O impacto da Lei Geral de Proteção de Dados na relação de consumo.

O impacto da Lei Geral de Proteção de Dados na relação de consumo. Daniella Avelar, Advogado Publicado por Daniella Avelar Fonte:JusBrasil Agosto 2021 1. Introdução. Um dos assuntos mais comentados no final do ano de 2020 e no ano de 2021 é a Lei Geral de Proteção de Dados Pessoais, Lei 13.709/2018, que visa proteger e regulamentar o tratamento dos dados pessoais das pessoais naturais, evitando, assim, os recorrentes incidentes de segurança e vazamento dos dados pessoais. Além de melhorar a conscientização a respeito da importância dos dados pessoais. Neste aspecto, uma das áreas mais afetadas, sem dúvida, será a área consumerista, principalmente, pelo fato de que todas as empresas de direito privado terão de se adequar à LGPD. Assim, o presente artigo visa abordar ambos os temas, Lei Geral de Proteção de Dados e Código de Defesa do Consumidor, indicando qual a relação entre estes diplomas legais, quais serão os impactos práticos na vida do consumidor e como o fornecedor e/ou prestador de serviços poderá utilizar a Lei Geral de Proteção de Dados como uma oportunidade em melhorar a experiência do seu cliente, bem como melhorar o seu modelo de negócio. 2. Aspectos Introdutórios e Genéricos da Lei Geral de Proteção de Dados Pessoais A Lei Geral de Proteção de Dados Pessoais, Lei 13.709, foi publicada em agosto de 2018, com o período de vacância de dois anos. Ou seja, entraria em vigor em agosto de 2020. Ocorre que, a partir da publicação da Lei 14.010/2020, que trata das medidas emergenciais e transitórias das relações jurídicas do Direito Privado no período da pandemia do Coronavírus, ficou decidido que a Lei de fato entraria em vigor a partir de agosto de 2020, porém as suas sanções administrativas somente poderão ser aplicadas a partir do dia 01 de agosto de 2021 (lembrando que existem alguns projetos de Leis para adiarem novamente o marco inicial das sanções administrativas, mas até o momento permanece a data de 01/08/2021). A Lei Geral de Proteção de Dados visa regulamentar todo o tratamento de dado pessoal de pessoas jurídicas de direito público ou privado e das pessoas físicas que utilizam dados pessoais para fins econômicos. Ou seja, aquele profissional autônomo e informal que trata dos dados pessoais de seus clientes com finalidade econômica também terá de se adequar à LGPD. Além disso, não importa se o tratamento do dado pessoal é feito de forma física e/ou digital para definir a necessidade de adequação, em ambos os casos este processo deverá acontecer. Inicialmente, é preciso esclarecer que dado pessoal consiste em toda e qualquer informação que identifique ou que possa identificar o titular dos dados pessoais (pessoa física) e que tratamento de dado pessoal, conforme o artigo 5º, inciso X, da LGPD, significa toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Pois bem, esta adequação envolve todo um processo de compliance digital que começa desde a conscientização de todos os envolvidos no tratamento do dado pessoal até o processo de monitoramento constante do que foi feito. A Lei Geral de Proteção de Dados Pessoais prioriza que o tratamento seja feito com transparência ao titular dos dados pessoais (qualquer pessoa física) para que lhe sejam garantidos os direitos fundamentais previstos no artigo 2º da Lei 13.709/2018, senão vejamos: Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: I - o respeito à privacidade; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e tecnológico e a inovação; VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. Dessa forma, aquele que estiver em conformidade com a Lei Geral de Proteção de Dados deverá respeitar os seus 11 (onze) princípios, que estão elencados no artigo 6º do mesmo diploma legal, e cada tratamento deverá ser justificado com uma base legal. Ou seja, se não houver enquadramento da base legal, o tratamento será considerado ilícito e estará passível de punições pela Autoridade Nacional de Proteção de Dados e/ou pelo poder judiciário. Para explicar melhor este último parágrafo vamos começar pelos princípios presentes na LGPD (artigo 6º, da Lei 13.709/18), sendo o primeiro a boa-fé. O princípio da boa-fé é explicado pelo doutrinador Humberto Theodoro Júnior, em seu livro Curso de Direito Processual Civil, Vol. I, como a conduta do agente que pratica o ato jurídico sempre pautado em valores acatados pelos costumes, identificados com a ideia de lealdade e lisura. Além disso, a Lei Geral de Proteção de Dados determina que o tratamento dos dados pessoais deve ter uma finalidade específica, com propósitos legítimos e informados ao titular (o que indica a necessidade de transparência), de forma adequada, necessária e respeitando o livre acesso do titular a estes dados. E mais, deve haver qualidade nos dados pessoais, transparência, segurança, prevenção, não discriminação e, por fim, a responsabilização e prestação de contas pelos agentes de tratamento dos dados pessoais. Quanto às bases legais, a Lei 13.709/18 disponibilizou 10 (dez) possibilidades para que o tratamento de dado pessoal seja realizado de forma legítima, quais sejam: o consentimento do titular dos dados pessoais; o cumprimento de obrigação legal ou regulatória pelo Controlador; o tratamento realizado pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas; na realização de estudos por órgãos de pesquisa, garantindo sempre que possível, a anonimização dos dados; quando necessário para a execução de contrato ou de procedimento preliminar relacionado a contrato; para o exercício regular de direitos em processo judicial, administrativo e arbitral; para a proteção da vida ou da incolumidade física do titular ou de terceiros; para tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; quando for necessário atender aos interesses legítimos do controlador ou de terceiros; por fim, para a proteção do crédito. Diante das bases legais acima apresentadas, o agente de tratamento irá escolher aquela que for mais adequada para justificar o tratamento do dado pessoal, sendo que, caso não encontre nenhuma justificativa, aquele tratamento não deve ser realizado, por ser ilícito. Entretanto, vale chamar a atenção para a “instabilidade” da base legal do consentimento, que muitas vezes será utilizada nas relações com os consumidores, pois o consentimento deve ser livre, inequívoco e informado, podendo ser revogado a qualquer momento pelo titular dos dados pessoais. Destarte disso, há também a base legal do legítimo interesse, que não pode ser utilizado como justificativa “coringa” para o tratamento do dado pessoal, pois, em que pese a Lei Geral de Proteção de Dados não informar a respeito do teste do legítimo interesse, esta herança veio da GDPR (General Data Protection Regulation) e muitos doutrinadores defendem a utilização do teste do legítimo interesse, principalmente, pelo fato de que no artigo 10 da LGPD dispõe que a ANPD (Autoridade Nacional de Proteção de Dados) poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial. Ou seja, precisa ser feito este teste e o mesmo deve ser documentado. O respectivo teste consiste em 04 (quatro) fases, sendo elas: legitimidade de interesse (se de fato existe o interesse legítimo), necessidade (o tratamento é necessário para a finalidade específica), balanceamento entre o interesse do agente de tratamento e os direitos do titular dos dados) e salvaguardas (o titular possui os meios de exercer os seus direitos). Pois bem, explicadas estas questões introdutórias e genéricas da Lei Geral de Proteção de Dados, devemos ressaltar quais serão os direitos garantidos para os titulares dos dados pessoais (pessoa física detentora do dado pessoal), quais sejam: confirmação da existência de tratamento dos seus dados pessoais; acesso aos seus dados; correção dos dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD; portabilidade dos seus dados pessoais a outro fornecedor de produto ou serviço, ressalvados os segredos comercial e industrial; eliminação dos dados pessoais tratados com o consentimento do titular; informação das entidades públicas e privadas nas quais o Controlador compartilhou os dados; informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa; revogação do consentimento; se opor ao tratamento dos dados pessoais quando não for respeitada a LGPD e quando a base legal não for o consentimento; revisão das decisões automatizadas (quando envolverem o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade). É possível perceber que alguns destes direitos já estavam previstos no Código de Defesa do Consumidor, no seu artigo 6º, conforme será exposto a seguir. 3. Aspectos Genéricos dos Direitos dos Consumidores. Quanto ao Código de Defesa do Consumidor assim como a Lei Geral de Proteção de Dados, veio para mudar a cultura do brasileiro em respeitar e reconhecer as mazelas consumeristas. Neste contexto, o artigo 6º do CDC, estabelece os direitos básicos do consumidor, cito: Art. 6º São direitos básicos do consumidor: I - a proteção da vida, saúde e segurança contra os riscos provocados por práticas no fornecimento de produtos e serviços considerados perigosos ou nocivos; II - a educação e divulgação sobre o consumo adequado dos produtos e serviços, asseguradas a liberdade de escolha e a igualdade nas contratações; III - a informação adequada e clara sobre os diferentes produtos e serviços, com especificação correta de quantidade, características, composição, qualidade, tributos incidentes e preço, bem como sobre os riscos que apresentem; (Redação dada pela Lei nº 12.741, de 2012) Vigência IV - a proteção contra a publicidade enganosa e abusiva, métodos comerciais coercitivos ou desleais, bem como contra práticas e cláusulas abusivas ou impostas no fornecimento de produtos e serviços; V - a modificação das cláusulas contratuais que estabeleçam prestações desproporcionais ou sua revisão em razão de fatos supervenientes que as tornem excessivamente onerosas; VI - a efetiva prevenção e reparação de danos patrimoniais e morais, individuais, coletivos e difusos; VII - o acesso aos órgãos judiciários e administrativos com vistas à prevenção ou reparação de danos patrimoniais e morais, individuais, coletivos ou difusos, assegurada a proteção Jurídica, administrativa e técnica aos necessitados; VIII - a facilitação da defesa de seus direitos, inclusive com a inversão do ônus da prova, a seu favor, no processo civil, quando, a critério do juiz, for verossímil a alegação ou quando for ele hipossuficiente, segundo as regras ordinárias de experiências; IX - (Vetado); X - a adequada e eficaz prestação dos serviços públicos em geral. Parágrafo único. A informação de que trata o inciso III do caput deste artigo deve ser acessível à pessoa com deficiência, observado o disposto em regulamento. Vislumbra-se do artigo acima que um dos direitos básicos do consumidor consiste na informação, ou seja, é direito do consumidor ter a informação correta sobre o produto/prestação de serviços, sendo dever do fornecedor prestar estas informações, sob pena de ser responsabilizado. Além disso, vale mencionar que o direito de acesso à informação está previsto na Constituição Federal de 1988, como garantia fundamental, em seu artigo 5º, inciso XIV, desde que estas informações não violem a intimidade, a vida privada, a honra, a imagem das pessoas, e no caso que o sigilo da fonte, quando necessário ao exercício profissional, cito: Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: (...) XIV - e assegurado a todos o acesso à informação e resguardado o sigilo da fonte, quando necessário ao exercício profissional; (...) Corroborando a isto, tem-se o princípio da transparência com o consumidor, também garantido através do Código de Defesa do Consumidor e da Constituição Federal de 1988. Quanto ao assunto, cito os ensinamentos de dos doutrinadores Flávio Tartuce e Daniel Amorim Assumpção Neves, no Manual do Direito do Consumidor – Direito Material e Direito Processual- Vol. Único, 5ª edição da Editora Método: PRINCÍPIO DA TRANSPARÊNCIA OU DA CONFIANÇA (ARTS. 4º, CAPUT, E 6º, INC. III, DA LEI 8.078/1990). A TUTELA DA INFORMAÇÃO: (...) A informação, no âmbito jurídico, tem dupla face: o dever de informar e o direito de ser informado, sendo o primeiro relacionado com quem oferece o seu produto ou serviço ao mercado, e o segundo, com o consumidor vulnerável. (...)‘O acesso dos consumidores a uma informação adequada que lhes permita fazer escolhas bem seguras conforme os desejos e necessidades de cada um’ (Exposição de Motivos do Código de Defesa do Consumidor. Diário do Congresso Nacional, Seção II, 3 de maio de 1989, p. 1.663). (...). (...) A ideia central do dispositivo é de, como bem aponta Claudia Lima Marques, “possibilitar a aproximação contratual mais sincera e menos danosa entre consumidor e fornecedor. Transparência significa informação clara e correta sobre o produto a ser vendido, sobre o contrato a ser firmado, significa lealdade e respeito nas relações entre fornecedor e consumidor, mesmo na fase précontratual, isto é, na fase negocial dos contratos de consumo”. (TARTUCE e AMORIM ASSUMPÇÃO NEVES, 2015) Assim, resta evidente a correlação da Lei Geral de Proteção de Dados e o Código de Defesa do Consumidor, principalmente no tocante à necessidade de informação de forma transparente. 4. Impactos da Lei Geral de Proteção de Dados Pessoais nos Direitos dos Consumidores. Conforme já adiantado, as duas legislações se comunicam, principalmente porque ambas preveem a necessidade de tutela da transparência e da informação. Destarte disso, a Lei Geral de Proteção de Dados trouxe como uma das bases legais o consentimento do titular, visando possibilitar e tornar lícito o tratamento do dado pessoal. Conforme já exposto, mas vale a lembrança, o consentimento deve ser entregue de forma livre, inequívoca e informada, pelo qual o titular dos dados pessoais concorda com o tratamento dos seus dados pessoais para uma finalidade específica. Esta base legal, sem dúvida, será a mais utilizada na justificativa do tratamento dos dados pessoais na relação de consumo, principalmente diante dos diversos tratamentos ocorridos com os dados dos consumidores, inclusive em vendas realizadas por E-commerce. Nas palavras de Bruno Ricardo Bioni, em seu livro Proteção de Dados Pessoais- a função e os limites do consentimento, ele explicou a respeito do fluxo de dados no mundo virtual, senão vejamos: A Internet e a sua camada de aplicações, principalmente a web com blogs, redes sociais, websites etc., capilarizou esses painéis de opiniões. Os consumidores compartilham e trocam, com mais frequência, em diversos canais e quase em tempo real, informações sobre as suas experiências de consumo: um blog em que consumidores de vinhos comentam as suas aspirações de sommelier, ou, simplesmente, um consumidor que reclama sobre uma determinada funcionalidade de um produto em uma rede social. Em todas essas situações, eles passam a ser “ouvidos” por seus milhares de pares, parametrizando o próprio movimento de consumo. (BIONI, 2019) Vale lembrar que a Lei Geral de Proteção de Dados não regula o tratamento dos dados pessoais somente na esfera virtual, mas, também, na esfera física. Porém, com o avanço tecnológico e a incorporação da sociedade em uma vida imersa no digital, é inegável que o impacto maior será na esfera virtual, principalmente, quando o assunto se tratar de consumidor. É preciso ressaltar que o processo de adequação das empresas privadas na Lei Geral de Proteção de Dados mudará tanto o comportamento das empresas diante do consumidor, quanto o comportamento e conscientização do consumidor diante dos seus próprios dados pessoais. Pois é cediço que o brasileiro entrega os seus dados sem qualquer questionamento seja em portarias de prédios, caixas de lojas e/ou farmácias, enfim, sem saber qual será o destino daquela informação. E com o advento da LGPD esta situação tende a mudar. Outro aspecto que sofrerá impacto se refere à qualidade dos dados pessoais, pois é cediço que as empresas não se preocupam em atualizar e/ou retificar os dados pessoais de seus clientes. Porém, a LGPD trata do assunto como direito expresso do consumidor (titular dos dados pessoais), artigo 18, inciso III, da Lei 13.709/18, cito: Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:. (...) III - correção de dados incompletos, inexatos ou desatualizados; (...) Destarte disso e em respeito ao princípio da necessidade, ou seja, da minimização na coleta dos dados, o comércio também terá mudanças neste sentido, pois em vários setores, principalmente o E-commerce, coletam dados de forma excessiva, como nome completo e CPF, dados de cartão antes do momento da compra, geolocalização sem que isso tenha alguma finalidade específica, como exemplo, a descoberta do endereço de entrega do produto. Enfim, uma infinidade de dados pessoais que são coletados e armazenados de forma totalmente excessiva e sem finalidade específica. E, por último, mas não de forma finalística, outro impacto que ocorrerá será com relação aos anúncios e ofertas exacerbados que o consumidor recebe, seja através do e-mail, sms, ligação ou whatsapp. Pois, muitas empresas compartilham dados pessoais dos seus clientes, sem ao menos informar ao consumidor sobre esta atitude. E mais, sem coletar qualquer consentimento para tanto ou sem justificar o ato com outra base legal. A partir da vigência da Lei Geral de Proteção de Dados, o consumidor terá o direito de saber se os seus dados são tratados por determinada empresa e se existe qualquer compartilhamento com outras empresas. Ou seja, mais uma vez fortalece a ideia de transparência na informação com o cliente, titular dos dados pessoais. Além disso, o consumidor terá o direito de revogar o seu consentimento (quando esta base legal for utilizada no tratamento) a qualquer modo e tempo, sem explicar os seus motivos. E após esta revogação, o tratamento passa a ser irregular e está sujeito às sanções tanto administrativas, quanto judiciais. 5. Como o consumidor poderá exigir os seus direitos quanto ao tratamento de seus dados pessoais? A reclamação da violação será através da Autoridade Nacional de Proteção de Dados ou pelo Procon? Durante este artigo foram mencionados vários direitos do titular dos dados pessoais, trazidos pela Lei Geral de Proteção de Dados, que se aplicam aos consumidores, pessoas físicas. Assim, vale mencionar que a Lei 13.709/18 (LGPD) dispõe que estes direitos poderão ser exercidos a qualquer momento, pelo titular do dado pessoal ou pelo seu representante legal, por meio de requisição expressa apresentada ao agente de tratamento, conforme prevê o artigo 18, caput e § 3º da LGPD, cito: Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: (...) § 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento. Caso a medida requerida não seja adotada de forma imediata, deverá ser informado ao titular dos dados pessoais, ora consumidor, o seguinte: § 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá: I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência. Ou seja, a solicitação do titular dos dados pessoais não poderá ser ignorada, sob pena de lhe causar danos, além do fato da empresa sofrer punições através dos órgãos fiscalizatórios e/ou do poder judiciário. Quanto ao assunto da fiscalização no tratamento dos dados pessoais, a própria LGPD dispõe que a Autoridade Nacional de Proteção de Dados (ANPD) será a responsável pelo feito, vide artigo 5º, inciso XIX, da Lei 13.709/18: Art. 5º Para os fins desta Lei, considera-se: (...) XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. (Redação dada pela Lei nº 13.853, de 2019) Vigência Logo, administrativamente, o titular dos dados pessoais poderá recorrer às providências da ANPD. Contudo, é cediço que o órgão fiscalizatório a respeito das situações que envolvem o Código de Defesa do Consumidor será o Procon (órgão que realiza a defesa e a proteção do consumidor) ou demais órgãos que integram o SNDC (Sistema Nacional de Defesa do Consumidor). Neste caso, em que houver alguma violação ou irregularidade no tratamento do dado pessoal do consumidor (pessoa física), qual órgão será o mais adequado para o registro da situação? Pois bem, a própria Lei Geral de Proteção de Dados prevê que o titular dos dados pessoais que é consumidor poderá exercer os seus direitos tanto através da ANPD quanto através do Procon ou demais órgãos que integram o Sistema Nacional de Defesa do Consumidor, vide artigo 18, §§ 1º e 8º da LGPD: Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: (...) § 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional. (...) § 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor. Assim, ficará a critério do Consumidor a sua via administrativa para reclamação da violação de seus direitos. 6. Conclusão. Feitas estas considerações a respeito da Lei Geral de Proteção de Dados Pessoais, bem como a respeito do Código de Defesa do Consumidor, vislumbra-se a relação entre os dois diplomas legais, principalmente, no tocante à necessidade de informação, transparência e melhor conscientização a respeito do tratamento dos dados pessoais, principalmente na esfera virtual. Ademais, foi demonstrado os impactos que a Lei Geral de Proteção de Dados ocasionará nas relações de consumo e quais são os direitos dos consumidores, pessoas físicas, ora titulares dos dados pessoais. Contudo, ao contrário do que muitos empresários estão arguindo, a Lei Geral de Proteção de Dados não visa mitigar modelos de negócios ou onerar a atuação das empresas privadas no mercado. Pelo contrário, além da necessidade de um tratamento consciente, adequado e lícito, os processos de adequações das empresas às diretrizes da Lei 13.709/18 representam uma excelente oportunidade de revisão do negócio daquela empresa. Pois, para que de fato ocorra a adequação, será necessário entender todo o fluxo de dados pessoais que consistem naquela determinada pessoa jurídica de direito privado e, neste momento, será possível visualizar os erros e consertá-los, além de identificar os acertos, ressaltando-os e melhorando tudo que estiver ao seu alcance. Ou seja, ao percorrer o caminho do processo da adequação à LGPD, principalmente sob a ótica das relações de consumo, as empresas privadas poderão melhorar a sua experiência no mercado, aumentado a sua reputação e confiabilidade no mercado comercial. Logo, a Lei Geral de Proteção de Dados veio para proteger os direitos fundamentais dos titulares de dados pessoais, pessoas físicas que são consumidores, mas, também, pode ser utilizada pelas empresas como uma excelente oportunidade para aumentar a sua receita. 7. Referência. Código de Defesa do Consumidor. Disponível em http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm. Acesso em 28 de fevereiro de 2021. Constituição da Republica Federativa do Brasil de 1988. Disponível em http://www.planalto.gov.br/ccivil_03/constituição/constituição.htm. Acesso em 28 de fevereiro de 2021. Tartuce, Flávio. Neves, Daniel Amorim Assumpção. Manual do Direito do Consumidor – Direito Material e Direito Processual- Vol. Único. Editora Método, 2015. Maldonado, Viviane Nóbrega. LGPD Lei Geral de Proteção de Dados Pessoais Manual de Implementação. Editora Revista dos Tribunais, 2019. Bioni, Bruno Ricardo. Proteção de Dados Pessoais - A Função e os Limites do Consentimento. Editora Forense, 2019.