Já devo me preocupar com a LGPD?

*Por Marcelo Brisolla, Mário Garcia Júnior e Felipe Bricola

A Lei Geral de Proteção de Dados (“LGPD”)[1], que regula o tratamento de dados pessoais[2], por pessoa jurídica ou por pessoa natural, com o objetivo de proteger os direitos fundamentais e privacidade dos indivíduos, salvo maior juízo, entrará em vigor em 16 de agosto de 2020.

No entanto, mesmo com a data da vigência se aproximando, existem muitos rumores no mercado de que a LGPD não irá “pegar”, ou seja, que será uma lei de pouca repercussão pública e que terá fraca fiscalização por parte das autoridades responsáveis.

Contudo, esse pensamento vai em desencontro com o movimento que já existe atualmente por parte de autoridades públicas, as quais têm usado a LGPD como embasamento de suas decisões, como apresentamos a seguir.

Primeiramente, o Ministério Público do Distrito Federal e Territórios (MPDTF), com base na combinação da legislação vigente aplicável (i.e., Constituição Federal, Marco Civil da Internet) e LGPD, vem monitorando e autuando as empresas que tenham violado as normas brasileiras no que diz respeito à privacidade e proteção de dados pessoais.

Como principal exemplo, temos o Netshoes que após o vazamento de dados pessoais de quase 2 milhões de clientes em 2018, foi atuado pelo MPDTF e firmou Termo de Ajuste de Conduta (TAC)[3], por meio do qual a empresa se viu obrigada a pagar R$ 500.000,00 (quinhentos mil reais) a título de indenização e implementar medidas adicionais ao seu Programa de Proteção de Dados, dentre as quais está a realização de ações para adequação à LGPD, mesmo ainda não estando em vigor.

Outro caso recente que também contou com a atuação do MPDTF foi o da BaseUp, empresa que prometia a venda de dados pessoais de milhares de dados pessoais de cidadãos brasileiros em sua loja virtual[4]. Considerando a gravidade da atividade realizada pela BaseUp, em 16 de janeiro de 2020, o MPDTF, através da Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec), instaurou inquérito civil público (ICP) para investigar a BaseUp pela venda do nome completo, número do RG e CPF de milhares de cidadãos, bem como enviou pedido ao Registro.br, responsável pelas atividades de registro e manutenção dos nomes de domínios que usam o .br., para que o domínio da BaseUp fosse cancelado. Referido pedido acabou sendo atendido em 17 de fevereiro de 2020 e o site da BaseUp encontra-se atualmente fora do ar.

Ainda, é válido ressaltar que no inquérito, a Espec utiliza como base legal em sua atuação a Constituição Federal e o Marco Civil da Internet, que garantem, em conjunto, dentre outros, o direito à inviolabilidade dos dados pessoais.

Adicionalmente, apresentamos importante decisão proferida pela juíza Renata Barros Souto Maior Baião no Processo nº 1006616-14.2020.8.26.0053, que trata da implementação de nova tecnologia de reconhecimento facial no Metrô de São Paulo, no sentido de conceder liminar para produção de provas antecipada pelo Metrô de São Paulo, que fora ajuizada pela Defensoria Pública de São Paulo, Defensoria Pública da União, Idec, Coletivo Intervozes e a organização Artigo 19 Brasil[5].

Através de referida decisão, dentre outras provas, foi solicitado que o Metrô de São Paulo produza:

• “Prova documental sobre análise de impacto de proteção de dados, contendo quais dados serão coletados e tratados, a base legal para essa coleta (art. 7º, LGPD), a finalidade desse tratamento, análise à luz do princípio da minimização e da proporcionalidade, se há dentre os dados que serão coletados algum que seja definido como sensível pela LGPD, o período de retenção dos dados, o grau de risco e finalmente as ações para a mitigação do risco envolvido. Na sua ausência, prova documental com i) descrição do processo de tratamento de dados pessoais que podem gerar riscos aos titulares e que possam impor restrições não previstas em lei aos usuários de serviços públicos, conforme previsto na LGPD e decorrente do sistema normativo protetor dos consumidores e dos usuários de serviços públicos (art. 6º, I e III, do CDC; Art. 5º, inc. IV, CDUSP; art. 7º, V, da Lei Estadual 10.294/1999; ii) medidas e mecanismos voltados a mitigar os riscos identificados”

• “Prova documental sobre o já existente banco de dados a ser utilizado no sistema de monitoração eletrônica, contendo: i) a data de criação do banco de dados; ii) a forma de aquisição do banco de dados (se foi criação própria, comprado, emprestado); iii) quais informações de usuários do metrô compõem esse banco de dados; iv) qual consentimento foi dado, pelos usuários, para uso de suas informações; v) a forma e frequência de atualização de referido banco de dados; vi) quem terá acesso aos dados pessoais coletados e quais serão os graus de privilégios de acesso”; e

• “Prova documental sobre como o Metrô obterá consentimento de pais ou responsáveis para obtenção, guarda e uso de dados pessoais de crianças e adolescentes, nos termos do Estatuto da Criança e do Adolescente”.

Através da solicitação da produção de provas acima listadas, resta claro que, mesmo não estando em vigor, a LGPD foi utilizada para embasamento legal de referida decisão. Nesse sentido, temos (i) a produção do relatório de impacto à proteção de dados pessoais, previsto no artigo 38 da LGPD[6], (ii) a produção do registro das operações de tratamento de dados pessoais, previsto no artigo 37 da LGPD[7], e (iii) a prova do consentimento de pais ou responsáveis legais para tratamento de dados pessoais de crianças, previsto no art. 14, §1º da LGPD.

Destaca-se ainda a afirmação da juíza de que “[…] tal documentação muito provavelmente já deve constar dos procedimentos que antecederam a própria concepção da ideia”. Dessa forma, percebe-se que, a produção e manutenção das provas solicitadas, inclusive as relacionadas à LGPD, já deveriam fazer parte da rotina da empresa.

Portanto, ante o exposto acima, claramente percebe-se o movimento das autoridades públicas em utilizar a LGPD como base legal de suas decisões, em casos de incidentes envolvendo dados pessoais e/ou violação dos direitos dos titulares de dados pessoais, ainda que a lei ainda não esteja vigente. Assim, deixamos a reflexão: se ainda que a LGPD não esteja em vigor, ela já é utilizada contra as empresas, quando a lei estiver vigente é muito provável que esse movimento aumente exponencialmente e, de fato, a LGPD “pegue”. Consequentemente, trabalhar para a conformidade com os requisitos e diretrizes da LGPD é essencial.

[1] Lei n0 13.709, de 14 de agosto de 2018, conforme alterada.

[2] Conforme definido no Art. 50, I, da LGPD: “informação relacionada a pessoa natural identificada ou identificável”.

[3] TAC n. 01/2019 – ESPEC

[4] https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/sala-de-imprensa/noticias/noticias-2020/11634-mpdft-consegue-identificar-e-derrubar-site-de-empresa-que-vendia-dados-pessoais-de-brasileiros acessado em 13/03/2020.

[5] TJ-SP –Processo 1006616-14.2020.8.26.0053  – Juíza: Renata Barros Souto Maior Baião – Publicação: 12/02/2020

[6] Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

[7] Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.