Para a constituição de uma empresa, o Código Civil (artigo 1.152, §1º) exige a publicação do ato em Diário Oficial ou jornal de grande circulação e, por sua vez, a Lei de Registros Públicos de Empresas Mercantis (artigo 54) afirma que a prova da publicidade de atos societários, quando exigida em lei, será feita mediante anotação nos registros da junta comercial à vista da apresentação da folha do DO, em sua versão eletrônica.
Da mesma forma, a Lei das Sociedades Anônimas (artigo 289) impõe a publicação em jornal de grande circulação da sede da companhia, de forma resumida e com divulgação simultânea da íntegra dos documentos, tais como data de constituição da companhia, balanço e demonstração de lucros e perdas, na página do mesmo jornal na internet, assegurada a autenticidade dos documentos por autoridade certificadora (ICP-Brasil).
Já em relação à aquisição de bens e serviços por parte da administração pública direta e indireta, os avisos contendo os resumos dos editais de licitações e contratos das empresas públicas e sociedades de economia mista devem ser publicados no Diário Oficial (Lei nº 13.303/2016 – artigo 51), e de forma similar a Lei de Licitações e Contratações Públicas (Lei nº 14.133/2021 – artigo 54).
Percebe-se que há incontáveis espécies de atos privados e administrativos cuja eficácia depende da publicação em jornal de grande circulação ou no diário oficial, seja este último federal, estadual ou municipal, exsurgindo a importância do tema aqui apresentado.
Hipótese de dados divulgados de forma equivocada
Vamos supor que no teor dessas publicações sejam incluídos e divulgados dados pessoais, por equívoco, ou ainda, sem qualquer necessidade ou finalidade, conforme assevera o artigo 6º, da Lei nº 13.709/2018 e o titular pleiteie a exclusão destas informações junto ao editorial de um jornal, ou ainda, aos responsáveis pelos diários oficiais, com fundamento na Lei Geral de Proteção de Dados, mas ao final obtenha uma resposta negativa sobre o seu requerimento, sob o argumento da necessidade de assegurar a integridade daquele documento.
Poderíamos dizer que essa negativa foi lícita?
Caso Moniteur Belge
O Tribunal de Justiça da União Europeia, responsável por uniformizar a aplicação da legislação, analisou um caso ocorrido em 12 de fevereiro de 2019, quando o Moniteur Belge, responsável por um vasto leque de publicações oficiais, divulgou um excerto da deliberação de uma sociedade concernente à redução do seu capital social.
Esse ato foi redigido pelo notário de um sócio da sociedade e transmitido ao tribunal competente, que, por sua vez, o enviou para a publicação nesse jornal oficial.
Contudo, a publicação continha dados pessoais desse sócio, que ciente dessa exposição, solicitou a supressão ao service public fédéral de Justice, detentor do poder hierárquico sob o Moniteur Belge, mas teve seu pleito indeferido.
Na sequência, o titular dos dados apresentou uma queixa na Autorité de protection des données, que determinou a exclusão dos dados.
Em face dessa decisão, o Estado belga interpôs recurso na cour d’appel de Bruxelles, para anular a decisão, que por sua vez consultou o Tribunal de Justiça da União Europeia para saber se:
(1) o Moniteur Belge pode ser considerado responsável pelo tratamento em razão de ter agido em estrito cumprimento à lei, na medida em que não controla antes da publicação os dados pessoais que figuram nos atos e documentos que recebe;
(2) se pode ser considerado o único responsável pelo tratamento dos dados;
(3) ou se essa atribuição incumbe também de forma cumulativa às entidades que trataram os dados em caráter antecedente.
Entendimento da Justiça europeia
No tocante à possibilidade de ser responsabilizado pelo tratamento, o TJ-UE afirmou que a designação do responsável pelo tratamento pode ser não somente explícita, mas também implícita, desde que nesta segunda hipótese se possa ter certeza do papel, da missão e das atribuições atribuídas ao órgão ou à entidade.
Para tanto, considerou que no caso em concreto, o direito belga determinou, pelo menos implicitamente, as finalidades e os meios do tratamento dos dados pessoais efetuado pelo Moniteur Belge, e por essa razão o considerou responsável pelo tratamento, pois embora os documentos sejam publicados da forma como se recepciona, só ele assume essa tarefa e, em seguida, difunde o ato ou o documento em causa.
Por conseguinte, a publicação desses atos sem possibilidade de controle ou de alteração do seu conteúdo está intrinsecamente ligada às finalidades e aos meios de tratamento determinados pelo direito nacional, e seria contrário ao objetivo do artigo 4°, ponto 7 do Regulamento Geral de Proteção de Dados da União Europeia excluir do conceito de responsável pelo tratamento o jornal oficial de um Estado?Membro.
Em segundo lugar, no que respeita a saber se um organismo como o Moniteur Belge deve ser considerado o único responsável pelo respeito ao tratamento dos dados pessoais, o Tribunal de Justiça afirmou que o tratamento confiado ao Moniteur Belge posterior ao efetuado pelo notário e pela secretaria do tribunal competente é tecnicamente diferente do realizado por essas duas entidades.
E a despeito das operações efetuadas pelo Moniteur Belge serem impostas por lei, não se pode afastar o dever de zelar pela proteção de dados, na medida em que o Regulamento Geral de Proteção de Dados da União Europeia deve também por este ser cumprido.
Além disso, o Tribunal de Justiça recorda que o artigo 4°, ponto 7, do RGPD prevê que as finalidades e os meios de um tratamento de dados pessoais podem ser determinados conjuntamente por várias pessoas enquanto responsáveis pelo tratamento.
Desta forma, no âmbito de uma cadeia de tratamentos efetuados por diferentes pessoas ou entidades, tendo por objeto os mesmos dados pode haver responsabilidade solidária entre elas, desde que uma tenha influência neste tratamento a partir das suas finalidades.
Aplicabilidade do entendimento ao contexto local
Essa interpretação suscita dúvidas em relação à sua aplicabilidade ao Brasil, na medida em que o artigo 26 [1] do RGPD utilizado como fundamento no TJ-UE não encontra regra similar na LGPD que, por sua vez, aborda apenas ação de regresso contra os demais responsáveis, na medida de sua participação no evento danoso (artigo 42, §4º).
Poderia se discutir sobre eventual denunciação à lide quando os agentes de tratamento provarem (1) que não realizaram o tratamento de dados pessoais que lhes é atribuído, mas sim um terceiro por intermédio de um data processing agreement; ou, (2) embora tenha realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; e ainda ser (3) o dano decorrente de culpa exclusiva do titular dos dados ou de terceiro.
E além da discussão sobre a responsabilidade solidária, o tema suscita outras consequências práticas: o ato jurídico e/ou o ato administrativo, por serem em tese, eivados de vício (inobservância da LGPD), seriam nulos desde a sua publicação?
Na Lei nº 8.935/94 (artigos 32 e 35) aplicada conjuntamente com a Lei nº 6.404/76 (artigo 279, parágrafo único) podemos mencionar a título exemplificativo sobre um ato de registro de um consórcio de empresas que deve ser arquivado na junta comercial dentro de 30 dias contados de sua assinatura para que a data de sua constituição retroaja, isto é, passe a produzir efeitos a partir da subscrição do documento.
Caso ultrapassado este interregno, o arquivamento na junta comercial só terá eficácia a partir do despacho que o conceder.
Mas em ambas as hipóteses a certidão do arquivamento deve ser publicada em jornal de grande circulação ou no diário oficial.
Outra hipótese
Imaginemos que tenham sido incluídos dados pessoais ou sensíveis indevidamente de um terceiro e este pleiteie a supressão, mediante uma republicação da ata que tenha não só permitido o registro deste consórcio, mas também fundamentado a participação deste em uma licitação para a concessão de uma linha de metrô.
Aqui para dificultar um pouco o problema incluímos o ato administrativo: a publicação no Diário Oficial que homologou a licitação da concessão adjudicando-a ao consórcio constituído também mencionou indevidamente o dado do terceiro que constava na certidão de arquivamento da junta comercial.
Poderíamos dizer que ambos os atos (jurídico e administrativo) seriam nulos?
A resposta nos parece negativa em ambos os casos. Sob a ótica do Direito Civil podemos compreender que o ato foi praticado em conformidade com a lei, além de ter observado as demais exigências do CC (agente capaz e objeto lícito), havendo tão somente a inclusão indevida de um dado pessoal de terceiro.
Já em relação ao ato administrativo da licitação da concessão pública, a Lei de Introdução às Normas do Direito Brasileiro em seu artigo 20 c/c o artigo 5º, da Lei de Licitações e Contratações Públicas permite uma análise mais ampla, e não estritamente a partir da mera subsunção da regra ao fato.
Impõe-se a avaliação das consequências que o ato viciado produziu e dos que serão produzidos caso venha a ser invalidado [2], o que nos levará à conclusão de que a sua manutenção na esfera jurídica é mais salutar.
[1] 1. Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo transparente as respetivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de fornecer as informações referidas nos artigos 13º e 14º, a menos e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou do Estado-Membro a que se estejam sujeitos. O acordo pode designar um ponto de contacto para os titulares dos dados.
O acordo a que se refere o nº 1 reflete devidamente as funções e relações respetivas dos responsáveis conjuntos pelo tratamento em relação aos titulares dos dados. A essência do acordo é disponibilizada ao titular dos dados.
Independentemente dos termos do acordo a que se refere o nº 1, o titular dos dados pode exercer os direitos que lhe confere o presente regulamento em relação e cada um dos responsáveis pelo tratamento.
[2] SUNDFELD, Carlos Ari. Curso de direito administrativo em ação: casos e leituras para debates. São Paulo, Editora Juspodivm, 2024. p. 235-236
Fonte: Consultor Jurídico (ConJur)