RESUMO: O presente artigo tem como propósito analisar a repercussão dos escândalos envolvendo o vazamento de dados pessoais, em especial de usuários de serviços online, e qual seria o regime de responsabilização das empresas por esses incidentes de segurança no âmbito da Lei Geral de Proteção de Dados Pessoais. Com esse propósito, primeiro são tecidas algumas considerações gerais acerca da tutela da privacidade na sociedade da informação, na qual os dados pessoais se tornam uma moeda de troca para os novos modelos de negócios. Na sequência são analisadas as normas brasileiras que dizem respeito ao direito à privacidade e à proteção de dados, assim como os princípios que devem reger as operações de coleta, armazenagem e tratamento de dados. Por fim, discute-se as peculiaridades do regime de responsabilização das empresas em caso de violação de dados.
Palavras-chave: vazamento de dados; responsabilidade civil; privacidade.
ABSTRACT: The purpose of this paper is to discuss the outcomes of the scandals involving breaches of personal data – especially of users of online services – and the corporate accountability regime under the Brazilian General Data Protection Law. To this end, we start by making general remarks about the protection of privacy in the information society, in which personal data become a bargaining chip for new business models. After that, we analyze the rules regarding the right to privacy and data protection, as well as the principles of data collection, storage and processing. Finally, we discuss the peculiarities of the civil liability regime for data breaches.
Key-words: data breach; civil liability; privacy.
SUMÁRIO: 1. INTRODUÇÃO. 2. PROTEÇÃO DE DADOS: UM NOVO CONTORNO DA TUTELA DA PRIVACIDADE NA SOCIEDADE DA INFORMAÇÃO. 3. LGPD: PANORAMA NORMATIVO E PRINCIPIOLÓGICO. 4. REPONSABILIDADE OBJETIVA EM INCIDENTES DE VAZAMENTO DE DADOS. 5. CONCLUSÃO. 6. REFERÊNCIAS.
1.INTRODUÇÃO
Cada vez mais conduzimos nossas vidas online. De acordo com o Relatório Dividendos Digitais, produzido pelo Banco Mundial, o número de usuários da internet mais do que triplicou em uma década (WORLD BANK, 2016, p. 2). Vivenciamos, hoje, a “Internet das Coisas” (“Internet of Things”), estágio no qual os próprios objetos materiais converteram-se em formas de captar e transmitir dados. Certo é que a revolução digital trouxe uma ampla gama de benefícios para a sociedade: as pessoas podem se comunicar facilmente de qualquer lugar no mundo, as transações e os custos de transporte foram reduzidos, boa parte da população mundial conta com amplo acesso à informação e os consumidores podem desfrutar de uma maior variedade de opções em termos de quantidade e preço (WROBEL, 2014, p. 62).
No entanto, a economia digital e suas novas tecnologias também trouxeram riscos nunca antes visualizados. Dados podem ser coletados, processados e interligados de forma muito expandida, a partir de um processo denominado big data (MANTELERO, 2017, p. 02). A partir disso, muitas empresas constroem modelos de negócios apoiados na exploração econômica dos dados pessoais, a exemplo dos sites de relacionamento, search engines e outras aplicações para dispositivos móveis. Desse modo, na “sociedade da informação” (CASTELLS, 2000, p. 25), o acesso a perfis e informações pessoais dos usuários tornou-se o maior capital existente e desejável pelos Estados e empresas mundiais (SCHERKERKEWITZ, 2016, p. 25) sendo os dados pessoais considerados como “o novo petróleo”.
Os dados parecem ser a outra metade do sinalagma contratual entre usuário e provedor, configurando-se como moeda de acesso a serviços aparentemente gratuitos. Esses dados são utilizados para diversas finalidades, como o fornecimento de serviços personalizados e marketing/advertising – o que implica em novos riscos para a personalidade e privacidade do titular dos dados (REDING, 2010, p. 04). Os escândalos de vazamento de dados demonstraram que os usuários em geral desconhecem as finalidades dadas aos seus dados, tampouco compreendem a forma pela qual seus dados são coletados e protegidos, sendo que o clique em “eu aceito” ao final dos termos e condições tornou-se meramente automático.
A preocupação com a proteção de dados ganhou repercussão mundial especialmente com o escândalo envolvendo a transferência irregular de dados pessoais de usuários da rede social Facebook à uma empresa de consultoria chamada Cambridge Analytica, que atuou na campanha eleitoral do ex-presidente americano Donald Trump. Esse compartilhamento indevido de dados violou a privacidade de mais de 87 milhões de usuários, que não tinham conhecimento a respeito da forma em que seus dados estavam sendo utilizados. Por meio de um aplicativo que serviria para determinar aspectos da personalidade a partir de uma série de perguntas, a empresa obteve os dados dos usuários que responderam ao quiz e também dos amigos dessas pessoas, e, assim, conseguiu direcionar ações de publicidade a segmentos específicos da população. O Facebook ainda consentiu que a maioria de seus quase 2 bilhões de usuários poderiam ter seus dados indevidamente acessados.
Além do caso do Facebook, houveram outras inúmeras ocorrências de vazamento de dados pessoais. Por exemplo, a Uber sofreu vazamento de dados de mais de 27 milhões de usuários e 600 mil motoristas, a Netshoes teve os dados de quase 2 milhões de clientes expostos na internet.
Tendo em vista esse novo contexto, a tendência mundial é de elaboração de leis específicas para tratar a proteção de dados pessoais (SOUZA; LEMOS, 2016, p. 68). No Brasil, a exemplo da GDPR da União Europeia, foi promulgada a Lei Geral de Proteção de Dados em 14 de agosto de 2018 (Lei 13.709/2018 ou “LGPD”). Entre os dois diplomas, entretanto, há divergências muito relevantes, sendo uma delas o regime da responsabilidade civil dos agentes de proteção de dados. Este artigo pretende justamente responder a questão de qual seria o regime de responsabilidade civil das empresas em incidentes de vazamento de dados pessoais no Brasil, no âmbito da nova legislação.
Para tanto, pretendemos discorrer sobre a privacidade e o dever de segurança no tratamento de dados pessoais. Na primeira parte deste artigo, abordaremos a emergênica da disciplina da proteção de dados pessoais como desdobramento do direito à privacidade. Em seguida, analisaremos o arcabouço normativo da LGPD e sua proximidade com outros diplomas protetivos. Por fim, verificaremos algumas especificidades do regime de responsabilidade civil aplicável.
2.PROTEÇÃO DE DADOS: UM NOVO CONTORNO DA TUTELA DA PRIVACIDADE NA SOCIEDADE DA INFORMAÇÃO
A Lei Geral de Proteção de Dados Pessoais define, como o seu objetivo e um de seus fundamentos, a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. A proteção de dados é compreendida, portanto, como uma projeção de direitos fundamentais já consagrados, podendo ser explicada, principalmente, na esfera dos direitos da personalidade, que são herdeiros do direito à privacidade (DONEDA, 2011, p. 95). Relaciona-se com a proteção da vida privada e da intimidade (art. 5º, X, da CF), da inviolabilidade do sigilo de dados (art. 5º, XII, da CF), da dignidade da pessoa humana (art. 1º, III, da CF) e contra a discriminação (art. 3º, IV, da CF), como expressões da liberdade e da igualdade da pessoa humana.
Observa-se que o direito à privacidade, classicamente considerado como o “direito de ser deixado só”, conceito introduzido por Warren e Bradeis (1980) no famoso artigo “The right to privacy”, passou por uma transformação juntamente com as relações sociais e econômicas. No âmbito da sociedade da informação, o direito à privacidade passa a ser entendido como o direito ao controle de dados por parte de seu titular (RODOTÀ, 2008, p. 98) e o direito a distinguir quais dados poderão estar disponíveis a terceiros, sendo um aspecto da autodeterminação informativa do usuário (Recht auf Informationelle Selbstbestimmung) (MARQUES; MUCELIN, 2019). Isso é especialmente importante porque, no universo digital, as pessoas não mais são reconhecidas de forma direta, mas mediante a representação de sua personalidade, construída por meio da agregação de dados isolados e fragmentos de informação aparentemente irrelevantes, que revelam inúmeros aspectos da personalidade de um indivíduo. A tecnologia do big data permite que comportamentos sejam previstos de forma muito precisa, possibilitando a criação de mecanismos que visam manipular os impulsos consumidores.
A acentuada vulnerabilidade do ciberconsumidor levou Susanne Lace (2005) a cunhar a expressão “consumidor de vidro” (glass consumer) para se referir às forças transformadoras da sociedade, que acabam por criar uma verdadeira “prisão de vigilância máxima”, implicando fragilização nas relações sociais. Ainda em decisão do STJ de 1995, referente ao Recurso Especial n. 22.337/RS, o Ministro Ruy Rosado de Aguiar caracterizava essa relação entre o tratamento de dados pessoais e controle:
A inserção de dados pessoais do cidadão em bancos de informações tem se constituído em uma das preocupações do Estado moderno, onde o uso da informática e a possibilidade de controle unificado das diversas atividades da pessoa, nas múltiplas situações de vida, permitem o conhecimento de sua conduta pública e privada, até nos mínimos detalhes, podendo chegar à devassa de atos pessoais, invadindo área que deveria ficar restrita à sua intimidade; ao mesmo tempo, o cidadão objeto dessa indiscriminada colheita de informações, muitas vezes, sequer sabe da existência de tal atividade, ou não dispõe de eficazes meios para conhecer o seu re- sultado, retificá-lo ou cancelá-lo. E assim como o conjunto dessas informações pode ser usado para fins lícitos, públicos e privados, na prevenção ou repressão de delitos, ou habilitando o particular a celebrar contratos com pleno conhecimento de causa, também pode servir, ao Estado ou ao particular, para alcançar fins contrários à moral ou ao Direito, como instrumento de perseguição política ou opressão econômica. A importância do tema cresce de ponto quando se observa o número imenso de atos da vida humana praticados através da mídia eletrônica ou registrados nos disquetes de computador.
Assim, evidencia-se a necessidade de regras que disciplinem a coleta, o tratamento e a transferência de dados pessoais, como forma de coibir abusos e contingenciar riscos, assegurando o direito à privacidade e ao livre desenvolvimento da personalidade da pessoa humana.
3.LGPD: PANORAMA NORMATIVO E PRINCIPIOLÓGICO
No âmbito de aplicação da LGPD, os dados objetos de tutela são aqueles relativos a uma pessoa identificada ou identificável (art. 5º, I), isto é, dados que possam ser identificados, direta ou indiretamente, por determinados dados, como o nome, números de identificação, dados de localização, identificadores virtuais de identidade física, fisiológica, genética, mental, econômica, cultural ou social (art. 4º) . A exceção feita pela norma, portanto, é com relação aos dados anonimizados, ou seja, aqueles que, mesmo depois do tratamento, não são passíveis de identificar determinado indivíduo. Da mesma forma, a Lei estabelece uma definição bastante ampla de tratamento de dados, como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (art. 5º, X).
O interessado em tratar dados, desenvolver ou dar seguimento a um negócio que envolva a coleta e tratamento de dados deve compreender e implementar os fundamentos e princípios que regem o tema. O art. 6º da Lei ressalta o princípio da boa-fé, do qual decorrem os princípios da (i) finalidade; (ii) adequação; (iii) limitação do tratamento de dados ao mínimo necessário para a realização de suas finalidades; (iv) garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; (v) qualidade dos dados (garantia de exatidão, clareza, relevância e atualização dos dados); (vi) transparência; (vii) segurança; (viii) adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; (ix) impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e (x) responsabilização e prestação de contas, ou seja, o agente precisa demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Estes princípios deverão guiar a conduta das empresas que coletam e tratam, de qualquer forma, dados pessoais. Nesse sentido, é relevante destacar que, com relação à minimização dos dados, os princípios da Lei impõem que sejam coletados apenas dados mínimos para a finalidade do serviço a ser prestado ou produto. Isso se aplica, também, às autoridades, ainda que nesses casos se dispense o consentimento expresso do tratamento (art. 7º). Esse conceito deve ser incorporado desde a concepção do serviço ou produto a ser ofertado (privacy by design), devendo o controlador sempre questionar se a coleta de determinado dado é necessária e para qual finalidade, na medida em que, inexistindo finalidade clara e adequada, o tratamento poderá ser considerado abusivo.
Na mesma esteira da minimização, mesmo em hipóteses de dispensa de consentimento inequívoco, os dados deverão ser utilizados apenas para as finalidades específicas para as quais foram coletados e devidamente informadas aos titulares, e o tratamento não pode estar dissociado daquilo que o titular razoavelmente espera ao fornecê-lo. Deve-se adotar a privacidade “por padrão” (privacy by default) e observado o princípio da informação: a privacidade deve ser a configuração padrão dos sistemas, sendo o tratamento e compartilhamento a exceção, que deve ser devidamente informada e consentida pelo titular dos dados. Ressalva-se que o consentimento não é a única forma de legitimar o tratamento, conforme se depreende do artigo 7º da LGPD, no entanto, quando exigido, o consentimento deve ser inequívoco, isto é, o titular deve ser informado e ter conhecimento, de forma inequívoca, da existência, dos procedimentos e finalidade do tratamento, bem como para quem serão divulgados e transmitidos os seus dados. Ainda, o titular tem o direito de retificar os dados, revogar o consentimento e mandar apagá-los. Assim, não há mais possibilidade de concordância genérica ao final da página, de forma a vincular o consentimento a todos os itens à prestação do serviço ou fornecimento do produto.
Desse modo, a LGDP equaliza a assimetria no mercado informacional, propiciando ao cidadão mais autonomia no que diz respeito ao controle e gerenciamento de seus dados, consoante com o direito à autodeterminação informacional e o livre desenvolvimento da personalidade, que constituem um instrumento valioso contra a discriminação e a favor da igualdade e da liberdade (MORAES, 2010, p.141).
A legislação de proteção de dados assegura um arcabouço normativo que objetiva garantir o tratamento dos dados pessoais de modo compatível aos direitos dos titulares dos dados, evitando seu tratamento sem observância das exigências legais, assim como a prevenção de riscos inerentes à atividade (MIRAGEM, 2019, p. 12). Os agentes de tratamento de dados serão penalizados por violações ao dever de segurança, definido como a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (arts. 6º, VII, e 46 da LGPD).
Ainda, conforme os artigos 50 e 51 da LGPD, a governança e boas práticas serão um filtro para a delimitação dos riscos abarcados pelo regime de responsabilidade civil:
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
I - implementar programa de governança em privacidade que, no mínimo:
(...)
II - demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.
§ 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.
Art. 51. A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais.
Assim, exige-se um compliance efetivo, com demonstração, dentre outros fatores, do comprometimento dos agentes de tratamento na adoção de novos procedimentos e políticas internas, de modo adequado à supervisão e mitigação dos riscos envolvendo o tratamento de dados. Impõe-se, nesse cenário, um novo dever para a operacionalização protetiva dos dados pessoais enquanto dimensão positiva do direito fundamental à privacidade: a devida diligência (due diligence) (DRESCH, 2019, p. 81).
Importante observar que, a exemplo do que ocorre na União Europeia, em cumprimento ao GDPR, a adoção de padrões de boas práticas e programas de governança serão levadas em consideração para obtenção de certificações pelas empresas, como também para redução e minimização das sanções administrativas. Ainda, em caso de incidente de segurança, surge a obrigação para o controlador de comunicar a Autoridade Nacional de Proteção de Dados (ANDP), que pode determinar, conforme o caso, a adoção de medidas para mitigar os efeitos do incidente ou a ampla divulgação para a sociedade (art. 48). Além disso, a Autoridade Nacional de Proteção de Dados disporá sobre padrões técnicos mínimos, considerando a natureza das informações tratadas e as características do tratamento, e o controlador deverá garantir a proteção de dados mesmo após o término do tratamento.
Notamos que a LGPD trouxe unidade e transparência ao ordenamento jurídico brasileiro, incorporando regras características da legislação pátria ao mesmo tempo em que traz elementos do regulamento europeu. Em seu art. 64, notadamente inspirado no art. 7º do CDC (Lei 8.078/90) relativo ao diálogo das fontes, firma a conclusão de que os direitos dos titulares dos dados previstos na lei não excluem outros previstos nas demais normas do ordenamento jurídico, devendo ser cumulados e compatibilizados pelo intérprete.
Nesse sentido, mister traçar algumas considerações a respeito das normas já vigentes no quadro legislativo brasileiro. Observamos que temos, além das disposições constitucionais que se relacionam com o direito à proteção de dados (art. 5º, XI e XIII da CF), o Código Civil brasileiro (Lei 10.406/2002) prevê uma abertura à proteção de dados ao tratar dos direitos à personalidade e inviolabilidade da vida privada e o Código de Defesa do Consumidor prevê que o consumidor deve ser avisado por escrito a respeito da coleta para abertura de fichas e cadastros, garantindo, também, o acesso às informações pessoais, a sua correção e eventual atualização (artigo 43). Nesse mesmo intuito, a Lei do Cadastro Positivo conceitua o banco de dados enquanto instrumento intrinsecamente relacionado ao risco financeiro da empresa (art. 2º, I) para formação do histórico de crédito do consumidor, merecendo destaque a norma proibitiva de registro de informações excessivas e sensíveis (art. 3º, §3º), que também tem regime especial na LGPD. Ainda, a Lei de Acesso à Informação (Lei nº 12.527/2012), embora trate da publicidade de dados relacionados às atividades públicas, em seu art. 31 demonstra a necessidade de cautela no tratamento de informações pessoais relativas à intimidade, vida privada, honra e dignidade. O Marco Civil da Internet (Lei 12.965) estabelece padrões mínimos de segurança e sigilo a serem adotados pelos provedores de aplicação com relação aos registros, dados pessoais e comunicações privadas de seus usuários. A proteção de dados pessoais é fixada como princípio da disciplina do uso da internet (art. 3º, III) e o consentimento expresso, que deverá ocorrer de forma destacada das demais cláusulas contratuais, é condição para “coleta, uso, armazenamento e tratamento de dados pessoais” (art. 7º, IX). É estabelecido, também, o direito à “exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei” (art. 7º, X).
Com a aplicação do método do diálogo das fontes (MARQUES, 2012, p. 17), temos que o tratamento de dados realizados com a finalidade direta ou indireta de fomentar a atividade econômica do fornecedor no mercado de consumo, submete-se à incidência, em comum, do CDC e da LGPD. E, quando tais operações se realizem por intermédio da internet, incidirá também o Marco Civil da Internet, devendo ser compatibilizadas as normas das respectivas legislações.
4.REPONSABILIDADE OBJETIVA EM INCIDENTES DE VAZAMENTO DE DADOS
Conforme visto, a LGPD estabelece uma obrigação central aos agentes de tratamento, qual seja, a adoção das medidas de segurança, técnicas e administrativas, adequadas para proteger os dados pessoais de acessos não autorizados e incidentes de vazamento de dados, também chamados de data breach, que são entendidos como “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, armazenados ou sujeitos a qualquer outro tipo de tratamento”.
Em incidentes de vazamento de dados, a consideração da responsabilidade dos agentes leva em conta a natureza da atividade de tratamento de dados, que é restringida às hipóteses com fundamento legal (art. 7), devendo compreender apenas dados estritamente necessários (princípio da finalidade, art. 6, III) e ser adequada e proporcional em relação à sua finalidade (art. 6, II). Observa-se que o regulamento tem como um de seus fundamentos principais a diminuição do risco, partindo da premissa de que o tratamento de dados apresenta risco intrínseco aos seus titulares. Assim, justifica-se a opção por um regime de responsabilidade objetiva no art. 42 da LGDP, que vincula a obrigação de reparação do dano ao exercício de atividade de tratamento de dados pessoais.
O regime ainda prevê especificações quanto à responsabilidade de determinados agentes, conceituados nos incisos VI e VII do art 5º: o controlador (“pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”) e o operador (“pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”). O operador somente será responsabilizado por atos que cometa e que sejam contrários à Lei ou às instruções que lhe sejam fornecidas pelo controlador, casos nos quais aplica-se o regime de responsabilidade solidária entre controlador e operador. Ao controlador, portanto, cabe a responsabilidade nas demais hipóteses.
Para a apuração da responsabilidade, a existência de governança e de uma política de gestão de risco de dados terá substancial relevância, pois, de acordo com o art. 43, os agentes de tratamento não serão responsabilizados quando provarem: (i) que não realizaram o tratamento de dados pessoais que lhes é atribuído; (ii) que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou (iii) que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Ressalta-se que o tratamento de dados será considerado irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: (i) o modo pelo qual o tratamento de dados é realizado; (ii) o resultado e os riscos que razoavelmente dele se esperam; (iii) as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.” (art. 44). Aqui, a técnica legislativa empregada na LGPD aproxima-se daquela adotada pelo CDC ao disciplinar o regime do fato do produto e do serviço, em especial na definição dos critérios a serem considerados para determinação do atendimento ao dever de segurança.
Observa-se que o legislador estabeleceu um critério geral de imputação lastreado na verificação e demonstração do defeito, manifestado na quebra de legítimas expectativas quanto à segurança dos processos de coleta, tratamento e armazenagem de dados. Exige-se a verificação do nexo de causalidade do dano, qual seja, a falha do controlador ou do operador, contudo, é irrelevante se falha se dá por dolo ou culpa, sendo apenas sua constatação suficiente para atribuição da responsabilidade, inclusive com a possibilidade de inversão do ônus da prova em favor do titular dos dados, nas mesmas hipóteses de hipossuficiência e verossimilhança aplicáveis no âmbito das relações de consumo (art. 42, § 2º, da LGPD).
Conforme explicitado no art. 45 da LGPD, às relações de consumo se aplicarão as condições de imputação e excludentes de responsabilidade estabelecidas pelo regime do fato do produto ou do serviço (art. 14 do CDC). Nesse sentido, Bruno Miragem (2012, p. 535) ensina que a falha de segurança ou má prestação do serviço que gere danos ao consumidor “induz a uma verdadeira presunção de existência do defeito, cuja prova em contrário é exigida do fornecedor, para efeito de eximir-se da responsabilidade”, cabendo, vis-à-vis, a inversão do ônus da prova. A violação do dever de segurança, portanto, implica na responsabilidade objetiva do fornecedor pelos danos causados, sendo as hipóteses de vazamento de dados espécie de risco inerente à atividade de tratamento de dados, ou seja, fortuito interno, situação que não é apta a afastar a responsabilidade dos respectivos controladores de dados. Neste caso, controlador e operador respondem solidariamente, assim como todos os fornecedores que venham intervir ou ter proveito do tratamento de dados do qual resulte dano ao consumidor, incluindo o encarregado (MIRAGEM, 2019, p. 27).
No que toca aos provedores de aplicações de internet, principais envolvidos em escândalos de vazamento de dados, a relação usuário-provedor é caracterizada como de consumo, uma vez que, conforme o artigo 3º, § 2º, do CDC, são serviços “qualquer atividade fornecida no mercado de consumo, mediante remuneração”. Conforme visto, embora o provedor de aplicação seja aparentemente gratuito, ele é oneroso mesmo que de maneira indireta, uma vez que a coletividade ou o próprio usuário paga através de seus dados (MARQUES, 2016). Em outras palavras, o provedor aufere lucros com a criação de uma base de dados de seus usuários que é comercializada, geralmente, para fins publicitários e/ou ilegítimos.
Nesse sentido, é sedimentado o entendimento da doutrina e da jurisprudência em relação à desnecessidade de remuneração direta, tendo o STJ decidido que “para a caracterização da relação de consumo, o serviço pode ser prestado pelo fornecedor mediante remuneração obtida de forma indireta” (BRASIL, 2004), sendo que o fato de o serviço prestado pelo provedor de serviço de internet ser gratuito não desvirtua a relação de consumo, devendo a expressão “mediante remuneração”, constante do artigo 3º, § 2º, do CDC, ser interpretada “de forma ampla, de modo a incluir o ganho indireto do fornecedor” (BRASIL, 2012).
No polêmico caso de uso irregular de dados pela empresa Cambridge Analytica, o Facebook, apesar de não ter tido envolvimento direto, é também responsável por permitir que dispositivos de terceiros tenham acesso irrestrito aos dados de seus usuários, utilizando de brechas nos termos de adesão e permissão, que, por serem tão extensos e terem caráter técnico, geralmente não são lidos. Nos Estados Unidos, a Federal Trade Commission multou o Facebook ao pagamento de 5 milhões de dólares e determinou restrições de privacidade e novas práticas de governança e compliance para a empresa. No Brasil, a atuação da Cambridge Analytica deu ensejo a instauração de um inquérito civil por parte do Ministério Público do Distrito Federal e Territórios (MPDFT) para apurar o uso de dados pessoais de cidadãos brasileiros sem o seu consentimento, considerando este caso como um dos maiores incidentes de falha de segurança no mundo. Nesse aspecto, a atuação do MPDFT merece destaque pela criação de uma comissão de proteção de dados pessoais, a primeira no país a tratar especificamente sobre o assunto. Agora, com a criação da Autoridade Nacional de Proteção de Dados, esta ficará encarregada de fiscalizar o tratamento de dados e de sancionar o descumprimento à legislação, de regulamentar hipóteses não especificadas na legislação, de orientar a sociedade sobre a aplicação da Lei e de receber demandas sobre violações às normas de proteção de dados.
Até então, casos de vazamento de dados pessoais foram resolvidos em litigâncias esparsas pelo país. Temos, por exemplo, o caso do aplicativo Lulu, que foi disponibilizado no mercado brasileiro no dia 20 de novembro de 2013, e, em poucas semanas, tornou-se um dos aplicativos para smartphones mais baixados nas lojas virtuais. O aplicativo coletava informações públicas dos perfis dos participantes e atribuía notas às suas características físicas e personalidade, permitindo que usuários comentassem, anonimamente, os perfis de cada um, muitas vezes submetendo a pessoa a constrangimento público sem o seu conhecimento. Levados a examinar a matéria em processos judiciais que reclamavam indenização, em 2014, o Tribunal de Justiça do Rio Grande do Sul e o Tribunal de Justiça do Paraná responsabilizaram solidariamente o Facebook Serviços Online do Brasil Ltda e o Luluvise Incorporation, pela violação do direito dos titulares dos perfis expostos no aplicativo. Entenderam que o compartilhamento das informações e o fim atribuído àquelas expunha excessivamente os indivíduos, que sequer consentiram com a inclusão dos seus dados naquela rede social, em uma clara violação ao seu direito à autodeterminação informativa. Ainda que o usuário do Facebook haja ali publicado seus dados pessoais de maneira voluntária, não se supõe, com isso, que esteja autorizando o uso indiscriminado dessas informações, notadamente, para uma finalidade tão peculiar como teria sido a do Lulu.
A violação aos dados pessoais, portanto, atrai a responsabilidade objetiva daquele que tinha o dever de conservá-los dentro dos limites dos fins para os quais os obteve, medida de que garante a efetividade dos direitos dos titulares de dados, que têm seus dados (muitos deles sensíveis) circulando por diversas cadeias de fornecimento distintas, sem o seu conhecimento.
5.CONCLUSÃO
A nova lei brasileira de proteção de dados pessoais configura-se como uma expressão da convergência internacional em torno de princípios básicos de proteção de dados, entre os quais estão a legalidade, a transparência, a adequação e a necessidade. Vimos que, com os recentes escândalos de vazamento de dados, restou claro que as pessoas desconheciam a assimetria informacional entre as partes envolvidas nas relações digitais. Considerava-se, em virtude da presunção de boa-fé que pauta nossas relações, que o ambiente digital era seguro, com políticas de privacidade idôneas e pautadas pela cautela no tratamento dos dados fornecidos pelos usuários. Os novos regulamentos surgem com o objetivo de assegurar o direito à privacidade e restaurar a confiança em relação às empresas que coletam, tratam e/ou armazenam dados, permitindo, de forma transparente e segura, o desenvolvimento desse mercado.
Certamente, mesmo com a existência prévia de normas aplicáveis à proteção de dados no ordenamento jurídico brasileiro, a sanção da LGPD foi um enorme avanço em nosso marco normativo, uma vez que traz segurança jurídica às empresas que coletam, tratam e/ou armazenam dados, elencando uma série de direitos, princípios e procedimentos que devem ser seguidos para evitar eventual responsabilidade, ao mesmo tempo em que disponibiliza meios para que o cidadão controle e gerencie seus dados. A legislação preza pela proatividade na condução de políticas de governança e procedimentos eficientes, para que haja uma atuação preventiva, de mitigação de riscos, ao invés de corretiva. A privacidade deve ser a configuração padrão dos sistemas, automática, sendo o tratamento e o compartilhamento a exceção, quando devidamente consentida.
Impôs-se às empresas uma obrigação de prevenção, sendo a governança um parâmetro para a delimitação dos contornos do nexo de causalidade em eventos de vazamento de dados. Tem-se, em essência, um dever geral de cuidado que se desdobra em um regime de imputação baseado na verificação e demonstração de uma falha de segurança (defeito) na prestação dos serviços. Eventual violação, por causar a ruptura de legítimas expectativas do titular dos dados, conduzirá à responsabilização dos agentes de tratamento e, no caso das relações de consumo, de todos os fornecedores que venham intervir ou ter proveito do tratamento de dados. Para fins de comprovação de que a atividade de tratamento correspondeu com o que o titular poderia esperar, deve ser mantido um registro completo das operações.
Por todo o exposto, as empresas agora devem aderir a novos padrões de compliance, adotando políticas de governança aptas a mitigar os riscos advindos dos processos de coleta, armazenagem e tratamento de dados, devendo exercer o dever de devida diligência, à luz das técnicas disponíveis, para evitar incidentes de vazamento de dados e eventual responsabilidade decorrente dos danos causados ao titular de dados, responsabilidade esta que independerá de culpa.
6. REFERÊNCIAS
BENNETT, Colin. Convergence revisited: towards a global policy for protection of personal data? In: AGRE, P. E.; ROTENBERG, M. (Ed.). Technology and privacy: the new landscape. Cambridge: The MIT Press, 1997.
BRASIL. A proteção de dados pessoais nas relações de consumo: para além da informação creditícia. Escola Nacional de Defesa do Consumidor. Brasília: SDE/DPDC, 2010. Disponivel em: <http://www.vidaedinheiro.gov.br/docs/Caderno_ProtecaoDadosPessoais.pdf>.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Disponivel em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em: 20 set. 2020
CACHAPUZ, Maria Cláudia Mércio. Privacidade, proteção de dados e autodeterminação informativa. Revista Jurídica da Presidência, Brasília , v. 15, n. 107, Out. 2013/Jan. 2014.
OXFORD INTERNET INSTITUTE. Data Protection Principles for the 21st Century: Revising the 1980 OECD Guidelines. Oxford, 2014. Disponivel em: <https://www.oii.ox.ac.uk/archive/downloads/publications/Data_Protection_Principles_for_th e_21st_Century.pdf>. Acesso em: 20 set. 2020.
CUSTERS, Bart. Data Mining and Group Profiling on the Internet. In: VEDDER, A. Ethics and the Internet. Antwerpen/Groningen/Oxford: Intersentia, 2001.
DONEDA, Danilo. Os Direitos da Personalidade no Código Civil. Revista da Faculdade de Direito de Campos, v. Ano VI, n. 6, JUNHO 2005.
DONEDA, Danilo; MENDES, Laura Shertel. Um perfil da nova Lei Geral de Proteção de Dados brasileira. In: BELLI, L.; CAVALL, O. Governança e regulações da Internet na América Latina: Análise sobre infraestrutura, privacidade, cibersegurança e evoluções tecnológicas em homenagem aos dez anos da South School on Internet Governance. Rio de Janeiro: FGV Direito Rio, 2019. Disponivel em: <http://bibliotecadigital.fgv.br/dspace/bitstream/handle/10438/27164/Governança%20e%20regulações%20da%20internet%20na%20América%20Latina.pdf?sequence=3&isAllowed=y>. Acesso em: 20 set. 2020.
DONEDA, DANILO. A proteção dos dados pessoais como um direito fundamental. Espaço Jurídico, Joaçaba, v. 12, n. 2, p. 91-108, jul./dez. 2011. Disponivel em: <https://dialnet.unirioja.es/descarga/articulo/4555153.pdf>. Acesso em: 15 set. 2020.
DRESCH, Rafael.; FALEIROS JÚNIOR, José Luiz de Moura. Reflexões sobre a Responsabilidade Civil na Lei Geral de Proteção de Dados (Lei nº 13.709/2018). In: DRESCH, R.; ROSENVALD, N.; WESENDONCK, T. (Ed.). Responsabilidade civil: novos riscos. Indaiatuba: Editora Foco, 2019.
EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS AND COUNCIL OF EUROPE. Handbook on European data protection law. [S.l.]: [s.n.], 2018. Disponivel em: <https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data- protection_en.pdf>. Acesso em: 10 set. 2020.
FEIGELSON, Bruno; SIQUEIRA, Antonio Henrique Albani. Comentários à Lei Geral de Proteção de Dados. São Paulo: Thomson Reuters Brasil, 2019.
MANTELERO, Alessandro. Regulating Big Data. The Guidelines of the Council of Europe in the Context of the European Data Protection Framework. Computer Law & Security Review, v. 33, n. 5, 2017.
MARQUES, Claudia Lima; MUCELIN, Guilherme. Responsabilidade civil dos provedores de aplicação por violação de dados pessoais na internet: o método do diálogo das fontes e o regime do Código de Defesa do Consumidor. In: REVISTA DOS TRIBUNAIS. Contraponto Jurídico: Posicionamentos divergentes sobre grandes temas do Direito. Revista dos Tribunais, 2019.
MARQUES, Claudia Lima. Confiança no comércio eletrônico e a proteção do consumidor: (um estudo dos negócios jurídicos de consumo no comércio eletrônico). Revista dos Tribunais, São Paulo, 2004.
MENDES, Laura Schertel. O diálogo entre o Marco Civil da Internet e o Código de Defesa do Consumidor. Revista de Direito do Consumidor, São Paulo, v. 106, jul./ago 2016.
MIRAGEM, Bruno. A Lei Geral de Proteção de Dados (Lei 13.709/2018) e o Direito do Consumidor. Revista dos Tribunais, v. 1009, nov. 2019.
RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Trad. Danilo Doneda e Luciana Cabral Doneda. Rio de Janeiro: Renovar, 2008.
SCHREIBER, Anderson. Direitos da Personalidade. 3. ed. São Paulo: Atlas, 2014.
SICHEL, R.; DIAS, J. C. V. E. PERSONAL DATA PROTECTION IN BRAZIL: HOW FAR HAVE WE BEEN AND HOW FAR CAN WE GO? Quaestio Iuris, Rio de Janeiro, v. 11, n. 4, p. 2876-2915, 2018.
TIKKINEN-PIRI, C.; ROHUNEN, A.; & MARKKULA, J. EU General Data Protection Regulation: Changes and implications for personal data collecting companies. Computer Law & Security Review, v. 24, n. 1, p. 134–153, 2018.
VERSACI, G. Personal Data and Contract Law: Challenges and Concerns about the Economic Exploitation of the Right to Data Protection. European Review of Contract Law, v. 14.4, p. 374-392, 2018.
WARREN, Samuel; BRANDEIS, Louis. Harvard Law Review, v. IV (5), p. 193-220, The Right to Privacy 1890. Disponivel em: <https://www.jstor.org/stable/1321160>. Acesso em: 18 set. 2020.
WROBEL, Gregory. Connecting Antitrust Satandards to the Internet of Things. Antitrust, v. 29, n. 1, p. 62 – 70, 2014.
Artigo publicado em 11/11/2024 e republicado em 16/04/2024
Graduada em Ciências Jurídicas e Sociais pela Universidade Federal do RIo Grande do Sul.
Conforme a NBR 6023:2000 da Associacao Brasileira de Normas Técnicas (ABNT), este texto cientifico publicado em periódico eletrônico deve ser citado da seguinte forma: CELADA, Daniela Scheuermann. Responsabilidade civil em incidentes de vazamento de dados Conteudo Juridico, Brasilia-DF: 16 abr 2024, 04:50. Disponivel em: https://conteudojuridico.com.br/consulta/artigos/57418/responsabilidade-civil-em-incidentes-de-vazamento-de-dados. Acesso em: 25 nov 2024.
Por: Maria Laura de Sousa Silva
Por: Franklin Ribeiro
Por: Marcele Tavares Mathias Lopes Nogueira
Por: Jaqueline Lopes Ribeiro
Precisa estar logado para fazer comentários.