A proteção de dados pessoais ganhou tamanha relevância que a Constituição Federal vigente fora modificada, com a Emenda Constitucional 115/2022. Nos termos da referida alteração, a proteção de dados pessoais fora incluída entre os direitos e garantias fundamentais.
No âmbito infraconstitucional a temática fora disciplinada na Lei nº 13.709, de 14 de agosto de 2018, a denominada Lei Geral de Proteção de Dados Pessoais (LGPD).
Esta Lei, que está em vigência desde setembro de 2020, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o intuito de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
O que seriam os dados pessoais nos termos da LGPD?!
O seu artigo 5º indica que se considera dado pessoal informação relacionada a pessoa natural identificada ou identificável. Logo, a LGPD não abarca a proteção de dados titularizados por pessoas jurídicas, que não se consideram dados pessoais para efeito da referida Lei.
O mesmo artigo traz o conceito de dado pessoal sensível, que seria sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, sempre que vinculado a uma pessoa natural.
Pois bem, a LGPD estabelece que o tratamento de dados pessoais somente poderá ser realizado nas hipóteses de: a) fornecimento de consentimento pelo titular; b) para o cumprimento de obrigação legal ou regulatória pelo controlador; c) pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; d) para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; e) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; f) para o exercício regular de direitos em processo judicial, administrativo ou arbitral; g) para a proteção da vida ou da incolumidade física do titular ou de terceiro; h) para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; i) quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou j) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
A LGPD dispensa a exigência de consentimento do titular para tratamento de dados pessoais nos casos em que, os dados em questão tenham sido tornados manifestamente públicos.
No que concerne ao tratamento de dados pessoais sensíveis, a LGPD dispõe que somente poderá ocorrer quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas.
Ou, sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; b) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; c) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; d) proteção da vida ou da incolumidade física do titular ou de terceiro; e) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; f) ou garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Próximo à data de início de vigência da LGPD houve verdadeiro alvoroço para adequação de empresas à Lei, o que se deve ao fato de que os agentes de tratamento de dados ficam sujeitos à diversas sanções administrativas aplicáveis pela autoridade nacional para o caso de infração às obrigações instituídas por referido diploma legal.
Conforme previsto em seu art. 52, a autoridade nacional pode aplicar penalidades tais como multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Além da penalidade de multa, há ainda a possibilidade de bloqueio dos dados pessoais a que se refere a infração até a sua regularização, bem como a possibilidade de suspensão parcial do funcionamento do banco de dados a que se refere a infração ou suspensão do exercício da atividade de tratamento dos dados, ambas as medidas pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador.
Outrossim, a LGPD também prevê a possibilidade de proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As penalidades acima elencadas não abordam todas aquelas previstas pela LGPD, a qual também prevê a possibilidade de publicização da infração após devidamente apurada e confirmada a sua ocorrência, o que no mínimo diminuiria a credibilidade da pessoa jurídica envolvida no tratamento de dados trazendo possíveis reflexos à mesma em suas relações na sociedade, como por exemplo o descrédito perante eventuais consumidores, clientes e parceiros comerciais quanto a capacidade de tratar corretamente os dados pessoais compartilhados em decorrência de eventuais contratos.
Desde que a LGPD entrou em vigor a sua efetividade pôde ser notada com sua aplicação cada vez mais frequente pelo Poder Judiciário no Brasil, o que demonstra o resultado da pesquisa Painel LGPD[1], que identificou 1.206 decisões no curso do ano de 2.023.
Referido estudo fora promovido por pesquisadores do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP), contando com o apoio da ferramenta Jusbrasil, e tinha por objetivo avaliar como a LGPD vem sendo aplicada pelos tribunais brasileiros. A pesquisa indicou que as principais áreas envolvidas em processos que abordam a LGPD são: a) o Direito do Consumidor; b) o Direito do Trabalho; e c) o Direito Civil. Essa tendência já havia sido observada desde 2021.
No que diz respeito ao posicionamento adotado pelos Tribunais, em março de 2023, o Superior Tribunal de Justiça fixou o entendimento de que o vazamento de dados pessoais de natureza comum (aqueles que não são classificados como sensíveis) não garante direito a indenização por dano moral, pois o dano não seria presumido e haveria necessidade de o titular dos dados demonstrar ter havido efetivo dano com o vazamento e o acesso de terceiros[2].
Em dezembro de 2023, Superior Tribunal de Justiça[3] manteve a determinação para que a bolsa de valores B3 procedesse a exclusão dos dados cadastrais inseridos por ato ilícito de terceiro que obteve acesso não autorizado ao perfil de investidor em sua plataforma virtual.
A Ministra Nancy Andrighi elucidou que, nos termos da LGPD, o titular dos dados tem o direito de solicitar tanto a correção de eventuais dados incompletos, inexatos ou desatualizados, como também pode pedir o bloqueio e eliminação de dados excessivos ou tratados em desconformidade com a Lei.
O Tribunal Regional do Trabalho da 9ª Região[4], em setembro de 2022, indicou que ilícito pós-contratual que lesionou a privacidade do ex-empregado dá ensejo ao cabimento de reparação de danos extrapatrimoniais. No caso concreto, houve disponibilização dos dados pessoais da autora para terceiros, sem a sua autorização, qualificando-a como profissional da empresa, a despeito do término do vínculo de emprego.
O referido Tribunal adotou o entendimento de que a conduta da reclamada não causou apenas transtornos para a reclamante, mas também ofendeu a sua privacidade, uma vez que, o resguardo do nome e do número de celular consubstancia um aspecto crucial da proteção da personalidade humana.
As decisões acima revelam a importância de se observar as disposições trazidas pela LGPD, com vigilância por parte das pessoas jurídicas quanto ao efetivo cumprimento de suas obrigações quando do tratamento de dados de pessoas naturais. Para tanto, recomenda-se a consulta a profissionais habilitados para tanto, como meio de verificar os processos aplicados na realidade de cada empresa, com o levantamento dos pontos que demandam regularização.
Os advogados integrantes do BSA estão atualizados sobre o tema, sempre atentos aos entendimentos dos Tribunais para melhor orientar seus clientes e mitigar os riscos de uma responsabilização por vazamento de dados.
Fernanda Favacho O. Neto
OAB/PR 71.284
[1] https://www.conjur.com.br/2023-dez-24/decisoes-judiciais-relacionadas-a-lgpd-cresceram-81-neste-ano/#:~:text=Decis%C3%B5es%20judiciais%20relacionadas%20%C3%A0%20LGPD%20cresceram%2081%25%20neste%20ano,-24%20de%20dezembro&text=A%20Lei%20Geral%20de%20Prote%C3%A7%C3%A3o,4%25%20entre%202022%20e%202023
[2] AREsp n. 2.130.619/SP, relator Ministro Francisco Falcão, Segunda Turma, julgado em 7/3/2023, DJe de 10/3/2023
[3] (STJ – REsp: 2092096 SP 2023/0294797-4, Relator: Ministra NANCY ANDRIGHI, Data de Julgamento: 12/12/2023, T3 – TERCEIRA TURMA, Data de Publicação: DJe 15/12/2023)
[4] TRT-9 – RORSum: 00000066720225090872, Relator: CARLOS HENRIQUE DE OLIVEIRA MENDONCA, Data de Julgamento: 30/08/2022, 2ª Turma, Data de Publicação: 02/09/2022
