Lei Geral de Proteção de Dados e Diálogo das Fontes - 2) Código de Defesa do Consumidor

Na sequência de textos sobre relações da Lei Geral de Proteção de Dados com outros atos normativos no país que também tratam da proteção de dados, após a análise da Constituição (clique aqui), passa-se ao Código de Defesa do Consumidor.

O Código de Defesa do Consumidor (Lei nº 8.078/90) contém as primeiras normas sobre a regulação da formação dos bancos de dados no Brasil. Com a entrada em vigor da Lei Geral de Proteção de Dados, o CDC deve ser aplicado em conjunto para reger especificamente as práticas de tratamento de dados pessoais nas relações de consumo.

O diálogo das fontes entre a LGPD e o CDC para a regulação da obtenção, tratamento e proteção de dados nas relações de consumo (entre outras atividades relacionadas aos dados pessoais) deve ser, na prática, a combinação de normas legais mais utilizada.

As relações jurídicas mantidas entre uma pessoa (natural ou jurídica, de direito público ou privado) que realiza atividades de tratamento de dados e outra pessoa (natural) titular desses dados, em regra, enquadra-se no conceito de relação de consumo submetida ao microssistema do Código de Defesa do Consumidor.

Com isso, a incidência do CDC nas atividades de tratamento de dados pessoais deve ocorrer principalmente para equilibrar as relações entre fornecedor e consumidor, assegurar a informação adequada, coibir práticas abusivas prevenir ou reprimir métodos comerciais coercitivos ou desleais, entre outras situações.

Além disso, no Direito Processual, o consumidor também possui um tratamento diferenciado para a facilitação de seus direitos, como, por exemplo, na inversão do ônus da prova a seu favor (art. 6º, VIII, do CDC), o que também poderá incidir nos processos sobre tratamento de dados nas relações de consumo.

Há, assim, uma dupla proteção legal do titular dos dados pessoais em relações de consumo: pelo Código de Defesa do Consumidor e pela Lei Geral de Proteção de Dados.

As normas de proteção de dados previstas no Código de Defesa do Consumidor são as seguintes:

1) Informação adequada e clara sobre os serviços (art. 6º, III): a informação é relevante para conduzir a tomada de decisões, razão pela qual o seu controle e as regras de acesso têm relevância jurídica. A LGPD conceitua o dado pessoal como sendo a “informação relacionada a pessoa natural identificada ou identificável” (art. 5º, I, da LGPD) e tem entre seus fundamentos o princípio da autodeterminação informativa (art. 2º, II, da LGPD), que consiste no respeito ao direito soberano de o titular controlar o acesso de seus dados pessoais. Desse modo, na prestação de serviços de tratamento de dados pessoais, o consumidor deve ter devidamente informado sobre tudo o que será feito com os seus dados, o que compreende a autorização, o conhecimento, a retificação, a boa-fé, a interrupção e a exclusão;

2) Responsabilidade objetiva e solidária pelos fatos do serviço ou do produto ocorridos (arts. 12, 14 e 25, § 1º, do CDC): todos as pessoas envolvidas na cadeia da prestação de serviços de tratamento de dados podem ser responsabilizados, de forma objetiva e solidária, pelos incidentes ocorridos e os danos causados aos consumidores titulares de dados. Há regras semelhantes para a responsabilização do controlador e do operador no exercício de atividade de tratamento de dados pessoais (art. 42 da LGPD), com hipóteses específicas de excludentes da responsabilidade (art. 43 da LGPD);

3) Redação dos documentos de oferta e apresentação dos produtos e serviços em língua portuguesa, com informações corretas, claras, precisas e ostensivas, elaboração de contratos em termos claros e com caracteres ostensivos e legíveis, com tamanho mínimo de fonte em corpo 12 (arts. 31, caput, e 54, § 3º, do CDC): os documentos relacionados ao tratamento de dados dos consumidores devem observar essas regras formais de elaboração e apresentação. Nos contratos de adesão, nas ofertas em massa de produtos e serviços e, especialmente, na internet, como não se sabe previamente se o contratado será – ou não – enquadrado como consumidor, os fornecedores de produtos e serviços que envolvem a captação e o tratamento de dados deverão observar as normas da LGPD e do CDC, para evirar o descumprimento das normas adequadas a cada caso (como, por exemplo, a Política de Privacidade dos sites na internet). Recorda-se que, em agosto de 2019, o PROCON de São Paulo expediu multa contra as empresas Google Brasil e Apple Brasil (em valores totais de quase 18 milhões de reais), em virtude da oferta do aplicativo Faceapp nas lojas de aplicativo brasileiras, sem a apresentação da Política de Privacidade e dos Termos de Uso no idioma português.

4) Comunicação de abertura de cadastro pelo controlador sem a solicitação do titular (art. 43, caput e § 2º, do CDC): o consumidor titular de dados tem o direito de ser informado sempre que houver a inclusão de seus dados pessoais em cadastros, fichas, registros ou banco de dados, quando tiver sido aberto sem o seu consentimento. Além disso, a abertura de qualquer espécie de banco de dados deve ser informada de forma clara ao consumidor, como visto acima (no princípio da autodeterminação informativa), para que haja o seu consentimento informado e inequívoco (art. 5º, XII, da LGPD);

5) Direito ao acesso e alteração dos dados solicitados pelo titular (art. 43, caput e § 3º, do CDC): o controlador tem o prazo de cinco dias úteis para alterar os dados, de acordo com o requerido pelo consumidor titular, ou justificar a eventual desnecessidade de alteração. Há, também, relação direta com o princípio da autodeterminação informativa, para assegurar os direitos do consumidor titular de acesso aos seus dados pessoais e de, se for o caso, requerer a sua retificação. Busca-se, com isso, assegurar que a identidade do titular dos dados seja respeitada (princípio da qualidade de tratamento);

6) Proibição de condutas enganosas, abusivas ou desproporcionais e de venda casada (art. 37, §§ 1º e 2º, e art. 39, I, do CDC): existem diversas práticas consideradas ilícitas e abusivas no CDC, que se aplicam às atividades de coleta e tratamento de dados pessoais nas relações de consumo. A divulgação de comunicações, informações e publicidade falsa ou abusiva, como meio para a obtenção dos dados pessoais, ou o condicionamento da entrega dos dados pessoais para o fornecimento de produto ou de serviço, são condutas ilícitas porque violam os citados dispositivos do CDC e fazem com que o consentimento do titular não seja informado (art. 5º, XII, e art. 7º, I, da LGPD). Essas regras devem ser objeto de dúvidas e controvérsias, nas hipóteses em que se exige o consentimento do titular para o tratamento de dados, considerando a quantidade e as formas variadas de estratégias e técnicas utilizadas (especialmente em meio digital) para a obtenção desse consentimento, o que leva a diversas situações limítrofes sobre a clareza – ou não das informações.