Introdução
A Lei Geral de Proteção de Dados Pessoais - LGPD 13.709, promulgada em 14 de agosto de 2018 e que está vigor desde o dia 18 de setembro de 2020, significa um verdadeiro marco nas relações com finalidades econômicas, sobretudo no direito consumerista.
De fato, o direito do consumidor é baseado preponderantemente em uma relação com fins econômicos, e dessa maneira se faz necessária uma criteriosa observação da norma, por meio de mecanismos que possibilitem a governança dos dados pessoais e efetivamente possibilitem a mudança da política comportamental não somente das pessoas jurídicas, mas também das pessoas físicas que realizam o tratamento de dados.
Dessa maneira insta observar os aspectos em que a LGPD impacta as relações de consumo, e sua relação principiológica com o Código de Defesa do Consumidor -CDC, passando pela teoria do diálogo das fontes, como também, no que tange à responsabilização civil, que semelhantemente ao Código de Defesa do Consumidor, prevê a responsabilização objetiva, aquela que não se avalia a culpa do agente causador do dano.
Contexto Histórico da LGPD
O principal motivo que embasou a criação de uma norma que visa tutelar a segurança de dados pessoais, segundo a Jurista Patrícia Peck Pinheiro1, foi a globalização e o advento de uma economia digital respaldados pelos avanços da tecnologia.
No ano de 2018, entrou em vigor na União Europeia a Geral Data Protection Regulation - GDPR, mas que já vinha sendo discutida desde o ano 2012 a respeito da privacidade dos dados pessoais e dos direitos dos usuários e as obrigações de empresas europeias e empresas estrangeiras que tratam dados de cidadãos europeus.
Sendo assim, logo após a regulamentação da referida norma na União Europeia- UE, se iniciou uma verdadeira cobrança para que os outros países também tivessem normas que buscassem a tutela efetiva na segurança de dados pessoais, de maneira que se tornou um critério para a continuidade das relações comerciais.
Dessa maneira, diante da necessidade de o Brasil dar continuidade às parcerias comerciais internacionais, especialmente com a Europa, as autoridades brasileiras começaram a se preocupar com a criação de uma norma de proteção de dados pessoais.
Diante desse cenário, o Brasil após 8 anos de discussão dentro Ministério da Justiça e de consultas públicas em que foram ouvidas empresas e pessoas físicas para se manifestarem por meio de críticas e sugestões a nova legislação que estava nascendo.
A Relação Principiológica entre a LGPD e o Código de Defesa do Consumidor
A LGPD é conhecida como uma legislação extremamente técnica, é bem verdade.
Todavia, assim como toda norma, ela possui seus princípios basilares, que estão previstos em seus artigos que se correspondem aos aplicáveis nas relações de consumo, com previsão expressa no art. 6º, do Código de Defesa do Consumidor. Como por exemplo, o princípio do livre acesso e da prevenção (art. 6º, VII do CDC)2.
Outro importante princípio previsto em ambas legislações e que se complementam claramente, diz respeito ao acesso a informação existente no banco de dados das instituições.
Enquanto, no art. 43, caput, do CDC, há a previsão acerca do direito do consumidor a ter acesso às informações existentes em cadastros, fichas e dados pessoais e de consumo arquivados sobre ele, e as suas respectivas fontes, a LGPD determina em seu art. 6 º, o livre acesso e a garantia de uma consulta facilitada e gratuita sobre a forma e a duração do tratamento dos dados.
Dessa forma, em uma relação consumerista, a LGPD reforça ainda mais a premissa de que as pessoas físicas e jurídicas que realizam tratamento de dados pessoais, devem facilitar o acesso a informação em seu banco de dados pelo titular, de maneira que garante ao consumidor/titular de dados pessoais o seu direito de saber: 1) quais os dados que estão sob o tratamento; 2) o que dizem os dados; 3) retificação dos dados; 4) quem tratam os dados (se há empresas parceiras ou terceirizadas); 5) de qual maneira que os dados são tratados e onde os dados estão armazenados os dados; 6) a anonimização dos dados; 7) portabilidade dos dados; 8) solicitação do descarte de dados, salvo impossibilidade de obrigação legal3.
Nesse sentido, a ideia de que o titular de dados em um ponto de vista da LGPD e o consumidor, sob a ótica de uma relação de consumo, tem o seu direito complementado e fortalecido diante das duas legislações, pois com o advento da Lei Geral de Proteção de Dados, se criou mecanismos práticos para que o consumidor efetive o seu direito, como por exemplo o direito a portabilidade dos dados, de maneira o titular/consumidor tem o direito de reivindicar que uma empresa transfira seus dados pessoais a outra empresa, ainda que seja concorrente e de maneira gratuita.
A Teoria do Diálogo das Fontes - LGPD e CDC
A Teoria do Diálogo das Fonte foi idealizada em 1995, pelo jurista Alemão Erik Jayme, e trazida ao Brasil pela professora Cláudia Lima Marques, da Universidade Federal do Rio Grande do Sul, e versa sobre a premissa de que as leis não devem serem aplicadas de maneira isolada, mas sim de maneira unitária.
Entende-se nessa teoria que a interpretação do direito deve ser realizada sistematicamente e coordenadamente, de forma que uma norma jurídica não exclui a aplicabilidade de outra norma, se afastando do que se idealizou Norberto Bobbio ao definir os critérios clássicos de solução de conflitos de normas, as denominadas antinomias jurídicas.
Dessa forma, o entendimento basilar da teoria de Erik Jayme, é que as normas se complementam, bem como salienta Cláudia Lima Marques no sentido de o direito deve buscar a harmonia e a coordenação entre as normas do ordenamento jurídico e com a menor exclusão de normas. 4
Para Cláudia Lima Marques, o “diálogo das fontes” visa expressar a aplicabilidade coerente das leis no âmbito do direito privado, que também denomina de “coerência derivada ou restaurada”, que anseia a eficiência não somente na hierarquia, mas em um sistema plural e complexo do direito contemporâneo.5
De maneira que se entende por essa teoria que a é aplicável nas relações consumeristas outras normas que não estão previstas no Código de Defesa do Consumidor, mas que levem em consideração a vulnerabilidade do consumidor, que advém diretamente da tutela da dignidade humana prevista na Constituição Federal de 88.
Não obstante, normas devem ser interpretadas e dialogadas sob o condão dos direitos fundamentais, de maneira que a Carta Magna, mas não somente ela, devem ser aplicados quando se tratar da defesa do consumidor e a tutela de seus direitos
Sendo assim, a Lei Geral de Proteção de Dados, converge no sentido de proteger os direitos fundamentais da liberdade e privacidade e os direitos da personalidade, permitindo que seja aplicável as relações de consumo a LGPD em grau de complementaridade, em um diálogo harmônico e coordenado do sistema jurídico6.
De maneira que o princípio da finalidade, previsto na LGPD que trata sobre a clareza e exatidão sobre os motivos da coleta de dados pessoais, vai ao encontro da cláusula da boa-fé objetiva prevista no art. 51, IV do CDC e garantia constitucional da privacidade, prevista no art. 5º, X da Carta Magna, o que impossibilita a comercialização de banco de dados de consumidores e o tratamento de dados sem o expresso consentimento do seu titular.7
A Relação Baseada no Consentimento
A LGPD é respaldada por diversos fundamentos que se correlacionam com os direitos fundamentais previstos na Constituição Federal de 88, como os direitos humanos e a inviolabilidade da intimidade.
E é nesse mesmo sentido que um ponto que merece um especial destaque pelas empresas e pessoas que utilizam dados pessoais para fins econômicos, está no consentimento do titular a fim de se assegurar o direito a liberdade e privacidade.
O consentimento é de essencial importância, de modo que a sua carência é capaz de gerar a responsabilização civil, como se verá adiante.
Ademais, insta frisar que ao se solicitar o consentimento do titular que deve ser expresso, deve-se mencionar a finalidade a que se destina de maneira clara e legítima.
A observância da questão da finalidade do consentimento é primordial aos agentes de tratamento, pois muitas instituições possuem um consentimento para um tratamento de dados, porém, não para qualquer tipo de tratamento.
Como menciono em meu artigo “O Impacto da nova Lei Geral de Proteção de Dados nas Escolas”, publicado pela Revista Jus, as escolas tratam dados com a finalidade do cumprimento de um contrato de prestação de serviços educacionais e utilizam os dados para essa finalidade.
Todavia, se a escola utiliza as informações que mantém em seu banco de dados para fins de campanhas de marketing, como o envio de mensagens com propagandas de cursos de extensão ou até mesmo encaminham os dados a empresas parceiras sem a devido consentimento do titular, estará sujeita a responsabilização civil.
Portanto, a obrigatoriedade do consentimento se estende a qualquer empresa ou pessoa física que atua com finalidade econômica, mesmo que já tenha dados sob seu tratamento, é necessário um novo consentimento para outro tratamento de dados que não seja o consentido.
A Responsabilidade Civil na Lei Geral de Proteção de Dados e no Código de Defesa do Consumidor
Dito que a Lei Geral de Proteção de Dados é aplicável em qualquer relação que tenha a finalidade econômica, seja por uma pessoa jurídica ou física e pode ser aplicada nas relações consumeristas, sobretudo pelo seu caráter constitucional e respaldado na Teoria do Diálogo das Fontes, insta apontar o instituto da responsabilidade civil nessas relações.
Com o advento da recente Lei Geral de Proteção de Dados Pessoais, têm se discutido o regime da responsabilidade civil, se se trata de objetiva ou subjetiva.
Insta estabelecer primeiramente que a LGPD se trata de um microssistema, que pode versar em relações de consumo e também em relações que não são oriundas de relação consumerista, como no caso as respaldadas no Código Civil.
Logo, para dizer que a responsabilidade será objetiva ou subjetiva, a primeira análise deve ser feita é se a relação jurídica é consumerista.
O entendimento majoritário da doutrina, é que a responsabilidade do agente de tratamento de dados é subjetiva quando não se tratar de relação de consumo.
Se a relação jurídica for de consumo, entende-se que a responsabilização é objetiva. Em uma análise no art. 45 da LGPD, é possível estabelecer o entendimento da responsabilização sem análise de culpa do agente, visto que a normativa é clara ao dizer que nas relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.8
Tal posicionamento é congruente quando se se tratar de uma relação que tem por base a vulnerabilidade do consumidor e quando se leva em consideração a Teoria do Diálogo das Fontes, pois não haveria sentindo aplicar uma norma em relação de consumo que não leva em consideração o fato da responsabilização objetiva da relação jurídica.
A Responsabilidade Solidária
A responsabilidade é solidária entre os agentes que realizam o tratamento - o controlador e o operador -, esta previsão está no art. 42, I, II da LGPD.
Para fins didáticos insta frisar que como menciono no artigo publicado pelo JusBrasil “Uma análise do impacto da lei 13.709/18 - Lei Geral de Proteção de Dados - nas relações econômicas e jurídicas”, o dado coletado por um agente de tratamento passa por um verdadeiro ciclo, que vai desde a sua coleta até o seu descarte. Durante esse ciclo de tratamento o dado pode passar do controlador para o operador9.
Dessa forma, controlador pode ser entendido como aquele que manda no tratamento de dados, sendo uma pessoa física ou jurídica e o operador é aquele que de fato executa a função, uma pessoa física ou jurídica. Ou seja, é o controlador quem decide a) quais dados serão coletados; b) qual é a finalidade do tratamento; c) quais serão as políticas de retenção de dados; d) quais serão os receptores dos dados, se existirem.
Dito que dentro da LGPD existem as figuras do controlador e do operador, e do caráter solidário que a norma traz a essas duas figuras, é possível afastar a responsabilização solidária entre esses dois agentes.
Se o agente (controlador ou operador) tiver provas que sejam suficientes que isentem a sua responsabilidade, a isenção poderá ser garantida10.
Exemplo: Se uma instituição de ensino, que pode ser entendida como controladora de dados, coleta informações sobre seus alunos e responsáveis e envia esses dados a uma software house que é responsável pelo seu sistema de gestão escolar, realizando o tratamento dos dados em nome do controlador - aqui a escola - mas que um empregado da instituição de ensino imprime um relatório de inadimplência, mas deixa o papel em cima de sua mesa, e um aluno ou terceiro tem acesso a essas informações e os dados vazam, pode se entender que a responsabilidade será daquele que de fato falhou na segurança da informação.
Inclusive, a LGPD não tutela somente os dados previstos no meio digital, mas também em papel físico.
Por isso sempre a importância de medidas de compliance devem ser implementadas em todas empresas que tratam os dados, a fim de se estabelecer medidas de educação, prevenção e regras de boas práticas e de governança, para que seja efetivo o cumprimento da norma e evitando o tratamento inadequado e o litígio.
Excludentes de Responsabilidade
As 3 excludentes de responsabilidades estão previstas no art. 43 da LGPD, que versam sobre a prova de: a) a não realização de tratamento de dados; b) que embora tenha-se realizado o tratamento, não houve violação à legislação de proteção; ou c) culpa exclusiva do titular ou de terceiro.
Ação Regressiva
A ação de regresso é possível, com previsão no art. 42, §4º, da LGPD. Contudo, na prática é complexo determinar o grau de culpa do agente, ou até mesmo quem foi o agente pessoalmente causador do dano.
Ademais, respaldado em uma política de compliance, é possível celebrar contratos que possam dar maior seguranças as empresas, como em um termo de responsabilidade, mas também evitar o dano11.
Inversão do Ônus da Prova
Assim como no CDC, a LGPD possibilita que o ônus da prova seja invertido em favor do titular/ consumidor. Todavia, insta frisar que a inversão não se dá de forma automática.
A previsão dessa possibilidade está no art. 42, §2º, da GLPD, quando a alegação for verossímil, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa, semelhante ao que dispõe no CDC.
Conclusão
Certamente, o Código de Defesa do Consumidor protege as garantias constitucionais previstas pelo Constituinte Originário, mas agora conta com mais uma legislação que vem dar maior efetividade aos direitos de relações consumeristas.
Ademais, tendo em vista a globalização e tecnologia, e tendo os dados pessoais um valor quando se trata de negócios, deve-se buscar a tutela do uso adequado e consentido pelos titulares consumidores da relação jurídica.
Como de todo abordado, a LGPD pode e deve ser aplicada nas relações consumeristas com base na Constituição e na Teoria do Diálogo das Fontes, que vem para unificar a hermenêutica jurídica.
A responsabilização objetiva e solidária encontra a sua razão de existir: a vulnerabilidade do consumidor em produzir provas, assim como se vislumbra nas relações de consumo em geral.
_____________________
1 PECK, Patricia Pinheiro. Proteção de Dados Pessoais. Comentários à lei 13.709/18. P.17 2 ed. São Paulo. Saraiva, 2020.
2 FERNANDES, Lucas. A LGPD sugiu para superar o Código de Defesa do Consumidor. 2020. Disponível em: clique aqui. Acesso em: março/21.
3 RICCETTO, Brígida. O impacto da nova Lei Geral de Proteção de Dados nas escolas. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 26, n.6413, 21 jan. 21. Disponível em: clique aqui. Acesso em: 20 mar. 2021.
4 PRADO, Sergio Mata. Da teoria do diálogo das fontes. Migalhas. 2013. Disponível em: clique aqui Acesso em: março/2021.
5 MORAES, Alexandre Carlos. A Aplicação da Teoria do Diálogo das Fontes no Direito do Consumidor. 2018. Disponível em: clique aqui fontes-no-direito-do-consumidor-brasileiro/. Acesso em março/2021.
6 FERREIRA, Vitor Hugo do Amaral. Procon RS. 2020. Disponível em: clique aqui. Acesso em: março/21.
7 MINISTÉRIO DA JUSTIÇA. ESCOLA NACIONAL DE DEFESA DO CONSUMIDOR. A Proteção de Dados Pessoais nas Relações de Consumo: Para além da Informação Cretitícia. V.2. 2010. Disponível em: clique aqui. Acesso em março/21.
8 FERREIRA. Diogo Ramos Ferreira. Responsabilidade civil dos agentes de tratamento de dados: subjetiva ou objetiva? JOTA. 2019. Disponível em clique aqui. Acesso em março de 21.
9 RICCETTO, Brígida. GAMA, Pablo Ricardo Penãloza. Uma análise do impacto da Lei n. 13.709/2018 - Lei Geral de Proteção de Dados - nas relações econômicas e jurídicas. 2020. Disponível em: clique aqui. Acesso em março de 2020. 11 PECK, Patricia Pinheiro. Proteção de Dados Pessoais. Comentários à Lei n. 13.709/2018. 2 ed. P. 122. São Paulo. Saraiva, 2020.
10 RICCETTO, Brígida. O impacto da nova Lei Geral de Proteção de Dados nas escolas. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 26, n.6413, 21 jan. 21. Disponível em: clique aqui. Acesso em: 20 mar.