Resumo:
O objetivo deste Trabalho é analisar a relação entre o Código de Defesa do Consumidor, e a Lei Geral de Proteção de Dados aprovada no Brasil em 2018, com fortes inspirações na “General Data Protection Regulation” da União Europeia para que as empresas brasileiras possam estar em conformidade com a proteção de dados de cidadãos brasileiros e europeus que porventura venham a comprar de empresas brasileiras presentes na internet e que recolhem dados pessoais de seus consumidores. Para tanto, dividiu-se o presente trabalho em três capítulos. A pesquisa possui caráter dedutivo, uma vez que parte de proposição universal ou geral, baseando-se em uma abordagem qualitativa, a fim de buscar uma melhor compreensão sobre a relação que existe entre as duas leis e como elas podem ajudar e em muitos momentos até se complementar; na proteção dos dados pessoais dos consumidores.
Palavras-chaves: Código defesa consumidor; Lei Geral de Proteção de dados; CDC; LGPD; Vazamento de dados pessoais; Casos; histórico
1. INTRODUÇÃO:
Considerado o “Novo Ouro Azul” do mundo, os dados pessoais de todas as pessoas do mundo, passaram a ser valiosíssimos tendo em vista que através dele, um empresário, pode formatar seu negócio, sabendo seu público alvo, ou aqueles consumidores que mais atingiu após o lançamento de sua empresa, mesmo sem prévio estudo de mercado, e assim, pode auferir maiores lucros, sabendo por exemplo, a faixa etária, o sexo (público maior de clientes masculino ou feminino), interesses, endereço, entre outros. Os dados pessoais também passaram a ser explorados por grandes empresas da comunicação, sites de jornais e revistas, empresas dos mais diversos nichos de mercado, presentes na modalidade B2C – Bussiness to Consumer entre outras, que recolhem através de “cookies” de navegadores na internet, tais como Google Chrome, Edge, Safari entre outros; informações da localização exata do consumidor através do sistema de GPS de seu celular ou de seu notebook, de qualquer lugar do mundo, de clientes seus dentro e fora da Europa, o berço do nascimento da lei que influenciou o Brasil e a aprovação da LGPD em solo pátrio; a GDPR – General Data Protection Regulation.
Dessa forma, o presente trabalho busca analisar a relação que existe entre o Código de Defesa do Consumidor e a Lei Geral de Proteção de dados, tratando do tema que gira em torno de direitos personalíssimos do consumidor brasileiro ou estrangeiro, buscando resolver as seguintes indagações: Qual a relação que existe entre o CDC e a LGPD? Como a LGPD poderá trabalhar em conjunto com o CDC para proteger os dados pessoais dos consumidores brasileiros?
Nesse sentido, o primeiro capítulo fará um resgate histórico da criação da primeira lei de proteção de dados pessoais no mundo, que ocorreu na Europa, quando houve o nascimento da “General Data Protection Regulation”. Neste mesmo capítulo, também será abordado o conceito e a distinção que a LGPD traz sobre “operador” e “controlador” de dados, e como estes dados são armazenados, conceituando “dados em nuvem” e “banco de dados”.
O segundo capítulo deverá tratar sobre grandes casos recentes, em que houve o vazamento de dados pessoais e invasão a banco de dados de grandes empresas, por meio de ataque hacker a estes bancos de dados e como estes hackers podem auferir lucros a partir dessa prática criminosa. O capítulo também trará conceitos acerca dessa atividade criminosa, de onde deriva seu nome, bem como onde encontra no Código Penal, a tipificação legal para a sua criminalização.
Por fim, o terceiro capítulo versará efetivamente sobre a proteção do consumidor e o acesso a estes bancos de dados, bem como este último pode se valer da LGPD e do CDC para proteger seus dados pessoais. O mesmo capítulo também falará das legislações que buscam tratar sobre o tema como a Constituição Federal de 1988 e o Marco Civil da Internet Brasileira.
Para o desenvolvimento da pesquisa bibliográfica, foi realizada a pesquisa em sites, artigos, doutrina e legislação. Desse modo, esta pesquisa se caracteriza como qualitativa e bibliográfica.
Por fim, a importância deste trabalho para a comunidade acadêmica, encontra-se no fato de entender que o mundo, as sociedades, vivem em constante evolução, fato este importante para o Direito, que precisa acompanhar também e constantemente se atualizar, para legislar e de fato resgatar o brocardo latino “IURIS DICTO”, no sentido de “dizer o direito” entre as relações controversas que se apresentarem como demandas judiciais em nosso tribunais versando sobre este tema, bem como também fornecer aos cidadãos brasileiros, consumidores, suporte legal acerca de onde podem encontrar respaldo para fazer solicitações de exclusão ou correção de seus dados pessoais em bancos de dados de grande empresas, por exemplo.
2. HISTÓRICO DA LGPD NO BRASIL: A INSPIRAÇÃO NA GDPR DA EUROPA:
Segundo Alvin Toffler (apud PINHEIRO, 2008, p.6) três ondas caracterizam a evolução da humanidade.
A primeira onda representa a fase agrícola, onde ricos, e pessoas com prestígio na sociedade, eram aqueles que detinham longas extensões de terra.
A segunda onda, acontece conjuntamente com a Revolução Industrial, nesta a riqueza consiste na combinação da propriedade, do trabalho e do capital.
A terceira onda é da informação, onde aparecem o telefone, o rádio e a tv, e onde pela primeira vez, o mundo experimenta, uma quantidade enorme de informações que trafegam em seus cabos, a serviço de “modelo de produção em grande escala, de massificação, centralização de poder e estandardização ditada pela Era Industrial” (TOFFLER, 1999, p. 230)
A Terceira onda é consolidada, a partir do momento que um maior fluxo de informações passa a ser transmitidas e recebidas em tempo real, com a criação da internet e do computador.
A quarta “revolução industrial”, seria a que estamos vivendo atualmente.
Klaus Schwab, fundador do Fórum Econômico Mundial em Davos na Suíça, em seu livro, a conceitua da seguinte forma: "A Quarta Revolução Industrial gera um mundo no que os sistemas de fabricação virtuais e físicos cooperam entre si de uma maneira flexível a nível global"
Zygmunt Baumam, filósofo e professor, considerava que “há prazerosa sedução dos consumidores, também forjada pelas estruturas de vigilância que não se limitam ao Estado e são instrumentos de classificação e geração de novos negócios para o capital.”
Ao conceder entrevista para David Lyon acerca desse tema, declarou:
Algumas décadas atrás, a grande revolução (ou o grande salto
adiante, tal como registrado nos anais da arte do marketing) no
progresso da sociedade consumista foi a passagem da satisfação
de necessidades (ou seja, da produção voltada para a demanda
existente) para sua criação (ou seja, demanda voltada para a
produção existente), por meio de tentação, sedução e estímulo do
desejo assim despertado. Essa mudança estratégica produziu um
enorme avanço em termos de resultados, juntamente, contudo,
com um aumento considerável em matéria de custos: “criar
demanda” (leia-se: despertar e sustentar o desejo de obter e
possuir) exige um dispêndio continuamente elevado. [...]
A parte mais cara da estratégia de marketing anterior – despertar
desejos – foi, portanto, eliminada do orçamento de marketing e
transferida para os ombros dos potenciais consumidores. Tal como
no caso da vigilância, o marketing de produtos torna-se cada vez
mais uma tarefa do tipo “faça você mesmo”, e a servidão dela
resultante, cada vez mais voluntária.
Sempre que entro no site da Amazon, sou agora recebido por uma
série de títulos “selecionados especialmente para você, Zygmunt”.
Dado o registro de minhas compras de livros anteriores, é alta a
probabilidade de que eu fique tentado. E em geral o sou!
Obviamente, graças à minha cooperação diligente, ainda que
involuntária, os servidores da Amazon agora conhecem meus
hobbies ou preferências melhor do que eu (BAUMAN, 2014, p. 85).
Através dessa fala do saudoso professor Bauman, observamos que a tecnologia evoluiu de tal modo, que através da utilização de “algoritmos” e da chamada “IA – Inteligência artificial” passou a nos conhecer, melhor até do que nós mesmo. Não custa relembrar a famosa frase que “nossos computadores e telefones celulares guardam mais informações sobre nós, do que nós mesmos podemos saber e dizer”.
Acerca do uso de dados pessoais para fins comerciais, Luana Scadian Batista e o Professor Marcelo Fernando Quiroga Obregón, escreveram em artigo:
Destaque deve ser dando, também, à forma de agir das agências de publicidade no Brasil, que atuam diretamente com grandes empresas como Google e Facebook, contratam empresas com softwares que captam e interpretam dados, por meio do mapeamento de navegação dos usuários da internet, que aponta padrões de comportamento e preferências (SILVEIRA; AVELINO; SOUZA, p. 225). O que os usuários muitas vezes não têm conhecimento é justamente que o cruzamento desses dados gera anúncios personalizados para cada membro da rede, moldados de acordo com os seus próprios interesses pessoais. Um exemplo desse cruzamento de dados é o caso dos rastreadores de GPS, que armazenam dados para disponibilizar aos anunciantes, como o Waze, que detecta se o cliente está próximo de alguma empresa anunciante e disponibiliza um anúncio nesse sentido (SILVEIRA; AVELINO; SOUZA, p. 226). Os usuários, ao receberem esses anúncios, não são informados dessa transmissão de informações pessoais por parte dos aplicativos.
Nesse sentido, era necessário proteger os dados pessoais dos cidadãos consumidores ao redor do mundo, então, em 25 de maio de 2018 entrou em vigor a GDPR – General Data Protection Regulation promulgada pela União Europeia em 2016, segundo o promotor de justiça, José Eduardo de Souza Pimentel: “Trata-se de norma cogente, de observância obrigatória a todas as empresas que detêm ou manipulam dados pessoais dos cidadãos europeus, onde quer que estejam sediadas.”
Em apertada síntese, o GDPR: a) define dado pessoal como sendo qualquer dado, incluindo genéticos ou biométricos, que seja capaz de identificar uma pessoa; b) cria órgãos de controle em cada país da C.E. responsáveis pela recepção de denúncias e reclamações relacionadas à matéria do GDPR, bem como sua investigação; c) exige que as organizações possuam responsável (pessoa, departamento ou empresa diversa) pela gestão dos dados pessoais e transparência no que se refere à implementação das normas da GDPR; d) determina a comunicação aos órgãos de controle locais (e, em certas condições, ao titular) sobre a violação de dados pessoais, em até 72 horas; e) estabelece direitos aos cidadãos (de serem excluídos de cadastros de organizações; de se opor ao uso dos dados pessoais; de retificar dados pessoais; de portabilidade do registro de uma organização para a outra; à transparência, relativa à conservação e processamento de seus dados; e de privacidade, em relação aos dados dos menores de 13 anos, cujo armazenamento depende da autorização de seus pais). Pelo GDPR, só se admite a transferência internacional de dados se o país receptor dispuser de norma com o mesmo nível de proteção da regulamentação europeia.
Como vimos, depois da aprovação da GDPR na Europa, e até para “estar em conformidade com – Compliance” com outras leis internacionais que exigiam do Brasil regulamentação jurídica nesse assunto para que adentrasse em novos grupos econômicos (como dos países mais ricos e industrializados do mundo); o continente europeu só trocaria informações a nível de transferência internacional de dados, se o Brasil aprovasse lei no mesmo sentido.
Acerca desse tema, o Professor Walter Aranha Capanema escreveu em seu artigo o seguinte:
É verdade que já existiam outras leis que tratavam, de alguma forma, sobre o tema, como o Código de Defesa do Consumidor, o Marco Civil da Internet (Lei 12.965/2014), a Lei de Acesso à Informação (Lei 12.527/2011), a Lei do Cadastro Positivo (Lei 12.414/2011), dentre outras.
A LGPD coloca o indivíduo (a quem denomina de “titular”), como protagonista das relações jurídicas que envolvam o tratamento de dados, não só porque regula a proteção de dados pessoais, mas, principalmente, elege como fundamento em seu art. 2º, II, a “autodeterminação informativa”, que consiste no direito de escolher quais dados serão usados, bem como os limites e o prazo dessa utilização.
Desse modo, para resguardar a soberania do Brasil, bem como de empresas brasileiras, que recolhem através de “e-commerce” dados pessoais de seus consumidores dentro e fora do Brasil, evitando assim a visita surpresa e a aplicação de sanções comerciais e processos judiciais por parte de grandes empresas na Europa em nosso território; foi aprovada no Brasil a Lei 13.709/2018 com claras inspirações na GDPR que, com sua aprovação na União Europeia, trouxe modificações e alterações em várias partes do mundo. Tendo em vista a própria forma como foi redigida, a lei faz com que aconteça, uma espécie de movimento em cascata, alterando de cima para baixo, o funcionamento interno de grandes empresas, que exigem de forma inevitável, que pequenas empresas terceirizadas possam se ajustar também a vigência dessa nova lei. Da mesma forma ocorre com a LGPD no Brasil.
2.1 Definição de “Operador e Controlador de Dados” na LGPD:
A lei buscou então definir responsabilidades, como aplicações de multas a aquelas empresas que vazarem dados de seus consumidores em sua base de dados, bem como definir conceitos como quem é “operador e controlador” de dados, o que são “dados sensíveis e anonimizados”, o que são “banco de dados”, quem são os “titulares dos dados e agentes de tratamento”, e o que é “bloqueio e eliminação de dados” entre outros, por exemplo.
Logo no artigo 5º da LGPD aprovada no Brasil, temos as seguintes definições:
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
(omissis)
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Depois de muitas discussões e debates na Câmara dos Deputados, e após um adiamento da lei que enfrenta até hoje a resistência do empresariado brasileiro para se adequar a ela, demonstrando altos níveis de desconhecimento desta; a lei entrou em vigor no dia 18 de outubro de 2020, contudo, só poderá aplicar multas a partir de agosto de 2021, o que pode acarretar grandes prejuízos a empresas, uma vez que através dela (a Lei); um órgão regulador e fiscalizador, já foi criado e estruturado, recebendo o nome de ANPD – Autoridade Nacional de Proteção de Dados.
2.2 Conceito de “Dados em nuvem” e “banco de dados”
Originalmente, do termo em inglês “Cloud Computing” é um conceito da informática moderna, que busca armazenar dados e realizar tarefas diretamente da internet, sem precisar de programas ou softwares instalados no computador, bem como de qualquer arquivo local que alguém deseja manipular, tais como imagens, slides ou até textos, que atualmente, com a ajuda de serviços como Google Docs, podem ser editados e baixados diretamente da nuvem (servidor de dados em informática) que o Google mantém sob o seu domínio armazenando documentos, imagens, agenda de contatos e outras centenas de milhares de informações de milhões e milhões de cidadãos ao redor do mundo que utilizam celulares com sistema operacional móvel Android, que faz a sincronização e backup de dados de forma automática com os servidores do Google.
Outros exemplos de serviços de computação nas nuvens que podem ser citados, são DropBox (armazenamento e organização de dados na nuvem), Cloud Share (compartilhamento de dados entre usuários na internet), iCloud (serviço de armazenamento de agenda telefônica, fotos pessoais, músicas, backup de mensagens de whats app e configurações pessoais de cada iPhone, iPad ou MacBook da Apple) e centenas de outros serviços semelhantes que existem atualmente disponíveis na internet.
Passando a conceituação jurídica e o tratamento que o ordenamento jurídico pátrio dá a esses serviços, veremos alguns conceitos acerca desses serviços presentes na no Código de Defesa do Consumidor e na Lei Geral de Proteção de dados.
Começando pelo CDC quando conceitua “banco de dados”:
Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.
E ainda: § 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público.
A seu turno, a Lei Geral de Proteção de Dados, dispõe de um conceito mais aprofundado e estrito de bancos de dados, quando assim escreve:
Art. 5º Para os fins desta Lei, considera-se:
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
CASOS RECENTES DE VAZAMENTO DE DADOS:
Como dito anteriormente, os dados pessoais passaram a ser o “novo ouro azul” a ser explorado pelas empresas de todos os portes, e até por governos no mundo inteiro, segundo matéria publicada pelo portal Olhar digital:
A Amazon disse que processou 27.664 demandas de governos entre julho e dezembro de 2020, 3.222 pedidos nos primeiros seis meses do ano, um aumento de cerca de 800%. A empresa afirma que entregou dados de conteúdo do usuário em 52 casos.
Segundo o site, tradicionalmente os Estados Unidos da América era o maior solicitante, mas dessa vez o país ficou em quarto lugar, atrás de Alemanha, Espanha e Itália.
Em julho de 2020, a grande “fintech” bancária “Nubank” também teve dados como CPF, nome entre outros dados de seus clientes expostos na internet através de códigos QR de pagamentos, gerados pelos próprios clientes e que poderiam ser abertos através do Google, expondo além dos dados já citados acima, dados bancários e de movimentação financeira. Segundo o site da Associação “Instituto brasileiro de defesa do consumidor” – IDEC, “Na mesma época, clientes do novo banco digital, relataram o sumiço de valores de suas contas, mas aparentemente, os problemas são distintos e segundo o banco, não tiveram relação entre si”
Outras gigantes da tecnologia, também foram alvo de hackers em seus bancos de dados que armazenam dados de seus clientes, entre elas, Netflix, empresas como Netshoes, Uber entre outras. De forma mais recente, em 2018, esta última (Uber), revelou que dados de 196 mil brasileiros foram vazados, segundo reportagem de diversos sites de notícias e de sites especializados em tecnologia, como o Portal G1 Tecnologia (Globo). Segundo a mesma matéria, ao todo, ao redor de todo o globo terrestre, dados de 57 milhões de pessoas vazaram. A empresa que é uma das maiores no mercado de serviço de caronas no Brasil, afirmava ter somente naquele ano, dados de mais de 20 milhões de usuários no Brasil e 500 mil motoristas cadastrados na plataforma. Entre os dados vazados, estão nomes, e-mail e telefones de usuários e motoristas cadastrados na plataforma. A notificação aos usuários, veio depois de um acordo firmado entre o Uber e a Comissão de Proteção de Dados Pessoais do Ministério Público e do Distrito Federal e Territórios (MPDFT).
Mas talvez, o maior de todos os vazamentos ocorridos recentemente no Brasil, considerado um “mega vazamento de dados pessoais” seja o escândalo que envolve a Serasa, na suspeita do vazamento de dados pessoais de mais de 220 milhões de brasileiros, cuja a Experian, empresa dona da Serasa, trabalha na investigação também para saber da responsabilidade ou não de sua subsidiária.
O vazamento desses dados, é o maior e o mais criminoso de todos, pois contém dados de toda a população do Brasil viva e até daqueles que já morreram, até mesmo dados do Presidente da República, ministros e demais autoridades do governo vazaram, e estão à venda na Dark Web por um preço muito baixo. Os dados vazados incluem foto de rosto, endereço, telefone, e-mail, score de crédito, salário, renda mensal e muito mais.
Ainda sobre esse mega vazamento de dados, o site Olhar Digital escreveu:
Foi descoberto um banco de dados à venda em círculos cibercriminosos contendo as informações de 223 milhões de brasileiros. Entre os dados catalogados estão informações de praticamente todos os brasileiros, divididos em 37 categorias: básico simples, básico completo, e-mail, telefone, telefone, endereço, Mosaic, ocupação, score de crédito, registro geral, título de eleitor, escolaridade, empresarial, Receita Federal, classe social, estado civil, emprego, afinidade, modelo analítico, poder aquisitivo, fotos de rostos, servidores públicos, cheques sem fundos, devedores, Bolsa Família, universitários, conselhos, domicílios, vínculos, LinkedIn, salário, renda, óbitos, IRPF, INSS, FGTS, CNS, NIS e PIS.
3.1 A tipificação da atividade criminosa no Código Penal
Desde os primórdios da computação, lá pelos idos de 1980, o computador que havia se tornado nessa época, equipamento pessoal e acessível a boa parte da população norte americana; também era usado para o cometimento de crimes. Segundo um artigo publicado pela American Bar Association publicado em junho de 1984, estimava-se, que ao menos US$ 5.000.000.000 (cinco bilhões de dólares), eram perdidos através dos computers crime (GEMIGNANI, 1986 apud REIS, 1997, p. 18).
Sobre este assunto, o promotor de justiça pelo estado de São Paulo, José Eduardo de Souza Pimentel, escreveu:
Particularmente aprecio a expressão “crime cibernético” pela sua equivalência com os cibercrime, objeto da versão em língua portuguesa da Convenção de
Budapeste (2001), de boa literatura internacional e de área especializada do FBI. O
Projeto de Lei do Senado n° 236, de 2012, Novo Código Penal, em tramitação, optou
por essa denominação e reúne os delitos da espécie em única seção.
De se ver que, muito antes de estabelecer as regras gerais para o uso da
Internet no Brasil, o legislador se ocupou da tipificação de crimes informáticos, do
que são exemplos: Lei 9.609/98, art. 12; Código de Defesa do Consumidor, arts. 72
e 73; Lei 9.296/96, Art. 1º, § 1º e art. 10; Código Penal, Art. 153, § 1º-A, Art. 313-A,
Art. 313-B, Art. 325, § 1º; Lei 8.137/90 (Sonegação Fiscal), Art. 2º, inc. V; Lei 9.504/97
(Eleitoral), Art. 72, I, II e III; e Estatuto da Criança e do Adolescente, art. 241-A.
É importante também conceituar a atividade “hacker”, como sendo “Qualquer pessoa que se dedique intensamente em alguma área específica da computação e descobre utilidades além das previstas nas especificações originais...”. Essas “utilidades” e eventualmente “falhas” nos softwares, costumam ser exploradas e expostas as empresas criadoras do software pelo hacker sob um preço alto. O Hacker pode, portanto, utilizar seu conhecimento superior na tecnologia “para o bem ou para o mal”, o distinguindo nesse momento, entre um cidadão comum ou um criminoso, chamado doravante de “cracker”. Seus crimes mais comuns, são extorsão de dados e quantias em dinheiro de suas vítimas, para por exemplo, não terem suas fotos íntimas reveladas, como é conhecida na modalidade “sextortation” e “porn revenge” do inglês “pornô de vingança” quando namorados terminam seus relacionamentos e vazam criminosamente momentos íntimos entre eles na rede mundial de computadores. Nos casos dispostos acima, de grandes vazamentos de dados; os criminosos ou crackers, auferem lucros, vendendo listas inteiras, ou parte de seu conteúdo, como nomes e mais alguns dados, que vão aumentando de valor, se o solicitante quiser mais informações ainda disponibilizadas no mesmo vazamento. Para tanto, costumam operar na camada mais profunda e não facilmente acessada da internet, conhecida como “Dark Web”.
A fim de exemplificar uma modalidade apenas, o Código Penal tipifica em seu artigo 154-A “Invasão de dispositivo informático”
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: (Incluído pela Lei nº 12.737, de 2012) Vigência Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa. (Incluído pela Lei nº 12.737, de 2012) Vigência
(...)
§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: (Incluído pela Lei nº 12.737, de 2012) Vigência Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. (Incluído pela Lei nº 12.737, de 2012) Vigência
4 Da proteção constitucional do consumidor e o acesso ao banco de dados
Consagrado na Constituição Federal de 1988 no artigo 5º e inciso IX, o “direito a informação”, também aparece em perfeita consonância com nossa carta magna no Código de Defesa do Consumidor, no artigo 43 quando diz:
O consumidor, sem prejuízo do
disposto no art. 86, terá acesso às informações
existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre
ele, bem como sobre as suas respectivas fontes
Observa-se, portanto, que é direito do consumidor, já positivado na Constituição Federal em 1988 e depois no Código de Defesa do Consumidor em 1990; o acesso as suas informações, dispostas em bancos de dados e cadastros relativos aos consumidores, bem como os bancos de dados relativos aos serviços de proteção de crédito e congêneres. Dessa forma, é completamente perfeita, mesmo antes da vigência da LGPD no Brasil; a solicitação de consumidores aos diversos bancos de dados existentes na atualidade, de empresas físicas e aquelas não físicas ou presentes também na modalidade conhecida como “e-commerce” na internet que recolhem dados de seus consumidores, estejam eles no Brasil, com a vigência anterior do CDC e agora da LGPD, ou estejam eles no exterior, com a vigência da GDPR para cidadãos da União Europeia.
4.1 A relação entre o CDC e a LGPD
A nova Lei Geral de Proteção de dados guarda grandes semelhanças com direitos e garantias do consumidor brasileiro já positivados na Constituição Federal de 1988 e com o Código de Defesa do Consumidor. Já em seu artigo 2º, a lei elenca em 6 incisos, aqueles que são seus “fundamentos” ou princípios que nortearão a “aplicação da disciplina de proteção de dados pessoais” em nosso país. Diz o texto da lei:
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Já no inciso primeiro e posteriores, vemos a consonância da lei com o artigo 5º da Constituição Federal brasileira, bem como o mesmo direito positivado no Código Civil brasileiro de 2002, no tocante ao “respeito à privacidade, a liberdade de expressão, de informação, de comunicação e opinião, a inviolabilidade da honra e imagem”, já no inciso sexto, lemos que a LGPD tem entre seus fundamentos também “a livre iniciativa, a livre concorrência e a defesa do consumidor”. Nesse sentido, encontra perfeita sintonia com o Código de Defesa do Consumidor, podendo os órgãos já elencados pelo mesmo diploma legal em 1990, agir, na proteção e na defesa dos direitos do consumidor, invocando além dos artigos do CDC; artigos também da LGPD.
De acordo com o artigo 81 e 82 do CDC, temos a seguinte a redação:
Art. 81. A defesa dos interesses e direitos dos
consumidores e das vítimas poderá ser exercida
em juízo individualmente, ou a título coletivo.
Parágrafo único. A defesa coletiva será
exercida quando se tratar de:
I – interesses ou direitos difusos, assim entendidos, para efeitos deste Código, os transindividuais, de natureza indivisível, de que sejam
titulares pessoas indeterminadas e ligadas por
circunstâncias de fato;
II – interesses ou direitos coletivos, assim
entendidos, para efeitos deste Código, os transindividuais de natureza indivisível de que seja
titular grupo, categoria ou classe de pessoas
ligadas entre si ou com a parte contrária por
uma relação jurídica base;
III – interesses ou direitos individuais homogêneos, assim entendidos os decorrentes de
origem comum.
Art. 82. Para os fins do art. 81, parágrafo único, são legitimados concorrentemente:
I – o Ministério Público;
II – a União, os Estados, os Municípios e o
Distrito Federal;
III – as entidades e órgãos da Administração
Pública, direta ou indireta, ainda que sem personalidade jurídica, especificamente destinados
à defesa dos interesses e direitos protegidos por
este Código;
IV – as associações legalmente constituídas
há pelo menos um ano e que incluam entre
seus fins institucionais a defesa dos interesses e
direitos protegidos por este Código, dispensada
a autorização assemblear.
São direitos individuais e coletivos, portanto, também, os direitos dos consumidores, que através do entendimento do artigo 82 e inciso terceiro, podem ser representados por órgãos da administração pública, direta ou indireta e também, no inciso seguinte, por associações legalmente constituídas que incluam entre seus fins institucionais a defesa dos interesses protegidos pelo Código de Defesa do Consumidor.
Nesse sentido, a SENACON – Secretaria Nacional do Consumidor, órgão vinculado a SNDC – Sistema Nacional de Defesa do Consumidor, órgãos vinculados ao Ministério da Justiça e Segurança Pública do Brasil, congregando Procons dos estados, Ministério Público, Defensorias públicas, Delegacias de Defesa do Consumidor, Juizados Especiais Cíveis e Organizações Civis de Defesa do Consumidor e o Procon/SP; notificaram a Serasa, principal suspeita do último mega vazamento de dados pessoais de 223 milhões de brasileiros. Segundo Fernando Capez do Procon/SP:
“Hoje, nós podemos aplicar a LGPD e as sanções previstas no Código de Defesa do Consumidor. O Procon, portanto, aguarda resposta da Serasa para que sejam aplicadas as punições compatíveis.”
O diretor do Procon/SP apoiou-se justamente, no artigo 2º e inciso sexto da Lei Geral de Proteção de dados, que diz expressamente que um dos fundamentos da referida lei é a defesa do consumidor. Por conta dessa base legal, foi que a referida declaração que lemos acima foi dada.
Acerca ainda sobre este caso, o Instituto de Defesa do Consumidor, se valendo dessa vez, do artigo 82 e inciso IV, que autoriza associações na defesa do consumidor, também cobrou das autoridades competentes uma investigação acerca do caso:
Cobranças também foram direcionadas à Autoridade Nacional de Proteção de Dados (ANPD), ao Banco Central, à Secretaria Nacional do Consumidor (Senacon), ao Ministério Público Federal e à Polícia Federal (PF). Apesar de a ANPD e a Senacon já terem se manifestado sobre o vazamento e a PF já ter anunciado investigação, o Idec pede por medidas mais efetivas.
A ANPD – Autoridade Nacional de Proteção de dados também abriu investigações contra a Serasa e notificou outros órgãos, como a Polícia Federal para as investigações. Sobre este assunto e sobre a atuação da recém criada ANPD, o site Olhar Digital escreveu:
A nova agência também comunicou outros órgãos para que tomem as providências para mitigar os riscos do vazamento de dados e apoiar a apuração. Entre elas estão a Polícia Federal, o Comitê Gestor da Internet no Brasil (CGI.br) e o Gabiente de Segurança Institucional da Presidência da República. A própria PSafe foi convocada para apoiar no caso.
Ressalta-se a importância desse caso, pois dentre os dados estão presentes, os dados pessoais de todos os 11 ministros da mais alta corte judicial deste pais, o Supremo Tribunal Federal, os dados dos dois Presidentes do Legislativo Federal, Presidentes do Senado Federal e Câmara dos Deputados respectivamente, dados do Presidente da República e todos seus ministros, além de que estes dados, vazados e obtidos de forma criminosa, podem ser adquiridos por um valor relativamente baixo no mundo do crime virtual, por apenas US$ 500.00 quando é possível receber 10 categorias de dados detalhados de todos os cidadãos que foram afetados pelo mega vazamento.
O direito a informação está positivado no Código de Defesa do Consumidor no artigo 43 quando este expressamente diz:
O consumidor, sem prejuízo do
disposto no art. 86, terá acesso às informações
existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre
ele, bem como sobre as suas respectivas fontes.
§ 1o Os cadastros e dados de consumidores
devem ser objetivos, claros, verdadeiros e em
linguagem de fácil compreensão, não podendo
conter informações negativas referentes a período superior a cinco anos.
Como já citado acima, o artigo 5º da LGPD em seu inciso IV traz o conceito daquilo que o referido diploma legal considera como banco de dados.
Dito isto, é importante destacar que as duas leis encontram perfeita concordância, acerca de “quem é o detentor de direitos sobre os dados pessoais” que no Código de Defesa do Consumidor, temos logo, de forma bem clara, a partir do artigo 2º o conceito sobre o consumidor quando este diz:
Consumidor é toda pessoa física ou
jurídica que adquire ou utiliza produto ou
serviço como destinatário final.
Parágrafo único. Equipara-se a consumidor
a coletividade de pessoas, ainda que indetermináveis, que haja intervindo nas relações de
consumo.
Ao passo que a LGPD ainda em seu artigo 5º, no inciso seguinte, ao último citado anteriormente aqui (inciso V), traz o conceito sobre o “titular”, aquele que é o “detentor de direitos sobre os dados pessoais coletados”, quando diz:
“V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;”
Até agora, já vimos o que as duas leis entendem, por “quem é o titular dos direitos”, e o conceito que elas trazem sobre “banco de dados”, termo idêntico, encontrado tanto no CDC quanto na LGPD. Agora, entenderemos também, onde as duas leis encontram consonância, para garantir direito, aos consumidores, de garantir acesso aos seus dados, em qualquer banco de dados, para a correção de dados incorretos presentes nestes bancos, por exemplo, bem como a forma, como as duas leis tratam, acerca daquelas empresas que descumprem essas leis.
No artigo 18 da LGPD, temos o seguinte artigo:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; (Redação dada pela Lei nº 13.853, de 2019) Vigência
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.
§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.
§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor
O parágrafo 3º do artigo 43 do CDC traz as informações, dos direitos do consumidor sobre os bancos de dados, e sobre aqueles que armazenam dados de consumidores, com a seguinte redação:
§ 3o O consumidor, sempre que encontrar
inexatidão nos seus dados e cadastros, poderá
exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar
a alteração aos eventuais destinatários das
informações incorretas
4.2 Das sanções e crimes previstos no CDC e na LGDP:
Até aqui, temos bastante semelhanças entre as duas leis, mas a partir deste ponto em diante, analisaremos a forma como as duas leis, tratam aqueles que descumprem os direitos dos titulares, portanto consumidores; torna-se diferente, tomando caminhos diferentes no que tange a enxergar os descumpridores dos direitos dos titulares de dados.
A LGPD, por exemplo, considera aplicar “sanções administrativas” aos que descumprirem os direitos dos titulares, algo que fica bem explicitado no artigo 52 da lei, quando esta diz:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (Vigência)
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
Por outro lado, o CDC já entende e enxerga os descumpridores dos direitos dos titulares e consumidores, como uma “infração penal”, deixando claro, nos artigos 72 e 73 do diploma legal consumerista, que tal ação constitui “crime” com “pena de detenção ou multa”, quando diz:
Art. 72. Impedir ou dificultar o acesso do consumidor às informações que sobre ele constem em cadastros, banco de dados, fichas e registros:
Pena Detenção de seis meses a um ano ou multa.
Art. 73. Deixar de corrigir imediatamente informação sobre consumidor constante de cadastro, banco de dados, fichas ou registros que sabe ou deveria saber ser inexata:
Pena Detenção de um a seis meses ou multa.
Por fim, cabe ressaltar, que pelo fato da Lei Geral de Proteção de Dados – LGPD, trazer como um de seus fundamentos principais, a “proteção e defesa dos direitos dos consumidores”, aplica-se perfeitamente também, o disposto no artigo 38 do Código de Defesa do Consumidor – CDC, no que tange a “inversão do ônus da prova”, quando após denúncia formulada a ANPD por exemplo, se utilizando dos órgãos de defesa do consumidor já existentes, como assim autoriza a LGPD; o consumidor acusar um fornecedor de produto ou serviço, ou até mesmo uma empresa por exemplo, cabe a esta, a obrigação de provar que não cometeu tal ilícito apontado na inicial pelo consumidor.
5. Conclusão
É inegável que o mundo evoluiu bastante com o surgimento dos computadores e com o salto que deu na “terceira onda” (a era das telecomunicações) e agora mais recentemente com a chamada “quarta revolução industrial”. Também não se pode negar, que apesar de todos os benefícios que estes saltos na tecnologia nos trouxeram, eles também trouxeram malefícios que foram responsáveis por momentos ruins de vulnerabilidade na segurança, o que acabou criando novas modalidades criminosas, no mundo digital e desdobramentos destas, como a exploração criminosa através de ataques a banco de dados para o vazamento criminoso destes, por exemplo.
Por conta disto, novas responsabilidades para empresas e para qualquer um que oferte produto ou serviço no mercado foram criadas, no campo nacional e internacional através da aprovação de leis que regulam esse mercado. São exemplos de leis nacionais nesse sentido, a Lei do Cadastro Positivo, a Lei Azeredo que alterou o Código Penal, o Marco Civil da Internet e de forma mais recente, a Lei Geral de Proteção de dados.
Conclui-se, portanto, que existe uma relação muito estreita entre o CDC e a LGPD e é perfeitamente possível a proteção e a defesa do consumidor na nova Lei Geral de Proteção de Dados, através do Código de Defesa do Consumidor, como assim mesmo define a Lei 13.709/2018 que permite o uso de órgãos de proteção e defesa do consumidor para o requerimento de informações acerca dos dados pessoais dos consumidores armazenados nos diversos bancos de dados das empresas, bem como a correção destes ou até a sua exclusão definitiva. Desse modo as duas leis, trabalham em perfeita consonância, conforme foi exposto no trabalho.
REFERÊNCIAS:
TOFFLER; Alvin. The Third Wave. Nova Iorque: Betan Books, 1999
PINHEIRO, Patricia Peck. Direito digital. 2. ed. São Paulo: Saraiva, 2008.
BAUMAN, Zygmunt. Vigilância líquida. Rio de Janeiro: J. Zahar, 2014.
SCHWAB, Klaus. A Quarta Revolução Industrial. Tradução de Daniel Moreira Miranda. São Paulo: Edipro, 2016.
PIMENTEL, José Eduardo de Souza. Introdução ao Direito Digital
REIS, Maria Helena Junqueira. Computer crimes: a criminalidade na era dos computadores. Belo Horizonte: Del Rey, 1996.
CAPANEMA, Walter Aranha. A responsabilidade civil na Lei Geral de Proteção de Dados. Cadernos Jurídicos, São Paulo, ano 21, nº 53, p. 163-170, Janeiro-Março/2020. Disponível em: <https://core.ac.uk/reader/322682320>. acesso em 4 março 2021
Lei nº 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados.
Brasília, 2018. Disponível em: < http://www.planalto.gov.br/ccivil_03/_Ato2015-
2018/2018/Lei/L13709.htm > acesso em: 4 março 2021
Código de defesa do Consumidor, 1990. Disponível em:
<http://www.planalto.gov.br/ccivil_03/Leis/L8078.htm> acesso em: 4 março 2021
Lei nº 12.965 de 23 de abril de 2014. Marco Civil da Internet. Brasília, 2014. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em: 5 março 2021
OBREGON; Marcelo Fernando, BATISTA; Luana Scadian; Os impactos do Regulamento Europeu Geral sobre Proteção de Dados (EU GDPR) no Brasil. Disponível em: <https://www.derechoycambiosocial.com/revista062/Los_impactos_del_Reglamento_Europeo.pdf>. acesso em 4 março 2021
TECMUNDO. O que é Computação em Nuvens? São Paulo, 2012. Disponível em: < https://www.tecmundo.com.br/computacao-em-nuvem/738-o-que-e-computacao-em-nuvens-.htm>. Acesso em: 5 março 2021
CANALTECH. O que é um Hacker? Disponível em: < https://canaltech.com.br/hacker/O-que-e-um-Hacker/>. Acesso em: 5 março 2021
JUSBRASIL. Artigo 154A do Decreto Lei nº 2.848 de 07 de Dezembro de 1940. Disponível em: < https://www.jusbrasil.com.br/topicos/28004011/artigo-154a-do-decreto-lei-n-2848-de-07-de-dezembro-de-1940>. Acesso em: 5 março 2021
OLHAR DIGITAL. Amazon: pedidos de dados por governos aumentaram em 800%. São Paulo, 2021. Disponível em: <https://olhardigital.com.br/2021/02/01/noticias/amazon-pedidos-de-governos-por-dados-aumentaram-em-800/>. Acesso em: 10 fevereiro 2021
IDEC. Clientes do Nubank têm dados vazados e dinheiro “desaparecido”. São Paulo, 2020. Disponível em: <https://idec.org.br/idec-na-imprensa/clientes-do-nubank-tem-dados-vazados-e-dinheiro-desaparecido#:~:text=DE%20QUEM%20%C3%89%20A%20CULPA,rede%20por%20descuidos%20dos%20clientes.>. Acesso em: 10 fevereiro 2021
G1. Uber avisa brasileiros que tiveram dados roubados em ataque que atingiu 57 milhões no mundo. São Paulo, 2018. Disponível em: <https://g1.globo.com/economia/tecnologia/noticia/uber-avisa-brasileiros-que-tiveram-dados-roubados-em-ataque-que-vazou-informacoes-de-57-milhoes-no-mundo.ghtml> . Acesso em: 09 fevereiro 2021
TECNOBLOG. Exclusivo: vazamento que expôs 220 milhões de brasileiros é pior do que se pensava. São Paulo, 2021. Disponível em: <https://tecnoblog.net/404838/exclusivo-vazamento-que-expos-220-milhoes-de-brasileiros-e-pior-do-que-se-pensava/>. Acesso em: 08 fevereiro 2021
OLHAR DIGITAL. ANPD abre investigação de vazamento de dados de quase todos os brasileiros. São Paulo, 2021. Disponível em: <https://olhardigital.com.br/2021/02/04/noticias/anpd-abre-investigacao-de-vazamento-de-dados-de-quase-todos-os-brasileiros/>. Acesso em: 07 fevereiro 2021
