04 Mar TERCEIRA TURMA DO STJ DECIDE QUE O COMPARTILHAMENTO DE INFORMAÇÕES DE BANCO DE DADOS DEVE SER PREVIAMENTE INFORMADO AO CONSUMIDOR
A Terceira Turma do Superior Tribunal de Justiça (“STJ”), por unanimidade, manteve a condenação de empresa de banco de dados por deixar de informar, previamente ao consumidor, o compartilhamento de dados pessoais com terceiros. A empresa foi condenada a excluir as informações cadastrais do particular que ajuizou a ação e a indenizá-lo por dano moral presumido.
A empresa se defende alegando compartilhar, com terceiros, informações pessoais de consumidores apenas para validar seus cadastros, confrontar dados fornecidos pelos consumidores e evitar fraudes aos negócios dos seus clientes. Nesse sentido, sustenta que seu modelo de negócio não se submeteria ao dever de informar previsto no artigo 43, §2º, do Código de Defesa do Consumidor (“CDC”), e que tal prática não acarretaria dano concreto ao titular dos dados.
O acórdão, relatado pela Ministra Nancy Andrighi, não se fundamenta na LGPD, que entrará em vigor apenas em agosto deste ano¹. Por isso, apoia-se na Lei n° 12.414/2011 (popularmente, “Lei do Cadastro Positivo”), alterada pela Lei Complementar nº 166/2019 (“LC 166/19”), e nos dispositivos do CDC que regulam (e, por vezes, restringem) a atividade de empresas que gerenciam bancos de dados de consumidores.
O principal fundamento da condenação é o dever de informação ao consumidor previsto (i) no artigo 4º, I e § 4º, da Lei do Cadastro Positivo, e (ii) no artigo 43, §§ 1º ao 6º, do CDC. No primeiro caso, o gestor de banco de dados pode inscrever informações de adimplemento de pessoas naturais e jurídicas desde que comunique o fato ao cadastrado em até 30 dias. No segundo caso, o CDC impõe regras aos bancos de dados e cadastros de consumidores, como o acesso às suas informações, o direito de corrigi-las e o dever de ser comunicado sobre registros de seus dados.
Para a Terceira Turma do STJ, se a empresa se beneficia comercialmente do compartilhamento de informações, deve, por isso, cumprir o teor do artigo 5º, V, da Lei n° 12.414/2011: deve informar o consumidor sobre a identidade do gestor e sobre o armazenamento e o objetivo do tratamento de seus dados pessoais. Acrescenta que tal regra deve ser atendida mesmo no caso de cadastros positivos, pois se amparada num direito ainda mais abrangente do consumidor, que é seu direito de acessar seus dados armazenados e retificá-los, como prevê o CDC.
A premissa do acórdão é a de que há deveres gerais associados ao tratamento de dados (que incluem a coleta, o armazenamento, a transferência a terceiros e o dever de informar). Quando não observados, nasce o direito do particular de cessar imediatamente a ofensa aos seus direitos da personalidade e de ser indenizado pelos danos caudados por tal prática, que, no caso, seriam presumíveis (portanto, configurados automaticamente, independente de comprovação).
Ao detalhar os fatos do caso em discussão, a Terceira Turma afirma que, ao fornecer dados para uma compra, o consumidor não está, implícita e automaticamente, autorizando o comerciante a divulgá-los ou trata-los para fins comerciais; está apenas cumprindo as condições necessárias à concretização do negócio jurídico, confiando ao fornecedor a proteção de suas informações pessoais. O mesmo ocorreria com os dados publicados em rede social.
Ainda que o acórdão não invoque, nem comente princípios ou regras da LGPD – na medida em que se fundamenta em outros dispositivos legais –, é possível inferir que se a LGPD vigorasse com sua atual redação, conduziria o mesmo caso a um desfecho semelhante.
Primeiro porque a LGPD reproduz, em boa parte, o conteúdo dos dispositivos invocados como fundamento do acórdão (ou seja, aqueles da Lei do Cadastro Positivo e do CDC, já mencionados). Segundo porque a LGPD, em determinados temas, é ainda mais incisiva e ampliativa quanto ao dever de informar, e restritiva quanto ao tratamento de dados pessoais.
Por exemplo, na atual redação da LGPD, é possível que, além do dever de informar, seja também exigido o consentimento do titular de dados para legitimar as atividades de tratamento por agentes que oferecem serviços de acesso a bancos de dados que contenham dados pessoais. Além disso, é importante observar que o conjunto de direitos do titular de dados previstos, no artigo 18 da LGPD, acaba por ampliar as obrigações dessas mesmas empresas.
O titular de dados poderá, por exemplo, exigir a anonimização, o bloqueio ou até a eliminação de seus dados pessoais que sejam desnecessários e/ou excessivos com relação à finalidade do tratamento, expandindo direitos já previstos na Lei do Cadastro Positivo e no CDC.
Para as empresas, portanto, o caso recentemente julgado no STJ – embora represente o entendimento de apenas uma Turma –, não deixa de servir como alerta: a interpretação da LGPD e das demais normas que compõem o quadro jurídico de proteção de dados deve ser feita de forma integrativa, de modo a auxiliar os controladores e operadores a minimizar riscos e planejar adequadamente os seus negócios e suas atividades.
¹ Tramita na Câmara dos Deputados o Projeto de Lei nº 5762/2019, apresentado pelo Deputado Carlos Bezerra, que visa adiar, pela segunda vez, a entrada em vigor da LGPD para 15 de agosto de 2022, ou seja, em mais 2 anos. O trâmite do projeto, no entanto, encontra-se estacionado desde 21 de novembro do ano passado, data em que foi designado relator para presidir as sessões na Comissão de Constituição e Justiça.
Este material tem caráter meramente informativo e não deve ser utilizado isoladamente para a tomada de decisões. Aconselhamento legal específico poderá ser prestado por um dos nossos advogados. Direitos autorais são reservados ao Kestener, Granja & Vieira Advogados.
Sem comentários