Desde a Constituição de 1988 o nosso ordenamento vem tutelando o direito à intimidade à privacidade (artigo 5º, X da CF/1988), passando a prever indenizações por danos morais e à imagem (artigo 5º, V da CF/88) caso esses direitos não sejam observados.
Deve ser esclarecido que no âmbito constitucional, a proteção à privacidade “trata de uma denominação genérica, que compreende a tutela da intimidade, da vida privada, da honra e da imagem das pessoas” (Pinho, 2000, p. 97), assim afastando qualquer interpretação restritiva do direito constitucional à privacidade.
Posteriormente, em 1990 o Código de Defesa e Proteção do Consumidor passou a prever o direito à efetiva proteção e reparação dos danos morais, sejam eles individuais, coletivos e/ou difusos (artigo 6º, VI do CDC).
O mesmo Código de Proteção e Defesa do Consumidor passou a prever o direito de acesso às informações dos consumidores existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados, bem como sobre as suas respectivas fontes (artigo 43 do CDC). Inclusive foi bastante categórico em prever a veracidade desses dados conforme o §1º do artigo 43 do CDC.
Em 2002, o Código Civil passou a dispor que, salvo nas hipóteses expressamente previstas em lei, os direitos da personalidade são intransmissíveis e irrenunciáveis, não admitindo limitação voluntária de seu exercício (artigo 11). O mesmo diploma legal assegurou, em seu artigo 12, que é lícito exigir a cessação da ameaça ou da lesão a direito da personalidade, bem como pleitear indenização por perdas e danos, sem prejuízo da aplicação de outras sanções legais cabíveis.
Ademais, o artigo 186 do referido Código é categórico ao estabelecer que aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito, consolidando, assim, a possibilidade de indenização por danos morais nas hipóteses de comercialização ou divulgação de dados sensíveis que atentem contra a intimidade e os direitos personalíssimos do indivíduo.
Já o “Marco Civil da Internet estabeleceu como princípios para o uso da internet no país a proteção à privacidade e aos dados pessoais — art. 3º, II e III, bem como determinou regras para a coleta dos dados, entre elas a exigência de consentimento do titular para o uso e o tratamento das informações — artigo 7º, VII a X” (Teixeira; Rettore, 2023, p.224).
Em momentos mais recentes, tivemos a Lei Geral de Proteção de Dados, que “em linhas gerais, protege-se a vontade de que cada indivíduo decida sobre o uso que se possa fazer acerca de informações que lhe dizem respeito” (Heinen, 2023, p. 108).
A Lei Geral de Proteção de Dados (LGPD) passou a classificar as informações em dados pessoais e dados pessoais sensíveis. Consideram-se dados pessoais aqueles relacionados à pessoa natural identificada ou identificável (artigo 5º, I). Já os dados pessoais sensíveis são as informações referentes à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dados relativos à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural (artigo 5º, II).
O presente escrito defende que, em se tratando de dados sensíveis, o particular somente poderá tratá-los quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas e claras (artigo 11, I da LGPD).
Ademais, de forma geral, nos termos do artigo 11, § 4º, da Lei Geral de Proteção de Dados, é vedada a comercialização de dados pessoais sensíveis, admitindo-se exceção apenas nas hipóteses relacionadas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observadas as disposições do § 5º do referido artigo. Tais exceções abrangem, inclusive, os serviços auxiliares de diagnose e terapia, sempre em benefício dos interesses dos titulares dos dados, e com a finalidade de possibilitar: (1) a portabilidade de dados, quando solicitada pelo titular; e (2) a realização de transações financeiras e administrativas decorrentes do uso e da prestação desses serviços.
Por fim, o § 5º do mesmo dispositivo legal veda expressamente às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para fins de seleção de riscos, tanto na contratação de qualquer modalidade de plano quanto na inclusão ou exclusão de beneficiários.
Por isso, é completamente proibido que empresas privadas que oferecem serviços de venda de dados coloquem a venda qualquer informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Não é legal que o relatório vendido contenha, por exemplo, a religião do cidadão, eventual indicação do partido ao qual ele é filiado, informações raciais, informações sobre vacinação, diagnósticos médicos, CIDs, internações, realizações de exames médicos, opção sexual e qualquer outro dado sensível.
Uma vez comercializado esse tipo de relatório, o que acontece na prática e está em discussão em várias ações protocoladas no Judiciário, o presente artigo defende que ocorreu a violação aos direitos personalíssimos da intimidade, privacidade e do sigilo dos dados sensíveis, nascendo, pois o direito à indenização in re ipsa.
A título de exemplo, no Judiciário temos decisões do TJ-SP condenando empresas que compartilharam e comercializam informações sensíveis objetivando lucro, vejamos:
“Responsabilidade civil. Indenização por danos morais. Ação cominatória. Tratamento de dado sensível pela Lei nº 13.709/2018. Autora, que, após perda gestacional, recebeu oferta da ré a respeito de serviços de coleta e armazenamento de cordão umbilical. Ré que confirma ter recebido informações a respeito da autora de terceiros. Dados sensíveis, a respeito da gravidez da autora, que não poderiam ter sido objeto de compartilhamento, nos termos do art. 11, § 4º, da Lei nº 13.709/18. Ré que fez uso indevido de dado sensível pertencente à autora com finalidade lucrativa. Prospecção de novos clientes. Ato ilícito caracterizado. Violação do direito de privacidade da autora. Indenização corretamente determinada na sentença (R$ 10.000,00). Ré que tem a obrigação legal de identificar o responsável pela coleta do dado da autora, o que se deu sem consentimento. Sentença de procedência dos pedidos mantida. Recurso desprovido.” (TJ-SP; Apelação Cível 1041607-35.2021.8.26.0100; relator (a): Alexandre Marcondes; órgão julgador: 1ª Câmara de Direito Privado; Foro Central Cível – 10ª Vara Cível; data do julgamento: 17/5/2022; data de registro: 18/5/2022).
A decisão do tribunal está correta, afinal “o principal bem jurídico resguardado pela LGPD é a privacidade” (Oliveira et. al, 2021, p. 45), quanto à privacidade é pacífico que ela é um direito personalíssimo (artigo 21 do Código Civil) e protegido constitucionalmente.
E o fato de o direito à privacidade estar expressamente mencionado no artigo 21 do Código Civil é bem-vindo, pois, como é amplamente explicado pela doutrina, temos que “apenas parte dos direitos da personalidade está prevista no CC” (Jambor, 2022, p.150), ainda que o rol seja bem mais extenso, a citação do direito à privacidade no mencionado Código retira qualquer dúvida de que ele é um direito personalíssimo.
Indenização para reparar a lesão
A compreensão do direito à privacidade como um direito personalíssimo é importante, pois é pacífico na doutrina que o dano moral advém de “Toda ofensa a direito personalíssimo” (Guimarães, 2016, p.101), logo, uma vez violada a privacidade e intimidade, nasce o direito à indenização extrapatrimonial.
E quanto à responsabilização pelos danos morais, deve ser destacado que “Os titulares podem exercer os seus direitos em toda a cadeia de dados, logo, por exemplo, se houve o compartilhamento dos dados do controlador com o operador, ambos podem ser responsabilizados” (Cardoso, 2023, p. 48). A mesma conclusão se extraí do artigo 16 da Lei n° 12.414/2011.
Marcelo Casal Jr./Agência Brasil
Deve ser dito que o dano moral, no caso de dados sensíveis, deve ser fixado in re ipsa, pois conforme já decidido pelo Poder Judiciário, “o STJ tem evoluído seu entendimento para reconhecer que, quando o vazamento de dados expõe o consumidor a riscos concretos ou envolve dados sensíveis/sigilosos que facilitam fraudes, o dano moral restou caracterizado” (Processo nº 1000585-23.2025.8.26.0531 do TJ-SP). Pois, “na hipótese de vazamento de dados sensíveis do segurado, verifica-se a responsabilização objetiva (…) e a caracterização de dano moral presumido.” (STJ, REsp 2.121.904).
Diante de todo o arcabouço constitucional, infraconstitucional e jurisprudencial exposto, conclui-se que a comercialização ou o compartilhamento não autorizado de dados pessoais sensíveis por empresas privadas configura violação direta aos direitos personalíssimos da intimidade, da privacidade e do sigilo informacional, bens jurídicos tutelados de forma reforçada pelo ordenamento jurídico brasileiro.
Em tais hipóteses, a ilicitude decorre do próprio ato de tratamento indevido, sendo prescindível a demonstração de prejuízo concreto, pois o dano moral se presume, caracterizando-se in re ipsa, especialmente diante da gravidade e da natureza sensível das informações envolvidas. Assim, comprovado o uso ou a venda de dados sensíveis em desconformidade com a LGPD, impõe-se o dever de indenizar, como forma de reparar a lesão extrapatrimonial sofrida pelo titular e de desestimular práticas empresariais incompatíveis com a proteção da dignidade da pessoa humana e com o direito fundamental à privacidade.
Referências
CARDOSO, Oscar Valente. O Direito ao Conhecimento e à Confirmação da Existência do Tratamento na Lei Geral de Proteção de Dados Pessoais. In: FRANCOSKI, Denise de Souza Luiz; TEIVE, Marcelo Muller (coord.). LGPD Direitos dos Titulares. Belo Horizonte: Fórum, 2023, p. 41-55.
GUIMARÃES, Deocleciano Torrieri. Dicionário universitário jurídico. Atualização de Ana Claudia Schwenck dos Santos. 20. ed. São Paulo: Rideel, 2016.
HEINEN, Juliano. Comentários à Lei de Acesso à Informação, 3ª Ed., Belo Horizonte: Editora Forum, 2023.
JAMBOR. Daniela Guarita. Organismos Geneticamente Modificados, Precaução, Informação e Direitos Fundamentais, Belo Horizonte: Forum, 2022.
OLVEIRA, Ricardo et al. O Legítimo Interesse e a LGPDP Lei Geral de Proteção de Dados Pessoais, 2ª Ed., São Paulo: Thomson Reuters, 2021.
PINHO, Rodrigo César Rebello. Teoria Geral da Constituição e Direitos Fundamentais, Vol. 17, São Paulo: Editora Saraiva, 2000.
TEIXEIRA, Ana Carolina Brochado; RETTORE, Anna Cristina de Carvalho. Inteligência artificial e os riscos aos dados pessoais de crianças e adolescentes. In: EHRHARDT JÚNIOR, Marcos; CATALAN, Marcos; NUNES, Cláudia Ribeiro Pereira (coord.). Inteligência artificial e relações privadas: relações existenciais e a proteção da pessoa humana. Belo Horizonte: Fórum, 2023. v. 2, p. 215-236
