Migalhas de Peso

Para além da ANPD, as expectativas sobre a tutela coletiva do direito à proteção de dados pessoais

Sentença do TJ/MA parece punir de maneira mais severa conduta de menor gravidade.

26/7/2023

Recentemente, a Vara de Interesses Difusos e coletivos da Ilha de São Luís, no Maranhão, condenou uma empresa ao pagamento de R$72 milhões de reais, a título de danos morais coletivos por alegado vazamento de dados que teria atingido aproximadamente 8 milhões de usuários brasileiros. Apesar de algumas inconsistências, que serão analisadas nesse texto, o caso chama atenção ao relembrar que o direito fundamental à proteção de dados também será defendido pela via da tutela coletiva.

Embora seja menos comum, a tendência é de que cada vez mais as ações coletivas sejam um meio utilizado para a defesa do direito à proteção de dados pessoais. Isso porque, muitas situações que ocasionam a violação desse direito, atingem uma coletividade de pessoas, que podem sofrer danos materiais e morais decorrentes dessas violações.

Dessa forma, é imprescindível apurar o risco de tutela coletiva quando se analisa o risco de uma operação ou uma atividade de tratamento de dados pessoais. Segundo Rafael Zanatta e Michel Souza, a LGPD “absorveu” a tradição de tutela coletiva presente no Código de Defesa do Consumidor (CDC), positivada no art. 22 da norma de proteção de dados. De acordo com os autores, a disciplina da proteção de dados se aproxima da disciplina do direito ambiental, porque também se desenvolve como um direito fundamental que afeta a dignidade, a cidadania, a honra entre outros direitos que sustentam o Estado Democrático de Direito.

Aliás, em 1990, no CDC já era possível observar o embrião do direito autônomo à proteção de dados pessoais, pois a lei já estabelecia limites à utilização de dados pessoais pelos fornecedores. Justamente por isso, em janeiro de 2019, antes do vigor completo da LGPD, já era possível contabilizar mais de 14 procedimentos, entre inquéritos civis, requisições de informações, procedimentos preparatórios e ações civis públicas envolvendo o tema dos dados pessoais.

Ainda em 2018, o Instituto Brasileiro de Defesa do Consumidor (IDEC), em parceria com pesquisadores da Unicamp e da Faculdade de Direito da USP, usou o CDC e o Código de Defesa dos Usuários de Serviços Públicos para questionar a legalidade de um sistema capaz de identificar as emoções de passageiros da linha 4 amarela do metrô de São Paulo. No dia 11 de maio desse ano a 8ª Câmara de Direito Público do TJSP manteve a condenação da empresa questionada pela prática e aumentou o valor do dano moral coletivo, inicialmente fixado em R$100 mil reais para R$500 mil reais.

Fora do país a tutela coletiva também é uma tendência, haja vista a dificuldade de exercer o direito à proteção de dados individualmente e a facilidade de identificar danos coletivos nas práticas que violam o direito à proteção de dados pessoais. É possível citar, na Europa, organizações como a European Digital Rights (EDRi), Bits of Freedom e Non of Your Business (NOYB). No Brasil, a sociedade civil encontra fortes candidatos a promover a defesa da LGPD por essa via como por exemplo: IDEC, InternetLab, Instituto Alana, Data Privacy Brasil, IRIS BH, IPrec entre outras organizações que se organizam por meio da Coalizão Direitos na Rede (CDR).

É importante lembrar que o artigo 64 da LGPD indica a possibilidade da propositura de Ação Civil Pública não somente para o ressarcimento pelos danos causados, mas para que eventuais ilícitos sejam inibidos de forma coletiva. Assim, provada a ameaça ao direito à proteção de dados pessoais, pode se requerer, por meio de tutela coletiva, a expedição de decisão para impedir que tal ameaça se concretize ou ainda para que o ilícito seja interrompido.

No caso do TJ Maranhão, a ação foi proposta pelo Instituto Brasileiro de Defesa das Relações de Consumo (IBEDEC/MA), sob o fundamento de que a empresa teria vazado dados pessoais de usuários de uma de suas plataformas de redes sociais (número de telefone, e-mail, nome, data de nascimento e local de trabalho), dentre eles aproximadamente 8 milhões de brasileiros, e, assim, contrariado a proteção legal aos direitos fundamentais da privacidade, intimidade, honra e imagem. Neste sentido, requereu a condenação da empresa: (i) em danos morais coletivos no valor de 72 milhões de reais; (ii) em danos morais individuais no valor de 20 mil reais para cada usuário afetado; e (iii) a divulgar nas mídias sociais eventual sentença de procedência.

Em sentença, a ação foi julgada parcialmente procedente para condenar a empresa ao pagamento de danos morais coletivos em 72 milhões de reais e em danos morais individuais de 500 reais para cada usuário afetado. A sentença chama atenção não só pelo elevado valor da indenização – que pode chegar a mais de 4 bilhões de reais, somado dano moral coletivo e individual – mas também por alguns pontos da sua fundamentação.

O primeiro deles é a aplicação de disposições da LGPD a fatos que, segundo a empresa Ré, teriam acontecido antes da vigência da lei (setembro/20). Além disso, a sentença aduz que a LGPD estipula que o tratamento de dados pessoais somente pode ser realizado por meio de consentimento do titular, ignorando as demais bases legais previstas no artigo 7º da LGPD. É cabível aqui relembrar que o consentimento não é a única hipótese prevista para o tratamento de dados pessoais e que o referido artigo tampouco prevê qualquer hierarquia entre as bases legais mencionadas em seus incisos.

Por fim, embora não seja possível compreender ao certo se a sentença entendeu que a prática de scraping – coleta automatizada de dados tornados públicos pelos próprios usuários – é uma forma de vazamento de dados ou se a plataforma ter permitido a coleta automatizada destes dados seria, por si só, uma falha de segurança indenizável, fato é que o seu posicionamento quanto à configuração do dano moral destoa de recente precedente do STJ (AResp 2130619-SP) que havia consignado que a concessão de indenização por dano moral, em razão de vazamento de dados pessoais não sensíveis – como os alegadamente violados no caso em destaque – depende da comprovação do dano.

Além disso, a sentença do TJ/MA parece punir de maneira mais severa conduta de menor gravidade. Isso porque, os dados pessoais tinham sido disponibilizados publicamente pelos próprios titulares, de modo que o fato de terem sido indevidamente coletados de maneira automatizada por terceiros é conduta aparentemente menos gravosa do que a exposição indevida de dados pessoais que não estavam publicamente disponíveis para acesso. 

Embora a sentença ainda possa ser alterada e que, de fato, exista fundamento para sua reforma, esta decisão acende um alerta importante para as empresas, de que os membros da sociedade civil estão vigilantes quanto ao cumprimento da LGPD e que o seu descumprimento pode gerar não só punições pecuniárias administrativas, mas o dever de indenizar no âmbito da tutela coletiva que costuma possuir patamares indenizatórios mais altos. 

Ademais, estas decisões nos mostram que temos um caminho longo e cheio de desafios nos Tribunais e que as questões atinentes à configuração do dano moral no caso de violação à proteção de dados pessoais estão longe de serem pacificadas, seja pelo fato de que a legislação é muito recente ou pelas nuances das novas tecnologias que impõem desafios próprios para compreensão dos casos.

Renata Yumi Idie
Sócia da Daniel Advogados.

Maraísa Cezarino
Advogada da Daniel Advogados.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

ITBI na integralização de bens imóveis e sua importância para o planejamento patrimonial

19/11/2024

Cláusulas restritivas nas doações de imóveis

19/11/2024

Estabilidade dos servidores públicos: O que é e vai ou não acabar?

19/11/2024

Quais cuidados devo observar ao comprar um negócio?

19/11/2024

A relativização do princípio da legalidade tributária na temática da sub-rogação no Funrural – ADIn 4395

19/11/2024