02 out LGPD NA PRÁTICA: JUDICIÁRIO CONDENA POR COMPARTILHAMENTO DE DADOS PESSOAIS NÃO AUTORIZADOS
Com a plena vigência da Lei Geral de Proteção de Dados – LGPD, começam a surgir as primeiras condenações no judiciário por sua violação. Recentemente uma companhia do ramo de construção e incorporação imobiliária (“Companhia”) foi condenada ao pagamento de indenização a título de dano moral causado pelo compartilhamento de dados pessoais sem a autorização do titular.
A decisão foi proferida no dia 29 de setembro de 2020 e ainda é passível de recurso. De acordo com o titular dos dados (“Cliente”), após a aquisição de um imóvel no bairro de Moema, recebeu contatos não autorizados de instituições financeiras, consórcios, empresas de arquitetura e de construção e fornecimento de mobiliário planejado, serviços estes complementares à venda do imóvel adquirido. Ainda, os documentos comprobatórios de tais contatos apontam que os interlocutores tinham ciência do bem adquiro pelo Cliente, e que tal informação teria sido compartilhada por uma empresa parceira, sendo comprovado que esta seria a Companhia.
É importante ressaltar que as sanções administrativas aplicáveis ao descumprimento da LGPD só entrarão em vigor em agosto de 2021, por força da Lei nº 14.010/2020, que previu a prorrogação da vigência dos artigos 52 a 54 da LGPD, separadamente. Isso não impede, porém, a fiscalização imediata das disposições da LGPD tanto pela Autoridade Nacional de Proteção de Dados (“ANPD”), cuja instituição, funcionamento e organização é regulada por meio do Decreto nº 10.474/2020 quanto a aplicação da LGDP no âmbito cível e penal, via judiciário.
A ANPD ainda não está em pleno funcionamento, logo suas funções de fiscalização e regulação ainda não tiveram grandes impactos no mercado. Isso não afasta, porém, a responsabilidade civil, criminal e consumerista ligada à violação da LGPD pela Companhia, uma vez que não foram prorrogadas nem afastadas as disposições dos artigos 42 e 45 da LGPD, que dispõem, respectivamente, sobre a responsabilidade do controlador ou operador que causar dano em violação à LGPD, e sobre a aplicabilidade das regras de responsabilidade previstas na legislação pertinente, em caso de dano ao consumidor.
Assim, o entendimento da 13ª Vara Cível de São Paulo é de que, além das infrações relacionadas à LGPD, as quais por si só permitem a responsabilização civil da Companhia, houve também a violação do o Código de Defesa do Consumidor e ao artigo 5º da Constituição Federal, dentre os quais se destaca a proteção à privacidade, considerada direito fundamental.
O contrato firmado entre a Companhia e o Cliente prescrevia apenas a possibilidade de inclusão de dados do requerente para fins de “inserção em banco de dados”, sem que tenha sido informado a respeito da utilização dos dados para outros fins que não os relativos à relação jurídica firmada – desta forma, violando o consentimento fornecido pelo Cliente, uma vez que, nos termos do artigo 2º, inciso XII da LGPD, o consentimento deve ser dado para uma finalidade específica. Desta forma, o juízo entendeu que houve a utilização de dados para finalidade diversa e sem que o autor tivesse informação adequada, configurando infração ao art. 6º, II, da LGPD.
Conforme dispõe a LGPD, toda operação realizada com dados pessoais, como as que, incluem, mas não se limitam a, coleta, compartilhamento, produção, recepção, classificação, utilização, acesso, reprodução, transmissão e arquivamento, somente poderão ser realizadas mediante o consentimento do titular dos dados. Adicionalmente, o consentimento deve ser dado para finalidades claras e específicas, de forma que não há a possibilidade de obtenção de um consentimento genérico ou de omissão de finalidades, uma vez que tal caminho pode violar o consentimento concedido.
Por fim, a decisão ainda cita especificamente a infração ao Artigo 2º da LGPD, que prescreve que são fundamentos da disciplina da proteção de dados, dentre outros, o respeito à privacidade, a autodeterminação informativa, a inviolabilidade da intimidade, da honra e da imagem, a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade e a dignidade.
Esta decisão ilustra de forma clara os riscos das empresas que ainda não se adaptaram às regras da LGPD, e chama atenção ao fato de que, em que pese a demora no funcionamento pleno da ANPD e a prorrogação das sanções administrativas previstas na LGPD, o seu descumprimento ainda pode gerar riscos de responsabilidade civil e consumerista, atingindo em esfera judicial o patrimônio da empresa que a violar, a despeito de qualquer processo ou sanção administrativa que possa ser prevista na LGPD.
Equipe de Direito Digital – VBSO Advogados