Por Diego Gualda, Vinicius Venancio CostaMatheus Perez Matsuno

A Terceira Turma do Superior Tribunal de Justiça (STJ) manteve a decisão do TJ-SP de multar a Microsoft Informática Ltda. em R$ 310 mil porque a empresa não forneceu informações de acesso a endereço de e-mail de usuário específico. No caso em questão, um diretor de uma empresa, brasileiro no Brasil, recebeu através de seu e-mail corporativo ameaças em inglês de um usuário de conta de e-mail oferecida pela provedora (o provedor de conexão está fora do Brasil).

O diretor ameaçado ajuizou uma ação contra a empresa para que prestasse as informações que permitissem encontrar o autor. O juízo de primeira instância deferiu em sede de tutela antecipada os pedidos do autor, determinando a identificação do responsável pela conta de e-mail sob pena de multa diária fixada em R$ 10 mil. Não tendo sido cumprida a decisão, iniciou-se a execução da multa diária, recorrida pela provedora. O TJ-SP manteve a condenação. A empresa, então, interpôs recurso especial no STJ contestando que a Justiça Brasileira não era competente para requerer o fornecimento, pois o webmail tinha como provedor a sociedade controladora localizada no estrangeiro.

O caso acima é apenas o mais recente de uma discussão ainda não totalmente equacionada no âmbito do Judiciário: se é legítimo compelir uma subsidiária do Brasil a fornecer informações de usuários que contratem um serviço com outra empresa do grupo econômico fora do Brasil.

Tratando do alcance do artigo 11 do Marco Civil da Internet (MCI), nesse, como em outros casos, o STJ considerou que não houve ofensa à lei. De acordo com o tribunal, qualquer operação de dados pessoais, registros ou comunicações por provedores de conexão e de aplicações de Internet que ocorra no Brasil torna a lei brasileira aplicável para o caso, independentemente de haver apenas um dispositivo localizado no país ou de as atividades realizadas serem de empresa com sede no exterior. Portanto, para o STJ, não há como discordar de que o domicílio da demanda em discussão é o Brasil.

Também foi citado caso similar em julgamento de questão de ordem envolvendo o Google Brasil e a Google Inc.[1] na esfera penal, que obrigou a Google Inc., sociedade estrangeira, a se submeter à soberania brasileira nos casos em que sua subsidiária (localizada no Brasil), Google Brasil, é referida em processo. Assim, no caso em análise, o STJ entendeu que a provedora brasileira é representante e atua em nome de sua controladora estrangeira.

O objetivo deste artigo é discutir algumas perspectivas que não têm sido consideradas pelo STJ nessas decisões, além de equacionar a relevância da entrada em vigor da Lei nº 13.709/18 (Lei Geral de Proteção de Dados Pessoais − LGPD) e de decisão recente do STF reconhecendo a proteção de dados pessoais como um direito fundamental.

Um primeiro ponto diz respeito à legitimidade do polo passivo no processo: a empresa sediada no Brasil deve responder pelas requisições, considerando o contexto de direito à proteção de dados e o tratamento de dados pela empresa estrangeira?

Nas ADIs 6.387, 6.388, 6.389, 6.390 e 6.393,[2] em decisão que suspendeu a eficácia da Medida Provisória (MP) nº 954, o Supremo Tribunal Federal (STF) reconheceu o sigilo de dados como direito fundamental autônomo, e consequentemente como garantia constitucional. Observou ainda a necessidade de que o compartilhamento de dados leve em conta o devido processo legal, não somente em sua dimensão formal, mas também substantiva. Além das garantias procedimentais, a decisão que obriga o compartilhamento deve se mostrar proporcional no caso concreto, levando em conta os direitos fundamentais do próprio titular de dados afetado. Obrigar o compartilhamento de dados entre empresas sediadas em países distintos, sob risco de dar causa a conflitos de jurisdição e violação da lei estrangeira para cumprimento de uma decisão judicial no Brasil, mostra-se medida proporcional do ponto de vista da proteção dos dados pessoais? Como podemos considerar os princípios de adequação e necessidade nesse contexto?

Em relação à dimensão substantiva do devido processo legal, parece necessário avaliar de modo mais acurado as implicações de considerar a subsidiária brasileira responsável por obter e disponibilizar os dados pessoais de um usuário que contrata uma empresa do mesmo grupo fora do Brasil.

Um segundo aspecto é o relacionado ao artigo 11 do MCI, que não dispõe sobre a jurisdição dos tribunais brasileiros, portanto não é uma norma de natureza processual, mas material. Isto é, o artigo disciplina uma regra de aplicação da lei brasileira no caso concreto. Além disso, é possível notar falhas técnicas nas interpretações do §1º. A situação da regra trazida pela lei diz respeito ao caso em que um provedor de aplicação internacional localizado fora do Brasil realiza o tratamento dos dados pessoais de um titular localizado no Brasil. É por essa razão que o artigo menciona que um dos terminais deve estar localizado no Brasil.

Entretanto, no caso concreto acima mencionado e julgado pelo STJ, a relação que se estabelece entre o controlador e o titular dos dados pessoais deve ser mais bem compreendida e é preciso observar se as evidências concretas indicam se a pessoa que realizou a comunicação objeto da quebra de sigilo possui algum ponto de conexão no Brasil. Para ilustrar, se um usuário baseado em um país estrangeiro contrata um provedor internacional e envia um e-mail para um usuário localizado no Brasil, a lei aplicável ao tratamento de dados do estrangeiro (localizado fora do Brasil) não é a lei brasileira. Isso não significa que a Justiça brasileira não tem competência para investigar o caso e, inclusive, requerer a quebra de sigilo de dados. Mas o Brasil não pode impor a aplicação de sua lei a uma relação mantida entre duas partes (o estrangeiro contratante do serviço e o respectivo provedor) sem qualquer elemento concreto de conexão com o território nacional. Com o emissor localizado fora do Brasil, seria necessário observar a inaplicabilidade da norma pela ausência do elemento de conexão (não há nenhum terminal localizado no Brasil). Assim, a avaliação da aplicação do artigo 11, §1º, do MCI deve considerar a condição da pessoa que tem o seu sigilo de dados decretado e não apenas o fato de que ela se comunicou com alguém no território nacional. Essa importante nuance parece ter sido desconsiderada pelo STJ.

Além disso, o artigo 11 do MCI existe para proteger o tratamento de dados pessoais dos titulares. Seu propósito é garantir que as empresas estrangeiras sejam obrigadas a proteger os dados pessoais dos titulares localizados no Brasil, de acordo com os parâmetros da lei brasileira. É por esse motivo que soa no mínimo estranho que o dispositivo seja utilizado como fundamento para quebra do sigilo de dados. O artigo 11 preza justamente pela observação do devido processo legal. Portanto, utilizá-lo com a justificativa de viabilizar o acesso a dados pessoais de titulares que contrataram serviços com empresas estrangeiras, sob qualquer aspecto, pode ser visto como um desvirtuamento da sua própria finalidade. Desvirtuamento que somente se agrava em face do reconhecimento da proteção dos dados pessoais como um direito fundamental, conforme a recente decisão do STF acima citada. Dessa forma, não somente os Poderes Executivo e Legislativo, mas também o Poder Judiciário, no exercício da jurisdição, precisa levar com rigor o princípio do devido processo legal em sua dimensão substantiva.

A proteção de direitos fundamentais não pode ser relativizada por uma conveniência de ordem processual. Precisamos considerar o escopo de proteção de dados dentro dos parâmetros definidos pela LGPD e nos termos da Constituição Federal. Levar esses termos a sério significa evitar a tentação de seguir por atalhos de ordem procedimental que enfraquecem as garantias de direitos.

[1] EDcl no Inq 784/DF, rel. ministra Laurita Vaz, Corte Especial, julgado em 15/05/2013, DJe 28/08/2013

[2] “STF suspende compartilhamento de dados de usuários de telefônicas com IBGE” In SUPREMO TRIBUNAL FEDERAL. Disponível em: <http://www.stf.jus.br/portal/cms/verNoticiaDetalhe.asp?idConteudo=442902&caixaBusca=N.> Último acesso em: 24 mar. 2021.