Para a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) é dado pessoal toda informação que diga respeito a uma pessoa identificada ou passível de identificação. Isto porque o foco da proteção legal não é o tipo de informação pessoal, mas os usos que se podem fazer delas. Sendo assim, todos aqueles que coletam e guardam dados pessoais devem o fazer segundo os parâmetros da LGPD, sob pena de se sujeitar a aplicação de penalidades e/ou a decisões judiciais condenatórias.

O Tribunal de Justiça de São Paulo condenou uma empresa de telefonia móvel ao pagamento de uma indenização por danos morais no valor de dez mil reais, por ter informado a titularidade da conta de um cliente à sua ex-noiva, o que teria desencadeado uma grave crise de desconfiança entre eles, culminando no rompimento do noivado (Apelação Cível nº 1065936-51.2020.8.26.0002). 

Chama atenção a fundamentação da decisão judicial, que pode ser estendida a muitas outras empresas e situações cotidianas. O TJSP considerou a violação do sigilo dos dados do cliente e a negligência da empresa, que teria falhado no seu dever de segurança e sigilo em relação às informações pessoais constantes do seu banco de dados, nos termos da LGPD.

A empresa tentou se defender alegando que a pessoa que fez a ligação tinha informações pessoais do titular da linha, revelando ser alguém da confiança dele.

Argumentos desta natureza depõem contra quem os utiliza, uma vez que evidenciam ou desconhecimento ou descumprimento deliberado da LGPD, sendo equivalentes ambas as posições. A proteção legal previne justamente a possibilidade de combinação dos dados acessados com outras informações que se possa ter ou obter, relativas à mesma pessoa, causando-lhe algum prejuízo.

A Lei instituiu requisitos para o tratamento de dados pessoais e tanto a prestação da informação, quanto o seu requerimento (acesso) constituem operações autônomas de tratamento de dados. Assim, quem requer as informações precisa dizer qual a base legal que o autoriza a ter acesso àqueles dados, assim como a finalidade legítima e a necessidade deles, revelando ainda uma adequação entre os dados e a finalidade alegada. 

Do seu lado, a empresa também deve buscar uma base legal que a autorize a prestar as informações, avaliando a pertinência da prestação da informação com a finalidade para a qual ela detém os dados. Informar os dados a terceiros representa um tratamento posterior destes dados, cuja finalidade deve ser compatível com aquela para a qual os dados estavam armazenados.

A informação a terceiros acerca da titularidade de uma linha telefônica não encontra compatibilidade com a finalidade para a qual a companhia de telefonia guarda os dados do cliente. Fornecer estes dados a terceiro surpreende o cliente, não é algo que ele possa prever – ela tem os dados para lhe prestar os serviços contratados. Logo, a empresa só deve fazê-lo ou mediante o consentimento do cliente ou para o cumprimento de um dever legal ou numa outra hipótese autorizada pela LGPD.

Um quadro mental importante no regime da proteção de dados se forma em torno da previsibilidade do tratamento de dados. Isto porque a Lei visa a proteção da autodeterminação informativa, a possibilidade do titular exercer o controle sobre o uso dos seus dados.

Nesta lógica, se uma operação de tratamento, por mais simples que seja, foge ao campo de previsibilidade do titular, tido em função da finalidade para a qual a empresa tem os seus dados, esta operação de tratamento provavelmente infringe a LGPD.

No processo acima, não se tratou de vazamento do conteúdo da comunicação do cliente, mas sim e apenas da informação de que ele é o titular de determinada conta de serviços de telefonia e internet.

No entanto, trata-se de um dado pessoal e, como tal, exige de quem o detém o cumprimento de uma série de deveres e cuidados, além de requisitos para o seu uso, todos eles disciplinados pela LGPD.