Contraponto Jurídico - Ed. 2019

1. Responsabilidade Civil dos Provedores de Aplicação por Violação de Dados Pessoais na Internet: O Método do Diálogo das Fontes e o Regime do Código de Defesa do Consumidor

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Responsabilidade de provedor de internet

Claudia Lima Marques 1

Guilherme Mucelin 2

1. Introdução

Em abril de 2018, foi deflagrado um escândalo envolvendo dados pessoais de consumidores da rede social Facebook e a sua transferência irregular a uma empresa de consultoria chamada Cambridge Analytica 3 . Trata-se do compartilhamento indevido de dados, como nome, e-mail, data de nascimento, gênero e local de residência de 87 milhões de usuários que ocorreu por meio de aplicativo que serviria para determinar aspectos da personalidade a partir de simples perguntas e respostas, colocando em xeque a privacidade de todos os envolvidos que sequer tinham conhecimento dessa operação. Não foram, contudo, somente os que responderam ao quiz que tiveram seus dados acessados; a gigante rede social admitiu que os amigos dessas pessoas também tiveram as informações de seus perfis expostas à Cambridge Analytica. Consentiu, ainda, que a maioria de seus quase 2 bilhões de usuários 4 poderiam ter seus dados indevidamente acessados.

Não é por motivos altruísticos que os dados são comercializados ou cedidos de qualquer forma. Na economia da informação 5 informatizada, a coleta, o armazenamento e todo o manuseio de dados pessoais se dão de maneira rápida e eficiente economicamente, sem que exista um efetivo controle sobre eles 6 . Não raro, os usuários são bombardeados por publicidade dirigida 7 quando se tornam verdadeiros targets de consumo, sem falar na possibilidade de danos à personalidade e à privacidade por conta de violação no uso de dados pessoais, como os referentes à saúde, à posição política, à religiosa e ideológica, entre outros.

Esse acontecimento chamou ainda mais atenção para o debate sobre o tema da privacidade e do manuseio de dados pessoais e a destinação a eles dada, 8 levantando a questão de qual seria o regime de responsabilidade civil dos provedores de aplicação de Internet no Brasil por violação de dados de seus usuários na era de uma verdadeira vigilância digital 9 , que é a proposta de análise deste artigo.

2. Privacidade e regime jurídico dos dados pessoais no Brasil

A privacidade 10 do usuário na Internet é um dos grandes desafios do Século XXI 11 . Com a rapidez do desenvolvimento tecnológico, a diversificação do número de meios de comunicação em ambiente digital e o aumento da capacidade de armazenamento em nuvens, bem como por conta da localização geográfica de servidores em diversos lugares do planeta, os dados pessoais são hoje considerados como o ser humano em seu estado virtual, seu corpo eletrônico 12 , ou seja, a projeção da pessoa on-line. Essa constatação nos leva a pensar sobre as novas concepções de direito à privacidade que a Internet impôs à ciência jurídica, já que é necessário tutelar o ser humano também nas relações travadas eletronicamente 13 .

O direito à privacidade, que até então era classicamente considerado como o direito de ser deixado só 14 , passou por uma transformação juntamente com as relações sociais e econômicas: a Internet mudou a forma como nos comunicamos, como nos relacionamos com outros indivíduos, com empresas e com governos. Da mesma forma, revolucionou o modo pelo qual contratamos, consumimos e tratamos os direitos de personalidade. Nesse passo, a privacidade passou a ser definida, na sociedade da informação 15 na qual estamos inevitavelmente inseridos, como o direito ao controle de dados por parte de seu titular 16 e o direito a distinguir quais dados poderão estar disponíveis a terceiros 17 , sendo um claro aspecto da autodeterminação informativa do usuário (Recht auf Informationelle Selbstbestimmung) 18 .

Se, de um lado, há banalização do fornecimento de dados pessoais por parte dos internautas, sem que haja, muitas das vezes, informações e até mesmo consentimento livre, esclarecido e específico sobre o que será feito com eles; por outro, essas mesmas instituições com quem nos relacionamos se aproveitam disso para auferirem lucros por meio do compartilhamento indevido desses dados ou até mesmo criando perfis discriminatórios 19 , de precificação diferenciada 20 ou de targetização para fins de publicidade 21 , capazes, inclusive, de alterar substancialmente a conduta dos consumidores 22 , ainda mais em um cenário normativo que, em que pese haja legislação recente sobre o tema, nada há ainda de interpretação nos tribunais brasileiros.

Quando se trata sobre o estabelecimento do regime jurídico para a proteção desses dados, é de extrema importância que se encontre uma definição equilibrada que descreva quais os dados que serão objeto de tutela, já que é assim que será possível determinar os tipos de dados sobre os quais se aplicarão as normas de protetivas, havendo, a partir disso, maior ou menor tutela legal de seu titular. No direito europeu, o novo Regulamento Geral sobre Proteção de Dados 2016/679 do Parlamento Europeu e do Conselho, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, definiu-os como a informação relativa a uma pessoa identificada ou identificável 23 .

No documento da União Europeia, diz-se que são dados pessoais identificáveis os que possam ser identificados, direta ou indiretamente, por determinados dados, como o nome, números de identificação, dados de localização, identificadores virtuais de identidade física, fisiológica, genética, mental, econômica, cultural ou social 24 , da mesma forma como consta na Lei Federal 13.709, de 14 de agosto de 2018, que trata sobre a proteção de dados pessoais no Brasil, em seu artigo , incisos I, II e III 25 , e que revela grande influência europeia.

Observa-se que esse artigo é um importante instrumento de proteção da pessoa eletrônica, uma vez que a definição de “dados” apresentada na Lei é bastante ampla, de forma que a escolha legislativa de não os categorizar implica maior tutela dos dados pessoais em meio virtual. A exceção feita pela norma é com relação aos dados anonimizados, isto é, aqueles que, mesmo depois do tratamento, não são passíveis de identificar determinado indivíduo. Essa foi uma solução prática que, caso seja corretamente interpretada, combaterá também as práticas abusivas de mineração 26 , que consistem em estruturar os dados e transformá-los em informação útil e, por fim, em conhecimento lucrativo 27 .

Outro conceito que importa a este estudo é o de tratamento de dados pessoais. Para o festejado Regulamento europeu, entende-se por tratamento qualquer operação ou conjunto de operações efetuadas sobre os dados pessoais, por meio automatizado ou não, como a coleta, o registro, a organização, a estruturação, a conservação, a adaptação, a alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição. Por sua vez, a Lei brasileira novamente vai ao encontro do Regulamento 28 , referindo-se a tratamento como toda a operação realizada em dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração 29 .

Muito embora o Marco Civil da Internet não tenha definido nem regulado extensivamente a matéria, a preocupação com privacidade e os dados pessoais está fortemente presente na Lei. O texto original, proposto pelo Executivo e com participação popular, apresenta importante diferença do texto sancionado, já que, na versão inicial, o direito à privacidade era tratado apenas como princípio e regra da disciplina da utilização da Internet no País 30 . O texto que foi aprovado, contudo, foi intensamente modificado, de modo a ressaltar a tentativa de um esboço regulatório das operações que envolvem dados pessoais sob o aspecto, primordialmente, da privacidade do usuário 31 .

O Marco Civil da Internet inaugura seu capítulo II elencando diversos direitos e garantias dos usuários na Internet. Importa-nos salientar, entre eles, a inviolabilidade da intimidade e da vida privada; a inviolabilidade e o sigilo do fluxo de comunicações pela Internet e de comunicações privadas armazenadas; a informação contratual sobre o regime de tratamento de dados pessoais e de proteção de registros de conexão e de acesso a aplicações de Internet; o não fornecimento a terceiros de dados pessoais; a informação clara e completa sobre a coleta, uso, armazenamento, tratamento e proteção de tais dados, bem como a necessidade de consentimento expresso e a possibilidade de sua exclusão definitiva, pugnando, também, pela aplicação das normas do Código de Defesa do Consumidor 32 . Veja-se a quantidade de direitos dos usuários que envolvem, em algum aspecto, o direito à privacidade.

Outro ponto importante para a preservação dos direitos dos usuários foi a previsão do artigo , incisos VII e IX, do Marco Civil da Internet, os quais conjuntamente determinam que, para serem lícitos, a coleta, o uso, o armazenamento, o tratamento e o fornecimento dos dados pessoais, incluindo registros de conexão e de acesso a aplicações da Internet, é indispensável que se tenha o consentimento livre, expresso e informado do usuário, excetuando-se, nesse caso, as hipóteses legalmente previstas. Parece ser esse o único requisito para a idoneidade do tratamento dos dados pessoais: o consentimento do consumidor-usuário. 33

A falta dele, de acordo somente com o Marco Civil da Internet, não geraria, a priori, nenhuma sanção ao provedor de aplicação de Internet. O que há na norma é a cominação de penalidades que vão desde advertência até a proibição do exercício de suas atividades 34 , mas nada fala com relação à proteção da parte vulnerável cujos dados foram indevidamente violados. Note-se que o usuário, dessa maneira, encontra-se desprotegido em caso de danos decorrentes do tratamento inidôneo de seus dados pessoais ou da falta do consentimento esclarecido, informado, específico e expresso – o mesmo ocorrendo com a nova Lei.

Os danos, nesse sentido, poderão ser tanto de ordem patrimonial quanto extrapatrimonial: o patrimonial poderá ocorrer, por exemplo, quando determinados dados pessoais referentes a operações de crédito são armazenados por tempo superior ao admitido ou transferidos a empresas que não fazem parte da relação contratual originária, podendo resultar, nesse sentido, que determinado usuário, quando for contrair um novo financiamento, por exemplo, contrate a juros mais altos do que seria de praxe 35 ; o dano extrapatrimonial, por sua vez, poderá ocorrer simplesmente pela violação de direitos da personalidade, isto é, se comprovada qualquer espécie de tratamento de dado pessoal sem consentimento ou sem base legal, caberá ressarcimento por dano moral, sendo certo que não é o elemento subjetivo que dá causa à reparação (como a humilhação ou o sofrimento), mas, sim, o interesse jurídico protegido e que é lesado 36 .

3. Método do diálogo das fontes e o reconhecimento da relação como de consumo

Muito embora nossa Lex Informatica 37 tenha trazido normas de (alguma) relevância quanto à proteção dos dados pessoais, essas previsões normativas não são suficientes para a integral tutela dos dados dos internautas 38 , já que não prevê sanções específicas para o tratamento indevido por parte dos provedores de aplicação com relação ao usuário-consumidor. Mesmo existindo no país lei específica que trate da temática, como ocorre na União Europeia 39 e em alguns países, a proteção jurídica dos dados pessoais deve se dar a partir de uma interpretação sistemática das normas existentes, a fim de que se construa um direito básico do usuário de proteção a seus dados pessoais.

Essa interação sistemática entre fontes normativas se traduz no método do diálogo das fontes, teoria concebida por Erik Jayme 40 e trazida ao Brasil por Claudia Lima Marques 41 . Significa, no direito pátrio, a aplicação simultânea, coerente e coordenada das plúrimas fontes legislativas, leis especiais, leis gerais e tratados 42 , de forma a restaurar a coerência do sistema do Direito e a reduzir a sua complexidade 43 , assegurando a prevalência do princípio pro homine e a eficácia dos direitos fundamentais, por meio da, principalmente, aplicação do Código de Defesa do Consumidor às relações privadas 44 quando presente um vulnerável na relação jurídica 45 .

É nesse sentido que se afirma pela necessidade de aplicação conjunta do sistema do Código de Defesa do Consumidor, da Lei 12.965/2014, do Código Civil, da Lei 13.709 e de demais fontes correlatas e pertinentes à matéria a essas relações travadas em ambiência digital 46 .

O Marco Civil da Internet salvaguarda a aplicação desse método quando estabelece, em seu artigo 3º, parágrafo único, que os princípios expressos na Lei não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais dos quais o Brasil seja parte 47 . Especificamente no que toca a aplicação do Código de Defesa do Consumidor à matéria, a Lei prevê como fundamento da disciplina do uso da rede mundial de computadores no País a defesa do consumidor 48 , bem como especificamente afirma a aplicação do CDC às relações de consumo realizadas na Internet 49 . Nesse sentido, Mendes assegura que “a análise do regime jurídico do tratamento de dados pessoais dos usuários da Internet exige, além da interpretação da Lei 12.965/2014, a interpretação do Código de Defesa do ConsumidorCDC, também aplicável ao espaço virtual” 50 , bem como, atualmente, a interpretação e aplicação coerente da nova Norma Geral de Proteção de Dados Pessoais brasileira.

Poder-se-ia questionar sobre a incidência dessa norma que tutela especificamente os vulneráveis em relações de consumo 51 : o CDC. O seu âmbito de aplicação, todavia, mostra-se suficientemente amplo para abarcar a relação travada entre o usuário e o provedor de aplicação de Internet, já que os conceitos de consumidor presentes no CDC compreendem indistintamente os internautas 52 , ainda mais se utilizam dos diversos serviços oferecidos na rede pelos provedores de aplicação, cabendo, portanto, o enquadramento proposto pelo artigo 3º, § 2º, do mesmo Código, o qual determina que são serviços “qualquer atividade fornecida no mercado de consumo, mediante remuneração” 53 . Logo, existem os fornecedores do outro lado da relação que oferecem esses serviços – os provedores de aplicação, a teor do disposto no artigo , caput, do CDC 54 , em conjunto com o artigo 15, do Marco Civil da Internet 55 .

As empresas do ramo informático, principalmente as relativas às tecnologias de informação e de comunicação, suscitaram, em diversos casos, como meio de defesa e de desqualificação da relação jurídica como sendo de consumo,...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
6 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1166915745/1-responsabilidade-civil-dos-provedores-de-aplicacao-por-violacao-de-dados-pessoais-na-internet-o-metodo-do-dialogo-das-fontes-e-o-regime-do-codigo-de-defesa-do-consumidor