LGPD Primeira ação pública por tratamento ilegal de dados Pessoais

LGPD Primeira ação pública por tratamento ilegal de dados Pessoais. MPDFT torna pública a primeira ação baseando-se na LGPD, referente ao tratamento e comercialização de dados pessoais de forma irregular. Ferindo assim os artigos 2, 7 e 44 da Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais.

Ministério Público do Distrito Federal e Territórios – MPDFT ofereceu a primeira ação civil pública com pedido de tutela, baseada na Lei Geral de Proteção de Dados Pessoais, nesta segunda-feira, 21 de agosto. A lei, que entrou em vigor na sexta-feira, enquadra como lesiva a conduta de uma empresa sediada em Belo Horizonte (MG).

O MPDFT, por sua Unidade de Proteção de Dados e Inteligência Artificial – Espec, ajuizou ação pública contra a empresa Infortexto Ltda com fundamento na Constituição Federal, Código de Defesa do Consumidor, Lei Geral de Proteção de Dados Pessoais e Lei da Ação Civil Pública, por vender indiscriminadamente e de forma maciça dados pessoais através do site intitulado “lembrete digital” que se encontra no domínio da loja proprietária lojainfortexto.com.br. Acredita-se que só em São Paulo, 500 mil pessoas nascidas no município tenham sido expostas indevidamente. Foram identificadas vítimas em todas as unidades da Federação.

O site da empresa oferece, por exemplo, dados segmentados por profissões, como cabeleireiros, corretores, dentistas, médicos, enfermeiros, psicólogos, entre outros. Os “pacotes” eram vendidos de R$ 42 a R$ 212,90.

Por causa do prejuízo supraindividual que a atividade pode causar, o MPDFT requereu à Justiça o pedido de tutela liminar de urgência. Isso porque, pela LGPD, o tratamento dado às informações cadastrais foi totalmente irregular e pode gerar prejuízos aos titulares. A ação destaca ainda que o direito à intimidade, à privacidade e à imagem, garantidos pela Constituição Federal, foi violado.

O MPDFT pede que a empresa se abstenha de divulgar, de forma paga ou não, os dados pessoais das vítimas. Além disso, solicita o congelamento imediato do domínio do site em que é feita a comercialização, até que haja julgamento pela Justiça

Resumo da Ação Pública

Devido a ser um domínio com.br a ação envolve também o Nic.br, mas a ação cita que “optou-se por colocar o NIC.BR no polo passivo da presente demanda diante da dificuldade de se impor uma obrigação judicial a parte não integrante do processo. Importante frisar que não há qualquer conduta ilegal imputada ao NIC.BR.” . O MPDFT pede que o Nic.br “congele” o domínio lojainfortexto.com.br até sentença final deste juízo.

O MDPFT menciona eque através do site é possível obter dados de 500.000 (quinhentas mil) pessoas naturais da cidade de São Paulo, consistentes em nomes; e-mails, endereços postais ou contatos para SMS, bairro, Cidade, Estado e CEPs.

“Pelo site é possível adquirir dados pessoais segmentados por profissões, tais como cabelereiros, contadores, corretores, dentistas, engenheiros, médicos, veterinários, enfermeiros e psicólogos de todos os entes federativos. Ou seja, uma exposição generalizada que chega à cifra de milhões de titulares de dados pessoais impactados em todos os entes federativos.”, afirma o MPDFT.

Verificando o domínio lojainfortexto.com.br, através do “Whois” o ministério público verificou que o site tem como titular a Infortexto Ltda.

Em seu texto o MPDFT cita que a “presente Ação Civil Pública tem por objetivo proteger as informações dos titulares de dados pessoais, cujos dados estão sendo comercializados indevidamente pela empresa Infortexto LTDA.” e que a “ação tem um formato preparatório de uma futura ação civil pública por reparação de danos coletivos”, citando como base:

Constituição Federal de 1988

Art. 129. São funções institucionais do Ministério Público:
…
III – promover o inquérito civil e a ação civil pública, para a proteção do patrimônio público e social, do meio ambiente e de outros interesses difusos e coletivos;

O Código do Consumidor

Art. 81. A defesa dos interesses e direitos dos consumidores e das vítimas poderá ser exercida em juízo individualmente, ou a título coletivo.
Parágrafo único. A defesa coletiva será exercida quando se tratar de:
I – interesses ou direitos difusos, assim entendidos, para efeitos deste código, os transindividuais, de natureza indivisível, de que sejam titulares pessoas indeterminadas e ligadas por circunstâncias de fato;

LGPD – Lei Geral de Proteção de Dados Pessoais

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
…
§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.

Como já vimos em outras ações do MPDFT e informado por diversas vezes aqui no Blog Minuto da Segurança, a privacidade já é regulada em outros instrumentos federais aos quais a LGPD apenas unifica e complementa ao ato regulatório. Na ação o MPDFT menciona explicitamente que “no Brasil, a tutela jurídica da privacidade, inclusive dos dados pessoais, está prevista na Constituição Federal, que classifica a inviolabilidade da vida privada como direito fundamental. Em âmbito infraconstitucional, a privacidade tem status de direito da personalidade:”

Artigo 5º da Constituição Federal. Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:
…
X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;

“A proteção dos dados pessoais decorre da tutela constitucional de proteção à vida privada e à intimidade, consubstanciado no controle que o cidadão possui sobre seus próprios dados pessoais.”, afirma. o MPDFT afirma que a ação deve ser “considerada conjuntamente com a legislação infraconstitucional , a fim de possibilitar uma proteção efetiva dos dados pessoais dos brasileiros.” e cita:

Código Civil

Art. 11 Com exceção dos casos previstos em lei, os direitos da personalidade são intransmissíveis e irrenunciáveis, não podendo o seu exercício sofrer limitação voluntária.

Art. 20. Salvo se autorizadas, ou se necessárias à administração da justiça ou à manutenção da ordem pública, a divulgação de escritos, a transmissão da palavra, ou a publicação, a exposição ou a utilização da imagem de uma pessoa poderão ser proibidas, a seu requerimento e sem prejuízo da indenização que couber, se lhe atingirem a honra, a boa fama ou a respeitabilidade, ou se destinarem a fins comerciais.

Código de Defesa do Consumidor

Artigo 43, § 2º, do Código de Defesa do Consumidor. A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.

Lei de Acesso à Informação

Artigo 31 O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.

Marco Civil da Internet

Artigo 3º da Lei n. 12.965/2014. A disciplina do uso da internet no Brasil tem os seguintes princípios:
…
II – proteção à privacidade;
III – proteção aos dados pessoais, na forma da lei.

LGPD – Lei Geral de Proteção de Dados Pessoais

Artigo 2º da Lei n. 13.709/2018: A disciplina da proteção de dados pessoais tem como fundamento:
I – o respeito à privacidade;
…
IV – a inviolabilidade da intimidade, da honra e da imagem.

Sob a ótica da Lei Geral de Proteção de Dados Pessoais em seu Art. 7º e 44, segundo o MPDFT, fica claro que a empresa Infortexto Ltda faz tratamento de dados pessoais de forma totalmente ilegal e irregular gerando prejuízos aos titulares dos dados pessoais.

Artigo 7º da Lei n. 13.709/2018: O tratamento dos dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular.

16 Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I – o modo pelo qual é realizado;
II – o resultado e os riscos que razoavelmente dele se esperam;
III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Desta forma, o MPDFT pede ao Ministério Público:

Determinar ao Núcleo de Informação e Coordenação do Ponto BR que “congele” o domínio lojainfortexto.com.br até sentença final deste juízo.
Determinar à Infortexto LTDA, por meio de sua representante XXXXXXXXXXXXXXXXXXX, que se abstenha de disponibilizar, gratuita ou onerosamente, de qualquer forma, dados pessoais de brasileiros, tratados de forma irregular conforme diretrizes da Lei Geral de Proteção de Dados Pessoais – LGPD;

Ao final o MPDFT não determina multa a ser paga pela violação, mas menciona o pagamento de R$1000,00 (mil reais), para fins meramente fiscais.

Veja na Íntegra da ação civil pública.