jusbrasil.com.br
17 de Agosto de 2019

A Lei Geral de Proteção de Dados Pessoais e o Consentimento do Consumidor

Raíck Silva, Estudante de Direito
Publicado por Raíck Silva
mês passado

Artigo proposto como avaliação final para aprovação na disciplina "Direito Digital", ministrada pelo professor Frank Ned Santa Cruz no curso de graduação da Faculdade de Direito da Universidade de Brasília (1º/2019).

Elaborada pelos discentes: Alessandra Oliveira Barbosa, Nikolly Milani Simões Silva e Raíck Junio dos Santos Silva.

RESUMO

O presente artigo pretende contribuir com a discussão acerca do tratamento de dados no âmbito digital. Considerando que o consentimento na Lei Geral de Proteção de Dados Pessoais é fator de extrema relevância tanto para o consumidor quanto para as empresas prestadoras de serviços, entende-se que esta aceitação pode estar eivada de vícios diante dos contratos de adesão. Isto decorre devido ao usuário não deter poder de barganha frente às empresas, devendo tão simplesmente concordar com os Termos de Uso e Políticas de Privacidade impostas por controladores e operadores, mesmo que isso importe em danos aos seus dados.

Palavras-chave: Lei Geral de Proteção de Dados - Consentimento - Contratos de adesão - Consumidor - Dados Pessoais

ABSTRACT

The present article intends to contribute with the discussion about the data processing in the Digital scope. Contemplating the consent presented in "Lei Geral de Proteção de Dados Pessoais" as a factor of extreme relevance, as much as it is to the consumer and equally to the service provider companies, it's understood that the acceptance may be infected in the face of Adhesion Contracts. It dues to the consumer does not own bargaining power in front of the companies and just burden himself to agree with the Terms of Use and Privacy Policies imposed by the controlators and the operators, even if it results in damages to the consumer's data.

Keywords: General Data Protection Regulation - Consent - Adhesion Contracts - Consumer - Personal Data

1. Introdução

A Lei Geral de Proteção de Dados - promulgada no ano de 2018, que apenas começará a produzir efeitos em 2020 - reflete a necessidade observada pelas autoridades no estabelecimento de regras e limites na utilização de dados pessoais e sensíveis de usuários digitais. Importa destacar que a proteção destes dados vai além da necessidade de uniformizar a forma como ocorre o tratamento de dados, atinge, também, a necessidade de resguardar o usuário da utilização indevida de informações extremamente relevantes para a sua personalidade, tais como a imagem, nome, características pessoais, idade, orientação sexual, nacionalidade, dentre outras.

A partir deste pressuposto, o presente artigo busca discutir o surgimento da Lei Geral de Proteção de Dados e como esta tem tentado se consolidar frente aos rápidos e grandes avanços tecnológicos sem incorrer em danos à personalidade humana. Em um primeiro momento será discutida origem da legislação e sua relevância para o contexto, fazendo-se um paralelo entre a Lei brasileira e a Lei europeia, que dotadas de similitudes, são capazes de demonstrar as grandes preocupações que assolam os grandes líderes mundiais e autoridades responsáveis no que tange à utilização de dados pessoais e sensíveis.

Será discutido, também, ponto específico da legislação brasileira e europeia, que encontra grandes óbices na realidade atual: o consentimento livre, inequívoco e informado do consumidor. Os contratos de adesão, que se mostram cada vez mais presentes no âmbito digital para compras on-line ou utilização de serviços, tais como o Facebook, apenas demonstram a necessidade de que a legislação seja concretamente aplicada e busque resultados positivos práticos.

2. A Lei Geral de Proteção de Dados Pessoais: a relevância do tema

A “Lei Geral de Proteção de Dados Pessoais” (LGPD), Lei nº 13.709/2018, sendo reflexo da busca pela efetividade e segurança jurídica no tratamento de dados pessoais na realidade “hiper-informatizada” brasileira, tem um projeto ousado e necessário: regular, responsabilizar e institucionalizar um campo jurídico adequado às novas práticas tecnológicas. Estas - se anteriormente não aparentavam importância -, hodiernamente, revelam que a vivência social desdobrou-se em atribuições cíveis, criminais, consumeristas etc. Por conseguinte, seu controle legal tornou-se matéria de ordem pública.

Outrossim, refletir sobre a LGPD é colocar-se dentro da realidade dinâmica de tais circunstâncias. Nessa ótica, o Marco Civil da Internet (Lei nº 12.965/2014), regulação anterior, não foi capaz de suportar tamanhas exigências, em razão da multiplicidade de contextos e intransigências do uso de dados que se amontoavam para apreciação do ordenamento jurídico pátrio. Tal legislação, logo, tornou-se obsoleta.

A imediaticidade de tratamento legislativo em busca desta atualização regulatória transformou-se em questão de ordem pública. Ainda que o protótipo de texto já tramitasse desde 2010, a celeridade foi posta em prática a partir de 2017 e, majoritariamente, embasada em fins político-econômicos: a pré-condição para a entrada do Brasil como país-membro da Organização para Cooperação e Desenvolvimento Socioeconômico/OCDE era a criação imediata de tal marco. O atraso nacional gerava perdas econômicas e investimentos internacionais.[1]

Tal elemento não esgota, todavia, os casos já numerosos de violação a princípios básicos da proteção a dados pessoais mundialmente. O vazamento de dados de 87 milhões de usuários do Facebook[2], conjuntamente com a empresa de consultoria política Cambridge Analytica, que usou tais informações particulares a favor da campanha presidencial norte-americana de Donald Trump, revela a instrumentalização dos dados para fins partidários. Além disso, a falta de transparência e a dificuldade de entendimento da política e dos termos de serviço que permeiam as informações sobre o tratamento de dados - com linguagem rebuscada e vocabulário de difícil compreensão -, condicionam o usuário à desconsideração da importância no contexto de utilização do serviço contratado. Apesar do evento ter ocorrido no exterior, estima-se que aproximadamente 443 mil brasileiros tiveram seus dados vazados. Ou seja, o impacto não é um fato regional, mas que se reflete a toda uma coletividade.

A LGPD, não obstante sua relevância, surgiu nesta conjuntura de pressões feitas pelos operadores do direito, especialistas em direito digital, cidadãos e vítimas. Destarte, cada um trouxe suas experiências baseadas sejam, em evolução do tema ou impedimento de tragédias.

Além disto, é indispensável considerar que os dados são partes dos direitos da personalidade. Segundo Bioni[3], isto se deve ao fato dessas informações digitais constituírem um “novo tipo de identidade”, por meio da qual esses elementos projetam a extensão dos “signos identificadores do cidadão”. Em outras palavras, a sociedade e a economia reconhecem o indivíduo por meio desse “dossiê digital” e o integram, intrinsecamente, em sua esfera humana.

2.1. O prelúdio europeu da legislação brasileira

Conquanto o relato da regulamentação brasileira a respeito do tema seja significativo - e por este motivo haverá um tópico específico para tratar deste assunto -, é preciso compreender que o tema foi desenvolvido a partir dos moldes europeus no século passado. Bruno Ricardo Bioni, em seu capítulo III: “A Travessia do Protagonismo do Consentimento[4]”, dispõe-se a analisar a historiografia por trás da legislação brasileira.

Segundo o autor, a ideologia da demanda estatal de regulação de dados pessoais surgiu com a formação do Estado Moderno. Nessa assertiva, após a Segunda Grande Guerra Mundial, a burocracia e as instituições públicas reconheceram que a coordenação e o planejamento do crescimento do Estado dependem da utilidade das informações pessoais dos cidadãos. Para tanto, o processamento de tais informações pessoais se deu por meio do uso da ciência computacional, que revolucionou o tratamento dos dados qualitativa e quantitativamente. A pertinência do fato foi profícuo que alguns países cogitaram, inclusive, a “criação de bancos de dados unificados (National Data Centers)”[5].

Para Bioni, a primeira geração de leis de proteção de dados pessoais foi marcada justamente pela esfera governamental. Diante disso, havia um “medo da tecnologia”, na busca por domá-la a partir desse novo modelo normativo baseado em valores democráticos de garantia às liberdades individuais do cidadão. Isto é, temia-se a “vigilância ostensiva” e, logo, fez-se preciso controlar tais bancos de dados por meio de autorizações públicas[6].

Na segunda geração ocorreu uma mudança de perspectiva quanto à regulação da Administração Pública. Preocupou-se não somente com as bases públicas de dados, como também as privadas.

A segunda geração de leis transfere para o próprio titular dos dados a responsabilidade de protegê-los. Se antes o fluxo das informações deveria ser autorizado pelo Estado, agora cabe ao próprio cidadão tal ingerência que, por meio do consentimento, estabelece suas escolhas no tocante à coleta, uso e compartilhamento dos seus dados pessoais[7].

Percebe-se que houve uma mudança de paradigma quanto à noção do tratamento dos dados pessoais e, consequentemente, buscou-se mais autonomia ao indivíduo. Esta alteração foi essencial para a próxima geração.

De acordo com o supracitado, a transferência do protagonismo ao indivíduo foi o que diferenciou consideravelmente a terceira geração das demais. Por causa disto, as normas buscaram assegurar a participação da autonomia em todos os âmbitos: da coleta ao compartilhamento. Consequentemente, o termo “autodeterminação informacional” passou a ser considerado um modelo ideal como método, pois o indivíduo mantém controle extensivo sobre os procedimentos[8].

Apesar disto, esta emergência quanto ao consentimento do cidadão já trazia problemas desde a segunda geração. Havia a problemática de contrabalancear a efetividade da escolha do cidadão, a aplicação da norma estatal e como estes se aplicariam diante do acesso a serviços inerentes às relações sociais. Por exemplo, como reagir diante das relações de consumo, acesso a bens, serviços bancários, que exigiam essas informações pessoais?

No entanto, por meio da quarta geração as adversidades anteriores foram superadas. Foram criadas autoridades independentes para aplicação das leis de dados pessoais e arcabouços normativos que impediam a seletividade do processamento de certos dados (por exemplo, dados sensíveis). Contudo, o consentimento foi mantido como central e ao mesmo tempo “adjetivado” (livre, informado, inequívoco, explícito e/ou específico), como também é o elemento orientador da regulação produzida na contemporaneidade[9].

2.2. O trajeto do consentimento

Percebe-se que a caminhada do consentimento entre as primeiras leis de proteção de dados pessoais não se deu de forma uniforme. Nessa ótica, tal fundamento intrínseco à contemporaneidade e ao resguardo dos direitos individuais nem sempre foi visível aos olhos do legislador e, consequentemente, à institucionalização deste alicerce.

Além disso, é preciso relembrar que tais óbices não foram concretizados unicamente pela via normativa. Os aspectos culturais, sociais e econômicos daquele momento histórico são totalmente distintos dos atuais. A materialização e utilidade da proteção de dados se consolidaram na medida em que as camadas sociais, autoridades e representantes políticos se adequaram à importância deste direito para protegê-lo.

Portanto, busca-se manter um entendimento crítico a respeito do tema e afastado do anacronismo - a despeito da modernidade informatizada e globalmente afetada pelo uso incessante de tecnologias, não obstante o emprego descabido e sem regulamentação nítida facilitar a violação explícita dos direitos consumeristas e do ideal do consentimento, motivo que ensejou o desenvolvimento deste trabalho.

2.3. GDPR: o consentimento e a influência na legislação brasileira

No que tange à discussão sobre proteção de dados na União Europeia, podemos falar que primeiramente veio a Diretiva 95/46 CE, de 1995, que tratava do modo como os dados seriam coletados e usados no solo europeu. Contudo, diante de todas as mudanças sociais e do crescimento do uso das tecnologias que usam base de dados, a Diretiva não foi suficiente para regular todos os problemas que envolveram a proteção de dados pessoais.

Desta forma, já no ano de 2018 a Diretiva 95/46 CE veio a ser substituída pelo “Regulamento Geral de Proteção de Dados Europeu” (General Data Protection Regulation - GDPR, em inglês). Este regulamento trouxe um grande abalo para todo o mundo, uma vez que grande parte dos países possuíam alguma relação de suma importância com países europeus, seja esse acordo comercial, social, etc. Portanto, a partir disto, muitos países teriam que aderir à GDPR para continuar essas relações. Isto porque este regulamento é extremamente extenso e busca extinguir qualquer tipo de lacuna no que tange aos tratamentos de dados pessoais europeus.

O principal objetivo da União Europeia ao aprovar essa regulamentação foi o de criar “no indivíduo a possibilidade de domínio sobre os próprios dados, reclamando a propriedade destes como algo pessoal e não comercial, pertencente às empresas ou amplamente explorado pelo Poder Público.”[10]. Assim, a União Europeia poderá ter maior controle sobre a movimentação do dados pessoais e, caso tenha algo indevido, terá ampla liberdade para punir os responsáveis, além de reduzir abuso por parte das empresas que possuem amplo acesso aos dados pessoais.

No que tange à punição, um dos principais pontos presentes na GDPR é o estabelecimento da figura de uma autoridade, o que já estava previsto pela diretiva. Desta forma, nos países integrantes da União Europeia tal ponto tem sido polêmico, posto que as Autoridades de Proteção de Dados (DPA’s) têm competência para supervisionar as regras impostas pela GDPR e, em caso de descumprimento, elas têm o poder de gerar multas milionárias às empresas.

Já em relação ao tema principal deste artigo, o consentimento, a GDPR trata com maior especificidade e é considerado um dos principais pontos da regulamentação. Assim, esse consentimento deve ser inequívoco e assertivo.

Não será mais possível pressupor que o usuário autorizou a utilização de seus dados pessoais após a obtenção de consentimento genérico ou por meio da disponibilização de mecanismos de opt out. Também não será concebível condicionar a execução de contratos ou a prestação de serviços a uma autorização para a coleta e tratamento de dados não essenciais à sua execução visto que não seria livre o consentimento obtido após o exercício de pressão ou influência indevida sobre o contratante.[11]

Outra característica de suma importância é a aplicação territorial da GDPR, visto que ela se estende não só para os residentes da União Europeia, mas sim para todos aqueles que tiverem seus dados coletados por empresas que têm alguma relação com organizações europeias. Assim sendo, em relação às empresas brasileiras, públicas ou privadas, que possuem qualquer tipo de relacionamento com clientes ou parceiros europeus, precisarão adequar-se aos parâmetros do regulamento europeu.

Ademais, nos países em que não há regulação específica para proteção de dados pessoais as transações com os países integrantes da União Europeia se dificultaram, enfraquecendo assim a economia, já que a os países europeus são os mais importantes no que diz respeito à economia e desenvolvimento. Nesta ótica, após a implementação desta regulamentação, vários países começaram a formar uma legislação nacional para o tratamento de dados pessoais. O Brasil foi um desses países que sofreram o impacto do regulamento europeu e tratou de dar celeridade no processo da aprovação de uma legislação que já havia alguns projetos de lei no Congresso.

2.4. O histórico da regulamentação brasileira

Alguns autores dizem que no Brasil as normas jurídicas que tratam da proteção de dados pessoas são um verdadeira “colcha de retalhos”, no entanto, o problema é que todas as legislações tratam de maneira implícita sobre a preservação dos dados. A primeira legislação que trata dos dados pessoais é a própria Constituição Federal de 1988 quando trata do “habeas data”, o qual levou a sociedade a discutir e tomar conhecimento sobre os dados que estavam em posse dos órgão públicos. Contudo, o “habeas data” não trata dos dados que estão a disposição das empresas privadas, escopo que causa uma lacuna enorme no ordenamento jurídico.

Logo em seguida, no ano de 1990, é positivado o Código de Defesa do Consumidor, aparato importante que alterou toda a estrutura comercial da sociedade brasileira. Nesta legislação existem alguns artigos que falam dos dados pessoais, mas não de maneira abrangente e ampla. Além dessas duas, houve ainda legislações como a “Lei de Telecomunicações”, “Lei de Sigilo Bancário” e, a mais conhecida, o “Código Civil Brasileiro”, de 2002. Todas estas leis citaram de certa forma os dados pessoais, porém sempre de maneira rasa para o que a lei se destinava. Assim, fazia-se necessária uma legislação que tratasse de maneira direta e abrangente a proteção de dados pessoais.

Baseado nisto, no âmbito legislativo nacional, pondera Bioni[12], que os primeiros registros de debates públicos sobre o tema iniciaram-se em 2010 a partir de dois eixos. O primeiro deles foi por meio do “I Seminário de Proteção à Privacidade e aos Dados Pessoais”, feito em setembro pelo Comitê Gestor da Internet/CGI.br e o Núcleo de Informação e Coordenação do Ponto BR/NIC.br[13]. O segundo, pela primeira consulta pública de anteprojeto de lei, produzido pelo Ministério da Justiça em novembro do mesmo ano.

O escândalo de espionagem protagonizados por Edward Snowden em 2013 acelerou a criação do Marco Civil da Internet, tornando-o uma antecipação da relevância dos dados pessoais. Posteriormente, a partir de 2015, a participação e engajamento públicos adquiriram qualidade e, às vésperas do afastamento da ex-presidente Dilma Roussef, o texto já contava com o apoio de mais de 40 entidades nacionais e internacionais apoiadoras da causa. Desde então, o “Projeto de Lei sobre Proteção de Dados Pessoais” (PL 5276/2016) já contava com apoio político marcante, pois, “de outubro de 2016 a julho de 2017, a Comissão Especial realizou ao todo 11 audiências públicas e um seminário internacional”[14]. A urgência do tema, conforme citado, foi a criação imediata da legislação como pré-condição para a entrada do Brasil como país-membro da Organização para Cooperação e Desenvolvimento Socioeconômico/OCDE.

Como dito anteriormente, o percurso da LGPD foi extenso e marcado por contratempos. Somente em 2018 o projeto de lei foi de fato aprovado, diante do impacto causado pela implementação da GDPR na União Europeia. Porém, apesar de aprovada, o processo de implementação da LGPD continua sendo turbulento no Brasil, principalmente pelas empresas privadas demonstraram grande resistência à aplicação da lei.

Assim como na União Europeia, a LGPD “visa não somente garantir direitos individuais, mas também fomentar o desenvolvimento econômico, tecnológico e a inovação por meio de regras claras, transparentes e amplas para o uso adequado de dados pessoais.”[15] Assim, com a LGPD sendo aplicada, as empresas brasileiras que passarem a atuar em compliance com a lei poderão se relacionar com as empresas europeias, o que terá um grande impacto econômico.

Logo, no processo de discussão a respeito da implementação desta lei, o setor privado foi um grande entrave político, tendo em vista que é o ramo que mais tem a posse de dados pessoais: tanto os comuns, como os sensíveis. Assim, a legislação estabelece uma série de regras que prejudicam muitas relações comerciais destas empresas privadas, que possuem parte de seu capital proveniente da venda de dados pessoais. Entretanto, diante dos inúmeros escândalos relacionados ao vazamento de dados pessoais, fez-se necessário uma lei que controlasse o tratamento destas informações.

Um ponto bastante polêmico foi em relação a atuação de agência reguladoras para garantir a eficácia da LGPD, já que assim como na GDPR, a lei prevê sanções em caso de violações ou abusos, com a aplicação de multas milionárias que no Brasil podem chegar a 50 milhões de reais. Isto porque a proposta é de que exista uma autoridade pública autônoma e independente para regular estes dados, seguindo os moldes de conselhos como o CADE, por exemplo.

A questão do consentimento foi muito discutida no Congresso Nacional, levando em consideração os mesmos embates concatenados pela União Europeia, que já foram supracitados. Por conseguinte, na lei fica evidente que só pode tratar dados pessoais quem possui um fundamento legal - com apenas 10 exceções previstas na regulamentação. Uma destas é o legítimo interesse, o qual poderia levar a um novo uso dos dados pessoais sem que esteja na autorização originária.

2.5. Importância da legislação no contexto brasileiro

Com base nas informações supracitadas, é notório a importância da regulamentação do tratamento de dados pessoais na realidade brasileira, visto que um vazamento de dados poderia trazer consequências avassaladoras e irreversíveis aos cidadãos e autoridades. Isto se deve ao fato da modernidade se desenvolver com base nas informações e os dados são a chave de um aparato social que cerca sujeitos, coisas e ideias.

Desta forma, a Lei Geral de Proteção de Dados Pessoais veio como meio não só de alavancar a economia brasileira, mas também de se atualizar diante do mundo tecnológico que continua evoluindo de maneira incontestável diariamente. Além disso, visa reforçar um aparato jurídico que era falho e cheio de lacunas no quesito dos dados pessoais, eliminando consequentemente o senso de impunidade das grandes empresas - sejam públicas ou privadas -, já que agora, diante de um sistema coeso de normas, as mesmas poderão sofrer sanções mais graves caso não sigam os preceitos do ordenamento jurídico.

Logicamente, a segurança jurídica é reafirmada com uma lei de grande importância no mundo atual:

Em suma, a LGPD terá um impacto na sociedade como poucas leis antes tiveram, uma vez que, hoje, praticamente toda e qualquer prática se vale do uso de dados pessoais. Empresas de todos os setores terão que se adaptar e uma nova cultura sobre o uso adequado de dados deverá ser formada, algo de difícil atingimento levando em consideração que o Brasil, diferente de outras regiões do mundo, principalmente da Europa, ainda está na sua infância com relação a esse tema.[16]

Neste sentido, é necessário que as empresas se atualizem o mais rápido possível para que não sofram consequências econômicas, comerciais e políticas condenatórias. Como foi explicado, a maioria dos países que possui leis de regulamentação do tratamento de dados pessoais estão se restringido a fazer acordo apenas com países que também possuem legislação no mesmo sentido.

Finalmente, outro aspecto motivador para que as empresas se empenhem e invistam na atualização de suas equipes é em relação a evitar o vazamento de dados, já que a empresa perde toda a credibilidade a partir do momento em que tornam públicos dados como estes. Com isso, é necessário ter uma maior cautela e supervisão em relação aos dados pessoais, principalmente aqueles que são de caráter sensível e podem implicar em complicações diretas na vida do sujeito que teve seus dados vazados.

3. O consentimento como manifestação livre, inequívoca e informada

As orientações trazidas pela Lei Geral de Proteção de Dados trouxeram consigo uma série de atualizações nos Termos de Uso e Políticas de Privacidade a fim de, dentre outras justificações, resguardar de forma mais eficiente os dados dos consumidores. Para tanto, os moldes estabelecidos pela nova legislação impõem obrigações às empresas que atuam em ambiente digital a fim de permitir que aspectos práticos sejam efetivamente obedecidos e cumpridos. Todavia, ainda que expressamente disposto, o consentimento do usuário ainda é tema controverso, tendo em vista a possibilidade de abertura a uma série de interpretações e interesses envolvidos na situação, precipuamente a atuação das empresas e do próprio usuário.

Assim, dispõe a Lei Geral de Proteção de Dados, que

Art. 5º. Para fins desta Lei, considera-se:
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.[17]

A partir da definição empregada pela própria LGPD é possível extrair que o consentimento aceito é aquele que possui como características a expressão livre de aceitação, o conhecimento acerca do que se consente e a ausência de erro ou engano acerca dessa aceitação. Ademais, importa destacar que a própria legislação deixa exposta a importância das empresas valerem-se da expressão de consentimento para os fins que foram originariamente aceitos. Em outras palavras, deverá a empresa solicitar ao usuário que consinta para um fim específico, devendo solicitar novo consentimento caso venha a adotar novo procedimento ou nova finalidade.

Entende-se que a aceitação de Termos de Uso de um determinado bem ou serviço virtuais constituem em sua plenitude um negócio jurídico, propriamente um contrato estipulado pelas partes. Dessa maneira, é importante que haja aceitação de ambos os contratantes para que subsista o vínculo contratual. Este pode ser constituído através do preenchimento de um formulário eletrônico, pelo envio de confirmação via e-mail ou até mesmo um simples clique em um link é capaz de vincular um usuário. Percebe-se, assim, que os dados pessoais - objeto primordial da LGPD - estão a todo momento em movimentação, sendo tratados e utilizados.

Esta coleta de dados demonstra, com mais ênfase, a necessidade de compreensão do conceito de consentimento, tendo em vista, as variadas possibilidades em que o consumidor pode estar se vinculando a um serviço sem efetivamente estar demonstrando conhecimento - tampouco consentimento - do que de fato está contratando.

Conforme a General Data Protection Regulation,

Art. 4. For the purposes of this Regulation:
(11) ‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.[18]

Assim, em consonância com a legislação brasileira e com a legislação europeia, entende-se que há “consentimento livre” quando o usuário dispõe da prerrogativa de controlar de que maneira e em que momento os seus dados serão utilizados, ou melhor, como se dará o tratamento de seus dados, tendo da mesma forma, a liberdade para revogar seu consentimento em qualquer tempo. O usuário, a partir disso, não poderá ser compelido “a consentir com o tratamento de seus dados pessoais para ter acesso a determinada aplicação de internet[19], o que configura uma situação de vício de vontade, tornando nulo o contrato firmado. Cabe, aqui, uma distinção entre a previsão de vício de vontade pelo Código Civil e pela LGPD. Enquanto aquele entende que o ato deve ser, em regra, anulável[20], este compreende que na verdade estamos diante da hipótese de nulidade[21]. A opção por uma penalidade mais severa da LGPD relaciona-se ao fato de que, “os dados pessoais são projeções da personalidade individual do seu respectivo titular e, assim, merecem proteção mais rígida[22]. Tal situação justifica-se, como melhor será abordado posteriormente, uma vez que o usuário encontra-se em situação díspar das empresas que farão o tratamento de dados.

Além do mais, deve o consentimento advir de informação correta e completa de como se dará o tratamento de dados, isto é, deverá o

controlador ou operador informar a forma, duração e finalidade [...], duração e finalidade [..], as suas responsabilidades, os riscos a serem suportados pelo titular, bem como a maneira de revogar autorizações anteriormente concedidas, de maneira transparente.[23]

O usuário está assegurado de que será devidamente informado acerca dos dados da empresa e das finalidades das quais estas planejam valer-se dos dados pessoais. Assim, deve-se afastar validade do consentimento em situações em que for possível identificar a existência erro ou ignorância do usuário no momento de consentir com o contrato. Ressalta-se que, a partir das informações prestadas pelo controlador ou operador de dados, o usuário estará livre para expressar seu consentimento apenas em determinada parte do serviço, manifestando consentimento específico para determinado tipo de tratamento de dados e não para outros.

Outrossim, destaca-se que deverá o consentimento ser fornecido de maneira inequívoca, dependendo de ato positivo do usuário, estando vetado que operadores ou controladores utilizem o silêncio do usuário como forma de comprovar consentimento. Dessa forma, situações como a inclusão de links nos rodapés de Termos de Uso, não estando o usuário permitido de demonstrar concordância ou discordância, estão expressamente proibidas pela Lei Geral de Proteção de Dados, uma vez que o usuário deve assumir atuação ativa e não mais permanecer como sujeito passivo. A partir de tal disposição, sempre que os Termos de Uso e Políticas de Privacidade foram modificadas, ainda que apenas em uma cláusula, estas modificações deverão novamente ser comunicadas ao usuário, vez que o consentimento dado primariamente não será mais considerado válido, tendo em vista novas informações terem sido incluídas.

Por fim, deve o consentimento do usuário ser utilizado para finalidade determinada e específica, em outras palavras, todo o consentimento solicitado deve ter uma razão, um motivo, devendo o controlador solicitar nova manifestação de consentimento sempre que o fim de seu serviço ou bem é modificado.

3.1. A problemática estabelecida pelos contratos de adesão

Partindo do pressuposto que os contratos de adesão correspondem a negócios jurídicos que importam na “mera anuência a uma proposta da outra [parte][24], isto é,

opõe-se a ideia de contrato paritário, por inexistir a liberdade de convenção, visto que exclui qualquer possibilidade de debate e transigência entre as partes, pois um dos contratantes se limita a aceitar as cláusulas e condições previamente redigidas e impressas pelo outro [...], aderindo a uma situação contratual já definida em todos os seus termos.[25]

Conforme César Fiuza, o contrato de adesão “não é uma categoria autônoma, nem um tipo contratual, mas sim uma técnica diferente de formação de contrato, podendo ser aplicada a inúmeras categorias contratuais[26]. Este entendimento, de acordo com Carlos Roberto Gonçalves, é ocasionado tendo em vista a restrição extensa ao princípio da autonomia da vontade, o que provoca nos autores o entendimento de que os contratos de adesão não possuem natureza contratual e, portanto, detém apenas caráter institucional[27].

Assim, o contrato de adesão é identificado por dispensar a modificação do contrato por uma das partes, estando apenas na condição de aceitar ou recusar as condições contratuais.

Gonçalves ressalta, ainda, que os contratos de adesão são usualmente utilizados por “grandes empresas, de direito público ou privado, ainda que titulares de um monopólio de direito ou de fato [...], envolvendo uma relação de consumo[28]. Por conter tal característica, é comum que os contratos de adesão estejam presentes em um contexto de disparidade entre as partes contratantes, uma vez que o aderente representa, comumente, a parte hipossuficiente da relação, “em razão de sua situação econômica e de sua condição técnica inferior para defender seus direitos”.[29]

Dessa maneira, percebe-se que os contratos de adesão representam óbice à perfeita aplicação da Lei Geral de Proteção de Dados no que concerne ao consentimento, uma vez que “o aderente é impedido de discutir e modificar substancialmente o teor do contrato ou de suas cláusulas[30], observando-se que, mesmo na situação de não aceitação dos termos propostos pelo contrato digital, está o consumidor obrigado a aceitar, em determinadas situações, as imposições das empresas, a fim de poder utilizar o bem ou serviço desejado.

Por conseguinte, entendendo que a liberdade que deveria ser empregada aos usuários, de escolher o tratamento de dados a ser aplicado no serviço, a forma, como será aplicado, o momento em que será aplicado, são enfraquecidos assim que o consumidor se depara com os Termos de Uso de uma plataforma digital de importância elevada e que, por isso, acabam dando ao usuário o ônus da utilização de dados por estas empresas apenas para que possa fazer uso de seus serviços.

4. Considerações finais

Observa-se, assim, a importância de se discutir como a utilização de contratos de adesão digitais são capazes de limitar o estabelecido pela LGPD se não esta não for bem implementada e os Termos de Uso e Políticas de Privacidade regularmente fiscalizados. Há que se pensar na vulnerabilidade do consumidor frente às empresas prestadoras de serviços, uma vez que para que possa valer-se dos serviços oferecidos o consumidor coloca-se, muitas vezes, em situação de risco ao permitir que seus dados sejam utilizados da forma como melhor aprouver aos controladores e operadores.

A implementação da Lei Geral de Proteção de Dados já demonstra grande avanço para os possíveis desvios que possam surgir no mundo digital, entretanto é necessário que a própria legislação não se esqueça de situações que, por vezes, passam despercebidas e mostram-se sem importância, quando na verdade detém grande poder de persuasão e convencimento do consumidor, mesmo que esse convencimento seja resultado da utilização indevida de seus dados pessoais e sensíveis.

5. Referências bibliográficas

BIONI, Bruno Ricardo. De 2010 a 2018: a discussão brasileira sobre uma lei geral de proteção de dados. Disponível em: <https://www.jota.info/opiniaoeanalise/colunas/agenda-da-privacidadeeda--proteçâo-de-dados/de-201.... Acesso em: 5 jul. 2019.

BIONI, Bruno Ricardo. Proteção de dados pessoais: A função e os limites do consentimento. Rio de Janeiro: Forense, 2019. Disponível em: . Acesso em: 5 jul. 2019.

BRASIL. Código Civil, Lei 10.406, de 10 de janeiro de 2002. 1a edição. São Paulo: Revista dos Tribunais, 2002, art. 145 e seguintes.

BRASIL. Lei Geral de Proteção de Dados (Lei nº 13.709/18), de 14 de agosto de 2018. Lex: coletânea de legislação, São Paulo, art. 9º, § 1º.

DINIZ, Maria Helena. Código Civil anotado. 14ª ed. rev. e atual. São Paulo: Saraiva, 2009.

EQUIPE G1. Facebook eleva para 87 milhões o nº de usuários que tiveram dados explorados pela Cambridge Analytica. Disponível em: <https://g1.globo.com/economia/tecnologia/noticia/facebook-eleva-para-87-milhoeson-de-usuarios-que-.... Acesso em: 6 jul. 2019.

FIUZA, Cézar. Direito Civil: curso completo. 11ª ed. Belo Horizonte: Del Rey, 2008.

GAGGIOLI, Sthefane. O contrato de adesão. Disponível em: <https://jus.com.br/artigos/33114/o-contrato-de-adesao>. Acesso em: 4 jul. 2019.

GONÇALVES, Carlos Roberto. Direito Civil brasileiro, vol. 3: contratos e atos unilaterais. 8ª ed. São Paulo: Saraiva, 2011.

LEMOS, Ronaldo; DOUEK, Daniel; LANGENEGGER, Natalia; COSTA, Olívia Bonan; SUNDFELD, Philippe e DOS SANTOS, Ramon Alberto. GDPR: a nova legislação de proteção de dados pessoais da Europa. JOTA, 2019. Disponível em: <https://www.jota.info/opiniaoeanalise/artigos/gdpr-dados-pessoais-europa-25052018>; Acesso em: 28 jun. 2019.

MANGETH, Ana Lara Galhano. Análise comparativa entre os princípios informadores do regulamento geral de proteção de dados da união europeia e as normas do direito brasileiro, 2018. Disponível em: <http://www.puc-rio.br/pibic/relatorio_resumo2018/relatorios_pdf/ccs/DIR/DIR-Ana%20Lara%20Galhano%20M.... Acesso em: 29 jun 2019.

MONTEIRO, Renato Leite. Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada. JOTA, 2018. Disponível em: <https://www.jota.info/opiniaoeanalise/colunas/agenda-da-privacidadeeda-proteçâo-de-dados/lgpd-an...; Acesso em: 30 jun. 2019.

MURINO, Thiago Barrizzelli. O consentimento válido nas novas leis de proteção de dados. Disponível em: <https://www.migalhas.com.br/dePeso/16,MI286214,81042-O+consentimento+valido+nas+novas+leis+de+protec.... Acesso em: 4 jul. 2019.

SOARES, Pedro Silveira Campos. A questão do consentimento na Lei Geral de Proteção de Dados. Disponível em: <https://www.conjur.com.br/2019-mai-11/pedro-soares-questao-consentimento-lei-proteçâo-dados#_ftn5>.... Acesso em: 4 jul. 2019.

  1. BIONI, Bruno Ricardo. De 2010 a 2018: a discussão brasileira sobre uma lei geral de proteção de dados.

  2. Equipe do G1. Facebook eleva para 87 milhões o nº de usuários que tiveram dados explorados pela Cambridge Analytica.

  3. BIONI, Bruno Ricardo. Proteção de dados pessoais: A função e os limites do consentimento. Rio de Janeiro: Forense, 2019, p. 62.

  4. Ibidem..

  5. BIONI, op. cit., p. 111.

  6. Ibidem, p. 111-112.

  7. Ibidem, p. 113.

  8. Ibidem, p. 113-114.

  9. Ibidem, p. 114-115.

  10. MANGETH, 2018, p.1-2

  11. LEMOS, Ronaldo; DOUEK, Daniel; LANGENEGGER, Natalia; COSTA, Olívia Bonan; SUNDFELD, Philippe e DOS SANTOS, Ramon Alberto. GDPR: a nova legislação de proteção de dados pessoais da Europa. JOTA, 2019. Disponível em: < https://www.jota.info/opiniaoeanalise/artigos/gdpr-dados-pessoais-europa-25052018>; Acesso em: 28 jun. 2019.

  12. BIONI, Bruno Ricardo. Proteção de dados pessoais: A função e os limites do consentimento. Rio de Janeiro: Forense, 2019, p. 130.

  13. O debate está disponível em: <https://seminarioprivacidade.cgi.br/2010/index.htm>. Acesso em: 22 jun 2019.

  14. BIONI, Bruno Ricardo. De 2010 a 2018: a discussão brasileira sobre uma lei geral de proteção de dados.

  15. MONTEIRO, Renato Leite. Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada. JOTA, 2018. Disponível em: <https://www.jota.info/opiniaoeanalise/colunas/agenda-da-privacidadeeda-proteçâo-de-dados/lgpd-an...; Acesso em: 30 jun. 2019.

  16. MONTEIRO, Renato Leite. Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada. JOTA, 2018. Disponível em: <https://www.jota.info/opiniaoeanalise/colunas/agenda-da-privacidadeeda-proteçâo-de-dados/lgpd-an...; Acesso em: 30 jun. 2019.

  17. BRASIL. Lei Geral de Proteção de Dados (Lei nº 13.709/18), de 14 de agosto de 2018. Lex: coletânea de legislação, São Paulo, art. 5º (grifos nossos).

  18. Europe. General Data Protection Regulation. Disponível em: <https://gdpr-info.eu/>. Acesso em: 4 jul. 2019.

  19. MURINO, Thiago Barrizzelli. O consentimento válido nas novas leis de proteção de dados. Disponível em: <https://www.migalhas.com.br/dePeso/16,MI286214,81042-O+consentimento+valido+nas+novas+leis+de+protec.... Acesso em: 4 jul. 2019.

  20. BRASIL. Código Civil, Lei 10.406, de 10 de janeiro de 2002. 1a edição. São Paulo: Revista dos Tribunais, 2002, art. 145 e seguintes.

  21. BRASIL. Lei Geral de Proteção de Dados (Lei nº 13.709/18), de 14 de agosto de 2018. Lex: coletânea de legislação, São Paulo, art. 9º, § 1º.

  22. SOARES, Pedro Silveira Campos. A questão do consentimento na Lei Geral de Proteção de Dados. Disponível em: <https://www.conjur.com.br/2019-mai-11/pedro-soares-questao-consentimento-lei-proteçâo-dados#_ftn5>.... Acesso em: 4 jul. 2019.

  23. Ibidem.

  24. DINIZ, Maria Helena. Código Civil anotado. 14ª ed. rev. e atual. São Paulo: Saraiva, 2009, p. 367.

  25. Ibidem, p. 367.

  26. FIUZA, Cézar. Direito Civil: curso completo. 11ª ed. Belo Horizonte: Del Rey, 2008, p. 470.

  27. GONÇALVES, Carlos Roberto. Direito Civil brasileiro, vol. 3: contratos e atos unilaterais. 8ª ed. São Paulo: Saraiva, 2011, p. 100.

  28. Ibidem.

  29. GAGGIOLI, Sthefane. O contrato de adesão. Disponível em: <https://jus.com.br/artigos/33114/o-contrato-de-adesao>. Acesso em: 4 jul. 2019.

  30. Ibidem.

1 Comentário

Faça um comentário construtivo para esse documento.

Não use muitas letras maiúsculas, isso denota "GRITAR" ;)

Artigo muito interessante, parabéns aos envolvidos. continuar lendo