LGPD: adequação espontânea como melhor alternativa às empresas

LGPD: adequação espontânea como melhor alternativa às empresas

Caio Ribeiro Pires e Lucas de Oliveira*

29 de janeiro de 2021 | 09h55

Caio Ribeiro Pires e Lucas de Oliveira. FOTOS: ARQUIVO PESSOAL

Embora o Dia Internacional da Proteção de Dados não seja uma data nova e nem tampouco o debate sobre a privacidade no mundo digital seja inédito[1] , no Brasil a celebração ganha especial significado neste ano de 2021. Afinal é o primeiro dia 28 de janeiro ocorrido sob a vigência de uma Lei Geral de Proteção de Dados, ao que pese a existência de notáveis estudos no país a respeito da proteção de dados pessoais há quase duas décadas, além de decisão do STF a reconhecendo como Direito Fundamental [2].

Diante deste contexto, uma reflexão é imprescindível. Não parecem subsistir grandes dúvidas quanto à posição de destaque ocupada pelo tema do tratamento de dados na legislação brasileira e, até mesmo, no plano constitucional. Portanto, cumpre agora a toda a sociedade civil dialogar sobre os próximos passos para adaptar-se às novas regras legais.

Conforme tal perspectiva, em um mundo globalizado e de inescapáveis serviços virtuais, as sociedades empresárias talvez sejam as principais afetadas pela Lei n° 13.709/2018 (LGPD). Neste sentido, parece impossível exercer atividade econômica sem utilizar-se de dados pessoais de clientes e fornecedores. Logo, tais pessoas jurídicas fatalmente serão enquadradas no conceito de controlador, ou de operador, submetendo-se a referida lei (art.5°, incisos VI e VII).

Assim, a resposta de duas perguntas certamente auxiliará um debate saudável e democrático, visando uma adequação menos traumática dos agentes de tratamento de dados à nova legislação. São elas: I) por quais motivos a reorganização espontânea das rotinas ligadas à tratamento de dados pode funcionar como uma aliada da atividade empresária, mais do que um mero custo? Não só, mas também, II) quais os meios de operar um programa de conformidade (ou, como hoje chamado, um compliance) à Lei Geral de Proteção de Dados.

Quanto à primeira questão, em suma síntese, são três os aspectos que indicam, pragmaticamente, a busca, sem mais postergar, de uma adequação às novidades legais como o melhor caminho:

I.a.  Ações judiciais e sanções administrativas. Desde o início da vigência da lei surgiram, rapidamente, notícias de ações ajuizadas com base em seus dispositivos. Ressaltem-se alguns exemplos desta constatação: a Lei Geral de Proteção de Dados entrou em vigor no dia 18 de setembro de 2020, uma sexta-feira. Na segunda-feira, dia 21 de setembro de 2020 já havia petição inicial protocolada no Distrito Federal com base em seus fundamentos e requerendo sua aplicação. Enquanto isso, no dia 29 de setembro de 2020 um juiz do Tribunal de Justiça de São Paulo prolatou sentença condenando uma construtora pelo compartilhamento indevido de dados com base na lei. Ainda, em novembro do mesmo ano, chamou atenção a suspensão de  venda de dados de consumidores pelo Serasa, instituição consolidada no país[3].

Além disso, aproxima-se o início da aplicação de sanções administrativas pela Agência Nacional[4]. Segundo o art. 65, inciso I-A da Lei 13709/18(LGPD), os dispositivos legais relativos a elas passam a vigorar no dia 1° de agosto.

Dito de outra forma, quem não se adequar corre o risco de ser obrigado ao cumprimento da lei, administrativa ou judicialmente. As multas, as ações judiciais que buscam reparações em âmbito de responsabilidade civil, as reclamações em órgãos de defesa do consumidor, e na própria Agência Nacional de Dados, já são uma realidade.

I.b. Os custos da instabilidade jurídica.  Mesmo que a falta de recursos financeiros não constitua motivo legítimo para descumprir a lei, não se ignoram os custos gerados pela implementação de um programa de conformidade. Nesta direção, provavelmente, será comum às sociedades empresárias prorrogarem as medidas de adequação à LGPD, priorizando obrigações aparentemente mais urgentes.

Contudo, a falta de um arcabouço jurisprudencial e a inexistência de regulamentações específicas emitidas pela Agência Nacional de Proteção de Dados (dados não alarmantes e sim comuns a uma lei tão recente) formam um ambiente instável. Submeter-se a uma adaptação urgente e aos prejuízos de sanções nunca antes aplicadas (além de ser uma conduta de ética duvidosa) significa trocar os gastos certos e planejáveis por aqueles imprevisíveis, capazes de levar a atividade empresária desprevenida à ruína.

Desta maneira, ao menos um olhar inicial para a rotina de tratamento de dados da sociedade empresária, com objetivo de revisar práticas frontalmente contrárias aos dispositivos legais, mostra-se uma estratégia de mercado prudente. Inclusive, essencial contar neste trâmite com especialistas, de preferência, conhecedores de modelos de compliance estrangeiros bem-sucedidos, utilizados em países cuja lei trata da proteção de dados antes do Brasil.

I.c. Adequação como diferencial de mercado. Se apenas tais advertências já seriam alarmantes o suficiente para demonstrar a necessidade da organização dos agentes de tratamento de dados, somam-se a estes fatores as pressões de mercado. Dois são os motivos pelos quais os próprios agentes econômicos devem compelir uns aos outros ao respeito às normas de proteção de dados. Em primeiro lugar, haverá um certo desinteresse das sociedades empresárias regulares quanto à lei em contratar com outras sociedades empresárias não adequadas à LGPD. Ora, não há sentido atrair o risco de responsabilidade solidária por infringência aos direitos dos titulares de dados cuja lei prevê nos casos de tratamento conjunto de dados (art. 42, §1°, inciso II, LGPD).

Com efeito, este aspecto deve carregar impacto relevante, vez que a tendência é o aumento da adoção de medidas de conformidade. Sobre tal questão, pesquisa de dezembro de 2020 demonstrou o aumento em 50% o número de empresas preparadas para cumprir os requisitos exigidos pela LGPD[5].

Depois, sempre importante não perder de vista o maior interessado no cumprimento da LGPD: o titular de dados pessoais. No âmbito da atividade empresária, trata-se, na maioria das hipóteses, de quem concede informações para acessar um serviço ou adquirir um produto. Assim, preocupar-se com a LGPD é, em última análise, atender bem a um cliente, garantir sua segurança cibernética, assegurar que ele não seja incomodado por outros controladores de que receberam seus dados de modo indevido, dentre outras coisas.

A partir desta última perspectiva, chega-se a uma resposta para segunda pergunta lançada ao início deste texto. Neste sentido II) qual a melhor forma de concretizar a proteção de dados? Seria inviável responder exaustivamente, pois existem diversas maneiras diferentes de adaptar-se. Porém, mais uma vez, relembrando o principal destinatário da LGPD, essencial destacar um valioso instrumento, qual seja, a facilitação do exercício de direitos pelos titulares de dados pessoais.

Sob este prisma, um conjunto de medidas visa tanto concretizar a autodeterminação informativa por meio de simples comunicação entre titular e controlador, dispensando-se a intervenção do Poder Judiciário, quanto o respeito às escolhas do titular sem que haja a necessidade de terceiro intervir. Na linha desta sistemática, a criação de portais específicos, os quais oferecem ágeis ferramentas de comunicação, além da viabilização das opções do titular mediante simples confirmação de segurança e identidade.

Por meio deste aparato, garantem-se direitos como o de o próprio titular corrigir seus dados, bloqueá-los, realizar a portabilidade dos mesmos, de maneira rápida e simplificada. Embora não pareça razoável fazê-lo sem a intervenção do controlador, também a anonimização, eliminação e a informação sobre a possibilidade de não fornecer consentimento operam-se com maior eficiência diante de um canal de comunicação direta.

Com efeito, por meio de atuação proativa e vanguardista, criam-se ambientes favoráveis e com mecanismos capazes de sanar potenciais conflitos de forma eficiente, evitando a hiperjudicialização de demandas e os inerentes custos e prejuízos para ambas as partes e ao sistema. Note-se que a própria LGPD possui dispositivos que privilegiam soluções extrajudiciais.

Enfim, com tais considerações pretendeu-se atingir a sociedade civil como principal destinatária da proteção de dados e demonstrar que a valorização dos projetos de adequação- principalmente àqueles voltados para facilitação do exercício de direitos pelos titulares de dados- pode ser o melhor e, ao mesmo tempo, mais eficiente caminho para as sociedades empresárias. Por meio dele, (i) mitigam-se as contingências relacionadas a fiscalizações da ANPD ou em âmbito de responsabilidade civil, mas também (ii) constrói-se posicionamento de organização inovadora, a qual valoriza seus consumidores, colaboradores e parceiros.

Permitindo-se encerrar a data com um presságio de esperança, mas também um desejo, a expectativa é de que a proteção de dados siga a direção tomada pelos movimentos relacionados a preservação ambiental, ao capitalismo consciente e às práticas de anticorrupção no Brasil. Afinal, como nestes outros casos, o fato de as sociedades empresárias respeitarem suas diretrizes espontaneamente também significará contribuir para um ambiente econômico melhor, fundado na colaboração entre seus agentes e atento à obediência do regramento jurídico vigente no país. É o que se espera comemorar, daqui para frente, todo dia 28 de janeiro.

[1] A data foi instituída pelo Conselho Europeu no ano de 2006 e relembra a primeira Convenção europeia referente à proteção de dados pessoais, Convenção n° 108, assinada por diversos países do continente em 1981.

[2] Na área acadêmica, por todos, DONEDA, Danilo. Da privacidade à proteção de dados pessoais. 1ª ed. Rio de Janeiro: Renovar 2006. Enquanto isso, na jurisprudência, sublinha-se decisão do Supremo Tribunal Federal cuja fundamentação reconheceu, expressamente, a proteção de dados pessoais como Direito Fundamental (STF, Referendo na Medida Cautelar na ADI 6387/DF, Rel. Min. Rosa Weber, 7 de maio de 2020, disponível em: http://portal.stf.jus.br/processos/downloadPeca.asp?id=15344949214&ext=.pdf)

[3] Respectivamente, “Primeira ACP baseada na LGPD é indeferida porque site da ré está em manutenção”, Conjur, 23/09/2020, disponível em: https://www.conjur.com.br/2020-set-23/peticao-inicial-acao-civil-publica-baseada-lgpd-indeferida; Sentença no Processo n° 1080233-94.2019.8.26.0100, Juíza de Direito da  ª Vara Cível do Foro Central  Cível de São Paulo Tonia Yuka Koroku, disponível em: https://www.conjur.com.br/dl/compartilhar-dados-consumidor-terceiros.pdf); “Justiça determina suspensão de vendas de dados de consumidores pela Serasa”, Uol economia, publicado em 23/11/2020, disponível em: https://economia.uol.com.br/noticias/redacao/2020/11/23/justica-determina-suspensao-de-vendas-de-dados-pela serasa.htm#:~:text=Justi%C3%A7a%20determina%20suspens%C3%A3o%20de%20vendas%20de%20dados%20de%20consumidores%20pela%20Serasa&text=A%20Justi%C3%A7a%20do%20Distrito%20Federal,de%20dados%20pessoais%20de%20consumidores.&text=Caso%20a%20Serasa%20n%C3%A3o%20cumpra,a%20pena%20de%20multa%20di%C3%A1ria.

[4] Segundo o art. 65, inciso I-A da Lei 13.709/2018 os dispositivos legais a respeito das sanções administrativa passarão a vigorar no dia 1° de agosto de 2021.

[5] “Pesquisa mostra aumento no número de empresas preparadas para a LGPD”, Teletime, publicado em 02/12/20, disponível em: https://teletime.com.br/02/12/2020/pesquisa-mostra-aumento-no-numero-de-empresas-preparadas-para-a-lgpd/

*Caio Ribeiro Pires, mestre em Direito Civil pela UERJ. Graduado pela PUC-Campinas. Professor de cursos de graduação e pós-graduação. Advogado e pesquisador do escritório Marano Advogados Associados

*Lucas de Oliveira, graduando na Universidade Veiga de Almeida. Estagiário do escritório Marano Advogados Associados

Tudo o que sabemos sobre:

ArtigoLei Geral de Proteção de Dados

Comentários

Os comentários são exclusivos para assinantes do Estadão.