Lei Geral de Proteção de Dados Pessoais, as responsabilidades e os aspectos penais

A Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados (LGPD), foi promulgada em 14/8/2018, todavia, sua vigência não foi imediata para a integralidade da norma, notabilizada por um período de vacância misto, isto é, primeiro entraram em vigor as disposições sobre a criação da Autoridade Nacional de Proteção de Dados (dezembro de 2018) e, ao final de 24 meses (agosto de 2020), acrescida de uma nova prorrogação de um ano por conta da pandemia, para, por fim, em 1º de agosto deste ano ocorrer a vigência total da lei.

A LGPD em si não é exatamente uma novidade no ordenamento jurídico, afinal, desde 2016 as empresas brasileiras que possuíam filial na Europa ou subsidiárias com matrizes europeias já tratavam seus dados em consonância com a General Data Protection Regulation (GDPR), a LGPD da União Europeia. No Brasil, foi o marco para a proteção de dados e a regulação dos mesmos.

Com a vacância, muito se questionou acerca da validade da LGPD, uma vez que o aspecto punitivo e intimidador não estava em vigor e se indagava se a legislação tinha mais um caráter educativo do que repressivo. Ainda mais com a presença do artigo 4º da lei, que prevê a criação de um anteprojeto próprio para definir responsabilidades penais específicas, o que trouxe a possibilidade de esvaziamento de punições, o que não se comprova na prática, como veremos.

O elemento intimidador, isto é, a parte sancionatória penal da LGPD foi a última a entrar em vigor, em agosto. E a novidade é aplicação de medidas que transitam entre o aspecto socioeducativo até uma punição pecuniária deveras elevada, pois tanto se pode aplicar simples advertência até multas no importe de R$ 50 milhões, a depender da infração e do caso. A lei possui previsão expressa sobre responsabilidade civil e administrativa do controlador ou operador e responsabilidade penal, em especial na observância do sigilo de dados.

Ainda não foi promulgado o anteprojeto com regras penais especiais para a LGPD, portanto, até a complementação da norma o que se vê é a aplicação conjunta de outros arquétipos normativos, além da necessidade de observância dos critérios para aplicação das sanções previstas na própria LGPD.

O que se observa é que, além da possibilidade das medidas contidas no artigo 52 da LGPD, respeitados os critérios do §1º e do artigo 54, no que tange a proteção de dados existem outras medidas no ordenamento penal brasileiro que foram criadas, modificadas e endurecidas com o escopo de reprimir crimes digitais e proteger os dados dos usuários. Assim, o arcabouço penal que integra a LGPD não pode ficar restrito a ela, visto que outros dispositivos complementam a norma, como o Código Penal e a Lei nº 14.155/21. Comecemos pelo Código Penal, pois este já dispunha de elementos protetivos para aqueles que não respeitarem o sigilo, como disciplina o artigo 153:

"Artigo 153 — Divulgar alguém, sem justa causa, conteúdo de documento particular ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir dano a outrem:
Pena — detenção, de um a seis meses, ou multa.
§1º. Somente se procede mediante representação.
§1º-A. Divulgar, sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública:
Pena — detenção, de 1 (um) a 4 (quatro) anos, e multa.
§2º. Quando resultar prejuízo para a Administração Pública, a ação penal será incondicionada".

O tipo objetivo protegido é a divulgação sem justa causa de conteúdo que possa trazer prejuízo a terceiro, assim, informações pessoais, dados sigilosos, prontuários médicos e a violação da proteção de dados digitais são alguns dos elementos que podem ser atingidos pela norma penal.

Já a Lei nº 14.155, de 27/5/2021, alterou o Código Penal e tornou mais rigorosa a responsabilização para os crimes de violação de dispositivo informático, furto e estelionato cometidos pela internet ou por meio de dispositivos eletrônicos.

De tal sorte que a aplicação das sanções na LGPD e nos demais dispositivos penais atrelados ao tema deve obedecer aos critérios dos artigos 2º, 3º e 6º da própria norma. Para as entidades privadas que se utilizam de dados sensíveis é fundamental que haja a proteção dos dados e a consonância das informações com a explanação pormenorizada dos elementos e critérios utilizados. Não há autorização normativa para o uso indistinto que desrespeite os critérios do artigo 6º, como por exemplo a elaboração de questionários, pesquisas ou censos. Há a necessidade de se justificar as perguntas, de se demonstrar de maneira clara e objetiva como será feita a anonimização e privacidade dos dados, quem serão os responsáveis pelos mesmos, até para fins de responsabilização, e quais os critérios para a realização da pesquisa, questionário ou censo.

A LGPD é clara sobre a necessidade de anonimização dos dados, respeito à transparência das informações, portanto, em caso de descumprimento, mal uso ou quebra do sigilo dos dados, não apenas o Código Penal pode e deve ser aplicado como também o artigo 52 da própria LGPD, desde que obedecidos os critérios do §1º e do artigo 54. O que não mais se coaduna é com a impunidade e o livre uso de dados de terceiros.