Antes mesmo de ter a Lei Geral de Proteção de Dados (LGPD) em vigor, o Supremo Tribunal Federal (STF), revisando entendimentos anteriores, elevou a proteção dos dados pessoais a um patamar de garantia individual. Em 8 de maio de 2020, o plenário do STF decidiu, por 10 votos a 1, pelo reconhecimento da inconstitucionalidade da Medida Provisória 954/2020. A norma previa que as empresas de telefonia poderiam compartilhar dados de clientes com a Fundação Instituto Brasileiro de Geografia e Estatística (IBGE) para produzir estatísticas durante a pandemia da Covid-19.
A proposta da MP, afastada pelo STF, previa que esse compartilhamento de dados pessoais pelas empresas ao Estado seria feito sem qualquer controle ou autorização dos titulares dos dados. Na visão do STF, tal procedimento gera grandes riscos à liberdade individual, abrindo precedentes para a instalação de um sistema de vigilância estatal eletrônica. Assim, foi reconhecida a soberania da proteção aos dados pessoais, mesmo em situações que, em tese, seriam de interesse coletivo.
A tendência do Direito Digital e de outras áreas que tratam do uso de dados pessoais é no mesmo sentido do que ficou determinado pelo STF: em caso de dúvidas sobre a segurança dos dados pessoais e da sua forma de uso, a prática deve ser impedida. A LGPD surgiu como um marco regulatório nesse sentido, pois prevê regras claras para o tratamento de dados pessoais e as punições para quem descumprir as normas.
Considerando que a LGPD já está em vigor há algum tempo, montamos um balanço de como foram os primeiros tempos da LGPD em vigor. Veja como tem sido os primeiros dias de LGPD em vigor no Brasil!
Quais os principais objetivos da LGPD?
A Lei Geral de Proteção de Dados foi criada para ser o marco regulatório do uso dos dados pessoais. Ela é importante para o Direito pois, antes de sua promulgação, não havia uma norma expressa que indicasse princípios para o uso dos dados pessoais. Com isso, cada caso era avaliado de acordo com suas particularidades e regras gerais do Direito, causando inconsistência nas decisões a respeito do tema.
A criação da LGPD visa resolver essa lacuna legislativa, mas também adequar o mercado brasileiro às políticas internacionais de tratamento de dados. A LGPD é muito semelhante ao regime adotado pela Comunidade da União Europeia, o GDPR.
Esse espelhamento da legislação internacional não é uma coincidência, pois, ao adotar um regime jurídico semelhante aos padrões internacionais, o Brasil aumenta suas chances de atuação no mercado externo por oferecer segurança para os dados pessoais utilizados em território nacional. Importante observar, inclusive, que na decisão sobre o uso de dados de operadoras de celular pelo IBGE, o STF menciona o artigo 8º da Carta de Direitos Fundamentais da Comunidade da União Europeia, que assegura a proteção dos dados pessoais como garantia fundamental.
A elevação da proteção dos dados pessoais ao status de garantia fundamental traz mudanças significativas à forma como a questão será vista pelas autoridades e tribunais daqui em diante. A importância dada ao assunto aumenta ainda mais a necessidade de que as empresas se adaptem às regras da LGPD.
Além das adaptações ao mercado, outro ponto relevante que motivou a lei é a regulamentação da propriedade dos dados pessoais. Antes da LGPD era muito comum que as empresas se entendessem titulares dos dados pessoais em suas bases.
A comercialização do chamado mailing era prática recorrente, fazendo com que as pessoas identificadas pelos dados fossem incapazes de controlar o uso de seus dados de forma eficaz. Assim, o usuário de produtos e serviços ficava à mercê da boa-fé e da cautela das empresas, correndo riscos de vazamentos, fraudes e uso de seus dados para finalidades diversas.
Quando a LGPD entrou em vigor?
Por ser uma lei nova, com mudanças substanciais, foi determinado, por diversas vezes, o adiamento da LGPD. A lei está em vigor desde 18 de setembro de 2020, mas as multas administrativas só serão aplicáveis a partir de 2021.
Na prática, a LGPD já faz parte do ordenamento jurídico brasileiro e tem sido usada pelos juízes para decisões que envolvem uso de dados pessoais. Por isso, já existem notícias de várias ações indenizatórias por vazamento de dados pessoais, que devem se tornar uma questão recorrente no Judiciário nos próximos anos.
Quem será responsável por penalizar as empresas?
A penalização por descumprimento das normas da LGPD envolve tanto a responsabilidade civil, reconhecida em processos judiciais, quanto a administrativa, reconhecida pelas entidades de fiscalização. É possível, inclusive, que um mesmo caso gere punição em mais de uma esfera.
Sob o ponto de vista civil, a empresa que enfrenta problemas com a LGPD pode ser responsabilizada diretamente perante o titular dos dados pessoais, com base no Direito Civil ou do Consumidor. Também pode ser corresponsável e condenada em conjunto por atos de outras empresas que atuam juntamente consigo.
Outra possibilidade é a penalização perante um contratante se ela for a responsável pelos prejuízos causados por uma falha na segurança ou vazamento de dados. Importante lembrar também que a lei prevê a possibilidade de que o Ministério Público, órgãos de defesa do consumidor como o PROCON e até mesmo ONGs entrem com pedidos de indenização em ações coletivas.
Sob o ponto de vista do Direito Administrativo, a LGPD é de competência da Autoridade Nacional de Proteção de Dados (ANPD). Os primeiros membros da diretoria da ANPD nomeados pelo Governo Federal já foram confirmados pelo Senado, então a tendência é que a Autoridade esteja em plena operação no momento em que as multas puderem ser aplicadas, em 1º de agosto de 2021.
Além da fiscalização e da penalização aplicada pela própria ANPD, é importante lembrar que, no âmbito administrativo, todos os órgãos regulatórios e de fiscalização podem se embasar na LGPD ao apurar irregularidades.
Assim, na prática, até mesmo a fiscalização trabalhista pode aplicar multas em razão de violações à proteção de dados se tiver relação com os direitos do trabalhador. Isso também vale para outras agências reguladoras, para o PROCON e para órgãos de classe.
Qual o balanço geral dos primeiros dias da lei em vigor?
O primeiro caso conhecido do uso da LGPD para uma decisão judicial aconteceu em ação indenizatória proposta contra a empresa Cyrela, que foi condenada pela 13ª Vara Cível de São Paulo. O processo foi movido por um consumidor, que pediu indenização pelo compartilhamento indevido de seus dados pessoais.
O caso que motivou a condenação é uma situação clássica, que foi prática comum das empresas por muitos anos: ao adquirir um imóvel da Cyrela, os clientes fazem um cadastro, com dados pessoais e informações de contato. Ocorre que, mesmo sem a autorização do cliente, a empresa fornecia os dados de contato a terceiros, para venda de produtos e serviços, como a decoração do apartamento recém-adquirido.
Por causa de tal prática, a empresa foi condenada a pagar uma indenização de R$ 10.000, com acréscimo de R$ 300 a cada novo contato recebido pelo cliente. É importante ressaltar, aqui, que se trata de uma condenação individual, perante o consumidor. Os valores de multas administrativas e ações coletivas tendem a ser muito maiores que isso, podendo chegar, no caso das penalidades aplicadas pela ANPD, a R$ 50 milhões.
Assim que a LGPD entrou em vigor, o Ministério Público do Distrito Federal e Territórios ajuizou uma ação civil pública para responsabilizar uma empresa sediada em Belo Horizonte/MG. A ação discute a comercialização de dados de contato pela empresa, prática que antes era comum e não continha proibição expressa em lei.
O MP pretende que a empresa seja condenada a se abster de divulgar os dados pessoais que detém, seja de forma paga ou gratuita. A ação pede, em liminar, o congelamento do domínio que divulga a comercialização dos dados até a conclusão da ação.
Em outra demanda sobre venda de dados, a 17ª Vara Cível de Brasília determinou que o Mercado Livre tire do ar anúncio que oferece um banco de dados e cadastro de pessoas físicas. A liminar também determinou que a empresa vendedora, Sidnei Sassi, se abstenha de fazer novas vendas, sob pena de multa de R$ 2.000 para cada nova operação.
Outra discussão que está ganhando cada vez mais relevância por causa da LGPD é o uso de identificações biométricas, como o reconhecimento facial. Pela LGPD, qualquer dado capaz de identificar uma pessoa de forma isolada é protegido.
Por isso, quem coleta, processa e utiliza as impressões digitais ou imagem do rosto de pessoas também será responsabilizado por falhas, além de ter o dever de demonstrar que o uso das informações é necessário. Levando tais questões em consideração, a Defensoria Pública de São Paulo ajuizou ação contra o Metrô de São Paulo para que a empresa informe como funcionará sua política de uso de câmeras com reconhecimento facial. A ideia é que o sistema só possa ser implementado após ampla discussão e divulgação, pelo metrô, da necessidade do sistema e forma de uso e proteção dos dados pessoais.
Um estudante também ajuizou uma demanda na 18ª Vara Cível de Recife para discutir o reconhecimento facial. O autor da ação não teve o direito de fazer um cartão de transporte sem fornecer identificação facial. O usuário ficou incomodado com a falta de transparência da política de dados do bilhete VEM Estudante e está questionando em juízo o dever de fornecer os dados.
Diante de tantas ações e diversidade de discussões, é certo que os primeiros dias de LGPD em vigor foram muito movimentados. A tendência é que surjam cada vez mais questões jurídicas em torno da nova lei, reforçando a relevância do tema.
Como as multas estão sendo aplicadas?
Como as punições específicas da LGPD só entram em vigor em 2021, atualmente só estão sendo punidos aqueles que são acionados judicialmente. A Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD) criou um portal de violações para que todos possam acompanhar o crescimento das medidas que visam punir as empresas em casos de violação à LGPD.
Cumpre salientar que, no âmbito da União Europeia, o GDPR já gerou mais de 700 multas. Assim, a tendência é que a legislação brasileira caminhe para o mesmo cenário. Até que as empresas se conscientizem e o mercado se adapte às novidades, a probabilidade de punições frequentes é bem alta.
Como se policiar em relação à LGPD?
As empresas que ainda não estão adaptadas às normas da LGPD já estão atrasadas. É fundamental fazer uma série de procedimentos e revisões internas, visando criar e ajustar políticas para seguir a LGPD. A lei de proteção de dados deve fazer parte das políticas de compliance na empresa, de modo a evitar riscos jurídicos significativos.
Para assegurar a conformidade com a LGPD, é importante contar com uma consultoria especializada em advocacia empresarial que auxilie a empresa com os seguintes passos na implementação da LGPD:
● mapeamento do uso de dados na empresa, contendo todos os fluxos em que dados pessoais são coletados, manipulados, armazenados e compartilhados, tanto no meio digital como em papel;
● análise de pontos para melhoria, identificação de falhas e solução de problemas em processos internos;
● criação de política de tratamento de dados para reduzir os riscos empresariais;
● adoção do registro de operações de tratamento de dados, com criação de políticas para armazenamento dos registros;
● revisão da segurança em todos os locais físicos e digitais de armazenamento de dados, com implementação de boas práticas em segurança de dados;
● revisão de todos os contratos com fornecedores, clientes, empregados e parceiros para que constem informações claras sobre a política de dados da empresa e os deveres de cada parte e para trazer mais segurança contratual;
● eleição do encarregado pelo tratamento de dados pessoais, conforme previsto pela LGPD, também conhecido como Data Protection Officer ou DPO;
● criação de processos para monitoramento e auditoria de privacidade de dados;
● elaboração de relatórios de impacto à proteção de dados pessoais;
● desenvolvimento de plano de treinamento e comunicação com os titulares de dados, com política clara para atendimento às solicitações dos usuários;
● criação de planos para contingências e resposta a incidentes com violação de dados pessoais;
● treinamento e capacitação de todos os funcionários e parceiros para conscientização das boas práticas de segurança e procedimentos obrigatórios para os dados pessoais.
A LGPD em vigor já deu indícios de que as empresas terão que prestar cada vez mais atenção às suas políticas de tratamento de dados. Procurar especialistas no assunto para assessoria jurídica é muito importante para prevenir situações que podem sair do controle. As chances de enfrentar litígios, penalidades e prejuízos são relevantes. Por isso, adaptar-se às novas diretrizes é crucial para quem quer evitar riscos jurídicos.
Nossa equipe está à disposição para auxiliar em caso de dúvidas em relação a aplicabilidade e adaptações necessárias à LGPD.