Proteção de Dados e LGPD
Com o acelerado crescimento da tecnologia, muitas pessoas, ainda que inconscientemente, acabam compartilhando seus dados na internet. Sites de notícias que muitas vezes pedem cadastro de e-mail para que então se possa ter acesso ao conteúdo integral, ou ainda que requerem uma criação de conta com cadastro um pouco mais completo (nome, data de nascimento, endereço de e-mail, dentre outros), são alguns dos exemplos de compartilhamentos de dados que, diariamente, encontramos na internet. Fato é que, ainda que não queiramos disponibilizar tais dados, somos coagidos a fazer. Dessa forma, mesmo com um simples exemplo, é possível observar que os tratamentos de dados acontecem em todo local e momento.
Ao longo dos anos, ocorreram diversos escândalos de vazamento de dados por grandes empresas.
No ano de 2013, por exemplo, a empresa Adobe alegou ter sido invadida por hackers, que tomaram para si posse de mais de 150 milhões de registros criptografados de cartões de crédito, login e senha de diferentes usuários. Assim como a Adobe, o eBay também alega que um ataque expôs nomes, endereços, datas de nascimento, dentre outros dados pessoais, de mais de 145 milhões de contas cadastradas. A lista pode continuar: Linkedin, MySpace, a rede de hotéis Marriott e muitas outras empresas foram vítimas de grandes ataques.
Em razão da vulnerabilidade de dados pessoais nas mãos de grandes – e pequenas – empresas, surgiu a necessidade de uma legislação que trata especialmente sobre o assunto, pois, até então, só havia breves menções na Constituição Federal e no Código de Defesa do Consumidor.
Assim sendo, a Lei Geral de Proteção de Dados surgiu em virtude da deficiência de uma norma sobre o tema, visando proteger os direitos de privacidade de cada indivíduo.
É inegável que a elaboração da LGPD trouxe consigo grandes debates sobre o tratamento de dados e operações efetuadas em meios manuais ou digitais. No entanto, antes de se aprofundar no assunto, é preciso entender, ainda que brevemente, seus principais objetivos e fundamentos.
Objetivos e Fundamentos da LGPD
Como supramencionado, surgido pela necessidade de uma norma de proteção, a LGPD trouxe consigo garantia ao respeito à privacidade, de forma a assegurar os direitos fundamentais expressos no art. 5°, inciso X da CF: inviolabilidade da honra, intimidade, imagem e vida privada, assim como o direito do cidadão à proteção de seus dados íntimos e pessoais.
Entretanto, o que exatamente os termos “dados pessoais” e “tratamento de dados” significam, uma vez que tão mencionados na Lei? A resposta não é complicada: dados pessoais são todas e quaisquer informações que possam vir a identificar alguém (nome, contato telefônico, endereço, dados bancários e até uma simples foto), enquanto que o tratamento de dados é simplesmente qualquer atividade realizada com esses dados pessoais (seja a administração de folhas de pagamento, publicação de fotos em redes sociais, envio de mensagens eletrônicas promocionais ou até mesmo armazenamento de endereços de IP).
Esclarecidas as expressões, pode-se compreender os princípios que regem a LGPD: (i) proteção à privacidade – assegurar a proteção de dados pessoais do usuário; (ii) transparência – esclarecer como será feito o tratamento dos dados recolhidos; (iii) segurança jurídica – fortalecer a segurança das relações jurídicas.
Quando é Possível a Aplicação da LGPD?
Todavia, quando será possível a aplicação da LGPD? É simples: será aplicável em todos os casos em que os dados relacionados à pessoa estejam em território Brasileiro no momento da coleta. No entanto, há 4 (quatro) situações em que a LGPD não será aplicada:
1) Em casos quando o tratamento de dados pessoais for realizado por pessoa física, para fins particulares e não comerciais, por exemplo, quando o indivíduo publicar uma foto de outra pessoa no Instagram (note-se que isso não significa que a pessoa será eximida da responsabilidade civil, mas sim que a LGPD não será a legislação base para tratar do assunto);
2) Para fins exclusivamente jornalísticos, ou seja, ao veículo de notícias que publicar foto e nome de um suspeito de cometer algum crime;
3) Pelo Poder Público, visando o fortalecimento da segurança pública, a título de exemplo, quando a Polícia Civil publica anúncio de suspeito “procurado”, utilizando seus dados pessoais para facilitar o reconhecimento pela população;
4) E, obviamente, quando os dados pessoais coletados forem oriundos de fora do território nacional e não sejam de uso compartilhado com agentes de tratamento brasileiros.
Nos demais casos, quando há violação da Lei Geral de Proteção de Dados (prática de ato ilícito), o infrator poderá ser responsabilizado civilmente. No entanto, há dois tipos de responsabilidade: a objetiva, isto é, tem como requisitos a conduta, o dano e o nexo causal, e a subjetiva, que, além da existência do dano e do nexo causal, é necessária a comprovação da culpa do agente.
LGPD e Responsabilidade Civil
A LGPD não traz com clareza qual tipo de responsabilidade civil o agente terá. Porém, muitos entendem que, ao se tratar de relações de consumo, deverão ser aplicadas as regras previstas no Código do Consumidor, ou seja, a responsabilidade objetiva, enquanto que nos demais casos poderá ser utilizada a responsabilidade subjetiva.
É de suma importância entender que, para a LGPD, há dois agentes de tratamento de dados: o Controlador e o Operador. O Controlador é a pessoa jurídica a quem caberá decidir quais dados serão tratados, assim como os propósitos do tratamento, e o Operador é a empresa que irá processar os dados a mando do Controlador. Vejamos uma situação hipotética na qual uma empresa de seguros contrata uma empresa de call center para coletar informações de possíveis clientes interessados. Nesse exemplo, temos o Controlador (seguradora) e o Operador (call center).
Em caso de possível vazamento de dados, tanto o Operador quanto o Controlador poderão responder solidariamente, cabendo o regresso entre eles.
Entretanto, a responsabilidade civil dos agentes de tratamento em decorrência dos danos causados pode ser afastada, nas seguintes hipóteses:
1) Quando houver inexistência de defeitos na prestação do serviço;
2) Quando há culpa exclusiva do consumidor, por exemplo, em casos onde fornece seus dados em website claramente falso, não observando as medidas de seguranças mínimas;
3) Quando o Controlador e o Operador provarem que não fizeram o tratamento dos dados pessoais violados.
Competência para Julgamento
Porém, em casos onde a responsabilidade civil for comprovada, a quem caberá julgar? Em seu artigo 3°, a LGPD traz regras de territorialidade e extraterritorialidade. Dessa forma, será processado e julgado no Brasil, nos termos da LGPD quando:
1) As operações de tratamentos de dados ocorrerem em território Brasileiro;
2) Os dados pessoais objetos do tratamento forem coletados em território Brasileiro.
Assim sendo, encaixando-se nas hipóteses acima, as violações da LGPD serão julgadas pela Justiça Comum, exceto em relações trabalhistas/empregatícias, que deverão ser submetidas à Justiça do Trabalho.
Conclusão
É de conhecimento que a responsabilidade civil – tanto objetiva, como subjetiva – surgirá quando houver violação de norma jurídica (nesse caso, o direito à privacidade tutelado pela LGPD) que ocasione um dano material ou moral.
Dessa forma, no que tange à compensação por danos extrapatrimoniais há entendimento mais restritivo de que só será possível quando houver uma comprovação efetiva do dano, isto é, por não se caracterizar um dano presumido, deverá comprovar consequências graves à imagem, reputação e dignidade.
Por outro lado, em se tratando de dados mais sensíveis (e não necessariamente aqueles tidos por sensíveis pela legislação), é possível questionar-se a respeito da possibilidade de presunção do dano. É o caso, por exemplo, do vazamento de dados médicos sensíveis do paciente.
Nesse caso, seria possível sustentar que o mero vazamento, mesmo que desprovido de dano tangível, seria suficiente para alicerçar a condenação em danos morais. Tratar-se-ia, portanto, de um dano presumido.
A problemática é extremamente recente e certamente será objeto de extensas discussões na doutrina e jurisprudência. Ao operador do direito, cabe estar atento às novas mudanças.
À vista das informações supramencionadas, a criação da LGPD foi, sem dúvidas, um importante passo no avanço da regulamentação e transparência do uso de dados pelas pessoas jurídicas, visando reprimir constantes violações de forma a proteger a privacidade e intimidade de seus usuários.