LGPD aos 5 anos: panorama, decisões e perspectivas futuras no Brasil

Introdução

Com a revolução digital, a tecnologia avançou exponencialmente, mas também surgiram preocupações sérias sobre privacidade e segurança de dados pessoais. Em face disso, o Brasil estabeleceu, em 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD). Desde a sua implementação em setembro de 2020, a LGPD provocou profundas mudanças no panorama jurídico e corporativo brasileiro.

Neste contexto, vamos detalhar aspectos cruciais da LGPD, incluindo suas obrigações e o papel fundamental do Encarregado - mais conhecido como Data Protection Officer (DPO). Além disso, abordaremos as repercussões de não aderir à lei, bem como decisões judiciais e administrativas que sublinham a sua relevância. A atuação da Autoridade Nacional de Proteção de Dados (ANPD) e as tendências futuras em termos de supervisão e regulamentação de dados no Brasil também serão discutidas.

Nosso objetivo não é abordar o tema de maneira exaustiva, mas sim destacar sua importância e como a LGPD reforça essa percepção. 

LGPD: o que você precisa saber, em essencial

A Lei Geral de Proteção de Dados Pessoais - LGPD, lei 13.709/18, foi promulgada em 14 de agosto de 2018). A seguir, alguns pontos essenciais:

Desde quando: promulgada em 2018, a LGPD tornou-se vigente em setembro de 2020.

Objetivo: A LGPD impõe regras rígidas sobre a coleta, armazenamento, tratamento e compartilhamento de dados pessoais, preservando a privacidade das pessoas naturais (titulares de dados).

Aplicabilidade: Em geral, qualquer atividade que envolva dados de pessoas físicas deve cumprir a LGPD. Aplicabilidade a organizações dos setores público e privado.

Há algumas exceções, conforme previstas no artigo 4º da lei. 

Principais Obrigações para Conformidade com a LGPD:

Implementação do Programa de Governança em Privacidade, que inclui:

• Definição de regras em normativos (políticas, procedimentos)
• Treinamentos
• Registro/documentação dos tratamentos com dados de pessoas
• Revisão de contratos e termos
• Análise de atividades com dados de pessoas, bem como enquadramento a princípios e hipóteses legais
• Due diligence de prestadores de serviço e fornecedores
• Análise de vulnerabilidades e implementação de medidas de segurança
• Gestão de riscos, com emissão de relatórios de impacto de proteção de dados
• Melhoria contínua do Programa de Governança em Privacidade
• Nomeação de encarregado pelo tratamento de dados pessoais (conhecido também como Data Protection Officer - DPO. 

O Papel do DPO (Data Protection Officer) na LGPD:

A LGPD estabelece a obrigação de nomear um DPO, sendo essencial para garantir a conformidade com a lei.

É facultativa a nomeação por pequenos negócios, conforme a Resolução 2 da Autoridade Nacional de Proteção de Dados (ANPD).

Escolha do DPO: Pode ser um empregado interno da organização ou um prestador de serviço terceirizado.

Vale destacar que ainda cabe regulamentação específica pela ANPD, mas o Ministério do Trabalho elucida também na CBO - Classificação Brasileira de Ocupações, ao inserir o DPO como sinônimo de Oficial de proteção de dados pessoais e Encarregado de proteção de dados pessoais. As atribuições também estão relacionadas à categoria de "1421 :: Gerentes administrativos, financeiros, de riscos e afins":

"1421-35 - Oficial de proteção de dados pessoais (dpo)

Encarregado de proteção de dados pessoais

Descrição Sumária

Planejam processos administrativos, financeiros, de compliance, de riscos e de proteção de dados pessoais e privacidade e de facilities management. Gerenciam equipes, prestação de serviços terceirizados, rotinas administrativas e financeiras. Administram riscos, recursos materiais e canal de denúncia. Participam da implementação do programa de compliance e/ou de governança em privacidade. Planejam e implementam atividades de manutenção e conservação do ambiente construído. Monitoram e avaliam o cumprimento das políticas do programa, normativas, código de ética, procedimentos internos e parceiros de negócios. Participam da identificação de situações de riscos e propõem ações para mitigação dos mesmos. Prestam atendimento ao cliente e/ou cooperado e/ou titular de dados pessoais".

Algumas consequências do não cumprimento da LGPD:

• Impacto na reputação da empresa
• Consequências financeiras
• Perda de oportunidades de negócio
• Impacto na competitividade  

Algumas decisões fundamentadas na LGPD

O conhecimento de decisões judiciais e administrativas anteriores é essencial para empresas e órgãos públicos, pois proporciona clareza sobre a aplicação e interpretação das leis, assegura previsibilidade de ações futuras, minimiza riscos legais, economiza recursos ao prevenir litígios desnecessários, fortalece a confiança no processo decisório e embasa estratégias jurídicas. Além disso, para órgãos públicos, garante tratamento consistente de casos, promovendo justiça e equidade. Tais decisões também refletem a evolução e desenvolvimento do direito ao longo do tempo.

Sendo assim, destacamos a seguir algumas dessas decisões. 

Decisões Administrativas Desde a Vigência da LGPD 

Primeira sanção administrativa aplicada pela ANPD

A Autoridade Nacional de Proteção de Dados (ANPD) aplicou recentemente sua primeira penalidade em razão de descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD). A empresa sancionada foi uma microempresa atuante nos setores de comunicação multimídia, VoIP, marketing e teleatendimento.

Os principais problemas apontados pela ANPD na atuação da empresa foram:

- A falta de justificativa legal para coleta de dados pessoais;

- A inexistência de registros de operações que envolvessem tais dados;

- A não apresentação do Relatório de Impacto ao órgão;

- A ausência de um encarregado formalmente designado para tratar das questões relacionadas a dados;

- E, por fim, o não atendimento às solicitações da ANPD.

A investigação teve início após uma denúncia feita em 2020, que indicava a oferta pela empresa de listas de contatos do WhatsApp para fins eleitorais na cidade de Ubatuba, em São Paulo. Em meio às suas diligências, a ANPD requisitou informações da empresa como: a identificação do responsável pelo tratamento de dados, a procedência dos dados usados para envio de mensagens, detalhes sobre o fornecedor, informações sobre como os dados eram coletados no site da empresa, entre outras questões relacionadas ao banco de dados ofertado.

Como consequência das violações identificadas, a ANPD aplicou à empresa uma advertência devido à falta de nomeação de um encarregado e também uma multa correspondente a 2% do faturamento da empresa, totalizando R$ 14.400,00, motivada pela coleta indevida de dados e pela não resposta às solicitações do órgão.

A decisão gerou certa surpresa em se ter uma microempresa sendo alvo de tal ação. Apesar do montante nominal não ser tão alto, para uma microempresa o impacto é significativo. Esse caso ressalta a imperativa necessidade de as empresas, independentemente do tamanho, investirem na conformidade com a LGPD.

Lista de processos em andamento

Em seu site, a ANPD tem atualizado uma lista de processos sancionatórios, destacando as organizações atualmente sob investigação. Com um compromisso de transparência ativa, essa lista mostra empresas e órgãos públicos cujos processos ainda estão em andamento.

Essa relação, atualizada pela Coordenação-Geral de Fiscalização (CGF), detalha o nome da entidade investigada, a conduta em questão, o setor de atuação, o estágio atual do processo e o número correspondente na ANPD.

Somente após a conclusão de cada investigação é que as informações sobre possíveis sanções serão reveladas ao público. Isso será feito se a conduta em questão for determinada como infração, mantendo-se os direitos de defesa. Este critério também se aplica ao acesso a documentos de processos sancionadores que ainda não foram decididos.

Vale destacar que, em relações de consumo, o PROCON/SP, por exemplo, também possibilita o registro de reclamações por violação de dados.

Outra métrica interessante é que o Portal ReclameAQUI teve a LGPD citada mais de 2,7 mil vezes em reclamações em 2021.  

Decisões Judiciais sobre Proteção de Dados

1. Caso da Construtora e Compartilhamento de Dados (2020 - 2021)

- Em setembro de 2020, uma construtora foi condenada sob a Lei Geral de Proteção de Dados Pessoais (LGPD) por supostamente compartilhar com outras empresas os dados de um cliente após a compra de um imóvel.

- Em 2021, o Tribunal de Justiça de São Paulo - TJSP reverteu esta decisão, citando falta de evidências e destacando que a LGPD não estava em vigor no momento da compra do imóvel em novembro de 2018.

2. Uso de Dados Sensíveis para Oferta de Serviços e Produtos (2021)

- Uma gestante recebeu mensagens de uma empresa sobre coleta de cordão umbilical após sofrer um aborto.

- O TJ/SP concedeu indenização por danos morais reconhecendo a gravidez como dado sensível.

3. Dano Moral por Não Fornecer Exames Laborais (2022)

- Uma ex-empregada buscou com a empresa o acesso a seus exames médicos laborais.

- A ex-empregadora foi condenada a pagar uma indenização de R$ 10.000 por retardar a entrega dos dados.

4. Casos Trabalhistas e Normas Internas

- Em diversos casos, os tribunais trabalhistas têm enfatizado a importância dos colaboradores estarem cientes e seguirem as normas internas das organizações em que trabalham.

- Violações dessas normas, especialmente relacionadas ao compartilhamento indevido de informações confidenciais, foram reconhecidas por muitos julgadores como faltas graves. Tais atitudes, dependendo do contexto, podem justificar o desligamento do colaborador por justa causa.

- O princípio fundamental aqui é a proteção da confidencialidade e integridade dos dados. Os colaboradores têm o dever de proteger as informações da empresa e não as compartilhar indevidamente, seja para fins pessoais ou para terceiros.

- Uma decisão particularmente notável envolveu o Tribunal Regional do Trabalho (TRT) de Campinas.

Uma correspondente bancária enviou dados pessoais de clientes (incluindo documentos, CPFs, telefones e valores de contratos de crédito consignado) para seu e-mail particular.

Ela defendeu sua ação alegando que queria verificar se estava recebendo a comissão pelas vendas de forma correta.

O empregador, entretanto, interpretou a ação como uma grave violação das normas de confidencialidade e desligou a colaboradora por indisciplina e perda de confidencialidade. Essa decisão baseou-se no art. 482, alíneas h e g, da Consolidação das Leis do Trabalho (CLT).

O TRT de Campinas confirmou o desligamento por justa causa, sustentando a visão do empregador de que a conduta da correspondente bancária foi, de fato, uma grave violação.

Essas decisões refletem o crescente reconhecimento da importância da proteção de dados e da responsabilidade dos colaboradores em respeitar as normas e diretrizes relacionadas à proteção e confidencialidade dos dados.

Ainda, sobre as decisões judiciais, vale destacar a pesquisa do Painel LGPD nos Tribunais (2021-2022):

- Em 2021, foram identificadas 274 decisões sobre proteção de dados.

- Em 2022, esse número saltou para 662 decisões.

- Incidentes de segurança e problemas com bases legais estão entre os principais motivadores dessas ações judiciais.

5. STJ: entendimento sobre dano moral 

Uma Decisão do Superior Tribunal de Justiça - STJ (2023) também foi importante, envolvendo:

- Um idoso buscou indenização após vazamento de seus dados pessoais por uma concessionária de energia.

- O STJ definiu que o simples vazamento não presume dano moral; é necessário comprovar o dano.

6. Vazamento em Plataformas de Redes Sociais (Julho de 2023)

- Sentença estipulou indenização coletiva. Ainda cabe recurso.

- Usuários podem requerer indenizações individuais, desde que demonstrados nexo causal, o impacto do vazamento em sua privacidade e prova do dano. 

O que a Autoridade Nacional de Proteção de Dados - ANPD ainda precisa regulamentar, com a finalidade de regulamentar a LGPD?  

Segundo a Agenda Regulatória da ANPD para o biênio 2023-2024, cuja elaboração levou em conta as contribuições feitas pela sociedade por meio de tomada de subsídios, um tema relevante é o tratamento de dados pessoais de crianças e adolescentes, para o qual a Autoridade já possui estudo preliminar que buscou coletar contribuições da sociedade. Observou-se, por exemplo, a necessidade de analisar os impactos de plataformas e jogos digitais disponibilizados na Internet na proteção de dados de crianças e de adolescentes.

Os itens listados abordam uma variedade de tópicos, desde direitos dos titulares de dados pessoais, até considerações sobre dados biométricos e inteligência artificial.

Com base nessa lista, eis uma breve descrição dos principais temas:

• Direitos dos titulares de dados pessoais: Precisará clarificar e delinear os direitos dos cidadãos relativamente aos seus dados pessoais.
• Comunicação de incidentes: Estabelecimento de protocolos para notificação de vazamentos ou outros incidentes relacionados à proteção de dados.
• Transferência Internacional de dados pessoais: Diretrizes para empresas e organizações que transferem dados pessoais para fora do Brasil.
• Relatório de impacto à proteção de dados pessoais: Definição de quando e como esses relatórios devem ser elaborados e apresentados.
• Encarregado de proteção de dados pessoais: Detalhes sobre o papel e responsabilidades desta figura dentro das organizações.
• Dados pessoais sensíveis: Regulamentação sobre a coleta e processamento de categorias especiais de dados, como os de organizações religiosas ou dados biométricos.
• Uso de dados pessoais para fins acadêmicos e pesquisa: Diretrizes específicas para ambientes acadêmicos e instituições de pesquisa.
• Anonimização e pseudonimização: Diretrizes sobre os métodos e práticas de anonimização e pseudonimização de dados.
• Tratamento de dados pessoais de crianças e adolescentes: Especial atenção à proteção de dados de menores de idade.
• Inteligência artificial: Como a IA se enquadra nas regulamentações de proteção de dados e quais precauções as organizações devem tomar. 

O que podemos esperar sobre a continuidade de aplicação da LGPD e respectiva fiscalização pela ANPD?

A proteção de dados e a privacidade tornaram-se temas primordiais na era digital, em que a coleta, processamento e armazenamento de dados são práticas cotidianas. No Brasil, a relevância desse tópico é ainda mais evidente dado o seu posicionamento como uma das nações mais digitalizadas do mundo. A promulgação da LGPD, que comemora seu 5º aniversário em 14 de agosto de 2023, é um marco nesse cenário, estabelecendo regras claras sobre o tratamento de dados pessoais.

A Resolução n. 4/23 da ANPD, referente à dosimetria da sanção administrativa, indica uma fiscalização mais ativa e presente por parte da Autoridade. A partir desta resolução, podemos esperar:

- Aplicação de Sanções: As organizações que não estiverem em conformidade com a LGPD poderão enfrentar penalidades após o devido processo administrativo.

- Fomento à Adequação: Empresas serão incentivadas a manter e aprimorar seus programas de conformidade, visando não apenas evitar penalidades, mas também demonstrar comprometimento com boas práticas.

- Impacto na Reputação: Qualquer penalidade imposta pela ANPD terá grande visibilidade, impactando diretamente na imagem das organizações e realçando a importância de manter práticas de proteção de dados rigorosas.

- Judicialização: Com a ampla exposição do tema na mídia, é esperado que haja um aumento na procura pelo judiciário, consolidando ainda mais os entendimentos jurisprudenciais sobre a LGPD.

Os benefícios de uma rígida regulamentação de proteção de dados são inúmeros: 

• Reconhecimento Internacional: A expectativa é que o Brasil seja visto como um país que valoriza a privacidade dos dados, atraindo investimentos e melhorando sua reputação global. A LGPD, além de reforçar o compromisso do Brasil com a privacidade, é também uma peça-chave para o país almejar uma posição na OCDE.
• Profissionalização e Especialização: A demanda pelo papel de DPO (Encarregado de Dados Pessoais) deverá crescer, incentivando a formação e especialização de profissionais nessa área em diversos segmentos.
• Empoderamento dos Cidadãos: Com a difusão e conscientização da LGPD, espera-se que os brasileiros estejam cada vez mais informados sobre seus direitos enquanto titulares de dados, incentivando práticas mais transparentes e seguras por parte das empresas.  

O marco de 5 anos da LGPD demonstra a evolução do Brasil no cenário de proteção de dados e privacidade. Com a contínua atuação da ANPD, o país caminha para um futuro em que a privacidade é respeitada e valorizada, beneficiando cidadãos e organizações.  

_________________

10ª CÂMARA DO TRT DE CAMPINAS (15ª REGIÃO). Justiça confirma demissão por uso indevido de dados de clientes. 2023. Disponível em: https://valor.globo.com/legislacao/noticia/2023/01/23/justica-confirma-demissao-por-uso-indevido-de-dados-de-clientes.ghtml.

 

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). ANPD divulga lista de processos sancionatórios. 2023. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-divulga-lista-de-processos-sancionatorios/.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). ANPD publica Agenda Regulatória 2023-2024. 2023. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-agenda-regulatoria-2023-2024.

BRASIL. Ação Civil Pública Cível. Acpciv 0733646-87.2020.8.07.0001 - Direito Do Consumidor. Ministério Publico Do Distrito Federal E Dos Territórios.

BRASIL. Apelação Cível n. 1041607-35.2021.8.26.0100. Rel. Alexandre Marcondes. J. 17/05/2022.

BRASIL. CNJ 1047347-37.2022.8.26.0100.

BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

BRASIL. Titular de dados vazados deve comprovar dano efetivo ao buscar indenização, decide Segunda Turma. 2023. Disponível em: https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2023/17032023-Titular-de-dados-vazados-deve-comprovar-dano-efetivo-ao-buscar-indenizacao--decide-Segunda-Turma.aspx.

CNN Brasil. Justiça reverte decisão e inocenta Cyrela em 1° caso da lei de proteção de dados. Disponível em: https://www.cnnbrasil.com.br/economia/justica-reverte-decisao-e-inocenta-cyrela-em-1-caso-da-lei-de-protecao-de-dados/

CNN Brasil. Justiça de MG condena Facebook em R$ 20 milhões por vazamento de dados; veja como pedir indenização. Disponível em: https://www.cnnbrasil.com.br/economia/justica-de-mg-condena-facebook-em-r-20-milhoes-por-vazamento-de-dados-veja-como-pedir-indenizacao/

GIANNINI, Alessandro (2022). Brasil está entre as nações mais digitalizadas do mundo, mostra pesquisa. Disponível em: https://veja.abril.com.br/tecnologia/brasil-esta-entre-as-nacoes-mais-digitalizadas-do-mundo-mostra-pesquisa

LGPD NEWS. Reclamações aumentam significantemente após a entrada em vigor da LGPD. 2021. Disponível em: https://lgpdnews.com/2021/01/lgpd-e-citada-27-mil-vezes-em-reclamacoes-no-portal-reclameaqui/#:~:text=Desde%20setembro%20de%202020%2C%20quando,340%20queixas%20p%C3%BAblicas%20no%20site.

MINISTÉRIO DO TRABALHO. Classificação Brasileira de Ocupações (CBO). Disponível em: http://www.mtecbo.gov.br/

PAINEL LGPD NOS TRIBUNAIS. Jurisprudência do 2º ano de vigência a Lei Geral de Proteção de Dados. 2023. Disponível em: https://painel.jusbrasil.com.br/.

PROCONSP. Espaço consumidor. s.d. Disponível em: https://www.procon.sp.gov.br/espaco-consumidor/.

TRIBUNAL DE JUSTIÇA DE MINAS GERAIS. Ações Civis Públicas. 2023. Processos n. 5127283-45.2019.8.13.0024 e 5064103-55.2019.8.13.0024.

VIAPINA, Tábata (2022). Vazamento de informações sobre gravidez gera dever de indenizar, diz TJ-SP. Disponível em:  https://www.conjur.com.br/2022-jul-21/vazamento-informacoes-gravidez-gera-dever-indenizar