A 2ª Turma Cível do TJDFT manteve, por unanimidade, decisão liminar que suspende a comercialização de dados pessoais dos titulares por meio dos produtos Lista Online e Prospecção de Clientes, oferecidos pelo site Serasa S.A. A Ação Civil Pública foi proposta pelo MPDFT, o qual destaca que a venda dos dados fere a Lei Geral de Proteção de Dados Pessoais – LGPD, uma vez que a norma impõe a necessidade de manifestação específica para cada uma das finalidades para as quais o dado está sendo tratado. Logo, o compartilhamento de tais informações, da forma que tem sido feita pela empresa, seria ilegal ao ferir o direito à privacidade das pessoas, bem como os direitos à intimidade, privacidade e honra dos titulares dos dados.
A ré alega que os produtos impugnados existem há anos, sem questionamentos e reclamações por parte dos consumidores, tampouco produzem danos, bem como estão alinhados com as predisposições da LGPD. Afirma que o órgão ministerial apresenta narrativa superficial e equivocada, sem conhecimento profundo dos serviços da Serasa. Destaca que a própria LGPD prevê situações em que o consentimento específico do titular dos dados é dispensável. Por fim, informa que a comercialização realizada é inerente às suas atividades e não há divulgação de dados sensíveis dos titulares, abuso ou violação à intimidade e privacidade dos consumidores, uma vez que reúne informações públicas de natureza cadastral, fornecidas em situações cotidianas.
De acordo com o desembargador relator, no que diz respeito aos chamados dados pessoais sensíveis, a Lei 13.709/2018 – LGPD dispôs que o tratamento somente é cabível com o consentimento do titular ou responsável, manifestado de forma específica e destacada, ressalvadas hipóteses excepcionais, em que tal consentimento é dispensado. “A controvérsia entre as partes diz respeito à comercialização de dados relacionados à pessoa natural identificada (nome, endereço, CPF, números de telefones, localização, perfil financeiro, poder aquisitivo e classe social). Portanto, à luz da LGPD, os referidos dados não constituem dados sensíveis. Não obstante, o fato de dar tratamento específico aos dados sensíveis não exclui a proteção aos demais dados pessoais, conforme se extrai da interpretação do artigo 7º da LGPD”, explicou o magistrado.
Segundo o julgador, não há dúvida quanto ao legítimo interesse e às finalidades da ré, uma vez que, dentre seus objetos sociais, estão coleta, tratamento e gerenciamento dos dados, comercialização de informações e classificação de riscos. “Contudo, a LGPD prevê que o consentimento pelo titular é a regra maior a ser observada para o tratamento de dados pessoais, tanto é que o § 4º do art. 7ª, daquele dispositivo, prescreve textualmente – de forma a evitar dúvidas interpretativas – a dispensa do consentimento apenas para os dados tornados manifestamente públicos pelo titular”, ressaltou.
A decisão destaca que não se pode presumir que os dados comercializados sejam dados tornados manifestamente públicos, ainda que digam respeito a informações de natureza meramente cadastral, ou seja, disponibilizadas pelos próprios consumidores durante práticas de atos cotidianas da vida civil.
“Da informação contida na inicial da ação civil pública, a Serasa anuncia dispor de um cadastro de mais de 150 milhões de contatos disponíveis, sendo pouco crível que esse monumental banco de dados fora obtido pelo fato de seus titulares os tornarem manifestamente públicos, ou os tenha disponibilizado diretamente à Serasa, sendo óbvia a constatação de que se trata de fruto de intercâmbio de informações cadastrais entre empresas, instituições financeiras e a própria Serasa, que instituiu como um de seus objetos sociais a compilação e comercialização desses dados”, pontuou o desembargador.
Diante disso, o colegiado concluiu que, embora o intercâmbio de informações seja lícito, não é possível afastar a necessidade do consentimento do titular dos dados para o compartilhamento, pois a questão debatida nos autos não diz respeito ao puro e simples tratamento dos dados pela ré, mas sim à comercialização destes, ou seja, o compartilhamento remunerado por parte de um controlador, para com outros controladores. Ademais, a Turma considerou que “não se verifica, na comercialização de dados pessoais, o interesse do titular – que não pode ser presumido ante a proteção legal – ou interesse público que possa justificar a dispensa do consentimento”, conforme prevê a LGPD.
Sendo assim, restou consignado que a comercialização dos dados pessoais sem o consentimento, ainda que não caracterizados como dados sensíveis, fere a legislação específica e tem potencial para ensejar violação à privacidade, intimidade e imagem das pessoas. Portanto, foi mantida sua suspensão, sob pena de multa de R$ 5 mil, por venda efetuada.
A decisão foi unânime.
