EBER COLONI MEIRA DA SILVA[1]

(orientador)

RESUMO: Sancionada sob o nº 13.709, em 14 de agosto de 2018, Lei Geral de Proteção de Dados – LGPD tem como fundamento a proteção dos dados pessoais da pessoa natural buscando atribuir privacidade, proteção e participação do titular no tratamento e uso de seus dados de forma a assegurar sua liberdade e livre desenvolvimento por meio da apresentação de conceitos, formas de tratamento pelos agentes utilizadores e das bases legais para determinação dos procedimentos para tratamento desses dados. Visando a conformidade  com a norma de utilização de dados pessoais, valendo-se do método de estudo dedutivo através de revisão bibliográfica e análises doutrinárias, buscou-se analisar os aspectos relevantes sobre como as relações de consumo foram impactadas pelo advento da lei e como se dá o processo de desenvolvimento para que se esteja em conformidade com a LGPD, sobre a real necessidade do consentimento do consumidor, do direito à informação acerca da utilização de seus dados pessoais quando do tratamento, bem ainda da responsabilização  atribuída aos responsáveis pelo tratamento de dados, agentes e as sanções a serem aplicadas em caso de violação.

Palavras-chave: Lei Geral de Proteção de Dados. Relação de Consumo. Dados pessoais.

ABSTRACT: Sanctioned under Nº. 13.709, on August 14, 2018, the General Law of Data Protection - LGPD is based on the protection of the personal data of the natural person, seeking to attribute privacy, protection and participation of the holder in the treatment and use of their data in a manner to ensure freedom and free development through the presentation of concepts, forms of treatment by the user agents and the legal bases for determining the procedures for the treatment of this data. Aiming to comply with the standard for the use of personal data, using the deductive study method through literature review and doctrinal analysis, sought to analyze the relevant aspects of how the consumer relationship was impacted by the advent of the law and how it gives the development process to comply with the LGPD, on the real need for consumers consent, the right of information about the use of their personal data during  the process and the sanctions to be applied in case of violation.

Keywords: Law of General Data Protection. Consumer relationship. Personal data.

SUMÁRIO: 1. Introdução – 2. Lei Geral de Proteção de Dados – LGPD: 2.1. Conceituação e Objetivos da LGPD; 2.2. Dados Pessoais; 2.3. Do Titular dos Dados e dos Agentes de Tratamento e da Autoridade Nacional de Proteção de Dados; 2.3.1. Do Titular dos Dados; 2.3.2. Do Controlador, Operador e Encarregado; 2.3.2. Da Autoridade Nacional de Proteção de Dados; 2.4. Da territorialidade de aplicação da LGPD; 2.5. Do Tratamento. 3. Da Relação de Consumo: 3.1. Conceitos e aplicações com a LGPD; 3.2. Da primazia do consentimento. 4. Da Responsabilidade dos Agentes de Tratamento e Sanções Aplicáveis: 4.1. Da responsabilidade; 4.2. Das sanções. 5. Considerações Finais. 6. Referências.

1. INTRODUÇÃO

A Lei Geral de Proteção de Dados, Lei 13.709/18, trouxe alterações significativas ao ordenamento jurídico Brasileiro, por tratar-se de assunto antes pouco abordado, havendo menções sobre a proteção de dados no uso da internet por meio da Lei do Marco Civil da Internet, Lei 12.965/14, a Proteção aos Dados Pessoais, recentemente foi pauta para a sociedade mundial, visto o escândalo causado pelo vazamento de dados entre o Facebook e a Cambrige Analytica, onde as informações de mais de 50 milhões de pessoas foram coletadas através de pesquisas feitas por ferramentas do Facebook, esses dados foram coletados  sem o consentimento de seus titulares, e utilizados pela empresa de análise de dados, através do dados coletados foi possível para traçar um perfil político dos titulares dos dados, assim os utilizando para manipulação das suas intenções de voto na eleição presidencial dos Estados Unidos.

Buscando adequar-se com os avanços da sociedade e de forma a prevenir novos escândalos envolvendo dados pessoais, houve a necessidade de legislar acerca de dados pessoais, assim, A Lei Geral de Proteção de Dados Pessoais – LGPD, entrou em vigor recentemente em nosso ordenamento jurídico em 18 de setembro de 2020, sendo inspirada pela legislação da União Europeia, a General Data Protetion Regulation – GDPR, pioneira ao legislar especificamente acerca da proteção dos dados pessoais, servindo de exemplo às outras nações.

A LGPD tem como fundamentos conferir maior proteção e privacidade aos dados pessoais e a seus titulares, assim, apresentando os conceitos inerentes aos dados pessoais, estabelecendo a forma como se procederá o tratamento dos dados bem como as limitações impostas ao tratamento de dados e determinação dos responsáveis por realizar o tratamento, sendo atribuídas tanto no âmbito social como virtualmente, onde atualmente na era digital a todo momento ocorrem relações que envolvam dados pessoais.

A utilização dos dados considerados como pessoais pela LGPD, está presente diversas relações jurídicas, os recentes acontecimentos envolvendo a utilização desses dados, expõe a necessidade de uma regulamentação das normas, visto que antes da elaboração da LGPD, não havia responsabilidade a aqueles que utilizavam de dados, visto a gravidade de algumas ações, com a implementação da LGPD, através da Autoridade Nacional de Proteção de Dados – ANPD, vem de forma a fornecer os meios e sanções aos que vierem a contrariar as disposições da presente norma.

Nesse sentido, pretende-se com o presente artigo, compreender como se procedera as relações jurídicas, com foco nas relações de consumo, identificando como irão se realizar as relações de consumo com as mudanças advindas pela LGPD, a quem recairá a responsabilidade no caso de eventual infração a presente norma, aos que serão os responsáveis pelo tratamento de dados, que tipo de responsabilidade será atribuída aos chamados agentes de tratamento.

Assim, ressalta-se a importância do presente tema e a necessidade de analisar a presente lei, pois as relações envolvendo dados pessoais estão no cotidiano de todos indivíduos, revelando a necessidade de compreender até onde se estendem os direitos acerca de seus dados pessoais.

Serão utilizados para realização desta pesquisa, método de estudo dedutivo, onde buscam analisar pelas disposições legais inerentes as relações de consumo e responsabilidade, principalmente da LGPD, bem como a revisão bibliográfica, das obras e artigos científicos pulicados até o momento que versem acerca do objeto de estudo e seus problemas e objetivos.

O artigo tem como propósito analisar como serão realizadas as relações jurídicas especialmente, identificar no âmbito da LGPD, os aspectos relevantes que dispõem sobre como se regerá as relações de direito, em virtude da mudança no tratamento dos dados, bem como averiguar os conflitos possíveis entre a LGPD e as leis em vigência que dispõem sobre o uso dos dados pessoais.

2. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS – LGPD

2.1. Conceituação e objetivos da LGPD

Preliminarmente, evidencia ser necessária a apresentação da LGPD, assim como os aspectos que levaram a criação da Lei 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados – LGPD, que alterou a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet).  A LGPD foi inspirada no Regulamento Geral sobre a Proteção de Dados – RGPD, ou General Data Protetion Regulation - GDPR, desenvolvida pela União Europeia, que serviu de inspiração para que houvesse a criação e implementação da LGPD em nosso ordenamento jurídico.

Notória foi a necessidade legislar acerca de proteção de dados, de forma a estarem em conformidade com as outras nações que já regulam sobre o presente tema, visando não estar prejudicada em relação a operacionalização de negócios jurídicos com outros países que já versavam sobre os dados pessoais, visto que havia preferência entre os países que já haviam se adequado a essas normas, neste aspecto Patrícia Peck Pinheiro (2018, pág. 38), dispõe:

Pode-se pontuar também que a necessidade de leis específicas para a proteção dos dados pessoais aumentou com o rápido desenvolvimento e a expansão da tecnologia no mundo, como resultado dos desdobramentos da globalização, que trouxe como uma de suas consequências o aumento da importância da informação. Isso quer dizer que a informação passou a ser um ativo de alta relevância para governantes e empresários: quem tem acesso aos dados, tem acesso ao poder.

Neste aspecto, para Ana Frazão (2019, pág. 11),

[...] o poder que decorre dos dados não é apenas econômico, seja porque o próprio mercado é composto por diversos e distintos agentes, que vão desde as poderosas plataformas digitais, em relação às quais o negócio de dados concorre com outros serviços que, a partir deste, são prestados diretamente aos usuários, até agentes cuja atividade única é a coleta e o processamento de dados ou a venda, a revenda ou o compartilhamento de dados (os data brokers), sem qualquer interação com os titulares desses dados.

Os princípios da LGPD pauteiam-se ao tratamento dos dados pessoais, de pessoas físicas e jurídicas em âmbito público ou privado, assim auferindo maior proteção aos titulares dos dados pessoais, na busca de conferir e proteger seus direitos, a LGPD, para Rony Vainzof (2020, pág. 22), delimita a redação da LGPD, dispondo apenas sobre,

A Lei Geral de Proteção de Dados Pessoais brasileira (LGPD) se preocupa e versa apenas e tão somente sobre o tratamento de dados pessoais. Ou seja, não atinge diretamente dados de pessoa jurídica, documentos sigilosos ou confidenciais, segredos de negócio, planos estratégicos, algoritmos, fórmulas, softwares, patentes, entre outros documentos ou informações que não sejam relacionadas a pessoa natural identificada ou identificável.

Dispõe ainda, Rony Vainzof (2020, pág. 49),

[...] a LGPD, ao fundamentar a sua existência também no livre desenvolvimento da personalidade e na dignidade, demonstra uma robusta preocupação na fidelidade da projeção da personalidade do ser humano, que decorre dos dados tratados do respectivo titular, por exemplo ao prever como direito a correção de dados incompletos, inexatos ou desatualizados. Esses direitos demonstram que a proteção de dados supera o gênero proteção à privacidade, como nos casos de proteção de informações íntimas do titular.

A LGPD, busca aduzir à sociedade meios de proteção, maior privacidade e liberdade às pessoas naturais da sociedade de modo a buscar, controlar as relações sociais, por meio do tratamento dos dados, priorizando pela proteção, nas relações assim como tentando inibir ações que possam trazer prejuízos ao titular de dados, visto que é necessário consentimento do titular, para que haja esse tratamento de dados, nesse preceito seguido o disposto por Bruno Ricardo Bioni (2019, pág. 133-4),

As suas disposições preliminares enunciam que a disciplina da proteção de dados pessoais tem como objetivo proteger os direitos fundamentais e o livre desenvolvimento da personalidade (art. 1º), repetindo-os como um dos seus fundamentos ao lado do desenvolvimento econômico-tecnológico e da inovação (art. 2º). A LGPD estabelece, portanto, uma dialética normativa de conciliação entre todos esses elementos. [...] O principal vetor para alcançar tal objetivo é franquear ao cidadão controle sobre seus dados pessoais. Essa estratégia vai além do consentimento do titular dos dados, pelo qual ele autorizaria o seu uso.

Em relação quanto ao caráter de importância e necessidade da presente lei ao ordenamento jurídico, Patrícia Peck Pinheiro (2018, pág. 25) estabelece,

Um dos grandes impactos da LGPD está relacionado à necessidade de se garantir os direitos dos titulares, alguns deles novos para o ordenamento jurídico e para as empresas públicas e privadas, tais como o direito à portabilidade dos dados pessoais.

Assim, diante da apresentação dos conceitos e objetivos a que vislumbram a LGPD, podemos caracterizar a LGPD como sendo uma normativa geral acerca da proteção dos dados pessoais, fundada especificamente no caráter protetório, na privacidade do titular de dados e o livre exercício de sua personalidade.

2.2. Dados Pessoais

Os dados pessoais, como sendo objeto principal da LGPD, são a eles que estão dispostas as normas da LGPD, buscando atribuir maior proteção a esses dados, e a seus titulares, dessa forma, preliminarmente há necessidade de conceituação do que se trata os dados pessoais.

Assim, a LGPD conceitua dados pessoais, em seu art. 5, inciso I, como sendo ‘‘dado pessoal: informação relacionada a pessoa natural identificada ou identificável’’ (BRASIL, 2018), considerando para tanto na abrangência desse conceito como dados pessoais, e seguindo esse preceito, Patrícia Peck Pinheiro (2018, pág. 19), dispõe,

Toda informação relacionada a uma pessoa identificada ou identificável, não se limitando, portanto, a nome, sobrenome, apelido, idade, endereço residencial ou eletrônico, podendo incluir dados de localização, placas de automóvel, perfis de compras, número do Internet Protocol (IP), dados acadêmicos, histórico de compras, entre outros. Sempre relacionados a pessoa natural viva.

Neste aspecto, para Rony Vainzof (2020, pág. 49),

[...] dados, quando pessoais, estão contidos dentro das mais variadas possibilidades de representação da personalidade da pessoa. Ainda, quando tratados, podem passar a representar, perante terceiros, a identidade de determinado indivíduo, de modo que, em última análise, a proteção de dados pessoais tem um papel de fundamental importância para que o indivíduo se realize e se relacione na sociedade, o que é um traço marcante dos direitos da personalidade.

Cumpre-se destacar que a LGPD preliminarmente cita os fundamentos para proteção de dados pessoais, em seu artigo 2º, no qual dispõe:

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: I - o respeito à privacidade; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e tecnológico e a inovação; VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.(BRASIL, 2018, Art. 2º)

Existem no âmbito da LGPD, aqueles chamados de dados pessoais sensíveis, que nos termos do art. 5, inciso II, da LGPD, ‘‘dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural’’(BRASIL, 2018), são por meio desses dados que podem-se identificar ‘‘individualidades mais sensíveis das pessoas, tais como orientação sexual, raça e estado de saúde, a partir de informações triviais’’ (BIONI, 2019, pág. 119).

Portanto, os dados pessoais serão as informações que relacionadas a pessoa natural puderem identificar ou torna-la identificável, havendo menção aos dados pessoais sensíveis, que como dito anteriormente estão relacionados a origem racial, convicção política, esses foram os dados utilizados no escândalo de vazamento de dados envolvendo o Facebook e Cambrige Analytica, mencionados na introdução do presente artigo.

2.3. Do Titular dos Dados e dos Agentes de Tratamento e da Autoridade Nacional de Proteção de Dados.

2.3.1. Do Titular de Dados

O titular, sendo a figura a quem é proporcionada a segurança e privacidade e livre exercício de sua personalidade, que são as atribuições advindas da LGPD, aos seus dados pessoais, necessita-se a conceituação da figura imposta como titular.

Apresenta a LGPD, em sua redação o conceito da figura do titular, em seu art. 5º, inciso V, como sendo o titular ‘‘pessoa natural a quem se referem os dados pessoais que são objeto de tratamento’’ (BRASIL, 2018).

Nesse sentido, a proteção, a privacidade e a personalidade, serão atribuídas no âmbito da LGPD, à pessoa natural, assim, dispõe Rony Vainzof (2020, pág. 95),

A personalidade civil da pessoa natural, conforme art. 2° do Código Civil, começa do nascimento com vida da pessoa. Portanto, assim que qualquer pessoa nasce e respira (nasce com vida), automaticamente já conta com os direitos tutelados pela LGPD.

Ao titular dos dados, a LGPD estabelece em seu artigo 18, um rol de direitos a informações aos quais o titular poderá requisitar do controlador, figura que será apresentada em sequência, dentre os quais podemos destacar alguns incisos da LGPD (2018), como a confirmação da existência de tratamento, o acesso aos dados, correção de dados incompletos, inexatos ou desatualizados e a revogação do consentimento.

O titular de dados, sempre deve estar ciente acerca do tratamento de seus dados, bem como quem serão os agentes de tratamento e o encarregado a quem se comunicara enquanto perdurar o tratamento, bem como, a finalidade a qual seus dados estão sendo tratados.

2.3.2. Do Controlador, Operador e Encarregado

Sendo os responsáveis pelo processo de tratamento dos dados, essas figuras desempenham funções diferentes ao longo do tratamento de dados, assim, serão apresentadas os papeis que cada agente de tratamento realiza durante o tratamento.

A figura do controlador, desempenha papel fundamental no tratamento de dados, sendo imposta ao mesmo a tomada de decisões referentes ao tratamento dos dados pessoais, assim, conceitua a LGPD, em seu art. 5º, inciso VI, a figura do controlador com sendo ‘‘pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais’’ (BRASIL, 2018).

Será ao Controlador que serão impostas as tomadas de decisões sendo de sua competência, das quais dar-se destaque as seguintes obrigações impostas ao Controlador:

Deve avaliar o enquadramento de ao menos uma das bases legais para a realização de cada tratamento de dados pessoais; Deve acompanhar o ciclo de vida completo dos dados, descartando-os ou determinado o descarte quando do término do tratamento; Deve indicar o encarregado; [...] Cabe o ônus da prova sobre o consentimento do titular; Deve cumprir os direitos dos titulares; Deve manter registro das operações de tratamento de dados pessoais; Deve demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas; [...] Será responsabilizado civilmente, no caso de violação à LGPD. (VAINZOF, 2020, pág. 96-7).

A figura do Operador, tratando-se de um dos agentes de tratamento, juntamente ao Controlador, é atribuída a função de realizar o tratamento dos dados, nos termos do art. 5, inciso VII da LGPD como sendo ‘‘pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador’’ (BRASIL, 2018).

Ao operador são atribuídas competências, das quais destacam-se as seguintes funções:

O operador também deve manter registro das operações de tratamento de dados pessoais que realize; Também deve demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas; Será responsabilizado civilmente, em razão do exercício da sua atividade de tratamento de dados pessoais, no caso de violação à LGPD; Responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador; Responde pelos danos decorrentes da violação da segurança dos dados se deixar de adotar medidas de segurança previstas na LGPD; Será sancionado administrativamente em razão de infrações cometidas às normas previstas na LGPD; Também deve formular e empregar regras de boas práticas e governança em proteção de dados pessoais, levando em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular; Deve prestar informações quando solicitadas pela ANPD. (VAINZOF, 2020, pág. 97-8).

A LGPD, ainda conceitua e apresenta a figura do encarregado, esse que nos termos do art. 5º, inciso VIII, trata-se de ‘‘pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) ’’ (BRASIL,2018).

Compõe como sendo outra figura dos participantes no tratamento dos dados pessoais, embora não conceituado como agente de tratamento, pois este desempenha a função de intermediar o tratamento de dados, realizando a comunicação entre o titular dos dados pessoais, o agente de tratamento a quem cabe as decisões inerentes ao tratamento de dados, acima conceituado como controlador e a Autoridade Nacional de Proteção de Dados – ANPD, a qual será abordada adiante.

Salienta-se que os agentes de tratamento, enquanto no exercício de suas atividades, devem estar atentos e em concordância com os princípios inerentes ao tratamento de dados, assim disciplina o art. 6º, da LGPD, em primazia da boa-fé, vislumbrando a aplicação dos seguintes princípios,

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. (BRASIL, 2018, Art. 6º).

2.3.2. Da Autoridade Nacional de Proteção de Dados

Após a determinação dos agentes de tratamento, faltava a figura que fizesse parte da administração pública para compor os participantes das relações de tratamento de dados, assim, fez necessária a criação da Autoridade Nacional de Proteção de Dados, a ANPD, criada pela Lei 13.853, de 8 de julho de 2019, em alteração a LGPD, a qual abordaremos nesse tópico suscintamente.

Assim, a ANPD, é conceituada pela LGPD em seu art. 5º, inciso XIX, como ‘‘autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional’’ (BRASIL, 2018).

Dessa forma, através das alterações advindas pela Lei 13.853/19, a ANPD, se torna figura essencial para que se tenha a aplicação da LGPD, conforme,

ANPD será uma autoridade com alcance amplo que pode chegar a todos os setores econômicos brasileiros, inclusive até alcançar atividades estatais de políticas públicas e serviços públicos. Ora, é importante que na execução das suas atribuições para a proteção dos dados pessoais, a ANPD tenha autonomia para fiscalizar ambos os setores público e privado. (GUTIERREZ, 2020, pág. 446).

Ademais, estão dispostas as atribuições inerentes a ANPD, encontradas no art. 55-J, da LGPD (2018), das quais destaca-se a de zelar pela proteção dos dados pessoais, nos termos da legislação, bem como, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso e promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança. 

2.4. Da territorialidade de aplicação da LGPD

A LGPD, sendo uma norma que propõe a proteção aos dados pessoais, é evidente que se delimite a área de sua atuação, assim necessita-se falar da no âmbito do território a que se aplica a referida legislação, nesse sentido aduz a LGPD em seu art. 3º,

Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: I - a operação de tratamento seja realizada no território nacional; II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou    III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional. (BRASIL, 2018, Art. 3º)

Assim, todo dado coletado enquanto o titular estiver em território nacional, como disciplina o parágrafo primeiro do art. 3º, da LGPD, assim, ‘‘Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta’’ (BRASIL, 2018), atribuindo grande amplitude as operações de tratamento de dados.

Embora no âmbito das relações de consumo, com o momento da atual sociedade onde a pratica de relações jurídicas em ambiente virtual, tem se muito costumeiramente a aquisição de produtos na internet, onde embora os consumidores estejam em território nacional, embora o fornecedor não detenha sede em território nacional estará sujeito as determinações da LGPD, nesse sentido, dispõe Rony Vainzof (2020, pág. 56),

Portanto, independentemente da sede física do responsável pela atividade de tratamento de dados, considerando que eventuais lesões aos titulares terão reflexo no Brasil, diante do foco do produto ou serviço ser o mercado brasileiro ou o tratamento de dados de indivíduos no Brasil, a LGPD deverá ser cumprida.

Portanto, a LGPD tem grande abrangência, visto a utilização do meio virtual para aquisição de produtos e serviços, assim, a aplicação da LGPD tem um caráter extraterritorial, atingindo mesmo aqueles que não se encontram em território nacional, porém, realizem o tratamento de dados, onde o titular esteja em território nacional.

2.5. Do Tratamento

Após apresentadas as figuras que compõe o tratamento de dados pessoais, chegou o momento de conceituar o que se entende por tratamento, portanto, conforme conceituou todas as figuras e agentes de tratamento a LGPD, vem a esclarecer o que se define por tratamento de dados, que vem a estar configurado como em seu artigo 5º, no inciso X, conforme,

tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. (BRASIL, 2018, art. 5, X)

Assim, praticando qualquer das operações supracitadas, ainda atentando-se aos outros atos que podem caracterizar o tratamento de dados, estão sujeitas as determinações da LGPD, para o modo de como se procederá o referido tratamento, embora, em uma sociedade que cada vez mais caminha em um viés digital, tornam-se cada vez mais costumeiras as situações que possam caracterizar-se como tratamento de dados, em âmbito digital, devem estar atentos para que não se caracterizem como tratamento de dados, situações onde não tem-se o objetivo de coleta-los de forma expressas, dessa forma em caráter digital houve diversas mudanças perceptíveis aos que utilizam comumente a internet, pós promulgação da LGPD, é possível se encontrar na grande maioria dos sites, os famosos cookies, os quais coletam os dados, sendo necessários que aceite seus termos, em cumprimento as determinações da LGPD, assim os termos de uso, após aceitos são utilizados como consentimento na coleta de dados, assim,

Os cookies são considerados como dados pessoais, pois tornam pessoas identificáveis por meio de informações coletadas durante a navegação online. No mercado de comunicação, as empresas coletam informações via cookies para realizar campanhas direcionadas a um segmento de mercado, incluindo a geolocalização, termos de pesquisa, dados demográficos e grupo de produtos. (ANDRADE, 2021)

Quanto ao tratamento, a LGPD, determina sobre as hipóteses em que serão permitidos o tratamento dos dados, assim, dispõe

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - mediante o fornecimento de consentimento pelo titular; II - para o cumprimento de obrigação legal ou regulatória pelo controlador; III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. (BRASIL, 2018, Art. 7º)

No tocante aos dados pessoais sensíveis, anteriormente abordados neste artigo, somente se procederá o tratamento desses dados caso haja a expressa manifestação de consentimento por parte do titular dos dados, ou nas hipóteses em que se fizer imprescindível cumprir certas obrigações, conforme

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. (BRASIL, 2018, Art. 11).

            Portanto, embora necessário o consentimento do titular dos dados, a LGPD, ainda assegura hipóteses onde haverá o tratamento de dados, embora não haja o consentimento do titular, em hipóteses previstas nos incisos do art. 7º.

            Dessa forma, o tratamento de dados se procederá com a coleta ou acesso aos dados pessoais do titular, que somente ocorrerá após o consentimento do mesmo para a realização, consentimento esse que será abordado posteriormente neste artigo, assim, passará aos agentes de tratamento, sendo o controlador e o operador, que indicaram o encarregado, aquele que comunicasse com o titular de dados, assim, para que não ocorram quaisquer infrações a LGPD.

Cumpre-se ressaltar que na sociedade atual, ainda existem situações em que o titular de dados estará diante de um tratamento de dados e não terá ciência do mesmo, visto ser relações costumeiras, como exemplo de uma ficha de fiado no mercadinho da esquina, onde constam os dados pessoais do titular, e armazenados pelo mercador, que em caso, não observa as normas da LGPD, podendo esse mercador sofrer com sanções impostas pela mesma, sanções estas que serão vislumbradas posteriormente.

3. DA RELAÇÃO DE CONSUMO

3.1. Conceitos e aplicações com a LGPD

A princípio, devemos conceituar a relação de consumo, embora não haja a conceituação pela disposição expressa do Código de Defesa do Consumidor – CDC, Lei nº 8.708, de 11 de setembro de 1990, quanto ao conceito de relação de consumo, dispondo apenas em seus artigos a conceituação da figura do Consumidor, o artigo 2º da Lei nº. 8.708/90, estabelece que, ‘‘Consumidor é toda pessoa física ou jurídica que adquire ou utiliza produto ou serviço como destinatário final.’’(BRASIL, 1990), e a conceituação de Fornecedor, elemento essencial da relação de consumo, é encontrada no artigo 3º da Lei nº 8.708/90, em que entende-se por consumidor, toda pessoa física ou jurídica, pública ou privada, que desenvolvem atividades de produção, e demais atividades como a distribuição ou comercialização de produtos ou prestação de serviços, é denominada como fornecedor (BRASIL, 1990).

Pelo entendimento doutrinário para conceituação da relação jurídica de consumo, que para Fabricio Bolzan Almeida, a relação de consumo, ‘‘[...]que poderá ser definida como aquela relação firmada entre consumidor e fornecedor, a qual possui como objeto a aquisição de um produto ou a contratação de um serviço’’ (2020, pág. 85).

Portanto, toda relação onde um é consumidor final de um produto, enquanto o outro participa na comercialização do mesmo, está evidente a relação de consumo, podemos citar a relação entre o consumidor e o dono do mercadinho da ficha, que usamos de exemplo anteriormente, enquanto mesmo que em não estejam cientes que está ocorrendo o tratamento de dados, devem estar em cumprimento legal das determinações da LGPD, se sujeitando por consequência as sanções impostas.

Na relação de consumo, onde houver o tratamento de dados pessoais, estando presentes em cadastros, registros, fichas, quaisquer documentos, onde o fornecedor deter os dados pessoais do titular, ora consumidor, estarão sujeitas as determinações legais da LGPD, devendo serem cumpridas suas normas, assim como todos os procedimentos para o tratamento dos dados, sob pena de violação a LGPD, e sujeitando as sanções a serem aplicadas pela ANPD, ressaltasse aos fornecedores que deterem dados colhidos anteriormente a LGPD, estarão sujeitos a LGPD, nesse sentido, é estabelecido que,

[...] como o conceito de tratamento abarca absolutamente todas as hipóteses de manuseio de dados, a partir do dia da eficácia plena da Lei, os dados pessoais anteriormente existentes, se não descartados, de alguma forma estarão sob a tutela da LGPD, mesmo que permaneçam armazenados estaticamente. (VAINZOF, 2020, pág. 108)

3.2. Da primazia do consentimento

Com a promulgação da LGPD, outro aspecto de extrema importância foi o consentimento do titular de dados, que para Patrícia Peck Pinheiro, ‘‘A linha mestra para o tratamento de dados pessoais é o consentimento pelo titular, que deve ser aplicado aos tratamentos de dados informados e estar vinculado às finalidades apresentadas’’ (2018, pág. 25).

O consentimento é utilizado como forma expressa da qual pode-se provar os agentes de tratamento, a anuência do titular acerca de seus dados, nesse sentido, conforme dispõe Bruno Ricardo Bioni, (2019, pág. 190),

[...] a partir do direito de o indivíduo controlar os seus dados pessoais, socorrendo-se, por isso, à técnica legislativa de exigir o consentimento do titular dos dados pessoais para que eles fossem coletados, utilizados, compartilhados, enfim, para toda e qualquer etapa de tratamento de tais informações.

A LGPD buscou conceituar o consentimento, dessa forma em seu Art. 5º, inciso XII, dispõe acerca da definição de consentimento para os fins legais da LGPD, como sendo, ‘‘manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada’’ (BRASIL, 2018).

O consentimento se faz obrigatório a medida que há expressa previsão no art. 8, da LPGD, ‘‘O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular’’ (BRASIL, 2018).

            Assim, o titular de dados, deverá explicitamente demonstrar seu consentimento ao fornecimento desses dados para o tratamento, nesse sentido determina Rony Vainzof (2020, pág. 111),

O consentimento também deverá ser previsto para finalidade determinada. Autorizações genéricas para o tratamento de dados pessoais serão nulas. Portanto, deverá abranger todas as atividades de tratamento realizadas com a mesma finalidade e nos casos em que o tratamento sirva para fins múltiplos, de acordo com a avaliação da especificidade, deverá ser conferido consentimento para cada um desses fins.

Para Bruno Ricardo Bioni (2019, pág. 191),

[...]o poder de barganha dos titulares dos dados pessoais para que eles empreendessem um controle efetivo sobre seus dados pessoais, o consentimento permaneceu sendo o elemento nuclear da estratégia regulatória da privacidade informacional.

A relação de consumo, em virtude da LGPD, reforça o já estabelecido pelo CDC, no âmbito do direito a informações das quais contenham dados considerados como pessoais, em seu art. 43 a Lei nº 8.078/90, estabelece,

Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. § 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos. § 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele. (BRASIL, 1990, Art. 43)

Enquanto nas relações de consumo, era de praxe que mesmo antes da legislação acerca dos dados pessoais, os dados coletados e utilizados pelo fornecedor, deviam ter a anuência do mesmo, que em diversos dos casos, não haviam o devido cumprimento do disposto pelo art. 43 do CDC.

4. DA RESPONSABILIDADE DOS AGENTES DE TRATAMENTO E SANÇÕES APLICÁVEIS

4.1. Da responsabilidade

Embora anteriormente brevemente suscitados acerca das responsabilidades dos agentes de tratamento e demais figuras participes da operação de tratamento de dados, o presente subtítulo, vem apenas a esclarecer sucintamente algumas outras atribuições compelidas aos agentes.

A LGPD, estabelece do mesmo modo em seu art. 18, entretanto configura o controlador como o sujeito a qual deve-se exigir as informações, assim como a figura da Autoridade Nacional de Proteção de Dados – ANPD, será a responsável por fiscalizar e regular as disposições da LGPD, atuando como órgão da administração pública federal, conforme art. 55-A, da Lei 13.709/18 (BRASIL, 2018).

No tocante a responsabilização, a LGPD, propõe em seus artigos 42 e seguintes, atribuir aos agentes de tratamento a responsabilidade objetiva, sobre a ação que possa causar algum dano a outrem, enquanto no exercício de suas funções ao tratamento de dados, independentemente de culpa, que serão responsáveis solidariamente, nos casos em que haver responsabilidade de outrem do qual seguirem apenas instruções. Dispõe ainda sobre as formas como ocorrerão a reparação desses danos, salvo os casos de exclusão da responsabilidade previstos pelo artigo 43, da Lei 13.709/18.

Em relação da responsabilização no âmbito de relações de consumo o artigo 45, estabelece que, ‘‘As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente. ’’ (BRASIL, 2018).

Para Patrícia Peck Pinheiro (2018, pág. 77),

Dependendo do tipo de violação de direitos do titular serão aplicadas penalidades conforme já previsto na legislação consumerista (Código de Defesa do Consumidor) e/ou pela regra geral do Código Civil Brasileiro (arts. 186, 187 e 927).

            Para Flávio Tartuce (2018, pág. 25),

[...]responsabilidade objetiva no âmbito de aplicação privada se deu com o surgimento, no ano de 1990, da Lei n. 8.078, que instituiu no Brasil o Código de Defesa e Proteção do Consumidor e enunciou a responsabilidade sem culpa dos fornecedores de produtos e prestadores de serviços em alguns de seus dispositivos.

            Para Bruno Miragem (2019, pág. 12-3),

[...] no tocante às relações de consumo, ao dever geral de qualidade da prestação de serviço do fornecedor, que abrange também o adequado tratamento dos dados pessoais do consumidor, desdobrando-se no dever de segurança em relação a sua pessoa e patrimônio. A violação do dever de segurança, neste A Lei Geral de Proteção de Dados (Lei 13.709/2018) e o direito do consumidor particular, implica na responsabilidade objetiva do fornecedor pelos danos causados, o que será a hipótese em que os dados venham a ser acessados por pessoas ou de modo não autorizado, ou ainda situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Tais hipóteses de acesso não autorizado, acidentes ou atos ilícitos a par do regime de responsabilização previsto na própria LGPD caracterizam espécie de risco inerente à atividade de tratamento de dados, ou seja, fortuito interno, situação que não é apta a afastar a responsabilidade dos respectivos controladores de dados.

            Portanto, buscam apenas atribuir responsabilidades a aqueles que no tocante o exercício de suas funções quanto ao tratamento desses dados ocasionar a causar por infringir disposição legal em razão da proteção dos dados, caberá a responsabilidade objetiva, e como forma de assegurar a reparação e indenização do dano causado ao titular desses dados, serão atribuídas ainda a responsabilidade solidaria nos casos em que não detém exclusivamente a culpa.

Ademais, aplicar-se-á as disposições já vigentes presentes no CDC, em casos de violações de direitos em relação aos dados pessoais do titular, conforme dispõe Rony Vainzof (2020, pág. 46),

[...]a LGPD também prevê que as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente, bem como que a ANPD articulará sua atuação com o SENACON e com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais.

4.2. Das sanções

Abordaremos suscintamente acerca das sanções a serem dispostas, e exaustivas vezes mencionadas ao longo do presente artigo, assim, A LGPD, buscou atribuir sanções administrativas consideravelmente rígidas aos agentes de tratamento que enquanto no exercício de suas funções acabarem por infringir as determinações legais, as sanções serão aplicadas pela ANPD, conforme anteriormente mencionado, assim estabelece as sanções nos termos do art. 52, da LGDP, conforme

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:  I - advertência, com indicação de prazo para adoção de medidas corretivas; II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III - multa diária, observado o limite total a que se refere o inciso II; IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência; V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI - eliminação dos dados pessoais a que se refere a infração; [...] X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (BRASIL, 2018, Art. 52)

Em relação as sanções, A LGPD atribuirá para as infrações cometidas a luz das normas da presente lei, sanções administrativas aos agentes de tratamentos, conforme previstas no art. 52, da LGPD em divergência ao CDC, que atribuía sanções penais, para aqueles que infringirem os direitos dos consumidores no tocante a informações sobre seus dados pessoais.

Entretanto, segue-se o entendimento de que, a depender do tipo de violação, utilizar-se-á de sanções previstas no CDC e no Código Civil, conforme Patricia Peck Pinheiro ‘‘Dependendo do tipo de violação de direitos do titular serão aplicadas penalidades conforme já previsto na legislação consumerista (Código de Defesa do Consumidor) e/ou pela regra geral do Código Civil Brasileiro (arts. 186, 187 e 927)’’ (2018, pág. 77).

5. CONSIDERAÇÕES FINAIS

A LGPD ainda é muito recente em nosso ordenamento, de modo que ainda não foi palco de grandes discussões e entendimentos pacificados sobre a mesma, a LGPD vem estabelecer a forma de como serão tratados os dados pessoais, bem como definir as figuras que executam essa função.

Em relação as práticas das relações de consumo, a especificidade pela primazia do consentimento do titular de dados às outras hipóteses de tratamento, bem como o direito a informações das quais contenham dados considerados como pessoais, na concretização das relações de consumo, sendo impostas sanções atribuídas pela LGPD ou sanções penais já previstas anteriormente pelo CDC, em caso de descumprimento das normas, essas aplicadas dependendo do tipo de violação.

No quesito da responsabilização dos agentes de tratamento, é atribuído aos agentes de tratamento a responsabilidade objetiva, sobre a ação que possa causar algum dano a outrem, enquanto no exercício de suas funções ao tratamento de dados, a respeito das formas como ocorrerão a reparação desses danos, salvo os casos de exclusão da responsabilidade previstos pelo artigo 43 da LGPD, serão responsabilizados no âmbito de relações de consumo seguindo o artigo 45 da LGPD, onde estarão sujeitos as sanções já previstas pelo CDC e Código Civil.

Assim buscou-se analisar os aspectos relevantes que dispõem sobre como se regerá as relações de direito, em virtude da mudança no tratamento dos dados, averiguar possíveis conflitos entre a LGPD e o CDC, e a responsabilidade que recairá aos que infringirem as normas dispostas na LGPD.

6. REFERÊNCIAS

ALMEIDA, Fabricio Bolzan de. Direito do consumidor esquematizado. 8. ed. São Paulo: Saraiva Educação, 2020.

ANDRADE, Gabriel. LGPD: Entenda como os cookies participam da coleta de dados. Comunique-se, 2021. Disponível em: <https://www.comunique-se.com.br/blog/lgpd-os-impactos-dos-cookies/> Acesso em 16 de novembro de 2021.

BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.

BORELLI, Alessandra. GUTIERREZ, Andriei. LIMA, Caio César C. et al. LGPD: Lei Geral de Proteção de Dados comentada. 2. ed. São Paulo: Thomson Reuters Brasil, 2020.

BRASIL. Código de Defesa do Consumidor. Lei nº. 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm> Acesso em 16 de novembro de 2021.

BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD). Lei nº. 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm> Acesso em 16 de novembro de 2021.

FRAZÃO, Ana. TEPEDINO, Gustavo. OLIVA, Milena Donato. Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. 1. ed. São Paulo: Thomson Reuters Brasil, 2019.

MIRAGEM, Bruno. Lei Geral de Proteção de Dados (Lei 13.709/2018) e o Direito do Consumidor. Revista dos Tribunais, v. 1009/2019, pág. 12-13, nov./2019. Disponível em: <https://brunomiragem.com.br/wp-content/uploads/2020/06/002-LGPD-e-o-direito-do-consumidor.pdf> Acesso em 15 de novembro de 2021.

PINHEIRO, Patricia Peck. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). São Paulo: Saraiva Educação, 2018.

TARTUCE, Flávio. Manual de responsabilidade civil. volume único. São Paulo: MÉTODO, 2018.