O dia 12 de maio de 2017 certamente ficará marcado na história da Internet mundial. O dia em que o praticamente o mundo inteiro foi vítima de um ataque cibernético envolvendo o sequestro de dados em larga escala através de um tipo de vírus popularmente conhecido por “ransomware”, o restringe o acesso do usuário a qualquer arquivo presente na máquina, através de uma criptografia, cuja senha apenas será fornecida quando pago o valor do resgate solicitado por seu propagador.
Mais de 150 países atingidos e algo perto de 300 mil computadores foram atingidos. Nem mesmo grandes empresas, como a espanhola Telefonica, foram poupadas. Até mesmo computadores de hospitais foram afetados. O Brasil também fora atingido, tendo o vírus afetado instituições públicas como o INSS, o Tribunal de Justiça e o Ministério Público (estes dois últimos, do Estado de São Paulo).
Diante desses cenários e da insegurança que este tipo de evento retrata, especialmente quando intimamente ligado ao tratamento de dados, afinal, se o computador de alguma grande empresa tivera seus dados “sequestrados”, qual será o destino deles até que o “resgate” seja pago, ou a criptografia desbloqueada por alguma equipe especializada? E, mais importante, como ficam os consumidores diante de uma situação como essas?
As questões são de extrema relevância, pois, hoje em dia, ao se falar em “dados”, ou seu tratamento, não se fala aqui de um endereço de e-mail, ou de um CPF, “apenas”, mas sim de toda e qualquer informação envolvendo uma pessoa. Suas preferências, estilos, opiniões, gostos, intensões de compra, tudo, absolutamente tudo é armazenado e tratado por aplicações de internet (como, por exemplo, Facebook e Youtube) e passado da maneira mais favorável possível ao mercado, através do direcionamento de conteúdo e publicidade personalizadas ao interesse de cada usuário.
É exatamente por isso que, quando se navega em determinados portais, sempre se verificam publicidades de sites recém-visitados e/ou pesquisados em sites de buscas, ou que lhe são dirigidas reportagens e textos de pessoas com opinião mais similar à sua (ou você realmente pensava que só existem pessoas no mundo iguais a você que criticam a existência de um tal ex-presidente ou de uma dada operação anticorrupção da Polícia Federal?). Você só recebe este conteúdo em razão de haver, em dado momento, manifestado interesse sobre eles, e não porque apenas eles existem, criando assim uma falsa sensação de egocentrismo e isolamento social, cuja discussão, embora muitíssimo interessante, foge ao escopo do texto.
Pelo controle que o tratamento de dados propicia, e da grandiosa rentabilidade que ele propicia. Para se ter uma ideia da grandiosidade da coisa, fala-se que, em alguns anos, tratar dados será mais rentável que extrair petróleo, ou que o tratamento de dados seria a “Nova Fórmula da Coca Cola”, como ludicamente retrata a reportagem de Luís Osvaldo Grossmann junto ao portal Convergência Digital1.
Já no mundo do direito, a relevância do tratamento de dados é muito discutida sob a ótica da escassez legislativa, afinal, como todo bom brasileiro e de nossa cultura de panaceia legislativa, nada como ter uma “leizinha” para resolver um probleminha aqui ou ali.
Envolvendo a proteção de dados pessoais, especificamente, existem alguns projetos de lei, já que o Marco Civil, ao tratar do tema, mais se preocupa em preservar a liberdade de expressão, do que com a efetiva proteção de dados de usuários.
Sobre os projetos, podemos elencar o PL 330/13 do Senado de autoria do então Senador Aloysio Nunes, hoje ministro de relações exteriores e os PL 4.060/12 e 5.276/16, ambos da Câmara dos Deputados e de Autoria do Deputado Milton Monti e do Poder Executivo, respectivamente. Tais projetos, embora contendo erros e acertos, ainda não possuem qualquer previsão de conclusão de tramitação.
E até lá? O que fazer?
Voltando-se, especificamente ao tema das relações de consumo, que é a proposta deste modesto texto, a primeira legislação que vem a mente é o próprio Código de Defesa do Consumidor, mas... Como uma legislação de 1.990 pode ser viável para a proteção de um tema tão atual e impensável há época de sua promulgação?
Não custa ressaltar que o CDC, muito embora esteja com quase 27 (vinte e sete) anos de idade, vem, constantemente, provando estar atual como nunca. A prova disso é o próprio direito de arrependimento, previsto em seu artigo 49, que protege o consumidor de compras feitas fora do estabelecimento comercial, que, convenha-se, era aplicável diante de figuras completamente folclóricas como o vendedor de enciclopédia, a “tia do Yakult”, e do mítico Teleshop, o saudoso (011) 1406 e seus clássicos produtos como o Ambervision, Sonic2000 e Contour Pillow, hoje é usado em larga escala no comércio eletrônico, algo completamente inimaginável na época de sua promulgação, afinal o que era ali a internet?
O grande segredo do diploma consumerista (e um dos motivos de ser ele considerado como uma das leis mais bem editadas deste país tupiniquim) é exatamente o fato de sua organização normativa se dar por meio de cláusulas abertas e princípios, os quais permitem sua mutação ao longo do tempo, tornando a norma atemporal e não engessável ao longo do tempo.
Tá, mas e quanto o tratamento de dados do consumidor? Como ele pode ser protegido?
O artigo 43 do CDC, ao falar de banco de dados e cadastros de consumidores, passa a ideia do banco de dados oriundos aos serviços de proteção ao crédito, como SPC e Serasa, e não há mais nada referente a “dados” no CDC, então o consumidor está desprotegido?!?!?!?!
Novamente, o diploma consumerista trabalha com princípios e cláusulas abertas. Pela legislação já vigente, tem-se que, pelo artigo 6º, VI, o consumidor tem direito à efetiva prevenção e reparação de danos, significando dizer, portanto, a grosso modo que todo e qualquer produto ou serviço lançado ao mercado de consumo não pode ser passível de causar um dano ao consumidor, desde que utilizado de maneira adequada.
Logo, se uma empresa armazena, trata e/ou os dados de qualquer consumidor, deve ela fazer de maneira segura, a fim de prevenir de maneira efetiva que qualquer dano possa ocorrer, sob pena de, ele ocorrendo, indenizar o consumidor integralmente.
Igualmente, não se deve esquecer que todo serviço deve ser prestado de maneira adequada e na qualidade que dele se espera. Caso isto não ocorra, ou dele seja ocasionado um dano (ex: vazamento de dados, ou tratamento indevido), se estará diante de um vício ou defeito do serviço, dependendo da extensão do dano oriundo de cada caso concreto (se intrínseco ou extrínseco ao consumidor), encontrando, assim previsão legal nos artigos 20 e 12, respectivamente do CDC.
Perceba-se que, fazendo-se um breve exercício, não se mostra dificultoso ao consumidor encontrar respaldo legal, independentemente da existência de uma lei de proteção de dados. Tudo está no CDC e desde 1.990.
E para corroborar com tudo o que está acima, o decreto 7.962/13, editado em 15 de março (dia do consumidor) procurou regulamentar o CDC no que tange ao comércio eletrônico. Dentre os diversos dispositivos lá presentes, destaca-se o art. 4º, VII que incumbe ao fornecedor a utilizar mecanismos de segurança eficazes para tratamento de dados do consumidor.
Ou seja, ainda que o novo decreto não tenha, ao menos quanto este aspecto, trazido qualquer novidade quanto à proteção do consumidor, serviu para solidificar ainda mais a proteção já prevista no âmbito do CDC há mais de 25 anos, não custando, inclusive, esclarecer que eficaz, como pode ser verificado em qualquer dicionário, liga a ideia de se atingir o resultado esperado, isento de falhas, ou seja, de um sistema de segurança incapaz de permitir que os dados armazenados possam ser violados.
Assim, em conclusão, muito embora a carência de legislação específica, tem-se que, estando-se diante de vazamento de dados, manipulação indevida, ou qualquer dano correlato, pelo bom e velho CDC, o consumidor tem a quem se socorrer.
____________
1. Convergência Digital: Algoritmos para tratamento de dados são a nova ‘fórmula da Coca-Cola’.
____________
*Fernando Henrique Rossi é advogado e sócio fundado da Rabelo e Rossi Advogados Associados.