A
(i)legalidade de sites que divulgam dados pessoais
Recentemente,
o site “Nomes Brasil” permitiu a consulta do CPF e outros dados de uma grande
parte da população brasileira. Não havia nenhuma restrição de acesso ou
limitação de conteúdo. Bastava digitar o nome e verificar se os dados constavam
na base de dados online. A página foi retirada do ar pelos provedores de
hospedagem após notificação da Secretaria Nacional do Consumidor do Ministério
da Justiça, por meio do Departamento de Proteção e Defesa do Consumidor (DPDC).
O órgão considerou indevida a veiculação de tais dados sem o conhecimento e a
autorização dos seus titulares, e baseou seu entendimento no Código de Defesa
do Consumidor e no Marco Civil da Internet. Mas será que estas leis realmente
vedam a veiculação destes dados?
Antes
de mais nada, é importante esclarecer que, sim, a publicidade de dados pessoais
e outras informações particulares da forma como foram expostas no site “Nomes
Brasil” é indevida, com base, simplesmente, no direito fundamental à
privacidade previsto na Constituição Federal de 1988.
Todavia,
a questão demanda uma análise contextual, com base, principalmente no potencial
risco de uso das informações constante do site para fins de fraude e eventuais
danos aos seus titulares.
O
Código Civil estabelece em seu Art. 12 que “pode-se exigir que cesse a ameaça,
ou a lesão, a direito da personalidade (...)”. O direito à privacidade engloba
diversos outros relacionados à personalidade, como o direito à intimidade,
honra e imagem. Desta forma, uma vez que a veiculação não autorizada de dados
pessoas potencialmente permite a má utilização destes para práticas como a
criação de identidades falsas, pode o titular exigir que referida publicidade
cesse, e inclusive se valer do judiciário para tanto, se necessário.
Somado
a isso, um ponto importante quanto à possível ilicitude é o previsto no artigo
43 do CDC, que trata sobre bancos de dados consumeristas, pois não é de
conhecimento público a origem dos dados veiculados na página e se houve
comunicação ao consumidor quando da inserção dos seus dados em um banco
estruturado. Dispõe o artigo 43 do CDC que é imprescindível a comunicação do
usuário quando da abertura de cadastro, ficha, registro e dados pessoais,
conforme § 2º do mesmo artigo, verbis:
“Art.
43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às
informações existentes em cadastros, fichas, registros e dados pessoais e de
consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.
(...)
§ 2º A
abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser
comunicada por escrito ao consumidor, quando não solicitada por ele.”
O
Prof. Rizzato Nunes explica que essa previsão foi feita em razão do disposto no
artigo 5º, inciso X, da Constituição Federal, visando a proteção da privacidade
do consumidor:
“muito
embora a ênfase e a discussão em torno das regras instituídas no art. 43
recaiam nos chamados cadastro de inadimplentes dos serviços de proteção ao
crédito, a norma incide em sistemas de informação mais amplo. Todo e qualquer
banco de dados de arquivo de informações a respeito de consumidores – pessoas
físicas ou jurídicas – está submetido às normas do CDC. (...) A norma do § 2º é
expressa e clara, não deixando margem de dúvida: “a abertura de cadastro,
ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito
ao consumidor, quando não solicitada por ele”. É garantia que decorre
diretamente do texto constitucional de preservação de privacidade do consumidor
(art. 5º, X, da CF). Vale tanto para a abertura de cadastros ditos positivos
quanto negativos.”
O art.
43 do CDC determina que o consumidor deve apenas ser informado - e não
necessariamente autorizar - quando da criação e/ou inserção de seus dados em
uma base de dados. Não existiria na lei vedação expressa a transferência dessa
base de dados ou a sua utilização por terceiros. No caso do site sob comento, o
usuário pode, eventualmente, ter sido informado da inserção dos seus dados na
base de dados original e esta ter sido adquirida pelo responsável pelo site,
que estaria possivelmente utilizando-a sem violar expressamente o Código
Consumerista. Todavia, o CDC não pode ser interpretado isoladamente.
A
portaria nº 5/2002, da Secretaria de Direito Econômico do Ministério da
Justiça, que complementou o elenco de cláusulas abusivas constantes do art. 51
do CDC, considerou abusiva qualquer disposição que:
I -
autorize o envio do nome do consumidor, e/ou seus garantes, a bancos de dados e
cadastros de consumidores, sem comprovada notificação prévia
II -
imponha ao consumidor, nos contratos de adesão, a obrigação de manifestar-se
contra a transferência, onerosa ou não, para terceiros, dos dados cadastrais
confiados ao fornecedor
III -
autorize o fornecedor a investigar a vida privada do consumidor
O que
a portaria, na prática, implementa, é o instituto do consentimento. Não basta o
consumidor ser informado que seus dados serão inseridos em uma base de dados,
como determina o art. 43. É necessária a sua autorização para que seus dados
sejam transferidos para terceiros. No contexto sob exame, mesmo se a página
“Nomes Brasil” esteja utilizando uma base de dados adquirida legitimamente,
esta transferência teria que ser autorizada pelos titulares dos dados
consumeristas. Portanto, é possível inferir que o fato de muitas pessoas terem
ficado surpresas e chocadas ao verificarem que seus dados estavam disponíveis
para qualquer um que os procurasse demonstra que não houve consentimento.
Quando
a esfera da administração pública, que originalmente confere os CPFs aos seus
titulares, esta requer exigências mais rígidas do que a esfera das relações
meramente privadas, com base no mandamento constitucional do art. 37 da CF/88.
A administração pública é adstrita ao previsto em lei. A esfera privada pode
fazer o que não estiver vedado por lei.
Nesse
contexto, o site da Receita Federal traça o procedimento que entidades públicas
devem seguir para a disponibilização de dados, havendo inclusive Instruções
Normativas expressamente tratando sobre isso. Destaco os trechos mais
relevantes:
IN Nº
19
Art.
1o Esta Instrução Normativa disciplina os procedimentos de fornecimento de
dados cadastrais e econômico-fiscais da Secretaria da Receita Federal - SRF, a
outras entidades.
Art.
2o O atendimento a solicitações de fornecimento de dados cadastrais da SRF,
efetuadas por outras entidades, será executado pela Coordenação-Geral de
Tecnologia e de Sistemas de Informação - COTEC, ou por suas projeções regionais
ou locais.
§ 1o O
fornecimento de dados fica limitado àqueles constantes de cadastro de domínio
público e que não informem a situação econômica ou financeira dos
contribuintes.
§ 2o
Consideram-se de domínio público os dados das pessoas físicas ou jurídicas,
que, por força de lei, devam ser submetidos a registro público.
Art.
4o O fornecimento de dados a instituição de direito privado somente será
efetivado quando a informação for indispensável, em virtude de lei, ao
exercício de suas atividades.
IN Nº
20
Art.
8o O fornecimento eventual com acesso on line às bases de dados somente poderá
ser realizado por intermédio da COTEC ou DITEC/SRRF.
Art.
9o O fornecimento continuado com acesso on line às bases de dados será efetuado
mediante credenciamento de usuários do órgão ou da entidade interessados no
Sistema de Entrada e Habilitação - SENHA, da SRF, observado para este fim o
disposto na Portaria SRF No 782, de 20 de junho de 1997.
Parágrafo
único. O acesso às bases de dados da SRF, na forma deste artigo, fica
condicionado à reciprocidade de tratamento em relação às bases de dados fiscais
do órgão convenente, salvo se a SRF abdicar expressamente dessa prerrogativa.
Com
base nisso, analisando o que consta do site da própria Receita, seria possível
construir a tese de que essas informações não são públicas:
50.
EXISTE A POSSIBILIDADE DE PESQUISAR O NÚMERO DO CPF, ATRAVÉS DO SITIO DA
RECEITA FEDERAL?
Não.
Tente localizar o número em algum outro documento, cheque, contrato, etc. Se
não conseguir, pode-se obter o número do CPF em uma unidade de atendimento da
Receita Federal do Brasil.
Todavia,
as instruções normativas dizem respeito ao acesso aos dados cadastrais e
econômico-fiscais presentes nos bancos de dados da Receita Federal. Ou seja, um
acesso direto aos bancos de dados ou a transferência destes dados, por parte da
Receita, para entidades privadas. Os dados cadastrais e econômico-fiscais como
o CPF podem também ser obtidos de outras fontes, como diretamente de uma
empresa privada, de sistemas de busca na Internet, ou mesmo de um camelô na
Santa Efigênia. Salvo maior juízo, estes bancos de dados não estariam sujeitos
às instruções normativas mencionadas acima.
Portanto,
é possível afirmar que os dados de CPF e outros afins são, sim, dados públicos.
Todavia, existe a diferença entre o que é público e o que publicamente
acessível por qualquer pessoa. Por exemplo, até pouco tempo, os salários de
funcionários públicos não podiam ser publicados em sites governamentais,
inobstante serem dados públicos. Agora estes são públicos e publicamente
acessíveis (ou pelo menos deveriam ser). Entretanto, dados públicos também
podem ter natureza pessoal, o que deve conferir aos seus titulares controle
sobre a sua divulgação e coleta, caso não haja previsão em lei determinando a
publicidade.
O CPF
é um dado pessoal público que confere ao seu titular o direito a controlar a
sua divulgação caso o contexto possa violar, entre outros, o seu direito à privacidade
ou ameaçar algum outro direito, como eventual dano econômico oriundo, e. G., da
criação de uma identidade falsa. Todavia, nem a CF/88, nem o CDC, nem o Código
Civil e o Marco Civil da Internet conferem ao cidadão todas as ferramentas
necessárias para o controle dos seus dados pessoais. Por isso que atualmente se
discute o Anteprojeto de Proteção de Dados Pessoais.
Referido
Anteprojeto visa discutir regulação que pretende estabelecer um regime legal
abrangente de proteção de dados pessoais. Esta norma pretende conferir ao
cidadão meios para controlar efetivamente o que é feito com seus dados
pessoais, ao mesmo tempo que estabelece parâmetros jurídicos seguros para o
processamento de dados pessoais, base da economia digital em que vivemos
atualmente. Caso referida legislação já estivesse em vigor, em tese, os
titulares de dados teriam formas efetivas de combater e evitar que seus dados
pessoais, como os expostos pelo “Nomes Brasil”, sejam utilizados de forma
indevida e não autorizada. Situações como estas e muitas outras devem servir de
incentivo para continuarmos discutindo ativamente o futuro da proteção de dados
pessoais no Brasil.
Veja mais;
http://renatoleite.jusbrasil.com.br/artigos/191596216/a-i-legalidade-de-sites-que-divulgam-dados-pessoais?utm_campaign=newsletter-daily_20150527_1224&utm_medium=email&utm_source=newsletter
.
ADVOGADO CORRESPONDENTE
ResponderExcluirCACHOEIRO DE ITAPEMIRIM
* Escritório de Advocacia***
Drª Deise das Graças Lobo
OAB/ES 21.317
(028) 9 9964 4470 - (028) 3 511 7091
deiselobo.dl@hotmail.com