O protagonismo dos órgãos públicos em privacidade e proteção de dados: histórico, multas e acordos no Brasil


O protagonismo dos órgãos públicos em privacidade e proteção de dados: histórico, multas e acordos no Brasil


No último artigo da série, percorremos o trajeto da publicação da Lei Geral de Proteção de Dados (Lei n° 13.709/2018 – “LGPD”) no Brasil, abrangendo o percurso legislativo até a vigência plena da lei, e a posterior entrada em vigor das sanções administrativas em agosto de 2021. O artigo também trouxe uma discussão aquecida sobre a retroatividade da aplicação das sanções da LGPD. Para relembrar, clique aqui. Justamente no contexto de aplicação de sanções surge o tema do nosso 3º artigo. 

Isso porque, apesar de a privacidade e proteção de dados ganhar maior repercussão midiática em 2020, impulsionada também pelos motores da pandemia da COVID-19 – que lançou e/ou implementou inúmeras tecnologias de saúde com base em tratamento de dados pessoais – o tema não é novidade em nosso sistema legal, principalmente para alguns órgãos como os de defesa do consumidor e o Ministério Público dos Estados, que já vinham se debruçando sobre o assunto, notificando, investigando, firmando acordos ou termos de ajustamento de conduta e, até mesmo, impondo sanções a diversas empresas por infrações no âmbito de privacidade e proteção de dados. 

Embora não houvesse uma lei específica sobre o assunto publicada ou totalmente vigente, o ordenamento jurídico já previa inúmeros instrumentos hábeis à mencionada atuação. A Constituição Brasileira de 1988 (“CF/88”) já previa, em seu artigo 5°, inciso X, a inviolabilidade da vida privada, da honra e da imagem das pessoas. As leis infraconstitucionais também já tratam do assunto, colocando a privacidade e proteção de dados como princípios norteadores, a exemplo do Marco Civil da Internet (Lei n° 12.965/2014) e seu Decreto Regulamentador (Decreto n° 8.771/2016), além do próprio Código de Defesa do Consumidor (Lei 8.078/1990), que prevê a necessidade de transparência no trato de dados pessoais de consumidores. E foram essas normas que, em sua maioria, fundamentaram a atuação dos órgãos. 

O Ministério Público do Distrito Federal e Territórios (“MPDFT”) se mostrou pioneiro em matéria de privacidade e proteção de dados pessoais. Em 2017, o órgão criou, no âmbito da Promotoria de Justiça de Defesa do Consumidor, a Comissão de Proteção de Dados Pessoais. Em seguida, em janeiro de 2018, o MPDFT atuou no caso do incidente de segurança da
Netshoes, que envolveu o suposto vazamento de mais de 2 (dois) milhões de dados pessoais, incluindo dados de servidores públicos politicamente expostos. O MPDFT, através da Recomendação n° 01 de 2018, indicou que a empresa: (i) notificasse os titulares afetados, através de correspondência e ligação telefônica e (ii) se abstivesse de efetuar pagamentos ao autor do incidente (Hacker). 

Em abril de 2018, o MPDFT criou a Unidade Especial de Proteção de Dados e Inteligência Artificial (“ESPEC”), através da Portaria Normativa n° 539, de 12 de abril de 2018. No mesmo mês e demonstrando a atuação protagonista do órgão, o MPDFT firmou acordo com a empresa Uber, em virtude do incidente de segurança que teria exposto 57 (cinquenta e sete) milhões de contas de motoristas e clientes de vários países. Naquele ato, a empresa se comprometeu a notificar os mais de 196 (cento e noventa e seis) mil usuários brasileiros atingidos, publicizando a infração, com posicionamento bastante parecido ao do caso envolvendo a Netshoes.

Pouco tempo depois, no mês de julho de 2018, o Departamento de Proteção e Defesa do Consumidor (“DPDC”), órgão do Ministério da Justiça, condenou a empresa Decolar.com ao pagamento de multa de R$ 7.500.000,00 (sete milhões e quinhentos mil reais) por sustentar que haveria a diferenciação de preços de acomodações e a negativa de oferta de vagas de acordo com a localização geográfica do cliente (geopricing e geoblocking, respectivamente). Apesar da decisão não citar expressamente privacidade ou proteção dos dados, baseou-se no tratamento de dados pessoais abusivo, discriminatório e na quebra da legítima expectativa do titular/cliente, para aplicação da referida penalidade. 

O cenário não mudou com a promulgação da LGPD em agosto de 2018. Poucos meses depois, após propositura de Ação Civil Pública, o MPDFT homologou acordo com instituição financeira em decorrência do vazamento de dados de mais de 19 (dezenove) mil correntistas, em que a instituição desembolsou o valor de R$ 1.500.000,00 (um milhão e quinhentos mil reais), como forma de reparar os danos morais coletivos de caráter nacional. 

Em fevereiro de 2019 e concluindo o assunto com a Netshoes, o MPDFT firmou Termo de Ajustamento de Conduta (TAC), prevendo a indenização de 500.000,00 (quinhentos mil reais) ao Fundo de Defesa de Direitos Difusos como indenização pelos danos morais coletivos causados.  A empresa também se comprometeu a implementar medidas adicionais ao seu Programa de Proteção de Dados, com a atualização contínua da sua Política de Segurança Cibernética; a realizar esforços de orientação de consumidores, por meio de campanha de conscientização; e a disseminar no mercado as melhores práticas para privacidade e proteção de dados pessoais, por meio de participação em fóruns e eventos especializados.  

Em abril do mesmo ano, o MPDFT proferiu um despacho ministerial nos autos do Inquérito Civil Público n. 08190.005366/18-16, solicitando um Relatório de Impacto à Proteção dos Dados Pessoais (“DPIA”) da empresa Telefônica, em decorrência do tratamento dos dados pessoais utilizados no produto Mídia Geolocalizada do serviço Vivo Ads, plataforma utilizada pela empresa para o rastreamento da geolocalização de seus usuários. Referido despacho foi extremamente criticado por exigir conduta ainda não vigente em lei, tampouco regulamentada (na época, os artigos referentes ao RIPD ainda estavam em vacatio legis). 

Mas não foi só. O caso ainda foi objeto de Ação Civil Pública  proposta pelo MPDFT. Entretanto, a sentença julgou improcedentes os pleitos do ente ministerial, atentando-se à impossibilidade de solicitação de um Relatório de Impacto à Proteção de Dados Pessoais, vez que o tema encontrava-se ainda pendente de regulação pela ANPD. A decisão de primeiro grau foi confirmada em acórdão, sob os fundamentos de que a empresa “(...) no momento da contratação, ao consumidor, por meio destacado, é dada a oportunidade de manifestar o seu consentimento ou discordância em receber “ofertas e benefícios” da Vivo e Parceiros, mediante uso de seus “dados pessoais e de localização”, além de possuir um Centro de Privacidade disponível aos titulares e constatada a falta de provas do MPDFT sobre a insatisfação ou lesão dos clientes/titulares. 

No mês de agosto de 2019, embora os dispositivos relativos às sanções previstas na LGPD ainda não estivessem vigentes, houve a aplicação de multa pecuniária severa, baseada nos princípios previstos na referida norma. A fundação Procon (Programa de Proteção e Defesa do Consumidor) de São Paulo aplicou multas ao Google e à Apple de, respectivamente, R$ 9.900.000,00 (nove milhões e novecentos mil reais) e R$ 7.700.000,00 (sete milhões e setecentos mil reais) em razão da violação, pelas empresas, ao Código de Defesa do Consumidor, por disponibilizarem em suas lojas o aplicativo “Face App”, que realizava o processo de envelhecimento de rostos em fotografias. As multas teriam sido fundadas, dentre outras particularidades, nos fatos de que a Política de Privacidade e os Termos de Uso estariam no idioma Inglês (dificultando a transparência do documento, que não teria sido fornecido no idioma Português) e de que as empresas teriam cláusulas abusivas em suas políticas e termos, no que diz respeito ao compartilhamento e transferência de dados pessoais, além da suposta ausência de um mecanismo de oposição disponível ao titular dos dados.

Tempos depois, em dezembro de 2019, a Secretaria Nacional do Consumidor do Ministério da Justiça (“Senacon”) multou o Facebook em R$ 6.600.000,00 (seis milhões e seiscentos mil reais), pelo compartilhamento de dados pessoais no caso da Cambridge Analytica, mundialmente conhecido, em que dados de milhões de usuários teriam sido utilizados pela empresa de marketing digital para influenciar escolhas de cunho político. A Senacon aplicou a multa por entender que a empresa atuou de forma abusiva, não comunicando corretamente seus usuários sobre as suas práticas de privacidade.  

Em abril de 2020, para fins de pesquisas domiciliares via telefone, para manter a continuidade dos levantamentos, durante a pandemia, como a PNAD – Pesquisa Nacional por Amostra de Domicílios Contínua -  determinada pela Medida Provisória n° 954/2020 (“MP”), as operadoras de telefonia fixa e de celular foram compelidas a repassar o cadastro de seus clientes para o Instituto Brasileiro de Geografia e Estatística (“IBGE”).  

Em resposta à MP, foram propostas cinco Ações Diretas de Inconstitucionalidade (“ADIs”), pelo Conselho da Ordem dos Advogados do Brasil e Partidos Políticos, sob o argumento de que o objeto da MP violava a intimidade, vida privada das pessoas e o sigilo dos dados. Em decisão histórica, o Supremo Tribunal Federal suspendeu a eficácia da MP, sob o principal argumento de aplicação do princípio razoabilidade e proporcionalidade, não admitindo que a justiça brasileira abrisse uma exceção diante crise sanitária e, com isso, afastasse direitos e liberdades civis fundamentais.

Ainda na seara da crise sanitária causada pelo COVID-19, o Procon de São Paulo, em novembro de 2020 e com fundamento na LGPD, notificou o Hospital Albert Einstein requerendo explicações sobre o suposto vazamento de listas com informações pessoais e médicas de pacientes testados, diagnosticados e internados por COVID-19. Além disso, o Procon também solicitou esclarecimentos sobre quais medidas de segurança da informação foram adotadas em decorrência do ocorrido.

Assim, o ano de 2020 chegou ao fim com inúmeros casos em andamento; no mês de novembro daquele ano, a ANPD iniciou as suas atividades, com a nomeação do Conselho Diretor e, em dezembro, com a publicação da estrutura regimental da Autoridade. E, desde então, a ANPD vem em uma atuação crescente, sólida e extremamente relevante para o cenário de privacidade e proteção de dados no Brasil, focada, neste início, na emissão de regulamentos e guias operacionais. 

Foi o que se viu no início do ano de 2021, com a publicação, pela ANPD, de sua Agenda Regulatória (Portaria N° 11 de 27 de janeiro de 2021). Dentre os trabalhos, foi publicada a Resolução CD/ANPD N° 1 de 28 de outubro de 2021, que aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD, trazendo corpo ao procedimento que tem por objetivo a investigação e eventual aplicação de sanções no âmbito regulatório. É fato que, nos termos do artigo 71 do Regulamento, há a previsão de edição de Portaria com instruções complementares sobre o processo fiscalizatório e sancionador, mas a atividade poderá começar a qualquer momento, oportunidade em que os casos tramitarão também no órgão específico, e não apenas naqueles relacionados à proteção do consumidor, ao Ministério Público ou submetidos ao Poder Judiciário. 

E a atuação da ANPD já tomou lugar. Em outubro de 2021, a ANPD deu início à apuração do caso de vazamento de informações por meio do Sistema de Pagamentos Instantâneos (“Pix”), caso que tramita em segredo de justiça, por conta dos segredos industriais e comerciais contidos na investigação. Em sequência, a ANPD também deu início à investigação do incidente envolvendo o Ministério da Saúde e Conecte SUS, notificando-os para prestação de esclarecimentos, considerando a sensibilidade do caso e possíveis danos gravosos aos titulares dos dados envolvidos. Esses são apenas 2 (dois) casos públicos a que se tem acesso, mas estima-se que inúmeros outros, provavelmente, já estão em andamento. 

Mas não nos enganemos. Em um país cujos índices de judicialização são altíssimos (a exemplo das causas consumeristas), e com inúmeros organismos de proteção ao consumidor (o que não se critica, apenas se constata), é bastante provável que o debruçar-se nas investigações sobre incidentes ou tratamento indevido de dados pessoais não pouse única e exclusivamente nas mãos da ANPD. 

Vale mencionar que, apesar de a LGPD conferir exclusividade à aplicação de suas sanções administrativas à ANPD, com a prevalência de suas competências sobre outras entidades e órgãos, os órgãos administrativos têm continuado com sua atuação sobre o assunto, mormente diante da inafastabilidade de outras previsões legais. É o caso, por exemplo, da Senacon, que em junho de 2021, multou o Banco Cetelem S.A. em R$ 4.000.000,00 (quatro milhões de reais) alegando a oferta abusiva e a contratação de empréstimos consignados com a utilização indevida de dados pessoais de consumidores idosos. Em agosto do mesmo ano, o Procon do Mato Grosso multou o Grupo Raia Drogasil, no valor de R$ 572.000,00 (quinhentos e setenta e dois mil reais), suscitando a utilização irregular de  dados pessoais sensíveis de biometria e falta de transparência com os clientes sobre suas práticas. 

Assim, diante do histórico e do quanto discorrido até aqui, evidencia-se a atuação constante e frequente dos órgãos públicos em relação à privacidade e proteção de dados, mesmo antes da vigência parcial ou plena da LGPD ou da estruturação da ANPD. 

Quanto à ANPD, a expectativa é de que, nos próximos meses, sua atuação torne-se ainda mais protagonista, com o início da aplicação das sanções administrativas da LGPD. É tempo de preparar-se para o que virá, em um cenário onde decisões judiciais, acordos, multas, termos de ajustamento de conduta e sanções aplicadas pela ANPD poderão coexistir. Aguardamos os próximos capítulos dessa história.