PARÂMETROS DA JURISPRUDÊNCIA NA APLICAÇÃO DA LEI GERAL DE PROTEÇÃO DE DADOS E SUA IMPORTÂNCIA NA ADEQUAÇÃO DAS EMPRESAS AO NOVO REGRAMENTO.

A Lei Geral de Proteção de Dados (LGPD) alterou a natureza das relações entre os titulares dos dados pessoais e os agentes de tratamento, até então meramente fáticas, para serem encaradas como, também, jurídicas[1]. Assim, a LGPD reconheceu direitos aos titulares dos dados pessoais e impôs deveres aos agentes de tratamento dos dados pessoais.

Na medida em que que o titular dos dados pessoais, na maioria dos casos, não possui consciência tecnológica e não compreende os potenciais riscos do tratamento de dados pessoais, o objetivo da nova Lei, a partir da evolução do conceito de privacidade, associado ao direito à liberdade de expressão, foi elevar a proteção de dados pessoais para uma posição em que haja o equilíbrio entre o estado de vulnerabilidade do cidadão, frente aos agentes de tratamento (públicos ou privados).

A partir de primeiro de agosto de 2021, a LGPD passou a ser totalmente operante, com a possibilidade de aplicação das sanções administrativas previstas nos artigos 52, 53 e 54, pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD), que vão desde advertência, com prazo para adoção de medidas corretivas, a multas que podem alcançar a cifra de R$ 50.000.000,00.

Entretanto, mesmo antes das sanções na nova Lei entrarem em vigor, já havia ações judiciais em curso junto ao Poder Judiciário, fundadas na LGPD. Recentemente, a empresa JUIT, especializada no uso de ferramentas autorizadas para fazer varredura em Tribunais, divulgou a existência de 600 ações envolvendo o uso de dados pessoais pelos titulares de empresas[2].

Apesar da ANPD não ter ainda finalizado a regulamentação das sanções previstas na Lei, a análise da jurisprudência é um importante ponto de referência para orientar os agentes de tratamento de dados quanto às medidas necessárias à adequação de seu sistema de tratamento de dados pessoais.

Tendo em vista que o assunto é novo, a maior parte das demandas está ainda em primeira instância, mas recentemente o TJSP, no julgamento do recurso de apelação n. 1003122-23.2020.8.26.0157, decidiu a lide com base na Lei Geral de Proteção de Dados associada às regras de proteção do consumidor.

No caso, um consumidor adquiriu produto, através do website da empresa ré, tendo sido informado horas depois, por um desconhecido, através de Whatsapp, que seus dados pessoais estavam expostos na página eletrônica da ré.

O autor informou que tentou contatar a ré no mesmo dia, porém, sem sucesso, sendo atendido somente dias depois.

A ré, em sua defesa, alegou que o relato do autor demonstraria apenas um equívoco no sistema da empresa, que, muito embora possa ocorrer raramente, são adotados todos os cuidados necessários, de modo que os problemas são imediatamente resolvidos. A despeito de suas alegações, não apresentou provas dos cuidados adotados, mas apenas o link de acesso ao seu site, onde não se verifica nenhuma diretriz em caso de vazamento de dados, sequer indicando o nome do encarregado, conforme comanda o art. 41, da LGPD, em sua política de privacidade.

Para o Tribunal, a empresa não teria justificado adequadamente o evento descrito pelo consumidor. Assim, como o defeito na segurança do website da ré insere-se no próprio risco da atividade desenvolvida, ele concluiu que “(…) a Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018) dispõe que o operador de dados pessoais deve responder por eventual dano decorrente de falha de segurança, sem prejuízo da aplicabilidade das disposições consumeristas (…)” e condenou a empresa a indenizar o consumidor.

Neste sentido, é importante destacar que o art. 6º, inciso X da LGPD, consagrou o princípio do accountabulity, definido como sendo a “demonstração pelo agente [de tratamento] da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.”

A prática do accountability está diretamente relacionada ao grau de responsabilização do agente de tratamento de dados e possibilita até mesmo a isenção da obrigação de reparar os danos causados aos titulares de dados quando conseguir demonstrar que não violou a legislação de proteção de dados (art. 43).

Na esteira do que dispõe a LGPD, é possível encontrar decisão em que o agente de tratamento não foi responsabilizado pelo tratamento de dados pessoais.

Como exemplo, cita-se decisão proferida pela justiça do trabalho, na Ação Civil Pública n. 002.0014-30.2021.5.04.0261, movida pelo Sindicato dos Trabalhadores nas Indústrias de Alimentação de Montenegro contra a JBS.

No caso, a decisão julgou improcedentes os pedidos do sindicato relacionados à LGPD, pois considerou que a empresa logrou êxito em comprovar a adequação de seu procedimento de tratamento de dados pessoais às normas da LGPD, através da juntada aos autos do manual de privacidade, da designação do encarregado pelo tratamento de dados pessoais, da política de privacidade da empresa e da apresentação de cartilhas informativas aos funcionários, além da demonstração do uso de recursos tecnológicos compatíveis para prover a segurança da informação.

A adoção de boas práticas de aderência à Lei pela JBS constituiu o fundamento relevante da decisão, para afastar sua responsabilidade. Apesar da decisão estar sujeita a recurso, ela nos dá um norte sobre as ações do controlador e do operador de dados pessoais consideradas suficientes para minimizar e até mesmo afastar sua responsabilidade por eventuais falhas no tratamento de dados pessoais.

Embora a questão da responsabilidade civil na LGPD deva ser interpretada em cada caso concreto, junto com as normas específicas a depender da relação jurídica (consumidor, trabalhista, tributária, administrativa, etc.), da comparação das duas decisões tratadas neste artigo, em áreas distintas do direito, conclui-se que não basta aos agentes de tratamento de dados pessoais estarem adequados à LGPD, mas sim, serem capazes de comprovarem a eficácia das medidas exigidas pela Lei para a proteção dos dados pessoais e, principalmente, para correção imediata de eventuais falhas verificadas.

Muito provavelmente, estes mesmos parâmetros serão observados pela ANPD na aplicação das sanções administrativas.

Por isto, é de extrema relevância que as empresas não apenas revisem as normas e políticas de segurança da informação, a fim de dotar seu sistema de capacidade de proteção e resposta rápida à vazamentos; revisem os contratos, termos de uso, política de privacidade, a fim de verificar se contém os requisitos mínimos exigidos pela LGPD; elaborem um termo de conformidade com a LGPD para ser assinado por parceiros, fornecedores, prestadores de serviços; implementem campanhas de conscientização dos colaboradores; mas, principalmente mantenham o registro das ações, processos e políticas da empresa para adequação e aprimoramento das medidas de proteção de dados pessoais.

Flávia de Faria Horta Pluchino

[1]   TAMER, Maurício Antonio. Processo Civil e Alguns Reflexos da LGPD no Contencioso: os titulares de dados pessoais e os agentes de tratamento em compliance. In Proteção de Dados: desafios e soluções na adequação à Lei. Organiz. Renato Ópice Blum. Rio de Janeiro: Forense, 2020, p. 214.

[2] KRUSTY, Ricardo. Justiça já possui 600 decisões envolvendo a LGPD. Juristas, 06 jul. 2021. Disponível em: http://juristas.com.br/2021/07/06/justica-ja-possui-600-decisoes-envolvendo-a-lgpd/. Acesso em 23.08.2021.