Após mais de dois anos desde a sua sanção, a Lei Geral de
Proteção de Dados Pessoais (LGPD) entrou em vigor no Brasil em 18 de setembro.
A entrada em vigor ainda em 2020, para a surpresa de muitos, se deu em virtude
da supressão, durante votação da MP 959/20 pelo Senado Federal, em agosto, de
dispositivo que previa o adiamento da LGPD para maio de 2021. As sanções administrativas
terão vigência a partir de agosto de 2021, conforme texto aprovado por ocasião
da votação do PL 1170/20 (Lei 14.010/2020).
A LGPD insere o Brasil em um patamar internacional elevado
no que diz respeito à proteção de dados pessoais. Inspirada no GDPR, embora
guarde diferenças relevantes em relação ao regulamento europeu, a LGPD abrange
operações com dados pessoais
realizadas online ou offline por qualquer pessoa jurídica,
de direito público ou privado.
Sua aplicação é transversal: a LGPD impacta nacionalmente
diversos setores da economia. Organizações dos mais diversos portes têm
reconhecido, de forma crescente, a necessidade de se adequar à lei.
Embora as sanções administrativas só tenham aplicação a
partir de agosto de 2021, órgãos como Ministério Público, Senacon e Procons têm
invocado a LGPD em representações judiciais. O STF também já se posicionou a
respeito dos direitos relacionados à proteção de dados, em julgamento
paradigmático sobre o tema. Confira a seguir alguns dos principais casos do ano
envolvendo a proteção de dados.
Principais casos do ano no Brasil
— Em fevereiro, a juíza da 1ª Vara da Fazenda Pública da
Comarca de São Paulo deferiu o pedido de produção antecipada de provas,
determinando que a Companhia do Metropolitano de São Paulo apresentasse uma
série de documentos acerca do sistema de reconhecimento facial que pretendia
implementar nas estações de metrô. Segundo a magistrada, tais documentos
deveriam conter, entre outras informações, esclarecimentos sobre a forma de
obtenção do consentimento de pais ou responsáveis para o tratamento de dados
pessoais de crianças e adolescentes, a forma de armazenamento dos dados
pessoais coletados, assim como as regras de compartilhamento dos dados pessoais
com órgãos governamentais e privados. A ordem judicial também determinou que a
Companhia do Metropolitano de São Paulo apresentasse o relatório de impacto à
proteção de dados pessoais previsto na LGPD. Após considerar cumprida a
finalidade para a qual o procedimento foi instaurado, a magistrada proferiu
sentença no início de agosto, homologando as provas produzidas e declarando a
extinção do processo sem resolução de mérito.
— Em maio, o Plenário do Supremo Tribunal Federal
referendou as medidas cautelares deferidas pela ministra Rosa Weber em cinco
ações diretas de inconstitucionalidade (ADIs) para suspender os efeitos de
Medida Provisória nº 954/2020, que prevê o compartilhamento de dados por
empresas de telecomunicações com o Instituto Brasileiro de Geografia e
Estatística (IBGE) para produção de estatística oficial durante a pandemia da
Covid-19. A ministra relatora Rosa Weber reconheceu que o compartilhamento
previsto na MP viola o direito constitucional à intimidade, à vida privada e ao
sigilo de dados. Os demais ministros acompanharam o voto da relatora, em
votos que reconheceram a proteção de dados pessoais e a autodeterminação
informativa como direitos fundamentais. A exceção foi o ministro Marco Aurélio,
por entender que a MP deveria ser avaliada pelo Congresso Nacional, e não pelo Judiciário.
— Em agosto, o Departamento de Proteção e Defesa do
Consumidor (DPDC) condenou a Cia. Hering ao pagamento de multa no valor de R$
58.767. O DPDC concluiu que teriam ocorrido violação do dever de informação e
prática abusiva decorrentes da utilização de tecnologia de reconhecimento
facial na loja Hering Experience. Referida tecnologia teria sido utilizada para
a coleta e armazenamento dos dados pessoais sensíveis de consumidores sem o
prévio consentimento destes.
— Ainda em agosto, o Superior Tribunal de Justiça
(STJ) negou provimento ao recurso interposto pelo Google contra a
decisão proferida pela 4ª Vara Criminal da Comarca do Rio de Janeiro que
determinou que a empresa fornecesse dados de localização de todos os usuários
que estivessem transitando em áreas próximas ao local da morte da vereadora
Marielle Franco e de seu motorista, Anderson Gomes. O ministro relator Rogerio
Schietti do STJ entendeu que a ordem judicial não acarretaria "risco
desmedido" aos direitos de privacidade e intimidade dos usuários dos
serviços do Google, acrescentando, ainda, que a quebra de sigilo se refere aos
dados informáticos estáticos — isto é, dados que permitem a
identificação dos usuários de aplicativos presentes em determinado perímetro
geográfico —, e não ao conteúdo das comunicações desses usuários.
— Em setembro, a Cyrela foi condenada ao pagamento
de indenização no valor de R$ 10 mil pelo compartilhamento indevido de
dados pessoais de consumidores com empresas parceiras para fins
publicitários. A ação foi proposta por um cliente que, após ter celebrado
um contrato de compra e venda imobiliária com a Cyrela, passou a receber
contatos de marketing indesejados de empresas que ofereciam serviços associados
à compra do imóvel. A juíza Tonia Yuka Koroku, da 13ª Vara Cível de São
Paulo, afirmou que, além do Código de Defesa do Consumidor, a Cyrela teria
violado os direitos fundamentais previstos na Constituição Federal e os
princípios da finalidade e adequação previstos na LGPD.
— Em setembro, o Tribunal de Justiça do Distrito
Federal e Territórios extinguiu, sem julgamento de mérito, a ação civil pública
ajuizada pelo MPDFT em face da empresa Infortexto Ltda. e do Núcleo de
Informação e Coordenação do Ponto BR (NIC.BR) relativa a potenciais violações à
LGPD decorrentes da comercialização, através do website "Lembrete
Digital", de uma série de dados pessoais para fins de envio de marketing
direto. O tribunal concluiu que não foi possível identificar dano ou risco de
dano que justifique o ajuizamento da ação, tendo em vista que, após a
propositura da demanda, o site em questão foi desativado. Trata-se
da primeira ação judicial fundamentada na LGPD após a sua entrada em
vigor.
— Em novembro, o Tribunal de Justiça do Distrito
Federal e dos Territórios (TJDFT) proferiu decisão liminar para suspender a
comercialização de dados pessoais de consumidores realizada pela Serasa
Experian por meio dos produtos Lista Online e Prospecção de Clientes. A
decisão deriva de ação civil pública ajuizada pelo MPDFT. Em sua decisão, o desembargador
César Loyola entendeu que LGPD obriga à obtenção de consentimento prévio para
realização do tratamento de dados pessoais. Nesse sentido, o desembargador
concluiu que o compartilhamento de dados pessoais realizado pela Serasa
representa sérios riscos de lesão aos direitos fundamentais dos titulares,
inclusive em razão da quantidade de indivíduos envolvidos (os dados pessoais
comercializados pertenciam a mais de 150 milhões de consumidores).
Alguns casos relevantes no mundo
— Já em janeiro, o Tribunal Distrital do Estado da
Geórgia (EUA) homologou o acordo celebrado entre a Equifax Inc. e diversas
autoridades estadunidenses — incluindo o Federal Trade Commission
(FTC), o Consumer Financial Protection Bureau e 50 Estados e territórios dos
Estados Unidos — em decorrência de ataque cibernético ocorrido em
2017 que afetou cerca de 56% da população adulta estadunidense (ou 147 milhões
de pessoas). As investigações constataram que a empresa não implementou um
sistema de segurança adequado, apesar de conhecer vulnerabilidade crítica em
seu software. O acordo determinou o pagamento de US$ 380,5
milhões — equivalente a R$ 1.985.220.700
atualmente —, revertidos a um fundo para ressarcimento dos milhões de
afetados, honorários advocatícios e outras despesas.
— Em fevereiro, a Amazon Turkey Retail Services Limited
foi condenada pela Autoridade de Proteção de Dados Pessoais da Turquia ao
pagamento de multa no valor de 1,2 milhão de liras
turcas — equivalente a R$ 877.784,77 — por condicionar o
acesso aos serviços de sua plataforma à obtenção de consentimento do usuário
para o envio de anúncios publicitários. Ao analisar a política de privacidade
da Amazon, a autoridade turca verificou que a autorização para o envio e
mensagens publicitárias era um pré-requisito para a criação de uma conta de
usuário — obrigatória para realizar compras através da plataforma.
Por essa razão, a autoridade concluiu que tal autorização não poderia ser
considerada um consentimento explícito, uma vez que não configurava
manifestação de livre vontade do usuário.
— Em março, a Suprema Corte do Reino Unido firmou o
entendimento de que dados pessoais só podem ser transferidos aos Estados
Unidos, sob o Tratado de Assistência Jurídica Mútua (MLAT), caso os requisitos
da Lei de Privacidade de Dados (DPA) do Reino Unido estejam satisfeitos. A
Suprema Corte foi unânime ao considerar ilícita a decisão do Secretário de
Estado do Reino Unido que autorizou a transferência internacional dos dados
pessoais de um indivíduo que supostamente integrava um grupo terrorista ativo
na Síria em atendimento ao pedido de assistência jurídica mútua apresentado
pelo governo dos Estados Unidos.
— Em abril, o Tribunal Distrital do Distrito de
Columbia homologou um acordo celebrado em 2019 entre Facebook e o Federal Trade
Commission (FTC). O acordo decorreu de denúncia apresentada pelo órgão de
defesa ao consumidor do DOJ dos Estados Unidos, segundo a qual o Facebook teria
violado os termos de um antigo acordo firmado em 2012 com o FTC que proibia a
empresa de incorrer em práticas enganosas relativas às configurações e
condições de privacidade da plataforma. De acordo com a denúncia, o Facebook
não teria implementado um programa de privacidade adequado e, supostamente,
teria levando os usuários a acreditar que poderiam restringir o acesso a dados
pessoais que continuaram a ser compartilhados com terceiros. O acordo
determinou o pagamento de multa no valor de US$
5 bilhões — aproximadamente R$ 29,4 bilhões —, bem
como a implementação de uma série de medidas corretivas.
— Em maio, o Tribunal Constitucional da Alemanha
declarou parcialmente inconstitucional a Lei do Serviço Federal de
Inteligência, que regula as atividades da agência nacional de inteligência
(BND). O Tribunal concluiu que a referida lei cria uma base legal para a prática
de vigilância estatal de indivíduos situados em países estrangeiros ao permitir
que a BND acesse rotas e redes de transmissão de telecomunicações e utilize
ferramentas de análise para coletar dados de interesse do serviço de
inteligência, sem estabelecer a finalidade para tal monitoramento. Através do
julgamento, o tribunal conferiu eficácia extraterritorial ao direito de
privacidade previsto na constituição alemã, reconhecendo a aplicabilidade de
tal direito não apenas aos indivíduos situados na Alemanha, mas também àqueles
residentes e domiciliados em território estrangeiro.
— Em junho, o Superior Tribunal Federal da Alemanha
(BGH) confirmou a decisão proferida em 2019 pela autoridade antitruste alemã
que condenou o Facebook por abuso de posição dominante. Nesse caso, os termos
de uso da plataforma condicionavam o acesso dos usuários à rede
social Facebook.com à utilização de dados pessoais provenientes de
sites de terceiros e de outras plataformas do Grupo Facebook — como
Instagram e WhatsApp. O BGH afirmou que os termos de uso adotados pelo Facebook
não apenas violavam os direitos à autonomia pessoal e à autodeterminação
informativa de seus usuários, como também constituíram uma forma de exploração
dos usuários devido ao efeito lock-in decorrente de sua posição
dominante.
— Em julho, a Corte de Justiça da União Europeia (CJEU)
proferiu decisão invalidando o programa EU-US Privacy Shield, que
autorizava a livre circulação de dados pessoais entre a União Europeia e os
Estados Unidos. A CJEU concluiu que o tratamento de dados pessoais previsto na
Lei de Segurança Nacional dos EUA não seria compatível com os princípios de
proporcionalidade e necessidade do Regulamento Geral de Proteção de Dados da
União Europeia (GDPR). Desse modo, o EU-US Privacy Shield não seria
capaz de assegurar a proteção contra o acesso, por parte de autoridades
públicas de segurança nacional, aos dados pessoais transferidos ao país. Ainda
na mesma decisão, a CJEU definiu novas obrigações a serem incorporadas às
cláusulas-padrão (Standard Contractual Clauses — SCC), utilizadas em
contratos para a transferência de dados pessoais da União Europeia a países
fora do espaço econômico europeu.
Perspectivas para 2021
Muito se avançou neste ano a respeito da proteção de dados
no Brasil, mas há um longo caminho a ser percorrido. Diversas normas da nossa
lei geral ainda demandam regulamentação. Organizações públicas e privadas
precisam desenvolver uma cultura de privacidade e proteção de dados, assim como
os próprios titulares de dados tendem a ter cada vez mais informações sobre o
assunto. Tomadores de decisão devem estar atentos para que a interpretação da
lei possa preservar tanto a autodeterminação informativa quanto o estímulo à
inovação, o desenvolvimento tecnológico e a livre concorrência no país.
Nesse sentido, merece destaque a constituição do conselho
diretor da Autoridade Nacional de Proteção de Dados (ANPD). Os cinco nomes
indicados pelo presidente da República para compor o conselho já foram nomeados
oficialmente e tomaram posse. Waldemar Gonçalves Ortunho Junior, indicado para
ocupar o cargo de primeiro diretor-presidente da ANPD, com mandato de seis
anos; Arthur Pereira Sabbat, com mandato de cinco anos; Joacil Basilio Rael,
com mandato de quatro anos; Nairane Farias Rabelo Leitão, com mandato de três
anos; e Miriam Wimmer, com mandato de dois anos, são os demais diretores.
É grande a expectativa em torno do início dos trabalhos da
autoridade. Apesar de ainda não terem um local de trabalho publicamente
definido, os novos diretores já estão trabalhando para montar suas equipes, bem
como na redação de regimento interno e regulamentos. Não é justo esperar que os
diretores solucionem, rápida e isoladamente, todas as intricadas questões
relacionadas à proteção dos dados no Brasil. Mas o trabalho sério da
autoridade, aliado ao diálogo constante com a sociedade civil e outros entes
públicos, deve resultar em um 2021 com importantes regulamentações,
orientações e decisões.
Fonte: Consultor Jurídico
