OS REFLEXOS DAS LEIS PROTETIVAS DE DADOS NOS CONTRATOS

OS REFLEXOS DAS LEIS PROTETIVAS DE DADOS NOS CONTRATOS

THE REFLECTIONS OF DATA PROTECTIVE LAWS IN CONTRACTS

XXXXXX XXXXXXXXX XXXXX XX XXXXX

Advogada. Aluna do curso de Especialização em Direito Contratual da PUC/SP.

RESUMO

O presente trabalho é iniciado de forma comparativa, abordando o alcance das legislações de proteção de dados promulgadas na União Europeia de forma paralela a do Brasil, por se tratar de um ordenamento jurídico específico, em sintonia com a teoria do diálogo das fontes. Por ser uma legislação pioneira sobre o assunto de proteção de dados, a compreensão da General Data Protection Regulation1 (GDPR) pode ajudar na elucidação de questões originadas por trata- mentos de dados de pessoas naturais, regulamentados de acordo com as disposições da Lei Geral sobre Proteção de Dados (LGPD). Em ato contínuo, também são trazidos à baila os efeitos práticos das citadas legislações na elaboração de cláusulas em contratos celebrados no seu país de origem ou em território estrangeiro, com destaque para os contratos elaborados sob a égide da LGPD. Essa interação ajudará na criação de um microssistema normativo que irá regular e atender as peculiaridades de cada negócio jurídico, seja celebrado convencionalmente ou de forma eletrônica com uso de novas tecnologias.

Palavras-chave: LGPD; tratamento de dados; direito comparado; conflito entre legislações

ABSTRACT

The present work begins in a comparative way, addressing the scope of data protection legis- lation enacted in the European Union in parallel with that of Brazil, as it is a specific legal system, in line with the theory of dialogue of sources. As it is a pioneering legislation on the subject of data protection, understanding the General Data Protection Regulation (GDPR) can help to elucidate issues arising from the processing of data of natural persons, regulated in accordance with the provisions of the General Law on Data Protection. Data (LGPD). In a continuous act, the practical effects of the aforementioned legislations in the elaboration of clauses in contracts concluded in their country of origin or in foreign territory are also brought to the fore, with emphasis on contracts drawn up under the aegis of the LGPD. This interaction will help to create a normative microsystem that will regulate and meet the peculiarities of each

1 Regulamentação de Proteção para Dados em Geral (tradução nossa)

legal transaction, whether concluded conventionally or electronically with the use of new technologies.

Keywords: LGPD, data processing, comparative law, conflict between legislation.

INTRODUÇÃO

A General Data Protection Regulation (GDPR) foi a primeira legislação adaptada aos percalços da realidade tecnológica, essa lei foi elaborada e aprovada em 2016, pelos países pertencentes ao bloco da União Europeia.

Em vista do pioneirismo da GDPR e a importância da União Europeia no desenvolvi- mento da economia mundial, conceitos-chave criados pela legislação europeia foram replicados nas legislações elaboradas ao redor do mundo, para facilitar a continuidade das atividades co- merciais com os países membros da União Europeia. Ou seja, o entendimento da legislação europeia pode ajudar no entendimento das demais legislações vigentes sobre o tema.

No Brasil, a posição de replicar conceitos- chaves da GDPR também foi seguida pelo Poder Legislativo, resultando na criação da LGPD (Lei Geral de Proteção de Dados) com a positivação de conceitos essenciais ao tratamento de dados, na intenção de diminuir a atividade discricionária das pessoas sujeitas ao ordenamento previsto pela lei de proteção de dados naci- onal e unificar o tema.

A inspiração ao texto da LGPD também conferiu espaço aos direitos fundamentais e princípios consolidados pela Constituição Federal de 1988, o que garantiu ao titular de dados, durante a execução da atividade de tratamento de dados, que fossem respeitados pelos respon- sáveis os direitos previstos no Artigo 5º da Constituição Federal.

Outrossim, com a vigência da LGPD, os reflexos da LGPD e da GDPR nos contratos celebrados com pessoas naturais já são sentidos pelas partes no momento de elaboração do negócio jurídico, independentemente da posição contratual que o sujeito adquiriu no contrato em questão, porque o contratante, recebeu a garantia de que os dados divulgados durante as tratativas negociais somente poderão ser utilizados para a função originalmente prevista no contrato. Além disso, o contratado deverá respeitar o direito à informação regulamentado pela LGPD, ao propiciar, quando solicitado pelo contratante, informações sobre as formas e finali- dades de utilização das informações pessoais.

1. BREVES NOÇÕES DAS LEGISLAÇÕES DE PROTEÇÃO DE DADOS VIGENTES ATUALMENTE

O ritmo iniciado no final do séc. XX e início do séc. XXI, com a invenção e utilização de formas rápidas e eficazes de transferência de dados, até mesmo para aqueles que não coabi- tam no mesmo país, deu origem a necessidade de proteger, ainda mais, os direitos à privacidade e à segurança dos titulares dos dados particulares captados por grandes empresas ao redor do globo. (MULHOLAND, 2020, p.8)

No mundo moderno, a captação de informações pessoais adquiriu um elevado valor econômico para empresários de todos os portes, porque possibilita o conhecimento prévio das preferências de futuros clientes. A possibilidade de conhecer mais profundamente o cliente, pela captação de informações pessoais, possibilita o melhor direcionamento de campanhas e anúncios publicitários de produtos e serviços, refletindo, em muitas ocasiões, no aumento de vendas e contratações. (PECK, 2020, p.9)

Nesse contexto, a demanda pela captação de informações pessoais, incluindo a captação fraudulenta, obteve um grande crescimento no Brasil e no mundo, o que despertou a consciência global para a elaboração de leis que pudessem resguardar os direitos dos titulares dos dados violados. Por outro lado, os países que não tomaram ciência da importância de proteger os dados pessoais do seu povo e dos que lá residem optaram por legislações protetivas por motivos es- tritamente negociais, pois a adesão facilitaria a negociação com os países membros da União Europeia. (LIMA, 2020, p. 71)

1.1 - O marco inicial das legislações sobre proteção de dados vigentes na atualidade: GE- NERAL DATA PROTECTION REGULATION(GDPR)

Assumindo o seu pioneirismo na elaboração de leis sobre proteção de dados, a União Europeia, ao notar que a Convenção de Direitos Humanos Europeia de 1950 não seria o sufici- ente para resguardar os direitos dos titulares dos dados trocados entre empresas e pessoas natu- rais, começou em 2012 a discutir sobre o texto da lei que mais tarde passaria a ser chamada de General Data Protection Regulation (GDPR), ou em tradução livre, Regulamento Geral de Proteção de Dados. (EUROPEAN UNION, 2020, online)

A General Data Protection Regulation foi promulgada em 27 de abril de 2016, ato que causou grande alvoroço na comunidade mundial, uma vez que o texto aprovado pelo bloco econômico político europeu afetaria países que não pertenciam à União Europeia, pela certeza de que a sua vigência traria transtornos econômicos indesejados. Um exemplo dos impactos foi a indisponibilidade intencional de sites internacionais nos limites da União Europeia, para evitar

possíveis autuações por inadequação ao texto da lei de proteção de dados europeia (XXXXXXX, 2020, online)

Por ser a primeira lei a regulamentar de forma detalhada o tratamento de informações pessoais por meios automatizados ou não, ressalvados os dados previstos no Artigo.2º, (2), da GDPR2, trouxe uma série de elementos para ajudar os titulares de dados, empresários e juristas a interpretar, de forma correta, os direitos e deveres criados pela referida lei.

O mais importante deles é a criação de uma base principiológica para respaldar a reso- lução de eventuais conflitos, que, aparentemente, possam não ter uma solução prática. O se- gundo elemento importante tratado no texto é a definição sobre termos essenciais à execução da GDPR, como dados pessoais (personal data), processamento 3 (processing), controla- dor4(controller), processador5(processor), recebedor6(recipient), consentimento7(consent) e dados sensíveis (sensitive data)8 , todos devidamente elencados no Artigo.4º e no Considerando nº 51 da GDPR.

Ainda, sobre a questão principiológica no Artigo5º da GDPR, foram inseridos os prin- cípios da Legalidade, Justiça e Transparência, Propósito Específico, Coleta Mínima de Dados, Precisão, Limite de Tempo para Armazenamento, Integridade e Confidencialidade e Contabi- lidade. (PECK, 2020, p.56)

2 Art. 2º(2) GDPR - O presente regulamento não se aplica ao tratamento de dados pessoais: a)Efetuado no exer- cício de atividades não sujeitas à aplicação do direito da União: b) Efetuado pelos Estados-Membros no exercício de atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2, do TUE; c) Efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas; d)Efetuado pelas autoridades compe- tentes para efeitos de prevenção, investigação, detecção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública. (tradução nossa)

3 PROCESSAMENTO - ART 5º (2) GDPR - Qualquer operação ou conjunto de operações com dados pessoais, independentemente de ser realizada de forma automatizada, como coleção, gravação, organização, estruturação, armazenação, adaptação ou alteração, entre outros. (tradução nossa)

4 CONTROLADOR – ART 5º (7) GDPR - Qualquer pessoa natural ou jurídica, autoridade pública, agência ou outra estrutura na qual, sozinha ou em conjunto, determina a forma como o trabalho com as informações pessoais ocorrerá. (tradução nossa)

5 PROCESSING - ART.5º (8) GDPR -Significa a pessoa natural ou jurídica, autoridade pública, agência ou outro corpo que processa dados pessoais em nome do controlador. (tradução nossa)

6 RECEBEDOR – ART.5º (9) GDPR - Pessoa natural ou jurídica, autoridade pública, agência ou outra estrutura, para a qual as informações pessoais são reveladas, pode ser um terceiro ou não. (tradução nossa)

7 CONSENTIMENTO - ART.5º (11) GDPR - A autorização de tratamento dos dados é dada livremente, de forma específica, informada e direta, por declaração ou por ação afirmativa. (tradução nossa)

8 DADOS SENSÍVEIS – CONSIDERANDO Nº 51 GDPR - Merecem proteção específica os dados pessoais que sejam, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais. Deverão incluir-se neste caso os dados pessoais que revelem a origem racial ou étnica, não impli- cando o uso do termo «origem racial» no presente regulamento que a União aceite teorias que procuram determinar a existência de diferentes raças humanas. (tradução nossa)

Uma interpretação conjunta destes princípios permite chegar à conclusão de que o le- gislador europeu buscou a garantia de que a captação e o trabalho com as informações particu- lares coletadas seriam de acordo com o texto da GDPR, ou seja, este tipo de informação somente poderá ser coletado, trabalhado e armazenado para desempenhar certas funções, sob o tempo inicialmente previsto pelo receptor e o titular dos dados, e somente entre as partes previstas. (PECK, 2020, p.56)

Adicionalmente, o próprio legislador também se preocupou em determinar que o con- sentimento para tratamento dos dados, deve ser livre, informado, inequívoco e destinado a uma finalidade. (MULHOLAND, 2020 p.74)

Destaca-se que o princípio da autonomia da vontade do particular é um conceito muito vivo na redação da GDPR, tanto que por sua exclusiva e imotivada vontade, o titular das infor- mações tratadas poderá revogar o consentimento para tratamento, obrigando a parada das ati- vidades de processamento dos dados cedidos. Ao titular dos dados também caberá, se for da sua vontade, trocar a permissão de tratamento de uma empresa para outra (Artigo. 20 da GDPR) ou requerer um relatório com informações sobre a forma como os dados foram tratados (Artigo. 15 da GDPR).

Outro ponto de grande importância da GDPR é a obrigatoriedade da eleição de um Data Protection Officer (DPO), pessoa que poderá ser da equipe do controlador, processador ou um terceiro especialmente contratado para isso (Artigo.37 (6) da GDPR9). As atividades do DPO envolvem o acompanhamento do tratamento dos dados pessoais coletados, a prestação de es- clarecimentos, quando requeridos, e efetuar o diálogo entre as autoridades. Dessa última ativi- dade, aliás, surge a obrigação de que a empresa responsável pela violação de dado pessoal de- verá avisar, o seu proprietário, sobre a quebra de sigilo dos dados cedidos no prazo de 72 (se- tenta e duas horas), conforme Artigo 33 (1) da GDPR10.

A título de curiosidade, o DPO será escolhido pela afinidade com o tema sobre proteção de dados, conforme Artigo. 37(5) da GDPR11.

9 ART.37(1) da GDPR - O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que: (...) (6) O encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços. (tradução nossa)

10 Art.33(1) da GDPR - No caso de violação de informações pessoais, o controlador deverá sem nenhum atraso, em até 72 horas depois de ter ciência do ato violador, avisar a autoridade de supervisão competente sobre o ocor- rido, conforme Art.55, a menos que a violação de dados pessoais não seja apta. (tradução nossa)

11 ART. 37(5) da GDPR - O encarregado da proteção de dados é designado com base nas suas qualidades profis- sionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39. (tradução nossa).

Qualquer violação poderá resultar na aplicação de multa no valor máximo de 20.000.000,00 (vinte milhões de euros) ou 4% (quatro por cento) da renda anual mundial da empresa responsável pela violação, que será aplicada pelas autoridades competentes 12que pro- moveram a análise individual cada caso de violação, para que, desta forma as multas adminis- trativas devem ser aplicadas de acordo com a extensão do dano causado, nos termos do Ar- tigo.83 (5) da GDPR.

Nesses três anos de vigência da GDPR, as maiores multas aplicadas foram para empre- sas atuantes em diversos segmentos que possuem grande expressão no mercado internacional, são elas: Google(£43.2m), H&M(£32.1m) Telecom Italia (£24m), British Airways(£20m) e Marriott Hotels (£18.4m). (BBC, 2021, online)

1.2 Breves Noções sobre a LGPD

O Brasil aprovou em 14 de agosto de 2018, a Lei nº 13709/2018, conhecida como Lei Geral de Proteção de Dados Brasileira (LGPD, a sua própria lei de proteção de dados, motivado pela aprovação da General Data Protection Regulation na Europa e o interesse de ingressar na Organização para a Cooperação e Desenvolvimento (OCDE), para facilitar futuras negociações com seus países membros. (MULHOLAND, 2020, p. 9)

Ressalta-se que tal lei levou mais de 10 anos de maturação de projetos que tratavam do tema da proteção de dados até ser aprovada, transformando o Brasil em um dos 128 países no mundo que possuem uma lei sobre o assunto. (MULHOLAND, 2020, p. 8)

A lei de proteção de dados brasileira possui moldes parecidos com os estabelecidos pela General Data Protection (GDPR), devido ao elevado grau de especificidades e do valor a ser despendido para adaptação.

Ao analisar a lei, observa-se que o legislador brasileiro optou por dividir os artigos em três grupos, cada um possuindo uma data de vigência, nos termos do Artigo 65 da LGPD 13, sendo que o último grupo de artigos, que é composto pelas penalizações administrativas apli- cadas pelo desrespeito aos preceitos da lei protetiva de dados brasileira, entrou em vigência em agosto de 2021, tal modulação permitiu que as empresas se adaptassem a nova legislação. (MA- CEDÔ, 2020, online)

12 A fiscalização aos preceitos da GDPR acontecerá de forma independente por cada um dos 28(vinte e oito) países participantes da União Europeia, nos termos do Artigo. 51 da GDPR.

13 Art. 65 LGPD - Esta Lei entra em vigor: I - Dia 28 de dezembro de 2018, quanto aos arts. 00-X, 00-X, 00-X, 00-X, 00-X, 00-X, 00-X, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; e (Incluído pela Lei nº 13.853, de 2019) I-A

- dia 1º de agosto de 2021, quanto aos arts. 52, 53 e 54; (Incluído pela Lei nº 14.010, de 2020) II - 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos. (Incluído pela Lei nº 13.853, de 2019)

Na mesma linha da GDPR, estarão protegidas pela LGPD as pessoas físicas que com- partilharem suas informações com pessoas físicas ou jurídicas, seja de direito público ou pri- vado, para fins exclusivamente comerciais. 14

Neste curto período de aplicação da LGPD no Brasil, observa-se que a lei vem sendo aplicada de forma harmônica com as demais leis, em especial com o Código de Defesa do Consumidor, o que inclusive gerou a elaboração do Guia do Núcleo de Proteção de Dados do Conselho Nacional de Defesa do Consumidor em parceria com a Autoridade Nacional de Pro- teção de Dados (ANPD) e a Secretaria Nacional do Consumidor (SENACON). 15

As pessoas jurídicas, por outro lado, continuarão a ter seus direitos defendidos pela LGPD junto com os artigos 18716 e 42217 do Código Civil.

Sob o viés constitucional, destaca-se que o nosso sistema protetivo de dados é derivado do princípio constitucional da dignidade humana18, o qual confere a proteção dos direitos mí- nimos, sejam nas esferas física ou psíquica de qualquer pessoa física que esteja em solo brasi- leiro. Mais adiante, no Artigo 5º X e XII, a própria Constituição Federal disciplina sobre a inviolabilidade de dados da pessoa natural, salvo os casos de requisição judicial.

Ainda, destaca-se a importância da proteção de dados que recentemente deu origem à promulgação da Emenda Constitucional nº 115/202219, que conferiu a natureza de direito fun- damental a proteção de dados.

Os princípios previstos no Artigo 6º da LGPD têm a mesma função dos princípios da GDPR, ou seja, garantir transparência e responsabilidade no tratamento de dados coletados,

14 Art. 4º LGPD - Esta Lei não se aplica ao tratamento de dados pessoais: I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II - realizado para fins exclusivamente: a) jornalístico e artís- ticos; ou b) acadêmicos, aplicando-se a esta hipótese os Arts. 7º e 11 desta Lei; III - realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; ou IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

15 “Por fim, a requisição de direitos pelo titular poderá ser realizada perante a ANPD e também perante os órgãos de defesa do consumidor sempre que o tratamento de dados ocorrer no contexto de uma relação de consumo.” (ANPD e SENACON, ANO DESCONHECIDO, P. 14)

16 Art. 187 CC - Também comete ato ilícito o titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes.

17 Art. 422 CC - Os contratantes são obrigados a guardar, assim na conclusão do contrato, como em sua execução, os princípios de probidade e boa-fé.

18 Art. 1º CF - A República Federativa do Brasil, formada pela união indissolúvel dos Estados e Municípios e do Distrito Federal, constitui-se em Estado Democrático de Direito e tem como fundamentos (...) III - a dignidade da pessoa humana;

19 EMENDA CONSTITUCIONAL Nº 115 - Altera a Constituição Federal para incluir a proteção de dados pes- soais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.

tratados ou utilizados para disponibilização de produtos no mercado brasileiro, nos termos do Artigo3º da LGPD. (LIMA, 2020, p.124 A 131.)

Novamente, atendendo ao mesmo raciocínio do legislador da GDPR, a LGPD criou a definição de termos extremamente importantes à aplicação da legislação, evitando que uma decisão extrajudicial ou judicial seja contrária ao que preconiza a lei brasileira de proteção de dados. Dessa forma, termos como tratamento, dado pessoal, dado sensível e controlador 20fo- ram devidamente fundamentados na LGPD.

Não são comtempladas pela LGPD as captações de informações que acontecerem por fins não econômicos, tais como para fins acadêmicos, jornalísticos, artísticos, dentre outros, nos moldes do Artigo. 4º, I, II, III e IV, da LGPD21. A opção mais polêmica é a captação para fins acadêmicos, pelo fato de que a lei não deixa claro se atividade acadêmica deverá ter, necessa- riamente, uma instituição de ensino envolvida na atividade ou não, Xxxxxxx Xxxxxxxxx (2020, p. 25) entende que a instituição de ensino deve integrar a cadeia.

A exclusão de dados obtidos em razão de defesa nacional ou segurança pública da su- jeição à LGPD demonstra que, acima da defesa do particular, a lei de proteção de dados tem como objetivo proteger a coletividade.

Ainda em relação a captação de dados, em outro ato reflexo ao texto da GDPR, a LGPD também conceitua o termo “dados sensíveis’ em seu Artigo 5º, II. Dados que são protegidos por uma proteção especial alicerçada pelo princípio da dignidade humana previsto no Artigo 5º da Constituição Federal, tal como foi explanado por Xxxxxx xx Xxxx Xxxxxxx Xxxx (2020, p.23) A fim de garantir a efetividade da LGPD, o legislador, nos Artigos 5222,53 e 54 estipulou formas coercitivas de cumprimento das suas disposições, ou seja, o não cumprimento poderá

20 Art. 5º LGPD - Para os fins desta Lei, considera-se:

I – DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável;

II – DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

VI – CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

X – TRATAMENTO: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difu- são ou extração;

21 Integra do Art. 4º da LGPD na Folha nº 8 este artigo.

22 Art. 52 LGPD. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I - advertência, com indicação de prazo para adoção de medidas corretivas; II - multa simples, de até 2% (dois por cento) do fatura- mento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III - multa diária, observado o limite total a que se refere o inciso II; IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência; V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

trazer sérias consequências para a parte infratora. As possíveis penalizações poderão ser adver- tência, multa simples/diária, eliminação de dados pessoais, entre outras, nos termos do Artigo 52.

No Brasil, o órgão responsável por fiscalizar e aplicar as multas previstas na LGPD é o Autoridade Nacional de Proteção de Dados (ANPD), conforme Artigo 55 J.23

1.2.1 A aplicação da LGPD na micro e pequena empresa

O alto investimento para adaptação micro e pequenos empresários brasileiros ao proce- dimento de tratamento de dados previsto na LGPD, por vezes é apontada como uma barreira intransponível para esses empresários, o que dificulta o atendimento ao objetivo da LGPD, que é de garantir e proteger os direitos fundamentais de liberdade, privacidade e o livre consenti- mento da personalidade natural, previstos no Artigo 1º da citada Lei.

Conhecidas as particularidades dos empresários brasileiros, o Sebrae e outras entidades negociaram formas de exemplificar o enquadramento aos preceitos da LGPD. Iniciativa que originou a CD/ANPD nº 02/2002, aprovada em 27 de janeiro de 2022. (SEBRAE, 2022, online)

A citada iniciativa trouxe uma série de inovações ao tema, como a desnecessidade de eleger um Data Protection Officer (DPO), flexibilização ao atendimento às requisições dos titulares por meio eletrônico ou impresso, dispensa na obrigação de eliminar ou bloquear dados excessivos, prazo dobrado de atendimento as demandas previstas na LGPD, flexibilização do relatório de impacto de forma simplificada, disponibilidade de guias para auxílio na adequação, entre outros.

Estima-se que as simplificações implementadas pela CD/ANPD nº 2022 farão cair o custo de R$ 50.000,00 (cinquenta mil reais) a R$ 800.000,00(oitocentos mil reais) original- mente estimados para adesão destes empresários aos preceitos da LGPD, trazendo desta ma- neira, novos aderentes no país e a efetividade da norma.24 (VALOR, 2020, online).

VI - eliminação dos dados pessoais a que se refere a infração; VII - (VETADO); VIII - (VETADO); IX - (VE- TADO). X -suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controla- dor; XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

23 Art. 55-J. LGPD - Compete à ANPD: I - zelar pela proteção dos dados pessoais, nos termos da legisla- ção;

2. ELEMENTOS ESSENCIAIS EM UMA RELAÇÃO CONTRATUAL

O contrato é a materialização de um negócio jurídico, e por estar enquadrado neste con- ceito, a sua validade jurídica depende de pessoas capazes de contratar, objeto contratual lícito, possível ou determinável e forma prescrita ou não em lei, condições previstas no Artigo 104, I a III do CC. (XXXXXXXXXXX, x.119, 2021)

Vencida a questão da validade jurídica de um contrato, o CC disciplina no Artigo 421 que toda relação contratual é derivada do acordo de vontades entre duas ou mais partes, respei- tado o princípio da função social. O acordo entre as partes fará nascer para o mundo jurídico, a obrigação principal - a razão de existir de um contrato - e suas obrigações acessórias, como o dever de tratar as informações do contratante de acordo com as disposições previstas na LGPD.

Por ser uma lei especial na qual existe a preocupação de resguardar os direitos e deveres das partes envolvidas em uma relação de tratamento de dados de pessoas físicas, a Lei Geral de Proteção de Dados (LGPD) coexistirá, em uma relação contratual, com outras legislações vi- gentes no Direito brasileiro. (LIMA; XXXXXXXXX; XXXXXXXXXX, 2022, p.19)

Xxxxxx Xxxx Xx. e Xxxx Xxxx (2014, p. 794) ensinam que a autonomia das partes encon- tra obstáculo no que é coletivamente aceito, ou seja, nenhuma das partes poderá usar o princípio da autonomia da vontade como base para atos autoritários e descabidos durante a relação con- tratual.

A partir dessa ideia, os princípios da boa-fé e da autonomia da vontade do particular, conjuntamente com o princípio da função social, equilibram a vontade do particular com o que é normalmente esperado em uma situação simular. (GIANNELLINI, 2021, p.47)

Dizer que o contrato assumiu a sua função social significa que o negócio jurídico atingiu a sua finalidade e não ofendeu valores éticos e morais, estes derivados do princípio da boa-fé, bem como direitos sociais e fundamentais previstos nos Artigos 3º, I, e 5º da Constituição Fe- deral (CF).

Na prática, a função social de um contrato de prestação de serviços será a circulação de riquezas provocada em razão da sua celebração, porém as obrigações contratuais deverão estar em equilíbrio com as necessidades sociais e morais da coletividade.

No âmbito da LGPD, o Poder Legislativo definiu no Artigo 2º da Lei 25que os seus fundamentos são alicerçados pelos direitos fundamentais do Artigo 5º da CF (Artigo 2º I, II,

25 Art. 2º da LGPD - A disciplina da proteção de dados pessoais tem como fundamentos: I - o respeito à privaci- dade; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e tecno- lógico e a inovação; VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

III, IV, V da LGPD), os fundamentos da ordem econômica previstos no Artigo 170 da CF (Ar- tigo 2º, VI, da LGPD) e o princípio social da dignidade da pessoa humana previsto no Artigo 1º, III, da CF (Artigo2º, VII, da LGPD). Isso quer dizer que ao tratar de assuntos relacionados à LGPD, a função social estará presente quando o agente de tratamento tratar os dados do con- tratante de acordo com o arcabouço normativo criado pela LGPD. (LIMA; XXXXXXXXX; BA- RONOVKSY, 2022, p. 22/24)

Um exemplo prático do descumprimento da função social no âmbito da LGPD seria a violação de dados do contratante por descuido do agente de tratamento responsável pela coleta das informações pessoais da pessoa natural. Ato que posteriormente implicaria na realização de uma fraude contra o contratante, diminuindo o poder de compra deste perante os demais comerciantes. Constatado o prejuízo econômico do ato, resta claro a deturpação da função so- cial originada da relação contratual. (LIMA; XXXXXXXXX; XXXXXXXXXX, 2022, p.24)

2.1. A PRINCIPIOLOGIA DA LGPD

Passemos a analisar a o microssistema principiológico da LGPD, a lei em seu bojo aborda a proteção dos direitos fundamentais conferidos no Artigo5º 26da Constituição Federal (CF), os quais estão alicerçados pelo princípio da dignidade da pessoa humana previsto no Ar- tigo 1º, III, da CF. 27 (MULHOLAND, 2020, p. 235)

Os direitos fundamentais previstos nos Artigo 5º da CF dialogam com os princípios estabelecidos pela LGPD, uma vez que a proteção à liberdade, à igualdade à segurança e à privacidade, todos disciplinados no Artigo 5º da CF, refletem diretamente sobre os princípios da finalidade, da não discriminação, da transparência, do livre acesso e da segurança previstos no Artigo6º, I, IV, VI, VII e IX da LGPD. A sua inserção tem o objetivo de garantir que, em hipótese nenhuma, os dados pessoais sejam utilizados como forma discriminatória ou de forma diversa do originalmente pactuado entre o agente de tratamento e o titular de dados. (LIMA, 2020, p. 136-138)

De outro lado, por abranger também relações consumeristas, a LGPD conversa direta- mente com os princípios trazidos pela Política Nacional das Relações de Consumo, pelo qual o legislador garantiu que os consumidores não poderão ser objeto de práticas que atentem contra

26 Art. 5º CF - Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade(...)

27 Art. 1º CF - A República Federativa do Brasil, formada pela união indissolúvel dos Estados e Municípios e do Distrito Federal, constitui-se em Estado Democrático de Direito e tem como fundamentos (...) III - a dignidade da pessoa humana;

sua dignidade, ou seja, os agentes de tratamento deverão encontrar formas de atuação de acordo com o princípio da boa-fé e os estabelecidos pela ordem econômica, que estão previstos no Artigo 170 da Constituição Federal.

Mais diante no Código de Defesa do Consumidor (CDC), em seu Artigo 4328, garante que o fornecedor deverá captar as informações de seus consumidores de forma exata, o que impede a mera inserção de qualquer jeito dos dados de seus consumidores, e que poderão re- querer a correção dos seus dados nas hipóteses em que forem encontradas inconsistências. Esses contornos previstos CDC demonstram, de forma prévia, o que seria visualizado em uma even- tual lei de proteção de dados.

A Lei nº 13.709, de 14 de agosto de 2018, possui a previsão de dez princípios para regulamentação dos atos de tratamento de dados das pessoas naturais, sendo eles o da finali- dade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, pre- venção, não discriminação e responsabilização e prestação de contas29.

Os citados princípios buscam garantir a autodeterminação do titular dos dados, sujeito que passou a ter o direito, de forma teórica, a estipular a forma de tratamento de seus dados,

28 Art. 43. CDC - O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respecti- vas fontes. § 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos. § 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao con- sumidor, quando não solicitada por ele. §3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas. § 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público. § 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores. § 6º Todas as informações de que trata o caput deste artigo devem ser disponibilizadas em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do consumidor.

29 Art. 6º LGPD As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princí- pios: I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abran- gência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V - qualidade dos dados: garantia, aos titulares, de exati- dão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e in- dustrial; VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difu- são; VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas efica- zes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

para que não ocorra a exploração inadequada ou que ele próprio seja vítima de preconceito pela revelação de dados sensíveis, como religião, opção sexual, entre outros. (LIMA, 2020, p.35)

2.2 A CELEBRAÇÃO DE CONTRATOS APÓS A VIGÊNCIA DA LGPD

O contrato celebrado nos limites do território brasileiro, ou que esteja de acordo com as hipóteses previstas no Artigo3º, I a III, d30a Lei Geral de Proteção de Dados (LGPD), obrigato- riamente está sujeito ao regramento previsto na LGPD. Este regramento garante aos contratan- tes que as informações repassadas, em razão da prestação de um serviço ou a compra de um produto não poderão ser utilizadas de forma diferente do originalmente pactuada com o contra- tado, situação que legitima tratamento de dados de pessoas físicas, nos termos do Artigo 8º, § 4º, da LGPD.

Nos casos de celebração de contratos que versem sobre os mais diversos temas, os dados que forem estritamente necessários para execução das obrigações contratuais derivadas desta relação contratual poderão ser tratados independentemente de autorização do titular dos dados pessoais, salvo os dados que não forem estritamente necessários à execução do contrato em questão, conforme artigo7º, V, da LGPD. Estes terão que ser autorizados, seja de forma ex- pressa ou qualquer outra forma que possa comprovar a vontade do contratante, para que possam ser tratados pelo controlador e demais sujeitos da relação contratual. Também é importante ter em mente que a dispensa de obtenção de autorização não significa abstenção da obrigação de seguir as diretrizes estabelecidas pela LGPD. (LIMA, 2020, p.145)

A concessão e o tratamento dos dados pessoais comuns e dados pessoais sensíveis terão que ocorrer de acordo com os princípios norteadores da LGPD, repita-se, os quais são da fina- lidade, livre acesso, qualidade de dados, transparência, segurança, prevenção, não discrimina- ção e responsabilização e prestação de contas, todos previstos no Artigo 6 º, I ao X, da LGPD. Em termos contratuais, estes princípios têm a condão de garantir que o pedido de concessão de dados deverá ser claro, demonstrando expressamente o porquê é necessário captar os dados requisitados e por quanto tempo o contratado poderá trabalhar com estes dados. Quando essas informações forem descritas em contratos, a cláusula que tiver como objeto a concessão de

30 Art. 3º da LGPD - Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: I - a operação de tratamento seja realizada no território nacional; II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou , III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

autorização de dados deverá estar destacada das demais, para que o titular seja devidamente direcionado ao seu teor. (LIMA, 2020, p.127/140)

O destaque das cláusulas direcionadas à obtenção da autorização de tratamento de dados particulares refletem dois princípios muito conhecidos nas relações contratuais habituais, os princípios da boa – fé objetiva e da probidade, que estão previstos no Artigo422 31do Código Civil (CC), por garantir que o titular tenha ciência da forma como será tratado os seus dados, bem como os direitos e deveres que esta atividade desencadeará para as partes contratuais. Neste quesito, o legislador deixou claro que atividades de tratamento de dados que forem rea- lizadas além desses limites representarão condutas de violação por parte do responsável, de- vendo se prezar dos princípios éticos e morais trazidos pela probidade prevista no Artigo 422 do CC. (LIMA, 2020, p.12/128 e NERY, 2014, p.801)

Ainda em seu bojo, a LGPD traz o direito ao titular dos dados, que neste caso é o con- tratante, de a qualquer momento, nos termos do Artigo 18, VI, da LGPD, retirar o consenti- mento para tratamento dos seus dados, a ele também caberá a escolha, caso seja de sua vontade, de transferir os direitos para outro agente de tratamento (Artigo18, V, LGPD).

Outro ponto relevante é a utilização de serviços e a compra de produtos na modalidade online, como o Instagram, Facebook, Apple Store, Microsoft, Oracle, dentre tantos outros. Nessa modalidade, de forma mais simples, os agentes de tratamento de dados inserem um campo de aceitação de compartilhamento dos cookies captados durante a visita ao site ou um termo para consentimento de tratamento, opções que também estão de acordo com a LGPD, pelo fato de que o legislador autorizou a captação de consentimento por qualquer forma que possa expressar a vontade do titular dos dados. (LIMA, 2020, p.253)

Insta trazer à baila que a LGPD não tem a intenção de bloquear a circulação dos dados de particulares, até porque, nos últimos anos, esse tipo de informação é vital ao funcionamento de diversos negócios, atuando, por exemplo, na logística de entrega de produtos, personalização de mercadorias, diminuição de riscos na cadeia produtiva, entre outros. O que o legislador pro- cura é colocar fim aos abusos praticados na atividade de tratamento praticada nos últimos anos. (MIRANDA, 2021, p.67)

Assim, juridicamente, a importância do tratamento de dados particulares na economia brasileira pode ser evidenciada pela inserção, no Artigo 2º, IV, V, da LGPD, de fundamentos

31 Art. 422 CC.- Os contratantes são obrigados a guardar, assim na conclusão do contrato, como em sua execução, os princípios de probidade e boa-fé.

que, cumulados com a defesa no tratamento de dados de pessoas naturais, defendem a impor- tância desses dados na exploração da atividade econômica. Os fundamentos que evidenciam esse posicionamento são o do desenvolvimento econômico e tecnológico, a inovação, a livre iniciativa e a livre concorrência. (MIRANDA, 2021, p.69)

2.3. RESPONSABILIDADE OBJETIVA OU SUBJETIVA PELA VIOLAÇÃO DE DIS- POSITIVOS DA LGPD

A estrutura normativa criada pela LGPD, para captação de dados de pessoas físicas, é estruturada em 3(três) pilares. A captação tem início na criação de condições, atreladas a prin- cípios, para tratamento de dados de pessoas físicas por pessoas jurídicas ou físicas na prática de sua atividade empresarial. Conhecidos estes limites, o agente de tratamento de dados deverá criar, dentro de sua própria estrutura, códigos de conduta e governança que garantam o fiel cumprimento das obrigações exigidas pela LGPD, e por fim, aquele que não as cumprir estará sujeito às penalizações previstas na Lei. (XXXXX, 2020, p.102)

Este último requisito é o que confere a razão de existir deste tópico, que aborda a res- ponsabilidade do agente de tratamento pela violação de dados de pessoas físicas. Desde a pu- blicação da LGPD, juristas espalhados pelo Brasil vêm tentando entender qual é o tipo de res- ponsabilidade para os que descumprirem seu regramento, porque, ao contrário das disposições previstas na CF, do risco administrativo, do CC, da responsabilidade subjetiva em regra, e do CDC, a responsabilidade objetiva, a LGPD não possui nenhuma regra para aplicação da res- ponsabilidade do violador de dados, prática costumeira na sociedade de hoje. (CAPANEMA, 2020, p.165/166)

A questão da responsabilidade do violador de dados vem sendo enfrentada, em sua mai- oria, com a redação do Artigo 42 da LGPD32, pela presença da previsão de quais condutas são

32 Art. 42 .LGPD - O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. § 1º A fim de assegurar a efetiva indenização ao titular dos dados: I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da le- gislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei; II - os controla- dores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respon- dem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei. § 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessi- vamente onerosa. § 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente. § 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.

aptas a criar a obrigação de indenizar o titular dos dados violados, comportamento que sinali- zou, por muitos estudiosos, que a responsabilidade da LGPD é subjetiva, de forma compatível com o que é previsto no Artigo 927, § 1º, do CC33.

O dispositivo do CC, por sua vez, disciplina que a responsabilidade objetiva será impu- tada somente quando houver previsão expressa em lei. Desta forma, para que a responsabilidade do agente de tratamento de dados fosse imputada de forma objetiva, o legislador deveria ter inserido disposto nesse sentido, posição que foi defendida por TEMPEDINO e XXXXX (2020, online) (XXXXX, 2020, p.111 e 112)

Determinar que a responsabilidade do agente de tratamento é subjetiva, em termos prá- ticos, quer dizer que uma eventual indenização dependerá da comprovação de dolo ou culpa do agente violador, a qual estará consubstanciada pelas redações dos Artigos 42 e 43 da LGPD. Este último artigo determina as hipóteses de exclusão de responsabilidade do agente de trata- mento de dados particulares.

Outro argumento trazido à baila, para justificar a aplicação da responsabilidade subje- tiva, subsiste no relato de que, do Projeto de Lei 5276, que deu origem a LGPD, foi retirado um dispositivo que previa a aplicação da responsabilidade solidária e objetiva para os agentes de tratamento. (CORRE e CHO; 2020, online)

Isso não quer dizer que a responsabilidade subjetiva será aplicada em todos as relações de tratamento de dados, até porque ela poderá acontecer em relação da celebração de contratos amparados pelos regramentos das relações cíveis, administrativas e consumeristas, que também foram incluídas dentro do bojo da Lei Geral de Proteção de Dados. Nesse caso, o entendimento que prevalece, com base no princípio da especificidade e na importância que determinadas leis exercem no ordenamento jurídico, é que a responsabilidade na captação de dados poderá ser imputada de forma objetiva.

Nos casos de demandas consumeristas, por estar amparada por uma lei especial, o que será considerado é a responsabilidade objetiva para casos de violação. A responsabilidade dos agentes públicos, por fim, será de acordo com a Teoria do Risco prevista no Artigo 37, § 6 º, da CF. 34 (XXXXX, 2020, p.105)

33 Art. 927 CC. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo. Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.

34 Art. 37 CF -. A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência e, também, ao seguinte(...) § 6º As pessoas jurídicas de direito público e as de direito privado presta- doras de serviços públicos responderão pelos danos que seus agentes, nessa qualidade, causarem a terceiros, asse- gurado o direito de regresso contra o responsável nos casos de dolo ou culpa.

2.4. DO TÉRMINO DO TRATAMENTO DOS DADOS DE PARTICULARES

A inteligência dos princípios da finalidade e da necessidade, ambos previstos no Ar- tigo6º, I e III, da LGPD, permitem chegar ao entendimento de que ao término da relação con- tratual, seja ela de natureza cível, consumerista ou administrativa, o contratado deverá excluir da sua base de dados todas as informações do seu contratante, salvo os casos em que a lei legitimar a sua manutenção.

Constatado o término das obrigações contratuais, a exclusão dos dados da contratante da base de dados do contratado também deverá ocorrer por respeito ao princípio da boa-fé ob- jetiva, que deve ser respeitado independentemente da base de dados, e que traz consigo uma série de princípios éticos e morais. (PELUSO, 2018, p.240)

O respeito as condições previstas na LGPD poderão ensejar o ajuizamento da ação ju- dicial cabível, para que os danos experimentos pelo titular de dados sejam reparados pelo agente violador.

2.5. DA ANÁLISE DE CLÁUSULAS

O pouco tempo de vigência da LGPD impactou diretamente na prática das atividades empresariais, uma vez que a sua vigência obrigou a adequação, por parte da pessoa jurídica, aos preceitos previstos na Lei. A implementação da LGPD na execução das atividades profis- sionais é uma atividade multiprofissional, e exige a presença de advogados na elaboração de cláusulas; profissionais da tecnologia na concretização de parâmetros de informática necessá- rios para atingir a finalidade pretendida; marketing cujas ações somente poderão ser pautadas pelos dados devidamente autorizados para este tipo de finalidade, entre outras funções impor- tantes ao funcionamento da Lei.

Dentro dessa nova realidade, o contrato e o termos de autorização assumiram o papel de protagonistas na relação criada em razão da LGPD, sendo que este último somente será utili- zado na hipótese de inexistência de um contrato entre as partes interessadas. O protagonismo dos contratos e do termo de autorização, dentre as demais atividades necessárias à implemen- tação da LGPD, vem dos limites que estes documentos fixam entre o titular de dados e os agen- tes de tratamento, ou seja, as cláusulas contratuais têm a função de explicar como, quando e onde o tratamento dos dados ocorrerá.

De forma complementar, as cláusulas também ganharam o papel informacional de ex- plicar, ao contratante, quais direitos ele possui na operação de tratamento de seus dados. Pela

LGPD, estes direitos incluem a ciência da forma como os seus dados estão sendo trabalhados e a exclusão dos dados dos servidores dos agentes de tratamento.

2.5.1 EXEMPLO DE CLÁUSULA INSERIDA EM CÉDULA DE CRÉDITO BANCÁ- RIO

Com o intuito de demonstrar como tem sido aplicada a LGPD na elaboração de cláusulas contratuais, segue abaixo trechos de cláusulas contratuais extraídas da minuta de Cédula de Crédito Bancário elaborada pelo Banco PSA.

20. TRATAMENTO E PROTEÇÃO DE DADOS: Nos termos da Lei Geral de Pro- teção de Dados(Lei nº 13.709/18), o EMITENTE e o(s) AVALISTA(S) e cônjuge ou companheiro(a) respectivos, se houver, reconhecem que o BANCO realiza o trata- mento dos seus dados pessoais com finalidades específicas e de acordo com as bases legais previstas na respectiva Lei, tais como: para o devido cumprimento das obriga- ções legais e regulatórias , para o exercício regular de direitos e para a proteção do crédito, bem como sempre que necessário para a execução dos contratos firmados, para atender aos interesses legítimos do BANCO, de seus clientes ou de terceiros ou sempre que estiver obrigado, seja em virtude de disposição legal, ato de autoridade competente ou ordem judicial. 35

Pelo trecho transcrito acima, o Banco busca regulamentar a extensão do tratamento dos dados para os cônjuges do emitente da CCB e de seu eventual avalista, sem o consentimento destes. Indaga-se resta evidenciado abuso desta cláusula pelo fato de que o cônjuge não faz parte da relação contratual, assim, não se enquadra em caso de outorga uxória prevista no Artigo 1647 do Código Civil36, o tratamento dos dados dos cônjuges não atende aos princípios da finalidade e da necessidade previstos no Artigo 6º, III, da LGPD.

Ainda, a captação de dados sem o consentimento dos cônjuges, já que não há como justificar que a captação dos dados seria realizada em razão da execução do objeto do contrato ou por estarem envolvidas com a sua execução, vai contra os direitos fundamentais individuais da pessoa humana previstos no Artigo 5º da Constituição Federal.

20.1 O EMITENTE e os AVALISTA(S) e o cônjuge ou companheiro(s) respectivo(s), se houver, declaram ter ciência de que o BANCO, na condição de controlador dos dados nos termos da legislação, pode tratar, coletar, armazenar e compartilhar, inclu- sive no âmbito internacional, com as sociedades integrantes do Conglomerado Finan- ceiro XXX, incluindo o BANCO, seus controladores e sociedades por eles controla- das, coligadas e que tenham o mesmo controle comum, bem como com a Rede de

35 Cláusula retirada de Cédula de Crédito Bancário (CCB) elaborada pelo Banco PSA.

36 Art. 1.647 CC -. Ressalvado o disposto no art. 1.648, nenhum dos cônjuges pode, sem autorização do outro, exceto no regime da separação absoluta: I - alienar ou gravar de ônus real os bens imóveis; II - pleitear, como autor ou réu, acerca desses bens ou direitos; III - prestar fiança ou aval; IV - fazer doação, não sendo remuneratória, de bens comuns, ou dos que possam integrar futura meação.

Correspondentes do Banco XXX, Rede de Concessionárias XXX e parceiros comer- ciais, sempre com a estrita observância à Lei, seus dados pessoais(incluindo sensíveis) e informações cadastrais, financeiras e de operações ativas e passivas serviços con- tratados para: (i) garantir maior segurança e prevenir fraudes; (ii) assegurar sua ade- quada identificação, qualificação e autenticação; (iii) prevenir atos relacionados à la- vagem de dinheiro e outros serviços prestados; (iv) realizar análises de risco de cré- dito; (v)aperfeiçoar o atendimento e os produtos e serviços prestados; (vi) fazer ofertas de produtos e serviços adequados e relevantes aos seus interesses e necessidades de acordo com o seu perfil; e (vii) outras hipóteses baseadas em finalidades legítimas como apoio e promoção de atividades do BANCO e das sociedades integrantes do Conglomerado Financeiro XX ou para a prestação de serviços que beneficiem os cli- entes.

20.1.1. O BANCO pode compartilhar os dados pessoais (incluindo sensíveis) e infor- mações cadastrais , financeiras e de operações ativas e passivas e serviços contratados do EMITENTE e dos AVALISTAS e cônjuges ou companheiros respectivos, se hou- ver, estritamente necessários para as respectivas finalidades específicas, com fornece- dores e prestadores de serviços, incluindo empresas de telemarketing, de processa- mento de dados, de tecnologia voltada à prevenção a fraudes, empresas ou escritórios especializados em cobrança de dívidas ou cessão de créditos, bem como com a Rede de Correspondentes do Banco XXX, Rede de Concessionárias XXX e parceiros co- merciais.37

Da cláusula acima, pontua-se que a lei determina que para os dados particulares38, que o controlador, nos casos de compartilhamento doméstico, ou seja, para agentes de tratamento do Brasil, poderá compartilhar os dados recebidos, desde que tenha autorização para isso, nos termos do Artigo 7º, § 5º, da LGPD, salvo nos casos de dispensa de autorização previstos no Artigo 7º, IV ao X, da LGPD. O caso em questão por tratar do tratamento para efetuação de uma operação de crédito e, consequentemente de um contrato encontra respaldo nos incisos V e X do Artigo 7º da LGPD, legitimando os tratamentos citados nos itens I ao IV do contrato. Já as hipóteses previstas nos itens V, VI e VII estão enquadradas na hipótese prevista no IX, do Artigo 7º da LGPD e Artigo 10, I e II. No entanto, somente os dados estritamente necessários poderão ser utilizados, nos termos do Artigo 10, § 1º39. O restante terá que ter autorização, em cláusula destacada, do titular de dados, conforme Artigo 7º I, da LGPD.

37 Cláusula retirada de Cédula de Crédito Bancário (CCB) elaborada pelo Banco PSA.

38 Dados particulares são caracterizados como as informações de pessoas naturais identificadas nos termos do Artigo 5, I, da LGPD

39 Art. 10 LGPD - O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I - apoio e promoção de atividades do controlador; e II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liber- dades fundamentais, nos termos desta Lei. § 1º Quando o tratamento for baseado no legítimo interesse do contro- lador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. § 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. § 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

Já o compartilhamento de dados sensíveis40 somente poderá ocorrer no caso concreto para as hipóteses levantadas nos itens I ao IV, por auxiliarem na execução do contrato, nos termos do Artigo 11, (d) da LGPD. Por outro lado, as hipóteses previstas nos itens V ao VI podem encontrar restrição de acordo com o entendimento da ANPD, conforme Artigo11, § 3º, da LGPD.

O compartilhamento internacional dos dados particulares e sensíveis, em relação aos itens I e IV, poderão ocorrer, desde que as informações compartilhadas sejam estritamente ne- cessárias para execução do contrato. As informações para o tratamento relacionado nos itens V a VII precisará de autorização, em relação aos dados particulares, a ser formalizada com a ela- boração de cláusula contratual que evidencia que o local de destinação possui uma lei compa- tível com a LGPD, inteligência do Artigo 33, I, II e VIII 41e IX (b) da LGPD. Os dados sensíveis poderão ser compartilhados, porém caso não sejam para atendimento de obrigação contratual, poderão encontrar restrição da ANPD. Entendimento dos Artigos 33. I, II, (b) IX e Artigo 11,

§ 3º, da LGPD.

20.1.2. Esta cláusula serve como consentimento do EMITENTE e dos AVALISTAS e o cônjuge ou companheiro(a) respectivos, se houver, nos termos aqui descritos, res- guardadas as hipóteses de dispensa de consentimento previstas na legislação e regu- lamentação aplicáveis. 42

A própria LGPD nos seus Artigos 7º, V e X, e Artigo 11º, (d), justifica o tratamento dos dados pessoais e sensíveis do emitente e avalistas, exceto o dos seus cônjuges. Nesse caso, o

40 Dados sensíveis são os dados que identificam o sexo, etnia, religião, convicção política, entre outros dados aptos a inserir o seu titular em situações de preconceito sobre quem a pessoa é, conforme Artigo 5.II, da LGPD.

41 Art. 33 LGPD - A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei; II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de: a) cláusulas contratuais específicas para determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; III - quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; IV - quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; V - quando a autoridade nacional autorizar a transferência; VI

- quando a transferência resultar em compromisso assumido em acordo de cooperação internacional; VII - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei; VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou IX - quando necessário para atender as hipó- teses previstas nos incisos II, V e VI do art. 7º desta Lei.

Parágrafo único. Para os fins do inciso I deste artigo, as pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), no âmbito de suas competências legais, e responsáveis, no âmbito de suas atividades, poderão requerer à autoridade nacional a ava- liação do nível de proteção a dados pessoais conferido por país ou organismo internacional.

42 Cláusula retirada de Cédula de Crédito Bancário (CCB) elaborada pelo Banco PSA.

agente de tratamento não necessita requerer o tratamento deles para realizar o tratamento, po- rém todas as demais obrigações previstas na LGPD deverão ser seguidas pelos agentes de tra- tamento.

20.2 O EMITENTE e o(s) AVALISTA(S) e cônjuge ou companheiro(a) respectivos, se houver, na condição de titulares dos dados pessoais, tem direito a obter, em relação aos seus dados tratados pelo BANCO, a qualquer momento e mediante requisição, nos termos da Lei, dentre outros: (i)a confirmação da existência de tratamento; (ii) o acesso de dados;(iii) a correção de dados incompletos, inexatos ou desatualizados; (iv) a anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a lei; (v) a portabilidade dos dados a outro for- necedor de serviço ou produto, observados os segredos comercial e industrial e demais direitos previstos no artigo 18 da Lei 13.709/2018.

A cláusula acima está em concordância com os direitos conferidos ao titular dos dados, o agente de tratamento informa as disposições elencadas no Artigos 15 e 18 da LGPD.

20.3. Mesmo após o término do prazo de vigência desta Cédula, os dados pessoais e outras informações decorrentes desta Cédula e do relacionamento do EMITENTE, AVALISTA(S) e cônjuge ou companheiro(a) respectivos, se houver, com o BANCO poderão ser conservados pelo BANCO para cumprimento de obrigações legais e re- gulatórias, bem como para o exercício regular de direitos pelo BANCO, pelos prazos previstos na legislação vigente.

A LGPD em seu Artigo 16, I ao IV, garante o direito, ao agente de tratamento, de que as informações coletadas em razão do serviço prestado poderão ser armazenadas para cumpri- mento de obrigações legais ou regulatórias, mesmo que o contrato que tenha dado razão ao tratamento já tenha sido encerrado ou descontinuado.

Em outras palavras, a depender do caso concreto, o agente de tratamento poderá estar sujeito, além da LGPD, a outros regramentos, e que poderão atribuir outros deveres ao agente de tratamento. No caso de operações de crédito, como a que foi tratada no contrato em que está a presente cláusula foi retirada, as instituições financeiras são obrigadas a guardar as informa- ções de seus clientes pelo prazo de cinco anos, contados a partir do término do relacionamento ou serviço prestado, conforme Circular BACEN de nº 2.852 de 03 de dezembro de 1998.

20.4. Os agentes de tratamento serão responsáveis por tratar os dados em observância à legislação e regulamentação vigentes.43

Ao mencionar que o tratamento dos dados cedidos em razão da celebração da operação de crédito firmada entre as partes, os agentes de tratamento, controlador e operador, deverão atuar de acordo com o regramento da própria LGPD, da Lei de Cédula de Crédito Bancário (Lei nº 10.931, de 2 de agosto de 2004), CDC, se for uma relação de Consumo, Resoluções BACEN,

43 Cláusulas 20.4 e 20.5 foram retiradas da Cédula de Crédito Bancário elaborada pelo Banco PSA.

Lei de Xxxxxx Xxxxxxxx (Lei Complementar de nº 105, de 10 de janeiro de 2001) e o que mais for pertinente ao caso concreto.

20.5. Na hipótese do EMITENTE e/ou o(s) AVALISTAS serem pessoas(s) jurí- dica(s), os dados pessoais comtemplarão também as informações relacionadas aos re- presentantes legais do EMITENTE e/ou do(s) AVALISTA(S)

Neste tópico, a instituição financeira responsável pelo contrato está de acordo com os preceitos previstos no Artigo1º da LGPD, ao determinar que, na hipótese de avalistas e emiten- tes pessoas jurídicas, a proteção conferida pela LGPD será estendida para seus representantes legais.

CONSIDERAÇÕES FINAIS

A Lei Geral sobre Proteção de Dados (LGPD) e a General Data Protection Regulation (GDPR) foram criadas com o mesmo objetivo de defender a privacidade das pessoas naturais contra a captação desenfreada de informações praticada pelos empresários, defendendo, em suas disposições, os princípios e valores éticos e morais estabelecidos por seus direitos funda- mentais. As semelhanças entre as legislações também deram espaço para diferenças, tendo em vista que os territórios brasileiro e europeu têm as suas especificidades.

Tal norma ampliou o rol de proteção aos direitos fundamentais e todo o arcabouço social existente na Constituição Federal (CF) ao incluir mais direitos relacionados a privacidade no âmbito digital do cidadão, a legislação brasileira sobre proteção de dados trouxe reflexos ainda nos fundamentos da Ordem Econômica prevista no Artigo 170 da CF, que demonstram juridi- camente que o Poder Legislativo, ao criar a LGPD, buscou a conciliação da prática de atividades empresariais com a proteção de dados das pessoas naturais.

Demonstrou-se que um recurso importante a captação de dados vem da elaboração de cláusulas contratuais e termos de permissão, documentos que estabeleceram em consonância com a lei o modo e os limites aos agentes de tratamento, na atividade de tratamento de dados da pessoa natural. Estas cláusulas deverão respeitar o diálogo das fontes, ao passo que a própria LGPD traz elementos de conexão com outras leis e regulamentos, como o Código de Defesa do Consumidor, Resoluções BACEN, Marco Civil da Internet, entre outros.

A violação aos direitos de proteção de dados da pessoa natural, além das multas impos- tas pelo Governo Federal, poderá haver indenizações fixadas em âmbito judicial a pessoa que tiver seus dados violados.

Em se tratando de relações regidas pelo Código Civil embora não haja previsão em Lei sobre o tipo de responsabilidade imputada pelo desrespeito aos preceitos da LGPD, a jurispru- dência vem debatendo sobre a temática se firmando no sentido de ser imputada a responsabili- dade de forma subjetiva, já nos casos de violações derivadas de demandas consumeristas, por existir previsão no Código de Defesa do Consumidor nos Artigos 12º e 14º, serão imputadas pela responsabilidade objetiva.

REFERÊNCIAS

DOUTRINAS CONSULTADAS

XXXX, Xxxxxxx; XXXXXXXXX, Xxxxxxx; XXXXXXXXXX. LGPD para contratos, São Paulo, Saraiva, 2022, e-book, ISBN 9786555597684. Livro disponível em xxxxx://xxxxx.xxx- xxx.xxx.xx/xxxxx?xxxxx-XX&xxx&xxxXx00XXXXXXXX&xxxxxx&xxxXX0&xxxxxx- trato+LGPD&ots=swg36PvpLt&sig=p5GQWMefT5sT_t_M66KUh peqU#v=one- page&q=contrato%20LGPD&f=false. Acesso em 09 de março de 2022.

XXXX, Xxxxxx Xxxx Xxxxxxx de. Comentários à Lei Geral de Proteção de Dados: Lei nº 13.709/2018, com alteração da Lei 13.853/2019, São Paulo, Grupo Almedina, 2019, e- book, ISBN 9788584935796. Livro disponível em xxx.xxxxxxxxx.xxxxxxxxxxxxxxx.xxx.xx/xxx- der/books/9788584935796/pageid/0. Acesso em 09 de março de 2022.

MULHOLAND, Caitlin - A LGPD e o Novo Marco Normativo no Brasil, Porto Alegre/RS, Arquipélago Editorial Ltda, 2020, e-book, ISBN 9788554500375. Livro disponível em xxx.xxx.xxxxxx.xxx.xx/?xxxxxX000X0XXXX. Acesso em 09 de março de 2022.

XXXXXX, Xxxxx et al. - Código Civil Comentado - Doutrina e Jurisprudência. 12ª edição, São Paulo, Manole, 2020, e-book, ISBN 9788520464328. Livro disponível em www.integrada.mi- xxxxxxxxxxxxx.xxx.xx/xxxxxx/xxxxx/0000000000000/xxxxxx/0. Acesso em 09 de março de 2022.

XXXXXXXX, Xxxxxxxx Xxxx - Proteção de Xxxxx Xxxxxxxx: Comentários à Lei nº 13.709/2018(LGPD), São Paulo, Saraiva, 2020, e-book, ISBN 9788553613625. Livro disponí- vel em xxxxx://xxxxxxxxx.xxxxxxxxxxxxxxx.xxx.xx/#/xxxxxxxx/0000000000000. Acesso em 09 de março de 2022.

XXXX XXXXXX, Xxxxxx; XXXX, Xxxx Xxxxx xx X. - Código Civil Comentado - 11ºedição, São Paulo, Editora Revista dos Tribunais, 2014, ISBN 978-85-203-5501-5

LEGISLAÇÕES CONSULTADAS

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Disponível em xxx.xxxxxxxx.xxx.xx/xxxxxx_00/xxx0000-0000/0000/xxx000000.xxx. Acesso em 09 de março de 2022.

   . Lei nº 10.406, de 10 de janeiro de 2002. Código Civil. Disponível em www.pla- xxxxx.xxx.xx/xxxxxx_00/xxxx/0000/x00000xxxxxxxxx.xxx. Acesso em 09 de março de 2022.

   . Constituição Federal de 1988. Disponível em xxxx://xxx.xxxxxxxx.xxx.xx/xxx- vil_03/constituicao/constituicao.htm. Acesso em 09 de março de 2022.

   . Lei 8.078, de 11 de setembro de 1990. Código de Defesa do Consumidor. Disponível em xxxx://xxx.xxxxxxxx.xxx.xx/xxxxxx_00/xxxx/x0000xxxxxxxxx.xxx. Acesso em 09 de março de 2022.

UNIÃO EUROPEIA, General Data Protection Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 april 2016. Disponível em xxx.xxx-xxx.xxxxxx.xx/xxxxx- content/EN/TXT/PDF/?uri=CELEX:32016R0679. Acesso em 09 de março de 2022.

SITES CONSULTADOS

BBC - Three Years of GDPR: The biggest fines so far. Disponível em xxxxx://xxx.xxx.xxx/xxxx/xxxxxxxxxx-00000000. Acesso em 09 de março de 2022.

EUROPEAN UNION - European Data Protection Supervisor. Disponível em xxxxx://xxxx.xxxxxx.xx/xxxx-xxxxxxxxxx/xxxx-xxxxxxxxxx_xx. Acesso em 09 de março de 2022.

XXXX.XX. - Complete guide to GDPR compliance. Disponível em xxx.xxxx.xx . Acesso em 09 de março de 2022.

XXX.XX - Guia do Núcleo de Proteção de Dados do Conselho Nacional de Defesa do Con- sumidor. Disponível em xxxxx://xxx.xxx.xx/xxxx/xx-xx/xxxxxxxxxx-x-xxxxxxxxxxx/xxxxxxxx- de-documentos-de-publicacoes/guia-do-consumidor_como-proteger-seus-dados-pessoais-fi- nal.pdf. Acesso em 09 de março de 2022.

G1 – Governo da Irlanda Apoia Microsoft Contra Ceder Dados de E-mail aos EUA. Dis- ponível em xxx.x0.xxxxx.xxx/xxxxxxxxxx/xxxxxxx/0000/00/xxxxxxx-xx-xxxxxxx-xxxxx-xxxxx- soft-contra-ceder-dados-de-e-mail-aos-eua.html. Acesso em 09 de março de 2022.

SEBRAE - Pequenos Negócios Terão Tratamento Diferenciado na LGPD. Disponível em xxxxx://xxx.xxxxxxxxxxxxx.xxx.xx/xxxxx/xxx/xx/XX/xxxxxxxx-xxxxxxxx-xxxxx-xxxxxxxxxx-xxxx- renciado-na%20lgpd,043f3f49d71ae710VgnVCM100000d701210aRCRD. Acesso em 09 de março de 2022.

VALOR - Custo da Conformidade pode variar de R$ 50 mil a R$ 800 mil. Reportagem publicada em 21.08.2021, Disponível em xxxxx://xxxxx.xxxxx.xxx/xxxxxxxxxxx/xxxxxxxxxxx/xx- ticia/2020/08/21/custo-da conformidade-p ode-variar-de-r-50-mil-a-r-800-mil.ghtml. Acesso em 09 de março de 2022.

WIRED - What is GDPR? The summary guide to GDPR compliance in the UK. Disponível em xxxxx://xxx.xxxxx.xx.xx/xxxxxxx/xxxx-xx-xxxx-xx-xx-xxxxxxxxxxx-xxxxxxxxxx-xxxxxxx-xx- nes-2018. Acesso em 09 de março de 2022.

ARTIGOS PUBLICADOS CONSULTADOS

XXXXXXXX, Xxxxxx Xxxxxx. A responsabilidade Civil na Lei Geral de Proteção de Dados, Cadernos Jurídicos, São Paulo, Ano 21, nº53, p.163 -170, janeiro – março 2020. Disponível em xxx.xxxx.xxx.xx/xxxxxxxx/XXX/Xxxxxxxxxxx/XxxxxxxxXxxxxxxxx/xx_0_x_xxxxxxxxxxxxxxxx_xx- vil.pdf?d=637250347559005712. Acesso em 09 de março de 2022.

XXXXXX, Xxxxxxxx; XXX, Xxx. Responsabilidade Civil na LGPD é subjetiva. Artigo pu- blicado em 29 de janeiro de 2021. Disponível em xxxxx://xxx.xxxxxx.xxx.xx/0000-xxx-00/xxx- rea-cho-responsabilidade-civil-lgpd-subjetiva. Acesso em 09 de março de 2022.

XXXXXX, Xxxx. Postergação da Vigência da LGPD: um remédio necessário? Artigo pu- blicado em 01 de maio de 2020. Disponível em xxxxx://xxx.xxxxxx.xxx.xx/0000-xxx-00/xx- reito-civil-atual-postergacao-vigencia-lei-geral-protecao-dados-remedio-necessario. Acesso em 09 de março de 2022.

XXXXX, Xxxxxxxx Xxxxxxx. A responsabilidade civil na Lei Geral de Proteção de Dados e sua interface com o Código Civil e o Código de Defesa do Consumidor, Cadernos Jurídicos, São Paulo, ano 21, nº 53, p.97-115, janeiro – março/2020. Disponível em xxxxx://xxx.xxxx.xxx.xx/xxxxxxxx/XXX/Xxxxxxxxxxx/XxxxxxxxXxxxxxxxx/xx_0_xxxxxxxxx_xx- tre_a_lgpd.pdf?d=637250344175953621. Acesso em 09 de março de 2022.

TESES CONSULTADAS

XXXXXXXXXXX, Xxxx Xxxxxxxx Xxxxx. O consentimento previsto na LGPD e sua aplicação nos contratos eletrônicos: desafios para sua validação. 2021. Dissertação (Mestrado). Uni- versidade Nove de Julho - UNINOVE, São Paulo, 2021. Disponível em xxxx://xxxxxxxxxx- xxxx.xxxxxxx.xx/xxxxxx/xxxx/0000. Acesso em 09 de março de 2022.

XXXXXXX, Xxxxxx Xxxxxxxxx. Exoneração e Limitação de Responsabilidade por Violações de Dados nos Contratos de Computação em Nuvem. 2021. Dissertação (Mestrado Profissi- onal). Fundação Xxxxxxx Xxxxxx, Escola de Direito de São Paulo, São Paulo, 2021. Disponível em xxxxx://xxxxxxxxxxxxxxxxx.xxx.xx/xxxxxx/xxxxxx/00000/00000. Acesso em 09 de março de 2022.