Notícias
17 de Setembro de 2020
Artigo – Estadão - O potencial litigioso da LGPD – Por Evelyn Weck
Contrariando as expectativas daqueles que acreditavam que a Lei 13 709/2018 (LGPD) teria vigência a partir de janeiro de 2021, o atual cenário indica que a entrada em vigor acontecerá nos próximos dias. Do ponto de vista do titular dos dados pessoais, a notícia é motivo de comemoração, pois estarão protegidos contra eventuais tratamentos ilícitos pelos Controladores e incidentes de vazamento de dados. Sob a ótica das empresas (que realizam, cotidianamente, operações que se enquadram no conceito legal de tratamento de dados pessoais) os reflexos do novo marco regulatório são analisados com preocupação.
Estar em compliance com a LGPD evita a aplicação das penalidades administrativas previstas em Lei. Vale destacar que, caso constatada alguma ilegalidade, ou inadequação, no tratamento de dados por uma determinada organização, a Lei prevê, dentre outras medidas, a aplicação de multa de até 2% do faturamento anual, limitada ao valor de R$ 50.000.000,00, a cada infração cometida (art. 52). Além disso, seguindo a tendência mundial de conscientização a respeito dos direitos à privacidade e à autodeterminação informativa, as organizações que incorporarem aos seus valores a proteção e o uso adequado dos dados de terceiros, terão um ganho reputacional que poderá ser um diferencial competitivo e de posicionamento no mercado.
Nesse contexto, grande parte das organizações consideram prioritário o processo de adequação à legislação de proteção de dados, com a implementação de políticas de segurança da informação, de modo a proteger os seus bancos de dados e resguardar os direitos dos titulares. Outras empresas, amparadas no fato de que as sanções poderão ser aplicadas, pela ANPD, somente a partir de 1º de agosto de 2021, desaceleraram o processo de conformidade. Em muitos casos, tal opção decorreu da falta de recursos, devido à crise gerada pela COVID-19, o que levou muitas organizações a se concentrarem, basicamente, na continuidade da atividade econômica.
O que as organizações que adiaram o seu processo de adequação regulatória desconsideram, porém, é que eventual tratamento indevido de dados pessoais e ocorrências de incidentes de vazamento de dados podem resultar, também, no ajuizamento de ações judiciais para a reparação dos danos. À luz do art. 22 da LGPD “A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva”.
Considerando a hiperlitigiosidade do Brasil e a cultura de reparação de danos, não é sem razão o prognóstico da formação de um contencioso de massa, com base na LGPG, a exemplo do que ocorreu ao longo dos 30 anos de vigência do CDC (diplomas que, em certa medida, se complementam e empoderam o consumidor).
No Relatório Justiça em Números 2020, elaborado pelo Conselho Nacional de Justiça (CNJ), consignou-se que, em 2019 houve um aumento de 4,3% de novas demandas, em relação ao ano anterior (p.52).
Antes mesmo da entrada em vigor da LGPD, já existem demandas judicias, voltadas à proteção de dados pessoais.
O Ministério Público adota uma postura rígida de defesa aos direitos dos titulares de dados pessoais, ainda que o fundamento legal seja nas normas protetivas do Código de Defesa do Consumidor. Recentemente, o Ministério Público do Distrito Federal e Territórios (MPDFT) instituiu a Unidade Especial de Proteção de Dados Pessoais e Inteligência Artificial (instituída pela Portaria Normativa PGJ nº 539, de 12 de abril de 2018), que já instaurou inquéritos contra empresas que teriam violado as regras da LGPD e ajuizou Ação Civil Pública em face da empresa Telefônica Brasil S/A, postulando a suspensão da comercialização do produto Mídia Geolocalizada da plataforma Vivo Ads.
O Superior Tribunal de Justiça, de modo precursor, no julgamento do Recurso Especial n.º 1.758.799/MG, de Relatoria da Ministra Nancy Andrighi, decidiu que o tratamento irregular de dados pessoais configura dano moral in re ipsa. Os itens da ementa, que evidenciam o racional que deu suporte à decisão, são os seguintes: “RECURSO ESPECIAL. FUNDAMENTO NÃO IMPUGNADO. SÚM. 283/STF. AÇÃO DE COMPENSAÇÃO DE DANO MORAL. BANCO DE DADOS. COMPARTILHAMENTO DE INFORMAÇÕES PESSOAIS. DEVER DE INFORMAÇÃO. VIOLAÇÃO. DANO MORAL IN RE IPSA. JULGAMENTO: CPC/15. (…) 6. O consumidor tem o direito de tomar conhecimento de que informações a seu respeito estão sendo arquivadas/comercializadas por terceiro, sem a sua autorização, porque desse direito decorrem outros dois que lhe são assegurados pelo ordenamento jurídico: o direito de acesso aos dados armazenados e o direito à retificação das informações incorretas.7. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do consumidor – dentre os quais se inclui o dever de informar – faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade. 8. Em se tratando de compartilhamento das informações do consumidor pelos bancos de dados, prática essa autorizada pela Lei 12.414/2011 em seus arts. 4º, III, e 9º, deve ser observado o disposto no art.5º, V, da Lei 12.414/2011, o qual prevê o direito do cadastrado ser informado previamente sobre a identidade do gestor e sobre o armazenamento e o objetivo do tratamento dos dados pessoais 9. O fato, por si só, de se tratarem de dados usualmente fornecidos pelos próprios consumidores quando da realização de qualquer compra no comércio, não afasta a responsabilidade do gestor do banco de dados, na medida em que, quando o consumidor o faz não está, implícita e automaticamente, autorizando o comerciante a divulgá-los no mercado; está apenas cumprindo as condições necessárias à concretização do respectivo negócio jurídico entabulado apenas entre as duas partes, confiando ao fornecedor a proteção de suas informações pessoais. 10. Do mesmo modo, o fato de alguém publicar em rede social uma informação de caráter pessoal não implica o consentimento, aos usuários que acessam o conteúdo, de utilização de seus dados para qualquer outra finalidade, ainda mais com fins lucrativos.11. Hipótese em que se configura o dano moral in re ipsa”.
Considerado um marco histórico para o direito fundamental à privacidade no Brasil, houve destaque midiático para o julgamento realizado pelo Supremo Tribunal Federal de cinco Ações Diretas de Inconstitucionalidade, propostas pelo Conselho Federal da Ordem dos Advogados do Brasil – OAB (ADI 6387), pelo Partido da Social Democracia Brasileira – PSDB (ADI 6388), pelo Partido Socialista Brasileiro – PSB (ADI 6389), pelo Partido Socialismo e Liberdade – PSOL (ADI 6390) e pelo Partido Comunista do Brasil (ADI 6393). O Plenário do STF, por maioria de votos, confirmou a liminar concedida pela Relatora, Ministra Rosa Weber, no sentido de suspender a eficácia da Medida Provisória 954/2020, que prevê o compartilhamento de dados de usuários por prestadoras de serviços de telecomunicações com o Instituto Brasileiro de Geografia e Estatística (IBGE), para dar suporte à produção estatística oficial durante a pandemia da COVID-19.
No dia 23 de julho de 2020, o Tribunal de Justiça de São Paulo comunicou a disponibilização no seu sistema informatizado oficial de assuntos processuais os seguintes temas: 50297 – Proteção de dados pessoais, subnível da categoria Direito Civil e 50296 – Proteção de dados pessoais, pertencente à família Direito Administrativo e outras matérias de Direito Público. A ação permitirá uma métrica da quantidade de ações aforadas antes e após o início da vigência da LGPD. Além disso, o Tribunal lançou o hotsite da LGPD, desenvolvido pela Secretaria da Tecnologia da Informação (STI) e Secretaria da Presidência (SPr), para sanar eventuais dúvidas.
O CNJ, a sua vez, no dia 20/08/2020, editou a Recomendação 73/2020, por meio da qual estabeleceu que os órgãos do Poder Judiciário (com exceção do Supremo Tribunal Federal) adotem medidas destinadas a instituir um padrão nacional de proteção de dados pessoais existentes nas suas bases. Cada Tribunal deverá: “constituir Grupo de Trabalho para estudo e identificação das medidas necessárias à implementação da Lei Geral de Proteção de Dados no âmbito do respectivo tribunal, cujo relatório final subsidiará o Conselho Nacional de Justiça na elaboração de uma política nacional”.
Com a perspectiva de elevado índice de litigiosidade com fundamento nas normas contidas na LGPD, em suas defesas, as empresas precisarão demonstrar que adotaram todas as medidas necessárias (dentro do que seria razoável exigir em relação a critérios objetivos de tempo, custo e tecnologia), para ajustarem o máximo possível suas práticas aos ditames da nova legislação. Recomenda-se especial atenção quanto ao registro das atividades de tratamento de dados pessoais realizadas (art. 37 da LGPD), para subsidiá-las como meio de prova. Em última análise, estar em compliance com a LGPD pode determinar o resultado de demandas judiciais (individuais e coletivas) envolvendo a temática dos dados pessoais com impacto direito nos números do contencioso das empresas.
*Evelyn Weck, sócia da área de Telecom do escritório Wambier, Yamasaki, Bevervanço e Lobo Advogados
Estar em compliance com a LGPD evita a aplicação das penalidades administrativas previstas em Lei. Vale destacar que, caso constatada alguma ilegalidade, ou inadequação, no tratamento de dados por uma determinada organização, a Lei prevê, dentre outras medidas, a aplicação de multa de até 2% do faturamento anual, limitada ao valor de R$ 50.000.000,00, a cada infração cometida (art. 52). Além disso, seguindo a tendência mundial de conscientização a respeito dos direitos à privacidade e à autodeterminação informativa, as organizações que incorporarem aos seus valores a proteção e o uso adequado dos dados de terceiros, terão um ganho reputacional que poderá ser um diferencial competitivo e de posicionamento no mercado.
Nesse contexto, grande parte das organizações consideram prioritário o processo de adequação à legislação de proteção de dados, com a implementação de políticas de segurança da informação, de modo a proteger os seus bancos de dados e resguardar os direitos dos titulares. Outras empresas, amparadas no fato de que as sanções poderão ser aplicadas, pela ANPD, somente a partir de 1º de agosto de 2021, desaceleraram o processo de conformidade. Em muitos casos, tal opção decorreu da falta de recursos, devido à crise gerada pela COVID-19, o que levou muitas organizações a se concentrarem, basicamente, na continuidade da atividade econômica.
O que as organizações que adiaram o seu processo de adequação regulatória desconsideram, porém, é que eventual tratamento indevido de dados pessoais e ocorrências de incidentes de vazamento de dados podem resultar, também, no ajuizamento de ações judiciais para a reparação dos danos. À luz do art. 22 da LGPD “A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva”.
Considerando a hiperlitigiosidade do Brasil e a cultura de reparação de danos, não é sem razão o prognóstico da formação de um contencioso de massa, com base na LGPG, a exemplo do que ocorreu ao longo dos 30 anos de vigência do CDC (diplomas que, em certa medida, se complementam e empoderam o consumidor).
No Relatório Justiça em Números 2020, elaborado pelo Conselho Nacional de Justiça (CNJ), consignou-se que, em 2019 houve um aumento de 4,3% de novas demandas, em relação ao ano anterior (p.52).
Antes mesmo da entrada em vigor da LGPD, já existem demandas judicias, voltadas à proteção de dados pessoais.
O Ministério Público adota uma postura rígida de defesa aos direitos dos titulares de dados pessoais, ainda que o fundamento legal seja nas normas protetivas do Código de Defesa do Consumidor. Recentemente, o Ministério Público do Distrito Federal e Territórios (MPDFT) instituiu a Unidade Especial de Proteção de Dados Pessoais e Inteligência Artificial (instituída pela Portaria Normativa PGJ nº 539, de 12 de abril de 2018), que já instaurou inquéritos contra empresas que teriam violado as regras da LGPD e ajuizou Ação Civil Pública em face da empresa Telefônica Brasil S/A, postulando a suspensão da comercialização do produto Mídia Geolocalizada da plataforma Vivo Ads.
O Superior Tribunal de Justiça, de modo precursor, no julgamento do Recurso Especial n.º 1.758.799/MG, de Relatoria da Ministra Nancy Andrighi, decidiu que o tratamento irregular de dados pessoais configura dano moral in re ipsa. Os itens da ementa, que evidenciam o racional que deu suporte à decisão, são os seguintes: “RECURSO ESPECIAL. FUNDAMENTO NÃO IMPUGNADO. SÚM. 283/STF. AÇÃO DE COMPENSAÇÃO DE DANO MORAL. BANCO DE DADOS. COMPARTILHAMENTO DE INFORMAÇÕES PESSOAIS. DEVER DE INFORMAÇÃO. VIOLAÇÃO. DANO MORAL IN RE IPSA. JULGAMENTO: CPC/15. (…) 6. O consumidor tem o direito de tomar conhecimento de que informações a seu respeito estão sendo arquivadas/comercializadas por terceiro, sem a sua autorização, porque desse direito decorrem outros dois que lhe são assegurados pelo ordenamento jurídico: o direito de acesso aos dados armazenados e o direito à retificação das informações incorretas.7. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do consumidor – dentre os quais se inclui o dever de informar – faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade. 8. Em se tratando de compartilhamento das informações do consumidor pelos bancos de dados, prática essa autorizada pela Lei 12.414/2011 em seus arts. 4º, III, e 9º, deve ser observado o disposto no art.5º, V, da Lei 12.414/2011, o qual prevê o direito do cadastrado ser informado previamente sobre a identidade do gestor e sobre o armazenamento e o objetivo do tratamento dos dados pessoais 9. O fato, por si só, de se tratarem de dados usualmente fornecidos pelos próprios consumidores quando da realização de qualquer compra no comércio, não afasta a responsabilidade do gestor do banco de dados, na medida em que, quando o consumidor o faz não está, implícita e automaticamente, autorizando o comerciante a divulgá-los no mercado; está apenas cumprindo as condições necessárias à concretização do respectivo negócio jurídico entabulado apenas entre as duas partes, confiando ao fornecedor a proteção de suas informações pessoais. 10. Do mesmo modo, o fato de alguém publicar em rede social uma informação de caráter pessoal não implica o consentimento, aos usuários que acessam o conteúdo, de utilização de seus dados para qualquer outra finalidade, ainda mais com fins lucrativos.11. Hipótese em que se configura o dano moral in re ipsa”.
Considerado um marco histórico para o direito fundamental à privacidade no Brasil, houve destaque midiático para o julgamento realizado pelo Supremo Tribunal Federal de cinco Ações Diretas de Inconstitucionalidade, propostas pelo Conselho Federal da Ordem dos Advogados do Brasil – OAB (ADI 6387), pelo Partido da Social Democracia Brasileira – PSDB (ADI 6388), pelo Partido Socialista Brasileiro – PSB (ADI 6389), pelo Partido Socialismo e Liberdade – PSOL (ADI 6390) e pelo Partido Comunista do Brasil (ADI 6393). O Plenário do STF, por maioria de votos, confirmou a liminar concedida pela Relatora, Ministra Rosa Weber, no sentido de suspender a eficácia da Medida Provisória 954/2020, que prevê o compartilhamento de dados de usuários por prestadoras de serviços de telecomunicações com o Instituto Brasileiro de Geografia e Estatística (IBGE), para dar suporte à produção estatística oficial durante a pandemia da COVID-19.
No dia 23 de julho de 2020, o Tribunal de Justiça de São Paulo comunicou a disponibilização no seu sistema informatizado oficial de assuntos processuais os seguintes temas: 50297 – Proteção de dados pessoais, subnível da categoria Direito Civil e 50296 – Proteção de dados pessoais, pertencente à família Direito Administrativo e outras matérias de Direito Público. A ação permitirá uma métrica da quantidade de ações aforadas antes e após o início da vigência da LGPD. Além disso, o Tribunal lançou o hotsite da LGPD, desenvolvido pela Secretaria da Tecnologia da Informação (STI) e Secretaria da Presidência (SPr), para sanar eventuais dúvidas.
O CNJ, a sua vez, no dia 20/08/2020, editou a Recomendação 73/2020, por meio da qual estabeleceu que os órgãos do Poder Judiciário (com exceção do Supremo Tribunal Federal) adotem medidas destinadas a instituir um padrão nacional de proteção de dados pessoais existentes nas suas bases. Cada Tribunal deverá: “constituir Grupo de Trabalho para estudo e identificação das medidas necessárias à implementação da Lei Geral de Proteção de Dados no âmbito do respectivo tribunal, cujo relatório final subsidiará o Conselho Nacional de Justiça na elaboração de uma política nacional”.
Com a perspectiva de elevado índice de litigiosidade com fundamento nas normas contidas na LGPD, em suas defesas, as empresas precisarão demonstrar que adotaram todas as medidas necessárias (dentro do que seria razoável exigir em relação a critérios objetivos de tempo, custo e tecnologia), para ajustarem o máximo possível suas práticas aos ditames da nova legislação. Recomenda-se especial atenção quanto ao registro das atividades de tratamento de dados pessoais realizadas (art. 37 da LGPD), para subsidiá-las como meio de prova. Em última análise, estar em compliance com a LGPD pode determinar o resultado de demandas judiciais (individuais e coletivas) envolvendo a temática dos dados pessoais com impacto direito nos números do contencioso das empresas.
*Evelyn Weck, sócia da área de Telecom do escritório Wambier, Yamasaki, Bevervanço e Lobo Advogados