A Lei Geral de Proteção de Dados (LGPD) surgiu em resposta ao rápido avanço da tecnologia nos tempos atuais, que trouxe consigo uma série de desafios em relação à segurança virtual tanto para empresas quanto para usuários. Com a crescente popularização do mundo digital e da Internet, tornou-se crucial garantir a proteção dos dados pessoais dos usuários das redes.
A privacidade, um dos direitos fundamentais previstos na Constituição Federal brasileira, é definida pelo jurista Cristiano Farias como “o direito de viver a sua própria vida em isolamento, não sendo submetido à publicidade que não provocou, nem desejou” e “no direito de obstar que a atividade de terceiro venha a conhecer, descobrir ou divulgar as particularidades de uma pessoa”. Assim, a privacidade, como um elemento de preservação da dignidade da pessoa humana e da autonomia individual, se torna uma garantia desafiadora em decorrência do surgimento da Internet e das mídias sociais.
Outrossim, a Constituição estabelece que a intimidade, a vida privada, a honra e a imagem das pessoas são invioláveis, assegurando o direito à proteção de seus dados pessoais. Nesse contexto, a Lei nº 13.709/2018 (LGPD) representa uma materialização desses princípios constitucionais, ao garantir mecanismos legais para a proteção da privacidade dos cidadãos em um ambiente digital cada vez mais complexo e interconectado.
Em um cenário global em que o mundo digital está em constante evolução, no qual as redes sociais desempenham um papel central na criação, compartilhamento e disseminação de conteúdo, surgiu a necessidade de regulamentação do tratamento dos dados pessoais pelas empresas públicas e privadas. O Marco Civil da Internet, Lei nº 12.965/2014, disciplina direitos e deveres relacionados às relações digitais, e à época já apresentou algumas garantias aos usuários de redes de Internet, como a inviolabilidade da intimidade e da vida privada, e o direito ao sigilo das comunicações realizadas pela Internet.
Após uma pressão exercida por outros países que adotaram a Regulamentação Geral de Proteção de Dados (GDPR) na União Europeia, as autoridades brasileiras se impulsionaram para criar sua própria legislação para abordar esse tema. Neste tocante, a Lei Geral de Proteção de Dados surge em 2018 como forma de regulamentar os procedimentos para que os direitos antes previstos sejam garantidos efetivamente pelas empresas.
Neste sentido, considerando os princípios e direitos fundamentais presentes na Constituição, além das novas normas trazidas pela LGPD, Teffé e Viola, em uma análise sobre as bases legais da referida Lei, indicam:
Entende-se que o sistema desenvolvido tem como pilares centrais: a) amplo conceito de dado pessoal; b) necessidade de que qualquer tratamento de dados tenha uma base legal; c) rol taxativo de hipóteses legais para o tratamento de dados; d) caracterização detalhada do consentimento do titular e preocupação com sua manifestação; e) legítimo interesse como uma das hipóteses autorizativas e necessidade de realização de um teste de balanceamento de interesses para a sua regular aplicação; f) amplo rol de direitos do titular; e g) densa carga principiológica. (TEFFÉ; VIOLA, 2020, p. 38)
Dessa forma, a LGPD não apenas estabelece diretrizes claras para o tratamento de dados pessoais, mas também visa promover a transparência, a privacidade e a segurança dos dados. De acordo com a Lei, as empresas são obrigadas a adotar medidas de segurança adequadas, a obter consentimento explícito dos usuários para coletar e utilizar seus dados, além de estabelecerem políticas claras sobre o armazenamento e compartilhamento dessas informações.
A referida Lei estabelece obrigações para os gerenciadores de dados fornecidos pelas pessoas, visando proteger os direitos de privacidade individuais. Ademais, a responsabilidade imputada às empresas, considerada solidária aos agentes envolvidos no tratamento dos dados dos usuários, incentiva as corporações a adotarem meios para assegurar a eficácia do dispositivo normativo. Com isso, algumas medidas de segurança, como a criptografia, verificação de acesso e autenticação, se tornaram comuns nos sites e aplicativos de diversas empresas.
Portanto, ambas as Leis representam um marco importante para a proteção dos direitos dos cidadãos em um mundo cada vez mais digitalizado, garantindo que seus dados pessoais sejam tratados com responsabilidade e respeito, e que as empresas atuem de forma ética e transparente no ambiente virtual.
No entanto, constantemente vemos violações dessas diretrizes.
Entendendo que as empresas têm o dever de agir de modo socialmente responsável, principalmente quando se trata da proteção de dados pessoais das pessoas, surge a discussão sobre quando é possível aplicar a responsabilidade civil frente à violação do estabelecido na Lei; assim como os limites e critérios para tal imputação.
No que tange à responsabilização empresarial, com fulcro no instituto da responsabilidade civil no direito brasileiro, é necessário realizar uma análise sobre o tratamento de dados de usuários, a forma que deve ser feito e quais as consequências do não seguimento das instruções. O vazamento de informações pessoais sensíveis, por exemplo, pode ser objeto de responsabilização e consequente indenização.
Assim, a Lei Geral de Proteção de Dados estabeleceu uma regulação própria para a responsabilização civil por danos causados decorrente do tratamento dos dados (art. 42 a 45).
Em suma, a norma determina que todo operador em atividade de tratamento de dados pessoais será obrigado a reparar qualquer dano material ou moral sofrido, quando decorrente de violação da legislação vigente, salvo se provar que (1) o tratamento dos dados não era parte de suas atribuições; (2) não houve violação legal ou (3) o dano é consequente à culpa exclusiva do titular.
Não obstante, a lei considera também alvo de responsabilização civil quando há tratamento irregular dos dados pessoais, isto é, quando a atividade não estiver em conformidade com as diretrizes legais ou quando não providenciar as medidas de segurança previstas adequadamente:
Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I – o modo pelo qual é realizado;
II – o resultado e os riscos que razoavelmente dele se esperam;
III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.~
[…]
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Dessa forma, não somente o mal tratamento dos dados, mas também a simples ausência de requisitos táticos de segurança da informação, podem ser razões para imputação de responsabilidade civil empresarial.
A regulamentação sobre a responsabilidade trazida pela LGPD não exaure, no entanto, a discussão doutrinária quanto ao enquadramento desta: se objetiva, quando considera-se que a culpa não é fator determinante para suscitação da responsabilidade, ou subjetiva, quando é necessário comprovação do nexo causal entre a ocorrência do ato ilícito (dano sofrido), a obrigação decorrente e o agente responsável.
Independente da caracterização e enquadramento da responsabilidade nas definições teóricas, fato é que os dados pessoais são protegidos, e a violação da proteção de dados sensíveis e sigilosos representam um patamar ainda mais alto de incumbência para os agentes responsáveis.
Nesse sentido, as legislações vigentes proíbem o livre compartilhamento de dados pessoais entre empresas e redes sociais, salvo se houver consentimento explícito do titular ou determinação judicial fundamentada. Sobre o tema, aduz a jurisprudência do STJ:
CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. AÇÃO INDENIZATÓRIA C/C OBRIGAÇÃO DE FAZER. VIOLAÇÃO DOS ARTS. 489 E 1.022 DO CPC. AUSÊNCIA. CONDIÇÕES DA AÇÃO. TEORIA DA ASSERÇÃO. LEGITIMIDADE PASSIVA. CONFIGURAÇÃO. CERCEAMENTO DE DEFESA. AUSÊNCIA. FORNECIMENTO DE SERVIÇOS PELA B3 AOS INVESTIDORES FORA DO ÂMBITO DAS OPERAÇÕES NO MERCADO DE CAPITAIS. RELAÇÃO JURÍDICA DIRETA E AUTÔNOMA DE CONSUMO. INCIDÊNCIA DO CDC. DISSÍDIO JURISPRUDENCIAL. SIMILITUDE FÁTICA. AUSÊNCIA. PLATAFORMA VIRTUAL QUE ARMAZENA E UTILIZA DADOS PESSOAIS DOS INVESTIDORES. INCIDÊNCIA DA LGPD E DO MARCO CIVIL DA INTERNET. ACESSO NÃO AUTORIZADO POR TERCEIROS. EXCLUSÃO DOS DADOS INSERIDOS INDEVIDAMENTE POR TERCEIROS. POSSIBILIDADE. FORNECIMENTO DE REGISTROS E DADOS CADASTRAIS REFERENTES AO ACESSO NÃO AUTORIZADO. POSSIBILIDADE.
- Ação indenizatória c/c obrigação de fazer, ajuizada em 17/2/2022, da qual foi extraído o presente recurso especial, interposto em 24/5/2023 e concluso ao gabinete em 21/8/2023.
- O propósito recursal é decidir se […] (V) a B3 tem a obrigação de excluir os dados cadastrais inseridos indevidamente por terceiros que obtiveram acesso não autorizado ao perfil do investidor em sua plataforma virtual; e (VI) a B3, por fornecer tal plataforma, se enquadra no conceito de provedora de aplicação de internet previsto no Marco Civil da Internet.
[…]
- A B3, ao manter um sistema que armazena e utiliza dados dos investidores referentes à sua identificação pessoal, realiza operação de tratamento de dados pessoais e, assim, se submete às normas previstas na Lei Geral de Proteção de Dados (LGPD).
- Em observância aos arts. 18, III e IV, da LGPD, o titular dos dados pessoais tem o direito de requisitar a correção de dados incompletos, inexatos ou desatualizados; e a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei.
- O agente de tratamento de dados tem o dever de assegurar os princípios previstos na LGPD, dentre eles o da adequação e da segurança (art. 6º, II e VII), devendo, ainda, adotar medidas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de alteração, destruição, perda, comunicação dos dados (art. 46).
- Assim, havendo requisição por parte do titular, o agente de tratamento de dados tem a obrigação de excluir os dados cadastrais inseridos indevidamente por terceiros que obtiveram acesso não autorizado à conta do titular em sua plataforma, em observância aos arts. 18, IV, c/c os arts. 46 a 49 e 6º, II e VII, da LGPD.
- Segundo a jurisprudência desta Corte, o art. 22 do Marco Civil da Internet autoriza, com o propósito de formar conjunto probatório em processo judicial cível ou penal, em caráter incidental ou autônomo, a requisição judicial de registros de conexão ou de acesso daquele responsável pela guarda dos referidos dados, desde que preenchidos os requisitos previstos no parágrafo único do referido dispositivo legal.
- Na espécie, a B3 se enquadra no conceito de provedor de aplicação de internet, em razão da sua função de administrar e fornecer uma plataforma virtual aos investidores, que é acessada por dispositivos conectados à internet, incidindo, no âmbito dessa atividade, as normas previstas no Marco Civil da Internet.
- Hipótese em que foi afastada a responsabilidade civil da B3 por danos morais alegados pelo recorrido; sendo a B3 condenada apenas a fornecer informações, registros de conexão e dados relacionados ao acesso não autorizado pelos terceiros no perfil do recorrido; e a excluir os dados inseridos pelos fraudadores.
- Recurso especial conhecido e não provido.
(REsp n. 2.092.096/SP, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 12/12/2023, DJe de 15/12/2023.)
Por fim, é evidente que as empresas, principalmente as que operam nos meios digitais, tem uma grande responsabilidade ao proteger e assegurar a eficiência dessa proteção dos dados pessoais dos usuários. A LGPD, como meio regulador dessa matéria, demonstra as consequências decorrentes da má utilização da Internet, assim como do mal tratamento dos dados, que repercutem em obrigações inerentes à responsabilidade civil.
Referências Bibliográficas:
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Dispõe sobre a Proteção de Dados Pessoais. Diário Oficial da União, Brasília-DF, 14 de agosto de 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 27 fev. 2024.
BRASIL. Lei n. 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Diário Oficial da União, Brasília-DF, 24 de abril de 2014. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/. Acesso em: 27 fev. 2024.
NOVAKOSKI, André Luis Mota; NASPOLINI, Samyra H. D. F. Responsabilidade Civil na LGPD: Problemas e soluções. Conpedi Law Review, Florianópolis, v. 6, n. 1, p. 158-174, 2020. Disponível em: https://core.ac.uk/download/pdf/382457955.pdf. Acesso em: 27 fev. 2024.
SUPERIOR TRIBUNAL DE JUSTIÇA. REsp n. 2.092.096/SP, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 12/12/2023, DJe de 15/12/2023.
TEFFÉ, Chiara Spadaccini de; VIOLA, Mario. Tratamento de dados pessoais na LGPD: estudo sobre as bases legais. civilistica.com, [S. l.], v. 9, n. 1, p. 1–38, 2020. Disponível em: https://civilistica.emnuvens.com.br/redc/article/view/510. Acesso em: 27 fev. 2024.
