Impactos da LGPD na área criminal e a (des)necessidade de legislação específica

O acelerado avanço das tecnologias digitais é o estigma do século 21, tornando o ser humano dependente dos instrumentos tecnológicos para a realização de tarefas cotidianas.

Nesse contexto de expansão tecnológica, o armazenamento de dados pessoais tornou-se imprescindível para o funcionamento dos programas que utilizamos todos os dias, prova disso são os aplicativos bancários que armazenam as informações dos clientes e que os utilizam para suas transações financeiras, as redes sociais, e até os sites que são acessados guardam seu histórico de navegação, preferências e números de visitas.

Desse modo, o risco do armazenamento de dados gerado por toda atividade digital cotidiana praticada por aqueles que se conectam à internet está exatamente no vazamento ou no mau uso desses dados que podem causar graves danos aos sujeitos atingidos, conforme ocorreu recentemente no Brasil, com a exposição das informações pessoais de mais de 220 milhões de brasileiros.

Com efeito, e nesse ambiente de insegurança no armazenamento e gestão das informações digitais que surgiu a Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/18), que passou a integrar o ordenamento jurídico brasileiro em meados de 2018, trazendo consigo normas de tratamento de dados e reafirmando a importância da proteção destes, com o objetivo de resguardar os direitos fundamentais da privacidade e da liberdade dos sujeitos que possuem informações armazenadas em bancos de dados.

Desse modo, a LGPD trouxe diversos procedimentos para o tratamento dos dados daqueles utilizam as informações digitais para seu negócio ou atividade e que devem ser seguidos rigorosamente — as quais estão previstas pela LGPD em seu artigo 5º —, sob pena de graves sanções cíveis e administrativas, também previstas na lei.

Outrossim, reafirmando a importância na proteção dos dados, o Supremo Tribunal Federal firmou o entendimento, nos autos das ações ajuizadas pelo Conselho Federal da Ordem dos Advogados do Brasil (ADI 6387), pelo Partido da Social Democracia Brasileira — PSDB (ADI 6388), pelo Partido Socialista Brasileiro — PSB (ADI 6389), pelo Partido Socialismo e Liberdade — PSOL (ADI 6390) e pelo Partido Comunista do Brasil (ADI 6393), em maio de 2020, acerca da importância da proteção de dados, ao declarar o seu caráter de direito fundamental, ainda que não previsto, de forma expressa, no rol da Constituição Federal.

Nessa linha, é possível notar que os sujeitos previstos na LGPD como responsáveis pelo tratamento dos dados pessoais estão mais expostos a uma eventual responsabilização penal, decorrente da violação de alguma de suas atribuições no armazenamento e gestão dos dados.

À guisa de exemplo, um sujeito, que é determinado pelas normas de proteção de dados como responsável pelo armazenamento das informações pessoais bancárias de uma coletividade de pessoas, poderia eventualmente ser acusado criminalmente pelo uso indevido dessas informações, hipótese em que a violação das regras previstas na LGPD poderia ser utilizada para se apurar a extensão da responsabilidade do sujeito que violou os deveres de cuidado em relação os procedimentos adequados de gestão dos dados.

Nessa situação, a responsabilidade criminal do agente, em virtude de eventual vazamento ou mau uso de dados, decorreria da posição de garantidor que ele possui em relação à segurança dos dados sob sua guarda, o que acarretaria sua culpabilidade, por crime omissivo impróprio (artigo 13, §2, alínea "c", do Código Penal) quando deixar de adotar determinados procedimentos no armazenamento e gestão das informações.

Ou seja, nada obstante não tenha normal penal expressa, a Lei Geral de Proteção de Dados pode demandar relevantes impactos na seara criminal, ao passo que determina quem são os agentes responsáveis pela inobservância das práticas de armazenamento e gestão dos dados e, na mesma medida, permite que o aplicador do Direito (juiz, promotor de Justiça, advogado etc.) apure o grau de responsabilidade do agente, pela violação das normas que eventualmente possam gerar resultados danosos para uma ou várias pessoas.

De outro turno, por consequência desse efeito colateral na seara criminal da LGPD, principalmente em razão do princípio da legalidade, há quem defenda a criação de uma "Lei Geral de Proteção de Dados em matéria penal", com o objetivo de conferir um tratamento específico nesse campo para aqueles que desrespeitarem a referida norma.

Todavia, tratando-se de um país com excesso de legislação em matéria penal, uma nova Lei Geral de Proteção de Dados nessa seara não parece ser a melhor opção, sob pena de praticamente inviabilizar a atividade empresarial, já extremamente sobrecarregada.

Tamanho é o peso das obrigações legais dentro de uma empresa que muitas vezes os departamentos jurídicos destas são mais numerosos do que a sua própria atividade-fim.

Desse modo, em razão do eventual efeito colateral criminal residual, em razão de um ato omissivo doloso impróprio, parece-nos recomendável um ajuste nos programas de governança e compliance das empresas, com a finalidade de mitigar os riscos decorrentes da atividade empresarial que, de alguma forma, envolvem a custódia de dados pessoais de terceiros.