A Lei Geral de Proteção de Dados (LGPD) – lei 13.709/18 – atingiu uma notoriedade nada comum em se tratando de norma altamente especializada e relativamente complexa.
Apesar de sua tecnicidade, as disposições da LGPD estão na boca do empresariado brasileiro, não obstante o déficit de adequação às determinações da norma observado em alguns segmentos, como o notarial, e a quase universal lacuna no que toca ao treinamento de funcionários de empresas que tratam, controlam e/ou operam dados pessoais ou sensíveis de clientes, fornecedores e colaboradores (obrigação prescrita pelo art. 41, III da Lei).
O interesse pela lei aumentou nas primeiras semanas de fevereiro do corrente ano de 2023, desde que a Autoridade Nacional de Proteção de Dados, figura criada pela LGPD para disciplinar a tratativa aos dados no Brasil e fora dele para empresas que atuam no mercado brasileiro, antecipou que passaria a exercer sua capacidade sancionatória1, outorgada pelo art. 52 da LGPD, a partir daquele mês, tendo inclusive publicado a Resolução CD/ANPD 4/23, a fim de estabelecer a dosimetria a ser observada na aplicação dessas sanções.
O receio de ser objeto de autuação pela ANPD, que goza do permissivo legal de aplicar multas que podem chegar a 50mi BRL (art. 52, II da LGPD) é, praticamente, geral entre as empresas e se soma ao temor de receber alguma visita indesejada do Ministério Público de sua circunscrição, ante aos já notórios casos de atuação do parquet na busca por indenizações coletivas em ocorrências de vazamento de dados, como no caso de instituição financeira mineira ré em Ação Civil Pública ajuizada pelo Ministério Público do Distrito Federal em 2018, nos autos da qual se firmou acordo em benefício do Fundo Nacional de Defesa do Consumidor2.
A atuação do Ministério Público, enquanto defensor da sociedade e seus direitos difusos e coletivos, apenas evidencia uma questão relevante no que toca à proteção de dados dos consumidores, pouco vista em discussões sobre a regulamentação da questão: a aplicação suplementar do Código de Defesa do Consumidor (CDC) às disposições da LGPD.
Já nas primeiras aulas da academia de Direito, aprendemos que conflitos entre norma especial e geral se resolvem em favor da norma especial. À primeira vista, em se tratando ambas as normas de normas principiológicas, tender-se-ia ao entendimento de que haveria conflito entre elas e que a LGPD, por ser norma especial, se sobreporia. Porém, a própria lei traz em seu texto mecanismos para a aplicação harmoniosa entre ambas as normas.
Nessa linha de raciocínio, o CDC, além de possuir um objeto muito bem determinado, possui raias que atingem todo o regramento pátrio quando se trata de regular e garantir os interesses dos consumidores.
Cláudio Bonatto (2003)3 traduz esse entendimento ao discorrer sobre o alcance das disposições do CDC, mesmo quando num contexto já coberto por outras normas:
Os princípios seriam como pilares e um edifício, os quais servem como bases de qualquer sistema, atuando, neste mister, como diretrizes orientadoras para a consecução dos objetivos maiores deste mesmo sistema.
Não nos esqueçamos que o CDC surge de determinação constitucional, que alça a proteção dos direitos do consumidor à condição de garantia fundamental, já que constante do art. 5º XXXII da Constituição Federal.
A tratativa, enriquecimento e utilização de dados de seus consumidores pelas operadoras de dados convive com o legítimo interesse do consumidor em garantir a proteção à sua privacidade e, do ponto de vista normativo, se subjuga a este interesse, uma vez que toda a estrutura da proteção do consumidor se estabelece sobre o princípio, dentre outros, de que o consumidor é vulnerável em relação ao mercado.
Acerca da vulnerabilidade do consumidor, cabe correlacionar as lições de Rizatto Nunes (2000)4:
[...] o consumidor é a parte fraca da relação jurídica de consumo. Essa fraqueza, essa fragilidade, é real, concreta, e decorre de dois aspectos: um de ordem técnica e outro de cunho econômico. O primeiro está ligado aos meios de produção, cujo conhecimento é monopólio do fornecedor. E quando se fala em meios de produção não se está apenas referindo aos aspectos técnicos e administrativos para a fabricação de produtos e prestação de serviços que o fornecedor detém, mas também ao elemento fundamental da decisão: é o fornecedor que escolhe o que, quando e de que maneira produzir, de sorte que o consumidor está à mercê daquilo que é produzido.5
A passividade do consumidor perante a forma como as ofertas de mercado se estabelecem é absolutamente observada no que toca à utilização de seus dados pelas empresas operadoras, do que se evoca outro princípio da normativa de proteção ao consumidor - o direito à informação (art. 6º, III do CDC) -, similarmente contemplado na raiz principiológica da LGPD, quando o legislador define a transparência (art. 6º, VI) como um de seus princípios.
Daí, a conclusão pela aplicação sistêmica de ambas as normas quando a questão é defesa dos direitos dos titulares de dados enquanto consumidores, já que “a livre iniciativa, a livre concorrência e a defesa do consumidor” figuram, ainda, como fundamento da Lei (art. 2º, VI).
Além de viabilizar a melhor proteção ao consumidor/titular de dados, enquanto vulnerável na relação com o mercado, a aplicabilidade de ambos os dispositivos, obviamente, atinge ocorrências de mau tratamento, vazamento de dados e outras situações fáticas observadas no dia a dia das operadoras de dados e que expõem os consumidores a circunstâncias nas quais se depara com o publicização de seus dados, justificando seu direito objetivo à indenização por danos de qualquer natureza, à luz, novamente, do CDC (art. 14).
Note-se que o direito reparatório do consumidor é expressamente lembrado pelo legislador da Lei de Proteção de Dados que prevê em seu art. 45 que “as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente”.
Ao operar dados de seus consumidores, os fornecedores se sub-rogam nos riscos de fazê-lo, sobretudo no que toca à reparação dos dissabores experimentados por consumidor que, por exemplo, têm seus dados creditícios vazados.
A jurisprudência, desde os primeiros instantes da promulgação da LGPD, já tem se estabelecido no sentido de aplicá-la de forma sistêmica junto ao CDC quando diante de insurreição de consumidores que sustentam terem sido lesados por falhas na proteção de seus dados pelos agentes de tratamento, conforme corrobora excerto abaixo de acórdão proferido pelo TJ/SP:
TJ/SP. Inteiro Teor: 2021.0000698477 APELANTE: WILLIANS SANTOS AMARAL APELADO: ELETROPAULO METROPOLITANA ELETRICIDADE DE SÃO PAULO S/A COMARCA: OSASCO MAGISTRADO PROLATOR DA DECISÃO: Dra. Claudia Guimarães dos Santos. EMENTA. DANO MORAL VAZAMENTO DE DADOS CÓDIGO DE DEFESA DO CONSUMIDOR DEVER DE SEGURANÇA. 1 Reconhecida a falha no sistema, ante a invasão por terceiros, ocasionando o vazamento de dados pessoais do consumidor, patente o dever de indenizar pelos danos morais sofridos; 2 Indenização por danos morais fixada no montante pleiteado, ou seja, em R$ 10.000,00, corrigidos do arbitramento e acrescido de juros de mora de 1% ao mês, a partir da citação. RECURSO PROVIDO.
[...]
Note-se a divulgação indevida dos dados do consumidor, independente de uso deles por terceiros, configura ofensa à dignidade da pessoa humana em face do direito à inviolabilidade dos seus dados pessoais”.
Observe-se que no caso mencionado os danos suportados pelos titulares dos dados vazados foram presumidos, entendimento que não se pode afirmar como sedimentado, tendo em vista a recorrência de decisões que têm afastado a incidência do direito à indenização em prol de consumidores que não comprovaram dano efetivo decorrente de incidentes de falhas de proteção de dados.
Em recente estudo tornado público em website de conhecido escritório de advocacia paulista6, se observa uma tendência dos órgãos colegiados em afastar a natureza in re ipsa (dano presumido) em ações judiciais envolvendo incidentes de vazamento de dados, quando analisadas decisões prolatadas sobre a matéria em 2022 em todo o território nacional.
Recente decisão prolatada pelo STJ nos autos do AResp 2.130.619/SP[7], que ganhou espaço em reconhecidos veículos de comunicação, também apontou no sentido da necessidade de comprovação de efetivos danos ao se pleitear indenização por vazamento de dados pessoais e/ou sensíveis, além de definir como taxativo o rol elencado pelo art. 5º, II da LGPD a fim de conceituar “dado pessoal sensível”.
É de se observar, porém, se esta tendência há de ser observada pelas decisões oriundas dos órgãos de Juizado Especial Cível em ações que tenham incidentes previstos pela LGPD como objeto, ao menos enquanto não se sumular a matéria.
É neste ambiente do Judiciário, notoriamente protecionista, onde tramitam grande parte das ações de natureza consumerista, as quais não parecem ser, por ora, objeto de atenção das empresas e demais agentes de tratamento de dados, quando da análise de possíveis contingências decorrentes de eventos prescritos pela LGPD.
Não se pode esquecer também neste sentido da ação dos órgãos pertencentes ao Sistema Nacional de Defesa do Consumidor, já que competentes, à luz do CDC (art. 55, §1º), para fiscalizar, controlar e sancionar eventuais agressões aos interesses do consumidor, bem como que expressamente outorgados em competência para recebimento de reclamações relativas aos direitos conferidos pela LGPD aos titulares de dados, por força de seu art. 18 (art. 18, §8º). Isso sem falar de outras agências e órgãos reguladores também lembrados pelo legislador no texto da LGPD (art. 52, §6º, II).
A atuação de variados órgãos com competências administrativas distintas em torno de eventos decorrentes da LGPD é matéria de discussão, cabendo aqui destacar que a norma especial, todavia, restringe à ANPD a atividade sancionatória em casos de ocorrências envolvendo dados por ela protegidos (art. 55-K), contemplando as alterações promovidas no texto constitucional pela EC 115/2022, que definiu como de competência da União “organizar e fiscalizar a proteção e o tratamento de dados pessoais [...]”. (art. 21, XXVI da CF).
O fortalecimento da autoridade da ANPD por meio da publicação de suas notas técnicas e guias orientativos é fundamental ao estabelecimento da autoridade enquanto referência na matéria perante os demais órgãos da administração pública, a fim de se mitigar os riscos de sanções sobrepostas, promovendo a eficiência administrativa – princípio constitucional (art. 37) – e garantindo a devida finalidade dos atos administrativos.
Essa articulação da ANPD com demais órgãos reguladores e/ou fiscalizadores é também contemplada pelas disposições da LGPD (art. 55-K, parágrafo único), após pequena reforma decorrente das disposições da Medida Provisória 869/2018, convertida na lei 13.853/19 e é celebrada pela Resolução CD/ANPD 1 de 2021, que aprova o regulamento de processo de fiscalização da autarquia e pela quentíssima Resolução CD/ANPS 4 de 27/2/23, ao prever que a ANPD comunicará as autarquias setoriais em caso de aplicação de sanções de suspensão da atividade de tratamento de dados total ou parcial “para que se manifestem (sic) sobre eventuais consequências das sanções para o exercício de atividades econômicas reguladas [...]” (art. 3º, §2º).
A harmonia entre os órgãos da administração pública, além de necessária, garantirá a regular aplicação da Lei e, eventualmente, poderá ficar a cargo do Poder Judiciário coibir excessos e impedir a invasão de competência da ANPD.
Enquanto isso, cabe aos operadores a atenção e interlocução com todas as esferas administrativas e judiciais, evitando-se prejuízos e, principalmente, garantindo-se a necessária proteção aos dados de seus consumidores.
----------
1 CONVERGÊNCIA OFICIAL. Disponível em: https://www.convergenciadigital.com.br/Governo/Legislacao/ANPD-comeca-a-aplicar-multas-por-infracoes-a-LGPD-a-partir-de-fevereiro-62379.html?UserActiveTemplate=mobile#:~:text=ANPD%20come%C3%A7a%20a%20aplicar%20multas%20por%20infra%C3%A7%C3%B5es%20%C3%A0%20LGPD%20a%20partir%20de%20fevereiro,-Lu%C3%ADs%20Osvaldo%20Grossmann&text=O%20presidente%20da%20Autoridade%20Nacional,ser%20aprovado%20ainda%20em%20fevereiro. Acesso em: 23 fev.2023.
2 MINISTÉRIO PÚBLICO DO DISTRITO FEDERAL E TERRITÓRIOS. Disponível em: https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/sala-de-imprensa/noticias/noticias-2018/10211-mpdft-ajuiza-acao-contra-o-banco-inter-por-vazamento-de-dados-pessoais. Acesso em: 23 fev. 2023.
3 BONATTO, Cláudio. Questões controvertidas no Código de Defesa do Consumidor: principiologia, conceitos, contratos. 4ª ed. Porto Alegre: Livraria do Advogado, 2003. p. 24.
4 NUNES, Luiz Antonio Rizzatto. Comentários ao Código de Defesa do Consumidor: direito material (arts. 1º a 54). São Paulo: Saraiva, 2000. p. 106.
6 OPICE BLUM. Relatório anual de jurimetria 2022. Disponível em: https://opiceblum.com.br/wp-content/uploads/2019/07/09-relatorio-jurimetria-2022.pdf. Acesso em: 25 fev. 2023.
7 https://processo.stj.jus.br/processo/julgamento/eletronico/documento/mediado/?documento_tipo=integra&documento_sequencial=178204788®istro_numero=202201522622&peticao_numero=&publicacao_data=20230310&formato=PDF