A Lei Geral de Proteção de Dados entrou em vigor em agosto de 2020, tendo as sanções administrativas previstas no artigo 52º (1) pela Autoridade Nacional de Proteção de Dados (ANPD) postergadas para 1º de agosto de 2021.
Neste lapso temporal de menos de um ano de sua vigência, já é possível fazermos algumas previsões baseadas na constatação do cenário de extrema judicialização envolvendo demandas que versam sobre proteção de dados.
Uma delas, com certeza, é o reconhecimento de que a ANPD é apenas um dos órgãos fiscalizadores sobre o tema, pois tanto o Poder Judiciário e órgãos, a exemplo da Secretaria Nacional do Consumidor (Senacom), o Programa de Proteção e Defesa do Consumidor (Procon) e o Ministério Público do Distrito Federal e dos Territórios (MPDFT), têm atuado ativamente na investigação de eventuais violações à LGPD.
Recentemente foi divulgado através de um levantamento da empresa Juit, especializada no uso de ferramentas automatizadas para fazer varreduras em Tribunais, a existência de cerca de seiscentas ações envolvendo o uso de dados pessoais dos titulares pelas empresas (2) .
Tendo em vista que o assunto é novo e a maioria das demandas ainda se encontra no primeiro grau, o tema ainda está longe de ter um entendimento consolidado pela jurisprudência, visto que os processos em grande parte ainda pendem de análise pelos Tribunais Superiores.
Nesse universo de demandas que envolve desde vazamento de dados por falha do controlador em garantir a segurança necessária, prevista nos artigos 44º e 46º da Lei 13.709 (3), até a coleta de dados pessoais sem a respectiva base legal autorizadora, exigida pelo disposto nos artigos 7º e 11º do referido diploma legal, é possível tecer algumas conclusões baseadas na análise deste panorama.
E, sem dúvida, há que se chamar a atenção para a importância da capacidade do controlador em provar que está inserido verdadeiramente no processo de “compliance” à Lei Geral de Proteção de Dados como fator determinante para obtenção de sucesso na litigância processual.
Para melhor ilustração é cabível a referência a dois recentes julgados na esfera trabalhista envolvendo dados pessoais e que apresentaram resultados distintos em decorrência do “status” de conformidade comprovado pelo controlador durante a instrução processual.
A Ação Trabalhista intentada pelo Sindicato dos Trabalhadores nas Indústrias de Alimentação de Montenegro em desfavor da Cooperativa dos Citricultores Ecológicos do Vale do Caí Ltda. (Acc 002.0043-80.2011.5.04.0261) julgou parcialmente procedente a demanda e acolheu o pedido do Reclamante, determinando que a empresa nomine um encarregado, na forma do artigo 41º da LGPD (4) e implemente, sob pena de multa diária, as medidas de segurança técnicas e administrativas aptas para proteger os dados dos seus colaboradores, consoante determina o artigo 46º do referido diploma legal.
Em sentido oposto foi a decisão da Ação Civil Pública movida pelo mesmo Sindicato em face da JBS LTDA (Acc 002.0014-30.2021.5.04.0261) a qual julgou improcedentes os pleitos relacionados à LGPD, pois considerou que a empresa logrou êxito em comprovar nos autos o seu “status” de adequação à lei, através da juntada do Manual de Privacidade, da designação do Encarregado, da Política de Privacidade e da apresentação de Cartilhas Informativas aos funcionários, configurando-se assim a comprovação da adoção de boas práticas e a aderência à lei.
No tocante à segurança e à prevenção, o controlador também logrou êxito na demonstração do uso de recursos tecnológicos compatíveis para prover a Segurança da Informação.
É possível verificar através dos julgados utilizados para fins de ilustração de resultados processuais tão diferenciados a importância do conceito de “Accountability” como elemento fundamental e que remete a responsabilização do controlador e que está incorporado no artigo 6º, X, da LGPD (5), intitulado como o Princípio da Responsabilização e da Prestação de Contas.
Exige-se por parte do controlador a demonstração da adoção de medidas eficazes e capazes de comprovar o cumprimento das normas de proteção de dados pessoais. Nesse contexto de massiva judicialização não resta dúvida de que o sucesso ou insucesso das empresas estará intimamente vinculado ao grau de maturidade das mesmas no processo de conformidade com a proteção de dados e a capacidade das mesmas em fazer a prova disto.
Não basta estar adequado à LGPD, é necessário estar apto a comprovar a conformidade através de medidas que incluem a documentação adequada sobre os dados que são processados, a finalidade e o tempo de tratamento, processos e procedimentos documentados com o objetivo de resolver os problemas relacionados à proteção de dados, a nomeação de um encarregado e a adoção de medidas técnicas necessárias.
O Regulamento Europeu de Proteção de Dados – GDPR (6), em seu artigo 5º (2) define o Princípio da “Accoutability” como o dever do responsável pelo tratamento de dados demonstrar o cumprimento dos princípios relativos ao processamento de dados pessoais. E é exatamente nesta linha que a Lei Geral de Proteção de Dados, fortemente inspirada na legislação europeia, incorporou a obrigatoriedade imposta aos agentes de tratamento.
A judicialização em massa poderá produzir reflexos diferentes a depender da capacidade dos agentes em comprovarem a adesão ao Princípio da Responsabilização e Prestação de Contas.
