Lei Geral de Proteção de Dados e a segurança dos dados

Lei Geral de Proteção de Dados e a segurança dos dados

Raphaela Esperança e Juliana Senna*

12 de fevereiro de 2021 | 10h00

Raphaela Esperança e Juliana Senna. FOTOS: DIVULGAÇÃO

No mês de janeiro é comemorado o Dia Internacional da Proteção de Dados Pessoais. A data de 28 de janeiro foi escolhida pelo Comitê de Ministros do Conselho da Europa (em 2006) para conscientizar os titulares de dados e usuários sobre a importância da proteção dos dados e estimular as companhias a tratarem os dados coletados e compartilhados com a maior segurança. É interessante comentar que o dia 28 de janeiro não foi uma data escolhida de forma aleatória e sem propósito pelo mencionado Comitê. O dia 28 de janeiro é, na verdade, o aniversário da primeira Convenção Internacional (Treaty 108[1] de 28/01/1981) a qual protege o indivíduo contra abusos que podem surgir com a coleta e o tratamento de dados pessoais. No Brasil, o dia foi comemorado com a publicação da Portaria n. 11, de 27/01/2021[2], a qual tornou pública a agenda regulatória da ANPD para o biênio 2021-2022.

A publicação da agenda é de grande relevância, pois confere uma expectativa cronológica de quando alguns dos pontos relevantes da LGPD serão regulamentados. Nesse sentido, destacamos que foram considerados como prioritários e a serem regulamentados ainda no primeiro semestre de 2021, conceitos fundamentais como: (i) direitos dos titulares de dados pessoais, (ii) definição das sanções administrativas e metodologia de cálculo das multas e (iii) procedimentos de comunicação de incidentes e prazos de notificação, além é claro do regimento interno da ANPD.

A regulamentação desses e de demais pontos da LGPD além da estruturação da própria ANPD para o exercício das suas atividades de regulação são importantes para conferir a segurança jurídica e previsibilidade sobre a proteção de dados, que ainda é um tema recente no Brasil e muitas empresas ainda estão em fase de conscientização e adequação.

A regulamentação desses conceitos é ainda urgente porque A conscientização de adequação às premissas da nº 13.709/18, conforme alterada posteriormente (“LGPD”) é de extrema importância, pois apesar das sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD) entrarem em vigor apenas em agosto de 2021, a LGPD já está em vigor e os titulares de dados que tiverem seus direitos violados, podem ajuizar processos judiciais para a proteção de seus direitos, como de fato tem sido feito.

Nesse contexto, a LGPD é sobretudo relevante no atual cenário em que, por causa da pandemia do novo coronavírus, um número muito maior de pessoas aderiu às transações e trocas de informações pelo meio digital, aumentando, consequentemente,  o risco à exposição indesejada dos dados pessoais e sensíveis.

Assim, enquanto aguardamos a regulamentação a ser feita pela ANPD, casos de violação à LGPD ganharam as manchetes. Vamos abordar brevemente abaixo dois desses casos e aplicação da LGPD em cada um deles.

O maior e mais recente caso no Brasil foi o vazamento de dados e que estariam a venda. Segundo informações públicas, um arquivo hackeado continha as informações pessoais e sensíveis de possivelmente 223 milhões de pessoas, tais como nome, endereço, dados do imposto de renda, fotos, scores de crédito, telefone, classe social.

De acordo com a LGPD, os agentes de tratamento (encarregado, controlador e operador) têm a obrigação de adotar medidas de segurança adequadas para proteger os dados pessoais e, caso haja vazamento, comunicar a ANPD. No entanto, será que houve comunicação formal do vazamento à ANPD?

Outro caso ocorreu ano passado (2020) envolvendo a Serasa S.A. (“Serasa Experian”) que é uma marca brasileira conhecida pelas análises e informações para decisões de crédito e apoio a negócios.

Foi ajuizada uma ação civil pública após a Unidade Especial de Proteção de Dados e Inteligência Artificial do Ministério Público do Distrito Federal e Territórios ter identificado a comercialização de dados pessoais de brasileiros por meio dos serviços oferecidos em sites da Serasa Experian. A referida unidade pleiteou a suspensão da comercialização dos dados o que não foi deferida pelo juiz e de tal decisão houve recurso (agravo de instrumento)[3]. O desembargador da 2ª Turma Cível do Tribunal de Justiça do Distrito Federal concedeu liminar em agravo de instrumento para suspender a comercialização de dados pessoais dos titulares.

Na prática a Serasa estava vendendo os dados pessoais de mais de 150 milhões de brasileiros para empresas interessadas em prospectar novos clientes, sem que exista qualquer tipo de conhecimento por parte dos titulares das informações ou qualquer relação contratual com a compradora dos dados. O propósito dos serviços da Serasa Experian é a proteção do crédito. Portanto, é possível notar que a publicidade dos dados para captação de novos clientes com a venda dos dados vai de possível encontro com os propósitos da Serasa Experian.

Segundo à LGPD, são nulas as autorizações genéricas relacionadas ao consentimento do titular para tratamento de seus dados, devendo haver uma manifestação específica para cada uma das finalidades para as quais há tratamento. Portanto, o Ministério Público do Distrito Federal se manifestou no sentido de que a comercialização pela Serasa seria ilegal ou irregular, pois “fere o direito à privacidade das pessoas, bem como seus direitos à intimidade e à imagem, o que inclui o direito à proteção de seus dados pessoais[4].

Adicionalmente aos casos de vazamento acima relatados, muitos trabalhadores vem vêm usando a LGPD para buscar seus direitos na Justiça, tendo em vista que os empregadores não têm cumprido a LGPD. Para ilustrar tal situação, podemos citar o processo trabalhista nº 010 0903-15.2020.5.01.0026 (16ª Vara do Trabalho do Rio de Janeiro) por meio do qual a autora (ex-funcionária) de uma companhia pediu acesso a folhas de ponto e solicitou o termo de compensação de jornada de todo seu contrato de trabalho.

Não obstante a extensão da vacacio legis quanto à parte sancionatória, a LGPD já se encontra em vigor e ganha efetividade a cada dia. Assim, conclui-se que as companhias já possuem uma série de obrigações e deveres a serem cumpridos e observados, os quais podem e serão cobrados, sendo de rigor que estejam em conformidade com esta nova lei

[1]“Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data”: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108

[2]PORTARIA Nº 11, DE 27 DE JANEIRO DE 2021 – PORTARIA Nº 11, DE 27 DE JANEIRO DE 2021 – DOU – Imprensa Nacional (in.gov.br) acessado em 01/02/2021.

[3]Processo 0749765-29.2020.8.07.0000

[4]https://www.tjdft.jus.br/institucional/imprensa/noticias/2020/novembro/tjdft-determina-a-suspensao-de-venda-de-dados-pessoais-pelo-serasa

*Raphaela Esperança e Juliana Senna, advogada e sócia do Kincaid Mendes Vianna Advogados

Comentários

Os comentários são exclusivos para assinantes do Estadão.