O que já aprendemos com os cinco anos da LGPD?
Por Patricia Peck, sócia-fundadora do Peck Advogados e professora de Direito Digital da ESPM.
Os dados são um dos ativos mais valiosos da sociedade da informação, motivo pelo qual se tornaram o principal alvo de ataque das quadrilhas especializadas. Se de um lado o Brasil já conta com uma legislação específica para proteção dos dados pessoais (Lei 13.709/2018), do outro ainda carece de uma ação mais efetiva de combate ao crime organizado digital que vem aterrorizando cidadãos e instituições públicas e privadas.
A questão não é se vai ou não ocorrer uma violação de dados relacionada a um vazamento maciço ou a sequestro de base, seguido de ameaça, chantagem, extorsão, mas sim quem é o próximo na mira dos criminosos. É só uma questão de tempo, para pesadelo de executivos e equipes técnicas. Então, o que já
aprendemos com os cinco anos da legislação?
Que os agentes devem atuar nas medidas preventivas não há dúvida, mas, principalmente, nas medidas e neutralização e contenção do evento e nas medidas reativas. E, acima de tudo, que a Autoridade Nacional de Proteção de Dados (ANPD) além de recepcionar a notificação dos agentes de tratamento sobre os eventos, e dar andamento no processo de fiscalização e sancionamento, também estabeleça termo de cooperação junto à segurança pública para providências relacionadas às ações de combate aos ataques que possam aumentar o nível de cibersegurança de perímetro externo que depende do apoio de políticas públicas orientadas a proteger a sociedade e as instituições.
Uma coisa é certa: incidentes de dados geram danos sociais, econômicos, políticos e reputacionais. Na conta dos impactos causados especificamente pelos megavazamentos de dados pessoais ocorridos nos últimos anos está desde o aumento do risco de autenticação de usuários até o aumento da fraude e do custo do crédito. A falta de confiança na relação entre as partes gera perda de negócios e, por sua vez, a insegurança jurídica causada gera fuga de investimentos.
Em decisão recente no AREsp 2.130.619, a 2ª. Turma do Superior Tribunal de Justiça (STJ), por unanimidade, afastou a indenização por danos morais imposta pelo Tribunal de Justiça de São Paulo (TJSP) em favor de titular por incidente envolvendo vazamento de dados pessoais, com o entendimento de que o dano moral não é presumido e só se aplicaria se houvesse envolvimento de dados considerados sensíveis, conforme o art. 5º, II. da LGPD, como rol taxativo. Apesar de a decisão não ter caráter vinculante, já traz uma visão da diretriz a que a corte pode vir a tomar para demais julgamentos futuros sobre a matéria.
No entanto, cabe ressaltar que o tema de proteção de dados está passando por atualização no País, visto que a ANPD, que se tornou autarquia especial, tem também o papel de regulamentar a legislação. Por isso, o caso decidido pelo STJ e que envolveu uma ocorrência de novembro de 2020 não chegou a observar as alterações trazidas pelas resoluções mais recentes da Autoridade, tais como as Res. 02/2022 e 04/2023, que trouxeram especificamente a classificação do tratamento de dados pessoais de idosos como de alto risco, o que pode provocar, eventualmente, uma revisitação sobre o tema.
O Regulamento de Dosimetria da ANPD prevê que, na definição da sanção devem ser considerados dentre os parâmetros e critérios, o grau do dano. E, nesse sentido, traz o detalhamento de que a infração será considerada média se ocasionar danos materiais ou morais aos titulares, e cita os casos de discriminação, violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade. E determina que será considerada grave se cumulativamente envolver tratamento de dados sensíveis, ou de dados pessoais de criança, de adolescente ou de idosos (arts. 7 e 8 da Resolução 04/2023 ANPD).
Mas, independente disso, o ponto principal aqui é: a análise de dano em um caso concreto está relacionada ao impacto nas liberdades individuais dos titulares envolvidos, como estabelecido inclusive pelo Regulamento Europeu (GDPR) que inspirou a lei brasileira (Lei Geral de Proteção de Dados Pessoais – LGPD). Nesse sentido, para quem lembra do caso Ashley Madison, em 2015, cujo objetivo do website era promover “encontros entre pessoas comprometidas” e teve dados de 37 milhões de usuários roubados em um ataque hacker, bastou a revelação da lista de e-mails dos participantes para ter efeitos de danos morais e danos materiais na vida dos indivíduos. Ou seja, dependendo do agente de tratamento, do perfil da base, do perfil do titular, do contexto do evento, o impacto nas liberdades individuais pode ocorrer, mesmo sem ter necessariamente dados pessoais sensíveis envolvidos. Mas precisa ser apurado no caso a caso. Logicamente, se houver dados pessoais sensíveis, há a presunção, e escala-se a gravidade, como também já previsto na regulamentação da ANPD.
Mas isso não quer dizer que se não houver não possa ser caracterizado. Uma lista de placas de carros estacionados em uma clínica de fertilização humana, que venha a vazar da empresa terceirizada responsável pelo serviço de “valet”, não é um dado pessoal sensível (diretamente), mas essa associação pode gerar impacto nas liberdades individuais. Sendo assim, podemos estar diante de um caso, em que haja aplicação de multa pela ANPD, e o judiciário confirme o indenizatório, o que irá demonstrar um alinhamento do processo administrativo e judicial, ou que a ANPD entenda que não houve violação e o Judiciário também entenda que não e afaste o ressarcimento, mas podemos também enfrentar situações em que a ANPD entenda de uma maneira e o Judiciário de outra. E esse desalinhamento poderá trazer consequências ruins se o objetivo é fortalecer a cultura e o enforcement de proteção de dados pessoais no Brasil, garantindo a sempre esperada segurança jurídica aos agentes envolvidos.
Fonte: Broadcast