INTRODUÇÃO: Ao se analisar a proteção de dados e a privacidade, importa, ainda que de modo breve, contextualizar, o tema, ao menos no âmbito do Direito Europeu e Brasileiro, porquanto a privacidade tem ocupado destaque, em razão da proliferação da tecnologia e, pois, do tratamento de dados pessoais em meio eletrônico, em montantes jamais vistos na história da humanidade.

Assim, confirmando a vanguarda na tutela dos Direitos Humanos, e a maturidade do direito europeu em relação à tutela da privacidade, mediante a proteção dos dados pessoais, a Carta de Direitos Fundamentais da União Europeia, em vigor a partir de 2002,  consagra, naquela comunidade de Estados, dentre outros, no art. 8º, a proteção dos dados pessoais e da privacidade no seleto rol, constituindo um dos direitos humanos[1], evidenciado a busca, com grande êxito, do equilíbrio entre a melhoria da segurança e a preservação dos direitos humanos, incluindo a privacidade e proteção de dados.  Para tanto, o art. 8º dispõe que todos têm o direito de proteção de dados, devendo ser processados de forma justa para fins específicos e com base no consentimento ou em alguma outra base legítima estabelecida por lei.  E essa crescente atenção aos dados pessoais culmina, em maio de 2018, como a entrada em vigor do Regulamento Geral de Proteção de Dados – GDPR, que se tornou marco mundial sobre a matéria atraindo, pela excelência com que trata do tema a elaboração de normas espelhadas nesse Regulamento, como a Lei 13.709 de 2018, no Brasil.

Nestas terras, a tutela desse direito também não é novidade pois além da Constituição Federal, o Código de Defesa do Consumidor, o Código Civil, a Lei do Cadastro Positivo, o Marco Civil da Internet, apenas para citar alguns exemplos, ocupam-se do tema, contudo sob a ótica setorial.

Com efeito, no campo específico da proteção de dados, a discussão brasileira parece ter evoluído a bom termo, ao menos no plano legislativo, pela  Lei 13.709/2018, com início de vigência previsto para outubro de 2020, após longa vacatio legis, fixada no intuito de que pessoas físicas e jurídicas, que procedam ao tratamento de dados promovam a adequação de suas práticas, adotando medidas de conformidade. Vale observar, que, segundo o art. 1º. da Lei 13.709/2018, o escopo da norma é o de dispor sobre o tratamento de dados pessoais, “inclusive” nos meios digitais, ou seja  sobre o tratamento de dados pessoais, por pessoa natural ou por pessoa jurídica, sendo ela de direito público ou privado. Também segundo o caput do primeiro artigo da LGPD, o objetivo é o de “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”. Como se vê, há reconhecimento, expresso do legislador pátrio, da fundamentalidade da proteção de dados pessoais e da privacidade como forma de conferir densidade ao próprio desenvolvimento da personalidade da pessoa física, elevando a privacidade ao mesmo patamar da liberdade.

Ainda com o objetivo de contextualizar atuação do Ministério Público, por intermédio da instituição ministerial do Distrito Federal e Territórios, MPDFT, importa colacionar a definição de dados pessoais, também com base na Lei 13.709/2018, que, no art. 5º, inciso I, refere os dados pessoais como aqueles que dizem respeito a qualquer informação relacionada a uma pessoa física identificada ou identificável, pessoa essa qualificada como “titular dos dados”. Esse titular, conforme o art. 5, V, da mesma Lei, é a pessoa natural (física), e viva, a quem se referem os dados pessoais que são objeto do tratamento. Pode-se exemplificar os dados pessoais, portanto, como sendo o nome, a ocupação, o endereço físico ou de e-mail, nr. do RG, endereço IP (internet protocol), geolocalização (GPS).

Por seu turno, o art. 5, inciso II, especifica que, quando os dados forem  biométricos, referentes à saúde, genéticos ou que revelem etnia ou origem racial, opção religiosa, filosófica ou política, bem como a orientação sexual, dentre outros, serão considerados “dados sensíveis”, demandando  maior proteção, o que, também, ocorrem se disserem respeito a crianças e adolescentes, conforme o art. 14 da LGPD.

Cumpre, também, mencionar que “tratamento de dados disciplinado pela mencionada lei diz respeito às atividades de operação tais como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais (art. 5°, X). Dá-se relevo ao fato de que o mero armazenamento de dados pessoais, mesmo que constituam a base legada, sem limite temporal, e, ainda que em meio físico, constitui-se “tratamento” a atrair a incidência da Lei 13.709/2018.

Quanto aos dados pessoais tratados em meio eletrônico, antes mesmo da vigência da Lei 13.709/2018, consoante já mencionado, o Brasil já conta, desde 2014, com o “Marco Civil da Internet – MCI”, consubstanciado na Lei 12.965/1014, em pleno vigor, estabelecendo princípios, garantias, direitos e deveres para o uso da Internet no Brasil, contemplando, também, conceitos como dados pessoais, elencados, no Decreto nº 8.771/2016, que regulamentou o MCI, definindo “tratamento” em termos muito semelhantes aos adotados pela LGPD e já referidos.

E essa proteção normativa também decorre da percepção de que os dados pessoais, além de expressamente atinentes à privacidade e à intimidade, tornaram-se  um dos principais ativos da economia contemporânea a ponto de serem referidos em célebre capa da Revista The Economist no sentido de que the world’s most valuable resource is no longer oil, but data, em livre tradução: “o recurso mais valioso do mundo não é mais o petróleo, mas os dados”[2],[3].

Por seu turno, a tutela do consumidor como consabido, notadamente no âmbito coletivo, é missão institucional do Ministério Público, nos termos do art. 127 da Constituição Federal[1], que elencou o parquet como  responsável pela defesa da ordem jurídica, do regime democrático e dos interesses sociais e individuais indisponíveis, dentre os quais, a tutela consumerista assume destaque, dispondo, como ferramental jurídico, da Ação Civil Pública, disciplinada pela Lei 7.347/1985, e do Inquérito Civil Público, elencado no art. 8º, § 1º[5], como instrumento de instrução da demanda judicial ou de palco para a celebração de ajuste de conduta com o ofensor, conforme o art. 5º, § 6º. da LACP[6], consolidando microssistema com o Código de Proteção do Consumidor – Lei 8.078/1990 – CDC.

Nesse contexto normativo, o Ministério Público do Distrito Federal e Territórios, por intermédio da Unidade Especial de Proteção de Dados e Inteligência Artificial, representado pelo Promotor de Justiça Frederico Meinberg Ceroy, no âmbito do Inquérito Civil nº 08190.044813/18-44, tendo por objeto a apuração de incidente de segurança ocorrido no plano cibernético, que gerou o comprometimento de dados pessoais de clientes[7]. celebrou com a empresa Ns2,Com Internet S.A. – Netshoes, Termo de Ajustamento de Conduta[8], em relação ao qual são tecidos os seguintes comentários.

O primeiro diz respeito à percepção, pelo Ministério Público do Distrito Federal e Territórios, da relevância da proteção de dados pessoais, em caráter difuso, notadamente em casos de incidentes de segurança como o que dera ensejo ao TAC nº 01/2019 a ponto de constituir a referida Unidade Especial de Proteção de Dados e Inteligência Artificial – ESPEC[9].

O segundo pode ser extraído dos “considerandos” do documento analisado, trecho em que tanto o Ministério Público, quanto a direção da empresa, adotaram, ainda que a título de orientação, os termos da mencionada Lei 13.709/2018, como forma de reconhecimento da obrigação de os agentes de tratamento ou qualquer outro agente que atue no tratamento de dados pessoais adotarem medidas de segurança de ordem técnica e administrativa que protejam dados pessoais de ataques deliberados e incidentes acidentais de modo a evitar danos a esses dados e seus titulares. Diz o documento (verbis): Considerando, a título de orientação, que a recente Lei n. 13.709/181, que ainda não vigora, determina que os agentes de tratamento, ou qualquer outra pessoa que intervenha em uma das fases do tratamento, devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; 

     Em terceiro, as partes, na mesma senda de reconhecer eficácia à Lei ainda não formalmente em vigor, consideraram, como fundamento ao ajuste:  Considerando, ainda, que a Lei n. 13.709/18 dispõe que, quando de sua entrada em vigor, o controlador deverá comunicar ao titular do dado atingido a ocorrência de incidente de segurança que possa lhe acarretar risco ou dano relevante, e que essa comunicação deverá ser feita em prazo razoável;  

     Note-se que nesse trecho há o reconhecimento do direito do titular de ser cientificado sobre incidentes de segurança envolvendo seus dados e que estejam sob a responsabilidade de controladores. Percebe-se, aí, eficácia às previsões da LGPD atinentes aos direitos dos titulares, conforme o disposto no art. 17 da Lei 13.709/2018, notadamente quanto à proteção da privacidade e da intimidade[10].

Bem assim, o verbete incluído no TAC busca conferir densidade aos princípios da transparência, segurança e prevenção, igualmente contemplados na Lei Geral de Proteção de Dados, consoante no art. 6º[11].

 

Ainda, na esteira da responsabilização do ofensor, a Lei 13.709/2018, adotada, ao menos a título de orientação quando celebrado o documento em exame, prevê a aplicação, dentre outras sanções, de multa pecuniária que deverá ter o montante calculado dentre os parâmetros legais e considerando as condutas omissivas e comissivas do infrator em relação à ofensa e às consequências do malfeito, consoante o disposto no art. 52 da LGPD[12].

Em quarto, merece destaque a conduta da empresa, que se ocupou em produzir evidências e adotar procedimentos que preservaram os interesses dos titulares dos dados, além de não negociar com os responsáveis pela subtração dos dados, e pela tentativa de extorsão, mereceu, dentre outras, as seguintes referências no documento:  Considerando todas as medidas que a Netshoes levou a efeito tão logo soube do incidente, o comprometimento com a investigação e a agilidade demonstrada no monitoramento proativo e remoção de conteúdo na Internet que demonstram engajamento responsável e voltado à mitigação de risco para os consumidores; Considerando todos os esforços por parte da Netshoes de cientificação dos consumidores quanto ao incidente, propiciada por uma série de ações de comunicação, por diversos meios (e-mails, chamadas telefônicos, publicações em seu próprio portal, notas à imprensa etc.), bem como a ampla divulgação do incidente em variados meios de comunicação jormais, revistas, portais, TV e Rádio etc.); Considerando a ampla cooperação da Netshoes durante todo o trâmite do Inquérito Civil Público, inclusive com o fornecimento adicional de dados pessoais comprometidos de que o Ministério Público não tinha acesso. Considerando a inexistência de comprometimento de senhas, dados financeiros, bancários ou locacionais dos clientes; Considerando que a Netshoes não negociou com os extorsionários e seguiu a recomendação da Comissão de Proteção dos Dados Pessoais do MPDFT.

     Assim, restou ajustado o pagamento de multa pecuniária no valor de R$ 500.000,00 (quinhentos mil reais), a título de indenização pelos danos morais coletivos de caráter nacional em razão do incidente de segurança que comprometeu milhões de titulares dos dados pessoais, montante a ser  quitado em 05 (cinco) parcelas iguais e sucessivas de R$ 100.000,00 (cem mil reais), cada uma, a primeira com vencimento 30 (trinta) dias após a homologação judicial do TAC e as demais a cada 30 (trinta) dias, além do comprometimento da empresa, dentre outros, de implantar medidas adicionais ao seu Programa de Proteção de Dados, quais sejam: gerenciamento de riscos e vulnerabilidades no portal Netshoes; ações de adequação à Lei Geral de Proteção dos Dados Pessoais; e atualização contínua de sua Política de Segurança Cibernética;  realizar esforços de orientação de consumidores, a aumentar o nível de conhecimento sobre os riscos cibernéticos e medidas de proteção de seus dados pessoais, por meio de campanha de conscientização; e disseminar ao mercado as melhores práticas para privacidade e proteção de dados pessoais, por meio da participação em fóruns e eventos especializados; e difusão de boas práticas de proteção dos dados.

Da análise do referido ajuste de conduta, pode-se concluir no sentido de que a proteção de dados pessoais, como forma de garantia do direito fundamental à privacidade e à intimidade é pauta mundial da qual o Brasil se ocupa de modo crescente, notadamente com a Lei Geral de Proteção de Dados – LGPD, Lei Federal nº 13.709/2018, que já ostenta aplicação embora ainda sob o regime da vacatio legis, a ponto de fomentar a atuação do Ministério Público na tutela dos direitos coletivos atinentes à proteção consumerista. Bem assim conclui-se que a LGPD é, sobretudo, uma lei reputacional, que, além de colocar o Brasil no cenário adequado, em conformidade, por exemplo, com o RGPD da Comunidade Europeia, dá ensejo ao reconhecimento de que os dados pertencem, efetivamente aos seus titulares, exigindo tratamento de forma adequada e responsável a quem forem confiados, sob pena de severas penalidades, não apenas pecuniárias como a eliminação do banco de dados.

 

 

[1] Trata-se da confirmação do Parlamento Europeu, e, pois, da cidadania europeia, porquanto o Parlamento deve ser o eco do poder, que deve emanar do povo, em qualquer ente democrático moderno, como ocorre no Brasil, que contempla, na Constituição Federal, no parágrafo único do art. 1º da Constituição Federal, a prever que “todo o poder emana do povo e em seu nome será exercido”.

[2] https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data, acessado em 10 de junho de 2019, às 22h40min.   [3] Em breve artigo, defendeu-se que, os dados pessoais são ainda mais valiosos e relevantes do que o petróleo porquanto sua utilização é praticamente ilimitada, não se constituindo recurso consumível, e que ainda, pode ser replicado, combinado e reutilizado sem que se perca. https://www.linkedin.com/in/newton-moraes-818367149/?midToken=AQGN656-xee3fQ&trk=eml-email_accept_invite_single_01-header-101-profile&trkEmail=eml-email_accept_invite_single_01-header-101-profile-null-9xuy8k~jvjdniu5~yg-null-neptune%2Fprofile~vanity%2Eview

[5] Art. 127. O Ministério Público é instituição permanente, essencial à função jurisdicional do Estado, incumbindo-lhe a defesa da ordem jurídica, do regime democrático e dos interesses sociais e individuais indisponíveis.

[6] Art. 8º Para instruir a inicial, o interessado poderá requerer às autoridades competentes as certidões e informações que julgar necessárias, a serem fornecidas no prazo de 15 (quinze) dias. § 1º O Ministério Público poderá instaurar, sob sua presidência, inquérito civil, ou requisitar, de qualquer organismo público ou particular, certidões, informações, exames ou perícias, no prazo que assinalar, o qual não poderá ser inferior a 10 (dez) dias úteis. [3] § 6° Os órgãos públicos legitimados poderão tomar dos interessados compromisso de ajustamento de sua conduta às exigências legais, mediante cominações, que terá eficácia de título executivo extrajudicial. (Incluído pela Lei nª 8.078, de 11.9.1990)

[7] Segundo consta, vazaram dados como data de nascimento, endereço, CPF e informações de pedidos de 1.999.704 contas de clientes. Além disso, o incidente vazou informações de servidores públicos que estavam cadastrados no banco de informações da empresa (https://www.jota.info/tributos-e-empresas/mercado/netshoes-vazamento-dados-clientes-05022019).

[8] Íntegra do documento disponível em http://www.mpdft.mp.br/portal/pdf/tacs/espec/TAC_Espec_2019_001.pdf, acessado em 10 de maio de 2019, às 19h45min.

[9]http://www.mpdft.mp.br/portal/pdf/comissao_protecao_dados_pessoais/Portaria_PGJ_n2018_0539.pdf

[10] Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei

[11] Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

[12] Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III – multa diária, observado o limite total a que se refere o inciso II; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dosConsiderando todas as medidas que a Netshoes levou a efeito tão logo soube do incidente, o comprometimento com a investigação e a agilidade demonstrada no monitoramento proativo e remoção de conteúdo na Internet que demonstram engajamento responsável e voltado à mitigação de risco para os consumidores dados pessoais a que se refere a infração.

 

Newton de lavra Pinto Moraes

Mestrado em Direito da Fundação Escola Superior do Ministério

 

Raquel Sparemberger