LGPD e CDC: como essas leis interagem em matéria de proteção de dados

            Há uma semana os grupos de WhatsApp e sites especializados em privacidade e proteção de dados fervilhavam com a notícia de que teria sido proferida sentença no âmbito da jurisdição do Tribunal de Justiça do Estado de São Paulo [1] aplicando a Lei Geral de Proteção de Dados (Lei nº 13.0709/2018 LGPD) pela primeira vez, logo após sua vigência, para condenar uma construtora de renome em indenização por danos morais, em função do compartilhamento desautorizado de dados pessoais.

           Alguns diziam: "mas como se o fato do compartilhamento e mesmo a ação são anteriores à vigência da LGPD?" "Ora, a decisão fere o princípio da legalidade", diziam outros.

           Na verdade, a decisão judicial utilizou a LGPD como reforço argumentativo e serviu para mostrar que as fontes do direito devem dialogar entre si, bem como que a LGPD conversa com uma série de outras normas que compõem o sistema jurídico brasileiro.

           Não é demais lembrar que muito embora o Brasil não tenha uma cultura voltada para a proteção de dados pessoais como acontece na Europa, a privacidade há muito goza de proteção pela legislação, desde a Lei do Habeas Data, o Código Civil, a Lei de Acesso à Informação, o Marco Civil da Internet, a Lei do Cadastro Positivo e o próprio Código de Defesa do Consumidor(CDC), além da Constituição Federal.

           Nosso tema é o CDC, que fez 30 anos no último dia 11 de setembro e que em 1990 significou a vitória do bom senso, com o reconhecimento de que o mais fraco tecnicamente e economicamente merece ter tratamento diferenciado para que não acabe “achatado” pelo economicamente mais forte e mais bem (in)formado. Naquela época as empresas precisaram se preocupar em adequar seu modelo de negócio à nova lei de modo a tentar evitar as reclamações e a enxurrada de ações que vieram em seguida, a ensejar a criação dos Juizados Especiais [2]. O primeiro PROCON foi criado pelo Governo do Estado de São Paulo 6 anos depois, em 1976, com o nome de Grupo Executivo de Proteção ao Consumidor [3].

           De lá para cá o consumidor passou a ditar o comportamento do comércio e da indústria. Os cowboys não fumam mais nos comerciais de televisão e os maços de cigarro carregam avisos e figuras estampando todos os males que ele pode causar à saúde, indústrias de cosméticos fazem questão de anunciar que seus produtos não são testados em animais e até mesmo um documentário da Netflix foi capaz de levar o Facebook a produzir um documento para desmentir algumas das ideias por ele expostas e que apresentam as redes sociais como as mega vilãs da modernidade, em ataque bastante frontal ao seu modelo de negócio [4].

           A LGPD também está proporcionando uma corrida em busca de adequação às suas normas e o CDC sem dúvida proporcionou uma mudança de cultura e o amadurecimento do consumidor e do próprio mercado de consumo, proporcionando um ambiente mais favorável à recepção da LGPD.  

Mas quais seriam os principais pontos de interseção entre o CDC e a LGPD?  

           O primeiro e mais evidente ponto de encontro entre as leis é o direito à informação. O CDC estabelece que o consumidor tem direito à informação adequada e clara sobre o serviço ou produto (art. 6º, III) já que é ela, informação, que irá nortear a escolha do consumidor, que por sua vez poderá adquirir produtos e serviços sabendo o que deles esperar. A LGPD, por seu turno, tem entre seus princípios norteadores a autodeterminação informativa (art. 2º, II), que consiste no direito de o titular de dados ter controle soberano sobre seus dados, exercendo sua liberdade de decisão sobre as ações e omissões relacionadas aos seus dados [5], bem como de se opor a determinados tipos de tratamento.

           Mesmo antes da LGPD ao consumidor já era dado conhecer o que, afinal, era feito com seus dados, onde eram armazenados e com quem e para que finalidades eram compartilhados. Talvez esse direito não fosse exercido apenas porque os consumidores não tinham a correta dimensão do que estava em jogo e nem do que poderia ser exigido dos agentes de tratamento.

           O CDC prevê que o consumidor terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre suas respectivas fontes (art. 43, caput), prevendo que as informações devem ser verdadeiras, claras e objetivas (art. 43,§1º); que a abertura do cadastro ou registro deve ser comunicado por escrito ao consumidor quando não solicitada por ele (art. 43, §2º); que o consumidor poderá exigir a correção de informação inexata a seu respeito, devendo o “arquivista” comunicar aos destinatários das informações incorretas a sua correção em 5 dias(art. 43, § 3º).

            Tais disposições anteciparam normas hoje contidas na LGPD, se não de forma idêntica, ao menos em tudo semelhantes. A exemplo disso, o art. 9º prevê o acesso facilitado às informações sobre tratamento de dados, que serão disponibilizadas de forma clara, adequada e ostensiva. A Lei prevê, também, que em caso de alteração de informações quanto à finalidade do tratamento do dado, forma e duração, bem como quanto ao seu compartilhamento, o titular deverá ser informado (art. 8º, § 6º).  Além disso,  o artigo 18 traz o elenco de direitos dos titulares de dados de onde se extrai o direito de acesso (inciso II), de correção de dados incompletos, inexatos ou desatualizados (inciso III); bem como a previsão de que o responsável deverá informar, de maneira imediata, aos agentesd e tratamento com os quais tenha realizado uso compartilhado de dados, a correção (§ 6º).

           O segundo ponto de encontro das leis é a responsabilidade objetiva e solidária prevista nos artigos 12, 14 e 25 §2º do CDC por fato do produto ou do serviço, que mesmo antes da LGPD poderia ser invocado para responsabilizar solidária e objetivamente todos os envolvidos na cadeia de prestação do serviço, se dele resultasse um incidente envolvendo os dados de consumidores. Já os artigos 44 e 42 da LGPD, apesar das discussões doutrinárias e de possuírem redações diversas, também parecem consagrar a responsabilidade civil objetiva [6], qual seja, aquela que é independente da prova da culpa do agente causador do dano.

             Além disso, há previsão de responsabilização solidária de operadores e controladores nas hipóteses dos incisos I e II do § 1º do art. 42, que envolvem (a) o descumprimento da LGPD pelo operador e/ou quando este não houver seguido as instruções lícitas passadas pelo controlador, bem como, (b) quando o controlador estiver envolvido no tratamento do qual decorreram os danos ao titular dos dados, ressalvadas as excludentes do art. 43, que em tudo se assemelham as excludentes de responsabilidade previstas no § 3º do art. 14 do CDC.

           Mais uma interseção entre os diplomas se dá em relação à inversão do ônus da prova, que é da essência do sistema protetivo do CDC e encontra fundamento na hipossuficiência técnica e econômica do consumidor. Da mesma forma, a LGPD prevê a possibilidade de inversão do ônus da prova em iguais circunstâncias, considerando que  o juiz poderá, a seu juízo, inverter o ônus da prova a favor do titular de dados quando “for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa”.

           Por fim, também se verifica o diálogo das fontes quando o CDC, em seu art. 37 §§ 1º e 3º, ao vedar a publicidade enganosa por ação, na hipótese de indução em erro do consumidor, ou por omissão, quando deixa de informar sobre dado essencial do produto ou serviço, poderia ser aplicado em caso recente em que  aplicativo foi disponibilizado nas redes sociais de forma gratuita, como se tratasse apenas de um jogo ou passatempo inofensivo, quando na verdade o consumidor estava cedendo seus dados em troca do serviço oferecido. Nesse caso, a aplicação não informava de forma clara e precisa que estava fazendo a coleta de dados daqueles que a baixassem quando da obtenção do consentimento do titular, de modo que esse consentimento não era informado nos moldes exigidos pela LGPD (art. 5º, inciso XII e art. 7º,I). O aplicativo em questão era o FaceApp [7] que virou febre nas redes sociais por transformar a aparência das pessoas (em mais velhas, mais novas ou até por mudar o gênero), cuja política de privacidade e termos de uso são suficientemente vagos e imprecisos a trair a incidência de ambas as leis em defesa dos direitos dos titulares de dados que são, em última análise, consumidores e destinatários finais da aplicação. 

O que esperar daqui em diante? 

           Assim como o CDC, passados 30 anos, gerou uma mudança de comportamento no mercado de consumo, garantindo que os consumidores conhecessem e exercessem seus direitos, fazendo com que fornecedores de produtos e serviços se organizassem e adotassem comportamentos adequados ao então novo regramento, com o objetivo de mitigar as consequências pelo descumprimento da norma, espera-se que o mesmo ocorra com a recente entrada em vigor da LGPD.

           No mercado brasileiro já se observa uma demanda crescente por serviços de adequação à LGPD, por profissionais de TI especializados em segurança da informação, por advogados que promovam a análise de contratos e estruturação de políticas de privacidade e proteção de dados, cursos de formação de profissionais especializados em privacidade, notadamente os de formação em encarregados de dados (DPO) e para a preparação para as exigentes provas de certificação internacionais a sinalizar que a sociedade brasileira despertou para o fato de que o direito à proteção de dados pessoais é um fato e uma realidade de agora e que veio para ficar.

           Cabem às empresas e ao mercado aproveitarem a oportunidade para se adequarem e conquistarem o consumidor/titular de dados cada vez mais exigente e ciente de seus direitos, pois a perda de sua confiança poderá custar, rapidamente, a sua posição no mercado.


[1]Processo nº 1080233-94.2019.8.26.0100 – TJSP – 29.09.2020.

[2]Lei nº 9.99 de 26 de setembro de 1995.

[3]Informação disponível em:

http://www.procon.pr.gov.br/modules/conteudo/conteudo.php?conteudo=406#:~:text=A%20d%C3%A9cada%20de%2070%20contemplou,Consumidor%2C%20mais%20conhecido%20como%20PROCON.

[4]Facebook produziu documento chamado “What ‘The Social Dilemma’ Gets Wrong”, disponível em: https://about.fb.com/wp-content/uploads/2020/10/What-The-Social-Dilemma-Gets-Wrong.pdf

[5]VIEIRA, Tatiana Malta. O direito à privacidade na sociedade da informação: efetividade desse direito fundamental diante dos avanços da tecnologia da informação.Brasília, 2007. 296 ps. Dissertação (Mestrado em Direito, Estado e Sociedade).Universidade de Brasília, Brasília, 2007. Pág. 22.

[6]MENDES, Laura Schertel; DONEDA, Danilo. Comentário à nova Lei de Proteção deDados (Lei 13.709/2018), o novo paradigma da proteção de dados noBrasil. REVISTA DE DIREITO DO CONSUMIDOR, v. 120, p. 555, 2018.

[7] Sobre o aplicativo e o uso de dados pelo Face App: https://www.techtudo.com.br/noticias/2019/07/faceapp-rouba-dados-de-usuarios-entenda-termos-de-privacidade-do-app.ghtm

 

_____________________________________________________________________________________________________________________________________________

Quer aprender mais sobre a LGPD e aumentar o protagonismo da sua empresa no mercado? Inscreva-se no curso PROTEÇÃO DE DADOS FUNDAMENTALS (LGPD)

Blog Post escrito por:
Fernanda Sauer