No final da semana passada o caso envolvendo a construtora “CYRELA” ganhou destaque na mídia; praticamente todo portal jurídico noticiou o ocorrido. Não era para menos, afinal se trata da primeira Sentença condenatória com fulcro na Lei Geral de Proteção de Dados Pessoais (LGPD), proferida em 29 de setembro de 2020, isto é, após o início da vigência da Lei.
Em suma, trata-se de uma ação judicial na esfera cível movida por um titular de dados pessoais em razão da construtora, conforme alegado na inicial, ter transmitido dados pessoais do autor para empresas estranhas ao objeto do contrato firmado entre as partes. No caso, após a aquisição uma unidade autônoma de empreendimento imobiliário junto à construtora ré, o autor passou a ser “assediado” por diversas empresas, recebendo contatos constantes de instituições financeiras, consórcios, empresas de arquitetura e construção, fornecimento de mobiliário, entre outras.
Ao final da instrução, a Juíza decidiu por julgar procedente a ação, condenando a construtora a se abster de compartilhar os dados pessoais sob pena de multa de R$ 300,00 por contato indevido recebido pelo autor, bem como ao pagamento de R$ 10.000,00 a título de danos morais, além de arcar com as despesas processuais e honorários advocatícios de sucumbência de 10% do valor da condenação. Vale destacar que a ação já contava com tutela provisória deferida desde agosto do ano passado, salvaguardando o direito de sigilo dos dados pessoais do autor.
A Sentença não economizou palavras: estende-se por meia dúzia de laudas que demonstram o zelo da Juíza ao fundamentar o desfecho do processo. De pronto é possível observar que a LGPD foi expressamente mencionada, ao passo em que se reconheceu que o tratamento dos dados pessoais[1] pela empresa violou os fundamentos de sua proteção (artigo 2º, da LGPD) e afrontou os princípios da finalidade e da adequação (artigo 6º, incisos I e II, da LGPD).
Não obstante, a relação entre as partes também estava regida pelas normas consumeristas, de maneira que a conduta da empresa, ao realizar o compartilhamento não informado, abusivo e coercitivo dos dados pessoais, também caminhou no sentido contrário do artigo 6º, incisos III e IV, do Código de Defesa do Consumidor – interessante como desde o começo da fundamentação a Sentença buscou o chamado “diálogo das fontes”, buscando “casar” as disposições da LGPD com as previsões do CDC.
Questão outra que merece atenção diz respeito ao reconhecimento da responsabilidade objetiva da empresa (artigo 45, da LGPD, c/c artigo 14, § 3º, inciso I a III, do CDC). Nesse sentido, a responsabilidade da ré é presumida, independentemente de culpa, e cabe à própria empresa realizar eventual prova em sentido contrário. Essa responsabilidade não se limita ao ato de compartilhar os dados (conduta comissiva), mas também no simples “permitir e tolerar” (conduta omissiva) o acesso dos dados pessoais por terceiros estranhos à relação que o autor possuía com a ré.
Ainda no aspecto da responsabilidade, a Sentença confirmou que, além de objetiva, ela é solidária, sendo que, por força do artigo 7º, p. único e 25, § 1º, do CDC, não se faz necessário verificar se há outros responsáveis pelo ato ilícito – por exemplo, se o compartilhamento ocorreu diretamente por corretores de imóveis.
Essa lógica reforça o que já era esperado quando da aplicação da LGPD sobretudo em decisões judiciais: quando se tratar de responsabilidade, a LGPD estará acompanhada de outras normas aplicáveis ao caso concreto, como Código de Defesa do Consumidor e Código Civil.
Adiante, a Sentença não olvidou do aspecto de direito fundamental no tocante à proteção de dados pessoais, mencionando expressamente que a informação adequada e clara dos conteúdos do serviço e a proteção à saúde e segurança, inclusive a integridade psicológica do consumidor titular dos dados pessoais, são previstas no ordenamento jurídico pátrio antes mesmo da LGPD – essa dinâmica será corroborada com a (iminente) aprovação da PEC 17/2019, que inclui a proteção de dados pessoais entre os direitos e garantias fundamentais do cidadão, de maneira que o descumprimento da LGPD poderá acarretar em violação a um direito constitucional fundamental do cidadão.
Por fim, outro ponto que merece atenção é acerca do nexo causal, ou seja, do elo entre a conduta da empresa e os danos sofridos pelo titular. Nesse sentir, constatou-se que a simples documentação juntada pelo autor foi suficiente para caracterizar o nexo causal. Vale dizer, o dano decorreu do próprio ilícito da ré (in re ipsa), apto a ensejar a reparação na esfera moral do autor. Em outras palavras, o dano foi presumido, bastando ao titular dos dados pessoais o mero apontamento de que seus dados foram compartilhados com terceiros após aquisição do imóvel.
A Juíza ainda deixou consignado que “tal expediente se observa costumeiramente no mercado imobiliário, o que não pode deixar de ser apreciado pelo julgador (arts. 374, I, e 375, Código de Processo Civil)”. Portanto, o cuidado deve ser redobrado às empresas que possuem a habitualidade de compartilhar dados pessoais de seus clientes ou colaboradores com terceiros, seja em razão do seu negócio ou prática de mercado, valendo aqui o célebre ditado: “melhor prevenir do que remediar”.
E aqui, caminhando ao final do texto, surge à baila a frase que compõe o título deste artigo: por todas essas questões expostas na Sentença, a empresa foi condenada ao pagamento de R$ 10.000,00 (dez mil reais) a título de danos morais ao titular dos dados indevidamente compartilhados, além de mais R$ 300,00 (trezentos reais) a cada contato que o autor receber pelos terceiros que obtiveram acesso aos seus dados pessoais. Basicamente, no mínimo R$ 10 mil por alguns cliques que permitiram o compartilhamento[2].
Isso tudo sem afastar a hipótese de investigações pelo Ministério Público e a incidência de penalidades por outros órgãos com competências sancionatórias e normativas (no caso, por exemplo, órgãos de proteção ao consumidor) ou das sanções administrativas da própria LGPD (multa de até 2% do faturamento da empresa e todas as demais que já causam temor a muitas empresas no Brasil).
E você: já se adequou à LGPD? Quanto valem os seus cliques?
_________________________
[1] Cumpre lembrar que, para os fins da Lei, “tratamento” de dados pessoais é toda operação realizada com dados pessoais, ou seja, qualquer ação (ou omissão) perante os dados pessoais dos titulares. No caso, o compartilhamento dos dados pela empresa é, por si só, uma operação de tratamento, submetendo-se a todo rigor da LGPD.
[2] Apesar da frase chamativa, como bem se sabe, a LGPD não se aplica somente aos dados pessoais em formato digital, mas também em meio físico, valendo os mesmos cuidados em relação à Segurança da Informação.