A celebridade do homem. Considerações sobre a LGPD
A infelicidade de Pestana, célebre compositor de polcas nos faz estudar atentamente a Lei Geral de Proteção de Dados e seu impacto no ordenamento jurídico brasileiro.
Novamente,
Machado de Assis em seu conto "Um Homem Célebre" conta a história de
Pestana, famoso compositor de polcas que vivia frustrado por não conseguir
compor música erudita. Progressivamente a fama do Pestana deu-lhe o primeiro
lugar entre os compositores de polcas, mas não bastava a este César, que
continuava preferir-lhe, não o segundo, mas o centésimo em Roma.
A
despeito de sua vontade, porém, as pessoas o reconheciam e admiravam. Ao invés
de receber elogios e sentir-se agradecido, Pestana sentia-se vexado aborrecido,
tanto que quando o reconheciam nas ruas, ia desesperado, meter-se em se casar,
e quando lhe solicitavam para que tocassem alguma polca, o fazia sem
entusiasmo.
Reconhecido
por ser compositor de polcas[1] admirado por todos,
Pestana prosseguia em ideal inatingível pois não conseguia integrar o externo
ao interno, e a fama e prestígio não lhe garantia uma vida feliz, pois seu
sonho de perfeição era ser autor consagrado no gênero musical considerado
nobre. Mirava apenas os grandes nomes da música clássica que se imortalizaram,
sem entender que o em verdade nos eterniza são as coisas feitas com amor e
dedicação.
Atravessava
as noites em claro, aguardando ciosamente a inspiração e, então durante a
madrugada fez um pouco mais de abrir a janela e admirar as estrelas e depois
entrar e olhar retratos. Aproximava-se do piano e dava-lhe uns golpes soltos no
teclado, como se procurasse algum pensamento, mas este não se materializava e,
então voltava a encostar-se à janela.
As
estrelas pareciam-lhe outras tantas notas musicais fixadas no céu à espera de
alguém que as fosse descolar; tempo viria em que o céu tinha de ficar vazio,
mas então a terra seria uma constelação de partituras. (…) A moça dormia ao som
da polca, ouvida de cor, enquanto o autor desta não cuidava nem da polca nem da
moça, mas das velhas obras clássicas, interrogando o céu e a noite, rogando aos
anjos, em último caso ao diabo. Por que não faria ele uma só que fosse daquelas
páginas imortais?”
Pestana
pedia às estrelas, ao céu, aos anjos e ao diabo, mas não conseguia criar as tão
almejadas partituras. Assim, de repente, sem que esperasse ou almejasse, veio a
inspiração genuína que tomou conta de Pestana e, então sentou-se ao piano e
então, as notas começaram a fluir naturalmente de seus dedos e, compondo, não
um clássico mais um buliçosa polca ficou alegre.
Presenciou
a vida e a ala crescerem, e expressões uma inspiração real e pronta, dir-se-ia que
a musa compunha e bailava a um tempo e, então Pestana esquecera as discípulas,
a roupa preta, a bengala e o guarda-chuva e até dos retratos da parede.
Compunha somente, teclando e escrevendo, sem os vãos esforços da véspera, sem
exasperação, sem nada rogar aos céus, nem interrogar os olhos de Mozart ou de
Beethoven.
Vida,
graça, novidade, escorriam-lhe da alma como de uma fonte perene.” Para compor
polcas, a inspiração surgia naturalmente, sem que fizesse nenhum esforço, sem
que tivesse que rogar às estrelas, como costumava, em vão, fazer para compor
música clássica. Sentia, finalmente, a alegria divina, a vida e a graça que
surgem quando fazemos algo por inteiro e pleno, mas não conseguia integrar e
levar esta sensação adiante.
Acreditando
que sua falta de criatividade e inspiração para compor música clássica era
decorrente do celibato, Pestana decide se casar com Maria: “Recebeu-a como a
esposa espiritual do seu gênio. O celibato era, sem dúvida, a causa da esterilidade
e do transvio, dizia ele consigo”. Maria era uma jovem viúva e estava com
tuberculose, uma doença bacteriana transmitida pela saliva.
Ao
contrário do que possa parecer à primeira vista, doença, como diz o escrivão, era,
na verdade um grande prêmio: “Ouvi dizer que ele se enamorou dela, porque a
ouviu cantar na última festa de S. Francisco de Paula. Mas ouvi, também, que
ela possui outra prenda, que não é rara, mas vale menos: está tísica”.
Tamanha
frustração fazia com que Pestana, inconscientemente, quisesse morrer. Só a
morte poderia livrá-lo daquela angústia que havia se tornado a sua vida em
decorrência da falta pesarosa de integração entre a ambição e a vocação.
Havia
um desejo consciente pela morte que veio depois. E, certo dia, Pestana
acreditando que finalmente teria composto uma peça, chama a esposa para que
escute sua boa obra. E, logo que começa a tocar, Maria reconhece a famosa
música de Chopin, um famoso compositor erudito.
Despedaçado
e moralmente frustrado, Pestana sai de casa e, vai caminhando perdido pelas
ruas e, almeja a morte. “E ele ia andando, alucinado, mortificado, eterna
peteca entre a ambição e a vocação… Passou o velho matadouro; ao chegar à
porteira da estrada de ferro, teve ideia de ir pelo trilho acima e esperar o
primeiro trem que viesse e o esmagasse. O guarda fê-lo recuar.”
Com a
morte de Maria, sua esposa, Pestana promete para si mesmo que abandonará a arte
tão assassina e surda, depois de compor um Réquiem para homenageá-la no
aniversário de um ano de seu falecimento. E, passados dois anos sem que tenha
conseguido compor, e como estava endividado, aceitou a proposta do editor que
lhe oferece mais dinheiro para que componha novas polcas. E, foi levando a vida
de frustração a frustração até seu óbito.
Tinha
ainda as alternativas de outro tempo, acerca de suas composições a diferença é
que eram menos violentas. Nem entusiasmo nas primeiras horas, nem horror depois
da primeira semana; algum prazer e certo fastio.”
Neste
conto vemos um conflito entre ambição e vocação. Pestana tinha talento para
compor polcas, mas queria compor música clássica. Às vezes, queremos muito
fazer uma coisa para a qual não temos nenhuma habilidade, mas, por outro lado,
de nosso ser emergem outros talentos que precisam ser reconhecidos.
Pestana
não aceitava suas limitações e não valorizava seus talentos e habilidades. A
opção por uma, não precisa excluir a outra. Ao contrário, é possível equilibrar
vocação e ambição e viver em harmonia consigo mesmo. A este respeito, Pereira
da Silva diz que “a diferença entre o ‘ser’ e o ‘querer ser’ leva Pestana a
vivenciar situações de desequilíbrio, pois, para continuar tendo o respeito e a
admiração de todos, é constantemente forçado a aniquilar seu verdadeiro eu, seu
ideal de perfeição.
Cria-se,
então, um abismo entre o real e o ideal – intransponível para o
personagem.” Sem nunca realizar seu ideal
e tampouco aceitar sua condição de compositor de sucesso, vive uma vida sem
entusiasmo: “expirou na madrugada seguinte, às quatro horas e cinco minutos,
bem com os homens e mal consigo mesmo.
O
drama de Pestana mostra-nos a impotência espiritual de um homem que, do mais
profundo do seu ser, clama pela redenção, que não é alcançada.
Dentre
todas as inquietações humanas, miradas pela ótica dos mais diferentes tipos humanos,
que são representadas pelas criaturas desenhadas por Machado, destacamos uma,
que talvez seja a mais comum à maioria delas – a que envolve a luta do eu
exterior com o eu interior. Conforme já foi dito, é nítida a sua preferência
por personagens complexos, reais, humanos.
Por
conta dessa humanidade, ou seja, de figuras que não possuem um caráter
absolutamente bom ou ruim, mas complexos e relativos, encontramos criaturas sem
unidade interior, que não conseguem entender os seus próprios impulsos.
Resulta
daí a necessidade de se apegar a algo concreto e tangível, o que chamou de alma
exterior. Como exemplo, citemos o conto “O Espelho”[2], no qual o personagem
principal, o “Senhor Alferes”, vê seu uniforme como símbolo de sua própria
vida, uma segunda alma.
O
conto “Um Homem Célebre” foi primeiramente publicado no periódico A Estação, em
1893, e, posteriormente, no livro Várias Histórias, em 1896. Dentro da considerada
fase realista de Machado, o conto aborda o tema da impossibilidade humana de
realizar algo a que aspira. Trata-se da história de Pestana, músico frustrado, que
se vê completamente fracassado por não ser capaz de compor música erudita, mas sim
polcas populares.
O
drama de Pestana reside na sua busca pela perfeição estética que não é alcançada,
pois vê todas as alternativas lhe serem negadas no decorrer da vida. O músico
almeja ser reconhecido e lembrado pela composição de obras eruditas e bem elaboradas,
porém ainda que tenha domínio da linguagem musical e poder de criação, é incapaz
de produzir peças de alta qualidade, como as que admira em Beethoven ou Mozart.
As
únicas coisas que lhe vinham à mente na hora de compor eram sempre elas, as
polcas:
"Às
vezes, como que ia surgir das profundezas do inconsciente, uma aurora de ideia;
ele recorria ao piano, para aventurá-la inteira, traduzi-la em sons, mas era em
vão, a ideia esvaía-se (...) Então, irritado, erguia-se, jurava abandonar a
arte, ir plantar café ou puxar carroça; mas daí a dez minutos, ei-lo outra vez,
com os olhos em Mozart, a imitá-lo ao piano (...) De repente (...) Compunha só
teclando ou escrevendo, sem os vãos esforços da véspera, sem exasperação, sem
nada pedir ao céu, sem interrogar os olhos de Mozart.
Nenhum
tédio. Vida, graça, novidade, escorriam-lhe da alma como de uma fonte perene.
Em pouco tempo, estava a polca feita". (ASSIS, 1997).
A
polca configura-se como uma forma de entretenimento das massas populares, haja
vista sua fácil aceitação e acessibilidade para o grande público. É justamente
esse fator, a popularidade das polcas, que faz com que Pestana sinta-se
diminuído em suas produções, pois não quer ser conhecido por compor para as
massas, o que, segundo ele próprio, representa uma plenitude efêmera,
passageira. Ao contrário, quer ser lembrado por algo que o eternize, que o
consagre no mesmo patamar dos grandes compositores da humanidade.
A vida
de Pestana, como a do homem machadiano em geral, é marcada, sobretudo, pela
contradição. A primeira delas reside no fato de que apesar de ser considerado
como celebridade entre seus compatriotas, vive triste por não conseguir alcançar
o que ele considera verdadeiramente glória e fama.
Em
relação ao caráter de Pestana e de outros personagens de Machado que buscam por
uma perfeição inalcançável, como também a uma passagem de Memórias Póstumas.
O
conto “Um Homem Célebre” nos deparamos com um dos personagens de Machado mais
complexos e completos. Pestana representa o que de mais relevante marca a prosa
machadiana – a perturbação humana e o constante conflito do eu consigo mesmo.
Some-se a isso a maestria com que explora a consciência humanas em incutir na
narrativa juízos de valor.
Aproveito
a oportunidade e o cenário para discutir e esclarecer sobre a Lei Geral de
Proteção de Dados (LGPD).
A LGPD
– Lei Geral de Proteção de Dados – é a lei nº 13.709, aprovada em 2018, que
entraria em vigor em agosto de 2020, mas recentemente teve sua vigência adiada
para maio de 2021.
A nova
lei tem o objetivo de mudar a forma de funcionamento e operação das
organizações ao estabelecer regras claras sobre coleta, armazenamento,
tratamento e compartilhamento de dados pessoais, impondo uma padronização mais
elevada de proteção e penalidades significativas para o não cumprimento da
norma.
Assim,
como de acordo com o Serpro (Serviço Federal de Processamento de Dados), o
intuito da nova lei é ” criar um cenário de segurança jurídica, com a
padronização de normas e práticas, para promover a proteção, de forma
igualitária e dentro do país e no mundo, aos dados pessoais de todo cidadão que
esteja no Brasil.” Ou seja, no caso de processamento de dados de pessoas,
brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida.
A lei,
entrou
em vigor em 18 de setembro de 2020, à exceção das sanções administrativas, que
passaram a ser exigíveis a partir de 1º agosto de 2021, não importa se a
organização ou o centro de dados estão dentro ou fora do país. O intuito é
criar um cenário de segurança jurídica para todo o território nacional. Além
disso, os dados poderão ser transferidos internacionalmente, contanto que o
outro país também pratique a proteção de dados.
De
acordo com a LGPD[3],
passa a ser considerada como um dado pessoal toda informação que permite
identificar, direta ou indiretamente, um indivíduo que esteja vivo, tal como:
nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço
residencial, localização via GPS, retrato em fotografia, prontuário de saúde,
cartão bancário, renda, histórico de pagamentos, hábitos de consumo,
preferências de lazer; endereço de IP (Protocolo da Internet) e cookies,
entre outros.
Outro
elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é
a base para que dados pessoais possam ser tratados. Porém, há algumas exceções.
É possível tratar dados sem consentimento se isso for indispensável para
cumprir critérios legais.
A
transparência com os donos dos dados será rigorosamente exigida, com o quesito
de informar previamente ao cidadão a finalidade e a necessidade da solicitação
de seus dados pessoais.
A
Autoridade Nacional de Proteção de Dados Pessoais (ANPD) – que está em formação
– fica encarregada da fiscalização e da penalização em caso de seu
descumprimento da nova lei.
Além
disso, fica estipulado que as organizações deverão ter agentes responsáveis
pelo tratamento de dados com funções de
controladores, operadores e encarregados, dependendo do porte e do
volume de dados tratados.
Será
exigido que gestores de base de dados pessoais das empresas realizem também a
administração de riscos e falhas, com funções como redigir normas de
governança; adotar medidas preventivas de segurança; replicar boas práticas e
certificações existentes no mercado; elaborar planos de contingência; fazer
auditorias; e resolver incidentes com agilidade. Tudo com o máximo de
transparência e a responsabilidade de notificar a ANPD e os indivíduos afetados
em caso de vazamento de dados.
Quanto
as penalidades, a falta de segurança e negligência na proteção dos dados
pessoais dos usuários acarretarão multas pesadas. Organizações e subcontratadas
para tratar dados vão responder em conjunto por eventuais danos causados, com
multas[4]
de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50
milhões por infração.
A ANDP
fixará níveis de penalidade segundo a gravidade da falha com o envio de alertas
e orientações prévias antes de aplicar as sanções.
A lei
em comento trouxe várias garantias ao cidadão, como a possibilidade de
solicitar que dados sejam deletados, revogar um consentimento e transferir
dados para outro fornecedor de serviços. Dentre outros direitos do titular dos
dados estão: confirmação do existência do tratamento, acesso aos dados,
correção dos dados, anonimação, bloqueio e eliminação dos dados, portabilidade
dos dados, informações sobre compartilhamento de dados pessoais, informação da
possibilidade de não consentir o tratamento e as consequências da negativa. Fontes:
Serpro | Veja | IT Forum 365 |
A LGPD
é uma regra ou regulação aplicável a todos e visa criar um cenário de segurança
jurídica válido para todo o Brasil, sejam os usuários brasileiros ou
estrangeiros, mesmo que estejam de passagem.
Lembremos
que o consentimento é o objetivo para que os dados possam ser tratados. Os
usuários de produtos que necessite de coleta de dados devem estar cientes da
finalidade de suas informações pessoais.
Definiu
a lei, os dados pessoais, com a previsão das sanções para 2021 o tempo final da
transição se aproxima e muitos empreendedores podem não estar cientes das
demandas de adaptação necessárias para o seu negócio.
Importante
observar atentamente às mudanças
necessárias a serem tomadas na rotina do seu empreendimento. Para conhecimento
do texto completo da Lei Geral de Proteção de Dados acesse lei nº 13.709 e
avalie as melhores decisões para a suas atividades.
A lei
define o que são dados pessoais e explica que alguns deles estão sujeitos a
cuidados ainda mais específicos, como os dados pessoais sensíveis e dados
pessoais sobre crianças e adolescentes.
Esclarece,
ainda, que todos os dados tratados, tanto no meio físico quanto no digital,
estão sujeitos à regulação. Além disso,
a LGPD estabelece que não importa se a sede de uma organização ou o centro de
dados dela estão localizados no Brasil ou no exterior: se há o processamento de
informações sobre pessoas, brasileiras ou não, que estão no território
nacional, a LGPD deve ser observada. A lei autoriza também o compartilhamento
de dados pessoais com organismos internacionais e com outros países, desde que
observados os requisitos nela estabelecidos.
Para
fiscalizar e aplicar penalidades pelos descumprimentos da LGPD, o Brasil conta
com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição
terá as tarefas de regular e de orientar, preventivamente, sobre como aplicar a
lei.
Porém,
não basta a ANPD (Lei nº 13.853/2019) e é por isso que a Lei Geral de Proteção
de Dados Pessoais também prevê a existência dos agentes de tratamento de dados
e estipula suas funções, nas organizações, como: o controlador, que toma as
decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do
controlador; e o encarregado, que interage com os titulares dos dados pessoais
e a autoridade nacional.
Com
relação à administração de riscos e falhas, o responsável por gerir dados
pessoais também deve redigir normas de governança; adotar medidas preventivas
de segurança; replicar boas práticas e certificações existentes no mercado;
elaborar planos de contingência; fazer auditorias; resolver incidentes com
agilidade, com o aviso imediato sobre violações à ANPD e aos indivíduos
afetados. Fonte: https://www.serpro.gov.br/lgpd (texto com
adaptações/atualizações); https://www.serpro.gov.br/lgpd/menu/a-lgpd/glossario-lgpd LGPD
e agentes de tratamento
No
âmbito da LGPD, o tratamento dos dados pessoais pode ser realizado por dois
agentes de tratamento, o controlador e o operador.
O
controlador é definido pela Lei como a pessoa natural ou jurídica, de direito
público ou privado, a quem competem as decisões referentes ao tratamento de
dados pessoais.
Na
Administração Pública, o controlador será a pessoa jurídica do órgão ou
entidade pública sujeita à Lei, representada pela autoridade imbuída de adotar
as decisões acerca do tratamento de tais dados.
O
operador é a pessoa natural ou jurídica, de direito público ou privado, que
realiza o tratamento de dados pessoais em nome do controlador, aí incluídos
agentes públicos no sentido amplo que exerçam tal função, bem como pessoas
jurídicas diversas daquela representada pelo controlador, que exerçam atividade
de tratamento no âmbito de contrato ou instrumento congênere.
Considera-se
“tratamento de dados” qualquer atividade que utilize um dado pessoal na
execução da sua operação, como, por exemplo: coleta, produção, recepção,
classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle
da informação, modificação, comunicação, transferência, difusão ou extração.
A LGPD determina as regras sobre o uso de dados pessoais em
todas as transações online. A lei proíbe o uso indiscriminado de dados
pessoais. Para estar de acordo com a legislação as empresas terão que definir a
base legal para uso do dado e deverão informar qual a finalidade específica dos
dados utilizados.
Os
tipos de dados são protegidos pela LGPD são: Resultado de imagem. São eles: etnia;
religião; participação em sindicatos; dados relacionado à saúde ou até mesmo à
vida sexual; dados genéticos ou biométricos.
Cumpre
destacar os principais conceitos trazidos pela legislação em comento. A LGPD
aprimora o conceito de proteção de dados pessoais, que deve ser realizada de
maneira eficiente e eficaz, traduzindo-se em uma forma de estreitar o vínculo
com o cidadão, que acredita que suas informações estão seguras e sendo
utilizadas de maneira apropriada, obedecendo ao princípio constitucional da
inviolabilidade à privacidade[5],
previsto na CFRB/1988, em seu art 5º, inciso X.
Aquele
que permite a identificação, direta ou indireta, da pessoa à qual o dado se refere.
A figura abaixo traz uma lista não exaustiva.
Exemplos
de dados pessoais: ABC 1234; Cookie/Log; (endereço IP + hora de acesso); Endereço
residencial; comercial ou eletrônico; E-mail corporativo; Número de
telefone; Nome, sobrenome; data de nascimento; CPF;RG;CNH; carteira de
trabalho; passaporte; título de eleitor; matrícula; servidor/colaborador; Placa
de automóvel.
Relacionado
a características da personalidade do indivíduo e suas escolhas pessoais, quando
vinculado a uma pessoa natural. A figura abaixo traz uma lista não exaustiva.
Dado
Pessoal Sensível, exemplos: Convicção religiosa Referente à saúde ou à vida
sexual; Dado genético ou biométrico; Filiação a sindicato ou à organização de
caráter religioso ou filosófico; Opinião política; Origem racial ou étnica;
Dado
Anonimizado é relativo a usuário que não possa ser identificado, considerando a
utilização de meios técnicos razoáveis e disponíveis na ocasião do seu
tratamento. A anonimização de dados deve seguir preceitos da segurança da
informação, os quais estão sob responsabilidade[6],
no âmbito do DNIT, da Coordenação-Geral de Tecnologia da Informação.
Titular
dos Dados Pessoais: Pessoa natural
identificada ou identificável, independente da sua nacionalidade ou do local da
sua residência.
No
âmbito do DNIT, os titulares podem ser cidadãos que utilizem os serviços da Autarquia;
ou o próprio público interno (servidores e colaboradores), cujos dados são
tratados, por exemplo, pelas áreas de gestão de pessoas na Sede em Brasília e nas
Unidades Descentralizadas.
Merece maior destaque o tratamento de dados pessoais
Qualquer operação ou conjunto de operações realizada com dados pessoais ou
conjunto de dados pessoais por meios automatizados ou não. Tais operações podem
ser: coleta, produção, recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação,
avaliação ou controle da informação, modificação, comunicação, transferência,
difusão ou extração.
As
fases do ciclo de vida dos dados pessoais demonstram como ocorrem, em geral, o
tratamento de dados no âmbito de uma organização.
Dado
anonimizado era, originariamente, relativo a uma pessoa, mas passou por etapas
que garantiram a desvinculação dele a essa pessoa. Se um dado for anonimizado,
então a LGPD não se aplicará a ele.
Um
dado só é considerado efetivamente anonimizado se não permitir que, via meios
técnicos e outros, se reconstrua o caminho para “descobrir” quem era o titular
do dado - se de alguma forma a identificação ocorrer, então ele não é, de fato,
um dado anonimizado e sim, apenas, um dado pseudonimizado e estará, então,
sujeito à LGPD.
Segundo
especialistas, dados anonimizados são essenciais para o crescimento da
inteligência artificial, da internet das coisas, do aprendizado das
máquinas, das cidades inteligentes, da análise de comportamentos, entre outros[7].
Sempre
que possível, uma organização, pública ou privada, deve realizar a anonimização
de dados pessoais, pois isso aperfeiçoa a segurança da informação na
organização e gera, assim, mais confiança em seus serviços e para seus
públicos. Fonte: SERPRO
Enumera-se
as Fases do Ciclo de Vida: antes de iniciar o processo de identificação e
implementação de quaisquer medidas de segurança, é necessário analisar os
processos, projetos, serviços e ativos abrangidos pelo ciclo de vida de
tratamento dos dados pessoais.
Coleta:
Obtenção, recepção ou produção de dados pessoais, independentemente do meio
utilizado (documento físico, eletrônico, sistema de informação etc.).
Retenção:
Arquivamento ou armazenamento de dados pessoais independentemente do meio utilizado
(documento físico, eletrônico, banco de dados, arquivo de aço, etc.)
Processamento:
Qualquer operação que envolva classificação, utilização, reprodução,
processamento, avaliação ou controle da informação, extração e modificação de
dados pessoais.
Compartilhamento:
Qualquer operação que envolva reprodução, transmissão, distribuição,
comunicação, transferência, difusão e compartilhamento de dados pessoais.
Eliminação:
Qualquer operação que vise apagar ou eliminar dados pessoais. Contempla o
descarte dos ativos organizacionais nos casos necessários ao negócio da
instituição.
Convém
aduzir a jurisprudência já existente sobre a LGPD, in litteris: TJSP
Apelação Cível AC XXXXX20219260177 SP XXXX-45.2021.8.26.0177
Ação
de obrigação de fazer c.c. indenização por danos morais[8].
Vazamento de dados pessoais. Sentença de improcedência. Apelação do autor. Vazamento
de dados pessoais. Falha na prestação de serviço. Dever da empresa de adotar
medidas de segurança visando à proteção de dados pessoais do consumidor.
Inteligência do artigo 46 da LGPD (Lei 13.709/2018). Danos Morais verificados.
Vazamento de dados que não ensejou dano efetivo ao requerente. Dados vazados
que não estão abrangido no conceito de dado pessoal sensível (art. 5º, II
da LGPD. Ausência de prova acerca da
utilização dos dados vazados e do efetivo dano. Dano hipotético não enseja
indenização. Precedentes do TJSP. Sentença Mantida. Honorários majorados.
Recurso desprovido.
As
normas introduzidas pela Lei Geral de Proteção de Dados Pessoais (LGPD) são
reguladas expressamente pelos seguintes fundamentos:
I – o
respeito à privacidade[9];
II - a
autodeterminação informativa;
III –
a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a
inviolabilidade da intimidade, da honra e da imagem;
V – o
desenvolvimento econômico e tecnológico e a inovação;
VI – a
livre-iniciativa, a livre concorrência e a defesa do consumidor;
VII –
os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o
exercício da cidadania pelas pessoas naturais.
A LGPD
e o STJ
Pautado
pela transparência e pela segurança nas informações, o STJ tem adotado diversas
iniciativas para garantir o pleno cumprimento das disposições da Lei Geral de
Proteção de Dados Pessoais (LGPD).
Por
meio da Portaria STJ/GDG 178/2021, a Corte instituiu o Comitê̂ Gestor de
Proteção de Dados Pessoais (CGPD), responsável pelo processo de implementação
da LGPD no tribunal.
Antes
disso, já havia promovido a adaptação do SOU - Sistema de Ouvidoria do STJ,
para o recebimento dos pedidos de tratamento de dados. A iniciativa permitiu ao
Tribunal oferecer um canal para que os titulares possam exercer seus direitos,
conforme o art. 18 da nova lei.
Legislação
e publicações relacionadas, a saber:
Lei
Geral de Proteção de Dados Pessoais. Lei n. 13.853/2019 – altera a Lei n.
13.709/2018, para dispor sobre a proteção de dados pessoais e para criar a
Autoridade Nacional de Proteção de Dados.
Lei n.
14.010/2020 – em seu artigo 20, prorroga o início da vigência dos dispositivos
que tratam da aplicação das sanções administrativas e multas por infrações
cometidas no âmbito da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n.
13.709/2018, arts. 52, 53 e 54), que passam a ter efeitos a partir de 1º de
agosto de 2021.
Recomendação
73/2020, do Conselho Nacional de Justiça – orienta os órgãos do Poder
Judiciário brasileiro quanto à adoção de medidas preparatórias e ações iniciais
para a adequação às disposições contidas na Lei Geral de Proteção de Dados
Pessoais – LGPD.
Resolução
334/2020, do Conselho Nacional de Justiça – institui o Comitê Consultivo de
Dados Abertos e Proteção de Dados no âmbito do Poder Judiciário.
Portaria
n. 213 - 15/10/202 – Institui Comitê Gestor da Lei Geral de Proteção de Dados
Pessoais (CGLGPD) no âmbito do Conselho Nacional de Justiça, e dá outras
providências.
Portaria
n. 212 - 15/10/2020 – Institui Comitê Gestor da Lei Geral de Proteção de Dados
Pessoais (CGLGPD) no âmbito do Conselho Nacional de Justiça, e dá outras
providências.
Os
debates realizados no STF e STJ focaram em questões mais gerais da LGPD,
sobretudo referentes ao capítulo 1 da lei, que trata de conceitos mais
genéricos e ambientes de aplicação.
"A
carga de inovação que a LGPD trouxe ao ordenamento jurídico brasileiro ao,
entre outras coisas, reconhecer plenamente os dados pessoais como bem jurídico
que merece tutela, reflete no alto número de debates envolvendo o capítulo 1 da
Lei, que é também uma espécie de 'glossário', no qual seus principais novos
conceitos são apresentados. Isso não surpreende e indica uma preocupação da
sociedade e da jurisprudência em assentar entendimentos com a cautela
necessária para que, em próximas etapas, temas mais intrincados sejam objeto de
discussão", diz Danilo Doneda, diretor do CEDIS-IDP.
O art.
944 do Código Civil brasileiro expressa que “A indenização se mede pela
extensão do dano”. E a extensão de um dano relativo à proteção de dados poderá
levar em consideração os seguintes critérios:
a) a
quantidade de dados pessoais afetados;
b) a
natureza dos dados pessoais afetados: o vazamento de dados pessoais sensíveis,
por exemplo, determinará uma indenização maior, especialmente se se tratar de
dados biométricos, que não podem ser substituídos;
c) a
reincidência da conduta;
d) a
omissão em tomar medidas de segurança e técnicas para minorar o dano ou em
colaborar com a Autoridade Nacional de Proteção de Dados;
e) a
ausência de notificação dos usuários da ocorrência do incidente;
f) a
comprovada utilização dos dados pessoais vazados de titulares por terceiros.
Em
geral, o primeiro pensamento a respeito de danos que podem advir do vazamento
de dados é referente à realização fraudes. Para isto, basta imaginar a
importunação causada por um financiamento não solicitado seguida de protestos
pelo não pagamento da dívida e discussão judicial.
Desta
maneira, o indivíduo terá de comprovar que jamais contratou qualquer espécie de
empréstimo e ainda arcará com os gastos de sua representação junto aos órgãos
do judiciário.
Contudo,
questões igualmente graves podem vir a ocorrer, tais como a utilização dos
dados pessoais do titular para a obtenção de outras informações pessoais
igualmente relevantes, tais como o acesso a contas de e-mail e números
de cartão de crédito.
Além
disto, tais dados pessoais podem ser utilizados para criar perfis similares aos
do titular dos dados em redes sociais, de modo que o impostor pode se utilizar
dos dados para se fazer passar por terceira pessoa cujos dados foram obtidos
por meio ilícito e praticar diversas infrações como injúria, calúnia e
difamação, exemplificativamente.
Dada a
riqueza de possibilidades, evidente que a pessoa natural deve se preocupar com
a circulação indevida de seus dados pessoais e a prática de inúmeras
fraudes.
O
posicionamento do Tribunal de Justiça de São Paulo nas ações indenizatórias por
vazamento de dados pessoais.
Como
se sabe, os dispositivos referentes à responsabilidade civil dos agentes de
tratamento entraram em vigor 24 meses após a data de publicação da LGPD (art.
65, II), ou seja, 15.08.20.
Consultando
os acórdãos do Tribunal de Justiça de São Paulo a partir desta data, nota-se o
entendimento de que, ainda que ocorra vazamento de dados pessoais, o titular
dos dados deve comprovar a existência do dano.
Além
disto, houve decisão a considerar que a atividade de hackers ensejaria
excludente de responsabilidade por "culpa exclusiva de terceiro" e
que o recebimento de "inúmeras ligações, propagandas via e-mail,
mensagens indesejadas" constitui apenas "mero aborrecimento".
Houve ainda decisão que pontuou que os dados vazados não constituíam dados
pessoais sensíveis e nem se relacionavam à intimidade, de modo que o pedido
indenizatório foi negado.
Noutras
palavras, o entendimento de parte do Tribunal é o de que o vazamento de dados
não constitui dano moral[10]
in re ipsa, ou seja, exige-se que para a caracterização do dever de
indenizar a comprovação de efetivo prejuízo, não sendo possível argumentar em
termos abstratos a respeito dos danos que podem ou não vir a ocorrer e que
eventual exposição a publicidade decorrente do vazamento dos dados não enseja
reparação.
Conclui-se
que, verifica-se que o Tribunal de Justiça do Estado de São Paulo tem variados
acórdãos que rejeitam pretensões indenizatórias decorrentes de vazamentos de
dados na ausência de comprovação do dano.
O
posicionamento do Tribunal é importante porque há pelo menos duas linhas de
incentivo que podem decorrer de sua adoção: i) menores cuidados com a proteção
dos dados pessoais, pois o consumidor dificilmente poderá comprovar o nexo
causal entre o vazamento e o dano; ou ii) manutenção dos níveis de proteção aos
dados devido aos possíveis abalos reputacionais aos agentes de tratamento, mas
sem o comprometimento financeiro os agentes.
A
questão é complexa e polêmica, pois, como visto, se cada um dos brasileiros que
sofreram exposição de seus dados pessoais ou de seus parentes já falecidos pelo
Ministério da Saúde recebesse a título de indenização a quantia simbólica de R$
1,00, o total das indenizações alcançaria a impressionante cifra de R$
243.000.000,00.
Desta
maneira, considerando que a jurisprudência deve sopesar os incentivos aos
agentes e, ao mesmo tempo, evitar consequências catastróficas do ponto de vista
econômico, há um longo caminho de discussão a ser trilhado pelos Tribunais para
equalizar diferentes e importantes dimensões da proteção de dados pessoais.
Apelação.
Responsabilidade civil. Prestação de serviços. Energia elétrica. Vazamento de
dados do sistema da prestadora do serviço. Ação de reparação por danos morais.
Sentença de improcedência. Invasão de sistema da concessionária.
Responsabilidade objetiva da empresa no tratamento de dados (art. 42 da LGPD).
Falha na prestação de serviços (art. 14 do CDC). Dados que não se relacionam à
intimidade e não envolve dado pessoal sensível (art. 5º, II, da LGPD). Dados
básicos informados com frequência em diversas situações, muitos constantes em
simples folha de cheque. Ausente utilização dos dados vazados e efetivo dano.
Impossibilidade de indenizar expectativa de dano. Sentença mantida. Honorários
majorados. RECURSO DESPROVIDO. (TJSP; Apelação Cível
1024481-61.2020.8.26.0405; Relator (a): L. G. Costa Wagner; Órgão Julgador: 34ª
Câmara de Direito Privado; Foro de Osasco - 8ª Vara Cível; Data do Julgamento:
23/08/2021; Data de Registro: 29/08/2021)".
O
Código de Defesa do Consumidor, de fato, preconiza a Teoria da Vulnerabilidade,
no seu Art. 4°, inciso I, dispondo que “A Política Nacional das Relações de
Consumo tem por objetivo o atendimento das necessidades dos consumidores, o
respeito à sua dignidade, saúde e segurança, a proteção de seus interesses
econômicos, a melhoria da sua qualidade de vida, bem como a transparência e harmonia
das relações de consumo, atendidos os seguintes princípios: reconhecimento da
vulnerabilidade do consumidor no mercado de consumo” (BRASIL, 1990).
Quanto
à proteção dos idosos, a doutrina prevê uma hipervulnerabilidade jurídica, com
o objetivo de mitigar a desigualdade material destes indivíduos perante outro
cidadão, uma vez que "A idade avançada traz consigo a diminuição ou perda
de determinadas aptidões físicas ou intelectuais que tornam o indivíduo mais
suscetível a práticas abusivas e até mesmo a fraudes”.[16]
O
conceito de hipervulnerabilidade também foi descrito no REsp 586.316/MG,
publicado em 2007, no qual entendeu o ministro relator Herman Benjamin que
Ao
Estado Social importam não apenas os vulneráveis, mas sobretudo os
hipervulneráveis, pois são esses que, exatamente por serem minoritários e
amiúde discriminados ou ignorados, mais sofrem com a massificação do consumo e
a "pasteurização" das diferenças que caracterizam e enriquecem a
sociedade moderna.
Noutra
jurisprudência, proferida em segunda Instância pelo Tribunal de Justiça do
Amapá, uma Controladora de dados foi condenada ao pagamento de danos morais ao
titular, pelo também compartilhamento indevido de seus dados pessoais com uma
financiadora de veículos.
No
caso em comento, o autor compareceu a uma concessionária de veículos, forneceu
seus dados pessoais, mas não efetuou a compra do bem e nem tampouco assinou
qualquer contrato com a empresa. Entretanto, dias depois foi surpreendido com
um boleto de cobrança, sobre uma suposta compra do veículo, emitido por uma
financiadora e, ao se recusar a pagá-lo, teve seu nome inserido nos órgãos de
proteção ao crédito.
A decisão, na qual houve a condenação da
concessionária de veículos ao pagamento de R$ 4.000,00 à título de danos morais
ao autos, entendeu que “Ficou evidente que os dados do autor, (...) foram
tratados em violação aos fundamentos de sua proteção (art. 2º, LGPD) e à
finalidade específica, explícita e informada ao seu titular (art. 6º, I, LGPD).
(...) houve a utilização de seus dados para finalidade diversa e sem que o
autor tivesse informação adequada (art. 6º, II, LGPD), o que afronta
diretamente o disposto no artigo 6º, III e IV, do Código de Defesa do
Consumidor, quanto ao dever de informação.”
Noutra decisão, proferida pela segunda
Instância do Tribunal de Justiça do Paraná, que também consagrou o Princípio da
finalidade, a empresa Controladora de Dados foi condenada ao pagamento de
indenização por danos morais ao titular de dados, em razão do uso indevido de
seus dados pessoais, que foram utilizados para abertura de uma empresa em seu
nome, quando, na verdade, o serviço contratado pelo titular junto ao
Controlador havia sido apenas de fornecimento de serviços de internet.
A
jurisprudência do mesmo Tribunal de São Paulo demonstrando que a comprovação do
dano tem sido fundamental para uma possível condenação ao pagamento de
indenização:
Apelação.
Ação de indenização por danos morais. Prestação de serviço de telefonia.
Direito do Consumidor. Responsabilidade civil. Sentença de improcedência.
Recurso do Autor. Ré que confirmou dados do Autor à pessoa estranha não titular
da linha telefônica. Conduta perpetrada pela Ré que violou seu dever de sigilo
de dados. Ofensa aos ditames da Lei 13.709/2018 – Lei Geral de Proteção de Dados
Pessoais (LGPD). Falha na prestação de serviço verificada. Responsabilidade
objetiva do prestador de serviço. Risco da atividade que não pode ser
transferido ao consumidor. Situação que levou ao fim do noivado do Autor.
Indenização por danos morais no importe de R$10.000,00 (dez mil reais).
Sentença reformada. Litigância de má-fé afastada. Sucumbência invertida.
RECURSO PROVIDO. (TJ-SP – AC 1065936-51.2020.8.26.0002 SP, Relator: L.G. COSTA
WAGNER, Data do Julgamento: 20/02/2022, 34ª Câmara de Direito Privado, Data de
Publicação: 28/02/2022).
Em
contrapartida, analisando-se a decisão proferida em Agravo de Instrumento pelo
Tribunal de Justiça do Mato Grosso do Sul, percebe-se que o compartilhamento de
dados pessoais com empresas que fornecem o serviço de proteção ao crédito foi
entendido como possível e legal mesmo sem o consentimento prévio do titular de
dados.
Em
decisão monocrática, entendeu o magistrado que a empresa ré estaria amparada
pela LGPD, bem como pela Lei 12.414/2011, considerando que “Os bancos de dados
e cadastros relativos a consumidores, os serviços de proteção ao crédito e
congêneres são considerados entidades de caráter público, nos termos do art.
43, § 4º, do CDC, o que torna prescindível prévio consentimento do consumidor.”
Já
quanto ao tema comercialização de dados pessoais, foi proferida decisão pelo
Tribunal de Justiça do Distrito Federal e Territórios, em sede de Agravo de
Instrumento interposto pelo Ministério Público contra o Serasa S.A, no sentido
de “Determinar a suspensão da comercialização de dados pessoais dos titulares
por meio de produtos de lista online e prospecção de clientes, sob pena de
multa no valor de R$ 5.000,00 por cada venda efetuada.” A decisão ainda
entendeu que “Segundo dispõe o art. 7°, inciso I, da Lei 13.709/18, o
tratamento de dados pessoais somente poderá ser realizado mediante o
fornecimento de consentimento pelo titular”.
No mesmo sentido de comercialização de dados
pessoais, o Tribunal de Justiça do Distrito Federal e Territórios, em decisão
de 1° instância, concedeu liminar para
determinar que o portal Mercado Livre suspenda o anúncio referente a venda de
bancos de dados sobre usuários cadastrados.
Foi
determinado ainda que a empresa que
seria a principal beneficiária desta comercialização, também ré na ação,
abstenha-se de disponibilizar, de forma gratuita ou onerosa, digital ou física, dados pessoais de quaisquer
indivíduos. Para ambas as empresas foi fixada multa de R$ 2.000,00 para cada
operação realizada em dissonância com a
decisão.
Ressalta-se
que há ampla movimentação dos órgãos de proteção ao direito do consumidor no
sentido informativo, educativo e fiscalizatório, a fim de aproximar o titular
de dados do texto das normas previstas na Lei Geral de Proteção de Dados.
Em
recente decisão administrativa do Programa de Defesa e Proteção ao Consumidor
(PROCON) do Estado do Mato Grosso que multou em R$ 572.680,71uma rede de
farmácias por coleta irregular de autorização de clientes para tratamento de
dados pessoais, em processo motivado após denúncias de consumidores, seguidas
de solicitação do Ministério Público.
De
acordo com as denúncias, o consumidor era informado que a coleta do seu dado
pessoal tinha como finalidade o recadastramento para atualização cadastral e
recebimento de descontos. Todavia, após fiscalização, o Procon comprovou que a
rede de farmácias estava coletando dados pessoais simples e sensíveis (digital
dos consumidores), bem como a autorização para o tratamento desses dados, sem
prestar as informações adequadas aos clientes, já que as finalidades da coleta
não eram informadas ao titular do dado.
Conforme
entendeu o Órgão “Para obter os dados e o consentimento para o uso, o cidadão
deve ser informado previamente - de forma clara e transparente - sobre quem
terá acesso, para que seus dados serão utilizados, por quanto tempo, com quem
serão compartilhadas as informações, entre outras informações. O consentimento
é considerado nulo se for obtido de forma enganosa ou abusiva.”
Verifica-se que Agentes de Tratamento, papéis
e responsabilidades segundo a LGPD, os agentes de tratamento são o Controlador
e o Operador.
O conceito de Controlador que é a pessoa
natural ou jurídica, de direito público ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais.
Ainda
quanto ao Controlador, a LGPD dispõe: Art. 38. A autoridade nacional poderá
determinar ao controlador que elabore relatório de impacto à proteção de dados
pessoais, inclusive de dados sensíveis, referente a suas operações de
tratamento de dados, nos termos de regulamento, observados os segredos
comercial e industrial.
Parágrafo
único. Observado o disposto no caput deste artigo, o relatório deverá conter,
no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada
para a coleta e para a garantia da segurança das informações e a análise do
controlador com relação a medidas, salvaguardas e mecanismos de mitigação de
risco adotados.
No
TJDFT, segundo a Resolução 9 de 02/09/2020, com alterações promovidas pela
Portaria Conjunta 21 de 04/03/2022, o Controlador é pessoa jurídica de direito
público interno a quem compete definir as principais ações relativas ao
tratamento dos dados pessoais.
Importante
entender o conceito de Operador. Pela LGPD (Art. 5º, VII) operador é toda
pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador e ainda:
Art.
39. O operador deverá realizar o tratamento segundo as instruções fornecidas
pelo controlador, que verificará a observância das próprias instruções e das
normas sobre a matéria.
No
TJDFT, também de acordo com a Resolução 9 de 02/09/2020, o Operador é pessoa
física ou jurídica que realiza o tratamento em nome do controlador, em todas as
instâncias da instituição ou no âmbito de contratos ou instrumentos congêneres
firmados com ele.
Questões
comuns aos agentes de tratamento existem questões que são comuns aos agentes de
tratamento conforme dispõe a LGPD:
Art.
37. O controlador e o operador devem manter registro das operações de
tratamento de dados pessoais que realizarem, especialmente quando baseado no
legítimo interesse.(…)
Art.
40. A autoridade nacional poderá dispor sobre padrões de interoperabilidade
para fins de portabilidade, livre acesso aos dados e segurança, assim como
sobre o tempo de guarda dos registros, tendo em vista especialmente a
necessidade e a transparência.
Para
atender ao Princípio da Transparência, os agentes de tratamento devem garantir
aos titulares informações claras, precisas e facilmente acessíveis sobre a
realização do tratamento e os respectivos agentes de tratamento, observados os
segredos comercial e industrial;
Ainda
que haja eventual dispensa da exigência do consentimento, tal fato não
desobriga os agentes de tratamento das demais obrigações previstas na LGPD, especialmente
da observância dos princípios gerais e da garantia dos direitos do titular r
(Art. 7º, §6º). .
Quanto
à responsabilização dos agentes de tratamento, a LGPD considera da seguinte
forma o tratamento irregular de dados pessoais
Art.
44. O tratamento de dados pessoais será irregular quando deixar de observar a
legislação ou quando não fornecer a segurança que o titular dele pode esperar,
consideradas as circunstâncias relevantes, entre as quais:
I - o
modo pelo qual é realizado; II - o resultado e os riscos que razoavelmente dele
se esperam; III - as técnicas de tratamento de dados pessoais disponíveis à
época em que foi realizado.
No
mesmo artigo, a Lei ainda determina que os agentes de tratamento responderão
pelos danos decorrentes da violação da segurança dos dados dos titulares da
seguinte forma:
Parágrafo
único. Responde pelos danos decorrentes da violação da segurança dos dados o
controlador ou o operador que, ao deixar de adotar as medidas de segurança
previstas no art. 46 desta Lei, der causa ao dano.
O
referido Art. 46 aborda aspectos relacionados à segurança e indica boas
práticas voltadas garantia do sigilo dos dados, como se segue:
Art.
46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e
administrativas aptas a proteger os dados pessoais de acessos não autorizados e
de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito.
§ 1º A
autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar
aplicável o disposto no caput deste artigo, considerados a natureza das
informações
tratadas, as características específicas do tratamento e o estado atual da
tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os
princípios previstos no caput do art. 6º desta Lei.
§ 2º
As medidas de que trata o caput deste artigo deverão ser observadas desde a
fase de concepção do produto ou do serviço até a sua execução.
Nos
casos em que haja dano provocado pelos agentes de tratamento no exercício de
suas atividades, a LGPD preceitua in litteris:
Art.
42. O controlador ou o operador que, em razão do exercício de atividade de
tratamento de dados pessoais, causar a outrem dano patrimonial, moral,
individual ou coletivo, em violação à legislação de proteção de dados pessoais,
é obrigado a repará-lo.
§ 1º A
fim de assegurar a efetiva indenização ao titular dos dados:
I - o
operador responde solidariamente pelos danos causados pelo tratamento quando
descumprir as obrigações da legislação de proteção de dados ou quando não tiver
seguido as instruções lícitas do controlador, hipótese em que o operador
equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43
desta Lei;
II -
os controladores que estiverem diretamente envolvidos no tratamento do qual
decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos
de exclusão previstos no art. 43 desta Lei.
§ 2º O
juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos
dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência
para fins de produção de prova ou quando a produção de prova pelo titular
resultar-lhe excessivamente onerosa.
§ 3º
As ações de reparação por danos coletivos que tenham por objeto a responsabilização
nos termos do caput deste artigo podem ser exercidas coletivamente em juízo,
observado o disposto na legislação pertinente.
§ 4º
Aquele que reparar o dano ao titular tem direito de regresso contra os demais
responsáveis, na medida de sua participação no evento danoso.
Nos
casos em que as relações entre os agentes de tratamento e titulares de dados
sejam de consumo, a LGPD prevê que a legislação consumerista deve prevalecer,
como se segue:
Art.
45. As hipóteses de violação do direito do titular no âmbito das relações de
consumo permanecem sujeitas às regras de responsabilidade previstas na
legislação pertinente.
E,
ainda no tocante à Legislação Consumerista, haverá a possibilidade de
responsabilização objetiva do controlador e/ou operador, além da inversão do
ônus da prova.
No
âmbito dos órgãos públicos, havendo infração a LGPD, esta lei prevê algumas
ações que poderão ser adotadas, como as seguintes:
Art.
31. Quando houver infração a esta Lei em decorrência do tratamento de dados
pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com
medidas cabíveis para fazer cessar a violação.
Art.
32. A autoridade nacional poderá solicitar a agentes do Poder Público a
publicação de relatórios de impacto à proteção de dados pessoais e sugerir a
adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo
Poder Público. (...)
Existem,
todavia, hipóteses em que os agentes de tratamento não serão responsabilizados
quando houver descumprimento à LGPD :
Art.
43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I -
que não realizaram o tratamento de dados pessoais que lhes é atribuído; II -
que, embora tenham realizado o tratamento de dados pessoais que lhes é
atribuído, não houve violação à legislação de proteção de dados; ou III - que o
dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Atente-se ao conceito de Encarregado segundo
define a LGPD (Art. 5º, VIII), o encarregado é pessoa indicada pelo controlador
e operador para atuar como canal de comunicação entre o controlador, os
titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Segundo
a LGPD, Art. 41, §2º, o encarregado exerce as seguintes atividades:
I -
aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e
adotar providências; II - receber comunicações da autoridade nacional e adotar
providências; III - orientar os funcionários e os contratados da entidade a
respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou
estabelecidas em normas complementares.
De
acordo com o § 3º do mesmo dispositivo, a autoridade nacional ainda poderá
estabelecer normas complementares sobre a definição e as atribuições do
encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação,
conforme a natureza e o porte da entidade ou o volume de operações de
tratamento de dados (LGPD, Art. 41, § 3º).
O
encarregado será o responsável em manter relacionamento com a ANPD,
disseminando orientações daquela Autoridade a toda a estrutura funcional, desde
o controlador, operadores, servidores, e contratados, realizando também as
comunicações necessárias com os titulares, recebendo reclamações, prestando
esclarecimentos, e adotando providências.
Todas
as operações de tratamento de dados devem ser do conhecimento do encarregado,
para que este compreenda as necessidades, riscos e desafios existentes no
âmbito da instituição, no que tange à proteção de dados.
Internamente,
as competências do encarregado encontram-se assim definidas na Resolução 9 de
02/09/2020.
Art.
13. Compete ao Encarregado:
I –
ser o canal de comunicação entre a instituição e:
a) o
titular de dados pessoais;
b) a
Autoridade Nacional de Proteção de Dados Pessoais.
II –
prestar esclarecimentos, realizar comunicações, orientar operadores e
contratados sobre as práticas tomadas ou a serem tomadas para garantir a
proteção dos dados pessoais;
III –
determinar a publicidade da dispensa de consentimento para o tratamento de
dados pessoais no Tribunal, em conformidade com o previsto na LGPD;
IV –
executar as atribuições a si determinadas pelo Controlador;
V –
receber as reclamações dos titulares quanto ao tratamento de seus dados,
respondê-las e tomar providências para que sejam sanados os desvios;
VI –
deter amplo e sólido conhecimento sobre a legislação de proteção de dados
pessoais e normas correlatas;
VII –
deter conhecimentos técnicos sobre segurança e governança de dados;
VIII –
realizar o atendimento dos titulares de dados pessoais internos e externos à
instituição;
IX –
manter a comunicação sobre o tratamento de dados pessoais com as autoridades
internas e externas à instituição;
X –
apoiar a implementação e a manutenção de práticas de conformidade do Tribunal à
legislação sobre o tratamento de dados pessoais;
XI –
estabelecer campanhas educativas no órgão sobre o tratamento de dados pessoais;
XII –
responder incidentes no tratamento de dados pessoais.
A
identidade e as informações de contato do encarregado deverão ser divulgadas
publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico
do controlador (LGPD, Art. 41, §1º).
No
TJDFT, a função de Encarregado será exercida por um comitê, e caberá ao seu
Presidente representá-lo perante o Controlador e a Autoridade Nacional de
Proteção de Dados.
A
Portaria GPR 1304 de 20/07/2020 designou como presidente do Comitê Gestor de
Segurança da Informação e Proteção de Dados Pessoais - CGSI, o Excelentíssimo
Juiz Márcio Evangelista Ferreira da Silva.
Como
se identifica, o encarregado é um guardião dos dados pessoais tratados pela
instituição, equilibrando os interesses dos titulares com as determinações do
controlador, consideradas as balizas legais e orientações emanadas da ANPD,
disseminando ainda o conhecimento do tema a todos os envolvidos nesses
tratamentos.30770116
No
fundo a ratio da LGPD é o direito à privacidade. No âmbito nacional, o
primeiro momento em que o Direito à Privacidade ganhou destaque legal foi
somente na Constituição Federal de 1988, ao prever em seu artigo 5º, inciso X
que “são invioláveis a intimidade, a vida privada, a honra e a imagem das
pessoas, assegurado o direito a indenização pelo dano material ou moral
decorrente de sua violação;”.
Tal
proteção é tida como constitucionalmente garantida a todos, em virtude da
universalidade dos direitos fundamentais, assegurando que os indivíduos tenham
o controle de suas informações pessoais, vez que a privacidade tem íntima
ligação com a dignidade da pessoa humana.
“O
direito à privacidade fundamenta-se diretamente na dimensão ontológica da
dignidade da pessoa humana, sendo um desdobramento lógico da autonomia
existencial do indivíduo que, em conjunto com a liberdade e a vida digna, forma
o núcleo do livre desenvolvimento da personalidade humana.
A
privacidade envolve o direito à solidão, o direito de estar só, na sua paz e
equilíbrio, o direito de não ser exposto, de não ter sua vida íntima e privada
compartilhada, mantendo o controle das informações de sua própria vidam o
direito ao segredo e ao sigilo, o direito de ter sua imagem e honra
preservados, envolvendo a intimidade e o aconchego do lar e dos locais de
descanso da pessoa.
Ao
ganhar o status constitucional, a preservação da privacidade das
informações pessoais estimulou a criação de instrumentos e legislações capazes
de agir neste mesmo sentido, de modo a fortalecer as garantias oferecidas,
sanar os vícios observados e gerar novas perspectivas jurídicas, tanto para o
ordenamento, quanto para o mercado.
A LGPD
estabeleceu um amparo legal para o tratamento de dados pessoais, trazendo uma
série de direitos aos titulares dos dados e consequentemente obrigações às
empresas que coletam e tratam esses dados. A referida legislação pode ser vista
como um produto direto da necessidade de um ramo do Direito ainda recente, mas
essencial para a construção do respeito à identidade e privacidade dos
indivíduos.
A
proteção, transparência e qualidade no tratamento dos dados pessoais, além da
responsabilização daqueles que causarem dano aos titulares, são práticas de
cidadania. Dessa forma é possível afirmar que nosso país está caminhando em
busca da concretização do Estado Democrático de Direito.
O mais
próximo que Pestana chegou de realizar seu grande sonho foi uma “suposta”
composição de música clássica, que foi identificada por sua mulher como sendo
de Chopin.
E,
realmente era, sua cabeça o havia pregado uma peça. Quem acaba pregando uma
peça é Machado de Assis, ao criar um final nada bom para Pestana, que termina
por não realizar seu sonho.
Novamente, Machado surpreende-nos trazendo a realidade às suas obras, ao contrário dos finais idealizados encontrados em muitos dos românticos.
Referências
AMAPÁ.
Tribunal de Justiça. Recurso Inominado 0034398-48.2019.8.03.0001. Relator:
Des. Mário Mazurek. Macapá, 01 abr. 2021.
ÁVILA,
Humberto. Constituição, liberdade e interpretação. 2ª. ed. São Paulo: Malheiros,
2021.
BITTAR,
Carlos Alberto. Curso de Direito Civil. v. 1 Rio de Janeiro, Forense
Universitária, 1994.
BITTAR
FILHO, Carlos Alberto. Direito à imagem de pessoas famosas não é ilimitado.
Disponível em: https://www.sedep.com.br/artigos/direito-a-imagem-de-pessoas-famosas-nao-e-ilimitado/
Acesso em 23.10.2022.
BRASIL,
Código Civil, Lei 10.406/2002, disponível em http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm
Acesso em 23.10.2022
BRASIL,
Código de Defesa do Consumidor, Lei 8.078/1990, disponível em http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm
Acesso em 23.10.2022.
BRASIL,
Constituição Federal, disponível em
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm;
BRASIL,
Lei Geral de Proteção de Dados, Lei 13.709/2018, Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Acesso em 23.10.2022.
CAVALIERI
FILHO, Sérgio. Programa de responsabilidade civil. 14ª. ed. São Paulo:
Atlas, 2020.
DONEDA,
Danilo. Princípios e proteção de dados pessoais. In: LUCCA,
Newton de; SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (Coords.).
Direito & internet III: marco civil de internet. São Paulo: Quartier
Latin, 2015.
DOS
SANTOS, Eduardo. Direito constitucional sistematizado. São Paulo: Editora
Foco. Disponível em:
https://elibro.net/pt/lc/universidadebrasil/titulos/187188. Acesso em:
23/10/2022.
E-commerce bate
recorde no Brasil, indica Ebit | Nielsen. In: Meio&Mensagem.
Disponível em:
https://www.meioemensagem.com.br/home/marketing/2021/08/11/e-commerce-bate-recorde-no-brasil-indica-ebit-nielsen.html.
Acesso em: 23/10/2022.
KOGA,
Bruno Yudi Soares. Indenização por vazamento de dados pessoais na
jurisprudência do TJ/SP. Disponível em: link: https://www.migalhas.com.br/depeso/352361/indenizacao-por-vazamento-de-dados-pessoais-na-jurisprudencia-do-tj-sp
Acesso em 23.10.2022.
DINIZ,
Maria Helena. Curso de Direito Civil Brasileiro. v. 7; 19ª edição, São
Paulo, Editora Saraiva, 2005.
MALDONADO,
Viviane Nóbrega; BLUM, Renato Opice. LGPD – Lei geral de proteção de dados –
comentada. 3ª. ed. São Paulo: Revista dos Tribunais, 2021.
MARQUES,
Cláudia Lima; BENJAMIM, Antônio Herman; MIRAGEM, Bruno: Comentários ao
Código de Defesa do Consumidor. 4ª ed., São Paulo, Editora Revista dos
Tribunais, 2013.
ONU. Declaração
Universal dos Direitos Humanos, 1948.
OPICE
BLUM, BRUNO E VAINZOF ADVOGADOS ASSOCIADOS. Relatório Anual de Jurimetria
2021. São Paulo, 2021. Disponível em:https://opiceblum.com.br/wpcontent/uploads/2019/07/Relatorio_Anual_Jurimetria_28.01_versao_final.pdf.
Acesso em: 20/04/2022.
PORTAL
DO SUPERIOR TRIBUNAL DE JUSTIÇA, STJ, disponível em http://portal.stf.jus.br/ Acesso
em 23.10.2022.
PORTAL
DO SUPREMO TRIBUNAL FEDERAL, STF, disponível em https://www.stj.jus.br/sites/portalp/Inicio
Acesso em 23.10.2022.
Tribunal
de Justiça de Minas Gerais. Disponível em https://www.tjmg.jus.br/portal-tjmg/;
Tribunal de Justiça de São Paulo. Disponível em https://www.tjsp.jus.br/;
Notas:
[1]
A Polca é uma dança popular da Chéquia, da região da Boêmia. No século XIX esta
região fazia parte do antigo Império Austro-Húngaro. A dança foi introduzida
nos salões europeus da era pós-napoleônica com o atrativo da aproximação física
dos dançarinos, ao prever duas possibilidades de evolução do par enlaçado:
rodeando (um giro após seis passos, com meio giro no quarto, e outro depois dos
três últimos), ou, mais animadamente, com rápidos pulinhos nas pontas dos pés.
Tudo dentro de um compasso binário simples, de movimento em allegretto, cujo
ritmo à base de colcheias e semicolcheias, com breves pausas regulares no fim
do compasso, permitia aos pares as novas possibilidades de aproximação dos
corpos que viria a chamar popularmente de dançar agarrado. A Polca não foi
famosa no Brasil na época de 1858, as pessoas se revoltavam drasticamente com
esse gênero e com muitas danças criadas desse estilo pela compositora
brasileira Chiquinha Gonzaga. Interpretada pela primeira vez no Brasil na noite
de 3 de julho de 1845 no palco do Teatro São Pedro, no Rio de Janeiro, pelas
duplas de atores Felipe e Carolina Cotton e Da Vecchi e Farina – segundo
pesquisa de Vicente de Paula Araújo em jornais da época – a polca espalhou-se
pelos salões de todo o país como uma espécie de febre que explicaria,
inclusive, a criação em 1846 de uma Sociedade Constante Polca na corte carioca.
Cultivada por compositores de teatro musicado e amadores componentes de grupos
de choro, a polca acabaria por fundir-se com outros gêneros locais de música
popular desde a virada dos séculos XIX/XX, para chegar à era dos discos
mecânicos. E isso demonstrado pelo levantamento de centenas de gravações, entre
1902 e 1928, de polcas dobrado, galope, fado, fadinho, lundu, tango e, ainda em
criações originais tipo polca militar e polca carnavalesca.
[2]
O conto “O espelho”, um dos textos mais famosos de Machado de Assis, foi
originalmente publicado no jornal Gazeta de Notícias em 8 de setembro de 1882.
No fim do mesmo ano, também foi lançado em livro, inserido na coletânea Papéis
Avulsos, que reunia doze narrativas curtas do autor. “O espelho”, subintitulado
ironicamente de “Esboço de uma nova teoria da alma humana”, é um pretenso conto
filosófico que discute o processo de formação da identidade de cada indivíduo e
a relação entre subjetividade e vida social, demonstrando como o olhar dos
outros interfere na imagem que fazemos de nós mesmos. Como boa narrativa machadiana, o conto
critica com mordacidade e desengano o fato de que a alma exterior acaba por ser
mais nítida e sedutora e, por isso, teria mais chances de prevalecer sobre a
alma interior, fazendo com que a “essência” de cada um acabasse por desaparecer
a certa altura da vida, ficando-nos apenas a “aparência”.
[3] O dia 28 de janeiro é comemorado, em todo o mundo, como o Dia Internacional da Proteção de Dados. Criada pelo Conselho Europeu – o “Poder Executivo” da União Europeia -, a data tem como objetivo chamar a atenção do poder público, do setor privado e dos indivíduos sobre a importância que deve ser dada à segurança das informações e o respeito devido a seu titular.
[4]
Autoridade de dados britânica multa empresa por uma prática comum no Brasil: a
publicidade indesejada~ Vide no Link: https://www.oconsumerista.com.br/2021/06/autoridade-dados-britanica-publicidade-indesejada/
.
[5]
Em casos mais graves, o uso indevido de imagem pode ser considerado crime, como
previsto no artigo 218-C do Código Penal, que considera ilícito penal a
disponibilização ou divulgação de fotos, vídeo ou imagem de cenas de sexo,
nudez ou pornografia, sem consentimento da vítima.
[6]
Estima-se que, no Brasil, apenas o comércio de produtos com a imagem de
celebridades ou personagens movimenta 1 bilhão de reais por ano. Por outro
lado, o valor da celebridade é diretamente proporcional aos seus índices de
audiência (a respeito do assunto, a reportagem A Indústria da Fama, por Sérgio
Teixeira Jr., em revista Exame – Negócios, São Paulo, Ed. Abril, edição 8, ano
2, nº 5, maio/2001, págs. 18, 19 e 24). O campo jurídico em que
caracteristicamente se podem vislumbrar os desdobramentos da denominada
“indústria da fama” é o dos direitos da personalidade. Central para a temática
da fama é o direito à imagem, consistente no direito que a pessoa tem sobre sua
forma plástica e respectivos componentes distintivos (rosto, perfil, busto,
etc.), que a individualizam no meio social (CARLOS ALBERTO BITTAR, Curso de
Direito Civil, Rio de Janeiro, Forense Universitária, 1994, v. 1, p. 262). Esse
direito tem expressa proteção na Constituição Federal vigente (art. 5º, X).
Com efeito, o avanço dos
meios de comunicação de massa e da publicidade tornou disponível, para o uso no
mercado, esse direito da personalidade, de modo que é hoje comuníssima a
participação, em anúncios publicitários, de pessoas famosas (artistas,
desportistas, etc.). Desdobramento do direito à imagem é o direito à voz, que
também merece tutela constitucional específica (CF, art. 5º, XXVIII, a). A voz
é outro importante elemento individualizador da pessoa, sendo fundamental em
alguns campos da mídia (no rádio, nas dublagens, nas gravações, na locução
esportiva, em anúncios publicitários, etc.). A circulação desse direito no
comércio jurídico é feita também através de contrato de concessão (CARLOS
ALBERTO BITTAR, ob. cit., págs. 268 e 269).
Outro direito da personalidade nodal relativamente à
fama é a intimidade, cujo objetivo é o resguardo da privacidade da pessoa. Em
se tratando de pessoa famosa, mais restrito se mostra o direito à intimidade,
dado o contato maior existente entre ela e a sociedade, permitindo-se, dessa
maneira, a revelação de fatos de interesse público independentemente de
autorização.
Mas isso não significa que os famosos são totalmente destituídos de privacidade; com relação aos fatos íntimos, à vida familiar e à reserva no domicílio e na correspondência, vale a regra geral: há a necessidade de prévia consulta ao interessado
[7]
Desdobramento do direito à imagem é o direito à voz, que também merece tutela
constitucional específica (CF, art. 5º, XXVIII, a). A voz é outro importante
elemento individualizador da pessoa, sendo fundamental em alguns campos da
mídia (no rádio, nas dublagens, nas gravações, na locução esportiva, em anúncios
publicitários, etc.). A circulação desse direito no comércio jurídico é feita
também através de contrato de concessão (CARLOS ALBERTO BITTAR, ob. cit., págs.
268 e 269). Outro direito da personalidade nodal relativamente à fama é a
intimidade, cujo objetivo é o resguardo da privacidade da pessoa. Em se
tratando de pessoa famosa, mais restrito se mostra o direito à intimidade, dado
o contato maior existente entre ela e a sociedade, permitindo-se, dessa
maneira, a revelação de fatos de interesse público independentemente de
autorização. Mas isso não significa que os famosos são totalmente destituídos
de privacidade; com relação aos fatos íntimos, à vida familiar e à reserva no
domicílio e na correspondência, vale a regra geral: há a necessidade de prévia
consulta ao interessado
[8]
No Direito brasileiro existem diversas teorias que analisam o nexo causal entre
a conduta do agente e o delito cometido; salienta-se aqui a teoria dos danos
diretos e imediatos e a teoria da causalidade adequada, pois são as mais
pertinentes ao tema. A teoria dos danos
diretos e imediatos refere que, entre a não execução da obrigação do agente e o
dano sofrido pela vítima, deve haver uma relação de causa e efeito direta e
imediata, não podendo ser indenizado o dano remoto, oriundo de uma causa
estranha. Por outro lado, a teoria da
causalidade adequada busca definir a presença de mais de uma possível causa
para o dano gerado, assim, quanto maior a probabilidade de determinada causa
ter gerado determinado dano , essa será a considerada como efetiva causa do
dano.
[9] Nos últimos anos, foram diversos os escândalos com empresas tratando dados pessoais de cidadãos de forma indevida. É de se destacar, o escândalo ao redor das eleições americanas de 2016 e da votação pelo BREXIT (a saída do Reino Unido da União Europeia) com o envolvimento do Facebook e de uma empresa de marketing político, a Cambridge Analytica. O caso foi parar no congresso americano e expôs ao mundo a utilização de dados pessoais de cidadãos americanos e britânicos, sem o consentimento explícito deles, com o objetivo de influenciar a eleição e o plebiscito. O resultado foi a maior multa já aplicada a uma empresa por violação de dados pessoais. O Facebook foi autuado pela FEC – Federal Trade Commission a pagar algo em torno de R$ 25 bilhões de reais (US$ 5 bilhões de dólares), em 2019.
[10] Cumpre citar a SÚMULA N. 403 do STJ: Independe de prova do prejuízo a indenização pela publicação não autorizada de imagem de pessoa com fins econômicos ou comerciais. Referências: CFRB/1988, art. 5º, V e X.; CC/1916, art. 159; CC/2002, arts. 186 e 927.