LGPD incentiva melhores práticas na proteção de dados
Representantes do Poder Judiciário, da iniciativa privada e do meio acadêmico destacam a necessidade de comprovação de dano para aferir a responsabilidade civil na Lei Geral de Proteção de Dados
As consequências da responsabilidade civil frente à Lei Geral de Proteção de Dados Pessoais (LGPD) foi tema de debate promovido pelo CEDES, na manhã desta sexta-feira (12/5). O evento híbrido, que contou com representantes do Judiciário, de empresas privadas e do meio acadêmico, fez um balanço da interpretação judicial sobre a nova legislação, que entrou em vigor em 2018.
Na abertura, o professor e doutor em Direito Luciano Timm destacou a importância da ponderação na interpretação da lei. "Os juízes e as juízas devem ponderar sobre as consequências, conforme determinado pelo artigo 20 da Lei de introdução às normas do Direito Brasileiro, e refletir sobre a estrutura de incentivos aos agentes econômicos. Além da árvore, que são os casos específicos, existe a floresta."
A necessidade da comprovação do dano foi apontada pelos debatedores como fator necessário para que a Justiça determine o pagamento de indenização. "A nossa jurisprudência está inclinada para esse lado. É preciso que tenha um efeito na vida de quem teve o dado vazado para que haja uma indenização", afirmou a desembargadora Márcia Regina Barone, do Tribunal de Justiça de São Paulo (TJ-SP).
Ela também ressaltou a necessidade de levar em conta a conduta do agente responsável pelo tratamento dos dados. "A simples existência do vazamento pode não gerar nenhuma consequência. Se passarmos a responsabilizar o agente pelo vazamento que não teve nenhuma consequência, passamos ao desincentivo à proteção. O que seria contrário a toda a filosofia da LGPD, que traz inúmeros artigos que apontam para a necessidade da proteção."
A magistrada Renata Barros Souto Maior Baião, também do TJ-SP, disse que a LGPD assegura um fluxo adequado de dados e estabelece princípios de tratamento e mecanismo de responsabilização quando esse fluxo apropriado não acontece. "Quando o controlador consegue comprovar que empregou todos os meios razoáveis, de forma documentada, será que cabe a responsabilização?", questionou.
"O que a lei diz é que para tratar dados precisa observar as bases legais. É diferente do Código de Defesa do Consumidor, que parte de uma hipossuficiência do consumidor. Por isso o sistema de responsabilidades é diferente", complementou a juíza.
Representando a iniciativa privada, a gerente jurídico da Prudential, Clarissa Dias Barroso, destacou que a LGPD virou um tema do dia a dia das companhias porque atinge clientes e a reputação das empresas. "Temos uma série de exemplos de companhias que tomam medidas para enfrentar essa questão e conseguem comprovar que fazem de tudo para proteger os dados. Existem diversas formas de lidar com essa situação. Oferecendo um canal de comunicação, uma ferramenta de monitoramento."
No entanto, toda semana as empresas sofrem tentativas de ações criminosas. "O Brasil ocupa o segundo lugar em tentativas de ataques cibernéticos. Foram 100 bilhões de investidas no ano passado", lembrou Clarissa.
Já a advogada Giovanna Ventre, que representou o Google, salientou que a Lei Geral de Proteção de Dados não é uma lei setorial. "Diferentemente do Marco Civil da internet, a LGPD se aplica de uma maneira multisetorial, numa dimensão muito vasta."
Segundo ela, o próprio legislador optou por afastar a responsabilidade objetiva, já que quase metade dos artigos da legislação tratam de princípios e boas práticas no tratamento dos dados pessoais. "Se a gente joga a LGPD para um rol de responsabilidade objetiva, haverá o esvaziamento das boas práticas e das medidas efetivas de prevenção. E esse esvaziamento é a maior preocupação quando se fala em responsabilização."
Na avaliação da diretora da Agência Nacional de Proteção de Dados (ANPD), Miriam Wimmer, a turbulência é natural nesses primeiros anos. "Antes da LGPD, havia uma grande insegurança jurídica. A aprovação da lei veio para pacificar muitas questões e abrir o debate sobre outros temas importantes, como a responsabilidade civil, que se colocam sobre bases mais concretas."
Para a diretora da ANPD, mesmo os tribunais ainda enfrentam dificuldade na interpretação da lei dada a novidade do tema e da legislação. "No Brasil, temos uma característica nossa que é a grande facilidade para litigar. Esse conjunto de elementos leva a um cenário que pode gerar uma série de decisões judiciais. Leva um tempo para que a jurisprudência se sedimente e seja amplamente compreendida."
Miriam encerrou com uma mensagem de otimismo. "A LGPD deposita uma grande confiança sobre os agentes responsáveis e a capacidade de demonstrar esses mecanismos. É um incentivo às melhores práticas preconizadas pela legislação e pela Constituição."
O professor Matheus Sturari, do CEDES, abordou a necessidade de comunicação em casos de incidentes de insegurança. "É preciso que se faça toda uma análise, se foi ataque de criminosos, quem são os titulares dos dados envolvidos. Tudo para avaliar se há um risco de causar dano. Essa análise primária define se há necessidade de comunicação à ANDP", disse. "Quando temos um incidente de insegurança, a presença de dados sensíveis é um aspecto relevante para fins de responsabilização, mas não pode ser determinante para a presunção de um dano. Existem incidentes que sequer devem ser comunicados. Depende da relevância e da natureza do incidente", completou.