Por João Vitor Moreira Michelin
4. Implicações Penais e gestão de risco – um paralelo com o caso Facebook e Cambridge Analytics
Os termos e condições da ToolsForHumanity são bastante claros. É evidente que buscaram assessoramento jurídico para descrever seu produto e as implicações de sua adesão ao usuário. Isso sempre deve ser feito por startups e empresas de tecnologia que queiram evitar choques com as Leis de Proteção de Dados e de Defesa do Consumidor.
Em atuações mercadológicas arrojadas como essa, que colocam em jogo o próprio conceito de consentimento, bem como a liberdade e segurança informacional dos aderentes, deve-se buscar assessoramento jurídico para evitar problemas de toda sorte, sobretudo na esfera penal.
Como caso-paradigma, tem-se o envolvimento do facebook, representado pelo CEO Mark Zuckerberg, no compartilhamento de dados indevidos para a Cambridge Analytica, empresa que atuou na campanha de Donald Trump (2016).
À época, a Cambridge Analytica utilizou o aplicativo thisisyourdigitallife. Tratava-se de um questionário de personalidade que os usuários podiam acessar por meio do Facebook. O app pagou a centenas de milhares de usuários para fazer o teste e concordarem em ter seus dados coletados para uso acadêmico[1].
Entre os dados, estavam aqueles fornecidos pelo facebook, que incluía dados pessoais de todos os “amigos” daqueles que realizaram o teste (87 milhões de perfis).
Ocorre que esses dados, apesar de poderem ser acessados pelo aplicativo parceiro do facebook para certas finalidades, não poderia ter sido comercializado. A investigação da atuação do facebook colocou o Mark Zuckerberg nos holofotes, e diminuiu o valor da empresa em 35 bilhões de dólares na semana em que o escândalo foi divulgado.
Mark foi pesadamente criticado por não tomar medidas eficazes para impedir o uso indevido de dados de usuários, ao ponto que precisou comparecer ao Congresso estadunidense para prestar esclarecimentos. Publicamente, admitiu que o Facebook falhou em proteger os dados dos usuários e prometeu mudanças para evitar que algo similar acontecesse no futuro.
O Facebook foi multado em US$ 5 bilhões pela Federal Trade Commission por violações de privacidade — uma das maiores multas já aplicadas a uma empresa de tecnologia. A empresa também enfrentou multas significativas em outros países, incluindo 500.000 libras no Reino Unido.
Ou seja, ao operar com dados sensíveis e biométricos em larga escala, torna-se imprescindível que startups e empresas de tecnologia busquem apoio de um escritório de advocacia especializado e atualizado em direito penal digital. Práticas robustas de compliance e due diligence, com auditorias periódicas e treinamento contínuo de programadores e colaboradores são indicadas.
No que tange à responsabilidade penal, que só pode recair aos responsáveis legais, controladores e outros colaboradores da empresa, a utilização indevida ou o vazamento de dados biométricos pode acarretar investigações penais e, até mesmo, condenações.
Abaixo, segue, análise dos tipos penais previstos nos artigos artigo 153, do Código Penal, 66, 68, 75 e 76, II, do Código de Defesa do Consumidor (CDC):
Art. 154 – Revelar alguém, sem justa causa, segredo, de que tem ciência em razão de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem:
Pena – detenção, de três meses a um ano, ou multa de um conto a dez contos de réis.
Esse artigo prevê que qualquer legítimo controlador de dados que divulgue segredo do usuário sem consentimento com a intenção de fazê-lo pode ser condenado. Trata-se de conduta que viola a intimidade e a vida privada do usuário.
Os controladores de dados já referidos nesse artigo (nos moldes da LGPD), são investidos de direitos e responsabilidades em relação aos dados dos usuários. Assim, devido à sua profissão, estão em uma das principais funções investigadas, em caso de suspeita de crime.
Por isso, há que se tomar medidas claras e objetivas que afastem suspeitas de divulgação indevida, como a clareza nos termos de uso e cuidados redobrados ao escolher seus parceiros de negócios, que também lidarão com os dados sensíveis dos usuários e devem ter segurança cibernética igualmente proficiente.
Art. 66. Fazer afirmação falsa ou enganosa, ou omitir informação relevante sobre a natureza, característica, qualidade, quantidade, segurança, desempenho, durabilidade, preço ou garantia de produtos ou serviços:
Pena – Detenção de três meses a um ano e multa.
§ 1º Incorrerá nas mesmas penas quem patrocinar a oferta.
§ 2º Se o crime é culposo;
Pena Detenção de um a seis meses ou multa.
Os termos de uso e condições de adesão a um serviço digital deve abarcar todas as possibilidades de tratamento de dados, inclusive aqueles que negócios futuros imporão que sejam comunicados aos usuários. Caso contrário, deverá ser realizado um aditamento estratégico aos termos de uso.
Esse artigo prevê a figura culposa (sem intenção de causar o resultado ilícito), mas este ocorre por sua negligência, imprudência ou imperícia. Trata-se de uma violação de um dever objetivo de cuidado, com os dados controlados.
Art. 68. Fazer ou promover publicidade que sabe ou deveria saber ser capaz de induzir o consumidor a se comportar de forma prejudicial ou perigosa a sua saúde ou segurança:
Pena – Detenção de seis meses a dois anos e multa:
Ao divulgar um produto, deve-se priorizar propagandas que não ludibriem o potencial consumidor ou usuário a ponto de levá-lo a negligenciar os cuidados inerentes ao compartilhamento de dados pessoais. A propaganda responsável e informativa revela o cuidado da empresa com a segurança de seus usuários e a seriedade no tratamento de dados sigilosos e pessoais.
Art. 75. Quem, de qualquer forma, concorrer para os crimes referidos neste código, incide as penas a esses cominadas na medida de sua culpabilidade, bem como o diretor, administrador ou gerente da pessoa jurídica que promover, permitir ou por qualquer modo aprovar o fornecimento, oferta, exposição à venda ou manutenção em depósito de produtos ou a oferta e prestação de serviços nas condições por ele proibidas.
Aqueles ocupantes de cargos de comando em empresas de tratamento de dados devem ter cuidado redobrado ao analisar a repercussão dos projetos aprovados, pois, ao promover a execução de ações que possam prejudicar os dados dos consumidores, serão alguns dos principais investigados.
Art. 76. São circunstâncias agravantes dos crimes tipificados neste código:
II – ocasionarem grave dano individual ou coletivo;
É típico dos serviços de tecnologia terem milhões de usuários. Nesse sentido, vazamentos podem incluir os dados de muitas pessoas, o que agrava a antijuridicidade de tratamentos ilícitos de dados e, consequentemente, as sanções jurídicas.
5. Conclusão
O tratamento de dados biométricos exige conformidade rigorosa com a Lei Geral de Proteção de Dados e outras normas aplicáveis. O caso da Tools for Humanity ilustra os desafios jurídicos e éticos associados ao uso de tecnologia avançada, destacando a necessidade de consentimento informado, segurança da informação e transparência nas relações com os usuários.
Os precedentes envolvendo o Facebook e a Cambridge Analytica reforçam que violações às normas de privacidade podem acarretar consequências severas, incluindo multas, perda de confiança pública e responsabilização penal. Assim, startups e empresas de tecnologia devem investir em assessoria jurídica especializada, políticas robustas de compliance e práticas éticas de tratamento de dados. O equilíbrio entre inovação e proteção de direitos é essencial para garantir a segurança informacional e o respeito à privacidade no ambiente digital.
Fontes:
BRASIL. Coleta de Dados Biométricos pela empresa Tools for Humanity. Agência Nacional de Proteção de Dados, 2025. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/coleta-de-dados-biometricos-pela-empresa-tools-for-humanity. Acesso em: 27 jan. 2025.
BRASIL. Decreto-Lei nº 2.848, de 7 de dezembro de 1940. Código Penal. Disponível em: https://www.planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm. Acesso em: 27 jan. 2025.
BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Código de Defesa do Consumidor. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm. Acesso em: 27 jan. 2025.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 27 jan. 2025.
BRASIL. Processo SEI nº 00261.006742/2024-53. Disponível em: https://anpd-super.mj.gov.br/sei/modulos/pesquisa/md_pesq_processo_exibir.php?wt7h6hFBI_9S3DJjGLl0dpQiiSEQL4RcICP821UP_Zu3te9Mz8pMgdSFPXZPRHsDc8jMQ17erGYJfOcrc-boq319FWaf_0GnRBwDzObg3vAiF8OKtdqP83RfPrs_m__R. Acesso em: 27 jan. 2025.
ENTENDA o escândalo de uso político de dados que derrubou valor do Facebook e o colocou na mira de autoridades. G1, 2025. Disponível em: https://g1.globo.com/economia/tecnologia/noticia/entenda-o-escandalo-de-uso-politico-de-dados-que-derrubou-valor-do-facebook-e-o-colocou-na-mira-de-autoridades.ghtml. Acesso em: 27 jan. 2025.
NUCCI, Guilherme de Souza. Código Penal Comentado. 24. ed. São Paulo: Forense, 2024.
PAGAMENTO por foto da íris atraiu meio milhão de brasileiros, com foco na periferia de SP, até ser barrado pelo governo. G1, 2025. Disponível em: https://g1.globo.com/tecnologia/noticia/2025/01/25/pagamento-por-foto-da-iris-atraiu-meio-milhao-de-brasileiros-com-foco-na-periferia-de-sp-ate-ser-barrado-pelo-governo.ghtml. Acesso em: 27 jan. 2025.
WORLD FOUNDATION. Aplicativo World App. Disponível em: https://worldcoin.org/pt-br/world-app. Acesso em: 27 jan. 2025.
WORLD FOUNDATION. Formulário de Consentimento de Dados Biométricos. Disponível em: https://vault.pactsafe.io/s/8a18d792-fd76-44db-9b92-b0bb7981c248/legal.html#contract-syn0uxpen. Acesso em: 27 jan. 2025.
WORLD FOUNDATION. Termos e condições. Disponível em: https://vault.pactsafe.io/s/8a18d792-fd76-44db-9b92-b0bb7981c248/legal.html#contract-byutjvtyt. Acesso em: 27 jan. 2025.
______________