Damnum in datis ipsis: resgatando o papel instrumental da responsabilidade civil na proteção de dados
O julgamento da Suprema Corte inglesa no caso "Lloyd v. Google" nos faz repensar a real necessidade de comprovação de danos nas ações envolvendo violação da LGPD.
quinta-feira, 18 de novembro de 2021
Atualizado às 09:49
Após quase 14 meses de vigência da Lei Geral de Proteção de Dados (LGPD),1 verificamos um avanço no processo de sensibilização e criação de cultura voltada à privacidade e à proteção de dados pessoais. Se antes ecoavam vozes descrentes da futura adequação dos agentes de tratamentos de dados à legislação - "será que a Lei vai pegar?"-, as já mais de sete centenas de decisões judiciais não apenas indicam o contrário, como as calam. Sobre tais julgamentos nos tribunais brasileiros, e a partir de respectivo mapeamento e estudo - parte da pesquisa conduzida no projeto "E-commerce: regulação e novos modelos de negócio", do Centro de Tecnologia e Sociedade (CTS), da FGV Direito Rio -, verifica-se que a maioria envolve o pleito de ressarcimento de danos decorrentes do descumprimento dos termos legais. Dentre os argumentos recorrentes defendidos que merecem destaque no presente ensaio, elevam-se (i) o indeferimento de indenizações por danos materiais e morais devido à ausência de comprovação não apenas dos prejuízos experimentados, como também do próprio nexo de causalidade, por exemplo, de eventual vazamento de dados e posterior importunação excessiva, bem como publicidade direcionada; e, (ii) as interpretações questionáveis acerca da natureza de dados pessoais expostos, enquanto capazes ou não de gerar prejuízo aos respectivos titulares.2 Perante tal constatação, pergunta-se quais os princípios que devem fundamentar essas decisões? A fim de articular resposta e raciocínio lógico, relata-se julgamento emblemático, divulgado na semana passada, pela Suprema Corte inglesa no caso Lloyd v Google.3 A decisão nos trouxe alguns importantes esclarecimentos, não deixando de levantar, por sua vez, críticas e reflexões sobre as suas implicações na judicialização de celeumas futuras.
O caso específico envolvia a inserção de um cookie4 nos dispositivos dos utilizadores do navegador Safari no iPhone, sem o devido consentimento, para coletar as preferências e outras informações associadas às páginas da Web visitadas. O ativista digital Richard Lloyd entrou com ação compensatória em nome próprio e de um grupo expressivo (4 milhões) de utilizadores de iPhone no Reino Unido, reportando que a coleta indevida de dados teria lhes causado prejuízos. Provavelmente em razão da natureza coletiva da ação e das situações subjetivas dos diferentes indivíduos representados, Lloyd não alegou fatos que demonstrassem um dano específico (tais como a classificação dos dados que foram coletados e o período de utilização), ponto que foi invocado pelo Google, em defesa, para fundamentar a rejeição das reclamações.
As questões centrais para a resolução da disputa foram duas. A primeira é um aspecto processual sobre a legitimidade dessa ação representativa e, portanto, sobre a avaliação de interesses comuns desses indivíduos, justificando a proposição de ações que mereçam ser tratadas conjuntamente. Devido aos limites e objeto do presente ensaio, não nos debruçaremos sobre esse aspecto, nos restringindo apenas a indicar que a Corte aceitou a utilização de respectivo mecanismo de tutela coletiva. A segunda, essencial para nossa análise, é se haveria na lei inglesa um direito à indenização pela perda de controle sobre os próprios dados pessoais, independentemente da existência de impactos pecuniários ou psicológicos. Nesse sentido, em defesa ao direito às compensações, Lloyd sugeriu a imposição de uma indenização nominal de 750 libras (cerca de 5.000 reais) como dano mínimo comum a cada membro do grupo, somando-se 3 bilhões de libras (por volta de 22 bilhões de reais) relativo ao total de vítimas.
Na tese utilizada pelo advogado de Lloyd, que já havia sido sustentada em ação similar envolvendo um número mais restrito de usuários de iPhone (Vidal Hall v Google5), defendeu-se que a proteção de dados tem uma raiz comum com a privacidade, na qual a última representa um objetivo explicitamente reconhecido pela primeira. Portanto, argumentou-se que os titulares deveriam ser protegidos com remédios igualmente efetivos por ambos marcos regulatórios (da privacidade e da proteção de dados pessoais), na medida em que os fatos revelam uma violação grave ao direito à privacidade: ou seja, nesses casos, a tutela oferecida pelo sistema jurídico deveria incluir a possibilidade de ressarcir o titular por dano imaterial apesar da inexistência de prova desse prejuízo. Tal conclusão seria necessária devido ao reconhecimento de ambos direitos como fundamentais, para os quais o sistema jurídico deve providenciar um remédio que perpassa a esfera exclusivamente econômica.
Aceitando essa tese, a Corte de Apelo em Vidal Hall estendeu às violações da lei de proteção de dados o nível de tutela civil já concedido à privacidade na common law. Para tanto, a Corte resolveu não aplicar as disposições legislativas do artigo 13 (2) do Data Protection Act,6 que limitavam expressamente a compensação por danos imateriais eventualmente sofridos devido à ofensa ao direito à proteção de dados a dois casos específicos: (i) quando o indivíduo sofra um prejuízo, e (ii) quando sua informação tenha sido utilizada para fins jornalísticos, artísticos ou literários. Desse modo, uma vítima de violação não trivial da privacidade poderia obter compensação pelo mero fato da "perda de controle" que deriva do descumprimento das normas de proteção de dados, independentemente da demonstração de um dano, da mesma forma em que um bebê teria direito à indenização pela publicação indevida de suas fotos independentemente da sua (in)capacidade de perceber respectivo desconforto e impacto, como já proferido em decisões pretéritas.7
Por outro lado, a Suprema Corte não considerou a teoria de origem comum suficiente para fundamentar o afastamento dessas disposições, apontando por sua vez a existência de uma clara distinção entre "dano" e "violação" na diretiva europeia sobre proteção de dados pessoais,8 bem como a inexistência de normativas nacionais que tenham equiparado tais conceitos. Nos argumentos que fundamentaram a decisão da Corte, Lord Leggatt distinguiu a responsabilidade por violação de privacidade daquela de proteção de dados devido à natureza objetiva da primeira, e subjetiva da segunda, haja vista a obrigação de diligência na tomada de medidas de proteção adequadas. O ministro afirmou que atribuir uma compensação automática e, portanto, sem provas, nos casos em que não houve diligência, seria uma anomalia jurídica. Para ilustrar, lembrou que a demonstração do dano concreto se faz necessária nos casos de responsabilização por falta de medidas protetivas em relação aos riscos à integridade física ou à propriedade alheia: por exemplo, quando por falta de manutenção da construção predial se rompa e a queda do material caia na residência de alguém, gerando prejuízos materiais. Assim, a ação foi rejeitada pela mesma razão que a tornava tão poderosa: a conjunção de um grupo muito extenso de reclamantes sem a inclusão de elementos individuais e característicos sobre seus integrantes, o que permitiria conectar mais especificamente a teoria de dano aos usuários envolvidos. Nesse sentido, é interessante mencionar que a Corte de Apelo em Vidal Hall considerou a submissão de listas confidenciais de históricos de navegação das vítimas apta a demonstrar que o cookie promovia a coleta de informação de natureza eminentemente privada, levando à conclusão que existiria um dano in re ipsa.9 Isso ressalta a importância crucial de evidenciar a existência de um tratamento de dados pessoais com potencial significativo para gerar um dano: Lord Legatt inclusive mencionou que a instalação de um cookie com fins de publicidade direcionada, quando apreciado isoladamente, não tem valor econômico nenhum.10
Ante o exposto, apesar de fornecer indicações estratégicas para futuros litigantes, a decisão da Suprema Corte pode ser criticada por se alinhar com uma preocupante tendência na tutela judicial da proteção de dados: criar relação de dependência entre eventual compensação pecuniária e a comprovação de danos materiais, ou seja, danos de expressão patrimonial -- sejam esses prejuízos financeiros já experimentados no momento da propositura da ação (danos emergentes), sejam valores que se deixou de ganhar em virtude do infortúnio (lucros cessantes). Como bem apontado pela Corte de Apelo em Vidal Hall, o objetivo da proteção de dados não é proteger direitos econômicos e, portanto, não é razoável limitar a tutela judicial à comprovação de um prejuízo patrimonial. O Regulamento Europeu sobre proteção de dados (GDPR),[11] que ainda não estava em vigor na época das violações cometidas pelo Google no caso ora em debate, é explícito ao prever o direito ao ressarcimento por danos tanto material, quanto imaterial, e fornecer, a título exemplificativo, uma série de situações que incluem desvantagens não apenas econômicas, mas também sociais.12 Infelizmente, apesar da estratégia clara e elucidativa, tal esclarecimento não foi satisfatório para a orientação das implementações nacionais, consequentemente, no reconhecimento da hipossuficiência dos titulares de dados e no estabelecimento de presunções de dano em situações de alto risco de prejuízo econômico ou social, tal qual foi desenvolvido em outras áreas do direito.13 Para fins comparativos, cabe ressaltar que, no contexto brasileiro, o instrumento de inversão do ônus probatório, disposto no artigo 42, §2o, da LGPD, pode ser aproveitado para alcançar esse resultado quando se tratar de alegação verossímil, houver hipossuficiência para fins de produção de prova ou quando a sua produção pelo titular resultar-lhe excessivamente onerosa. Além dessas circunstâncias que justificam a alteração da titularidade dos responsáveis por gerar evidências, uma postura mais garantista pode ser fundamentada na intrínseca potencialidade de perda de controle dos dados pessoais pelos seus respectivos titulares: tal prospecção é um elemento fundamental e necessário para distinguir a violação da proteção de dados de formas de responsabilidade subjetiva em relação a objetos tangíveis, como o exemplo supracitado de desfazimento de construção predial. É importante que os tribunais provocados a aplicar a legislação da proteção de dados considerem o seu valor instrumental para a efetivação de uma série de direitos: não apenas aqueles com impacto facilmente mensurável, como os de propriedade e de livre iniciativa, mas também os mais abstratos, como a dignidade, a saúde mental, o direito à informação, o justo processo e outros valores que podem depender da autodeterminação informativa.
Por fim, vale ressaltar que a responsabilidade civil tem uma dupla função: por um lado, assegurar a compensação das vítimas e, por outro, servir como dissuasivo à prática da conduta ilícita. Graças ao segundo efeito, as autoridades podem aproveitar das ações privadas como forma de apoiar a conscientização, retração e supervisão da prática indesejada e, dessa maneira, poupar os limitados recursos públicos para as demais áreas prioritárias. Essa função é particularmente importante no âmbito da proteção de dados no Brasil, considerando o número restrito de servidores da autoridade nacional de proteção de dados14 e as diversas tarefas que a autoridade identificou como primárias em seu plano anual.15 Para preservar a eficácia desse papel dissuasivo, sugerimos que o modo mais correto de implementação do regime de responsabilidade civil seria o reconhecimento de um dano simbólico (ou seja, eleição de um valor mínimo, cuja métrica não deixe de ser significativa e gere um desestímulo expressivo em caso de ações de tutela coletiva) para situações de descumprimento da lei que resultem em risco substancial para os direitos dos titulares. Como exemplo, destacam-se aquelas situações envolvendo a perda de controle sobre dados sensíveis que possuem maior predisposição de serem utilizadas para fins de discriminação. A identificação dos critérios adequados para a concessão de danos simbólicos poderia ser alvo de diretrizes e guias a serem produzidas pela autoridade, visando reconciliar as diferentes orientações adotadas nos tribunais, no âmbito da sua função educativa. Claramente, respectiva presunção não obstaculizaria a possibilidade de comprovação de danos maiores, quando perante perspectiva individual díspar, nem de exclusão de responsabilidade nos casos previstos pela LGPD, no artigo 43.
______________
1 BRASIL, Lei no 13.709, de 14 de agosto de 2018.
2 Como exemplo, citam-se os casos: (a) processo no 1004554-83.2021.8.26.0564, do Tribunal de Justiça de São Paulo (TJSP); ; (b) processos no 1006271-33.2021.8.26.0564, , do Tribunal de Justiça de São Paulo (TJSP); (c) processos no 1006649-86.2021.8.26.0564, , do Tribunal de Justiça de São Paulo (TJSP); (d) processos no 1003157-86.2021.8.26.0564, do Tribunal de Justiça de São Paulo (TJSP); (e) processos no 1009993-28.2021.8.26.0224, do Tribunal de Justiça de São Paulo (TJSP).
3 Lloyd v Google LLC, [2021] UKSC 50, disponível em: https://www.supremecourt.uk/cases/docs/uksc-2019-0213-judgment.pdf, (acesso em 17 de nov. de 2021).
4 Cookies são pequenos arquivos criados pelos sites visitados, e que são salvos no computador do usuário através do navegador, permitindo a re-identificação de um usuário no mesmo site ou dentro de uma série de sites afiliados. Vejam Paulo Alves, 'O que são cookies? Entenda os dados que os sites guardam sobre você', Techtudo (4 Out 2018) https://www.techtudo.com.br/noticias/2018/10/o-que-sao-cookies-entenda-os-dados-que-os-sites-guardam-sobre-voce.ghtml (acesso em 17 de nov. de 2021).
5 Vidal-Hall v Google Inc [2014] EWHC 13 (QB) [2014] 1 WLR 4155.
6 REINO UNIDO, Data Protection Act of 1998 (DPA, c. 29).
7 Vejam nesse sentido os casos mencionados na decisão, parágrafo 101: ??AAA v Associated Newspapers Ltd [2012] EWHC 2103 (QB); [2013] EMLR 2; e Weller v Associated Newspapers Ltd [2014] EWHC 1163 (QB); [2014] EMLR 24.
8 UNIÃO EUROPEIA, Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, Jornal Oficial nº L 281 de 23/11/1995 p. 0031 - 0050.
9 Leia-se Antonio Jeová Santos, DANO MORAL INDENIZÁVEL (Salvador: Juspodivm, 2015), p. 606: "A afirmação de que o dano ocorre in re ipsa repousa na consideração de que a concretização do prejuízo anímico suficiente para responsabilizar o praticante do ato ofensivo, ocorre por força do simples fato da violação de modo a tornar-se desnecessária a prova do prejuízo em concreto. A prova in re ipsa é decorrência natural da realização do ilícito, isto é, surge imediatamente da análise dos fatos e a forma como aconteceram".
10 Lloyd v Google, parágrafo 157.
11 UNIÃO EUROPEIA, Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) Jornal Oficial nº L 119 de 4/5/.2016, p. 1-88.
12 Segue considerando 75: "O risco para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, poderá resultar de operações de tratamento de dados pessoais suscetíveis de causar danos físicos, materiais ou imateriais, em especial quando o tratamento possa dar origem à discriminação, à usurpação ou roubo da identidade, a perdas financeiras, prejuízos para a reputação, perdas de confidencialidade de dados pessoais protegidos por sigilo profissional, à inversão não autorizada da pseudonimização, ou a quaisquer outros prejuízos importantes de natureza económica ou social; quando os titulares dos dados possam ficar privados dos seus direitos e liberdades ou impedidos do exercício do controlo sobre os respetivos dados pessoais; quando forem tratados dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas e a filiação sindical, bem como dados genéticos ou dados relativos à saúde ou à vida sexual ou a condenações penais e infrações ou medidas de segurança conexas; quando forem avaliados aspetos de natureza pessoal, em particular análises ou previsões de aspetos que digam respeito ao desempenho no trabalho, à situação económica, à saúde, às preferências ou interesses pessoais, à fiabilidade ou comportamento e à localização ou às deslocações das pessoas, a fim de definir ou fazer uso de perfis; quando forem tratados dados relativos a pessoas singulares vulneráveis, em particular crianças; ou quando o tratamento incidir sobre uma grande quantidade de dados pessoais e afetar um grande número de titulares de dados" (ênfase adicionada).
13 Eoin O'Dell. 'Compensation for non-material damage pursuant to Article 82 GDPR', Cearta.ie (6 Março 2020), disponível em: http://www.cearta.ie/2020/03/compensation-for-non-material-damage-pursuant-to-article-82-gdpr/ (acesso em 17 de nov. de 2021).
14 A ANPD conta atualmente com 48 servidores e 4 estagiários, conforme reportado pelo diretor-presidente do órgão, Waldemar Gonçalves Ortunho Júnior, na Sessão de Inauguração da Comissão Especial de LGPD do IASP (disponível em: Sessão de Inauguração da Comissão Especial de LGPD do IASP - YouTube, acesso em 17 de nov. de 2021). Comparativamente, a capacidade de recursos investidos em cargos na autoridade inglesa de proteção de dados, Information Commissioner's Office (ICO), é de mais de 500 servidores em representação à população de aproximadamente 67 milhões de habitantes, algo equivalente a aproximadamente 30% da população total brasileira - disponível em: https://ico.org.uk/about-the-ico/our-information/history-of-the-ico/ (acesso em 17 de nov. de 2021).
15 Plano estratégico para os anos 2021-2023, disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/planejamento-estrategico/planejamento-estrategico-2021-2023.pdf (acesso em 17 de nov. de 2021).
______________
Este artigo expressa a opinião dos autores, não representando necessariamente a opinião institucional da FGV.
Nicolo Zingales
Advogado, professor de direito e coordenador do Núcleo de e-Commerce da FGV Direito Rio. Doutor pela Universitá Bocconi, posdoutor pela New York University e o Graduate Institute of International and Development Studies.
Erica Bakonyi
Advogada (com atuação como consultora e DPO-as-a-service) pela Macher Tecnologia e pesquisadora do CTS, FGV Direito Rio. Mestre em Direito Internacional Público pela Universidade de Coimbra.