Política de privacidade e proteção de dados
Conceito
A consolidação do comércio eletrônico e das plataformas digitais como principais canais de oferta e consumo no século XXI trouxe consigo uma reconfiguração estrutural das relações contratuais, centrada não apenas no produto ofertado, mas na informação produzida pelo consumidor. Em outras palavras, os dados pessoais se tornaram o ativo mais valioso da relação de consumo digital. Se, em tempos passados, a moeda de troca era o pagamento em dinheiro, hoje o consumidor muitas vezes paga com seu comportamento, seu perfil, sua atenção. O tratamento dessas informações, quando não regulado com firmeza e transparência, converte-se em ferramenta de dominação, discriminação e manipulação de preferências, abrindo caminho para uma lógica de consumo opaca e predatória.
Nesse cenário, a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) e o Código de Defesa do Consumidor (CDC – Lei nº 8.078/1990) convergem para formar o núcleo normativo da tutela da privacidade do consumidor digital. A primeira oferece o regime jurídico específico sobre o tratamento de dados pessoais, enquanto o segundo fornece os princípios estruturantes da proteção contratual, como boa-fé, transparência e dignidade do consumidor. São normas que, embora distintas, dialogam sistematicamente e se complementam no que se refere à proteção da pessoa humana diante dos riscos do mercado de consumo baseado em dados.
A LGPD estabelece princípios que devem orientar toda e qualquer atividade de tratamento de dados: finalidade, adequação, necessidade, livre acesso, qualidade da informação, transparência, segurança, prevenção, não discriminação e responsabilização. Esses princípios, embora apresentados em linguagem própria da disciplina de proteção de dados, não são estranhos ao universo do Direito do Consumidor. Pelo contrário, são desdobramentos da lógica protetiva já consagrada desde 1990 no CDC. A boa-fé objetiva, por exemplo, exige que o fornecedor não se beneficie de brechas técnicas ou contratuais para explorar comportamentos ou preferências do consumidor de forma dissimulada ou opaca. A informação clara, prevista nos arts. 6º e 31 do CDC, é a antítese do algoritmo obscuro. O consentimento específico, informado e inequívoco, exigido pela LGPD, tem afinidade direta com o princípio da transparência contratual.
No comércio eletrônico, as plataformas digitais desempenham papel decisivo no tratamento de dados pessoais, pois controlam a arquitetura informacional da experiência de consumo. Elas decidem o que é mostrado, a quem, quando e com que destaque. Frequentemente, são também as responsáveis por coletar, armazenar, cruzar e monetizar os dados dos consumidores, seja de forma direta (mediante cadastro e navegação), seja indireta (por rastreamento de comportamento e uso de cookies). Em muitos casos, essas plataformas sequer são os fornecedores diretos dos produtos ou serviços contratados, mas ainda assim participam ativamente da coleta de dados e da construção de perfis de consumo, assumindo, portanto, a condição de controladoras ou operadoras de dados, nos termos da LGPD.
O problema central reside no desequilíbrio técnico e informacional. O consumidor médio, ainda que atento, não detém o conhecimento necessário para compreender o funcionamento dos sistemas algorítmicos que definem a oferta que lhe é apresentada, nem os destinos dos dados que fornece — muitas vezes sem saber que os está fornecendo. Essa vulnerabilidade, já reconhecida no CDC, é potencializada no ambiente digital, onde o poder de tratamento de dados por parte das empresas se converte em instrumento de indução de comportamento e exclusão de oportunidades, violando, em muitos casos, o princípio da não discriminação e o direito à autodeterminação informativa.
As consequências dessa assimetria são múltiplas: variação abusiva de preços com base em perfis individuais (prática conhecida como preço dinâmico discriminatório), recusa injustificada de contratação por perfil comportamental, ranqueamento invisível que limita o acesso do consumidor a certas ofertas, e até manipulação da tomada de decisão por meio de arquitetura persuasiva (designs digitais que induzem escolhas específicas, os chamados dark patterns). Tais práticas, quando não informadas com clareza ou quando excedem os limites do legítimo interesse, violam o CDC e a LGPD simultaneamente, podendo ensejar responsabilização civil, administrativa e até criminal.
Outro ponto crítico diz respeito ao dever de segurança. O fornecedor que realiza o tratamento de dados, especialmente os sensíveis (como localização, preferências, histórico de compras, renda etc.), assume o risco da atividade e deve adotar medidas técnicas e administrativas para proteger o consumidor contra acessos não autorizados, vazamentos, roubos de identidade e outros incidentes de segurança. A falha na proteção de dados, mesmo sem dolo, pode ensejar responsabilização objetiva, conforme estabelece a LGPD em seu art. 42, e conforme já prevê o CDC ao tratar dos defeitos do serviço.
Importante lembrar que a proteção dos dados pessoais é, por força do art. 5º, LXXIX, da Constituição Federal, um direito fundamental, e deve ser tratada como tal. O consentimento para o uso de dados, quando exigido, não pode ser genérico, forçado ou dissimulado. O consumidor deve saber exatamente o que está autorizando, para que finalidade, com que consequências, por quanto tempo e com quem os dados serão compartilhados. A ausência de clareza, a omissão de informações relevantes ou a exigência de consentimento como condição obrigatória para acesso ao serviço são práticas incompatíveis com os princípios da LGPD e do CDC.
No plano institucional, a atuação da Autoridade Nacional de Proteção de Dados (ANPD) se soma à da Secretaria Nacional do Consumidor (Senacon) e aos Procons estaduais e municipais, que devem agir de forma coordenada para assegurar o cumprimento das normas, promover a educação digital do consumidor e coibir abusos cometidos por fornecedores, especialmente por grandes plataformas com poder de mercado significativo.
A convergência entre LGPD e CDC, portanto, não é acidental. É necessária e urgente. O consumidor do século XXI é, antes de tudo, um titular de dados, e sua proteção depende da articulação entre as normas de consumo e as normas de proteção de dados, sob a perspectiva da dignidade da pessoa humana e da função social do mercado. O fornecedor que atua no ambiente digital não pode se esconder atrás da alegação de complexidade técnica. O dever de informar permanece, ainda que o conteúdo a ser informado seja difícil. O desafio do direito contemporâneo é justamente esse: tornar compreensível o incompreensível, proteger mesmo diante do invisível e garantir direitos num ambiente onde tudo é mediado por códigos, interfaces e fluxos de dados.
Referências principais
- ARAUJO, Luiz Alberto David, e JUNIOR, Vidal Serrano Nunes. Curso de direito constitucional. 23ª edição. São Paulo: Saraiva, 2021.
- BARROSO, Luís Roberto. Curso de direito constitucional contemporâneo. 9ª edição. São Paulo: Saraiva, 2020.
- MIRAGEM, Bruno. Curso de Direito do Consumidor. 9ª edição. São Paulo: Forense, 2024.
- NUNES, Rizzatto. Curso de direito do consumidor. 15ª edição. São Paulo: Saraiva Educação, 2024.
Remissões - Leis
- Constituição Federal, art. 1º, III
- Constituição Federal, art. 5º, XXXII
- Constituição Federal de 1988, art. 5º, LXXIX
- Constituição Federal de 1988, art. 170, V
- Lei 8.078/1990, art. 4º
- Lei 8.078/1990, art. 31
- Lei 8.078/1990, art. 39
- Lei 8.078/1990, art. 51
- Lei nº 12.965/2014, art. 3º
- Lei nº 12.965/2014, art. 7º
Lei nº 13.709/2018, art. 6º - 8º
- Lei nº 13.709/2018, art. 42
Lei nº 13.709/2018, art. 44 - 45
- Lei nº 8.078/1990, art. 6º
- Lei nº 8.078/1990, art. 84