A EXCEÇÃO DOS DADOS PESSOAIS TORNADOS MANIFESTAMENTE PÚBLICOS PELO TITULAR NA LGPD
Vivemos tempos em que a privacidade na internet (e o direito a tê-la) está sendo rediscutida, reavaliada (alguns entendem que ela não mais existe(1)) e, principalmente, regulamentada por legislações paradigmáticas(2).
Na Europa, talvez o palco principal desse momento, houve o advento da GDPR (General Data Protection Regulation - Regulamento nº EU 2016/379), um conjunto de regras que, na sua essência, coloca a pessoa física em posição protetiva e com considerável controle sobre seus dados pessoais. No Brasil, tivemos a recente promulgação da LGPD (Lei Geral de Proteção de Dados - Lei nº 13.709/2018), uma criação legislativa fortemente inspirada no regulamento europeu, mas cuja aplicação, a iniciar em meados do ano de 2020, ainda é cercada de dúvidas. Boa parte destas, assim acredito, serão aos poucos sanadas com os primeiros atos da Autoridade Nacional de Proteção de Dados(3) recentemente criada e, posteriormente, com as primeiras interpretações judiciais que tivermos de casos concretos.
Não obstante, muitos já são os excelentes livros e artigos(4) que antecipam as principais obrigações que profissionais, especialmente do direito, compliance e TI, precisam conhecer no que diz respeito ao tratamento(5) de dados. O objetivo deste artigo, no entanto, é tratar de um específico ponto da nossa nova lei, uma exceção ao consentimento exigido do titular para o uso de suas informações pessoais (uma das principais hipóteses autorizadoras(6) para o processamento de dados por entes privados), descrita de forma tímida em um parágrafo, mas cujo papel pode ser estratégico na atividade de quem está sujeito a essa legislação. Trata-se do §4º do art. 7º da LGPD, no qual se lê:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
Como já mencionado, a obtenção de consentimento do titular é uma das principais alternativas para controladores(7) que têm o tratamento de dados como parte de sua atividade comercial, mas demanda considerável preparação técnica e legal. Conforme define o art. 8º da LGPD (8), o consentimento outorgado deve ser demonstrado de forma inequívoca, por via expressa ou por outros meios, cabendo ao controlador o ônus de comprová-lo. Não obstante, as autorizações concedidas pelos titulares devem ser específicas e destinadas a finalidades determinadas - as quais devem ser claramente destacadas pelo controlador no momento em que obtém o consentimento do titular.
Ao contemplar essas obrigações pelo viés prático, é inegável que a “gestão dos consentimentos” pode ser tarefa de elevada complexidade e potencialmente problemática. Qualquer uso de dados com finalidade diversa da autorização conferida, ou a ausência de comprovação efetiva do consentimento recebido, tornam os controladores passíveis de receberem as sanções legais previstas na LGPD (arts. 52 a 54) e de serem responsabilizados ao ressarcimento de danos causados ao titular dos dados pelo uso indevido destes.
Nesse sentido, à primeira vista o uso dos tais “dados tornados manifestamente públicos pelo titular” poderia atenuar o pesado e complexo ônus da “gestão de consentimentos” que detém o controlador atuante sob esta hipótese, com base na exceção do §4º do art. 7º da LGPD. No entanto, referida exceção não é clara quanto a sua extensão, além de contar com uma ressalva consideravelmente ampla - questões para as quais o presente artigo oferecerá algumas considerações.
A primeira dúvida recai sobre o próprio uso da exceção, pois, salvo engano, referida regra seria uma válvula de escape a todas as hipóteses autorizadoras do art. 7º, e não apenas àquela do inciso I (consentimento), como seu texto dá a entender. A regra do §4º do citado artigo, a bem da verdade, poderia ser tratada como uma outra hipótese permissiva, pois o controlador que atua sob a regra excepcional acima não precisaria justificar suas atividades em nenhuma das demais hipóteses autorizadoras do art. 7º da LGPD, conforme entendo.
Outra reflexão importante surge em torno da expressão “tornados manifestamente públicos pelo titular”. Tal condição diz respeito à intenção prévia do usuário quando tornou públicos seus dados (tinha clara ciência disso) ou refere-se ao aspecto inegavelmente público que os dados atingiram pela divulgação feita pelo titular? Penso que a resposta contempla uma mistura de ambas interpretações, especialmente se levarmos em conta o espírito geral da LGPD.
Um documento de diretrizes para a adoção da GDPR (que conta com uma exceção redigida de forma similar no art. 9(2), item (e))(9), criado pelo Parlamento escocês, exemplifica situações enquadráveis nesta ressalva(10), citando os exemplos de dados publicados no perfil do titular em uma rede social ou, ainda, aqueles veiculados em uma página de web criada pela própria pessoa. Nestes casos, como descrito naquele documento, é possível inferir que os dados foram fornecidos e publicados pelos próprios titulares, conclusão esta com a qual concordo plenamente.
Imaginemos, contudo, a situação em que um usuário, ao preencher e publicar seus dados em um perfil de uma rede social, não sabia que aqueles seriam acessíveis ao público em geral por falta de ou precária informação. O fato de que tais dados foram lançados ao ubíquo mundo da internet pelo próprio titular, tornando-se manifestamente públicos, mas sem os devidos cuidados que a própria LGPD exige, permitiria que terceiros utilizassem tais dados sob a exceção do §4º do art. 7º?
Considerando o teor da LGPD, penso que a ciência do titular sobre a publicização de seus dados também é condição indispensável para que o tratamento daqueles, sem prévio consentimento, seja autorizado. No entanto, não podemos esquecer do mundo prático e do ambiente digital para o qual a lei é especialmente direcionada - nesse sentido, exigir dos controladores a investigação pretérita da intenção de usuários quanto aos dados já tornados públicos por estes parece, ao meu ver, uma exigência inviável.
Por tal razão, entendo que aos controladores que utilizarem dados tornados públicos pelo titular, sem que este que tivesse pleno conhecimento disso, algum tipo de atenuante ou até mesmo excludente de responsabilidade deverá ser estendida (até o momento em que se tornarem cientes disso). Para sustentar essa relativização, socorro-me da inteligência contida no inciso II do §3º do art. 14 do Código de Defesa do Consumidor(11), no inciso I do art. 188 e no art. 945 do Código Civil(12) e no art. 19 do Marco Civil da Internet(13).
Outra importante consideração a ser feita, relativa ao tema central deste artigo, é a sua distinção dos chamados “dados pessoais cujo acesso é público”(14). Conforme explicou Marcel Leonardi ao comentar o projeto de lei nº 5.276/2016 (que resultou na LGPD), entende-se por dados pessoais de acesso público aqueles cuja publicação é obrigatória por lei(15), os quais, no entanto, ainda assim estariam sujeitos ao enquadramento a uma das hipóteses autorizadoras de tratamento(16).
No atual texto da LGPD, o §3º do art. 7º trata da figura jurídica citada acima, mas seu teor também gera fortes dúvidas, já que poderia ser interpretado como um outro mecanismos de dispensa de consentimento, apesar de não estar redigido no formato de uma exceção. Filio-me, todavia, ao posicionamento de Leonard, tendo em vista não apenas a inexistência de uma exceção expressa às regras gerais, mas também a essência da LGPD.
Por fim, gostaria de chamar a atenção para a ressalva contida na exceção ora estudada, que determina que os dados enquadrados nessa regra podem ser explorados sem consentimento, “resguardados os direitos do titular e os princípios previstos nesta Lei”. Como se vê, o tratamento de dados dispensados de consentimento pelo §4º do art. 7º da LGPD deve atender, em especial, aos princípios da finalidade, adequação e necessidade(17).
Nesse contexto, considerando que o mecanismo de consentimento é aquele que permite ao controlador uma liberdade maior para explorar dados pessoais (desde que tenha a expressa autorização do usuário), entendo que a hipótese de dispensa de consentimento não funcionará com essa mesma amplitude. Uma pizzaria, dentro da exceção analisada, poderia oferecer descontos, via redes sociais, para alguém que tornou pública a informação de que já a frequentou, mas, por outro lado, não poderia inserir aquela pessoa em um cadastro de consumidores de pizza para acesso geral, pois neste último caso a finalidade e a adequação do ato praticado parecem deturpados.
Isto é, a exceção do §4º do art. 7º não servirá para fins amplos e irrestritos. Logo, para alguma situações, a obtenção de consentimento para uso de informações tornadas públicas pelo próprio titular ainda será necessária e indispensável.
Outro curioso ponto de atrito, oriundo da ressalva contida na exceção em apreço, está relacionada ao exercício de alguns direitos do titular, previstos, em sua maior parte, nos arts. 17 a 22 da LGPD. O usuário, conforme direitos previstos nos incisos IV e VI do art. 18(18), pode impedir o uso e/ou requerer a eliminação de determinados dados em posse do controlador. Contudo, como fica o exercício desses direitos para os dados tornados públicos pelo titular e, portanto, acessíveis a qualquer momento, por outros meios, sem necessidade de consentimento?
A resposta encontra-se no próprio art. 18, mais especificamente em seu §2º, no qual se lê: O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei. Este dispositivo legal destacado nos fornece, na verdade, dois importantes insights. O primeiro está expresso no próprio texto, mostrando que o titular pode, sim, opor-se ao uso dos dados que tornou públicos e até mesmo solicitar sua eliminação nas hipóteses de desrespeito à LGPD. Por outro lado, fazendo a leitura inversa do §2º do art. 18, é possível extrair a conclusão de que o uso de dados dispensados de consentimento, dentro dos limites legais, não estaria sujeito à oposição de seu titular.
Assim, a exceção prevista no §4º do art. 7º mostra-se como uma potencial válvula de escape aos controladores sujeitos à LGPD e que atuam com modelos baseados na “gestão de consentimentos”. Não obstante, ainda assim a atividade de tratamento de dados dispensados de prévia autorização do titular deve respeitar os limites principiológicos e legais previsto em nossa recente lei, limites estes que, neste momento, ainda são um tanto disformes e nebulosos.
Somente o tempo nos permitirá compreender a verdadeira utilidade da exceção tratada, mas não tenho dúvida de que o §4º do art. 7º da LGPD será uma das principais ferramentas utilizadas por aqueles que defendem uma fluidez maior para o ambiente de tratamento de dados pessoais.
(1) “The End of Privacy”, artigo escrito por Andrew Burt e Dan Geer, disposível em <https://www.nytimes.com/2017/10/05/opinion/privacy-rights-security-breaches.html> acesso em 26/12/2018.
(2) Deve ficar claro que as regulamentações relacionadas à proteção de dados pessoais não são, na sua maior parte, voltadas apenas ao âmbito digital, mas é nesse ambiente aterritorial e ubíquo em que o fluxo e a troca de dados é muito mais intensa e, consequentemente, é onde encontramos o terreno fértil para avaliar as questões jurídicas relacionadas à exploração de dados pessoais.
(3) Medida Provisória nº 869 de 27 de Dezembro de 2018.
(4) Artigos “A nova Lei Geral de Proteção de Dados Pessoais (Parte I a XVII)”, de Ana Frazão (disponível em <http://anafrazao.com.br/pt/publicacoes/tipo:5>); Artigo “Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada”, de Renato Leite Monteiro (disponível em <https://www.jota.info/opiniao-e-analise/...da.../lgpd-analise-detalhada-14072018>); Livro “Proteção de dados pessoais. Comentários à Lei n. 13.709/2018” de Patrícia Peck Pinheiro;
(5) Termo utilizado na LGPD para referir-se a qualquer forma de uso de dados, conforme inciso X do art. 5º: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
(6) Não resta dúvida de que a hipótese autorizadora do inciso IX do art. 7º, que permite o tratamento de dados “quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”, é possivelmente aquela com a melhor fluidez prática para que um controlador exercite suas atividades comerciais. Contudo, neste atual momento, não podemos ignorar que essa regra é dotada de considerável incerteza e abstração em face à concepção do “legítimo interesse”, sendo a obtenção de consentimento, ainda, uma forma mais segura de justificar o tratamento de dados.
O art. 10 da LGPD até auxilia um pouco nessa questão, mas ainda assim deixa expresso que o interesse legítimo dever ser aferido em cada caso concreto:
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a
I - apoio e promoção de atividades do controlador; e
II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
(7) Nos termos do art. 5º, incisi VI da LGPD, controlador é: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
(8) Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.
§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.
§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
(9) A GDPR, em seu art. 9º, que trata do processamento de dados sensíveis, determina em seu parágrafo 1º que o tratamento de tais dados é vedado, salvo nas hipóteses excepcionais previstas no parágrafo 2º, no qual, no item (e), encontramos uma exceção cuja construção é muito similar àquela do §4º do art. 7º da LGPD, como se vê:
Paragraph 1 shall not apply if one of the following applies: (e) processing relates to personal data which are manifestly made public by the data subject;
(10) “There is no definition of ‘manifestly made public’ under GDPR, howev er, simply because personal data is in the public domain (for example, in a newspaper article), or has been provided directly to a Member, does not necessarily mean it has been manifestly made public by the person. This exemption can only be relied upon in circumstances where it is clear that the data subject has themselves put their personal data into the public domain, for example, on their own social media account or on a charity fundraising page that they have set up themselves)”. Documento disponível em <http://www.parliament.scot/S5ChamberOffice/2018_06_01_Questions_Guidance_FINAL.pdf> acesso em 26/12/2018.
(11) Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.
(...)
§ 3° O fornecedor de serviços só não será responsabilizado quando provar:
(...)
II - a culpa exclusiva do consumidor ou de terceiro.
(12) Art. 188. Não constituem atos ilícitos:
I - os praticados em legítima defesa ou no exercício regular de um direito reconhecido;
Art. 945. Se a vítima tiver concorrido culposamente para o evento danoso, a sua indenização será fixada tendo-se em conta a gravidade de sua culpa em confronto com a do autor do dano.
(13) Art. 19. Com o intuito de assegurar a liberdade de expressão e impedir a censura, o provedor de aplicações de internet somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente, ressalvadas as disposições legais em contrário.
(14) Art. 7º:(...)
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
(15) “Seja como for, entende-se que dados de acesso público são dados cuja divulgação pública é obrigatória por lei – o fato de alguém ser proprietário de um imóvel, ou sócio de uma empresa, por exemplo, ou os dados acerca das atividades de órgãos públicos, nos termos da Lei de Acesso a Informações”. Comentários publicados no blog InternetLab, disponível em <http://www.internetlab.org.br/pt/opiniao/o-que-sao-dados-publicos/> acesso em 28/12/2018.
(16) “Nesses cenários, a justificativa para o tratamento desses dados de acesso público pode ser facilitada – notadamente, por exemplo, no caso do tratamento desses dados com base no legítimo interesse. Mas isso não altera o fato de que o tratamento deve da mesma forma se enquadrar em uma das modalidades que autorizam esse tratamento – o que, como mencionado anteriormente, pode ocorrer com o consentimento, englobando também, entre outras modalidades de autorização, o cumprimento de uma obrigação legal pelo responsável; a execução de um contrato ou os procedimentos preliminares relacionados a um contrato; o exercício regular de direitos em processo judicial ou administrativo, e a já mencionada existência de legítimo interesse do responsável ou de terceiro” Comentários publicados no blog InternetLab, disponível em <http://www.internetlab.org.br/pt/opiniao/o-que-sao-dados-publicos/> acesso em 28/12/2018.
(17) Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
(18) Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
(...)
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
(...)
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;