FACULDADE DE DIREITO DE FRANCA

ANA LUISA DOMINGUES MARTINS

LEI GERAL DE PROTEÇÃO DE DADOS – INVIOLABILIDADE NO

USO DE DADOS PESSOAIS COLETADOS ILEGALMENTE NA REDE
PARA FINS INDEVIDOS

FRANCA
2023
 FACULDADE DE DIREITO DE FRANCA
ANA LUISA DOMINGUES MARTINS

LEI GERAL DE PROTEÇÃO DE DADOS – INVIOLABILIDADE NO

USO DE DADOS PESSOAIS COLETADOS ILEGALMENTE NA REDE
PARA FINS INDEVIDOS

Trabalho de Curso apresentado à Faculdade de

Direito de Franca para aprovação no Curso de
Graduação em Direito (Área de Concentração:
Direito Digital e Direito Empresarial)
Orientadora: Dra. Luciana Tudisco

FRANCA
2023
 Martins, Ana Luisa Domingues Martins

Lei Geral de Proteção de Dados – Inviolabilidade no uso de dados

pessoais coletados ilegalmente na rede para fins indevidos / Ana Luisa
Domingues Martins. – Franca, SP, 2023.

57 p.

Orientador: . Drª Luciana Tudisco

Trabalho de Curso - FDF
Área de Concentração: Direito Digital

1. Assunto: Direito Digital

CDD 340.0285
 ANA LUISA DOMINGUES MARTINS

LEI GERAL DE PROTEÇÃO DE DADOS – INVIOLABILIDADE NA QUEBRA DO

SIGILO DE DADOS COLETADOS NA REDE

Trabalho de Curso apresentado à Faculdade de Direito de Franca para aprovação

no Curso de Graduação em Direito (Área de Concentração: Direito Digital)

Local e data da apresentação: Franca, ___ de ___________, de 2023.

Resultado:____________________________________________

Banca Examinadora:

Orientador:_____________________________________
Nome:
Instituição: Faculdade de Direito de Franca

Examinador 1: __________________________________
Nome:
Instituição: Faculdade de Direito de Franca

Examinador 2: _________________________________
Nome:
Instituição: Faculdade de Direito de Franca
Dedico este trabalho aos meus pais, Kellen
Pimenta Domingues Martins e Rogério Calçado
Martins, bem como meus avós e minha família,
que mais do que possibilitarem minha formação
acadêmica, a qual tanto almejei, me ensinaram
acerca da persistência e acima de tudo, com
amor.
Agradeço a Deus, aos meus pais, Kellen
Pimenta Domingues Martins e Rogério Calçado
Martins, meu avós maternos, Maria Celeida
Pimenta, Augusto Pimentel Domingues e Vera
Lúcia Saraval Domingues, bem como os
paternos, Alvir Martins de Paula e Lívia Eloisa
Martins de Paula, minha querida avó que
infelizmente faleceu nesse ano e não conseguirá
estar fisicamente presente, mas que foi mais do
que imprescindível com suas constantes
orações, em conjunto com a minha avó de
consideração Ana Deocleciana Pimentel
Amorim que rezou incansavelmente pelo melhor
para mim nessa fase enriquecedora; toda minha
família pelo auxílio incansável, minha tia e
madrinha, Andrea Pimenta Domingues que fez
e faz de tudo por mim, minha mãe e meus avós;
às minhas amigas e companheiras na República
Breja Eu, Ana Júlia Santana Chaves, Renata
Helena Leite, Letícia Leonardo Schoroeder,
Eduarda Rezende Calixto e Julia Tártaro, por se
tornarem a minha segunda família e se fazerem
morada, tornando as voltas de casa para Franca
tão leves, desejadas e felizes; às minha
melhores amigas de anos, que mesmo longe
fisicamente, se fizeram presente
demasiadamente, dando todo apoio e suporte –
Livia Araújo, Luma Belluzzo, Amanda
Oliveira, Isabella Moura e Raquel Araújo; à
minha melhor amiga Leka, por estar comigo
desde o primeiro dia de aula; à minha melhor
amiga Helena, que mesmo em tão pouco se
tornou essncial; à meu melhor amigo Xisto, que
fez tudo ficar mais leve; os meninos da
República Invernada, e outros que, igualmente,
se fizeram abrigo na graduação; ao Doutor
Denilson Cravalho e à Camila, do escritório
Denilson Carvalho, por todos os ensinamentos,
sejam profissionais e pessoais; de modo
especial à minha orientadora Luciana Tudisco
pela compreensão, por toda atenção
dispendida, compreensão e respeito; por fim, a
essa presente instituição que tenho total orgulho
de fazer parte como aluna, por todo suporte,
pelos inúmeros aprendizados, pessoais e
profissionais, bem como por ter feito parte dessa
fase importante.
O problema não é se as máquinas pensam,
mas se os homens fazem.

Skinner
 RESUMO

MARTINS, Ana Luisa. Lei Geral de Proteção de Dados – inviolabilidade na quebra

do sigilo de dados coletados na rede. 2023. 57 f. Trabalho de Curso. Faculdade de
Direito de Franca, Franca, 2023.

O presente trabalho aborda acerca das políticas de privacidade na internet,

destacando a coleta inadequada de dados pessoais por empresas, que os utilizam
para propagandas e informações inapropriadas. No Brasil, a Lei Geral de Proteção de
Dados (LGPD) foi aprovada em 14 de agosto de 2018, inspirada na legislação
europeia, visando garantir a privacidade dos cidadãos e permitir o controle dos
titulares sobre seus dados. A LGPD também reforça princípios do Código de Defesa
do Consumidor (CDC). O direito à inviolabilidade do sigilo das comunicações privadas
armazenadas na rede é um tema crucial, e o trabalho discute como os operadores do
direito devem decidir sobre sua relativização ou não, levando em conta o princípio da
proporcionalidade. O artigo 5º da Constituição Federal de 1988 assegura esse direito
como fundamental, protegendo a intimidade, a vida privada, a imagem e a honra das
pessoas. No contexto atual, são mencionados os problemas decorrentes da falha na
proteção da privacidade dos indivíduos, ressaltando os danos que podem ser
causados a eles. A conscientização sobre a importância da privacidade e a aplicação
adequada das leis são fundamentais para proteger os dados pessoais na era digital.
Ademais, objetiva-se abordar a violação dos direitos nos meios digitais, especialmente
o sigilo das comunicações e dados. Destaca-se a necessidade de aprimorar as leis
brasileiras para acompanhar a evolução das tecnologias de telecomunicação. Propõe-
se a elaboração de uma emenda constitucional para alterar o inciso XII do artigo 5º da
Constituição Federal, visando garantir o entendimento adequado e proporcionar maior
segurança à população, assegurando a efetividade dos direitos de privacidade e
comunicação.

Palavras-chave: Dados pessoais; dados pessoais sensíveis; proteção; privacidade;

sigilo; termos; consentimento.
 ABSTRACT

MARTINS, Ana Luisa. General Data Protection Law – inviolability of breaking the
confidentiality of data collected on the network. 2023. 57 f. Trabalho de Curso.
Faculdade de Direito de Franca, Franca, 2023.

This work addresses privacy policies on the internet, highlighting the inadequate
collection of personal data by companies, which use them for advertising and
inappropriate information. In Brazil, the General Data Protection Law (LGPD) was
approved on August 14, 2018, inspired by European legislation, aiming to guarantee
the privacy of citizens and allow holders control over their data. The LGPD also
reinforces principles of the Consumer Protection Code (CDC). The right to the
inviolability of the confidentiality of private communications stored on the network is a
crucial topic, and the work discusses how operators of the law should decide whether
or not to relativize it, taking into account the principle of proportionality. Article 5 of the
1988 Federal Constitution guarantees this right as fundamental, protecting people's
intimacy, private life, image and honor. In the current context, problems arising from
failure to protect individuals' privacy are mentioned, highlighting the damage that can
be caused to them. Awareness of the importance of privacy and the proper application
of laws are fundamental to protecting personal data in the digital age. Furthermore, the
aim is to address the violation of rights in digital media, especially the confidentiality of
communications and data. The need to improve Brazilian laws to keep up with the
evolution of telecommunications technologies stands out. It is proposed to draft a
constitutional amendment to alter item XII of article 5 of the Federal Constitution,
aiming to guarantee adequate understanding and provide greater security to the
population, ensuring the effectiveness of privacy and communication rights.

Keywords: Personal data; sensitive personal data; protection; privacy; security; terms;
consent.
 SUMÁRIO

1 INTRODUÇÃO ............................................................................................... 11
2 A LEI GERAL DE PROTEÇÃO DE DADOS .................................................. 13
2.1 EVOLUÇÃO HISTÓRICA DA LGPD NO BRASIL ......................................... 13
2.2 A HODIERNA LGPD....................................................................................... 16
2.3 DOS TERMOS DE CONSENTIMENTOS E DA DEVIDA ATENÇÃO .............. 20
3 DA PRIVACIDADE DOS DADOS .................................................................. 26
3.1 DOS DADOS PESSOAIS E DADOS SENSÍVEIS ........................................... 26
3.2 DA PRIVACIDADE DE DADOS EM REDE ..................................................... 31
3.3 DA RESPONSABILIDADE PELA INVIOLABILIDADE DE DADOS EM
REDE................. ............................................................................................. 35
4 CASUÍSTICA DA INVIOLABILIDADE DA PRIVACIDADE DOS DADOS
PESSOAIS DOS USUÁRIOS EM REDE........................................................ 41
4.1 CYRELA: PIONEIRA NA CONDENAÇÃO DA LGPD .................................... 41
4.2 O IMPACTO DO ESCÂNDALO DE USO INDEVIDO DA POLÍTICA DE DADOS
PESSOAIS PELO FACEBOOK ...................................................................... 43
4.2.1 Introdução à política de dados pessoais do Facebook ............................. 43
4.2.2 Da inviolabilidade do Facebook na quebra de sigilo e coleta indevida de
dados pessoais em rede .............................................................................. 45
4.3 O USO IMPRÓPRIO DE DADOS DA NETSHOES: IMPLICAÇÕES JURÍDICAS
À LUZ DA LGPD ............................................................................................. 49
4.4 REMNI: A COLETA E O CONSEGUINTE USO DOS DADOS DE SEUS
USUÁRIOS ..................................................................................................... 50
5 CONCLUSÃO ................................................................................................. 53
REFERÊNCIAS..........................................................................................................54
 11

1 INTRODUÇÃO

Desde a primeira Constituição Federal, de 1824, o direito ao sigilo das

comunicações existe no Brasil e tem sido reafirmado nas constituições posteriores,
incluindo a Constituição de 1988, que abrange dados telemáticos.
O desenvolvimento constante dos meios de comunicação aumentou a
necessidade de proteger a privacidade dos indivíduos, considerando que as novas
tecnologias devem servir às pessoas e não o contrário. Garantir a proteção dos dados
pessoais é essencial em um Estado de Direito, pois isso preserva a dignidade da
pessoa humana e evita violações tanto por parte do Estado quanto de terceiros.
A Era Digital permite que informações valiosas e importantes sobre a vida
cotidiana dos cidadãos sejam preservadas e armazenadas. Compras online, dados de
cartões de crédito, câmeras de segurança e o uso de smartphones aumentam a
preocupação com a privacidade. Por conseguinte, a crescente utilização de dados
pessoais em diversas atividades, como identificação, classificação e autorização,
torna esses dados fundamentais para que uma pessoa possa se movimentar com
autonomia na Sociedade da Informação, na qual, os dados pessoais assumem o papel
da própria presença física que anteriormente era indispensável.
Entretanto, o tratamento de dados pessoais, especialmente por intermédio de
processos automatizados, carrega consigo riscos significativos, os quais incluem a
possibilidade de exposição e utilização inadequada ou abusiva deles, a eventualidade
de dados incorretos que possam representar erroneamente o titular, bem como a
utilização por terceiros sem o devido conhecimento do titular, dentre outras. Portanto,
torna-se crucial estabelecer mecanismos que permitam às pessoas ter conhecimento
e controle sobre seus próprios dados, que essencialmente hoje são uma expressão
direta de suas personalidades.
À luz disso, felizmente, o Brasil aprovou a Lei Geral de Proteção de Dados
(LGPD) em 14 de agosto de 2018, inspirada na legislação da União Europeia. Essa
lei tem como objetivo garantir a privacidade dos dados pessoais dos cidadãos e
conceder maior controle aos titulares sobre suas informações. A LGPD fortalece os
princípios do Código de Defesa do Consumidor e traz diretrizes essenciais para
proteger a privacidade na sociedade atual.
 12

Nesse ínterim, em contrapartida, tais soluções, diversas vezes, negligenciam

uma das características fundamentais das redes sociais, ou seja, a capacidade,
oportunizado por meio da tecnologia, de utilizar os dados pessoais dos usuários para
fins impróprios e em desacordo com a legislação.
Assim, apenas a teoria não nos agrega em sua totalidade, como deveria ser,
uma vez que as falhas na segurança são enormes, assim como é o objetivo do
presente trabalho, apresentando de modo prático acerca da inviolabilidade ao
utilizarem dados pessoais coletados ilegalmente na rede, com finalidade contrária a
norma de proteção de dados, em que será abordado oportunamente ao último capítulo
que traz casos concretos em que a Lei Geral de Dados fora descumprida em termos
de uso indevido das informações pessoais dos usuários cadastros em rede, os quais
são vítimas de toda essa inviolabilidade que será demonstrada1.

1
DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. 2011. Fundação
Getúlio Vargas - Espaço Jurídico Journal of Law, 2011. Disponível em:
https://periodicos.unoesc.edu.br/espacojuridico/article/view/1315. Acesso em: 10 out. 2023.
 13

2 A LEI GERAL DE PROTEÇÃO DE DADOS

2.1 Evolução histórica da LGPD no Brasil

Primordialmente, cumpre destacar o fato de que o pioneiro na abordagem da

proteção de dados, foi a Lei Geral de Proteção de Dados do estado alemão Hesse,
em 1970. Já em 1981, o Conselho da Europa criou a Convenção 108, com o objetivo
de incentivar a adoção de normas específicas para o tratamento de dados pessoais,
não se limitando apenas aos países europeus.
Em 1995, por sua vez, a Diretiva 95/46/CE foi estabelecida, definindo dados
pessoais e delimitando importantes aspectos do tema, além de fomentar o comércio.
E em 2018, o Regulamento Geral de Proteção de Dados substituiu essa diretiva e
passou a ser aplicado diretamente a todos os países-membros da União Europeia.
Essa legislação tornou-se, então, o primeiro marco legal no mundo a tratar desse tema
imprescindível.
Outrossim, é notável ressaltar que o Código Legal de Hesse, na Alemanha,
assume uma importância singular e distinta. Ele é reconhecido por ser pioneiro ao
incorporar o termo “proteção de dados” (Datenschutz) pela primeira vez. Até aquele
momento, na Alemanha, o foco principal estava direcionado ao direito de salvaguardar
informações.2
Naquela época, a audácia alemã no campo de proteção de dados
desempenhou um papel fundamental ao inspirar outros países da Comunidade
Européia a adotar abordagens semelhantes de tutela de dados. Esse impulso
influenciou diplomas correlacionados em nações como Suécia (Datalagen) e a França
(Informatique Libertés), dentre outros.
A iniciativa alemã de proteção de dados teve influência nos regulamentos dos
Estado Unidos, e, posteriormente, no Brasil. Países reconheceram a necessidade de

2
FUSTER, Gloria González. Página 56. The emergence of personal data protection as a
fundamental right of the eu. Springe: Brussels, 2014. p. 56.
 14

proteger informações pessoais com leis próprias, seguindo a idéia de que os direitos
são moldados pela história e emergem das circunstâncias3.
Nesse sentido, a Constituição Federal de 1988 garante o direito à privacidade
como um dos direitos fundamentais. Esse direito é essencial e não pode ser
renunciado, conforme previsto no art. º, X, da CF/88. A proteção da privacidade
também é buscada em leis infraconstitucionais, como o Código Civil Brasileiro, o qual
versa acerca dos Direitos da Personalidade, mais especificadamente, em seu artigo
21. Tal dispositivo legal visa assegurar e resguardar os aspectos mais íntimos e
pessoais de cada indivíduo.
Desse modo, com o constante avanço dos meios de comunicação, a
preservação da privacidade dos indivíduos tornou-se uma questão cada vez mais
relevante. A ideia é que as novas tecnologias devem servir às pessoas e não o
contrário, destacando o imprescindível ato de proteger a privacidade e os dados
pessoais dos cidadãos digitais.
A garantia fundamental do respeito e proteção dos dados pessoais é crucial
para qualquer Estado de Direito. Isso sustenta o desenvolvimento da dignidade da
pessoa humana, tendo como objetivo primordial proteger os indivíduos contra
violações por parte do Estado ou de terceiros. Afinal, ninguém deseja que suas
conversas e informações pessoais sejam expostas sem o seu consentimento.
Em termos de proteção de dados no Brasil, a primeira legislação brasileira
surgiu em 1980, sendo o Projeto de Lei 2.796, proposto pela Deputada Cristina
Tavares. Esse projeto visava garantir aos cidadãos o acesso às informações
armazenadas em bancos de dados relacionados a eles, ao mesmo tempo em que
trazia outras disposições relevantes para a matéria.
Contudo, o Projeto de Lei foi arquivado, porém com uma enorme vitória, ou
seja, antes o Projeto Lei tinha como objetivo ampliar a proteção dos dados pessoais,
enfocando especialmente os direitos de retificação e acesso a esses dados. Tal
esforço em prol da proteção de informações pessoais contribuiu para fortalecer o
movimento de redemocratização no país.
Como resultado dessa evolução, foi posteriormente instituída a Ação Habeas
Data, a qual permitiu com que as pessoas requeiram informações pessoais. Essa

3
BOBBIO. Norberto. L’età dei diritti. Torini: Einaudi - “I diritti sono prodotti storici, nascono da bisogni,
quando storicamente emergono”. 2014. p. 64.
 15

iniciativa representou um avanço significativo na defesa da privacidade e no acesso

aos dados pessoais no Brasil.
Ao longo do tempo, a proteção de dados tornou-se uma questão relevante na
agenda política do Brasil. A promulgação do Código de Defesa do Consumidor em
1990 trouxe destaque para o tema, especialmente com o art. 43, o qual aborda os
bancos de dados de proteção ao crédito. Esse artigo foi um marco ao reconhecer o
direito do consumidor sobre seus dados pessoais, e serviu como base para diversos
princípios posteriormente incorporados à Lei Geral de Proteção de Dados.
O art.43 do CDC representou um avanço significativo ao permitir que os
consumidores tivessem acesso a seus registros em cadastros, fichas e bancos de
dados pessoais. Esse progresso também estimulou discussões acerca da origem da
Lei do Cadastro Positivo, ou seja, Lei nº 12.414/2011.
Nessa toada, com o advento da internet, muitas interações que costumavam
ocorrer no ambiente físico agora também se estendem para o mundo virtual. Com os
avanços tecnológicos atuais é possível realizar compras, transações bancárias,
compartilhar informações e estabelecer comunicações de diversas formas e naturezas
tudo envolvendo a troca de dados.
A imensa quantidade de informações circulando pela internet gerou
preocupação e resultou em legislação relevantes, incluindo a LGPD (13.709/2018), a
Lei Carolina Dieckmann (Lei 12.737/2012) e o Marco Civil da Internet.
A Lei do Cadastro Positivo estabelece princípios essenciais e inalienáveis
relacionados à proteção de dados, como finalidade, transparência, minimização e
segurança. Tais princípios demonstram o compromisso em proteger os dados
pessoais do cidadão, garantindo que sejam todos tratados de maneira mais
responsável e segura. Nesse contexto, essas legislações, juntamente com a LGPD,
têm contribuído para reforçar a importância da proteção de dados e da privacidade no
contexto brasileiro.
Assim sendo, em 14 de agosto de 2018, foi aprovada a Lei Geral de Proteção
de Dados no Brasil, ou seja, a Lei nº 13.709/2018, a qual entrou em vigor após 24
meses. Inspirada na legislação da União Europeia, a LGPD tem como objetivo
principal assegurar a privacidade dos dados pessoais dos cidadãos, proporcionando
aos titulares maior controle sobre suas informações.
A lei estabelece regras que fortalecem os princípios do Código de Defesa do
Consumidor (CDC), tornando-se mais um marco relevante no Brasil, para proteger os
 16

dados pessoais e capacitar os indivíduos no ambiente digital cada vez mais

interconectado.

2.2 A hodierna LGPD

Primordialmente, considerando a evolução do direito ao longo do tempo,

adaptando-se às necessidades e desafios que surgem na vida das pessoas e da
sociedade, tornou-se evidente para os legisladores brasileiros a importância de criar
uma legislação dedicada à proteção de dados pessoais.
Assim sendo, a imprescindível Lei Geral de Proteção de Dados Pessoais
representa uma atualização significativa na legislação brasileira de proteção de dados.
Sua adoção ocorreu em 14 de agosto de 2018, e a lei entrou em vigor no dia 14 de
agosto de 2020. Trata-se de tentativa de aprimorar as normas e diretrizes relacionadas
à proteção dos dados pessoais no país, garantindo maior segurança e controle sobre
as informações dos cidadãos.
Diante da crescente integração do ser humano em uma sociedade altamente
tecnológica, em que a interação virtual permeia todos os momentos, é essencial
garantir uma proteção jurídica adequada aos direitos da população nesse contexto
digital. A dependência da tecnologia destaca a importância de salvaguardar os direitos
dos indivíduos dentro do âmbito virtual, assegurando que suas informações e
privacidade sejam devidamente respeitadas e protegidas.
Inicialmente, o objetivo era que a Lei Geral de Proteção de Dados (LGPD)
fosse parte de uma reforma mais abrangente que abordaria a legislação de proteção
de marcas, internet e dados4. No entanto, devido a questões políticas durante o
processo legislativo, essa reforma planejada foi fragmentada.
Como resultado, a LGPD foi estabelecida como uma lei independente de
proteção de dados, enquanto a lei de internet foi criada separadamente como BCFI
(Brazilian Civil Framework of the Internet), e a reforma da lei de proteção de marcas

4
PARENTONI, Leonardo; LIMA, Henrique Cunha Souza. Protection of personal data in Brazil:
internal antinomies and international aspects. Disponível em: https://papers.ssrn.com/sol3/papers.
cfm?abstract_id=3362897. Acesso em: 26 jul.2023. p. 2.
 17

ainda nao foi realizada, permanecendo a BCL de 19985.

Nesse diasapão, a LGPD versa regular todas as formas de tratamento de dados
pessoais, abrangendo informações relacionadas a indivíduos identificados ou
identificáveis, disposto o art. 5º, I, da referida legislação. Assim sendo, inclui até
mesmo dados considerados públicos ou divulgados pelos próprios titulares.
Assim, até mesmo esses dados públicos estão sujeitos a disposição
diferenciadas, mas ficam claramente sob proteção da lei, que prevê isso no artigo 7º,
§3º, que dispõe: “Art. 7º (...) § 3º. O tratamento de dados pessoais cujo acesso é
público deve considerar a finalidade, a boa-fé e o interesse público que justificaram
sua disponibilização.”
Desse modo, Rodotá6, afirma que a proteção de dados se trata de um direito
fundamental independente, refletindo a liberdade e a dignidade humana. Esse direito
está intimamente ligado à ideia de não transformar os indivíduos em alvos de vigilância
constante. A salvaguarda dos dados pessoais é considerada essencial para preservar
a privacidade e integridade dos indivíduos, garantindo que sejam respeitados como
sujeitos autônomos e não meros objetos de monitoramento.
A principiologia da LGPD visa impedir a redução dos dados pessoais a uma
mera dimensão patrimonial, priorizando a sua relevância existencial. A lei estabelece
uma série de cuidados e restrição no tratamento de dados, como pode ser notado nos
princípios trazidos no art. 6º7.

5 PARENTONI, Leonardo; LIMA, Henrique Cunha Souza., op. cit., nota 4.

6
RODOTÁ, Stefano. A vida na sociedade da vigilância - privacidade hoje. Traduzido por Danilo
Doneda e Laura Cabral Doneda. Rio: Renovar. 2008. p. 18-19.
7Art. 6º “As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes

princípios:I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e

informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas
finalidades;II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de
acordo com o contexto do tratamento;III - necessidade: limitação do tratamento ao mínimo necessário
para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não
excessivos em relação às finalidades do tratamento de dados;IV - livre acesso: garantia, aos titulares,
de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a
integralidade de seus dados pessoais;V - qualidade dos dados: garantia, aos titulares, de exatidão,
clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da
finalidade de seu tratamento;VI - transparência: garantia, aos titulares, de informações claras, precisas
e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento,
observados os segredos comercial e industrial;VII - segurança: utilização de medidas técnicas e
administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;VIII - prevenção: adoção
de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;IX - não
discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou
abusivos;X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de
medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de
dados pessoais e, inclusive, da eficácia dessas medidas.”
 18

Esses princípios são absolutos e não podem ser ignorados, mesmo que haja o
consentimento do titular dos dados. Isso ressalta a importância dada à proteção da
privacidade e da dignidade das pessoas, destacando que os dados pessoais não
podem ser tratados meramente como bens patrimoniais.
Ademais, as disposições da LGPD estão em harmonia com os princípios
constitucionais e os direitos fundamentais relevantes, assim como com a proteção
garantida pelo Código Civil e pelo Código de Defesa do Consumidor em relação à
questões existenciais dos usuários, como já exposto anteriormente.
Portanto, renúncias e transações que envolvam dados pessoais, especialmente
quando realizadas sem as informações necessárias e sem uma contrapartida
razoável, não são válidas. Não apenas devido às regras específicas da LGPD, mas
também em conformidade com outras leis, como o artigo 11, do Código Civil 8.
O cerne da LGPD está na proteção da pessoa humana e de suas situações
existenciais relevantes, e esse princípio deve guiar a interpretação de todas as suas
demais disposições.
No bojo da literatura atual tem se enfatizado de maneira praticamente unânime
que a concepção tradicional de privacidade, que se restringe à intimidade e ao direito
de ser deixado sozinho, não é a mais adequada, ainda mais com os desafios
complexos decorrentes da economia movida a dados e da vigilância.
Assim, Rodotá adverte que a questão da circulação de informações pessoais
não pode ser resolvida apenas com base nas noções convencionais de privacidade.
Ademais, ele salienta que a privacidade não se resume mais ao que é secreto, e
afirma que a sequência mais relevante, hodiernamente, é “pessoa-informação-
circulação-controle”, em contraste com a noção clássica de privacidade centrada em
“pessoa-informação-sigilo”9.
Junto a isso, com as crescentes preocupações em relação aos possíveis efeitos
discriminatórios das decisões algorítimicas, especialmente quando realizadas de
forma totalmente automatizada e sem nenhuma intervenção humana, as discussões
acerca da privacidade estão cada vez mais conectadas com a busca pela igualdade.
A discussão de privacidade agora não abrange apenas a proteção da
intimidade virtual, mas também se preocupa em evitar práticas discriminatórias e

8Art.11. Com exceção dos casos previstos em lei, os direitos da personalidade são intransmissíveis e
irrenunciáveis, não podendo o seu exercício sofrer limitação voluntária.
9
RODOTÁ, Stefano., op.cit., p. 18-19, nota 6.
 19

garantir a igualdade de tratamento na utilização de dados sensíveis, os quais serão

tratados posteriormente. Contudo, tais objetivos encontram-se apenas na teoria, na
prática não há a imprescindível eficácia como deveria, o que será exposto em
causuísticas, trazendo casos reais da falta da efetividade da crucial eficácia da Lei
objeto de exposição.
Destarte, com o progresso tecnológico, é possível observar algumas
circunstâncias preocupantes em que os usuários da internet enfrentam situações
perigosas devido à capacidade e facilidade de processar grandes quantidades de
dados pessoais. Essas situações evidenciam os riscos associados à coleta e uso
indiscriminado de informações dos usuários em larga escala. Essa ideia é amparada
por Leonardo Roscoe Bessa10:

A evolução tecnológica aumenta exponencialmente a capacidade e

velocidade de processamento de dados pessoais. Em tempos de big
data, o consumidor, o cidadão, está completamente vulnerável e
exposto a uma permanente coleta, armazenamento e divulgação de
seus dados pessoais. Na maior parte das vezes, sem qualquer
transparência ou mesmo ciência sobre este tratamento. Dados
pessoais são coletados a partir de navegação na internet, ao se baixar
e utilizar inúmeros aplicativos para smartphones, em visitas a lojas
virtuais, nas manifestações e curtidas nas redes sociais.

À luz disso, a LGPD é aplicável a qualquer processo de tratamento de dados

realizado por pessoas físicas ou jurídicas, sejam elas de direito público ou privado,
tanto em meios físicos como digitais. No entanto, o tratamento de dados realizado por
pessoas naturais para fins particulares e não econômicos fica excluído da abrangência
da lei.
Desde a entrada em vigor da LGPD, muitas empresas têm se esforçado para
se adequar a legislação. Contudo, por se tratar de um assunto relativamente recente
que requer mudanças significativas e investimentos, algumas empresas ainda não
estão totalmente em conformidade.
Assim sendo, como será abordado mais adiante, existem algorítimos que
coletam dados dos usuários em redes sociais para criar perfis personalizados com
base em suas preferências e inclinações políticas, dentre outros aspectos. Essa coleta

10
BESSA, Leonardo Roscoe. LGPD: direito ou dever de privacidade?. Consultor Jurídico. 2021.
Disponível em: https://www.conjur.com.br/2021-fev-08/leonardo-bessa-lgpd-direito-ou-dever-
privacidade. Acesso em: 26 jul. 2023.
 20

de informações resulta em uma experiência altamente personalizada para o usuário

enquanto navega na plataforma digital, o que pode levar muitas pessoas a
desenvolverem um vínculo viciante com determinadas redes sociais, como será
exposto nas causuísticas reunidas posteriormente.
É importante garantir que a proteção dos dados pessoais seja respeitada e que
a privacidade dos usuários seja adequadamente preservada durante o uso dessas
plataformas. Outrossim, o consentimento informado está relacionado ao que Samuel
D. Warren e Louis D. Brandeis enfatizaram em sua obra. Eles ressaltaram a
necessidade de um consentimento voluntário e consciente por parte do titular dos
dados pessoais.
É evidente a ocorrência de uma violação de privacidade, desconsiderando a
dignidade da pessoa humana, bem como os direitos à honra e à privacidade do titular
dos dados.

2.3 Dos termos de consentimentos e da devida atenção

Inicialmente, é essencial compreender que a obtenção de autorização é vital

no vínculo estabelecido entre um utilizador de um serviço específico (titular de
informações) e o fornecedor desse serviço (plataformas online ou redes sociais).
Nesse sentido, Danilo Doneda destaca que a origem do conceito
“consentimento” veio de um desenvolvimento jurisprudencial nos Estados Unidos,
inicialmente relacionado à relação entre médico e seu paciente, conforme explicado
na sequência:

Entre as décadas de 1950 e 1960, a jurisprudência norte-americana

fez evoluir tal noção, associando-a, ainda no campo da medicina, ao
dever dos médicos de informar pacientes acerca de possíveis riscos e
tratamentos alternativos, para além das já estabelecidas
determinações de informar a natureza do tratamento e suas
consequências. (...) A trajetória histórica do “consentimento informado”
brevemente supra descrita parece indicar dois significados históricos
para o termo. O primeiro refere-se a uma autorização autônoma, dada
pelo titular apenas quando este, com o necessário conhecimento e
liberdade, intencionalmente autoriza algo (autodeterminação)11

11
DONEDA, Danilo., op.cit., nota 1.
 21

É evidente que a preocupação do sistema judiciário dos Estados Unidos era a

de enfatizar a responsabilidade do médico em comunicar devidamente aos pacientes
sobre os medicamentos prescritos. Esforço que tinha como objetivo garantir que os
pacientes estivessem plenamente informados sobre os detalhes de sua medicação e
o progresso de seu tratamento.
Assim, do mesmo modo que o compromisso do médico em educar o paciente
sobre o tratamento desempenha um papel crucial na capacidade do paciente de tomar
decisões informadas, ou seja, consentir de maneira consciente, também funciona da
mesma maneira que os termos de consentimento e quem o consente.
Ademais, a partir desse contexto, de acordo com o que a literatura
jurisprudencial discorreu, surgiu a necessidade de transmitir informações relacionadas
ao tratamento de dados, tornando-se uma obrigação. Com o tempo, essa necessidade
evoluiu para a compreensão de que essa exigência desempenharia um papel
fundamental na formação de um consentimento válido, informado e consciente.
Para assegurar um consentimento válido, é imprescindível que a plataforma
online participe ativamente e essa participação engloba fornecer informações
tangíveis que permitam à pessoa possuir um entendimento completo sobre a maneira
pela qual o tratamento de dados está ocorrendo, ao longo de um período extenso.
Da mesma maneira, é crucial compreender como a plataforma digital usaria os
dados. Isso envolve entender o fluxo subsequente dos dados após o consentimento
da pessoa em questão, ou seja, como a plataforma gerenciaria e aplicaria essas
informações pessoais.
Assim, é evidente que a jurisprudência dos Estado Unidos desempenhou um
papel crucial no avanço deste campo do Direito. A partir dela, fica cristalino que as
informações coletadas pelo provedor de serviços devem ter o propósito essencial de
capacitar a pessoa a tomar uma decisão consciente e informada. Essa decisão deve
ser tomada com clareza, assegurando que todo o processo seja transparente e
adequado. Em outras palavras: para que o consentimento seja eficaz, é indispensável
que haja uma informação adequada.
Sem tais informações providas pela plataforma digital, a composição correta e
transparente do consentimento da pessoa natural não pode ser alcançada, resultando
em sua inviabilidade.
 22

Nesse contexto, uma das razões para buscar um consentimento adequado,

eficaz e claro por parte do detentor de dados, no contexto da partilha de suas
informações, está relacionada à complexidade que ele enfrenta ao lidar com os termos
de utilização criados pelas plataformas online.12
Outrossim, a maneira como os termos de uso são redigidos muitas vezes cria
uma situação de vulnerabilidade aos usuários, visto que eles frequentemente
possuem dificuldade em compreender o conteúdo daquilo que estão lendo. É fácil de
entender essa dinâmica quando são utilizados termos técnicos e complexos, os quais
são difíceis de serem compreendidos pelo público leigo, inevitavelmente resultando
em uma situação de vulnerabilidade.
A doutrina sustenta que:

O consentimento passou a ser utilizado para legitimar, justificar e

alicerçar a proteção de dados pessoais. Sem se olvidar da variedade
de importantes avanços relativizando a ênfase no consentimento
como garantia de autonomia e de proteção do titular dos dados, não é
forçoso afirmar que o seu protagonismo permaneceu como “traço
marcante da abordagem regulatória” Nesse paradigma, o indivíduo se
encontra no centro do processo decisório acerca do que é feito com
seus dados pessoais.13

Assim sendo, uma visão mais aprofundada dessa questão relacionada à

fragilidade enfrentada pelo detentor de dados diante das políticas de privacidade e
dos termos de uso, argumentando que:

Não raras vezes, o titular dos dados pessoais se encontra em situação

de vulnerabilidade nessa relação contratual eletrônica. Primeiro, pois,
como já dito, os termos das políticas de privacidade podem ser
demasiadamente complexos e abstratos, impossibilitando uma
compreensão mais transparente a respeito do concreto emprego dos
dados. Segundo, porque vários desse termos negociais se baseiam
em uma lógica binária “take or leave it”: consentir ou não consentir,
sem outras opções.14

Dessa maneira, o objetivo das plataformas digitais ao adotar tal abordagem é

que o usuário continue sem compreender o conteúdo escrito, o que coloca em uma

12
MCDONALD, Aleecia M.; CRANOR, Lorrie Faith. The cost of Reading Privacy Polices. Journal of
Law and Policy for the information Societ, v. 4. 2008. p. 543-568.
13
DONEDA, Danilo.; op.cit. nota 1.
14
MCDONALD, Aleecia M.; CRANOR, Lorrie Faith., op.cit., nota 12.
 23

posição de passividade e neutralidade. Isso, por sua vez, resulta na falta de controle
sobre como seus dados pessoais são processados, empregados e divulgados.
Cumpre destacar, adicionalmente, a importância significativa da LGPD na
salvaguarda da privacidade das pessoas que optam por utilizar esses aplicativos.
Além dos aspectos relacionados ao consentimento e à proteção de identidade do
indivíduos, a LGPD também estabelece diretrizes cruciais para lidar com as
autorizações concedidas pelos aplicativos e para regulamentar a partilha de dados
dos usuários com terceiros, dentre outras questões relevantes.
Nesse sentido, para exemplificar essa situação, argumenta-se que, apesar da
expressão “proteção de dados pessoais” evocar diretamente o conceito de segurança,
ressalta-se que um dos princípios fundamentais dessa proteção é voltado para o
indivíduo detentor dos dados. Isso ocorre porque, ao processar suas informações
pessoais, essa prática resulta na criação de um produto comercializável no mercado.
De maneira explicativa, a literatura, nesse quesito, dispõe que:

O seu enfoque protetivo está no titular desses dados: quem arcará

com os riscos e com as eventuais consequências prejudiciais do uso
de seus dados pessoais. Nesse sentido, o papel regulatório é mais
amplo: disciplinar a informação gerada a partir do processamento e do
tratamento dos dados pessoais, em um devido contexto. São
informações extraídas a partir desses dados, que essencialmente
formarão a representação virtual do indivíduo na sociedade. Os dados
precisam ser processados e organizados para a extração dessas
informações. A partir delas, por exemplo, são geradas decisões ou
interpretações que podem ampliar ou reduzir as oportunidades do
titular no mercado, formatar a sua “imagem” perante os setores
públicos e privado, bem como desenvolver sua personalidade dentro
da comunidade virtual. 15

Portanto, a ideia defendida pela doutrina nesse contexto, como um dos

fundamentos essenciais do consentimento informado, é o princípio da autonomia
informacional do detentor de dados, conforme exposto no artigo 2º, inciso II, da LGPD.
Esse princípio se relaciona com a capacidade do titular de dados de tomar decisões
autônomas em relação à forma como suas informações pessoais são compartilhadas
e tratadas.
Nessa toada, com o surgimento da era da Big Data e elaboração de termos de
utilização notavelmente complexos e técnicos, observa-se a evolução de uma

15
DONEDA, Danilo. Proteção de dados pessoais. Rio de Janeiro: Forense, 2021. p. 78-151.
 24

especialização por parte das plataformas digitais em coletar informações pessoais dos
usuários na internet de maneira indireta, sem uma verdadeira verificação e obtenção
de um consentimento explícito em relação à circulação dos dados dos indivíduos.
Outrossim, em relação a empresas privadas, é cristalino que a utilização de
aplicativos de rastreamento de contratos deveria ser uma escolha voluntária,
dependendo do consentimento do usuário para que ocorra esse compartilhamento.
Isso requer a implementação de sistemas confiáveis, de modo a encorajar um maior
número de pessoas a adotá-los, o que aprimoraria a eficácia desse método de
monitoramento.
A adesão do cidadão à tecnologia é opcional, mas o consentimento para o
processamento é necessário. Ademais, é crucial respeitar os demais princípios da
LGPD, como adequação, necessidade e transparência.
Por fim, com o propósito de concluir o capítulo, que buscou esclarecer a
importância crucial do conceito de consentimento na dinâmica da LGPD, ou seja, de
obtenção de dados entre as plataformas digitais e os detentores de informações,
analisa-se as características que se associam a cada aspecto fundamental que abarca
o consentimento informado, conforme delineado pelo artigo 5º, inciso XII, da LGPD, o
qual dispõe:

Art. 5º Para os fins desta Lei, considera-se:

XII - consentimento: manifestação livre, informada e inequívoca pela
qual o titular concorda com o tratamento de seus dados pessoais para
uma finalidade determinada;

A visão doutrinária é a de que, na ausência de transparência em relação ao uso

e processamento dos dados, essa circunstância deve resultar, invariavelmente, na
anulação da coleta dessas informações. Caso contrário, o detentor de dados se
encontrariam em uma condição de violação de sua privacidade e seria impedido de
adotar medidas para reverter essa situação.
Por fim, é importante ressaltar, que a ênfase nas características apresentadas
neste segmento é de suma importância, uma vez que um consentimento válido está
intimamente ligado ao direito à privacidade. Isso, por sua vez, promove a dignidade
humana e garante a preservação das escolhas individuais de cada pessoa.16

16
BESSA, Leonardo Roscoe., op.cit., nota 10.
25
 26

3 DA PRIVACIDADE DOS DADOS

3.1 Dos dados pessoais e dados sensíveis

Primordialmente, cumpre destacar que, informações como nome, sobrenome,

números de documentos pessoais, data de nascimento, endereço, número de
telefone, endereço de e-mail, detalhes de localização e endereço IP, são clássicos
exemplos de dados pessoais. Assim, os dados pessoais sensíveis estão ligados aos
aspectos fundamentais da identidade de uma pessoa, podendo resultar em cenários
de discriminação e disparidade.
De maneira geral, como já mencionado anteriormente, a LGPD garante uma
proteção íntegra acerca dos direito individuais, ao estabelecer a obrigação de garantir
a segurança dos dados pessoais durante todas as fases, desde a sua coleta até a
conclusão das operações que abrangem esses dados.
Diante disso, é crucial enfatizar que a salvaguarda das informações de cunho
pessoal, especialmente os de caráter sensível, embora inicialmente consideradas
estritamente pessoais, possuem uma dimensão que vai além do âmbito individual.
Isso ocorre em razão da intrínseca interligação desses dados com outras informações
ou da possibilidade de conexão com os dados de terceiros.
Nessa toada, a tecnologia que permite a organização de grandes volumes de
informações, muitas vezes de proporções enormes, viu seu potencial aumentar
significativamente com o avanço da computação, pelo advento do banco de dados
propriamente dito. Em sua essência básica, bancos de dados representam um
conjunto organizado de informações, seguindo uma lógica específica, a qual
geralmente busca obter o máximo benefício a partir dessas informações. Há tempos
se sabe que a informação pode ser vantajosa, como demonstrado pela prática
ancestral de coleta organizada de dados, como os censos populacionais, que têm sido
valiosos para líderes ao longo da história.
Devido à natureza específica e desafiadora da proteção de dados pessoais na
sociedade digital, foi estabelecido um órgão dedicado à supervisão e garantia do
cumprimento da LGPD no âmbito administrativo: a Autoridade Nacional de Proteção
 27

de Dados (ANPD). Essa entidade foi criada como um órgão federal por meio da
medida provisória nº 869/2018 e, posteriormente, se transformou na Lei nº
13.853/2019.
Essa autoridade desempenha um papel fundamental não apenas na vigilância
do cumprimento da legislação, mas também na promoção de políticas públicas que
fomentem a criação de uma cultura de proteção de dados no Brasil. Outrossim, é
responsável pela formulação de regulamentações que abordam a salvaguarda de
dados pessoais e privacidade.
Dado o grau de complexidade em determinados casos, é possível que outros
órgãos e entidades governamentais colaborem com a ANPD em questões
relacionadas à proteção de dados pessoais.
Com base na capacidade de serem empregados de maneira discriminatória,
tanto por atores comerciais quanto pelo governo, os dados sensíveis se relacionam
com contextos nos quais podem surgir ameaças potenciais aos direitos fundamentais,
devido às suas características intrínsecas. Porém, sob uma ótica diferente,
salvaguardar informações sensíveis viabiliza a garantia de várias prerrogativas, como
saúde, capacidade de expressão, crença religiosa e a liberdade de associação, dentre
outras.
Na era das sociedades movidas pela informação em que estamos inseridos, a
proteção abrangente do indivíduo abarca as facetas de seu corpo que se desdobram
em duas abordagens interligadas de maneira contínua: o corpo assume uma forma
física, bem como adquire uma dimensão eletrônica por meio dos dados pessoais, os
quais englobam informações concernentes ao indivíduo, inclusive os dados sensíveis.
Assim sendo, em meio à Era Digital, compreender a intrincada natureza do
corpo humano adquire uma importância crescente, especialmente considerando a
reflexão de Rodotá17, em seu livro, onde destaca que as avançadas inovações
tecnológicas possibilitam uma desagregação renovada do corpo humano por meio de
coleta de informações que reduzem a identidade do indivíduo a um único detalhe,
como característica facial, reconhecimento da íris, impressões digitais, e assim por
diante. Isso está conduzindo a uma situação onde o próprio corpo se transforma em
uma forma de autenticação.
É imprescindível explorar o conceito de privacidade, uma noção que evolui com

17
RODOTÁ, Stefano., op.cit., p. 18-19, nota 6.
 28

a influência cultural ao longo do tempo e é moldada por bases sociais, culturais e

políticas. A ideia de privacidade expandiu além da abordagem inicial proposta como o
“direito de ser deixado sozinho” e, hodiernamente, abrangem também a
autodeterminação informativa, ou seja, a capacidade de controlar a próprias
informações e decidir como moldar a esfera pessoal18.
Posto isso, supera-se a sequência tradicional “indivíduo-informação-sigilo” para
abranger a noção de “indivíduo – informação – circulação - controle”, onde o foco
reside na “circulação controlada” dos dados19. A proteção de dados pessoais decorre
da privacidade, mantendo o mesmo alicerce ontológico centrado na dignidade
humana. Entretanto, tal proteção adquire uma dimensão adicional que é coletiva e
fundamentalmente dinâmica.
Assim, no âmbito da regulamentação dos dados sensíveis, a definição de
categorias jurídicas específicas tenderia a “filtrar” uma série de situações em que o
potencial prejudicial abrangente que a tecnologia apresenta no processamento de
algumas informações seria negligenciado. Isso resultaria na aplicação da proteção do
regime geral estabelecido pela Lei vigente, mesmo que haja a capacidade de originar
práticas discriminatórias, especialmente no contexto comercial.
A abordagem empregada por Rodotà para concretizar e restringir as
circunstâncias que viabilizariam o processamento dependente da: “comunicação
preventiva ao interessado sobre como serão usadas as informações coletadas; e para
algumas categorias de dados especialmente sensíveis estabelece que a única
finalidade admissível é o interesse da pessoa considerada”20.
Nesse sentido, conforme expresso no artigo 11, § 1º, da LGPD, quando o
tratamento de dados pessoais não sensíveis possui a capacidade de revelar
informações sensíveis e criar possíveis prejuízos ao titular, o conjunto de regras legais
específicas entra em vigor. É relevante destacar a possibilidade de a ANPD ou
estabelecer regras para a troca ou compartilhamento de informações sensíveis entre
responsáveis pelo controle de dados para fins econômicos, conforme o artigo 11, §
3º, da referida Lei.
Junto a isso, no âmbito da salvaguarda de informações individuais,
especialmente as de natureza sensível, esse conjunto de direitos encontra sua base

18
RODOTÁ, Stefano.; op.cit., p. 15, nota 6.
19
Ibidem. p. 93.
20Ibidem. p. 87.
 29

legal na Constituição Federal Brasileira, estando particularmente ancorado no artigo

5º, XII. Outrossim, a proteção é fortalecida, ainda que de maneira ampla, pela inclusão
do habeas data como direito garantido.
A definição de um direito fundamental inerente e subjacente ao sistema legal
brasileiro pressupõe uma interpretação que abranja o acesso e o conhecimento dos
dados pessoais armazenados em registros, sejam eles públicos ou privados.
Outrossim, abrange o direito de não conhecer, tratar, usar ou divulgar dados pessoais,
especialmente quando se trata de informações sensíveis, por parte do Estado ou de
terceiros. Essa concepção também incorpora o direito ao sigilo em relação aos dados
pessoais.
No bojo disso, essa ampliação do conceito emerge das evoluções tecnológicas
e, consequentemente, do desenvolvimento de uma sociedade digital, levando o
alcance do direito à privacidade a áreas para além de seu núcleo inicial – intimidade
e o direito de ser deixado sozinho. Tal fato ocorre devido à interconexão das esferas
pública e privada do indíviduo no ambiente virtual. Nesse espaço online, inclusive, há
um aumento e uma simplificação no acesso às informações pessoais dos indivíduos,
uma vez que a proteção de dados pessoais ganha destaque como direito fundamental
dos cidadãos e ganha proeminência em debates globais.
Dessa forma, a fim de garantir que a tomada de decisões seja verdadeiramente
eficaz e clara, os princípios doutrinários destacam a importância de estabelecer o
compromisso recíproco de compartilhar informações. Nesse sentido, Bruno Ricardo
Bioni e Maria Luciano oferecem o seguinte pensamento:

O dever-direito de informação deve propiciar, portanto, ao cidadão os

elementos necessários para o início de um processo de tomada de
decisão no que tange ao fluxo de seus dados. A prestação de uma
informação clara, adequada e suficiente é o portal de entrada para
tanto. O modelo pelo qual tal informação será prestada é de particular
importância, devendo-se pensar em tecnologias, que não só o papel
(contratualização do consentimento), habilitadoras para tanto. Nesse
sentido, a adoção das chamadas privacy enhancing tecnologies/PETs
será um indicativo do esforço do controlador de adimplir
satisfatoriamente com tal dever de informação que lhe foi atribuído.
Se, ao final, não houver transparência no tratamento dos dados,
ocorrerá um consequente inadimplemento de tal obrigação.21

21
DONEDA, Danilo.; op.cit., nota 15.
 30

Posto isso, é relevante destacar o posicionamento da doutrina, que enfatiza

que a ausência de transparência quanto à maneira pela qual os dados são utilizados
e processados deve resultar, de maneira inquestionável, na invalidação desse
processo de obtenção de informações. Se essa clareza não for observada, o titular
dos dados se encontrará em uma posição de invasão de privacidade e ficará
impossibilitado de adotar medidas para reverter tal situação.
Destarte, é possível inferir que o consentimento informado desempenha um
papel crucial na validação do processamento de dados pessoais. Da mesma forma,
como já discutido, a ausência de consentimento apropriado compromete a integridade
da coleta de dados pessoais. Desse modo, o meio com que os dados pessoais são
coletados por meio dos perfis pessoais dos indivíduos em rede, a fim da
comercialização dos mesmos.
Assim, o princípio da boa-fé obtém como associado o princípio da finalidade,
que se refere aos fundamentos subjacentes ao tratamento de informações, ou seja, o
princípio da finalidade estabelece uma conexão direta entre o processamento de
dados pessoais e a razão subjacente à coleta de informações.
Diante disso, Miragem esclarece que:

Aquele que pretende obter o consentimento do titular dos dados,

obriga-se a declinar expressamente as finalidades para as quais
pretende utilizar os dados e, nestes termos, vincula-se aos termos
desta sua manifestação pré-negocial. A utilização dos dados, seja
para tratamento ou compartilhamento desviada das finalidades
expressas quando da obtenção do consentimento, torna-o ineficaz e
ilícita a conduta, ensejando responsabilidade, bem como todos os
meios de tutela efetiva do direito do titular dos dados22

Desse modo, em breve síntese, os perfis pessoais dos indivíduos em rede

consistem em montagens, ou, para ser mais preciso, são como mosaicos construídos
a partir das informações fornecidas pelos usuários, seguindo um formato igualmente
laborado. Esse formato é definido pela consciente e voluntária disponibilização de
informações, bem como pelo que é deduzido a partir das pegadas digitais, da
intersecção de dados e das eventualidades de vazamentos. Vale a pena destacar,
ainda, que o que qualifica um dado como sensível é sua capacidade de ser utilizado

22 MIRAGEM, Bruno. A Lei Geral de Proteção de Dados (Lei 13.709/2018) e o direito do

consumidor. Revista dos Tribunais, v. 1009, 2019. p. 6.
 31

de maneira discriminatória.
Um aspecto crucial a ser ponderado em relação ao tratamento dessas
informações pessoais é que, de modo geral, a coleta requer o consentimento explícito
do indivíduo titular, como já mencionado acerca anteriormente. Nesse sentido, se
houver a necessidade de utilizar os dados do titular para outros fins, uma nova
autorização deve ser emitida e obtida, mediante novo procedimento de concordância.
Por conseguinte, mesmo que muitas bases de dados já contenham uma ampla
variedade de informações, as informações já existentes também devem ser
reavaliadas e requerem a autorização dos titulares para manutenção, tratamento e
processamento.
Portanto, além de viabilizar a rastreabilidade efetiva de um indivíduo específico,
as funcionalidades intrínsecas de um dispositivo móvel, manifestadas por meio de
aplicativos móveis, ou seja, apps (softwares desenvolvidos para operar em
dispositivos móveis), inevitavelmente incluem a captação de informações pessoais do
próprio usuário. Diversas vezes, essa coleta ocorre sem o consentimento informado
do usuário, com o propósito de personalizar o desempenho do aplicativo ou
simplesmente para identificar padrões de consumo visando a exploração comercial.

3.2 Da privacidade de dados em rede

O campo do Direito Digital encara o desafio de estabilizar os interesses

comerciais, a privacidade, a responsabilidade, bem como o anonimato, na era digital.
Esse equilíbrio possui como objetivo de ser alcançado de forma socialmente aceitável
e regulamentado por meio de processos de supervisão e punição estabelecidos pela
própria área da prórpia disciplina. Desse modo, a medida que o número de empresas
que competem pelos consumidores na internet e a publicidade online aumenta,
envolvendo a coleta de informações, através de formulários e cadastros, sendo
penalizados aqueles que violam tais normais regentes23.
Assim sendo, é inegável que o direito à privacidade impõe limites naturais ao

23
PECK, Patrícia. Quem defende seus dados? INTERNETLAB, 2020. Disponível em:
http://quemdefendeseusdados.org.br/pt/. Acesso em: 30 ago. 2023.
 32

direito à informação, contudo, há os que se baseiam no fato de que quando a pessoa

demonstra interesse em compartilhar tais aspectos, mesmo implicitamente, não
ocorre a violação de direitos se houver consentimento. É um consenso que todo
indivíduo possui direito à proteção de sua propriedade e privacidade, atendendo aos
seus ativos intangíveis, como informações pessoais, que merecem salvaguarda.
O ponto crucial, é se a sociedade digital se encontra realmente preparada e
seguindo com essa direção ou indo na direção oposta. Nesse contexto, o modelo de
negócios estabelecido hodiernamente, não apenas apresenta a riqueza do século XXI,
bem como fez dos dados pessoais dos indivíduos uma moeda de troca predominante,
afetando todos os princípios pragmáticos da Lei regente.
A crescente necessidade das pessoas de se comunicarem, explorarem
conhecimento e compartilharem suas vidas e experiências com completos estranhos
é alimentada por meio do acesso às ferramentas digitais, das quais foram
desenvolvidas pelo próprio homem.
Outrossim, hodiernamente, existe uma nova categoria de profissionais
especializados na ciência da análise de conjuntos de dados para identificar ou ate
mesmo antecipar padrões de comportamento. Como Stephen Baker 24 sugere, os
Numerati formam uma elite global composta por cientistas da computação e
matemáticos que examinam minuciosamente as nossas interações e ações, por meio
de uma imensa quantidade de dados, sendo possível atrelar a padrões de
comportamento, o que faz com que preveja o que pretendemos comprar.
Assim sendo, o impacto dos Numerati está intimamente ligado à vasta
quantidade de informações que cada pessoa compartilha, seja de maneira pública nas
redes sociais ou de forma privada por meio de registros pessoais. Notavelmente, em
2008, Stephen Baker antecipou a ascensão do Big Data25 e previu eventos como o
escândalo da NSA, em 2013.
A Lei 13.709/2018, aborda diretamente a questão da privacidade em vários de
seus artigos, como o 19, 2º, i, IV; o 17; o 50, § 2º, I, d. Além desses, o artigo 55-C, II,
prevê a criação do Conselho Nacional de Proteção de dados Pessoais e da

24 Stephen Baker é autor do livro “Numerati” (2008) e um escritor sênior da Business Week, focando
em tecnologia. Ele também coescreve o Blogpoyying.net, explorando as mudanças tecnológicas nos
negócios.
25 O Big Data e refere ao processamento e análise de conjunto de dados extremamente grandes e

complexos, os quais são muito volumosos para serem tratado por métodos tradicionais de
processamento de dados.
 33

Privacidade, responsável por sugerir e supervisionar ações relacionadas ao

tratamento de dados, com ênfase na segurança e proteção pessoais e da privacidade.
O artigo 7º26, em seu inciso VIII, alíneas a, b e c, versa exatamente o que necessita
na prática, principalmente o fato de que as informações acerca das coletas dos dados
devem ser realizadas de forma transparente e completas, da finalidade dessa coleta,
o que não ocorre.
Dessa maneira, Miragem expõe que:

Aquele que pretende obter o consentimento do titular dos dados,

obriga-se a declinar expressamente as finalidades para as quais
pretende utilizar os dados e, nestes termos vincula-se aos termos
desta sua manifestação pré-negocial. A utilização dos dados, seja
para tratamento ou compartilhamento desviada das finalidades
expressas quando da obtenção do consentimento, torna-o ineficaz e
ilícita a conduta, ensejando responsabilidade, bem como todos os
meios de tutela efetiva do direito do titular dos dados.27

A LGPD e o Marco Civil da Internet (MCI), são as salvaguardas legais para a

proteção dos sigilos de dados, as quais abordam diversos aspectos das interações
digitais, incluindo o direito à exclusão de dados pessoais após seu uso28. Conforme a
MCI, a fim de esquivar-se da eliminação de evidências de autoria, mesmo após uma
solicitação de exclusão, é necessário manter a guarda dos dados pelo período de seis
meses29.
À vista disso, a lei exige que qualquer empresa que colete, armazene ou
compartilhe dados de usuários brasileiros, forneça uma politica de privacidade clara,
apresentada previamente para o conhecimento do cliente30. Portanto, um usuário tem
o direito de não compartilhar seus dados e a empresa possui o direito de não fornecer
seus serviços se o usuário não aceitar os termos e políticas da empresa, porém não
se sabe ao certo até onde vão os abusos contidos em alguns termos.
Dessa maneira, no âmbito da referida legislação, com o intuito principal de

26 “Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os

seguintes direitos: (...) VIII — informações claras e completas sobre coleta, uso, armazenamento,
tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades
que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos
contratos de prestação de serviços ou em termos de uso de aplicações de internet; (...).
27 MIRAGEM, Bruno., op.cit., nota 22.
28 BRASIL. Lei n 12.965, de 23 de abril de 2014. Estabelece princípios, garantias e deveres para o

uso da internet no Brasil. Brasília: Diário Oficial, 2014.

29 Ibidem.
30 Ibidem.
 34

estabelecer os parâmetros e diretrizes para a coleta, armazenamento e

compartilhamento de dados, o texto é claro acerca da exigência do tratamento de
dados siga os princípios fundamentais, como finalidade, adequação, necessidade,
livre acesso, qualidade, transparência, segurança. Prevenção, não discriminação,
responsabilização, bem como prestação de contas, conforme consta no artigo 6º, da
Lei 13.709/2018.
Tais princípios são imprescindíveis para o equilíbrio dos direitos e garantias de
segurança entre todas as partes envolvidas. Antes do MCI, um usuário deixava de ser
retido indefinidamente pelas empresas, ainda por cima, sem restrições acerca do
propósito do uso das mesmas.
Nesse diapasão, há sanções previstas para aqueles que não cumprem tais
regras, com sua aplicação regulamentada pelo Decreto n. 8.771/2016. No entanto,
ainda há inúmeros desafios enfrentados para cumprir com os requisitos de segurança
e privacidade dos dados pessoais coletados ilegalmente na rede. Embora não seja
um percentual exato de não conformidade, existem pesquisas que sugerem que tais
falhas persistem31.
Assim, a renomada Patrícia Peck sustenta o fato que:

Não podemos esquecer que o propósito inicial do Marco Civil foi o de

garantir a privacidade de dados de consumidores e ter a guarda
segura dos mesmos (igualando aos demais países do exterior),
complementando o Texto Constitucional, o Código de Defesa do
Consumidor e o Código Civil.32

A maioria dos serviços online enfatizam que aquele conteúdo compartilhado

por meio de seus usuários, permanecem na internet, mesmo após eles deixarem de
utilizar aquela determinada plataforma virtual. Tal fator, coloca a responsabilidade
sobre os indivíduos para considerar cuidadosamente o que desejam deixar como
legado digital, já que exercer o “direito do esquecimento” ainda é tecnicamente
desafiador33.
Diferentes setores de mercado são afetados de maneira desigual quando se
trata da aplicação dos princípios, como o da neutralidade, liberdade de expressão e
proteção da privacidade dos usuários da internet, no Brasil. Isso abrange áreas como

31
PECK, Patrícia., op.cit., nota 23.
32 Ibidem, p. 93.
33 Ibidem.
 35

telecomunicações, provedores de internet, de aplicativos diversos, portais de

conteúdo, redes sociais, empresas de serviço em nuvem, provedores de serviços de
monitoramento de atividades na web, bem como a geração de dados para o marketing
digital. Além disso, as empresas que utilizam do Big Data para enriquecer suas bases
de dados também possuem participação.
Em suma, uma faceta igualmente desafiadora é a criação de uma imagem
digital moldada pelos outros, sem que a pessoa em questão tenha controle ou
influência sobe isso. Portanto, em uma sociedade onde a informação se torna uma
mercadoria valiosa, ou seja, onde os dados dos usuários possuem valor econômico,
surge um conflito inerente entre o direito de acesso ao conteúdo e a necessidade de
proteger a privacidade.

3.3 Da Responsabilidade pela inviolabilidade de dados em rede

Consoante já mencionado anteriormente, efetivamente, desde a

implementação da LGPD, muitas empresas têm se dedicado a estabelecer iniciativas
de conformidade a fim de prevenir possíveis penalidades decorrentes de vazamentos
de dados e a exposição de deficiências na segurança da informação.
De acordo com a doutrinadora Nathalia Masson, a privacidade remonta:

A plena autonomia do indivíduo em reger sua vida do modo que

entender mais correto, mantendo em seu exclusivo controle as
informações atinentes à sua vida doméstica (familiar e afetiva), aos
seus hábitos, escolhas, segredos etc., sem se submeter ao crivo (e à
curiosidade) da opinião alheia.34

O direito à intimidade é exposto como algo restrito, instituindo a mesma autora

que: “As relações e opões mais íntimas e pessoais do indivíduo, compondo uma gama
de escolhas que se pode manter ocultas de todas as outras pessoas, até das mais
próximas.”35
À luz disso, a REASE (Revista Ibero Americana de Humanidades, Ciências e

34 MASSON, Nathalia. Manual de Direito Constitucional – JusPodivm, 2016. p. 233.

35 Ibidem, p. 234.
 36

Educação)36, sustentou no artigo de “A Responsabilidade Civil pelo vazamento digital

de dados sob a ótica do direito brasileiro”, expôs que:

A rede é alimentada através dos dados, que os próprios usuários

fornecem; dados estes, que são propagados em fração de segundos,
por meio da inteligência aplicada, tornando ainda mais vulneráveis as
violações de dados pessoais dos indivíduos. A coleta de dados na
internet, geralmente, acontece quando o indivíduo está na qualidade
de consumidor, ou seja, quando o mesmo realiza algum cadastro,
adquire e/ou utiliza dos serviços prestados pelas plataformas digitais.37

As entidades que atendem os critérios estabelecidos pelo artigo 1138, do Marco

Civil da Internet, está sujeita a esse regulamento, bem como a outras leis brasileiras
relacionadas à proteção de dados pessoais e à confidencialidade das comunicações
privadas. Isso se aplica a qualquer operação que envolva a coleta, armazenamento,
guarda ou processamento de registros, dados pessoais ou comunicações, desde que
pelo menos um desses atos ocorra em território nacional, incluindo as disposições da
Lei Geral de Proteção de Dados.
Desse modo, consequentemente, essas entidades devem cumprir a legislação
brasileira, sob pena de enfrentarem as penalidade estipuladas pelo artigo 12 39, do
MCI, caso não atendam às regras de privacidade e proteção de dados, que incluem
advertências, multas de até 10% do faturamento do grupo econômico no Brasil em
seu último exercício, suspensão temporária de atividades relacionadas à coleta,
armazenamento, guarda e tratamento de registros, dados pessoais ou comunicações,
e proibição de exercer tais atividades.

36 SOUZA, K. M. S. N. de, & Edler, G. O. B. A responsabilidade civil pelo vazamento digital de dados
sob a ótica do direito brasileiro. Revista Ibero-Americana De Humanidades, Ciências E Educação,
p. 3119–3138, 2022. Disponível em: https://doi.org/10.51891/rease.v8i5.6048. Acesso em: 20 set.
2023. p. 2.
37 Ibidem.
38Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados

pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo

menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a
legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das
comunicações privadas e dos registros.
39Art. 12. Sem prejuízo das demais sanções cíveis, criminais ou administrativas, as infrações às normas

previstas nos arts. 10 e 11 ficam sujeitas, conforme o caso, às seguintes sanções, aplicadas de forma
isolada ou cumulativa: I - advertência, com indicação de prazo para adoção de medidas corretivas; II -
multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício,
excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade
entre a gravidade da falta e a intensidade da sanção; III - suspensão temporária das atividades que
envolvam os atos previstos no art. 11; ou IV - proibição de exercício das atividades que envolvam os
atos previstos no art. 11.
 37

Por certo, o MCI, reafirmou a proteção de alguns direitos dos usuários de

internet no Brasil, os quais possuem prioridade sobre outros, bem como só podem ser
limitados por meio de uma ordem judicial emitida através de uma autoridade
devidamente qualificada para tal. Consoante, um desses direitos reforçados pela MCI
foi a garantia da inviolabilidade da intimidade e vida privada, com salvaguarda contra
danos materiais e morais, sujeitos ainda a indenização.
Ademais, é imprescindível ressaltar que a ANPD40 (Autoridade Nacional de
Proteção de Dados) foi estabelecida com o propósito de resguardar o mercado e
facilitar a implementação das medidas de proteção de dados. Seu papel é assegurar
a conformidade e a efetiva aplicação das regulamentações, seja através de diretrizes
suplementarem ou análises técnicas, assim como por meio de processos de
supervisão. Portanto, o cenário ideal seria contar com uma autoridade nacional
independente, capaz de operar de maneira eficaz e sustentável, alinhada com as
diretrizes do Regulamento Geral de Proteção de Dados (GDPR), como previsto na
legislação vigente41.
Como já mencionado anteriormente, a ANPD, exerce sua função por meio de
fiscalização, formulação de normas e imposição de sanções, tudo isso visando,
primordialmente, garantir uma proteção eficaz aos dados pessoais estipulados em
rede. O artigo 52 da legislação trata das possíveis sanções administrativas, as quais
não excluem a aplicação de sanções civeis e penais, sendo essas última o foco central
desta presente tese. Outrossim, de acordo com o artigo 42 da lei, se o controlador ou
operador de dados causar danos, é obrigatório que efetive a devida reparação.
Contudo, devido às inúmeras multas substanciais que a ANPD pode impor em
casos de violações de segurança, as empresas, por vezes, escolhem não divulgar tais
deficiências de conformidade. Isso, por sua vez, pode inadvertidamente incentivar
atividade criminosas, contribuindo para o aumento dos ataques de ransomware42, uma
ameaça predominante na atualidade.
Assim sendo, recentemente, foi observado um aumento significativo nos casos
de vazamento de dados. Conforme dados da empresa Surfshark, a qual é
especializada em ferramentas de privacidade e segurança online, o Brasil ficou em

40 No dia 28 de janeiro de 2021, a ANPD lançou suas diretrizes e calendário de atividades a ser seguido,
através da Portaria n. 11, de de 27 de janeiro de 2021.
41
PECK, Patrícia., op.cit., nota 23.
42 Ransomware é um software de extorsão que pode bloquear o computador e depois exigir um resgate

para desbloqueá-lo.
 38

sexto lugar no ranking dos países mais afetados por esse tipo de incidente em 2021,
consoante apontado por Castilho. Esse cenário também se refletiu no ambiente
empresarial, onde, somente no primeiro semestre de 2021, pelo menos 69
organizações brasileiras foram alvo de ataques de vazamento e sequestro de dados,
de acordo com informações da Apura Cyber Intelligence43.
Os Tribunais têm estabelecido que, para que surja a obrigação de indenizar o
titular, o vazamento de informações pessoais privadas, deve ter efetivamente causado
um dano comprovado. Sem esse elo, o direito à indenização não é reconhecido, o que
explica por que muitas ações não resultam em condenação alguma.
A responsabilidade civil possui uma natureza sancionatória. Dessa forma, é
incumbência do juíz competente de analisar a conduta ilícita, estabelecer a relação
entre a conduta e o dano sofrido e o que foi ganho em cima da vítima com o emprego
inadequado acerca de tais dados. Tal atitude é tomada com o intuito de prevenir tanto
o rastreamento digital, quanto a divulgação e uso não autorizado dessas informações
privadas. Isso visa evitar o crescimento de uma rede de agentes que atuam de forma
oculta, mobilizando recursos financeiros e manipulando informações em benefícios
próprios, assim como aqueles que utilizam a fim de fazer uso de propagandas e
comercialização futura, mesmo quando oficialmente representam uma empresa ou
governo44.
Ao considerarmos a responsabilidade civil na LGPD, é cristalino a distinção
entre relações civis e relações de consumo. É crucial notar que, sob a ótica dessa lei,
a previsão da responsabilidade recai não apenas sobre o controlador, bem como
sobre o operador. Conforme observado, o operado está sujeito às diretrizes do
controlador. No entanto, ele também executa atividades de tratamento de dados que
estão sujeitas às exigências da lei.
O próprio texto legal, em seu artigo 4245, estipula a existência de uma

43 CASTILHO. Luiz Ricardo de. O que podemos aprender com ano marcado por casos de
vazamentos de dados. Disponível em: https://www.conjur.com.br/2022-abr-19/luiz-castilho-casos-
vazamentos-dados2. Acesso em 10 mai. 2022
44 FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena. A Lei Geral de proteção de dados e suas

repercussões no Direito brasileiro. São Paulo: Ed.Thomson Reuters Brasil Conteúdo e Tecnologia
Ltda, 2019. Disponível em:
https://www.academia.edu/40040675/Fundamentos_da_prote%C3%A7%C3%A3o_dos_dados_pesso
ais_No%C3%A7%C3%B5es_introdut%C3%B3rias_para_a_compreens%C3%A3o_da_import%C3%A
2ncia_da_Lei_Geral_de_Prote%C3%A7%C3%A3o_de_dados. Acesso em: 5 maio 2021. p. 25.
45 Art. 42, §1º, I - o operador responde solidariamente pelos danos causados pelo tratamento quando

descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as

 39

solidariedade entre o controlador e operador, no que se refere à obrigação de reparar

eventuais danos. Assim, o número de processos nos Tribunais de Justiça Brasileiros,
que versam sobre o vazamento de dados, conforme as decisões:

AÇÃO DECLARATÓRIA DE INEXISTÊNCIA DE RELAÇÃO

JURÍDICA CUMULADA COM INDENIZAÇÃO POR DANOS MORAIS
- Sentença procedente - RECURSO DO AUTOR – Indenização por
danos morais fixada em R$ 2.000,00 – Valor insuficiente para reparar
o prejuízo extrapatrimonial sofrido - Valor da indenização majorado
para R$ 10.000,00, com incidência de juros a partir da data da
contratação indevida (Súmula 54 do STJ) e correção monetária a partir
do arbitramento (Súmula 362 do STJ) – Precedentes desta Câmara –
Determinação de exclusão dos dados do autor do banco de dados do
banco réu – Comunicação à ANPD é providência administrativa que
cabe à parte - Verba honorária de 20% do valor atualizado da
condenação – Sentença parcialmente reformada – RECURSO
PROVIDO.46

RESPONSABILIDADE CIVIL – Ação indenizatória por danos morais –

Sentença de improcedência – Irresignação da autora. Alegação de
recebimentos de mensagens de escritórios de arquitetura e
empresas de móveis planejados após compra de unidade
imobiliária no empreendimento da ré. Descabimento – Ausência de
comprovação de indevida comercialização de dados. Mensagens
sem qualquer menção do empreendimento adquirido pela autora.
Ademais, eventual vazamento de dados da autora, de forma isolada,
não seria suficiente para a conclusão de ocorrência de danos morais.
Era essencial que a apelante demonstrasse nos autos as
consequências diretas da disponibilização dos seus dados. Não se
cuida de hipótese de dano moral in re ipsa. Ou seja, não há presunção
de prejuízo moral, dependendo de adequada comprovação para o
surgimento do dever da apelada de indenizar a apelante. E no caso
concreto, a autora não comprovou qualquer dos prejuízos narrados na
petição inicial – Dano moral não configurado. Precedentes desta E.
Corte – Recurso desprovido.47

TUTELA DE URGÊNCIA – Ação de obrigação de fazer c.c.

indenizatória – Alegação de vazamento de dados pessoais, sem que
tenha a autora mantido relação jurídica com a ré ou autorizado o
arquivamento e comercialização de seus dados – Pedido de tutela de
urgência para a exclusão de seus dados da plataforma, sob pena de
multa cominatória – Probabilidade do direito e perigo de dano –
Existência – Inteligência do art. 300 do Código de Processo Civil. –
Presentes os requisitos para concessão da tutela de urgência,
previstos no art. 300 do Código de Processo Civil, da probabilidade do

instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos
casos de exclusão previstos no art. 43 desta Lei.
46 BRASIL. Poder Judiciário. TJSP; Apelação Cível 1012864-15.2021.8.26.0100; Órgão Julgador: 38º

Câmara de Direito Privado.

47 BRASIL. Poder Judiciário.TJSP; Apelação Cível 105216-77.2022.8.26.0224; Órgão Julgador: 10ª

Câmara de Direito Privado.

 40

direito e do perigo de dano, defere-se a tutela de urgência pretendida

pela autora, para a exclusão de seus dados da plataforma, sob pena
de multa cominatória, diante da alegação de vazamento de dados
pessoais, sem que tenha a autora mantido relação jurídica com a ré
ou autorizado o arquivamento e comercialização de seus dados.
RECURSO PROVIDO.48 (TJSP; Apelação Cível 2101193-
92.2021.8.26.0000; Órgão Julgador: 13ª Câmara de Direito Privado)

Em suma, segundo um artigo recente no site do JOTA da jornalista Letícia

Paiva, mais de 70% dos casos em que a LGPD foi invocada não resultaram em
condenação, como exposto a seguir:

Em menos de dois anos de vigência, a Lei Geral de Proteção de Dados

(LGPD) já possui casos em análise nos tribunais e começa a ter
delineadas as principais tendências em sua aplicação pelo Judiciário.
Em 2021, houve pelo menos 465 decisões sobre o tema – 77% delas
não resultaram em condenação, tendo sido arquivadas ou julgadas
improcedentes.49

Contudo, para que a responsabilidade civil seja estabelecida, três elementos

são fundamentais: a conduta, o nexo de causalidade e o dano 50. Além disso, a
legislação é ampla, atendendo a uma variedade de demandas e aplicando tanto a
responsabilidade civil subjetiva quanto a objetiva, o que traz a efetiva reparação ao
titular, em conformidade com os princípios constitucionais.
Portanto, a análise da responsabilidade civil torna-se essencial para
compreender possíveis falhas no tratamento e prevenção de futuros incidentes, o que
exige um entendimento abrangente do quadro legal apresentado ao longo do presente
trabalho.
Destarte, as inovações introduzidas pela imprescindível LGPD, é cristalino um
notável avanço na prevenção do vazamento de dados, e, por conseguinte, um freio
ao uso indevido dos mesmos, o que centraliza na presente tese. Essa evolução sugere
um futuro promissor para uma efetiva proteção de dados dos usuários em rede.

48 BRASIL. Poder Judiciário. TJSP; Apelação Cível 2101193-92.2021.8.26.0000; Órgão Julgador: 13ª
Câmara de Direito Privado.
49 PAIVA, Letícia. LGPD: 77% das decisões que citam lei não resultaram em condenação em 2021.

https://www.jota.info/justica/lgpd-condenacao-77-das-decisoes-nao-27012022. acesso em: 02 mai.

2023.
50 SOUZA, K. M. S. N. de, & Edler, G. O. B., op. cit., nota 36.
 41

4 CASUÍSTICA DA INVIOLABILIDADE DA PRIVACIDADE DOS

DADOS PESSOAIS DOS USUÁRIOS EM REDE

4.1 Cyrela: pioneira na condenação da LGPD

Consoante ao Site Canaltech51, por Felipe Demartini, a empresa Cyrela tornou-

se a pioneira em termos de penalização por violação da Lei Geral de Proteção de
Dados, com uma decisão judicial que obriga a pagar uma indenização de R$ 10 (dez)
mil a um cliente cujos dados foram compartilhados com parceiros, sem o devido
consentimento. A sentença foi proferida em outubro de 2020, em um processo que
estava em andamento desde o ano anterior.
O caso envolve um cliente que adquiriu um apartamento em novembro de 2018
e, posteriormente, começou a receber chamadas indesejadas de instituições
financeiras e empresas de decoração oferecendo serviços relacionados à compra do
imóvel. Para a referida juíza, presidenta no processo, nomeada Tonia Yuka Koroku,
da 13ª Vara Cível de São Paulo, a Cyrela não apenas violou as disposições da LGPD,
bem como os direitos garantidos pelo Código de Defesa do Consumidor e pela própria
Constituição.
Nesse ínterim, segundo interpretação da magistrada, a construtora
desrespeitou princípios como a honra e a privacidade do reclamante, invadindo sua
esfera íntima ao não apenas usar seus dados indevidamente, divulgando-os, mas
também expor detalhes sobre a aquisição do imóvel. A Juíza, Dra. Tonia, destacou
ainda, que o contrato entre as partes estipulava apenas a inclusão dos dados no
Cadastro Positivo e no banco de dados da companhia, sem informar ao cliente sobre
a transmissão das informações a parceiros comerciais ou terceiros.
O advogado do reclamante, Mario Filipe Cavalcanti de Souza Santos, informou
que a Cyrela inicialmente alegou não ter responsabilidade pelo compartilhamento dos
dados e chegou a solicitar uma condenação do cliente por danos morais. No entanto,
a relação foi confirmada por meio de uma troca de mensagens entre a construtora e

51DEMARTINI, Felipe. Cyrela é a 1ª empresa condenada por descumprir a LGPD e deve pagar R$ 10
mil. Canaltech. Disponível em: https://canaltech.com.br/juridico/cyrela-e-a-1a-empresa-condenada-
por-descumprir-a-lgpd-e-deve-pagar-r-10-mil-172465/. Acesso em: 08 out. 2023.
 42

o consumidor, na qual a representante da Cyrela afirmou que a empresa mantém

parcerias e oferece consultoria em relação ao pagamento de empreendimentos
vendidos, mesmo sem saber exatamente quem compartilhou os detalhes do
reclamante. A magistrada concordou com o demandante e rejeitou o pedido da
referida firma, argumentando que eventuais anos à sua reputação são resultados de
sua própria conduta.
Ademais à indenização, a decisão da 13ª Vara Cível de São Paulo proibiu a
construtora de compartilhar os dados pessoais ou financeiros de seus clientes com
terceiros sob pena de multa de R$ 300 (trezentos reais) para cada contrato
indevidamente compartilhado, cuja má utilização das informações seja comprovada.
Nesse sentido, a deliberação pôde ser objeto de recurso, mas acrescenta mais um
precedente que pode ser citado em outros casos semelhantes, como o da varejista
brasileira que também compartilhou cadastros sem o consentimento dos
consumidores, caso o qual será abordado oportunamente no presente capítulo.
Por fim, em comunicado encaminhado ao referido site, Canaltech, a Cyrela
abordou que estava ciente do veredito e que tomaria todas as medidas judiciais
cabíveis, no que se refere a ela. Outrossim, afirmou ainda que contratou profissionais
para a complementação de um programa que atenda às normas da Lei Geral da
Proteção de Dados, além de que estaria desenvolvendo treinamentos a fim de que
colaboradores e fornecedores cumpram a legislação em vigor.
Em suma, o comunicado da instituição,expõe:

A Cyrela comunica que tomou ciência da decisão proferida pela juíza

da 13ª Vara Cível do Foro Central e que seus advogados tomarão as
medidas judiciais cabíveis. A companhia reforça seu compromisso de
excelência com seus clientes e por isso contratou os melhores
profissionais para implementação de um amplo programa para atender
a Lei Geral de Proteção de Dados com o desenvolvimento de
treinamentos para todos os seus colaboradores e fornecedores.52

Entretanto, a despeito de que tenha sido a primeira sentença pela Lei Geral de
Proteção de Dados, segundo o site da CNN53, em 2021, o Tribunal de Justiça de São

52 QUEIROZ, Luiz. Cyrela informa que está se adequando à LGPD e deverá recorrer de decisão judicial.
Capital Digital. 01 out. 2020. Disponível em: https://capitaldigital.com.br/cyrela-informa-que-esta-se-
adequando-a-lgpd-e-devera-recorrer-de-decisao-judicial/. Acesso em: 07 out. 2023.
53 ELIAS, Juliana. Justiça reverte decisão e inocenta Cyrela em 1º caso da lei de proteção de dados.

CNN Brasil Business, São Paulo. Disponível em: https://www.cnnbrasil.com.br/economia/justica-

reverte-decisao-e-inocenta-cyrela-em-1-caso-da-lei-de-protecao-de-dados/. Acesso em: 08 out. 2023.
 43

Paulo reverteu, em segunda instância, a condenação da construtora Cyrela no caso

de compartilhamento de dados e contatos de cliente com lojas e bancos, sem seu
conhecimento, após a compra de um imóvel da mesma.

4.2 O Impacto do Escândalo de Uso Indevido da Política de Dados Pessoais pelo

Facebook

4.2.1 Introdução à política de dados pessoais do Facebook

Em síntese, o Facebook é uma rede social acessível tanto através da web,

quanto por meio de aplicativos móveis disponíveis para iOS, Android, BlackBerry e
Windows Phone. Essa plataforma permite aos usuários compartilhar uma variedade
de conteúdos, como fotos e vídeos, além de facilitar a troca de mensagens com
amigos. Outrossim, os usuários podem publicar atualizações sobre suas atividades,
empregar uma ampla gama de emoticons e símbolos, dar curtidas e comentar nas
postagens de outros users. Além disso, que ainda oferece jogos, eventos e grupos
voltados para diversos interesses, como acadêmicos e empresariais, sendo ainda de
acesso gratuito à plataforma.
Conforme informações da seção “Abra uma conta”, disponível na página inicial
do Facebook, determina-se que a rede social é um meio pelo qual permite que
qualquer indivíduo crie um perfil pessoal a partir de seu nome, sobrenome, data de
nascimento, sexo, endereço de e-mail e senha. Assim, ao criar o perfil pessoal na
comunidade do aplicativo, esses usuários concordam com os Termos de Serviço54 a
plataforma, bem como a política de dados pessoais55, assunto já mencionado
anteriormente acerca dos termos de consentimento.56
Ademais, nos termos da Política de Dados, essas informações são usadas de

54 FACEBOOK. Termos de Serviço. 2015. Disponível em: https://www.facebook.com/terms.php.

Acesso em: 30 set. 2023.
55 Ibidem.
56 KREIN, Julia. Revista de Defesa da Concorrência. Disponível em:
https://revista.cade.gov.br/index.php/revistadedefesadaconcorrencia/article/view/382. Acesso em: 30
set. 2023. p. 5.
 44

diversas formas, sendo a primeira finalidade da personalização no Facebook, reside

na melhoria da experiência do usuário, o que implica em utilizar dados de interações
anteriores para fornecer sugestões e conteúdo personalizado, levando em conta
preferências de conteúdo e informações como a localização do usuário, oferecendo
recomendações oportunas. A segunda finalidade concentra-se na comunicação direta
com usuários, ou seja, envio de comunicações de marketing, visando manter um
diálogo ativo e respeitoso com os usuários, garantindo uma interação transparente e
valiosa.
Assim, a terceira finalidade se volta à personalização de anúncios exibidos na
plataforma, buscando aumentar a relevância dos anúncios para o usuário em
contextos externos, o que faz com a empresa apresente experiências publicitárias
mais alinhadas com os interesses do usuário.
Por fim, a quarta finalidade é a segurança das contas dos users, em que o
Facebook emprega personalização para analisar comportamentos que desviem dos
padrões comuns do usuário, além de detectar atividades suspeitas e proteger a
integridade das contas, demonstrando um compromisso com a segurança digital. Em
suma, desempenham um papel essencial na otimização da experiência, mas garante
a segurança e promove comunicação eficaz57
Nesse diapasão, os anúncios direcionados aos usuários são direcionados com
base nos comportamentos, pesquisas e preferências de cada um 58 ou seja, se o
usuário pesquisa por bolsas com frequência possui mais perspectiva de ver um
anúncio de uma bolsa do que de um óculos.
Assim, tais padrões de comportamento são adquiridos pela empresa por meio
de duas maneiras distintas, sendo uma delas através das informações fornecidas
voluntariamente por meio dos próprios usuários durante o processo de registro, com
nome, e-mail e localização; o outro modo é o de sofisticadas ferramentas de
monitoramento que são incorporadas nos dispositivos dos usuários ao utilizar os
serviços da rede social59, principalmente através do uso de cookies60.

57 KREIN, Julia., op.cit., nota 56.

58 HOOFNAGLE; SOLTANI, Ashkan; GOOD, Nathaniel; WAMBACH, Dietrich J. AYENSON, Mika D.
Behavioral Advertising: The Offer You Cannot Refuse. Harvard Law & Policy Review - Harvard
University Press. v. 6. p. 273-296.
59 Ibidem.
60 ENGLEHARDT, Steven; NARAYANAN, Arvind. Online tracking: A 1-million-site measurement and

analysis. In: Proceedings of the 2016 ACM SIGSAC conference on computer and communications
security. 2016. p. 1388-1401. Disponível em: https://dl.acm.org/doi/abs/10.1145/2976749.2978313.
Acesso em: 07 fev. 2024.
 45

Desse modo:

Anunciantes têm utilizado tecnologias com as quais os consumidores

não estão familiarizados, especificamente como forma de anular as
configurações e preferências dos usuários. Anúncios
comportamentais – e o monitoramento que os acompanha – é uma
oferta que não se pode recusar, não porque são tentadores, mas
porque atores sofisticados, dominantes no mercado, controlam as
próprias plataformas que são utilizadas para acessar a internet.61

Nesse sentido, plataformas de redes sociais são desenhadas para estabelecer

conexões entre usuários e anunciantes, sendo que os usuários se configuram como
o ponto central para o progresso da plataforma. Isto acarreta na plataforma
estabelecendo um preço de acesso de zero custo aos usuários, como uma forma de
promover a adesão, enquanto, simultaneamente, faz uso indevido dos dados pessoais
fornecidos pelos users para a aprimorar a pertinência dos anúncios exibidos.
Este processo implica que a utilização dessas informações pessoais privadas
possui implicações econômicas no âmbito da competição entre plataformas digitais.
Esse valor econômico ressalta a viabilidade de que dados pessoais possam ser
empregados de modo a influenciar a concorrência, caso a empresa que adote a
prática possua uma posição dominante no mercado.

4.2.2 Da inviolabilidade do Facebook na quebra de sigilo e coleta indevida de dados

pessoais em rede

Inicialmente, cumpre ressaltar que após a promulgação da Emenda

Constitucional 115/2022, houve um reforço significativo na proteção de dados
pessoais. A determinação enfatizou as disposições da LGPD, como já mencionado
em todo o escopo textual, em que o zelo pela privacidade e capacidade do indivíduo
de decidir acerca de suas próprias informações, apenas com o consentimento do
mesmo.
A BBC NEWS, por meio do site do G1, explorou essa temática afundo trazendo

61HOOFNAGLE; SOLTANI, Ashkan; GOOD, Nathaniel; WAMBACH, Dietrich J. AYENSON, Mika D.,
op. cit., nota 58.
 46

informações e notícias acerca do vazamento de dados, que expôs informações

pessoais de mais de 50 milhões de usuários62, sem ao menos o consentimento delas
pela empresa americana Cambridge Analytica63, a fim de fazer propaganda política64.
Assim, a empresa teria tido acesso aos dados ao lançar o aplicativo de teste
psicológico em rede, em que aqueles usuários do Facebook que participaram do teste,
consequentemente, sem o consentimento dos mesmo, entregaram à Cambridge não
só suas informações pessoais, como também dados de todos os amigos de seu perfil.
A denúncia realizada por meio dos meios de comunicação jornalísticos The
New York Times e The Guardian, fez com que dúvidas fossem levantadas acerca da
transparência e compromisso da empresa, a qual propôs em seus termos consentidos
no momento de registro da conta, a proteção, e, por conseguinte, a segurança dos
dados dos usuários.
Dessa maneira, um antigo membro da equipe da empresa, Christopher Wylie,
expôs ao jornal The Guardian, que o plano se iniciou em 2014, ou seja, dois anos
antes das eleições presidenciais nos Estados Unidos em 2016, e três anos antes do
referendo do Brexit. Os dados dos usuários do Facebook foram reunidos por meio de
um aplicativo intitulado “this is your digital life”, que ofereceu pequenas quantias em
dinheiro a centenas de milhares de usuários em troca da participação em um teste de
personalidade e da autorização para a coleta dos dados com fins acadêmicos.
O aplicativo, foi desenvolvido por Aleksandr Kogan, da Universidade de
Cambridge, coletou dados de usuários do Facebook para uma pesquisa sobre
personalidade e inclinações políticas. A Cambridge Analytica, não possuia ligação
com a universidade, apenas adquirido tais dados. O problema surgiu quando o
aplicativo também capturou informações de amigos do usuários que fizeram o teste,
incluindo detalhes pessoais e preferências. Isso ocorreu em virtude de uma falha nas
políticas do Facebook.
A empresa não foi hackeada, mas obteve dados legitimamente e os usou de
modo contrário às regras da própria rede social. Assim, como já mencionado, mais de

62KREIN, Julia., op.cit., nota 56.

63‘Entenda o escândalo de uso político de dados que derrubou valor do Facebook e o colocou na mira
das autoridades’. BBC. Disponivel em: https://g1.globo.com/economia/tecnologia/noticia/entenda-o-
escandalo-de-uso-politico-de-dados-que-derrubou-valor-do-facebook-e-o-colocou-na-mira-de-
autoridades.ghtml. Acesso em: 30 set. 2023.
64 ROSENBERG, Matthew; CONFESSORE, Nicholas; CADWALLADR, Carole. How Trump

Consultants Exploited the Facebook Data of Millions. 2018. Disponível em: https://nyti.ms/2GB9dK.
Acesso em: 01 out. 2023.
 47

50 milhões de usuários tiveram suas informações coletadas sem o devido

consentimento, a maioria nos Estados Unidos da América (EUA). Os dados foram
vendidos à Cambridge Analytica para personalizar campanhas políticas, favorecendo
Donald Trump em detrimento de Hillary Clinton. Essa base de dados permitiu com que
as campanhas segmentassem mensagens para persuadir eleitores indecisos de
maneira eficaz.
À luz disso, a partir do momento em que ocorre violação dos direitos
fundamentais da personalidade, na qual protege a intimidade, a vida privada, a honra
e a imagem, deve-se impor indenizações por dano moral ou material. Assim, o juiz
Doulas de Melo Martins, da Vara de Interesses Difusos e Coletivos do Tribunal de
Justiça do Maranhão – TJ-MA – sentenciou a empresa, Facebook, pelo pagamento
de indenização por danos morais no montante de R$ 500 a cada usuário diretamente
atingido por vazamento de dados pessoais ocorrido em 2021. No Brasil, 8,064 milhões
de pessoas tiveram infomações sensíveis expostas pela empresa65.
Ademais, a companhia foi sentenciada a indenizar em R$ 72 milhões por danos
morais coletivos, sendo esse montante direcionado ao Fundo Estadual de Interesses
Difusos. O veredicto atendeu parcialmente aos pleitos apresentados em uma ação
civil coletiva promovida pelo Instituto Brasileiro de Defesa das Relações de Consumo
(Ibedec/MA). O Instituto alegou que o Facebook violou a Lei Geral de Proteção de
Dados – LGPD, a qual é assegurada aos consumidores à sua respectiva privacidade,
intimidade, honra e imagem, ao permitir o vazamento indiscriminado de dados
pessoais, como números de telefone, e-mail, nomes, datas de nascimento e locais de
trabalho.
A salvaguarda dos dados pessoais foi reforçadas após a ratificação da Emenda
Constitucional 115/2022. A decisão também ressaltou as diretrizes da Lei Geral de
Proteção de Dados, que fundamenta o respeito à privacidade e à autonomia
informativa, estabelecendo que o processamento de dados pessoais somente pode
ocorrer com o consentimento do titular.66
Ademais, o magistrado expôs acerca do Marco Civil da Internet, o qual
estabelece princípios, garantias, deveres e direitos para a utilização da internet no

65 Juiz condena Facebook a indenizar 8 milhões de pessoas por vazamento de dados. Revista
Consultor Jurídico. Disponível em: https://www.conjur.com.br/2023-mar-23/juiz-condena-facebook-
indenizar-milhoes-vazamento-dados. Acesso em 01 out. 2023.
66 Ibidem.
 48

Brasil, bem como a defesa do consumidor online, do qual o juiz dispôs:

Oportuno pontuar que os agentes de tratamento devem adotar

medidas de segurança, técnicas e administrativas, aptas a proteger os
dados pessoais de acessos não autorizados e de situações acidentais
ou ilícitas de destruição, perda, alteração, comunicação ou qualquer
forma de tratamento inadequado ou ilícito.67

Assim, Martins concluiu que a empresa Facebook agiu de maneira

flagrantemente contrária às leis brasileiras ao permitir que informações de milhões de
usuários fossem extraídas de suas plataformas por meio de ferramentas
automatizadas. Isso independe do fato de que o ato ilícito tenha sido perpetrado por
terceiros, visto que a responsabilidade de assegurar a proteção dos dados pessoais
dos usuários recai sobre a própria companhia68.
Ademais, citou o caso da Petrobrás, a qual foi obrigada a pagar multa de US$
853,2 milhões, o que equivale a R$ 4,21 milhões. Destacando ainda que:

Deve-se considerar que o vazamento de dados atingiu uma gama

relevante de usuários em todo o país e que, em casos semelhantes ao
discutido nesta lide, a parte ré propôs acordos e recebeu condenações
milionárias pela prática reiterada de vazamentos de dados, como no
caso 'Cambridge Analytica', em que o Facebook recebeu multa de US$
5 bilhões, aplicada pela Federal Trade Commission (FTC), pelo uso
indevido de dados pessoais de aproximadamente 87 milhões de
usuários69

Por fim, o Facebook registrou uma queda de quase US$ 100 bilhões em seu
valor de mercado, desde fevereiro, além de estar sob escrutínio em uma investigação
conduzida pelo Congresso americano. A empresa está respondendo às críticas e
preocupações dos investidores ao implementar mudanças em suas políticas de
privacidade e uso de dados. Uma medida como essa envolve a restrição do acesso
de aplicativos e outras empresas a informações dos usuários.
Em suma, a empresa não permitirá mais que os usuários busquem por pessoas

67
Juiz condena Facebook a indenizar 8 milhões de pessoas por vazamento de dados. Revista
Consultor Jurídico. Disponível em: https://www.conjur.com.br/2023-mar-23/juiz-condena-facebook-
indenizar-milhoes-vazamento-dados. Acesso em 01 out. 2023.
68 Ibidem.
69
BESSA, Leonardo Roscoe., op.cit., nota 10.
 49

no site usando números de telefone ou e-mail.70

4.3 O uso impróprio de Dados da Netshoes: implicações jurídicas à luz da LGPD

A Netshoes é uma empresa brasileira especializada em comércio eletrônico de

artigos esportivos, estabelecida em fevereiro de 2000, por Marcio Kumruian e Hagop
Chabab. Em 2019, a empresa foi adquirida pela Magazine Luiza. Assim, segundo o
IBEVAR é a marca de varejo de calçados multimarcas mais bem avaliada pelos
consumidores em termo de admiração71.
Desse modo, o Ministério Público, em meados de janeiro de 2018, detectou
incidente de segurança que comprometeu dados pessoais de clientes da Netshoes.
Estas informações incluem nomes, CPF, e-mail, datas de nascimento e histórico de
compras. Apesar de não terem sido expostos dados críticos como número de cartão
de crédito ou senhas, esse vazamento deixou os afetados suscetíveis a diversos tipos
de fraudes.
As investigações revelaram que o vazamento de dados pessoais atingiu uma
categoria especial de indivíduos, incluindo centenas de servidores públicos com
exposição política. Uma análise minuciosa das informações expostas apontou vários
clientes que estavam registrados com endereços de e-mail vinculados a órgãos
públicos proemientes, tais como a Presidência da República (@presidencia.gov.br), o
Supremo Tribunal Federal (@stf.jus.br), a Polícia Federal (@dpf.gov.br), a Câmara
dos Deputados (@camara.leg.br), o Tribunal de Contas da União (@tcu.gov.br), o
Ministério da Justiça (@mj.gov.br), a Advocacia-Geral da União (@agu.gov.br), o
Tribunal de Justiça do Distrito Federal e Territórios (@tjdft.jus.br) e o Superior Tribunal
de Justiça (@stj.jus.br).72
Este cenário levantou sérias preocupações sobre a segurança e a privacidade
dos dados pessoais, especialmente quando se trata de indivíduos em posições

70 Facebook admite uso indevido de dados de 87milhões de usuários, 443 mil no Brasil. BBC News.
Disponível em: https://www.bbc.com/portuguese/geral-43646687. Acesso em: 01 out. 2023.
71 Carrefour lidera ranking das maiores empresas varejistas no Brasil - Mercado&Consumo. Redação.

2022. Disponível em: https://pt.wikipedia.org/wiki/Netshoes. Acesso em 02 out. 2023.

72 Netshoes terá de pagar R$ 500 mil por vazamento de dados de 2 milhões de clientes. G1 DF.

Disponível em: https://g1.globo.com/df/distrito-federal/noticia/2019/02/05/netshoes-tera-de-pagar-r-

500-mil-por-vazamento-de-dados-de-2-milhoes-de-clientes.ghtml. Acesso em: 02 out. 2023.
 50

destacadas no setor público. A exposição dessas informações sensíveis pode ter

implicações significativas não apenas para os afetados, bem como para a reputação
da empresa em conformidade com a legislação de proteção de dados vigente
(LGPD).73
O Ministério Público determinou que a Netshoes tomasse uma série de
medidas em resposta ao incidente de segurança, incluindo a implementação de
medidas adicionais para a proteção dos dados pessoais dos clientes; a realização de
campanhas de conscientização acerca das “melhores práticas para privacidade”; e
entrar em contato por telefone com quase 2 milhões de clientes afetados pelo
vazamento de dados pessoais.
Assim sendo, a empresa assegurou que a proteção de dados é um de seus
compromissos mais sólidos. A empresa ressaltou que desde o início do incidente, tem
colaborado com as autoridade competentes para investigar, esclarecer e resolver o
ocorrido com total transparência. Apesar do vazamento, a empresa afirmou que não
há indícios de invasão em sua infraestrutura tecnológica, bem como que contou com
suporte de uma empresa especializada em segurança digital para conduzir a
investigação interna74.
Em suma, a plataforma de comércio online foi condenada a compensar R$ 500
mil por danos morais devido à inviolabilidade de informações de quase dois milhões
de usuários.

4.4 Remni: a coleta e o conseguinte uso dos dados de seus usuários

O aplicativo Remni, cria fotos por meio da inteligência artificial, fazendo o uso
da imagem do usuário. Assim, o aplicativo causou um verdadeiro furor na internet,
utilizando da inteligência artificial, oferece uma projeção de como seriam os filhos de
uma pessoa baseando-se em seu rosto. Após se tornar viral, o aplicativo ultrapassou
o Threads, concorrente do Twitter, lançado pelo Meta, e se tornou o aplicativo mais

73 Netshoes terá de pagar R$ 500 mil por vazamento de dados de 2 milhões de clientes. G1 DF.
Disponível em: https://g1.globo.com/df/distrito-federal/noticia/2019/02/05/netshoes-tera-de-pagar-r-
500-mil-por-vazamento-de-dados-de-2-milhoes-de-clientes.ghtml. Acesso em: 02 out. 2023
74 Ibidem.
 51

baixado na loja de aplicativos na Apple75.

Nesse contexto, para utilizá-lo, é necessário o fornecimento de pelo menos oito
fotos, a partir das quais o programa gera imagens que incluem projeções de gravidez
e a aparência dos filhos da pessoa na imagem, além de outras inúmeras opções como
uma versão policial, por exemplo. O Remni é um serviço pago que opera por meio de
assinatura, mas oferece período gratuito de teste, ou seja, em muitos aspectos ele se
assemelha ao Lensa, sendo assim uma plataforma semelhante que também faz uso
da inteligência artificial.
Dessa maneira, nos aplicativos, Tiktok e Twitter, imagens realista criadas por
meio desse aplicativo em questão, se tornaram virais, o que fez com que
impulsionasse ainda mais sua popularidade. Essa súbita fama levantou questões
sobre os criadores do aplicativo e quais tipos de dados ele armazena.
O programa foi desenvolvido por meio da empresa italiana de tecnologia,
Bending Spoons, e de acordo com o site oficial da empresa, o aplicativo está em
conformidade com as leis da Itália e segue as regulamentações do RGPD
(Regulamento Geral sobre a Proteção de Dados), uma das legislações mais rigorosas
nesse sentido, o que diferencia do Threads, que pode nunca ser lançado na União
Europeia.
Não obstante, o aplicativo coleta uma variedade de dados dos usuários por até
10 (dez) anos, bem como ainda requer a exclusão da conta para eliminar
completamente essas informações dos servidores da empresa. Isso pode ser
realizado mediante envio de e-mail com a conseguinte solicitação da exclusão dos
dados.
Assim, o software coleta as informações, como endereço IP, modelo e tipo de
dispositivo, versão do sistema operacional, dentre outros dados do aparelho utilizado
a fim de acessar o aplicativo, inclusive para escopos de marketing. Em suma, em
termos práticos, isso significa que as avatares e imagens criados no aplicativo, podem
ser utilizados em campanhas publicitárias ou compartilhados em redes sociais.
Ademais, o programa coleta dados faciais, porém, relata que esses dados “não
possibilitam a identificação ou autenticação única das pessoas” e são excluídos após
um dia, conforme política da empresa. Nesse diapasão, em “circunstâncias especiais”,

75 SIQUEIRA, Felipe. Remni: aplicativo que cria fotos de filhos com IA armazena dados pessoais até

10 anos. R7. Disponível em: https://noticias.r7.com/tecnologia-e-ciencia/app-remini-fotos-bebes-dados-

armazenados-10-anos-18072023#/foto/3. Acesso em: 08 out. 2023.
 52

os dados podem ser retidos nos servidores por até 10 anos, embora o prazo normal
seja de 2 (dois) anos, em concordância com os termos de uso do aplicativo.
Durante esse período, os dados pessoais podem ser acessados por
consultores, empresas de marketing e TI. Por fim, podem ainda serem transferidos
em caso de aquisição da Bending Spoons por outra empresa, inclusive em caso de
falência76.

76 SIQUEIRA, Felipe., op. cit., nota 75.

 53

5 CONCLUSÃO

Em uma síntese conclusiva, tem-se que, na Era Digital, a troca de dados

pessoais é frenética e crucial para empresas e autoridades públicas, no entanto, por
diversas vezes, como as elencadas anteriormente, a segurança desses dados é
negligenciada, representando uma ameaça aos direitos fundamentais, singularmente
no que diz respeito ao direito à proteção de dados e sua conseguinte privacidade.
Nessa toada, a Lei Geral de Proteção de Dados foi um marco legal
imprescindível ao Brasil, no qual estabelece direitos e enfatiza a necessidade da
proteção dos dados pessoais de usos discriminatórios.
Todavia, desafios persistem, principalmente com o uso do Big Data e
Inteligência Artificial, os quais também envolvem dados de terceiros. Ademais, a
proteção de dados está intrinsecamente ligada à autodeterminação informativa e ao
controle sobre esses dados, em um contexto de sobressairem economicamente e
ilegalmente em cima dos usuários e clientes.
A Norma Geral de Proteção de Dados, elencada como Lei 13.709/2018, é
crucial, a qual marcou um avanço histórico, em simultâneo a atuação, imprescindível,
da Autoridade Nacional de Proteção de Dados, com o intuito de garantir a efetividade
dessa legislação. Ainda assim, a proteção dos dados é um desafio não só no Brasil,
como globalmente, diante do domínio das gigantes tecnologias, bem como de
indivíduos que, infelizmente, não respeitam a lei.
Por fim, é crucial agir para o devido fortalecimento prático, e não só teórico, dos
direitos individuais acerca de suas informações pessoais privadas, que devem
permanecer em modo de privacidade, visto que não ocorre com praticabilidade aos
dias atuais, os quais estão em constante evolução digitalmente descrevendo.
 54

REFERÊNCIAS

BESSA, Leonardo Roscoe. LGPD: direito ou dever de privacidade?. Consultor

Jurídico. 2021. Disponível em: https://www.conjur.com.br/2021-fev-08/leonardo-
bessa-lgpd-direito-ou-dever-privacidade. Acesso em: 26 jul. 2023.

BIONI, Bruno Ricardo; MENDES, Laura Schertel; MARTINS, Pedro; RIELLI, Mariana
Marques; MONTEIRO, Renato Leite; RIBEIRO, Márcio Moretto; KITAYAMA, Marina;
Dias, Daniel; ZANATTA, Rafael A. F.; JARDIM, Daniela; LUCIANO, Maria; LEITE,
Jessica Silveira; LEVY, Maria Cau. Proteção de dados, contexto, narrativas e
elementos fundantes. Disponível em: https://brunobioni.com.br/livros/protecao-de-
dados/. Acesso em: 20 mai. 2023.

BOBBIO. Norberto. L’età dei diritti. Torini: Einaudi - “I diritti sono prodotti storici,
nascono da bisogni, quando storicamente emergono”. p. 64, 2014.

BRANDÃO, André Martins. Sujeito e decisão na sociedade de dados. Doutorado

em direito. São Paulo, 2017. Disponível em:
https://repositorio.pucsp.br/bitstream/handle/20603/2/Andr%C3%A9%20Martins%20
Brand%C3%A3o.pdf. Acesso em: 14 jul. 2023.

BRASIL. Lei n 12.965, de 23 de abril de 2014. Estabelece princípios, garantias e

deveres para o uso da internet no Brasil. Brasília: Diário Oficial, 2014.

BRASIL. Poder Judiciário. TJSP; Apelação Cível 1012864-15.2021.8.26.0100; Órgão

Julgador: 38º Câmara de Direito Privado.

BRASIL. Poder Judiciário. TJSP; Apelação Cível 2101193-92.2021.8.26.0000; Órgão

Julgador: 13ª Câmara de Direito Privado.

BRASIL. Poder Judiciário.TJSP; Apelação Cível 105216-77.2022.8.26.0224; Órgão

Julgador: 10ª Câmara de Direito Privado.

Carrefour lidera ranking das maiores empresas varejistas no Brasil -

Mercado&Consumo. Redação. 2022. Disponível em:
https://pt.wikipedia.org/wiki/Netshoes. Acesso em 02 out. 2023.

CHAVES, Maria Eduarda de Arruda. O vazamento de dados sob a perspectiva da

lgpd e sua correlação com os crimes cibernéticos. 2022. Artigo. Universidade São
Judas Tadeu, São Judas Tadeu, 2022. Disponível em:
https://repositorio.animaeducacao.com.br/handle/ANIMA/28226. Acesso em: 20 ago.
2023.

DEMARTINI, Felipe. Cyrela é a 1ª empresa condenada por descumprir a LGPD e deve

pagar R$ 10 mil. Canaltech. Disponível em: https://canaltech.com.br/juridico/cyrela-e-
a-1a-empresa-condenada-por-descumprir-a-lgpd-e-deve-pagar-r-10-mil-172465/.
Acesso em: 08 out. 2023.
 55

DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. 2011.
Fundação Getúlio Vargas - Espaço Jurídico Journal of Law, 2011. Disponível em:
https://periodicos.unoesc.edu.br/espacojuridico/article/view/1315. Acesso em: 10 out.
2023.

DONEDA, Danilo. Proteção de dados pessoais. p. 78 - 151. Rio de Janeiro: Forense,

2021.

DUTRA, Quésia Falcão de. O caso Klara Castanho e a LGPD. Disponível em:
https://www.migalhas.com.br/depeso/368891/o-caso-klara-castanho-e-a-lgpd.
Acesso em: 01 out. 2023.

ELIAS, Juliana. Justiça reverte decisão e inocenta Cyrela em 1º caso da lei de

proteção de dados. CNN Brasil Business, São Paulo. Disponível em:
https://www.cnnbrasil.com.br/economia/justica-reverte-decisao-e-inocenta-cyrela-em-
1-caso-da-lei-de-protecao-de-dados/. Acesso em: 08 out. 2023.

ENGLEHARDT, Steven; NARAYANAN, Arvind. Online tracking: A 1-million-site

measurement and analysis. In: Proceedings of the 2016 ACM SIGSAC conference
on computer and communications security. 2016. p. 1388-1401. Disponível em:
https://dl.acm.org/doi/abs/10.1145/2976749.2978313. Acesso em: 07 fev. 2024.

Entenda o escândalo de uso político de dados que derrubou valor do Facebook e o

colocou na mira das autoridades. BBC. Disponivel em:
https://g1.globo.com/economia/tecnologia/noticia/entenda-o-escandalo-de-uso-
politico-de-dados-que-derrubou-valor-do-facebook-e-o-colocou-na-mira-de-
autoridades.ghtml. Acesso em: 30 set. 2023.

Facebook admite uso indevido de dados de 87milhões de usuários, 443 mil no Brasil.
BBC News. Disponível em: https://www.bbc.com/portuguese/geral-43646687. Acesso
em: 01 out. 2023.

FACEBOOK. Política de dados. 2016. Disponível em

https://www.facebook.com/about/privacy/. Acesso em 30 set. 2023.

FACEBOOK. Termos de Serviço. 2015. Disponível em:

https://www.facebook.com/terms.php. Acesso em 30 set. 2023.

FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato. Lei Geral de Proteção
de dados pessoais e suas repercussões no Direito Brasileiro. Revista dos Tribunais.
Disponível em:
https://bdjur.stj.jus.br/jspui/bitstream/2011/138898/SUMARIO_lei_geral_protecao_tep
edino_2020.pdf. Acesso em: 21 mai. 2023.

FUSTER, Gloria González. Página 56. The emergence of personal data protection
as a fundamental right of the eu. Springe: Brussels, p. 56, 2014.

GUNDIM, Wagner Wilson Deiró. A liberdade de expressão na sociedade de dados.

Londrina, 2021. Democracia 4.0. Disponível em:
https://editorathoth.com.br/produto/democracia-40-a-liberdade-de-expressao-na-
 56

sociedade-de-dados/330. Acesso em: 15 mai. 2023.

HOOFNAGLE; SOLTANI, Ashkan; GOOD, Nathaniel; WAMBACH, Dietrich J.

AYENSON, Mika D. Behavioral Advertising: The Offer You Cannot Refuse. Harvard
Law & Policy Review - Harvard University Press. v. 6. p. 273-296.

Juiz condena Facebook a indenizar 8 milhões de pessoas por vazamento de dados.

Revista Consultor Jurídico. Disponível em: https://www.conjur.com.br/2023-mar-
23/juiz-condena-facebook-indenizar-milhoes-vazamento-dados. Acesso em 01 de out.
de 2023.

KREIN, Julia. Revista de Defesa da Concorrência. p. 09 e 10. Disponível em:

https://revista.cade.gov.br/index.php/revistadedefesadaconcorrencia/article/view/382.
Acesso em: 30 set. 2023.

MCDONALD, Aleecia M.; CRANOR, Lorrie Faith. The cost of Reading Privacy Polices.
Journal of Law and Policy for the information Societ, v. 4. p. 543 à 568, 2008.

NEGRI, Sergio Marcos Carvalho de Ávila; KORKMAZ, Maria Regina Detoni Cavalcanti
Rigolon. A normatividade dos dados sensíveis na Lei Geral de Proteção de
Dados: ampliação conceitual e proteção da pessoa humana. Disponível em:
http://dx.doi.org/10.26668/IndexLawJournals/2526-0049/2019.v5i1.5479. Acesso em:
12 jun. 2023.

Netshoes terá de pagar R$ 500 mil por vazamento de dados de 2 milhões de clientes.
G1 DF. Disponível em: https://g1.globo.com/df/distrito-
federal/noticia/2019/02/05/netshoes-tera-de-pagar-r-500-mil-por-vazamento-de-
dados-de-2-milhoes-de-clientes.ghtml. Acesso em: 02 out. 2023.

Netshoes vaza dados de quase 2 milhões de clientes e recebe multa de R$ 500 mil.
Equipe Domine a LGPD. Disponível em: https://www.dominealgpd.com/vazamento-
dados-netshoes. Acesso em: 02 out. 2023.

PAIVA, Letícia. LGPD: 77% das decisões que citam lei não resultaram em
condenação em 2021. Disponível em: https://www.jota.info/justica/lgpd-condenacao-
77-das-decisoes-nao-27012022. Acesso em: 02 mai. 2023.

PARENTONI, Leonardo; LIMA, Henrique Cunha Souza. Protection of personal data

in Brazil: internal antinomies and international aspects. p. 2. Disponível em:
https://papers.ssrn.com/sol3/papers. cfm?abstract_id=3362897. Acesso em: 26 jul.
2023.

PECK, Patrícia. Quem defende seus dados? INTERNETLAB, 2020. Disponível em:
http://quemdefendeseusdados.org.br/pt/. Acesso em: 30 ago. 2023.
QUEIROZ, Luiz. Cyrela informa que está se adequando à LGPD e deverá recorrer de
decisão judicial. Capital Digital. 01 out. 2020. Disponível em:
https://capitaldigital.com.br/cyrela-informa-que-esta-se-adequando-a-lgpd-e-devera-
recorrer-de-decisao-judicial/. Acesso em: 07 out. 2023.

RODOTÁ, Stefano. A vida na sociedade da vigilância - privacidade hoje. Traduzido

 57

por Danilo Doneda e Laura Cabral Doneda. Rio: Renovar. p. 18 e 19, 2008.

ROSENBERG, Matthew; CONFESSORE, Nicholas; CADWALLADR, Carole. How

Trump Consultants Exploited the Facebook Data of Millions. 2018. Disponível em:
https://nyti.ms/2GB9dK. Acesso em: 01 out. 2023.

SARLET, Gabrieççe Bezerra Sales; RUARO, Regina Linden. A proteção de dados

sensíveis no sistema normativo brasileiro sob o enfoque da lei geral de proteção de
dados (LGPD) – l. 13.709/2018. Revista direitos fundamentais democ., v. 26, n. 2,
p. 81-106, mai./ago. 2021. Disponível em: https://doi.org/10.25192/issn.1982-
0496.rdfd.v26i22172. Acesso em: 22 set. 2023.

SILVA, Ana Marília Dutra Ferreira da; SILVA, Carlos Eduardo da; SIQUEIRA, Mariana
de; e MARQUES, Kayo Victor Santos. Proteção de dados pessoais e direito à
privacidade no contexto da pandemia de covid-19: uma análise das aplicações de
contact tracing à luz da proporcionalidade. Revista DireitoGV. Disponível em:
https://www.scielo.br/j/rdgv/a/fmmZDmbxS9tGzyWB3NTR3fF/abstract/?lang=pt.
Acesso em: 10 ago. 2023.

SIQUEIRA, Felipe. Remni: aplicativo que cria fotos de filhos com IA armazena dados
pessoais até 10 anos. R7. Disponível em: https://noticias.r7.com/tecnologia-e-
ciencia/app-remini-fotos-bebes-dados-armazenados-10-anos-18072023#/foto/3.
Acesso em: 08 out. 2023.

SOUZA, K. M. S. N. de, & Edler, G. O. B. A responsabilidade civil pelo vazamento

digital de dados sob a ótica do direito brasileiro. Revista Ibero-Americana De
Humanidades, Ciências E Educação, p. 3119–3138, 2022. Disponível em:
https://doi.org/10.51891/rease.v8i5.6048. Acesso em: 20 set. 2023.

TEIXEIRA, Tarcísio; MAGRO, Américo Ribeiro. A inviolabilidade dos dados pessoais

e o controle judicial da prova eletrônica ilícita. 2018. Revista Brasileira de Direitos e
Garantias Fundamentais, Porto Alegre. v. 4. n. 2. p. 61 – 82, jul/dez. 2018.
Disponível em:
https://www.indexlaw.org/index.php/garantiasfundamentais/article/view/4919. Acesso
em: 20 jun. 2023.

VALDARES, Yan Carvalho. A LGPD e a importância do consentimento informado:

análise dos termos de uso do instagram. 2022. Brasília. Artigo Científico. Faculdade
de Ciências Jurídicas e Sociais – FAJS do Centro Universitário de Brasília (UniCEUB),
2022. Disponível em:
https://repositorio.uniceub.br/jspui/bitstream/prefix/16561/1/21909237.pdf. Acesso
em: 05 mai. 2023.

WACHOWICZ, Marcos. Proteção de dados pessoais em perspectiva - LGPD E RGPD

na ótica do direito comparado. Curitiba, 2020. GEDAI. Disponível em:
https://www.gedai.com.br/wp-content/uploads/2020/11/Protecao-de-dados-pessoais-
em-perspectiva_ebook.pdf. Acesso em: 14 jul. 2023.