A internet é a tecnologia humana de maior impacto nas atuais relações sociais e jurídicas. Sua constante interligação da comunicação global faz dela de uma só vez, ao mesmo tempo e em qualquer lugar do mundo um mecanismo de disseminação de informação e o principal intermédio de interação entre indivíduos. E consigo, traz uma série de conflitos jurídicos. Em virtude da carência de tutela estatal e do cenário globalizado, faz-se imperativa a proteção do ser humano e de seus direitos humanos fundamentais. Destarte, surge o tema a ser trabalhado. Estudaremos, portanto, o problema do consentimento quase-tácito no tratamento de dados no Brasil.
Até que ponto devemos assegurar privacidades e liberdades individuais em prol da segurança jurídica? Técnicas empregadas por Estados, empresas ou outros usuários definem quem somos e como agimos, especialmente em nível inconsciente. O problema é de tal cunho universal que, nos debates atualmente travados nos Estados Unidos e na Europa sobre o tema, sobejam dúvidas sobre qual modelo regulatório é o mais adequado na preservação da internet como uma plataforma aberta, evitando-se, ao mesmo tempo, regulações rígidas e excessivamente intervencionistas. O tema não poderia ser mais atual e carente de reposta jurídica e o presente trabalho buscará estabelecer uma adequada diretriz para o ordenamento jurídico.
Nesta Era Digital, o instrumento de poder é a informação. A liberdade individual e a soberania do Estado são hoje medidas pela capacidade de acesso à essa informação, muitas vezes em forma de dados pessoais. Deve-se, por conseguinte, lembrar que o Direito é a somatória de comportamento e linguagem e, hoje, esses dois elementos estão mais flexíveis e dinâmicos do que nunca, demonstrando que uma rígida norma não terá eficaz aplicabilidade.
Por que valeria a pena ceder grande parte de nossa liberdade de expressão e privacidade em prol de certa segurança jurídica ou aparente bem-estar social? Rege aqui nosso problema: o porquê, se vale a pena, se temos a escolha de recusar e o que podemos fazer se quisermos mudanças no âmbito do tratamento de dados.
No primeiro capítulo, trataremos da necessidade de um Direito Digital, em contraposição às noções liberais de que só o mercado – neste caso, o digital – conseguiria se autorregular. No segundo capítulo, trataremos da atual conjuntura do tratamento de dados no Brasil, com o Marco Civil da Internet (MCI) e principalmente com a Lei de Proteção de Dados Pessoais (LGPD). E, por fim, no terceiro capítulo, observaremos que o consentimento é praticamente quase-tácito hoje no Brasil.
Este trabalho almeja ser uma referência teórica e ser útil para a problematização e resolução de problemas práticos. Para a construção deste presente artigo, é adotado o método teórico dedutivo, com respaldo aos institutos e fundamentos da privacidade, intimidade e liberdade a serem aplicados ao Direito Digital. As dúvidas, problematizadas durante o trabalho, são elucidadas com apoio de doutrinadores, especialistas na área digital e dados oficiais de regiões.
I. A NECESSIDADE DE UM DIREITO DIGITAL
Muito se fala sobre internet e a falta de segurança na proteção dos dados pessoais dos usuários, mas pouco se tem feito para ativamente coibir as violações.
Um dos principais problemas na regulamentação da internet é o seu alcance global, afinal, não é possível observar a rede de forma restrita. No entanto, os órgãos estatais limitam-se a estabelecer diretrizes no sentido de um desenvolvimento ético e funcional do uso da rede. Sem a real coercibilidade de normas e ferramentas para combater o mal tratamento de dados, impede-se um controle eficaz do uso da internet.
Outro problema é o conhecimento técnico que esta área jurídica exige. Juristas, sejam eles as partes ou os magistrados, precisam adaptar-se à linguagem e metodologias. Em um caso[1] emblemático no STJ, sobre a indenização sobre spams que preconizou a responsabilidade do ofertante por abuso do direito sem prejuízo das sanções da publicidade abusiva[2], a corte não entendeu tal interpretação e o Presidente da turma julgadora, Min. Fernando Gonçalves, disse que “não sei nada de computador e nem quero saber”[3], mostrando-nos a gravidade do problema.
Todas as vezes que algo novo surgir na sociedade ter-se-á que criar um ramo novo do Direito para regrá-lo? Alguns doutrinadores afirmam que a internet é um novo meio para a realização de velhos delitos, contando com sua possível eficácia por um curtíssimo período temporal. Existem realmente estas espécies de crimes relativos. Todavia, o ordenamento jurídico pré-existente não consegue lidar com os crimes puros. E segundamente, pela extensão da rede e, principalmente, pelos milhões de atos ilícitos a serem tutelados, diferente destes outros casos, e por uma insuficiência da sociedade e do meio privado, há a necessidade deste novo Direito Digital.
Diante disso, as normas legais as quais tratam da internet não devem ser casuísticas e sim, ter caráter aberto para a garantia de sua permanência e longevidade, já que aspectos com demasiadas especificidades tornar-se-ão obsoletos em muito pouco tempo.
Leonardi fala do modelo geral de regulação de Lawrence Lessig, o qual se subdivide em quatro modalidades de regulação: o direito, as normas sociais, o mercado e a arquitetura. Analisando essas modalidades de regulação, temos que: a) o direito nem sempre é a maneira mais eficiente para a satisfação da vítima do cibercrime; b) as normas sociais regulam tão somente o comportamento na rede e não possui regras estabelecidas; c) o mercado regula também o comportamento na rede, porém o faz por meio da cobrança dos serviços prestados; d) a modificação da arquitetura original da internet para que se alcançar a proteção de determinado direito.[4] Essas quatro modalidades de regulação interagem entre si, tornando, teoricamente, o direito imutável mesmo mediante a hiperdinâmica da rede. Porém, o caso de atos ilícitos praticados através de meios digitais já devidamente tutelados por outras leis não é o intuito na defesa deste trabalho e sim a criação de um Direito Digital voltado a resolução de problemas jurisdicionais.
A lei, portanto, deve ser instrumento capaz de garantir os direitos fundamentais estabelecidos na Constituição Federal, refletindo seus valores. Devem nortear essas relações cibernéticas a dignidade da pessoa humana, a transparência, a boa-fé, o equilíbrio, a privacidade, a segurança, a proteção dos interesses econômicos e dos direitos do consumidor, para que seja estabelecida a confiança entre os entes do meio digital.
Para Patrícia Peck Pinheiro, [5] o Direito Digital não é algo novo, mas sim um produto derivado da legislação atual, como qualquer lei extravagante:
"Não devemos achar, portanto, que o Direito Digital é totalmente novo. Ao contrário, tem ele sua guarida na maioria dos princípios do Direito atual, além de aproveitar a maior parte da legislação em vigor. A mudança está na postura de quem a interpreta e faz sua aplicação. (…) O Direito tem de partir do pressuposto de que já vivemos uma sociedade globalizada. Seu grande desafio é ter perfeita adequação em diferentes culturas, sendo necessário, por isso, criar a flexibilidade de raciocínio, nunca as amarras de uma legislação codificada que pode ficar obsoleta rapidamente."
Por fim é válido salientar que, nesta Era Digital, o instrumento de poder é a informação. A liberdade individual e a soberania do Estado são hoje medidas pela capacidade de acesso à informação. Deve-se, portanto, lembrar que o Direito é a somatória de comportamento e linguagem e, hoje, esses dois elementos estão mais flexíveis e dinâmicos do que nunca, demonstrando que um direito rígido não obterá uma aplicabilidade eficaz.[6]
II. O ATUAL TRATAMENTO DE DADOS NO BRASIL
No nosso contexto de Direito Digital e internet, qual seria a opção sobre ter de confiar em empresas particulares ou de organizações do governo nossos dados pessoais? A solução seria entregarmos menos dados? Mas e se necessários para melhor controle e melhores políticas públicas? Quando há um limite para o poder justificado? Não só de empresas e Estados, mas até de um indivíduo sobre o outro com a justificativa de um benefício maior. A realidade demonstra que qualquer pessoa que entenda um pouco de informática pode invadir bancos de dados e cometer inúmeros crimes pelo computador ou com seu auxílio. O indivíduo acaba ficando órfão diante do formidável sistema computacional que controla a sua existência abrangendo uma rede de empresas e instituições, incluindo o próprio Estado.
Uma resposta possível e razoável dos operadores do direito seria a tentativa de resistir ao sistema, desenvolvendo um controle democrático dos bancos de dados, sobretudo aqueles impostos pelo Estado. Por exemplo, para cumprir esse rol em direito comparado, há as denominadas Comissões de Controle. Ou qualquer controle interno de corregedoria e/ou accountability. De qualquer maneira, estariam em jogo o paradoxo do Estado controlando o próprio Estado, com os perigos de manipulações de poder e trocas de favores nestes sistemas estatais. Mesmo que houvesse controle externo, digamos por um órgão privado, há sempre o perigo dessa corrupção, mas pode vir a ser mais eficiente, dependerá de caso a caso.
No Brasil, a Lei 12.965/2014, conhecida como Marco Civil da Internet (MCI), não é uma lei geral de proteção de dados pessoais. Ela não trata de todas dimensões deste tema, como a transferência internacional de dados, vazamentos de dados, dados anonimizados etc. Na verdade, é a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n.º 13.709/2018, a legislação brasileira que regula as atividades de tratamento de dados pessoais. Esta legislação se fundamenta em diversos valores, como o respeito: à privacidade, à autodeterminação informativa, à liberdade de expressão, de informação, de comunicação e de opinião, à inviolabilidade da intimidade, da honra e da imagem, ao desenvolvimento econômico e tecnológico e a inovação, à livre iniciativa, livre concorrência e defesa do consumidor e aos direitos humanos liberdade e dignidade das pessoas. Seu texto determina que todos os dados pessoais (informação relacionada à pessoa natural identificada ou identificável, como nome, idade, estado civil, documentos) só podem ser coletados mediante o consentimento do usuário.
E para o tratamento de dados pessoais sem o consentimento do titular, a lei prevê hipóteses específicas no art. 11, inciso II. No art. 18, a LGPD traz os direitos dos titulares de dados pessoais de: confirmação da existência de tratamento, acesso aos seus dados, correção de dados incompletos, inexatos ou desatualizados, anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a LGPD, portabilidade dos dados a outro fornecedor de serviço ou produto, eliminação dos dados pessoais tratados, informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados, informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, revogação do consentimento e revisão por pessoa natural de decisões automatizadas. Por fim, as sanções administrativas para o descumprimento da LGPD estão no art. 52 e são elas a: advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% do faturamento líquido da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 por infração; multa diária; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais envolvidos na infração até a sua regularização; e eliminação dos dados pessoais envolvidos na infração.
Todavia, o que nos interessa aqui não é uma análise da prática e jurisprudencial destas leis e seus impactos no Brasil e sim dos problemas mais profundos, intrínsecos e inerentes ao problema do tratamento de dados. A primeira questão é o clico vicioso da violação destes dados por Estados, empresas ou indivíduos com alguma expertise computacional. Afinal, muitos detentores destes dados violam a privacidade e direitos dos usuários. Com as informações nestes dados, eles ganham um poder econômico e com este poder econômico abusam ainda mais e constantemente do mal uso e do compartilhamento ilegal destes dados com terceiros para obter retornos financeiros.
Alguns atribuem este ciclo que se retroalimenta ao capitalismo, outros liberais-otimistas – quase um pleonasmo – à natureza humana abstraída pelo mercado. De qualquer maneira, há uma congruência do “bom” do “ruim”. Neste caso, o lado bom dos dados pessoais traz benefícios como serviços mais rápidos e personalizados com os malefícios dos problemas advindos do tratamento desses dados. Como poderia uma empresa, como o Facebook ou Google, ter tamanhas quantidades de dados pessoais e não querer utilizá-las para algum proveito econômico (após o alto investimento de compra e manutenção de servidores de guarda destes dados)? Não faz sentido em sua natureza econômica (de que se há meio para utilizar em seu proveito, este meio deve ser necessariamente utilizado), tratando este dado como mercadoria. A preocupação tão somente com a eficácia pode vir a justificar até seus erros – como os data breachs – os tratando como inevitáveis e “normais” porque valeriam a pena mediante os “benefícios”.
É interessante notar que estes dados nos definem e nos representam, são como as empresas e Estados nos observam quantitativa e qualitativamente, ao mesmo tempo que nos regulam e ditam quem seremos,[7] com suas previsões por padrões cada vez mais detalhadas. Isto ocorre mesmo que estes dados nunca corresponderão a uma descrição objetiva do mundo, sendo sempre parciais e enviesados. Por exemplo, uma pesquisa notou que a inteligência artificial de um hospital era “racista” ao sempre dar classificações de risco mais baixas a negros simplesmente pela cor de pele, logo, eles tinham menor probabilidade de serem encaminhados para programas que fornecem atendimento mais especializado quando estivessem tão quão doentes quanto as pessoas. Assim, negros tinham que estar mais doentes (quando, na verdade, são mais propensos a terem doenças como diabetes, anemia, insuficiência renal e pressão alta) do que os brancos para serem encaminhados para cuidados especializados.[8] Chega ao ponto da Cambridge Analytica, onde dados podem até comprar ou influenciar a opinião pública durante uma eleição política[9]. Outro exemplo é o das companhias de crédito, estatais ou privadas, que atribuem mais créditos a mais ricos e crédito mínimo irrisório a mais pobres, levando a maiores desigualdades. Afinal, como pode o pobre ter qualquer chance de evoluir economicamente com mais esse “degrau”. Liberais defendem que estas dificuldades são normais e naturais, mas coincidentemente há sempre “mais e mais degraus” para os menos afortunados, soma-se todos estes degraus e eles perpassam por várias gerações. Assim, não pode o Estado esperar esta escalada “natural” e uma igualdade de oportunidades que leva séculos sem mínima interferência. E isto também vale para os dados onde o Direito não pode esperar que os Estados e empresas utilizem estes dados da maneira que bem lhes convier esperando que as vontades sociais sejam “naturalmente abstraídas pelo mercado” traduzinho na tendência de oferta-demanda para as empresas que, por exemplo, tratem melhor os dados; até porque são pouquíssimas as maiores empresas e não há tanta concorrência para se “fugir”, como veremos.
E o que queremos dizer com todas essas críticas? Que acabem os dados pessoais e sensíveis? Não. Dados pessoais e sensíveis, mesmo que houvesse uma proibição absolta de todos Estados, jamais deixariam de existir. Eles são fonte primária de algoritmos e provedores para poderem atuar minimamente. São necessários para o funcionamento da rede, não há como ser contrário a estas ou qualquer tecnologia, mas tão somente opinarmos sobre e/ou restringirmos seu uso e forma de utilização, neste caso o tratamento. Na internet, nos parece que a melhor maneira é agir, após identificar os problemas, utilizando o mínimo de dados possíveis. Mas como já dito, é difícil inverter essa tendência. Por que empresas ou Estados extrairiam menos dados se não há qualquer malefício para eles fazê-lo ou nada que os impeça, já que não há como haver uma fiscalização detalhada e técnica dentro da própria empresa? Neste sentido, a atribuição específica do Encarregado de Proteção de Dados (Data Protection Officer – DPO), um funcionário da própria empresa que deve denunciá-la quando tratar mal dados, parece ser um grande desafio. Também observamos a dificuldade de accountability que terá a Agencia Nacional de Proteção de Dados (ANPD) no Brasil. Infelizmente a solução é ter mais controle, uma maior fiscalização. De alguma forma, que o povo e/ou o Estado consiga alguma ferramenta que o informe especifica e integralmente tudo que há sobre os mesmos e a forma e onde dados sobre os mesmos estão. Mas esta ferramenta não existe. E se existisse, traria outros problemas como seu mau uso por cibercriminosos para identificar as informações de certo alvo e as usarem em seu proveito. E não há outra alternativa real – não a ilusória de sairmos completamente da internet, por exemplo – para lidar de maneira minimamente eficaz com o mal tratamento de dados. Chegamos ao ponto de, pelas configurações do meio digital, o usuário ou ninguém exceto alguns funcionários de um provedor sabe o que é feito com seus dados. O aplicativo Uber, por exemplo, possui um histórico de abuso regular dos dados de localização dos seus usuários. Como uma espécie de “visão de deus”, uma ferramenta que serve de visão sobre dados específicos em tempo real de históricos de localização, sem a permissão dos usuários.[10]
Lembrando que há uma endêmica insegurança nos meios digitais já que o usuário tem muito pouco a fazer já que tais elementos estão fora de seu controle. Assim, a grande assimetria informacional existente entre as grandes empresas de tecnologia – conhecedoras das tecnologias que usam – e o consumidor, além da natural desigualdade econômica, causa sua hipossuficiência, potencializando sua vulnerabilidade[11]. Assim, a sua hipervulnerabilidade relaciona-se com o alto conhecimento técnico que quase nenhum consumidor possui e se o mau uso ocorre em função da falta de compreensão – quase natural – desse meio eletrônico, não deve ser reconhecida a culpa exclusiva do consumidor nestas condições ou, pelo menos, deve ser levada em consideração.
Todas estas considerações são relevantes ao verificarmos ser direito fundamental a proteção de dados pessoais, bancos de dados e big data, desenvolvimento de leis de proteção de dados, princípios de proteção de dados e esta proteção no ordenamento brasileiro. Os bancos de dados proporcionam a extração do máximo de proveito possível e, independe da distinção entre dado e informação, eles possuem um poder absurdo. E no panorama do ordenamento brasileiro, o reconhecimento da proteção de dados como um direito autônomo e fundamental não deriva de uma dicção explícita e literal, mas da consideração dos riscos que o tratamento automatizado traz à proteção da personalidade. E deve o Brasil reconhecer que estas garantias estão em risco com o tratamento atual dos dados pessoais especialmente porque, como bem diz Danilo Doneda[12], não há consideração dos riscos objetivos potencializados pelo tratamento informatizado das informações pessoais, justamente por não abranger a complexidade do fenômeno da informação. Há um abismo que segrega a tutela da privacidade da tutela das informações pessoais em si, possibilitando a perigosa interpretação que pode eximir o aplicador e o provedor-julgador de considerar os casos nos quais uma pessoa é ofendida em sua privacidade por meio da utilização abusiva de suas informações. Apenas reconhecendo a íntima ligação que passam a ostentar os direitos relacionados à privacidade e à comunicação de dados, seria dado o passo necessário à integração da personalidade em sua acepção mais completa.[13]
III. O CONSENTIMENTO QUASE-TÁCITO
Este capítulo pretende problematizar um contexto: qualquer tipo de tratamento pode ser feito desde que dentro das obrigações legais e sendo devidamente consentido e informado? O tratamento de dados já traz diversos problemas práticos legais. A doutrina e jurisprudência tentam acompanhar, assim como o legislador. O Marco Civil da Internet e a LGPD estabelecem ótimas formas de lidar com este tratamento e ousamos dizer que as tutelam de maneira bem satisfatória, deixando pouca margem para casos atípicos. Não trataremos aqui destes problemas jurídicos práticos. Nossa indagação é, na suposição de que seja feito todo cumprimento legal, se mesmo assim pode-se tudo no tratamento e até que ponto o consentimento “não é mais lei”? Qual o limite do tal consentimento informado e esclarecido, tão presente nos Termos de Contrato que vemos recorrentemente na internet?
Citemos as imensas dificuldades de implementação e adoção das medidas jurídicas estabelecidas por lei. Já é difícil a empresas e Estados acatá-las integralmente e cumpri-las. Há também grandes dificuldades de fiscalização e efetivas denúncias. É difícil também o usuário ter o conhecimento do mal tratamento e, ainda mais, ter provas de que teve o dado maltratado, como por exemplo saber qual foi o site ou aplicativo que vazou a informação do seu e-mail a terceiro que envia spams (dentre os vários que compartilhou um mesmo dado). Outra dificuldade é a internacionalização destes dados. Lembrando que grande parte das pessoas já teve seus dados tratados indevidamente e provavelmente vazados em algum episódio de vulnerabilidade, além dessas pessoas raramente terem conhecimento técnico suficiente para identificar esta vulnerabilidade, quem dirá tomar uma decisão conjunta que abstraia uma vontade coletiva de, por exemplo, escolher outra rede só por causa disso (ou ter os meios econômicos e conhecimento técnico para criar outra plataforma melhor). Isso tudo sem entrar na questão de crianças e adolescentes. Apesar de tudo isso e muitas outras dificuldades, suporemos que a empresa cumpra os deveres legais e obedeça aos requisitos para o tratamento através de um consentimento informado e esclarecido.
Neste caso, quais são os limites desse consentimento? Tudo pode o usuário consentir quando clica no “Concordo” e os dados são só sobre ele? A lei traz diversos ponderações e obrigatoriedades, mas após haver o consentimento claro e aceito pelo usuário, parece não haver maiores obrigatoriedades (exceto o bom tratamento, que apenas os dados necessários devem ser tratados, o período de armazenamento deve ser curto e o acesso aos dados deve ser limitado). A doutrina e a lei dá imensa preocupação, como bem devem, ao consentimento ser bem realizado, pois deve haver a autonomia do usuário e a proteção ao mesmo, como não exceder a empresa àquilo pactuado com o usuário. Todavia, parece não preocupar com o limite do consentimento, como por exemplo se consentido, nos imensos textos técnicos dos termos, que pode compartilhar os dados para parceiros comerciais, deve então este compartilhamento ser realizado sem demais preocupações? Independentemente do que empresas e Estados colocarem nos Termos de seus websites e aplicativos, tudo ali é lícito, válido e estimulável desde que o usuário aceite (tacitamente)? Trataremos de duas possibilidades de recusa.
A possibilidade de recusa é bem possível e “simples”, mas praticamente irrelevante pois com extrema raridade um usuário deixará de utilizar uma rede, provedor ou aplicativo por discordância aos termos dali. E se raramente o fará, não há no que se falar da “libertária liberdade” de escolha. Ela pode acontecer durante o tratamento: o usuário pode solicitar saber quais dados a empresa tem sobre ele e pode pedir para que excluem estes dados, desligando-se deste provedor em particular. Este desligamento é teoricamente possível, mas dificilmente o usuário saberá com uma mínima certeza que teve seus dados apagados. É impossível que o usuário saiba disso, até porque quem oferecerá o relatório comprovando a exclusão dos dados é a própria empresa.[14] De qualquer maneira é uma possibilidade. E derivado deste mesmo problema, temos o Direito ao Esquecimento, mais destinado a figuras públicas mesmo que particulares possam solicitá-lo, em que o indivíduo quer que certos fatos de sua vida – que não são de interesse público – sejam apagados ou, no mínimo, irrastreáveis pelas redes de procura, como a Google. De qualquer maneira, a mínima solicitação do relatório completo sobre os dados que certa empresa tem já é difícil obter.
Assim, o “desligamento” durante o uso já tem suas dificuldades, mas e a recusa antes do uso, a recusa ao discordar dos Termos de uso? O usuário simplesmente não terá como utilizar aquele serviço. É um pacote quase sempre completo em que se recusa e não usa o serviço ou o aceita e concorda tacitamente com todos termos. Raríssimas vezes se dá opções de concordância e mesmo quando há esta hipótese, são pouquíssimos os pontos “optativos” dentro de tantos outros termos. Estes termos são extremamente parecidos com os Contratos de Adesão, referidos como take-it-or-leave-it, em que o aderente só pode aceitar o contrato tal como está ou rejeitá-lo, sem possibilidade de modificá-lo. De acordo com art. 51 do Código de Defesa do Consumidor (CDC), são vedadas disposições contratuais abusivas, tais como: cláusulas que impossibilitem, exonerem ou atenuem a responsabilidade do fornecedor por vícios de qualquer natureza dos produtos e serviços ou impliquem renúncia ou disposição de direitos; cláusulas que subtraiam ao consumidor a opção de reembolso da quantia já paga, nos casos previstos neste código; cláusulas que transfiram responsabilidades a terceiros; cláusulas que estabeleçam obrigações consideradas iníquas, abusivas, que coloquem o consumidor em desvantagem exagerada ou sejam incompatíveis com a boa-fé ou a equidade; cláusulas que deixem ao fornecedor a opção de concluir ou não o contrato, embora obrigando o consumidor; cláusulas que permitam ao fornecedor, direta ou indiretamente, variação do preço de maneira unilateral; e, por fim, cláusulas que autorizem o fornecedor a cancelar o contrato unilateralmente, sem que igual direito seja conferido ao consumidor. Ademais, há casos de abuso quando somente informam o conteúdo do contrato quando este já está aceito ou somente permitem baixá-lo quando o consumidor já se tornou contratante.[15]
Segundo Maria Helena Diniz o contrato eletrônico “é uma modalidade de negócio à distância ou entre ausentes, efetivando-se via internet por meio de instrumento eletrônico, no qual está consignado o consenso das partes contratantes”.[16] Apesar de não adentrarmo-nos às suas classificações (como os contratos de adesão click-wrap agreements e browse-wrap agreements e os termos e condições de uso shrink-wrap agreements), todos eles são marcados por todas as vantagens (simplificação do processo de contratação e eficiência econômica) e desvantagens (desequilíbrio entre as partes e consequente vulnerabilidade dos consumidores), características deste tipo contratual. Os contratos eletrônicos são diferentes dos contratos de adesão pois produzem desequilíbrio ainda maiores entres as partes contratuais, colocando os consumidores em posição de maior vulnerabilidade. De acordo com a professora Dr. Cíntia de Lima, essa desigualdade decorre da: complexidade técnica dos sistemas que efetivam as transações via rede, sobre os quais os usuários usualmente possuem conhecimentos limitados, ao passo que os fornecedores são profissionais com conhecimentos especializados; fornecimento de informações incompletas ao consumidor sobre o produto ou serviço que está sendo transacionado; e limitações impostas à privacidade do usuário para que lhe seja permitido transacionar com os fornecedores, sendo frequentemente necessário que aqueles cedam a estes uma grande quantidade de dados pessoais.[17] Ou seja, os contratos eletrônicos propiciam eficientemente e com baixo custo aos consumidores produtos e serviços, mas ao mesmo tempo há redução do acesso a informações claras, aumento da complexidade das transações – levando à desinformação pelo consumidor – e a consequente diminuição de sua privacidade e segurança.
Em todo o mundo e não só no Brasil, parece ainda não haver entendimento, jurisprudência e nem mesmo direcionamento doutrinário sobre o que poderiam ser as “cláusulas abusivas” no contrato eletrônico e quando há, são críticas mais genéricas sem mostrar no caso concreto como empresas e Estados podem abusar do poder advindo desta espécie contratual.
Mesmo que cláusulas contratuais sejam interpretadas favoravelmente ao consumidor (art. 47, CDC) ou haja o reconhecimento da vulnerabilidade do consumidor (art. 4º, inciso I, Lei n.º 9.008/1995), os fatos acima elencados não desaparecem. Bem verdade que a sanção do Código de Defesa do Consumidor foi criada para coibir as cláusulas abusivas, mesmo que a nulidade de uma cláusula não extinga o contrato, salvo no caso de grande prejuízo para ambas às partes, em que o aderente não precisa aguardar a sentença para deixar de cumprir esta. Mesmo assim, na maioria dos casos na internet, o consumidor “necessita” – uma necessidade social artificialmente criada – adquirir o produto ou o serviço em questão e ele não possui conhecimento técnico, ficando vulnerável e hipossuficiente.
Constatemos: como participar de qualquer outra rede social se não as redes do Facebook, Instagram ou WhatsApp? Se o indivíduo escolhe não utilizá-las, se isolará quase completamente, pois a maioria permanecerá nelas. Isto é bem claro no Facebook e no Instagram ou qualquer outra rede futura que venha a viralizar: não há tantas opções assim se considerarmos que é mais proveitoso estar em redes em que a maioria está. Aplicativos e sites de comunicação são mais fáceis de variar como o WhatsApp ou Telegram e, mesmo assim, é difícil sair destas pois um outro interessado teria que ter esta mesma alternativa e, mesmo tendo, a maioria continuaria nestas principais. Há outros tipos de serviços como de endereços e mensagens eletrônicas como Hotmail (Microsoft), Yahoo e Gmail (Google) ou serviços de nuvem como OneDrive, GoogleDrive e ICloud. Mas mesmo nestes casos, é difícil escolher outros e confiar nas outras alternativas. Outro problema é a questão da “necessidade”. Bem verdade que ninguém precisa estar na rede, ora, é possível viver sem comunicar com ninguém até pessoalmente, quem dirá virtualmente. Mas na realidade fática, aquela que temos que trabalhar, há muito tempo há sim a necessidade de comunicação, especialmente a virtual, e como demonstraremos, há ainda a necessidade de mostrar e dar importância à imagem/simbolização (e menos à palavra). Mediante a necessidade social de comunicação virtual (não é por isso que a maioria tem celular e utiliza as redes sociais e comunicam-se por aplicativos?), há sim a necessidade coletiva que pode vir a ser abusada por entes que detém o poder sobre o meio destas comunicações.
Numa visão liberal, o mercado agiria contra as data breachs ou ataques às suas vulnerabilidades, mas a verdade é que, exceto algumas baixas nas bolsas de valores, estas empresas conjuntamente perdem poucos consumidores. O mercado deveria reagir criando empresas para competir com elas, como bem aconteceu no caso do Facebook em sua época, superando aqui no Brasil o Orkut ou como o WhatsApp fez ao superar o MSN (que era complementar e concorrente às mensagens das operadoras via SMS). Mas estes processos são lentíssimos, deixando os dados à mercê do provedor “ruim” enquanto não é viralizado outro, e quando há uma mudança de rede social ou provedor de e-mail ou de nuvem mais utilizados, outros pouquíssimos, geralmente no máximo cinco da mesma categoria para cada país, serão criados e tomarão conta, permanecendo o problema ainda: as cláusulas desnecessariamente abusivas destes poucos. Ou seja, mesmo que haja, o que acontece raramente e é moroso (geralmente de três a quinze anos, atualmente, para que uma rede bem consolidada seja superada por outra), a superação, ainda serão pouquíssimas e poderosas empresas; troca-se as empresas, mas não os fatos de sua superioridade, além dos Estados, perante o usuário.
Assim sendo, mesmo no ideal mais liberal, que não ocorre perfeitamente e é extremamente moroso, o problema não é solucionado. Demanda-se um conhecimento técnico e investimento inicial tais que a oferta de serviços não é tão grande quanto parece para que o “mercado consiga mitigar o abuso”. O principal problema é que estes serviços demandam adesões coletivas muito grandes, gerando certas monopolizações difíceis de serem superadas e mesmo quando são, os mesmos problemas e o mal manejo de dados permanecem.
Então qual a solução? A ideia do banal empresário “mau” é ultrapassada. O presente autor enaltece a criatividade humana e a iniciativa privada, com todos seus benefícios. É irrisório pensar em qualquer outra solução que sugerisse excluir “empresas” ou qualquer iniciativa criativa das pessoas, como se uma suposta antítese a eles fosse um “socialismo” ou “comunismo”. Também o problema aqui não é o lucro em si. Bem verdade que objetivamente, as empresas só exploram os dados pessoais, muitas vezes a mais do que deveriam, porque querem lucrar com aquilo. Mas o problema não é o lucro em si, ele é só uma representação, um meio como qualquer outro, “a moeda da vez”, que poderia ser tratada como representação das vontades particulares, mensuração das atividades econômicas humanas, medidor da ambição humana quando colocada na prática (pela criação ou especialização), ao ter acesso aos meios possíveis para isso (aqui entrariam os problemas de igualdade de oportunidades, por exemplo). É mérito dessas empresas criarem serviços bem personalizados, ajustados às demandas sociais e de mercado. Essas empresas têm mérito, em algum nível, por terem conquistado o público. A questão também não é essa. O que propomos, portanto, mediante insuficiência e até falta de vontade empresarial de agir de forma diferente do que querer explorar monetariamente tudo ao seu dispor o máximo possível, é alguma forma não de barrar isto, mas controlar quando se trata dos dados pessoais. Controlar para proteger o usuário. Veremos quais ideias que sustentam isto.
A primeira ideia é a já trabalhada necessidade da tutela estatal como todo. Qualquer medida restritiva nesse sentido viria por controle externo, podendo ser realizada pela via administrativa, judicial ou legislativa. A segunda ideia é de o consentimento ter que ser expresso, claro e informado. As opções são limitadíssimas, sempre por Contratos Eletrônicos (de adesão) praticamente idênticos, permitindo que quase tudo seja feito – como compartilhamento para qualquer parceiro comercial – com estes dados, além da “necessidade social” de interagir através dessas redes, muitas vezes até para questão de trabalho e empregabilidade. Então temos um problema aqui, pois, na verdade, não são verdadeiras escolhas. O usuário que quer permanecer conversando com seus amigos, interagir como qualquer ser humano, não tem a opção de sair; o usuário que precisa dessas plataformas para interagir com colegas até dentro do trabalho ou para se exporem para fins de empregos, também não têm muito para onde fugir. Então, será que o consentimento que é expresso, claro e informado é verdadeiramente livre? Acreditamos que não.
Essa aceitação do contrato pelo aderente pode ocorrer de modo tácito ou expresso. Aceitar tacitamente é agir em concordância com aquilo que é exigido no contrato, sem que haja um documento escrito; e aceitar expressamente, é manifestar a concordância em documento escrito. Pelos motivos já elencados, o usuário nem lê a maioria dos contratos eletrônicos e se os lesse, não teria muitas opções para escapar, muito menos para escolher outros serviços em que as cláusulas não sejam igualmente abusivas (ele nem tem conhecimento técnico para entender aqueles termos, quem dirá escolher). O usuário, na imensa maioria das vezes, então, não lendo ou discordando por “espontânea pressão” de mercado e da sociedade, realmente tem escolha? Qual a real utilidade desse consentimento? A verdade é que não há quase utilidade nenhuma, a não ser para o Direito. Ora, se, na “concordância-quase-tácita” do usuário, pode ocorrer abusos e cláusulas abusivas, por que não exigir, por exemplo, que os provedores (de backbone, acesso, hospedagem, conteúdo, informação ou correio eletrônico) não compartilhem esses dados de absolutamente nenhuma forma com terceiros? Que se crie uma categoria específica, por exemplo, de “provedor de conteúdo personalizado” que tem como único objetivo divulgar seus dados pessoal para categorias de empresas e serviços que deseja. Qual é a utilidade real para o usuário que suas informações sejam “compartilhadas por parceiros comerciais”? Não vemos uma verdadeira utilidade nisto, especialmente que justifique os malefícios, a tal “personalização de serviços e ads” definitivamente não compensa, esta escolha deveria ser a regra (e, caso fosse vontade do consumidor, ele escolheria ser a exceção que opta pela personalização de serviços e ads). Com medidas inibitórias como essa, empresas teriam menos interesse de angariar mais dados do que precisa para “personalizar” e memorizar o atendimento ao seu usuário-consumidor, levando até a menos prejuízos decorrentes de eventuais e inevitáveis data breachs.
Juridicamente, o consentimento legitima o contrato, bem verdade, assegurando os direitos e deveres para aqueles contratantes, além de informá-los devidamente e isto é sim benéfico, bom e “útil”. Mas é útil somente em pouquíssimos casos já que a maioria dos aplicativos já vem com estes contratos genéricos. O grande problema que vemos é o grande foco que se dá para que o consentimento seja “expresso, claro e informado”, sendo que não resolve quase nenhum problema prático, ele só inicia um processo ou litígio ao demonstrar que ali havia certa relação (e sua falta não enseja necessariamente a inexistência de uma relação consumerista). São discussões e divagações jurídicas sem grandes utilidades e que não resolvem os problemas práticos advindo do grande poder das poucas empresas vigentes e de suas autonomias desenfreadas para fazerem quase tudo com dados, especialmente se for concordado pelo usuário. Se a maioria dos usuários nem leem os Termos, como pode eles serem informados? Só estão conscientes que são desinformados.
Liberalmente, se os usuários não importam é porque se trata de uma abstração de vontade coletiva, significando que, logo, não há o que preocupar. Tudo aquilo que não haja uma coesão clara, objetiva e organizada da população não merece preocupação e, tampouco, influência estatal. Mas, claro, é um absurdo o Estado nada fazer nestas situações. Guardada as devidas proporções, existem direitos que a pessoa não tem direito de se desfazer mesmo se quisesse, muitos deles são os direitos de personalidade. Por exemplo, na maioria do mundo a pessoa é proibida de abortar, suicidar-se, vender seu sangue ou órgão não-vital. Ou pode ser inibida a retirada de informação/dado pessoal, como nos casos de notoriedade cujas informações são consideradas de interesse público. E é nesse mesmo sentido de proteção ao indivíduo, mesmo que ele não enxergue as consequências de fornecer seus dados quase tacitamente às empresas, é de responsabilidade do Estado protegê-lo e qualquer noção que defenda deixá-lo à mercê da “boa vontade empresarial” é imprudente, antipática e extremamente irresponsável. Há consequências sociais gigantescas advindas de uma suposta permissão às proibições exemplificativas citadas e o Estado não as permite por isto. E também não poderia o Direito deixar a consequência massivamente devastadora do uso arbitrário dos dados pessoas, pelo consentimento, na verdade, tácito que temos hoje nos contratos eletrônicos.
IV. CONSIDERAÇÕES FINAIS
Como vimos, as opções de provedores são limitadíssimas, sempre por Contratos Eletrônicos (de adesão) praticamente idênticos, permitindo que quase tudo seja feito com estes dados. Como o usuário nem lê a maioria dos contratos eletrônicos e se os lesse, não teria muitas opções para escapar, ele não tem uma real escolha. Uma solução seria que estes provedores não compartilhem esses dados de absolutamente nenhuma forma com terceiros já que este compartilhamento sem a anuência do usuário não justifica os malefícios. Juridicamente, o consentimento legitima o contrato, bem verdade, assegurando os direitos e deveres para aqueles contratantes, além de informá-los devidamente. Mas isto não resolve quase nenhum problema prático, ele só inicia um processo ou litígio ao demonstrar que ali havia certa relação com o contrato que os informa, na verdade, que estão conscientes que são desinformados.
O Direito não pode deixar a consequência massivamente devastadora do uso arbitrário dos dados pessoas, pelo consentimento, na verdade, tácito que temos hoje nos contratos eletrônicos. Como bem vimos, o consenso do interessado hoje é muito banal com quase todo aplicativo e website tendo um Contrato de Adesão genérico e quase todo usuário o aceitando sem ler, para em caso de eventual litígio, ele poder entrar na justiça a fim de garantir seus direitos. Portanto, parece ser mais importante a primeira preocupação: a tutela na pertinência do armazenamento, pois é aqui que as empresas e Estados abusam pela margem interpretativa e subjetiva do que seria esta pertinência. E não pode o Direito e o povo deixá-los tratar e utilizar seus dados sem praticamente nenhum limite palpável.
REFERÊNCIAS E NOTAS
[1] “Danos Morais. Spam. Trata-se de ação de obrigação de fazer cumulada com pedido de indenização por danos morais em que o autor alega receber e-mails (spam com mulheres de biquíni) de restaurante que tem show de strip-tease e, mesmo tendo solicitado, por duas vezes, que seu endereço eletrônico fosse retirado da lista de e- mail do réu (recorrido), eles continuaram a ser enviados. Entre os usuários de Internet, é denominada spam ou spammers mensagem eletrônica comercial com propaganda não solicitada de fornecedor de produto ou serviço. A sentença julgou procedente o pedido e deferiu tutela antecipada para que o restaurante se abstivesse do envio da propaganda comercial sob pena de multa diária, condenando-o a pagar, a título de danos morais, o valor de R$ 5 mil corrigidos pelo IPC a partir da data do julgamento, acrescidos de juros de mora, contados a partir do evento lesivo. Entretanto, o TJ proveu apelação do estabelecimento e reformou a sentença, considerando que o simples envio de e- mails não solicitados, ainda que dotados de conotação comercial, não configuraria propaganda enganosa ou abusiva para incidir o Código de Defesa do Consumidor (LGL\1990\40) e não haveria dano moral a ressarcir, porquanto não demonstrada a violação da intimidade, da vida privada, da honra e da imagem. Para o Ministro relator, que ficou vencido, o envio de mensagens com propaganda, quando não autorizada expressamente pelo consumidor, constitui atividade nociva que pode, além de outras consequências, gerar um colapso no próprio sistema de Internet, tendo em vista um grande número de informações transmitidas na rede, além de que o spam teria um custo elevado para sociedade. Observou que não há legislação específica para o caso de abusos, embora existam projetos de lei em tramitação no Congresso. Daí se aplicar por analogia o CDC (LGL\1990\40). Após várias reflexões sobre o tema, reconheceu a ocorrência do dano e a obrigação de o restaurante retirar o autor de sua lista de envio de propaganda, e a invasão à privacidade do autor, por isso restabeleceu a sentença. Para a tese vencedora, inaugurada pelo Min. Honildo de Mello Castro, não há o dever de indenizar, porque existem meios de o remetente bloquear o spam indesejado, aliados às ferramentas disponibilizadas pelos serviços de e-mail da Internet e softwares específicos, assim manteve a decisão do Tribunal a quo. Diante do exposto, a Turma por maioria não conheceu do recurso.” (STJ - REsp 844.736 DF 2006/ 0094695-7, Relator: Min. Luis Felipe Salomão, T4 - Quarta Turma, Data de Julgamento: 27/10/2009, Data de Publicação: DJe 02/09/2009) [2] MARTINS, Guilherme Magalhães. Formação dos contratos eletrônicos de consumo via Internet. 2ª ed. Rio de Janeiro: Lumen Juris, 2010. p. 29-40. [3] MIGALHAS. Informativo Migalhas n. 2.256. 28 out. 2009. Disponível em: <https://www.migalhas.com.br/informativo/2256>. Acesso em: 10 nov. 2020. [4] LEONARDI, Marcel. Responsabilidade Civil dos Provedores de Serviços de Internet. São Paulo: Juarez de Oliveira, 2005. p. 170. [5] PINHEIRO, Patrícia Peck. Direito Digital. 3ª ed. São Paulo: Saraiva, 2009. p. 35. [6] ZANATTA, Leonardo. O Direito Digital e as Implicações Cíveis Decorrentes das Relações Virtuais. Porto Alegre: PUC-RS, 2010. 37 f. Trabalho de Conclusão de Curso (Bacharelado em Ciências Jurídicas e Sociais) – Faculdade de Direito, Pontifícia Universidade Católica do Rio Grande do Sul, Porto Alegre, 2010. p. 12. [7] CHENEY-LIPPOLD, John. We Are Data: Algorithms and the Making of our Digital Selves. New York: New York University Press, 2017. p. 7-19. [8] OBERMEYER, Ziad; POWERS, Brian; VOGELI, Christine; MULLAINATHAN, Sendhil. Dissecting racial bias in an algorithm used to manage the health of populations. Science, 25 out. 2019, Vol. 366, Issue 6464, p. 447-453. [9] CONFESSORE, Nicholas. Cambridge Analytica and Facebook: The Scandal and the Fallout So Far. 04 abr. 2018. Disponível em: <https://www.nytimes.com/2018/04/04/us/politics/cambridge-analytica-scandal-fallout.html>. Acesso em: 20 nov. 2020. [10] COLOMBO, Cristiano; FERREIRA, Natasha Alves; CELLA, José Renato. Da economia do compartilhamento e a proteção de dados pessoais em matéria de aplicativos. p. 9. Disponível em: <https://www.academia.edu/39347989/DA_ECONOMIA_DO_COMPARTILHAMENTO_E_A_PROTE%C3%87%C3%83O_DE_DADOS_PESSOAIS_EM_MAT%C3%89RIA_DE_APLICATIVOS>. Acesso em: 20 nov. 2020. [11] TEIXEIRA, Tarcísio. Direito Eletrônico. São Paulo: Juarez de Oliveira, 2007. p. 132. [12] DONEDA, Danilo. O direito fundamental à proteção de dados. In: MARTINS, Guilherme Magalhães (coord.) Direito privado e internet. 1ª ed. São Paulo: Atlas, 2014. [13] ibid. [14] É mais difícil – quase inexistente o contexto em – que o Estado dê esta autonomia ao indivíduo, dele escolher quais dados pode o Estado guardar sobre ele. [15] MARQUES, Claudia Lima. Confiança no comércio eletrônico e a proteção do consumidor. São Paulo: Ed. RT, 2004. p. 272. [16] DINIZ, Maria Helena. Tratado teórico e prático dos contratos. Vol. 5, 6ª ed. São Paulo: Saraiva, 2006. p. 755. [17] LIMA, Cíntia Rosa Pereira de. Validade e obrigatoriedade dos contratos de adesão eletrônicos (shrink-wrap e click-wrap) e dos termos e condições de uso (browse-wrap): Um estudo comparado entre Brasil e Canadá. São Paulo: USP, 2009. 701 f. Tese (Doutorado em Direito Civil) – Programa de Pós-Graduação em Direito, Faculdade de Direito, Universidade de São Paulo, São Paulo, 2009. p. 347.
Comentários