Este artigo foi publicado primeiro em outro site. Vá para a fonte
Você já parou para pensar que, por meio de situações corriqueiras, o consumidor confia a terceiros seus dados pessoais, entrega o CPF, o número do cartão de crédito, senhas, endereço, e-mail, telefones, datas de aniversário, para citar os mais básicos? Cada vez mais, os dados pessoais têm valor estratégico para as organizações.
Dados obtidos de consumidores podem ser aproveitados em inúmeras aplicações, como o direcionamento de propagandas e anúncios específicos para determinado perfil de pessoa, a depender das páginas que são visitadas na internet. Pode-se identificar a preferência ideológica ou mesmo sexual de pessoas por meio da análise dos gastos com cartão de crédito. Os exemplos, para o bem e para o mal, são praticamente inesgotáveis.
A problemática nisso tudo é a utilização indevida desses dados pessoais, muitas vezes coletados sem o consentimento de seus titulares ou mesmo sem que haja lei ou regulação respaldando tal coleta, ou, ainda, sem que lhes tenha sido informada a finalidade de seu uso de forma clara e transparente.
Está aí um “prato cheio” para novas demandas indenizatórias a serem ajuizadas por consumidores, que poderão se utilizar do argumento da falta de consentimento ou base legal para questionar situações da vida, como a dificuldade de acesso a crédito, emprego ou serviços, ou, no limite, o vazamento de seus dados pessoais (data breach).
A Lei n. 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), veio para implementar verdadeira revolução na proteção dos dados pessoais no Brasil. Neste sentido, a Lei faz do titular de dados pessoais um protagonista das decisões sobre o uso dos seus dados pessoais e, neste sentido, também lhe confere a possibilidade de questionar o tratamento conferido a tais dados, podendo até mesmo revogar a autorização antes conferida ao controlador para tratamento de seus dados.
É inegável que as disposições da LGPD trazem mais segurança jurídica para o mercado de consumo. De outro lado, escancara as portas do Judiciário para um novo tipo de litígio: o contencioso de dados envolvendo consumidores considerados lesados pelo tratamento indevido de seus dados pessoais.
Neste cenário, fica claro que as empresas devem se adequar às regras da LGPD no tocante ao tratamento de dados dos consumidores (sem esquecer dos dados de seus próprios empregados, de fornecedores e prestadores de serviços, por exemplo), sob pena de sujeitarem-se às penalidades administrativas previstas na própria lei, sem prejuízo da existência de medidas judiciais para reparação de danos causados em razão do tratamento inadequado dos dados de seus titulares.
Atualmente, tem sido corriqueiras as notícias sobre vazamento de dados e aplicações de duras penalidades às empresas nacionais e estrangeiras. Para além dos famosos cases internacionais, no Brasil, em que pese a lei ainda não tenha entrado em vigor, o MPDFT já ajuizou, por exemplo, como publicamente noticiado, Ação Civil Pública contra uma instituição financeira, em razão do vazamento de dados pessoais de cerca de 19 mil correntistas. Naqueles autos, o MPDFT entendeu que a instituição financeira não teria tomado os cuidados necessários para garantir a segurança dos dados pessoais de seus correntistas, além de ter negado o vazamento e se recusado a prestar informações. O caso se encerrou por meio de acordo, em que a instituição financeira se comprometeu a arcar com a quantia de R$ 1,5 milhão a título de danos morais, a ser destinada a órgãos públicos que combatem crimes cibernéticos e instituições de caridade.
Já se verifica, a partir do exemplo acima, uma grande movimentação das empresas em implementar um programa de proteção de dados, revisar suas políticas internas, sistemas de TI, minutas de contratos, limitação de acesso a informações sensíveis etc., em uma verdadeira revolução no que se refere à governança de privacidade e dos seus dados pessoais.
Mas, independentemente do trabalho que deve ser desenvolvido “dentro de casa”, será que as organizações estão preparadas para enfrentar os processos judiciais decorrentes do vazamento ou tratamento indevido dos dados de seus consumidores? Quais os ônus que lhes pesam sobre os ombros no processo judicial envolvendo contencioso de dados e como se aparelhar para defender-se de forma adequada e consistente?
De acordo com a LGPD, a defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, não só de forma individual, mas também coletivamente, podendo ser pleiteados danos morais e materiais. É sabido, de acordo com a lei, que é dever do controlador o ônus de provar que o consentimento foi obtido conforme as exigências da lei e que o consumidor teve conhecimento da finalidade da coleta dos seus dados (além de outras exigências legais). No mesmo sentido, o controlador tem o dever de provar, nos casos de compartilhamento, transmissão ou distribuição de dados, que o consumidor expressamente consentiu com estas práticas, a teor do art. 7, §5º.
Nos parece impossível afastar a incidência da regra da inversão do ônus probatório ao contencioso de dados envolvendo o tratamento irregular ou inadequado dos dados de consumidores, seja porque o CDC prevê de forma expressa essa inversão, de forma a facilitar a busca pelos direitos dos consumidores em juízo, seja porque a própria LGPD faz menção à possibilidade de utilização do diploma consumerista em tal hipótese. E há de se convir que são as corporações que terão melhores condições (se comparadas ao consumidor) de demonstrar que as regras da LGPD para tratamento de dados foram regularmente cumpridas.
Sendo assim, é primordial que as empresas estejam atentas a cada fase do tratamento de dados pessoais e ao ciclo de vida do dado pessoal na organização, mantendo registros de todas as atividades de tratamento de dados pessoais que realizarem (art. 37 da LGPD).
No caso de haver um efetivo vazamento de dados, as empresas devem estar preparadas para documentarem (já antevendo eventual litígio envolvendo o assunto) as medidas de segurança adotadas com a finalidade de prevenir danos decorrentes deste vazamento. Além disso, casos de incidente de segurança devem ser comunicados, em prazo razoável, à Autoridade Nacional de Proteção de Dados e aos titulares dos dados vazados, demonstrando a boa-fé e diligência na mitigação de possíveis prejuízos.
Assim, na hipótese de eventual demanda judicial envolvendo o incidente, recomenda-se a apresentação das políticas de segurança da empresa que visam garantir o tratamento de dados de forma segura e demais medidas adotadas de forma a salvaguardar e mitigar os riscos dos titulares dos dados. Vale notar que será necessário comprovar que as práticas anunciadas foram reiteradamente seguidas pela organização, da mesma forma como um programa de compliance. Igualmente, haverá a necessidade de controle (e sua documentação) em relação aos dados pessoais que se encontram em domínio público e que, posteriormente, não mais se mostram à livre disposição na rede de computadores.
Enquanto públicos, os dados, em tese, podem ser tratados sem a necessidade de consentimento específico pelo seu titular (o que não elimina a necessidade de agentes de tratamento de dados pessoais informarem adequadamente o titular/consumidor a respeito do que está sendo feito); contudo, a partir do momento em que estes dados não mais estão livremente compartilhados, será indispensável a obtenção do consentimento ou de outra hipótese legal que autorize o tratamento do dado pessoal.
Outro ponto que merece destaque e que certamente será objeto de questionamento por parte dos consumidores é no sentido de obter informações a respeito do tratamento de seus dados, que, de acordo com a lei, devem ser disponibilizadas de forma clara e facilitada (art. 9º). Para o titular dos dados é essencial ter conhecimento da “finalidade específica do tratamento; forma e duração do tratamento, observados o segredo comercial e industrial, identificação do controlador; informações de contato do controlador“.
Independentemente do motivo que ensejar o pedido acima, certo é que a sua não apresentação dentro de prazo razoável e de forma satisfatória poderá levar o consumidor a tutelar seu direito de obter tais informações em juízo, por meio das medidas legais cabíveis, tal como a ação produção antecipada de provas. Longe de desejar o que se falará nas linhas seguintes, mas, a depender de como se dará a interação das empresas e dos titulares de dados neste sentido, poderemos ter, em breve, uma nova onda de ações para exibição de documentos e informações (normalmente deferidas, sob pena de aplicação de multas), assim como se vivencia até hoje entre consumidores e instituições financeiras que se continuam a negar ou a ignorar pedidos de exibição de documentos formulados por seus correntistas.
Fato é que a LGPD trará́ profundas transformações em matéria de proteção dos dados pessoais no Brasil, acarretando impactos para inúmeras empresas – de pequeno ou grande porte – e também para outras instituições, inclusive para a Administração Publica. Apesar da vacância estabelecida (originariamente, de dezoito meses, ampliada para vinte e quatro meses por força da MP n. 869/2018 – art. 65, LGPD), muitos controladores e operadores de dados pessoais ainda não se adequaram às determinações da lei.
Não é difícil imaginar, nessas circunstâncias, que diversas ações – individuais e coletivas – poderão vir a ser ajuizadas com amparo na LGPD, sendo alvo fácil (e com poucas chances de defesa) uma organização que ainda não tenha se adequado a esta nova realidade. Medidas preventivas e regras corporativas sobre governança de privacidade, segurança da informação, manutenção da integridade dos dados e procedimento padrão para casos de incidentes são ferramentas que não podem faltar a um Programa de Compliance com a LGPD. Melhor já se antever e se adequar à nova realidade dos negócios do que esperar e “ver para crer”.
