Entre os profissionais de privacidade brasileiros, muito estão discutindo sobre os conflitos entre a Lei 13.709/2018, a Lei Geral de Proteção e Dados (LGPD), e a Lei 12.965/2014, o Marco Civil da Internet (MCI)
Por Luís Fernando Prado e Paulo Vidigal
A bem da verdade, o Marco Civil da Internet, que não foi arquitetado para ser legislação a regulamentar de maneira ampla e completa o tema de proteção de dados pessoais, acabou estabelecendo alguns dispositivos legais que, atualmente, conflitam claramente com a LGPD, trazendo confusão e insegurança jurídica no campo da privacidade e da proteção de dados.
No entanto, a solução para o conflito entre a LGPD e o MCI pode ser muito mais simples do que se imagina e o caminho para tanto talvez seja um só: reconhecer a revogação tácita dos dispositivos do MCI (lei anterior) que são incompatíveis com a LGPD (lei posterior).
De maneira contrária ao que aqui defendemos, haverá quem diga que o MCI deveria prevalecer em relação à LGPD no que se refere a atividades de tratamento de dados que envolvam o uso de internet.
No entanto, tal argumento não se sustenta, pois a LGPD (lei posterior) é expressa ao definir que “esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais” (artigo 1º da LGPD; grifamos), o que engloba o escopo regulatório do MCI.
Diante disso, a única via de solução do conflito é a aplicação do artigo 2º, § 1º, do Decreto-lei nº 4.657, a Lei de Introdução às Normas do Direito Brasileiro (LINDB), que assim dispõe (grifos nossos):
§ 1o A lei posterior revoga a anterior quando expressamente o declare, quando seja com ela incompatível ou quando regule inteiramente a matéria de que tratava a lei anterior. (…)
É certo que não se deve admitir a revogação tácita do MCI como um todo, mas apenas daquela parte que resta totalmente superada pela LGPD, o que é plenamente possível de acordo com a doutrina de Oscar Tenório:
Não se exige conflito entre todas as disposições das duas leis. Qualquer incompatibilidade verificada é suficiente para legitimar a revogação da lei anterior.
Dispondo de maneira diferente, manifesta, implicitamente, o legislador o propósito de abolir todo o texto anterior, entendendo-se que, pelo simples fato de ter estabelecido compatibilidade entre algumas disposições, teve em mira dispor, de maneira formal, em texto único, sobre determinada matéria.
Diante disso, são incompatíveis com a LGPD e, por tal motivo, devem ser considerados tacitamente revogados os dispositivos do MCI trazidos abaixo.
1. Dispositivos do MCI tacitamente revogados por incompatibilidade com o artigo 7º da LGPD:
Artigo 7º: VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
Artigo 7º: IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
Art. 16: Na provisão de aplicações de internet, onerosa ou gratuita, é vedada a guarda:
I – dos registros de acesso a outras aplicações de internet sem que o titular dos dados tenha consentido previamente, respeitado o disposto no art. 7º
Fundamentação: o artigo 7º da LGPD prevê 10 hipóteses (bases legais) para o tratamento de pessoais, inclusive no ambiente online, sendo o consentimento apenas uma delas.
2. Dispositivos do MCI tacitamente revogados por incompatibilidade com o artigo 52, II, da LGPD:
Artigo 12: Sem prejuízo das demais sanções cíveis, criminais ou administrativas, as infrações às normas previstas nos arts. 10 e 11 [estabelecem condições para o tratamento de dados pessoais, incluindo registros e comunicações privadas] ficam sujeitas, conforme o caso, às seguintes sanções, aplicadas de forma isolada ou cumulativa:
II – multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Parágrafo único. Tratando-se de empresa estrangeira, responde solidariamente pelo pagamento da multa de que trata o caput sua filial, sucursal, escritório ou estabelecimento situado no País.
Fundamentação: o artigo 52, II, da LGPD, estabelece como limite máximo da sanção pecuniária 2% (dois por cento), do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, desde que não superior, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, sendo que as sanções do MCI têm o mesmo fato gerador daquelas previstas na LGPD.
Perceba-se que as sanções do MCI não são aplicáveis a quaisquer violações da referida norma, mas somente àquelas relativas à “proteção aos registros, aos dados pessoais e às comunicações privadas”, conforme título da seção II no qual se encontram.
Não bastasse, o caput do referido dispositivo ainda é claro ao vincular as punições às violações dos artigos 10 e 11, que, de modo geral, tratam, respectivamente, (i) da necessidade de, durante o armazenamento de dados, se atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas e (ii) da obrigatoriedade de observância da legislação brasileira relativa aos direitos à privacidade, à proteção dos dados pessoais em atividades de tratamento ocorridas no país.
Por se tratar de sanções relacionadas à proteção de dados, a atividade punitiva relativa ao referido artigo 12 competiria à ANPD (Autoridade Nacional de Proteção de Dados), nos termos do o artigo 20 do Decreto 8.771/2016, que regulamenta o MCI e assim dispõe (grifamos):
Art. 20. Os órgãos e as entidades da administração pública federal com competências específicas quanto aos assuntos relacionados a este Decreto atuarão de forma colaborativa, consideradas as diretrizes do CGIbr, e deverão zelar pelo cumprimento da legislação brasileira, inclusive quanto à aplicação das sanções cabíveis, mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, nos termos do art. 11 da Lei nº 12.965, de 2014.
Inclusive, o Ministro Edson Fachin, do Supremo Tribunal Federal, já se manifestou nesse sentido:
Para combater esse tipo de violação [referindo-se à segurança das informações dos usuários de internet] – e apenas para ela – a legislação previu as sanções do art. 12, III e IV, do Marco Civil da Internet.
Normativamente, ela deveria ser aplicada pela Autoridade Nacional de Proteção de Dados, nos termos do art. 55-J, IV, da Lei 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais).
Portanto, considerando que, assim como os demais tópicos de proteção de dados indicados acima, o tema das sanções por violação de dados pessoais – que inclui aquelas ocorridas no ambiente online – é totalmente regulado pela LGPD, resta clara a incompatibilidade entre o valor de multa previsto no artigo 12, II, do MCI e aquele estabelecido como teto pela LGPD, em seu artigo 52, II, o que justifica a defendida revogação tácita.
As demais sanções previstas no MCI, a nosso ver, não chegam a estar tacitamente revogadas pela LGPD, pois não são incompatíveis com aquelas trazidas pela nova Lei. Na verdade, à exceção da pecuniária, a LGPD repete as mesmas sanções já previstas no MCI, o que, na prática, gera pouco efeito prático.
Isso porque, ainda que a ANPD possa fundamentar suas decisões sancionatórias nos dispositivos do artigo 12 do MCI (à exceção do tacitamente revogado inciso II), ela também o poderia fazer nos termos da LGPD, o que produziria os mesmos resultados (tendo como premissa a vedação ao bis in idem que vigora no nosso Estado Democrático de Direito).
Como conciliar a LGPD e o uso de dados nas investigações corporativas?
Marco Civil da Internet é regulamentado – Entenda o que mudou
Leia mais sobre Privacidade e Proteção de Dados em nossa coluna dedicada a esse tema. São artigos sobre o que acontece no Brasil e no Mundo. Aqui!