Posts Tagged ‘dados pessoais’

Governo, ao dispor sobre compartilhamento de dados entre empresas de telecomunicação e IBGE, antecipa a eficácia da LGPD

19 de abril de 2020

Data-Protection-PrivacyFoi publicada a Medida Provisória n.º 954, de 17 de Abril 2020, dispondo que as empresas de telecomunicação deverão disponibilizar ao IBGE, em meio eletrônico, a relação dos nomes, dos números de telefone e dos endereços de seus consumidores para fins de suporte à produção estatística oficial durante a situação de emergência de saúde pública decorrente do coronavírus (covid-19). O objetivo é realizar entrevistas em caráter não presencial no âmbito de pesquisas domiciliares. Os dados compartilhados terão caráter sigiloso, sendo usados exclusivamente para a finalidade acima mencionada. É vedado ao IBGE disponibilizar os dados a quaisquer empresas públicas ou privadas ou a órgãos ou entidades da administração pública de quaisquer dos entes federativos. Superada a situação de emergência, as informações compartilhadas deverão ser eliminadas das bases de dados do IBGE. A referida MP dispõe ainda que o IBGE informará, em seu sítio eletrônico, as situações em que os dados foram utilizados e divulgará relatório de impacto à proteção de dados pessoais (“RIPD”), nos termos do disposto na Lei nº 13.709, de 14 de agosto de 2018 (“LGPD”).

Portanto, mesmo antes de a LGPD entrar em vigor, a MP já se fundamenta na referida legislação, bem como determina a elaboração do RIPD.

STJ recorre ao Código de Defesa do Consumidor e Lei do Cadastro Positivo para condenar banco de dados por violação à privacidade

12 de janeiro de 2020

20191014-nguyen-middlemanO Superior Tribunal de Justiça proferiu decisão condenando gestor de banco de dados ao pagamento de dano moral in re ipsa por violação do dever de informar  por escrito ao consumidor a abertura de cadastro, ficha, registro e dados pessoais e de consumo. Além de violar o dever de informação, identificou-se que o banco fez anotações de informações excessivas – como as relativas aos possíveis parentes, aos residentes no mesmo endereço e aos vizinhos dos endereços pesquisados.

A decisão é interessante na medida em que recorreu a legislação em vigor para fundamentar a não conformidade em relação ao tratamento de dados pessoais de consumidores, mormente a lei 8.078/90 (Código de Defesa do Consumidor) e a lei 12.414/11 (Lei do Cadastro Positivo), não recorrendo à Lei 13.709/18 (Lei Geral de Proteção de Dados, que encontra-se em vacatio legis.

O acórdão ressalta que o STJ já possuía entendimento de que “a ausência de prévia comunicação ao consumidor da inscrição do seu nome em cadastros de proteção ao crédito, prevista no art. 43, §2º do CDC, enseja o direito à compensação por danos morais, salvo quando preexista inscrição desabonadora regularmente realizada” (tema 41, súmula 385⁄STJ). A inovação trazida pelo caso refere-se ao fato de esta orientação aplicar-se ao registro de informações positivas sobre o consumidor.

Em que pese o compartilhamento das informações ser autorizada pela Lei do Cadastro Positivo em seus arts. 4º, III e 9º, deve ser observado o disposto no art. 5º, V, o qual prevê o direito do cadastrado de ser informado previamente sobre a identidade do gestor e sobre o armazenamento e o objetivo do tratamento dos dados pessoais. Com relação às informações excessivas, são consideradas aquelas que  em nada contribuem para a avaliação da situação econômica do cadastrado, como exige o § 1º do art. 3º da Lei do Cadastro Positivo, e que, por esta razão, são expressamente proibidas pelo § 3º, I, do mesmo dispositivo legal. Os referidos dispositivos vão ao encontro do princípio da necessidade (“limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”)  previsto no inciso III do art. 6° Lei Geral de Proteção de Dados.

Além disso, referida comunicação é indispensável para o exercício do direito de acesso aos dados armazenados e o direito à retificação das informações incorretas. Um aspecto relevante, mas que o acordão não ressaltara, é que a referida comunicação também é necessária para que o consumidor possa exercer o seu direito ao opt out, ou seja, obter o cancelamento do cadastro, quando solicitado, nos termos do inciso I do art. 5° da Lei do Cadastro Positivo.

Por fim, o Tribunal ponderou que o fato, por si só, de se tratarem de dados usualmente fornecidos pelos próprios consumidores quando da realização de qualquer compra no comércio, não afasta a responsabilidade do gestor do banco de dados, na medida em que, quando o consumidor o faz não está, implícita e automaticamente, autorizando o comerciante a divulgá-los no mercado; está apenas cumprindo as condições necessárias à concretização do respectivo negócio jurídico entabulado entre as duas partes, confiando ao fornecedor a proteção de suas informações pessoais.

A decisão em análise, portanto, demonstra que ordenamento jurídico vigente já possui dispositivos que protegem a privacidade dos consumidores, em que pese não diminuir a importância da Lei Geral de Proteção de Dados, que funcionará como uma chave de interpretação em relação à privacidade para o ordenamento jurídico como um todo.

TST: Bancos não podem acessar dados de conta corrente de empregado

14 de junho de 2017

spying-work-collegues-678x381

 

O Tribunal Superior do Trabalho manteve decisão que condenou o Banco Bradesco a pagar indenização por dano moral em razão de quebra do sigilo da conta de uma bancária.

Segundo o Banco, a quebra de sigilo foi realizada em razão de inspeção interna, para verificar o cumprimento de normas sobre a impossibilidade de o bancário ter outra atividade profissional remunerada, ou de receber depósitos de rendimentos não vinculados ao salário.

Sem embargo, o ministro Barros Levenhagen ressaltou, como corolário do inciso XII do artigo 5ª da Constituição, que, para a quebra do sigilo bancário, é indispensável  a prévia  autorização do titular ou ordem judicial para tanto, sob pena de  violação ao direito de personalidade e privacidade, afetando o patrimônio imaterial do trabalhador, mesmo se não houver divulgação de valores para terceiros.

O caso é interessante porque ressalta a impossibilidade de o empregador confundir o poder diretivo e o direito de propriedade sobre ferramentas de trabalho (como por exemplo, o correio eletrônico, em que o TST já se pronunciara sobre a possibilidade de monitoramento do correio corporativo) com a possibilidade de acesso e uso de dados protegidos pelo direito a privacidade.  No caso da conta corrente do empregado, o empregador ostenta a posição de depositário dos valores e informações, tão somente. Por conseguinte, o fato de possuir posse ou custódia dessas informações não lhe dá o direito sequer de acessá-las, muito menos de utilizá-las contra o empregado.

Processo: RR-370-58.2014.5.03.0105

 

 

 

 

JURISDIÇÃO E COMPETÊNCIA PARA ILÍCITOS NA WEB

17 de julho de 2011

  A decisão proferida pelo Superior Tribunal de Justiça no RESP Nº 1.168.547 – RJ certamente será um marco sobre a competência da justiça brasileira para conhecer de ilícitos ocorridos no cyberespaço.

Segundo o referido aresto, a justiça brasileira será competente para conhecer de causas relativas ao uso indevido de dados pessoais na internet, independentemente de se tratar de site estrangeiro ou de contrato onde se elege o foro estrangeiro como competente.

Invocou-se, para sustentar a referida tese, o artigo 88, III, do CPC que prevê a competência da autoridade brasileira para  fato ocorrido ou de ato praticado no Brasil. Assim, mesmo que se trate de site hospedado no estrangeiro, é competente a autoridade judiciária brasileira porque é na localidade em que reside e trabalha a pessoa prejudicada que o evento negativo terá maior repercussão. Para corroborar este argumento, utilizou-se de jurisprudência sobre ação de indenização por danos morais causados pela veiculação de matéria jornalística em revista de circulação nacional. Assim, considera-se “lugar do ato ou fato” a localidade em que residem e trabalham as pessoas prejudicadas.

Em caminho diverso parece caminhar  projeto de lei de proteção de dados pessoais, que dispõe no art. 3.  que  “A presente lei aplica-se aos tratamentos de dados pessoais realizados no território nacional por pessoa física ou jurídica de direito público ou privado, ainda que o banco de dados seja localizado no exterior”. Tratamento define-se no projeto como “toda operação ou conjunto de operações, realizadas com ou sem o auxílio de meios automatizados, que permita a coleta, armazenamento, ordenamento, conservação, modificação, comparação, avaliação, organização, seleção, extração, utilização, bloqueio e cancelamento de dados pessoais, bem como o seu fornecimento a terceiros por meio de transferência, comunicação ou interconexão”.

Portanto, a referida lei incidirá sempre que o dado pessoal sofrer tratamento no Brasil, ou seja, quando o ato de tratar for realizado no território nacional. Sem embargo, penso que poderia ser inserida previsão no sentido de que se proteja dados pessoais relativos a pessoa domiciliada no Brasil. Assim, dirimir-se-á qualquer dúvida relativa a aplicabilidade da referida lei na hipótese em que o tratamento for realizado no estrangeiro, como no caso mencionado no acórdão em discussão.

Assim, a lei de proteção aos dados pessoais deverá ser aplicada também na hipótese de tratamento de informação de pessoa natural domiciliada no Brasil realizado no exterior, porque é na comunidade onde vive a pessoa natural que o evento negativo terá maior repercussão para si e suas famílias.

Por conseguinte, sugiro a seguinte mudança do texto do projeto:

“A presente lei aplica-se aos tratamentos de dados pessoais relativos a pessoa natural domiciliada no Brasil realizados no exterior ou realizados no território nacional, por pessoa física ou jurídica de direito público ou privado, ainda que o banco de dados seja localizado no exterior”.


%d blogueiros gostam disto: