Na sociedade da informação, uma das maiores commodities das empresas são os dados pessoais, os quais têm precioso valor econômico no mercado de consumo, independentemente do setor.
As informações concedidas pelo consumidor ao se cadastrar para efetuar uma compra, ou mesmo as compartilhadas de livre vontade em redes sociais, são usadas para formação de perfis em bancos de dados digitais, inclusive nos de análise de proteção de crédito. Vale esclarecer que se considera banco de dados o conjunto de dados relativo à pessoa natural ou jurídica, armazenados com a finalidade de subsidiar a concessão de crédito, a realização de venda a prazo ou de outras transações comerciais e empresariais que impliquem risco financeiro.
Tais informações pessoais não podem ser distribuídas por bancos de dados sem notificação prévia do consumidor, sob pena de ofensa aos direitos de personalidade e, por conseguinte, atrair o dever de reparar o dano moral, que é presumido. Logo, o gestor do banco de dados tem a obrigação de comunicar eventual compartilhamento de informações aos seus titulares.
Este entendimento foi adotado pela Terceira Turma do Superior Tribunal de Justiça, no Recurso Especial n. 1.758.799/MG (rel. Min. Nancy Andrighi), e está em consonância com a proteção de informações estabelecida pelo Código de Defesa do Consumidor – CDC.
Em seu artigo 43, parágrafo 2º, o CDC dispõe que a abertura de cadastro, registro, dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele, até mesmo porque o conhecimento de que suas informações estão sendo arquivadas ou comercializadas assegura-lhe o direito de acesso aos dados e retificação à eventuais incorreções.
Além disso, a Lei nº 12.414/11 (Lei do Cadastro Positivo), que disciplina a formação e consulta a bancos de dados com informações de adimplemento para formação de histórico de crédito,prevê a proteção ao câmbio de dados. O seu art. 5º, inciso V, dispõe que é direito do cadastrado ser “informado previamente sobre o armazenamento, a identidade do gestor do banco de dados, o objetivo do tratamento dos dados pessoais e os destinatários dos dados em caso de compartilhamento”.
Mesmo que as informações armazenadas pelos gestores de dados sejam fornecidas pelos consumidores voluntariamente, não se enquadrando na classificação de sigilosos ou sensíveis, há responsabilidade dos gestores pelo compartilhamento dessas informações.
Cabe destacar que o referido inciso foi alterado pela Lei Complementar nº 166/2019, que atenuou a antiga exigência, dispensando, por exemplo, que se indiquem os destinatários dos dados, em caso de compartilhamento. Entretanto, não ficou o gestor do banco de dados exonerado da tarefa de proceder à comunicação prévia ao consumidor, sob pena de ter de reparar danos morais presumidos.
A propósito, entendeu o STJ ser desnecessária prova efetiva do prejuízo pelo consumidor, na hipótese de disseminação de seus dados.A presunção se justifica porquanto as informações sobre o perfil do consumidor são, obviamente, de cunho pessoal. Logo, sua comercialização ou compartilhamento sem comunicação tem elevado potencial de violar direitos da personalidade.
Na mesma linha desse precedente, é visível, em nível global, o movimento de elaboração de legislações que estabeleçam parâmetros claros para o uso, tratamento e compartilhamento de todos os tipos de dados pessoais. Exemplo desse movimento é a Lei Geral de Proteção de Dados
Pessoais – LGPD, por meio da qual se busca promover segurança no tratamento de dados, visando a proteção aos direitos de liberdade e personalidade. A LGPD estabelece, inclusive, que o tratamento de dados somente poderá ser feito quando fornecido consentimento pelo titular das informações.
Por essa razão, a LGPD representa um marco legislativo em relação ao tratamento de dados e informações e, embora promulgada apenas em 2018 para vigorar a partir de agosto de 2020, o dever de prévia notificação do consumidor sobre o trânsito de seus dados já era previsto no ordenamento jurídico nacional, tal como se nota pelas disposições do CDC e da referida Lei nº 12.414/11.
A autorização para que seja possível a difusão das informações do consumidor deve ser feita de maneira efetiva e não mediante termos de uso que comumente são ignorados na oportunidade de um cadastro em plataformas on line, por exemplo.
O compromisso com dever de informação, portanto, tem como uma de suas vertentes o direito de o consumidor ser comunicado sobre o uso dos dados gerados a partir do armazenamento de suas informações pessoais.
