Não é exagero dizer que este
domingo (1º/8) é um dia histórico para a proteção de dados pessoais no Brasil.
Quase um ano depois da entrada em vigor da Lei Geral de Proteção de Dados
Pessoais (LGPD), finalmente podem começar a ser aplicadas as sanções nela previstas.
E não se deve dizer que são punições leves, uma vez que o teto da multa a ser
imposta à empresa que não respeitar a lei é R$ 50 milhões.
No entanto, não se espera que a
Autoridade Nacional de Proteção de Dados seja muito rigorosa na aplicação das
multas, pelo menos não em um primeiro momento. Especialistas em proteção de
dados ouvidos pela ConJur acreditam que a ANPD deverá adotar inicialmente uma
postura muito mais didática do que punitiva.
“A ANPD já se manifestou no
sentido de que não vai buscar uma atuação no sentido puramente punitivo. Ela
quer encaminhar um modelo de regulação responsiva onde seja capaz de induzir e
direcionar os regulados a se adequarem à legislação independentemente das
sanções, por meio de estímulos normativos pedagógicos, de modo que as medidas
punitivas seriam a última alternativa”, disse o advogado Laércio Sousa,
responsável pela área de Direito Digital do escritório Velloza Advogados.
Sousa acredita que a aplicação
massiva de multas só ocorrerá em uma segunda fase de fiscalização da LGPD,
quando se espera que as empresas brasileiras já estarão mais bem equipadas para
tratar os dados pessoais das pessoas físicas com as quais se relacionam. Mesmo
assim, os operadores do Direito que atuam nessa área alertam: os empresários
farão péssimo negócio se acreditarem que não precisam se apressar para se
adequar às determinações da lei.
“É comum ouvir executivos
dizerem: ‘Minha empresa é B2B, por isso não preciso me preocupar’. Isso não é
uma verdade. Quase toda organização lida com dados pessoais, nem que sejam os
dados das pessoas internas (empregados), e as atuais práticas precisam passar
por uma avaliação. Se questionadas, as empresas precisam ter condições de
provar que possuem um programa de conformidade adequado às suas atividades,
baseado em políticas e regras de boas práticas”, opinou Renato Valença,
especialista em LGPD do Peixoto & Cury Advogados.
“Por exemplo, a coleta de
dados deve se limitar àqueles para a finalidade a que se destinam. Se não é
necessário coletar a data de nascimento do consumidor no cadastro que ele fizer
para aquisição de produtos no e-commerce, esse é um dado que não deve ser
coletado. Da mesma forma, é preciso ter precaução com o envio e o
compartilhamento dos dados para terceiros: se a empresa não tiver obrigação
legal ou motivo, e não informar na sua política sobre esse compartilhamento,
não pode compartilhar dados com terceiros”, explicou Maria Cibele Crepaldi
Affonso dos Santos, sócia gestora do Costa Tavares Paes Advogados.
Falta a doutrina
Não só a LGPD é uma novidade como
o próprio tema da lei – tratamento de dados pessoais – continua sendo um
território pouco explorado pelo Judiciário brasileiro. Por isso mesmo, ainda
não foi formada uma doutrina sobre o assunto, o que cria um certo clima de
insegurança jurídica, como explica Paulo Vinícius de Carvalho Soares, sócio e
DPO da banca Lee, Brock, Camargo Advogados.
“A LGPD é uma lei nova e,
por óbvio, suas disposições não estão completamente inseridas nas realidades
mercadológicas. O Judiciário já experimenta o tema desde a vigência da norma,
mas, certamente, não está maduro para lidar com as demandas. A norma carece de
doutrina nacional sólida e, inclusive, de posicionamentos da Autoridade
Nacional de Proteção de Dados, cujo trabalho ainda é prematuro”, explicou
ele. “O caminho parece se desenhar para a maturidade do tema, sobretudo em
razão da expressividade dos acionamentos judiciais na matéria, mas a trilha
ainda é longa, uma vez que ainda será necessário verificar o entendimento não
só dos tribunais estaduais e federais, mas também do STJ e STF sobre o
assunto”.
Quando fala sobre expressividade
dos acionamentos judiciais na matéria, Soares não está exagerando. O fato de o
Judiciário brasileiro ainda não estar devidamente familiarizado com o tema – e
de as sanções da LGPD só poderem ser aplicadas a partir deste domingo – não
impediu que cidadãos e associações de defesa dos consumidores fossem aos
tribunais pedindo a aplicação da lei, nem sempre com as melhores intenções. As
ações civis públicas contra empresas acusadas de violar dados pessoais já
chegam a às centenas – só uma associação de Belém, por exemplo, ajuizou 72
ACPs.
“As ações continuam sendo
ajuizadas e as empresas e instituições não foram sequer notificadas
extrajudicialmente para que pudessem tomar conhecimento sobre o que estariam
fazendo de errado. Esse procedimento chama a atenção pela forma descuidada com
que essas ACPs são ajuizadas, além dos pedidos não serem minimamente razoáveis
dentro da lógica prevista na LGPD”, relatou Daniel Cavalcante Silva, sócio
da Covac Sociedade de Advogados.
Entre as empresas e instituições
acionadas por meio de ações civis públicas estão concessionárias de veículos,
locadoras de automóveis, oficinas mecânicas, supermercados, farmácias, escolas,
instituições de ensino superior, cursos de línguas, entidades assistenciais,
hospitais, laboratórios, clínicas médicas e operadoras de planos de saúde. Para
Daniel Silva, isso mostra que consumidores e associações estão atirando para
todos os lados, inclusive nos valores das ações – uma delas chega a R$ 10
milhões.
“Esse tipo de procedimento
reprovável não é necessariamente novo, mas vem ganhando contornos diferentes em
função da LGPD. Não restam dúvidas de que essas ações equivocadas prejudicam
aquelas que realmente buscam a proteção dos titulares dos dados, que adentram
na circunstância fática ocorrida e fazem a correta análise com base na LGPD,
sobretudo aquelas ações coletivas que tentam de fato minorar o prejuízo dos
danos já ocorridos pelos vazamentos de dados divulgados. Essas ações não podem
se confundir com as ACPs ajuizadas por mero oportunismo, que claramente não
objetivam a defesa do consumidor e muito menos a proteção de dados
pessoais”, afirmou o advogado. (
Foto: Divulgação