O consentimento para o tratamento de dados pessoais fornecido a uma empresa se estende às demais integrantes do mesmo grupo econômico?

1. Introdução

Vivemos hoje a chamada "Indústria 4.0", conceito este que foi desenvolvido pelo alemão Klaus Schwab, diretor e fundador do Fórum Econômico Mundial, para designar a quarta fase da industrialização que, segundo ele, "transformará fundamentalmente a forma como vivemos, trabalhamos e nos relacionamos". Trata-se, então, de uma verdadeira revolução paradigmática e não apenas de mais uma etapa do desenvolvimento tecnológico.

Nesta nova era, marcada pela hiperconexão, a segurança e privacidade dos dados são consideradas características fundamentais e, por outro lado, temas sensíveis, que consistem em um verdadeiro desafio para a sociedade como um todo.

O motivo desta premente preocupação está no acelerado avanço tecnológico, sobretudo no que se refere a Inteligência Artificial, Big Data e Internet das Coisas, que fazem uso de um enorme e variado volume de dados, gerados pelos sistemas de informação e que, utilizando-se do poder computacional, podem transformar os dados em informações e estratégias para a tomada de decisões (ROJAS, 2021).

Ocorre que todo esse processo pode provocar uma série de violações à privacidade dos usuários, bem como a outros direitos fundamentais, notadamente diante da monetização envolvida, seja pelo meio direto (venda ou compartilhamento dos dados), ou indireto (criação de produtos e serviços a partir dos dados coletados).

Dentro deste contexto, a proteção de dados se tornou pauta internacional, de modo que vários países passaram a instituir legislações específicas para tratar do assunto (por exemplo: Regulamento Geral sobre a Proteção de Dados 2016/679, implementado pela União Europeia). Assim, diante da necessidade de medidas para conter a insegurança cibernética, o Brasil seguiu a tendência global e criou a Lei Geral de Proteção de Dados Pessoais (lei 13.709/20) que passou a vigorar no dia 18 de setembro de 2020, com a sanção presidencial.

Em que pese o advento da LGPD, haja vista tratar acerca de uma novidade jurídica, sujeita a eventualidades inimagináveis pelo legislador, ainda existem diversas lacunas a serem preenchidas por novas legislações e pela jurisprudência.

Neste sentido, cumpre pôr em realce um acontecimento que reforça tal posicionamento, qual seja: a nova norma do whatsapp, a qual prevê o compartilhamento de informações adicionais com o facebook e outros aplicativos pertencentes ao mesmo grupo, como instagram e messenger. Esta providência traz à tona reflexões acerca do tratamento de dados entre empresas que compõem o mesmo grupo econômico e em qual medida essa transferência interempresarial pode ocorrer.

Em vista desta conjuntura e da atualidade da temática, objetiva-se, por meio do presente estudo, esclarecer se há ou não a possibilidade de extensão dos efeitos do consentimento para o tratamento de dados pessoais às demais empresas pertencentes ao mesmo grupo econômico daquela a quem o aval foi fornecido.

Para a concretização deste desígnio, foram utilizados os métodos qualitativo e dedutivo, através de pesquisa bibliográfica, valendo-se, também, das metodologias teórica e dogmática, a fim de encontrar uma resposta compatível com o ordenamento jurídico brasileiro a partir de uma interpretação sistemática de normas e conceitos.

Feito isto, observou-se que o compartilhamento de dados intercompany pode ocorrer dentro de um grupo empresarial, desde que haja legítimo interesse e base legal para tanto, bem como que atenda a todos os princípios instituídos pela LGPD, justamente para que não haja abusividade na utilização dos dados dos usuários.

Sendo assim, havendo interesse no compartilhamento de dados pessoais de um usuário para outra(s) empresa(s) integrante(s) do mesmo grupo econômico, com finalidade substancialmente distinta daquela para a qual o indivíduo autorizou inicialmente, deve-se realizar um novo pedido de consentimento expresso para tal, em conformidade com a boa-fé, a transparência e outros princípios aclamados pela legislação.

2. Compartilhamento de dados entre empresas do mesmo grupo econômico: a busca pelo equilíbrio entre a atividade empresarial e os direitos dos titulares

Conforme supramencionado, em que pese a LGPD tenha inovado ao instituir diversas normas e conceitos vanguardistas, alguns temas não foram tratados com a profundidade que mereciam, o que era de se esperar, haja vista se tratar de uma legislação nova e que versa sobre tema ainda não regulamentado.

Dentre as temáticas que necessitam de uma disciplina mais completa, destaca-se a do tratamento de dados entre grupos econômicos, em virtude da não fixação legal dos limites aplicáveis a eventuais compartilhamentos, o que dá ensejo a múltiplos entendimentos e importantes discussões sobre essa matéria.

A bem da verdade, pode-se dizer que o único momento em que a nova lei trata expressamente dos grupos econômicos é no art. 52, II e §4º, em que se estipula a possibilidade de se utilizar o faturamento do conglomerado de empresas como parâmetro para o cálculo de multa, a ser aplicada pela Autoridade Nacional de Proteção de Dados (ANPD). (BRASIL, 2018).

Logo de plano, no art. 1º da LGPD, constata-se que este diploma normativo tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, bem como de garantir o livre desenvolvimento da personalidade da pessoa natural. Assim, resta evidente que a mens legis é justamente a sobreposição dos direitos dos titulares em detrimento da atividade econômica.

Nota-se, portanto, que um dos pilares da lei é o consentimento, definido como a "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada". E, para a manifestação ser livre, informada e inequívoca, o usuário deve saber exatamente para que fins os seus dados estão sendo utilizados.

Também no sentido de reforçar a importância do consentimento dispõe a previsão do art. 5º, XVI, da LGPD, que determina que o compartilhamento de dados entre entes públicos e/ou privados deve ser precedido de autorização específica do titular.

Sendo assim, levando em conta os objetivos da lei e a previsão expressa deste dispositivo, compreende-se que o compartilhamento de dados entre empresas, ainda que do mesmo grupo econômico, necessita de consentimento específico do titular, que poderá ser obtido por meio de requerimento estabelecido nos termos do contrato inicial ou mediante novo requerimento, pleiteado em momento posterior.

A importância da temática aqui referida se acentua ainda mais pelo fato de que, no Brasil, grande parte dos grupos empresariais são grupos empresariais de fato, ou seja, não registrados, e isso faz com que a composição dos grupos possa variar rapidamente, colocando em risco a segurança dos dados coletados e, por conseguinte, os direitos dos titulares. (MURAD e REQUENA, 2019)

Por essa razão, ainda que ocorra o compartilhamento de dados, precedido de consentimento específico do titular, deve-se atender aos princípios exarados no art. 6º da LGPD, dentre os quais se destacam os princípios da finalidade e da necessidade, de modo que, quando da solicitação, deverá estar explícita com clareza a finalidade de utilização dos dados e, dentre esses, somente poderão ser utilizados os que sejam realmente necessários para o objetivo pretendido. (GONZÁLEZ, 2019)

Além da imprescindibilidade de observância da matriz principiológica, as empresas devem se atentar para a necessidade de transparência e segurança dos dados, fatores que restam dificultados pela confusão patrimonial inerente a alguns grupos econômicos, nos quais existe uma mistura de atividades, sem distinção clara entre as companhias integrantes.

Como contraponto, mostra-se relevante consignar que a LGPD traz exceções à necessidade de consentimento do titular, como é o caso do legítimo interesse do controlador ou de terceiros, previsto no art. 7º, IX, desta lei, o qual, por se tratar de um conceito abrangente, termina por abrir margem interpretativa para que as empresas justifiquem o não consentimento específico do titular dos dados (SANSANA, 2018).

A extensão dos efeitos desse dispositivo se tornará mais clara a partir da análise de casos concretos, devendo-se, fundamentalmente, ponderar a necessidade de prevalência dos direitos e liberdades dos titulares dos dados, nos termos do que determina esse mesmo artigo.

Por último, relevante consignar, no que diz respeito ao tratamento de dados, a existência de jurisprudência que entende haver responsabilidade solidária entre empresas integrantes do mesmo grupo econômico por violações à legislação e pelos danos causados aos titulares dos dados, atraindo a aplicação da teoria da aparência e, por vezes, o art. 7º, parágrafo único, do Código de Defesa do Consumidor. ^1-2-3

3. Considerações finais

Sendo assim, levando em consideração todo o exposto ao longo do presente estudo, que se propôs a tratar especificamente acerca dos limites aplicáveis ao compartilhamento de dados pessoais entre empresas do mesmo grupo econômico, conclui-se que tal medida poderá ser implementada, desde que atendidos todos os requisitos exigidos legalmente (consentimento específico e respeito aos princípios elencados na LGPD), objetivando, dessa forma, assegurar o direito dos titulares à privacidade dos seus dados, sob pena da aplicação de sanções pela ANPD ou pelo próprio Poder Judiciário.

----------

1 (TJ-RJ - APL: 00209433720178190002, Relator: Des(a). EDSON AGUIAR DE VASCONCELOS, Data de Julgamento: 29/07/2020, DÉCIMA SÉTIMA CÂMARA CÍVEL, Data de Publicação: 31/07/2020)

2 (TJ-DF 07223843220198070016 DF 0722384-32.2019.8.07.0016, Relator: CARLOS ALBERTO MARTINS FILHO, Data de Julgamento: 13/07/2020, Terceira Turma Recursal, Data de Publicação: Publicado no DJE: 28/07/2020 . Pág.: Sem Página Cadastrada.)

3 (TJ-RS - Recurso Cível: 71009329814 RS, Relator: Fabio Vieira Heerdt, Data de Julgamento: 28/05/2020, Terceira Turma Recursal Cível, Data de Publicação: 08/06/2020)

----------

GONZÁLEZ, Mariana. LGPD comentada. 2019. Disponível aqui. Acesso em: 25 jan. 2021.

MURAD, Raul; REQUENA, Rodrigo. Fluxo de informação no âmbito dos grupos societários e proteção dos dados pessoais. In: FRAZÃO, Ana; OLIVA, Milena Donato; TEPEDINO, Gustavo (coord.). Lei Geral de Proteção de Dados Pessoais: e suas repercussões no Direito brasileiro. São Paulo: Revista dos Tribunais, 2019. p. 647-675.

SANSANA, Alexandre Gomes. Privacidade, consentimento, legítimo interesse e a nova Lei Geral de Proteção de Dados Pessoais. 2018.

SANTOS, Dhiulia de Oliveira. A validade do consentimento do usuário à luz da lei geral de proteção de dados pessoais (Lei n. 13.709/2018). 2019.

ROJAS, Marco Antonio Torrez; MEDEIROS, Jucelio Kulmann. Avaliação da adequação de Instituto Federal à Lei Geral de Proteção de Dados Pessoais. Revista Eletrônica Argentina-Brasil de Tecnologias da Informação e da Comunicação, [S.l.], v. 1, n. 13, jan. 2021. ISSN 2446-7634. Disponível aqui. Acesso em: 29 jan. 2021. doi: