Efetividade do negócio jurídico na sociedade da informação: o consentimento válido para fins de contratação em plataformas eletrônicas e de autorização para tratamento de dados pessoais
Effectiveness of legal transactions in the information society: valid consent for contracting purposes on electronic platforms and authorization for the processing of personal data
Jorge Shiguemitsu Fujita
Doutor em Direito pela Faculdade de Direito da Universidade de São Paulo. Professor Titular de Direito Civil dos Cursos de Graduação e de Pós-Graduação lato sensu do Curso de Direito do Centro Universitário das Faculdades Metropolitanas Unidas – FMU (São Paulo). Professor Doutor do Programa de Mestrado em Direito da Sociedade da Informação do Centro Universitário das Faculdades Metropolitanas Unidas. Professor do Curso de Pós-Graduação lato sensu da Faculdade de Direito da Universidade Estadual de Londrina – UEL (PR). Professor do Curso de Pós-Graduação lato sensu da Escola Superior de Advocacia (ESA) da Ordem dos Advogados do Brasil, Seção de São Paulo. Parecerista, consultor jurídico e advogado.
jorge.fujita@fmu.br
[http://lattes.cnpq.br/5202705522000286]
[https://orcid.org/0000-0002-0354-8974]
Daniel Carlos Machado
Mestre em Direito da Sociedade da Informação pela FMU-SP. Pós-graduado em Direito Contratual pela PUC-SP. Pós-graduado em Direito Empresarial pela PUC-SP. MBA em Gestão de Negócios pela Universidade de São Paulo (USP). Membro Pesquisador do Grupo de Trabalho e Pesquisa denominado “Direito de Autor, Família, Grupos Sociais e Informação” e “Biodireito e Direitos da Personalidade”, vinculado ao programa de Mestrado em Direito da Sociedade da Informação do Centro Universitário das Faculdades Metropolitanas Unidas de São Paulo (FMU). Profissional com mais de 20 anos de experiência na área jurídica e ampla atuação nas áreas do Direito Empresarial, Civil, Contratual, Digital e Proteção de Dados, nas esferas consultiva e do contencioso. Advogado, sócio na DCM Advogados (www.dcmadvogados.com.br). Consultor Jurídico do SEBRAE-SP.
E-mail: daniel.machado.dcm@gmail.com | contato@dcmadvogados.com.br.
Curriculum Lattes: http://lattes.cnpq.br/4963633990783363.
ORCID: https://orcid.org/0000-0003-2048-3591.
Resumo: O presente artigo visa a analisar se o simples consentimento efetivado por um “clique” eletrônico ou qualquer outro meio dinâmico e sem possibilidade de discussão do conteúdo do termo, a que se vincula o usuário das plataformas eletrônicas, pode ser utilizado como autorizador para que o fornecedor de produto ou serviço trate os dados do usuário de forma indiscriminada. A obrigatoriedade desse consentimento para fins de utilização de plataformas e serviços eletrônicos pode viciar o consentimento, a impedir a utilização dos dados do usuário por aquele que fez a coleta desses dados? A autonomia da vontade e liberdade de contratar podem ser condicionadas a uma obrigação/imposição unilateral de fornecimento de dados para fins de tratamento? São questões que pretendemos abordar nesse artigo. Para a elaboração do presente trabalho foi utilizado o método jurídico teórico e o raciocínio dedutivo.
Palavras-chave: Tratamento de dados – Consentimento válido – Contrato eletrônico – Contrato por adesão.
Abstract: This article aims to analyze whether the simple consent effected by an electronic click or any other dynamic means and without the possibility of discussing the content of the term to which the user of the electronic platforms is linked, can be used as an authorizer for the product supplier or service treats user data indiscriminately. Does the obligation of this consent for the purposes of using electronic platforms and services be prejudicial to consent, preventing the use of the user's data by the one who made the collection of this data? Can the autonomy of the will and freedom to contract be conditional on a unilateral obligation / imposition of data provision for processing purposes? These are questions that we intend to address in this article. For the elaboration of the present work, the theoretical legal method and deductive reasoning were used.
Keywords: Data processing – Valid consent – Electronic contract – Membership agreement.
1. Introdução
O avanço da tecnologia trouxe consigo muita facilidade e dinamismo ao mundo dos negócios. A distância já não preocupa tanto, tendo sido quebradas todas as barreiras que dificultavam e muitas vezes impediam a realização de acordos comerciais. As novas plataformas tecnológicas permitem uma compra rápida e segura, sem precisar sair de casa ou da empresa e com a garantia de recebimento do produto ou serviço contratado.
Fruto desse dinamismo e consumo incessante no ambiente virtual, fornecedores e consumidores tiveram que se adequar às novas formas de contratar, bem como criar mecanismos que lhes permitam uma rápida contratação e escoamento de seus produtos ou serviços a uma grande quantidade de pessoas. Em resposta às novas necessidades, foram surgindo meios concretos para as novas transações no ambiente virtual e entre eles mostrou-se adequada (ao menos para o tal dinamismo esperado) a padronização dos contratos, a impossibilidade de discussão de suas cláusulas (pactos de adesão) e a validação do consentimento através do aceite eletrônico.
De fato, o formato pensado permite que um grande volume de negócios seja gerado no meio eletrônico, posto que simples e efetivo. Em uma ponta, fornecedores, em sua grande maioria, se mostram satisfeitos com o novo formato, que lhes permite definir unilateralmente as condições de contratação e manter o grande fluxo de negócios realizados simultaneamente. De outro lado, na outra ponta do negócio, consumidores e usuários em geral de serviços e plataformas eletrônicas são lançados a um regime de sujeição, em que lhes restam as opções de aceitar (na integralidade e sem ressalvas) ou não aceitar as condições de contratação.
É nesse cenário que vemos uma disparidade de condições contratuais entre os sujeitos desta relação e também a necessidade de uma maior intervenção do Estado nas relações entre particulares (dirigismo contratual), justamente para que abusos não sejam cometidos e normas jurídicas deixem de ser cumpridas. A autonomia privada e liberdade plena de contratar cede espaço para uma maior intervenção estatal que visa a garantir direitos dos contratantes amparados em normas de ordem pública.
Em meio a tudo isso, surge no atual momento jurídico a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), para trazer mais uma proteção a esse sujeito da relação contratual e usuário de serviços oferecidos em plataformas eletrônicas, qual seja, a relacionada aos seus dados pessoais, em respeito à privacidade e inviolabilidade da intimidade, da honra e da imagem, em detrimento do uso indiscriminado dos dados fornecidos.
As usuais políticas de privacidade (por adesão) utilizadas atualmente nas contratações eletrônicas visam a dar legitimidade ao fornecedor para utilização dos dados do consumidor usuário, mesmo que mediante um consentimento forçado (por adesão), sem possibilidade de escolha. Pensando na validade do consentimento eletrônico realizado por um “clique” digital em um botão eletrônico normalmente denominado “aceito” e sem possibilidade de escolha, é que desenvolvemos o presente artigo, que pretende abordar esse aspecto do consentimento, passando pela autonomia privada, os pactos de adesão e a manifestação válida de vontade no meio eletrônico para fins de coleta e tratamento de dados pessoais.
2. A autonomia privada nas relações negociais
De início, é importante falarmos brevemente da autonomia privada e da liberdade de ação do indivíduo nas relações negociais, na medida em que a vontade é pressuposto básico do negócio jurídico e precisa ser exteriorizada, como instrumento da manifestação da vontade.
Pelo tradicional Princípio da Autonomia da Vontade, as pessoas têm liberdade de, em conformidade com a lei, celebrar negócios jurídicos, criando direitos e contraindo obrigações[1]. Mas como sabemos, esse princípio não é aplicado de forma absoluta, plena e irrestrita, mas sim com ponderação quanto à possibilidade de abusos na relação contratual entre particulares, sendo que o nosso ordenamento jurídico, de forma expressa, prevê a possibilidade de revisão de cláusulas contratuais, e aqui podemos citar, como exemplos, os arts. 423 e 424 do CC[2].
No mesmo sentido, dispõe o art. 6º, V, do CDC:
“Art. 6º São direitos básicos do consumidor: (...)
V – a modificação das cláusulas contratuais que estabeleçam prestações desproporcionais ou sua revisão em razão de fatos supervenientes que as tornem excessivamente onerosas; (...).”
Ao assim dispor, tanto a legislação civil quanto a legislação consumerista permitem que, por meio da intervenção estatal, seja possível rever determinadas condições contratuais, em detrimento da autonomia da vontade, mitigando o princípio do pacta sunt servanda, segundo o qual os pactos devem ser cumpridos, não podendo ser alterados nem pelo juiz.
Diversas outras situações também permitem e justificam não mais aplicar o princípio do pacta sunt servanda em sua forma pura e simples, como, por exemplo, a revisão do contrato por onerosidade excessiva, com base na teoria da imprevisão (a chamada cláusula rebus sic stantibus).
Essa fase atual do direito contratual é chamada de dirigismo contratual, que é a permissão da intervenção do Estado na economia do contrato[3]. E nesse contexto, interessantes as lições de Ana Prata[4] ao afirmar que:
“Do Estado como entidade necessariamente alheia ao processo de satisfação das necessidades privadas passa-se ao entendimento de que ao Estado devem ser cometidas tarefas de realização do bem-estar dos cidadãos em sectores considerados fundamentais, prioritários, vitais, ao mesmo tempo que lhe incumbe intervir nas relações interindividuais de forma a, pelo assegurar de valores mínimos de sã convivência, corrigir as consequências que a situação de real desigualdade dos sujeitos acarreta.” (Grifo nosso).
Dito isso e analisada a questão relacionada à possibilidade de intervenção Estatal nas relações privadas e da proteção conferida à parte mais frágil da relação contratual que, não raras vezes, se sujeita a imposições inflexíveis dos contratados, passamos a analisar os impactos na manifestação de vontade decorrentes dos pactos de adesão.
3. Os pactos de adesão e seus impactos na manifestação de vontade
Ao longo do tempo, diversas alterações sociais e econômicas pelas quais passou a sociedade fizeram com que o caráter absoluto de que se revestia o negócio jurídico, em especial o contrato, fosse flexibilizado, sendo que aquele contrato fechado, concebido à luz do pacta sunt servanda, fazendo lei entre as partes, não mais exista. Os princípios sociais contratuais, caso da função social e da boa-fé objetiva, trouxeram uma nova forma de visualização dos contratos[5]. Isso se deve especialmente pelo fato de que, na prática, vivemos o fenômeno da padronização dos contratos, com predominância dos contratos de adesão, com grande impacto na manifestação de vontade.
Consequência disso, atualmente raras são as situações em que ocorre uma manifestação de vontade inequívoca e plena nos contratos em geral. Isso porque, a liberdade contratual, relacionada a autonomia da pessoa em dispor do conteúdo do negócio jurídico, não encontra espaço nos contratos de adesão, uma vez que ao aderente resta a opção de aderir ou não às condições pré-estabelecidas pela outra parte.
De outro lado, muito embora a liberdade contratual dê autonomia para que a pessoa regule seus próprios interesses e os estipule dentro do contrato que será submetido à adesão daqueles que pretendem contratar, essa autonomia não é absoluta e encontra limitações em normas de ordem pública. Eis aqui o ponto de equilíbrio, com proteção contra abusos e desrespeitos às normas de ordem pública lançadas em contratos de adesão e sem possibilidade de discussão entre as partes[6].
Isso se deve ao atual momento da autonomia privada sendo o contrato de hoje, segundo Flávio Tartuce[7],
“(...) constituído por uma soma de fatores, e não mais pela vontade pura dos contratantes, delineando-se o significado do princípio da autonomia privada, pois outros elementos de cunho particular irão influenciar o conteúdo do negócio jurídico patrimonial. Na formação do contrato, muitas vezes, percebe-se a imposição de cláusulas pela lei ou pelo Estado, o que nos leva ao caminho sem volta da intervenção estatal nos contratos ou dirigismo contratual. Como exemplo dessa ingerência estatal ou legal, podem-se citar o Código de Defesa do Consumidor e mesmo o Código Civil de 2002, que igualmente consagra a nulidade absoluta de cláusulas tidas como abusivas.”
Por todos esses fatores, continua o referido autor[8], mencionando o conceito atual de autonomia privada como sendo
“Um regramento básico, de ordem particular – mas influenciado por normas de ordem pública –, pelo qual na formação do contrato, além da vontade das partes, entram em cena outros fatores: psicológicos, políticos, econômicos e sociais. Trata-se do direito indeclinável da parte de autorregulamentar os seus interesses, decorrente da dignidade humana, mas que encontra limitações em normas de ordem pública, particularmente nos princípios sociais contratuais.” (Grifo nosso).
Com esse olhar para a autonomia privada e considerando o avanço social e tecnológico, novas formas dinâmicas de se contratar entraram em cena, com mudança do meio físico para o digital e substituição da assinatura física como meio de manifestação de vontade para um simples “click” de manifestação e concordância com os termos ali estipulados, normalmente impostos pelo fornecedor de um produto ou serviço, no ambiente de sua plataforma digital. Eis que nos encontramos em uma fase mais avançada do contrato tido por adesão e padronizado, que agora pode-se dizer, é eletrônico, em sua grande maioria.
Para esses contratos, também conhecidos como contratos “click-wraps”, a manifestação de vontade com validade jurídica depende apenas de um clique no botão “concordo”/“aceito”, tendo desta forma se tornado uma das maneiras mais práticas de fechar um contrato ou fazer adesão a termos de uso, políticas de privacidade etc.
Não estamos falando aqui de uma nova tipificação contratual, mas de novas formas de formalização e efetivação dos contratos, através do meio eletrônico. Assim, podemos definir o contrato eletrônico, segundo menciona Pedro Modenesi[9], “como o acordo de vontades que utiliza o meio digital para sua celebração e execução”.
Analisando esse novo formato de contratação, temos como elemento essencial para a formação do contrato eletrônico o consentimento tecnológico, que no mercado eletrônico opera de um novo modo, considerando-se o aceite eletrônico manifestado através de um “clique” no botão designado para efetivação do contrato.
Realizada a manifestação de vontade das partes no meio eletrônico, por meio desse comportamento inconteste, decorrente de ação humana voluntária, temos por inequívoca e válida a manifestação de vontade e assim concluída a formalização contratual. Assim, sendo possível identificar a vontade do sujeito de aceitar e vincular-se, será perfeitamente admissível a formalização eletrônica do contrato.
Isso porque, segundo informa Pedro Modenesi[10]:
“Negar um comportamento concludente – como o clicar de um mouse em um ícone virtual que autoriza o pagamento do preço de um produto ou serviço, após a devida leitura dos termos e condições contratuais – possa formar um contrato seria dizer, por via indireta, que a contratação eletrônica de consumo não é possível, ou seja, é defeituosa, por faltar-lhe elemento essencial à formação do contrato.” (Grifo nosso).
“Quando precedido pelo adequado conhecimento dos termos contratuais, propostos pelo fornecedor, o consentimento tecnológico do consumidor é um modo inquestionável de comportamento concludente, constituindo, pois, uma forma válida de manifestação da vontade de contratar.”
Importante anotar, nesse contexto do consentimento válido para fins de contratação em plataformas eletrônicas, que para a efetividade dessas contratações, as empresas e demais fornecedores virtuais têm condicionado o aceite eletrônico do usuário à concordância, autorização e adesão ao conteúdo de outros instrumentos obrigacionais, anexos ou integrantes do contrato, normalmente denominados Termos/Políticas.
Esclarece Ramon Mariano Carneiro[11], quanto aos referidos termos de uso que:
“Qualquer pessoa que tente acessar serviços oferecidos por plataformas online será defrontada com a necessidade de concordar com a seguinte afirmação: ‘Li e aceito os Termos de Uso’. Os Termos de Uso ou Termos de Serviço são contratos que governam a relação jurídica entre o usuário final e o provedor de serviços on-line. Estes contratos são geralmente acompanhados de outros documentos anexos, como políticas de privacidade, política de cookies, padrões de comunidade, entre outros.
Os Termos de Uso são documentos padronizados, definidos unilateralmente pelo provedor de serviços e apresentados indiscriminadamente a todos os usuários. Considerando que os usuários não têm a possibilidade de negociar, mas apenas de aceitar ou não as cláusulas, esses contratos se encaixam na categoria de contratos de adesão, definidos pelo Código de Defesa do Consumidor no seu art. 54, caput; (...)”. (Grifo nosso).
Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), o uso de Políticas de Privacidade e Tratamento de Dados tem sido regra em meio às contratações eletrônicas, sendo condição de uso ou compra do serviço/produto oferecido, a aceitação da coleta e utilização de dados do usuário pelo fornecedor, sem possibilidade de discussão e alteração desses instrumentos.
A despeito de se adequarem às novas exigências legais relacionadas à coleta e utilização de dados, em muitas situações são impostas pelos fornecedores virtuais políticas que violam direitos do usuário, como, por exemplo, os de não terem os seus dados sensíveis tratados de modo incompatível e sem relação com suas legítimas expectativas relacionadas à contratação realizada.
E nessa particularidade hoje recorrente nas contratações virtuais, o consentimento também deve ser avaliado levando em consideração as diretrizes da LGPD, para que a autorização de coleta e tratamento de dados seja válida em sua plenitude, o que falaremos no tópico a seguir.
4. O consentimento válido para fins de tratamento de dados pessoais
Sabemos que o dever de informar exerce um papel importante nas relações negociais, especialmente naquelas efetivadas no meio eletrônico, sendo certo que, na quase totalidade dos casos envolvendo esses pactos, estaremos diante de uma relação de consumo e, de rigor, devem ser respeitados os princípios norteadores e normas relacionadas à proteção desta categoria de indivíduos[12].
Para Bruno Miragem:[13]
“(...) o dever de informar na internet atende, em primeiro lugar, uma de suas finalidades básicas no sistema de proteção do consumidor, que é justamente a prevenção de danos. Da mesma forma, permite a formação livre e racional do consumidor quanto às relações estabelecidas por intermédio da internet, permitindo a reflexão sobre suas restrições e riscos, ao assegurar a equidade informacional das partes.” (Grifo nosso).
Não obstante isso, a LGPD, como legislação especial em relação ao tratamento de dados pessoais, também traz de forma expressa o direito que tem o titular dos dados de obter do controlador informação[14] sobre a possibilidade de não fornecer consentimento e sobre as consequências negativas[15]. Em termos gerais, a LGPD demonstra uma ampla preocupação com os dados e informações comercializáveis das pessoas naturais, inclusive nos meios digitais, e tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade[16].
Na definição do consentimento, a LGPD informa seus requisitos para fins de coleta e tratamento de dados pessoais, ao assim dispor:
“Art. 5º Para os fins desta Lei, considera-se: (...)
XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada; (...)”. (Grifo nosso).
Bruno Bioni[17] reforça a existência de controle sobre os dados pessoais por meio do consentimento, ao informar que ele deve ser extraído por meio de cláusulas contratuais destacadas (informação clara – art. 8º, § 1º, da LGPD) e que haverá nulidade em caso de cláusulas genéricas e sem uma finalidade determinada (art. 8º, § 4º, da LGPD)[18].
Dessa forma, as políticas de privacidade e tratamento de dados devem conter informações precisas e transparentes no que diz respeito à coleta e finalidade específica de tratamento de dados. O consentimento deverá referir-se a finalidades determinadas, sendo que as autorizações genéricas para o tratamento de dados pessoais serão nulas. Nota-se, na prática, segundo Ramon Carneiro[19], que:
“(...) os principais obstáculos a um consentimento informado e esclarecido sobre os Termos de Uso são os seguintes: o texto longo, a linguagem ininteligível e a dificuldade de encontrar e acessar os Termos de Uso, sendo que o clique do usuário no botão representativo de sua anuência, embora possa ser compreendido como um engajamento na confirmação do seu consentimento, não implica a existência de um assentimento plenamente informado, por não se esperar que o usuário comum leia todos os Termos de Uso dos serviços e produtos online utilizados e, menos ainda, que os termos sejam plenamente compreendidos por usuários que não são detentores de conhecimento jurídico.” (Grifo nosso).
E mais, a maioria das plataformas eletrônicas permite o compartilhamento como opção padrão, com presunção de aceite sem solicitação do usuário, cabendo a este desativar a opção, quando houver possibilidade (sistema opt-out), sendo que o correto, nos termos do art. 7º da LGPD, seria o próprio usuário modificar a opção de não compartilhamento (que deveria ser o padrão), a permitir o tratamento e compartilhamento de dados, com sua expressa e inequívoca manifestação de sua vontade (sistema opt-in), uma vez que a nossa legislação exige o fornecimento de consentimento pelo titular para o tratamento de dados pessoais.
Diante disso, o consentimento em políticas de adesão como condição para que o usuário adquira um produto ou utilize um serviço em plataforma eletrônica, por si só, não convalida sua eficácia e validade jurídica, dependendo essa autorização, além do consentimento informado, que a política de privacidade e tratamento de dados esteja em consonância com os princípios e normas da LGPD, especialmente as estampadas em seu art. 8º já mencionado. Do contrário, somente em situações em que o consentimento não é exigido, poderão os agentes de tratamento (controlador e operador) utilizar os dados coletados e na forma da lei (LGPD, art. 7º, II à X)[20].
Em especial, quanto ao legítimo interesse, explica Ricardo Waldman[21] que, dentro de uma interpretação sistemática dos artigos da LGPD (6º, X; 10 e 37), o uso do legítimo interesse como base legal para tratamento de dados deve ser realizado sob 4 aspectos:
Nesse cenário, princípio relevante destacado no art. 6º da LGPD é o da finalidade, ali estampado como a necessidade de “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”; e que deve ser conjugado com o princípio da necessidade, definido como a exigência de “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”.
Em todos os casos, deve-se dar proteção ao titular dos dados no que se refere ao tratamento dessas informações, principalmente levando em consideração a forma como foram obtidos, e se mediante consentimento forçado, como nos casos dos pactos por adesão.
Sendo viciado o consentimento ou não respeitados os princípios da LGPD para coleta e tratamento de dados – com especial proteção ao seu titular, respeitando a anonimização dos dados, minimizando riscos, demonstrando sua necessidade e finalidade que respeitem as legítimas expectativas do titular dos dados, e respeitando os demais princípios norteadores da LGPD –, não há o que se falar em legitimidade para tratamento de dados, mesmo que o seu titular tenha aderido a políticas de privacidade, coleta e tratamento de dados.
Em que pese o mercado tenha se autorregulado para fins de legitimar a coleta de dados por meio de políticas de privacidade e autorização para tratamento de dados, essa técnica contratual não capacita efetivamente o cidadão para exercer controle sobre as suas informações pessoais.
Isso porque as políticas de privacidade são um contrato de adesão, com o elo mais forte dessa relação fixando unilateralmente as condições contratuais e determinando os rumos do fluxo de informação dos usuários, eliminando praticamente qualquer faixa de controle das operações que serão realizadas. Os usuários, nesse caso, não têm poder de barganha para colocar em curso as suas preferências de privacidade, o que faz com que as políticas de privacidade, na dinâmica dos contratos de adesão, sejam vistas como ferramenta inadequada para garantir ao consumidor o controle dos dados pessoais[22].
Por tais motivos, Laura Schertel Mendes[23] defende que, para aplicação legítima da política de privacidade e sua validação mediante adesão do usuário/consumidor: (i) qualquer tratamento de dados pessoais somente pode ser iniciado se atendidas as condições para sua legitimidade[24] (condições de legitimidade); (ii) atendidas as condições de legitimidade, todo tratamento de dados deve cumprir determinados procedimentos, essenciais para garantia do direito básico (procedimentos para garantia do direito[25]); e (iii) em caso de violação a esse direito, são aplicadas sanções administrativas, civis e penais (sanções e reparação).
Diante disso, não respeitadas pelos agentes de tratamento as regras de proteção quanto à coleta, privacidade e proteção dos dados dos cidadãos, ficarão os agentes de tratamento, em razão das infrações cometidas às normas previstas na LGPD, sujeitos às sanções administrativas aplicáveis pela autoridade nacional, estampadas nos arts. 52[26] e seguintes da lei, e que poderão ir de uma advertência com indicação de prazos para adoção de medidas corretivas, até aplicação de multas que podem chegar a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, além de bloqueio e eliminação de dados pessoais a que se refere a infração, por exemplo.
5. Conclusão
Diante de tudo o que foi exposto, pôde ser observado que a prática dos contratos eletrônicos de adesão e suas políticas de privacidade não abrem espaço para o usuário manifestar sua vontade de forma livre ou até mesmo exercer poder de controle das operações que serão realizadas com seus dados pessoais e o direcionamento de suas informações.
Nesse formato, resta ao usuário autorizar ou não o uso de seus dados, sendo que em muitos casos sequer possui informações claras e precisas quanto à finalidade da coleta de dados e os limites de sua utilização. Trata-se, nesses casos, de autorização forçada de coleta de dados, em que o fornecedor, através dessas políticas de privacidade, visa a dar legitimidade ao seu ato, diante das imposições da LGPD.
Entendemos que o consentimento obtido em tais circunstâncias não deva ser entendido como válido em caráter absoluto, pois a LGPD traz diversas garantias de ordem pública em seu texto normativo que visam a assegurar os direitos do usuário contra o uso indiscriminado de seus dados e coletas abusivas de dados.
Nesse sentido, a disciplina da proteção de dados pessoais tem entre seus fundamentos a liberdade de expressão, de informação, de comunicação e de opinião, devendo haver espaço para o usuário, entendendo a finalidade da coleta e uso de dados, optar por permitir ou não o seu uso, sem que isso o impeça de adquirir determinado produto ou serviço e, logicamente, que o fornecimento e utilização de dados não sejam essenciais para aquele serviço contratado ou aquisição de determinado produto.
Ao impor a sua política de privacidade, o fornecedor deve garantir ao usuário/consumidor, minimamente, que a solicitação do consentimento refira-se a finalidades determinadas (nunca genéricas, sob pena de nulidade) e facilitar os meios para que o consentimento possa ser revogado a qualquer momento pelo titular dos dados. Não respeitados os princípios da LGPD para coleta e tratamento de dados, não há o que se falar em legitimidade para tratamento de dados, mesmo que o seu titular tenha aderido às políticas de privacidade, coleta e tratamento de dados.
As legítimas expectativas do titular de dados devem ser respeitadas, assim como seus direitos à anonimização dos dados e minimização de riscos, não servindo a mera adesão do usuário às políticas de privacidade como meio absolutamente válido de manifestação de vontade. Em conjunto com essa adesão, para que o consentimento possa ser considerado válido e, nos termos dos limites impostos pela LGPD, o fornecedor deve agir de boa-fé e jamais coletar dados que não guardem relação com o serviço/produto fornecido, dentro de suas necessidades de entrega (informações de endereço), pagamento (informações bancárias) e informações de contato (endereço de e-mail e telefone), por exemplo. E mesmo diante dessas informações, estas não poderão ser utilizadas para qualquer finalidade que não respeite as legítimas expectativas do usuário, sua privacidade, intimidade e outras previstas em lei.
Isso porque, a autonomia da vontade e a liberdade de contratar há muito não são tratadas de forma absoluta, podendo haver intervenção estatal em casos de abusos e ilegalidades cometidas no âmbito contratual de direito privado, em especial em caso de desrespeito às normas de ordem pública, pelo que condicionar a contratação de um produto/serviço à adesão do usuário a políticas de privacidade abusivas pode sim viciar o consentimento, retirando-lhe a validade em relação à coleta e utilização de seus dados, naquilo que extrapolar os limites legais.
Além disso, a aplicação legítima da política de privacidade e sua validação mediante adesão do usuário/consumidor dependerá do atendimento das condições para sua legitimidade, devendo o tratamento de dados ser autorizado pelo aderente e ser indispensável para o cumprimento da finalidade do contrato, estando a ele intimamente relacionado, levando em conta a boa-fé, as legítimas expectativas daquele que está contratando e mitigando riscos relacionados ao tratamento de dados pessoais.
Somente assim teremos respeitados os direitos do cidadão relacionados a proteção de seus dados pessoais especialmente coletados por meio de contratos e políticas de adesão no meio digital.
6. Referências bibliográficas
BIONI, Bruno Ricardo. Proteção de dados pessoais – a função e os limites do consentimento. 2. reimpr. Rio de Janeiro: Forense, 2019.
CARNEIRO, Ramon Mariano. “Li e aceito”: violações a direitos fundamentais nos termos de uso das plataformas digitais. Internet & Sociedade, n. 1, v. 1, fev. 2020. Disponível em: [https://revista.internetlab.org.br/li-e-aceitoviolacoes-a-direitos-fundamentais-nos-termos-de-uso-das-plataformas-digitais/]. Acesso em: 21.05.2021.
GONÇALVES, Carlos Roberto. Direito civil brasileiro: parte geral. 10. ed. São Paulo: Saraiva, 2012. v. 1.
MENDES, Laura Schertel. A tutela da privacidade do consumidor na internet: uma análise à luz do marco civil da internet e do Código de Defesa do Consumidor. In: LUCCA, Newton de; FILHO, Adalberto Simão; LIMA, Cíntia Rosa Pereira de (Coord.). Direito & internet III – marco civil da internet. São Paulo: Quartier Latin, 2015.t. I.
MIRAGEM, Bruno. Curso de direito do consumidor. 4. ed. São Paulo: Ed. RT, 2013.
MODENESI, Pedro. Contratos eletrônicos de consumo: aspectos doutrinário, legislativo e jurisprudencial. In: MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti (Org.). Direito digital – direito privado e internet. 2. ed. São Paulo: Foco, 2019.
PEREIRA, Caio Mário da Silva. Instituições de direito civil. 10. ed. Rio de Janeiro: Forense, 2001. v. III.
PRATA, Ana. A tutela constitucional da autonomia privada. Reimpr. Coimbra: Almedina, 2017.
TARTUCE, Flávio. Direito civil: lei de introdução e parte geral. 15. ed. Rio de Janeiro: Forense, 2019.
TARTUCE, Flávio. Direito civil: teoria geral dos contratos e contratos em espécie. 14. ed. Rio de Janeiro: Forense, 2019. v. 3.
WALDMAN, Ricardo Libel; FUJITA, Maíra de Oliveira Lima Ruiz. A base legal do legítimo interesse na proteção de dados pessoais. In: LISBOA, Roberto Senise (Org.). O direito na sociedade da informação V – movimentos sociais, tecnologia e a proteção das pessoas. São Paulo: Almedina, 2020.
7. Legislação
BRASIL. Lei 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Brasília, 11 de setembro de 1990. Disponível em: [http://www.planalto.gov.br/ccivil_03/leis/l8078.htm]. Acesso em: 20.05.2021.
BRASIL. Lei 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Brasília, 10 de janeiro de 2002. Disponível em: [http://www.planalto.gov.br/ccivil_03/leis/2002/l10406.htm]. Acesso em: 18.05.2021.
BRASIL. Lei 13.719, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, 14 de agosto de 2018. Disponível em: [http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm]. Acesso em: 20.05.2021.
[1] GONÇALVES, Carlos Roberto. Direito civil brasileiro: parte geral. 10.ed. São Paulo: Saraiva, 2012. p. 333. v. 1.
[2] Arts. 423 e 424 do Código Civil: “Art. 423. Quando houver no contrato de adesão cláusulas ambíguas ou contraditórias, dever-se-á adotar a interpretação mais favorável ao aderente”. “Art. 424. Nos contratos de adesão, são nulas as cláusulas que estipulem a renúncia do aderente a direito resultante da natureza do negócio”.
[3] PEREIRA, Caio Mario da Silva. Instituições de direito civil. 10. ed. Rio de Janeiro: Forense, 2001. p. 21. v .III.
[4] PRATA, Ana. A tutela constitucional da autonomia privada. Reimpr. Coimbra: Almedina, 2017. p. 34-35.
[5] TARTUCE, Flávio. Direito civil: lei de introdução e parte geral. 15. ed. Rio de Janeiro: Forense, 2019 p. 547. v. 1.
[6] Anote-se aqui, por oportuno, que o presente estudo visa discutir relações jurídicas que não refletem situações de contratos empresariais, cujas regras, pela peculiaridade das partes envolvidas, são específicas, visam lucro e a assunção de riscos é inerente à própria atividade empresarial, pelo que merecem interpretação e análise diferenciada.
[7] TARTUCE, Flávio. Direito civil: teoria geral dos contratos e contratos em espécie. 14. ed. Rio de Janeiro: Forense, 2019. p. 98. v. 3.
[8] Ibidem, p. 99.
[9] MODENESI, Pedro. Contratos eletrônicos de Consumo: Aspectos Doutrinário, Legislativo e Jurisprudencial. In: MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti (Org.). Direito Digital – Direito Privado e Internet. 2. ed. São Paulo: Editora Foco, 2019, p. 439.
[10] Ibidem, p. 442.
[11] CARNEIRO, Ramon Mariano. “Li e Aceito”: Violações a direitos fundamentais nos termos de uso das plataformas digitais. Internet & Sociedade, nº 1, v. 1, fevereiro de 2020. Disponível em: [https://revista.internetlab.org.br/li-e-aceitoviolacoes-a-direitos-fundamentais-nos-termos-de-uso-das-plataformas-digitais/]. Acesso em: 21.05.2021.
[12] Art. 6º do CDC: “São direitos básicos do consumidor: (...) III – a informação adequada e clara sobre os diferentes produtos e serviços, com especificação correta de quantidade, características, composição, qualidade, tributos incidentes e preço, bem como sobre os riscos que apresentem; (...)”.
[13] MIRAGEM, Bruno. Curso de direito do consumidor. 4. ed. São Paulo: Ed. RT, 2013. p. 487.
[14] Art. 2º da LGPD: “A disciplina da proteção de dados pessoais tem como fundamentos: (...) III - a liberdade de expressão, de informação, de comunicação e de opinião; (...)”.
[15] Art. 18 da LGPD: “O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: (...) VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; (...)”.
[16] TARTUCE, Flávio. Direito civil: lei de introdução e parte geral. 15. ed. Rio de Janeiro: Forense, 2019. p. 310. v. 1.
[17] BIONI, Bruno Ricardo. Proteção de dados pessoais – a função e os limites do consentimento. 2. reimpr. Rio de Janeiro: Forense, 2019. p. 135.
[18] Art. 8º da LGPD: “O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. § 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais. § 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei. § 3º É vedado o tratamento de dados pessoais mediante vício de consentimento. § 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas. § 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei”.
[19] Op. cit.
[20] Art. 7º da LGPD: “O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (...) II – para o cumprimento de obrigação legal ou regulatória pelo controlador; III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. (...)”.
[21] WALDMAN, Ricardo Libel; FUJITA, Maíra de Oliveira Lima Ruiz. A base legal do legítimo interesse na proteção de dados pessoais. In: LISBOA, Roberto Senise (Org.). O direito na sociedade da informação V – movimentos sociais, tecnologia e a proteção das pessoas. São Paulo: Almedina, 2020. p. 91-104.
[22] BIONI, Bruno Ricardo. Op. cit. p. 170-172.
[23] MENDES, Laura Schertel. A tutela da privacidade do consumidor na internet: uma análise à luz do marco civil da internet e do Código de Defesa do Consumidor. In: LUCCA, Newton de; FILHO, Adalberto Simão; LIMA, Cíntia Rosa Pereira de (Coord.). Direito & internet III – marco civil da internet. São Paulo: Quartier Latin, 2015. p. 477. t. I.
[24] Ibidem, p. 478. “i) O tratamento de dados deve, como regra geral, ser autorizado pelo consumidor, salvo em situações excepcionais (se o tratamento de dados for indispensável para o cumprimento da finalidade do contrato ou for necessário para a execução de obrigação legal do fornecedor); e ii) o tratamento de dados deve legar em conta os seguintes critérios: a boa-fé objetiva, as expectativa legítimas do consumidor, bem como os impactos e os riscos do tratamento de dados pessoais para o consumidor”.
[25] Ibidem, p. 485-491. “Os principais procedimentos que devem ser garantidos são os seguintes: I) Transparência; II) Tratamento de dados compatível com a finalidade da coleta; III) Garantia dos Direitos de Acesso, Retificação e Cancelamento; IV) Proteção de Dados Sensíveis; V) Segurança dos Dados Pessoais; e VI) Limitação Temporal”.
[26] Art. 52 da LGPD: “Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III – multa diária, observado o limite total a que se refere o inciso II; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração; (...); X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados”.
* Trata-se de artigo publicado pela Revista dos Tribunais - Revista de Direito Privado (RDPriv), v. 122/2024, p. 31-46, OUT-DEZ.2024.
Nenhum comentário. Seja o primeiro a comentar!
