A (i)legalidade de sites que divulgam dados pessoais
27 de maio de 2015

Recentemente, o site “Nomes Brasil” permitiu a consulta do CPF e outros dados de uma grande parte da população brasileira. Não havia nenhuma restrição de acesso ou limitação de conteúdo. Bastava digitar o nome e verificar se os dados constavam na base de dados online. A página foi retirada do ar pelos provedores de hospedagem após notificação da Secretaria Nacional do Consumidor do Ministério da Justiça, por meio do Departamento de Proteção e Defesa do Consumidor (DPDC). O órgão considerou indevida a veiculação de tais dados sem o conhecimento e a autorização dos seus titulares, e baseou seu entendimento no Código de Defesa do Consumidor e no Marco Civil da Internet. Mas será que estas leis realmente vedam a veiculação destes dados?

Antes de mais nada, é importante esclarecer que, sim, a publicidade de dados pessoais e outras informações particulares da forma como foram expostas no site “Nomes Brasil” é indevida, com base, simplesmente, no direito fundamental à privacidade previsto na Constituição Federal de 1988.

Adapt Link Internet - Black Friday

Todavia, a questão demanda uma análise contextual, com base, principalmente no potencial risco de uso das informações constante do site para fins de fraude e eventuais danos aos seus titulares.

O Código Civil estabelece em seu Art. 12 que “pode-se exigir que cesse a ameaça, ou a lesão, a direito da personalidade (…)”. O direito à privacidade engloba diversos outros relacionados à personalidade, como o direito à intimidade, honra e imagem. Desta forma, uma vez que a veiculação não autorizada de dados pessoas potencialmente permite a má utilização destes para práticas como a criação de identidades falsas, pode o titular exigir que referida publicidade cesse, e inclusive se valer do judiciário para tanto, se necessário.

Somado a isso, um ponto importante quanto à possível ilicitude é o previsto no artigo 43 do CDC, que trata sobre bancos de dados consumeristas, pois não é de conhecimento público a origem dos dados veiculados na página e se houve comunicação ao consumidor quando da inserção dos seus dados em um banco estruturado. Dispõe o artigo 43 do CDC que é imprescindível a comunicação do usuário quando da abertura de cadastro, ficha, registro e dados pessoais, conforme § 2º do mesmo artigo, verbis:

“Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.

(…)

§ 2º A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.”

O Prof. Rizzato Nunes explica que essa previsão foi feita em razão do disposto no artigo , inciso X, da Constituição Federal, visando a proteção da privacidade do consumidor:

“muito embora a ênfase e a discussão em torno das regras instituídas no art. 43 recaiam nos chamados cadastro de inadimplentes dos serviços de proteção ao crédito, a norma incide em sistemas de informação mais amplo. Todo e qualquer banco de dados de arquivo de informações a respeito de consumidores – pessoas físicas ou jurídicas – está submetido às normas do CDC. (…) A norma do § 2º é expressa e clara, não deixando margem de dúvida: “a abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele”. É garantia que decorre diretamente do texto constitucional de preservação de privacidade do consumidor (art. , X, da CF). Vale tanto para a abertura de cadastros ditos positivos quanto negativos.”

O art. 43 do CDC determina que o consumidor deve apenas ser informado – e não necessariamente autorizar – quando da criação e/ou inserção de seus dados em uma base de dados. Não existiria na lei vedação expressa a transferência dessa base de dados ou a sua utilização por terceiros. No caso do site sob comento, o usuário pode, eventualmente, ter sido informado da inserção dos seus dados na base de dados original e esta ter sido adquirida pelo responsável pelo site, que estaria possivelmente utilizando-a sem violar expressamente o Código Consumerista. Todavia, o CDC não pode ser interpretado isoladamente.

A portaria nº 5/2002, da Secretaria de Direito Econômico do Ministério da Justiça, que complementou o elenco de cláusulas abusivas constantes do art. 51 do CDC, considerou abusiva qualquer disposição que:

I – autorize o envio do nome do consumidor, e/ou seus garantes, a bancos de dados e cadastros de consumidores, sem comprovada notificação prévia

II – imponha ao consumidor, nos contratos de adesão, a obrigação de manifestar-se contra a transferência, onerosa ou não, para terceiros, dos dados cadastrais confiados ao fornecedor

III – autorize o fornecedor a investigar a vida privada do consumidor

O que a portaria, na prática, implementa, é o instituto do consentimento. Não basta o consumidor ser informado que seus dados serão inseridos em uma base de dados, como determina o art. 43. É necessária a sua autorização para que seus dados sejam transferidos para terceiros. No contexto sob exame, mesmo se a página “Nomes Brasil” esteja utilizando uma base de dados adquirida legitimamente, esta transferência teria que ser autorizada pelos titulares dos dados consumeristas. Portanto, é possível inferir que o fato de muitas pessoas terem ficado surpresas e chocadas ao verificarem que seus dados estavam disponíveis para qualquer um que os procurasse demonstra que não houve consentimento.

Quando a esfera da administração pública, que originalmente confere os CPFs aos seus titulares, esta requer exigências mais rígidas do que a esfera das relações meramente privadas, com base no mandamento constitucional do art. 37 da CF/88. A administração pública é adstrita ao previsto em lei. A esfera privada pode fazer o que não estiver vedado por lei.

Nesse contexto, o site da Receita Federal traça o procedimento que entidades públicas devem seguir para a disponibilização de dados, havendo inclusive Instruções Normativas expressamente tratando sobre isso. Destaco os trechos mais relevantes:

IN Nº 19

Art. 1o Esta Instrução Normativa disciplina os procedimentos de fornecimento de dados cadastrais e econômico-fiscais da Secretaria da Receita Federal – SRF, a outras entidades.

Art. 2o O atendimento a solicitações de fornecimento de dados cadastrais da SRF, efetuadas por outras entidades, será executado pela Coordenação-Geral de Tecnologia e de Sistemas de Informação – COTEC, ou por suas projeções regionais ou locais.

§ 1o O fornecimento de dados fica limitado àqueles constantes de cadastro de domínio público e que não informem a situação econômica ou financeira dos contribuintes.

§ 2o Consideram-se de domínio público os dados das pessoas físicas ou jurídicas, que, por força de lei, devam ser submetidos a registro público.

Art. 4o O fornecimento de dados a instituição de direito privado somente será efetivado quando a informação for indispensável, em virtude de lei, ao exercício de suas atividades.

IN Nº 20

Art. 8o O fornecimento eventual com acesso on line às bases de dados somente poderá ser realizado por intermédio da COTEC ou DITEC/SRRF.

Art. 9o O fornecimento continuado com acesso on line às bases de dados será efetuado mediante credenciamento de usuários do órgão ou da entidade interessados no Sistema de Entrada e Habilitação – SENHA, da SRF, observado para este fim o disposto na Portaria SRF No 782, de 20 de junho de 1997.

Parágrafo único. O acesso às bases de dados da SRF, na forma deste artigo, fica condicionado à reciprocidade de tratamento em relação às bases de dados fiscais do órgão convenente, salvo se a SRF abdicar expressamente dessa prerrogativa.

Com base nisso, analisando o que consta do site da própria Receita, seria possível construir a tese de que essas informações não são públicas:

50. EXISTE A POSSIBILIDADE DE PESQUISAR O NÚMERO DO CPF, ATRAVÉS DO SITIO DA RECEITA FEDERAL?

Não. Tente localizar o número em algum outro documento, cheque, contrato, etc. Se não conseguir, pode-se obter o número do CPF em uma unidade de atendimento da Receita Federal do Brasil.

Todavia, as instruções normativas dizem respeito ao acesso aos dados cadastrais e econômico-fiscais presentes nos bancos de dados da Receita Federal. Ou seja, um acesso direto aos bancos de dados ou a transferência destes dados, por parte da Receita, para entidades privadas. Os dados cadastrais e econômico-fiscais como o CPF podem também ser obtidos de outras fontes, como diretamente de uma empresa privada, de sistemas de busca na Internet, ou mesmo de um camelô na Santa Efigênia. Salvo maior juízo, estes bancos de dados não estariam sujeitos às instruções normativas mencionadas acima.

Portanto, é possível afirmar que os dados de CPF e outros afins são, sim, dados públicos. Todavia, existe a diferença entre o que é público e o que publicamente acessível por qualquer pessoa. Por exemplo, até pouco tempo, os salários de funcionários públicos não podiam ser publicados em sites governamentais, inobstante serem dados públicos. Agora estes são públicos e publicamente acessíveis (ou pelo menos deveriam ser). Entretanto, dados públicos também podem ter natureza pessoal, o que deve conferir aos seus titulares controle sobre a sua divulgação e coleta, caso não haja previsão em lei determinando a publicidade.

O CPF é um dado pessoal público que confere ao seu titular o direito a controlar a sua divulgação caso o contexto possa violar, entre outros, o seu direito à privacidade ou ameaçar algum outro direito, como eventual dano econômico oriundo, e. G., da criação de uma identidade falsa. Todavia, nem a CF/88, nem o CDC, nem o Código Civil e o Marco Civil da Internet conferem ao cidadão todas as ferramentas necessárias para o controle dos seus dados pessoais. Por isso que atualmente se discute o Anteprojeto de Proteção de Dados Pessoais.

Referido Anteprojeto visa discutir regulação que pretende estabelecer um regime legal abrangente de proteção de dados pessoais. Esta norma pretende conferir ao cidadão meios para controlar efetivamente o que é feito com seus dados pessoais, ao mesmo tempo que estabelece parâmetros jurídicos seguros para o processamento de dados pessoais, base da economia digital em que vivemos atualmente. Caso referida legislação já estivesse em vigor, em tese, os titulares de dados teriam formas efetivas de combater e evitar que seus dados pessoais, como os expostos pelo “Nomes Brasil”, sejam utilizados de forma indevida e não autorizada. Situações como estas e muitas outras devem servir de incentivo para continuarmos discutindo ativamente o futuro da proteção de dados pessoais no Brasil.

dados pessoais

Área de comentários

Deixe a sua opinião sobre o post

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Comentário:

Nome:
E-mail:
Site: