Incidentes de segurança, como vazamento de dados, são o maior motivo para a judicialização, segundo estudo.
O Judiciário negou a condenação de empresas por alegações de violação à proteção de dados pessoais na maior parte dos processos julgados no ano passado. Em 77% de 465 decisões que aplicaram a Lei Geral de Proteção de Dados (LGPD), os juízes entenderam que não houve infração. O resultado foi identificado em levantamento de jurisprudência de treze tribunais, feito pelo escritório Opice Blum, Bruno e Vainzof Advogados, especializado em direito digital.
Mesmo nas condenações (23% do total), os magistrados optaram, na maioria dos casos, por impor obrigações – eliminação de dados do titular, por exemplo – e não pagamento de indenização por danos morais. Incidentes de segurança, como vazamento de dados, foi o maior motivo para a judicialização (40%).
Os resultados, segundo Rony Vainzof, sócio do escritório, demonstram cautela da Justiça com a aplicação da nova legislação, que entrou em vigor em partes entre setembro de 2020 e agosto de 2021. “O Judiciário está em alerta para o nível de maturidade sobre o assunto e para descartar a massificação de ações”, diz ele, acrescentando que essa tendência “evita a deteriorização do intuito da legislação, que é trazer maior segurança jurídica para o tratamento de dados”.
Nos poucos casos em que houve condenação pecuniária, a tendência dos juízes foi de fixar valores baixos, de R$ 2 mil, R$ 5 mil e R$ 10 mil. Violações envolvendo dados sensíveis (biométricos, de saúde e religião) e falta do consentimento do titular para o tratamento de informações são os que custam mais caro – partem de R$ 1 mil a R$ 100 mil em casos extremos.
Um deles ocorreu em uma ação civil pública julgada pela Justiça de São Paulo. Houve condenação de R$ 100 mil a uma empresa de transporte que implementou um sistema de identificação facial em local público, para fins relacionados à publicidade e propaganda, sem consentimento ou ciência dos usuários (processo nº 1090663-42.2018.8.26.0100).
Valores mais baixos foram fixados, por exemplo, por acesso a prontuário médico na internet sem necessidade de senha (R$ 20 mil) e compartilhamento indevido de dado, que expôs o consumidor como inadimplente (R$ 2,5 mil). Em 90% das decisões, o Judiciário exigiu provas do prejuízo causado com a alegada violação.
O Opice Blum identificou 1.265 decisões proferidas em 2021, por treze tribunais – incluindo Supremo Tribunal Federal (STF), Superior Tribunal de Justiça (STJ) e Tribunal Superior do Trabalho (TST). Mas em apenas 40% delas (465) houve aplicação efetiva da LGPD (Lei nº 13.709/2018). Nas demais, a lei foi citada como referência para a decretação de sigilo judicial do processo, por exemplo. A maioria dos julgados vem da Justiça de São Paulo.
Para Vainzof, a cautela do Judiciário é positiva também porque mais de 20 artigos da LGPD ainda dependem de regulamentação, como a definição do prazo para as empresas notificarem incidentes de segurança.
Desde agosto, a Autoridade Nacional de Proteção de Dados (ANPD) está autorizada a fiscalizar e punir empresas em desconformidade, mas ainda falta estabelecer a dosimetria (cálculo) das sanções. Pela LGPD, a multa pode chegar a 2% do faturamento, limitado ao teto de R$ 50 milhões, até a interrupção da atividade corporativa.
De acordo com o advogado Fabrício Polido, sócio da área de direito digital do escritório L.O. Baptista, a atuação técnica da ANPD deve ser espelhada na de autoridades de proteção de dados de outros países. Isso porque, acrescenta, a LGPD brasileira sofreu forte influência do Regulamento Geral de Proteção de Dados Europeu (GPDR).
“A partir da análise do comportamento das autoridades nacionais de outros países podemos antever as possíveis orientações e a atuação concreta da ANPD nos procedimentos administrativos. Haverá influência”, diz Polido.
Um estudo feito pelo escritório aponta que, no exterior, as indústrias mais acionadas no âmbito administrativo foram as de telecomunicações, varejo, finanças e mídias sociais. “Pelo tratamento intensivo de dados nas suas atividades comerciais”, explica Polido, um dos autores da pesquisa.
O levantamento partiu de decisões proferidas entre 2020 e 2021 pelas autoridades de proteção de dados nos países da União Europeia, além de Reino Unido, Argentina, Uruguai, Canadá, Estados Unidos e Austrália.
Grande parte das sanções não tem relação com vazamento de dados – causa que, no Brasil, motivou o maior número de ações judiciais. As autoridades estrangeiras aplicam sanções, especialmente, quando a empresa não define ou não estabelece adequadamente as bases legais para tratamento de dados nas políticas de privacidade ou nos documentos de governança de dados.
O estudo identifica ainda um comportamento diferente entre os países. Reino Unido e União Europeia têm imposto elevadas multas, de forma cada vez mais recorrente e com uma larga margem. As penalidades variam entre 1,5 mil e 780 milhões de euros, afirma Polido. Nos demais países, por outro lado, as autoridades tendem a aplicar advertências e medidas educativas para as empresas se adequarem às regras.
A diferença na forma de atuação é explicada, segundo o pesquisador, pelo grau de amadurecimento das instituições. As mais antigas foram criadas no fim dos anos 1970 nos países da União Europeia. As demais nos anos 1990 e 2000. “Está ocorrendo um amadurecendo da ideia de que as leis devem proteger o titular dos dados, mas também serem encaradas como componente de compliance entre as práticas das empresas e a aplicação do direito fundamental à privacidade.”
FONTE: Valor Econômico – Por Bárbara Pombo