Há não muito tempo, em meados de julho do corrente ano, um laboratório foi condenado por utilizar dados sensíveis de uma mulher que havia sofrido aborto espontâneo e por encaminhar a ela mensagens de WhatsApp com oferta de coleta e armazenamento de cordão umbilical. A vítima não havia fornecido suas informações pessoais, tampouco sobre a gravidez, a qualquer laboratório especializado em inseminação artificial.

A condenação foi prolatada pelo Tribunal de Justiça de São Paulo, utilizando como parâmetro o que prevê a Lei n.º 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados (LGPD). A norma salvaguarda os dados dos indivíduos a fim de proteger, por consequência, a própria pessoa detentora dos dados em sua esfera privada.

Fato que a LGPD inovou o cenário informatizado do Brasil, concedendo ao titular dos dados um elevado – e necessário – grau de autonomia e autoridade, uma vez que é o próprio cidadão quem possui o direito, positivado em lei, de ter seus dados bem cuidados, armazenados, preservados e devidamente descartados pelas empresas, que não podem utilizá-los sem cuidados e cautelas.

Mas o que, realmente, vem a ser essa tal Lei Geral de Proteção de Dados?

A LGPD consiste em uma regulamentação publicada no ano de 2018, entrando parcialmente em vigor em 2020 e tendo sua eficácia plena em 2021, ano passado. Em suma, a norma objetiva proteger as bases pessoais da população nacional.

Indo direto ao que interessa, as penalizações constantes na LGPD preveem, desde advertências aos estabelecimentos que faz mal uso dos dados dos seus usuários, podendo gerar também multas em altos valores.

As sanções para as violações são dispostas no artigo 52 da norma, que assim dispõe:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:   

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

VII – (VETADO);

VIII – (VETADO);

IX – (VETADO).

X – (VETADO);

XI – (VETADO);

XII – (VETADO);

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; 

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; 

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Para além, a forma de aplicação das penas está disposta no mesmo artigo, em seu parágrafo 1º:

• 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

I – a gravidade e a natureza das infrações e dos direitos pessoais afetados;

II – a boa-fé do infrator;

III – a vantagem auferida ou pretendida pelo infrator;

IV – a condição econômica do infrator;

V – a reincidência;

VI – o grau do dano;

VII – a cooperação do infrator;

VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;

IX – a adoção de política de boas práticas e governança;

X – a pronta adoção de medidas corretivas; e

XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Pelo texto da lei, podemos considerar que a aplicação das sanções exige uma cautelosa avaliação e ponderação das circunstâncias do caso em concreto, como, por exemplo, a gravidade e a natureza da conduta, os direitos pessoais conspurcados pela ação do empreendimento, a boa-fé daquele que “vazou” os dados, se houve vantagem granjeada com o ato e, para mais, a condição econômica do transgressor, o nível do dano, a adoção – ou falta de – políticas de governança e diversos outros aspectos.  

Destaca-se, por oportuno, que diversas ações judiciais com base e fundamento na Lei Geral de Proteção de Dados têm despontado no mundo forense brasileiro. De acordo com dados colhidos pelo Jornal Folha de São Paulo, em julho de 2021, isto é, há pouco mais de um ano, o Judiciário já contava com mais de seiscentas decisões envolvendo a norma.

Dentre os requerimentos, há de tudo: desde exclusão de nomes e elementos privados da internet até à remoção de informações do RH (Departamento de Recursos Humanos) após demissão. N’outro giro, fazendo uma pequena média, é possível anotar que as condenações em razão das sanções propostas pela Lei remontam a casa dos R$ 10.000,00 (dez mil reais) em hipóteses de compartilhamento ilegal de dados.

Percebe-se, portanto, que as empresas, tendo em vista a vigência da Lei Geral de Proteção de Dados, devem investir um sistema de gestão eficiente, íntegro e adequado, de maneira a escudar os interesses e as informações dos indivíduos que confiaram seus dados às companhias e, ainda, para se preservarem de eventuais penalizações de ordem judiciária – seja administrativa, cível ou criminal.

Não se olvida que a regulamentação é jovem e ainda sofrerá modulações pelo entendimento do Poder Judiciário Brasileiro, que acabou de conhecê-la, assim como eu e vocês. Contudo, como recomendação (por mais que digam que se conselho fosse bom seria vendido), é prudente que as instituições optem pela mais estrita legalidade. No mais, aguardemos as cenas dos próximos capítulos.