Por Ademir Antonio Pereira Júnior e Luiz Felipe Rosa Ramos
Após mais de dois anos desde a sua sanção, a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor no Brasil em 18 de setembro. A entrada em vigor ainda em 2020, para a surpresa de muitos, se deu em virtude da supressão, durante votação da MP 959/20 pelo Senado Federal, em agosto, de dispositivo que previa o adiamento da LGPD para maio de 2021. As sanções administrativas terão vigência a partir de agosto de 2021, conforme texto aprovado por ocasião da votação do PL 1170/20 (Lei 14.010/2020).
A LGPD insere o Brasil em um patamar internacional elevado no que diz respeito à proteção de dados pessoais. Inspirada no GDPR, embora guarde diferenças relevantes em relação ao regulamento europeu, a LGPD abrange operações com dados pessoais realizadas online ou offline por qualquer pessoa jurídica, de direito público ou privado.
Sua aplicação é transversal: a LGPD impacta nacionalmente diversos setores da economia. Organizações dos mais diversos portes têm reconhecido, de forma crescente, a necessidade de se adequar à lei.
Embora as sanções administrativas só tenham aplicação a partir de agosto de 2021, órgãos como Ministério Público, Senacon e Procons têm invocado a LGPD em representações judiciais. O STF também já se posicionou a respeito dos direitos relacionados à proteção de dados, em julgamento paradigmático sobre o tema. Confira a seguir alguns dos principais casos do ano envolvendo a proteção de dados.
Principais casos do ano no Brasil
— Em fevereiro, a juíza da 1ª Vara da Fazenda Pública da Comarca de São Paulo deferiu o pedido de produção antecipada de provas, determinando que a Companhia do Metropolitano de São Paulo apresentasse uma série de documentos acerca do sistema de reconhecimento facial que pretendia implementar nas estações de metrô. Segundo a magistrada, tais documentos deveriam conter, entre outras informações, esclarecimentos sobre a forma de obtenção do consentimento de pais ou responsáveis para o tratamento de dados pessoais de crianças e adolescentes, a forma de armazenamento dos dados pessoais coletados, assim como as regras de compartilhamento dos dados pessoais com órgãos governamentais e privados. A ordem judicial também determinou que a Companhia do Metropolitano de São Paulo apresentasse o relatório de impacto à proteção de dados pessoais previsto na LGPD. Após considerar cumprida a finalidade para a qual o procedimento foi instaurado, a magistrada proferiu sentença no início de agosto, homologando as provas produzidas e declarando a extinção do processo sem resolução de mérito.
— Em maio, o Plenário do Supremo Tribunal Federal referendou as medidas cautelares deferidas pela ministra Rosa Weber em cinco ações diretas de inconstitucionalidade (ADIs) para suspender os efeitos de Medida Provisória nº 954/2020, que prevê o compartilhamento de dados por empresas de telecomunicações com o Instituto Brasileiro de Geografia e Estatística (IBGE) para produção de estatística oficial durante a pandemia da Covid-19. A ministra relatora Rosa Weber reconheceu que o compartilhamento previsto na MP viola o direito constitucional à intimidade, à vida privada e ao sigilo de dados. Os demais ministros acompanharam o voto da relatora, em votos que reconheceram a proteção de dados pessoais e a autodeterminação informativa como direitos fundamentais. A exceção foi o ministro Marco Aurélio, por entender que a MP deveria ser avaliada pelo Congresso Nacional, e não pelo Judiciário.
— Em agosto, o Departamento de Proteção e Defesa do Consumidor (DPDC) condenou a Cia. Hering ao pagamento de multa no valor de R$ 58.767. O DPDC concluiu que teriam ocorrido violação do dever de informação e prática abusiva decorrentes da utilização de tecnologia de reconhecimento facial na loja Hering Experience. Referida tecnologia teria sido utilizada para a coleta e armazenamento dos dados pessoais sensíveis de consumidores sem o prévio consentimento destes.
— Ainda em agosto, o Superior Tribunal de Justiça (STJ) negou provimento ao recurso interposto pelo Google contra a decisão proferida pela 4ª Vara Criminal da Comarca do Rio de Janeiro que determinou que a empresa fornecesse dados de localização de todos os usuários que estivessem transitando em áreas próximas ao local da morte da vereadora Marielle Franco e de seu motorista, Anderson Gomes. O ministro relator Rogerio Schietti do STJ entendeu que a ordem judicial não acarretaria “risco desmedido” aos direitos de privacidade e intimidade dos usuários dos serviços do Google, acrescentando, ainda, que a quebra de sigilo se refere aos dados informáticos estáticos — isto é, dados que permitem a identificação dos usuários de aplicativos presentes em determinado perímetro geográfico —, e não ao conteúdo das comunicações desses usuários.
— Em setembro, a Cyrela foi condenada ao pagamento de indenização no valor de R$ 10 mil pelo compartilhamento indevido de dados pessoais de consumidores com empresas parceiras para fins publicitários. A ação foi proposta por um cliente que, após ter celebrado um contrato de compra e venda imobiliária com a Cyrela, passou a receber contatos de marketing indesejados de empresas que ofereciam serviços associados à compra do imóvel. A juíza Tonia Yuka Koroku, da 13ª Vara Cível de São Paulo, afirmou que, além do Código de Defesa do Consumidor, a Cyrela teria violado os direitos fundamentais previstos na Constituição Federal e os princípios da finalidade e adequação previstos na LGPD.
— Em setembro, o Tribunal de Justiça do Distrito Federal e Territórios extinguiu, sem julgamento de mérito, a ação civil pública ajuizada pelo MPDFT em face da empresa Infortexto Ltda. e do Núcleo de Informação e Coordenação do Ponto BR (NIC.BR) relativa a potenciais violações à LGPD decorrentes da comercialização, através do website “Lembrete Digital”, de uma série de dados pessoais para fins de envio de marketing direto. O tribunal concluiu que não foi possível identificar dano ou risco de dano que justifique o ajuizamento da ação, tendo em vista que, após a propositura da demanda, o site em questão foi desativado. Trata-se da primeira ação judicial fundamentada na LGPD após a sua entrada em vigor.
— Em novembro, o Tribunal de Justiça do Distrito Federal e dos Territórios (TJDFT) proferiu decisão liminar para suspender a comercialização de dados pessoais de consumidores realizada pela Serasa Experian por meio dos produtos Lista Online e Prospecção de Clientes. A decisão deriva de ação civil pública ajuizada pelo MPDFT. Em sua decisão, o desembargador César Loyola entendeu que LGPD obriga à obtenção de consentimento prévio para realização do tratamento de dados pessoais. Nesse sentido, o desembargador concluiu que o compartilhamento de dados pessoais realizado pela Serasa representa sérios riscos de lesão aos direitos fundamentais dos titulares, inclusive em razão da quantidade de indivíduos envolvidos (os dados pessoais comercializados pertenciam a mais de 150 milhões de consumidores).
Alguns casos relevantes no mundo
— Já em janeiro, o Tribunal Distrital do Estado da Geórgia (EUA) homologou o acordo celebrado entre a Equifax Inc. e diversas autoridades estadunidenses — incluindo o Federal Trade Commission (FTC), o Consumer Financial Protection Bureau e 50 Estados e territórios dos Estados Unidos — em decorrência de ataque cibernético ocorrido em 2017 que afetou cerca de 56% da população adulta estadunidense (ou 147 milhões de pessoas). As investigações constataram que a empresa não implementou um sistema de segurança adequado, apesar de conhecer vulnerabilidade crítica em seu software. O acordo determinou o pagamento de US$ 380,5 milhões — equivalente a R$ 1.985.220.700 atualmente —, revertidos a um fundo para ressarcimento dos milhões de afetados, honorários advocatícios e outras despesas.
— Em fevereiro, a Amazon Turkey Retail Services Limited foi condenada pela Autoridade de Proteção de Dados Pessoais da Turquia ao pagamento de multa no valor de 1,2 milhão de liras turcas — equivalente a R$ 877.784,77 — por condicionar o acesso aos serviços de sua plataforma à obtenção de consentimento do usuário para o envio de anúncios publicitários. Ao analisar a política de privacidade da Amazon, a autoridade turca verificou que a autorização para o envio e mensagens publicitárias era um pré-requisito para a criação de uma conta de usuário — obrigatória para realizar compras através da plataforma. Por essa razão, a autoridade concluiu que tal autorização não poderia ser considerada um consentimento explícito, uma vez que não configurava manifestação de livre vontade do usuário.
— Em março, a Suprema Corte do Reino Unido firmou o entendimento de que dados pessoais só podem ser transferidos aos Estados Unidos, sob o Tratado de Assistência Jurídica Mútua (MLAT), caso os requisitos da Lei de Privacidade de Dados (DPA) do Reino Unido estejam satisfeitos. A Suprema Corte foi unânime ao considerar ilícita a decisão do Secretário de Estado do Reino Unido que autorizou a transferência internacional dos dados pessoais de um indivíduo que supostamente integrava um grupo terrorista ativo na Síria em atendimento ao pedido de assistência jurídica mútua apresentado pelo governo dos Estados Unidos.
— Em abril, o Tribunal Distrital do Distrito de Columbia homologou um acordo celebrado em 2019 entre Facebook e o Federal Trade Commission (FTC). O acordo decorreu de denúncia apresentada pelo órgão de defesa ao consumidor do DOJ dos Estados Unidos, segundo a qual o Facebook teria violado os termos de um antigo acordo firmado em 2012 com o FTC que proibia a empresa de incorrer em práticas enganosas relativas às configurações e condições de privacidade da plataforma. De acordo com a denúncia, o Facebook não teria implementado um programa de privacidade adequado e, supostamente, teria levando os usuários a acreditar que poderiam restringir o acesso a dados pessoais que continuaram a ser compartilhados com terceiros. O acordo determinou o pagamento de multa no valor de US$ 5 bilhões — aproximadamente R$ 29,4 bilhões —, bem como a implementação de uma série de medidas corretivas.
— Em maio, o Tribunal Constitucional da Alemanha declarou parcialmente inconstitucional a Lei do Serviço Federal de Inteligência, que regula as atividades da agência nacional de inteligência (BND). O Tribunal concluiu que a referida lei cria uma base legal para a prática de vigilância estatal de indivíduos situados em países estrangeiros ao permitir que a BND acesse rotas e redes de transmissão de telecomunicações e utilize ferramentas de análise para coletar dados de interesse do serviço de inteligência, sem estabelecer a finalidade para tal monitoramento. Através do julgamento, o tribunal conferiu eficácia extraterritorial ao direito de privacidade previsto na constituição alemã, reconhecendo a aplicabilidade de tal direito não apenas aos indivíduos situados na Alemanha, mas também àqueles residentes e domiciliados em território estrangeiro.
— Em junho, o Superior Tribunal Federal da Alemanha (BGH) confirmou a decisão proferida em 2019 pela autoridade antitruste alemã que condenou o Facebook por abuso de posição dominante. Nesse caso, os termos de uso da plataforma condicionavam o acesso dos usuários à rede social Facebook.com à utilização de dados pessoais provenientes de sites de terceiros e de outras plataformas do Grupo Facebook — como Instagram e WhatsApp. O BGH afirmou que os termos de uso adotados pelo Facebook não apenas violavam os direitos à autonomia pessoal e à autodeterminação informativa de seus usuários, como também constituíram uma forma de exploração dos usuários devido ao efeito lock-in decorrente de sua posição dominante.
— Em julho, a Corte de Justiça da União Europeia (CJEU) proferiu decisão invalidando o programa EU-US Privacy Shield, que autorizava a livre circulação de dados pessoais entre a União Europeia e os Estados Unidos. A CJEU concluiu que o tratamento de dados pessoais previsto na Lei de Segurança Nacional dos EUA não seria compatível com os princípios de proporcionalidade e necessidade do Regulamento Geral de Proteção de Dados da União Europeia (GDPR). Desse modo, o EU-US Privacy Shield não seria capaz de assegurar a proteção contra o acesso, por parte de autoridades públicas de segurança nacional, aos dados pessoais transferidos ao país. Ainda na mesma decisão, a CJEU definiu novas obrigações a serem incorporadas às cláusulas-padrão (Standard Contractual Clauses — SCC), utilizadas em contratos para a transferência de dados pessoais da União Europeia a países fora do espaço econômico europeu.
Perspectivas para 2021
Muito se avançou neste ano a respeito da proteção de dados no Brasil, mas há um longo caminho a ser percorrido. Diversas normas da nossa lei geral ainda demandam regulamentação. Organizações públicas e privadas precisam desenvolver uma cultura de privacidade e proteção de dados, assim como os próprios titulares de dados tendem a ter cada vez mais informações sobre o assunto. Tomadores de decisão devem estar atentos para que a interpretação da lei possa preservar tanto a autodeterminação informativa quanto o estímulo à inovação, o desenvolvimento tecnológico e a livre concorrência no país.
Nesse sentido, merece destaque a constituição do conselho diretor da Autoridade Nacional de Proteção de Dados (ANPD). Os cinco nomes indicados pelo presidente da República para compor o conselho já foram nomeados oficialmente e tomaram posse. Waldemar Gonçalves Ortunho Junior, indicado para ocupar o cargo de primeiro diretor-presidente da ANPD, com mandato de seis anos; Arthur Pereira Sabbat, com mandato de cinco anos; Joacil Basilio Rael, com mandato de quatro anos; Nairane Farias Rabelo Leitão, com mandato de três anos; e Miriam Wimmer, com mandato de dois anos, são os demais diretores.
É grande a expectativa em torno do início dos trabalhos da autoridade. Apesar de ainda não terem um local de trabalho publicamente definido, os novos diretores já estão trabalhando para montar suas equipes, bem como na redação de regimento interno e regulamentos. Não é justo esperar que os diretores solucionem, rápida e isoladamente, todas as intricadas questões relacionadas à proteção dos dados no Brasil. Mas o trabalho sério da autoridade, aliado ao diálogo constante com a sociedade civil e outros entes públicos, deve resultar em um 2021 com importantes regulamentações, orientações e decisões.
Publicado no Consultor Jurídico.