Superexposição midiática e o direito de correção de dados tratados por terceiros

Pode-se dizer incontroverso que a denominada operação "lava jato" não teria a dimensão que teve não fosse a ampla divulgação pela imprensa de suas fases — entre 2014 até janeiro de 2021, foram desencadeadas algo em torno de 79 operações policiais, que seriam denominadas "fases" a partir do consórcio de Curitiba.

A exposição midiática — replicada quase que semanalmente, ao menos nos primeiros anos — tinha rotineiramente as seguintes etapas: (1ª) deflagração de uma "nova" fase da operação pela manhã; (2ª) quase que de forma simultânea, a divulgação dos "fatos" pela imprensa, com a exposição dos nomes dos personagens envolvidos — pessoas e empresas —, além das medidas que estariam sendo cumpridas — prisões, buscas e apreensões, medidas de constrição patrimonial etc.; (3ª) por fim, era realizada uma "coletiva de imprensa", com a participação de membros da denominada “força-tarefa”, que explicavam e detalhavam os fatos que estariam em apuração.

Em paralelo, criava-se o sentimento de necessidade de combate ao crime econômico e empresarial, potencializando a urgência de mudanças nas estruturas empresariais, especialmente na relação entre os setores público e privado. A fórceps, empresas (públicas e privadas) e instituições financeiras viam-se obrigadas — como medida de subsistência, frente essa corrente pretensamente "anticorrupção" — a adotar mecanismos rigorosos de conformidade e governança, determinando o afastamento de pessoas tidas como potencialmente envolvidas nesses propalados fatos criminosos.

Passou a ser usual, no meio empresarial e em instituições financeiras, a consulta a "bancos de dados" (geridos por empresas privadas especializadas) que compilam informações obtidas em fontes públicas (em especial, notícias de imprensa) para a realização de due diligence e implementação de políticas de know your client.

Normalmente, as consultas feitas a esses bancos geram "relatórios" com a compilação dos dados sobre a pessoa ou empresa pesquisada. Uma pesquisa sobre pessoa (física ou jurídica) que teve seu nome veiculado em notícias de imprensa relacionadas à operação "lava jato", ou a outras operações policiais, potencialmente resultaria em relatório com a compilação dessas informações, associadas aos respectivos "links" para as matérias de onde os dados foram extraídos. Ao que sabemos, nesses relatórios constam normalmente uma espécie de "biografia" da pessoa pesquisada. Algo como (aqui, as assertivas são meramente ilustrativas e não contemplam um caso real): fulano de tal, Diretor da empresa Y; apontado como membro de grupo organizado criminoso, com envolvimento em delitos de corrupção e lavagem de dinheiro.

Pessoas mencionadas em investigações — ou até mesmo aquelas que passaram a colaborar com as apurações, na condição de colaboradores da justiça — passaram a enfrentar dificuldades decorrentes da superexposição de seus dados, associada a rigorosas e desproporcionais políticas de integridade e compliance (fenômeno que vem sendo denominado de overcompliance).

Dificilmente concorrerão de forma efetiva pelo espaço em grandes e médias empresas, independentemente de sua qualificação profissional, tampouco conseguirão se realocar no mercado com a implementação de negócios próprios, porquanto também sofrem com restrições na obtenção de créditos e/ou financiamentos bancários, dentre outras situações. 

Ainda que relevante parcela das investigações policiais tenha sido arquivada (por absoluta insuficiência de evidências dos delitos), anulada (por irregularidades na condução, muitas vezes desencadeadas por juízo absolutamente incompetente), ou mesmo que tenham as pessoas sido judicialmente absolvidas, o cenário de dificuldades permanece. Isso porque o desfecho na esfera judicial não apaga — ao menos não de forma automática — os registros do passado, propalados pela imprensa e paulatinamente reverberados pelos relatórios de due diligence.

Há o que fazer, diante disso?

A resposta passaria por uma análise prévia da situação jurídico-processual concreta da pessoa exposta/pesquisada, aferível caso a caso, a fim de que se possa diagnosticar qual seria a melhor medida a ser adotada para minimizar as importantes consequências dessa superexposição de dados, muitas vezes incorretos e/ou desatualizados.

Alçada a direito fundamental (artigo 5º, LXXIX, da CF/88), a proteção de dados pessoais é regulamentada pela Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018), que estabelece os direitos da pessoa que possui seus dados tratados por terceiros. Dentre os direitos legalmente garantidos, verificam-se os seguintes:

(1) direito de ter "garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade" (art. 17 da LGPD);

(2) direito de ciência:

(i) a garantir que lhe seja confirmada a "existência de tratamento" de seus dados pessoais (artigo 18, I, da LGPD);

(ii) para que lhe sejam fornecidas informações acerca da(s) finalidade(s) específica(s) do tratamento de dados (artigos 6º, I, 7º, §3º, e 9º, I, da LGPD); assim como

(iii) para que lhe seja informado com quais entidades (públicas ou privadas) os dados foram compartilhados, a(s) data(s) de compartilhamento(s), por qual(is) canal(is) foi(foram) disponibilizado(s), bem como qual(is) a(s) finalidade(s) do(s) compartilhamento(s) (artigos 9º, V, e 18, VII, da LGPD);

(3) direito de acesso: a garantir o acesso a todos os dados que foram ou estejam sendo tratados (artigo 18, II, da LGPD), a incluir, por certo, o acesso a todos os relatórios produzidos pelos agentes de tratamento;

(4) direito de retificação: a permitir a "correção de dados incompletos, inexatos ou desatualizados" (artigo 18, III, da LGPD);

(5) direito de "anonimização, bloqueio ou eliminação de dados" reputados "desnecessários, excessivos ou tratados em desconformidade com o disposto" na LGPD (artigo 18, IV, da LGPD).

Portanto, a LGPD garante não só o acesso aos dados e relatórios produzidos, mas a retificação de dados incorretos/imprecisos, assim como a complementação de informações (com a comunicação, por exemplo, do desfecho judicial dos processos que porventura venham a ser referidos nesses relatórios), ou mesmo, a depender do caso, a exclusão dos dados pessoais em tratamento pelas empresas responsáveis pela produção desses relatórios, a implicar também na eliminação dos relatórios produzidos nas base de dados.