Últimas notícias

Fique informado

LGPD revogou tacitamente dispositivos do Marco Civil da Internet

6 de abril de 2021

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Entre os profissionais de privacidade brasileiros, muito estão discutindo sobre os conflitos entre a Lei 13.709/2018, a Lei Geral de Proteção e Dados (LGPD), e a Lei 12.965/2014, o Marco Civil da Internet (MCI)

Por Luís Fernando Prado e Paulo Vidigal

A bem da verdade, o Marco Civil da Internet, que não foi arquitetado para ser legislação a regulamentar de maneira ampla e completa o tema de proteção de dados pessoais, acabou estabelecendo alguns dispositivos legais que, atualmente, conflitam claramente com a LGPD, trazendo confusão e insegurança jurídica no campo da privacidade e da proteção de dados.  

No entanto, a solução para o conflito entre a LGPD e o MCI pode ser muito mais simples do que se imagina e o caminho para tanto talvez seja um só: reconhecer a revogação tácita dos dispositivos do MCI (lei anterior) que são incompatíveis com a LGPD (lei posterior).

De maneira contrária ao que aqui defendemos, haverá quem diga que o MCI deveria prevalecer em relação à LGPD no que se refere a atividades de tratamento de dados que envolvam o uso de internet.

No entanto, tal argumento não se sustenta, pois a LGPD (lei posterior) é expressa ao definir que “esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais” (artigo 1º da LGPD; grifamos), o que engloba o escopo regulatório do MCI.

Diante disso, a única via de solução do conflito é a aplicação do artigo 2º, § 1º, do Decreto-lei nº 4.657, a Lei de Introdução às Normas do Direito Brasileiro (LINDB), que assim dispõe (grifos nossos):

§ 1o  A lei posterior revoga a anterior quando expressamente o declare, quando seja com ela incompatível ou quando regule inteiramente a matéria de que tratava a lei anterior. (…)

É certo que não se deve admitir a revogação tácita do MCI como um todo, mas apenas daquela parte que resta totalmente superada pela LGPD, o que é plenamente possível de acordo com a doutrina de Oscar Tenório:

Não se exige conflito entre todas as disposições das duas leis. Qualquer incompatibilidade verificada é suficiente para legitimar a revogação da lei anterior.

Dispondo de maneira diferente, manifesta, implicitamente, o legislador o propósito de abolir todo o texto anterior, entendendo-se que, pelo simples fato de ter estabelecido compatibilidade entre algumas disposições, teve em mira dispor, de maneira formal, em texto único, sobre determinada matéria.

Diante disso, são incompatíveis com a LGPD e, por tal motivo, devem ser considerados tacitamente revogados os dispositivos do MCI trazidos abaixo.

1. Dispositivos do MCI tacitamente revogados por incompatibilidade com o artigo 7º da LGPD:

Artigo 7º: VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

Artigo 7º: IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;

Art. 16: Na provisão de aplicações de internet, onerosa ou gratuita, é vedada a guarda:

I – dos registros de acesso a outras aplicações de internet sem que o titular dos dados tenha consentido previamente, respeitado o disposto no art. 7º

Fundamentação: o artigo 7º da LGPD prevê 10 hipóteses (bases legais) para o tratamento de pessoais, inclusive no ambiente online, sendo o consentimento apenas uma delas.

2. Dispositivos do MCI tacitamente revogados por incompatibilidade com o artigo 52, II, da LGPD:

Artigo 12: Sem prejuízo das demais sanções cíveis, criminais ou administrativas, as infrações às normas previstas nos arts. 10 e 11 [estabelecem condições para o tratamento de dados pessoais, incluindo registros e comunicações privadas] ficam sujeitas, conforme o caso, às seguintes sanções, aplicadas de forma isolada ou cumulativa:

II – multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Parágrafo único. Tratando-se de empresa estrangeira, responde solidariamente pelo pagamento da multa de que trata o caput sua filial, sucursal, escritório ou estabelecimento situado no País.

Fundamentação: o artigo 52, II, da LGPD, estabelece como limite máximo da sanção pecuniária 2% (dois por cento), do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, desde que não superior, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, sendo que as sanções do MCI têm o mesmo fato gerador daquelas previstas na LGPD.

Perceba-se que as sanções do MCI não são aplicáveis a quaisquer violações da referida norma, mas somente àquelas relativas à “proteção aos registros, aos dados pessoais e às comunicações privadas”, conforme título da seção II no qual se encontram.

Não bastasse, o caput do referido dispositivo ainda é claro ao vincular as punições às violações dos artigos 10 e 11, que, de modo geral, tratam, respectivamente, (i) da necessidade de, durante o armazenamento de dados, se atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas e (ii) da obrigatoriedade de observância da legislação brasileira relativa aos direitos à privacidade, à proteção dos dados pessoais em atividades de tratamento ocorridas no país.

Por se tratar de sanções relacionadas à proteção de dados, a atividade punitiva relativa ao referido artigo 12 competiria à ANPD (Autoridade Nacional de Proteção de Dados), nos termos do o artigo 20 do Decreto 8.771/2016, que regulamenta o MCI e assim dispõe (grifamos):

Art. 20. Os órgãos e as entidades da administração pública federal com competências específicas quanto aos assuntos relacionados a este Decreto atuarão de forma colaborativa, consideradas as diretrizes do CGIbr, e deverão zelar pelo cumprimento da legislação brasileira, inclusive quanto à aplicação das sanções cabíveis, mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, nos termos do art. 11 da Lei nº 12.965, de 2014.

Inclusive, o Ministro Edson Fachin, do Supremo Tribunal Federal, já se manifestou nesse sentido:

Para combater esse tipo de violação [referindo-se à segurança das informações dos usuários de internet] – e apenas para ela – a legislação previu as sanções do art. 12, III e IV, do Marco Civil da Internet.

Normativamente, ela deveria ser aplicada pela Autoridade Nacional de Proteção de Dados, nos termos do art. 55-J, IV, da Lei 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais).

Portanto, considerando que, assim como os demais tópicos de proteção de dados indicados acima, o tema das sanções por violação de dados pessoais – que inclui aquelas ocorridas no ambiente online – é totalmente regulado pela LGPD, resta clara a incompatibilidade entre o valor de multa previsto no artigo 12, II, do MCI e aquele estabelecido como teto pela LGPD, em seu artigo 52, II, o que justifica a defendida revogação tácita.

As demais sanções previstas no MCI, a nosso ver, não chegam a estar tacitamente revogadas pela LGPD, pois não são incompatíveis com aquelas trazidas pela nova Lei. Na verdade, à exceção da pecuniária, a LGPD repete as mesmas sanções já previstas no MCI, o que, na prática, gera pouco efeito prático.

Isso porque, ainda que a ANPD possa fundamentar suas decisões sancionatórias nos dispositivos do artigo 12 do MCI (à exceção do tacitamente revogado inciso II), ela também o poderia fazer nos termos da LGPD, o que produziria os mesmos resultados (tendo como premissa a vedação ao bis in idem que vigora no nosso Estado Democrático de Direito).

Governo lança sistema para controle dos riscos de segurança e 6 guias para aplicação eficiente da LGPD

Como conciliar a LGPD e o uso de dados nas investigações corporativas?

Marco Civil da Internet é regulamentado – Entenda o que mudou

Leia mais sobre Privacidade e Proteção de Dados em nossa coluna dedicada a esse tema. São artigos sobre o que acontece no Brasil e no Mundo. Aqui!