Por: Sabine Müller[1] e Alexandre Morais da Rosa[2]
Resumo
O artigo tem por objetivo discorrer sobre a Lei 13.709/18, conhecida como Lei Geral de Proteção de Dados Pessoais – LGPD, que entrou em vigor no dia 14 de agosto de 2020, e alterou artigos do Marco Civil da Internet (Lei 12.965/2014), os quais dispõem sobre regras de acesso à internet. Trata-se de tema essencial para o desenvolvimento tecnológico do país e conhecimento de todos, pois o Brasil passou a fazer parte do grupo de países que possuem legislação específica para proteger os dados e a privacidade dos usuários de internet. O artigo usa o método indutivo e possui três capítulos. O Capítulo 1 trata dos Aspectos Gerais da Lei Geral de Proteção de Dados no Brasil, sua vigência e sobre as alterações ocorridas na Lei. 12.965/2014. O Capítulo 2 discorre sobre o Regulamento (UE) do Parlamento Europeu – Regulamento Geral sobre a Proteção de Dados (RGPD) – General Data Protection Regulation (GDPR), lei que serviu de inspiração para a lei brasileira. O Capítulo 3 aborda sobre as consequências da vigência da lei no âmbito das decisões judiciais e traz como exemplo abordagens a respeito da primeira sentença ocorrida no Brasil com base na LGPD – Lei 13.709/18. No final é feita a conclusão.
Palavras-chave: Lei Geral de Proteção de dados no Brasil; Regulamento (UE) do Parlamento Europeu; Decisões judiciais.
ABSTRACT
The article aims to discuss Law 13.709 / 18, known as the General Law for the Protection of Personal Data – LGPD, which came into force on August 14, 2020, and amended articles of the Civil Marco de Internet (Law 12.965 / 2014 ), which provide for internet access rules. This is an essential theme for the country’s technological development and everyone’s knowledge, as Brazil has become part of the group of countries that have specific legislation to protect the data and privacy of internet users. The article uses the inductive method and has three chapters. Chapter 1 deals with the General Aspects of the General Data Protection Law in Brazil, its validity and the changes that occurred in the Law. 12,965 / 2014. Chapter 2 discusses the European Parliament’s Regulation (EU) – General Data Protection Regulation (GDPR) – General Data Protection Regulation (GDPR), a law that served as inspiration for Brazilian law. Chapter 3 discusses the consequences of enforcing the law in the context of judicial decisions and presents as an example approaches regarding the first sentence that occurred in Brazil based on the LGPD – Law 13.709 / 18. In the end the conclusion is made.
Keywords:
General Data Protection Law in Brazil; European Parliament Regulation (EU); Judicial decisions.
Sumário. Introdução. 1. Aspectos Gerais da Lei Geral de Proteção de Dados no Brasil, vigência e alterações na Lei. 12.965/2014. 2. Regulamento (UE) do Parlamento Europeu – Regulamento Geral sobre a Proteção de Dados (RGPD) – General Data Protection Regulation (GDPR). 3. Consequências da vigência da lei no âmbito das decisões judiciais com abordagem a respeito da primeira sentença ocorrida no Brasil com base na LGPD – Lei 13.709/18. Conclusão. Referências.
Introdução
Considerando que vivemos na era da informação eletrônica e gadgets é importante pensar neste momento e dentro do atual contexto social, na grande probabilidade de os registros de nossos dados pessoais que fornecemos nos atos da vida habitual, ao menos de quem vive conectado e se utiliza do comércio eletrônico, v.g., estarem sendo armazenados e utilizados por alguém, por uma empresa ou indústria, ou até mesmo por uma organização.
Também precisamos considerar que as influências futuras geradas pelos ditos armazenamentos de dados, ainda são uma incógnita para a humanidade de todo o planeta, sendo esta, certamente, a razão que originou a necessidade de se proteger estes dados e informações sobre a pessoa, e isso se deu através do surgimento da LGPD no Brasil, que vem obrigando as empresas e prestadores de serviço em geral, a se adequarem conforme o novo regulamento, por isso a importância da reflexão através do presente artigo, que utiliza o método indutivo[3], quanto a metodologia empregada, para entender o novel normativo, suas peculiaridades e possíveis consequências no âmbito jurídico.
O tema sobre a Lei 13.709/18, conhecida como Lei Geral de Proteção de Dados Pessoais, entrou em vigor no dia 14 de agosto de 2020 e é de suma importância, pois dispõem sobre regras de acesso à internet e causa considerável impacto no modo de armazenamento de dados das empresas, a indispensável cautela que se deve ter com estes dados, bem como a necessidade de autorização das pessoas para seu armazenamento e utilização.
O assunto é relevante, pois na época da difusão célere de informações, dados pessoais se concretizam com sendo de alto valor comercial, considerando a possibilidade de transações secundarias destes dados entre as empresas (empresas ou pessoas jurídicas vendem dados), às vezes obtidos de maneira legal ou ilegal, não se sabendo ao certo qual o start da transferência dos dados, surgindo então os possíveis desdobramentos, causando danos e perigos às pessoas.
Quanto à questão do protocolo europeu, General Data Protection Regulation (GDPR), importante mencionar que serviu de inspiração para a norma brasileira, inclusive pela sua precedência, mas que em diversos aspectos ambas são bastante similares, muito embora na primeira, já se discutia a respeito da proteção de dados dos indivíduos desde o final da década de 1990 e inicio de 2000 através de outra norma, sendo que no Brasil passou a ser discutido algum tempo depois.
Por fim, considerando que no mês de agosto/2020, a Lei 13.709/18[4] entrou em vigor no Brasil, a qual dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, entende-se de grande importância trazer o registro, bem como em razão da necessária reflexão, sobre a primeira decisão sucedida no Brasil, que utilizou-a como fundamento para julgar procedente os pedidos autorais de uma parte e condenar a outra a se abster de repassar ou conceder a terceiros dados sobre sua pessoa, sob pena de pagamento de multa diária, bem como ao pagamento de indenização de danos morais[5].
CAPÍTULO 1. ASPECTOS GERAIS DA LEI GERAL DE PROTEÇÃO DE DADOS NO BRASIL (LEI 13.709/18), VIGÊNCIA E ALTERAÇÕES DO MARCO CIVIL DA INTERNET, LEI. 12.965/2014.
Em 2018 foi promulgada a Lei Geral de Proteção de Dados no Brasil, que, conforme já dito, entrou em vigor no dia 14 de agosto de 2020, colocando em evidência a necessária discussão sobre a proteção de dados da pessoa natural, levando em conta o considerável crescimento dos bancos de dados pessoais, além do aumento de transações secundárias realizados diariamente entre as empresas e pessoas jurídicas em geral, sem o consentimento ou autorização da pessoa.
O novo instrumento normativo apresenta como objetivos tutelar a liberdade de expressão, informação, comunicação e opinião, cuidar também da inviolabilidade da intimidade, honra e da imagem da pessoa, prezar pelo desenvolvimento econômico, tecnológico e inovação, normatizar a livre iniciativa, livre concorrência e a defesa do consumidor, prezando pelo resguardo à privacidade, defesa dos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania[6].
Para o Comitê Central de Governança de Dados do Governo Brasileiro[7],
A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei n° 13.709/2018) foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais. […]. Considera-se “tratamento de dados” qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
O art. 6º, da Lei 13.709/2018 dispõe sobre as atividades de tratamento de dados pessoais e o que deverá ser observado quanto a boa-fé e princípios[8]
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Além dos princípios referenciados na própria lei em análise, importante falar sobre outro princípio, o qual está atrelado a questão do consumo na internet e com o considerável crescimento. Trata-se do princípio da vulnerabilidade do consumidor.
Para Rizzato Nunes[9] “haverá relação jurídica de consumo sempre que se puder identificar num dos polos da relação o consumidor, no outro, o fornecedor, ambos transacionando produtos e serviços”. Prossegue o autor[10]
E quando se fala em meios de produção não se está apenas referindo aos aspectos técnicos e administrativos para a fabricação e distribuição de produtos e prestação de serviços que o fornecedor detém, mas também ao elemento fundamental da decisão: é o fornecedor que escolhe o quê, quando e de que maneira produzir, de sorte que o consumidor está à mercê daquilo que é produzido.
Desse modo, as escolhas dos consumidores parecem reduzidas, razão pela qual ele é classificado como vulnerável. Isso sem mencionar que o fator econômico também demonstra a vulnerabilidade, considerando que em geral o fornecedor do produto ou serviço possui mais condições financeiras, logo possui mais poder, afirma o autor[11] complementando a fala.
No meio virtual, essa vulnerabilidade é agravada devido aos diversos problemas e riscos aos quais os consumidores estão submetidos, afirma Marques e Novaes[12].
Além de vulnerável, o consumidor que contrata em ambiente virtual também pode ser considerado hipossuficiente por forças das adversidades e peculiaridades do meio tecnológico. Devido às barreiras para avaliação de um produto e ainda mais a boa-fé́ de um fornecedor, que pode estar em outro hemisfério, a vulnerabilidade do CDC é crescente o número de fraudes sofridas pelo consumidor por meio da internet.
No e-commerce, ou comércio eletrônico, por exemplo, a vulnerabilidade estava ainda mais evidente antes do advento da LGPD, bem como em razão de inúmeros fatores que deixam o consumidor em posição de fragilidade para com o vendedor ou fornecedor. Nesse sentido, prossegue o autor[13] que
Esse novo conceito de vulnerabilidade eletrônica visa reequilibrar essa balança das relações de consumo via comércio eletrônico que atualmente pende para o lado dos fornecedores, trazendo uma reinterpretação do modelo tradicional, de modo a suprir de forma mais abrangente as necessidades do consumidor virtual.
Verifica-se, portanto, que é no e-commerce que ocorrem grande parte das violações de direitos dos consumidores, já que o consumidor raramente se atenta em conhecer as condições do ofertante, a qualidade dos produtos, etc.
Assim, realiza a transação eletrônica, por exemplo, sem se preocupar com os perigos que pode estar submetido, sobretudo quando informa seus dados pessoais como, CPF, RG, endereço, e-mail, telefone, entre outros, para finalizar a transação.
Os dados pessoais são a identidade do individuo. Segundo Doneda[14] “os dados pessoais chegam a fazer às vezes da própria pessoa em uma série de circunstâncias nas quais a sua presença física seria outrora indispensável”. É a partir de suas análises que um banco determina quanto de crédito liberar para um cliente por exemplo, complementa o autor. Explica também, que esses dados pessoais são coletados na medida em que se efetua um cadastro em site específico, ou ainda nas próprias redes sociais, ou através de cookies de navegação. Estes dados ou informações ficam armazenados em um banco de dados, contendo assim dados importantíssimos sobre a vida das pessoas.
Alves[15], em um artigo publicado em 2017, sob o título “Big data: O segredo por trás da Eleição de Trump” para a página eletrônica Showmetech, faz menção sobre o método de perfilização criado pelo pesquisador Michal Kosinski,
Kosinski provou que, com base em uma média de 68 likes do Facebook por usuário, era possível prever sua cor da pele (95% de precisão), sua orientação sexual (88%) e sua filiação aos partidos Democrata ou Republicano (85%). Mas, ele não parou por aí. Inteligência, afiliação religiosa, bem como uso de álcool, cigarro e drogas, tudo poderia ser determinado. Com esses dados era até possível deduzir se os pais de alguém eram divorciados. A capacidade de prever a resposta de alguém era a principal demonstração de força do modelo. Kosinski continuou a trabalhar (…) seu mecanismo já́ era melhor do que psicólogos para avaliar pessoas apenas com base em 10 curtidas de Facebook. 70 curtidas eram suficientes para saber mais até do que os amigos de alguém, 150 mais do que os pais. Para conhecer uma pessoa mais do que o seu parceiro, bastavam 300 curtidas. Com mais likes do que isso era possível conhecer mais até do que a própria pessoa sabia sobre si.
Portanto, com meramente algumas “curtidas” em redes sociais, o controlador pode adquirir a ficha completa da pessoa humana, sendo que é por meio das redes sociais que atualmente se propaga o e-commerce.
De acordo com Bruno Feigelson, Daniel Beker e Geovani Ravagnani[16], “Para se ter uma ideia do arsenal de informação das grandes empresas, já em 2009, grandes varejistas detinham 200 terabytes de dados sobre seus consumidores”.
O inciso I, do art. 5º, da Lei Geral de Proteção de Dados[17] dispõe sobre o que seriam esses dados pessoais, como sendo, a informação relacionada a pessoa natural identificada ou identificável.
Para Nandi[18], podemos citar como exemplos de dados pessoais o nome, endereço, números de documentos que são únicos (RG, CPF, CNH), o monitoramento de dados de consumo, informações de exames laboratoriais, entre muitos outros. Reiterando que o titular dos dados pessoais é toda pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Os direitos do titular estão previstos no art. 18 do dispositivo legal [19], sendo eles: o direito de confirmar a existência de tratamento de seus dados pessoais, acessar seus dados pessoais, de corrigir os dados pessoais; de anonimizar, bloquear ou eliminar dados pessoais, realizar a portabilidade de dados pessoais, obter informações sobre o compartilhamento de dados pessoais, revogar o consentimento dado.
Segundo Nandi[20], outro conceito importante quando se interage com a LGPD é o de “tratamento de dados”, que podem ser definidos como sendo
[…] toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
No art. 5º, II[21], tem-se o termo “dados sensíveis”, que conforme texto original, é definido como:
“Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Para Pinheiro[22], são dados que estejam relacionados a características da personalidade do individuo e suas escolhas pessoais, tais como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou politico, dado referente à saúde ou a vida sexual, dado genético ou isométrico, quando vinculado a uma pessoa natural.
Entende Maciel[23] que referidos dados podem gerar significativos riscos para os direitos e liberdades fundamentais a depender do contexto da sua utilização, por esta razão, são submetidos a um regime especial e mais rigoroso de tratamento.
Bruno Ricardo Bioi[24] enfatiza que os dados sensíveis são uma espécie de dados pessoais que compreendem uma tipologia diferente em razão de seu conteúdo oferecer uma espécie de vulnerabilidade: discriminação.
A norma definiu em seu art. 7º[25] as bases legais para o tratamento de dados, como por exemplo, a obrigatoriedade de haver consentimento do titular, a utilização para implementação e execução de políticas públicas, para estudos de órgãos de pesquisa, execução de contratos, proteção da vida ou integridade física, proteção do crédito, entre outras bases previstas na Lei.
Nos moldes do art. 17 da LGPD[26], toda pessoa natural tem assegurado a titularidade de seus dados pessoais, concomitantemente, tendo garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade.
O art. 8º, também é considerado uma das principais bases normatizadoras de autodeterminação informativa, pois trata do fornecimento do consentimento, hipótese em que é autorizado o tratamento de dados da pessoa natural[27].
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. § 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais. § 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei. § 3º É vedado o tratamento de dados pessoais mediante vício de consentimento. § 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas. § 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei. § 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
Para Nandi[28], pelo dispositivo, as empresas devem documentar procedimentos entre o controlador e o operador, no sentido de facilitar a demonstração dos procedimentos à Autoridade Nacional de Proteção de Dados – ANPD[29]. Devem ainda, promover ações educativas e treinamentos aos seus membros e colaboradores visando à mitigação de riscos e a devida informação aos titulares de dados, dessa forma, estarão seguindo as diretrizes do ordenamento e cumprindo com sua função social, além de estarem se resguardando quanto a possíveis conflitos que possam ocorrer no futuro.
CAPÍTULO 2. REGULAMENTO (UE) DO PARLAMENTO EUROPEU – REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS (RGPD) GENERAL DATA PROTECTION REGULATION (GDPR).
O Regulamento Geral sobre a Proteção de Dados (RGPD) – General Data Protection Regulation (GDPR), entrou em vigor na União Europeia no dia 25 de maio de 2018, tendo sido utilizado como inspiração para a Lei Geral de Proteção de Dados (LGPD) no Brasil e foi avaliado como sendo o maior conjunto de normas de proteção à privacidade online existente desde o princípio da internet, causando impacto não somente na Europa, mas em todo o mundo, considerando o caráter global da rede, bem como porque regulamenta também a exportação de dados pessoais para fora da União Europeia.
Segundo site oficial[30], o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, é datado de 27 de abril de 2016, e é relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, bem como, faz menção sobre a revogação da antecessora Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
A disciplina da proteção de dados pessoais emerge no âmbito da sociedade de informação, como uma possibilidade de tutelar a personalidade do indivíduo, contra potenciais riscos a serem causados pelo tratamento de dados pessoais. A sua função não é a de proteger os dados necessariamente, mas a pessoa que é titular desses dados[31].
Destaca Bruno Ricardo Bioni[32] que o direito comunitário Europeu revela bem a travessia do consentimento no percurso geracional das leis de proteção de dados pessoais, cuja linha evolutiva continua em curso até agora, a começar pela influência das guidelines (orientações) da Organização para a Cooperação e Desenvolvimento Econômico (OCDE) que provocou as primeiras normatizações sobre o tema no direito comunitário Europeu.
A Convenção 108[33] v.g., da década de 1980, de Strasbourg, do Conselho da Europa, é decorrência do movimento promovido pela OCDE para facilitar a harmonização das legislações de proteção de dados pessoais.
Duas décadas depois despontou a Diretiva Europeia de Proteção de Dados Pessoais (Diretiva 95/46/CE), que garantia aos indivíduos o controle sobre as suas informações pessoais.
Dita diretiva, não impunha exclusivamente o direito de o titular dos dados pessoais controlá-los, mas, simetricamente, deveres aos data controllers (quem processa os dados pessoais), no sentido de aperfeiçoar tal estratégia regulatória[34].
Na sequência, apareceu também a Diretiva Europeia 2002/58[35], que se refere ao tratamento de dados e da proteção da privacidade nas comunidades eletrônicas.
Considerando o sucinto histórico apresentado alhures, o que se compreende é que a União Europeia há décadas já́ intuiu a necessidade de proteger os dados das pessoas e a privacidade.
Igualmente, com a evolução global da transmissão de dados e informações, tornou-se mais do que forçoso a evolução da legislação, sobretudo porque tais legislações protegiam os dados, mas eram omissas quanto aos pontos fundamentais.
De acordo com a Autoridade de Controle – Comissão Nacional de Proteção de Dados (CNPD)[36], violação de dados pessoais para o RGPD,
introduz em todas as organizações o dever de reportar certos tipos de violação de dados à entidade supervisora de cada país e aos indivíduos afetados consoantes determinadas condições. Uma violação de dados consiste numa falha de segurança que pode levar à destruição, perda, alteração, divulgação não autorizada, ou acesso a dados pessoais. Isto significa que uma violação de dados pessoais é mais do que perder apenas dados pessoais.
Segundo a comissão, a autoridade supervisora só haverá de ser notificada de uma violação de dados pessoais, se essa falha apresentar riscos para os direitos e liberdades dos indivíduos. Nomeadamente, provocar efeitos de detrimento como descriminação, ameaça à reputação, perda financeira, perda de confidencialidade ou qualquer outra desvantagem social ou económica significativa.
De acordo com a Autoridade de Controle[37], “este processo tem de ser tratado caso a caso”, e prossegue trazendo como exemplo, que “a entidade supervisora terá de ser notificada de perda de dados de clientes quando essa perda colocar indivíduos sob risco de roubo de identidade”. Em contrapartida, faz menção de que a perda ou alteração não apropriada de uma lista de telefones de empregados, v.g., não será normalmente motivo para notificação.
Todavia, prossegue a CNDP, que quando a violação derivar num elevado risco para os direitos e liberdades dos indivíduos, estes também terão de ser notificados diretamente, bem como, informa que em caso de ‘elevado risco’ quer dizer que o risco para notificar os indivíduos é mais elevado do que para notificar a autoridade supervisora. Consta explicação também sobre o tipo de informação que deve constar numa notificação de violação de dados pessoais, a natureza da violação de dados pessoais, as categorias e número aproximado de indivíduos afetados, se possível, além do nome e os detalhes de contato do Encarregado e Proteção de Dados (caso a organização tenha um), ou outros contatos que possam ser utilizados para obter informação.
De acordo com a Autoridade de Controle, no mesmo site supracitado, caso uma violação de dados pessoais que tenha de ser notificada, deverá ser reportada à entidade supervisora num prazo de 72 horas após a organização ter tido conhecimento da mesma. Todavia, o RGPD consente que esta informação seja feita em fases, levando em consideração que será muito provavelmente impossível investigar uma violação de dados neste período de tempo. Prossegue no sentido de que na hipótese de a violação de dados seja suficientemente séria para assegurar a sua divulgação pública, a organização responsável deve fazê-lo sem qualquer demora, sendo que “a falha no cumprimento destes procedimentos implica na aplicação das multas que estão regulamentadas”.
Para Hoffman[38], o RGPD é a alteração mais importante nas normas de privacidade em décadas, e que “as empresas estão trabalhando para implementar mudanças abrangentes em seus sistemas e contratos, e aquelas que funcionam em plataformas que respeitam os regulamentos de privacidade estão em vantagem”. Para a autora,
O Regulamento Geral de Proteção de Dados (“RGPD”) é uma nova lei europeia de privacidade e proteção dos dados. Ele exige proteções de privacidade mais granulares nos sistemas de uma organização, acordos de proteção de dados mais detalhados e uma divulgação mais amigável e detalhada para o consumidor sobre as práticas de privacidade e proteção dos dados de uma organização. O RGPD substitui o regime jurídico atual europeu de proteção de dados de 1995 (conhecido como a “Diretriz de Proteção de Dados”). A Diretriz de Proteção de Dados requeria a transposição para a lei nacional de Membros da UE, que causou um cenário legal de proteção de dados fragmentado na Europa. O RGPD é um regulamento europeu que tem um efeito jurídico direto em todos os Países-Membros da UE, ou seja, não precisa ser transposto para uma lei nacional dos Países-Membros para se tornar obrigatório. Isso aumentará a consistência e a aplicação harmoniosa da lei na UE.
Prossegue Hoffman, que[39]
Ao contrário da Diretriz de Proteção dos Dados, o RGPD é relevante para qualquer empresa que opera globalmente, não apenas aquelas localizadas na EU. Sob o RGPD, as organizações podem entrar no escopo se (i) a organização é sediada na EU ou (ii) a organização não é sediada na EU, mas as atividades de processamento de dados estão relacionadas a indivíduos da EU e à oferta de produtos e serviços a eles, ou ao monitoramento de seu comportamento.
Importante neste momento clarear a respeito da cooperação internacional, pois no Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia, aplica-se ao tratamento de dados pessoais, realizado dentro ou fora da União Europeia, conforme dispõe o artigo 3º da RGPD[40] , que determina que o regulamento
aplica-se “ao tratamento de dados pessoais no contexto das atividades de um estabelecimento de um controlador ou processador na União Europeia, independentemente de o processamento ocorrer dentro ou fora da União Europeia”.
Zeller, Trakman e Walters[41] ponderando sobre a RGPD da União Europeia, enfatizam que há circunstâncias em que as leis de um país estrangeiro podem diferir expressivamente das leis da União Europeia, mas que os dados ainda podem ser transferidos, desde que consideradas algumas regras impostas pelos órgãos regulamentadores da RGPD Europeia.
De acordo com o Regulamento Geral sobre a Proteção de Dados Europeu que inspirou a LGPD no Brasil, dados pessoais são qualquer informação relacionada a um indivíduo identificado ou identificável.
Para Hoffman[42] este é um conceito bastante amplo, pois abrange qualquer informação que poderia ser usada sozinha ou em combinação com outras informações para identificar uma pessoa.
Importante o registro de que dados pessoais não são exclusivamente o nome ou endereço de e-mail do indivíduo, pois eles podem englobar dados como informações financeiras ou, em alguns casos, inclusive um endereço IP (protocolo de internet).
No mais, existem determinadas categorias de dados pessoais que é oferecido um nível maior de proteção de dados devido à sua natureza delicada ou sensível, como também faz menção a lei brasileira, conforme analisado no capitulo 1, pois estas categorias de dados, explica a autora[43], são elementos sobre a origem étnica e racial do indivíduo, ou ainda, “opiniões políticas, crenças religiosas e filosóficas, filiação a sindicatos, dados genéticos, dados biométricos, dados de saúde, informações sobre a vida sexual ou orientação sexual de uma pessoa e informações da ficha criminal”.
Sobre a autorização ou consentimento, o RGPD prevê regras rigorosas em matéria de tratamento de dados com fundamento no consentimento dos titulares, sendo que o objetivo destas regras é assegurar que o titular dos dados perceba para o que é que está se dando consentimento, conforme sítio Web oficial da União Europeia[44]
Isto significa que o consentimento deve ser dado de forma livre, específica, informada e inequívoca, por meio de um pedido apresentado numa linguagem simples e clara. O consentimento do titular dos dados deve ser dado através de um ato positivo, por exemplo assinalando uma casa ou assinando um formulário. Sempre que um titular dê consentimento para o tratamento dos seus dados pessoais, só pode tratar esses dados para as finalidades para as quais o consentimento foi dado. O titular tem de ter possibilidade de retirar o consentimento.
De acordo com as regras da EU, em matéria de proteção de dados, deve se tratar os dados de uma forma lícita e equitativa, para fins específicos e legítimos e apenas na medida em que tal for necessário para esses fins. Segundo consta no sítio Web oficial da União Europeia, para poder tratar sobre dados pessoais, deve certificar-se de que preenche as seguintes condições[45]:
Obteve o consentimento do titular dos dados; o tratamento é necessário para executar um contrato no qual o titular dos dados é parte; o tratamento é necessário para cumprir uma obrigação legal; o tratamento é necessário para defender os interesses vitais do titular ou de outra pessoa; o tratamento é necessário para exercer funções de interesse público; o tratamento é necessário no interesse legítimo da sua empresa, desde que os direitos e liberdades fundamentais dos titulares dos mesmos não sejam afetados de forma significativa. Se os direitos dos titulares prevalecerem sobre os interesses da sua empresa, então não pode tratar os dados pessoais.
O RGDP também regra sobre o acesso e direito à portabilidade dos danos e o direito de corrigir estes dados, bem como o direto de oposição[46]
Os titulares dos dados têm direito a aceder aos respetivos dados pessoais de forma gratuita. Se um titular lhe pedir para aceder aos seus próprios dados pessoais, deve: informá-lo de se os dados pessoais em questão estão a ser tratados; dar-lhe informações sobre o tratamento (finalidade do tratamento, categorias de dados pessoais tratados, destinatários dos dados, etc.); fornecer-lhe uma cópia dos dados pessoais que estão a ser tratados (num formato acessível).
Prossegue o sítio Web oficial[47], que sempre que o tratamento tiver por fundamento o consentimento ou um contrato, o titular pode igualmente solicitar que lhe devolva os seus dados pessoais ou os transmita a outra empresa. “Trata-se do direito à portabilidade dos dados”, sendo que “os dados devem ser apresentados num formato de uso corrente que permita a leitura automática”. Ainda, se o titular dos dados avaliar que os seus dados pessoais estão incorretos, não completos ou impróprios, tem o direito de os retificar ou completar.
Deste modo, pode-se afirmar que a transferência de dados através das fronteiras internacionais é possível pelo protocolo na União Europeia. Para ajudar a facilitar esse processo, a RGPD, através do artigo 44, estabelece que[48]:
Qualquer transferência de dados pessoais que sejam ou venham a ser objeto de tratamento após transferência para um país terceiro ou uma organização internacional só́ é realizada se, sem prejuízo das outras disposições do presente regulamento, as condições estabelecidas no presente capitulo forem respeitadas pelo responsável pelo tratamento e pelo subcontratante, inclusivamente no que diz respeito às transferências ulteriores de dados pessoais do país terceiro ou da organização internacional para outro país terceiro ou outra organização internacional. Todas as disposições do presente capítulo são aplicadas de forma a assegurar que não é comprometido o nível de proteção das pessoas singulares garantido pelo presente regulamento.
O artigo 45 permite que o Comitê Europeu avalie a adequação da proteção à transferência de dados. A transferência para um país fora da União Europeia pode ser realizada desde que sejam aplicadas as garantias de proteção de dados adotadas pela Comissão.
Analisando as reflexões trazidas neste capítulo, podemos verificar que o GDPR entrou em vigor na União Europeia em 25 de maio de 2018 e serviu como inspiração para a promulgação da lei brasileira, na medida em que a falta de uma lei especifica no Brasil poderia ocasionar inúmeros prejuízos ao país.
Imaginamos que a carência de legislação nestes moldes poderia, de acordo com o GDPR, até mesmo dificultar a transposição de dados para o Brasil, diante da inconformidade do nosso ambiente regulatório.
A LGPD e o GDPR apresentam muitas similitudes, pois ambos apresentam disposições parecidas com relação ao consentimento dos titulares dos dados pessoais, ônus da comprovação da aquisição do consentimento, direito de conhecimento dos titulares, portabilidade de dados, responsabilidade dos agentes, indicação do encarregado pelo tratamento dos dados e previsão de parâmetros de segurança para o seu tratamento, inclusive a guarda dos dados.
CAPÍTULO 3. CONSEQUÊNCIAS DA VIGÊNCIA DA LEI NO ÂMBITO DAS DECISÕES JUDICIAIS COM ABORDAGEM A RESPEITO DA PRIMEIRA SENTENÇA OCORRIDA NO BRASIL COM BASE NA LGPD – LEI 13.709/18.
Para Piccoli[49] “As mudanças em escala exponencial provocadas pelas disfunções tecnológicas vêm transformando nossas vidas em todos os aspectos.” Prossegue o autor, no sentido de que “precisamos adotar uma nova mentalidade para acompanhar as disrupções da sociedade digital, porque novos comportamentos ‘em rede’ refletem em todos os negócios e setores.”
Segundo o autor[50]
Atualmente, todas as organizações, principalmente as mais verticalizadas e com a ótica linear, são impactadas pelo uso das tecnologias exponenciais. Alguns sequer sobrevivem ao desafio de se adaptar aos novos concorrentes, que já nascem com base digitais.
Vivemos tempos absolutamente diferentes, tudo muda a uma velocidade espantosa e a tecnologia se encarrega de tornar obsoleto o que ontem era uma grande novidade, e considerando todas estas mudanças instigadas pelas disfunções tecnológicas que causam impactos em tudo e na vida de todos, surgem decisões no âmbito jurídico que devem ser pautadas de acordo com a nova realidade e com fundamento normativo novos, adaptáveis e adequados, ainda que possam gerar grandes impactos na sociedade, nos negócios e em diversos setores.
Por tudo isso e considerando o advento da LGPD no Brasil, bem como sua vigência recente, no presente capítulo a reflexão ficará por conta da primeira sentença que utilizou a Lei Geral de Proteção de Dados no Brasil (Lei 13.709/18), como base e fundamento de sentença, juntamente com outros dispositivos legais já existentes e adequados ao caso.
Trata-se do processo digital n. 1080233-94.2019.8.26.0100[51] de Indenização por Dano Moral que tramita na 13º Vara Cível da Comarca de São Paulo. A juíza TYK, determinou que a ré CBR S.A, não mais repassasse os dados pessoais de clientes a terceiros sem autorização. Ainda, em caso de descumprimento, foi concedida liminar com previsão de multa diária no valor de R$ 300,00.
De acordo com o processo, a ação foi ajuizada porque o autor FVC vinha sendo assediado por telefone, WhatsApp e e-mail, por diversas empresas que tiveram acesso a seus dados pessoais depois da compra de um imóvel com a construtora ré CBR S.A.
Na inicial, consta explicação da parte autora de que os contatos começaram a partir da compra do imóvel e sempre fizeram referência à compra. Logo, não restou dúvidas do start e, que os dados autorais foram originalmente colhidos para vias de identificação do autor como cliente da ré. De acordo com o que se lê da própria defesa da construtora ré, foi para a criação de registro positivo em nome do autor FVC, para a veiculação das informações de adimplementos.
Observa-se pela leitura do processo que os advogados da parte fundamentam que o compartilhamento dos dados incide na Lei do Cadastro Positivo (Lei 12.414/2011), Lei do Marco Civil da Internet (Lei 12.965/2014), dos princípios da Lei Geral de Proteção de Dados (Lei. 13.709/18) e no Código de Defesa do Consumidor (Lei 8.078/90).
Consta pedido de tutela de urgência para que a ré se abstivesse de repassar, vazar, vender, alugar, entregar ou doar os dados pessoais, financeiros e/ou sensíveis do autor para terceiros, sem a sua devida autorização, sob pena de multa diária de R$ 300,00, por contato indevido realizado por terceiros.
Esta a sentença do processo digital n. 1080233-94.2019.8.26.0100[52]
Vistos. FVC moveu a presente ação em face de CBR S.A. para, em suma, aduzir que as partes teriam firmado instrumento contratual cujo objeto seria a aquisição de unidade autônoma de empreendimento imobiliário de responsabilidade da ré. Esta, contudo, teria compartilhado dados do autor a empresas estranhas à relação contratual, o que lhe teria causado dano de natureza extrapatrimonial. Assim, requereu a condenação da requerida à obrigação de não fazer, bem como ao pagamento de indenização por dano moral (fls. 01/51). Apresentou documentos às fls. 52/154. A decisão de fl. 155 deferiu a tutela provisória requerida, com a fixação de multa em caso de descumprimento. A ré́ apresentou contestação para, […]. Ainda apresentou pretensão reconvencional para requerer a condenação do réu ao pagamento de indenização a título de dano moral (fls. 170/202. Apresentou documentos às fls. 203/363. Réplica […]. Decido. A presente demanda tem por objeto a aduzida ilicitude da conduta da ré́ em supostamente transmitir dados titularizados pelo autor a empresas estranhas ao objeto do contrato firmado entre as partes. A requerida, por seu turno, apresenta como impeditivos do direito do requerente os seguintes fundamentos: a) ausência de sua responsabilidade; b) falta de prova do fato alegado pelo autor como constitutivo de seu direito; c) inexistência de nexo causal; d) não caracterização de dano moral. É incontroverso que o autor celebrou com a ré́ instrumento contratual por meio do qual forneceu seus dados pessoais, dentre os quais nome, endereço, profissão, estado civil. Acerca do tratamento de tais dados, as cláusulas 2.21.8 apontou a autorização do ora autor em ter seus dados incluídos em cadastro positivo (fl. 88). Não há dúvida que a relação entre as partes é de natureza consumerista como restou assentado na decisão de fls. 627/630 de sorte que um dos direitos fundamentais do consumidor é de acesso à informação adequada acerca dos serviços que lhes são postos à disposição. Especificamente sobre o assunto referente ao tratamento de dados, a Lei no 13.709/2018 (Lei Geral de Proteção de Dados LGPD) prescreve que são fundamentos da disciplina da proteção de dados, dentre outros, o respeito à privacidade, a autodeterminação informativa, a inviolabilidade da intimidade, da honra e da imagem, a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade e a dignidade (art. 2o). Vê̂-se, portanto, que os referidos diplomas (CDC e LGPD) encontram-se em consonância com os princípios fundamentais da República expressos na Constituição Federal de 1988, especialmente o respeito à dignidade humana (art. 1o, III, CF/88), a construção de uma sociedade livre, justa e solidária (art. 3o, I, CF/88) e a promoção do bem de todos sem preconceitos (art. 3o, IV, CF/88). Exsurge de tais valores o vetor que direciona a tutela dos direitos fundamentais como pilar inarredável do Estado Democrático de Direito, em que as garantias e os direitos individuais sequer são passiveis de serem infirmados ou reduzidos pelo Poder Constituinte Derivado (art. 60, § 4o, IV, CF/88). O rol do art. 5o da CF/88 apresenta diversos direitos fundamentais, que devem ser garantidos e protegidos pelo Estado (eficácia vertical), bem como observados pelos particulares em suas relações (eficácia horizontal), o que sequer demanda mediação pela via da legislação ordinária. São direitos fundamentais a honra, o nome, a imagem, a privacidade, a intimidade e a liberdade (art. 5o, caput, V e X, CF/88), o que é complementado pelo tratamento despendido pelas normas infraconstitucionais (v.g. arts. 11 a 21 do Código Civil, 6o do Código de Defesa do Consumidor). Ressalte-se que a própria proteção ao consumidor é um direito fundamental (art. 5o, XXXII, CF/88), sendo um dos fundamentos da ordem econômica (art. 170, V, CF/88). Tendo em vista a característica da historicidade e a inexequibilidade dos direitos fundamentais, outros podem ser construídos e incluídos na proteção dispendida a interesses dotados de relevância jurídica (art. 5o, § 2o, CF/88), especialmente ante a dinamicidade das relações econômicas e sociais do modo de produção/reprodução de vida contemporâneo. É nesse contexto que os dados surgem como bens jurídicos tutelados pela ordem jurídica, porquanto relacionados a diversos outros direitos também fundamentais, conforme o supracitado art. 2o da LGPD. O fornecedor de serviços, portanto, está livre para atuar na exploração do mercado de consumo, contudo, deverá fazê-lo tendo por baliza a função social da propriedade e dos contratos (art. 170, III, CF/88) e a proteção da parte hipossuficiente da relação. Condutas que violem direitos fundamentais e outros assegurados no ordenamento jurídico nacional são ilícitas (arts. 186, 187, 422 e 2.035, parágrafo único, Código Civil) e devem ser reprimidas e reparados os danos daí decorrentes. No caso em comento, resta devidamente comprovado que o autor foi assediado por diversas empresas pelo fato de ter firmado instrumento contratual com a ré́ para a aquisição de unidade autônoma em empreendimento imobiliário. Os documentos de fls. 107/146 e 1080/1087 confirmam que recebera o contato de instituições financeiras, consórcios, empresas de arquitetura e de construção e fornecimento de mobiliários planejado pelo fato de ter adquirido imóvel junto à requerida. Tanto que tais documentos apontam que os interlocutores tinham ciência de que o bem adquirido pelo autor era o denominado “THERA IBIRAPUERA” (fls. 107, 109, 110, 112, 132, 136). O próprio autor, em resposta a uma dessas mensagens, pergunta como que o interlocutor teve acesso aos seus dados, e a resposta, que merece ser transcrita, foi a seguinte (fl. 111 verbis): F, Bom dia! Nós trabalhamos com diversas parcerias para oferecermos nossa consultaria em questão a quitação de empreendimentos de algumas construtoras. Não sei ao certo quem passou o seu contato. Patente que “parceiros” obtiveram os dados do autor para que pudessem fornecer a ele serviços estranhos aos prestados pela própria requerida. No entanto, cientes do especificamente do empreendimento em relação ao qual o autor adquiriu uma unidade autônoma. Inclusive com propostas para pagamento do preço do imóvel por financiamento ou consórcio e compra e instalação de móveis planejados para o bem. A prova testemunhal colhida corrobora a prova documental. A testemunha Sr. AEAL apontou que também havia adquirido imóveis de empreendimentos da requerida e que recebera ligações inconvenientes e indesejadas de empresas de móveis e instituições financeiras, as quais se iniciam apenas após a efetivação da aquisição dos bens (fls. 798/801). Patente que os dados independentemente de sensíveis ou pessoais (art. 5o, I e II, LGPD) foram tratados em violação aos fundamentos de sua proteção (art. 2o, LGPD) e à finalidade específica, explícita e informada ao seu titular (art. 6o, I, LGPD). O contrato firmado entre as partes prescreveu apenas a possibilidade de inclusão de dados do requerente para fins de inserção em banco de dados (“Cadastro Positivo”), sem que tenha sido efetivamente informado acerca da utilização dos dados para outros fins que não os relativos à relação jurídica firmada entre as partes. Entretanto, consoante prova documental acima indicada, houve a utilização para finalidade diversa e sem que o autor tivesse informação adequada (art. 6o, II, LGPD). Nesse mesmo sentido intuitivo, o disposto no artigo 6o, III e IV, do Código de Defesa do Consumidor. Isto posto, a responsabilidade da ré́ é objetiva (arts. 14, caput, CDC e 45, LGPD). Inexiste suporte para a exclusão de responsabilidade (art. 14, § 3o, I a III, CDC), de sorte que caracterizado o ato ilícito relativo a violação a direitos de personalidade do autor, especialmente por permitir e tolerar (conduta omissiva) ou mesmo promover (conduta comissiva) o acesso indevido a dados pessoais do requerente por terceiros. Irrelevante se a ré́ possui mecanismos eficazes para a proteção de dados, seja porque se sujeita às normas consumeristas em relação à sua responsabilidade, bem como pelo fato de que houve utilização indevida dos dados do requerente em decorrência do contrato firmado entre as partes. Sendo a responsabilidade objetiva, não há suporte para se inquirir a existência de culpa ou a presença de suas modalidades (imperícia, negligência ou imprudência). Tampouco desnecessário aferir se outras pessoas físicas ou jurídicas participaram da ilicitude (como no caso de corretores de imóveis), porquanto todos que participam da cadeia produtiva respondem de forma solidária pelos danos causados (arts. 7o, parágrafo único, e 25, I, CDC). A própria testemunha da ré, Sr. CECP, afirmou que não seria impossível que corretores compartilhassem dados dos clientes, bem como teria trabalhado como corretor em alguns empreendimentos da ré́ e que esta não teria treinamento que abordasse sigilo de dados (fls. 798/801). Ressalte-se que a necessária informação adequada e clara dos conteúdos do serviço e a proteção à saúde e segurança (inclusive a integridade psicológica) do consumidor são objeto de prescrição normativa antes mesmos da LGPD, seja pelo regime de direitos fundamentais decorrentes da CF/88, como também pelas normas do Código Civil e CDC. Não por outro motivo, por exemplo, são nulas cláusulas que sejam incompatíveis com a boa-fé́ (art. 51, IV, CDC e 187 e 422, Código Civil), que ofendam princípios fundamentais do sistema jurídico (art. 51, § 1o, I, CDC) ou que restrinjam direitos fundamentais inerentes à natureza do contrato (art. 51, § 1o, II, CDC). O nexo causal, por seu turno, resta caracterizado. Fora comprovado que após a contratação surgiram os contatos de empresas terceiras, que tiveram acesso a dados do autor por conta da contratação efetivada com a ré́. Em realidade, tal expediente se observa costumeiramente no mercado imobiliário, o que não pode deixar de ser apreciado pelo julgador (arts. 374, I, e 375, Código de Processo Civil). O autor se desincumbiu de seu ônus probatório referente à prova do fato constitutivo de seu direito, enquanto não o dez a requerida em relação ao fato impeditivo por si aduzido (art. 373, Código de Processo Civil). Os documentos colacionados pela ré́ às fls. 828/838 nada provam. Trata-se de meras declarações prestadas por terceiros, e porque o fato de existir a aduzida segurança no tratamento de dados não impediu que esses fossem utilizados de forma indevida. O dano a esfera extrapatrimonial também fora demonstrado. Justamente por conta do ato ilícito relativo ao acesso de dados titularizados pelo autor a terceiros, houve violação a direitos de personalidade (intimidade, privacidade, nome). O dano, nesta hipótese, decorre do próprio ilícito (in re ipsa), e resta corroborado pelos documentos que comprovam que o requerente fora assediado por diversas empresas por conta da conduta ilícita da requerida (fls. 107/146 e 1080/1087). Tendo em vista as circunstâncias do caso concreto, a gravidade e a natureza do dano, as condições econômico-financeiras das partes e as particularidades do caso concreto, fixo a reparação a título de dano moral no importe de R$ 10.000,00 (dez mil reais), nos termos do artigo 944 do Código Civil. Ante a natureza constitutiva de tal provimento, a correção monetária deverá ser feita pela tabela prática do TJSP desde a data da publicação da sentença e os juros moratórios de 1% (um por cento) ao mês incidirão a contar da data do trânsito em julgado. Ao revés, a pretensão reconvencional não merece acolhimento. […]. Pelo exposto, JULGO IMPROCEDENTE a pretensão reconvencional e PROCEDENTES os pedidos autorais, com a confirmação da tutela provisória inicialmente deferida, para: a) condenar a ré a se abster de repassar ou conceder a terceiros, a título gratuito ou oneroso, dados pessoais, financeiros ou sensíveis titularizados pelo autor, sob pena de multa de R$ 300,00 (trezentos reais) por contato indevido; b) condenar a ré ao pagamento de indenização a título de dano moral no importe de R$ 10.000,00 (dez mil reais), atualizado pela tabela prática do TJSP desde a data da publicação desta sentença e acrescido de juros moratórios de 1% (um por cento) ao mês a contar da data do trânsito em julgado. Ante a sucumbência, especialmente em decorrência do teor da Súmula no 326 do Superior Tribunal de Justiça, arcará com a ré́ com a integralidade das custas e das despesas processuais, bem como com os honorários ao advogado do autor no importe de 10% (dez por cento) do valor total da condenação. Pela improcedência da reconvenção, arcará a ré́-reconvinte também com honorários ao patrono do reconvindo no percentual de 10% (dez por cento) sobre o valor da causa dado à reconvenção, atualizado pela tabela prática do TJSP desde a data da apresentação da pretensão (20/09/2019). Essa verba honoraria deverá ser acrescida de juros moratórios de 1% (um por cento) ao mês a contar da data do trânsito em julgado.
P.R.I.
São Paulo, 29 de setembro de 2020.
Pela leitura da decisão, pode-se conferir que a ré tinha parceiros, sendo que estes tiveram acesso aos dados do autor para que pudessem fornecer a ele serviços ausentes aos prestados pela própria requerida e, que os ditos parceiros, tinham, inclusive, ciência exata do empreendimento em relação ao qual o autor adquiriu uma unidade autônoma, ou seja, sabiam de dados específicos até mesmo do imóvel adquirido da construtora ré. Observa-se que houve até mesmo propostas para pagamento do preço do imóvel por financiamento ou consórcio e compra e instalação de móveis planejados para o bem, conforme se extrai da sentença.
A magistrada motiva a decisão no sentido de que a violação da ré não foi somente na Lei Geral de Proteção de Dados, mas também infringiu o Código de Defesa do Consumidor e dispositivos da Constituição Federal, entre eles aqueles que se referem ao respeito à dignidade da pessoa humana[53], construção de uma sociedade livre, justa e solidária e a promoção do bem de todos, sem preconceitos[54].
Fundamenta ainda que o rol constante do art. 5º da Constituição Federal, proporciona vários direitos fundamentais que devem ser assegurados e resguardados pelo Estado, assim como notados pelos particulares em suas relações, o que sequer demandaria mediação pela via da legislação ordinária. Ditos direitos fundamentais são a honra, o nome, a imagem, a privacidade, a intimidade e a liberdade, o que é complementado pelo tratamento despendido pelas normas infraconstitucionais, esclarece a juíza.
Logo, o que se observa é que alguns atores compreendem que os direitos ligados à privacidade e à proteção dos dados, tão-somente passaram a existir com o advento da Lei Geral de Proteção de Dados e sua entrada em vigor faz cerca de dois meses, entretanto, a verdade é que o novo ordenamento apenas associou uma série de normativas que estão presentes no ordenamento jurídico brasileiro.
Para Doneda[55]
O tratamento autônomo da proteção de dados pessoais é uma tendência hoje fortemente enraizada em diversos ordenamentos jurídicos e é caso emblemático de uma tendência que, a princípio, parecia apenas destinada a mudar determinado patamar tecnológico e a solicitar previsões pontuais no ordenamento, mas que, em seus desdobramentos, veio a formar as bases para o que vem sendo tratado, hoje, como um direito fundamental à proteção de dados.
Prossegue que,
A aludida “progressão geracional” das leis sobre proteção de dados pessoais faz referência, não por acaso, a uma linguagem própria da informática e exprime a lógica da busca por modelos jurídicos mais ricos e completos. Não obstante essa sua marcada mudança de perfil com os anos, é possível reagrupar materialmente seus objetivos e linhas de atuação principais em torno de alguns princípios comuns, presentes em diversos graus em ordenamentos vários – no que podemos verificar uma forte manifestação da convergência das soluções legislativas quanto à matéria em diversos países, bem como uma tendência sempre mais marcada rumo à consolidação de certos princípios básicos e sua vinculação sempre mais estreita com a proteção da pessoa e com os direitos fundamentais.
Portanto, entende-se que devem ser estabelecidos meios de garantia para o cidadão, no sentido de que não possa haver um sistema de armazenamento de informações pessoais, cuja existência seja conservada em segredo e deve existir um modo pelo qual a pessoa possa descobrir quais informações a seu respeito estão contidas em um registro e de que maneira ela é utilizada.
No panorama do ordenamento brasileiro, o autor[56] afirma que,
o reconhecimento da proteção de dados como um direito autônomos e fundamental não deriva de uma dicção explícita e literal, porém da consideração dos riscos que o tratamento automatizado traz à proteção da personalidade à luz das garantias constitucionais de igualdade substancial, liberdade e dignidade da pessoa humana, juntamente com a proteção da intimidade e da vida privada.
Então, a proteção de dados pessoais no ordenamento brasileiro, não está construída a partir de um complexo de normas singular, considerando que a CF/88 contempla o problema da informação primeiramente por meio das garantias à liberdade de expressão e do direito à informação, confrontados com a proteção da personalidade e à privacidade.
Conclusão
Considerando os dados, reflexões e apontamentos apresentados nos 3 capítulos, podemos concluir que o estudo demonstrou que as preocupações com os impactos das novas tecnologias nas esferas menos penetráveis da vida de cada pessoa humana não é uma preocupação apenas nossa, mas sim de todas as pessoas do planeta, sendo que a União Europeia desponta em termos de legislação, pois são diversos ordenamentos jurídicos e avanços na tutela da privacidade dos indivíduos originários dela desde a década de 1990.
Na Europa, múltiplas foram as produções normativas que inquiriram o amparo da privacidade e da intimidade, de maneira especial do direito à proteção de dados, atualmente elevado o patamar de direito autônomo em relação à privacidade, em razão da especialidade de regras e princípios que ordenam o RGPD.
Medidas legislativas são sempre bem-vindas e imprescindíveis, ainda mais considerando que o dado pessoal tem sido um dos essenciais componentes da data driven economy, que traduzindo significa “economia dirigida por dados”, pois são cada vez mais processados e valorados economicamente, bem como considerados como sendo uma preciosa ferramenta para tomada de importantes decisões para empresas e organizações nacionais e estrangeiras.
Com a aspiração de se adequar ao cenário mundial na busca da proteção de dados, o Poder Legislativo brasileiro entendeu por bem em editar a Lei nº 13.709/2018, a LGPD, que entrou em vigor em agosto de 2020, passando a ser considerado um grande avanço atrelado ao marco regulatório da proteção de dados no país e com o compromisso de conferir novos paradigmas à tutela normativa da privacidade e da intimidade dos indivíduos, provocando significativos impactos em todas as áreas do direito, com o principal objetivo de resguardar os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, conforme consta no primeiro artigo da lei analisada.
Todavia, não podemos deixar de observar que não foi apenas a proteção à pessoa humana o fundamento para o advento da lei. Certamente houve razões de ordem econômica para o advento da norma, pois o regulamento procura impedir o risco de isolamento das empresas brasileiras do mercado global e transacional, bem como as perdas de competitividade e de investimentos estrangeiros, razão pela qual necessário foi o emparelhamento com a norma vigente na União Europeia.
Quanto a primeira sentença ocorrida no Brasil que utilizou a LGPD como um dos fundamentos para embasar a procedência do pedido da parte autora, podemos verificar que a própria Constituição Federal/88, traz em seu bojo essa proteção estampada (artigo 5º), bem como observa-se que a Lei do Cadastro Positivo faz regramentos detalhados e precisos que se adequam ao caso, além do Marco Civil regulatório da Internet (Lei 12.965/2014), que pode ser considerada a legislação vanguardista do Brasil sobre o tema e é reconhecida em todo o mundo.
Logo, muito embora a LGPD venha a fazer parte do ordenamento jurídico brasileiro de forma contributiva e no sentido de obrigar a todos que se deve por respeito, ter cautela, resguardar os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, já haviam leis com previsões que impediam o tratamento de dados de forma inadequada, inclusive algumas ações com base no Código de Defesa do Consumidor, que possui regramentos sobre o vício na prestação de serviços, além da própria Constituição, é claro.
Agora, uma vez dado o pontapé inicial no âmbito jurisdicional com a primeira decisão a utilizar o ordenamento estudado como fundamento, nos resta aguardar as demais decisões, bem como os possíveis recursos que porventura surgirão nos Tribunais Pátrios para se fazer uma posterior análise quanto aos desdobramentos e consequências.
Referências
ALVES, Paulo. BIG DATA: o segredo por trás da eleição de Trump. 2017. Site Showmetech. Disponível em: <https://www.showmetech.com.br/big-data-trump/>. Acesso em 02 Nov. 2020.
Autoridade de Controle. Comissão Nacional de Proteção de Dados (CNPD) https://mydataprivacy.eu/o-que-e-uma-violacao-de-dados-pessoais-para-o-rgpd/#:~:text=Uma%20viola%C3%A7%C3%A3o%20de%20dados%20consiste,ou%20acesso%20a%20dados%20pessoais.&text=Quando%20a%20viola%C3%A7%C3%A3o%20resultar%20num,ter%C3%A3o%20de%20ser%20notificados%20diretamente. Acesso 03 Nov. 2020.
Autoridade Nacional de Proteção de Dados. ANPD https://www.gov.br/secretariageral/pt-br/noticias/2020/agosto/governo-federal-publica-a-estrutura-regimental-da-autoridade-nacional-de-protecao-de-dados.
BIONI, Bruno Ricardo. Proteção de Dados Pessoais: A função e os limites do consentimento. Rio de Janeiro, Ed. Forense, 2019.
Constituição da República Federativa do Brasil de 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em 09 Nov. 2020.
Convenção 108 (CNDP) – Disponível em <https://www.cnpd.pt/bin/legis/internacional/Convencao108.htm>. Acesso em: 13 Nov. 2020
DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. Espaço Jurídico Journal of Law [EJJL], v. 12, n. 2. Disponível em: https://portalperiodicos.unoesc.edu.br/espacojuridico/article/view/1315. Acesso em: 02 Nov. 2020.
Diretiva Europeia 2002/58. Disponível em <https://www.anacom.pt/render.jsp?contentId=964154.>. Acesso em: 13 Nov. 2020
FEIGELSON, Bruno; BECKER, Daniel; RAVAGNANI, Giovani. O Advogado do amanhã: estudos em homenagem ao professor Susskind. São Paulo: Thomson Reuters Brasil, 2019.
Guia de Boas Práticas Lei Geral de Proteção de Dados (LGPD). Comitê Central de Governança de Dados Advocacia Geral da União, 23.03.2020. Disponível em: https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-lgpd.pdf. Acesso em 09 Nov. 2020.
HOFFMAN, Sára Gabriella. Regulamento Geral de Proteção de Dados (GDPR). Disponível em: https://stripe.com/pt-br-de/guides/general-data-protection-regulation. Acesso em 04 Nov. 2020.
Lei 13.709/2018. Lei Geral de Proteção de Dados. Disponível em: <www.planalto.gov.br › ccivil_03 › _ato2015-2018>. Acesso em 02 nov. 2020.
MACIEL, Rafael. Manual prático sobre a Lei Geral de Proteção de Dados Pessoais: Atualizado com a Medida Provisória no 869/18. RM Digital Education. Edição do Kindle. Posição 594.
Marques e Novais. Disponível em: https://marquesenovaes.jusbrasil.com.br/artigos/418476350/a-vulnerabilidade-do-consumidor-no-e-commerce. Acesso em 02 Nov. 2020.
MENDES, Laura Schertel – Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental – São Paulo: Saraiva, 2014, p. 262
NANDI, Juliana Simone. LGPD – Lei Geral de Proteção de Dados. Conheça um pouco sobre esse dispositivo legal que alterou a forma de tratamento dos dados pessoais pelas empresas, 08.10.2020. Disponível em: https://mulleradvocacia.com.br/lgpd-lei-geral-de-protecao-de-dados/. Acesso em 02 Nov. 2020.
NUNES, Rizzato. Curso de Direito do Consumidor. São Paulo: Saraiva, 2019.
PASOLD, Cesar Luiz. Metodologia da pesquisa jurídica: teoria e prática. Florianópolis: Conceito, 2008.
PICCOLI, Ademir Milton. Judiciário Exponencial: sete premissas para acelerar a inovação e o processo de transformação do ecossistema da justiça. São Paulo: Vidaria Livros, 2018.
PINHEIRO, Patrícia Peck. Proteção de Dados Pessoais Comentários à Lei n. 13.709/2018 LGPD. Saraiva Educação. Edição do Kindle.
Sítio Web oficial da União Europeia. Disponível em: https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_pt.htm#shortcut-0. Acesso em 05 Nov. 2020.
TJSP – Processo digital n. 1080233-94.2019.8.26.0100, disponível em: <www.tjsp.jus.br>. Acesso em 08 Nov. 2020.
UNIÃO EUROPEIA. General Data Protection Regulation (GDPR). Art. 3 – Disponível na versão português de Portugal em <https://eur-lex.europa.eu/legal- content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e1554-1-1>. Acesso em: 13 Nov. 2020.
ZELLER, Bruno, TRAKMAN, Leon, WALTERS, Robert. Data Protection Law – A Comparative analysis of Asia-Pacific And European Approaches. Ed. Springers, 2019.
[1] Professora do Curso de Graduação em Direito Empresarial da Universidade do Vale do Itajaí. Pós-Graduada em Direito Processual Civil e Direito Digital e Compliance, Mestranda em Direito Ambiental, Transnacionalidade, e Sustentabilidade pela UNIVALI – Universidade do vale do Itajaí. Administradora de Empresas e Advogada, sócia fundadora do Müller Advogados Associados. Conselheira Federal da OAB Nacional, Membro da Comissão Nacional de Direito Marítimo e Portuário da OAB Nacional, Vice-Presidente da Comissão de Transparência da OAB/SC, Membro da Comissão de Reformulação do Quinto Constitucional da OAB/SC e Membro da Comissão de Direito da Vítima da OAB/SC. Membro do IASC.
[2] Doutor em Direito (UFPR), com estágio de pós-doutoramento em Direito (Faculdade de Direito de Coimbra e UNISINOS). Mestre em Direito (UFSC). Professor Associado de Processo Penal da UFSC. Professor do Programa de Graduação, Mestrado e Doutorado da UNIVALI. Juiz de Direito do TJSC. Membro Honorário da Associação Ibero Americana de Direito e Inteligência Artificial/AID-IA. Pesquisa Novas Tecnologias, Big Data, Jurimetria, Decisão, Automação e Inteligência Artificial aplicadas ao Direito Judiciário, com perspectiva transdisciplinar. Coordena o Grupo de Pesquisa SpinLawLab (CNPq UNIVALI).
[3] PASOLD, Cesar Luiz. Metodologia da pesquisa jurídica: teoria e prática. Florianópolis: Conceito, 2008, p.
[4] Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Disponível em:< www.planalto.gov.br › ccivil_03 › _ato2015-2018 › lei> . Acesso em 02 nov. 2020.
[5] Disponível em: https://esaj.tjsp.jus.br/cpopg/show.do?processo.codigo=2S0013T8I0000&processo.foro=100&processo.numero=1080233-94.2019.8.26.0100&uuidCaptcha=sajcaptcha_c64a434153db431dbc28da52eac825cb. Acesso em 02 Nov. 2020.
[6] Art. 2º, Lei 13.709/2018. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso 02 Nov. 2020.
[7] Guia de Boas Práticas Lei Geral de Proteção de Dados (LGPD). Comitê Central de Governança de Dados Advocacia Geral da União, 23.03.2020. Disponível em: https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-lgpd.pdf. Acesso em 09 Nov. 2020.
[8] Art. 6º, Lei 13.709/2018. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso 02 Nov. 2020.
[9] NUNES, Rizzato. Curso de Direito do Consumidor. São Paulo: Saraiva, 2019, p. 175.
[10] NUNES, Rizzato. Curso de Direito do Consumidor. São Paulo: Saraiva, 2019, p. 175.
[11] NUNES, Rizzato. Curso de Direito do Consumidor. São Paulo: Saraiva, 2019, p. 177.
[12] Marques e Novais. Disponível em https://marquesenovaes.jusbrasil.com.br/artigos/418476350/a-vulnerabilidade-do-consumidor-no-e-commerce. Acesso em 02 Nov. 2020.
[13] Marques e Novais. Disponível em https://marquesenovaes.jusbrasil.com.br/artigos/418476350/a-vulnerabilidade-do-consumidor-no-e-commerce. Acesso em 02 Nov. 2020.
[14] DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. Espaço Jurídico Journal of Law [EJJL], v. 12, n. 2, p. 91-108. Disponível em: https://portalperiodicos.unoesc.edu.br/espacojuridico/article/view/1315. Acesso em: 02 Nov. 2020.
[15] ALVES, Paulo. BIG DATA: o segredo por trás da eleição de Trump. 2017. Site Showmetech. Disponível em: <https://www.showmetech.com.br/big-data-trump/>. Acesso em 02 Nov. 2020.
[16] FEIGELSON, Bruno; BECKER, Daniel; RAVAGNANI, Giovani. O Advogado do amanhã: estudos em homenagem ao professor Susskind. São Paulo: Thomson Reuters Brasil, 2019, p. 120.
[17] Art. 5º, Lei 13.709/18. Art. 5º – Para os fins desta Lei, considera-se: I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável; http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em 02 Nov. 2020.
[18] NANDI, Juliana Simone. LGPD – Lei Geral de Proteção de Dados. Conheça um pouco sobre esse dispositivo legal que alterou a forma de tratamento dos dados pessoais pelas empresas, 08.10.2020. Disponível em: https://mulleradvocacia.com.br/lgpd-lei-geral-de-protecao-de-dados/. Acesso em 02 Nov. 2020.
[19] Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I – confirmação da existência de tratamento; II – acesso aos dados; III – correção de dados incompletos, inexatos ou desatualizados; IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei. § 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional. § 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei. § 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento. § 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá: I – comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou II – indicar as razões de fato ou de direito que impedem a adoção imediata da providência. § 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.
- 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.
- 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso 03 Nov. 2020.
[20] NANDI, Juliana Simone. LGPD – Lei Geral de Proteção de Dados. Conheça um pouco sobre esse dispositivo legal que alterou a forma de tratamento dos dados pessoais pelas empresas, 08.10.2020. Disponível em: https://mulleradvocacia.com.br/lgpd-lei-geral-de-protecao-de-dados/. Acesso em 02 Nov. 2020.
[21] Art. 5º Para os fins desta Lei, considera-se: II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso 03 Nov. 2020.
[22] PINHEIRO, Patrícia Peck. Proteção de Dados Pessoais Comentários à Lei n. 13.709/2018 LGPD. Saraiva Educação. Edição do Kindle. Posição 286.
[23] MACIEL, Rafael. Manual prático sobre a Lei Geral de Proteção de Dados Pessoais: Atualizado com a Medida Provisória no 869/18. RM Digital Education. Edição do Kindle. Posição 594.
[24] BIONI, Bruno Ricardo. Proteção de Dados Pessoais: A função e os limites do consentimento. Rio de Janeiro, Ed. Forense, 2019, p. 85.
[25] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I – mediante o fornecimento de consentimento pelo titular; II – para o cumprimento de obrigação legal ou regulatória pelo controlador; III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso 03 Nov. 2020.
[26] Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso 03 Nov. 2020.
[27] Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso 03 Nov. 2020.
[28] NANDI, Juliana Simone. LGPD – Lei Geral de Proteção de Dados. Conheça um pouco sobre esse dispositivo legal que alterou a forma de tratamento dos dados pessoais pelas empresas, 08.10.2020. Disponível em: https://mulleradvocacia.com.br/lgpd-lei-geral-de-protecao-de-dados/. Acesso em 02 Nov. 2020.
[29] Autoridade Nacional de Proteção de Dados – ANPD https://www.gov.br/secretariageral/pt-br/noticias/2020/agosto/governo-federal-publica-a-estrutura-regimental-da-autoridade-nacional-de-protecao-de-dados
[30] Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32016R0679. Acesso 03 Nov. 2020.
[31] MENDES, Laura Schertel – Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental – São Paulo: Saraiva, 2014, p. 262
[32] BIONI, Bruno Ricardo. Proteção de Dados Pessoais: A função e os limites do consentimento. Rio de Janeiro, Ed. Forense, 2019, p. 122.
[33] Convenção para a proteção das pessoas relativamente ao tratamento automatizado de dados de caráter pessoal. CNPD. Disponível em <https://www.cnpd.pt/bin/legis/internacional/Convencao108.htm>. Acesso em: 13 Nov. 2020.
[34] BIONI, Bruno Ricardo. Proteção de Dados Pessoais: A função e os limites do consentimento. Rio de Janeiro, Ed. Forense, 2019, p. 123.
[35] Relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrônicas. Disponível em <https://www.anacom.pt/render.jsp?contentId=964154.>. Acesso em: 13 Nov. 2020
[36] Autoridade de Controle – Comissão Nacional de Proteção de Dados (CNPD) Disponível em: https://mydataprivacy.eu/o-que-e-uma-violacao-de-dados-pessoais-para-o-rgpd/#:~:text=Uma%20viola%C3%A7%C3%A3o%20de%20dados%20consiste,ou%20acesso%20a%20dados%20pessoais.&text=Quando%20a%20viola%C3%A7%C3%A3o%20resultar%20num,ter%C3%A3o%20de%20ser%20notificados%20diretamente. Acesso 03 Nov. 2020.
[37] Autoridade de Controle – Comissão Nacional de Proteção de Dados (CNPD) Disponível em: https://mydataprivacy.eu/o-que-e-uma-violacao-de-dados-pessoais-para-o-rgpd/#:~:text=Uma%20viola%C3%A7%C3%A3o%20de%20dados%20consiste,ou%20acesso%20a%20dados%20pessoais.&text=Quando%20a%20viola%C3%A7%C3%A3o%20resultar%20num,ter%C3%A3o%20de%20ser%20notificados%20diretamente. Acesso 03 Nov. 2020.
[38] HOFFMAN, Sára Gabriella. Regulamento Geral de Proteção de Dados (GDPR). Disponível em: https://stripe.com/pt-br-de/guides/general-data-protection-regulation. Acesso em 04 Nov. 2020.
[39] HOFFMAN, Sára Gabriella. Regulamento Geral de Proteção de Dados (GDPR). Disponível em: https://stripe.com/pt-br-de/guides/general-data-protection-regulation. Acesso em 04 Nov. 2020.
[40] UNIÃO EUROPEIA. General Data Protection Regulation (GDPR). Art. 3 – Disponível na versão português de Portugal em <https://eur-lex.europa.eu/legal- content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e1554-1-1>. Acesso em: 13 Nov. 2020.
[41] ZELLER, Bruno, TRAKMAN, Leon, WALTERS, Robert. Data Protection Law – A Comparative analysis of Asia-Pacific And European Approaches. Ed. Springers, 2019, p. 69.
[42] HOFFMAN, Sára Gabriella. Regulamento Geral de Proteção de Dados (GDPR). Disponível em: https://stripe.com/pt-br-de/guides/general-data-protection-regulation. Acesso em 04 Nov. 2020.
[43] HOFFMAN, Sára Gabriella. Regulamento Geral de Proteção de Dados (GDPR). Disponível em: https://stripe.com/pt-br-de/guides/general-data-protection-regulation. Acesso em 04 Nov. 2020.
[44] Sítio Web oficial da União Europeia. Disponível em: https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_pt.htm#shortcut-0. Acesso em 05 Nov. 2020.
[45] Sítio Web oficial da União Europeia. Disponível em: https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_pt.htm#shortcut-0. Acesso em 05 Nov. 2020.
[46] Sítio Web oficial da União Europeia. Disponível em: https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_pt.htm#shortcut-0. Acesso em 05 Nov. 2020.
[47] Sítio Web oficial da União Europeia. Disponível em: https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_pt.htm#shortcut-0. Acesso em 05 Nov. 2020.
[48] UNIÃO EUROPEIA. General Data Protection Regulation (GDPR). Artigo 44 – Disponível na versão português de Portugal em <https://eur-lex.europa.eu/legal- content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e1554-1-1>. Acesso em: 13 Nov. 2020. .
[49] PICCOLI, Ademir Milton. Judiciário Exponencial: sete premissas para acelerar a inovação e o processo de transformação do ecossistema da justiça. São Paulo: Vidaria Livros, 2018, p. 15.
[50] PICCOLI, Ademir Milton. Judiciário Exponencial: sete premissas para acelerar a inovação e o processo de transformação do ecossistema da justiça. São Paulo: Vidaria Livros, 2018, p. 24.
[51] Processo digital n. 1080233-94.2019.8.26.0100, disponível em: <www.tjsp.jus.br>.
Acesso em 08 Nov. 2020.
[52] Processo digital n. 1080233-94.2019.8.26.0100, disponível em: <www.tjsp.jus.br>.
Acesso em 08 Nov. 2020.
[53] Art. 1º A República Federativa do Brasil, formada pela união indissolúvel dos Estados e Municípios e do Distrito Federal, constitui-se em Estado Democrático de Direito e tem como fundamentos: III – a dignidade da pessoa humana. Disponível em:
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em 09 Nov. 2020.
[54] Art. 3º Constituem objetivos fundamentais da República Federativa do Brasil: I – construir uma sociedade livre, justa e solidária; IV – promover o bem de todos, sem preconceitos de origem, raça, sexo, cor, idade e quaisquer outras formas de discriminação.
Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em 09 Nov. 2020.
[55] DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. Espaço Jurídico Journal of Law [EJJL], v. 12, n. 2, p. 96. Disponível em: https://portalperiodicos.unoesc.edu.br/espacojuridico/article/view/1315. Acesso em: 02 Nov. 2020.
[56] DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. Espaço Jurídico Journal of Law [EJJL], v. 12, n. 2, p. 102. Disponível em: https://portalperiodicos.unoesc.edu.br/espacojuridico/article/view/1315. Acesso em: 02 Nov. 2020