Coluna Digitopia / Coordenador Marcelo Chiavassa
No último dia 10, fora publicada a Lei 14.010/20[1], a qual por meio do seu artigo 20 altera o artigo 65, da LGPD, acrescendo a este o inciso I-A, que determina aos artigos 52, 53 e 54 da Lei Geral de Proteção de Dados Pessoais (L.13.709/18 – LGPD) a vigência a partir de 1º de agosto de 2021.
Estes artigos dizem respeito às sanções administrativas a serem aplicadas pela Autoridade Nacional, a regulamentação destas, bem como os critérios de dosimetria de eventual pena. Os artigos referentes à ANPD, como é de conhecimento notório, encontram-se em vigor desde 28 de dezembro de 2018 (art.65, inciso I, da LGPD) e os demais artigos da Lei entrariam em vigor em 03 de maio de 2021, em razão da Medida Provisória 959/20, ainda vigente. Caso a Medida Provisória em comento seja rejeitada ou perca a sua eficácia, os demais artigos poderão entrar em vigor em agosto de 2020 (art.62, da Constituição Federal).
Pois bem, sendo assim, com exceção dos artigos referentes à ANPD, a LGPD ainda não se encontra em vigor e mesmo assim, o noticiário tem relatado investigações, celebração de termos de ajustamento de condutas[2] motivadas por violação de dados pessoais, principalmente, por parte de órgãos de defesa do consumidor. Desta realidade, surgem dúvidas como: seriam estas investigações legítimas diante da não entrada em vigor da Lei? Poderiam ser as empresas, após processo administrativo, penalizadas, ainda que os artigos referentes às sanções da LGPD ainda não estejam em vigor? Os titulares de dados pessoais, atualmente, encontram-se desprovidos de proteção no tocante à privacidade e proteção de dados?
A fim de melhor elucidar os pontos propostos, convém citar dois casos relevantes e atuais: Cielo e Faceapp. No último dia 09, a Secretaria Nacional de Defesa do Consumidor notificou a Cielo por suposta tentativa desta de acesso à base de dados pessoais de clientes do setor de Marketplaces, segundo revela a denúncia, os Marketplaces estariam recebendo solicitações da Cielo para compartilhamento de dados “de dados de vendedores cadastrados em suas plataformas, tais como nome do vendedor, CNPJ/CPF, categoria comercial, endereço, cidade, estado, país, CEP, domicílio bancário, prazo de pagamento, dentre outras solicitações”[3].
No caso em tela, conforme notícia divulgada pelo próprio Ministério da Justiça, a Senacon investiga se esta medida traz impactos aos inúmeros consumidores deste setor, além de requerer uma justificativa parar tal exigência por parte da Cielo.
Outro caso relevante é o do FaceApp, aplicativo móvel que realiza edição realistas de fotos baseada em inteligência artificial através de tecnologia neural[4]. Durante a pandemia, o aplicativo ganhou destaque pela sua capacidade de “mudança de gênero” do rosto de seus usuários, e apesar de sua proposta aparentemente inofensiva, o aplicativo levantou novamente diversas questões sobre privacidade.
O FaceApp teve sua primeira aparição no ano de 2019, e se tornou uma febre com a sua funcionalidade de identificação de rostos e envelhecimento de qualquer foto que fosse submetida. E apesar de aparentemente se tratar de um aplicativo comum de filtros para fotos, o aplicativo foi alvo de diversos alertas da comunidade de segurança da informação e privacidade. Isso pois, para que o usuário se utilizasse das funcionalidades do aplicativo, era necessário concordar e aceitar com os termos que permitiam a empresa desenvolvedora do aplicativo a coletar e tratar dados como endereço IP do dispositivo móvel, localização GPS, nome do usuário e até a permissão da utilização de seu rosto da maneira como a empresa quisesse[5].
Diante dessa repercussão, o Procon SP notificou o aplicativo FaceApp, a Apple e o Google, com a finalidade de solicitar esclarecimentos sobre a finalidade pelo qual o aplicativo coletava dados dos consumidores[6]. E em julho de 2019, o Procon SP condenou o Google e a Apple ao pagamento de multa por irregularidades na distribuição do aplicativo, pelo fato da política de privacidade do aplicativo estar toda em língua inglesa, o que impossibilitava que muitos dos consumidores tivessem conhecimento do conteúdo, contrariando o disposto no Código de Defesa do Consumidor que determina que um dos direitos básicos é a informação adequada, clara e em língua portuguesa[7].
Além disso, o ProconSP entendeu também pela responsabilização de ambas pelas cláusulas de privacidade e termos de uso consideradas abusivas pela possibilidade de compartilhamento dos dados do consumidor com as empresas que fazem parte do mesmo grupo, prestadora de serviços e organizações terceirizadas, e pela cláusula que prevê que os dados do consumidor podem ser transferidos para outros países que não tenham as mesmas leis de proteção de dados que as do país de origem, o que implica em renúncia de direitos dos consumidores[8].
Em relação aos dias atuais, é visível que a política de privacidade do FaceApp, agora disponível em língua portuguesa[9], passou por um processo de melhorias. Contudo, ressalta-se que a existência de alguns pontos sobre a política, como o acesso à lista de amigos do usuário no caso do início de sessão realizada através de redes sociais, e a não garantia de segurança das informações que o usuário transmite pelo FaceApp, poderão levantar uma nova discussão acerca da violação de dados dos consumidores.
Nestes exemplos analisados, a promoção de investigações, processos e ações, a partir da legislação já em vigor, de modo a tutelar à proteção de dados é legítima; tanto o Código de Defesa do Consumidor [10](ex. art.6º, inciso III e 43, do CDC), como o Marco Civil da Internet[11] (art.7º, inciso I, II, III, VI, VII, VIII, IX) possuem disposições que abarcam o direito à informação do consumidor de como os seus dados serão tratados, sendo certo que o Marco Civil ainda exige consentimento para coleta, uso e armazenamento de dados pessoais.
Sendo assim, embora, atualmente, não haja uma legislação geral de proteção de dados em vigor, é possível identificar de forma esparsa e setorial legislações que já se preocuparam com a temática da privacidade e proteção de dados, de modo a trazer em seu bojo, ainda que de forma incipiente, esta tutela. Essa é a realidade das relações de consumo e do mundo digital.
Assim sendo, investigações que tenham como motivo violação de dados pessoais perante à legislação consumerista vigente, realizada pelos órgãos de defesa do consumidor são legítimas e podem sim culminarem em aplicação de pena, desde que esta se dê dentro dos parâmetros do art.55 e seguintes, do Código de Defesa do Consumidor.
Deste modo, as empresas envolvidas na cadeia de fornecimento e que coletam dados via web, caso não observem disposições referentes à proteção de dados já presentes na legislação, podem sofrer fiscalizações dos órgãos de defesa do consumidor e Ministérios Públicos. Todavia, não poderiam tais investigações e penalizações serem embasadas na Lei Geral de Proteção de Dados Pessoais, pela simples razão de que esta não se encontra em vigor, fato que culminaria em violação do princípio da legalidade – não pode haver pena, sem lei anterior[12].
Notas e Referências
[1] http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2020/Lei/L14010.htm, acessado em 18 de junho de 2020.
[2] Notícia referente ao TAC celebrado entre Ministério Público do Distrito Federal e Banco Inter, como forma de reparar os danos morais coletivos de caráter nacional decorrentes do vazamento de dados de mais de 19 mil correntistas: https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/sala-de-imprensa/noticias/noticias-2018/10524-2018-12-19-10-27-31, acessado em 18 de junho de 2020.
[3] https://www.novo.justica.gov.br/news/senacon-notifica-cielo-sobre-compartilhamento-de-dados-dos-usuarios, acessado em 18 de junho de 2020.
[4] Disponível em: https://play.google.com/store/apps/details?id=io.faceapp&hl=pt_BR. Acessado em 19/06/2020
[5] Disponível em: https://canaltech.com.br/apps/faceapp-e-uma-prova-de-que-nao-estamos-prontos-para-pensar-sobre-privacidade-144523/ Acessado em 19/06/2020
[6] Disponível em: https://www.procon.sp.gov.br/aplicativo-de-envelhecimento/ Acessado em 19/06/2020
[7] Disponível em: https://www.procon.sp.gov.br/aplicativo-de-envelhecimento-2/ Acessado em 19/06/2020
[8] Disponível em: https://g1.globo.com/sp/sao-paulo/noticia/2019/08/30/procon-sp-aplica-multas-milionarias-em-google-a-apple-por-aplicativo-que-envelhece-rostos.ghtml Acessado em 19/06/2020
[9] Disponível em: https://www.faceapp.com/privacy-pt.html Acessado em 19/06/2020
[10] http://www.planalto.gov.br/ccivil_03/leis/l8078.htm
[11] http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
[12] “(...) tratar do princípio da legalidade no âmbito do Direito Administrativo Sancionador é tarefa complexa e implica analisar obrigatoriamente em três vias, vejamos: a) existência de prévia disposição legal obrigando ou proibindo determinada conduta; b) existência de disposição legal que orbigad determinada Autoridade impor uma Sanção Administrativa e c) existência de disposição legal estabelecendo o procedimento através do qual será imposta a sanção administrativa e em quais padrões quantitativos e qualitativos” (Andrade, Vitor Morais de. Sanções Administrativas no Código de Defesa do Consumidor. Atlas Editora, 2008).
“a lei não é apenas o limite do ato administrativo, mas sua condição e sua base. Em um Estado de Direito, a Administração não se encontra apenas na sua impossibilidade de agir contra legem ou praeter legem, mas é obrigado a agir sempre secundum legem”(STASSUBIOIYKISM, Michel. Traité des Actes Administratifs. Paris, LGDJ, 1973, pg.69, apud SUNDFELD, Carlos Ari. Direito Administrativo Ordenados. São Paulo: Malheiros, 2003, p.30.
Imagem Ilustrativa do Post: Justice // Foto de:Becky Mayhew // Sem alterações
Disponível em: https://www.flickr.com/photos/picture_imperfect/2921579484
Licença de uso: https://creativecommons.org/publicdomain/mark/2.0/
