Chaves e Vidigal: LGPD revogou tacitamente dispositivos do MCI

Entre os profissionais de privacidade brasileiros, muito vem se discutindo sobre os conflitos entre a Lei 13.709/2018, a Lei Geral de Proteção e Dados (LGPD), e a Lei 12.965/2014, o Marco Civil da Internet (MCI). A bem da verdade, o Marco Civil da Internet, que não foi arquitetado para ser legislação a regulamentar de maneira ampla e completa o tema de proteção de dados pessoais, acabou estabelecendo alguns dispositivos legais que, atualmente, conflitam claramente com a LGPD, trazendo confusão e insegurança jurídica no campo da privacidade e da proteção de dados.

No entanto, a solução para o conflito entre a LGPD e o MCI pode ser muito mais simples do que se imagina e o caminho para tanto talvez seja um só: reconhecer a revogação tácita dos dispositivos do MCI (lei anterior) que são incompatíveis com a LGPD (lei posterior).

De maneira contrária ao que aqui defendemos, haverá quem diga que o MCI deveria prevalecer em relação à LGPD no que se refere a atividades de tratamento de dados que envolvam o uso de internet. No entanto, tal argumento não se sustenta, pois a LGPD (lei posterior) é expressa ao definir que "esta lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais" (artigo 1º da LGPD; grifo dos autores), o que engloba o escopo regulatório do MCI.

Diante disso, a única via de solução do conflito é a aplicação do artigo 2º, §1º, do Decreto-lei nº 4.657, a Lei de Introdução às Normas do Direito Brasileiro (LINDB), que assim dispõe (grifos dos autores):

"Artigo 2° — Não se destinando à vigência temporária, a lei terá vigor até que outra a modifique ou revogue.
§1° — A lei posterior revoga a anterior quando expressamente o declare, quando seja com ela incompatível ou quando regule inteiramente a matéria de que tratava a lei anterior (…)".

É certo que não se deve admitir a revogação tácita do MCI como um todo, mas apenas daquela parte que resta totalmente superada pela LGPD, o que é plenamente possível de acordo com a doutrina de Oscar Tenório [1]:

"Não se exige conflito entre todas as disposições das duas leis. Qualquer incompatibilidade verificada é suficiente para legitimar a revogação da lei anterior. Dispondo de maneira diferente, manifesta, implicitamente, o legislador o propósito de abolir todo o texto anterior, entendendo-se que, pelo simples fato de ter estabelecido compatibilidade entre algumas disposições, teve em mira dispor, de maneira formal, em texto único, sobre determinada matéria".

Diante disso, são incompatíveis com a LGPD e, por tal motivo, devem ser considerados tacitamente revogados os dispositivos do MCI trazidos abaixo.

1) Dispositivos do MCI tacitamente revogados por incompatibilidade com o artigo 7º da LGPD
"Artigo 7º: VII — não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
Artigo 7º: IX — consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
Artigo 16: Na provisão de aplicações de internet, onerosa ou gratuita, é vedada a guarda:
I — dos registros de acesso a outras aplicações de internet sem que o titular dos dados tenha consentido previamente, respeitado o disposto no artigo 7º" .

Fundamentação: o artigo 7º da LGPD prevê 10 hipóteses (bases legais) para o tratamento de pessoais [2], inclusive no ambiente online, sendo o consentimento apenas uma delas.

2) Dispositivos do MCI tacitamente revogados por incompatibilidade com o artigo 52, II, da LGPD
"Artigo 12 — Sem prejuízo das demais sanções cíveis, criminais ou administrativas, as infrações às normas previstas nos artigos 10 e 11 [estabelecem condições para o tratamento de dados pessoais, incluindo registros e comunicações privadas] ficam sujeitas, conforme o caso, às seguintes sanções, aplicadas de forma isolada ou cumulativa:
(…)
II — multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Parágrafo único. Tratando-se de empresa estrangeira, responde solidariamente pelo pagamento da multa de que trata o caput sua filial, sucursal, escritório ou estabelecimento situado no país".

Fundamentação: o artigo 52, II, da LGPD, estabelece como limite máximo da sanção pecuniária 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, desde que não superior, no total, a R$ 50 milhões por infração, sendo que as sanções do MCI têm o mesmo fato gerador daquelas previstas na LGPD.

Perceba-se que as sanções do MCI não são aplicáveis a quaisquer violações da referida norma, mas somente àquelas relativas à "proteção aos registros, aos dados pessoais e às comunicações privadas", conforme título da seção II no qual se encontram.

Não bastasse, o caput do referido dispositivo ainda é claro ao vincular as punições às violações dos artigos 10 e 11, que, de modo geral, tratam, respectivamente: 1) da necessidade de, durante o armazenamento de dados, se atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas; e 2) da obrigatoriedade de observância da legislação brasileira relativa aos direitos à privacidade, à proteção dos dados pessoais em atividades de tratamento ocorridas no país.

Por se tratarem de sanções relacionadas à proteção de dados, a atividade punitiva relativa ao referido artigo 12 competiria à Autoridade Nacional de Proteção de Dados (ANPD), nos termos do artigo 20 do Decreto 8.771/2016, que regulamenta o MCI e assim dispõe (grifos dos autores):

"Artigo 20 — Os órgãos e as entidades da administração pública federal com competências específicas quanto aos assuntos relacionados a este Decreto atuarão de forma colaborativa, consideradas as diretrizes do Comitê Gestor da Internet no Brasil (CGIbr), e deverão zelar pelo cumprimento da legislação brasileira, inclusive quanto à aplicação das sanções cabíveis, mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, nos termos do artigo 11 da Lei nº 12.965, de 2014".

Inclusive, o ministro Edson Fachin, do Supremo Tribunal Federal, já se manifestou nesse sentido [3]:

"Para combater esse tipo de violação (referindo-se à segurança das informações dos usuários de internet) — e apenas para ela — a legislação previu as sanções do artigo 12, III e IV, do Marco Civil da Internet. Normativamente, ela deveria ser aplicada pela Autoridade Nacional de Proteção de Dados, nos termos do artigo 55-J, IV, da Lei 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais)".

Portanto, considerando que, assim como os demais tópicos de proteção de dados indicados acima, o tema das sanções por violação de dados pessoais — que inclui aquelas ocorridas no ambiente online — é totalmente regulado pela LGPD, resta clara a incompatibilidade entre o valor de multa previsto no artigo 12, II, do MCI e aquele estabelecido como teto pela LGPD em seu artigo 52, II, o que justifica a defendida revogação tácita.

As demais sanções previstas no MCI, a nosso ver, não chegam a estar tacitamente revogadas pela LGPD, pois não são incompatíveis com aquelas trazidas pela nova lei. Na verdade, à exceção da pecuniária, a LGPD repete as mesmas sanções já previstas no MCI, o que, na prática, gera pouco efeito prático. Isso porque, ainda que a ANPD possa fundamentar suas decisões sancionatórias nos dispositivos do artigo 12 do MCI (à exceção do tacitamente revogado inciso II), ela também o poderia fazer nos termos da LGPD, o que produziria os mesmos resultados (tendo como premissa a vedação ao bis in idem que vigora no nosso Estado democrático de Direito).