princípios norteadores, bases legais e os impactos das sanções administrativas.
1 Introdução
A entrada em vigor de parte da Lei Geral de Proteção de Dados (Lei n. 13.709/2018), em 18 de setembro de 2020 reacendeu o debate acerca da coleta e armazenamento de dados pessoais, trazendo à baila questionamentos sobre a aplicabilidade das sanções administrativas previstas pela lei. A despeito da descrença de muitos, os artigos 52, 53 e 54 estão vigentes desde o dia 1º de agosto de 2021, logo, as pessoas jurídicas de direito privado, as pessoas físicas que tratam dados com finalidade econômica e os órgãos públicos precisam estar adequados para evitar as duras penalidades impostas pela LGPD.
Essa regulamentação há muito é debatida em decorrência do crescente uso indevido e venda de dados pessoais severamente potencializados pelo avanço da tecnologia. A quantidade de informações coletadas diariamente possibilita traçar o perfil do indivíduo, fomentando a indústria do consumo que se mantém alerta principalmente através das atividades dos usuários das redes sociais e das buscas pelo Google.
Existe, portanto, um conflito entre os direitos da personalidade pelos desdobramentos que a posse de dados pessoais pode oferecer ao titular e o desenvolvimento econômico, e é justamente essa relação que a LGPD pretende tutelar.
Em que pese as sanções administrativas terem entrado em vigor apenas no mês de agosto de 2021, os titulares de dados já levaram à apreciação do Poder Judiciário situações em que houve compartilhamento não autorizado. No Brasil, a primeira condenação por descumprimento da Lei n. 13.709/2018 foi a multa de R$10.000,00 (dez mil reais) aplicada a Cyrela, gigante do ramo imobiliário, que compartilhou os dados do cliente com empresas da área de arquitetura e móveis logo após a compra da unidade autônoma.
Ante o exposto, o objetivo do presente estudo é contribuir para o debate sobre o tratamento de dados nos moldes da legislação e o impacto que sua inobservância pode causar às empresas.
2 Princípios e bases legais da Lei Geral de Proteção de Dados
O art. 2º da Lei n. 13.709/2018 elenca os fundamentos nos quais se sustenta a proteção de dados, in verbis:
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A autodeterminação informativa consiste na possibilidade conferida a todo indivíduo de controlar seus dados pessoais, isto é, cabe a ele decidir se a informação pode ou não ser objeto de tratamento (coleta, uso, armazenamento e transferência), exceto nas situações em que a legislação lhe impõe.
Tal fundamento vem para fazer frente ao uso indiscriminado de informações pessoais, reforçando o objetivo da LGPD de equilibrar os direitos da personalidade com a necessidade econômica de se tratar dados:
Longe de obstaculizar por completo o uso de dados que se fazem tão importantes à contemporaneidade, a lei traça o que virá a ser o pilar para o uso correto dos dados conferindo-lhes tratamento adequado dentro das bases legais, com salvaguarda da autodeterminação do usuário, atendimento de interesses legítimos e dos padrões de transparência, verificação e responsabilidade. (GARCEL, MORO, SOUZA NETTO, HIPPERTT, 2020, p. 320).
Em suma, os princípios e as bases legais (art. 6º e 7º da Lei n. 13.709/2018) devem balizar todo e qualquer tratamento de dados a partir da vigência da lei, sendo assim, os dados a serem coletados devem ser apenas os necessários para a concretização da finalidade. O que implica dizer que, ao fornecer seus dados pessoais, o titular terá ciência do motivo pelo qual são necessários, sendo vedado o uso ou compartilhamento dos mesmos para finalidades diversas, isso porque, conforme discorre Botelho:
[…] pessoa natural encontra-se em evidente posição de vulnerabilidade, pois parte de seus dados pessoais estão à disposição de terceiros sem que ela tenha domínio sobre isso, colocando em risco a privacidade, intimidade e dados pessoais (BOTELHO, 2020, p. 200)
Nesse sentido, além da observância aos princípios da necessidade, da adequação, da finalidade, da qualidade dos dados, do livre acesso pelo titular, da transparência, da qualidade, da segurança, da prevenção, da não discriminação e da responsabilização e prestação de contas, a coleta e o tratamento de dados deve ser sustentada por uma base legal, visto que “[…] se não houver base legal a um determinado tratamento, este não poderá ocorrer ou subsistir, sequer na forma de armazenamento” (MALDONADO, 2019, p.16).
O consentimento do titular (art. 7º, I da Lei n. 13.709/2018) é a base legal mais explorada e difundida quando se fala em Lei Geral de Proteção de Dados, entretanto deve ser usada com especial cuidado porque o consentimento não poderá ser genérico (observando a finalidade específica) e ao titular é facultado revogar o consentimento a qualquer tempo. Destarte, não é recomendado seu uso indiscriminado para a coleta de dados em excesso e que divergem da finalidade.
São elencadas, ainda, outras nove bases legais no artigo supramencionado, sendo elas: para o cumprimento de obrigação legal ou regulatória pelo controlador; pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; para o exercício regular de direitos em processo judicial, administrativo ou arbitral; para a proteção da vida ou da incolumidade física do titular ou de terceiro; para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Outra base legal que gera bastante controvérsia é a denominada legítimo interesse, haja vista que o art. 10 da Lei Geral de Proteção de Dados determina que poderá ocorrer o tratamento de dados desde que exista legítimo interesse do controlador ou de terceiros. Contudo, o conceito inscrito na legislação é extremamente vago, portanto, arriscado, ante a subjetividade do que seria um interesse legítimo apto a ensejar o tratamento de determinados dados, por isso que no §3º traz a possibilidade da ANPD (Autoridade Nacional de Proteção de Dados) “[…] solicitar ao controlador relatório de impacto à proteção de dados pessoais […]”. (BRASIL, 2018)
Destarte, o cumprimento dos princípios e a imposição de base legal autorizadora para coleta e tratamento de dados é fundamental para que sejam evitadas as penalidades trazidas pelos artigos 52, 53 e 54 da Lei n. 13.709/2018, consoante se verificará no tópico a seguir.
3 O caso Cyrela e as sanções administrativas da LGPD
É cediço que as sanções administrativas da LGPD não entraram em vigor junto com os demais artigos a fim de que fosse conferido um prazo razoável para que as pessoas jurídicas de direito privado, os órgãos públicos e as pessoas físicas que tratam dados com finalidade econômica se adequassem às imposições legais.
Decorrido quase um ano do início da vigência da lei, desde o dia 1º de agosto de 2021 a Autoridade Nacional de Proteção de Dados pode multar, bloquear e suspender tratamento de dados – além de outras penalidades – das empresas que infringirem a legislação de proteção de dados.
Todavia, antes mesmo que tais penalidades pudessem ser aplicadas, o Poder Judiciário já estava apreciando demandas em que o objeto era o vilipêndio à Lei n. 13.709/2018, como foi o caso da Netshoes, da Serasa Experiane da Cyrela, sendo esta a de maior repercussão.
No processo de número 1080233-94.2019.8.26.0100, com trâmite perante a 13ª Vara Cível da comarca de São Paulo, a magistrada condenou a Cyrela ao pagamento de R$10.000,00 (dez mil reais) ao cliente que, após a compra de um apartamento, teve seus dados compartilhados com empresas dos segmentos de arquitetura, construção e fornecimento de móveis planejados, além de instituições financeiras e consórcios.
Devidamente comprovado o assédio sofrido pelo consumidor que foi ocasionado pelo fornecimento de dados a terceiros sem observância da finalidade específica (nesse caso, a aquisição do imóvel), a LGPD demonstrou sua força nas relações consumeristas. (ANGELO, 2020)
Ademais, a lei também já foi citada em 139 (cento e trinta e nove) reclamações trabalhistas até janeiro de 2021, evidenciando sua extensão a toda e qualquer relação que envolva titular de dados e o tratamento dos mesmos (2021, online).
A adequação à Lei Geral de Proteção de Dados é medida urgente, sob pena de prejuízos irreparáveis para as empresas que coletam e armazenam dados pessoais, sejam eles sensíveis ou não.
O art. 52 da referida lei prevê as penalidades que poderão ser aplicadas aos transgressores, que vão desde a advertência para adoção de medidas corretivas, passam pelas multas que podem ser de 2% (dois por cento) do faturamento do exercício anterior até R$50.000.000,00 (cinquenta milhões de reais) por infração, podendo culminar ainda na suspensão por prazo determinado ou proibição total ou parcial do tratamento de dados, que inegavelmente provoca um dano sem precedentes a qualquer negócio.
No entanto, há que se ressaltar que tais sanções serão aplicadas de forma adequada e proporcional, considerando que a Lei Geral de Proteção de Dados prestigia a boa-fé (art. 52, §1º, II) e as boas práticas e governança (arts. 50, 51 e 52, §1º, IX), transcendendo seus efeitos para além de uma adequação voltada para o cumprimento da lei, posto que se pretende a criação de uma cultura de proteção de dados.
Nesse diapasão, destaca-se:
Vale destacar que, tão importante quanto o fornecimento do consentimento do titular para que se autorize o tratamento de dados, conforme previsto no art. 7º, I, da LGPD, é o respeito que a boa-fé exige quanto ao seu uso. Por isso, torna-se imprescindível o cumprimento do dever de cooperação dos agentes de tratamento de dados para com os titulares de dados. Conforme disposto nos arts. 46 e 47 da LGPD, o princípio da boa-fé impõe a adoção de procedimentos de segurança no armazenamento, eliminação e descarte dos dados, para que terceiros não tenham acesso a essas informações. Isso vale tanto para o simples ato de jogar papeis no lixo, quanto para sofisticadas plataformas e bancos de dados. (FILHO, 2020, p. 147)
Desse modo, no momento de aplicação da penalidade, a ANPD observará a boa-fé do infrator, a gravidade da infração, o proveito econômico auferido com a conduta, o grau do dano causado, a condição econômica do agente infrator, sua cooperação, a reincidência, além da pronta implantação de medidas corretivas (art. 52, §1º, I ao XI). Ressalta-se que a punição na esfera administrativa não obstaculiza a responsabilização civil ou criminal, mas restarão asseguradas a ampla defesa e o contraditório (art. 5º, LV da CF/88).
4 Considerações finais
Muito se questionou se a Lei Geral de Proteção de Dados teria aplicabilidade na prática e se haveria punição aos agentes de tratamento que não observassem as normas nela contidas. Contudo, desde o dia 1º de agosto de 2021 caiu por terra qualquer suposição de que a lei “não pegaria”, visto que o temor pelas sanções administrativas provocou naqueles que não haviam se adequado até então, o sentimento de urgência.
A necessidade de se tutelar os dados que identifiquem ou possam identificar as pessoas naturais decorre do avanço da tecnologia, da informação como objeto de vantagem econômica e dos perigos oriundos de uma crescente facilitação de acesso aos dados de qualquer indivíduo.
O titular de dados é, sem dúvidas, parte vulnerável quando se analisa o tratamento de dados, seja ele realizado de forma física ou digital.
Os mecanismos previstos na Lei n. 13.709/2018 para equilibrar o desenvolvimento econômico, que é dependente da coleta, do armazenamento e até mesmo do compartilhamento de dados, e os direitos fundamentais à liberdade, à privacidade, à honra, e demais direitos inerentes à personalidade são observados nos artigos 6º e 7º, que determinam quais os princípios o tratamento de dados deve observar, além de impor situações autorizadoras para tal prática (ao delimitar as bases legais).
Imperioso, ainda, aproximar a LGPD das relações reais e corriqueiras, tendo em vista que se criou um mito em torno do vazamento de dados diretamente associado a invasão de softwares por hackers.
Não há dúvidas de que a segurança da informação é um dos pilares da proteção de dados, no entanto é equivocada a ideia de que o cuidado no tratamento dos mesmos se limita ao digital: a proteção de dados pessoais está até mesmo no descarte de uma ficha cadastral física do cliente de uma pequena empresa, bem como também está nas informações que o RH transmite ao contador para o registro de colaboradores.
É justamente por essa razão que até mesmo o Microempreendedor Individual (MEI) precisa se adequar à Lei Geral de Proteção de Dados. O fato gerador da obrigação de proteger dados é coletá-los e fazer uso deles, independente do porte da organização e da complexidade de seu tratamento.
Referências
ANGELO, Tiago. Juíza aplica LGPD e condena construtora que não protegeu dados de cliente. Consultor Jurídico, 2020. Disponível em: https://www.conjur.com.br/2020-set-30/compartilhar-dados-consumidor-terceiros-gera-indenizacao. Acesso em: 12 de agosto de 2021.
BOTELHO, Marcos. A proteção de dados pessoais enquanto direito fundamental: considerações sobre a lei geral de proteção de dados pessoais. Argumenta Journal Law, Jacarezinho – PR, Brasil, n. 32, 2020, p. 191-207.
BRASIL. Constituição 1988. Constituição da República Federativa do Brasil. Brasília, DF: Senado, 1988.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03_ato2015-2018/lei/L13709.htm. Acesso em 4 de ago. 2021.
BRASIL. Câmara dos Deputados. Projeto de Lei no. 2.630 de 03 de julho de 2020. Institui a Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet. Disponível em: https://www.camara.leg.br/proposicoesWeb/ fichadetramitacao?idProposicao=2256735. Acesso em 10 ago. 2021.
FILHO, Eduardo Tomasevicius. O princípio de boa-fé na Lei Geral de Proteção de Dados. Consultor Jurídico, 2020. Disponível em: <https://www.conjur.com.br/2020-mar-09/direito-civil-atual-principio-boa-fe-lgpd>. Acesso em: 14 de agosto de 2021.
GARCEL, Adriane; MORO, Sergio Fernando; SOUZA NETTO, José Laurindo de; HIPPERTT, Karen Paiva. Lei geral de proteção de dados: diretrizes e implicações para uma sociedade pandêmica. Coletâneas de artigos jurídicos: em homenagem ao Professor José Laurindo de Souza Netto. Viviane C. de S. K., Adriane G., José L. de S. N. 1.ed., Curitiba: Clássica Editora, 2020. ISBN 978-65-87965-03-1. pg 319-344.
Lei Geral de Proteção de Dados foi citada em 139 ações trabalhistas. Consultor Jurídico, 2021. Disponível em: <https://www.conjur.com.br/2021-jan-20/lei-geral-protecao-dados-foi-citada-139-acoes-trabalhistas>. Acesso em: 15 de agosto de 2021.
MALDONADO, Viviane Nóbrega (coord.). LGPD: Lei Geral de Proteção de Dados Pessoais: manual de implementação. São Paulo: Revista dos Tribunais, 2019.
