LGPD e responsabilidade criminal

LGPD e responsabilidade criminal

Filipe Lovato Batich e Rhasmye El Rafih*

08 de dezembro de 2020 | 08h30

Filipe Lovato Batich e Rhasmye El Rafih. FOTOS: DIVULGAÇÃO

Em agosto passou a vigorar a Lei de Proteção de Dados Pessoais – LGPD, que tutela o tratamento de dados pessoais no Brasil. A lei, em si, não é uma novidade, pois as empresas brasileiras, desde subsidiárias com matrizes europeias ou empresas nacionais que possuem filial na Europa, já tratavam seus dados com base na General Data Protection Regulation (GDPR) desde 2018.

A internalização da GDPR levou a alguns deles, como o Reino Unido e Portugal, a criarem delitos específicos para sancionar casos mais graves de violações à proteção de dados para aqueles que possuem o dever de protegê-los.

No Brasil, apesar de a LGPD dispor apenas sobre a responsabilização civil e administrativa do controlador ou operador e não tratar de figuras criminais, algumas violações podem configurar crimes já existentes, especialmente sobre observância do sigilo de dados. Os indivíduos ou entidades de direito público ou privado, na qualidade de controladores e operadores, deverão estar atentos às obrigações dispostas na LGPD.

O Código Penal criminaliza a violação de segredo profissional, proibindo que alguém divulgue segredo obtido em razão de função, ministério, ofício ou profissão, desde que essa divulgação possa resultar em dano. Caso a divulgação seja realizada por agente público, tem-se o crime de violação de sigilo funcional. Por sua vez, o Código de Defesa do Consumidor (CDC) criminaliza tanto a criação de impedimento ou de dificuldades para que os consumidores tenham acesso aos seus dados quanto à omissão na correção de dados sobre o consumidor. Inclusive, a própria LGPD dispõe que a imposição das sanções administrativas nela constantes, não descarta a aplicação do CDC, inclusive no aspecto criminal.

Todos esses crimes são considerados infrações de menor potencial ofensivo, sujeitando o possível autor do crime a uma pena restritiva de direitos sem que seja condenado. Inclusive, no caso do crime de violação de sigilo profissional, se houver composição civil com a vítima, ocorrerá a extinção da punibilidade.

Em razão da tutela jurídica que foi alçada à proteção de dados na LGPD, não se pode descartar a possibilidade de os legisladores federais revisarem os dispositivos criminais existentes, com o recrudescimento de suas penas ou a criação de novos tipos penais, que tratem exclusivamente de graves violações à LGPD, com penas mais severas do que as ora previstas. Isso provavelmente ocorrerá se entenderem que as sanções cíveis e administrativas não estão aptas a tutelar o bem jurídico de forma adequada ou que os tipos penais existentes não cumpram essa função.

Em paralelo, ao criar uma governança interna nas empresas para o tratamento de dados pessoais, impondo deveres e responsabilidades legais aos entes e indivíduos relacionados a essa atividade, a não observância à LGPD pode resultar em  responsabilização de natureza criminal para casos de omissão intencional, decorrentes da violação da lei, denominada posição de garante.

Isso significa que, caso ocorra algum ato omissivo em relação ao tratamento de dados sem que tenha sido evitado por quem detinha capacidade e dever jurídico de fazê-lo, resultando em alguma infração penal, poderá ser configurada a responsabilidade criminal do garante por omissão imprópria.

Assim, confere-se relevância às especiais atribuições do garante para fins de eventual imputação do delito. Na esfera da proteção de dados, o controlador detém a competência sobre as decisões de tratamento de dados e o operador, por sua vez, realiza o tratamento dos dados em nome do controlador. Ambos, além de precisarem garantir a segurança dos dados, devem seguir boas práticas de governança no tratamento e atualizá-las periodicamente, sempre observando ao menos o padrão mínimo disposto na LGPD, para evitar a criação de riscos significativos.

Ainda dentro da governança, a LGPD prevê a figura do encarregado, indivíduo indicado pelo controlador ou operador, responsável pela comunicação entre controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado deve ser facilmente identificável e tem como função: (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da autoridade nacional e adotar providências; (iii) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e, (iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. Nesse caso, esse indivíduo não pode ser omisso, pois possui o dever de agir para evitar risco e/ou violação aos dados que estão sob sua tutela, notadamente nas situações mencionadas.

Caso o encarregado não oriente aqueles que tratam os dados sobre práticas de proteção e preservação e, a partir dessa ausência de orientação venha a ocorrer a divulgação imotivada de dados de forma danosa ao seu titular, essa omissão será penalmente relevante e poderá sujeitá-lo às penas do crime de violação de segredo profissional ou outro aplicável.

Esses são alguns exemplos que demonstram que as empresas e órgãos públicos devem reforçar os mecanismos de prevenção de risco e fiscalização das atividades de seus agentes de tratamento (controladores e operadores) e encarregados, considerando a potencial responsabilidade criminal não apenas por força de ações, como também de omissões decorrentes da posição de garante ostentadas por esses sujeitos.

*Filipe Lovato Batich, advogado associado da prática White Collar & Compliance do Madrona Advogados. Mestre em Direito Penal pela Universidade de São Paulo (FD-USP). Professor universitário

*Rhasmye El Rafih, advogada associada da prática White Collar & Compliance do Madrona Advogados. Mestranda em Direito pela Universidade de São Paulo, campus de Ribeirão Preto (FDRP-USP)

Comentários

Os comentários são exclusivos para assinantes do Estadão.