The extensible data protection to the private law legal person
Autora: Isabel Parreira Santos¹
Orientador: Me. Arthur Pinheiro Basan²
RESUMO: Com a promulgação da Lei n.º 13.709/18, a Lei Geral de Proteção de Dados Pessoais assegurou, em numerosos aspectos, a proteção de dados pessoais e sensíveis da pessoa natural, explicitando no cerne do seu texto, os princípios a serem adotados por quem realiza qualquer tipo de tratamento desses dados. No entanto, a referida lei se limita a apenas garantir a proteção dos dados da pessoa natural, não se ocupando em disciplinar o assunto em relação às pessoas jurídicas, mais especificamente, em relação à sociedade empresária, que no contexto atual, sofre imensos danos, sejam reputacionais, morais ou financeiros com problemas de vazamentos de dados, ataques cibernéticos e as demais ocorrências às quais estão sujeitos na era da internet. Portanto, o presente artigo busca analisar em que medida seria possível a aplicação, ou a extensão, às pessoas jurídicas de direito privado, das normas garantistas presentes na LGPD, tendo em vista o atual endosso jurisprudencial e normativo acerca extensão à pessoa coletiva de diversos instrumentos de proteção de determinados direitos da personalidade e direitos fundamentais, gravados nos ditames constitucionais da CRFB/88.
Palavras chaves: Proteção de dados; pessoa jurídica; direitos da personalidade .
ABSTRACT: With the promulgation of the Law No. 13.709 in 2018, the General Law on Personal Data Protection ensured, in many aspects, the protection of personal and sensitive data of the natural person, spelling out at the core of its text, the principles to be adopted by who performs any kind of processing of this data. However, this law is limited to only guaranteeing the protection of the data of the natural person, not being concerned with disciplining the matter in relation to the legal entities, more specifically, in relation to private corporation, which in the current context, suffers immense damages, be it reputational, moral or financial issues with data leakage problems, cyber attacks and the other occurrences to which they are subjected in the internet age. Therefore, the present article seeks to analyze to what extent it would be possible to apply or extend to private legal entities the guarantee rules present in the General Law on Personal Data Protection, in view of the current jurisprudential and normative endorsement of the extension, to the legal person, of various instruments of protection provided to certain personality and fundamental rights, recorded in the constitutional dictates present in the Federal Constitution of Brazil.
Keywords: Data Protection; legal person; personality rights.
Sumário: Introdução; 1. Aspectos gerais da Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei n. 13.709/2018; 2. Direitos fundamentais e direitos da personalidade extensíveis a pessoa jurídica; 3. A proteção de dados reflexa da sociedade empresária; Considerações finais.
INTRODUÇÃO
Na era da difusão rápida e constante de informação (concomitante com a contenda para proteção da privacidade), os dados pessoais se revelam como insumos de alto valor, e constituem uma economia própria, tendo como base o tratamento inerente e necessário ao exercício da atividade de milhares de empresas. Por outro lado, há também as transações secundárias de dados, nas quais empresas ou pessoas jurídicas transmitem ou vendem dados (muitas vezes sensíveis ou que tornam possível a identificação de características pessoais de determinado indivíduo) obtidos de forma legal (ou ilegal) para terceiros agentes. A cadeia incerta e dificultosa de ser medir começa com essa transferência, vindo daí, os desdobramentos, danos e perigos às pessoas no atual contexto social.
Na referida conjuntura, em meio a pressão indireta internacional, adveio, no Brasil, a Lei n. 13.709, de 12 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), cujo objetivo é regular o tratamento de dados e limitá-lo, a fim de resguardar a privacidade, a intimidade e autodeterminação informativa do titular dos dados pessoais. No entanto, a Lei Geral de Proteção de Dados limitou-se a garantir direitos somente à pessoa natural, tanto no tratamento dos dados realizado também por outra pessoa natural quanto no realizado por pessoa jurídica, seja de direito público ou de direito privado, dentro das situações especificadas nesta legislação, dispostas no artigo 3º. Desse modo, surge a problemática: diante da expressa restrição da aplicação da lei geral de proteção de dados somente às pessoas naturais, como proteger de maneira efetiva os dados essenciais à existência da pessoa jurídica, mais especificadamente a sociedade empresária?
A princípio, justifica-se o presente estudo uma vez que coberto de extrema atualidade, sendo relevante a discussão acerca da proteção de dados diante do contexto sociocultural econômico no qual a internet, redes sociais, aplicativos e tantos outros meios tecnológicos de comunicação permeiam tanto as relações pessoais e sociais quanto as relações empresariais, a todo tempo. A necessidade de tratamento de dados atinge todos os aspectos da vida das pessoas, 24 horas por dia, 7 dias por semana.
Sendo assim, situação idêntica passa pelas sociedades empresárias que, cada vez mais, necessitam, para a sobrevivência no mercado, da readaptação empresarial ao mundo virtual e digitalizado, onde a informação se torna o grande ativo econômico. Com efeito, quando analisado sob a ótica da sociedade empresária, podem ser classificados como dados essenciais tanto o número do CNPJ quanto as informações sigilosas, imprescindíveis a atividade, que habitualmente servem de conteúdo para complicados contratos de não divulgação, repletos de extensas e detalhadas cláusulas de não-concorrência e outros institutos jurídicos de proteção aos dados internos da empresa. Como se não bastasse, não se pode perder de vista os dados que compõe o histórico da atividade empresária, como o histórico de vendas, a declaração tributária, as informações contabilidade ou mesmo o registro dos funcionários, sem descuidar dos dados pessoais dos consumidores que podem estar cadastrados nos sistemas internos das empresas, como o nome, CPF, telefone, etc.
Dessa forma, passa um tanto quanto despercebida a necessidade da qual padece a ideia da proteção específica de dados da pessoa jurídica; sejam dados no âmbito fiscal, econômico, dados relativos ao exercício da atividade empresarial, segredos de mercado, dados de fornecedores, cadeia de mercado, hábitos dos consumidores e a manifestação da atividade empresarial como um todo, informações essas que fazem parte do desenvolvimento da atividade empresarial e, consequentemente, compõe a própria existência e realidade da pessoa jurídica.
Diante do exposto, o presente trabalho, através do método dedutivo, pretende defender a aplicação indireta da Lei Geral de Proteção de Dados (Lei 13.709/2018) a favor das pessoas jurídicas, mais especificadamente, às sociedades empresárias. Isso porque, conforme exposto, não há como não reconhecer os riscos e perigos que a pessoa jurídica também se sujeita na atual sociedade da informação, em especial, no que se refere a atividade empresarial. Para a elaboração da pesquisa, será utilizada a revisão bibliográfica, tanto doutrinária quanto legislativa, e a pesquisa jurisprudencial.
Além disso, com o intuito de traçar uma verdadeira espinha dorsal metodológica, o trabalho será divido em três partes, além desta introdução e das considerações finais. Em um primeiro momento, o texto apresentará os aspectos gerais da supracitada lei, inclusive evidenciando a expressa aplicação limitada às pessoas naturais. Em ato contínuo, apontará como a pessoa jurídica, apesar de não possuir dignidade e nem mesmo direitos da personalidade, tem a mesma proteção conferida às pessoas naturais nas situações que guardam analogia, como forma de coerência sistêmica. Neste sentido, apesar de não possuir integridade física, por exemplo, é inegável que a pessoa jurídica é titular de direitos como a imagem, justificando, para esta situação, a mesma proteção conferida aos direitos da personalidade, nos termos do art. 52 do Código Civil.
Diante dessa exposição, o texto, em sua última parte, pretende justificar as razões que fundamentam a proteção de dados também às pessoas jurídicas, especialmente às sociedades empresárias, na medida em que for cabível esse tipo de reconhecimento. Sendo assim, a presente pesquisa visa dar os indícios da possibilidade de aplicação da Lei Geral de Proteção de Dados de maneira indireta, às sociedades empresárias, assim como se aplica, a favor dessas pessoas jurídicas, a proteção dos direitos da personalidade.
Essa é a meta que por ora se persegue.
1 ASPECTOS GERAIS DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) – LEI N. 13.709/2018
De forma tardia, e sob pressão do restante do mundo, o Brasil foi compelido a estabelecer o seu próprio corpo de lei referente ao tratamento especifico de dados da pessoa natural, que culminou na promulgação da Lei n. 13.709/2018. A referida lei instituiu princípios, normas e definições acerca do empoderamento sobre dados, transferindo ao titular, o poder de escolha sobre o tratamento de seus dados pessoais, instrumentalizado na legislação, pela chamada autodeterminação informativa, entre outras diversas prerrogativas.
No território sul-americano, países como o Chile e Argentina, precederam o Brasil na edição de normas protetivas específicas em relação aos dados pessoais; o Chile já tinha no seu ordenamento jurídico desde 1999 normas particulares sobre o aludido assunto. A Argentina internalizou normas desse teor no ano de 2000, ficando evidente uma cultura de proteção mais antiga nesses países. Nessa perspectiva, diversos outros países da América Latina, antecederam o Brasil no quesito da normatização da necessidade da promoção da segurança da informação, de uma tutela mais rígida e especifica da proteção de dados na legislação nacional.
Tendo em vista o período de vacatio legis de 24 meses da LGPD, aqueles que se encontram dentro do rol de incidência da LGPD terão até agosto de 2020 para se adequarem às novas normas trazidas pela inédita legislação. Se observado pelo viés objetivo do grau de complexidade necessário para total adequação a Lei n. 13.709/18, resta claro que quem realiza o tratamento de dados pessoais ou sensíveis enfrentará inúmeras adversidades, haja vista a falta da cultura, propriamente dita, da proteção de dados pessoais, quando comparado a outros ordenamentos jurídicos mais prósperos e efetivos que o que vigora atualmente no Brasil.
A Lei Geral de Proteção de Dados Pessoais, traz em diversos aspectos, similaridades quase que integrais com o texto da legislação europeia, a chamada General Data Protection Regulation (GDPR), mais madura, tendo em vista o já antigo engajamento por parte dos países europeus e da própria União Europeia em legislar e discutir sobre a proteção de dados dos indivíduos, sendo considerada uma evolução da Diretiva Europeia de 1995.
A Europa já traz em seu corpo legislativo, há cerca de 24 anos, apontamentos específicos sobre a proteção de dados pessoais; o Brasil, apesar de não haver total omissão normativa, se contentava com legislações não especificas, como o Código Civil e Código de Defesa do Consumidor, que mais contavam com proteções principiológicas, adotadas e verificadas caso a caso no poder judiciário, colocando em risco a segurança jurídica, a própria proteção dos dados pessoais e também a uniformização das decisões judiciais sobre o tema, haja vista a falta de legislação especifica.
A promulgação da Lei Geral de Proteção de Dados (LGPD) no ano de 2018 colocou em pauta, no Brasil, a discussão sobre a necessária proteção de dados da pessoa natural, de vasta importância quando observada a sua situação de fragilidade, em vista do atual contexto histórico-cultural da manutenção e crescimento do big data, bancos de dados pessoais, transações secundárias, realizadas diariamente sem a autorização ou consentimento dos titulares dos dados e da mitigação do direito à privacidade.
De fato, promover instrumentos jurídicos capazes de regular o tratamento de dados feito pela pessoa jurídica, a fim de proteger a pessoa natural de arbitrariedades e comportamentos ilegais, se coloca em posição de extrema prioridade, no contexto da guarda dos direitos da personalidade e da privacidade do indivíduo. A LGPD traz como fundamentos de sua incidência: o respeito à privacidade; a autodeterminação informativa; a inviolabilidade da intimidade, da honra e da imagem; os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais, entre outros, em conformidade com seu artigo 2º (BRASIL, 2018).
A lei brasileira de dados traz em seu artigo 3º, um importante norte no tratamento de informações: os princípios que devem incidir sobre toda e qualquer atividade que utilize como substrato dados pessoais coletados no Brasil. A Lei n. 13.709/18 também incidirá sobre operações realizadas em território nacional ou atividade de tratamento que tiver por objetivo a oferta ou fornecimento de bens ou serviços ou tratamento de dados de indivíduos localizados no território nacional, nos termos do seu art. 3º (BRASIL, 2018). O art. 6º relata que em conjunto com a boa-fé, deverão ser observados os princípios, in verbis:
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. (BRASIL, 2018)
A LGPD traz no corpo do seu texto, no artigo 5º, inciso I, a definição, do que seriam “dados pessoais” da pessoa natural, esses, passíveis da proteção trazida pela referida lei, tal como: “[…] I – informação relacionada a pessoa natural identificada ou identificável” (BRASIL, 2018). No corpo de seu texto, trata também da definição de dado pessoal sensível, sendo esse:
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião, política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. (BRASIL, 2018)
Resta claro que, o legislador, em referência aos dados pessoais sensíveis, se ateve a finalidade de proteger as características mais pessoais e inerentes a própria existência da pessoa natural, seus elementos mais interiores, a fim de evitar práticas discriminatórias por parte de quem os transaciona. Na seção II da LGPD, dos arts. 11 ao 13, é dado um tratamento especial à referida espécie de informações, incluindo em suas disposições, as situações nas quais é permitido o tratamento dos dados sensíveis.
Nos moldes do art. 17 da LGPD, toda pessoa natural tem assegurada a titularidade de seus dados pessoais, ao mesmo tempo que tem garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade. A redação do artigo anteriormente citado é categórica ao explicitar a garantia da titularidade e controle sobre seus próprios dados. Aliado ao princípio da necessidade e da adequação, a autodeterminação informativa do titular se materializa pelo enorme controle que detém, em tese, sobre os dados de sua titularidade nos termos da referida lei.
O art. 8º da Lei 13.709/2018 trata do fornecimento do consentimento, a primeira hipótese na qual é autorizado o tratamento de dados da pessoa natural, assim, como disposto no art. 7°, inciso I, e é uma das principais bases normatizadoras da autodeterminação informativa. Em seu parágrafo 5°, trata da revogação do consentimento que, podendo ocorrer a qualquer momento, dá efetivo poder de decisão ao titular, caso violados qualquer um dos princípios a serem observados no âmbito do tratamento de informações, vistos anteriormente, seja por desvio na finalidade do tratamento ou pelo uso de dados colhidos de forma excessiva para o que foram fornecidos, entre outras diversas possibilidades.
Diante dos diversos instrumentos de proteção a pessoa natural, o art. 1°, caput, explicita que com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural, as disposições apenas se aplicariam aos dados de titularidade da pessoa natural, não adentro no mérito da possibilidade de sua extensão à pessoa jurídica de direito privado ou qualquer outra diversa da natural.
Ademais, por analogia, na atuação empresarial, pode se considerar como tipos de dados ligados ao exercício de uma empresa, para auxílio na análise de uma possível extensão normativa da LGPD: seus dados fiscais, econômicos, segredos de invenção, patentes, marca, segredos de mercado, dados internos de funcionamento, entre diversos outros, isto é, dados inerentes ao sucesso e plena existência do estabelecimento comercial. Portanto, se faz necessária a entrada no mérito da proteção de dados possivelmente extensível à pessoa jurídica de direito privado, em consonância com o art. 52 do Código Civil (BRASIL, 2018), o qual estende a proteção de certos direitos inerentes à personalidade à pessoa coletiva de direito privado.
Nesse mesmo sentido, entende-se por personalidade, por ora, o elemento ímpar que atribui proteção extra a pessoa natural, no âmbito dos dados pessoais, a fim de garantir que o indivíduo “[…] se realize e se relacione na sociedade […].” (BIONI, 2018, p. 87). No âmbito de significação da personalidade, resta claro que diferem entre si, a personalidade atribuída a pessoa jurídica e a atribuída a pessoa natural, como será explorado de forma breve em momentos posteriores.
Sobre a análise da problemática proposta pelo presente artigo, é importante destacar os pontos que permitiriam, em tese, a extensão da proteção de dados, nos moldes do art. 52 do Código Civil, no que couber, a pessoa jurídica de direito privado.
2 DIREITOS FUNDAMENTAIS E DIREITOS DA PERSONALIDADE EXTENSÍVEIS A PESSOA JURÍDICA
As intituladas pessoas jurídicas, fictícias ou coletivas podem ser conceituadas, nas palavraras de Flávio Tartuce (2018, p. 155) como sendo: “[…] conjunto de pessoas ou de bens arrecadados, que adquirem personalidade jurídica própria por uma ficção legal”. Em relação a esse instituto, a legislação civil máxima adota como predominante a chamada “teoria da realidade técnica”, da qual se subtrai o conceito de que a pessoa jurídica é real e existe dentro de uma realidade de cunho técnico, distinguindo-se, portanto, da realidade atribuída à pessoa natural. Se caracteriza, no viés da referida teoria, como uma entidade a quem a legislação confere personalidade, capacitando-as a serem sujeitos de direitos e obrigações (GONÇALVES, 2016).
As pessoas jurídicas, de um modo global, são regidas pelo Título II do Código Civil, o qual, no Capítulo I, trata das disposições gerais acerca do referido instituo. O artigo 44 do Código Civil enuncia, de maneira exemplificativa, as pessoas jurídicas de direito privado, sendo elas, para fins meramente de menção: associações, sociedades, fundações, organizações religiosas e os partidos políticos. Em seu artigo 45, o Código trata do início da existência legal, assim como do momento no qual a pessoa jurídica de direito privado adquire sua personalidade jurídica, isto é, no momento da inscrição do ato constitutivo no respectivo registro, precedia, quando necessário, da autorização ou aprovação do Poder Executivo, nos moldes do referido artigo.
Ao mesmo tempo, apesar de segundo a teoria da realidade técnica, as pessoas jurídicas se encontrarem em um patamar diferenciado do reservado à pessoa natural, estende-se àquelas diversas, e importantes, proteções dadas aos direitos e garantias mais comumente associadas a existência e desenvolvimento da pessoa humana. É cristalino que, haverá diferenças referentes aos direitos fundamentais da pessoa natural que serão extensíveis a pessoa jurídica, pois alguns só fazem sentido ou só serão passíveis de aplicação, quando analisados do ponto de vista da garantia do livre desenvolvimento da pessoa natural.
Como exemplo dessa característica de diferenciação dos direitos fundamentais pode ser mencionada a garantia de ter o seu direito de ir e vir resguardado pelo remédio constitucional habeas corpus, previsto no art. 5º, inciso LXVIII. Não faria sentido discutir o direito de ir, vir e permanecer de uma pessoa jurídica, pois a pessoa coletiva não possui direito de ir e vir, tutelado e protegido pela garantia do Art. 5º da CRFB/88, apesar de ter prerrogativa de impetrar o referido remédio, não poderá ser a figurar como paciente.
Para Marcelo Schenk Duque (2014, p. 57): “[…] titular de direito fundamentais é a pessoa concebida em sentido amplo, o que abrange o conceito de pessoas físicas e jurídica.”. Em se tratando de direitos fundamentais extensíveis a pessoa jurídica, o rol é relativamente vasto, constando dentro das prerrogativas fundamentais da pessoa jurídica de direito privado, o direito a igualdade, propriedade, direito de resposta, sigilo de correspondência, as garantias processuais e do devido processo legal (DUQUE, 2014), entre diversos outros institutos protetivos disposto ao longo do texto constitucional e infraconstitucional.
Por outro lado, há doutrinadores que apoiam a aplicação de seletos direitos fundamentais, ou a extensão da proteção dos direitos da personalidade à pessoa coletiva pelo fato de que, apesar de a personalidade da pessoa jurídica e da pessoa natural, por trás do instituto coletivo serem distintas entre si, restaria configurado, de qualquer modo, a presença de uma pessoa natura no controle da pessoa jurídica, e esse fato legitimaria a extensão desses direitos à pessoa coletiva (TARTUCE, 2018). A legitimidade viria da conjuntura na qual, de qualquer modo, a pessoa natural é detentora de todos os direitos, prerrogativas e garantias disponíveis ao indivíduo pelo texto constitucional, estendendo-se também, essas, às pessoas jurídicas.
O Superior Tribunal de Justiça, no exercício de sua atividade típica, reconheceu o direito à gratuidade da justiça a pessoa jurídica, quando se tratar de entidade filantrópica, de assistência social ou similares, bastando o requerimento e a declaração do estado de pobreza, a qual terá presunção juris tantum (MARMELSTEIN, 2014). Para as pessoas jurídicas com fins lucrativos, cabe a quem alega a hipossuficiência, provar que não detém recursos suficientes para custear o processo sem comprometer sua existência.
Nos moldes do art. 5º, inciso XII, da CRFB/88, que dispõe materialmente a respeito da inviolabilidade da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, como direito fundamental, conclui-se que, só haverá possibilidade de quebra do sigilo das comunicações telefônicas por ordem judicial, nos casos e formas dispostos em lei. Percebe-se que todos os direitos abrangidos pelo referido inciso têm, uma relação estrita com o direito à intimidade e a privacidade, em certa medida. O direito de proibir terceiros de ter acesso a informações a seu respeito, informações essas, privadas, e referentes a sua vida privada também são extensíveis a pessoa jurídica, nos moldes do art. 52 do CC, evidenciando o necessário ajuste ao plano no qual a pessoa coletiva existe e se desenvolve.
A proteção do sigilo de dados presente no texto da Constituição Federal, diz respeito a informações estáticas sobre o indivíduo, como dados bancários, extratos telefônicos e dados fiscais, sendo dotados de uma proteção menos expressiva do que a atribuída aos dados de comunicação, esses que, em regra, incidem sobre o conteúdo material das interações do indivíduo, por qualquer meio. Os dados estáticos estariam encobertos somente pelo campo de proteção da privacidade e da intimidade, dispostas no art. 5º, inciso X.
Em contraste com o sigilo dos dados, somente haverá a quebra o sigilo das comunicações telefônicas no caso de ordem judicial, em meio a investigação criminal ou instrução processual penal (MARMELSTEIN, 2014), por decisão fundamentada, haja vista a importância do referido direito, que envolve comunicações, em regra interpessoais, como o conteúdo de conversas telefônicas, correspondências e e-mails. No entanto, quanto a possibilidade de quebra do sigilo de dados, tem-se que poderá ser realizada de forma menos solene que a quebra das comunicações, podendo ser feito até para fins não criminais. Autoridades fiscais, juízes da vara de execução fiscal, teriam o condão de afastar o sigilo de dados para fins executórios e fiscalizatórios, dentro de suas atribuições.
No entanto, a maior facilidade para quebra do sigilo desses dados, tem sido limitada, em certa medida. A jurisprudência do STJ não tem admitido a quebra de sigilo fiscal da pessoa jurídica sem o devido procedimento solene, por decisão judicial que decretasse ou acatasse pedido de terceiro para quebra do sigilo. Acerca do referido assunto, o STF julgou o seguinte recurso especial:
CIVIL E PROCESSUAL. ACÓRDÃO ESTADUAL. OMISSÃO NÃO CONFIGURADA. AÇÃO ORDINÁRIA QUE BUSCA O RECONHECIMENTO DO DIREITO DE PREFERÊNCIA À AQUISIÇÃO DE COTAS DE SOCIEDADE COMERCIAL GESTORA DE “SHOPPING CENTER”. PEDIDO DE QUEBRA DE SIGILO FISCAL. DEFERIMENTO PELAS INSTÂNCIAS ORDINÁRIAS. AUSÊNCIA DE FUNDAMENTAÇÃO. ORDEM JUDICIAL CASSADA. CPC, ART. 165. I. Não padece de omissão o acórdão estadual que aprecia as questões essenciais ao deslinde da controvérsia, apenas trazendo conclusões desfavoráveis à parte irresignada. II. Conquanto possível a quebra do sigilo fiscal de pessoa física ou jurídica no curso do processo, em homenagem ao preponderante interesse público, constitui requisito essencial à higidez do ato judicial que a determina achar-se amparado em fundamentação consistente, por se cuidar de medida excepcional à regra geral da preservação da privacidade preconizada no art. 5º, inciso X, da Carta Política. III. Caso em que a decisão objurgada limitou-se a justificar a determinação de expedição de ofício à Receita Federal exclusivamente com base na prerrogativa judicial de autonomia na colheita de provas, o que não tem o condão de afastar a imprescindibilidade da fundamentação dos atos judiciais. IV. Recurso especial conhecido e provido. [REsp. N.° 1.220.307 – SP (2010/0192022-8)] (grifo nosso).
No entanto, cabe também às Comissões Parlamentares de Inquérito (CPI), nos termos do art. 58, da CRFB/88, na posse de poderes próprios de autoridades judiciais, decretar a quebra de sigilo de dados, desde que o faça em conformidade com a proporcionalidade, por decisão devidamente fundamentada, que indique claramente os limites e as razões pelas quais há a estrita necessidade da quebra do sigilo dos dados.
Nessa perspectiva, o Código Civil, em seu art. 52, dispõe que às pessoas coletivas se aplicarão no que couber, a proteção dos direitos da personalidade, porém, não houve a definição de quais direitos da personalidade teriam suas proteções estendidas a pessoa jurídica, cabendo assim, aos operadores do direito, a interpretação do referido do ato normativo. Os direitos da personalidade, nas palavras de Cristiano Chaves de Farias e Nelson Rosenvald (2015, p. 139), podem ser conceituados como sendo:
[…] aquelas situações jurídicas reconhecidas à pessoa, tomada em si mesma e em suas necessárias projeções sociais. Isto é, são os direitos essenciais ao desenvolvimento da pessoa humana, em que se convertem as projeções físicas, psíquicas e intelectuais do seu titular, individualizando-o de modo a lhe emprestar segura e avançada tutela jurídica.
No viés da extensão da proteção dos direitos da personalidade à pessoa jurídica, aplica-se de forma bastante expressiva a proteção dada aos direitos de imagem e honra, tratados tanto no texto constitucional (art. 5º, inciso X) quanto no Código Civil de 2002. Há de se analisar os direitos da personalidade de uma perspectiva civil-constitucional, visto que a Constituição Federal do Brasil trata de diversos direitos fundamentais relacionados a pessoa humana, intimamente inerentes a legislação civilista; direitos esses que, dentro das possibilidades, são extensíveis a pessoa jurídica, em consonância com o disposto no art. 52 do CC.
Da mesma maneira, extrai-se também da disposição sumular de número 227 do STJ, uma importante extensão à pessoa coletiva, de um direito intimamente ligado a moral, que é um atributo básico da personalidade: a possiblidade da pessoa jurídica pleitear dano moral. O referido dano ocorre quando há, entre diversas outras hipóteses previstas em lei, a lesão da honra subjetiva ou da honra objetiva, sendo ambos os casos passíveis de pedido de indenização em consonância com o art. 4º, inciso X. Quando analisados individualmente, resta claro que, a honra subjetiva, caracterizada por sintetizar danos a elementos imateriais, internos a pessoa natural, como autoestima, sua própria percepção de si mesmo, dignidade e respeito próprio, somente faz sentido quando analisada no estudo da personalidade inerente a pessoa humana, não sendo possível a aplicação na figura pessoa jurídica de direito privado.
No que tange à aplicação do dano moral a pessoa jurídica, insta observar que, para se restar configurado, o dano deve atingir a honra objetiva da pessoa coletiva, visto que não detém a figura a honra subjetiva, inerente à pessoa natural. Por honra objetiva da pessoa jurídica, entende-se como sendo sua reputação, a percepção externa de outras pessoas, bom nome e fama perante a sociedade e o meio profissional no qual atua de forma geral. Justamente, por possuir honra objetiva, a pessoa jurídica pode ser vítima do crime de difamação, previsto no art. 139 do Código Penal brasileiro, que trata da atribuição a alguém de fato ofensivo a sua reputação ou honra objetiva. Por outro lado, não pode ser vítima do crime de injúria, disposto no art. 140, caput, por não possuir honra subjetiva, inerente somente à pessoa natural.
A lesão, desde que ligada à sua imagem, bom nome de mercado ou que leve a interferência de seu relacionamento com o cliente (componentes da honra objetiva da pessoa jurídica), deve resultar em danos patrimoniais, o que justifica e demonstra o direito a pleitear indenização por dano moral nos termos do art. 5º, X, da CRFB/88. É vasta a jurisprudência acerca do tema, como no seguinte julgado, do Tribunal de Justiça do Distrito Federal e Territórios:
CIVIL E PROCESSUAL CIVIL. AÇÃO DE INDENIZAÇÃO POR DANOS MORAIS. PESSOA JURÍDICA. COBRANÇA DE DÍVIDA. OFENSA À HONRA OBJETIVA NÃO CONFIGURADA. DANOS DE ORDEM MORAL NÃO CARACTERIZADOS. INDENIZAÇÃO. NÃO CABIMENTO. 1. De acordo com a Súmula nº 227, do colendo Superior Tribunal de Justiça, “A pessoa jurídica pode sofrer dano moral”. No entanto, os danos morais à pessoa jurídica somente podem ser reconhecidos em decorrência de ofensa à honra objetiva, em virtude de abalo à credibilidade, à reputação ou à imagem da empresa. 2. Inexistindo demonstração nos autos de que a cobrança promovida pela ré/apelante ocasionou repercussão negativa à imagem e reputação da empresa autora perante os seus clientes e a sociedade, incabível se mostra o reconhecimento do direito à indenização por danos morais. 3. Recurso de Apelação conhecido e provido. (TJ-DF 20160110969192 DF 0027386-74.2016.8.07.0001, Relator: NÍDIA CORRÊA LIMA, Data de Julgamento: 02/08/2018, 8ª TURMA CÍVEL, Data de Publicação: Publicado no DJE : 06/08/2018 . Pág.: 542/547)
Em conformidade com o fluxo jurisprudencial e com o julgado do TJDFT, o TJRO reconheceu e aplicou a súmula 227 do Superior Tribunal de Justiça, referente a necessidade de constatação de dano a honra objetiva da pessoa jurídica para que seja configurado dano moral passível de indenização:
RESPONSABILIDADE CIVIL. PUBLICAÇÃO EM REDE SOCIAL. OFENSAS. PESSOA JURÍDICA. DANO MORAL. NÃO CONFIGURADO. HONRA OBJETIVA. A pessoa jurídica pode sofrer dano moral, contudo, é necessária a violação da sua honra objetiva, ou seja, sua reputação, bom nome e fama perante a sociedade e o meio profissional, sem o que não é caracterizada a suposta lesão. A ausência de comprovação de efetiva repercussão negativa à imagem da pessoa jurídica enseja o indeferimento do pedido indenizatório. (TJ-RO: APELAÇÃO: APL 7006019-86.2015.822.0001)
Enfim, resta-se configurado que, às pessoas jurídicas só não serão estendidos, a proteção dos direitos particularmente inerentes à pessoa natural, não tendo, portanto, razões para que sejam negados aplicação dos demais direitos às demandas propostas e enfrentadas pela pessoa jurídica de direito privado.
3 A PROTEÇÃO DE DADOS REFLEXA DA SOCIEDADE EMPRESÁRIA
Com a promulgação da Lei Geral de Proteção de Dados buscou-se instrumentalizar e concretizar uma tutela mais efetiva ao direito a proteção de dados, direito esse que, para diversos doutrinadores, deveria ser inserido e analisado sob o viés de uma nova categoria de direito da personalidade, tendo em vista que as informações pessoais do indivíduo podem ser consideradas como extensões da pessoa e do seu desenvolvimento na sociedade atual.
O atual contexto doutrinário no qual se encontra a literatura acerca da proteção de dados, trata com regularidade da possível, e pertinente, inserção da proteção de dados no rol dos direitos da personalidade, haja vista que a manifestação e os rastros que as pessoas naturais deixam na rede mundial de computadores, poderiam ser considerados uma projeção da personalidade por meio dos dados que geram ao utilizar a internet. A partir dos seus hábitos de navegação, é perfeitamente possível montar um perfil sobre um indivíduo quase que de maneira totalmente retilínea, estratégia muito utilizada pelas empresas que realizam transações secundárias com os dados dos titulares, deturpando totalmente o consentimento e a finalidade para a qual os dados foram colhidos.
No entanto, entende-se que a proteção de dados não se restringe somente a pessoa natural, visto que conforme explorado nos títulos anteriores, a proteção dada a alguns direitos da personalidade poderia ser extensível a pessoa coletiva, não sendo diferente com a proteção de dados, especialmente numa epóca em que um vazamento de dados causa um prejuízo reputacional irreparável, além de milhões e milhões em multas e perdas financeiras. Resta-se verificado que, a proteção de dados não teria sua aplicação a pessoa jurídica negada por depender de atributo inerente a pessoa ou a personalidade inerente a pessoa natural.
Seria possível, nos moldes do art. 52 do Código Civil, a extensão da proteção de dados, instrumentalizada pela LGPD, às pessoas jurídicas de direito privado? Entende-se que sim, pois tanto a jurisprudência quanto a legislação pátria fizeram questão de reconhecer que diversos outros institutos, anteriormente de aplicação exclusiva sob a ótica da pessoa natural, pudessem ter sua proteção estendida a pessoa jurídica.
As garantias atribuídas a pessoa natural na LGPD, ao final, têm como destinatário, a pessoa jurídica que realiza o tratamento dos dados do referido titular, mas não como destinatário beneficiário, mas sim como encarregado de efetivar o cumprimento da legislação e o dever integral de proteção desses dados. No entanto, se observa que diversas empresas na atual circunstância do mercado da informação, tem como insumos de sua atuação, e como base para a efetivação de sua atividade empresarial, os dados pessoais de pessoas naturais; de forma que sem os dados dos titulares, a perpetuação da empresa se tornaria inviável, e nesse momento de integração dos dados à atividade, ocorre uma evidente confusão dos dados. No momento de um vazamento de informações ou uma invasão ao sistema interno, o acesso é indiscriminado e geral, não havendo diferenciação expressa entre os dados pessoais do cliente ou os dados da empresa.
O site CSO, especializado em ameaças e defesas de ciberataques criminais, tratou do caso em que a ex-gigante da internet Yahoo, protagonizou um dos piores casos de vazamento de dados do século 21; no ano de 2016, durante negociações com a Verizon que compraria as operações do site de buscas, revelou ter sofrido um grave ataque, do qual resultou a exposição dos dados de mais de 3 bilhões de usuários e comprometimento do sistema de segurança do site. Tal fato diminui em $350 milhões o valor estimado do Yahoo, sendo eventualmente vendido para a Verizon por $4.48 bilhões.
Como visto anteriormente, a Lei Geral de Proteção de Dados protege apenas a pessoa natural de liberalidades de indivíduos ou corporações mal intencionadas, colocando num verdadeiro limbo de proteção jurídica, as sociedades empresárias que se diligenciam para fazer cumprir a legislação, mas que ainda, pela crescente datificação da atividade empresarial, e por manterem acervos gigantescos de dados, estão sujeitas a ataques cibernéticos e informáticos cada vez mais complexos, que se analisados sob a perspectiva atual, proporcionam riscos enormes tanto a integridade moral da empresa, quanto a sua proteção de dados, e consequentemente, a proteção das informações de terceiros com as quais lida.
A teoria do diálogo das fontes, encabeçada pelo alemão Erik Jayme, trata da interpretação sistemática e unitária de ordenamentos jurídicos, em tese antinômicos, para aplicação a um caso concreto; seja a aplicação complementar ou subsidiária de duas ou mais codificações, a um caso concreto. Não é exagerado trazer à luz da teoria do diálogo das fontes a problemática abordada no presente artigo, visto que a LGPD exclui da sua incidência uma categoria pendente de proteção, ao tempo que, a Constituição Federal e o Código Civil, dispõe sobre proteções do mesmo padrão a essa mesma categoria de titular de personalidade jurídica.
Sergio Malta Prado (2013, não paginado), trata da necessidade de uma maior difusão do diálogo das fontes, fazendo o pertinente comentário nos termos de:
Verifica-se, portanto, que a teoria do diálogo das fontes também tem o fito de evitar exclusões impertinentes de normas jurídicas, uma vez que não apenas o excesso de normas pode ser prejudicial para o aplicador da lei. Também se busca que o ordenamento jurídico seja interpretado de forma coerente, evitando distinções injustas.
Diante disso, dentro da temática de questionamento do presente artigo, é notória a necessidade de ser estendida às pessoas jurídicas, que realizam tratamento de dados pessoais, a proteção dada aos dados da pessoa natural que se encontrem de forma lícita dentro dos registros e bancos de dados internos da empresa, visto que, no momento em que são integrados passam a ser dados de atuação, necessários a manutenção e existência da empresa, sem, no entanto, perder o caráter de dados pessoais ou sensíveis, por pertencerem a pessoa natural.
CONSIDERAÇÕES FINAIS
Defronte dos apontamentos feitos ao longo do presente artigo, faz-se necessário uma reflexão final acerca da problemática abordada. O contratempo enfrentado se encontra na situação de relativo limbo jurídico no qual se encontra a pessoa jurídica, quando se trata da proteção de dados propriamente dita; proteção essa não englobada no viés da proteção da propriedade intelectual ou no viés do dano moral, abordado em momento anterior do presente trabalho.
A LGPD se limitou em destinar sua extensa proteção somente a pessoa natural nos moldes do art. 1º, caput, do referido texto infraconstitucional. No entanto, devem ser observadas as peculiaridades que a atividade empresarial enfrenta na perpetuação de suas atividades na era da internet, especialmente se a estrutura de suas atividades gira em torno da coleta, armazenamento, transferência ou processamento de dados pessoais ou dados sensíveis da pessoa natural. A partir do momento que essas informações são coletadas elas passam a fazer parte do acervo interno da empresa, sendo essa, legalmente obrigada a protege-los e tratá-los dentro das finalidades e de forma proporcional, para a qual foi coletada.
As sociedades empresárias se encontram em situação ainda mais delicada, visto que serão a todo momento, enquanto durarem suas atividades e até mesmo após, alvos de indivíduos e corporações mal-intencionadas, visando a obtenção de acesso ilegal aos dados dos clientes e a dados da própria empresa.
Em meio a preocupação com os dados referentes a atividade empresarial, não pode a empresa titular desses dados ou encarregada da proteção de dados de terceiros, tratar com descaso a importância de manter os sistemas de segurança da informação sempre atualizados, buscando novas tecnologias a fim de que mantenha sempre métodos mais seguros e eficientes possíveis, que impossibilitem ou dificultem ao máximo o acesso de terceiros não autorizados, aos dados pessoais da pessoa natural e aos dados da própria sociedade.
Por fim, se faz mister o reconhecimento de que, em alguns casos, os dados de perpetuação da empresa se fundem aos dados pessoais com as quais lida, devendo ser protegidos, nos termos da lei, na medida em que os dados da pessoa natural são protegidos. Entretanto, não se abstendo da responsabilidade da pessoa jurídica pela segurança dos dados que trata, a fim de se evitar violações que gerem prejuízos a pessoa natural, que é de fato uma parte mais fraca quando visto sob a ótica da hipossuficiência no âmbito informacional e dentro das relações jurídicas em geral com as grandes corporações.
REFERÊNCIAS
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil. Brasília, DF: Ed. Senado, 1988.
BRASIL. Presidente da República. Lei N.º 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). (Redação dada pela Lei nº 13.853, de 2019). Diário Oficial [da] República Federativa do Brasil, Brasília, DF. 15 ago. 2018. Não paginado. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 4 out. 2019.
BRASIL. Presidente da República. Lei N.º 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Diário Oficial [da] República Federativa do Brasil, Brasília, DF. 11 jan. 2002. Não paginado. Disponível em: <http://www.planalto.gov.br/ccivil_03/LEIS/2002/L10406.htm>. Acesso em: 1 nov. 2019.
BRASIL. Presidente da República. Decreto-Lei N.º 2.848, de 7 de dezembro de 1940. Código Penal. Diário Oficial [da] República Federativa do Brasil, Brasília, DF. 7 dez. 1940. Não paginado. Disponível em: <http://www.planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm>. Acesso em: 02 nov. 2019.
BIONI, Ricardo Bruno. Proteção de Dados Pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.
CHAVES DE FARIAS, C.; ROSENVALD, N.; Curso de Direito Civil 1: Parte Geral e LINDB. 13. ed. São Paulo: Atlas, 2015.
CSO. The 18 biggest data breaches of the 21st century. 20 dezembro 2018. Não paginado. Disponível em: < https://www.csoonline.com/article/2130877/the-biggest-data-breaches-of-the-21st-century.html >. Acesso em: 12 nov. 2019.
DISTRITO FEDERAL. Tribunal de Justiça. Apelação n. 20160110969192APC. Apelante: Souza Cruz LTDA. Apelados: Domingos Aparecida de Fátima Ribeiro – ME. Relator: Nídia Corrêa Lima. Brasília, 2 de agosto de 2018. Disponível em: <https://tj-df.jusbrasil.com.br/jurisprudencia/609000311/20160110969192-df-0027386-7420168070001?ref=serp>. Acesso em: 19 out. 2019.
DUQUE, Marcelo Schenk. Direitos Fundamentais: Teoria e Prática. São Paulo: Revista dos Tribunais, 2014.
ESTADÃO. Lei GDPR e LGPD: qual a relação na segurança da informação e os impactos nas organizações no mundo. 24 maio 2019. Não paginado. Disponível em: <https://politica.estadao.com.br/blogs/fausto-macedo/lei-gdpr-e-lgpd-qual-a-relacao-na-seguranca-da-informacao-e-os-impactos-nas-organizacoes-no-mundo/>. Acesso em: 14 nov. 2019.
FACCHINI NETO, E.; DEMOLINER, K. S.; Direito à Privacidade e Novas Tecnologias: Breves Considerações Acerca da Proteção de Dados Pessoais no Brasil e na Europa. Revista Internacional CONSINTER de Direito, Porto, n. 7, não paginado, 2018. doi: https://dx.doi.org/10.19135/revista.consinter.0007.01.
GONGALVES, C. R.; LENZA, P. (Coord.). Direito Civil 1 Esquematizado: Parte geral, obrigações e contratos. 6. ed. São Paulo: Saraiva, 2016.
MARMELSTEIN, George. Curso de Direitos Fundamentais. 5. ed. São Paulo: Atlas, 2014.
MIGALHAS. Da teoria do diálogo das fontes. 31 janeiro 2013. Não paginado. Disponível em: <https://www.migalhas.com.br/dePeso/16,MI171735,101048-Da+teoria+do+dialogo+das+fontes>. Acesso em: 4 nov. 2019.
MIGALHAS. STJ – Só é possível quebra de sigilo fiscal de pessoa física ou jurídica no curso do processo quando bem justificada. 11 abril 2011. Não paginado. Disponível em: <https://www.migalhas.com.br/Quentes/17,MI130750,71043-STJ+So+e+possivel+quebra+de+sigilo+fiscal+de+pessoa+fisica+ou>. Acesso em: 10 nov. 2019.
RONDÔNIA. Tribunal de Justiça. Apelação n. 7006019-86.2015.822.0001. Apelante: Larissa Moura Nascimento. Apelados: UNIRON – União das Escolas Superiores de Rondônia LTDA. Advogado: Valéria Maria Vieira Pinheiro. Relator Desembargador Raduan Miguel Filho. Porto Velho, 29 de janeiro de 2019. Origem 2ª Vara Cível de Porto Velho/RO. Disponível em: <https://tj-ro.jusbrasil.com.br/jurisprudencia/676501757/apelacao-apl-70060198620158220001-ro-7006019-8620158220001?ref=serp>. Acesso em: 12 out. 2019.
TARTUCE, F. Manual de Direito Civil. 8. ed. São Paulo: Método, 2018.