Por Mayara Bueno Barretti Rocha
O presente trabalho possui o objetivo de analisar o conflito existente entre alguns dispositivos da Lei Geral de Proteção de Dados Pessoais e o Marco Civil da Internet. Para tanto será abordada, de forma suscinta, o contexto de surgimento de ambas as Leis, descrevendo, ainda, suas principais características. Também serão estudados os dispositivos conflitantes e a solução cabível para resolver a antinomia existente. Por fim, será possível chegar à conclusão de que a Lei Geral de Proteção de Dados deve prevalecer em situações de violações a dados pessoais, sendo a Lei Geral de Proteção de Dados Pessoais aplicável quando a questão estiver adstrita à guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet. A metodologia do trabalho é bibliográfica, produzida pela método hipotético-dedutivo.
Palavras-chave: Lei Geral de Proteção de Dados Pessoais; Marco Civil da Internet; Conflito de Normas, Internet.
1 – INTRODUÇÃO
O Marco Civil da Internet (Lei nº 12.965/2014) foi a primeira legislação a regular o uso da internet no Brasil, elegendo, em seu artigo 3º, III, a proteção de dados como um dos princípios fundamentais do uso da internet no Brasil.
Contudo, faltava maior especificidade quanto a proteção dos dados pessoais, razão pela qual foi publicada, em 2018, a Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709.
Embora possuam focos de proteção distintos, alguns dispositivos das citadas Leis conflitam entre si, abrindo margem para dúvidas sobre qual Lei aplicar em um caso concreto.
Assim, a solução proposta para a resolução da citada antinomia é a utilização de critérios consagrados pela doutrina jurídica, a saber: critério cronológico; critério hierárquico; e critério da especialidade.
Por fim, será possível chegar à conclusão de que, em um determinado caso concreto, havendo a violação a dados pessoais, deverá prevalecer a determinação legal contida na LGPD, entretanto, o MCI deve ser aplicado, quando a questão estiver adstrita à guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet, já que a LGPD não regula tal situação.
2 – BREVE HISTÓRICO
A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709, de 14 de agosto de 2018) representa um marco histórico na regulamentação sobre o tratamento de dados pessoais no Brasil, tanto em meios físicos quanto em plataformas digitais.
Anteriormente a publicação mencionada da Lei, a disciplina era regida por disposições normativas esparsas, de forma que não existia, no país, uma normatização adequada à tutela de dados pessoais.
Como exemplo desses normativos, pode-se citar as disposições constitucionais referentes à inviolabilidade da intimidade e da vida privada, dispostas no artigo 5º, X e XII e as leis ordinárias de caráter público, quais sejam, a Lei de Arquivos Públicos (Lei nº 8.159/91), a Lei de Habeas Data (Lei nº 9.507/97) e a Lei de Acesso à informação (Lei nº 12.572/2011).
No âmbito privado, haviam os dispositivos do Código de Defesa do Consumidor (Capítulo V, Seção VI – Dos Bancos de Dados e Cadastros dos Consumidores ), do Código Civil (arts. 12 e 21 ) e a Lei do Cadastro Positivo (Lei nº 12.414/2011) .
Vale realçar que no ano de 2.014 foi publicada a primeira Lei regulamentadora das atividades realizadas no âmbito virtual, conhecida como Marco Civil da Internet – MCI (Lei nº 12.965/2014), dispondo sobre os princípios, garantias, direitos e deveres para o uso da internet no Brasil.
Embora com foco na normatização do uso da internet, referida Lei elege, em seu artigo 3º, III , a proteção de dados como um dos princípios fundamentais do uso da internet no Brasil.
Faltava, no entanto, maior especificidade e proteção aos dados pessoais, ou seja, às informações pessoais que determinam a identificação, ou possibilidade de identificação, de uma pessoa, como seu nome, data de nascimento, documentos pessoais.
Assim, em agosto de 2018, foi publicada a Lei Geral de Proteção de Dados no Brasil, visando a proteção dos dados pessoais no meio digital e físico.
3 – A PROTEÇÃO DOS DADOS PESSOAIS COMO DIREITO FUNDAMENTAL
Vale esclarecer que a expressão “tratamento de dados pessoais” disposta na Lei Geral de Proteção de Dados, compreende qualquer operação realizada com dados pessoais, englobando as etapas de acesso, coleta, retenção, processamento, armazenamento, avaliação, transferência e eliminação.
O objetivo da Lei é garantir a tutela de direitos fundamentais previstos na Constituição Federal, a saber, a liberdade, a privacidade e o livre desenvolvimento da personalidade humana, conforme estabelece seu artigo inaugural , abaixo transcrito:
“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.
Nesse contexto, destaca-se que a disposição normativa limitou sua proteção aos dados pessoais da pessoa natural, não estendendo a tutela às pessoas jurídicas. Assim, na visão de Cots e Oliveira, a legislação em comento possui notável caráter humanista, uma vez que se projetou à proteção das pessoas humanas, seres únicos e completos, totalmente suscetíveis às condições adequadas do ambiente para que possam se desenvolver da melhor maneira possível .
Outro ponto importante a se mencionar é a expressa disposição de que a Lei deverá ser aplicada contra o tratamento ilegal de dados pessoais praticado tanto por pessoa natural quanto por pessoa jurídica, seja esta de direito público ou privado. Em suma, a LGPD visa tutelar direitos fundamentais de modo transversal, aplicando-se às relações jurídicas tanto de direito público quanto de direito privado .
Vale, ainda, ressaltar que a emenda constitucional nº 115/2022, incluiu a proteção de dados pessoais no rol de direitos e garantias fundamentais, passando a tutelar de forma autônoma o instituto em estudo. Isso quer dizer que a inviolabilidade ou a defesa do tratamento ilícito de dados pessoais da pessoa natural independe de outras violações. Trata-se, portanto, de garantia à proteção de dados pessoais em âmbito constitucional, como liberdade positiva dos indivíduos terem o direito de controlar seus respectivos dados .
Assim, a LGPD apresenta previsões relacionados ao tratamento de dados pessoais nas esferas privada e pública, dos direitos do titular, da segurança e do sigilo de dados, bem como dos procedimentos de fiscalização e das sanções aplicáveis, sendo essa uma garantia fundamental da pessoa natural .
4 – O MARCO CIVIL DA INTERNET
Para melhor compreensão do tema debatido, é importante tecer breves considerações sobre a Lei nº 12.965/2014, que regulamenta o uso da internet no Brasil.
Publicado em 23 de abril de 2014, o Marco Civil da Internet – MCI (Lei nº 12.965/2014), é, atualmente, a única legislação que regulamenta a responsabilidade dos provedores de internet no Brasil.
Seu anteprojeto foi elaborado, conforme expõe Santarém , objetivando a positivação de uma interpretação que permitisse ao Direito dialogar com a internet sem desrespeitar a natureza desta.
Seu foco é a normatização do uso da internet, abordando temas como direito ao acesso, à liberdade de expressão e à privacidade, a não-discriminação de conteúdos e a resolução de conflitos relacionados à rede, estabelecendo, ainda, regras de responsabilidade .
Especial atenção deu-se ao direito à privacidade, prevendo, em diversos dispositivos, a proteção ao direito à privacidade, de forma a impedir que terceiros tenham acesso às informa¬ções pessoais da pessoa natural .
Tal previsão se dá nos incisos I, II, III, VII e VIII do art.7º , ao elencarem como direitos dos usuários de internet a inviolabilidade da intimidade e da vida privada; a preservação do sigilo das comunicações privadas pela rede, transmitidas ou armazenadas; o não fornecimento de dados pessoais coletados pela internet a terceiros sem prévio consentimento do usuário; além de estabelecer o dever de informar os usuários sobre a coleta de dados, quando houver justificativa para tal fato.
Do mesmo modo, o art.10 prevê que a guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet devem ser realizadas com respeito a intimidade, vida privada, honra e imagem das pessoas direta ou indiretamente envolvidas.
Quanto à proteção dos usuários da internet, o Marco Civil restringe a res¬ponsabilidade dos provedores de aplicações de internet, já que estabelece a responsabilidade subsidiária dos pro¬vedores, dispensando-os do dever de diligência .
Embora o Marco Civil da Internet tenha sido um marco na história da regulamentação da internet, muitos de seus dispositivos conflitam com a Lei Geral de Proteção de dados Pessoais, publicada posteriormente, ensejando, uma análise cautelosa no momento de sua interpretação, o que será debatido a seguir.
5 – O CONFLITO ENTRE AS NORMAS DA LEI GERAL DE PROTEÇÃO DE DADOS E O MARCO CIVIL DA INTERNET
Conforme exposto, o Marco Civil da Internet foi idealizado com o fim de normatizar o uso da internet no Brasil e, embora tenha eleito a proteção de dados como um de seus princípios fundamentais, não foi projetado para ser uma legislação a regulamentar de maneira ampla e completa o tema de proteção de dados pessoais.
Assim, a LGPD nasce como norma específica a tutelar os dados pessoais da pessoa natural, dispondo sobre toda e qualquer operação realizada com dados pessoais, englobando as etapas de coleta, processamento, armazenamento, avaliação, transferência e eliminação, nas esferas privada e pública, elevando tal proteção como garantia fundamental.
No entanto, alguns dispositivos das citadas Leis conflitam entre si, gerando confusão e, consequentemente, insegurança jurídica no campo da privacidade e da proteção de dados.
Nesse sentido, passa-se a discorrer, a seguir, sobre os dispositivos conflitantes com a Lei Geral de Proteção de Dados.
5.1 – Artigo 7º, incisos VII e IX, da Lei nº 12.965/2014 – MCI versus o artigo 7º, da Lei nº 13.709/2018 – LGPD.
Prevê o artigo 7º, do Marco Civil da Internet, em seus incisos VII e IX , sobre a proibição de fornecimento de dados pessoais a terceiros, inclusive registros de conexão e de acesso a apli¬cações de internet, salvo mediante consentimento livre, expresso e informado. Nota-se que o citado dispositivo estabelece como exceção ao fornecimento de dados apenas o consentimento expresso.
Paralelamente, o artigo 7º, da Lei Geral de Proteção de Dados, prevê 10 (dez) hipóteses (bases legais) para o tratamento de dados pessoais, inclusive no ambiente online, sendo o consentimento do titular apenas uma delas , conforme abaixo transcrito:
“Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente”.
No entanto, os dispositivos acima citados não são os únicos conflitantes, havendo outros que merecem maior atenção.
5.2 – Artigo 12, inciso II, da Lei nº 12.965/2014 – MCI versus o artigo 52, inciso II, da Lei nº 13.709/2018 – LGPD.
Dispõe o artigo 12, inciso II, do Marco Civil da Internet, sobre as sanções aplicáveis em casos de violações aos direitos fundamentais à intimidade, da vida privada, da honra e da imagem no tratamento de dados pessoais, prevendo a aplicação de multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício.
Já o artigo 52, inciso II, da Lei Geral de Proteção de Dados, estabelece como limite máximo da sanção pecuniária o percentual de 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, desde que não superior, no total, a R$ 50 milhões por infração.
Os citados dispositivos, embora possuam o mesmo fato gerador para a aplicação das multas, preveem como sanções pecuniárias valores destoantes.
Além disso, conforme mencionam Chaves e Vidigal, as sanções do Marco Civil da internet não são aplicáveis a quaisquer violações da norma, mas somente àquelas relativas à “proteção aos registros, aos dados pessoais e às comunicações privadas”, conforme título da seção II no qual se encontram .
Não bastasse, o caput do referido dispositivo limita as punições às violações dos artigos 10 e 11, que, de modo geral, tratam, respectivamente: 1) do dever de respeito à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas no armazenamento de dados; e 2) da obrigatoriedade de observância da legislação brasileira relativa aos direitos à privacidade, à proteção dos dados pessoais em atividades de tratamento ocorridas no país .
Por outro lado, o artigo 52, da Lei Geral de Proteção de Dados é aplicável a toda infração cometida às normas prevista na Lei, possuindo maior abrangência que o disposto no artigo 12, inciso II, do Marco Civil da Internet.
Portanto, considerando que o tema das sanções por violação de dados pessoais é totalmente regulado pela Lei Geral de Proteção de Dados, resta clara a incompatibilidade entre o valor da multa prevista no artigo 12, inciso II, do MCI e aquele estabelecido como teto pela LGPD em seu artigo 52, inciso II.
5.3 – Artigo 18, da Lei nº 12.965/2014 – MCI versus o artigo 42, da Lei nº 13.709/2018 – LGPD.
Importante ponto a ser destacado é a questão da responsabilidade dos infratores pelas violações causados aos dados pessoais.
Conforme já foi mencionado, o Marco Civil restringe a res¬ponsabilidade dos provedores de aplicações de internet, ao estabelecer a responsabilidade subsidiária dos pro¬vedores, dispensando-os do dever de diligência.
Nesse contexto, o artigo 18, MCI, prevê que o provedor de conexão à internet não será responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros.
Ao passo que o artigo 19 dispõe sobre a responsabilidade subsidiária se, após ordem judicial específica, o provedor de aplicações de internet não tornar indisponível o conteúdo apontado como infringente.
O fato torna-se sensível e, portanto, conflita com a LGPD, quando o conteúdo infringido for um dado pessoal de pessoa natural.
Isso porque, estabelece a LGPD sobre o dever de reparação ao titular dos dados pessoais violados, no artigo 42, in verbis:
“Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.
Assim, uma vez que o controlador é definido pela Lei como pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais, se enquadra neste conceito o provedor de conexão à internet e, portanto, ocorrendo violação à legislação de proteção de dados pessoais, fica obrigado a reparar o titular dos dados, conforme prevê o artigo 42, da LGPD.
Nota-se, por todo o exposto, que o Marco Civil da Internet está em aparente conflito com as algumas das determinações previstas na Lei Geral de Proteção de Dados, acarretando a necessária análise da antinomia jurídica entre as normas.
6 – AS POSSIBILIDADES DE SOLUÇÕES DA ANTINOMIA ENTRE O MARCO CIVIL DA INTERNET E A LEI GERAL DE PROTEÇÃO DE DADOS
Passa-se aqui a discorrer sobre as soluções cabíveis para resolver o conflito entre os dispositivos normativos do Marco Civil da Internet e da Lei Geral de Proteção de Dados.
Dessa forma, vale destacar os critérios consagrados pela doutrina jurídica para promover o deslinde de questões antinômicas:
(i) o critério cronológico: a norma posterior derroga a anterior;
(ii) o critério hierárquico: diante de um conflito envolvendo normas de hierarquia distintas, prevalece o entendimento da superior sobre a inferior; e
(iii) o critério da especialidade: em caso de conflito entre normas que tratam de uma mesma relação jurídica, prevalece aquela com regras mais específicas para a situação .
Assim, pelo critério cronológico, a Lei Geral de Proteção de Dados Pessoais é posterior ao Marco Civil da Internet, no entanto, valer-se, exclusivamente deste método não se demonstra satisfatório para a resolução do conflito, exceto quanto ao disposto no artigo 60 da LGPD , que alterou expressamente os artigos 7º, X e 16, II, ambos do MCI, ocorrendo, neste caso, a derrogação.
Por seu turno, quanto ao critério hierárquico, temos que ambas são leis ordinárias federais, contudo, vale lembrar que a emenda constitucional nº 115/2022, incluiu a proteção de dados pessoais no rol de direitos e garantias fundamentais, elevando-a ao status constitucional.
Prosseguindo-se na análise dos critérios de resolução de conflitos aparentes de normas, resta o critério da especialidade, o qual determina que a lei especial deve prevalecer sobre a lei geral.
Resta cristalino, portanto, que tanto o MCI, quanto a LGPD, regulam o tratamento de dados pessoais, entretanto, claramente o MCI tem escopo mais abrangente, balizando, por exemplo, os limites da responsabilidade civil no ambiente da internet, estabelecendo princípios, garantias, direitos e deveres para o uso da internet no Brasil.
Por seu turno, a LGPD tem a finalidade específica de estabelecer parâmetros para a proteção de dados pessoais em qualquer tipo de relação jurídica, independentemente da utilização da internet. Ou seja, a LGPD tem por escopo regular, especificamente, como deve ocorrer o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Valendo-se deste raciocínio, quando se tratar de violação a dados pessoais, parece que deve prevalecer a determinação legal contida na LGPD, entretanto, o MCI deve ser aplicado, quando a questão estiver adstrita à guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet, já que a LGPD não regula tal situação.
7 – CONCLUSÃO
Embora o Marco Civil da Internet disponha sobre a proteção de dados pessoais, seu foco é a normatização do uso da internet, abordando temas como direito ao acesso, à liberdade de expressão e à privacidade, a não-discriminação de conteúdos e a resolução de conflitos relacionados à rede.
Já a Lei Geral de Proteção de Dados Pessoais objetiva garantir a proteção de dados pessoais em qualquer tipo de relação jurídica, independentemente da utilização da internet, tutelando direitos fundamentais previstos na Constituição Federal, a saber, a liberdade, a privacidade e o livre desenvolvimento da personalidade humana.
Por ser específica, a LGPD deve prevalecer sobre o MCI em casos de violações de dados pessoais, sem, contudo, deixar de aplicar o MCI quando a violação estiver vinculada à guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet, já que a LGPD não regula tal situação.
8 – REFERÊNCIAS
ABBOUD, Georges et al. Introdução ao Direito: teoria, filosofia e sociologia do direito. 6. ed. em e-book baseada na 6. ed. impressa. São Paulo: Thomson Reuters Brasil, 2022. Página RB-10.3. Disponível em: https://proview.thomsonreuters.com/launchapp/title/rt/monografias/94831849/v6/page/RB-10.3. Acesso em 06/05/2022.
BASAN, Arthur Pinheiro. A lei geral de Proteção de dados pessoais e a tutela dos direitos fundamentais nas relações privadas. Revista jurídica eletrônica da Universidade Federal do Piauí, v. 8, n. 1, jan/jun 2021.
BRASIL. Código Civil de 2002. Brasília: Senado Federal, 2002.
BRASIL. Código de Defesa do Consumidor. Brasília: Senado Federal, 1990.
BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília: Senado Federal, 1988.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Brasília: Senado Federal, 2014.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Brasília: Senado Federal, 2018.
CAMARINHA, Sylvia M.F.et al (2020). Comentários à Lei Geral de Proteção de Dados. 1. ed. e-book baseada na 1.ed. impressa. São Paulo: Revista dos Tribunais, 2020. Disponível em: https://proview.thomsonreuters.com/launchapp/title/rt/monografias/235810730/v1/page/RB-1.2. Acesso em 02/05/2022.
CHAVES, Luis Fernando Prado; VIDIGAL, Paulo. A LGPD revogou tacitamente dispositivos do Marco Civil da Internet. Disponível em https://www.conjur.com.br/2021-mar-29/chaves-vidigal-lgpd-revogou-tacitamente-dispositivos-. Acesso em 05/05/2022.
COTS, Márcio e OLIVEIRA, Ricardo. Lei geral de proteção de dados pessoais comentada. Thomsons Reuteres. Brasil: São Paulo, 2018.
FILHO. Eduardo Tomasevicius. Marco Civil da Internet: uma lei sem conteúdo normativo. Estudos avançados 30 (86), Jan-apr 2016. https://doi.org/10.1590/S0103-40142016.00100017.
MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados Pessoais Comentada. 4. ed. e-book baseada na 4. ed. impressa. São Paulo: Revista dos Tribunais, 2022. Disponível em: https://proview.thomsonreuters.com/launchapp/title/rt/codigos/188730949/v4/page/RL-1.2. Acesso em 02/05/2022.
SANTARÉM, Paulo Rená da Silva. O direito Achado na Rede: a emergência do acesso à Internet como direito fundamental no Brasil. Brasília: UNB, 2010.
