Recentemente sancionada, a Lei Geral de Proteção de Dados
(LGPD ou Lei nº 13.709/2018) já é utilizada como fundamento em algumas
petições. Entre essas, consta a Ação Civil Pública nº
0730600-90.2020.8.07.0001, ajuizada pelo Ministério Público do Distrito Federal
e Territórios (MPDFT), na qual já foi prolatada sentença e protocolada
manifestação do Parquet.
Em resumo, na ACP, o MPDFT soube da comercialização de dados
pessoais em determinado website. Entre os dados disponíveis, segmentados por
ramo de atuação profissional, estavam nome, contato para SMS, endereços
eletrônico e postal, bairro, cidade, Estado e CEP. Ressalte-se, ademais,
que os dados abrangiam indivíduos residentes em diversos Estados da federação.
Pelo exposto, e com base, entre outros, no artigo 42, caput, e §3º,
LGPD, o MPDFT requereu antecipação dos efeitos da tutela para determinar à
demandada que se abstivesse de vender dados pessoais tratados de forma
irregular.
O juízo, porém, extinguiu a ação, sem exame do mérito, por
indeferimento da inicial. Alegou ausência de interesse processual, manifesto na
falta de utilidade e necessidade do processo. Isso porque o website
encontrava-se indisponível, o que, para o magistrado, poderia indicar um
processo de adequação à Lei nº 13.709/2018. Em manifestação, o MPDFT alegou que
o site ainda encontrava-se em funcionamento no dia da prolação da sentença e
que a base de dados continuava intacta e disponível.
Em outro caso, foi noticiado, em Pernambuco, o ajuizamento
de uma ação, também fundamentada na LGPD, na qual um usuário do sistema de
transporte público, diante da necessidade de cadastramento biométrico facial
para recarga do bilhete eletrônico, indagou acerca da Política de Privacidade e
Proteção de Dados Pessoais da transportadora.
Diante da negativa em apresentar esse documento, o usuário
não consentiu com a coleta da biometria, o que impediu o uso do sistema de
transporte público. Assim, o demandante ajuizou ação requerendo antecipação dos
efeitos da tutela para determinar a atualização do cadastro sem o uso de
biometria.
De início, veja-se que a indisponibilidade do site não
indica o início de um projeto de conformidade, o qual, utilizando-se parâmetros
otimistas, tem duração média de três meses [1].
Provas mais robustas de um projeto de adequação seriam uma comunicação da
diretoria da empresa informando o início de um projeto
de compliance à LGPD; a apresentação de uma política de segurança da
informação, as diretrizes para um mapeamento de dados (data mapping, em
inglês); ou a formação de um comitê interno de compliance. Veja-se,
ademais, que a todos esses dados deve-se impor segredo de Justiça, porquanto
podem trazer informações essenciais ao funcionamento da própria empresa.
Por outro lado, veja-se estar presente o risco de novas
violações à privacidade dos cidadãos cujos dados ainda estão à venda no
website. Isso porque a comercialização de dados pessoais é o negócio da
demandada e ela encontra-se na posse do principal insumo de sua operação, qual
seja, as bases de dados. A transformação dos dados em ativo na atual economia
da informação, por sua vez, encontra respaldo em Bioni (2018, p. 38 e
seguintes [2]),
no qual é descrito o uso dos dados dos cidadãos para direcionar, por exemplo,
campanhas de marketing, além da transformação do consumidor em produto.
Face ao perigo de novas violações a um direito protegido não
apenas na Lei nº 13.709/2018, mas também no artigo 5º, X, da Constituição
Federal de 1988 [3],
qual seja, a inviolabilidade da intimidade e da vida privada, caberia uma
tutela inibitória para fazer cessar as atividades comerciais da ré nesse setor.
Por outra, veja-se que também foi violado o princípio da
autodeterminação informativa, previsto no artigo 2º, II, LGPD (BRASIL,
2018 [4]). Esse
princípio, por sua vez, foi definido pelo Tribunal Constitucional Federal
alemão como a autoridade dada ao indivíduo de decidir sobre a divulgação e o
uso de seus dados pessoais, não devendo haver qualquer atividade de
processamento sem seu consentimento (ALEMANHA, 1983 [5]). Logo, se há uma operação com dados
pessoais (no caso, a venda deles), o titular do dado tem direito a decidir
acerca do destino de suas informações e a eventual cessação dessa operação.
Ademais, ao fixar a autodeterminação informativa como
fundamento da proteção de dados pessoais, o Estado brasileiro reiterou a
posição contida no artigo 1º, caput, LGPD, de privilegiar a tutela dos
direitos do cidadão. Com essa escolha política, conforme Danilo Doneda [6], o consentimento passou a ser o meio pelo
qual a autodeterminação informativa é exercida e, por conseguinte, a autonomia
do indivíduo é manifesta. Logo, sem o consentimento do indivíduo para qualquer
operação com seus dados, a operação em si mostra-se ilegal.
Em relação à ação ajuizada em Recife, veja-se que a
biometria é considerada dado pessoal sensível, segundo o artigo 5º, II, da
LGPD. Outrossim, dados sensíveis podem, conforme o artigo 11, II,
"b", Lei nº 13.709/2018, ser tratados, sem consentimento do titular,
para execução, pela Administração, de políticas públicas.
Contudo, veja-se que, mesmo sem o consentimento do titular,
o Estado e, no caso, as concessionárias de serviços públicos devem estar
em conformidade com a LGPD. Isso porque o artigo 6º, IV e VI, da Lei nº
13.709/2018 estabelece que qualquer atividade de tratamento de dados deve se
pautar no livre acesso e na transparência, que efetivam, entre outros, o
direito ao conhecimento da forma e duração do tratamento de dados.
No caso recifense, a empresa de transporte público não soube
informar a forma de tratamento de dados pessoais e as medidas de segurança
adotadas para proteger os dados obtidos. Nesse contexto, descumpriu os
princípios da transparência e livre acesso acima referenciados e, com isso, sua
operação de tratamento tornou-se
ilegal.
Observe-se, por fim, que não se defende a impossibilidade de
tratar dados pessoais sensíveis, mas que essa operação ocorra com demonstração
do fluxo dos dados dentro da empresa (data flow diagram, em inglês),
verificável pelos órgãos públicos de controle, além de fundamentação legal em
alguma alínea do artigo 11, II, LGPD. Uma delas poderia ser a própria alínea
"b", que admite o tratamento compartilhado em caso de execução de
políticas públicas previstas em lei. No caso, como o transporte público é um
direito social, nos termos do artigo 6º, caput, da Constituição
Federal de 1988, compete ao poder público prevenir tentativas de
fraude no uso dos instrumentos de acesso aos meios de transporte público.
Outro embasamento legal, mais atinente à concessionária,
seria o artigo 11, II, "d", LGPD, qual seja, exercício regular
de direitos, inclusive em contrato. No caso, ao ganhar a concessão, a empresa
compromete-se a zelar pela segurança na prestação do serviço (artigo 6º, § 1º,
Lei 8.987/95 [7]). A prevenção de fraudes no uso do passe
eletrônico, por sua vez, enquadra-se no dever de zelar pela segurança, o que
justifica a incidência da alínea "d" da Lei nº 13.709/2018.
Veja-se, entretanto, que a segurança, por ser um direito do
cidadão, deve ser demonstrada, razão pela qual não pode a empresa prescindir da
elaboração de uma política de segurança da informação, da comunicação da forma
de coleta dos dados, quais informações são obtidas dos usuários do serviço,
entre outros.
Ao final, observa-se ainda ser necessário aumentar o grau de
conscientização do Judiciário acerca da aplicação da LGPD para que se
evite extinguir processos sem exame do mérito e, assim, não formar
jurisprudência acerca da aplicação da Lei nº 13.709/2018. Por outro lado,
observa-se que as empresas necessitam iniciar projetos de conformidade, sob
pena de serem cada vez mais demandadas na Justiça e, inclusive, perderem
contratos com o poder público.
Fonte: Consultor Jurídico
