Proteção de dados pessoais: retrospectiva jurisprudencial e regulatória da LGPD
Não há dúvidas de que 2021 foi o ano da proteção de dados e privacidade no Brasil. Marcado pelo início da construção jurisprudencial dessa matéria e avanços regulatórios, o tema teve destaque não só pela entrada total da Lei Geral de Proteção de Dados (LGPD) em vigor, mas também pela estruturação da Autoridade Nacional de Proteção de Dados (ANPD) e do seu processo regulatório.
Se em 2020 a grande discussão era sobre quando a lei passaria a valer, em 2021 as atenções se voltaram para quando e como as sanções seriam aplicadas. Com apenas 15% das empresas prontas para entrada em vigor das penalidades administrativas e 77% com seus projetos de adequação atrasados, o posicionamento da ANPD frente ao processo fiscalizador se tornou ainda mais importante.
O que observamos, então, foi a atuação profilática da Autoridade em detrimento de uma ação inquisitória. A ideia foi estimular relações abertas e construtivas com negócios que lidem com dados pessoais. Dessa forma, o ano começou com a divulgação da agenda regulatória do órgão e com a tomada de subsídios para a regulação de temas como: 1) modelo de comunicação de incidentes; 2) especificação do prazo de notificação; 3) modelo de relatório de impacto à proteção de dados pessoais, entre outros.
Com a chegada das sanções administrativas no mês de agosto, a ANPD aprovou o processo regulador fiscalizador, estabelecendo a aplicação piramidal das penalidades. Ou seja, as sanções serão empregadas de acordo com o grau de seriedade das infrações, estimulando-se a autocomposição entre as partes e a reparação de dados pelo controlador. Assim, a fiscalização será composta por três principais atividades, monitoramento, orientação e atuação preventiva, entretanto, não foi descartado o procedimento repressivo quando necessário.
Junto a isso, foram foco da regulação da Autoridade as pequenas e médias empresas (PME). Como uma forma de suprir as lacunas regulatórias existentes na lei e desburocratizar os processos de adequação para PME, foi lançada a Minuta de Resolução nº 8, que estabelece flexibilizações para empresas desse porte.
A minuta, que ainda está em análise por conta dos insumos colhidos durante a audiência pública realizada este ano, trouxe pontos como a dispensa da necessidade da figura do encarregado e da necessidade de desenvolvimento do relatório de tratamento de dados (RoPa), assim como a simplificação do relatório de impacto (DPIA/LIA). Por fim, foram divulgados guias de segurança da informação para PME, modelos de documentos para adequação das instituições e o fluxo de petição do titular de dados junto ao órgão.
Além do amadurecimento e da atuação crescente da ANPD, vimos em 2021 o início a construção da jurisprudência de privacidade e proteção de dados no país. Se no primeiro momento todos estavam apostando no protagonismo da responsabilidade civil apenas no âmbito das relações comerciais, fomos surpreendidos com a Justiça do Trabalho recebendo demandas referentes à LGPD.
Com isso, alguns posicionamentos foram tomados pelos tribunais trabalhistas. O TRT-3 entendeu que a divulgação de telefone particular de funcionários em canais oficiais da empresa pode levar à importunação do mesmo fora do horário de trabalho e caracteriza-se como violação à privacidade. Por isso é motivo de indenização por danos morais (Processo 0010818-69.2018.5.03.0002).
O TRT-2, por sua vez, determinou que o uso indevido de dados no trabalho pode levar à demissão por justa causa. Para o tribunal, o empregado que compartilhar dados da empresa com seu e-mail pessoal comete falta grave, justificando a demissão por justa causa.
O posicionamento suscita três pontos principais. Primeiro, os dados escaparam do controle do empregador, podendo levar a eventual responsabilização da empresa. Segundo, não interessa o dolo: o compartilhamento indevido já é justificativa para a demissão, independentemente da intenção do uso indevido dos dados. Ademais, só se configura justa causa quando existe documento (termo de confidencialidade) assinado pelo funcionário que preveja a forma como os dados deveriam ser manuseados (Acórdão 1000612-09.2020.5.02.0043).
Somado a isso, o TRT-24 determinou que não é lícita a coleta de dados pessoais referentes a teste etílicos para profissões em que não exista previsão legal ou obrigação regulatória que obrigue tal tratamento. Dessa forma, ficou entendido que essa coleta é ilícita e desnecessária, sendo preciso obter o consentimento do empregado por se tratar de um tratamento de dados pessoais sensíveis (Processo 1001855-19.2016.02.0466).
Tais posicionamentos demonstraram a necessidade latente de as instituições atualizarem seus documentos, como contrato de prestação de serviço, política de privacidade e segurança da informação, conforme os preceitos da LGPD. Do mesmo modo que reforçaram a relevância da difusão de uma cultura de proteção de dados dentro das empresas, de maneira que os funcionários e instituição tenham consciência sobre os procedimentos a serem adotados em relação ao tema.
Em se tratando de relações consumeristas, a grande movimentação se deu nas varas do Tribunal de Justiça de São Paulo (TJ-SP), que proferiu 93% das decisões referentes à LGPD no país. Entre as quais, restou definido que a simples ocorrência de vazamento dos dados pessoais do titular não configura danos morais, mesmo que gere o contato indesejado com o mesmo. Contudo, a empresa deve fornecer declaração completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, assim como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados. Com isso, foi introduzida a ideia de responsabilidade proativa pelo tribunal.
Ainda sobre indenizações, é importante voltarmos a atenção aos tribunais superiores. Em ação indenizatória que objetivava a compensação pecuniária em razão do tratamento de dados sem consentimento, especificamente o uso de imagem, o STF definiu que é incompatível com a Constituição a ideia de um direito ao esquecimento, a divulgação de fatos ou dados verídicos e licitamente obtidos e publicados em meios de comunicação social analógicos ou digitais. Decisão esta que trouxe luz para os limites da liberdade de expressão e comunicação quando confrontados com o direito à privacidade.
Por fim, não podemos deixar de ressaltar, como marco definitivo do crescimento da visibilidade do setor de proteção de dados em 2021, a aprovação da PEC 17/2019 pelo Senado Federal. A proposta de emenda constitucional (PEC) objetiva tornar a proteção de dados um direito fundamental previsto na Constituição, inclusive quanto à privacidade de dados nos meios digitais, além de dar competência privativa à União para legislar sobre o tema e para fiscalizar, por meio da ANPD.
É clara a robustez e a importância que o tema privacidade vem ganhando ao longo dos últimos anos. Entretanto, estamos só no início da trajetória da proteção de dados no Brasil, por isso aguardamos ansiosos todos os desdobramentos regulatórios e jurisprudenciais sobre o tema no país em 2022.
Fonte: Conjur
