Painel LGPD nos Tribunais
Jurisprudência do 2º ano de vigência a Lei Geral de Proteção de Dados
13/12/2022
A continuação de um propósito: panorama do uso da Lei Geral de Proteção de Dados em seu segundo ano de vigência no Brasil.
“Acreditamos que a construção de uma cultura de proteção de dados pessoais é fundamental em um ecossistema que leve a sério os desafios da efetividade da LGPD no Brasil.”
O Centro de Direito, Internet e Sociedade (CEDIS-IDP) do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP) e o Jusbrasil têm a satisfação de divulgar a nova edição do Painel LGPD nos Tribunais, apresentando uma análise das principais decisões judiciais em matéria de Lei Geral de Proteção de Dados (Lei nº 13.709/18) nos seus dois anos de vigência.
O Painel da LGPD nos Tribunais é uma parceria desenvolvida desde 2021 no âmbito do projeto IDP Privacy Lab (CEDIS-IDP): grupo dirigido pelos Professores Laura Schertel e Danilo Doneda (in memoriam), principais nomes no cenário brasileiro e internacional nas matérias de privacidade e proteção de dados pessoais. O projeto oferece estudos avançados sobre proteção de dados e direitos fundamentais no Brasil, mapeando o que se apresenta como jurisprudência consolidada no tema e o panorama que se desenha para a construção de uma cultura de proteção de dados no Brasil.
Sob tamanha liderança, o Painel da LGPD tem sido pioneiro em proporcionar a consolidação da recente experiência do judiciário brasileiro na análise de casos sobre a LGPD. Em seu primeiro ano de atuação, foram encontrados 584 documentos publicados entre setembro de 2020 e a agosto de 2021, resultando em 274 decisões consideradas relevantes e divulgadas, a partir de uma análise qualitativa realizada pelos pesquisadores.
Os resultados obtidos no primeiro ano do projeto se mostraram expressivos, e reforçaram a importância de se continuar monitorando a aplicação da LGPD, além da pretensão de colaborar com o debate brasileiro em matéria de proteção de dados pessoais a partir de precedentes judiciais. O projeto não apenas continuou, como também foi aprimorado para proporcionar uma análise da atuação do judiciário atualizada durante o segundo ano de vigência da LGPD.
Entre setembro de 2021 e setembro de 2022, foi identificado o total de 1789 documentos com menção ao tema. Mais de 50 pesquisadores e colaboradores de diferentes backgrounds participaram de uma verdadeira imersão em LGPD em 2022, conduzindo debates temáticos, análises críticas das decisões judiciais e construção coletiva sobre os resultados encontrados durante o percurso da pesquisa.
Espera-se que os resultados divulgados auxiliem a compreensão do ecossistema de proteção de dados que se vem delineando nos tribunais brasileiros, proporcionando um horizonte de oportunidades para o desenvolvimento de uma jurisprudência cada vez mais atenta à LGPD e aos desafios correlatos à proteção de dados pessoais. Propondo reflexões sobre a prática que está sendo construída, incentivamos que novas perguntas sejam apresentadas, e imputando fissuras que permitam repre, modelos de interpretação e aplicação da norma à luz dos princípios e direitos fundamentais da pessoa humana.
Com tais objetivos, compartilha-se com todos o Painel LGPD nos Tribunais.
Com a confiança de que a ferramenta desenvolvida seja mais um elemento útil em prol da efetivação do direito constitucional à proteção de dados pessoais no Brasil.
Panorama
Em seu segundo ano de atuação, o Painel LGPD nos Tribunais desenvolveu 5 (cinco) critérios objetivos de relevância, melhor explicados adiante em Metodologia, para permitir uma identificação aprimorada pelos pesquisadores sobre a qualidade dos documentos encontrados. A saber: (0) não é decisão judicial; (1) não possui relação com a LGPD; (2) apenas menciona a LGPD; (3) a LGPD é debatida de forma importante, mas não é o ponto central do caso; (4) a LGPD é a questão central do caso.
O projeto foi conduzido em dois momentos, sendo o primeiro dedicado à investigação quantitativa dos dados coletados, e o segundo à análise qualitativa das decisões a partir de categorização e interpretação. Sempre contando com o apoio ferramental da equipe Jusbrasil na sistematização das informações como forma de viabilizar a análise individual dos documentos.
Foram consideradas como decisões mais relevantes aquelas enquadradas pelos pesquisadores no item (4), uma vez que apresentaram como discussão central a proteção de dados pessoais. Conforme se verifica abaixo, dos 1789 documentos avaliados nesta segunda versão do painel, 199 foram marcados com o nível 4, grau máximo de relevância.
Na listagem abaixo, foram colacionadas todas as 662 decisões de nível 3 (debate importante, mas não central sobre a LGPD) e nível 4 (em que a LGPD é a questão central) que foram identificadas pelos pesquisadores.
Lista de decisões relevantes na íntegra
Temas em destaque no segundo ano da LGPD nos Tribunais
Os gráficos e análises desta seção são referentes às decisões de nível 4, em que a LGPD é a questão central debatida. O objetivo é expor as avaliações estatísticas sobre o desenvolvimento das principais discussões de proteção de dados pessoais nos tribunais brasileiros.
A seguir, são destacados alguns dos temas mais recorrentes em que a LGPD foi discutida de forma central nos casos analisados. Foi possível observar que as principais discussões existentes na primeira edição do Painel também ocorreram em 2022, motivo pelo qual buscou-se avaliar assuntos distintos.
1. Pedidos de provas digitais de geolocalização em ações trabalhistas
Observou-se, em diversas reclamações trabalhistas, pedidos de divulgação de dados de geolocalização do trabalhador para fins de comprovação do cumprimento das jornadas de trabalho. Empregadores têm requerido produção de provas digitais de geolocalização através de aplicativos instalados em seus celulares dos colaboradores, como Google, Facebook, Twitter e Apple. O motivo é a verificação do local em que os empregados realmente estavam nos horários em que apontam desenvolver suas jornadas de trabalho. Algumas decisões indeferem pedidos feitos pelo empregador, fundamentadas no respeito à privacidade e à autodeterminação informativa do trabalhador, em detrimento de eventual garantia à ampla defesa da empresa por esses meios de provas (Proc. 0020329-81.2020.5.04.0006 e Proc. 0011155-59.2021.5.03.0000). Outros pedidos de provas de geolocalização são feitos pelo próprio empregado para comprovação de direitos trabalhistas, mas indeferidos pelo juiz, com fundamentação em possível violação à LGPD (Proc. 1000193-77.2021.5.02.0261).
2. Responsabilidade civil por incidentes de segurança e vazamento de dados
Diversas decisões abordam a problemática dos incidentes de segurança e as hipóteses de indenização por dano moral. Algumas decisões admitem falha na prestação de serviço em situações de comprovado vazamento de dados, mas afastam a hipótese de reparação. Em alguns casos, a indenização por dano moral está condicionada à comprovação de danos decorrentes diretamente do vazamento, a exemplo das fraudes. O Proc. 1025347-69.2020.8.26.0405 se mostrou interessante em especial porque, ainda que reconheça responsabilidade civil objetiva em casos de incidente de segurança na sua fundamentação, afastou a sua aplicação no caso concreto por entender ausente o dano em si.
Algumas decisões também reconhecem a responsabilidade civil objetiva em decorrência de acesso indevido a dados, nos termos do art. 42 da LGPD, mas no caso concreto não a aplicam. Há reconhecimento da mera possibilidade de ocorrências danosas, danos presumidos e/ou expectativa de danos, sem condão de gerar o direito à indenização (Proc. 1005347-71.2020.8.26.0268). Já outras, de segunda instância, afastam completamente a hipótese de dano moral por vazamento de dados pessoais pois, no caso concreto, o conteúdo vazado passível de indenização seria tão somente dados sensíveis (Proc. 1001810-10.2021.8.26.0405)
3. Inscrição indevida em cadastro de inadimplentes do Serasa Limpa Nome
O serviço de manutenção de bancos de dados de indivíduos com suas análises de perfis, na condição de tomadores de crédito, tem sido tensionado na justiça brasileira em diversas frentes. Algumas decisões judiciais fundamentam a existência de violação à LGPD em complementaridade com o CDC no que diz respeito à restrição de acesso a produtos e serviços, em prejuízo da reputação e confiabilidade dos indivíduos. Outra percepção é que um dos principais temas correlatos à aplicação da LGPD foi o debate sobre Direitos do Consumidor.
Uma decisão interessante confrontou as práticas abusivas de indução do consumidor ao pagamento de dívidas já prescritas para turbinar seu score de crédito, ao princípio da não-discriminação trazido pela LGPD (Proc. 1024263-07.2021.8.26.0564). Ainda nessa decisão, também foi feita uma análise bastante interessante sobre a existência de incongruências entre a escolha da base legal de proteção ao crédito pelo bureau e a fundamentação na negociação das dívidas prescritas, mostrando-as contraditórias e ilustrando o quanto a jurisprudência tem amadurecido no contexto de interpretação e aplicação da LGPD, inclusive quanto ao sopesamento entre aplicação de bases legais e as fundamentações a elas concernentes (Proc. 1024692-24.2021.8.26.0224).
4. Direito de revisão no tratamento automatizado de dados pessoais
O caso de pessoas desligadas de plataformas digitais por decisão movida exclusivamente por algoritmos de inteligência artificial chegou aos tribunais em diferentes contextos. Em um deles, um motorista de aplicativos interpelou o direito de exercer sua autonomia para aceitar, ou não, corridas, em obediência aos Termos de Uso. A decisão de segunda instância negou provimento ao pedido de revisão de decisão automatizada solicitada pelo autor, com base no art. 20 da LGPD, fundamentando a justificativa do cadastro excluído do aplicativo no descumprimento contratual (Proc. 1018316-91.2021.8.26.0007). Outra decisão vai na mesma direção do julgado anterior, negando pedido de revisão do Art. 20 devido ao descredenciamento não ter sido realizado exclusivamente com base em tratamento automatizado de dados pessoais, mas com amparo no que o julgador denominou conduta concreta da parte. Uma vez verificado sistematicamente excessivo cancelamento de viagens e relatos dos usuários na plataforma (Proc. 1088090-60.2020.8.26.0100). Verifica-se, até aqui, uma tendência dos tribunais de não permitir de maneira facilitada a produção de provas no contexto de revisão das decisões automatizadas, privilegiando as provas trazidas aos autos. O que se mostra, de alguma maneira, prejudicial ao exercício desse direito do titular em sua plenitude, a despeito de sua positivação da Lei.
Principais conclusões
“A proteção de dados no Brasil tem ganhado maior robustez por parte dos tribunais brasileiros. É nesses espaços que os conflitos da sociedade, as disputas entre as partes, e a administração da Justiça se interseccionam, e a cultura de proteção de dados passa a ganhar solidez e produzir efeitos. A construção de uma cultura de proteção de dados pessoais é fundamental em um ecossistema que leve a sério os desafios da efetividade da Lei Geral de Proteção de Dados (LGPD).”
Laura Schertel Mendes
O Brasil se soma aos mais de 140 países que possuem disciplina jurídica da proteção de dados atualmente1 e apresenta uma cultura de proteção de dados brasileira considerada jovem, que se encontra em processo de desenvolvimento. Esta perspectiva é considerada em especial se comparada à trajetória da Europa que, há pelo menos cinco décadas, tem como marco legal o Land alemão de 1970 do estado de Hesse, como primeira lei de proteção de dados do mundo2.
A atribuição de dimensão constitucional e de direitos humanos à proteção de dados pessoais pelo Tribunal Constitucional Federal (TCF) alemão em 19833, é uma decisão de grande importância para o desenvolvimento do direito europeu de proteção de dados até os dias atuais, estatuindo regras vinculantes para a forma de lidar com dados pessoais à luz das mudanças radicais que ocorreram nas tecnologias de informação e comunicação (TICs) e tratamentos automatizados de dados4.
Em 2020 o Supremo Tribunal Federal (STF) deu um importante passo ao reconhecer um direito fundamental autônomo à proteção de dados pessoais, no julgamento das Ações Diretas de Inconstitucionalidade (ADIs) n. 6387, 6388, 6389, 6393 e 6390. Com a promulgação da Emenda Constitucional (EC) 115, em fevereiro de 2022, a proteção de dados pessoais tornou-se expressa na Constituição Federal, e foi elevada à categoria de direito fundamental, acrescendo-se ao Art. 5º o inciso LXXIX.
Pouco tempo depois, em setembro de 2022, o STF teve a oportunidade de julgar a ADI 6649, proposta pela OAB Federal, que questionava a constitucionalidade da estrutura de compartilhamento de dados da Administração Pública Federal, amparada pelo Decreto 10.046/19, que cria o Cadastro-Base do Cidadão. Uma base integrada que contém dados gerais sobre todos os brasileiros, acessível a todos os órgãos do Executivo Federal mediante adesão. O decreto estabelece como finalidades do compartilhamento de dados a simplificação de serviços públicos, a redução de custos com o reaproveitamento de sistemas de informática, e também a análise do direito a benefícios sociais. Um importante teste para este novo direito fundamental, e também uma oportunidade para a consolidação das balizas constitucionais do tratamento de dados pessoais no Poder Público5.
Não se trata de uma decisão trivial. Um decreto que tem como uma de suas finalidades centrais a fiscalização dos solicitantes de benefícios sociais tende a reforçar a vigilância sobre a parcela da população que se encontra em situação de maior vulnerabilidade. Nas palavras do secretário adjunto de Governo Digital, Ciro Avelino, “o cidadão ao requerer um serviço vai passar por processo de identificação forte” 7. Benefícios sociais são recursos financeiros periódicos transferidos diretamente da União para o cidadão que participa de programas sociais específicos. São exemplos o Auxílio Emergencial, o Bolsa Família, o Programa de Erradicação do Trabalho Infantil, entre outros.
Não se trata de uma decisão trivial. Um decreto que tem como uma de suas finalidades centrais a fiscalização dos solicitantes de benefícios sociais tende a reforçar a vigilância sobre a parcela da população que se encontra em situação de maior vulnerabilidade. Benefícios sociais são recursos financeiros periódicos transferidos diretamente da União para o cidadão que participa de programas sociais específicos, a exemplo do Auxílio Emergencial e do Bolsa Família.
No julgamento, o STF acabou por não apenas validar a constitucionalidade do Decreto ora atacado, no sentido da possibilidade do compartilhamento de informações, como também condicionou a permissão de acesso aos dados a parâmetros demasiado abertos, tais como: propósitos legítimos, específicos e explícitos, e atendimento do interesse público. Um cadastro complexo e demasiado robusto, que comporá seu banco também com dados biométricos (portanto sensíveis) da população brasileira, sem garantias adicionais a esse tratamento e sem a presença de qualquer tipo de instrumento de prestação de contas apto a indicar as finalidades no âmbito da administração pública, entre outros diversos flagrantes vícios de constitucionalidade.
O segundo ano do Projeto LGPD nos Tribunais demonstra o amadurecimento vertiginoso com que não apenas juízes e desembargadores têm lidado com a temática, como também a complexidade das discussões trazidas pelos assistidos em ambos os pólos das demandas.
Em 2021, as discussões se restringiam a debates mais principiológicos na aplicação da norma, ainda tateando o universo da proteção de dados. E em 2022, apenas em seu segundo ano de entrada em vigor, a LGPD tem tomado corpo nos tribunais não só em números, mas também na qualidade das fundamentações em primeira e segunda instância.
Além disso, um dos principais destaques em relação à primeira edição do Painel da LGPD nos Tribunais se deve à própria experiência adquirida quando da execução de ambas as edições. Neste segundo ano, buscamos aprimorar os critérios de objetividade quanto à relevância das decisões, evitando que documentos com rápidas menções nominais à LGPD, ou que sequer tenham considerado fundamentalmente a matéria, pudessem prosseguir às etapas de análise aprofundada dos pesquisadores.
Um dos casos mais corriqueiros durante as análises se deu no âmbito trabalhista, em que diversas decisões apenas continham a menção à LGPD para não identificar o nome das partes nos processos judiciais que tramitavam em segredo de justiça. Nesses casos não se observou aprofundamento suficiente sobre a matéria de proteção de dados pessoais, que não de maneira meramente resvalada. Razão pela qual o estabelecimento dos cinco níveis de classificação se mostrou um diferencial para o destaque das decisões mais relevantes, e viabilizou a execução das análises e resultados aqui expostos.
Observou-se que o número de decisões relevantes identificadas quase triplicou entre o primeiro e segundo ano de avaliação.
Enquanto na primeira avaliação de 2021 foram identificadas 274 decisões, no segundo ano 662 decisões foram categorizadas como contendo um debate relevante sobre proteção de dados pessoais, das quais 463 foram classificadas no nível 3 e 199, foram classificadas no nível 4. Dessa forma, é possível verificar que há uma certa tendência de aplicação da LGPD em desenvolvimento, contrapondo projeções construídas em anos anteriores que subdimensionavam a temática da proteção de dados pessoais, caracterizando-a como um assunto “passageiro” e sem perspectivas de concretude.
Além disso, no segundo ano de vigência da Lei Geral de Proteção de Dados Pessoais, o Tribunal de Justiça do Estado de São Paulo segue sendo em primeiro lugar no ranking dos tribunais que mais aplicam e abordam a LGPD de forma relevante, sendo o Tribunal com o maior número de decisões sobre proteção de dados em comparação aos demais. Enquanto no primeiro ano foram identificadas 68 decisões (colocar link do painel antigo), no segundo ano foram 110 decisões tomadas no âmbito da jurisdição paulista.
Já em relação aos capítulos da lei mais debatidos nas decisões, percebe-se uma mudança interessante entre o primeiro e o segundo ano de vigência. Enquanto no primeiro ano, as discussões sobre o Capítulo I (Disposições Preliminares) foram as principais, nota-se que no segundo ano de vigência o principal tema de interesse foi o Capítulo III (Seção I - Requisitos para o Tratamento de Dados Pessoais), seguido muito de perto pelo Capítulo VI (Seção III - Da Responsabilidade e do Ressarcimento de Danos). Este resultado se demonstra bastante relevante na comparação da atuação dos tribunais entre o primeiro e o segundo ano de vigência da LGPD, já que a discussão para assuntos gerais da lei foi alterada para temas bem mais específicos e práticos, como os requisitos para o tratamento e a responsabilização. Trazendo, também, maior substância para os debates de direito material em sede de aplicação e interpretação da norma.
Conforme a análise, os incidentes de segurança ocuparam o primeiro lugar nas discussões sobre proteção de dados pessoais nos tribunais brasileiros. Igualmente, problemas relacionados à identificação das bases legais também se mostraram no topo do ranking de questões discutidas judicialmente.
Nesta segunda edição do Painel também foram incluídas palavras-chaves para identificação dos principais problemas trabalhados nas decisões relevantes identificadas, o que permitiu que fosse identificada a categoria de incidentes de segurança da informação neste segundo ano de vigência da lei, até então ausente na análise anterior. Os incidentes de segurança ocuparam o primeiro lugar nas discussões sobre proteção de dados pessoais nos tribunais brasileiros. Igualmente, problemas relacionados à identificação das bases legais também se mostraram no topo do ranking de questões discutidas judicialmente.
Tais dados corroboram com a percepção de que, no segundo ano, as discussões sobre questões mais gerais, como princípios e disposições preliminares, deram lugar aos debates de dispositivos bastante específicos relacionados à aplicação prática da LGPD.
Assim, as decisões do STF em 2022, a despeito das necessárias críticas, marcam positivamente um cenário de intensificação na construção de uma cultura de proteção de dados que só tende a crescer. Trazendo imensos desafios aos operadores do direito e à sociedade como um todo, e também uma janela de oportunidades para a construção de uma sociedade verdadeiramente igualitária e comprometida com a defesa da autodeterminação informativa e proteção da pessoa humana. Sobretudo o reconhecimento da proteção de dados pessoais como direito fundamental, cujo horizonte de ratificação diante dos casos concretos e em sede dos tribunais ainda promete debates acalorados.
1 Cf. GREENLEAF, Graham; COTTIER, Bertil. 2020 ends a decade of 62 new data privacy laws. Privacy Laws & Business International Report, v. 163, p. 24-26, 29 jan. 2020. Disponível em: <http://ssrn.com/abstract=3572611.>. Acesso em: 14 out. 2022.
2 DÖHMANN, Indra Spiecker Gen. A proteção de dados pessoais sob o regulamento geral de proteção de dados da Europa. In: Tratado de Proteção de Dados Pessoais. DONEDA, Danilo et. al. (coord.). 2ª reimp. Rio de Janeiro: Forense, 2021, p. 98.
3 BVerfGE [Decisões do Tribunal Constitucional Federal] 65, I – decisão sobre o censo populacional.
4 HORNUNG, Simitis; DÖHMANN, Indra Spiecker Gen. In: Datenschutzrecht, 2019, Introdução n. 1.
5MENDES, Laura Schertel. Democracia, poder informacional e vigilância. Fumus Boni Iuris. O Globo. 13 ago. 2022. Disponível em: < https://oglobo.globo.com/blogs/fumus-boni-iuris/post/2022/08/laura-schertel-democracia-poder-informacional-e-vigilancia.ghtml> Acesso em: 20 out. 2022.