A APLICABILIDADE DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LEI Nº 13.709/2018) ÀS PESSOAS JURÍDICAS

20/03/2020

Coluna O Novo Processo Civil Brasileiro / Coordenador Gilberto Bruschi

Num mundo em que os dados pessoais possuem cada vez mais um sentido econômico,[1] a proteção de tais elementos se coloca no centro de um debate global sobre a construção de políticas de segurança da informação adequadas para a nova realidade das sociedades hipertecnológicas.

Nesse sentido, no continente europeu, a preocupação dos Estados com uma produção legislativa voltada para a proteção de dados pessoais se iniciou no quartel final do século passado. De fato, em 1970, a Alemanha promulgou o Hessiches DatenschutzgesetzHDSG (Ato de Proteção de Dados de Hesse). Logo em seguida, a Suécia promulgou a Lei nº 289, de 11 de maio de 1973, chamada de Datalagen (Lei de Informação). Em 1977, a Alemanha promulgou a BundesdatenschutzgesetzBDSG (Lei Geral de Proteção de Dados). Na sequência, países como França, Espanha e Portugal seguiram o mesmo caminho e regulamentaram a  proteção de dados pessoais em seus territórios.

Nesse cenário, outros países do bloco demonstraram interesse em tratar do tema, bem como a União Europeia a partir de sua criação. Em razão disso, o Regulamento Geral de Proteção de Dados da União Europeia – GDPR, em vigor desde 25 de maio de 2018, se tornou o principal expoente da consolidação desse processo legislativo. Seguindo a tendência europeia de fortalecimento de políticas de proteção de dados, a partir do fim da década de 1990, países da América do Sul como o Chile, Argentina, Uruguai, Paraguai, Peru e Colômbia desenvolveram leis de proteção de dados pessoais nos moldes do Regulamento Europeu. O Brasil, por sua vez, até recentemente constava de uma lista de cerca de 100 países que não possuíam uma legislação própria sobre a proteção de dados pessoais. Essa lacuna somente foi suprida com a edição, em 14 de agosto de 2018, da Lei nº 13.709, chamada de Lei Geral de Proteção de Dados – LGPD.[2]

A LGPD possui em seu escopo normativo o tratamento de dados pessoais realizado por pessoa natural ou por pessoa jurídica, objetivando a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento do ser humano (art. 1º). No seu campo de aplicação, que irá atingir grande parte das relações comerciais do país, a LGPD buscará reduzir as ameaças relativas ao tratamento ilegal de dados e, concomitantemente, possibilitará que novas relações comerciais e tecnológicas sejam realizadas a partir de uma política nacional de tratamento de dados que será pautada por princípios como a autodeterminação informativa, a privacidade, a liberdade de informação e de comunicação e de opinião, a inviolabilidade da intimidade, da honra e da imagem, a livre iniciativa e a defesa dos dados oriundos das relações consumeristas (art. 2º).

A LGPD comporta em seu texto normativo os novos contornos da política de segurança de dados do país. O seu surgimento está pautado num contexto de ameaças[3] na atividade de tratamento de dados frente aos direitos de personalidade sob uma perspectiva das garantias constitucionais individuais e coletivas. Contudo, o seu texto legal não abarca a defesa jurídica dos dados oriundos de pessoas jurídicas. In verbis:

Art. 5º Para os fins desta Lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Entretanto, ao se analisar o texto legal sob uma ótica sistêmica, é de se destacar que a expressão “dados pessoais”, citada por 149 vezes, objetiva tutelar os dados não apenas das pessoas naturais, mas também os das pessoas jurídicas. Nesse sentido, importante destacar o teor dos arts. 1º e 7º da LGPD:

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Sob a ótica constitucional, constata-se que a Carta Magna, por meio da cláusula geral inserida no inciso III do art. 1º, erigiu o princípio da dignidade da pessoa humana como sendo um dos fundamentos da República, sem fazer distinção entre pessoas físicas e jurídicas. Da mesma forma, ao tratar sobre a ordem econômica e financeira, mais especificamente no estabelecimento dos princípios fundantes da regulação da atividade econômica (art. 170), o legislador constituinte garantiu às pessoas jurídicas uma existência digna com o mesmo tratamento legal conferido às pessoas naturais.

Ainda na Constituição Federal, tem-se que os direitos da personalidade contidos nos incisos X e XII do art. 5º, tais como a honra, a imagem, a voz, a privacidade e a inviolabilidade do sigilo de correspondência, comunicações telegráficas, de dados e telefonemas, são elencados como objeto de tutela jurídica de todas as pessoas integrantes do ordenamento, naturais ou jurídicas. No mesmo sentido, o inciso LXXII do supracitado artigo possibilita a utilização do remédio jurídico-processual do habeas data pela pessoa jurídica para a obtenção de informações que lhe digam respeito.[4] Assim, em razão da proteção dos dados pessoais ser um direito fundamental, bem como uma garantia individual,[5] não seria possível à novel legislação criar uma restrição legislativa que não encontra respaldo no texto constitucional.

Na seara infraconstitucional, o Código Civil assenta essa linha de raciocínio de forma clara e objetiva:

Art. 52. Aplica-se às pessoas jurídicas, no que couber, a proteção dos direitos da personalidade.

Não por outra razão, os Tribunais Superiores já assentaram o entendimento de que a proteção dos direitos da personalidade se aplica às pessoas jurídicas. Nessa perspectiva, o Superior Tribunal de Justiça editou o enunciado de número 227 da sua súmula de jurisprudência, preceituando ser a pessoa jurídica detentora do direito à compensação, por lesão ao seu patrimônio imaterial, quando tiver a sua confiabilidade ou reputação ofendida.

Além disso, na perspectiva do direito empresarial, percebe-se que nem sempre existe uma clara distinção entre a pessoa física e a pessoa jurídica. De fato, nesse sentido, é possível citar, como exemplos, a figura da Empresa Individual de Responsabilidade Limitada – EIRELI (art. 980-A do CC) e da Sociedade Unipessoal Limitada – SUL (art. 1.052, §§ 1º e 2º, do CC). Nestes casos, onde a empresa é uma pessoa, negar proteção à pessoa jurídica implicaria, necessariamente, em deixar a pessoa natural sem a tutela adequada dos seus dados.

Por outro lado, a defesa da extensão dos efeitos da LGPD às pessoas jurídicas também tem fundamento no campo prático. Num mundo marcado pelas elevadas taxas de integrações de mercado, as relações empresariais possuem múltiplos atores, num cenário econômico globalizado. Dessa maneira, em muitas situações, acaba sendo praticamente impossível encontrar um único responsável pela elaboração de um documento dentro de uma empresa. Não raras vezes, relatórios e estudos são realizados por equipes multidisciplinares e o resultado destes documentos torna-se propriedade da própria pessoa jurídica e não dos profissionais que os elaboraram. É preciso considerar ainda que na hipótese de tratamento inadequado desses documentos, quem sofrerá o dano será a pessoa jurídica e não os profissionais responsáveis pela sua elaboração. Note-se, também, que o cenário atual é marcado pela grande incidência de crimes cibernéticos, por meio de violações de dados, ransomware, phishing e ataques de negação de serviço.

Em suma, a análise da questão sob diferentes enfoques conduz o intérprete no sentido de ampliar o campo de incidencia das regras e princípios presentes na LGPD para abranger não apenas as pessoas naturais, mas também as pessoas jurídicas, apesar da restrição contida na parte final do caput do artigo 1º, bem como no art. 5º, incisos I e II do referido Diploma. Defende-se, outrossim, para evitar insegurança jurídica, uma alteração nos mencionados arts. 1º e 5º, incisos I e II, da LGDP, para incluir expressamente a pessoa jurídica como destinatária das normas protetivas dos dados pessoais.

 

Notas e Referências

[1]     De acordo com RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Rio de Janeiro: Renovar, 2008, p. 127, “vivemos em um mundo no qual aumenta o valor agregado das informações pessoais, com uma mudança de paradigma, onde a referencia ao valor em si e de sua dignidade passou a secundário em relação à transformação da informação em mercadoria”.

[2]     Nos termos do seu art. 65, a Lei nº 13.709 entrou em vigor parcialmente em 28 de dezembro de 2018. Os demais dispositivos somente passarão a vigir no dia 15 de agosto de 2020.

[3]    Vejam-se alguns exemplos noticiados pela midia: 540 milhões de dados de usuários do Facebook ficam expostos em servidores da Amazon. Disponível em: <https://g1.globo.com/economia/tecnologia/noticia/2019/04/04/dados-de-540-milhoes-de-usuarios-do- facebook-ficam-expostos-em-servidor.ghtml> . Acesso em 21 de fevereiro de 2020. Uber fecha acordo e pagará US$ 148 milhões por vazamento de dados em 2016. Disponível em: <https://link.estadao.com.br/noticias/empresas,uber-fecha-acordo-e-pagara-us-148-milhoes-por- vazamento-de-dados-em-2016,70002520378>. Netshoes terá de pagar R$ 500 mil por vazamento de dados de milhões de clientes. Disponível em: <https://www.jota.info/paywall?redirect_to=//www.jota.info/tributos-e-empresas/mercado/netshoes- vazamento-dados-clientes-05022019> . Acesso em 21 de fevereiro de 2020. Banco Inter fecha acordo e pagará R$ 1,5 milhão por vazamento de dados. Disponível em: <https://www1.folha.uol.com.br/tec/2018/12/banco-inter-pagara-multa-de-r-15-milhao-por-vazamento- de-dados.shtml> C&A é hackeada e vazam dados pessoais de clientes. <https://www.tecmundo.com.br/seguranca/133753-c- hackeada-vazam-dados-pessoais-clientes.htm>. Acesso em 21 de fevereiro de 2020.

[4]     Nesse sentido, veja-se o seguinte trecho do julgamento realizado no Supremo Tribunal Federal: A legitimatio ad causam para interpretação de Habeas Data estende-se às pessoas físicas e jurídicas, nacionais e estrangeiras, porquanto garantia constitucional aos direitos individuais ou coletivos” (STF – Pleno – Rep. Geral no RE 673.707/MG – Rel. Min. Luiz Fux, j. em17/06/2015).

[5]     Nesse sentido, importante sublinhar a existência de uma Proposta de Emenda à Constituição (PEC n° 17/2019) que visa acrescentar o inciso XII-A, ao art. 5º, e o inciso XXX, ao art. 22, da Constituição Federal para incluir a proteção de dados pessoais entre os direitos fundamentais do cidadão e fixar a competência privativa da União para legislar sobre a matéria. Disponível em: <https://www25.senado.leg.br/web/atividade/materias/-/materia/135594>. Acesso em 21 de fevereiro de 2020.

 

Imagem Ilustrativa do Post: materlo horizontal // Foto de: succo // Sem alterações

Disponível em: https://pixabay.com/pt/martelo-horizontal-tribunal-justi%C3%A7a-802298/

Licença de uso: https://pixabay.com/en/service/terms/#usage

O texto é de responsabilidade exclusiva do autor, não representando, necessariamente, a opinião ou posicionamento do Empório do Direito.

Sugestões de leitura