Observatório do Marco Civil da Internet
Artigo de Thiago Luís Sombra

Quais os riscos de que dados pessoais em bases públicas sejam objeto de negociação ou divulgação, sem o devido consentimento, por sites e plataformas localizados em outros países? Que sanções e medidas poderiam ser adotadas para impedir estas práticas? Quais as consequências destes comportamentos? O julgado ora analisado envolve alguns destes desafios regulatórios do Marco Civil da Internet.

O Tribunal de Justiça de São Paulo foi provocado a se manifestar sobre a possibilidade de impedir a divulgação de dados de usuário da internet, obtidos da base de dados da Receita Federal, sem o consentimento do titular e autoridade administrativa. Pretendia o usuário recorrente fossem criados obstáculos tecnológicos para inviabilizar o acesso ao site www.consultasocio.com, também objeto de outra ação perante a 24ª Vara Cível da Comarca de Curitiba.

Além das informações pertinentes ao CPF e CNPJ, o referido site divulgava se o usuário integrava o quadro societário de alguma pessoa jurídica, o percentual da sua participação, o ramo de atividade exercida, a razão social e o nome fantasia, o montante do capital social, a composição societária, endereço, telefone e e-mail.

O primeiro ponto a ser considerado envolve a compreensão do que seja dado disponível ao público, dado pessoal e dado cadastral. O §3º do art. 10 do Marco Civil da Internet estabelece que a proteção aos dados pessoais não impede a requisição de dados cadastrais – assim compreendidos a qualificação pessoal, filiação e endereço – por autoridade administrativa competente. Por outro lado, o inciso II do art. 2º do Decreto nº 8.777, de 11 de maio de 2016, considera dado acessível ao público “qualquer dado gerado ou acumulado pelo Governo que não esteja sob sigilo ou sob restrição de acesso nos termos da Lei de Acesso à Informação”. No tocante aos dados pessoais, o Marco Civil da Internet não delimitou com precisão os seus contornos, algo que deverá ser feito por um dos projetos que tramita no Congresso Nacional.

Definidas estas premissas, o segundo ponto a ser destacado é: poderia um dado cadastral ou um dado pessoal disponível ao público ser acessado e divulgado sem o consentimento do titular ou por alguém despido de autoridade administrativa para tanto? A simples circunstância de dados relativos a uma pessoa jurídica e seus sócios estar disponível em uma base de dados pública, como a da Junta Comercial, infirma a possibilidade de tutela do direito à privacidade e proteção de dados?

Embora o Marco Civil da Internet tenha traçado apenas um panorama geral da proteção dos dados pessoais, é cada mais presente a percepção de que os processos de tratamento, armazenamento e gestão devem ser pautados pela transparência, finalidade, integridade, autodeterminação, contexto e minimalismo. Em outras palavras, ao titular deve ser assegurado o empoderamento necessário para conhecer as principais características do processo de gestão dos seus dados, bem como a finalidade para a qual o consentimento foi inicialmente fornecido.

O respeito às circunstâncias e ao contexto em que este consentimento foi dado também se revela algo imperativo, sob pena da completa banalização da identidade e desvirtuação da autonomia do indivíduo. Por fim, espera-se dos responsáveis por gerir dados alheios que retenham a menor quantidade possível e pelo prazo minimamente necessário.

Conquanto hospedado momentaneamente na Austrália, o art. 11, §§1º e 2º do Marco Civil da Internet impõe ao site “consultasocio.com” a aplicação da legislação brasileira, o que importa na ampla possibilidade de aplicação das sanções previstas no art. 12, em razão do descumprimento dos preceitos do caput art. 10.

Na hipótese dos autos, o site “consultasocio.com” não observou os direitos dos usuários da internet previstos nos incisos I, VII, VIII e IX do art. 7º do Marco Civil da Internet. Além da violação da intimidade e da vida privada, forneceu dados (cadastrais e pessoais) a terceiros sem o consentimento do titular, com clara dissociação da finalidade originária e sérios riscos de comprometimento à integridade das informações.

Infelizmente, o Tribunal de Justiça de São Paulo não atentou para estes fatores e incorreu em várias imprecisões acerca das disposições do Marco Civil da Internet. Em primeiro lugar, se ateve a uma premissa equivocada no sentido de que, se a Junta Comercial e OAB fornecem de algum modo os dados disponíveis no site, não haveria ilegalidade em sua divulgação desautorizada.

A rigor, os dados pertinentes a uma pessoa jurídica não são de acesso irrestrito nas bases de dados das Juntas Comerciais e OAB. Há um procedimento previamente estabelecido para tanto, pagamento de taxas, definição do número de consultas e limitação da finalidade de uso por força de imposição legal. Por outro lado, a forma como o site “consultasocio.com” disponibiliza, publica e obtém remuneração por estes serviços é completamente distinta. Não se coaduna com os preceitos do Marco Civil da Internet. Franquear o acesso ao público de um dado de bases oficiais representa algo completamente distinto das operações de coleta, tratamento e divulgação realizadas pelo site “consultasocio.com”. Ali há uma operação que ignora por completo os direitos dos usuários.

Os dados cadastrais e pessoais disponíveis no site da Receita Federal, nas Juntas Comerciais e na Ordem dos Advogados do Brasil são entregues pelos usuários para uma finalidade e contexto específicos. Em última análise, inferir que o acesso público autorize a comercialização e o fornecimento indiscriminado destes dados a terceiros representa uma abdicação do controle que os indivíduos detém sobre si.

No tocante à responsabilidade civil, o acesso por parte do site “consultasocio.com” aos dados de contribuintes da base da Receita Federal demonstra a necessidade de que também os órgãos públicos realizem constantes análises de risco do vazamento de dados (risk assessment), bem como atendam aos requisitos impostos por processos de certificação internacional (compliance). Medidas como estas poderão evitar que ações de indenização por má gestão de dados sejam propostas contra a Administração Pública, com a consequente sujeição ao regime de responsabilidade objetiva pelos danos morais e materiais.

Sob outro prisma, o julgado analisado evidencia que nem sempre é factível a produção da prova da lesão aos direitos do internauta, de maneira a justificar o interesse processual para a propositura da ação. Embora o uso de atas notariais e interceptações tenha aumentado, sites desta natureza ora estão hospedados em um domínio em determinada localidade, ora em outra. Isto tem dificultado sobremaneira a efetividade das decisões judiciais que determinam a suspensão das atividades ilícitas. Ademais, o recurso à cooperação internacional, por meio dos Mutual Legal Assistance Treaty (MLAT), com o escopo de dar eficácia extraterritorial às sentenças proferidas no país, nem sempre atinge seus objetivos no tempo e na dimensão esperados.

A economia digital fundada no compartilhamento de dados pode ser perfeitamente desenvolvida em harmonia com a proteção de direitos dos usuários, a inovação tecnológica e o oferecimento de melhores serviços. A imposição de um discurso maniqueísta, baseado num constante trade off entre direitos e inovação, tem levado a posicionamentos que em grande medida favorecem percepções frágeis do Marco Civil da Internet como a do acórdão analisado.