Privacidade de dados já foi tema no Tribunais Superiores antes da LGPD

Em textos anteriores onde abordo o tema da privacidade e proteção de dados foi destacado que, apesar da Lei Geral de Proteção de Dados (LGPD) ainda não estar em vigor, há legislações nacionais e internacionais que precisam ser observadas por quem coleta e processa dados pessoais. No texto de hoje pretendo abordar alguns precedentes judiciais do Supremo Tribunal Federal (STF) e do Superior Tribunal de Justiça (STJ) que já trataram sobre o assunto.

O primeiro grande caso foi sobre o credit scoring julgado pelo STJ em sede de recurso repetitivo no ano de 2015 que resultou na Súmula 550. Credit scoring é a sistemática utilizada por bancos de dados para avaliação do risco de crédito de um consumidor com base em um modelo estatístico que atribui uma nota ao consumidor. Em 2011 o credit scoring já era previsto na Lei Nº 12.414 e em 2019 sofreu alterações pela Lei do Cadastro Positivo (LCP) que tem sido alvo de controversas quanto as suas regras e as que entrarão em vigor na LGPD (abordarei esse tema posteriormente).

Neste precedente o STJ entendeu ser desnecessário o consentimento do consumidor para inclusão de seus dados em banco de dados do credit scoring devendo, porém, serem respeitados os limites da legislação consumerista e o dever de prestar informações ao consumidor sobre o fornecimento dos seus dados. Não atendendo aos limites, poderá incorrer em “responsabilidade objetiva e solidária do fornecedor do serviço, do responsável pelo banco de dados, da fonte e do consulente (art. 16 da Lei n. 12.414/2011) pela ocorrência de danos morais nas hipóteses de utilização de informações excessivas ou sensíveis (art. 3º, § 3º, I e II, da Lei n. 12.414/2011), bem como nos casos de comprovada recusa indevida de crédito pelo uso de dados incorretos ou desatualizados” (Tema 710, STJ).

Já em 2019 o STJ, no REsp 1.758.799/MG, decidiu sobre caso envolvendo o uso indevido e a comercialização de informações pessoais e sigilosas por empresa que mantém banco de dados de consumidores. O STJ não entendeu que fosse caso semelhante ao credit scoring, uma vez que a empresa mantém dados pessoais dos consumidores para serem acessados por terceiros. Ainda assim, entendeu que a empresa é obrigada a observar os limites da Lei 12.414/2011, devendo informar ao consumidor quais informações estão sendo armazenadas e comercializadas. A inobservância das regras de tratamento de dados dos consumidores enseja indenização pelos danos causados e ofensa aos direitos da personalidade, devendo cessar a guarda e comercialização do cadastro.

Já no STF temos de 2014 o RE 766390/DF no qual se discutiu a violação à privacidade de dados referente aos cargos públicos divulgados pela administração pública. Na decisão o STJ entendeu que não há violação da privacidade dos servidores públicos na divulgação de informações sobre seus cargos em detrimento dos princípios constitucionais da publicidade e da tranparência dos atos da administração pública. Esta, por sua vez, submete-se às regras do dever de informação e de prevalência do interesse público sobre o privado. Por fim, ressaltou que a divulgação deverá observar a proteção dos dados pessoais dos servidores.

Em 2019 o RE 1.055.941/SP que tratou sobre o compartilhamento de dados bancários e fiscais do contribuinte entre a Receita Federal e o Ministério Público para apuração de crimes contra a ordem tributária e financeira. Reconhecendo a repercussão geral (Tema 960)

Em relação à Receita Federal, o relator enfatizou que é constitucional o compartilhamento pelo fisco, quando do encaminhamento da RFFPs para os órgãos de persecução penal, de informações sobre operações que envolvam recursos provenientes de crimes contra a ordem tributária e a Previdência Social, de descaminho, contrabando e lavagem de dinheiro. Porém, é vedada a transferência da íntegra de documentos acobertados pelos sigilos fiscal e bancário — como a declaração de imposto de renda e os extratos bancários — sem a prévia autorização judicial. Portanto, o Ministério Público Federal, ao receber a RFFP e instaurar procedimento investigativo criminal (PIC), deve comunicar ao juízo competente, tendo em vista o compartilhamento de informações protegidas por sigilo fiscal.

Propositalmente destaque os anos e os números dos precedentes para demonstrar que a pauta privacidade e proteção de dados não é um tema novo. Historicamente, temos casos no Brasil e no mundo de grandes empresas sendo multadas por vazamento de dados pessoais de seus usuários. O tema apenas ganhou repercussão agora em detrimento da velocidade de acesso a informação que temos atualmente decorrente o acesso facilitado à internet.

Portanto, independente da LGPD entrar ou não em vigor em agosto de 2020 (há projeto de lei no Congresso Nacional que propõe a postergação) buscar assessoria jurídica e tecnológica especializada no tema desde agora poderá garantir fôlego para implantação de um compliance digital na empresa, principalmente se ela for de grande porte ou se ela, apesar de pequena ou média, processar um grande número de dados pessoais de clientes e demais stakeholders.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s