SóProvas

ID
5277937
Banca
FGV
Órgão
DPE-RJ
Ano
2021
Provas
Disciplina
Direito Digital
Assuntos

Vinícius é dirigente sindical dos servidores da concessionária de água e esgoto Água Limpa do Estado X. A concessionária Água Limpa oferece aos seus servidores telefones celulares e linha telefônica com a LigueJá para o desempenho de suas funções. Ao adquirir cada linha telefônica, Água Limpa celebra contrato de adesão com a LigueJá e, em paralelo, o servidor preenche formulário de informações pessoais para a LigueJá, informando, dentre elas, o exercício de função sindical. Vinícius descobre que a Ligue Já comercializou a informação para empresas de cobrança e recuperação de créditos. Vinícius, notando tal fato, notifica a LigueJá e a Água Limpa pedindo esclarecimentos sobre a cessão das informações. A Ligue Já responde afirmando que, no contrato de adesão assinado com Água Limpa e no formulário assinado por Vinícius, constava autorização de uso geral e irrestrito dos dados por LigueJá, e que essa disposição, por si só, autorizava a cessão dos dados pessoais.

Nesse contexto, é correto afirmar que:

Alternativas
Comentários

  • Gabarito: E

    Lei 13709/2018

    Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

    I - mediante o fornecimento de consentimento pelo titular;

    Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

    § 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.

  • E) Correta.

    - Basta ler as disposições da Lei Geral de Proteção de Dados abaixo colacionadas.

    Lei 13.709/2018 (LGPD), art. 5º Para os fins desta Lei, considera-se:

    II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

    X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

    XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

    Lei 13.709/2018 (LGPD), art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

    I - mediante o fornecimento de consentimento pelo titular;

    § 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.

    Lei 13.709/2018 (LGPD), art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

    § 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.

    Lei 13.709/2018 (LGPD), art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

    I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

     

    A) Incorreta.

    - Como se trata de dado pessoal sensível, é necessária autorização específica e destacada para finalidade específica, conforme visto na assertiva E.

    - Além disso, o art. 8º, § 4º da LGPD considera nula a autorização genérica.

    Art. 8º, § 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.

  • B) Incorreta.

    - Quando houver envolvimento da administração pública, só não haverá necessidade de consentimento se o tratamento for necessário ao interesse público.

    - No caso posto, o tratamento foi realizado para fins particulares, com intuito de lucro, não havendo se falar em interesse público.

    - Abaixo estão as disposições pertinentes da LGPD.

    Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

    III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei (dispõe sobre o tratamento de dados pessoais pelo poder público);

    Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

    II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

    b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

     

    C) Incorreta (parte 01).

    - O tratamento, conforme explicado na assertiva “E”, não poderia ter sido realizado da forma descrita no enunciado.

    - Quanto à responsabilidade, necessário frisar que existe divergência na doutrina. Uma parte sustenta ser objetiva e a outra subjetiva.

               > A corrente que sustenta a responsabilidade subjetiva se bifurca em duas posições, sendo uma defensora da culpa provada e a outra da presumida.

               > Aquela que sustenta a culpa presumida se baseia nos dispositivos abaixo colacionados. Segundo eles, a utilização indevida gera presunção de culpa, a qual, contudo, pode ser elidida, notadamente se demonstrada uma das hipóteses do art. 43 da LGPD.

  • C) Incorreta (parte 02).

    Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:

    VI - responsabilidades dos agentes que realizarão o tratamento;

    Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

    § 1º A fim de assegurar a efetiva indenização ao titular dos dados:

    I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;

    Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

    I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;

    II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

    III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

    D) Incorreta.

    - Não há exercício regular de direito, uma vez que a utilização exige consentimento expresso, nos termos do exposto na assertiva “E”. Não basta, portanto, a mera comunicação do uso.

  • São considerados dados pessoais sensíveis aqueles dados que expressam maior singularidade da vida privada das pessoas naturais e que exigem maior necessidade de prevenção e proteção no tratamento, sob risco de expor os titulares a uma situação de extrema vulnerabilidade frente ao mercado de consumo.

    Por representar uma consequência mais grave a liberdade da pessoa natural quando violados, os dados pessoais sensíveis não podem ser tratados de acordo com os interesses econômicos do controlador ou operador.

    Além do mais, o consentimento do titular está atrelado à informação clara e adequada do tratamento de seus dados, assim como para quais fins é destinado.

    Desse modo, a utilização dos dados pessoais sensíveis deve obedecer à finalidade conhecida pelo titular antes da coleta de seus dados, sendo nula autorizações genéricas para tratamento de tais dados (arts. 7º, I e 8º, §4º da LGPD), salvo quando consentida de forma específica e destacada pelo titular ou seu representante legal, para finalidades específicas, ou, sem o consentimento do titular, nas hipóteses legais em que seja dispensável (ex.: obrigação legal ou regulatória; dados necessários à execução de políticas públicas etc.), conforme art. 11º, LGPD.

  • Você tem que entender o conceito e saber quais são exemplos de dados pessoais sensíveis! Por exemplo: quando eu, professor Sérgio, fui resolver essa questão pela primeira vez, fiquei alerta assim que ela destacou que Vinícius é dirigente sindical. Pensei: “a questão não falou isso à toa”. Mais tarde, a questão diz que as informações relacionadas ao exercício de função sindical foram compartilhadas. Então pensei: “aposto como a resposta está relacionada a dados pessoais sensíveis”. E não deu outra!

    Pois bem. De acordo com o art. 5º, inciso II, da LGPD, dado pessoal sensível é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

    Portanto, a informação de Vinícius constitui dado pessoal sensível, por dizer respeito à filiação a sindicato. 

    E, de acordo com o artigo 11º, inciso I, da LGPD, 

    Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

    I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

    II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: (...)

    Repare que o tratamento de dados pessoais sensíveis pode ocorrer:

    Com o consentimento do titular ou de seu responsável legal, sendo que esse consentimento deve ser feito de forma específica e destacada (não pode ser genérico), e para finalidades específicas; ou 

    Sem o consentimento do titular, mas somente quando isso for indispensável para as finalidades previstas nas alíneas do inciso II do art. 11º.

    A situação descrita pela questão não se amolda a nenhuma das finalidades previstas nas alíneas do inciso II do art. 11º. Então o tratamento dos dados pessoais sensíveis de Vinícius só poderia ter sido feito com o seu consentimento, sendo que esse consentimento deve ser específico (expresso), indicando também a sua finalidade. Um consentimento genérico não basta. Até porque a LGPD dispõe que ():

    Art. 7º, § 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.

    Art. 8º, § 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.

    Art. 8º, § 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.

    Esses dispositivos evidenciam a intenção do legislador em não aceitar como válido o consentimento obtido de forma genérica.

    Por isso, está correto dizer que a informação de Vinícius constitui dado pessoal sensível, por dizer respeito à filiação a sindicato e, portanto, seu tratamento dependeria de consentimento expresso do titular, requerendo-se a indicação da finalidade do uso (alternativa E). Eis o nosso gabarito.

    Vejamos o erro das demais alternativas:

    a) ERRADA. A cláusula que autorizou o uso de dados foi feita para quaisquer finalidades e é genérica.Conforme vimos no art. 8º, § 4º: “o consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas”.

    b) ERRADA. O uso não está sendo feito pela Administração Pública, mas sim por uma concessionária (Água Limpa) e por uma contratada (LigueJá) da concessionária. Esta última não tem nenhuma relação com a Administração Pública.

    c) ERRADA. A responsabilidade civil do tratador de dados pessoais não se dá por meio de culpa presumida. A verdade é que:

    Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

    I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;

    II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

    III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

    Em linhas gerais, esse artigo traz as hipóteses excludentes de responsabilidade dos agentes de tratamento envolvidos em um evento danoso.

    d) ERRADA. A conduta não constitui exercício regular de direito, porque o consentimento expresso do titular não foi concedido. O art. 8º, § 3º, da LGPD, prevê que “é vedado o tratamento de dados pessoais mediante vício de consentimento”. Esse parágrafo deixa claro que o agente de tratamento deverá obter o consentimento de forma válida e que sendo considerado inválido, por falta de atendimento dos requisitos da lei, bem como o tratamento realizado não tenha outra base legal que o justifique, esse tratamento será considerado ilícito.

    e) CORRETA, conforme comentários acima.

    Gabarito: E