A Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/2018) tem sido objeto de nossas reflexões em nossos escritos [1] e em nosso podcast acadêmico. [2] Também temos analisado problemas relacionados à competência da Autoridade Nacional de Proteção de Dados (criada pela Lei 13.853/2019).
A maior parte da LGPD já está em vigor. No entanto, a Lei 14.010/2020 (que dispôs sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado no período da pandemia do coronavírus, Covid-19) estabeleceu que os artigos 52 a 54 da LGPD entrarão em vigor em 01.08.2021. Esses dispositivos dizem respeito às sanções administrativas que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados.
A disciplina normativa atinge todas as pessoas, naturais ou jurídicas, de direito privado ou de direito público, grandes ou pequenas.
Alguns exemplos:
O recente vazamento de dados de mais de 200 milhões de brasileiros e de empresas, amplamente noticiado, revelou que quaisquer pessoas podem ser vítimas de violação à sua privacidade. Não apenas dados como número de documentos pessoais (como CPF ou CNPJ), mas também informações como endereços, número de telefones celulares, renda, participação societária, score de crédito, dentre outros, acabaram sendo expostos. Por ocasião da elaboração deste texto, ainda não está clara a fonte dessas informações (isto é, de onde elas foram “vazadas”). Mas o fato é que todas essas informações foram, sim, divulgadas, e o dano é irreversível.
Esse grave evento chama a atenção, por outro lado, para os deveres daqueles que operam os dados pessoais, bem como de suas responsabilidades. Diante disso, é indispensável, por exemplo, que tanto o pequeno empresário quanto a grande rede varejista, tanto o plano de saúde de âmbito nacional quanto o médico que trabalha solitariamente em sua clínica, tanto o advogado autônomo quanto os grandes escritórios de advocacia, enfim, todos aqueles que operam dados pessoais ocupem-se com cuidados básicos realizando medidas que evitem a lesão aos direitos previstos na LGPD. As sanções previstas na Lei vão desde a simples advertência até a proibição total do exercício de atividades relacionadas a tratamento de dados. Isso tudo não exclui, evidentemente, a responsabilidade por danos individuais e coletivos.
Importante compreender, por exemplo, de quais dados uma empresa dispõe a respeito de seus clientes. A empresa precisa ter todas essas informações a respeito de cada um de seus clientes? Essas informações foram prestadas com o consentimento do cliente? Quantos funcionários da empresa têm acesso a esses dados e podem dele dispor, seja entre os próprios integrantes da equipe, seja em relação a terceiros? Quem é o responsável pelos dados, em cada setor da empresa? Quem é o encarregado de responder as solicitações dos titulares de dados pessoais?
Note-se que, de acordo com a Lei, o controlador deverá indicar um encarregado pelo tratamento de dados pessoais, cuja identidade e informações de contato deverão ser divulgadas publicamente. A ele incumbe, por exemplo, aceitar reclamações e comunicações dos titulares, receber as comunicações da autoridade nacional, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.
Importante, assim, que sejam identificados eventuais problemas que estejam ocorrendo quanto ao tratamento de dados. Por exemplo, informações pessoais de clientes circulam entre os funcionários sem qualquer controle, por e-mail (pessoal ou institucional) ou pelo whatsapp ou telegram? Indispensável implantar toda uma cultura voltada à proteção dos dados, evitando riscos de lesão – e, consequentemente, de responsabilização administrativa ou civil, como antes se mencionou. Por exemplo, necessário definir, em um escritório de contabilidade ou em uma clínica médica, quem tem acesso a informações, e a quais tipos de informação, e ao modo como essas informações podem ser acessadas e compartilhadas.
Os pontos que levam a sanções administrativas ainda carecem, em boa medida, e por ocasião da elaboração deste texto, de regulamentação pela Autoridade Nacional de Proteção de Dados. O mesmo não sucede, no entanto, com a responsabilização civil.
É imperioso, assim, que todos aqueles que operem com dados pessoais implantem um programa de compliance a fim de se ajustar às regras previstas na Lei Geral de Proteção de dados. Em alguns casos isso haverá de ser bastante simples, mas em outros o trabalho a ser desenvolvido deverá ter maior grau de refinamento, a depender das características de uma empresa. Não se trata, no entanto, de algo a ser encarado como um gasto. Trata-se, ao contrário, de um investimento. Afinal, os pacientes de um médico, os alunos de uma escola, os hóspedes de uma rede hoteleira, enfim, todos aqueles que integram o mercado consumindo produtos e serviços tendem a dar maior valor aos fornecedores que ostentarem ter condições de assegurar segurança de dados e privacidade. Não é de se descartar, inclusive, que essa qualidade possa figurar como um diferencial em um mercado altamente competitivo.
[1] Cf., especialmente, Constituição Federal Comentada, 6.ed., Ed. Revista dos Tribunais, 2021, comentário ao art. 5.º, X e ao art. 37, § 3.º da Constituição, dentre outros.
[2] Cf., particularmente, episódios 13 e 15 de nosso podcast acadêmico, disponível em <https://spoti.fi/3aDK1A7>.
