A LGPD já pegou - Mesmo sem a possibilidade de aplicações sanções, empresas são condenadas com base na lei 13.709/18
A adoção de tais medidas, apesar de reduzir riscos de violação aos direitos dos titulares, não garantirá que a empresa estará resguardada de eventuais sanções administrativas da Autoridade Nacional de Proteção de Dados (ANPD).
terça-feira, 27 de outubro de 2020
Atualizado às 09:30
Apenas uma semana após a entrada em vigor da lei 13.709/18 (Lei Geral de Proteção de Dados Pessoais - LGPD), o Tribunal de Justiça do Estado de São Paulo - TJ/SP aplicou a primeira sanção utilizando-se como base as disposições contidas na LGPD. Na ocasião, a incorporadora e construtora de imóveis Cyrela foi condenada ao pagamento de indenização, a título de dano moral, no valor de R$ 10.000,00 (dez mil reais), além de honorários advocatícios, custas e despesas processuais com base no suposto tratamento irregular de dados pessoais. Portanto, mesmo que as sanções administrativas previstas na LGPD, especificamente em seu art. 52, só entrem em vigor dia 1º de agosto de 2021, a tendência será a judicialização dos casos envolvendo o tratamento de dados pessoais, além de uma atuação proativa e efetiva de órgãos de controle, como é o caso do Procon, órgãos de defesa do consumidor, bem como do Ministério Público.
Apesar da repercussão do caso julgado pelo TJ/SP, muito provavelmente pela novidade decorrente da vindoura legislação, a jurisprudência pátria já condenava empresas pelo tratamento irregular de dados pessoais (que inclui a coleta, o armazenamento e a transferência a terceiros). Isso porque, mesmo antes da entrada em vigor da LGPD, leis setoriais já tutelavam direta ou indiretamente o direito à proteção de dados pessoais. A título de exemplo, tem-se o Marco Civil da Internet (MCI), o Código de Defesa do Consumidor (CDC), a Lei do Cadastro Positivo (LCP) e demais atos normativos do Poder Executivo, como as resoluções do Banco Central sobre políticas de segurança cibernética.
Dentre os julgamentos prévios à LGPD, o Superior Tribunal de Justiça (STJ) entendeu inclusive pela presunção do dano moral nos casos de tratamento irregular de dados pessoais a luz do CDC e da LCP (REsp 1.758.799, Rel. Nancy Andrighi, Julg. 12/11/19).
Isso quer dizer que, apenas pela verificação do tratamento irregular será a empresa condenada, sem a necessidade de comprovação do dado moral. No caso, a empresa PROCOB S/A foi condenada no valor de R$ 8.000,00 (oito mil reais). Para os Ministros, a empresa não cumpriu com "o dever de informação, que tem como uma de suas vertentes o dever de comunicar por escrito ao consumidor a abertura de cadastro, ficha, registro e dados pessoais e de consumo, quando não solicitada por ele, consoante determina o § 2º do art. 43 do CDC".
O entendimento firmado pelo STJ foi similar ao aplicado pelo TJ/SP no caso Cyrela. A empresa imobiliária, após ter firmado contrato de compra e venda de imóvel, compartilhou dados pessoais do titular, tais como nome, endereço e profissão do comprador para terceiros. Estes dados, em uma outra ocasião, foram utilizados por instituições financeiras, consórcios e empresas de arquitetura para oferecer serviços ao cliente da Cyrela. Em virtude dessa situação, entendeu o TJ/SP pela responsabilização da imobiliária mesmo que esta não tenha agido com culpa, como disciplina a LGPD e o CDC (arts. 14, caput, CDC e 45, LGPD).
Além das condenações impostas pelo Poder Judiciário, os órgãos de defesa do consumidor e o Ministério Público também atuam ativamente em casos envolvendo o tratamento irregular de dados pessoais. O Departamento de Proteção e Defesa do Consumidor do Ministério da Justiça, por exemplo, aplicou uma sanção administrativa no valor de R$ 6.600.000,00 (seis milhões e seiscentos mil reais) ao Facebook pelo compartilhamento indevido de dados dos usuários da plataforma. Já o Ministério Público do Distrito Federal e Territórios conta com uma Unidade Especial de Proteção de Dados e Inteligência Artificial, sendo o primeiro órgão a propor uma Ação Civil Pública com fundamento na violação à LGPD.
É inegável, entretanto, que muitas empresas não estavam preparadas para a entrada em vigor da legislação. Com as idas e vindas do Congresso Nacional e do Palácio do Planto sobre o tema, muitas companhias acreditavam que teriam tempo para se adequar ao tema, o que não ocorreu. Uma pesquisa divulgada pela Akamai Technologies em agosto de 2020, por exemplo, indica que 64% das empresas brasileiras não estão em conformidade com a LGPD1.
Ocorre que, diante do cenário exposto, as empresas que não regularizarem o tratamento dos dados pessoais coletados sofrerão grandes riscos de serem investigadas, e, em certos casos, condenadas ao pagamento de dados morais e/ou a sanções administrativas. Assim, para as empresas que ainda não iniciaram o processo de adequação, aconselha-se a adoção de um plano prioritário para mitigar os riscos de condenação judicial, o qual deverá incluir, a depender do contexto:
I. Indicação do encarregado de proteção de dados pessoais (art. 41);
II. Mapeamento do fluxo de dados;
III. Avaliação de risco;
IV. Implementação de medidas técnicas e administrativas para garantir a segurança dos dados pessoais (art. 46);
V. Identificação de terceiros com os quais dados pessoais são compartilhados e delimitação do papel e das obrigações dos envolvidos; e
VI. Gerenciamento dos direitos dos titulares (art. 18).
A adoção de tais medidas, apesar de reduzir riscos de violação aos direitos dos titulares, não garantirá que a empresa estará resguardada de eventuais sanções administrativas da Autoridade Nacional de Proteção de Dados (ANPD); sanções estas que podem chegar à multa de R$ 50.000.000,00 (cinquenta milhões) por infração (art. 52, II). Portanto, deverão as empresas implementar um programa de governança de privacidade e proteção de dados pessoais, o qual avaliará com profundidades mecanismos, procedimentos e documentos da empresa e os adequará aos requisitos da LGPD e das demais normas que regulem o tema.
Mesmo que a empresa venha a sofrer um vazamento de dados, a implementação do programa de governança poderá atenuar consideravelmente possíveis sanções administrativas, já que será possível comprovar a adoção reiterada e demonstrada de procedimentos internos voltados ao tratamento seguro e adequado de dados (art. 52, §1º).
Portanto, o fato das sanções previstas no art. 52 da LGPD entrarem em vigor apenas 1º de agosto de 2021 não deve servir de pretexto para as empresas deixem de se adequar o quanto antes, tendo em vista a possibilidade de condenação judicial. A grande pergunta que fica, a partir daí é: como as incertezas geradas pelo açodado Processo Legislativo pode influenciar os atores interessados?
_________
_________
*Luiz Guilherme Ros é sócio do escritório Silva Matos Advogados. Mestrando em Direito Constitucional. Pós-graduado em Direito Penal Econômico. Membro da Comissão de Direito Regulatório e da Comissão de Direito de Defesa da Concorrência da OAB/DF.
*Felipe Rocha da Silva é colaborador do escritório Silva Matos Advogados e graduando em Direito na Universidade de Brasília (UnB).