Doutrina Pátria

RESPONSABILIDADE CIVIL: A HARMONIA ENTRE O DESENVOLVIMENTO ECONÔMICO, INOVAÇÃO E O DIREITO À PROTEÇÃO DE DADOS

3/08/22 | por | Doutrina | Nenhum comentário

RESPONSABILIDADE CIVIL: A HARMONIA ENTRE O DESENVOLVIMENTO ECONÔMICO, INOVAÇÃO E O DIREITO À PROTEÇÃO DE DADOS

Bárbara B. A. Cardoso

Alan R. De Paiva

 

INTRODUÇÃO

Os dados fornecidos pelas pessoas que utilizam a internet contribuem para a construção da identidade desses usuários e, em diversos casos, impactam suas futuras decisões e percepções sobre o mundo. Empresas que hoje possuem um valor inestimável utilizam-se desses dados para executar o tratamento[1] e, posteriormente, a monetização de dados pessoais. A todo o momento, utilizamos a internet como meio de intermediar nossas relações de natureza pública ou privada, sendo jurídicas ou não. Sem compreender qual a finalidade dessa coleta de dados, habitualmente inserimos, na rede mundial de computadores[2], informações que serão transformadas em um aparato tecnológico economicamente útil. O marketing digital está entre os mercados que mais movimentam dinheiro no mundo (Publicidade, 2018), haja vista empresas como Google, Facebook, Instagram, TikTok, entre outras. Isso posto, ao mesmo tempo em que a tecnologia nos traz diversos benefícios, também surgem questionamentos expressivos na seara jurídica a esse respeito.

Seguindo os exemplos citados anteriormente, não há uma cobrança financeira pelo uso dessas e de outras redes sociais: o entretenimento é grátis e ilimitado, qualquer pessoa pode acessá-los, desde que faça o login e aceite os termos de uso e privacidade da ferramenta. Isso é suficiente para o uso das plataformas e o posterior monitoramento do comportamento online de cada um de seus clientes. Assim, todas as interações que cada um faz naquele aplicativo ou site serão gravados gerando um imenso banco de dados que, após uma série de técnicas de desenvolvimento de software, trará como resultados previsões de compra, preferências, decisões futuras e, em alguns casos, até mesmo de relacionamentos amorosos e orientação sexual.

A personalidade humana se forma desde a concepção, sendo constantemente moldada de acordo com nossos atos, convívio social e ações no decorrer de nossas vidas. Um processo semelhante ocorre no ambiente digital, pois a persona é formada por meio das ações e das informações que são inseridas na rede a todo o momento, como nome, idade, geolocalização, opinião política, identidade sexual, informações sobre consumo, renda, entre outras. Essas informações são reunidas e, com o auxílio de uma inteligência artificial (IA)[3], é formada uma persona digital que representa o indivíduo nesse ambiente. Por meio dessa personalidade digital[4], é possível identificar, monitorar, manipular e segregar os usuários das ferramentas online.

Depreende-se que a privacidade de cada indivíduo depende das ações que cada um toma diante das infinitas opções de exposição digital presentes na nossa vida. Ou seja, a construção de mundo, de identidade de cada sujeito, baseia-se, dentre outras coisas, em suas interações digitais. Essa influência, que é perceptível tanto no aspecto macro, como na democracia de um Estado, quanto no micro, como nas decisões de compra de um sujeito, foi nomeada por Nicholas Negroponte (1995) pelo termo daily me, em seu livro Being digital.

É fato que o mundo tecnológico tem inúmeras vantagens frente às décadas anteriores; contudo, há dois vieses de análise jurídica a que queremos nos ater neste momento, quais sejam: 1) o direito à privacidade e à proteção de dados pessoais poderá obstruir o desenvolvimento de pesquisas de grande relevância no Brasil? 2) quando os interesses científicos e econômicos serão priorizados frente à privacidade e proteção de dados? As consequências que vislumbramos a partir dessas situações podem ser nefastas caso o legislador não se atente à urgência de afirmar institutos jurídicos visando ao equilíbrio entre os interesses dos titulares e o desenvolvimento econômico nacional.

Nessa análise, ainda cabem outras indagações, como: que consequências têm e terão do uso massivo de nossos dados pessoais? De que forma podemos garantir que esse uso ocorra em nosso benefício? E, quando isso não ocorrer, como defender nosso direito à liberdade[5], à escolha, à igualdade e à privacidade? As atuais normas são suficientes em si mesmas param nos garantirem tais direitos? Os regimes de responsabilidade civil existentes, a doutrina e a jurisprudência são suficientes para lidar com esses novos conflitos? Quais os limites da autodeterminação informativa, prevista no art. 2º, II, da LGPD (2018)? Estará o desenvolvimento da ciência e da tecnologia arruinado em prol de uma demasiada proteção de dados? E, por fim, a pergunta que mais nos interessa neste artigo: a responsabilidade civil pode exercer um papel de reguladora e harmonizadora das relações entre os direitos de privacidade e proteção de dados e os interesses econômicos, sociais e políticos?

Seguramente, as normas que abordam o tema de proteção de dados trazem controvérsias que devem ser resolvidas com o auxílio de outras matérias jurídicas, como a boa-fé objetiva, a responsabilidade civil, o legítimo interesse de terceiros e a segurança no tratamento de dados pessoais. Para além de uma formação da cultura de proteção de dados, há de se balizar o Direito como disciplina que integra discussões históricas sobre o comportamento humano e sobre a cultura que compõe essa ciência jurídica. A multidisciplinaridade é um tema de primeira ordem para que, de fato, haja uma cultura de dados equilibrada, dado que proteção de dados tem que ser sopesada junto ao desenvolvimento econômico nacional.

Por outro prisma, é elementar considerar que a Constituição Federal (1988), em seu art. 218, prevê que “o Estado promoverá e incentivará o desenvolvimento científico, a pesquisa, a capacitação científica e tecnológica e a inovação”. Além disso, em seu parágrafo único, o dispositivo prenuncia que o Estado estimulará a formação e o fortalecimento da inovação nas empresas, bem como nos demais entes, públicos ou privados. O constituinte visa, com essas orientações, a estimular a formação e o fortalecimento da inovação em entes públicos e privados. No mesmo sentido, informa a LGPD (2018, art. 2º, V) que um dos seus fundamentos é o desenvolvimento econômico e tecnológico e a inovação. Ademais, são objetivos fundamentais do Estado brasileiro: construir uma sociedade livre, justa e solidária; garantir o desenvolvimento nacional; erradicar a pobreza e a marginalidade e reduzir as desigualdades sociais e regionais; promover o bem de todos, sem preconceitos de origem, raça, sexo, cor, idade e quaisquer outras formas de discriminação.

Tais normas, previstas na Carta Magna e em muitas outras legislações infraconstitucionais, assinalam a relevância da defesa da evolução tecnológica para o País. Assim, não há de se falar em privação e proteção de dados como direitos absolutos. Isso posta, vemos, no instituto da responsabilidade civil, uma ferramenta jurídica que pode estabelecer um equilíbrio entre o desenvolvimento tecnológico e econômico, a inovação, a livre iniciativa, a livre concorrência e os possíveis abusos no tratamento de dados pessoais quanto à privacidade dos titulares.

Há uma literatura muito ampla sobre os institutos de proteção de dados, privacidade e responsabilidade civil que não pode ser analisada de modo exauriente neste artigo. Entretanto, nosso objetivo é o de fazer um recorte da relação entre o direito à proteção de dados e a função de harmonização que o Estado, por meio da responsabilidade civil, pode exercer frente aos interesses comerciais, econômicos, sociais e políticos que, muitas vezes, violam direitos fundamentais. Afinal, não há de se falar em um direito sobreposto a outro, e, sendo assim, a reflexão sobre harmonização entre esses institutos é de bastante relevo para a nossa sociedade.

 

1 A PROTEÇÃO DE DADOS NO ORDENAMENTO JURÍDICO BRASILEIRO

O primeiro grande marco na criação de direitos e garantias fundamentais à existência digna do ser humano é o ano de 1789, mais especificamente a Declaração Universal dos Direitos do Homem e do Cidadão, escrita durante a Revolução Francesa[6]. Os ideais da dignidade humana e das garantias básicas para a existência da humanidade em sociedade foram marcos importante, pois essa foi à primeira vez em que se pensou na criação de direitos universais que buscassem garantir as condições mínimas da existência humana.

A Carta Magna de 1988 estabeleceu, de seu art. 5º até o seu art. 17, com base no Princípio da Dignidade da Pessoa Humana, direitos e garantias fundamentais, como normas protetivas e orientadoras de nossa sociedade e do governo do Estado brasileiro. Os direitos fundamentais são inalienáveis e imprescritíveis, ou seja, não se pode abrir mão de tais prerrogativas; ademais, a Constituição prevê que o Estado é o seu garantidor. É essencial ressaltar que direitos fundamentais são distintos de garantias fundamentais. Assim:

Os direitos fundamentais são disposições declaratórias, o que significa que são prerrogativas reconhecidas pelo Estado como válidas. Isso quer dizer que o direito fundamental é uma norma, com vantagens previstas no texto constitucional. As garantias fundamentais, no entanto, são instrumentos que existem com o objetivo de assegurar que o texto constitucional (suas normas e direitos previstos) seja universalmente aplicado dentro do território do Estado. (Fachini, [s.d.])

A evolução dos direitos fundamentais deve acompanhar a sociedade e toda sua ânsia por respostas às novidades tecnológicas; por essa razão, o Direito sofre modificações velozes nos paradigmas sociais. Presenciamos uma revolução digital em que não podemos perder de vista nossas garantias e proteções frente às novidades, ainda que, por ora, não tenhamos amplo conhecimento de como funcionam e de quais serão suas consequências[7]. Há previsão do direito à explicação e do direito à revisão no art. 20 da LGPD (2018); não obstante, tais direitos não são absolutos e deve ser observada concomitantemente, vide art. 6º da Lei de Proteção de Dados Brasileira, a respeito dos segredos comercial e industrial.

Dada a evolução dos meios tecnológicos, em 2012, no Brasil, foi necessário estabelecer nova proteção jurídica a bens ainda não tutelados, como a liberdade individual e o direito ao sigilo pessoal e profissional, considerando sua importância para o convívio social. Dessa forma, foi sancionada, em novembro de 2012, a Lei nº 12.737/2012, popularmente conhecida como Lei Carolina Dieckmann, que instituiu a categoria de crimes cibernéticos no ordenamento jurídico brasileiro, proteção necessária às infrações que vinham ocorrendo e que, antes da promulgação dessa lei, eram resolvidas unicamente na esfera civil.

A partir dessa legislação, alterou-se o Código Penal para introduzir o crime de invasão de dispositivo eletrônico, buscando-se estabelecer uma maior proteção jurídica à privacidade do titular, passando a ser penalmente punível aquele que invade dispositivo eletrônico com o fim de obter, adulterar ou introduzir dados ou informações sem que haja autorização expressa do titular desse bem, ficando o responsável sujeito a uma pena de três meses a um ano e multa. Tal alteração legislativa foi extremamente necessária à época, para que fosse estabelecida uma proteção jurídica no que tange a esses dispositivos eletrônicos, garantindo a privacidade no âmbito digital e fazendo o responsável poder responder tanto civil quanto penalmente pela violação desse bem jurídico.

Posteriormente, promulgou-se o Marco Civil da Internet (MCI), em 2014 (Lei nº 12.965/2014). Trata-se de uma lei geral que estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil.

A referida lei foi essencial para fornecer uma regulamentação básica às atividades online no Brasil, resguardando as relações na web, definindo diretrizes para a atuação do Poder Público no desenvolvimento da internet no Brasil.

No próprio texto do MCI (2014), em seu inciso III do art. 3º, já há indicação da necessidade de uma legislação específica para regulação de dados pessoais na internet, dado que o próprio MCI não esgotou tal assunto, apenas indicando a relevância de tal promulgação legislativa.

Destarte, após quatro anos da vigência do MCI, foi promulgada a Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, que dispõe sobre regras de tratamento de dados pessoais e segurança, além de inovar o ordenamento jurídico, uma vez que traz definições inovadoras a respeito de tratamento de dados e segurança da informação. Segundo afirma Walter Aranha Capanema:

O legislador brasileiro, com o seu costumeiro atraso em acompanhar os avanços da sociedade e da tecnologia, somente em 2018 se preocupou em regular com efetividade a proteção de dados pessoais, o que ocorreu com a edição da Lei nº 13.709/2018, a denominada Lei Geral de Proteção de Dados (LGPD). (Capanema, 2020, p. 163)

Ademais, o MCI surgiu como um garantidor de inúmeros direitos e garantias ao usuário da internet, que anteriormente era apenas parcialmente abarcado pelo Código Civil, em legislação geral. Com o advento dessa lei, o usuário tem protegido, em uma legislação especial, seus direitos e garantias, dentre os quais estão à inviolabilidade da intimidade e da vida privada, a inviolabilidade e sigilo do fluxo das comunicações na internet e a inviolabilidade e sigilo das comunicações privadas.

O interesse econômico e tecnológico pelos ambientes digitais transformou parte das empresas em laboratórios de experimentos e inovação. Tal fato pode ser percebido pelos próprios nomes designados pelas grandes companhias para suas áreas que fazem os estudos dos dados coletados, os respectivos experimentos e suas publicações. Como exemplo, podemos citar o Facebook Research[8] e o Google CodeLab[9].

No lugar dos campos de saberes das ciências humanas ou “psi”, como Psicologia e Psiquiatria, a ciência dos dados produz conhecimento sobre nossos comportamentos, nossas personalidades e nossas emoções.

São inúmeros estudos com bases tecnológicas que adentram os campos de conhecimento “psi”, por meio de algoritmos[10], big data[11] e machine learning[12], gerando resultados surpreendentes e, muitas vezes, imprevisíveis. Segundo Fernando Antônio Tasso:

Sob o epíteto de ser o novo petróleo, os dados pessoais são o insumo da indústria denominada 4.0, porquanto inserida no contexto da Quarta Revolução Industrial. Com efeito, tecnologias como big data, internet das coisas (IoT), inteligência artificial (AI), blockchain, entre outras relacionadas ao impulsionamento da atividade econômica, geram o ganho em eficiência e escala de determinada atividade econômica devido à operação denominada tratamento de dados pessoais. (Tasso, 2020, p. 98)

Um relatório lançado em 2020 pelo site Oxford Insights pontua, precisamente, o momento cultural e digital em que vivemos e enfatiza a responsabilidade do Estado quanto à possibilidade de exercer o papel de equilíbrio ao qual nos referimos anteriormente:

À medida que a internet e o uso de dados evoluíram, eles se tornaram motores cruciais do desenvolvimento econômico de um país, facilitadores importantes das funções governamentais e pontos focais do debate nas relações internacionais. A inovação em tecnologia pode conferir uma enorme vantagem competitiva à economia de um país. Mas a busca do avanço tecnológico deve ser moderada por preocupações humanas de benefício social e justiça. O Estado está excepcionalmente bem colocado para realizar esse ato de equilíbrio (Jiang; Martin, 2020, p. 4 – tradução nossa)[13].

No Brasil, a legislação vigente não atende aos anseios de usuários e consumidores e, ao mesmo tempo, não atende aos anseios das empresas, aos interesses por desenvolvimento tecnológico, nem ao próprio governo, em relação aos desafios da proteção de dados na internet e à segurança da informação. Dessa forma, parece-nos que o Direito brasileiro deve ter como objetivo se atualizar e buscar responder os problemas gerados pela ampliação das ferramentas digitais, pois a regulação do Estado sobre o direito de proteção de dados é, verdadeiramente, uma responsabilidade social do Estado, que pode ser abarcada pelo art. 174,

1º, da Constituição (1988). O relatório de Oxford de 2020 afirma:

A inovação em tecnologia na área comercial – especialmente em campos de “alta tecnologia” como inteligência artificial, ciências biológicas e aeroespaciais – pode conferir uma enorme vantagem competitiva à economia de um país. Ao mesmo tempo, a busca do avanço tecnológico deve ser moderada por preocupações humanas de benefício social e justiça. O Estado está excepcionalmente bem colocado para realizar este ato de equilíbrio, uma vez que tradicionalmente tem desempenhado o papel de mediador entre os interesses públicos e privados, entre o desenvolvimento econômico e a responsabilidade social. (Jiang; Martin, 2020, p. 6)[14]

Apesar de haver legislações que abordam tangencialmente o tema da proteção de dados no Brasil, a LGPD, promulgada em 2018, surgiu com o intuito de efetivar esse direito na sociedade brasileira, regulamentando a coleta, o armazenamento, o tratamento e o compartilhamento dos dados pessoais, estabelecendo sanções para os entes públicos e privados que violem essas diretrizes protetivas e estipulando uma maior segurança para o usuário de internet no Brasil.

Portanto, essa legislação pretende atender às necessidades mais específicas do mundo contemporâneo, assegurando a proteção de dados pessoais não apenas online como também offline. Em seu art. 2º, a lei expõe seus fundamentos, dentre eles “o desenvolvimento econômico e tecnológico e a inovação”, e, no inciso VI, “a livre iniciativa, a livre concorrência e a defesa do consumidor” (Brasil, 2018). Assim, a LGPD vai ao encontro de um dos princípios fundamentais da Constituição de 1988, previsto em seu art. 1º, IV: “os valores sociais do trabalho e da livre iniciativa” (Brasil, 1988).

Essa legislação de dados pessoais aborda questões específicas que o Marco Civil não abarcou, como, por exemplo, o tratamento de dados, e debruça-se sobre as informações que circulam nos cenários público e privado. Dentre várias especificidades, uma das inovações que a LGPD traz é a indicação das figuras envolvidas na coleta e no tratamento de dados, bem como define suas responsabilidades e penalidades específicas. Segundo Capanema:

Dessa forma, é possível identificar duas situações de responsabilidade civil na LGPD:

a) violação de normas jurídicas, do microssistema de proteção de dados;

b) violação de normas técnicas, voltadas à segurança e proteção de dados pessoais.

E, evidentemente, só caracterizará a responsabilidade civil, se a violação de norma jurídica ou técnica ocasionar dano material ou moral a um titular ou a uma coletividade. (Capanema, 2020, p. 165)

Apesar de trazer inovações legislativas, a referida lei contém conceitos jurídicos abertos. A igualdade formal trazida na LGPD, por exemplo, precisa de novas lentes, pois apresenta um conceito abstrato de igualdade e autonomia que, muitas vezes, não se enquadra à população diversa que o nosso país possui. Dessa forma, a lei não traz uma segurança em relação às condições legais em que a evolução tecnológica e econômica poderá continuar no País, pois visa a regular a proteção de dados do usuário sem, no entanto, dar ênfase às necessidades desses mesmos dados para o desenvolvimento de pesquisas e produtos no Brasil. Por exemplo, uma pesquisa de uma empresa que se destina ao desenvolvimento tecnológico focado em saúde da população, que também é um direito fundamental de acordo com o art. 5º da CR/1988, terá muita dificuldade de coletar tais dados caso não seja um órgão de pesquisa, de acordo com art. 7º, IV, da LGPD. Nesse exemplo, o direito à saúde da população poderá ser prejudicado caso o serviço que tal empresa fornece por meio de tecnologias avançadas seja impedido de progredir por questões legais.

É sabido que o papel da Agência Nacional de Proteção de Dados é o de minimizar os impactos desses conceitos jurídicos abertos, ou seja, uma de suas funções é regulamentar e dar orientações práticas sobre a aplicação da LGPD (art. 55-J, XVIII). Contudo, tanto o encargo da ANPD, estabelecido no inciso XVIII do art. 55-J, quanto seu § 5º são insuficientes para estabilizarem as relações envolvidas entre a proteção de dados e os interesses econômicos.

De acordo com Santos, Marco e Möller (2019), o Direito, como uma disciplina de ciências humanas em constante reformulação, enfrenta enormes desafios para se adequar à velocidade dessa sociedade. Nesse sentido, afirma Zampier:

Esse excesso de cautela, para não dizer omissão do Direito no que diz respeito às influências tecnológicas, favorece a criação de um espaço hermenêutico para um pensamento crítico de nossa ciência, quer sob o viés da formulação de novas normas mais adequadas, quer seja pela aplicação judicial do normativo ora existente. (Zampier, 2020, p. 240)

Analisando a complexidade do contexto em que vivemos, um debate histórico chegou ao STF neste ano de 2020: a edição da Medida Provisória nº 954, em 2020, tratando do compartilhamento de dados pessoais por empresas de telefonia com o Instituto Brasileiro de Geografia e Estatística, foi a base da discussão no Supremo Tribunal Federal (STF) acerca do direito à proteção de dados.

O intuito da MP era o de utilizar esses dados disponibilizados para que pesquisas estatísticas fossem realizadas de modo não presencial, já que, devido à pandemia do Covid-19, em curso à época, tais pesquisas estavam impossibilitadas de serem efetivadas presencialmente.

Após a edição da referida medida provisória, diversas ações declaratórias de inconstitucionalidade (ADIn) foram ingressadas no STF, as quais, ao serem julgadas em conjunto pelo Plenário, acarretaram em decisão histórica. Apesar de não estar expressamente disposta na Constituição da República Federativa do Brasil de 1988, a decisão do STF, no julgamento da ADIn 6387/STF (Brasil, 2020), reconheceu, por maioria de votos, o direito à proteção de dados pessoais como direito fundamental autônomo, tendo amparo no art. 5º, X, no qual determina “a inviolabilidade a intimidade e a vida privada, sendo assegurado o direito à indenização pelo dano material ou moral decorrente de sua violação

(Brasil, 1988). De acordo com Tasso:

A proteção de dados como direito autônomo advém da constatação de que novas situações de fato ensejam proteção legal, por decorrerem do puro e simples tratamento de dados pessoais, como o perfilhamento racial, as listas negras de trabalhadores que ingressam na Justiça Obreira contra seus patrões, testes genéticos pré-admissionais e identificações biométricas em gravações de vídeo de espaços públicos. (Tasso, 2020, p. 99)

A relatora Ministra Rosa Weber, afirma, em seu voto, que a referida medida provisória não garante ao titular dos dados a sua segurança e privacidade, por não ser genérica e não definir os parâmetros para o compartilhamento e o tratamento desses dados, o que viola não só a LGPD, que veda o compartilhamento e o tratamento de dados sem que haja o consentimento do titular, como também o direito constitucional à privacidade, pois a Constituição Federal, em seu art. 5º, X, garante a inviolabilidade da vida privada, protegendo, assim, não somente os dados privados, como disposto no inciso XII, como também todos os dados que são inerentes ao sujeito.

A referida decisão do STF pavimentou o caminho para a aprovação da Proposta de Emenda à Constituição nº 17/2019 (Brasil, 2019), que pretendia incluir, ao texto constitucional, a proteção de dados pessoais no rol de direitos e garantias fundamentais do cidadão, fixando, também, a competência privativa da União para legislar sobre a matéria.

Porém, há opiniões contraditórias a respeito do tema, vide trecho do artigo Compliance digital e responsabilidade civil na Lei Geral de Proteção de Dados, de Martins e Faleiros Junior:

O que se percebe é a grande relevância do tema, que vem produzindo iniciativas variadas, a ponto de tramitar perante o Congresso Nacional brasileiro a Proposta de Emenda à Constituição nº 17/2019, que visa incluir a proteção de dados pessoais no rol dos direitos e garantias fundamentais do cidadão – algo desnecessário como veste, por se tratar de um direito sistematicamente já abarcado pelo ordenamento. (Martins; Faleiros Júnior, 2020, p. 265)

O Direito é uma ciência observadora da necessidade de mudanças e atualizações legislativas, moroso devido aos seus procedimentos e formas previstas nas leis e, assim, sofre com as modificações velozes nos paradigmas sociais. Segundo Tasso (2020, p. 99), “a evolução tecnológica resulta na sensível alteração na forma de tratamento dos fatos jurídicos pelo direito”. Destarte, há de se refletir se o processo legislativo está inovando suficientemente para atender à sociedade, bem como há de se dedicar à crítica caso o Direito esteja exercendo um papel de mero reforçador legal, o que defendemos não ser o caso da Emenda à Constituição nº 17/2019.

 

2 RESPONSABILIDADE CIVIL E TECNOLOGIA

Segundo Rosenvald (2020), a responsabilidade civil é uma das várias formas de sanção de um ato ilícito, não sendo lida apenas como reparação de danos, mas também como prevenção. Assim, pretendemos abordar, neste tópico, a evolução do conceito de responsabilidade civil, visando a identificar, no contexto da violação do direito à privacidade e da proteção de dados nos diversos meios tecnológicos, mecanismos geradores de danos, além de refletir sobre as possibilidades de reparação e prevenção desses ilícitos que atacam direitos e garantias constitucionais.

Desse modo, entendemos que o instituto da responsabilidade civil pode ser um meio pelo qual o Estado poderá harmonizar as relações de privacidade e proteção de dados e os interesses econômicos e tecnológicos envolvidos nesse liame.

A responsabilização por um ato comissivo ou omissivo pode surtir efeitos jurídicos ou não, isto é, essa responsabilização ocorre no cotidiano, mesmo que não tenha relevância jurídica, dado que atos e omissões corriqueiras geram consequências sociais das mais variadas espécies.

A responsabilidade que possui relevo no âmbito jurídico, contudo, é a situação que a lei prevê e que é subsumida por um indivíduo. Assim, quando há a violação de uma norma no âmbito do direito civil, gera-se uma responsabilidade civil.

Tal responsabilidade pode ser classificada em responsabilidade contratual, prevista nos arts. 389 e ss. e 395 e ss. (Código Civil de 2002), quando há uma transgressão do acordo pactuado pelas partes, e responsabilidade extracontratual ou aquiliana, prevista nos arts. 186 a 188 e 927 e ss. (CC/2002), em que há violação direta de uma norma legal.

De acordo com Pablo Stolze Gagliano e Rodolfo Pamplona Filho (2018, p. 905), na responsabilidade civil aquiliana, a culpa deve ser sempre provada pela vítima, enquanto, na responsabilidade contratual, ela é, em regra, presumida.

O Código Civil (Brasil, 2002) prevê, explicitamente, em seu art. 186, que a violação do direito que causar um dano a outrem será um ato ilícito. Ainda prevê, em seu art. 927, a responsabilização do autor de tal ilicitude, ou, nos termos da lei, a “obrigação de reparar o dano”.

Nesse sentido, trata-se a responsabilidade civil do dever do ofensor em restituir, restaurar o patrimônio (moral ou material) do ofendido, fazendo-o voltar ao estado quo ante da ação ou omissão causadora do dano.

Assim, a natureza jurídica da responsabilidade civil repousa exatamente na imputação civil do ato lesivo (ilícito) a quem lhe deu causa, para a finalidade de indenizar o agredido, nos termos da lei ou do contrato, de forma a compensar ou reparar o dano por ele injustamente suportado (Nery Junior, 2005, p. 267).

Contudo, discussões contemporâneas questionam essa possibilidade de “voltar ao estado quo ante da ação ou omissão causadora do dano”, considerando que nem todo dano é reversível e quem nem todo estado quo ante é, de fato, recuperável. Falaremos mais adiante a respeito de um novo conceito de multifuncionalidade da responsabilidade civil, no qual o instituto não se limita apenas à reparação do dano. O aspecto de reparação é considerado apenas uma das várias possibilidades de efetivamente imputar-se a responsabilidade civil, mas a prevenção ao dano pode ser um dos aspectos a serem mais explorados na sociedade.

Nesse sentido, já há evolução legislativa a ser celebrada, pois, no art. 6º, VIII, da LGPD, há previsão dessa atuação preventiva.

Por sua vez, o Código Civil impõe duas classificações à responsabilidade civil, definindo a conduta comissiva ou omissiva do agente agressor como responsabilidade civil subjetiva (art. 186 do CC), ou o mero risco de determinada atividade gerado por ele de responsabilidade civil objetiva (art. 927 do CC), sendo, neste último caso, irrelevante o dolo ou a culpa na conduta do agente causador do dano, bastando o nexo de causalidade.

O Código Civil brasileiro vigente adotou, como regra geral, a responsabilidade civil subjetiva, segundo a qual, baseada na teoria clássica, o ofensor tem o dever de reparar ou de restituir o mal causado, desde que comprovado o dano, o nexo causal e sua culpa. Portanto, como regra, faz-se necessário, na análise do caso fático, que fique comprovada a culpa, considerando-se que há vários graus dessa culpa, que devem ser balizados caso a caso. Ou seja, aplicação da culpa objetiva prevista no Código Civil exige comprovação de fato, nexo de causalidade e dano.

É pertinente salientar que, no Código de Defesa do Consumidor (CDC), prepondera a responsabilidade objetiva, por este considerar o consumidor como parte hipossuficiente da relação. Como afirmam Peroli, Moraes e Lima (2020, p. 158), a LGPD tem uma estrutura espelhada no CDC; assim, apesar de não possuir nenhuma previsão expressa a esse respeito, pode-se inferir que há responsabilidade objetiva do controlador e do operador, que respondem solidariamente por danos relacionados aos dados pessoais do titular.

Todavia, é primordial enfatizar que, de maneira expressa, a LGPD não prevê responsabilidade objetiva; inclusive, há um debate tenaz entre especialistas da área a respeito desses temas e dos impactos que podem advir de tal posicionamento. A conclusão dos autores Peroli, Moraes e

Lima (2020, p. 158) se deu à medida que há uma demasiada influência do CDC na Lei de Proteção de Dados. Conforme defende Anderson Schreiber (2015, p. 25),

[…] a conclusão mais razoável parece ser a de que a cláusula geral de responsabilidade objetiva dirige-se simplesmente às atividades perigosas, ou seja, às atividades que apresentam grau de risco elevado seja porque se centram sobre bens intrinsecamente danosos (como material radioativo, explosivos, armas de fogo etc.) seja porque empregam métodos de alto potencial lesivo (como o controle de recursos hídricos, manipulação de energia nuclear etc.). Irrelevante, para a incidência do dispositivo, que a atividade de risco se organize ou não sob forma empresarial ou que se tenha revertido em proveito de qualquer espécie para o responsável. (Schreiber, 2015, p. 25)

Tais divergências relacionadas ao tipo de responsabilidade estabelecida pela LGPD têm uma relação direta com o nosso posicionamento a respeito do papel que esta pode exercer frente à dinâmica de interesses entre proteção de dados e avanço tecnológico e econômico. Ansiamos que a jurisprudência, após analisar os casos fáticos, fará o papel orientador e definidor de tal discordância.

Por outro lado, a evolução do conceito de responsabilidade civil é essencial para o desafiador contexto contemporâneo no qual vivemos e para a função de equilíbrio e mediação que o instituto pode exercer frente a algumas conjunturas complexas, como já indicamos. Renomados pesquisadores têm despendido grandes esforços em atualizar tal instituto para que ele se adapte à realidade tecnológica e atenda demandas futuras da sociedade. De acordo com Zampier:

O velho modelo de responsabilidade civil, calcado unicamente na ideia de ato ilícito, culpa e danos eminentemente patrimoniais, bem merecendo profunda reformulação, com o abandono de tradicionais estruturas como fundamento único da produção de deveres de reparação a uma vítima. (Zampier, 2020, p. 239)

Nelson Rosenvald afirma que um conceito inovador é o de que a responsabilidade civil é um mecanismo de transferência de danos em decorrência de um ilícito ou em decorrência de um comportamento culposo. Anteriormente, a responsabilidade civil surgia quando um comportamento era a causa de um dano, ou seja, avaliava-se o nexo causal e a causa imediata, e o agente podia excluir a causalidade por fato de terceiro, força maior ou caso fortuito. Para Noronha (1999):

A responsabilidade objetiva agravada insere-se no final de uma evolução que começou quando, num primeiro momento, se reconheceu que o requisito culpa não sempre era imprescindível para o surgimento da obrigação de indenizar: o exercício de determinadas atividades, suscetíveis de causar danos a terceiros, implicava, em contrapartida aos benefícios que elas proporcionavam ao agente, o ônus de suportar os danos que eventualmente fossem causados a outrem. Foi por isso que se construiu a teoria da responsabilidade objetiva. Agora estamos entrando num segundo momento, em que se verifica haver hipóteses especiais em que se prescinde também de nexo de causalidade, para se passar a exigir unicamente que o dano acontecido possa ser considerado risco próprio da atividade em causa. (Noronha, 1999, p. 37)

A Teoria do Risco do Desenvolvimento[15], prevista no art. 927 do Código Civil, é outro exemplo que demonstra que o nexo causal está sendo, aos poucos, minorado na análise da responsabilidade civil.

Segundo Marcelo Junqueira Calixto:

[…] os riscos do desenvolvimento são aqueles riscos não cognoscíveis pelo mais avançado estado da ciência e da técnica no momento da introdução do produto no mercado de consumo e que só vêm a ser descobertos após um período de uso do produto, em decorrência do avanço dos estudos científicos. (Calixto apud Tartuce, 2016, p. 532-533) O conceito atual reconhece que um mecanismo de transferência de danos faz parte do conceito de responsabilidade civil. Contudo, como pudemos expor não mais se limita a um ato ilícito e à culpa.

Contextualizou-se o conceito para o momento dinâmico que vivemos nos dias atuais[16]. Essa transferência de danos era realizada, prioritariamente, por indenização financeira e caracterizada como dano patrimonial.

A violação do direito que causar um dano a outrem será um ato ilícito, segundo o Código Civil, em seu art. 186. Tal conceito foi aprofundado pela doutrina e, atualmente, podemos observar um duplo aspecto: ato ilícito objetivo e subjetivo. A característica objetiva da responsabilidade civil considera a legislação vigente e as ações em desconformidade com as previsões legais, ou seja, o ato ilícito nada mais é que a antijuridicidade da conduta do agente, violando um dever jurídico preestabelecido na sociedade.

Nas palavras de Sérgio Cavalieri Filho (2012, p. 11): “A antijuridicidade de uma conduta é normalmente estabelecida à luz de certos valores sociais, valores que podem ser englobados na noção tradicional de bem comum”. Assim, o ilícito, no enfoque objetivo, nada mais é que a transgressão de um dever jurídico. Já a característica subjetiva implica a decisão de juízo de valor, ou seja, a reflexão humana para agir, que pode ser uma conduta dolosa, culposa ou omissiva. Na análise tradicional da responsabilidade civil, somente o ato ilícito objetivo gera o direito à indenização ao lesado. Contudo, há de se questionar se atos ilícitos subjetivos não geram, muitas vezes, danos que devem ser reparados de alguma forma.

Nessa nova análise e definição sobre o que é responsabilidade civil, faz-se essencial enfatizar que a culpa nem sempre é necessária para se configurar a responsabilidade civil: em verdade, há situações em que não é imprescindível a culpa, mas sim um responsável pelo dano.

A título de exemplo, no CDC, nota-se o ilícito objetivo qualificado pelo defeito do produto, ou seja, não há culpa, mas sim lesão da legítima expectativa dos consumidores, configurando, portanto, um ilícito subjetivo. Desse modo, o que se observa, atualmente, é o potencial lesivo de determinado comportamento.

Ao longo do tempo, eliminamos a culpa e o ilícito, visto que o que interessa, realmente, é o resultado de dano a terceiros, e não necessariamente o comportamento contrário à lei. O dano é a figura central na nova reflexão sobre responsabilidade civil e, segundo Zampier (2020, p. 241), “é correto dizer que onde não há dano, não há que se falar em responsabilidade civil”.

Outrossim, o nexo de imputação[17] reformulou a maneira como percebemos a responsabilidade civil. Não apenas se avalia a causa imediata, mas também a causa mediata do dano. Assim, hoje, o que se percebe é que não se pode mais alegar caso fortuito ou força maior, por exemplo, porque há uma internalização do fortuito.

Nelson Rosenvald (Rosenvald, 2019, p. 214) defende o uso da multifuncionalidade da responsabilidade civil, entendendo que assim as sanções passariam não só a restituir financeiramente o ofendido, mas também a ter um caráter preventivo. Desse modo, utilizando-se desse artifício ao condenar o infrator, a prática do ilícito deixará de compensar, o que importará em uma efetivação ainda maior da proteção desses bens jurídicos. Assim, nos casos em que ocorra uma violação de direitos resguardados pela LGPD, é desejável que a aplicação do instituto da responsabilidade civil seja feita por meio da utilização do viés multifuncional desse instituto, uma vez que apenas a compensação monetária da vítima não garante uma proteção efetiva de seus direitos. Busca-se, então, a efetivação de um viés preventivo da responsabilidade civil, o que faria a violação de tais direitos serem algo indesejável, pois a sanção não implicaria apenas a condenação ao pagamento pelo dano causado, mesmo que majorado, mas incluiria, também, condenações de viés corretivo.

Como já vimos, a responsabilidade civil busca restaurar o estado quo ante da violação do ilícito. Ocorre que a violação de dados pessoais impossibilita ou dificulta essa restauração, pois, uma vez que determinado dado é violado, o titular perde o arbítrio sobre esse dado. Esse foi o caso do escândalo da Cambridge Analytica, no qual uma grande quantidade de dados da população norte-americana foi utilizada para segmentar e efetivar uma melhor campanha eleitoral no ano de 2016. Uma eventual condenação da empresa ao pagamento de uma indenização não restauraria o estado quo ante ao ilícito, pois a sanção remuneratória não restaura os efeitos da utilização indevida daqueles dados.

 

3 VIOLAÇÕES AO DIREITO À PROTEÇÃO DE DADOS PESSOAIS E O EQUILÍBRIO EXERCIDO PELA RESPONSABILIDADE CIVIL EM RELAÇÃO AOS BENS DIGITAIS

Para Bruno Zampier, faz-se necessário caracterizar uma nova categoria de bens no direito civil. Assim, os ativos digitais dos quais trata este artigo, segundo o autor, podem ser denominados de bens digitais, “ou na expressão já consagrada internacionalmente, ‘digital acess’” (Zampier, 2020, p. 62). O mesmo autor define bens digitais como

[…] aqueles conhecidos como bens incorpóreos, os quais são progressivamente inseridos na internet por um usuário, consistindo em informações de caráter pessoal que trazem alguma utilidade àquele, tenha ou não conteúdo econômico. (Zampier, 2020, p. 63)

Os bens digitais podem ter importância econômica, como milhas aéreas, por exemplo, e importância sentimental, segundo Zampier. Ele afirma que “a memória afetiva de uma pessoa está cada vez mais digitalizada” (Zampier, 2020, p. 69) e, sem dúvidas, nesse aspecto, estão incluídas a privacidade e a intimidade do usuário.

Zampier dividiu os bens digitais em três classes: bens digitais patrimoniais, bens digitais existenciais e bens digitais patrimoniais-existenciais. Sobre bens digitais patrimoniais, afirma: “Quando a informação inserida em rede for capaz de gerar repercussões econômicas imediatas, há que se entender que ela será um bem tecnodigital patrimonial” (Zampier, 2020, p. 78). Quanto ao bem digital existencial, o autor define que este se refere ao “conjunto de atributos extrapatrimoniais digitalizados ao longo do tempo” (Zampier, 2020, p. 117). São exemplos de bem digital existencial fotos, vídeos, e-mails, entre outros. Já os bens digitais patrimoniais-existenciais caracterizam-se por ser um misto das características dos anteriores, ou seja, podem ser perfis de personalidades ou de um youtuber nas redes sociais, que contêm não apenas dados de sua personalidade, mas também lhe rende um valor financeiro, o que fez surgirem, inclusive, novas profissões no ambiente digital.

Os titulares de bens digitais podem sofrer lesões e devem ser reparados por isso, ou seja, há de se refletir sobre a responsabilidade civil quando houver dano relacionado a bens digitais, sendo a conduta lícita ou ilícita, como vimos anteriormente. Zampier (2020) cita quatro tipos de lesões associadas aos titulares dos bens digitais: lesões oriundas da conduta de outro particular, da conduta do próprio provedor, da conduta do Estado e da conduta de familiares do titular. Um exemplo recente de uma lesão a um bem dessa classe foi a queda do provedor de conteúdo YouTube e a declaração do youtuber Felipe Neto a respeito da sua perda financeira. Por meio da rede social Twitter, o influenciador disse:

Calculando os danos… A queda do YouTube por 2 horas, durante horário nobre, fez meu canal deixar de fazer 1.6 milhão de visualizações durante o período. Tive em torno de 3.3 mil dólares de prejuízo, o que dá aproximadamente 17.7 mil reais. Bizarro. (Youtuber, 2020)

Podemos entender que, nesse caso, caberia uma indenização financeira, dado que houve dano patrimonial, considerando o conceito de bens digitais de acordo com Bruno Zampier.

Em contrapartida, o direito ao esquecimento, por exemplo, pode ser uma lesão da conduta de outro particular e dá ao sujeito o direito de exigir que os dados sejam apagados e de que haja um pedido público de desculpas. Esses são exemplos de ações que vão além da recompensa monetária e que, muitas vezes, têm efeitos mais valiosos para o ofendido no caso concreto. Demonstrado, assim, que um bem digital existencial nem sempre poderá ser reparado financeiramente, dado que muitas vezes há uma impossibilidade de retornar ao estado quo ante.

Isso confirma, então, o conceito de Rosenvald (2020), de que a restauração patrimonial de quem sofreu lesão decorrente de um ato, ilícito ou não, pode não ser efetiva quando se trata dessa sociedade tecnológica em que vivemos.

A renomada economista alemã Shoshana Zuboff, em 2018, apresentou o conceito “capitalismo de vigilância” no artigo “Big other: capitalismo de vigilância e perspectivas para uma civilização da informação”. Posteriormente, voltou a descrever, em seu livro The age of surveillance capitalism: the fight for a human future at the new frontier of power, de 2019, o que entende por “capitalismo de vigilância”. A autora tem o objetivo de apresentar uma nova forma de acumulação capitalista, que é realizada por meio da exploração, do tratamento e da comercialização de dados. O conceito é absolutamente adequado para repensarmos a forma como interagimos com os provedores de conteúdo e nossos dados pessoais.

Para a autora, há uma nova forma de capitalismo de informação que “procura prever e modificar o comportamento humano como meio de produzir receitas e controle de mercado” (Zuboff, 2018, p. 18). Para a Professora emérita da Harvard Business School, [a] indústria digital prospera graças a um princípio quase infantil: extrair dados pessoais e vender aos anunciantes previsões sobre o comportamento dos usuários. No entanto, para que os lucros cresçam, os prognósticos devem ser cada vez mais certos. Para tanto, não é necessário apenas prever: trata-se de modificar em grande escala os comportamentos humanos. (Zuboff, 2019a)

É evidente o enorme valor econômico que os dados possuem, o que se pode observar pelo simples fato de que as maiores companhias do mundo, como Google, Microsoft e Amazon, sejam tão valiosas, justamente por serem detentoras de grandes quantidades de dados de usuários do mundo inteiro. E, por possuírem valor econômico, é recorrente a comercialização dos dados pessoais na internet, sendo fácil encontrar sites que anunciam a venda de e-mails e telefones, por exemplo, o que contraria a LGPD[18], uma vez que o compartilhamento desses dados sem a autorização do titular caracteriza um ilícito, resultando no dever de indenizar. Acontece que é bem difícil para o Magistrado fixar um quantum indenizatório, pois, embora esteja claro que todos os dados pessoais ou digital acess possuam valor econômico, qual seria esse valor?

Em um estudo publicado em 2017 chamado What’s your data worth?, a avaliação do valor de um dado pessoal se baseava da análise de três fatores: 1) a expectativa de geração de riquezas a partir daqueles dados; 2) o valor atrelado ao uso desses dados; e 3) o valor inerente aos dados, gerado com sua possível monetização (Short; Todd, 2017).

Assim, haja vista a complexidade de definir o valor desses bens, cabe ao Magistrado ponderar sobre a importância do bem jurídico violado; os deveres legais não observados pelo controlador no caso concreto; o dano efetivamente causado; a repercussão do fato etc., para fixar um quantum indenizatório que vise não só a uma restituição monetária, mas que induza o controlador a um maior cuidado, que estabeleça procedimentos para que não voltem a ocorrer atos semelhantes.

Nessa perspectiva, há inúmeros exemplos pertinentes e de relevante impacto dessa indústria digital na vida dos usuários. Nesta oportunidade, analisaremos alguns casos que consideramos emblemáticos para demonstrar os aspectos práticos da responsabilidade civil na proteção de dados. Assim, partindo da proposta abordada anteriormente, de responsabilidade civil multifuncional, em que as sanções passariam a ter um caráter preventivo, efetivando ainda mais a proteção dos bens jurídicos, é possível refletir sobre como esse conceito pode ser aplicado frente a tantas ilicitudes.

De outro ponto de vista, com a vigência da LGPD, o MPDFT rompeu a inércia da jurisdição e instituiu a primeira ação civil pública do Brasil pautada na nova legislação de proteção de dados, argumentando que a proteção de dados é direito que decorre de tutela constitucional e infraconstitucional:

A proteção dos dados pessoais decorre da tutela constitucional de proteção à vida privada e à intimidade, consubstanciado no controle que o cidadão possui sobre seus próprios dados pessoais.

Tal dispositivo deve ser considerado conjuntamente com a legislação infraconstitucional (Código Civil, Código de Defesa do Consumidor, Lei de Acesso à Informação, Marco Civil da Internet, Regulamento do Marco Civil da Internet e Lei Geral de Proteção de Dados Pessoais), a fim de possibilitar uma proteção efetiva dos dados pessoais dos brasileiros.

Verifica-se, pois, que a legislação brasileira de regência protege a privacidade das pessoas, tratando como invioláveis os direitos à intimidade, à privacidade e à imagem, o que inclui o direito à proteção de seus dados pessoais, bem como que o seu respectivo tratamento seja feito de forma adequada. (Distrito Federal, 2020)

De acordo com a mídia e diversos doutrinadores, a decisão do STF a respeito da proteção de dados como direito fundamental, citada anteriormente, é histórica. Segundo reportagem do site Jota, “o Supremo Tribunal Federal proferiu decisão histórica ao reconhecer um direito fundamental autônomo à proteção de dados pessoais” (Mendes, 2020). O julgamento de maio de 2020 é um marco, pois tornou expressa a tutela dos dados pessoais como direito fundamental.

Como afirmado pela Ministra Rosa Weber em seu voto, a história nos ensina que, uma vez estabelecida à sistemática de vigilância, há grande perigo de que as medidas não retrocedam e que os dados já coletados sejam usados em contextos muito diversos daquele que justificaram inicialmente a sua coleta (Mendes, 2020).

Ademais, o MPDFT (órgão ativo e precursor no movimento de proteção de dados no Brasil) obteve êxito na recente ação contra a construtora Cyrela por descumprimento à LGPD. A referida condenação se deu por falta de consentimento do titular para o compartilhamento de seus dados pessoais com terceiros, pois um cliente dessa construtora teve seus dados compartilhados com parceiros sem sua autorização. Assim, de acordo com “a Juíza Tonia Yuka Koroku, da 13ª Vara Cível de São Paulo, a Cyrela não apenas infringiu normas da LGPD como também direitos previstos no Código de Defesa do Consumidor e da própria Constituição” (Demartini, 2020).

Em outro exemplo, motoristas do Reino Unido e de Portugal processaram a empresa de aplicativo Uber por terem sido desligados da plataforma em razão de decisões automatizadas, tomadas com base nos algoritmos da companhia (APP, 2020). Os motoristas alegam que foram desligados unilateralmente da plataforma, sem direito de questionamento, por acusação de “atividade fraudulenta”, conforme detectado pelos sistemas da empresa de aplicativo. Nas ações, pedem a anulação das decisões automatizadas adotadas pela empresa de aplicativo, com base no art. 22 do GDPR. Autoridades europeias discutem qual a responsabilidade da empresa nesse caso, dado que o algoritmo utiliza técnicas avançadas de machine learning (ML) e a empresa argumenta que não possui controle efetivo sobre as decisões automatizadas que, porventura, possam ter gerado tais decisões. Nas palavras de Diniz e Oliveira:

A implementação de modelos preditivos baseados em machine learning exige atenção, à medida que o dinamismo com que esses modelos evoluem, captam dados do ambiente e podem ser implementados, a um custo cada vez menor, contrasta com o caráter estático das legislações ou regulações possíveis. (Diniz; Oliveira, 2019, p. 209)

De qualquer forma, podemos afirmar que as tecnologias de big data não são neutras: há uma influência do comportamento humano que não pode ser ignorada[19], dado que os vieses que resultam em preconceitos são impressos quando se insere a base de dados para que o algoritmo comece a aprender e executar suas funções de tomadas de decisão.

A respeito de tais decisões automatizadas, Ana Frazão, em 2018, comentou em seu artigo no site jurídico Jota:

No que diz respeito à responsabilidade civil, os caminhos são menos áridos, pois seria possível se cogitar da responsabilidade objetiva pelo fato da coisa – no caso de máquinas ou robôs que tomem decisões – ou também pelo risco. Por mais que se saiba tal discussão deva encontrar um equilíbrio entre regulação e inovação – de que a questão do risco do desenvolvimento é um tema a ser enfrentado –, ao menos já existem ferramentas jurídicas que possibilitam o equacionamento de muitas questões daí resultantes. (Frazão, 2018)

No Brasil, o Mercado Livre é uma plataforma online de compra e venda dos mais variados produtos, inclusive de base de dados pessoais.

Após a entrada e vigor da LGPD, o MPDFT, no Processo nº 0733785-39.2020.8.07.0001, alegou que tal plataforma estava monetizando dados pessoais e solicitou que o juízo deferisse o pedido de suspensão de todos os anúncios envolvendo esse conteúdo. O juiz de primeiro grau acatou a decisão e instituiu multa de dois mil reais para cada operação irregular realizada através da plataforma.

Nessa situação, o Mercado Livre, como intermediador entre a compra e a venda de dados, tem responsabilidade solidária perante o CDC e também é responsável solidário perante LGPD. Além disso, o art. 1.016 do Código Civil traz a cláusula geral de responsabilidade civil de administradores, que informa: “Os administradores respondem solidariamente perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções” (Brasil, 2002). Vale ressaltar que, complementarmente, o art. 1.011 do Código Civil trata do desvelo do administrador, afirmando que ele deverá ter, no exercício de suas funções, o cuidado e a diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios. Isto é, a responsabilidade civil é expressa na legislação infraconstitucional; logo, há de se ter controle sobre o que é posto à venda na plataforma, inclusive, as ações de funcionários e consumidores devem ser monitoradas, visando a uma maior segurança e aumentando a possibilidade de uma futura prestação de contas, ou accountability, como recomenda a LGPD.

Gordon (2014) discutiu os impactos dos sistemas de big data e, em suas considerações, o autor destaca o acesso restrito a dados pessoais, bem como a capacidade de auditoria das ações tomadas com esses dados. O acesso restrito, muitas vezes chamado de log na área de tecnologia, permite que cada perfil de usuário tenha acesso a somente alguma parcela dos dados e das áreas que podem ser realizadas, evitando que decisões individuais sejam tomadas ou até mesmo possibilitando o rastreamento e o armazenamento do histórico das ações realizadas por determinado usuário do sistema. A capacidade de auditar, mesmo parcialmente, permite avaliar de maneira retrospectiva as decisões tomadas e armazenadas, permitindo identificar violações aos direitos dos indivíduos.

Outro exemplo é uma loja de São Paulo da empresa de roupas Hering que decidiu, em 2019, instalar um monitoramento facial de seus clientes, sem consentimento e sem transparência (Nogueira, 2019). O objetivo era captar as reações dos clientes às peças expostas pelo local e identificar quais os locais de preferência do cliente ao circular pela loja.

O Departamento de Proteção e Defesa do Consumidor (DPDC) investigou indícios de coleta de dados dos clientes sem o seu consentimento prévio. Para o Instituto Brasileiro de Defesa do Consumidor (IDEC), essa ação representa um grande risco à privacidade dos clientes da marca de roupas, assim como um caso semelhante que ocorreu, também em 2019, na rede de supermercados Carrefour (IDEC, 2019).

A coleta de dados sem consentimento pelo controlador é ilegal e prevê sanções financeiras rígidas na LGPD. Segundo a mídia, aliás, a multa aplicada ao final da investigação no caso da Hering poderia chegar a 100 milhões de reais. Há de se refletir também sobre quais outras ações podem ser tomadas, além da resposta monetária, para que a responsabilidade civil abarque um caráter preventivo e educativo, dado que a sanção financeira pode ser totalmente eficaz se a loja mantiver o tratamento de dados, por exemplo. Assim, há de se planejar sanções que deem mais estabilidade para esse binômio de privacidade e monetização dos dados pessoais, e acreditamos que a responsabilidade civil é o equilíbrio para que a sociedade possa ter um amplo desenvolvimento tecnológico e econômico, com inovação, livre iniciativa, livre concorrência e, ao mesmo tempo, criando um ambiente no qual o tratamento irregular de dados sofra sanções adequadas.

A regulamentação do direito à proteção de dados em todo o mundo é o cerne dessa discussão e da mudança global que devemos enfrentar nos próximos anos, com impactos sociais e econômicos. Qualquer tentativa de regular o movimento de dados pessoais tem efeito sobre o comércio e os serviços, porque o uso de dados pessoais é essencial para o fornecimento de muitos tipos de serviços no mundo, senão de todos.

No art. 12 da seção II do MCI, que, por sinal, leva o título “Da proteção aos registros, aos dados pessoais e às comunicações privadas”, são previstas as sanções que podem ser aplicadas a um infrator do direito à proteção de dados, começando por uma advertência, com indicação de prazo para adoção de medidas corretivas. As demais sanções impactam diretamente o funcionamento da empresa e podem comprometer sua estrutura funcional e, até mesmo, sua existência, dado que há previsão de multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício; de suspensão temporária das atividades de tratamento de dados ou de proibição de exercício das atividades de tratamento de dados.

Vale salientar que a multa monetária citada no MCI pode ser maior, uma vez que não há um limite financeiro, como ocorre na multa da LGPD, que prevê, em seu art. 52, II:

Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluído os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. (Brasil, 2018) Há de se ter muita cautela na aplicação dessas sanções, pois é possível que elas inviabilizem a continuidade de muitos negócios no Brasil caso sejam aplicadas com muita discricionariedade pelos órgãos reguladores. A repercussão econômica pode ser irreversível, ainda mais se considerando um contexto de pós-pandemia em que temos uma economia ainda mais fragilizada e vulnerável.

Conforme Rosenvald (2020) há uma tendência de desmonetização da indenização, porque o dinheiro é incapaz de fazer frente à complexidade de lesões que são sofridas. Remédios compensatórios específicos para cada dano mostram-se mais efetivos para retificar esses danos. Diante disso, consideramos urgente o debate entre os princípiosda ordem econômica, previstos na Constituição Federal de 1988, e os impactos das sanções das legislações de proteção de dados.

 

CONCLUSÃO

O Direito não pode se formar alheio aos fatos sociais, por ser um fenômeno decorrente do próprio convívio do homem em sociedade. Seu papel não é apenas o de se basear nos costumes e nas normas vigentes para regulamentar e organizar a sociedade, mas também é o de interferir na produção de novos comportamentos e costumes. Ou seja, a norma, em seu aspecto propositivo ou prescritivo de condutas, pode transformar a forma rupestre como tratamos os dados pessoais no Brasil em uma situação de fato respeitosa e segura para titulá-lo de dados, sem obstaculizar o desenvolvimento tecnológico e o crescimento econômico do País.

Em nossa sociedade hiperconectada, as relações interpessoais e as transações comerciais estão cada vez mais pautadas nos meios digitais e dependentes dos avanços tecnológicos. Uma sociedade com essas características faz termos uma percepção mais ampla sobre o direito de liberdade de expressão, o direito à privacidade, a proteção de dados pessoais e, consequentemente, a vulnerabilidade dos usuários[20]. A preservação desses direitos é precondição da cidadania na era eletrônica.

Entretanto, atualmente, a segurança dos dados pessoais é colocada em xeque na medida em que os operadores do Direito ainda não se encontram capacitados para suportar os novos modelos de negócio, as próprias interações e os tratamentos digitais.

Há de se estabelecer um balanceamento entre o direito fundamental autônomo de proteção de dados e o interesse econômico no mesmo objeto, dado que tais temas são de interesse da coletividade[21].

Nossa Constituição (Brasil, 1988) prevê, como função do Estado, estabelecer diretrizes e bases do planejamento nacional equilibrado (art. 174, § 1º). Assim, atuar para que haja verdadeiramente um papel central do instituto da responsabilidade civil frente à dicotomia entre o direito de proteção aos dados pessoais e os interesses econômicos e financeiros é papel essencial para que esse equilíbrio seja efetivamente aplicado na realidade da população brasileira.

Com a atual legislação constitucional e infraconstitucional, já demos os primeiros passos em busca de estabelecer essa estabilidade entre tais interesses, como, por exemplo, no art. 2º, V, da LGPD, em que é citado, como fundamento dessa lei, “o desenvolvimento econômico e tecnológico e a inovação” (Brasil, 2018). Sem dúvidas, foi um evento notório no histórico legislativo do Brasil a decisão da Suprema Corte que garantiu mais um direito fundamental básico aos cidadãos usuários da internet: o direito à proteção dos seus dados pessoais, identificado como direito fundamental autônomo. É um feito de grande avanço em direção à criação de direitos que são condizentes com a realidade do homem digitalizado do século XXI. Todavia, ainda há uma insegurança jurídica primando o tema, pois a construção das legislações vigentes que abordam tal conteúdo são preponderantemente normas abertas, ou seja, delimitam certa insegurança jurídica sobre como será estabelecido o equilíbrio que nos inquieta.

Tal estabilidade visa a evitar uma indústria do dano moral indiscriminada que, a nosso ver, já está instaurada no Brasil. A responsabilização em caso de dano é essencial; contudo, há de se desenvolver e ponderar novos conceitos de responsabilidade civil e reflexões sobre tal tema, para que o efetivo balanceamento na dinâmica social e econômica que envolve a matéria da proteção de dados seja percebido na realidade dos cidadãos e das empresas.

Na reflexão sobre o tema do direito à proteção de dados pessoais, deve-se ter em mente que tal direito pretende conferir ao indivíduo a ingerência, o controle, o manejo e a transparência na administração de seus dados pessoais, ou seja, o fundamento da autodeterminação informativa[22] (art. 2º, II, da LGPD) que é garantida pela previsão de vários direitos no Capítulo III, art. 18, por exemplo, de informação (I), de acesso (II), de correção (III), de portabilidade (V), de eliminação (VI), entre outros. O reconhecimento pela Suprema Corte altera completamente a forma como o Brasil vislumbra e responsabiliza os agentes de tratamento de dados pessoais. É um marco legislativo não apenas formal e material[23], mas há, sem dúvida, uma guinada de forma indireta no aspecto da responsabilidade civil. Iniciamos, assim, um movimento em que os institutos jurídicos carecem de uma impreterível revisão material, para atenderem às necessidades da sociedade que está sendo erigida em meio às tecnologias, uma vez que a responsabilidade civil não é uma exceção a essa imposição de mutação. Isso posto, há de se ter um olhar meticuloso e crítico para a formação da cultura de proteção de dados no Brasil, almejando sempre a harmonia entre os interesses dos titulares e os interesses econômicos; caso contrário, de nada nos adiantará a transformação ofertada pelas legislações contemporâneas.

 

REFERÊNCIAS

ALECRIM, Emerson. Machine learning: o que é e por que é tão importante. Tecnoblog, São Paulo, [2017 ou 2018]. Disponível em: https://tecnoblog. net/247820/machine-learning-ia-o-que-e/. Acesso em: 21 dez. 2020.

APP Drivers & Couriers Union files ground-breaking legal challenge against Uber’s dismissal of drivers by algorithm in the UK and Portugal. ADCU, UK, 26 out. 2020. Disponível em: https://www.adcu.org.uk/news-posts/app-drivers-couriers-union-files-ground-breaking-legal-challenge-against-ubers-dismissal-of-drivers-by-algorithm-in-the-uk-and-portugal. Acesso em: 22 dez. 2020.

BRASIL. Câmara dos Deputados. Proposta de Emenda à Constituição nº 17, de 2019. Acrescenta o inciso XII-A ao art. 5º, e o inciso XXX ao art. 22 da Constituição Federal para incluir a proteção de dados pessoais entre os direitos fundamentais do cidadão e fixar a competência privativa da União para legislar sobre a matéria. Disponível em: https://www25.senado.leg.br/web/atividade/materias/-/materia/135594. Acesso em: 21 dez. 2020.

BRASIL. Código Civil de 10 de janeiro de 2002. Brasília/DF: Presidência da

República. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/

L10406compilada.htm. Acesso em: 21 dez. 2020.

BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília/DF:

Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 21 dez. 2020.

BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Brasília/DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011- 2014/2014/lei/l12965.htm. Acesso em: 21 dez. 2020.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília/DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709. htm. Acesso em: 21 dez. 2020.

BRASIL. Supremo Tribunal Federal. Medida Cautelar em Ação Direta de Inconstitucionalidade nº 6.387. Medida Provisória nº 954/2020. Emergência de saúde pública de importância internacional decorrente do novo coronavírus (Covid-19). Compartilhamento de dados dos usuários do serviço telefônico fixo comutado e do serviço móvel pessoal, pelas empresas prestadoras, com o instituto brasileiro de geografia e estatística. […] 1. Decorrências dos direitos da personalidade, o respeito à privacidade e à autodeterminação informativa foram positivados, no art. 2º, I e II, da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), como fundamentos específicos da disciplina da proteção de dados pessoais. 2. Na medida em que relacionados à identificação

– efetiva ou potencial – de pessoa natural, o tratamento e a manipulação de dados pessoais hão de observar os limites delineados pelo âmbito de proteção das cláusulas constitucionais assecuratórias da liberdade individual (art. 5º, caput), da privacidade e do livre desenvolvimento da personalidade (art. 5º, X e XII), sob pena de lesão a esses direitos. O compartilhamento, com ente público, de dados pessoais custodiados por concessionária de serviço público há de assegurar mecanismos de proteção e segurança desses dados. […].

Tribunal Pleno. Relatora: Ministra Rosa Weber, 7 de maio de 2020. Disponível em: http://www.stf.jus.br/arquivo/cms/noticiaNoticiaStf/anexo/ADI6387MC. pdf. Acesso em: 21 dez. 2020.

CAPANEMA, Walter Aranha. A responsabilidade civil na Lei Geral de Proteção de Dados. Cadernos Jurídicos, São Paulo, a. 21, n. 53, p. 163-170, jan./mar. 2020.

CAVALIERI FILHO, Sérgio. Programa de responsabilidade civil. 10. ed. São Paulo: Atlas, 2012.

 

 

[1] Segundo a Lei nº 13.709/2018 (LGPD, 2018), em seu art. 5º, X, tratamento é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

[2]Um relatório de 2018, chamado The Digitization of the World, fez uma previsão do crescimento da internet e do volume de dados compartilhados na rede mundial de computadores até 2025. Ele está disponível online e pode ser acessado em: https://www.seagate.com/files/www-content/our-story/trends/files/idc-seagate-dataage-whitepaper.pdf.

[3] Inteligência artificial (IA) é um procedimento tecnológico que permite que um sistema formado por algoritmos simule uma inteligência similar à humana. Esse procedimento pode ser dividido em várias técnicas diferentes, como, por exemplo, natural language processing (NLP), speech, robotics, machine learning (ML), entre outras.

Para Jacob Turner (2019, p. 16, apud Teffé; Medon, 2020, p. 304), a inteligência artificial é compreendida como a habilidade de um ente não natural de fazer escolhas a partir de um processo de avaliação.

[4] Uma personalidade digital é o que se cria por meio de uma técnica chamada aprendizado de máquina, ou machine learning, em que milhares de dados são processados com intuito de compreender um determinado comportamento humano, ou até mesmo grupos de comportamentos que, quando analisados em conjunto, criam uma “personalidade digital”. Ou seja, segundo Diniz e Oliveira (2019, p. 198), “[…] os algoritmos organizam as pessoas em grupos, nos quais a identidade de cada uma delas não é mais relevante. Noutras palavras, o que o algoritmo faz é classificar as pessoas em coletividades de pessoas semelhantes. Cada uma dessas pessoas pode estar completamente alheia ao fato de que ela foi incluída naquela coletividade, já que muitas dessas coletividades não espelham categorias sociais comumente conhecidas na sociedade”. É essencial salientar que dados utilizados para a técnica de profiling são, consoante art. 12, § 2º, da LGPD (2018), dados pessoais.

[5] Nos termos de Bruno Zampier: “A tecnologia não pode reduzir o ser a um objeto digno de constante monitoramento sob pena de supressão da liberdade e autonomia individual. Por mais medo ou comodidade que se busque, deve haver limites nos controles realizados sobre seres humanos, sob pena de rompimento dos valores democráticos e imposição de uma sociedade autoritária” (Zampier, 2020, p. 115).

[6] Disponível online em português em: http://www.direitoshumanos.usp.br/index.php/Documentos anteriores-àcriação-da-Sociedade-das-Nações-até-1919/declaracao-de-direitos-do-homem-e-do cidadao-1789.html.

[7] A esse respeito, afirma Raymond (2007, apud Diniz; Oliveira, 2019): “Em termos de transparência, as soluções que empregam machine learning, p.ex., redes neurais (NNs), tornam inviável uma explicação em linguagem natural sobre as relações detectadas pelos respectivos modelos e a consequente interpretação das regras e características relevantes”.

[8] Disponível em: https://research.fb.com/. Acesso em: 21 dez. 2020.

[9] Disponível em: https://codelabs.developers.google.com/. Acesso em: 21 dez. 2020

[10] Uma definição simplista de algoritmos pode ser a de que são códigos de computação que fazem análises e tomam decisões baseadas em regras inicialmente pré-determinadas. Um algoritmo é feito para aprender com a repetição das regras, por isso, quanto mais dados houver, maior será a confiabilidade e a assertividade dessas decisões. Ao final, os objetivos são: gerar valor para a empresa e, algumas vezes, para o usuário; produzir conhecimento; e, por fim, modular comportamentos.

[11] Conforme ensina Pentland (2015, apud Diniz; Oliveira, 2019): “[…] big data refere-se ao fenômeno recente dos dados digitais de presença praticamente ubíqua, disponível sobre todos os aspectos da vida humana: todos os bilhões de registros telefônicos, transações de cartão de crédito, localização de GPS e postagem em redes sociais se transformam em dados, por meio dos quais é possível conhecer nossa sociedade de uma forma sem precedentes”. Diniz e Oliveira prosseguem: “Neste ponto, diz-se conhecer a sociedade (e não conhecer os indivíduos particularmente), porque é isso que as novas tecnologias fazem: os algoritmos organizam as pessoas em grupos com características similares, na tentativa de prever seu comportamento” (Diniz; Oliveira, 2019, p. 198).

[12] A respeito de machine learning, cf. Alecrim [2017 ou 2018].

[13] No original: “As the internet and data use have evolved, they have become crucial drivers of a country’s economic development, important enablers of government functions, and focal points of debate in international relations. Innovation in commercial technology can confer a huge competitive advantage to a country’s economy. But the pursuit of technological advancement must be moderated by human concerns of social benefit and fairness. The state is uniquely well-placed to carry out this balancing act”.

[14] No original: “Innovation in commercial technology – especially in ‘high tech’ fields like artificial intelligence, life sciences, and aerospace – can confer a huge competitive advantage to a country’s economy. At the same time, the pursuit of technological advancement must be moderated by human concerns of social benefit and fairness. The state is uniquely well-placed to carry out this balancing act, since it has traditionally played the role of mediator between private and public interests, between economic development and social responsibility”.

[15] O risco do desenvolvimento consiste no fato de os riscos advindos da introdução de um produto no mercado não serem conhecidos ou identificados prontamente, só sendo conhecidos depois, por um desenvolvimento tecnológico não existente na época em que este tenha sido inserido no mercado (Policarpo, 2012).

[16] Como exemplo do nosso cotidiano, temos a compra de um medicamento que gera efeitos colaterais depois de alguns anos. O “defeito” não foi constatado; contudo, ele existia desde a concepção do medicamento.

[17]Conforme ensina Adalberto Pasqualotto (2017, p. 186), “o nexo de imputação é a razão jurídica que indicará o responsável pela obrigação de reparar o dano”.

[18] Como exemplo, citamos a comercialização de dados pelo Serasa em desconformidade com a LGPD (cf.: Serasa, 2020).

[19] Para mais informações sobre o tema, cf. Teffé; Medon, 2020

[20] Conforme ensina Zampier: “A tarefa do jurista do século XXI é trazer o Direito, como ciência social e, em especial a responsabilidade civil, ao cenário sempre mutante de revolução digital. Se surgem novos direitos, surgirão também novas lesões. Estamos, inexoravelmente, diante de inéticas fronteiras da responsabilidade civil.” (Zampier, 2020, p. 240).

[21]Nos termos de Teffé e Medon, citando Schellekens: “[…] cabe ressaltar que a possibilidade de responsabilização, de um lado, poderá incentivar o desenvolvimento de bens e tecnologias mais seguros, claros e eficientes, mas, de outro, poderá acabar impactando negativamente as taxas de desenvolvimento de inovação e a adoção de novos negócios e tecnologias (Schellekens, 2015, p. 506-517), o que seria nocivo para a sociedade de forma geral. Há, portanto, um delicado e importante equilíbrio de interesses a ser atingido” (Teffé; Medon, 2020, p. 304).

[22] Canotilho versa sobre a existência de um “[…] direito geral à autodeterminação informativa que se traduz, fundamentalmente, na faculdade de o particular determinar e controlar a utilização de seus dados” (Canotilho, 2003, p. 514). Nas legislações infraconstitucionais, há previsão desse controle por parte do titular, inclusive na LGPD; contudo, há previsões divergentes nas legislações vigentes a respeito da forma de exercer tal autodeterminação informativa.

[23] Nos termos de Tepedino: “Não seria possível lidar com tantas e tão velozes inovações com base exclusivamente em regras codificadas ou estabelecidas em leis especiais. Isto porque a técnica regulamentar, por mais detalhada que seja, mostra-se insuficiente para solucionar problemas que, a cada dia, desafiam a imaginação do legislador e do Magistrado. Daí a importância das cláusulas gerais e dos princípios que, de modo mais abrangente, permitem ao intérprete estabelecer padrões de comportamento coerentes com a tábua de valores do ordenamento. Esse processo de unificação do sistema jurídico só é possível mediante a aplicação direta das normas constitucionais. Somente estas, por sua posição hierarquicamente superior a todas as demais leis, conseguem exercer o papel de centralidade para a harmonização das fontes normativas, oferecendo segurança jurídica e preservando a unidade sistemática que caracteriza a própria noção de ordenamento” (Tepedino, 2019).

Compartilhe este artigo!

Nenhum comentário - Quero comentar!

Nenhum comentário ainda.

Deixe seu comentário