Fato recente que tem movimentado as redes sociais é a sentença condenatória da Meta a indenizar 29 milhões de usuários do Facebook e do WhatasApp, em decorrência do vazamento de seus dados pessoais nos anos de 2018 e 2019. A sentença, proferida pelo juiz da 29ª Vara Cível da Comarca de Belo Horizonte, condenou a Meta a pagar 20 milhões de reais para o Fundo Estadual de Defesa e Proteção do Consumidor de Minas Gerais, a título de dano coletivo, e o valor entre 5 e 10 mil reais para cada consumidor, mediante a demonstração de que era usuário daqueles serviços à época da exposição dos dados.
No entusiasmo desta decisão, de grande impacto, várias pessoas estão se cadastrando no site do Instituto Defesa Coletiva (autor das ações judiciais), mediante o preenchimento de um formulário, onde informam diversos dados pessoais, para o recebimento da indenização.
Contudo, a coleta destes dados pelo Instituto neste momento carece de conformidade com a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).
Com efeito, a coleta e o armazenamento de dados são operações de tratamento de dados pessoais e dispõe a LGPD que informações pessoais só podem ser objeto de tratamento para finalidades legítimas, específicas, explícitas, informadas ao titular dos dados, sendo vedado qualquer tratamento posterior destes dados que não seja compatível com a finalidade original.
O Comitê Europeu de Proteção de Dados, no exercício da sua competência de educar e orientar as pessoas no que tange ao direito à proteção de dados pessoais, esclarece que a finalidade apta a justificar uma operação de tratamento de dados deve corresponder a um propósito certo, concreto e atual, não atendendo à exigência legal finalidades abstratas, incertas e futuras.
Este deve ser também o entendimento em relação à Lei Geral de Proteção de Dados do Brasil, que é inspirada no Regulamento Geral de Proteção de Dados da União Europeia, mas não somente por esta razão. A compreensão da dinâmica interna do regime jurídico de proteção de dados instituído pela LGPD também conduz à mesma conclusão.
Afinal, para se alcançar determinada finalidade, devem ser utilizados apenas os dados efetivamente necessários, impondo-se sempre a eleição do modo menos gravoso ou intrusivo dos direitos e liberdades dos titulares dos dados.
Uma finalidade futura e incerta não sustenta uma justificativa de necessidade para a coleta imediata de dados pessoais. E é esta a questão em causa, quando se observa o cadastramento precoce de dados para uma eventual e futura execução de sentença.
A decisão que deu origem a estes cadastramentos é ainda sujeita a recurso para o Tribunal de Justiça, com devolução da análise de mérito, de modo que a decisão pode sofrer alteração no seu conteúdo. Isto faz com que a fase de execução da sentença, onde os valores seriam efetivamente pagos, seja ainda uma probabilidade. Mas ainda que se pudesse considerar que seja uma grande probabilidade, não há estimativa de prazo para que tenha início tal procedimento executório, o que faz com que os dados dos usuários, coletados neste momento, permaneçam armazenados no Instituto Defesa Coletiva por tempo indeterminado, para uso eventual e futuro.
A própria
página do formulário informa que o cadastramento dos dados é para “se habilitar na lista de espera da execução que será ajuizada pelo Instituto Defesa Coletiva em momento oportuno.”
Além disso, não há qualquer informação acerca do modo de tratamento destes dados, de eventual compartilhamento com terceiros, prazo, tampouco como o titular pode exercer os seus direitos, além de não informar o Encarregado de Dados, nem disponibilizar uma política de privacidade, apesar de exigir a marcação de uma caixinha consentindo com tal política, cujo suposto botão de acesso desmarca a caixinha do consentimento, quando acionado (acesso em 04/08/2023).
Esta situação é frontalmente contrária a toda a lógica do regime jurídico da proteção de dados pessoais. Considera-se que a existência, no banco de dados, de informações de caráter pessoal que não estejam direcionadas para nenhuma finalidade atual, viola o princípio da necessidade ou da minimização de dados e eleva desnecessariamente o grau de risco da atividade de tratamento de dados, sujeitando os respectivos titulares ao desnecessário risco de ter os seus dados vazados ou usados indevidamente.
Uma conduta menos intrusiva, com vistas ao mesmo propósito, seria, por exemplo, coletar apenas o primeiro nome e o e-mail do consumidor, para o fim de contactá-lo quando do momento da execução da sentença, para que então ele, caso tenha interesse, forneça, somente neste momento, os dados necessários para a execução.
Entretanto, importa ainda mencionar que a sentença condenatória, proferida em ação coletiva no âmbito do direito do consumidor, pode ser executada individualmente, em processo promovido diretamente pela vítima ou seus sucessores, conforme preceitua o art. 97 do Código de Defesa do Consumidor, não havendo necessidade de que a execução se faça no âmbito coletivo, nem por representação da entidade que ajuizou a ação coletiva.
