Em relação ao desenvolvimento e à evolução do direito de proteção de dados, os países de common law e de civil law parecem estar adotando abordagens diferentes. Estes últimos têm desenvolvido um tort (ato ilícito ou delito) de base legal – v., por exemplo, os arts. 82 e ss. do RGPD europeu e os art. 42 e ss. da LGPD brasileira. Os países do common law, por sua vez, têm deixado para o judiciário decidir sobre esta questão.1
Os tribunais do Reino Unido e do Canadá desenvolveram recentemente um tort por violação da privacidade de dados pessoais. As cortes desses Estados começaram a "estabelecer alguns princípios-chave que embasam um tort por violação da privacidade, fornecendo orientação sobre a avaliação dos danos consequentes." Esse tort também está sendo desenvolvido nos Estados Unidos.2
Na presente coluna, com foco especial no Reino Unido, examino os avanços relativos a um tort de quebra de confiança (tort of breach of confidence) e, mais recentemente, de quebra de privacidade (tort of breach of privacy).
Segundo Leon Trakman, Robert Walters e Bruno Zeller, o desenvolvimento, pelos tribunais do Reino Unido, de um tort de privacidade relativo a informações pessoais "pode ser descrito como duro e desafiador." Em Wainwright v Home Office, a autora foi obrigada a tirar todas as suas roupas antes de ser autorizada a entrar na prisão para visitar seu filho. A Câmara dos Lordes não reconheceu um tort de invasão de privacidade. O caso foi levado ao Tribunal Europeu de Direitos Humanos, o qual considerou que o art. 8.º da Convenção Europeia dos Direitos Humanos (CEDH) foi violado. Este dispositivo prevê que "toda pessoa tem direito ao respeito pela sua vida privada e familiar, pelo seu lar e pela sua correspondência". O Tribunal Europeu considerou que o fato de autora ter sido obrigada a se despir para poder visitar seu filho no cárcere constituiu uma violação de seus direitos previstos no art. 8 da CDEH e determinou que o Estado pagasse uma indenização no total de 20.500 euros.3
Em HRH Prince of Wales v Associated Newspapers Ltd, o jornal inglês The Mail on Sunday publicou trechos de um relato que o príncipe Charles escreveu e entregou a amigos, descrevendo a cerimônia de transferência da soberania de Hong Kong para a China como uma performance "horrível ao estilo soviético", "ridícula lenga-lenga" e as autoridades chinesas como "terríveis peças de cera antigas". A publicação desses extratos era pessoalmente embaraçosa para o príncipe, que acabou conseguindo em juízo que o jornal não publicasse outros trechos do relato. O tribunal destacou, em especial, a preocupação de desenvolver um direito de privacidade que forneça proteção para o direito à "vida privada e familiar, seu domicílio e sua correspondência", nos termos do art. 8.º da CEDH. O tribunal foi além e ampliou o direito de confidencialidade para proteger os direitos previstos no art. 8.º, mas em circunstâncias que não envolvam a violação de uma relação confidencial.4
Em meados dos anos 2000 começou a se formar um tort direcionado mais concretamente ao uso indevido de informações pessoais. Em Campbell v MGN Ltd, a Câmara dos Lordes considerou se a publicação de fotos dos participantes de uma reunião dos Narcóticos Anônimos violava seu direito à vida privada e familiar, conforme o art. 8.º da CEDH. O tribunal deliberou se o direito da autora de proteger sua identidade, como previsto no art. 8.º, era intrínseco a uma causa de pedir por quebra de confiança (breach of confidence) e ao uso indevido de suas informações privadas, de acordo com a Lei de Proteção de Dados de 1998 (Data Protection Act – DPA).5
Em Lloyd v Google, o Tribunal Superior decidiu caso no qual o Google teria, durante alguns meses entre 2011 e 2012, agido ilicitamente, "rastreando secretamente a atividade de usuários do iPhone da Apple na internet, coletando e usando as informações obtidas, e depois vendendo os dados acumulados." O tribunal indeferiu o pedido de indenização por violação de dados pessoais, argumentando que dos fatos narrados não se extraía "dano", nos termos da Seção 13 do DPA. O tribunal reconheceu que, de fato, esta seção prevê indenização quando alguém sofre danos em decorrência de violação, por parte de um controlador de dados, de alguma das previsões da DPA. Entre outras objeções, salientou, no entanto, que a dificuldade em determinar se um determinado indivíduo realmente se enquadra na classe afetada foi um fator adicional para decidir se o demandante sofreu danos nos termos da Seção 13.6
Uma questão relevante é se as informações pessoais são "privadas" para fins de uma ação de responsabilidade civil (tort action). No já referido caso Campbell v MGN Ltd, em que a informação pessoal do autor sobre sua participação em uma reunião dos Narcóticos Anônimos fora divulgada, a Câmara dos Lordes analisou se o autor "tinha uma expectativa razoável de privacidade". O tribunal também considerou se "essa expectativa razoável de privacidade proporcionava a um demandante um nível mais elevado de proteção por divulgação de dados pessoais sensíveis, como registros médicos sob a DPA." E considerou ainda as "questões causativas de se a sua 'ansiedade consequente em continuar a frequentar as reuniões dos Narcóticos Anônimos' foi o resultado demonstrado da utilização indevida (divulgação) dos seus dados pessoais."7
Este caso foi importante para estabelecer a verossimilhança de a divulgação ilícita de dados pessoais causarem sofrimento, angústia ou aflição (distress) no titular dos dados. O que permaneceu em aberto é como tal angústia e prejuízo deveriam ser medidos de maneira razoável.8
Mais de uma década depois de Campbell, ocorreu um marco judicial na construção judicial de violações da DPA. Em 2015, no caso Vidal-Hall and others v Google Inc, houve a efetiva superação da Seção 13 (2) da DPA, o que facilitou o ajuizamento de ações com pedidos de indenização por sofrimento, aflição ou angústia (distress). O caso envolvia demandantes que usaram aparelhos da Apple para acessar a internet e que também se utilizaram de vários serviços do réu (Google). A alegação dos autores foi baseada na aflição ou angústia sofrida ao saber que suas características pessoais formavam a base para os anúncios direcionados do réu, ou por terem descoberto que tais assuntos podiam ter chegado ao conhecimento de terceiros que usaram ou viram seus dispositivos. Os pedidos dos autores foram exclusivamente pelo sofrimento, angústia e ansiedade, e não por danos patrimoniais.9
Nesse caso, o Tribunal de Apelação considerou que não havia nenhuma exigência na Seção 13 para que houvesse primeiramente prejuízo patrimonial, antes que uma indenização pudesse ser concedida por sofrimento, angústia ou aflição (distress). O tribunal reconheceu que "as ações por quebra de confiança e as ações por uso indevido de informações privadas assentam em distintos fundamentos jurídicos e protegem diferentes interesses jurídicos". As primeiras tutelam informações secretas ou confidenciais e as últimas privacidade. Nada obstante, "após pesquisar as classificações judiciais usadas em casos anteriores, concluiu que não havia nada na natureza da demanda em si que sugerisse que era errado tratá-la como um tort".10
Em trecho relevante da decisão, que merece transcrição, o tribunal concluiu:
Against the background described, and in the absence of any sound reasons of policy or principle to suggest otherwise, we have concluded in agreement with the judge that misuse of private information should now be recognised as a tort for the purposes of service out of the jurisdiction. This does not create any new cause of action. In our view, it simply gives the correct legal label to one that already exists. We are conscious of the fact that there may be broader implications from our conclusions, for example as to remedies, limitation and vicarious liability, but these were not the subject of submissions, and such points will need to be considered as and when they arise.11
Segundo Leon Trakman, Robert Walters e Bruno Zeller, este caso representa "o claro reconhecimento de que agora existe um tort de common law para o uso indevido de informações pessoais que se enquadra na lei de proteção de dados no Reino Unido."12
Ainda de acordo com os referidos autores, "outras jurisdições de common law, notadamente a Austrália, deveriam considerar seguir o mesmo caminho, estabelecendo um tort de privacidade na internet." E explicam, conclusivamente, que um "tal tort na proteção de dados irá proporcionar um nível mais elevado de controle aos titulares dos dados sobre seus dados pessoais e dissuadir as entidades de fazer uso indevido desses dados."13
Por fim, importa mencionar que, em 23 de maio de 2018, foi aprovada uma nova Lei de Proteção de Dados no Reino Unido (Data Protection Act 2018). Trata-se da implementação no Reino Unido do RGPD da União Europeia, codificando seus requisitos no direito britânico. A DPA 2018 contém duas seções sobre responsabilidade civil, uma primeira sobre obrigação de indenizar por violação da RGPD (Seção 168) e uma segunda por violação de outras leis (Seção 169).
__________
1 TRAKMAN, Leon; WALTERS, Robert; ZELLER, Bruno. Tort and Data Protection Law: Are There Any Lessons to Be Learnt? EDPR Review, 5(4), p. 6, 2019. Disponível em SSRN ou aqui.
2 TRAKMAN; WALTERS; ZELLER, op. cit., p. 1.
3 TRAKMAN; WALTERS; ZELLER, op. cit., p. 7.
4 TRAKMAN; WALTERS; ZELLER, op. cit., p. 7.
5 TRAKMAN; WALTERS; ZELLER, op. cit., p. 8.
6 TRAKMAN; WALTERS; ZELLER, op. cit., p. 8.
7 TRAKMAN; WALTERS; ZELLER, op. cit., p. 9.
8 TRAKMAN; WALTERS; ZELLER, op. cit., p. 9.
9 Fonte. Acesso em: 19 mar 2021.
10 TRAKMAN; WALTERS; ZELLER, op. cit., p. 9.
11 Vidal-Hall and others v Google Inc, in EWCA Civ, 2015, p. 51 apud TRAKMAN; WALTERS; ZELLER, op. cit., p. 9-10.
12 TRAKMAN; WALTERS; ZELLER, op. cit., p. 9.
13 TRAKMAN; WALTERS; ZELLER, op. cit., p. 9.