Você com certeza conhece o ditado “de grão em grão, a galinha enche o papo”. Vale dizer que o ditado faz sentido também na área da privacidade e da proteção de dados. E se você é desta área, especialmente com background jurídico, vale a pena ler o que está ocorrendo na Europa neste momento e se preparar para o que pode ocorrer no Brasil no futuro.
Para quem não sabe, o Artigo 82 do Regulamento Geral sobre a Proteção de Dados (“RGPD”) diz, em seu nº 1, que “qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indenização do controlador ou do operador pelos danos sofridos.”
No passado, os tribunais europeus só concediam danos imateriais se uma violação da lei de proteção de dados tivesse levado a uma violação concreta, não apenas insignificante ou percebida, dos direitos pessoais em casos individuais.
No entanto, algumas decisões recentes – especialmente as dos tribunais trabalhistas – mostram uma tendência diferente. Em processos judiciais por danos sob o Art. 82 do RGPD, o denominador comum decisivo tem sido o que exatamente deve ser entendido como dano imaterial.
Quanto mais os tribunais interpretam o conceito de dano imaterial em uma perspectiva mais ampla, mais os titulares de dados podem fazer reclamações correspondentes após violações de dados e outras violações (reais ou alegadas) ao RGPD.
Além disso, os prestadores de serviços jurídicos e advogados de contencioso e de consumo podem intentar ações por danos imateriais sob o Art. 82 do RGPD. Em consequência, nos últimos meses tem havido uma tendência de um número maior de reclamações por danos imateriais no caso de violações ao RGPD.
Alguns tribunais também assumem que os danos a serem concedidos aos demandantes devem ter um efeito dissuasor ou ser de valor dissuasivo para o agente de tratamento. Este fato pode ter consequências financeiras e outras significativas para as empresas que tratam dados pessoais de um número elevado de titulares.
Dois casos – ambos da Alemanha – ilustram o gradativo aumento do nível de risco para as empresas: o LG Heidelberg, 16.03.2022 – 4 S 1/21 e o LG München I, 20.01.2022 – 3 O 17493/20.
No primeiro caso, em 30 de abril de 2019 o titular recebeu um e-mail publicitário do contralador em seu endereço de e-mail profissional. No e-mail foi anunciado um curso promovido pelo controlador. O reclamante não havia pedido para receber este tipo de publicidade nem consentido em recebê-la. O titular se opõe a tais envios em um e-mail datado de 30 de abril de 2019 e advertiu o réu, fixando o prazo de 30 de maio de 2019 para o apagamento de seus dados. Em 3 de junho de 2019, o réu enviou ao reclamante outro e-mail publicitário para este curso.
Após interpretar a reivindicação do titular, a Corte decidiu que ele tem razão em sua reivindicação com base no nº 1 do Art. 82 do RGPD e que deveria receber uma indenização no valor de 25 euros (equivalente a R$ 125 em 19 de abril de 2022). O titular sofreu danos imateriais porque teve que lidar com os e-mails publicitários indesejados recebidos, determinar sua origem, escrever ao controlador pedindo informações e ainda teve de apagar os e-mails indesejados.
No segundo caso, o titular apresentou uma medida cautelar contra o controlador devido à transmissão dos seus endereços IP ao Google. A divulgação não autorizada do endereço IP dinâmico do titular pelo controlador à Google constitui uma violação do direito geral de personalidade na forma do direito à autodeterminação informativa.
Vale lembrar que na Europa os endereços IP dinâmicos constituem dados pessoais. Isto porque o controlador do site tem meios legais abstratos que poderiam ser razoavelmente utilizados para que o titular seja identificado a partir dos endereços IP armazenados com a ajuda de terceiros, ou seja, a autoridade competente e o provedor de acesso à Internet. Portanto, o uso de serviços de fontes como o Google Fonts não pode ser baseado no legítimo interesse por parte do controlador, uma vez que o uso das fontes também é possível sem uma conexão dos visitantes aos servidores do Google. Por tal motivo a Corte decidiu que os danos imateriais são claros neste caso.
Poder-se-ia questionar se um limiar de materialidade deve ser atingido ou excedido e se o dano poderia ser chamado de dano menor. Porém, aqui não houve dúvidas pela Corte, e isto porque o endereço IP não foi transmitido apenas uma vez. A interferência associada aos direitos gerais de personalidade e a perda de controle sobre os dados pessoais do titular para o Google, uma empresa conhecida por coletar dados sobre seus usuários, causou desconforto individual ao titular para que os danos fossem justificados.
Por fim, foi também levado em consideração que o endereço IP foi transmitido a um servidor da Google nos EUA, o que implica em transferências internacionais de dados pessoais, embora um certo nível de proteção de dados não seja garantido pelos EUA e a responsabilidade decorrente do Art. 82 deva impedir violações por meio de incentivos e medidas de segurança. Por tais motivos, a Corte acreditou que o valor dos danos reclamados (100 euros – equivalente a R$ 502 em 19 de abril de 2022) seja adequado à gravidade complicada e à duração da infração.
Você pode estar pensando que estes valores são baixíssimos para uma grande empresa, mesmo quando convertidos para reais. De maneira genérica, “qualquer empresa” consegue pagar esta indenização.
O problema, no entanto, não está no valor, mas sim no reconhecimento de danos imateriais por questões “simples” – e esta frase não é uma crítica às decisões. A questão que gera risco às empresas é esta: quando apenas um titular reclama, o valor é baixo. Mas se uma empresa tiver de responder a milhares, ou mesmo milhões de titulares, o valor com certeza aumentará consideravelmente. E vale lembrar que aqui não estamos falando de multas aplicadas pela Autoridade de Proteção de Dados, que têm um limite, mas sim de indenizações decididas pelo poder Judiciário.
É por este motivo que indiquei no início deste texto: “de grão em grão a galinha enche o papo”. Ou, neste caso, de indenização em indenização a empresa poderá sofrer prejuízos vultosos – tudo dependerá do nível de maturidade dos cidadãos a respeito da proteção de dados.
Você concorda com esta ideia do “de grão em grão…”? O que você fez hoje para aumentar o nível de maturidade em privacidade dos seus amigos e conhecidos? Sua empresa está preparada para arcar com indenizações e com a perda de confiança dos seus usuários/consumidores? Deixe sua opinião logo abaixo nos comentários!
