, pretende-se analisar demandas concretas levadas ao Poder Judiciário, referente ao vazamento de dados. Ressaltar a importância da aplicação conjunta entre o Código de Defesa do Consumidor e a Lei de Proteção de Dados, além do compilado de leis voltadas para defesa do cidadão em ambiente virtual, como a Lei do Cadastro Positivo e o Marco Civil da Internet, visando a proteção do consumidor e de seus dados.  Por conseguinte, refletir acerca da posição de vulnerabilidade do consumidor quanto a falta de conhecimento da norma e os impactos gerados no poder de autodeterminação na relação de consumo virtual. A pesquisa foi realizada pelo meio hipotético dedutivo, valendo-se de análise de dados e compilação doutrinária para verificar o conhecimento dos consumidores acerca da proteção de dados e julgados.

Palavras-chave: Privacidade e proteção de dados. Mercado virtual. Limitação jurídica.

ABSTRACT: The present study consists of analyzing the changes in the virtual consumer market. First, it is intended to understand the protection of privacy as a personal and fundamental right, and, consequently, to approach data protection, since these are personal and sensitive. Then, we intend to analyze concrete demands brought to the Judiciary, referring to data leakage. To emphasize the importance of the joint application of the Consumer Defense Code and the Data Protection Law, as well as the compilation of laws aimed at defending citizens in virtual environments, such as the Marco Civil da Internet and the Law of the Positive Registration, to protect consumers and their data.  Therefore, reflecting on the position of consumer vulnerability regarding the lack of knowledge of the norm and the impacts generated in the power of self-determination in the virtual consumption relationship. The research was conducted through data analysis, with the compilation of doctrine, to verify consumer knowledge about data protection and judgments.

Keywords: Privacy and data protection. Virtual market. Legal limitation

SUMÁRIO: 1. Introdução. 2. Proteção ao Direito à Privacidade. 2.1. Dados a serem

resguardados. 3. Demonstração prática da utilização indevida de dados. 4. Aplicação conjunta da Lei Geral de Proteção de Dados e a Proteção ao Consumidor. 5. Conhecimento da norma e Poder de Autodeterminação. 6. Considerações Finais. 7. Referências.

1.INTRODUÇÃO

            Ao longo dos anos, o mercado de consumo foi se modernizando, principalmente com o fenômeno da globalização, gerando diversas mudanças sociais, políticas e principalmente econômicas. Um grande passo foi a utilização da tecnologia para estabelecer uma conexão mais próxima entre consumidor e fornecedor na internet, que vai muito além da aproximação física, que se torna cada vez mais obsoleta.

            A partir do distanciamento físico na relação de consumo, surge uma nova configuração de mercado, na qual se tornou corriqueiro o uso de dados do consumidor, sendo eles pessoais ou sensíveis, a fim de concretizar essas relações. A utilização desses dados pode ser interpretada por dois vieses, sendo eles: positivo, como forma de garantia para ambos os lados, para o consumidor a fim de garantir a prestação de serviço, compra de produtos e/ou bens, e para o fornecedor conhecer as informações do cliente, contendo um perfil característico, apontando a identidade desses usuários em um banco de dados, para entender melhor os seus clientes e o perfil de mercado, e/ou também para garantir o pagamento pela prestação de um serviço ou venda de produtos. Entretanto, reluz aos olhos o viés negativo, pois a partir do momento em que se tem acesso a esses dados, abre também as portas para utilização indevida, vazamento de informações, nascendo um mercado ilícito de compra e venda de dados.

            A relação de consumo na internet nem sempre se configura por uma compra direta de bens/serviços entre consumidor e fornecedor, haja vista que existem também as relações de consumo nas mídias sociais, como em aplicativos de conversa e de compartilhamento de fotos. Ou seja, não envolve propriamente o pagamento em moeda pela utilização do serviço, pois o consumidor entende que essa prestação de serviço é gratuita. Todavia, existe um mercado por detrás, que envolve outros fornecedores, empresas que com olhos atentos buscam captar mais clientes, ter acesso ao seu perfil característico de compras para aumentar o seu engajamento no mercado, exercendo um domínio sobre o consumidor, controlando suas movimentações cibernéticas.   

            Diante dessas novidades no mundo comercial digital, tornaram-se os dados uma moeda valiosa de compra e venda, demonstra-se a importância do direito para proteção das relações de consumo, sejam elas presenciais, virtuais, onerosas ou gratuitas no Brasil, amparadas pelo Código de Defesa do Consumidor. Entretanto, até então não existia legislação específica vigente no país que colocasse os dados como protagonistas, tornando o acesso de dados algo pouco conhecido pelos consumidores, o que gerava insegurança jurídica nas relações.

            O alcance acerca do assunto foi surgindo ao longo dos anos, primeiramente, pela Lei nº 12.414, de 9 de junho de 2011, conhecida como Lei do Cadastro Positivo, visando disciplinar a formação dos meios de consulta de dados e informações dos consumidores, para fins de formação do histórico de crédito, posteriormente, a Lei nº 12.965, de 23 de abril de 2014, conhecida como Marco Civil da Internet, voltada para as interações no meio virtual, estabelecendo direitos e deveres no uso da internet no país e as diretrizes de acesso. Lado outro, a especificidade da proteção dos dados, com a disposição acerca dos conceitos de cada tipo de dado, os agentes envolvidos, e a possibilidade de tratamento dos dados, advém com a implementação da Lei n° 13.709, de 14 de agosto de 2018, em vigor desde o dia 18 de setembro de 2020, denominada Lei Geral de Proteção de Dados Pessoais (LGPD), considerada um grande avanço na proteção ao direito à privacidade.

Nesse sentido, a proteção de dados passa por uma série de questões a serem observadas, como a proteção de dados sendo um direito inerente à privacidade, ou seja, torna-se um direito individual e fundamental a ser resguardado, entretanto, desconhecido pela grande maioria das pessoas. Atualmente, demonstra-se ser indispensável tratar da proteção de dados no ramo consumerista, fomentando a sua divulgação para conhecimento da população em geral, visto que cada vez mais as relações de consumo passam a ser virtuais, sem contato físico entre os envolvidos, o que gera maior dificuldade de comunicação entre os polos e maior exposição do consumidor, ressaltando a sua vulnerabilidade e necessidade de maior proteção.

2.PROTEÇÃO AO DIREITO À PRIVACIDADE

            No que tange a proteção de dados, nada melhor para começar do que se tratando da privacidade, não somente dos consumidores, mas de todas as pessoas, de terem sua privacidade resguardada, sendo pelos dados pessoais, imagem, sua privacidade dentro de seu domicílio, dentre outros locais. Sua previsão legal se encontra na Constituição Federal da República de 1988, artigo 5º, inciso X, dispõe acerca da inviolabilidade da intimidade, privacidade, honra e imagem das pessoas, cabendo-lhes o direito de indenização por danos materiais e morais decorrentes de eventual violação.

            Outrossim, para entender o conceito de privacidade, Rita Blum aponta o entendimento de José Afonso da Silva, que diferencia intimidade e privacidade como:

A intimidade, prevista no art. 5º, X, vem tratada de forma distinta de outras manifestações da privacidade: a vida privada, a honra e a imagem das pessoas. Para o autor, vida privada é um conceito que, no atual texto constitucional, distingue-se do direito à intimidade. São dele as seguintes palavras: VIDA PRIVADA. É também inviolável. Não é fácil distinguir “vida privada” de “intimidade”. Aquela, em última análise integra a esfera íntima da pessoa, porque é repositório de segredos e particularidades de foro moral e íntimo do indivíduo. Mas a Constituição não considerou assim. Deu destaque ao conceito, para que seja mais abrangente, como conjunto de modo de ser e viver, como direito do indivíduo de viver sua própria vida. Parte da constatação de que a vida das pessoas compreende dois aspectos: um voltado para o exterior e outro para o interior. A vida exterior, que envolve a pessoa nas relações sociais e nas atividades públicas, pode ser objeto de pesquisa e das divulgações de terceiros, porque é pública. (SILVA, 2011 apud BLUM, 2018 p.25).

De acordo com o entendimento de Silva, a privacidade deve ser observada sobre o prisma interior e exterior, o indivíduo consigo mesmo e a coletividade, como as relações sociais geram a exposição pessoal de forma coletiva. Referente ao conceito de privacidade, Tatiana Malta Viera (2007, p. 28) tem-se uma distinção entre intimidade e a vida privada, compreendendo o direito à privacidade transformado na capacidade inerente de todos, o que pode impedir que estranhos invadam sua privacidade e intimidade, e controlar suas próprias informações para evitar o acesso não autorizado e divulgação, o direito de ser descoberto tem dois atributos em termos de privacidade e proteção, existindo certas diferenças entre eles.

Para Vieira (2007), a intimidade se molda a partir de pensamentos, conceitos e emoções pessoais, a ser mantida em segredo, preservando a intimidade pessoal. Lado outro, a privacidade diz respeito, a vida pessoal e familiar daquele indivíduo e o seu contato como a vida em comum, em sociedade.

A vida privada inclui a confidencialidade, retenção de informações e dados que o indivíduo quer manter longe de exteriorização, impedindo que terceiros tomem conhecimento acerca dessas informações e consequentemente venham a fazer seu uso indevido ou divulgação.

            Conforme entendimento de Bruno Ricardo Bioni:

O que é público e privado é o que normatiza o conteúdo do direito à privacidade, sendo a sua lógica centrada na liberdade negativa de o indivíduo não sofrer interferência alheia a definição do que venha a ser privado é difícil de ser estabelecida afora os casos supracitados (domicílio, correspondência e comunicação). Por isso, privacidade tem sido considerada uma palavra-camaleão ou um termo guarda-chuva cuja conceituação é obscura, de definição improvável ou impossível. (BIONI, 2019, p.91).

Nesse sentido, a diferença entre intimidade e vida privada está relacionada, não no contexto da proteção de dados em si, enfatiza-se a necessidade de proteção de qualquer informação pessoal, embora pareça irrelevante, como gostos musicais e preferências de vestuário, por exemplo.  Mas é preciso ter a consciência da gravidade dos danos relacionados ao acesso impróprio ou divulgação de informações e dados pessoais. Resultando, portanto, quanto mais profundo for o campo envolvido, maiores serão os danos causados à privacidade como um todo.

2.1. DADOS A SEREM RESGUARDADOS

            Para poder compreender o direito à privacidade, relacionando-a com a proteção dos dados, é importante inicialmente trazer sua conceituação, o doutrinador Bruno Bioni, conceituando-os da seguinte maneira:

O conceito de dados pessoais é um elemento central para que se aperfeiçoe a normatização sob análise, na medida em que se estabelecem os limites da própria tutela jurídica em questão. Em outras palavras, um dado que não avoque tal qualidade não poderia ser cogitado como um prolongamento da pessoa por lhe faltar tal centro de imputação. (BIONI, 2019, p. 58)

            Nesse mesmo sentido, Patrícia Peck traz uma breve definição de quais dados se enquadram como sendo pessoais:

São dados que estejam relacionados a características da personalidade do indivíduo e suas escolhas pessoais, tais como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. (PECK, 2020, p. 35)

A Lei Nº 13.709 de 2018, de 14 de agosto de 2018, a ser posteriormente aprofundada neste estudo, conhecida como Lei de Proteção de Dados, em seu artigo 5°, traz características e a diferenciação entre os dados existentes, elucidados pelos incisos I, II e III, dispõe que:

Art. 5º Para os fins desta Lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento [...];(BRASIL, 2018)  

De forma clara e concisa, a lei aponta as espécies de dados, o que de fato é positivo, a identificação do cidadão é instantânea, interpretando a norma e a sua real aplicação e quais os dados devem ser protegidos, abrangendo até mesmo dados que não dizem respeito a identificação direta do titular, mas que traçam características de busca virtual, como por exemplo acesso aos cookies, uma personalização de pesquisa em um determinado site, que vêm cada vez mais se popularizando entre as pessoas. Quem nunca se deparou com um aviso de concordância com a política de armazenamento de dados, por meio de cookies, ao entrar em um determinado site?

A compreensão do que seriam os cookies de acesso, é apontada claramente por Vieira:

Cookies consistem em pequenos programas que servem para coletar informações e agilizar a navegação em rede. Operam, usualmente, sem o consentimento e sem o conhecimento do usuário, podendo apresentar-se em dois tipos: os que são gravados diretamente no computador do internauta, objetivando-se facilitar um futuro acesso ao mesmo sítio cibernético; e aqueles que só servem para coletar dados do visitante, cujo destino é inevitavelmente o banco de dados do prestador de serviço da sociedade da informação. (VIEIRA, 2007, p.194) 

    Além disso, os dados pessoais podem ser divididos em três espécies: não sensíveis, sensíveis e de tratamento proibido. Essa diferenciação é trazida por Tatiane Vieira (2007, p. 228-229), na qual, os dados não sensíveis pertencem ao primeiro círculo da teoria alemã das esferas, diz respeito aos dados que podem ser coletados e armazenados sem o consentimento prévio dos usuários, como por exemplo o nome, sexo e estado civil. Os dados sensíveis pertencem ao segundo círculo, relacionados à esfera íntima ou confidencial da pessoa, como por exemplo sua raça, opiniões, características físicas e até mesmo saúde e vida sexual. E os denominados de tratamento proibido, são ainda mais profundos e secretos, abrangendo as manifestações espirituais da pessoa e características da vida íntima.

Acerca do grau de lesividade quanto ao tratamento de dados sensíveis, ressalta Danilo Doneda (2010, p. 26) “a própria seleção de quais seriam tais dados provém da avaliação de que a circulação de determinadas espécies de informação apresentaria um elevado potencial lesivo aos seus titulares”. Considera-se como sendo tratamento de dados, conforme previsão do artigo 5°, inciso X, da LGPD, nestes termos:

Art. 5º. Para os fins desta Lei, considera-se:

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; (BRASIL, 2018)

O tratamento de dados sensíveis é sim, possível, desde que enquadradas dentro das hipóteses do artigo 11, da Lei 13.709/2018 – LGPD, conforme reforça Danilo Doneda (2010, p. 27), “[...] deve ser sempre uma exceção justificada pela relevância dos valores em questão e verificado que não há possibilidade de que seja realizada uma utilização discriminatória dos dados”.

Deve-se notar que, mesmo dados considerados não sensíveis, precisam ser protegidos, como evidência Tatiane Vieira (2007, p. 229), “ao serem confrontados com outros dados, podem revelar aspectos que o titular gostaria de manter em sigilo, por afrontarem diretamente seu direito à privacidade”. Mesmo que alguns dados pessoais não apresentem informações importantes, devem ser submetidos a procedimentos e medidas especiais de proteção quando analisados separadamente, conforme entendimento de Tatiane Vieira (2007), uma vez agrupados, podem definir informações e dados dos titulares, que criam uma espécie de perfil. Portanto, pode-se dizer que dados pessoais não são apenas dados relativos à pessoa identificada, como nome, endereço, telefone e e-mail, mas também inclui aqueles que podem ser identificados por associação, como por meio impressões digitais ou registros médicos, que traçam um conjunto de dados que se utilizados interligados, pode-se chegar ao seu titular, sem o devido consentimento ou aceitação.

4.DEMONSTRAÇÃO PRÁTICA DA UTILIZAÇÃO INDEVIDA DE DADOS

Superada à compreensão sobre os conceitos básicos acerca do que são os dados, passa-se a observar as falhas em sua proteção, como compartilhamento e venda de dados entre empresas, utilizada como estratégia de maior alcance de consumidores, por meio de seu perfil de compras, assim como, salienta Patrícia Peck, a importância dos dados nas relações virtuais:

[...] a necessidade de uma lei específica sobre proteção dos dados pessoais decorre da forma como está sustentado o modelo atual de negócios da sociedade digital, na qual a informação passou a ser a principal moeda de troca utilizada pelos usuários para ter acesso a determinados bens, serviços ou conveniências. (PECK, 2020, p. 40)

Como resultado, são inúmeras as demandas levadas ao Judiciário, na qual os consumidores lesados buscam proteção, conforme verifica-se no julgado infracitado:

CIVIL E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER. FORNECIMENTO DE DADOS PESSOAIS. QUALIFICAÇÃO E ENDEREÇO. IMPOSSIBILIDADE. REGISTRO DE ACESSO A APLICAÇÕES. MARCO CIVIL DA INTERNET. DELIMITAÇÃO. PROTEÇÃO À PRIVACIDADE. RESTRIÇÃO. 1. Ação ajuizada em 07/11/2016, recurso especial interposto em 07/11/2018 e atribuído a este gabinete em 01/07/2019. 2. O propósito recursal consiste em determinar, nos termos do Marco Civil da Internet, a qualidade das informações que devem ser guardadas e, por consequência, fornecidas sob ordem judicial pelos provedores de aplicação. Em outras palavras, quais dados estaria o provedor de aplicações de internet obrigado a fornecer. 3. Ainda que não exija os dados pessoais dos seus usuários, o provedor de conteúdo, que registra o número de protocolo na internet (IP) dos computadores utilizados para o cadastramento de cada conta, mantém um meio razoavelmente eficiente de rastreamento dos seus usuários, medida de segurança que corresponde à diligência média esperada dessa modalidade de provedor de serviço de internet. Precedentes. 4. A jurisprudência deste Superior Tribunal de Justiça é consolidada no sentido de - para adimplir sua obrigação de identificar usuários que eventualmente publiquem conteúdos considerados ofensivos por terceiros - é suficiente o fornecimento do número IP correspondente à publicação ofensiva indicada pela parte. 5. O Marco Civil da Internet tem como um de seus fundamentos a defesa da privacidade e, assim, as informações armazenadas a título de registro de acesso a aplicações devem estar restritas somente àquelas necessárias para o funcionamento da aplicação e para a identificação do usuário por meio do número IP. 6. Recurso especial conhecido e provido. (STJ - REsp: 1829821 SP 2019/0149375-4, Relator: Ministra NANCY ANDRIGHI, Data de Julgamento: 25/08/2020, T3 - TERCEIRA TURMA, Data de Publicação: DJe 31/08/2020).

O compartilhamento de dados entre empresas e agências governamentais não é permitido, como já citado anteriormente, mas uma exceção é quando o titular torna seus dados públicos, ou quando a execução de uma atividade pública precisa ser compartilhada e legalmente amparada sob certas circunstâncias que são específicas em lei, portanto, ultrapassam a vontade do titular.  Quando o consumidor opta em não deixar seus dados públicos, indicando violação dos direitos do consumidor pelas empresas, estes se tornam objeto de demandas judiciais, conforme a seguinte demanda.

APELAÇÃO CÍVEL. DIREITO PÚBLICO. PROCON. MULTA. COMPARTILHAMENTO DE DADOS PESSOAIS DE CONSUMIDORES. OI S.A. 1. Viola o direito do consumidor e o disposto na Resolução nº 003/2010 da SMSPC, a atitude da empresa de telefonia que compartilha seus dados pessoais com terceiros, ou, no mínimo, é negligente no cuidado com essas informações, possibilitando que outra empresa os obtenha. 2. O art. 57 do CDC diz que a multa será fixada de acordo com a gravidade da infração, a vantagem auferida e a condição econômica do fornecedor, o que se constata tenha prevalecido como parâmetro para fixar o valor da penalidade. Precedentes. RECURSO DESPROVIDO.  (TJ-RS - AC: 70082442237 RS, Relator: Carlos Roberto Lofego Canibal, Data de Julgamento: 13/11/2019, Primeira Câmara Cível, Data de Publicação: 22/11/2019).

Devido ao grande acesso à internet e aos avanços tecnológicos, as empresas coletam certos tipos de informações de seus clientes, sendo o nome, e-mail, foto postada em redes sociais ou até mesmo o endereço, no intuito de comercializá-las e utilizar como meio para alcance publicitário, mantendo-as nos bancos de dados da empresa que as coletou.

O maior problema é que não apenas as empresas perceberam o valor desses dados, mas os cibercriminosos também perceberam. Este é um dos crimes cibernéticos mais perigosos da atualidade: a causa do vazamento de dados. Não apenas as pequenas empresas são afetadas pela violação de dados, mas principalmente as grandes empresas. O sigilo dos dados pessoais deve ser mantido entre empresa e consumidor, quando quebrado gera-se repercussões criminais, como observa-se:

DIREITO CONSTITUCIONAL. DIREITO PROCESSUAL PENAL. QUEBRA DE SIGILO DE DADOS PESSOAIS. REGISTROS DE ACESSO À INTERNET E FORNECIMENTO DE IP. DECISÃO GENÉRICA. NÃO INDICAÇÃO DE PARÂMETROS MÍNIMOS PARA IDENTIFICAÇÃO DOS USUÁRIOS. NÃO DELIMITAÇÃO, ADEMAIS, DO ESPAÇO TERRITORIAL EM QUE VEICULADA A ORDEM. PROTEÇÃO À INTIMIDADE E AO SIGILO DE DADOS (ART. 5º, X e XII, CF). QUESTÃO CONSTITUCIONAL. POTENCIAL MULTIPLICADOR DA CONTROVÉRSIA. REPERCUSSÃO GERAL RECONHECIDA. 1. Possui índole constitucional e repercussão geral a controvérsia relativa aos limites e ao alcance de decisões judiciais de quebra de sigilo de dados pessoais, nas quais determinado o fornecimento de registros de acesso à internet e de IPs (internet protocol address), circunscritos a um lapso temporal demarcado, sem, contudo, a indicação de qualquer elemento concreto apto a identificar os usuários. 2. Repercussão geral reconhecida. (RE 1301250 RG, Relator(a): ROSA WEBER, Tribunal Pleno, julgado em 27/05/2021, PROCESSO ELETRÔNICO DJe-108 DIVULG 07-06-2021 PUBLIC 08-06-2021).

            Atualmente, notícias sobre violação de dados e graves consequências de penalidades corporativas não são incomuns no noticiário. Como exemplo desse cenário, a ação civil pública por danos morais coletivos contra o Banco Inter S/A, pela falha na segurança dos dados de seus clientes, conforme notícia extraída no portal do Ministério Público do Distrito Federal e Territórios, publicada em 31 de julho de 2018, que diz:

A Comissão de Proteção dos Dados Pessoais do Ministério Público do DF e Territórios (MPDFT) ajuizou nesta segunda-feira, 30 de julho, ação civil pública por danos morais coletivos contra o Banco Inter S/A. Na ação, o Ministério Público pede a condenação do banco ao pagamento de R$ 10 milhões, a título de indenização, em razão de não ter tomado os cuidados necessários para garantir a segurança dos dados pessoais de seus clientes e não clientes. O valor, no caso de condenação, será revertido ao Fundo de Defesa de Direitos Difusos (FDD). (MPDFT, 2018)

            Esses são alguns dos exemplos de casos que vêm surgindo, deixando claro a vulnerabilidade ainda maior com o mundo tecnológico, a proteção a ser instaurada advém da aplicação conjunta entre o Código de Defesa do Consumidor e a Lei Geral de Proteção de Dados (LGPD), em consonância com a Constituição Federal, a fim de trazer as devidas sanções aos fornecedores/prestadores de serviço.

4.APLICAÇÃO CONJUNTA DA LEI DE PROTEÇÃO DE DADOS E PROTEÇÃO AO CONSUMIDOR

            Diante tamanha vulnerabilidade concreta na qual os consumidores encontram-se expostos, é importante compreender a relação entre o Código de Defesa do Consumidor e a recente Lei Geral de Proteção de Dados, somando forças na luta pela proteção do consumidor no meio virtual.

            O Código de Defesa do Consumidor trata-se de uma legislação antiga, instituído pela Lei 8.078, de 11 de setembro de 1990, ou seja, mais de duas décadas já se passaram desde a sua instituição. Indiscutivelmente, as demandas da época eram outras, mas ainda assim houve o interesse e a importância em abordar a proteção do consumidor, no que concerne à iniciativa de proteção aos seus dados, mais propriamente definidos pelos artigos 43 e 44, CDC, que tratam dos bancos de dados e cadastro dos consumidores. Entretanto, apesar da definição no CDC, a sociedade em geral não sabia quais eram esses dados, como seriam protegidos, e a quem deveriam recorrer quando houvesse sido observada violação por parte das empresas. 

            Como resultado, nascem os diversos casos de vazamento de dados, sendo eles individuais e/ou coletivos, sem a devida pauta trazida em uma legislação especial. Muitos desses casos não chegaram nem mesmo ao conhecimento da população em geral, visto que não havia legislação específica em vigor que pudesse definir os parâmetros necessários para fiscalização e punição em caso de vazamento e divulgação de dados dos consumidores.

            Como um passo inicial, surgiu a Lei nº 12.414, do ano de 2011, conhecida como Lei do Cadastro Positivo, cujo objeto seria a disciplina da formação e consulta dos bancos de dados dos consumidores, sua atuação aplicável sem prejuízo ao Código de Defesa do Consumidor, como assim dispõe o artigo 1°, da referida legislação.

            Conseguinte, adveio a Lei nº 12.965, do ano de 2014, denominado como Marco Civil da Internet (MCI), cujo objetivo era regulamentar o uso e acesso da internet no país. Sua aplicação foi mais um passo de sucesso na busca da proteção aos usuários no meio virtual, conforme disposto pelos seus artigos 7° e 8°, a fim de garantir a inviolabilidade da intimidade e da privacidade, assim como a garantia do sigilo das comunicações no meio virtual. Nessa conjuntura, por fim, surge a Lei 13.709/2018, denominada como Lei de Proteção de Dados (LGDP), voltada para os diversos tipos de dados existentes, visando proteger à privacidade e a liberdade das pessoas. Conforme definido pelo artigo 1°, LGPD:

Art. 1° Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. (BRASIL, 2018)     

            A defesa do consumidor é apontada como um dos fundamentos da Lei de Proteção de Dados, em seu 2° artigo:

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I - o respeito à privacidade; [...]

VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; (BRASIL, 2018)

            A importância da aplicação conjunta entre a LGPD e o CDC foi ressaltada pelo legislador no corpo da lei. O professor e advogado Bruno Ricardo Bioni (2019), reforça esse entendimento ao denominar a LGPD como uma fonte normativa material geral, ou seja, ela pode e deve ser utilizada conjuntamente com demais normas no direito, quando possível aplicá-la, formando-se como uma orientação hermenêutica embutida.    

            É interessante observar ainda, como ocorre essa comunicação entre as normas, sob o prisma de três vertentes, Bruno Bioni demonstra como o diálogo entre as norma deve ser considerado:  

a) coerência-sistemática: a LGPD e outras leis podem servir de base conceitual uma para a outra, fornecendo-se vis-a-vis critérios e elementos interpretativos. Essa influência recíproca teria o potencial de garantir unicidade ao sistema jurídico brasileiro de proteção de dados pessoais, a partir de uma lógica de coerência interna da LGPD e externa de outras normas de proteção de dados;

b) complementariedade-subsidiariedade: a LGPD agregou novos parâmetros de governança para o uso de dados pessoais, os quais devem complementar e ser aplicados de forma coordenada com os anteriores. Em especial a LGPD terá que ser sincronizada, por exemplo, com a Lei do Cadastro Positivo, o Código de Defesa do Consumidor, o Marco Civil da Internet, os quais já dispõem de normas de proteção de dados pessoais.

c) coordenação-adaptação sistêmica: a LGPD define conceitos e princípios que, quando aplicados a outras leis, redefinem o escopo de aplicação e os parâmetros delas – e vice-versa. Trata-se da influência do sistema especial no geral e do geral no especial. (BIONI, 2019, p. 259)

            Assim, resta claro a posição de importância da LGPD perante as demais áreas do direito, não havendo superioridade entre elas, mas sim adequação para aplicação dentro do caso concreto. Para elucidar essa aplicação conjunta entre a Lei de Proteção de Dados e o Código de Defesa do Consumidor, Bruno Miragem traz o seguinte exemplo:

A violação do direito de acesso aos dados, que se pode caracterizar pela simples recusa, mas, sobretudo na dinâmica atual do mercado de consumo, pela imposição de obstáculos ao acesso, exigindo que o consumidor reporte-se a diferentes pessoas ou setores distintos para acesso a estas informações, retardando-o injustificadamente e deixando de facilitar o exercício do direito, configura infração aos direitos do consumidor passível de sanção, em comum, pela LGPD e pelo CDC (LGL\1990\40), sem prejuízo de eventual responsabilização por danos. (MIRAGEM, 2019, p.10)

            A responsabilização por danos causados, encontra-se na aplicação do artigo 14, CDC, que deixa claro a posição de responsabilidade do fornecedor, independente de culpa ou dolo, reparando o consumidor em caso de defeito na prestação de serviço. Nesse mesmo viés, também se aplica o artigo 44, LGPD, que dispõe quanto ao tratamento de dados pessoais de forma irregular ou quando não fornecer a devida segurança ao seu titular. Define-se, portanto, que:

Art.44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

I - o modo pelo qual é realizado;

II - o resultado e os riscos que razoavelmente dele se esperam;

III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

(BRASIL, 2018)  

            A violação da segurança dos dados repercute seus efeitos na seara digital, e na seara consumerista, para Bruno Miragem (2019), a relação entre a LGPD e o CDC, encontra-se claramente demonstrada seguindo a técnica legislativa empregada para sua criação, quando assemelha a disciplina do regime do fato do produto/serviço e aos critérios de dever de segurança dos dados dos usuários. Nesse viés, ressalta Danilo Doneda:

O reconhecimento da necessidade de preservação de um vínculo e do controle das informações pessoais por seus titulares deve ensejar o reconhecimento amplo, dentro do próprio direito do consumidor, do caráter personalíssimo destas informações e de que, em muitas hipóteses, é inadequado o seu tratamento por meio de instrumentos puramente negociais. (DONEDA, 2010, p.111)

            Em síntese, no mercado de consumo aplicar-se-á o CDC e ainda assim, a LGPD, quando o dano ao consumidor for observado pelo aspecto da falha na proteção de dados pelo fornecedor, em determinada relação de consumo.   

5.CONHECIMENTO DA NORMA E PODER DE AUTODETERMINAÇÃO

            Visto toda construção acerca da importância da proteção ao direito à privacidade, o entendimento acerca dos dados que devem ser protegidos, as muitas falhas cometidas pelas grandes empresas e como a proteção dos dados encontra-se diretamente ligada à proteção dos consumidores, é importante se colocar no lugar do consumidor, entender a sua visão acerca da lei e seus mecanismos de defesa.

            Neste momento, surge a seguinte reflexão, o Brasil de fato vem evoluindo ao longo dos anos na busca de proteção aos dados, entretanto, ainda se tem um longo caminho a percorrer, pois do que adianta a criação de uma legislação específica para tratar do tema em questão, se o público em geral à desconhece, não sabe como buscá-la quando se encontrar numa situação de vulnerabilidade. O direito deve se moldar de acordo com os lapsos contemporâneos da sociedade, mas essa moldura deve ser fixada a fim de dar maior visibilidade das normas àqueles que mais precisam, como por exemplo o consumidor, que possui uma posição de vulnerabilidade técnica, econômica, jurídica e informacional.

            Segundo uma recente pesquisa, divulgada no dia 01 de julho de 2021, feita pelo Núcleo de inteligência e Pesquisa – EPDC – PROCON do Estado de São Paulo, tendo como total de participantes, 7.408 pessoas, na qual deveriam responder um questionário disponibilizado no site e redes sociais do PROCON-SP, revelaram percentuais que reforçam a vulnerabilidade da sociedade em geral, quando o assunto é o conhecimento sobre LGPD e meios de proteção. O objetivo da pesquisa era “captar a percepção dos consumidores quanto à proteção de seus dados, o que conhecem sobre a LGPD e se já foram vítimas de exposição indevida/vazamento de dados” (PROCON/SP, 2021).

            Quanto à pesquisa feita, algumas perguntas instigam reflexão. Quando perguntadas se conheciam a Lei de Proteção de Dados, assustadoramente, a maioria dos entrevistados, 65,04%, correspondente a 4.818 pessoas, responderam que não conheciam (PROCON/SP, 2021). Resultado este alarmante, visto que a LGPD se encontra em vigor no país e cada vez mais a sociedade encontra-se inserida rotineiramente utilizando ferramentas tecnológicas.

            Foram feitas diversas perguntas, dentre elas o que as pessoas sabiam sobre dados pessoais, qual conhecimento tinham acerca da LGPD e se já tiveram a experiência negativa de vazamento de dados, dentre outras. Ao serem questionadas se já tiveram conhecimento se seus dados já foram divulgados ou vazados, “a maioria, 72,77% (5.391) não teve conhecimento de vazamento de seus dados, mas um percentual considerável, 27,23% (2.017) teve” (PROCON/SP, 2021). Quanto àquelas que tiveram seus dados vazados, foi-lhes perguntado qual atitude tomaram após o vazamento e surpreendentemente a resposta foi “apenas 36,74% (741) afirmaram ter tomado alguma atitude, portanto, a maioria, 63,26%, nada fez: 42,14% (850) porque não sabem onde recorrer e 21,12% (426) por acreditar que não adianta reclamar” (PROCON/SP, 2021). 

           Neste contexto, mesmo que baixo o número de participantes da pesquisa, os percentuais refletem muita coisa, demonstram o quanto as pessoas se sentem perdidas ao tratarem do conhecimento acerca de seus próprios dados, desconhecem a norma que as ampara quanto o assunto for proteção aos dados, muitas desconhecem a quem devem recorrer quando forem lesadas. Assim, a pesquisa ressalta o questionamento que deve ser feito, qual atitude deve ser tomada para que mais pessoas conheçam os seus próprios direitos? Como seria possível uma ampliação na divulgação da LGPD?  

            Esse papel não é somente do Estado e do Poder Público, as empresas devem como forma de alavancar o mercado, demonstrar preocupação com os seus consumidores. É interessante observar essa reflexão feita por Bruno Bioni, na qual ressalta:

Há uma nova roupagem para que a autodeterminação informacional seja elástica o suficiente para governar tais usos dos dados pessoais, os quais não podem ser previamente especificados (presentificados) de maneira rígida. É uma bagagem normativa-teórica que tem como vetores de aplicação os princípio da boa-fé e confiança, já altamente adensados na cultura jurídica brasileira. (BIONI, 2019, p. 263)

            Por meio da adoção de medidas de conscientização, campanhas publicitárias, postagens em redes sociais sobre o assunto, por exemplo, de forma didática e de fácil compreensão, levando conhecimento ao seu público consumidor, visando reforçar a confiança e a boa-fé nas relações de consumo firmadas.

            Conforme pode-se observar da Lei de Proteção de Dados (LGPD), o legislador deu destaque à boa-fé, elencando os princípios a serem seguidos no tratamento de dados pessoais, em seu artigo 6º, inciso “X”, ressalta o princípio da responsabilização e prestação de contas pelos agentes, demonstrando a adoção de medidas eficazes do cumprimento das normas de proteção de dados. 

            O conhecimento da norma não deve ser direcionado apenas aos atuantes do Direito, deve se estabelecer uma compreensão da sociedade como um todo, afinal conforme previsto no artigo 2°, da Lei 13.709/2018, em seu inciso II, a autodeterminação informativa é um dos fundamentos que regem a Lei de Proteção de Dados, é incompatível falar em dados, poder de autodeterminação dos usuários, quando estes desconhecem a própria lei que os rege e como devem proceder quando se sentirem lesados.  

            Esse entendimento é abordado por Bruno Ricardo Bioni, que ressalta:

O principal vetor para alcançar tal objetivo é franquear ao cidadão controle sobre seus dados pessoais. Essa estratégia vai além do consentimento do titular dos dados, pelo qual ele autorizaria o seu uso. Tão importante quanto esse elemento volitivo é assegurar que o fluxo informacional atenda às suas legítimas expectativas e, sobretudo, não seja corrosivo ao livre desenvolvimento da sua personalidade. (BIONI, 2021, p. 108)

            Para enfim alcançar a autodeterminação das pessoas, sendo o cidadão o responsável por seus dados e como controlá-los, se faz necessário primeiramente, à compreensão dos dispositivos de lei, o entendimento do consumidor da sua posição na relação de consumo, compreendendo a importância da proteção de seus dados e quais serão suas ferramentas de defesa, a prevalência do direito à privacidade como um todo, para que assim possa haver um equilíbrio nas desigualdades observadas nas relações de consumo.

6.CONSIDERAÇÕES FINAIS

A relação entre o consumidor e o prestador de serviço deve ser amistosa, ponderada pelo respeito mútuo e transparência. É possível observar que devido ao grande avanço tecnológico, as mudanças na relação de consumo geram insegurança nos consumidores, que não sabem como lidar com relações cada vez mais tecnológicas e menos presenciais.

De fato, é necessário ressaltar a importância da proteção do consumidor como parte mais vulnerável, resguardando sua privacidade constitucionalmente definida, assim como, incluir os dados nessa proteção, estando intimamente interligados. A compreensão sobre o que são os dados, e quais são aqueles considerados pessoais e que não devem ser objeto de divulgação e compartilhamento, é essencial para que o consumidor/usuário, sinta-se apto a lidar com o mercado de consumo virtual.

Além disso, a presença cada vez mais rotineira de novas demandas relacionadas ao vazamento de dados indevidos, reforçam a necessidade cada vez maior de previsão legal específica para dispor acerca da proteção dos dados e da devida punição àqueles que descumprirem com as regras do mercado, a fiscalização de denúncias e irregularidades deve ser exercida pela Autoridade Nacional de Proteção de Dados (ANPD), como assim dispõe o artigo 55, alínea J e seus incisos, da Lei Geral de Proteção de Dados e, também deve ser exercida pelo Programa de Proteção ao Consumidor (PROCON), órgão responsável por lidar com questões que envolvam fornecedores e consumidores. O avanço legal sobre o tema, é motivo de satisfação, todavia, a luta não deve se findar, visto que cada vez mais surgem novas mazelas sociais a serem sanadas, novos meios de prejudicar o consumidor como parte mais vulnerável.

Como resultado dessa luta, surge a Lei de Proteção de Dados, com o intuito de garantir à privacidade e o poder de autodeterminação, a fim de garantir que de fato haja consentimento do usuário ao dialogar no mercado virtual, com total consciência e responsabilidade por seus dados e como buscar protegê-los. É inegável que o Direito atua de forma conjunta, nesse sentido, as demandas relacionadas ao mercado de consumo virtual e proteção de dados, que envolvam consumidor e fornecedor, o Código de Defesa do Consumidor (CDC) será aplicado conjuntamente com a Lei de Proteção de Dados (LGPD), estabelecendo uma relação basilar e de coerência entre ambas as legislações.

Por fim, do que adianta a existência e vigência de uma norma, quando ela não é de conhecimento e compreensão, pela sociedade em geral. Mesmo diante das demandas levadas ao Judiciário acerca do tema, ainda é preciso alcançar o maior número de pessoas possível, para que a grande maioria possa ter consciência da importância de seus dados, do valor que eles têm no mercado e da existência da LGPD e seus termos. Analisando a norma para quem ela deve ser aplicada, sob a visão do consumidor, amadurecendo-o para criar o seu poder de autodeterminação e prevalência do seu direito à privacidade e proteção dos dados. 

7.REFERÊNCIAS

BIONI, Bruno Ricardo. Proteção de Dados Pessoais - A Função e os Limites do Consentimento. Grupo GEN, 2019. 2 ed: Rio de Janeiro. Disponível em: <https://integrada.minhabiblioteca.com.br/#/books/9788530983291/>. Acesso em: 07 out. 2020.

BIONI, Bruno Ricardo. Proteção de Dados Pessoais - A Função e os Limites do Consentimento. Grupo GEN, 2021. 3 ed: Rio de Janeiro. Disponível em: <https://integrada.minhabiblioteca.com.br/#/books/9788530994105/>. Acesso em: 28 jul. 2021.

BLUM, Rita Peixoto Ferreira. O Direito à Privacidade e à Proteção dos Dados do Consumidor. São Paulo: Grupo Almedina (Portugal), 2018. Disponível em: <https://integrada.minhabiblioteca.com.br/#/books/9788584933181/>. Acesso em: 29 jul. 2021.

BRASIL. Escola Nacional de Defesa do Consumidor. A proteção de dados pessoais nas relações de consumo: para além da informação creditícia / Escola Nacional de Defesa do Consumidor; elaboração Danilo Doneda. – Brasília: SDE/DPDC, 2010. Disponível em: <https://www.defesadoconsumidor.gov.br/images/manuais/vol_2_protecao_de_dados_pessoais.pdf> Acesso em: 29 jul. 2021.

BRASIL. Código de Defesa do Consumidor. Lei nº 8.078, de 11 de setembro de 1990.  Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm>. Acesso em: 20 nov. 2020.

BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em: <http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm>. Acesso em: 09 nov. 2020.

BRASIL. Lei do Cadastro Positivo. Lei nº 12.414, de 9 de junho de 2011. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12414.htm>. Acesso em: 11 ago. 2021.

BRASIL. Lei Geral de Proteção de Dados Pessoais. Lei nº 13.709, de 14 de agosto de 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em: 29 jul. 2021.

BRASIL. Marco Civil da Internet. Lei nº 12.965, de 23 de abril de 2014. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em: 11 ago. 2021.

BRASIL. Ministério Público do Distrito Federal e Territórios. MPDFT ajuíza ação contra o Banco Inter por vazamento de dados pessoais. Distrito Federal e Territórios, 2018. Disponível em: <https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/sala-de-imprensa/noticias/noticias-2018/10211-mpdft-ajuiza-acao-contra-o-banco-inter-por-vazamento-de-dados-pessoais>. Acesso em: 28 jul. 2021.

MIRAGEM, Bruno. A lei geral de proteção de dados (lei 13.709/2018) e o direito do consumidor. Revista dos Tribunais, v. 1009, 2019. Disponível em: <https://brunomiragem.com.br/wp-content/uploads/2020/06/002-LGPD-e-o-direito-do-consumidor.pdf>. Acesso em: 28 jul. 2021.

PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentário à Lei 13.709/2018 (LGPD) – 2. ed. – São Paulo: Saraiva Educação, 2020. Disponível em: <https://integrada.minhabiblioteca.com.br/#/books/9788553613625/>. Acesso em: 28 jul. 2021.

SÃO PAULO. Procon de São Paulo - Secretaria da Justiça e Cidadania. Pesquisa comportamental percepção do consumidor quanto à proteção dos seus dados e a LGPD. São Paulo, 2021. Disponível em: <https://www.procon.sp.gov.br/wp-content/uploads/2021/07/Relatorio_LGPD.pdf>. Acesso em: 28 jul. 2021.

VIEIRA, Tatiana Malta. O direito à privacidade na sociedade da informação: efetividade desse direito fundamental diante dos avanços da tecnologia da informação. 2007. 297 f. Dissertação (Mestrado em Direito) - Universidade de Brasília, Brasília, 2007. Disponível em: <https://repositorio.unb.br/handle/10482/3358>. Acesso em: 09 nov. 2020.