Para além da ANPD: as expectativas sobre a tutela coletiva do direito à proteção de dados pessoais

Tendência é de que cada vez mais as ações coletivas sejam um meio utilizado para a defesa do direito à proteção de dados pessoais, até porque muitas situações que ocasionam a violação desse direito atingem uma coletividade de pessoas
Renata Idie e Maraísa Cezarino argumentam sobre o uso de tutela coletiva como meio de assegurar o direito à proteção de dados pessoais
Renata Idie (à esq.) e Maraísa Cezarino (crédito: Divulgação)

*Renata Idie
**Maraísa Cezarino

Recentemente, a Vara de Interesses Difusos e coletivos da Ilha de São Luís, no Maranhão, condenou uma empresa ao pagamento de R$ 72 milhões, a título de danos morais coletivos por alegado vazamento de dados que teria atingido aproximadamente 8 milhões de usuários brasileiros. Apesar de algumas inconsistências, que serão analisadas nesse texto, o caso chama atenção ao relembrar que o direito fundamental à proteção de dados também será defendido pela via da tutela coletiva.

Embora seja menos comum, a tendência é de que cada vez mais as ações coletivas sejam um meio utilizado para a defesa do direito à proteção de dados pessoais. Isso porque muitas situações que ocasionam a violação desse direito atingem uma coletividade de pessoas, que podem sofrer danos materiais e morais decorrentes dessas violações.

Dessa forma, é imprescindível apurar o risco de tutela coletiva quando se analisa o risco de uma operação ou uma atividade de tratamento de dados pessoais. Segundo Rafael Zanatta e Michel Souza, a LGPD “absorveu” a tradição de tutela coletiva presente no Código de Defesa do Consumidor (CDC), positivada no artigo 22 da norma de proteção de dados. De acordo com os autores, a disciplina da proteção de dados se aproxima da disciplina do direito ambiental, porque também se desenvolve como um direito fundamental que afeta a dignidade, a cidadania, a honra entre outros direitos que sustentam o Estado democrático de direito.

Aliás, em 1990, no CDC já era possível observar o embrião do direito autônomo à proteção de dados pessoais, pois a lei já estabelecia limites à utilização de dados pessoais pelos fornecedores. Justamente por isso, em janeiro de 2019, antes do vigor completo da LGPD, já era possível contabilizar mais de 14 procedimentos, entre inquéritos civis, requisições de informações, procedimentos preparatórios e ações civis públicas envolvendo o tema dos dados pessoais.

Ainda em 2018, o Instituto Brasileiro de Defesa do Consumidor (IDEC), em parceria com pesquisadores da Unicamp e da Faculdade de Direito da USP, usou o CDC e o Código de Defesa dos Usuários de Serviços Públicos para questionar a legalidade de um sistema capaz de identificar as emoções de passageiros da linha 4 amarela do metrô de São Paulo. No dia 11 de maio desse ano a 8ª Câmara de Direito Público do TJSP manteve a condenação da empresa questionada pela prática e aumentou o valor do dano moral coletivo, inicialmente fixado em R$ 100 mil para R$ 500 mil.

Fora do País a tutela coletiva também é uma tendência, haja vista a dificuldade de exercer o direito à proteção de dados individualmente e a facilidade de identificar danos coletivos nas práticas que violam o direito à proteção de dados pessoais. É possível citar, na Europa, organizações como a European Digital Rights (EDRi), Bits of Freedom e Non of Your Business (NOYB). No Brasil, a sociedade civil encontra fortes candidatos a promover a defesa da LGPD por essa via como por exemplo: IDEC, InternetLab, Instituto Alana, Data Privacy Brasil, IRIS BH, IPrec entre outras organizações que se organizam por meio da Coalizão Direitos na Rede (CDR).

É importante lembrar que o artigo 64 da LGPD indica a possibilidade da propositura de Ação Civil Pública não somente para o ressarcimento pelos danos causados, mas para que eventuais ilícitos sejam inibidos de forma coletiva. Assim, provada a ameaça ao direito à proteção de dados pessoais, pode se requerer, por meio de tutela coletiva, a expedição de decisão para impedir que tal ameaça se concretize ou ainda para que o ilícito seja interrompido.

No caso do TJ Maranhão, a ação foi proposta pelo Instituto Brasileiro de Defesa das Relações de Consumo (IBEDEC/MA), sob o fundamento de que a empresa teria vazado dados pessoais de usuários de uma de suas plataformas de redes sociais (número de telefone, e-mail, nome, data de nascimento e local de trabalho), dentre eles aproximadamente 8 milhões de brasileiros, e, assim, contrariado a proteção legal aos direitos fundamentais da privacidade, intimidade, honra e imagem. Neste sentido, requereu a condenação da empresa: (i) em danos morais coletivos no valor de R$ 72 milhões; (ii) em danos morais individuais no valor de R$ 20 mil para cada usuário afetado; e (iii) a divulgar nas mídias sociais eventual sentença de procedência.

Em sentença, a ação foi julgada parcialmente procedente para condenar a empresa ao pagamento de danos morais coletivos em R$ 72 milhões e em danos morais individuais de R$ 500 para cada usuário afetado. A sentença chama atenção não só pelo elevado valor da indenização – que pode chegar a mais de R$ 4 bilhões, somado dano moral coletivo e individual – mas também por alguns pontos da sua fundamentação.

O primeiro deles é a aplicação de disposições da LGPD a fatos que, segundo a empresa ré, teriam acontecido antes da vigência da lei (setembro/20). Além disso, a sentença aduz que a LGPD estipula que o tratamento de dados pessoais somente pode ser realizado por meio de consentimento do titular, ignorando as demais bases legais previstas no artigo 7º da LGPD. É cabível aqui relembrar que o consentimento não é a única hipótese prevista para o tratamento de dados pessoais e que o referido artigo tampouco prevê qualquer hierarquia entre as bases legais mencionadas em seus incisos.

Por fim, embora não seja possível compreender ao certo se a sentença entendeu que a prática de scraping – coleta automatizada de dados tornados públicos pelos próprios usuários – é uma forma de vazamento de dados ou se a plataforma ter permitido a coleta automatizada destes dados seria, por si só, uma falha de segurança indenizável, fato é que o seu posicionamento quanto à configuração do dano moral destoa de recente precedente do STJ (AResp nº. 2130619-SP) que havia consignado que a concessão de indenização por dano moral, em razão de vazamento de dados pessoais não sensíveis – como os alegadamente violados no caso em destaque – depende da comprovação do dano.

Além disso, a sentença do TJMA parece punir de maneira mais severa conduta de menor gravidade. Isso porque os dados pessoais tinham sido disponibilizados publicamente pelos próprios titulares, de modo que o fato de terem sido indevidamente coletados de maneira automatizada por terceiros é conduta aparentemente menos gravosa do que a exposição indevida de dados pessoais que não estavam publicamente disponíveis para acesso.

Embora a sentença ainda possa ser alterada e que, de fato, exista fundamento para sua reforma, esta decisão acende um alerta importante para as empresas, de que os membros da sociedade civil estão vigilantes quanto ao cumprimento da LGPD e que o seu descumprimento pode gerar não só punições pecuniárias administrativas, mas o dever de indenizar no âmbito da tutela coletiva que costuma possuir patamares indenizatórios mais altos.

Ademais, estas decisões nos mostram que temos um caminho longo e cheio de desafios nos tribunais e que as questões atinentes à configuração do dano moral no caso de violação à proteção de dados pessoais estão longe de serem pacificadas, seja pelo fato de que a legislação é muito recente ou pelas nuances das novas tecnologias que impõem desafios próprios para compreensão dos casos.

*Renata Idie é sócia da Daniel Advogados
**Maraísa Cezarino é advogada da Daniel Advogados

Avatar photo

Colaborador

Artigos: 360