O movimento de judicialização da Lei Geral de Proteção de Dados

Ajuizamento de ações reflete protagonismo do Judiciário diante da ausência de sanções administrativas. Pode-se dizer que o início da vigência da Lei Geral de Proteção de Dados ocorreu de forma repentina.

Com a redação atribuída ao seu art. 65, pela Medida Provisória nº 959/2020, a entrada em vigor do regramento havia sido adiada para o dia 3 de maio de 2021, enquanto os dispositivos referentes às sanções administrativas valeriam apenas a partir de agosto do mesmo ano.

Todavia, ao aprovar a supracitada Medida Provisória mediante exclusão da previsão de adiamento, o Senado Federal acabou por determinar o início imediato da vigência da LGPD. A partir de 18 de setembro de 2020, com a sanção presidencial, a Lei passou a valer, gerando inúmeras incertezas quanto aos seus efeitos concretos.

Notadamente, com o início da vigência das sanções administrativas previsto somente para o segundo semestre de 2021, se tornou obscura a “real imperatividade” da Lei. Apesar de todas as demais previsões do texto estarem em plena vigência, ainda não se sabia ao certo quais seriam as implicações de seu eventual descumprimento.

Passado pouco mais de um mês desde o início de sua vigência, episódios de judicialização do tema parecem colocar o Poder Judiciário em destaque, na impossibilidade da atuação coercitiva por parte do Poder Executivo.

Tal movimento se iniciou com o ajuizamento, por parte do Ministério Público do Distrito Federal e Territórios, da Ação Civil Pública n. 0730600-90.2020.8.07.0001 em desfavor de uma empresa que comercializava informações pessoais por meio da internet.

No caso, a petição inicial foi indeferida, pois o site da empresa havia sido inativado antes mesmo do julgamento de mérito, o que configurou ausência de interesse processual do Autor, conforme consignado pelo Juízo da 5ª Vara Cível de Brasília.

Mais recentemente, o MPDFT noticiou que obteve tutela antecipada em processo cuja ré também era empresa que comercializava dados pessoais na internet, por meio do portal Mercado Livre[3]. Na decisão, o Juízo da 17ª Vara Cível de Brasília determinou a suspensão das atividades da empresa sob pena de multa diária em caso de descumprimento.

Outro caso de destaque foi a recente condenação de uma construtora imobiliária ao pagamento de indenização, no valor de dez mil reais, pelo compartilhamento indevido de dados de um cliente com outras empresas, sem seu consentimento. A sentença, proferida pela 13ª Vara Cível de São Paulo, se deu com base na violação “aos fundamentos de sua proteção (art. 2º, LGPD) e à finalidade específica, explícita e informada ao seu titular (art. 6º, I, LGPD).

O que se vê, portanto, no atual cenário de inoperância da Autoridade Nacional de Proteção de Dados – tanto pela sua tardia estruturação quanto pela impossibilidade de imposição sanções administrativas – é que os recentes casos de atuação do Poder Judiciário o colocam em posição de protagonismo na efetivação dos direitos relativos à proteção de dados.

Ainda que o adiamento da vigência das sanções tenha o evidente intuito de conferir às entidades afetadas tempo hábil para se adequar à nova regulamentação, a atuação do Poder Judiciário pode se dar de maneira transversal, o que, no fim das contas, tem o condão de efetivamente impor a adequação imediata aos novos preceitos legais.

Não se fala, portanto, na penalização pela mera desconformidade à Lei, mas na responsabilização das entidades pelas consequências de tal desconformidade.

Na atuação do MPDFT, conforme se depreende dos casos acima narrados, revela-se claro o objetivo de suspender a atuação de empresas cuja própria atividade fim preceitua a violação à LGPD. Basta observar que, em ambos os casos, o parquet não deduz pretensão de natureza indenizatória/pecuniária.

Dessa forma, ainda que não se verifique possível a aplicação de sanções administrativas, a intervenção do Judiciário se revela oportuna e, até mesmo, urgente, uma vez que a mera existência de tais empresas representa risco de violação aos princípios que devem reger as atividades de tratamento de dados.

Assim, a possibilidade de intervenção judicial com base na LGPD que tenha a capacidade de interromper as atividades de uma empresa, ainda que pareça radical, a princípio, é oportuna em uma análise contextual.

O caso da 13ª Vara Cível de São Paulo, por outro lado, gera maiores reflexões. Trata-se de empresa cuja atividade fim – construção civil – não a coloca em posição de “violação presumida”, apesar de, inevitavelmente, envolver tratamento de dados em suas operações. O adiamento das sanções administrativas objetivou justamente conferir maior prazo para que entidades como esta pudessem se adequar à nova legislação protetiva.

Com a recente condenação, todavia, surge um novo alerta para as entidades que realizam tratamento de dados. O tempo, que antes tinham para se adequar, parece ter sido encurtado e a adequação se faz necessária desde já.

Apesar de serem hipóteses mais restritas – uma vez que, a princípio, seria necessário um resultado danoso decorrente da violação à Lei – a penalização das entidades pela desconformidade se torna amplamente abarcada pela via indenizatória.

É de se ressaltar que as indenizações por danos morais não devem atingir patamares elevados, como foi o caso da construtora condenada. Todavia, a hipótese de vazamento de bancos de dados inteiros podem elevar significativamente a danosidade de eventuais condenações.

Ainda, é possível vislumbrar diversas outras situações em que as decisões judiciais baseadas na LGPD podem impactar significativamente as entidades que realizam tratamento de dados.

Notadamente, o Princípio da Prevenção, insculpido no art. 6º, VIII, da LGPD[5], pode servir de fundamento para decisões de caráter preventivo. Uma empresa que, em grave desconformidade aos preceitos da Lei, represente alto risco de vazamento de dados, por exemplo, pode ser instada a se adequar ao regramento, ainda que parcialmente, sob pena de incorrer no descumprimento de decisão judicial. Apesar de abstrato, o exemplo não se distancia da tutela antecipada recentemente conquistada pelo MPDFT.

Conclui-se, em última análise, que a concepção de que a LGPD teria menos imperatividade por não haver possibilidade de penalização administrativa é, no mínimo, imprudente. A atuação do Poder Judiciário – que, apesar de incipiente, tende a se intensificar, notadamente com a conscientização da população geral quanto aos seus direitos enquanto titulares de dados – torna, desde já, urgente a adequação aos novos preceitos. 

Fonte: Jota

Fale Conosco