Por Tárcio Magno Ferreira Pimentel [1]
Sumário: 1.Introdução – 2. A Responsabilização Civil – 3. Dados pessoais e sua tutela protetiva – 4. Responsabilização civil por violação e ofensa a dados pessoais – 5. Considerações finais – 6. Referências
RESUMO:
A contemporaneidade exige dos estabelecimentos comerciais, pessoas físicas e órgãos públicos, a relação de muitos negócios jurídicos e com ela a necessidade de tratamento consistente na captação, processamento, cessão e o armazenamento de dados pessoais. A proteção desses dados alcançam o status constitucional de direito a dignidade da pessoa humana. Todavia, por maior os graus de segurança adotado ainda sim podem ocorrer violações e, consequentemente, o vazamento desses dados . Assim sendo, investigar e atribuir eventuais responsabilidades civil incidente em tais hipóteses assume relevância impar. Diante dessa tormentosa tarefa, o presente artigo busca encontrar na legislação vigente , bases jurídica para a responsabilização civil dos que fazem uso de dados pessoais para alguma finalidade, sob a ótica da tutela geral de privacidade embutido na Constituição Federal de 1.988, seus reflexos no Código Civil e atualmente na Lei Geral de Proteção de Dados.
Palavras-Chave: Proteção de Dados; Direitos Fundamentais; Dados Pessoais; Privacidade; Responsabilidade Civil; Agentes de Tratamento de Dados.
ABSTRACT:
Contemporarydemandsof businesses, individuals and public agencies, the relationship of many legal businesses and with it the need for consistent treatment in the collection, processing, assignment and storage of personal data. The protection of this data achieves the constitutional status of the right to dignity of the human person. However, the higher the degrees of security adopted can still occur violations and, consequently, the leakage of this data. Therefore, investigating and assigning any civil liability arising in such hypotheses is of unequal relevance. Given this stormy task, this article seeks to find in the current legislation, legal bases for the civil liability of those who make use of personal data for any purpose, from the perspective of the general protection of privacy embedded in the Federal Constitution of 1988, its reflexes in the Code. Civil andcurrently in the General Data ProtectionAct.
Keyword: Data Protection; Fundamental rights; Personal data; Privacy; Civil responsability; Data ProcessingAgents
- INTRODUÇÃO
Segundo teóricos, o mundo passa por uma transição de época e estaria no início da 4ª revolução industrial ou da chamada Indústria 4.0. O desenvolvimento e a incorporação de inovações tecnológicas mudam radicalmente o mundo como o conhecemos e irá moldar a indústria e as relações interpessoais nos próximos anos.
O professor alemão Klaus Schwab, fundador do Fórum Econômico Mundial, desenvolve a ideia de que já estamos vivendo nessa nova Era. “Estamos a bordo de uma revolução tecnológica que transformará fundamentalmente a forma como vivemos, trabalhamos e nos relacionamos. Em sua escala, alcance e complexidade, a transformação será diferente de qualquer coisa que o ser humano tenha experimentado antes[2]“.
Nessa conjectura, muitas vezes o titular de um dado pessoal precisa ceder, informar este dado, que ficará em poder do receptor, sem o qual não terá acesso inúmeros produtos e serviços necessários disponibilizados no mercado de consumo, mas nem sempre sabe a destinação final desses dados que exprimem ou podem revelar a identidade e traços individuais do titular, dos quais devem receber a tutela geral da privacidade.
Isso justifica a necessidade da proteção aos dados pessoais, sendo essa uma preocupação crescente da sociedade, e a escassa normatização objetiva provoca insegurança sobre o tema, notadamente, da responsabilização quando violado um dado ou conjunto de dados pessoais decorrentes do acesso indevido a eles, armazenamento e compartilhamento desautorizado, ou tratamento abusivo.
Para cumprir o objetivo deste artigo, é necessário o uso da pesquisa bibliográfica, estudo da doutrina brasileira sobre o tema, o apoio no direito comparado, às disposições da Constituição Federal de 1.988, e da legislação infra-constitucional.
- A RESPONSABILIZAÇÃO CIVIL
O postulado da responsabilidade civil se lastreia na premissa de que a ninguém é dado causar dano a outrem (neminemlaedere), e expressa um ideal de princípio em torno de um compromisso tácito entre os indivíduos a não se prejudicarem, como forma de assegurar a sobrevivência e a própria convivência.
É um “não fazer”, um dever geral a todos imposto, e quando transgredido, o agente assume a obrigação de reparar o dano. Na lição de Cavalieri filho (2009, p. 02): “responsabilidade civil é um dever jurídico sucessivo que surge para recompor o dano decorrente da violação de um dever jurídico originário”.
O Código Civil brasileiro incorpora esta dicotomia ao tratar do inadimplemento das obrigações e suas consequências, pois seu art. 389 assim dispõe: “não cumprida a obrigação, responde o devedor por perdas e danos, mais juros e atualização monetária segundo índices oficiais regularmente estabelecidos, e honorários de advogado”.
A evolução da responsabilidade civil perpassou por importantes marcos. Nos primeiros momentos das civilizações humanas vigorava a ideia de vingança privada, inexistindo pressupostos, condições ou limites para alguém imputar responsabilidade civil a outrem, valendo o império da força física, sendo completamente desconhecida e desimportante a noção de culpa, como aduz Gonçalves (2009, p. 4).
A concreta evolução da responsabilidade civil deu-se a partir da Lei de Aquilia, surgida ao longo do século III a.C., e assim é denominada “em razão da pessoa que teve a iniciativa de suscitá-la, a saber, o tribuno Aquilius”, consoante relata Limongi França (1983, p. 273-274), adotada como marco para a consideração da culpa no dever de indenizar, provocando o surgimento da categoria da responsabilidade aquiliana, ou extracontratual.
Pela Lei Aquiliana (lexaquilia), in lege aquilia et levissima culpa venit, ou seja, a culpa, ainda que levíssima, gera o dever de indenizar. A responsabilidade civil aquiliana leva à teoria da reponsabilidade civil subjetiva, que tem na culpa seu elemento essencial, afirmando a respeito Gonçalves (2011, p. 316-317), que a culpa tem sua essência na “violação de uma norma de conduta por falta de cuidado”, atada à ideia de previsibilidade de um comportamento atribuído ou esperado do homo medius.
É a teoria preponderante vigente no ordenamento jurídico brasileiro, por força do Código Civil vigente, na medida em que seu art. 186 preconiza que “aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral”.
A toda evidência, o dispositivo em foco contempla a culpa lato sensu (dolo) na parte que considera “ação ou omissão voluntária”, e acolhe a culpa strictu sensu quanto refere a “negligência ou imprudência”. Todavia, os riscos da modernidade levaram à edificação da ideia de responsabilização independentemente de culpa, culminando com a teoria da responsabilidade civil objetiva, explicada por Gonçalves (2011, p. 49) como aquela em que “prescinde-se totalmente da prova da culpa. Ela é reconhecida, (…), independentemente de culpa. Basta, assim, que haja relação de causalidade entre a ação e o dano”.
Oportuna, aliás, é a explanação de Martins-Costa (2008, p. 71) a respeito: “Porém, ainda que no terreno civil seja quantitativamente prevalece a imputação informada pelo critério da culpa, esse não é o único critério. Também há essa atribuição segundo outros critérios (por exemplo, o critério da confiança; do risco etc.)”.
Como consequência, admite-se uma complexa dimensão da ilicitude que engloba a chamada ilicitude subjetiva e objetiva: é subjetiva quando a norma determina seja o nexo de imputação balizado pela culpa, impondo-se a verificação da negligência ou da imprudência ou, ainda, no caso do colo, também a intencionalidade; é objetiva quando não é necessário averiguar se subjacente ao ato ou conduta, houve ato negligente ou imprudente, pois a ilicitude estará caracterizada pelo desvio ou pela contrariedade à norma de dever ser imposta pelo Ordenamento, compreendido (…) como o conjunto de princípio e regras derivadas das quatro fontes de normatividade e destinadas, em última instância, a assegurar a coexistência de liberdades.
O Código Civil pátrio admite sua aplicação em situações excepcionais, como se extrai do art. 927, caput e parágrafo único: Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo. Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.
Além do Código Civil, e em verdade, na trilha aberta pela locução “nos casos especificados em lei” do parágrafo único do art. 927, uma crescente gama de leis esparsas tem passado a prever a responsabilidade objetiva, dispensando a culpa como elemento configurador.
Nesse plano, é possível citar o Código de Defesa do Consumidor (Lei 8.078/1990), a legislação de acidentes de trabalho (Lei 8.213/1991), etc. O incremento de previsões de responsabilização objetiva é justificado, segundo a doutrina de Serra Vieira (2004, p. 88), porque a responsabilidade objetiva sustenta em si a noção de seguridade geral, pelo controle do fato tido como causa do dano, para que todos possam suportar os prejuízos que venham a recair sobre qualquer um de nós, a título de riscos da vida em uma sociedade desenvolvida, massificada e com crescente aumento dos acidentes de trabalho, de transito e de transporte de consumo, das atividades estatais, ambientais, minerais, dentro outras.
As premissas sobre responsabilidade civil acima discorridas também importam às relações envoltas nas tecnologias da Sociedade da Informação, com especial aplicação no fluxo de informações e dados pessoais, porque abre-se um espectro de riscos para direitos de personalidade e dignidade dos indivíduos.
- DADOS PESSOAIS E SUA TUTELA PROTETIVA
Na sociedade contemporânea, as relações humanas são intermediadas, propiciadas ou desenvolvidas a partir, ou ao menos tendo em conta, dados pessoais, isto porque a informação se apresenta como fator de grande importância nos mais variados aspectos da vivência humana.
Nesse plano, estão relações pessoais, políticas, sociais, econômicas, judiciais, etc. E são as tecnologias, sobretudo de informática, telemática e telecomunicação, que permitem acessar e domar a informação, manipulando, transformando e moldando adrede a empregá-la na transformação do mundo e na geração de conhecimentos e bens.
Está-se diante, pois, do que se convencionou chama de Sociedade da Informação, onde, segundo Castells (2003, p. 53- 54) a geração de conhecimento é a fonte da produtividade, propiciada pelo processamento da informação, na medida em que conhecimento e informação são elementos essenciais dos modos de desenvolvimento atual.
Nessa gravitação de informações que tocam os mais variados aspectos da vida e das relações humanas, exsurge a necessária preocupação com a proteção dos dados pessoais, levando a se estabelecer um caráter jurídico a esta proteção, reconhecendo-a como desdobramento de direitos humanos e direitos fundamentais, por se tratar de uma nuança do direito à privacidade.
E, num passo já adiantado, há concepções que defendem, a exemplo de Zanon (2013, p. 146) que a proteção dos dados pessoais tem status de um direito próprio e autônomo. Os dados pessoais podem ser alocados à primeira vista, de acordo com Echterhoff (2010, p. 156), entre dados não nominativos e dados nominativos. Os primeiros transparecem como dados anônimos, em regra estatísticos, econômicos, políticos, sociais, não relacionados diretamente com nenhuma pessoa específica, ao passo que os dados nominativos são os que de forma direta ou indireta identificam uma pessoa ou permitem a identificação. Logo, os dados nominativos são os dados pessoais, porque, segundo Vieira (2007, p. 255), atinem a determinada pessoa identificada ou passível de identificação, esta que pode ser direta ou em associação com outros dados.
A propósito, a identificação do indivíduo a partir da associação de dados variados, o que só é possível pelo fluxo de dados presente na Sociedade da Informação, é acolhida na Teoria dos Mosaicos.
Segundo por Conesa apud Bessa (2003, p. 91), nesta teoria, a existência de inúmeras informações pessoais que em si mesmas são irrelevantes quanto a riscos para a privacidade, mas quando atadas a outras informações são capazes de tornar pública e transparente a personalidade e a vida de determinada pessoa, tal como ocorrem com pequenas pedras que formam os mosaicos, que em si não dizem nada, porém unidas podem formar conjuntos cheios de significados.
Na Sociedade da Informação o fluxo de dados é uma condição necessária para a funcionalização das mais variadas relações, onde amiúde circulam dados pessoais, e a necessidade de sua proteção se justifica porque, segundo Vieira (2007, p. 253) “desde o nascimento, o indivíduo já tem inseridos os respectivos dados pessoais em arquivos informatizados da Secretaria de Registro Civil”.
E neste emaranhado de dados pessoais, uns compartilháveis e não passíveis de ocultação, outros dignos de proteção e aptos a serem ofuscados do conhecimento alheio, podem ser classificados como dados sensíveis e dados não-sensíveis.
É a linha proposta por Limberger (2007, p. 61) e Doneda (2006, p. 160-161), para quem: i) os dados sensíveis são aqueles que se coletados e processados surtem um potencial de discriminação ou de lesividade aos titulares, e em alguns casos até para coletividades, 279 estando, em regra, relacionados a raça, convicções políticas, credo religioso, opção sexual, histórico médicos e aspectos genéticos; ii) os dados não sensíveis são aqueles considerados de domínio público, não reservados ao seu titular, a exemplo de nome e estado civil, com sugere Echterhoff (2010, p. 157).
E o adequado enquadramento que se faça de um determinado dado pessoal, ou conjunto de dados pessoais, é fundamental para averiguar e reclamar o nível de proteção que merece e como a tutela da privacidade incide sobre seu conteúdo, despontando, inclusive, base de responsabilização civil quando ocorre violação ou exposição indevida.
De fato, a preocupação com a tutela dos dados pessoais expõe uma evolução do direito à privacidade, passando da clássica noção passiva, construída no direito norte-americano sob o modelo do “direito de ser deixado só”, para uma concepção ativa, no sentido de se conferir o direito de conhecer os dados sobre si armazenados em algum local e poder exercer controle sobre eles.
De acordo com Schreiber (2013, p. 135-136), esta necessidade é resultado das transformações do cenário de relevância do direito à privacidade a partir de 1960, com o desenvolvimento tecnológico e o surgimento de mecanismos para coleta, armazenamento e manipulação de informações pessoais. Especialmente na Sociedade da Informação, a privacidade assume uma feição funcional, apresentada por Rodotà (2008, p. 92) como a possibilidade de o indivíduo conhecer informações que estejam em qualquer local a seu respeito, controlar o uso destas informações e, também, interromper seu fluxo.
Vai-se além, defendendo que a tutela dos dados pessoais dá o direito, em muitos casos, a se exigir a eliminação de onde armazenados, impedindo sua eternização, e assim refletindo o direito ao esquecimento.
Este novo modo de ser da privacidade na Sociedade da Informação, portanto, reflete um direito de controlar as próprias informações, fazendo surgir um direito de oposição em três níveis: opor-se à sua coleta, ao seu armazenamento e ao seu uso -.
Nos Estados Unidos, em 15 de dezembro de 1890 foi publicado na Harvard Law Review, o artigo intitulado The RightToPrivacy, escrito pelo advogado Samuel D. Warren, estudo que é frequentemente tomado como a primeira declaração implícita de um direito dos EUA de privacidade.
Warren e Brandeis escreveram que a privacidade é o “direito de ser deixado em paz” e tem por foco proteger os indivíduos. Esta abordagem foi uma resposta aos recentes desenvolvimentos tecnológicos da época, como a fotografia, e jornalismo sensacionalista, também conhecido como “jornalismo amarelo”.
O direito brasileiro reconheceu explicitamente a existência do direito ao esquecimento, por meio do Enunciado 531, CJF: “A tutela da dignidade da pessoa humana na sociedade da informação inclui o direito ao esquecimento”. O último caso incluída a manipulação, a divulgação e a transmissão a terceiros.
Nessa medida, as experiências normativas mais coerentes e exitosas sobre a proteção de dados pessoais surgiram no Direito Comunitário Europeu, que forneceu as primeiras e mais detalhadas bases de regulação, com destaque para o direito fundamental à proteção dos dados pessoais contido do art. 8º da Carta de Direitos Fundamentais da União Europeia: “todas as pessoas têm direito à proteção dos dados de carácter pessoal que lhes digam respeito”.
Além da precitada Carta de Direitos Fundamentais, a Diretiva 1995/46/CE traça uma disciplina extensa sobre dados pessoais, com definições, tratamento, arquivamento e outros (art. 2º), além de instruir com princípios sobre coleta e armazenamento (art. 6º) e sobre seu tratamento (art. 7º), valorizando o consentimento, necessidade e utilidade da coleta, armazenamento, tratamento e eliminação de dados pessoais.
Em complemento, anos mais tarde surgiu a Diretiva 2002/58/CE para regular a circulação e tratamento de dados pessoais nas comunicações eletrônicas, tendo ênfase na garantia da confidencialidade dos dados nas comunicações eletrônicas (art. 5º) e no desprezo dos dados de tráfego tão logo o procedimento de comunicação se complete (art. 6º).
A propósito, percebe-se que os dois dispositivos trazem embutido o direito ao esquecimento, refletindo a concepção de que a passagem nos meios de informação e comunicações deve ser efêmera, verdadeiro pressuposto para a garantia efetiva da proteção de dados pessoais.
Apesar disso, anterior a Lei 13.709/18 modificada pela Lei 13.853/19, no ordenamento jurídico brasileiro a proteção de dados pessoais ainda era considerada tímida, aspecto há certo tempo já identificado por Limberger (2007, p. 101) ao pontuar: “no Brasil não há previsão constitucional específica, à semelhança do que ocorre na Espanha e Portugal.
No entanto, a partir de dispositivos constitucionais é possível alguma proteção legal.
Efetivamente, profícuos impulsos constitucionais podem ser captados da proteção à intimidade (art. 5º, X, CF/1988), do direito à informação (art. 5º, XIV, CF/1988), do direito ao sigilo de comunicações e dados (art. 5º, XII, CF/1988), e da garantia individual ao conhecimento e correção de informações sobre si pelo habeas data (art. 5º, LXXII, CF/1988).
Já no plano infraconstitucional encontra-se uma abertura à proteção de dados pessoais no art. 20 do Código Civil quando prevê a possibilidade de restrição ou proibição de divulgação e publicação de informações na forma de escritos, transmissão de palavras, e imagens. Em complemento, o art. 21 do mesmo código assegura a inviolabilidade da vida privada.
Em 23 de abril de 2014 foi aprovada a Lei 12.965, denominada de “Marco Civil da Internet”, com vigência a partir de 23 de junho de 2014 (art. 32), consubstanciando-se em importante diploma versante sobre dados pessoais que “estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil”.
O Marco Civil da Internet contempla em sua composição importante disciplina da proteção dos dados pessoais, ainda que direcionada ao fluxo de informações ocorrido via Internet, contemplando cinco capítulos.
O Capítulo I abarca os art. 1º a 6º onde traça definições, e fixa conceitos técnicos e jurídicos dos aspectos que regula. O Capítulo II compreende os art. 7º a 8º e incute os princípios e garantias dos usuários. O Capítulo III reúne os art. 9º a 23, onde regula a provisão de conexão e aplicações da internet, contemplando neutralidade da rede, registros e dados pessoais, registros de conexão, registros de acesso a aplicações (na conexão e nas aplicações), da responsabilidade por danos, e da requisição judicial de registros. O Capítulo IV concentra os art. 24 a 28 para tratar das normas de atuação do poder público. Por fim, o Capítulo V prevê disposições finais, incluindo regra sobre o controle parental de conteúdo aos filhos e o prazo de vacância da norma.
A Lei Geral de Proteção de Dados, preenche é mais específica sobre o objeto tutelado ao mencionar em seus fundamentos esculpido no art. 2º, I – o respeito a privacidade; IV – a inviolabilidade da intimidade, da honra e da imagem; VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Diante da tamanha relevância, está em tramite no Senado Federal, a proposta de emenda constitucional (PEC 17/19), para acrescentar o inciso XII-A, ao art. 5º, e o inciso XXX, ao art. 22, da Constituição Federal e incluir a proteção de dados pessoais entre os direitos fundamentais do cidadão e fixar a competência privativa da União para legislar sobre a matéria.
- RESPONSABILIZAÇÃO CIVIL POR VIOLAÇÃO E OFENSA A DADOS PESSOAIS
Estabelecido que a proteção aos dados pessoais se apresenta como um desdobramento especial da tutela da privacidade, inclusive defendido por parte da doutrina como direito autônomo de proteção a dados pessoais, e existindo níveis de proteção conforme se tratarem de dados sensíveis ou não-sensíveis, a violação desta proteção deflagra responsabilização civil, porque o apossamento indevido ou uso abusivo de dados pessoais afigura-se como ocorrência violadora e direito e causadora de dano, portanto, um ato ilícito.
Importante ter em voga, nesse plano, que o Marco Civil da Internet (Lei 12.965/2014), assegura entre seus princípios a proteção da privacidade (art. 3º, II) e dos dados pessoais (art. 3º, III), bem como a responsabilização dos agentes de acordo com suas atividades (art. 3º, VI).
Já o art. 7º da mesma norma preserva uma série de inviolabilidades de direito individuais, englobando intimidade e vida priva (inciso I), sigilo do fluxo de comunicações (inciso II) e das mensagens armazenadas (inciso III).
Quando regula especificamente a inviolabilidade da intimidade e vida privada, o art. 7º, I, já contempla previsão de “indenização pelo dano material ou moral decorrente de sua violação”, tornado possível dizer que a violação de dados pessoais, porque faceta da privacidade que são, tem a tutela reparatória objetivamente prevista neste dispositivo.
E são os incisos VII, VIII, IX e X, do art. 7º, do Marco Civil da Internet, os apontadores das premissas mais objetivas da proteção a dados pessoais e que, portanto, permitem aferir quando há violação a esta proteção a ponto de deflagrar responsabilização civil pelos danos ocorridos.
Na literal dicção destes dispositivos vê-se como direitos dos indivíduos que têm seus dados pessoais de alguma forma envolvidos nas relações mediadas pela Internet: Art. 7º. […]. VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei; VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet; IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais; X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei; (…).
A cadeia de tratamento de dados pessoais está centrada em dois agentes, controlador e operador, definidos conforme as funções que desempenham (art. 5º, VI e VII, da LGPD). A lei determina que os operadores devem realizar o tratamento dos dados de acordo com as instruções fornecidas pelo controlador, o qual, por sua vez, possui obrigações mais intensas.
Como regra geral, a responsabilidade entre tais agentes não é solidária. A Lei, na realidade, distingue de forma clara as responsabilidades do controlador (mais intensa) e do operador (menos intensa).
O art. 45 da LGPD atendeu à preocupação de que a regra de responsabilidade do CDC , aplicável aos vícios ou defeitos no fornecimento de bens ou serviços, não fossem revogados pela LGPD.
Tal artigo deve ser interpretado no sentido de que os aspectos de consumo (como os vícios ou defeitos de um produto, por exemplo) permanecem submetidos à regra de responsabilidade objetiva e solidária do CDC, enquanto os de tratamento de dados pessoais (como as bases legais para o tratamento de dados ou as regras aplicáveis no caso de incidentes de segurança envolvendo dados pessoais, por exemplo) devem se submeter às regras especificamente previstas na LGPD.
Se no exercício das atividades de tratamento de dados pessoais, o controlador ou o operador causar dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo (art. 42), caso não o faça nos estritos limites da lei ou expressa disposição contratual.
Somente nas hipóteses de exceção inserida no art. 43, I a III, os agentes poderão isentar-se de eventuais responsabilidades perante o titular após o regular processo administrativo ou judicial garantido o contraditório, ampla defesa e a inversão do ônus da prova (art. 42, § 2º).
As disposições legais acima mostram que a tutela dos dados pessoais é formada por: a) garantia de não compartilhamento desautorizado de dados com terceiros; b) prévia informação precisa e exauriente sobre justificada coleta, armazenamento e tratamento; c) consentimento expresso e específico de permissão de coleta, uso, armazenamento e tratamento; d) descarte de dados ao termo da relação que justificou sua coleta.
Em outras palavras, a ideal proteção aos dados pessoais, à luz do Marco Civil da Internet e da Lei Geral de Proteção de Dados ( LGPD), pressupõe exaustiva informação prévia ao titular para que possa consentir expressamente com sua captação, manipulação e armazenagem, assegurada a eliminação ao término da finalidade para a qual se informou e se obteve autorização.
O desrespeito, portanto, a essas bases, põe em risco a tutela dos dados pessoais, acarretando ato ilícito passível de reparação. E nesse passo, haverá ato ilícito por rompimento da aura de proteção dos dados pessoais em caso de: a) coleta clandestina, assim aquela não precedida de informações claras sobre a sua necessidade, como também aquela não precedida de consentimento expresso, salvo as hipóteses de captação de informações previstas em lei; b) uso para finalidade distintas daquelas que constituíram as justificativas informadas ao titular os dados para serem coletados; c) conservação e armazenamento pelo tempo superior à realização da finalidade justificadora da coleta e após o término da relação havida entre o titular dos dados e o coletor; d) compartilhamento, disseminação, transferência, cessão, e qualquer outra forma de fornecimento a terceiros dos dados coletados ou armazenados, sem prévio consentimento informado do titular.
Com efeito, todo aquele que para alguma finalidade lícita justificada capta, armazena, manipula, aplica ou trata dados pessoais, torna-se responsável pela garantia de que estes dados não serão levados a conhecido além destas fronteiras.
Há, no particular, um plano de sigilo que recobre estes dados sob o domínio do detentor, um dever de guarda, seguido de um postergado dever de eliminação completa. E por força das premissas anteriores já apresentadas neste estudo, a violação dos dados pessoais atrai a responsabilidade objetiva daquele que tinha o dever de conservá-los dentro dos limites dos fins para os quais os obteve, porque se trata de um risco inerente à atividade.
E bem a esse modo se pronunciou o Tribunal de Justiça do Paraná no seguinte caso:
ADMINISTRATIVO. APELAÇÃO CÍVEL. AÇÃO DE INDENIZAÇÃO POR DANOS MORAIS. EX-SECRETÁRIO MUNICIPAL QUE TEVE SEUS DADOS PESSOAIS E IMAGENS DIVULGADAS APÓS TER SIDO PRESO PREVENTIVAMENTE. INFORMAÇÕES RESTRITAS QUE ESTAVAM SOB RESPONSABILIDADE DO ESTADO DO PARANÁ (SECRETARIA DE SEGURANÇA PÚBLICA). RESPONSABILIDADE OBJETIVA DO ESTADO DO PARANÁ RECONHECIDA. ART. 37, §6º, DA CF. OFENSA AO DIREITO À INTIMIDADE. DIVULGAÇÃO INDEVIDA NA IMPRENSA DE INFORMAÇÕES RESTRITAS AOS ÓRGÃOS DO SISTEMA PENITENCIÁRIO. PRECEDENTE DO SUPERIOR TRIBUNAL DE JUSTIÇA. DISCIPLINA DO ARTIGO 45 DO ESTATUTO PENITENCIÁRIO DO PARANÁ QUE VERSA ACERCA DO DEVER DE SIGILO PELAS AUTORIDADES RESPONSÁVEIS PELA CUSTÓDIA DO PRESO. INFORMAÇÕES E IMAGENS QUE FORAM DIVULGADAS SEM AUTORIZAÇÃO. INDENIZAÇÃO POR DANO MORAL DEVIDA. VALOR DA INDENIZAÇÃO. INCIDÊNCIA DE JUROS DE MORA DESDE O EVENTO DANOSO E DE CORREÇÃO MONETÁRIA A PARTIR DO ARBITRAMENTO, AMBOS DE ACORDO COM O ART. 1º-F LEI 9494/1997, COM A REDAÇÃO DADA PELA LEI 11960/2009.CONDENAÇÃO DO ESTADO DO PARANÁ AO PAGAMENTO DAS CUSTAS PROCESSUAIS E DE HONORÁRIOS ADVOCATÍCIOS FIXADOS DE ACORDO COM O ART. 85, §§1º A 3º DO CPC. VERBA HONORÁRIA CORREÇÃO MONETÁRIA QUE DEVERÁ INCIDIR DESDE A FIXAÇÃO E JUROS DE MORA A PARTIR DO TRÂNSITO EM JULGADO, EM CONFORMIDADE COM O ART. 1º-F DA LEI 9494/1997. SENTENÇA REFORMADA. RECURSO PROVIDO
(TJPR – 2ª Câmara Cível – AC 1618988-7 – Rel. Silvio Dias – j. 21.03.2017. Disponível em: . Acesso em: 30.05.2018) [grifou-se].
Notadamente que quando dados pessoais são coletados, armazenados e tratados em uma relação contratual, especialmente na aquisição de produtos e prestação de serviços, se configurada relação de consumo, a responsabilidade será objetiva, porque impera a regra geral desta espécie de responsabilidade pela ótica do art. 14 do Código de Defesa do Consumidor.
É este o resultado acenado pela jurisprudência pátria envolvendo o sistema “creditscoring”, da tese firmada pelo STJ Recurso Repetitivo de Controvérsia (REsp 1419697):
RECURSO ESPECIAL REPRESENTATIVO DE CONTROVÉRSIA (ART. 543-C DO CPC). TEMA 710/STJ. DIREITO DO CONSUMIDOR. ARQUIVOS DE CRÉDITO. SISTEMA “CREDIT SCORING”. COMPATIBILIDADE COM O DIREITO BRASILEIRO. LIMITES. DANO MORAL. (…). O desrespeito aos limites legais na utilização do sistema “creditscoring”, configurando abuso no exercício desse direito (art. 187 do CC), pode ensejar a responsabilidade objetiva e solidária do fornecedor do serviço, do responsável pelo banco de dados, da fonte e do consulente (art. 16 da Lei n. 12.414/2011) pela ocorrência de danos morais nas hipóteses de utilização de informações excessivas ou sensíveis (art. 3º, § 3º, I e II, da Lei n. 12.414/2011), bem como nos casos de comprovada recusa indevida de crédito pelo uso de dados incorretos ou desatualizados. (…).
(STJ – 2ª Seção – REsp 1419697/RS, Rel. Min. Paulo de Tarso Sanseverino – j. 12.11.2014 – Dje 17.11.2014.
Noutro quadrante, no tocante à coleta clandestina ou desautorizada de dados pessoais, entende-se que a responsabilidade civil é subjetiva, tornado necessária a demonstração da culpa ou dolo na espécie, elemento subjetivo este que se revela tanto na coleta desprovida de informações claras sobre a necessidade e uso, como na coleta não precedida de autorização, excepcionadas, notadamente, as hipóteses de autorização de captação prevista em lei.
- CONSIDERAÇÕES FINAIS
Este estudo, ao enfocar a tutela dos dados pessoais no ordenamento jurídico brasileiro, e investigar os riscos e violações a que estão sujeitos, voltou-se aos cânones da responsabilidade civil para localizar a conformação dos deveres jurídicos impostos ou exigidos nas multifacetadas relações jurídicas que envolvam, em alguma medida, a cessão, compartilhamento, manipulação e aplicação de dos pessoais.
Nesse panorama, apurou-se que a proteção de dados pessoais é uma característica marcante da Sociedade da Informação, e o fluxo dessa espécie de dados, que muitas vezes carrega potencial discriminatória, precisa ser tutelado. É dizer, em outras palavras, que mecanismos jurídicos em dois sentidos são necessários: a) preventivos, no intuito de evitar a violação destes dados; b) repressivo, com ferramentas que possam levar à cessão da violação e minoração de seus efeitos deletérios ao titular, bem como imputar responsabilização e dever indenizatório a quem praticou ou tornou possível a violação. E o campo da responsabilidade civil forneceu estes caminhos.
O estudo empreendido acerca da consolidação e evolução da responsabilidade civil, passando pela normatização objetiva adotada pelos ordenamentos jurídicos, e aqui em especial o brasileiro, mostrou que atualmente se convive com duas grandes faces da responsabilidade civil.
A primeira, mais antiga e tradicional, sob a premissa de responsabilidade subjetiva, dependente da existência de culpa no agir.
A segunda, de surgimento mais recente, a responsabilidade objetiva, que torna a investigação da culpa irrelevante e desnecessária, e em franca ascensão pela corriqueira adoção em inúmeras normas jurídicas abrangendo cada vez mais hipóteses.
O ordenamento jurídico brasileiro, à luz do Código Civil, adota as duas teorias acima delineadas, com preponderância da primeira, mas legislações esparsas vêm amiúde prestigiado a segunda.
E a responsabilidade civil em matéria de proteção aos dados pessoais encontra conforto nas duas, inclusive com a contribuição de preceitos trazidos pelo Marco Civil da Internet e Lei Geral de Proteção de Dados.
De acordo com os resultados encontrados neste estudo, será objetiva a responsabilidade em matéria de dados pessoais sempre que sua cessão ou coleta for uma condição para a realização de determinada relação jurídica, responsabilidade desta espécie robustecida em casos de relações de consumo, pois a proteção e sigilo dos dados obtidos passa a ser um risco da atividade.
Por outro lado, seja subjetiva a responsabilidade em caso de coleta clandestina ou desautorizada de dados pessoais, porque necessária a investigação da culpa ou dolo.
- REFERÊNCIAS
BESSA, Leonardo Roscoe. O consumidor e os limites dos bancos de dados de proteção ao crédito. São Paulo: Editora Revista dos Tribunais, 2003. 287
BRASIL. Constituição (1988). Constituição Federal da República Federativa do Brasil: promulgada em 5 de outubro de 1988. Organização do texto: Alexandre de Moraes. 36 ed. São Paulo: Atlas, 2012. (Coleção manuais de legislação).
_______. Lei n. 10.406 de 10 de janeiro de 2002. Código Civil. Institui o Código Civil. Diário Oficial da União, Brasília, DF, 11 jan. 2002.
______. Lei 12.965/2014, de 23 de abril de 2014. Marco Civil da Internet. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Diário Oficial da União, Brasília, DF, 21 abr. 2014.
CASTELLS, Manuel. A sociedade em rede. A era da informação: economia, sociedade e cultura. Tradução de Roneide Venâncio Majer. 7 ed. São Paulo: Paz e Terra, 2003.
CAVALIERI FILHO, Sérgio. Programa de responsabilidade civil. 8. ed. São Paulo: Atlas, 2009.
DONEDA, Danilo Cesar Maganhoto. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006.
ECHTERHOFF, Gisele. Direito à privacidade dos dados genéticos. Curitiba: Juruá, 2010.
GONÇALVES, Carlos Roberto. Direito civil brasileiro: responsabilidade civil. v. IV. 4. ed. São Paulo: Saraiva, 2009. Direito civil brasileiro: responsabilidade civil. v. IV. 4. ed. São Paulo: Saraiva, 2011.
LIMBERGER, Têmis. O direito à intimidade da era da informática: a necessidade de proteção dos dados pessoais. Porto Alegre: Livraria do Advogado, 2007.
LIMONGI FRANÇA, R. As raízes da responsabilidade aquiliana. Revista dos Tribunais RT, n. 577, nov./1983. p. 267-287.
MARTINS-COSTA, Judith. Os avatares do abuso do Direito e o rumo indicado pela boa-fé. In: TEPEDINO, Gustavo (org.). Direito Civil Contemporâneo: novos problemas à luz da legalidade constitucional. São Paulo: Atlas, 2008, p. 57-95.
RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Tradução: Danilo Doneda e Luciana Cabral Doneda. Rio de Janeiro: Renovar, 2008.
SCHREIBER, Anderson. Direitos da personalidade. 2 ed. São Paulo: Atlas, 2013.
SERRA VIEIRA, Patrícia Ribeiro. A responsabilidade civil objetiva do direito de danos. Rio de Janeiro: Forense, 2004.
UNIÃO EUROPÉIA. Diretiva 2002/58 CE, de 12 de dezembro de 2002. Relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas).
Diário Oficial das Comunidades Europeias, Bruxelas, 31 jul. 2002. Disponível em: <http://eur-lex.europa.eu/pt/index.htm>. Acesso em: 30 maio 2018.
_______. Diretiva 1995/46 CE, de 24 de outubro de 1995. Relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Diário Oficial das Comunidades Europeias, Bruxelas, 31 jul. 2002. Disponível em: <http://eur-lex.europa.eu/pt/index.htm>. Acesso em: 30 maio 2018.
_______. Carta de Direitos Fundamentais, 18 dez. 2000. Disponível em: <http://www.europarl.europa.eu/charter/pdf/text_pt.pdf>. Acesso em: 30 maio 2018.
VIEIRA, Tatiana Malta. O direito à privacidade na sociedade da informação: efetividade desse direito fundamental diante dos avanços da tecnologia da informação. Porto Alegre: Sergio Antonio Fabris, 2007.
ZANON, João Carlos. Direito à proteção dos dados pessoais. São Paulo: Revista dos Tribunais, 2013.
[1]Mestrando em Direito Tributário pela Universidade Católica de Buenos Aires, Especialista em Direito Processual Civil – PUC/SP, Especialista em Pedagogia de Ensino Técnico Profissionalizante pelo Centro Paula e Souza, Bacharel em Direito (FMU-SP), Graduando em Administração de Empresas, Membro da Comissão de Direito Civil da OAB/SP – 125ª Subseção Santana.
[2]Klaus Schwab. Editora Edipro, 2016