Na Parte I desse artigo (que pode ser encontrada aqui), foram apresentados os pontos centrais da teoria dos deveres fiduciários informacionais, em especial sua origem, conceitos, alcance e a sua relevância para o debate sobre a proteção de dados pessoais.1 Nessa Parte II serão apresentados os riscos e as críticas ao modelo, bem como a sua potencial aplicação no direito brasileiro, tanto do ponto de vista da base normativa e complementaridade com a LGPD, quanto dos aspectos práticos dos arranjos regulatórios possíveis.
Como já explicado, o modelo fiduciário de proteção de dados pessoais ainda é uma ideia sem força normativa2. Se algum dia se tornar realidade, pode, ainda, não conseguir atingir o seu objetivo central, que é coibir abusos e estabelecer um dever geral de confiança que impeça que as organizações se aproveitem de posições privilegiadas em relações assimétricas para tratar os dados pessoais de forma prejudicial aos interesses e a legítima expectativa dos seus titulares. De todo modo, é inegável que a ideia ganhou a simpatia de inúmeros atores, como acadêmicos3, ONGs4, imprensa5, políticos6 e até mesmo diretores de plataformas de redes sociais, como o Facebook7.
No debate sobre os deveres fiduciários informacionais nos EUA, poucos foram aqueles que levantaram preocupações quanto à viabilidade do modelo. Enquanto a vasta maioria se juntou ao grupo dos entusiastas, alguns se mostraram cautelosos, ou até mesmo céticos, quanto à proposta. Entre os últimos, destacam-se Lina Khan e David Pozen, professores da Columbia Law School que, em 2019, publicaram o artigo "A Skeptical View of Information Fiduciaries"8.
Khan e Pozen não pouparam críticas ao modelo dos deveres fiduciários informacionais. Pozen chegou a afirmar, em um post no blog criado por Balkin, que "a proposta dos deveres fiduciários informacionais é defeituosa - provavelmente para além de um reparo possível - de um ponto de vista conceitual, jurídico e normativo."9 No artigo, os autores desenvolveram os argumentos, que, por limitações de espaço, não puderam ser reproduzidos na íntegra aqui. No entanto, algumas das críticas são as seguintes:
Conflito de interesses entre acionistas e titulares de dados pessoais: Ao assumir deveres fiduciários para com os titulares de dados, as empresas (de capital aberto) estariam se colocando em uma posição de conflito com os deveres fiduciários assumidos perante os seus acionistas, já que, em muitas situações, haverá uma tensão entre a proteção dos interesses de privacidade dos usuários e os interesses econômicos dos acionistas. Em síntese, a "lealdade dividida" tornaria o modelo logicamente insustentável.
Problemas da analogia com os agentes fiduciários tradicionais: Haveria mais distinções do que semelhanças entre as relações de médico-paciente, por exemplo, e a relação das redes sociais com os seus usuários, o que faz com que a equiparação seja inapropriada. A expertise médica que gera a assimetria informacional não seria a mesma expertise de um Facebook, que, na leitura de Khan e Pozen, apenas viabiliza o acesso a uma rede de comunicações. A vulnerabilidade do consumidor também não seria inerente à natureza da relação, mas artificial, já que as pessoas não costumam buscar determinada rede social por conta dos seus serviços especializados, mas sim por conta do seu domínio de mercado. O fornecimento excessivo de dados pessoais também não seria um pré-requisito necessário para o uso da maioria das redes sociais, mas o preço voluntariamente definido por essas empresas.
(In)compatibilidade do modelo com a prática de publicidade direcionada: Balkin entende que a adoção dos deveres fiduciários informacionais não implicaria, necessariamente, no fim da publicidade direcionada. O modelo simplesmente vedaria práticas específicas que fossem danosas às expectativas de privacidade e de confiança dos usuários. No entanto, Khan and Pozen acham que, na prática, a distinção seria muito obscura, de modo que o desalinhamento entre a proposta dos deveres fiduciários informacionais e o modelo de negócios baseado em economia comportamental e publicidade direcionada tornaria a ideia impraticável, com sérios riscos para os serviços prestados no mundo digital.
Essas críticas foram rebatidas pelo Balkin em um artigo-resposta publicado em 202010.
Quanto ao primeiro ponto, o professor de Yale esclarece que o interesse econômico das empresas é limitado pelos limites impostos pela legislação, de modo que não haveria qualquer violação ao dever de lealdade aos acionistas pelo estrito cumprimento do modelo fiduciário de proteção de dados pessoais, assim como não há quando a empresa deixa de auferir receita por cumprir a legislação ambiental que internaliza custos de poluição.11
Quanto ao segundo ponto, Balkin esclarece que os problemas da analogia não minam a importância do modelo fiduciário de proteção de dados, mas o contrário, os fortalecem. Na sua visão, as obrigações fiduciárias resultam de relações sociais caracterizadas pelo desequilíbrio de poder e pela vulnerabilidade de uma das partes. Assim, os titulares de dados pessoais estariam ainda mais vulneráveis nas relações com prestadores de serviço online do que com profissionais tradicionais, como médicos, psicólogos e advogados.
Quanto ao último ponto, Balkin não concorda que toda publicidade direcionada seja, por essência, abusiva e inconsistente com o interesse dos titulares de dados. Ele apenas defende o banimento de práticas comerciais que violem a confiança ou que causem danos aos interesses dos titulares de dados, trazendo como argumento as diferenças entre a publicidade contextual e a publicidade comportamental.
O debate entre os professores é rico, mas, sopesando os argumentos de ambos os lados, não identificamos um obstáculo intransponível que condene, peremptoriamente, a teoria dos deveres fiduciários informacionais, ainda que essa possa ser aprimorada pelas críticas.
Feitas essas considerações, resta saber se a teoria dos deveres fiduciários informacionais seria aplicável no Brasil e, não apenas isso, se haveria algum proveito real nessa aplicação, dada a pré-existência da LGPD. No nosso entender, a teoria dos deveres fiduciários informacionais não só é compatível com a LGPD, como poderia servir como um precioso instrumento para dar maior densidade ao conceito de boa-fé objetiva no contexto do tratamento dos dados pessoais.
De acordo com o artigo 6º, caput da LGPD, qualquer atividade de tratamento de dados pessoais deve observar a boa-fé e dez outros subprincípios previstos nos incisos. Pouca atenção, no entanto, é dada à boa-fé do caput nos manuais e trabalhos sobre proteção de dados12, o que traz os riscos de sub e superutilização, ou até mesmo de uso trivial e retórico do princípio.13
Tradicionalmente, a doutrina brasileira conceitua a boa-fé objetiva como uma cláusula geral que impõe a adoção de comportamentos compatíveis com a mútua lealdade e confiança nas relações jurídicas, a qual teria uma tríplice função no ordenamento jurídico (i) interpretativa; (ii) restritiva do exercício de direitos; e (iii) criadora de deveres anexos à prestação principal.14 É essa última função que, ao nosso ver, serviria de porta de entrada para a incorporação da teoria dos deveres fiduciários informacionais no tratamento de dados pessoais no Brasil.
A função criadora de deveres anexos à prestação principal é normalmente apresentada no estudo da teoria geral dos contratos e associada ao artigo 422 do Código Civil. Ainda segundo a doutrina, os deveres anexos são, por definição, contextuais e dinâmicos, variando de acordo com cada relação jurídica da qual decorram, sendo impossível, por isso, definir o seu conteúdo aprioristicamente.15 Por fim, os deveres anexos independem da vontade das partes, incidindo quando e na medida em que imponham os parâmetros de mútua lealdade e confiança.16
Essas palavras-chave - lealdade e confiança - guardam estrita correlação com a teoria dos deveres fiduciários informacionais, sendo a boa-fé objetiva o ponto de contato natural com a LGPD. Ademais, assim como defendido pelos civilistas, os deveres fiduciários informacionais são contextuais, independem da vontade das partes e são extensíveis a terceiros17, sendo norma cogente no tratamento de dados pessoais abrangidos pela LGPD, em condições, grau e alcance a serem definidos, preferencialmente, pela ANPD.18
Vale dizer que o STJ possui diversos acórdãos que tratam do dever anexo de lealdade19, sendo que, no Incidente de Assunção de Competência de no 2, ao julgar o REsp n. 1.303.374/ES, a Corte adotou a terminologia do Professor Humberto Theodoro Júnior em uma causa envolvendo uma relação jurídica securitária e tratou os deveres anexos como sinônimos de deveres fiduciários. Confira-se parte da ementa:
"Nessa perspectiva, o conteu'do da obrigac¸a~o contratual (direitos e obrigac¸o~es das partes) transcende as "prestac¸o~es nucleares" expressamente pactuadas (os chamados deveres principais ou prima'rios), abrangendo, outrossim, deveres secunda'rios (ou acesso'rios) e fiducia'rios (ou anexos)."20
No entanto, se os deveres anexos da boa-fé objetiva já são reconhecidos pela doutrina e pela jurisprudência, qual seria o proveito da incorporação da teoria dos deveres fiduciários informacionais no Brasil? Vemos, ao menos, três possíveis utilidades: (i) o reforço axiológico da boa-fé objetiva no tratamento dos dados pessoais; (ii) a transversalidade dos deveres fiduciários informacionais para além das bases de tratamento contratuais e (iii) a maleabilidade necessária para criação de standards e padrões de condutas diferenciados, conforme as especificidades da relação jurídica em questão, especialmente para fins de dosimetria da multa.
Como explicado na "Parte I" do presente artigo, o modelo fiduciário não é excludente ou autossuficiente. Ele é compatível com outros sistemas, como o GDPR e a LGPD, e convida o diálogo das fontes. O que ele agrega, no entanto, é um enfoque na relação jurídica entre o controlador e o titular de dados e no plexo de deveres, ao invés de centrar a atenção na autodeterminação informativa do titular de dados. Há, portanto, uma inegável relação de complementaridade. Se, por um lado, os artigos 18 a 20 da LGPD trazem direitos que empoderam o titular de dados pessoais frente ao controlador, de outro, uma leitura fiduciária da boa-fé objetiva contida no art. 6º proscreveria certos tratamentos que fossem incompatíveis com os deveres de lealdade, confidencialidade e cuidado, independentemente da postura proativa do titular.
Tal acréscimo à LGPD traria as vantagens já citadas de diminuição da fadiga do titular de dados e da pressão sobre o seu consentimento, além da proteção holística aos dados pessoais dos destinatários da norma, independentemente do eventual desinteresse ou desconhecimento dos titulares de dados individualmente considerados.
Noutro passo, a leitura dos deveres fiduciários por meio da boa-fé do artigo 6º da LGPD permitiria que os deveres de lealdade, confidencialidade e cuidado fossem vistos em diversos contextos de tratamento de dados pessoais, e não apenas naqueles com base contratual21. Por certo, a teoria de Balkin foi pensada à luz dos termos de uso e dos contratos de prestação de serviço com os provedores de aplicação na internet. Contudo, nada impede que a teoria seja apropriada para a realidade brasileira, que admite múltiplas bases de tratamento nos artigos 7º, 11 e 23 da LGPD, nem todas elas contratuais. É o caso, por exemplo, do tratamento de dados pessoais pela Administração Pública, que pode se dar em uma relação marcada pelas mesmas características de assimetria e vulnerabilidade do cidadão, e, ainda assim, não ter por base um contrato, mas a própria lei.
Por fim, por mais que seja da natureza dos deveres anexos a impossibilidade de determinação apriorística do seu conteúdo, uma vez que dependem das peculiaridades da relação jurídica do caso concreto, o seu próprio espaço de conformação traz a flexibilidade necessária para que a ANPD, pela via regulatória22, possa trazer standards e padrões de condutas que sirvam de guia para a aplicação dos deveres fiduciários informacionais em setores distintos, seja da iniciativa privada ou do Poder Público, servindo de base, também, para a dosimetria da multa, que leva em consideração a boa-fé do infrator, nos termos do artigo 52, §1º, II da LGPD23.
Igualmente, à luz da teoria dos deveres fiduciários informacionais, não seria impensável que a ANPD editasse resoluções conjuntas com outras agências reguladoras24, como a ANATEL e ANS, especificando como se se daria a aplicação dos deveres de lealdade, confidencialidade e cuidado nesses setores regulados25.
Outra opção à regulação de comando e controle seria a implementação de incentivos (econômicos e jurídicos) para a adoção voluntária dos deveres de lealdade, confidencialidade e cuidado por parte dos controladores, de modo a diminuir os custos de transação e fomentar uma cultura de respeito à proteção dos dados pessoais no Brasil26.
Em conclusão, a teoria dos deveres fiduciários informacionais é uma ideia interessante defendida pelo professor Jack Balkin para a tutela da privacidade e dos dados pessoais nos EUA, país que, até hoje, carece de uma lei federal abrangente sobre a matéria. Trata-se de proposta inovadora, diferente da regulação europeia e brasileira, mas, ao que tudo indica, compatível com ambas. Todavia, enquanto os EUA ainda discutem o projeto de lei que, um dia, pode tornar esses deveres uma realidade, o Brasil já dispõe, na nossa visão, da base legal necessária para a adoção dos deveres fiduciários informacionais, qual seja, o princípio da boa-fé objetiva previsto no art. 6º da LGPD, na sua função de criação de deveres anexos à prestação principal.
Note-se, no entanto, que, apesar dos seus méritos e críticas, o modelo de proteção fiduciária dos dados pessoais ainda é um conceito em construção, o qual merece detalhamento regulatório27, sobretudo por conta de eventuais efeitos colaterais que possam inibir a livre iniciativa, o desenvolvimento econômico e tecnológico e a inovação, que são fundamentos da proteção dos dados pessoais, tanto como a privacidade, a inviolabilidade da intimidade e a autodeterminação informativa, conforme o art. 2º da LGPD.
É por isso que, a despeito da previsão legal existente no art. 6º, caput da LGPD, parece que a melhor forma de introdução dos deveres fiduciários informacionais no sistema brasileiro de proteção de dados pessoais seria por meio de regulamentação por parte da ANPD, nos termos do art. 55-J da LGPD, precedida de audiências públicas, análise de impacto regulatório e coordenação com os órgãos e entidades públicos responsáveis regulação de setores específicos da atividade econômica e governamental, observado, em todo o caso, o disposto no §1º desse dispositivo28. De qualquer modo, e levando-se em consideração que, recentemente, houve uma audiência pública para a discussão da minuta de resolução que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas29 e que a própria ANPD reconhece o conceito da boa-fé objetiva como "nebuloso"30, a presente discussão se mostra atual e oportuna.
__________
1 Em breve recapitulação, trata-se de modelo de proteção de dados defendido pelos professores Jack Balkin e Jonathan Zittrain (professores de direito da Yale Law School e Harvard Law School, respectivamente), segundo o qual as organizações deveriam obedecer a deveres de lealdade, confidencialidade e cuidado sempre que tratarem dados pessoais em uma relação marcada pela sujeição e confiança do seu titular, dadas as questões de assimetria informacional, de vulnerabilidade do consumidor e de incentivo econômico ao abuso no tratamento dos dados na era da economia da informação.
2 A despeito de ter sido introduzido no projeto de lei intitulado "Data Care Act of 2018". Disponível aqui. Acesso em 12 de setembro de 2022.
3 Cf., e.g., PASQUALE, Frank. Toward a Fourth Law of Robotics: Preserving Attribution, Responsibility, and Explainability in an Algorithmic Society; WU, Tim. An American Alternative to Europe's Privacy Law; DOBKIN, Ariel. Information Fiduciaries in Practice: Data Privacy and User Expectations; e SCRIPA, Andrea. Artificial Intelligence as a Digital Privacy Protector. Acesso em 12 de setembro de 2022.
4 Cf, e.g., ELECTRONIC FRONTIER FOUNDATION, "Information Fiduciaries" Must Protect Your Data Privacy. Disponível aqui. Acesso em 12 de setembro de 2022.
5 Cf., e.g., BLOOMBERG (EDITORIAL), How to Make Facebook and Google Behave; BRANDOM, Russel. This Plan Would Regulate Facebook Without Going Through Facebook ; HELLER, Nathan. We May Own Our Data, but Facebook Has a Duty to Protect It. Acesso em 12 de setembro de 2022.
6 Cf. SCHATZ, Brian. Schatz Leads Group of 15 Senators In Introducing New Bill To Help Protect People's Personal Data Online. Disponível aqui. Acesso em 12 de setembro de 2022.
7 Cf. WRIGHT, Kim. At Harvard Law, Zittrain and Zuckerberg discuss encryption, 'information fiduciaries' and targeted advertisements. Disponível aqui. Acesso em 12 de setembro de 2022.
8 KHAN, Lina; POZEN, David E. A Skeptical View of Information Fiduciaries. Harvard Law Review, Vol. 133, pp. 497-541, 2019. Disponível aqui. Acesso em 12 de setembro de 2022.
9 POZEN, David. Balkanization on Balkinization: A Skeptical View of Information Fiduciaries. Disponível aqui. Acesso em 12 de setembro de 2022.
10 BALKIN, Jack M. The Fiduciary Model of Privacy. Harvard Law Review Forum, Vol. 134, No. 1 (November 2020). Disponível aqui. Acesso em 12 de setembro de 2022.
11 Semelhante argumento foi desenvolvido pelo autor Victor Leahy na sua dissertação de LL.M da Harvard Law School, em 2019. Cf Campos Clement Leahy, Victor. Harvard Law School degree granting institution. (2019). Loyalty, confidentiality and care: the future of privacy and data protection under information fiduciary duties.
12 Se comparado com os demais princípios do art. 6º da LGPD.
13 Preocupação essa que é compartilhada pelos doutrinadores de Direito Civil. Cf. SCHREIBER, Anderson. Manual de direito civil: contemporâneo. 3. ed. - Sa~o Paulo: Saraiva Educação, 2020.
14 Ibid.
15 Ibid.
16 Cf. SCHREIBER, Anderson et al. Co'digo Civil comentado: doutrina e jurisprude^ncia. 3.ed. Rio de Janeiro: Forense, 2021.
17 Cf. KONDER, Carlos Nelson. Boa-fe' objetiva, violac¸a~o positiva do contrato e prescric¸a~o: repercusso~es pra'ticas da contratualizac¸a~o dos deveres anexos no julgamento do REsp 1276311. Revista Trimestral de Direito Civil, Rio de Janeiro: Padma, v. 50, 2012, p. 224.
18 Diz-se "preferecialmente" porque, a rigor, nada impediria que o Judiciário, na sua função interpretativa, enxergasse no artigo 6º da LGPD a fonte normativa dos deveres fiduciários informacionais, se valendo dos standards cunhados pela doutrina para impor obediência a esses deveres. Não obstante, diante do seu grau de indeterminação, dos riscos à segurança jurídica e dos possíveis impactos de uma adoção irrestrita e inconsequente de novas interdições à livre inciativa, é essencial que eventual introdução regulatória seja promovida pela ANPD, com prévios estudos, análise de impacto regulatório e audiências públicas para coleta de subsídios para a tomada de decisão, como defendido na conclusão deste trabalho.
19 Vide, e.g., REsp n. 595.631/SC, REsp n. 925.313/DF, REsp n. 1.317.731/SP e REsp n. 1.862.508/SP.
20 REsp n. 1.303.374/ES, relator Ministro Luis Felipe Salomão, Segunda Seção, julgado em 30/11/2021, DJe de 16/12/2021.
21 Embora sua aplicação se dê, na vasta maioria dos casos, em uma relação contratual.
22 Com base no art. 55-J, VII e XIII da LGPD.
23 Por outro lado, a ANPD se mostrou reticente a definir padrões de conduta pautados na boa-fé no Relatório de Análise de Impacto Regulatório sobre o modelo de aplicações de sanções administrativas e as metodologias de cálculo do valor-base das sanções de multa. De acordo com o item 8.2.5 do documento: "Cabe ponderar, ainda, que os deveres gerais de conduta se materializam no caso concreto, considerados o ambiente social e as dimenso~es do tempo e do espac¸o de sua observa^ncia ou aplicac¸a~o. Especialmente no caso de uma legislac¸a~o e de um sistema de protec¸a~o de dados com ligac¸o~es profundas com a inovac¸a~o tecnolo'gica, um rol de condutas deseja'veis, mesmo que apenas exemplificativa, podera' tornar-se obsoleta em curto prazo, comprometendo a efica'cia da norma." Disponível aqui. Acesso em 12 de setembro de 2022.
24 Sobre a natureza jurídica da ANPD, remetemos o leitor à coluna publicada por Fabrício da Mota Alves e Rodrigo Borges Valadão em 07/07/2022. ANPD: Agência reguladora ou autoridade reguladora independente? Disponível aqui. Acesso em 12 de setembro de 2022.
25 Com amparo no art. 55-J, XXIII e §3º da LGPD.
26 Parece ser esse o caminho de preferência da ANPD, que, ao considerar as opções regulatórias relacionadas ao art. 52, §1º da LGPD, optou por usar a boa-fé do infrator como atenuante. Na justificativa do Relatório de Análise de Impacto Regulatório, a ANPD informou o seguinte: "No que se relaciona ao fato de se considerar a obrigac¸a~o legal de boa-fe' como bonificac¸a~o no processo sancionador, faz-se necessa'rio recordar que o AIR sobre a norma de processo sancionador da ANPD optou por uma estrate'gia de atuac¸a~o fiscalizato'ria voltada para promover a conformidade e orientar, baseada em risco e com foco em promover melhorias significativas no respeito a`s normas de protec¸a~o de dados pela sociedade. Reconhecer e estimular a adequac¸a~o a` lei, portanto, vai ao encontro da regulac¸a~o responsiva, alicerce da proposta normativa da ANPD." Op. Cit.
27 Nas palavras de Balkin, "This is yet another reason to assign the task of concretizing fiduciary obligations to administrative agencies with appropriate expertise." BALKIN, Jack M. The Fiduciary Model of Privacy. Op. cit.
28 Balkin defende o mesmo na seguinte passagem: "If vagueness is the concern, the answer is to use either common law decisionmaking (as in antitrust and products liability) or rulemaking and adjudication by administrative agencies to articulate privacy obligations in more concrete rules and standards. If the federal government includes the fiduciary model in comprehensive privacy regulation, it should delegate this task to a federal agency." BALKIN, Jack M. The Fiduciary Model of Privacy. Op. cit.
29 Despacho de 22 de agosto de 2022 do Diretor-Presidente da ANPD, publicado no DOU em 23/08/2022.
30 Cf. item 8.2.5 do. "E' fato que o conceito da boa-fe' e' conceito nebuloso, cuja aplicac¸a~o e correta interpretac¸a~o devera~o ser objeto de avaliac¸a~o cuidadosa por aquele que interpretar a norma de forma a conferir previsibilidade e seguranc¸a juri'dica ao administrado." Op. Cit.
