Nos últimos 2 anos temos observado um crescente número de ações judiciais envolvendo pedidos de indenização pelo tratamento ilegal de dados pessoais, tanto na justiça comum quanto na trabalhista.
Assim como a promulgação do Código de Defesa do Consumidor (CDC), em 1990, influenciou o comportamento dos consumidores, tornando-os mais conscientes e exigentes em relação aos seus direitos, a Lei Geral de Proteção de Dados (LGPD) tem mudado a forma como o cidadão brasileiro percebe a sua privacidade, na qualidade de titular de dados pessoais.
Desde a entrada em vigência da LGPD, em 18 setembro de 2020, muitas formas de tratamento de dados pessoais realizadas com viés comercial, que antes eram consideradas “mero aborrecimento” pelo Judiciário, como o compartilhamento indevido de dados pessoais e o resultante acesso irrestrito aos seus titulares, tem sido cada vez menos toleradas. Isso se verifica pela decisão da 3ª Turma do Superior Tribunal de Justiça (STJ) no Recurso Especial 1.758.799, referente à comercialização de dados pessoais.
De acordo com a decisão, que manteve a indenização de 8 mil reais em benefício de um titular que teve seus dados disponibilizadas por empresa de soluções em proteção ao crédito e prevenção à fraude, “a disponibilização ou comercialização de informações pessoais do consumidor em banco de dados, sem o seu conhecimento, configura hipótese de dano moral in re ipsa”, ou seja, presumida.
A ministra Nancy Andright, relatora do caso, ponderou que “o consumidor tem o direito de tomar conhecimento de que informações a seu respeito estão sendo arquivadas/comercializadas por terceiro, sem a sua autorização, porque desse direito decorrem outros dois que lhe são assegurados pelo ordenamento jurídico: o direito de acesso aos dados armazenados e o direito à retificação das informações incorretas.”
A ministra relatora aponta ainda que o CDC, em seu art. 43, § 2º, estabelece o dever de comunicar ao consumidor por escrito sobre a abertura de cadastro com seus dados pessoais e de consumo, quando não solicitada por ele.
Portanto, a inobservância quanto aos deveres estabelecidos na legislação sob o viés da proteção de dados pessoais resulta na indenização por danos morais presumida, além do bloqueio desses dados tratados indevidamente.
A decisão do STJ não menciona expressamente a LGPD, vez que a Lei não estava em vigência quando o autor ingressou com a ação perante o Judiciário.
Todavia, a LGPD traz em suas disposições o princípio do livre acesso (art. 6º, IV), que garante aos titulares a consulta facilitada e gratuita sobre a forma e duração do tratamento de seus dados, e o princípio da transparência (art. 6º, VI), que garante aos titulares a disponibilização de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento de seus dados e os respectivos agentes de tratamento.
Nota-se, portanto que as previsões trazidas pela legislação de proteção de dados apenas reforçam a decisão tomada pelo STJ, cujos precedentes influenciam diretamente nas decisões da primeira instância.
Sendo assim, torna-se essencial que empresas que lidam diretamente com consumidores finais ou que utilizam em suas operações bancos de dados de terceiros para consulta ao crédito ou prevenção à fraude tomem providências para garantir que todos os envolvidos na operação estejam em conformidade com a LGPD, sob pena de passarem a responder solidariamente por danos morais presumidos.
Na qualidade de agentes de tratamento que exploram dados pessoais com viés econômico, as empresas precisam entender a importância de mapearem os seus processos e estabelecer medidas técnicas e administrativas aptas a proteger a segurança e confidencialidade dessas informações.
Afinal, neste mês a LGPD completa 2 anos de vigência. Esse marco é uma lembrança importante de que os órgãos administrativos de fiscalização e o próprio Judiciário admitirão cada vez menos a inexistência de um programa de governança em privacidade.