A curiosa enxurrada de ações civis públicas exigindo o cumprimento da lei geral de proteção de dados

A curiosa enxurrada de ações civis públicas exigindo o cumprimento da lei geral de proteção de dados

*Daniel Cavalcante Silva

30 de junho de 2021 | 05h00

Em 14 de agosto de 2018 foi promulgada a Lei 13.709 – Lei Geral de Proteção de Dados (LGDP), cujo prazo para a entrada em vigor possuía algumas variações, tendo em vista a necessidade de sua adequação para todas as pessoas físicas e jurídicas. Em que pesem as tentativas de sua prorrogação, a Lei Geral de Proteção de Dados entrou em vigor definitivamente no dia 18 de setembro de 2020, exceto para as aplicações de sanções administrativas pela Autoridade Nacional de Proteção de Dados, que somente entrará em vigor no dia 1º de agosto de 2021.

Daniel Cavalcante Silva

Daniel Cavalcante Silva, sócio da Covac Sociedade de Advogados. Foto: Divulgação.

Amiúde aos detalhes e contornos da norma, evidentemente que a LGPD traz um grande avanço na proteção dos dados pessoais de todos os cidadãos pátrios, fato notório diante da grande quantidade de vazamento de dados pessoais recentemente divulgados. Por outro lado, no intuito de proteger os dados pessoais, várias Ações Civis Públicas (ACPs) estão sendo manejadas contra diversas empresas sob o argumento da defesa dos dados pessoais de consumidores variados, no entanto, a efetividade dessas ações não condiz com o seu real objetivo, o que certamente macula a efetividade da proteção dos dados pessoais.

Como se sabe, a ACP, disciplinada pela Lei n.° 7.347, de 24 de junho de 1985, é instrumento processual utilizado para amparar direitos difusos e coletivos (meio-ambiente, direito do consumidor, direitos de valor artístico, cultura, etc.), sendo o Ministério Público, Defensoria Pública, alguns órgãos públicos e associações, os legitimados para a sua propositura.
Pois bem, amparada na legitimação prevista na norma, algumas associações de consumidores foram criadas às pressas para fazerem frente ao não cumprimento da LGPD, desrespeitando, inclusive, o prazo de constituição da associação previsto na própria Lei da ACP. A partir daí, várias Ações Civis Públicas foram ajuizadas em todo o país, com o escopo de defender o consumidor contra o vazamento de dados pessoais e a exigência de cumprimento integral da LGPD. Na teoria a proposta é excelente, mas na prática o objetivo se mostra bastante diferente.
Tais Ações Civis Públicas foram ajuizadas contra concessionárias de veículos, locadoras de automóveis, oficinas mecânicas, supermercados, farmácias, escolas, instituições de ensino superior, cursos de línguas, entidades assistenciais, hospitais, laboratórios, clínicas médicas (especialidades diversas), operadoras de plano de saúde, caixas de assistência, entre outras empresas e instituições. As associações não esperaram sequer a atuação da Autoridade Nacional de Proteção de Dados (ANPD).

As ações continuam sendo ajuizadas e as empresas e instituições não foram sequer notificadas extrajudicialmente para que pudessem tomar conhecimento sobre o que estariam fazendo de errado. Esse procedimento chama a atenção pela forma açodada e descuidada com que essas Ações Civis Públicas são ajuizadas, além dos pedidos não serem minimamente razoáveis dentro da lógica prevista na Lei Geral de Proteção de Dados.

Todo tipo de alegação é feita com base apenas em informações colhidas no site das empresas e instituições acima, como se apenas isso ensejasse o descumprimento da LGPD. Algumas das ACPs são totalmente desconectadas com a própria LGPD, não perseguindo absolutamente nada daquilo que é previsto na legislação. Nas ações, as associações alegam que as pessoas jurídicas não cumpriram as obrigações previstas na LGPD, que já estaria em vigor desde setembro de 2020. Algumas ACPs não demonstram sequer a violação dos dados, mas apenas o “não cumprimento das obrigações previstas na LGPD”, o que seria algo vago e totalmente impreciso.

Conforme explicitado, algumas ACPs têm como substrato fático apenas aquilo que encontra no site das pessoas jurídicas, alegando que o descumprimento da LGPD estaria justamente pelo fato de que em seus sites as empresas não teriam disponíveis as respectivas políticas de privacidade. Ora, a LGPD simplesmente não exige que as pessoas jurídicas tenham uma política de privacidade, mas que adote regras e princípios para a proteção dos dados. Ter ou não no site uma política de privacidade não implica em descumprimento da LGPD. É absolutamente teratológico supor que haja a necessidade de ter uma política de privacidade para estar em conformidade com a LGPD. Uma pessoa jurídica pode ter uma política de proteção de dados ou política de conformidade, não importa, o que importa é fazer cumprir a legislação.

Outra alegação constante nessas ACPs é exigir com que as empresas tenham mecanismos ou canal de comunicação através do qual o titular dos dados possa fazer requisições sobre o tratamento dos seus dados. Ora, em seu art. 18, a LGPD estabelece que “o titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição”. A forma de requisição não é estabelecida pela legislação, bastando apenas que a empresa/instituição tenha alguma forma de contato, seja por meio de ouvidoria, e-mail ou canal análogo. Não existe obrigatoriedade de um canal próprio para isso, haja vista que ao receber a requisição do titular dos dados, a empresa tem que conceder o acesso facilitado dos dados e seu tratamento ao titular dos dados.

Existem Ações Civis Públicas que alegam o descumprimento da LGPD em razão de que as pessoas jurídicas simplesmente não apresentaram o chamado Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto na LGPD. Nesses casos, segundo consta em algumas ações, o Relatório de Impacto à Proteção de Dados Pessoais, que seria um instrumento de governança equivalente ao Data Protection Impact Assessement (DPIA) previsto na General Data Protection Regulation (GDPR) europeia, deveria estar disponível a todos no site da empresa. Bastava ter apenas um pouco de acuidade para saber que a LGPD exige o RIPD para todas as pessoas jurídicas, mas esse é um documento gerencial que deve ser restrito e somente entregue à Autoridade Nacional de Proteção de Dados (ANPD) quando for solicitado. Não existe a obrigatoriedade de divulgação desse documento.

As referidas Ações Civis Públicas, acima contextualizadas, solicitam pesadas indenizações em face de dano extrapatrimonial, de caráter punitivo e dissuasório, com base nos critérios claramente equivocados. As indenizações solicitadas são vultosas, com valores de causa que chegam aos R$ 10.000.000,00 (dez milhões de reais), sob o esquálido argumento de que o “não tratamento dos dados dos consumidores e o descumprimento doloso da LGPD, lesa a intimidade, honra, privacidade, imagem e cidadania do consumidor.” Ao final, os pedidos realizados cingem-se à mera obrigação de fazer, consistente no cumprimento da LGPD, com o pedido das indenizações pelo dano coletivo.

Não restam dúvidas que são ações claramente desproporcionais e desarrazoadas, pois não guardam a mínima similitude entre causa e efeito no cumprimento da LGPD, além de conter erros grotescos com a legislação de regência. É evidente que existe um motivo para essas ações e esse motivo pode estar atrelado aos pedidos sucumbenciais, que variam entre 10% a 20% sobre o valor da causa, além do fato de que não haveria sucumbência para os autores em face de não obtenção de êxito na ação. Não obstante, a associação poderá ser condenada em sucumbência caso seja comprovada a má-fé processual, o que se parece ser bastante evidente. Esse tipo de procedimento reprovável não é necessariamente novo, mas que vem ganhando contornos diferentes em função da Lei Geral de Proteção de Dados.

Não é novidade que a LGPD causou grande alvoroço no mundo empresarial, haja vista as inúmeras exigências a fim de preservar os direitos dos titulares de dados de forma no mínimo inovadora para o mundo atual. A mencionada lei mudou totalmente a forma de tratamento de dados e tem causado grande preocupação às grandes empresas. É certeiro dizer, neste toar, que a ansiedade causada pela LGPD não é exclusivamente de quem será afetado diretamente por ela (controladores e titulares), mas principalmente de captadores de clientela que estão ansiosos por uma alta indenização envolvendo a Lei Geral de Proteção de Dados Pessoais, o que parece já estar ocorrendo.

Não restam dúvidas, por fim, que essas ações equivocadas prejudicam sobremaneira aquelas que realmente buscam a proteção dos titulares dos dados, que adentram na circunstância fática ocorrida e fazem a correta análise com base na LGPD, sobretudo aquelas ações coletivas que tentam de fato minorar o prejuízo dos danos já ocorridos pelos vazamentos de dados divulgados. Essas ações não podem se confundir com as Ações Civis Públicas ajuizadas por associações oportunistas, que claramente não objetivam a defesa do consumidor e muito menos a proteção de dados pessoais.

*Daniel Cavalcante Silva, sócio da Covac Sociedade de Advogados

 

Tudo o que sabemos sobre:

Artigo

Comentários

Os comentários são exclusivos para assinantes do Estadão.