Arbitragem e Proteção de Dados
ARBITRAGEM E LITÍGIOS ENVOLVENDO PROTEÇÃO DE DADOS
Antonio Alberto Rondina Cury
Recentemente, tornaram-se mais comuns e mais intensas as discussões sobre a proteção de dados no país. Antes desenvolvido em núcleos mais restritos, o tema ganhou espaço e visibilidade com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/18). Com isso, a proteção de dados deixou o campo acadêmico e das empresas de tecnologia e entrou no dia-a-dia de todos os negócios, independentemente de seu ramo e porte.
E não poderia ser diferente. Com o avanço da tecnologia e sua popularização, o volume de dados tratados aumentou sobremaneira, bem como a utilidade dessas informações – e, consequentemente, o seu valor financeiro. Emprestando as palavras de Bruno Ricardo Bioni, eles se tornaram “um ativo na economia da informação”. Por outro lado, não se pode esquecer de seu aspecto puramente pessoal e seu caráter potencialmente sensível, como números de documentos, parâmetros de renda e problemas de saúde – fornecidos aos bancos e planos de saúde, por exemplo.
Nesse cenário, as falhas no tratamento de dados se tornaram cada vez mais comuns, desde o compartilhamento indevido de endereços de e-mail para inclusão em mailing lists publicitárias, até ataques cibernéticos em bases muito completas, como as de órgãos governamentais – por exemplo, há pouco tempo, em dezembro de 2020, a falha de proteção dos sistemas do Ministério da Saúde que expôs dados cadastrais de 243 milhões de pessoas. Tais ataques se tornaram não só comuns, como inevitáveis; afinal, é teoricamente inconcebível um sistema de proteção ou controle totalmente sem falhas.
Ciente dessa situação, a LGPD previu, em seu art. 22, que a defesa dos interesses e direitos dos titulares de dados poderá “ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva”; na mesma linha do Considerado nº 141 do RGPD europeu, sobre o direito dos titulares a uma “ação judicial efetiva”. O dispositivo deve ser lido não como uma simples positivação legal do direito de ação – já garantido constitucionalmente; seu propósito é, justamente, promover a amplitude desse acesso à Justiça, por todos os meios jurisdicionais – inclusive a arbitragem.
Sua utilização, é claro, deve respeitar os limites impostos pelo art. 1º da Lei de Arbitragem, ou seja, voltada somente para os direitos patrimoniais disponíveis. Isso exclui algumas situações importantes, como violações envolvendo menores de idade (inarbitrabilidade subjetiva), bem como discussões sobre responsabilidade criminal ou aspectos fiscalizatórios ou sancionatórios da ANPD (inarbitabilidade objetiva). Mas, dentro das balizas legais, principalmente envolvendo indenização por danos materiais e morais decorrentes da violação sofrida[1], em princípio, não há vedação alguma a seu uso.
As vantagens dessa escolha são claras, como a maior proteção à confidencialidade, a celeridade e o julgamento por especialistas na matéria (eis que a fluência dos operadores do direito no tema, como em tantos outros envolvendo tecnologia, ainda não está muito desenvolvida). Por outro lado, há obstáculos graves: o alto custo, que é uma barreira para as pessoas físicas, únicas titulares dos direitos previstos na LGPD; e a importância das condenações a fazer e não fazer nesta seara, que só poderiam ser executadas mediante carta arbitral, aumentando o tempo e os gastos necessários para solução do litígio.
Sua utilização, porém, pressupõe que o dano por falha na proteção de dados esteja ligado a uma relação contratual, em cujo instrumento conste também uma cláusula compromissória. O art. 8º, § 1º, da LGPD prevê que o consentimento para tratamento de dados do titular pode ser dado por escrito, por meio de cláusula contratual destacada. Portanto, é possível que um mesmo contrato contenha o consentimento para tratamento de dados e cláusula arbitral que permita a resolução de controvérsias relacionadas ao contrato, inclusive aquelas relacionadas ao tratamento de dados. Além disso, nada impede que as partes celebrem, posteriormente à violação, um compromisso arbitral.
Nesse momento inicial de desenvolvimento do tópico no Brasil, três precedentes dos Estados Unidos autorizando a arbitragem para tratar de vazamentos de dados podem servir de baliza.
O primeiro deles é Shore et al v. Johnson & Bell, julgado pela Northern District Court of Illinois. A discussão aqui se centrava não em um evento específico, mas na possibilidade de vazamento de dados dos clientes de uma banca de advogados de Chicago, eis que, segundo os autores, os sistemas de segurança por ela empregados não seguiam o padrão adequado. Ao final, o tribunal julgou válida a cláusula compromissória do contrato de prestação de serviços celebrado entre as partes, remetendo-as à arbitragem individual, sem admitir a modalidade coletiva.
O segundo é o caso Lamps Plus Inc. v. Varela, sobre o vazamento de dados dos funcionários da empresa, que expôs dados tributários sensíveis de seus funcionários, com a ocorrência de eventos danosos concretos a alguns deles decorrentes de declarações de renda fraudulentas. Inicialmente, a Corte de Apelação do Nono Circuito remeteu as partes à arbitragem de classe; a decisão, porém, foi revertida pela Suprema Corte americana, por estreita maioria, ao entender que “a court may not compel classwide arbitration when an agreement is silent on the availability of such arbitration”.
Um terceiro caso demonstra o potencial equívoco em tal linha de pensamento[2]. Trata-se da ação coletiva Lyles v. Chegg, Inc, extinta em abril de 2020 pela Corte Distrital de Maryland, concluindo pela validade da cláusula compromissória inserida nos contratos celebrados entre a empresa de tecnologia de educação Chegg e seus usuários – que incluiria os eventuais danos causados por um vazamento maciço de dados ocorrido na plataforma em 2018. Todavia, menos de um mês depois, mais de 15 mil requerimentos de arbitragem foram protocolados junto ao American Arbitration Association. Além das questões operacionais para ambas as partes, a Chegg se viu em uma situação especialmente delicada, ao ter de pagar a taxa de registro para cada um dos procedimentos (pelas regras de arbitragem consumerista da câmara, parte dela é paga pela empresa requerida): US$ 300, não reembolsáveis, totalizando mais de US$ 4,5 milhões.
Os precedentes acima mostram como é possível a submissão à arbitragem dos danos decorrentes da violação de um dever contratual, pois caracterizados como direitos patrimoniais disponíveis. Transpondo-os para a realidade brasileira, nada impede que se chegue à mesma conclusão pela arbitrabilidade desse tipo de disputas.
Todavia, ao menos por enquanto, estas disputas certamente não terão, no Brasil, o mesmo alcance que têm nos Estados Unidos, em especial devido às limitações aqui impostas a arbitragens em relações de consumo e em relações trabalhistas. Apesar de desenvolvimentos recentes, o uso da arbitragem nestas relações ainda tem aceitação limitada no Brasil, o que poderia ser um obstáculo ao uso da arbitragem para tratar de disputas relacionadas a tratamento de dados de consumidores e empregados.
De toda forma, o tema ainda é novo e, certamente, suscitará questões das mais complexas quando de sua aplicação prática – a qual, espera-se, ajudará no desenvolvimento do próprio instituto da arbitragem e na busca pela efetivação dos direitos previstos na LGPD.
[1] Cite-se aqui, a primeira condenação judicial envolvendo a LGPD (Ação nº 1080233-94.2019.8.26.0100, 13ª Vara Cível do Foro Central de São Paulo, sentença de 29.09.2020). O caso envolve a transmissão não autorizada de dados do autor a terceiros estranhos ao contrato por ele firmado com a empresa ré. Ainda que diversos temas tenham sido tratados na lide, ela foi decidida à luz da relação contratual entre as partes e dos danos decorrentes do inadimplemento de uma de suas cláusulas. Embora este caso tenha sido submetido ao juízo estatal, houve clara identificação de direitos patrimoniais disponíveis que poderiam ter sido submetidos ao juízo arbitral. Esta decisão demonstra, portanto, a arbitrabilidade das questões debatidas.
[2] No Brasil, o art. 22 da LGPD assegura o acesso a “instrumentos de tutela individual e coletiva”. À parte da discussão sobre o seu cabimento em litígios propriamente coletivos (não multitudinários), e tendo em mente que os direitos relativos à proteção de dados são potencialmente coletivos ou individuais homogêneos (não difusos), é possível pensar em alguns benefícios dela decorrentes. Dentre eles, citem-se a economia processual, a segurança jurídica (frente às centenas de demandas individuais) e a efetivação do acesso à justiça.