Blog

Indenizações por tratamento ilegal de dados: como tornar esse modelo eficaz?

Escrito por

25 de março de 2024

Neste texto, procuro discutir um pouco sobre a eficácia de decisões judiciais determinando indenizações para pessoas afetadas por vazamentos de dados.

Recentemente, o TikTok foi condenado judicialmente a pagar indenizações de caráter coletivo e individual, em decorrência de ter tratado de maneira ilícita dados pessoais de natureza biométrica pertencentes a pessoas usuárias da plataforma. Neste texto, vou apresentar um resumo da decisão – que parece ser parte de uma tendência jurisprudencial no Brasil – e discutir a eficácia prática das indenizações nela previstas, analisando se, de fato, as pessoas afetadas por atividades ilegais de tratamento de dados têm alguma perspectiva de obter suas devidas reparações de danos. Vem comigo!

Tratamento ilegal de dados: TikTok e dados biométricos

Em março de 2024, o Tribunal de Justiça do Maranhão (TJMA) proferiu uma decisão judicial condenando o TikTok a pagar uma indenização de R$23 milhões a título de danos coletivos e, adicionalmente, de R$500 a cada pessoa que utilizou a rede social no Brasil até junho de 2021. A decisão ocorreu em um processo ajuizado pelo Instituto Brasileiro de Estudo e Defesa das Relações de Consumo (IBEDEC), no qual foi alegado que a rede social realizava o tratamento de dados pessoais biométricos de todas as pessoas que utilizavam a função de câmera do app, sem a devida transparência sobre essas práticas.

Mais especificamente, os dados pessoais em questão dizem respeito à biometria facial, necessária para fazer funcionar os filtros existentes no TikTok. Para que esses filtros funcionem e se alinhem adequadamente às características faciais de cada pessoa, é necessário realizar um escaneamento das feições de quem aparece na câmera do app, para que só então o filtro seja sobreposto. Trata-se de uma tecnologia que denominamos de realidade aumentada (AR), subespécie da realidade estendida (XR) – caso queira saber mais detalhes sobre isso, o IRIS já realizou um estudo extenso sobre a proteção de dados pessoais em tecnologias de XR, e minha colega Rafaela Ferreira publicou também um post sobre essas terminologias no blog do instituto.

Por envolverem esse escaneamento de feições faciais, os filtros do TikTok (bem como funcionalidades similares de outras redes sociais) utilizam-se de dados pessoais de natureza sensível – ou seja, dados pessoais que recebem uma proteção legal reforçada, devido aos riscos envolvidos no seu tratamento. O uso dessas informações, por si só, não representa um problema, mas o tratamento de dados dessa natureza deve ser realizado em estrita observância de uma série de exigências legais previstas na Lei Geral de Proteção de Dados Pessoais (LGPD). Essas exigências incluem, no caso em questão, obrigações de transparência sobre a existência dessas atividades de tratamento, bem como a obtenção do consentimento de titulares de dados para que o tratamento seja legítimo.

O que ocorreu no caso em pauta foi que o uso desses dados pessoais faciais não constou na política de privacidade do TikTok até junho de 2021 – ou seja, não houve transparência sobre o uso de dados biométricos no aplicativo e, consequentemente, inexistiu também o consentimento das pessoas submetidas a esse tratamento. Nesse sentido, o juiz da causa decidiu pela condenação, entendendo que no caso houve lesão a direitos coletivos e individuais das pessoas afetadas pelas práticas da rede social.

Tratamento ilegal de dados: tendências jurisprudenciais

Essa decisão parece compor uma tendência jurisprudencial que está em formação no Brasil. Ao longo dos últimos anos, casos similares têm ganhado notoriedade em noticiários país afora.

Pode-se citar, a título de exemplo, uma outra decisão proferida pelo TJMA, na qual o Zoom e o Facebook também foram condenados a pagar indenizações de caráter coletivo e individual, em decorrência de um compartilhamento ilegal de dados que ocorreu entre ambas as empresas. A indenização individual, no caso, também foi de R$500 e se estendeu a todas as pessoas que utilizam o iOS – posto que esse compartilhamento indevido ocorreu apenas na versão do Zoom para os celulares da Apple.

Adicionalmente, em julho de 2023, o Tribunal de Justiça de Minas Gerais (TJMG) condenou a Meta, em duas ações civis públicas, por um vazamento de dados pessoais que ocorreu em seus servidores. O vazamento afetou pessoas que utilizavam o Facebook, o Messenger e o WhatsApp entre 2018 e 2019 e, de forma similar aos casos anteriormente apontados, a condenação incluiu indenizações de cunho coletivo e individual – totalizando respectivamente R$10 milhões para fundos de direitos coletivos e R$5.000 para cada pessoa que utilizou os serviços da Meta entre 2018 e 2019.

A teoria vs. A prática

Superada essa relativamente extensa apresentação do tema, passemos ao tópico principal do texto: a eficácia prática das decisões judiciais aqui apresentadas e de jurisprudências similares. Na teoria, essas decisões fazem total sentido. Refiro-me aqui à estipulação de indenizações tanto de caráter coletivo quanto individual.

Isto porque a proteção de dados pessoais é desde 2022 considerada um direito fundamental no Brasil, tendo sido inserida no rol do artigo 5º da Constituição Federal através da PEC nº 17/2019. Nesse sentido, é natural considerar que o descumprimento em larga escala de previsões relativas à essa disciplina jurídica – como ocorre quando as práticas de uma grande plataforma digital estão em desconformidade com a lei – enseja danos de natureza coletiva para a população brasileira, afinal trata-se de serviços ampla e publicamente disponíveis que expõem a risco a totalidade das pessoas brasileiras.

Concomitantemente, também faz sentido pensar em reparações individuais às pessoas afetadas diretamente por esses tratamentos ilegais de dados – afinal, a exposição ao tratamento ilegal de dados pessoais causa também riscos e prejuízos a nível individual a essas pessoas. Nesse sentido, ao menos em teoria, a dupla condenação parece uma forma eficaz de indenização para as partes afetadas em atividades de tratamento de dados inadequadas.

Contudo, o problema prático de eficácia surge quando refletimos sobre o rito que as pessoas precisam seguir para obter suas indenizações individuais. Para acessar tal reparação, as pessoas afetadas por um tratamento ilegal de dados devem, uma a uma, acionar o Judiciário e requerer seus direitos. Os problemas desse modelo, como se pode imaginar, são diversos.

Os diversos problemas desse modelo

Antes de mais nada, é importante reconhecer que o primeiro obstáculo para se obter uma indenização dessa natureza através do Judiciário é nada menos do que o acesso ao Judiciário em si. Isto porque ingressar em um processo judicial exige a constituição de um representante legal, o pagamento de taxas e honorários, entre diversas outras etapas burocráticas que, analisando-se de forma realista, não são acessíveis a uma parcela significativa da população brasileira.

Superada essa barreira inicial, outro ponto de complicação no modelo de requerimento judicial de indenizações pelo tratamento ilegal de dados diz respeito à própria constatação, por parte das pessoas afetadas, de que elas têm o direito a essas indenizações. Isto porque, na maioria das vezes, o tratamento ilegal de dados ocorre sem a ciência das pessoas afetadas. Adicionalmente, nem todos os casos dessa natureza recebem a devida cobertura midiática, e – por óbvio – não há cabimento em esperar que todas as pessoas no Brasil acompanhem notícias sobre o dia a dia do Poder Judiciário nacional.

Superados todos esses obstáculos – que por si só devem barrar a vasta maioria das pessoas que poderiam exigir as referidas indenizações –, temos ainda a questão importante do cálculo de viabilidade de se ingressar no Judiciário. Em casos em que a indenização é potencialmente maior para as pessoas afetadas, como o do TJMG, esse cálculo é um pouco mais fácil; contudo, em situações como as dos casos do TJMA, nos quais a reparação é de valor menos expressivo, é razoável que uma pessoa afetada pelo tratamento ilegal abstenha-se de pleitear seus direitos, pensando que os custos para contratação de representantes legais e taxas judiciais podem facilmente superar o valor obtido com a reparação judicial.

Tudo isso sem contar com o risco de negativa do pedido de indenização. Afinal, a concessão desses valores depende de apreciação judicial e do proferimento de decisão favorável às pessoas que pleiteiam esse direito, mediante comprovação de que a pessoa se enquadra entre as lesadas pelo tratamento ilegal. Complicações adicionais no Judiciário envolvem, ainda, a necessidade de ajuizamento de novas ações, individuais e independentes das ações civis públicas inicialmente ajuizadas, para que as indenizações sejam aprovadas – isso, inclusive, já aconteceu nos processos do TJMG referenciados neste texto.

A necessidade por modelos eficazes de reparação

Como se pode observar, o modelo que temos hoje para reparação de danos individuais causados pelo tratamento ilegal de dados pessoais apresenta uma série de defeitos que, em suma, anulam de forma quase completa sua efetividade. Escrevi este texto não porque tenho uma solução para todos esses problemas – não tenho –, mas sim para evidenciar todas essas barreiras que colocam em risco o direito da população brasileira em obter a devida reparação por danos concretos aos quais é submetida. O objetivo, enfim, é o de fomentar um debate qualificado sobre modelos mais eficazes e adequados para a efetivação desses direitos – modelos estes que não tornem impeditivo o acesso à reparação de danos pelo tratamento ilegal de dados pessoais.

O debate aqui apresentado – vale pontuar – é apenas mais um entre as diversas discussões hoje existentes sobre os modelos adequados de responsabilização civil e indenizações dentro da temática da proteção de dados. Se você se interessou pela pauta, deixo o convite para conferir também o texto que meu colega Paulo Rená publicou no blog do IRIS acerca de uma outra controvérsia relativa a esse tema. O texto pode ser acessado através deste link.

Escrito por

Victor Vieira é bacharel em Direito pela Universidade Federal de Minas Gerais (UFMG) e pós-graduando em Proteção de Dados Pessoais pela Pontifícia Universidade Católica de Minas Gerais (PUC Minas). É pesquisador e encarregado de proteção de dados pessoais no Instituto de Referência em Internet e Sociedade (IRIS) e advogado. Membro e certificado pela International Assosciation of Privacy Professionals (IAPP) como Certified Information Privacy Professional – Europe (CIPP/E).

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *