Dados pessoais de usuários devem ser fornecidos por provedores de conteúdo
Autor
25 de novembro de 2021, 19h12
A 4ª Turma do Superior Tribunal de Justiça, em decisão unânime, deu provimento ao Recurso Especial nº 1.915.596/RJ, decidindo que os provedores de acesso à internet devem fornecer os dados cadastrais (nome, endereço, RG e CPF) dos usuários responsáveis pela publicação de vídeos no YouTube com ofensas à memória da vereadora Marielle Franco.
De acordo com o ministro relator Luis Felipe Salomão, "os pedidos feitos pelas autoras traduzem a finalidade do provimento judicial que esperam: a preservação da honra da falecida, mediante a retirada de conteúdos ofensivos da internet e a obtenção dos dados dos responsáveis para eventuais ações de reparação, o que tem amparo no artigo 22 do Marco Civil da Internet. (…) Estando presentes indícios de ilicitude na conduta dos usuários que inseriram os vídeos na rede mundial de computadores e, ainda, por ser o pedido específico, voltado tão apenas para a obtenção dos dados dos referidos usuários — a partir dos IPs já apresentados —, penso que a privacidade do usuário, no caso concreto, não prevalece".
Ao dar provimento ao recurso, entendeu o relator que o decisum não ofende a Lei Geral de Proteção de Dados (LGPD). Vamos entender?
De início, cabe registrar que o Marco Civil da Internet (MCI), instituído pela Lei nº 12.965/2014, e a Lei Geral de Proteção de Dados (LGPD), estabelecida pela Lei nº 13.709/2018, não são leis conflitantes entre si. O MCI, de fato, dispõe sobre a proteção de dados pessoais, no entanto, sua regulamentação se resume às relações estabelecidas na internet, conforme dispõe o seu artigo 1º, a saber:
"Artigo 1º — Esta Lei estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e determina as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria".
O MCI, logo, por não se aplicar às relações jurídicas nos meios físicos, é insuficiente para regular o tratamento de dados pessoais. É possível afirmar que não se trata de confronto, mas de complementação, pois a LGPD se dedica a regular diversos assuntos, entre os quais a utilização da internet no Brasil (CRUZ et al., 2020, p. 39).
A LGPD tem por objetivo regular o tratamento de dados pessoais, nos meios físicos e digitais, e proteger os direitos fundamentais e liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. A LGPD se aplica, portanto, somente ao tratamento de dados pessoais da pessoa física, realizados por pessoa física ou jurídica, de direito público ou privado.
Mas o que autoriza o tratamento de dados pessoais dos responsáveis pela publicação de vídeos no YouTube com ofensas à memória da vereadora Marielle Franco? Em outras palavras, o que baliza a decisão do STJ que determinou o fornecimento dos dados cadastrais (nome, endereço, RG e CPF) desses usuários pelo YouTube (controlador)?
De acordo com o artigo 4º, inciso III, alínea "d", da LGPD, a lei não se aplica ao tratamento de dados pessoais realizado para fins exclusivos de "atividades de investigação e repressão de infrações penais".
Mais adiante, a lei determina que o tratamento de dados pessoais pelos agentes de tratamento deve se enquadrar em uma das dez bases legais descritas no artigo 7º [1] da LGPD, entre elas a base do legítimo interesse do controlador ou terceiro (inciso IX, artigo 7º).
Poderia a decisão da corte se enquadrar na hipótese de não aplicação da LGPD — atividades de investigação e repressão de infrações penais? Ou a decisão se fundamenta na base do legítimo interesse de terceiro?
Sobre o legítimo interesse, CRUZ et al (p. 71):
"Por não ser o Terceiro um agente de tratamento, podemos concluir que quem decide sobre o enquadramento ou não do tratamento no Legítimo Interesse é controlador, ou seja, é ele quem avalia se há interesses seus ou de terceiros que justifiquem a ausência de consentimento do titular".
Com base nesse entendimento, é possível concluir que, caso o YouTube tivesse por livre e espontânea vontade entregue os dados cadastrais dos usuários, ora titulares, responsáveis pela publicação de vídeos com ofensas à memória da vereadora Marielle Franco, o tratamento de dados pessoais estaria em conformidade com a LGPD, enquadrando-se, in casu, na base legal do legítimo interesse de terceiro. É dizer, com base no legítimo interesse de terceiro, o YouTube poderia fornecer os dados cadastrais sem, contudo, necessitar do consentimento dos ora titulares.
Não obstante, considerando-se a pretensão resistida, consubstanciada na recusa de entrega dos dados cadastrais pelo YouTube, objeto do recurso especial, a decisão do tribunal, com efeito, não viola a LGPD. Isso porque, conforme registrado alhures, trata-se de hipótese de não aplicação da Lei, qual seja, a atividade de investigação e repressão de infrações penais, a teor do artigo 4º, inciso III, alínea "d", da LGPD, de modo que a privacidade do titular de dados pessoais, no caso, não deve prevalecer.
Acertada, portanto, a decisão da 4ª Turma do Superior Tribunal de Justiça.
Referências bibliográficas
BRASIL. Lei nº 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm> Acesso em: 24.nov.2021.
Lei nº 12.965 de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm> Acesso em: 24.nov.2021.
Superior Tribunal de Justiça. Recurso Especial n° 1.914.596/PR. Disponível em: <https://processo.stj.jus.br/processo/pesquisa/?aplicacao=processos.ea&tipoPesquisa=tipoPesquisaGenerica&termo=REsp%201914596> Acesso em: 24.nov.2021.
CRUZ, Andresa et al. O Legítimo Interesse e a LGPD: Lei Geral de Proteção de Dados. 1ª ed. São Paulo: Revista dos Tribunais, 2020.
[1] "Artigo 7º — O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I — mediante o fornecimento de consentimento pelo titular;
II — para o cumprimento de obrigação legal ou regulatória pelo controlador;
III — pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV — para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V — quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI — para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII — para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII — para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
VIII — para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX — quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X — para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente".
Encontrou um erro? Avise nossa equipe!