A responsabilidade das empresas na Lei Geral de Proteção de Dados

Resumo: Este artigo científico visa demonstrar a responsabilidade no que cerne à segurança dos dados pessoais dos usuários que se cadastram em instituições públicas e privadas, seja para fins de obrigações legais, como declaração de créditos fiscais, bens para a Justiça, ou sobre informação de renda para o fisco, mas também nos casos de cadastro por parte do usuário, como é nos casos de compras pela internet ou criação de perfis nas redes sociais. A importância de se preservar e manter o sigilo das informações colocadas pelos clientes das empresas que recebem tais dados é a premissa básica do recente instituto que emergiu no ordenamento jurídico brasileiro, que será fortemente inserido no teor do artigo. Será exposto no presente artigo, as normais gerais definidas pela Lei Geral de Proteção de Dados, a LGPD, que iniciou sua vigência no ano de 2020, trazendo como diretrizes básicas a proteção dos direitos fundamentais da liberdade e da privacidade dos usuários. A legislação traz figuras importantes como o Chefe de Proteção de Dados, ou DPO, e a manifesta responsabilidade das coletoras dos dados ao armanezar de forma correta para que não haja casos de venda destas informações ou até mesmo vazamentos que 2fragilizem a intimidade de quem registra seus dados nas vias virtuais e físicas. Sem prejuízo dos conceitos iniciais, serão colocadas situações do Direito Digital baseadas no Direito Comparado Europeu e quais consequências as empresas coletoras de tais dados terão caso descumpram com o zelo e segurança definidos pela nova lei.

Palavras-chave: LGPD. Responsabilidade Civil. Dados. Direito Digital..

---

1.INTRODUÇÃO

Nos Séculos XV e XVI, a grande moeda de valor eram as especiarias, como a pimenta e demais temperos exóticos, assim como outros produtos como o algodão e a seda, onde surgiu a primeira grande multinacional, a Companhia Britânica das Índias Orientais, importância esta citada por Marx, que “na medida em que a indústria do algodão tornava-se de interesse vital para o edifício social da Granbretanha, as Índias Orientais tornavam-se de interesse vital para a indústria algodoeira britânica”.

Nos séculos seguintes, o ouro, e depois, o café, em especial no Brasil com seus ciclos econômico, tendo passado antes pela cana-de-açúcar e pelo pau-brasil. No Século XX, veio a expansão do capitalismo propriamente dito em escala global e a supervalorização do dinheiro e do petróleo. Eis então que chega o terceiro milênio.

No Século XXI, assim como aconteceu em outros tempos da história humana, adveio uma nova moeda de valor, hoje considerada uma das mais importantes: a informação, ou os dados. São estes dados que fazem com que empresas de mídia, montadoras de veículos, instituições financeiras, grandes lojas de departamentos, assim como as donas de notáveis marcas comerciais, consigam direcionar sua gama de clientes, de acordo com o que estes usuários pesquisam na internet e de acordo com o que eles consomem nos meios de comunição radiotelevisiva.

A questão é até onde vai este limite de divulgação das informações das pessoas. Existe ética empresarial em tais exposições ou até mesmo na venda dos dados? A ordem capitalista teria carta branca para usar moeda tão valiosa e assim violar a liberdade  e a privacidade dos indivíduos? Questionamentos como estes colocam à tona a necessidade de uma legislação que visa regulamentar os limites sobre o armazenamento das informações assim como impor condutas responsáveis às entidades que recebem os dados pessoais dos usuários para que não ocorra vazamentos indevidos ou comercialização do conteúdo para outras empresas direcionarem seu fluxo de mercado ignorando a intimidade de alguém.

Surge no Brasil no ano de 2018 e passando a vigorar em 2020, a Lei Geral de Proteção de Dados, conhecida como LGPD que determina princípios básicos para sua aplicação assim como definir a responsabilidade das empresas, além da criação de um órgão a nível nacional que irá supervisionar a conduta das instituições que lidam com o registro de dados.

---

2.A LEGISLAÇÃO SOBRE A PROTEÇÃO DE DADOS NO BRASIL

2.1.Princípios Fundamentais da LGPD

A Lei Brasileira que rege o Sistema de Proteção de Dados, a Lei Geral de Proteção de Dados Pessoais, conhecida pela sigla LGPD, foi inserida no ordenamento jurídico brasileiro em 14 de agosto de 2018, iniciando sua vigência sobre quase todo o seu conteúdo em agosto de 2020, com exceção dos arts. 52, 53 e 54, que versam sobre as sanções administrativas, estes, por sua vez, possuem a vigência prevista para a data de 1º de agosto de 2021.

A legislação, que visa proteger os dados pessoais dos usuários como direitos fundamentais sobre liberdade e privacidade no desenvolvimento da pessoa natural, possui como princípios: respeito à privacidade; autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; inviolabilidade da intimidade, da honra e da imagem; desenvolvimento econômico e tecnológico e a inovação; livre iniciativa, a livre concorrência e a defesa do consumidor; os direitos humanos, e, por fim, livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Trata-se de uma norma que busca adequar-se à nova realidade tecnológica vivenciada no Século XXI, onde a automação é a regra nos serviços públicos e privados. Justamente por isso, faz-se necessário uma legislação que vise resguardar a privacidade de quem coloca seus dados de forma voluntária e autônoma às instituições coletoras das informações, assim como fomentar o mercado de tecnologia da informação para garantir o livre desenvolvimentos das empresas de setor, desta forma, fortificando a segurança e tutela do direito consumerista dos usuários, chegando a uma eficácia fática deste novo instituto jurídico.

2.2.Sobre as exceções à LGPD

Apesar da larga gama de princípios e do objetivo vasto de segurança à privacidade do usuário ao colocar suas informações pessoais, a Lei Geral de Proteção de Dados Pessoais deixará de ser aplicada sobre determinados dados, de acordo com a finalidade destes. As situações estão previstas no art. 4º da Lei nº 13.709/2018.

Não se aplicará a LGPD para os dados pessoais realizados por pessoa natural que tiver finalidade exclusivamente particular e não para fins econômicos. Também valerá a exceção para os dados exclusivamente jornalísticos e artísticos, fazendo-se valer do princípio básico da liberdade de expressão, comunicação, informação e opinião dos profissionais e artistas. Os dados pessoais referentes ao meio acadêmico também não seguirão a regra geral desta lei específica.

No que se refere à ordem pública e interesse estatal, não se aplicará a LGPD os dados pessoais colocados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, ou nos casos de atividades de investigação e repressão de infrações penais, como por exemplo, as operações policiais. E por fim, dados pessoais:

[..] IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. (BRASIL, 2018)

Faz-se importante ressaltar que a totalidade dos dados pessoais, que são quaisquer informações relacionadas a pessoa natural identificada ou identificável, relacionadas ao inciso III do art. 4º da LGPD, ou seja, aqueles de interesse do Estado e da Segurança Nacional, não poderão em caso nenhum ser tratados por pessoa de direito privado, com exceção daquela que possua capital constituído de forma integral pelo Poder Público, logo, não cabendo a responsabilidade das empresas por regra, tema principal deste estudo.

---

3.RESPONSABILIDADE CIVIL E DIREITO COMPARADO

 3.1. Conceito aplicado para a empresa

A princípio, insta observar o que significa a responsabilidade civil para as pessoas jurídicas coletoras dos dados e onde este dever poderá ser aplicado ou sancionado caso descumprido. Assim apresenta Capanema:

A responsabilidade surge do exercício da atividade de proteção de dados que viole a “legislação de proteção de dados”. Por essa expressão, o legislador reconhece que a proteção de dados é um microssistema, com normas previstas em diversas leis, sendo a LGPD a sua base estrutural. Deve-se aqui fazer uma analogia com o conceito de “legislação tributária” do art. 96 do CTN, para incluir não apenas as leis que versem sobre a proteção de dados, mas as normas administrativas regulamentares que serão expedidas pela Autoridade Nacional de Proteção de Dados ou por outras entidades (CAPANEMA, 2020, p. 3).

Sem prejuízo do conceito supracitado, a responsabilidade sobre o ressarcimento de eventuais danos também está positivada na Lei Geral de Proteção de Dados, que em seu art. 42, define que o controlador ou o operador, durante sua atividade de tratamentos dos dados pessoais, será obrigado a reparar a outrem, quando a este cause dano patrimonial, moral, individual ou coletivo, em situação que viole a LGPD.

No parágrafo único do art. 44 da mesma lei, define que o responsável pelos dados em controle e operação responderá pelo dano, se deixar de adotar as medidas de segurança, e estas derem causa ao dano ao cliente ou consumidor da empresa coletora dos dados.

As medidas em questão estão descritas no art. 46 da LGPD, onde o “agente de tratamento”, que em geral, são as empresas, possuem o dever de adotar métodos de segurança, técnicos, administrativos, que estejam aptos a proteger os dados pessoais de acessos não autorizados assim como de situações ilícitas ou acidentais de destruição. Também serão responsáveis em caso de perda, alteração, comunicação ou qualquer tratamento inadequado ou ilícitos sobre as informações.

3.2. Julgado sobre a Responsabilidade das Empresas à luz da LGPD

Como fora descrito anteriormente, é passível o pagamento de danos ao titular dos dados por parte do agente de tratamento dos dados. No processo nº 1080233-94.2019.8.26.0100, a juíza Tonia Yuka Koroku, da 13ª Vara Cível de São Paulo, condenou uma empresa que atua no ramo imobiliário a a indenizar em R$ 10 mil um cliente que teve informações pessoais enviadas a outras empresas. Segue trecho da decisão:

Um dos direitos fundamentais do consumidor é de acesso à informação adequada acerca dos serviços que lhes são postos à disposição. Especificamente sobre o assunto referente ao tratamento de dados, a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados LGPD) prescreve que são fundamentos da disciplina da proteção de dados, dentre outros, o respeito à privacidade, a autodeterminação informativa, a inviolabilidade da intimidade, da honra e da imagem, a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade e a dignidade (art. 2º).

[…]

Patente que os dados independentemente de sensíveis ou pessoais (art. 5º, I e II, LGPD) foram tratados em violação aos fundamentos de sua proteção (art. 2º, LGPD) e à finalidade específica, explícita e informada ao seu titular (art. 6º, I, LGPD).

Após a empresa ré repassar os dados do cliente para empresas parceiras para oferecer serviços alheios aos contratados, fica clara uma violação do sigilo e da segurança dos dados por parte da coletora. A medida adotada pela magistrada data de 29 de setembro de 2020 e trata-se da primeira decisão sobre o tema no Estado de São Paulo que se tem notícia, e que pode servir de alicerce para uma jurisprudência gerando uma segurança jurídica nesta seara.

3.3. O Direito Comparado referente à Proteção de Dados

A Lei Geral de Proteção de Dados, que teve como sua base o Marco Civil da Internet, de 2014, que tinha como um dos princípios básicos a proteção da privacidade dos usuários e de seus dados pessoais, diretriz basilar também da nova LGPD de 2018. No ordenamento jurídico brasileiro foi trazidos este dispositivo normativo inspirado em legislações internacionais que já tutelam a proteção das informações pessoais fornecidas pelos usuários de serviços ou clientes de produtos oferecidos pelas mais diversas empresas mundo afora.

Alguns pontos que as legislações se assemelham estão como a consideração do consentimento do titular dos dados como elemento fundamental para que estes sejam fornecido pelo operador dos dados (empresa) a terceiros, tal como prevê a LGPD no Brasil em seu art. 7º, inciso I; e o Regulamento Geral sobre a Proteção de Dados (RGPD) em Portugal, em seu art. 6º, nº 1, alínea “a”.

A legislação brasileira prevê que o tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento pelo titular, enquanto que na norma portuguesa prevê que o titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas.

Entretanto, no direito norte-americano, tal princípio-base do consentimento não é tão absoluto como Brasil e Portugal consideram em suas legislações. Nos EUA, na Califórnia em específico, o Consumer Privacy Act, limita o direito de o consumidor poder recusar a possibilidade de venda a terceiros da sua informação pessoal, não consagrando em demais situações.

Ainda fazendo um comparativo entre Brasil e Estados Unidos, a LGPD determina no art. 18, VI, o direito à eliminação dos dados, ainda que tratados com o seu consentimento. Já na lei americana, esse direito ao esquecimento não possui a mesma tutela, inclusive, sendo permitido aos motores de busca na internet tratamento de dados alheios, pois de acordo com a I Emenda à Constituição Norte-Americana, trata-se de liberdade de expressão, com entendimento reiterado dos Tribunais dos Estados Unidos da América.

Percebe-se um ponto em comum entre o RGPD europeu e a LGPD brasileira: a segurança no tratamento dos dados pessoais, em que determina o dever do operador das informações ter o zelo que garantam a privacidade e não danificação dos dados.

Com efeito, no RGPD começa por ser enunciado um dever geral de “segurança no tratamento”, o qual se projeta logo como um dos “princípios relativos ao tratamento de dados pessoais”, o da integridade e confidencialidade, pois os dados devem ser: Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas (WACHOWICZ, 2020, p. 44-45)

Enquanto no Brasil, a LGPD segue a mesma visão, ao obrigar a empresa coletora dos dados a agir com medidas que visem a segurança da informação prevista em lei sobre os dados pessoais, mesmo após o término do tratamento destes.

---

4.A FIGURA DO “DATA PROTECTION OFFICER” – DPO

4.1. Conceitos introdutórios

A terminologia vem do inglês, que em tradução livre, significa “Chefe de Proteção de Dados”, e ficou conhecida na recente doutrina pela sigla DPO. O cargo é previsto na LGPD com a denominação de “encarregado”, que consoante o art. 5º, VII, trata-se da pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

O DPO, ou encarregado, funcionará como o elo entre o cliente ou usuário e a empresa coletora dos dados, onde sua principal função será garantir que as determinações estipuladas pela LGPD sejam cumpridas, evitando, desta forma, imbróglios envolvendo questões de compliance, ciberataques, vazamentos ou até mesmo o uso inadequado de dados.

Trata-se de um cargo com elevada função estratégica dentro da empresa controladora do tratamento dos dados, haja vista as sanções previstas para serem aplicadas pela ANPD, que entrarão em vigor a partir de agosto de 2021. Sanções estas que podem ir de advertência simples até multa de R$ 50 milhões, dependendo do faturamento da empresa.

4.2. Aplicação profissional do DPO na Lei de Dados

Para tal função, é fundamental conhecimento técnico sobre a nova legislação e um conhecimento amplo sobre o organograma da empresa controladora dos dados, assim como da sua carteira de clientes. Para ocupar o cargo, não se vincula ser uma pessoa física ou jurídica, nem categoria específica, podendo ser um contador, um advogado, um administrador, consultor de T.I, ou outro funcionário da empresa que possui domínio sobre o assunto.

O RGPD europeu instituiu esta figura de profissional em sua legislação, determinando sua obrigatoriedade em determinadas situações, tais como: tratamento de dados feitos por uma autoridade ou organismo público (exceto Tribunais); quando a instituição está envolvida em monitoramento sistemático (e em larga escala) de dados pessoais de usuários; e quando a entidade processa ou controla dados pessoais sensíveis ou relativos a condenações criminais.

No Brasil, a questão de obrigatoriedade não está totalmente alinhada com a legislação europeia, que serviu de base para o texto da LGPD sobre a atuação do DPO:

E quais são as atividades do Encarregado de Dados? (I) – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (II) – receber comunicações da autoridade nacional e adotar providências; (III) – orientar aos funcionários e aos contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e (IV) – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. Sendo assim, podemos concluir que o papel do Encarregado de Dados é obrigatório, possuindo um papel determinado, até que a ANPD diga ao contrário. Pode ser uma pessoa física ou jurídica, desde que com expertise para atuar em tal função (TRIVIÑO, 2021).

Fica a questão de como as empresas no Brasil estão lidando com a situação no novo cargo a ser considerado em suas estruturas. A PK HUB, da cidade de São Paulo, realizou uma pesquisa em outubro de 2020 com empresas de diversos setores sobre os procedimentos relacionados à LGPD.

Alguns dados monstram-se relevantes na pesquisa, tais como: 53,3% das empresas pesquisadas ainda não nomearam um encarregado para a proteção de dados (DPO); 66,7%, ou seja, dois terços, ainda não treinou seus colaboradores sobre as práticas a serem adotadas em relação à Lei de Dados; e por fim, um bem alarmante, 73,3% das empresas pesquisadas ainda não estabeleceram políticas adequadas sobre os riscos à privacidade dos dados.

Segundo Martins Júnior (2020), pode-se concluir que o exercício da profissão de DPO é muito complexo e que exige múltiplos conhecimentos e habilidades, atribuindo-lhe muitas responsabilidades. A pesquisa também demonstrou que mesmo com a LGPD tendo entrado em vigor, a maioria das empresas ainda não fizeram sequer os primeiros passos no sentido de implementar um programa de governança em privacidade, que, caso existisse, facilitaria o trabalho do DPO.

---

CONCLUSÃO

Em linhas finais, nota-se que em virtude de ser uma legislação ainda muito recente, inclusive com pontos que sequer entraram em vigência até a redação do presente trabalho, muitas empresas estão em um estágio rudimentar quanto à aplicação das diretrizes da LGPD, o que vai requerer muito estudo e trabalho por parte da comunidade jurídica.

Entender os conceitos sobre o que a Lei de Dados tutela ou não, suas hipóteses de incidência de responsabilidade por conta das empresas controladoras destas informações, é fundamental para evitar sanções que podem ser milionárias, mas também pode tornar menos complexo e mais eficiente o trabalho do encarregado da proteção de dados, que ficou conhecido pela sigla em inglês DPO.

Ao colocar os limites da responsabilidade civil por parte das empresas, abre um leque de informações técnicas e caminhos viáveis para o profissional que irá executar na prática a implementação da lei específica que é exegível às instituições coletoras e operadoras dos dados pessoais de usuários e clientes, garantindo o direito básico da liberdade, da segurança e da privacidade do conteúdo que são lhes são confiados.

Tendo em vista o exposto, mostrou-se que a Lei Geral de Proteção de Dados veio para regulamentar lacunas que a modernidade tecnológica trouxe para as pessoas, onde não se tinha noção de resolver danos materiais ou morais sobre vazamento ou uso indevidos de informações pessoais fornecidas geralmente para empresa. A LGPD e a atuação dos profissionais acaba por trazer um novo ramo dentro do Direito Civil, que além do Contratual, mas também do Consumerista, ver advir o “caçula” Direito Digital.

---

6.REFERÊNCIAS

BEZERRA, Juliana. "Ciclos Econômicos do Brasil"; Toda Matéria. Disponível em: https://www.todamateria.com.br/ciclos-economicos-do-brasil/. Acesso em 22 de abril de 2021.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm. Acesso em: 22 de abril de 2021.

CAPANEMA, Walter Aranha. A responsabilidade civil na Lei Geral de Proteção de Dados. Disponível em: https://www.tjsp.jus.br/download/EPM/Publicacoes/CadernosJuridicos/ii_6_a_responsabilidade_civil.pdf?d=637250347559005712. Acesso em: 22 de abril de 2021.

CONSULTOR JURÍDICO. "Juíza aplica LGPD e condena construtora que não protegeu dados de cliente"; Disponível em: https://www.conjur.com.br/2020-set-30/compartilhar-dados-consumidor-terceiros-gera-indenizacao. Acesso em 1 de julho de 2021.

EUROPA. Regulamento Geral sobre a Proteção de Dados. Disponível em: https://gdprinfo.eu/pt-pt. Acesso em: 8 de julho de 2021.

MARTINS JÚNIOR, Mauro Roberto. O que não te contaram sobre ser um DPO. São Paulo: PK HUB, 2020.

MARX, Karl. "A Companhia das Índias Orientais: sua história e as consequências de sua atividade"; New Tork Daily Tribune. Disponível em: http://www.dominiopublico.gov.br/download/texto/ma000034.pdf/. Acesso em 22 de abril de 2021.

TRIVIÑO, Aline. "A obrigatoriedade e as atribuições do DPO na LGPD"; Law Innovation. Disponível em: https://lawinnovation.com.br/a-obrigatoriedade-e-as-atribuicoes-do-dpo-na-lgpd/. Acesso em 9 de julho de 2021.

WACHOWICZ, Marcos (Org.). Proteção de dados pessoais em perspectiva: LGPD e RGPD na ótica do direito comparado. Curitiba: GEDAI / UFPR, 2020.