A importância da discussão acerca do tema proteção de dados pessoais e privacidade é altíssima, muito em razão do atual modelo econômico da internet, com acesso livre a aplicações em troca de informações dos usuários, as quais são valiosas para qualquer empresa, que procura negociá-las com parceiros em campanhas das mais diversas (de publicidade até formação de banco de dados para análise de crédito e avaliação de riscos de operações).
Mas antes mesmo de o anteprojeto chegar ao Congresso Nacional, o Departamento de Proteção e Defesa do Consumidor - DPDC, principal órgão de defesa do consumidor em nível federal no Brasil, proferiu decisão sobre o assunto e tratando de irregularidades em políticas de armazenamento e tratamento de registros de acesso e dados pessoais de consumidores em aplicações de internet1.
Em tal decisão, o DPDC posiciona-se de forma inédita sobre diversos pontos atualmente discutidos pelo mercado, assumindo posição que será bastante importante para o desenvolvimento dos debates sobre a proteção de dados no Brasil.
Questões já recorrentes em discussões globais envolvendo proteção de dados foram abordadas pelo DPDC, dentre elas a coleta, o armazenamento, o registro, a vigilância, o tratamento e também o compartilhamento de dados pessoais de usuários. Para tanto, o órgão utilizou conceitos, princípios e regras comuns à defesa do consumidor para justificar seu entendimento sobre proteção de dados pessoais, conforme veremos a seguir.
? Tratamento de Dados e Sua Relevância
A gestão de dados pessoais envolve diversas etapas ao longo da operação da atividade de qualquer empresa que a desenvolva, conforme mencionado acima. O DPDC tentou dar direcionamento e regras específicas a cada uma delas.
Sobre os momentos da gestão, temos que a coleta de dados ocorre na obtenção dos dados pessoais do titular, de forma voluntária (por meio do preenchimento de formulários) ou indireta (como no caso de empresas de análise e classificação de risco de operações, em que recebem as informações de terceiros).
Já a vigilância não está ligada aos dados pessoais em si, mas em como determinado usuário utiliza um serviço. Quando estas informações são alvo de rastreamento e registro, ganham valor ao serem aliadas a padrões de consumo e aos dados pessoais obtidos na coleta.
Por fim, há que se esclarecer o tratamento de dados pessoais e o compartilhamento de tais informações. Por tratamento de dados, entendem-se as operações que permitam qualquer tipo de uso dos dados pessoais (incluindo coleta, armazenamento, ordenamento, conservação, modificação), assim como o seu compartilhamento com terceiros.
Cada um dos momentos da gestão dos dados pessoais tem vital importância na relação entre o titular e o gestor dos dados. Atualmente, diversas empresas obtêm dados de seus usuários, mas não explicam como pretendem armazená-los e tratá-los ao longo da relação. Desta forma, alguns usuários acabam não tendo conhecimento do fato de que suas informações são compartilhadas com terceiros, que as exploram comercialmente.
Tendo em vista este cenário, analisamos a seguir a decisão do DPDC.
? O Entendimento do DPDC
Na Nota Técnica, o DPDC tentou direcionar boa parcela dos assuntos relacionados à proteção de dados.
Coleta: acerca das regras de coleta de dados pessoais, o DPDC afirmou que esta deve ser regida pela garantia de informação ao consumidor quando da formação de cadastros, fichas, registros e dados pessoais e de consumo prevista no Código de Defesa do Consumidor2, (específica para cadastros negativos de consumidores, mas utilizada analogamente para justificar a criação de banco de dados em geral). Assim, com a expansão do entendimento de tal regra, os usuários devem ser devidamente informados sempre que houver a criação de registro de seus dados ou atividades.
Tratamento e Compartilhamento: Já com relação ao tratamento, foram descritas limitações com relação ao momento da apresentação e aceitação dos serviços relacionados aos dados pessoais dos usuários. Segundo o DPDC, as operações de tratamento de dados devem ser devidamente informadas ao titular destas informações de acordo com os princípios constitucionais e basilares da defesa do consumidor, como (i) o princípio do direito ao acesso à informação3; (ii) os princípios da boa-fé objetiva4 e da transparência5 e (iii) o princípio da vulnerabilidade do consumidor6.
Assim, ao disponibilizar qualquer tipo de serviço ou aplicação, as empresas deverão informar o consumidor de forma adequada, clara e inequívoca acerca do uso que fará das informações obtidas, incluindo se pretende compartilhar tal informação com terceiros, de forma transparente. Desta forma, o compartilhamento da informação não é vedado diretamente pelo DPDC, mas define-se a obrigação de se informar o titular dos dados caso ocorra, sendo que este deverá consentir com a divulgação.
Vigilância: além disso, a análise dos registros de atividade de usuários também foi estudada pelo órgão de defesa do consumidor, que classificou a vigilância não informada “de forma constante (d)a navegação do consumidor na internet” como uma clara violação ao princípio da boa-fé objetiva entre as partes. Ainda sobre a vigilância, o DPDC também apresentou argumentos que reforçam as bases da proteção de dados contra tais ações de provedores de serviços, previstos no Marco Civil da Internet7: o direito à inviolabilidade da intimidade, da privacidade, do sigilo do fluxo de comunicações pela internet.
***
Assim, o DPDC procurou apontar para as questões que julgou inicialmente mais importantes e destacou regras e princípios básicos que devem ser seguidos por empresas que façam qualquer tipo de gestão ou tratamento de dados pessoais.
Alguns provedores podem precisar de adequações às suas políticas de modo a respeitar estes tais princípios básicos, apresentando informações aos consumidores acerca de eventual possibilidade de não cumprimento estrito destas regras.
Portanto, as empresas que violarem os princípios acima em cada uma das fases da gestão de dados pessoais de consumidores estarão sujeitas a penalidades que variam de acordo com (i) a gravidade da infração, (ii) a vantagem obtida e (iii) a condição econômica do agente, nos termos do Código de Defesa do Consumidor8.
Assim, com base nos argumentos acima, o DPDC deu o primeiro passo à definição de linhas gerais relacionadas à proteção de dados pessoais e colocou em alerta todas as empresas que realizam tal tipo de coleta e tratamento de dados atualmente no Brasil.
O Almeida Advogados possui uma equipe especializada em Proteção de Dados Pessoais e Privacidade que acompanha atentamente os processos legislativos acerca de tais questões em todo o país e vem liderando debates acerca destas novas regras, além de prestar assessoria jurídica personalizada a clientes que realizam gestão e tratamento direto ou indireto de dados pessoais.
_______________
1 A empresa de telecomunicações Oi foi punida no Processo Administrativo nº. 08012.003471/2010-22, com multa de R$ 3.500.000,00 (três milhões e meio de reais) por pretensas violações a regras consumeristas que foram relacionadas à proteção de dados pessoais.
2 Art. 43, do Código de Defesa do Consumidor.
3 Art. 5, XIV, da Constituição Federal.
4 Art. 4, III, do Código de Defesa do Consumidor.
5 Arts. 6, II, III and IV, e 31, Código de Defesa do Consumidor.
6 Art. 4, I, III, Código de Defesa do Consumidor.
7 Art. 7º, do Marco Civil da Internet (L. 12.965/14).
8 Art. 57, do Código de Defesa do Consumidor.
_______________
* Leonardo A. F. Palhares e Caio Iadocico de Faria Lima são advogados da banca Almeida Advogados.