Em dois artigos anteriormente publicados no Blog do Fausto tive a oportunidade de manifestar minha opinião - e preocupação - de que, a partir da vigência da Lei Geral de Proteção de Dados (LGPD) e da conscientização ainda maior do consumidor, as empresas devem esperar o ajuizamento de inúmeras ações com pedidos de ressarcimento de danos morais sofridos em razão do compartilhamento ou tratamento indevido de dados.
Nas duas oportunidades defendi que essas ações virão e que o principal ponto de defesa dessas empresas é justamente comprovar a implementação de um programa de conformidade de maneira realmente comprometida, realizando a avaliação de todo o ciclo de vida de dados, relações com parceiros e colaboradores, adotando todas as medidas cabíveis para assegurar proteção de dados e privacidade aos titulares.
Pois bem. Já na primeira sentença proferida durante a vigência da Lei Geral de Proteção de Dados é possível perceber o despreparo do Judiciário para lidar com o tema, mormente quando nos deparamos com afirmações como "Irrelevante se a ré possui mecanismos eficazes para a proteção de dados". A impropriedade desse tipo de raciocínio simplista salta aos olhos já numa análise principiológica da Lei.
A esse teor, um dos princípios para o tratamento de dados é justamente o princípio da prevenção que determina, no Art. 6º, inciso VIII da Lei, a "adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais".
Numa análise um pouco mais atenta desse dispositivo verifica-se que a locução utilizada é justamente "prevenir" e não "impedir". E não poderia ser diferente. É preciso que se entenda uma questão: não é se o dado vai vazar, mas quando o dado vai vazar.
Por mais que a empresa invista, adeque e possua os mecanismos de tecnologia mais avançados, um e-mail enviado para a pessoa errada e o dado vazou. Por mais que a empresa invista, treine e sensibilize, basta um colaborador mal intencionado que esse dado vai vazar. O que as empresas podem fazer nesses casos é justamente prevenir o tratamento indevido de dados.
Considerar irrelevante se a empresa tomou as precauções necessárias e imputar responsabilidade por qualquer empresa que não impeça o vazamento de dados, não apenas desconsidera o que a própria Lei dispõe sobre o tema, como põe por terra todos os esforços de milhares de empresas e empresários que, preocupados e sensibilizados sobre o tema, estão a conduzir programas de conformidade de proteção de dados e privacidade.
O que o Judiciário terá que entender é que a aplicação desmedida da responsabilização objetiva da cadeia de fornecimento do produto ou serviço no caso de tratamento indevido de dados poderá trazer - e irá trazer - inúmeras distorções que, certamente, não se coadunam com a vontade do legislador gerando a punição desmedida de empresas efetivamente preocupadas com o tema.
*Natália Brotto é advogada, mestranda em Direito dos Negócios pela Escola de Direito de São Paulo da Fundação Getúlio Vargas, especialista em Direito Constitucional e em Direito Contratual. Certificada pela Exin em Privacy e Data Protection Foundation
