#Análise | O que se pode observar após mais de um ano de vigência da lei de LGPD

A Lei Geral de Proteção de Dados (13.709/2018) dispõe sobre a proteção e o tratamento de dados pessoais, sendo seu principal objetivo a preservação dos direitos fundamentais garantidos pela Constituição Federal. Assim, destaca-se que os fundamentos da LGPD são baseados no respeito à privacidade, o direito de controle dos indivíduos sobre os seus dados, a liberdade de expressão, a inviolabilidade da intimidade e os direitos humanos.

Entende-se como dados pessoais as informações atreladas a uma pessoa que podem ser usadas para localizá-la ou identificá-la. Já o tratamento desses dados consiste em “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. Assim, a norma classifica os agentes responsáveis pelo tratamento de dados pessoais, sendo eles: controlador, operador e encarregado. O primeiro seria aquele que possui o domínio referente às decisões sobre como os dados serão tratados, como o meio e as orientações de como deve ser feito o tratamento. Já o Operador é aquele que está subordinado ao Controlador, realizando o tratamento com observância às normas emanadas. Quanto ao Encarregado, é a pessoa indicada pelo controlador para agir como o canal de comunicação entre os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados), o órgão responsável pela fiscalização da proteção dos dados pessoais.

A Lei Geral de Proteção de Dados Pessoais ainda não postula, claramente, como seria a responsabilização dos agentes que descumprem a norma, porém há considerações doutrinárias para a  análise de qual seria a responsabilidade civil caso a lei seja violada. A posição que defende a aplicabilidade da responsabilidade objetiva faz uma analogia ao Código de Defesa do Consumidor, pois o artigo 45 da LGPD prevê que as hipóteses de violação de direitos dos titulares, tratando-se das relações de consumo, permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente. Além disso, o artigo 43 da LGPD assemelha-se a redação do artigo 12, §3 do CDC. Dessa forma, tratando-se de regras do Direito do Consumidor é aplicável a objetividade, sendo que devido à semelhança da redação entre as normas pode-se concluir que ao versar sobre tratamento de dados pessoais será apropriado a responsabilidade objetiva.

Dito isso, entende-se pela comparação entre os artigos supracitados que ambos utilizam de excludentes do dever de indenização, ou seja, caso não reste demonstrado o enquadramento em alguma excludente, aquele que violou deverá indenizar, sendo necessário apenas a comprovação do dano. Portanto, essa vertente defende que os causadores do dano “só não serão responsabilizados quando” enquadrarem-se em situações previstas no artigo 43 da LGPD. Assim, no mesmo viés da legislação consumerista, a LGPD teria como objetivo amenizar os riscos da atividade, elencando hipóteses em que não se pode imputar responsabilidade por danos gerados pela atividade exercida dentro do exercício regular do direito.

Em contrapartida, aqueles que defendem a responsabilidade subjetiva alegam que a aplicabilidade da responsabilidade objetiva é condicionada a previsão legal expressa, não sendo presumível, conforme o artigo 927 do Código Civil. Assim, como a regra geral do Direito Brasileiro é a responsabilidade subjetiva, será essa a aplicável em casos de tratamento de dados pessoais. Ou seja, além da demonstração do dano, o elemento culpa também deverá ser comprovado. Isso porque, a LGPD em nenhum de seus dispositivos prevê, expressamente, a aplicação da responsabilidade objetiva.

A norma entrou em vigor em 2020, com exceção das sanções previstas no artigo 52 que apenas entrou em vigência em agosto de 2021. Após um ano, a lei deu origem a decisões judiciais no Brasil, porém a LGPD e a forma como ela deve ser aplicada ainda não foram internalizadas no dia a dia dos tribunais. Até o momento, a LGPD é utilizada apenas como reforço a outras normas, como o Código de Defesa do Consumidor ou o Marco Civil da Internet. Dentre as decisões judiciais, 47,1% foram proferidas pelos tribunais estaduais, seguidos da justiça trabalhista (que foi responsável por 41,2% das decisões sobre o tema), sendo que entre os tribunais estaduais, o Tribunal de Justiça do Estado de São Paulo foi o órgão que mais proferiu decisões com base na Lei Geral de Proteção de Dados, seguido pelo Tribunal de Justiça do Estado do Paraná e pelo Tribunal de Justiça do Estado de Minas Gerais.

As discussões acerca da lei são bastante abrangentes, sendo destaque nos tribunais os limites no momento de produção de provas em processos judiciais, indenizações em casos de vazamentos de dados pessoais e sigilo de informações de funcionários em processos trabalhistas. Em relação às provas em processos judiciais, a discussão é acerca da proteção de alguns documentos ou análise de arquivos digitais, sendo que as decisões são em torno de que a LGPD não pode prejudicar a produção de provas necessárias para a resolução da demanda.

No que se refere aos vazamentos de dados pessoais, é unânime a possibilidade de pleitear indenização por danos morais. Entretanto, ainda há dúvidas quanto a necessidade de comprovação de dano advindo da disseminação das informações. Alguns entendimentos são a favor da demonstração nos autos dos danos causados, enquanto outros seriam no sentido que os danos são presumidos. Em relação aos processos trabalhistas que envolvem a LGPD seriam a respeito do sigilo das informações em litígios trabalhistas, uma vez que poderia prejudicar os trabalhadores em obter futuros empregos. O entendimento diverge-se em dois pontos: a LGPD não seria aplicada ao caso, visto que já existem normas de proteção ao empregado ou a referida norma confere especial proteção aos dados, sendo necessária a aplicação de medidas de sigilo, como a ocultação dos nomes das partes. 

Portanto, diante do exposto, pode-se perceber que a Lei Geral de Proteção de Dados ainda causa dúvidas quanto à sua aplicabilidade, mas após 1 ano de vigência e com o cenário de crescimento das relações virtuais devido ao crescimento das tecnologias no dia a dia, o cenário de aplicação da norma tende a crescer. Isso porque, a norma está em vigência, sendo exigido  que as instituições, empresas e pessoas físicas busquem se adequar à conjuntura de cuidados com os tratamentos dos dados pessoais.

_________

Conteúdo produzido por Júlia Rodrigues dos Santos.