jusbrasil.com.br
22 de Setembro de 2017

A (i)legalidade de sites que divulgam dados pessoais

Renato Leite Monteiro, Advogado
Publicado por Renato Leite Monteiro
há 2 anos

A ilegalidade de sites que divulgam dados pessoais

Recentemente, o site “Nomes Brasil” permitiu a consulta do CPF e outros dados de uma grande parte da população brasileira. Não havia nenhuma restrição de acesso ou limitação de conteúdo. Bastava digitar o nome e verificar se os dados constavam na base de dados online. A página foi retirada do ar pelos provedores de hospedagem após notificação da Secretaria Nacional do Consumidor do Ministério da Justiça, por meio do Departamento de Proteção e Defesa do Consumidor (DPDC). O órgão considerou indevida a veiculação de tais dados sem o conhecimento e a autorização dos seus titulares, e baseou seu entendimento no Código de Defesa do Consumidor e no Marco Civil da Internet. Mas será que estas leis realmente vedam a veiculação destes dados?

Antes de mais nada, é importante esclarecer que, sim, a publicidade de dados pessoais e outras informações particulares da forma como foram expostas no site “Nomes Brasil” é indevida, com base, simplesmente, no direito fundamental à privacidade previsto na Constituição Federal de 1988.

Todavia, a questão demanda uma análise contextual, com base, principalmente no potencial risco de uso das informações constante do site para fins de fraude e eventuais danos aos seus titulares.

O Código Civil estabelece em seu Art. 12 que “pode-se exigir que cesse a ameaça, ou a lesão, a direito da personalidade (...)”. O direito à privacidade engloba diversos outros relacionados à personalidade, como o direito à intimidade, honra e imagem. Desta forma, uma vez que a veiculação não autorizada de dados pessoas potencialmente permite a má utilização destes para práticas como a criação de identidades falsas, pode o titular exigir que referida publicidade cesse, e inclusive se valer do judiciário para tanto, se necessário.

Somado a isso, um ponto importante quanto à possível ilicitude é o previsto no artigo 43 do CDC, que trata sobre bancos de dados consumeristas, pois não é de conhecimento público a origem dos dados veiculados na página e se houve comunicação ao consumidor quando da inserção dos seus dados em um banco estruturado. Dispõe o artigo 43 do CDC que é imprescindível a comunicação do usuário quando da abertura de cadastro, ficha, registro e dados pessoais, conforme § 2º do mesmo artigo, verbis:

“Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.

(...)

§ 2º A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.”

O Prof. Rizzato Nunes explica que essa previsão foi feita em razão do disposto no artigo , inciso X, da Constituição Federal, visando a proteção da privacidade do consumidor:

“muito embora a ênfase e a discussão em torno das regras instituídas no art. 43 recaiam nos chamados cadastro de inadimplentes dos serviços de proteção ao crédito, a norma incide em sistemas de informação mais amplo. Todo e qualquer banco de dados de arquivo de informações a respeito de consumidores – pessoas físicas ou jurídicas – está submetido às normas do CDC. (...) A norma do § 2º é expressa e clara, não deixando margem de dúvida: “a abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele”. É garantia que decorre diretamente do texto constitucional de preservação de privacidade do consumidor (art. , X, da CF). Vale tanto para a abertura de cadastros ditos positivos quanto negativos.”

O art. 43 do CDC determina que o consumidor deve apenas ser informado - e não necessariamente autorizar - quando da criação e/ou inserção de seus dados em uma base de dados. Não existiria na lei vedação expressa a transferência dessa base de dados ou a sua utilização por terceiros. No caso do site sob comento, o usuário pode, eventualmente, ter sido informado da inserção dos seus dados na base de dados original e esta ter sido adquirida pelo responsável pelo site, que estaria possivelmente utilizando-a sem violar expressamente o Código Consumerista. Todavia, o CDC não pode ser interpretado isoladamente.

A portaria nº 5/2002, da Secretaria de Direito Econômico do Ministério da Justiça, que complementou o elenco de cláusulas abusivas constantes do art. 51 do CDC, considerou abusiva qualquer disposição que:

I - autorize o envio do nome do consumidor, e/ou seus garantes, a bancos de dados e cadastros de consumidores, sem comprovada notificação prévia

II - imponha ao consumidor, nos contratos de adesão, a obrigação de manifestar-se contra a transferência, onerosa ou não, para terceiros, dos dados cadastrais confiados ao fornecedor

III - autorize o fornecedor a investigar a vida privada do consumidor

O que a portaria, na prática, implementa, é o instituto do consentimento. Não basta o consumidor ser informado que seus dados serão inseridos em uma base de dados, como determina o art. 43. É necessária a sua autorização para que seus dados sejam transferidos para terceiros. No contexto sob exame, mesmo se a página “Nomes Brasil” esteja utilizando uma base de dados adquirida legitimamente, esta transferência teria que ser autorizada pelos titulares dos dados consumeristas. Portanto, é possível inferir que o fato de muitas pessoas terem ficado surpresas e chocadas ao verificarem que seus dados estavam disponíveis para qualquer um que os procurasse demonstra que não houve consentimento.

Quando a esfera da administração pública, que originalmente confere os CPFs aos seus titulares, esta requer exigências mais rígidas do que a esfera das relações meramente privadas, com base no mandamento constitucional do art. 37 da CF/88. A administração pública é adstrita ao previsto em lei. A esfera privada pode fazer o que não estiver vedado por lei.

Nesse contexto, o site da Receita Federal traça o procedimento que entidades públicas devem seguir para a disponibilização de dados, havendo inclusive Instruções Normativas expressamente tratando sobre isso. Destaco os trechos mais relevantes:

IN Nº 19

Art. 1o Esta Instrução Normativa disciplina os procedimentos de fornecimento de dados cadastrais e econômico-fiscais da Secretaria da Receita Federal - SRF, a outras entidades.

Art. 2o O atendimento a solicitações de fornecimento de dados cadastrais da SRF, efetuadas por outras entidades, será executado pela Coordenação-Geral de Tecnologia e de Sistemas de Informação - COTEC, ou por suas projeções regionais ou locais.

§ 1o O fornecimento de dados fica limitado àqueles constantes de cadastro de domínio público e que não informem a situação econômica ou financeira dos contribuintes.

§ 2o Consideram-se de domínio público os dados das pessoas físicas ou jurídicas, que, por força de lei, devam ser submetidos a registro público.

Art. 4o O fornecimento de dados a instituição de direito privado somente será efetivado quando a informação for indispensável, em virtude de lei, ao exercício de suas atividades.

IN Nº 20

Art. 8o O fornecimento eventual com acesso on line às bases de dados somente poderá ser realizado por intermédio da COTEC ou DITEC/SRRF.

Art. 9o O fornecimento continuado com acesso on line às bases de dados será efetuado mediante credenciamento de usuários do órgão ou da entidade interessados no Sistema de Entrada e Habilitação - SENHA, da SRF, observado para este fim o disposto na Portaria SRF No 782, de 20 de junho de 1997.

Parágrafo único. O acesso às bases de dados da SRF, na forma deste artigo, fica condicionado à reciprocidade de tratamento em relação às bases de dados fiscais do órgão convenente, salvo se a SRF abdicar expressamente dessa prerrogativa.

Com base nisso, analisando o que consta do site da própria Receita, seria possível construir a tese de que essas informações não são públicas:

50. EXISTE A POSSIBILIDADE DE PESQUISAR O NÚMERO DO CPF, ATRAVÉS DO SITIO DA RECEITA FEDERAL?

Não. Tente localizar o número em algum outro documento, cheque, contrato, etc. Se não conseguir, pode-se obter o número do CPF em uma unidade de atendimento da Receita Federal do Brasil.

Todavia, as instruções normativas dizem respeito ao acesso aos dados cadastrais e econômico-fiscais presentes nos bancos de dados da Receita Federal. Ou seja, um acesso direto aos bancos de dados ou a transferência destes dados, por parte da Receita, para entidades privadas. Os dados cadastrais e econômico-fiscais como o CPF podem também ser obtidos de outras fontes, como diretamente de uma empresa privada, de sistemas de busca na Internet, ou mesmo de um camelô na Santa Efigênia. Salvo maior juízo, estes bancos de dados não estariam sujeitos às instruções normativas mencionadas acima.

Portanto, é possível afirmar que os dados de CPF e outros afins são, sim, dados públicos. Todavia, existe a diferença entre o que é público e o que publicamente acessível por qualquer pessoa. Por exemplo, até pouco tempo, os salários de funcionários públicos não podiam ser publicados em sites governamentais, inobstante serem dados públicos. Agora estes são públicos e publicamente acessíveis (ou pelo menos deveriam ser). Entretanto, dados públicos também podem ter natureza pessoal, o que deve conferir aos seus titulares controle sobre a sua divulgação e coleta, caso não haja previsão em lei determinando a publicidade.

O CPF é um dado pessoal público que confere ao seu titular o direito a controlar a sua divulgação caso o contexto possa violar, entre outros, o seu direito à privacidade ou ameaçar algum outro direito, como eventual dano econômico oriundo, e. G., da criação de uma identidade falsa. Todavia, nem a CF/88, nem o CDC, nem o Código Civil e o Marco Civil da Internet conferem ao cidadão todas as ferramentas necessárias para o controle dos seus dados pessoais. Por isso que atualmente se discute o Anteprojeto de Proteção de Dados Pessoais.

Referido Anteprojeto visa discutir regulação que pretende estabelecer um regime legal abrangente de proteção de dados pessoais. Esta norma pretende conferir ao cidadão meios para controlar efetivamente o que é feito com seus dados pessoais, ao mesmo tempo que estabelece parâmetros jurídicos seguros para o processamento de dados pessoais, base da economia digital em que vivemos atualmente. Caso referida legislação já estivesse em vigor, em tese, os titulares de dados teriam formas efetivas de combater e evitar que seus dados pessoais, como os expostos pelo “Nomes Brasil”, sejam utilizados de forma indevida e não autorizada. Situações como estas e muitas outras devem servir de incentivo para continuarmos discutindo ativamente o futuro da proteção de dados pessoais no Brasil.

42 Comentários

Faça um comentário construtivo para esse documento.

Não use muitas letras maiúsculas, isso denota "GRITAR" ;)

Da mesma forma age o SERASA ao vender as avaliações de crédito!
O Concentre Scoring tem amparo legal? Não que eu concorde, mas o site não pode divilgar nossos dados mas o serasa pode, e sem nossa autorização (exceto se der aceite ao cadastro - Cadastro Positivo).
Lamentável, mas funciona assim. Banco pode! continuar lendo

Mesmo a SERASA ou SPC devem informar ao consumidor do registro. Conforme é ressaltado no texto, não é necessário que o consumidor autorize, apenas que seja previamente informado. Logo, não há nada de ilegal na inserção do nome em bancos de dados como SPC e Seras continuar lendo

Rafael,

Quanto ao Credit Scorig, sim, existe amparo legislativo. A lei 12.414/2011 regula essa prática e impõe limites. Recentemente o STJ realizou julgamento paradigmático sobre o tema, aclarando algumas dúvidas (RESP Nº 1.419.697 - RS) continuar lendo

Sr Confesso que li apenas parte da matéria, então talvez você até comentou, mas devido o pouco tempo que estou tendo, vou apenas comentar parte:
Eu não acredito que era uma grande parte da população brasileira, acredito que era de toda população brasileira, e acredito em duas coisas: Vazamento da Receita Federal ou dos correios, porque eu acredito em uma das duas? Não estou acusando, apenas acredito que seja uma das duas instituição que vazou, porque minha filha em um ano de idade, e eu consultei o nome dela, e para surpresa um dos CPFs mostrados era exatamente o da minha filha, detalhe: Nunca forneci o CPF dela para ninguém, tirei assim que ela nasceu, mas nunca foi utilizado, nunca foi divulgado. continuar lendo

Leandro, o site da Receita permite consultas a partir do número do CPF. O que o autor do site fez foi uma rotina (um "script") que foi varrendo os números em ordem sequencial e capturando os nomes. Depois, ele disponibilizou em ordem inversa: você pesquisa o nome para ter o número do CPF.

Existe um "captcha" (sistema que exige a digitação do código que se vê numa imagem gerada aleatoriamente) no site da Receita para evitar acessos repetitivos e consultas automatizadas em larga escala (tão somente a fim de proteger a estabilidade do servidor), porém, o captcha utilizado por eles, em particular, é um modelo bastante ultrapassado da tecnologia e que é facilmente quebrado (basta procurar na internet como funciona a metodologia), portanto isso pode ter facilitado na obtenção de uma lista mais longa - mas não quer dizer que seja a única forma, qualquer um com paciência poderia obter os mesmos dados, ainda que manualmente.

Tenho absoluta certeza disso pois números de CPF como o meu (iniciados em 0) já estavam na base do site mas outros números (de familiares) com o primeiro dígito maior, ainda não estavam. Portanto era um trabalho de obtenção que ainda estava progredindo e foi lançado antes que a base completa se formasse. O fato do site não estar no ar também não significa que o autor do site ainda esteja fazendo as capturas e formando o banco de dados "completo" (completo mesmo, sem as aspas, nunca estará, pois todos os dias a Receita emite novos CPFs). continuar lendo

Renato,

Valeu pelo relato de seus familiares, quanto a possibilidade de captura, conheço, já criei script para isso para confirmar se o camarada estava regular ou não. continuar lendo

Acho o assunto polêmico. As secretarias das fazendas estaduais multam as empresas que emitem notas fiscais com CPF/CNPJ errados, pois isso colabora para a sonegação fiscal. Tanto que há coisas como o SINTEGRA para verificar a validade. Por esta razão o CPF/CNPJ é público, não podendo ninguém negar-se a fornecer o número de sua inscrição, sob pena de ter sua venda cancelada pela impossibilidade de se emitir uma NF sem isso. Sinceramente não vejo como saber meu CPF possa servir para algum bandido, já que a simples posse do número por parte de outrem não geraria a mim qualquer responsabilidade civil. Deixo aqui um raciocínio tangencial à questão do direito de privacidade, pois envolve o anonimato na área fiscal. continuar lendo

Melhor comentário até agora. Vou mais além e digo que a divulgação de certas informações básicas sobre as pessoas deveria ser feita pelo próprio governo, para permitir segurança nas transações. Veja o exemplo do Cadastro Nacional de Advogados. Você consegue online a foto endereço e as vezes até o telefone dos advogados. continuar lendo

Prezado Roberto,

O cerne da questão não é a divulgação. Mas sim a divulgação sem o conhecimento e autorização do titular. Dai nasce a pergunta? E se ele se negar a divulgação? Bem, ele deve estar ciente das possíveis consequências e arcar com estas, como no caso da inviabilidade de compra caso o CNPJ não seja fornecido. continuar lendo

Mas existem empresas que conseguem te cadastrar apenas com o seu CPF sim, passei por isso e fui atrás pra consertar, deu tudo certo e consegui um acordo de algo que não estava devendo, amigo Roberto, pela má administração de algumas empresas é possível sim alguém usar de má fé apenas do número de seu CPF pra te responsabilizar civilmente, falo por experiência própria, no entanto, entendo que ainda que esteja violando algo constitucionalmente protegido (preservação da privacidade), dados como o número ou nome completo de pessoas, em regra, ou até pela lei mesmo, não podem legitimar nenhuma forma de contrato. continuar lendo

Matéria muito interessante.

Sou Analista de Sistemas e Administrador de Banco de Dados e atualmente estou estudando Direito. Tinha algumas dúvidas sobre a relação destas áreas aparentemente tão distintas mas percebo que existe campo para quem tem conhecimento em TI atuar no Direito.

Grande abraço! continuar lendo