LGPD: condenações judiciais já são aplicadas em diversas esferas do Direito

Embora vigente desde setembro de 2020, a Lei Geral de Proteção de Dados Pessoais (LGPD) teve seus dispositivos sancionatórios prorrogados por 11 meses (portanto, valendo a partir de 1º de agosto), conforme estabelecido pela Lei nº 14.010/2020, em razão da pandemia do novo coronavírus. A extensão do prazo foi imprescindível para que as organizações se adaptassem à nova realidade.

A lei tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, e, por consequência, estabelecer uma série de obrigações às empresas para um tratamento de dados adequado, com a adoção de medidas e mecanismos de controle para segurança e proteção dos dados pessoais tratados.

Entre as penalidades administrativas previstas no artigo 52 da LGPD estão: advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração; publicização da infração após devidamente apurada e confirmada sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização; eliminação dos dados pessoais a que se refere a infração; suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador e proibição parcial ou total do exercício de atividades de tratamento de dados.

Com isso, todas as organizações que não estiverem em conformidade ou não possuírem um programa de privacidade e proteção de dados que garanta a segurança dos dados pessoais dos titulares tratados poderão ser penalizadas pela Autoridade Nacional de Proteção de Dados (ANPD).  

Contudo, o próprio texto da LGPD, em seus artigos 18 e 45, estabelece que a competência para punir casos do tipo não será exclusiva da ANPD, visto que as violações de direitos dos titulares nas relações de consumo continuam sujeitas à legislação pertinente e que o titular dos dados pode exercer seus direitos nos órgãos de proteção do consumidor.

Dessa forma, além da ANPD como agente fiscalizador, Departamento Estadual de Proteção e Defesa do Consumidor (Procon), Senacon e Ministério Público também são competentes para fiscalizar as relações entre o titular dos dados e os agentes de tratamento.

O Procon-SP, por exemplo, já vem atuando como fiscal na área de privacidade e proteção de dados, notificando grandes empresas, de diversos ramos de negócios, para esclarecerem a legalidade de seus tratamentos de dados, justificarem a necessidade da coleta e procederem com adequações e medidas de proteção relacionadas à privacidade e à garantia dos direitos dos titulares.

Já a Secretaria Nacional do Consumidor (Senacon) aplicou diversas multas a empresas de tecnologia, de varejo e bancos, sob a justificativa de violação ao Código de Defesa do Consumidor (Lei nº 8.078/1990) e ao Marco Civil da Internet (Lei nº 12.965/2014), encaminhando os processos à Autoridade Nacional de Proteção de Dados para eventuais sanções relacionadas à LGPD.

Outro exemplo de atuação fiscalizatória é a do Ministério Público do Distrito Federal que, antes mesmo da entrada em vigor da LGPD, já se mostrou atuando na defesa dos direitos e garantias individuais dos titulares dos dados, exigindo de grandes empresas de telefonia, a produção de um relatório de impacto de proteção de dados para demonstrar que seu tratamento está em conformidade com as normas brasileiras de privacidade.

Apesar de as sanções administrativas previstas na lei ainda não estarem em vigor para serem aplicadas pela agência nacional, diversas decisões recentes demonstram que o Judiciário brasileiro está bem atuante nesta matéria, nas esferas cíveis, trabalhista e tributária. Já existem exemplos concretos do entendimento que vem sendo construído sobre a matéria, determinando às empresas a obrigação de se adaptarem às exigências da LGPD.

Antes mesmo de completar um ano de vigência, a LGPD está presente em mais de 600 decisões judiciais sobre conflitos relacionados à proteção de dados pessoais ajuizadas entre janeiro e meados de junho deste ano. Os pedidos vão desde danos morais por supostos vazamento de dados a requerimento de informações previstas no artigo 18 da lei, como um dos direitos dos titulares.

Como exemplo, tem-se o Mandado de Segurança nº 5003440-04.2021.4.03.6000, impetrado pela rede de lojas TNG em desfavor da Receita Federal, na qual a empresa obteve na Justiça o direito a créditos de Programa de Integração Social (PIS) e Contribuição para o Financiamento da Seguridade Social (Cofins) sobre gastos com implementação e manutenção de programas para gerenciamento de dados, em cumprimento às determinações da LGPD.

O pedido da empresa foi genérico em relação aos "gastos para que as empresas estejam em conformidade", não se limitando a ferramentas ou consultoria especializada, mas todo o programa de adequação à privacidade e proteção de dados.

A decisão da primeira instância se baseou no julgado do Superior Tribunal de Justiça que define que para fins de creditamento de PIS e Cofins, deve ser considerado insumo tudo aquilo que seja imprescindível para o desenvolvimento da atividade econômica.

O juízo entendeu que a adequação à LGPD é essencial e imprescindível para o desenvolvimento da atividade econômica da empresa e, tendo em vista que os investimentos para adequação à LGPD são obrigatórios, sob pena de a empresa incorrer nas penalidades previstas na lei (artigo 52), os custos para tanto enquadram-se no conceito de insumo, gerando créditos de PIS e Cofins.

Outra decisão importante sobre o tema se deu na 4ª Região do Tribunal Regional do Trabalho, a reclamação trabalhista de nº 0020043-80.2021.5.04.0261 ajuizada pelo Sindicato dos Trabalhadores nas Indústrias de Alimentação de Montenegro em desfavor da Cooperativa dos Citricultores Ecológicos, na qual o sindicato alegou descumprimento sistemático relativo à proteção de dados por parte da empresa reclamada.

Afirmou ainda que, além da posse de dados, a empresa os compartilha com diversos outros controladores e operadores, sem as cautelas necessárias e que até este momento não nomeou seu encarregado pelos dados pessoais, função esta obrigatória desde setembro de 2020 em todas as organizações que tratam dados pessoais, nos termos do artigo 41 da LGPD.

Em defesa a reclamada argumentou que não houve qualquer vazamento de dados e que não vem cumprindo as exigências da LGPD, pois aguarda regulamentação específica da Agência Nacional de Proteção de Dados.

O juízo entendeu que o cumprimento das determinações da LGPD não depende de regulamentação específica, pois a norma já está vigente desde setembro de 2020, a exceção das sanções administrativas, que entraram em vigor neste domingo (1º/8).

Ao final, acolheu parcialmente os pedidos formulados pela reclamante e condenou a reclamada a indicar e nomear um encarregado de proteção de dados/data protection officer (DPO); implementar e comprovar nos autos as práticas relacionadas à segurança e sigilo de dados e a comprovar nos autos o cumprimento das obrigações impostas, no prazo de 90 dias, sob pena de multa diária de R$ 1 mil.

Outro exemplo, agora em sentido contrário, foi a reclamação trabalhista nº 0020014-30.2021.5.04.0261, ajuizada pelo mesmo sindicado, agora em face da JBS Aves Ltda.

Nesse caso, a justificativa de descumprimento das regras previstas na LGPD não foi acolhida pelo juízo, visto que a empresa JBS conseguiu comprovar a sua adequação por meio de documentos juntados aos autos, tais como manual de privacidade, política de proteção de dados, uso dos recursos tecnológicos que utiliza para tratamentos dos dados etc.

Um exemplo na esfera cível foi o Processo nº 07282789720208070001, da 6ª Turma Cível do Tribunal de Justiça do Distrito Federal, que consiste em um pedido de indenização por danos morais ajuizada contra empresa jornalística que publicou os dados bancários e cópias de contracheques do autor.

Em seus fundamentos o juízo levou em consideração os conceitos previstos na LGPD, tais como finalidade, necessidade e adequação (artigo 6º, incisos I, II e III), julgando a ação parcialmente procedente, sendo declarado pelo Poder Judiciário que a divulgação dos dados bancários e dos contracheques do autor ultrapassou a finalidade de informação.

Cumpre evidenciar que nenhuma das decisões abaixo pode ser considerada como definitiva ou precedente do respectivo tribunal, visto que a jurisprudência sobre o tema, assim como a cultura de proteção de dados no nosso país, ainda está nos estágios iniciais de desenvolvimento, contudo, as decisões acima já comprovam que a temática merece atenção redobrada e cautela por parte das empresas.

Apesar de, por ora, os juízes estarem divididos sobre um ponto que especialistas consideram chave: a necessidade de prova para justificar a concessão de danos morais, esses entendimentos de juízos de diferentes áreas do Direito já demonstram que as determinações da LGPD já vêm sendo exigidas; ressaltando ainda mais a importância de todas as organizações terem seu registro de operações de tratamento de dados pessoais (artigo 37, LGPD), que além de ser uma obrigação legal, tal documentação possibilita que a empresa verifique se os dados coletados são realmente os necessários para cada finalidade.

As atuações administrativas dos órgãos fiscalizadores e as decisões do Poder Judiciário demonstram a importância das organizações, sejam elas públicas, privadas ou do terceiro setor, de implementarem seu programa de privacidade e proteção de dados, nomearem o responsável pelo seu processo de conformidade, manterem atualizadas todas as suas atividades de tratamento e suas políticas de privacidade e principalmente, a cautela de documentar todas as fases do seu projeto.

Isso posto, é possível compreender toda a complexidade e trabalho envolvidos durante o processo de conformidade da organização com a LGPD, que deve possuir uma equipe técnica capacitada e multidisciplinar capaz de compreender a complexidade do negócio da instituição e de recomendar as melhores práticas para proteção dos dados pessoais sem prejudicar o funcionamento ou a expansão da atuação da empresa, servindo sempre como um potencializador de seu negócio.

Embora as regras sejam as mesmas para todos, a realidade de cada organização é muito diferente e, por isso, cada projeto de implementação de proteção de dados deve ser único. Isso porque a implementação das regras deve observar as práticas de cada instituição e a maneira que o tratamento de dados é realizado.

O trabalho de conformidade assessorado por uma consultoria especializada é imprescindível para a implementação eficaz de um programa de privacidade e proteção de dados, pois auxilia na criação de procedimentos e ferramentas que possibilitarão a criação de uma cultura de privacidade e uma gestão da governança dos dados em toda a organização, tornando-se apta a demonstrar, a qualquer momento e para qualquer agente fiscalizador, seu processo de adequação com a LGPD, comprovando-o seja em sede de ação judicial, como também nos processos administrativos que possam surgir.