Por Luisa Brasil Magnani*

A inesperada reviravolta na data de entrada em vigor da Lei Geral de Proteção de Dados (LGPD) colocou os setores produtivo e de serviços em alerta sobre a necessidade de se adequar à nova legislação o quanto antes.

Após o Senado retirar da MP 959/2020 o dispositivo que adiava a vigência da Lei para maio de 2021, a Lei começou a vigorar na última sexta-feira (18/09).

Para os agentes de tratamento que ainda não iniciaram seus programas de adequação, uma frase parece uma tábua de salvação: as sanções administrativas previstas nos artigos 52, 53 e 54 – a serem aplicadas pela Autoridade Nacional de Proteção de dados (ANPD) – continuam adiadas para agosto de 2021.

Apegar-se a esta assertiva, no entanto, é temerário. As sanções administrativas têm sido a faceta mais evidente e chamativa das penalidades que poderão ser aplicadas pela violação aos deveres de proteção de dados pessoais. Especial atenção é dada ao valor das multas pecuniárias, que poderão chegar a 2% do faturamento total da empresa, limitadas a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Estas e outras sanções foram adiadas para o mês de agosto de 2021 de forma prudente, uma vez que a Autoridade Nacional de Proteção de dados (ANPD) sequer foi plenamente constituída, e ainda pairam muitas dúvidas e questões que deverão ser regulamentadas pela entidade. Somente em 26/08/2020 foi aprovado o Decreto 10.474, que dispõe sobre a estrutura regimental da Autoridade, mas a definição sobre os integrantes ainda segue como uma incógnita.

O adiamento das sanções administrativas, no entanto, não isenta os agentes de tratamento da responsabilidade de colocar em prática, o quanto antes, seus programas, políticas e mecanismos de proteção de dados pessoais.

Embora as sanções administrativas aplicáveis pela ANPD sejam o aspecto mais discutido quando se fala em infrações à LGPD, outros tipos de sanções já são aplicáveis. Ou seja, as obrigações inscritas na Lei são cogentes e sujeitas à tutela judicial, independentemente da atuação da Autoridade.

No que diz respeito ao enforcement judicial das obrigações contidas na nova legislação, a responsabilidade civil decorrente do tratamento irregular e da violação aos direitos dos titulares, expressa no art. 42 e seguintes, aplica-se a controladores e operadores, que poderão responder inclusive de forma solidária por danos causados aos titulares. Portanto, titulares que tenham seus direitos violados poderão acionar judicialmente os agentes de tratamento.

Além de condenações pecuniárias, o Judiciário possui poder para impor obrigações de fazer e não fazer aos agentes de tratamento diante de uma situação de violação levada à apreciação judicial.

Se havia ainda dúvidas sobre a disposição dos titulares de dados para procurar o Judiciário, tudo indica que irão se dissipar rapidamente. Já nesta primeira semana de vigência da LGPD, uma ação proposta em face do Consórcio que administra o transporte coletivo de Recife foi ajuizada por um estudante que questiona o uso da biometria no sistema de bilhetagem do transporte público na capital pernambucana¹.

A Lei também foi incisiva ao dispor sobre o cabimento dos mecanismos de tutela coletiva na garantia dos direitos dos titulares, trazendo previsões específicas nos artigos 22 e 42, caput e § 3º. Portanto, além de ações individuais que podem ser promovidas diretamente pelos titulares de dados, entidades de fiscalização como o Ministério Público e associações possuem legitimidade para atuar judicialmente na defesa dos direitos difusos e coletivos.

Esta atuação, inclusive, podia ser observada no Ministério Público antes mesmo da entrada em vigor da Lei, em especial por meio da Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec), do Ministério Público do Distrito Federal e Territórios (MPDFT), que tem atuado com base em legislações complementares à LGPD, como o Marco Civil da Internet e o Código de Defesa do Consumidor.

Já sob a vigência da LGPD, a Espec ajuizou ação civil pública contra uma empresa que comercializava dados pessoais na internet, para fins de marketing². De acordo com o Ministério Público, a mesma comercializa informações pessoais como nomes, e-mails, endereços postais ou contatos para SMS, bairro, Cidade, Estado e CEP’s por meio de site na internet. Ainda segundo consta na ação, o site da empresa oferece, por exemplo, dados segmentados por profissões, como cabeleireiros, corretores, dentistas, médicos, enfermeiros, psicólogos, entre outros, em pacotes vendidos de R$ 42 a R$ 212,90.

Em tempo recorde, a ação foi extinta sem resolução de mérito, sob o fundamento de ausência de interesse, uma vez que o site saiu do ar após a propositura da ação.

É válido pontuar a estreita relação existente entre a LGPD o direito consumerista, uma vez que um dos principais campos de aplicação da lei é justamente na relação entre fornecedor/consumidor, atualmente uma das maiores fontes de coleta e tratamento de dados para fins publicitários, de incremento de vendas, desenvolvimento de sistemas de recomendação de produtos, planejamento logístico, entre outros.

Contudo, como bem apontado recentemente por Rony Vainzof, Ricardo Martins³ e Paulo Lilla⁴, a massificação de demandas judiciais envolvendo a LGPD é um risco que pode onerar financeiramente diversos segmentos que atuam com o tratamento demasiado e intensivo de dados pessoais. A ideia não é que a LGPD se transforme em um nicho a ser explorado de forma oportunista, ou tampouco um novo Código de Defesa do Consumidor – em que pese a complementariedade entre as duas leis.

Como observam Vainzof e Martins, “embora não se possa descuidar da importância da proteção dos dados pessoais — reconhecida como direito fundamental já contemplado em nossa Constituição Federal pelo Supremo Tribunal Federal, no julgamento da Ação Direta de Inconstitucionalidade (ADI) nº 6.387 — não se deseja também uma nova sobrecarga de demandas de caráter repetitivo sobre possíveis violações de dados pessoais no Poder Judiciário”.

Fato é que antes da entrada em vigor da lei, os tribunais brasileiros já vinham sendo provocados a se posicionar sobre assuntos envolvendo a proteção de dados pessoais. Em um dos casos recentes de maior repercussão, a proteção de dados foi reconhecida como um direito fundamental pelo Supremo Tribunal Federal, no julgamento de medida cautelar Ação Direta de Inconstitucionalidade (ADI) nº 6.387, adotando postura protetiva em relação aos titulares.

O caso levado ao Plenário do STF discutia a suspensão da Medida Provisória (MP) 954/2020, que prevê o compartilhamento de dados de usuários de telecomunicações com o Instituto Brasileiro de Geografia e Estatística (IBGE) para a produção de estatísticas durante a pandemia do novo coronavírus.

Na ocasião, a relatora, Ministra Rosa Weber, consignou que dados pessoais integram “o âmbito de proteção das cláusulas constitucionais assecuratórias da liberdade individual (art. 5º, caput), da privacidade e do livre desenvolvimento da personalidade (art. 5º, X e XII)”⁵.

Além da apreciação judicial de conflitos envolvendo a violação de dados pessoais, existem outros órgãos administrativos com poder fiscalizatório (Senacon, Procons, Banco Central, entre outros), os quais também possuem competência para aplicação de sanções, desde que dentro de suas esferas de atuação.

Evidente, portanto, que o termo “adiamento das sanções da LGPD” pode trazer uma falsa sensação de segurança aos agentes de tratamento. Em verdade, adotar uma postura passiva até agosto de 2021 é temerário, podendo resultar não só em prejuízos para os titulares de dados, como em sanções fora do escopo da ANPD.

Se todos estes argumentos não fossem suficientes, vale pontuar que a adequação aos princípios e ditames da LGPD é um processo contínuo, que envolve desde o mapeamento de atividades de todos os setores de uma organização, revisões de contratos, implementação de políticas e estrutura de governança, mudanças na cultura interna e engajamento de colaboradores via treinamentos, capacitações e a própria educação coorporativa.  Aqueles que iniciarem a jornada com antecedência certamente estarão navegando em águas mais tranquilas quando as sanções administrativas da ANPD chegarem.

¹ Ação nº 0060336-35.2020.8.17.2001, em trâmite perante a 18ª Vara Cível de Recife.

² Ação civil pública nº 0730600-90.2020.8.07.0001, em trâmite perante a 5ª Vara Cível de Brasília.

³ Fonte: https://www.conjur.com.br/2020-ago-05/martins-vainzof-judicializacao-nao-seja-normal-lgpd3

⁴ Fonte: https://www.migalhas.com.br/depeso/327346/o-caso-tiktok-e-os-riscos-de-consumerizacao-da-lgpd

⁵ STF. MCA NA ADI 6.388 DISTRITO FEDERAL. Relatora: Ministra Rosa Weber. Data da decisão: 24/04/2020

* Luisa Brasil Magnani é advogada da área contenciosa digital do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados.