Regulamentação e competência para legislar sobre proteção e tratamento de dados pessoais

A princípio, faz-se necessário adentrarmos nas disposições regulamentadoras do tratamento de dados pessoais na legislação brasileira.

Em 2018, a Lei nº 13.709 (Lei Geral de Proteção de Dados — LGPD), sancionada pelo então presidente Michel Temer, implantou no Brasil a necessidade de tratamento de dados pessoais, inclusive nos meios digitais, dispondo um conjunto de determinações para coleta, tratamento, armazenamento e compartilhamento de tais dados, visando à proteção dos direitos fundamentais de liberdade e de privacidade.

Posteriormente, em 10 de fevereiro de 2022, a proteção de dados pessoais passou a ser considerada como um direito e garantia fundamental, por meio da Emenda Constitucional nº 155, a qual acrescentou ao artigo 5º o inciso LXXIX, com o seguinte texto:

Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: […]

LXXIX – é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais. (Incluído pela Emenda Constitucional nº 115, de 2022)

Ato contínuo, a emenda constitucional supracitada trouxe a competência da União para organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos do inciso XXVI, artigo 21, da Constituição, e a de legislar privativamente no tocante à proteção e tratamento de dados pessoais.

Isto posto, conclui-se que as medidas legislativas introduzidas pela Lei Geral de Proteção de Dados (LGPD) e reforçadas pela Emenda Constitucional nº 155 de 2022 representam avanços significativos na proteção dos dados pessoais no Brasil. Estas normativas não apenas estabelecem diretrizes claras para a coleta, tratamento, armazenamento e compartilhamento de informações pessoais, mas também garantem que tais práticas respeitem os direitos fundamentais de liberdade e privacidade dos cidadãos.

Conceitos introdutórios quanto ao tratamento de dados

Para darmos início à análise, é importante apresentar os conceitos de dado pessoal, dado pessoal sensível e tratamento previstos no artigo 5 e incisos da Lei nº 13.709 (Lei Geral de Proteção de Dados — LGPD), os quais são essenciais para a compreensão do tema.

Dado pessoal é a informação relacionada à pessoa física identificada — como nome, sobrenome, RG, CPF — ou identificável — como dados de geolocalização, endereço IP, entre outros. No tocante ao dado pessoal sensível, a lei supra traz como o dado pessoal aquele vinculado a uma pessoa natural, ou seja, acerca da origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, dado genético ou biométrico.

Quanto ao que se denomina “tratamento de dados pessoais”, caracteriza-se como toda operação executada pelo operador com dados pessoais. A título de exemplo, cita-se: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento e eliminação dos dados pessoais.

Feitas as considerações iniciais, parte-se para a análise do anteprojeto de reforma do Código Civil no tocante à proteção de dados pessoais e à responsabilidade civil e administrativa das plataformas digitais.

Anteprojeto de reforma do Código Civil e responsabilidade civil das plataformas digitais pelo vazamento de dados

O anteprojeto apresenta em seu Livro VI — do Direito Civil Digital, Título Único, como um dos fundamentos da disciplina denominada direito civil digital, o respeito à proteção de dados pessoais e patrimoniais. Ademais, prevê que a proteção de dados e informações pessoais é um direito da pessoa, física ou jurídica, no ambiente digital, devendo ser observado em consonância com a legislação de proteção de dados pessoais, ou seja, a Lei Geral de Proteção de Dados (LGPD). Eis a redação prevista no anteprojeto:

CAPÍTULO I – DAS DISPOSIÇÕES GERAIS

Art. . São fundamentos da disciplina denominada direito civil digital:

I – o respeito à privacidade, à proteção de dados pessoais e patrimoniais, bem como à autodeterminação informativa; […]

CAPÍTULO II – DA PESSOA NO AMBIENTE VIRTUAL

Art. . São direitos das pessoas, naturais ou jurídicas, no ambiente digital, além de outros previstos em lei ou em documentos e tratados internacionais de que o Brasil seja signatário: […]

II – a proteção de dados e informações pessoais, em consonância com a legislação de proteção de dados pessoais; […]

A regulamentação da disciplina de direito civil digital, especialmente no que diz respeito à proteção dos dados pessoais, é fundamental para garantir a segurança e a privacidade dos indivíduos no ambiente digital. O crescente desenvolvimento tecnológico da sociedade e o acesso à internet têm ampliado de modo significativo a coleta, o armazenamento e o uso de dados pessoais, exigindo normas concretas e eficazes para proteger os direitos das pessoas físicas e jurídicas.

Além disso, faz-se imprescindível a adoção de disposições legais, objetivando o tratamento de informações pessoais adequado e a promoção da transparência, do consentimento do usuário e da responsabilidade por parte dos operadores que lidam com esses dados.

O anteprojeto não apenas visa a proteger os usuários contra abusos e vazamentos de informações sensíveis, mas também incentiva a adoção de práticas de segurança robustas e o desenvolvimento de tecnologias que respeitem o direito à privacidade e à intimidade do ser humano.

No tocante à responsabilização das plataformas digitais, o anteprojeto expõe a possibilidade de que as plataformas digitais sejam responsabilizadas civil e administrativamente pelo vazamento de dados pessoais e que será aplicado as normas concernentes à responsabilidade civil, previstas no próprio Código Civil, observa-se:

Art. . As plataformas digitais podem ser responsabilizadas administrativa e civilmente:

I – pela reparação dos danos causados por conteúdos gerados por terceiros cuja distribuição tenha sido realizada por meio de publicidade da plataforma;

II – por danos decorrentes de conteúdos gerados por terceiros, quando houver descumprimento sistemático dos deveres e das obrigações previstas neste Código, aplicando-se o sistema de responsabilidade civil nele previsto.

O novo texto legal, a bem de verdade, concretiza como lei aquilo que já vinha sendo decidido pela jurisprudência nacional. Para exemplificar, o entendimento do Tribunal de Justiça de São Paulo é consolidada ao prever a responsabilidade civil objetiva das plataformas digitais em caso de vazamento de dados pessoais, quando causarem dano aos usuários:

APELAÇÕES. “Ação de repetição do indébito cumulada com indenização por danos morais”. Sentença de parcial procedência. Insurgência das instituições requeridas. Cabimento parcial das irresignações. ILEGITIMIDADE DE PARTE DO BANCO SANTANDER. Ausência de conduta ilícita da instituição. Uso indevido do logotipo em boleto falsificado. Banco que não recebeu os valores indevidamente subtraídos da autora. Acolhimento da prefacial. Processo extinto sem resolução de mérito. FALHA NA PRESTAÇÃO DE SERVIÇOS. VAZAMENTO DE DADOS DA CORRENTISTA. INSTITUIÇÃO RECEBEDORA DOS VALORES QUE CONCORRE PARA ATOS ILÍCITOS AO PERMITIR O FÁCIL USO DE SUA PLATAFORMA POR CRIMINOSOS. Peculiaridades e distinção de outros casos. Inobservância da segurança necessária. […] Fragilidade do sistema e facilidade para que criminosos obtenham vantagem patrimonial. Ofensa ao art. 5º, inciso LXXIX da Magna Carta (“é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”) e ao texto da LGPD. […] Responsabilidade civil do Banco RCI (detentor dos dados da autora) e da PagSeguro (beneficiada com o pagamento). Dever de indenizar corretamente reconhecido. […] Recurso do réu BANCO SANTANDER PROVIDO, no sentido de julgar extinta a ação sem resolução de mérito, com relação à instituição bancária, por ilegitimidade departe, nos termos do art. 485, inciso VI, do Código de Processo Civil. Recursos dos corréus BANCO RCI e PAGSEGUROPROVIDOS EM PARTE, para excluir a indenização por danos morais. (TJSP. Apelação Cível nº1013827-20.2021.8.26.0004. 18ª Câmara de Direito Privado. Relator: Ernani Desco Filho. Data de julgamento: 18/11/2023. Data de publicação: 27/11/2023)

Nesse sentido:

RECURSO INOMINADO. DIREITO DO CONSUMIDOR. AÇÃO DE INDENIZAÇÃO POR DANOS MATERIAIS E MORAIS. SISTEMA “SERASA LIMPA NOME”. “GOLPE DO WHATSAPP”. SENTENÇA DE IMPROCEDÊNCIA DO PEDIDO. REFORMA. COMPROVAÇÃO DA EXISTÊNCIA DE DADOS PESSOAIS EM PODER DE TERCEIRO. VAZAMENTO COMPROVADO. […] FALHA NA PRESTAÇÃO DE SERVIÇOS DE SEGURANÇA DE DADOS PESSOAIS ARMAZENADOS NOS CADASTROS NEGATIVOS DE PROTEÇÃO AOS DADOS. NOTÓRIO MEGA VAZAMENTO DE DADOS DEMAIS DE 223 MILHÕES DE BRASILEIROS NO SERASA EXPEDIAM. REPONSABILIDADE CIVIL OBJETIVA E SOLIDÁRIA CONFIGURADA. RESSARCIMENTO DE DANO MATERIAL. DANO MORAL CONFIGURADO.1. Configura a responsabilidade civil objetiva da Serasa o vazamento de dados pessoais de devedor com cadastro negativo de proteção ao crédito, utilizados por terceiro (estelionatário) que induz o consumidor a aceitar a renegociação de dívida mediante pagamento de boleto em que é imperceptível a fraude praticada. 2. […] 3. O vazamento de dados pessoas e de dívidas do consumidor, armazenados no Serasa e utilizados por criminoso, constitui fato gravíssimo a justificar a indenização por danos morais no montante de R$2.000,00, ante a ofensa aos direitos personalíssimos. Sentença reformada para julgar procedente o pedido. Recurso provido. (TJSP. Recurso Inominado Cível n.º 1006300-44.2023.8.26.0037. 3ª Turma Recursal Cível do Colégio Recursal dos Juizados Especiais. Relator: Celso Alves de Rezende. Data de julgamento: 22/11/2023. Data de publicação: 01/12/2023)

A respeito da responsabilidade civil, ensina a Doutrinadora Maria Helena Diniz:

No nosso ordenamento jurídico vigora a regra geral de que o dever ressarcitório pela prática de atos ilícitos decorre da culpa, ou seja, da reprovabilidade ou censurabilidade da conduta do agente. O Código Civil, em seu art. 186, ao se referir ao ato ilícito, prescreve que este ocorre quando alguém, por ação ou omissão voluntária (dolo), negligência (inobservância de normas que ordenam agir com atenção), imperícia (inaptidão para praticar certo ato) ou imprudência (ato de proceder sem cautela) – culpa –, viola direito ou causa dano, ainda que exclusivamente moral, a outrem, em face do que será responsabilizado pela reparação dos prejuízos. (Diniz, 2022, p.843)

Imperioso destacar que, para a plataforma digital ser responsabilizada pelo vazamento de dados pessoas do usuário, é imprescindível que este apresente evidência suficiente de vazamentos de dados, bem como a demonstração de prejuízos concretos em decorrência desse compartilhamento e que foram confiados à plataforma em momento anterior.

Ao que se percebe, a discussão sobre o anteprojeto de reforma do Código Civil e a responsabilidade civil das plataformas digitais pelo vazamento de dados pessoais dos usuários evidencia a necessidade urgente de atualização legislativa diante dos desafios contemporâneos. A proposta de ampliar a responsabilidade das plataformas representa um passo crucial para proteger os direitos individuais e promover a segurança digital. É essencial que a legislação não apenas responsabilize, mas também incentive práticas de segurança e transparência, garantindo assim uma convivência digital mais confiável e equitativa para todos os usuários.

_________________

Referências

BAPTISTA, Rodrigo. Código Civil: conheça as propostas de juristas para modernizar a legislação. Disponível em: https://www12.senado.leg.br/noticias/infomaterias/2024/04/codigo-civil-conheca-as-propostas-de-juristas-para-modernizar-a-legislacao. Acesso em: 07/07/2024.

BRASIL. [Constituição (1988)]. Constituição da República Federativa do Brasil de 1988. DF: Presidência da República, [2016]. Disponível em: https://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 07/07/2024.

BRASIL. Lei n.º 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). DF: Presidência da República. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 10/07/2024.

Comissão de Juristas responsável pela revisão e atualização do Código Civil. Senado Federal, 2024. Disponível em: https://legis.senado.leg.br/comissoes/comissao?codcol=2630. Acesso em: 10/07/2024.

DINIZ, M. H. Manual de direito civil. 4. ed. São Paulo: Saraiva, 2022. E-book.

GONÇALVES, C. R. Direito Civil Brasileiro. 18. ed. São Paulo: Saraiva, 2023. E-book.