lgpd

O Tribunal Superior do Trabalho (TST) recentemente aplicou o disposto na Lei Geral de Proteção de Dados Pessoais – Lei 13.709/2018 (“LGPD”) para determinar que uma empresa gerenciadora de riscos não poderia expor situação creditícia de motoristas de carga a outras empresas para fins diversos da proteção de crédito.

 

A empresa condenada pelo TST levantava diversas informações sobre a vida pessoal dos motoristas, como qualificação pessoal e profissional, bem como informações desabonadoras relativas a restrições de crédito nos sistemas do SPC e Serasa, para posteriormente enviar a transportadoras e seguradoras. Com base nessas informações, essas empresas deixavam de contratar os motoristas ou os impediam de transportar cargas para determinadas regiões em razão de suas restrições de crédito.

 

Primeiramente, insta salientar que a proteção de dados pessoais trazida pela LGPD não visa apenas prevenir incidentes de vazamento de dados, ou inibir usos indevidos para fins de marketing. Afinal, ela vai muito além disso e visa também o respeito aos direitos e liberdades individuais da pessoa e a proteção de seus dados, garantindo que seu uso seja realizado com isonomia, não discriminação e em conformidade com a finalidade específica para que foram coletados.

 

Nessa linha, os bancos de dados do SPC e Serasa carregam diversos dados pessoais, mas a finalidade específica que justifica sua coleta é a proteção ao crédito. Assim, eventual uso para finalidade diversa pode ser considerado como ilegal, nos termos da LGPD.

 

No caso decidido pelo TST, os julgadores entenderam que, ao utilizar os dados pessoais extraídos de serviços de proteção ao crédito para decidir acerca da contratação de um motorista ou na distribuição de serviços, as empresas estariam violando a boa-fé e princípios expressamente previstos na LGPD, como os da finalidade, da necessidade e da não discriminação.

 

Assim, decidiu o tribunal que a atitude seria discriminatória, segregando pessoas devedoras ao considerá-las como não aptas ao exercício profissional, levando a entender ainda que os motoristas estariam mais propensos ao roubo das cargas por serem devedores.

 

Portanto, ao realizar o tratamento de dados pessoais, as empresas devem estar atentas sobre a finalidade que justificou a coleta daqueles dados, posto que eventual uso para fim diverso pode resultar em conduta ilícita, em violação aos princípios da LGPD, com a possibilidade dos agentes envolvidos serem responsabilizados pelos prejuízos que causarem.

A IX Jornada de Direito Civil, que ocorreu em Comemoração aos 20 anos da Lei n. 10.406/2002, foi promovida pelo Conselho da Justiça Federal (CJF), terminando com a aprovação de 49 enunciados.

 

Uma novidade desta Jornada foi a inclusão de temas do Direito Digital, analisada pela Comissão de Direito Digital e Novos Direitos e presidida pelo ministro Ricardo Villas Bôas Cueva, do Superior Tribunal de Justiça.

 

Os enunciados aprovados trataram de temas como: Relatório de Impacto à Proteção dos Dados Pessoais (RIPD) como medida de prevenção para operações de tratamento de alto risco; possibilidade de nomeação pelo controlador de mais de uma pessoa para a função de encarregado pelo tratamento dos dados pessoais; dispensa da obrigação do sigilo processual em processos que contiverem documentação relativas a dados pessoais sensíveis, entre outros temas de relevante importância.

 

Foram aprovados pela Comissão de Direito Digital 17 enunciados, que seguem abaixo para conhecimento:

 

“ENUNCIADO 677 – A identidade pessoal também encontra proteção no ambiente digital”;

 

“ENUNCIADO 678 – Ao tratamento de dados realizado para os fins exclusivos elencados no inciso III do art. 4º da Lei Geral de Proteção de Dados (segurança pública, defesa nacional; segurança do Estado e atividades de investigação e repressão de infrações penais), aplicam-se o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos na LGPD, sem prejuízo de edição de legislação específica futura”;

 

“ENUNCIADO 679 – O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) deve ser entendido como uma medida de prevenção e de accountability para qualquer operação de tratamento de dados considerada de alto risco, tendo sempre como parâmetro o risco aos direitos dos titulares”;

 

“ENUNCIADO 680 – A Lei Geral de Proteção de Dados Pessoais não exclui a possibilidade de nomeação pelo controlador de pessoa jurídica, ente despersonalizado ou de mais de uma pessoa natural para o exercício da função de encarregado pelo tratamento de dados pessoais”;

 

“ENUNCIADO 681 – A existência de documentos em que há dados pessoais sensíveis não obriga à decretação do sigilo processual dos autos. Cabe ao juiz, se entender cabível e a depender dos dados e do meio como produzido o documento, decretar o sigilo restrito ao documento específico”;

 

“ENUNCIADO 682 – O consentimento do adolescente para o tratamento de dados pessoais, nos termos do art. 14 da LGPD, não afasta a responsabilidade civil dos pais ou responsáveis pelos atos praticados por aquele, inclusive no meio digital”;

 

“ENUNCIADO 683 – A legítima expectativa do titular quanto ao tratamento de seus dados pessoais se relaciona diretamente com o princípio da boa-fé objetiva e é um dos parâmetros de legalidade e juridicidade do legítimo interesse”;

 

“ENUNCIADO 684 – O art. 14 da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) não exclui a aplicação das demais bases legais, se cabíveis, observado o melhor interesse da criança”;

 

“ENUNCIADO 685 – O interesse legítimo do terceiro, mencionado no inciso IX do art. 7º da Lei Geral de Proteção de Dados, não se restringe à pessoa física ou jurídica singularmente identificadas, admitindo-se sua utilização em prol de grupos ou da coletividade para atividades de tratamento que sejam de seu interesse;”

 

“ENUNCIADO 686 – Aplica-se o sistema de proteção e defesa do consumidor, conforme disciplinado pela Lei n. 8.078, de 11 de setembro de 1990, às relações contratuais formadas entre os aplicativos de transporte de passageiros e os usuários dos serviços correlatos”;

 

“ENUNCIADO 687 – O patrimônio digital pode integrar o espólio de bens na sucessão legítima do titular falecido, admitindo-se, ainda, sua disposição na forma testamentária ou por codicilo”;

 

“ENUNCIADO 688– A Lei de Acesso à Informação (LAI) e a Lei Geral de Proteção de Dados Pessoais (LGPD) estabelecem sistemas compatíveis de gestão e proteção de dados. A LGPD não afasta a publicidade e o acesso à informação nos termos da LAI, amparando-se nas bases legais do art. 7º, II ou III, e art. 11, II, a ou b, da Lei Geral de Proteção de Dados”;

 

“ENUNCIADO 689 – Não há hierarquia entre as bases legais estabelecidas nos arts. 7º e 11 da Lei Geral de Proteção de Dados (Lei n. 13.709/2018)”;

 

“ENUNCIADO 690 – A proteção ampliada conferida pela LGPD aos dados sensíveis deverá ser também aplicada aos casos em que houver tratamento sensível de dados pessoais, tal como observado no §1º do art. 11 da LGPD”;

 

“ENUNCIADO 691 – A possibilidade de divulgação de dados e imagens de crianças e adolescentes na internet deve atender ao seu melhor interesse e ao respeito aos seus direitos fundamentais, observados os riscos associados à superexposição”;

 

“ENUNCIADO 692 – Aplica-se aos conceitos de criança e adolescente, dispostos no art. 14 da Lei Geral de Proteção de Dados, o contido no art. 2° do Estatuto da Criança e do Adolescente”;

 

“ENUNCIADO 693 – A proteção conferida pela LGPD não se estende às pessoas jurídicas, tendo em vista sua finalidade de proteger a pessoa natural”.

 

A aprovação dos Enunciados acima é bastante importante, já que vão servir de auxílio para que haja decisões uniformes, proporcionando maior segurança jurídica nas decisões relacionadas ao Direito Digital.

Atualmente, grande parte dos sites disponíveis na internet utilizam a tecnologia de navegação denominada “cookies”. Cookies são pequenos arquivos de texto criados por sites visitados e salvos no dispositivo do usuário, com vistas a recordar o status de conexão e algumas informações sobre o internauta. Por meio desta tecnologia, por exemplo, é possível que o site mantenha itens adicionados em um carrinho de compras, lembre informações de login, personalize a exibição da página e até mesmo crie perfis comportamentais dos usuários para fins de publicidade direcionada.

 

Os cookies podem armazenar diversas informações sobre a navegação e os hábitos de utilização da internet dos visitantes de um determinado website, que incluem páginas acessadas, termos pesquisados, produtos comprados, preferências pessoais, dispositivo utilizado e informações utilizadas para preencher formulários, como logins e senha, e-mail, endereço e até dados de cartões de pagamento. Os cookies atribuem um identificador único a cada usuário do site, que contém todas as informações coletadas sobre ele.

 

Nesse contexto, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD) aplica-se também à utilização de cookies em sites, uma vez que tal normativa regula o tratamento de dados pessoais em todo o território nacional, inclusive nos meios digitais. Embora não faça menção específica aos cookies, a LGPD traz um conceito abrangente de dados pessoais, que são definidos como qualquer informação relacionada a uma pessoa natural identificada ou identificável, o que inclui os identificadores por via eletrônica. Nesse sentido, cookies são considerados dados pessoais, uma vez que por meio deles é possível identificar os usuários – pessoas naturais – de determinado site. Portanto, sites que utilizam esta tecnologia necessitam estar adequados aos parâmetros e exigências da LGPD.

 

Em primeiro lugar, o armazenamento de cookies deverá estar lastreado em uma das denominadas “bases legais”, que são as hipóteses expressa e taxativamente previstas na LGPD que autorizam e dão fundamento ao tratamento de dados pessoais. É importante observar que caso a base legal eleita para o tratamento de cookies seja o consentimento do usuário, o site deverá ser adequado de modo a garantir que este consentimento será coletado conforme os parâmetros legais, com a possibilidade do usuário rejeitar o armazenamento de cookies em seu dispositivo e, ainda, revogar seu consentimento.

 

Sobre o tema, é interessante citar a decisão da Corte de Justiça da União Europeia no caso envolvendo a empresa de jogos on-line Planet49 GmbH, que entendeu que o silêncio ou inatividade do usuário, assim como pop-ups com caixas de seleção pré-assinaladas, não configuram consentimento válido para a utilização de cookies[1].

 

No mais, os usuários também deverão ser previamente informados sobre a coleta de cookies ao acessar o site. Isso porque a transparência é um dos pilares da LGPD, que prevê a garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento de seus dados pessoais. Assim, recomenda-se que sites que utilizam cookies incluam em suas políticas de dados pessoais informações sobre quais dados serão coletadas por meio dos cookies, as finalidades de sua utilização, se os cookies serão compartilhados, por quanto tempo serão armazenados e como podem ser excluídos.

 

Sobre o dever de transparência, cabe citar que, em fevereiro de 2022, a Superintendência para Orientação e Defesa do Consumidor do Procon do Mato Grosso do Sul autuou uma rede de lojas de materiais de construção, acabamento, decoração, jardinagem e bricolagem por constatar irregularidades na política de privacidade de seu site, uma vez que não haveria exatidão e clareza na exposição de dados criptografados de cookies expostos a consumidores[2].

 

Por fim, é importante esclarecer que, diante da ausência de previsão legal específica na LGPD, a utilização de cookies poderá ser objeto de futura regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD) no exercício de sua competência normativa.

 

 

[1] Disponível em: https://curia.europa.eu/juris/document/document.jsf;?&docid=218462&doclang=EN&cid=8679428.

[2] Disponível em: https://www.procon.ms.gov.br/procon-ms-autua-leroy-merlin-privalia-james-e-centauro-por-infracao-a-lgpd/.