A Lei da Internet brasileira estabelece direitos e garantias para todos os usuários da Internet no Brasil, como a inviolabilidade e a confidencialidade do fluxo das comunicações dos usuários pela Internet e suas comunicações privadas armazenadas, exceto por ordem judicial.
De acordo com o artigo 22 da referida Lei, qualquer interessado pode solicitar a um juiz que ordene à entidade responsável pela guarda dos autos que forneça a conexão ou os registros de acesso a aplicativos de internet, para fins de formação de prova em processos cíveis ou criminais. Este pedido deverá conter, sob pena de inadmissibilidade:
a. evidência justificada da ocorrência da infração;
b. justificativa motivada da utilidade dos registros solicitados para investigação; e
c. o período de tempo ao qual os registros correspondem.
É importante destacar que o juiz deve tomar as medidas necessárias para garantir o sigilo das informações recebidas, bem como a preservação da intimidade, da vida privada, da honra e da imagem do titular dos dados. O juiz pode determinar o sigilo de justiça, inclusive no que diz respeito aos pedidos de retenção de registros.
Além disso, o Código de Processo Penal Brasileiro (Lei nº 3.689 / 1941) estabelece que os juízes podem solicitar informações, incluindo dados pessoais, durante as investigações criminais e processos criminais. Nos termos do artigo 3.º-B, XI, alíneas a) eb), os juízes de instrução têm competência para decidir sobre os pedidos de divulgação de dados pessoais de utilizadores de serviços de comunicações eletrônicas, nomeadamente internet, correio eletrônico, telefone e dados financeiros.
No que se refere à intercepção de comunicações telefónicas, esta pode ser determinada como meio de prova em investigação e processo penal pelo juiz de instrução, de ofício ou a pedido da autoridade policial competente ou do representante do Ministério Público. A interceptação deverá obedecer ao disposto na Lei nº 9.296 / 1996, e dependerá de despacho do juiz competente da ação principal, sob sigilo de justiça.
O ANPD foi criado pela Lei nº 13.853 / 2019, e é uma entidade que é uma parte da administração pública federal, pertencente à Presidência da República. De acordo com o artigo 55-J da LGPD, a ANPD tem as seguintes atribuições, entre outras:
a. elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e Privacidade;
b. fiscalizar e aplicar sanções nos casos de tratamento de dados realizado em violação da legislação, através de processo administrativo que assegure ao adversário ampla defesa e direito de recurso;
c. promover junto à população o conhecimento das normas e políticas públicas sobre proteção de dados pessoais e medidas de segurança;
d. promover ações de cooperação de caráter internacional ou transnacional com autoridades de proteção de dados pessoais de outros países; e
e. editar regras, diretrizes e procedimentos simplificados e diferenciados, incluindo prazos, para que as micro e pequenas empresas, bem como as iniciativas de negócios incrementais ou disruptivas que se autodenominam startups ou empresas de inovação, possam se adaptar ao LGPD.
A ANPD iniciou recentemente suas atividades. Alguns passos foram dados após sua criação, como a estruturação do Conselho Diretor e do Conselho Nacional de Privacidade e Proteção de Dados (por meio do Decreto nº 10.474 de 2020), as indicações de seus membros e a apresentação de sua agenda regulatória para 2021 a 2023 (por meio da Portaria nº 11 de 2021), que visa priorizar a conscientização da proteção de dados junto ao mercado e à sociedade. As sanções são aplicáveis pela Autoridade a partir de agosto de 2021.
Apesar disso, é importante mencionar que outras autoridades governamentais já estão agindo em nome dos princípios de proteção de dados. Para ilustrar, o maior órgão de defesa do consumidor do Brasil (Procon) e o Ministério Público (Unidade Especial de Proteção de Dados e Inteligência Artificial — Espec) estão notificando, investigando e até aplicando multas a empresas que atuem de forma ilegal ou abusiva, com base em outras leis, como o Código do Consumidor Brasileiro. Além disso, a ANPD confirmou os seguintes acordos de cooperação:
a. no final de março de 2021, com a Secretaria Nacional do Consumidor (SENACON), buscando aprimorar as investigações e atender melhor aos direitos dos consumidores na violação de dados; e
b. no início de junho de 2021, com o CADE, com o objetivo de promover a cultura da livre concorrência em serviços que reivindicam a proteção de dados pessoais.
Em maio de 2021, o WhatsApp se comprometeu a colaborar com o CADE, o Ministério Público(equivalente ao Departamento de Justiça dos Estados Unidos), a ANPD e o SENACON em relação às preocupações levantadas por esses órgãos públicos sobre a nova política de privacidade do aplicativo de mensagens.
Considerando que as disposições da LGPD sobre sanções administrativas entraram em vigor em agosto de 2021, nenhuma sanção foi imposta pela ANPD até o momento.
No entanto, outras agências já impuseram multas com base na legislação setorial. Nesse sentido, em agosto de 2019, Google e Apple foram multados em cerca de 18 milhões de reais pelo Procon-SP, por cláusulas abusivas nos termos de uso e política de privacidade do aplicativo FaceApp, além de estar disponível apenas na língua inglesa , em violação dos direitos do consumidor. No mesmo ano, outro caso significativo resultou na aplicação de multa pela Autoridade de Proteção e Defesa do Consumidor no Facebook por compartilhamento indevido de dados de 443.000 usuários brasileiros no caso Cambridge Analytica .
Além disso, o judiciário brasileiro forneceu casos de execução recentes relacionados à privacidade e proteção de dados. Em maio de 2020, o Supremo Tribunal Federal concedeu medida cautelar suspendendo a eficácia da Medida Provisória 954 sobre compartilhamento de dados de usuários de telecomunicações com o Instituto Brasileiro de Geografia e Estatística para a produção de estatísticas oficiais durante a pandemia covid-19. O julgamento contribuiu para a ampliação dos debates sobre o reconhecimento do direito fundamental à proteção de dados pessoais na jurisdição brasileira.
Em setembro de 2020, um tribunal de primeira instância de São Paulo julgou a favor da autora e decidiu que o compartilhamento de dados pessoais dos consumidores com empresas fora da relação contratual viola disposições da LGPD, bem como princípios constitucionais, como o direito à privacidade. A imobiliária Cyrela recebeu R $ 10.000 por danos morais na mesma decisão, que proibiu a ré de ceder os dados pessoais a terceiros. A decisão considerou não apenas os dispositivos da LGPD, mas também da Constituição Federal e do Código de Defesa do Consumidor.
Em maio de 2021, o Tribunal de Justiça de São Paulo multou a ViaQuatro, empresa que administra a linha amarela do metrô de São Paulo, em 100 mil reais. O Tribunal confirmou que o pagamento é para danos morais coletivos — a ser destinado a uma entidade de investimento coletivo — e determinou a desativação do sistema de reconhecimento facial para titulares de dados que utilizam a linha amarela do metrô de São Paulo. A decisão baseou-se na LGPD, reconhecendo os dados como dados pessoais biométricos sensíveis e reconhecendo a necessidade de obter o consentimento dos titulares dos dados e fornecer detalhes do tratamento, respeitando o princípio da transparência. O caso está atualmente em fase de apelação judicial.
Além disso, outros órgãos de proteção estão agindo com base na LGPD. Após ampla cobertura da mídia, o Procon-SP notificou um bureau de dados que busca esclarecimentos sobre o suposto vazamento de dados pessoais de 220 milhões de brasileiros. A agência de dados forneceu sua resposta em abril de 2021, na qual afirma não ter identificado nenhuma irregularidade. No entanto, a investigação ainda não foi encerrada.
Outro caso investigado pelo Procon-SP diz respeito ao potencial vazamento de mais de 100 milhões de números de telefone pelas principais empresas de telecomunicações do Brasil.
Em abril de 2021, o Procon-SP notificou o Facebook para confirmar a notícia de um vazamento de dados que supostamente expunha informações — como nomes completos, números de telefone, datas de nascimento e endereços de e-mail — de mais de 500 milhões de usuários, incluindo mais de 8 milhões de brasileiros , em fóruns de hackers online. A agência exigiu respostas sobre as medidas do Facebook para conter o vazamento, estratégias para lidar com os danos e prevenir futuras falhas, bem como sobre a licitude do tratamento de dados pessoais de cidadãos brasileiros e as medidas adotadas para cumprimento da LGPD.
Em junho de 2021, o Instituto Brasileiro de Defesa do Consumidor (IDEC) notificou a Raia Drogasil, um grupo de drogarias, para apresentar informações sobre a coleta e utilização de dados biométricos dos clientes. O IDEC está investigando as atividades desse grupo, após reclamações. Os consumidores relataram que foram impedidos de aproveitar as promoções, a menos que registrassem suas impressões digitais. A notificação extrajudicial também exigia que o grupo cessasse a coleta de impressões digitais e Cadastro de Pessoa Física e explicasse a finalidade da coleta de dados.
Antes de quaisquer recursos judiciais, as partes interessadas e as autoridades podem solicitar recursos administrativos por violação das regras de privacidade e de dados. A LGPD prevê o direito do titular dos dados de petição, quanto aos seus dados, perante a ANPD.
Além disso, a Constituição Federal Brasileira prevê que o direito à assistência judiciária é garantia fundamental para o indivíduo, pois é universal, inalienável, indisponível e inabalável.
Nos processos cíveis, a responsabilidade brasileira é subjetiva e o titular dos dados deve comprovar a prática de uma conduta ilícita (por ato ou omissão), o dano e o nexo de causalidade. Para os casos relacionados com o consumo, a lei prevê que o agente seja sujeito a responsabilidade objetiva, desde que as exceções de responsabilidade sejam mais restritas nestes casos.
A LGPD prevê que o controlador ou processador que, pelo exercício da atividade de tratamento de dados pessoais, cause danos materiais, morais, individuais ou coletivos a terceiros, em violação da legislação de proteção de dados pessoais, está obrigado a repará-lo.
A LGPD também prevê que o juiz, em ação civil, pode reverter o ônus da prova em favor do titular dos dados quando, a seu critério, a alegação parecer verdadeira ou quando a produção de provas pelo titular dos dados for excessivamente onerosa. . As ações de indenização por danos coletivos podem ser ajuizadas coletivamente em juízo, observada a legislação pertinente.
No que se refere às ações coletivas, os interesses coletivos são regulados em sua maioria pela Lei de Ação Civil Pública (Lei nº 7.347 / 1985), que prevê a proteção dos interesses difusos e coletivos relacionados ao meio ambiente, ao consumidor, aos bens e direitos artísticos, valor estético, histórico, turístico e paisagístico, entre outros bens e direitos elencados em seu artigo.
Gostou do artigo? Deixe seu comentário, recomende e compartilhe.
Dr. Adriano Hermida Maia (LinkedIn)
Advogado e sócio do escritório Hermida Maia, Docente, especialista em Crimes Digitais, Pós-Graduado em Processo Civil, Direito do Trabalho e Processo do Trabalho, MBA em Contabilidade & Direito Tributário com ênfase em risco fiscal.
Visite nosso site: https://hermidamaia.adv.br