Engana-se quem pensa que a Lei Geral de Proteção de Dados (LGPD) estabeleceu uma nova série de privilégios para a população brasileira. A Constituição Federal de 1988 já dizia, desde aquela época, que “invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas” — ou seja, suas informações pessoais e sensíveis, sejam lá quais forem, precisam ser resguardadas de forma apropriada, garantindo o direito de mantê-las em segredo se assim o civil preferir.
O que a norma nacional fez foi fortalecer esse direito fundamental ao perceber que, nos tempos atuais, dados são ouro para as companhias, seja para alimentar algoritmos, criar perfis de consumo ou simplesmente monitorar os hábitos de determinados internautas. Ela nos lembra que nossos dados são uma propriedade nossa, uma importante parte de nossa identidade e que precisam ser resguardados para garantir que continuemos usufruindo de nossas intimidades.
Isto posto, podemos concluir aqui que a LGPD ainda é uma norma “incompleta”, visto que, por mais que ela preveja duras penalidades e sanções contra empresas que se provam incapazes de tratar dados com segurança e transparência, ela não possui ferramentas que preveem indenizações ao usuário final no caso de um vazamento ou exposições de dados. Sobre a intimidade, o mesmo artigo da Constituição Federal comenta que é “assegurado o direito à indenização pelo dano material ou moral decorrente de sua violação”.
Uma indenização, de acordo com a definição jurídica brasileira, é uma compensação apropriada — geralmente, mas não necessariamente, financeira — oferecida a outrem por incumprimento a um dever ou violação a um direito absoluto, visando reduzir os impactos de um dano material ou moral. No artigo 944 do Código Civil Brasileiro, “indenização mede-se pela extensão do dano”, sendo necessário colocar na balança a relação entre a culpa do agente e o prejuízo causado.
Ora, qualquer incidente de segurança da informação que resulte na exposição de dados sensíveis (condições médicas, convicções religiosas, opção sexual, opinião política etc.) é indiscutivelmente culpa do agente de tratamento, que foi incapaz de manter esses dados devidamente seguro por eventuais desleixos em seu processo de coleta, armazenamento ou tratamento. É de se analisar quais são os impactos dessa exposição à vida privada do titular, que pode desde sofrer discriminações até ter sua integridade física ameaçada.
Seguindo essa linha de pensamento, a LGPD também pode dialogar com o Código Penal Brasileiro. Se nossos dados são um ativo valioso e parte de nosso patrimônio pessoal, seu uso indevido sem o devido consentimento do titular configura crime de apropriação indébita: “apropriar-se de coisa alheia móvel, de que tem a posse ou a detenção” (conforme explicado no artigo 168). A pena para tal contravenção é de um a quatro anos de reclusão e multa.
O Código Penal prevê agravamento do quadro na hipótese em que o agente, tendo obtido aquele patrimônio sob autorização, obteve legalmente para si aquele ativo por depósito necessário (ou seja, desempenho de alguma obrigação legal) ou em razão de ofício, emprego ou profissão (para a prestação ou oferta de serviços), recusando a devolvê-lo posteriormente. É o caso de uma empresa que se recusa ou falha em apagar dados sensíveis do cidadão de forma proposital, agindo de má-fé contra este.
Não me leve a mal: uma indenização não precisa, necessariamente, ser uma quantia em dinheiro. O simples oferecimento de um serviço de monitoramento pessoal de CPF contra fraudes — algo comum em países estrangeiros — já poderia ser uma compensação suficiente para pelo menos garantir maior tranquilidade ao cliente lesado. Porém, é urgente que a LGDP seja aprimorada para dialogar melhor com o Código Penal e com o Código de Defesa do Consumidor, garantindo seu objetivo de resguardar o direito à intimidade.
Autor do post: Ramon de Souza – Escritor, jornalista especializado, palestrante e consultor em segurança da informação. Editor-chefe da The Hack, repórter do Canaltech e fundador da Tietê Security.