Mercado de dados pessoais no Brasil: os limites legais e o impacto da LGPD
Luciano Teixeira – São Paulo
O mercado de dados pessoais tornou-se um dos setores mais valiosos do mundo digital, movimentando bilhões de reais por meio da coleta, tratamento e compartilhamento de informações dos usuários. Dados como nome, endereço, CPF, localização, preferências de consumo, histórico de navegação e até informações de saúde são utilizados por empresas para direcionar campanhas publicitárias, melhorar serviços e aumentar receitas. No entanto, quando essa comercialização ocorre sem o consentimento do titular ou em desconformidade com a legislação, ela se torna ilegal e pode gerar multas milionárias.
Leia também: LGPD: o que isso afeta os condomínios?
No Brasil, a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) é a principal norma que regula o tratamento de dados pessoais, impondo regras claras sobre coleta, armazenamento, uso e compartilhamento dessas informações. Desde que entrou em vigor, a LGPD tem sido usada pela Autoridade Nacional de Proteção de Dados (ANPD) e pelo Poder Judiciário para coibir práticas abusivas e punir empresas que comercializam dados pessoais sem autorização.
A LGPD estabelece que os dados pessoais são de titularidade do indivíduo, e não das empresas que os coletam. Isso significa que qualquer organização que utilize informações pessoais deve ter uma base legal para tal uso. Entre as hipóteses previstas pela lei estão: consentimento do titular, cumprimento de obrigação legal, execução de políticas públicas, estudos por órgãos de pesquisa, execução de contrato, proteção da vida ou da saúde, proteção do crédito, e legítimo interesse do controlador, desde que não se sobreponha aos direitos do titular.
O problema da comercialização indevida de dados
A comercialização de dados pessoais é considerada indevida quando ocorre sem uma das bases legais previstas na LGPD. Por exemplo, empresas que vendem listas com nomes, telefones e e-mails para publicidade sem autorização dos titulares estão em desacordo com a lei. Essa prática era comum antes da entrada em vigor da LGPD, mas agora pode gerar multas que chegam a até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.
“A LGPD prevê a obrigatoriedade de reparação dos danos – sejam eles patrimoniais ou morais, individuais ou coletivos – causados ao titular dos dados pessoais que eventualmente são comercializados de forma indevida. Em seu art. 42, §1º, com o objetivo de assegurar a efetiva indenização e, com efeito, punir aqueles que, no exercício da atividade de tratamento de dados, descumpre as obrigações impostas, a Legislação estabelece a responsabilidade solidária tanto do operador, como do controlador”, explica Tiemy Kunimi, advogada do Bruno Boris Advogados.
A ANPD já tem atuado de forma mais rigorosa contra empresas que comercializam dados pessoais. Em 2023, por exemplo, uma companhia de marketing digital foi multada em R$ 7,2 milhões por negociar listas de consumidores sem consentimento. Em outro caso, um aplicativo de comparação de preços foi notificado por compartilhar informações de geolocalização de seus usuários com terceiros sem aviso prévio.
Além da ANPD, o Ministério Público e os Procons estaduais e municipais também podem investigar e processar empresas que descumprem a LGPD. As ações podem resultar em indenizações individuais ou coletivas, bloqueio de dados, suspensão de atividades e até responsabilização criminal em casos graves.
O conceito de ativo econômico e o valor dos dados pessoais
A discussão sobre o mercado de dados pessoais se intensificou porque as informações dos usuários passaram a ser vistas como um ativo econômico estratégico. Empresas de tecnologia, redes sociais, e-commerces e bancos investem em sistemas avançados de coleta e análise de dados para personalizar produtos e serviços.
A monetização dos dados ocorre de várias formas. Uma delas é o direcionamento de anúncios, que gera receitas bilionárias para plataformas digitais. Outra é a venda ou compartilhamento de dados com empresas parceiras, que podem usar as informações para campanhas de marketing ou para avaliar riscos de crédito.
Outras notícias: DeepSeek segue as exigências da LGPD?
No entanto, a LGPD deixa claro que os dados pertencem ao indivíduo. As empresas apenas podem tratar essas informações com base em uma das hipóteses legais e devem adotar medidas de segurança para evitar vazamentos e usos indevidos. Isso cria um desafio jurídico para empresas que atuam no setor, pois é necessário equilibrar a estratégia comercial com a conformidade legal.
A relação entre consentimento e legítimo interesse
Um dos pontos mais sensíveis da LGPD é a exigência de consentimento do titular para o tratamento dos dados. O consentimento deve ser livre, informado e inequívoco, ou seja, o titular precisa saber exatamente para que e como suas informações serão usadas.
Algumas empresas, porém, tentam justificar a comercialização de dados com base no chamado “legítimo interesse”, outra hipótese legal prevista na LGPD. Essa base pode ser usada quando o uso dos dados é necessário para atender uma finalidade legítima do controlador, desde que não prejudique os direitos e liberdades do titular.
O problema é que o legítimo interesse não pode ser usado de forma genérica para justificar a venda de dados. A empresa precisa fazer uma análise de impacto, documentar as razões que justificam o uso dos dados e informar o titular sobre a prática. Caso contrário, poderá ser autuada pela ANPD e condenada judicialmente.
Conforme precedente definido pelo STJ a partir do julgamento AREsp 2.130.619, o Titular que tiver dados vazados tem o dever de comprovar dano efetivo para pleitear eventual indenização. “Assim, caberá ao debate jurídico se tal comercialização indevida pode ser equiparada a um vazamento de dados, para fins de indenização, ou se o procedimento assume o dano presumido”, diz Luis Felipe Tolezani, advogado de Direito Digital e Compliance da Lopes & Castelo Sociedade de Advogados.
“A jurisprudência brasileira tem reconhecido danos morais presumidos em situações de exposição indevida de dados, mesmo sem comprovação de prejuízo moral concreto”, destaca Luis Ricardo Trezza, especialista em direito digital e LGPD, sócio da Trezza & Goi Advogados.
Além disso, na área administrativa, existe a Resolução nº 04/2022 da ANPD, que define as regras para aplicação de punições. O artigo 7º dessa norma lista os critérios que a Autoridade Nacional de Proteção de Dados considera na hora de aplicar uma sanção.
“Estes parâmetros incluem: a gravidade e natureza das infrações; a boa-fé do agente; a vantagem pretendida pelo infrator; o dano causado ao Titular; a reincidência do agente; a adoção de medidas que visam garantir a conformidade legal, na esfera de privacidade e proteção de dados pessoais; entre outros”, afirma Luis Felipe Tolezani.
Casos recentes e jurisprudência em construção
Desde a entrada em vigor da LGPD, o Judiciário brasileiro tem recebido um volume crescente de ações relacionadas ao uso indevido de dados pessoais. Entre os casos mais comuns estão:
- Venda de listas de contatos por empresas de telemarketing;
- Compartilhamento de dados bancários com instituições financeiras parceiras sem autorização do cliente;
- Aplicativos que coletam dados de localização ou contatos telefônicos sem informar os usuários.
Mais notícias: ANPD notifica empresas por descumprimento da LGPD: como se adequar às normas de privacidade
As condenações têm como base tanto a LGPD quanto o Código de Defesa do Consumidor (CDC), a Constituição Federal e princípios da autodeterminação informativa. A seguir, alguns dos precedentes mais relevantes:
1. Serasa Experian — TJDFT (Processo nº 0707092-34.2020.8.07.0018)
A Serasa foi proibida de comercializar dados pessoais por meio dos serviços “Lista Online” e “Prospecção de Clientes”. A decisão do Tribunal de Justiça do Distrito Federal reconheceu a violação do direito à privacidade e à autodeterminação informativa, pois os dados eram vendidos sem o consentimento dos titulares. A ação foi movida pelo Instituto Brasileiro de Defesa do Consumidor (Idec).
2. Enel São Paulo (antiga Eletropaulo) — TJSP e STJ (Resp nº 1.960.429/SP)
A empresa foi condenada por não adotar medidas de segurança adequadas após o vazamento de dados pessoais de uma cliente. O Tribunal de Justiça de São Paulo reconheceu a responsabilidade objetiva da concessionária, com base na LGPD. A decisão foi posteriormente confirmada pelo STJ, que enfatizou o dever das empresas em proteger os dados de seus consumidores, mesmo antes da vigência plena da LGPD.
3. Telekall Infoservice — ANPD (Processo Administrativo nº 00261.000489/2022-62)
A microempresa foi a primeira a ser multada pela Autoridade Nacional de Proteção de Dados. A sanção de R$ 14.400 foi aplicada por oferecer listas de contatos do WhatsApp para campanhas eleitorais sem qualquer base legal. A empresa também não havia designado um encarregado de dados (DPO), conforme exige o artigo 41 da LGPD. A multa sinalizou que a ANPD pretende fiscalizar também pequenas empresas.
4. RaiaDrogasil — Processo administrativo em trâmite na ANPD
A maior rede de farmácias do país está sendo investigada pela criação de “perfis de saúde” de clientes a partir de dados sensíveis, como CPF e histórico de compras, usados para segmentar publicidade. A ANPD apura se houve ausência de consentimento informado, o que pode gerar multa de até R$ 50 milhões por infração, conforme o artigo 52 da LGPD.
Esses precedentes demonstram que tanto a ANPD quanto o Judiciário vêm aplicando a LGPD de forma efetiva, reforçando a responsabilidade das empresas na coleta, uso e compartilhamento de dados. As decisões têm como base não apenas a legislação específica, mas também a proteção constitucional à privacidade, a boa-fé objetiva e os direitos do consumidor.
Medidas de segurança obrigatórias e prevenção
Para evitar autuações e processos, as empresas precisam investir em medidas de segurança cibernética e governança de dados. A LGPD exige a implementação de boas práticas e de políticas internas que assegurem a proteção das informações pessoais. Isso inclui:
- Controle de acesso aos bancos de dados;
- Uso de criptografia;
- Treinamento de funcionários;
- Contratação de encarregados pelo tratamento de dados (DPO);
- Elaboração de relatórios de impacto.
A adoção dessas medidas reduz o risco de vazamentos e serve como prova de que a empresa está comprometida com a conformidade legal.
O papel da ANPD e o futuro da regulação
A ANPD tem se consolidado como a principal autoridade fiscalizadora da proteção de dados no Brasil. A agência pode aplicar sanções administrativas, expedir orientações técnicas e atuar em cooperação com outros órgãos reguladores.
Veja também: ANPD notifica X, Uber, Telegram, Telefônica, Serasa, Latam e outras 14 empresas por descumprimento da LGPD
Nos próximos anos, a expectativa é que a ANPD aumente o número de fiscalizações e que a jurisprudência sobre a LGPD se torne mais sólida. A comercialização indevida de dados pessoais tende a ser cada vez mais combatida, especialmente diante da crescente conscientização da população sobre seus direitos.
