Na primeira publicação da Série Especial Contencioso & Proteção de Dados, fizemos um sobrevoo pelas sanções aplicadas pelas autoridades europeias, ressaltando a atuação das autoridades de proteção de dados Alemã, da Irlanda e da França, e, também, mencionamos a forte fiscalização por parte da ICO, autoridade do Reino Unido. A proposta foi a de abrir caminhos à análise do cenário brasileiro.
E aqui estamos. É fato que a Autoridade Nacional de Proteção de Dados Brasileira (“ANPD”) ainda não aplicou sanções de quaisquer naturezas (pecuniária, admoestadora ou restritiva de atividades), mormente diante de sua recente constituição e estruturação, fazendo com que o seu foco seja, atualmente, emitir os regulamentos e pareceres necessários ao ecossistema regulatório nacional. E há que se reconhecer: o trabalho nessa seara tem sido intenso.
Mas para que pudéssemos chegar ao estágio atual, um longo caminho legislativo tem sido percorrido há 04 (quatro) anos, desde a promulgação da LGPD em 2018. E se hoje nos questionamos a respeito da eventual retroatividade de aplicação de suas sanções, isso se deve ao percurso até aqui delineado. Vamos relembrá-lo?
A Lei Geral de Proteção de Dados (Lei nº 13.709/18 – “LGPD”), promulgada no ano de 2018, previa como vacatio legis inicial o período de 18 (dezoito) meses contados de sua publicação oficial. A LGPD, assim, entraria em vigor em fevereiro de 2020.
No entanto, em dezembro de 2018, com a edição da Medida Provisória nº 869/18, convertida na Lei nº 13.853/2019, a vigência da LGPD foi alterada para agosto de 2020, exceto para as regras acerca da criação da Autoridade Nacional de Proteção de Dados (“ANPD”). Com efeito, para possibilitar o adequado exercício da função consultiva da ANPD no processo de adaptação das empresas à LGPD, o prazo para as demais disposições legais deixou de ser de 18 meses (vacatio legis inicial) e foi aumentado para 24 (vinte e quatro) meses, com um acréscimo de 6 meses nesse intervalo, transferindo a vigência da LGPD, como dito, para agosto de 2020.
Se os prazos indicados já eram objeto de debate, surgiu, naquele momento, a pandemia do novo coronavírus (COVID-19), com reflexos legislativos em todos os campos. Vários projetos de lei foram propostos pela Câmara dos Deputados e pelo Senado Federal para tentar postergar a vigência da LGPD, além, é claro, de todas as outras matérias que borbulhavam em meio à crise sanitária que se instalava. A justificativa era forte: a economia estava sofrendo intensos impactos e eventuais sanções pela desconformidade com a lei poderiam causar resultados ainda mais nefastos.
O Projeto de Lei nº 1.179/2020 (“PL 1179”), que tratava do Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET) no período da pandemia do coronavírus, buscava postergar as sanções administrativas da LGPD para 1º de agosto de 2021. Com votação favorável, o PL 1179 foi sancionado e deu origem à Lei nº 14.010 de 10 de junho de 2020, com a efetiva postergação da vigência do capítulo das sanções aplicáveis pela ANPD.
Mas não foi só. Ainda no contexto da pandemia, no dia 29 de abril de 2020, foi editada a Medida Provisória nº 959/2020 (“MP 959/20”), visando prorrogar a vacatio legis dos demais artigos da da LGPD (aqueles que não versavam sobre sanções) para o dia 03 de maio de 2021. Após inúmeros debates e desdobramentos no processo legislativo, a LGPD passou a ser considerada vigente em 18 de setembro daquele ano (2020).
Em suma, depreende-se que as datas de vigência da LGPD devem ser entendidas da seguinte maneira:
- dia 28 de dezembro de 2018, quanto aos artigos referentes à ANPD (55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B);
- dia 1º de agosto de 2021, quanto aos artigos referentes a sanções administrativas (52, 53 e 54), em razão do Projeto de Lei 1179/20, que deu origem à Lei 14.010/20;
- dia 18 de setembro de 2020, quanto aos demais artigos, em razão da Lei nº 14.058/2020.
E diante de todos esses debates, questiona-se: irregularidades cometidas no período de vacatio legis poderão ser punidas pela ANPD?
De acordo com publicação na página oficial da ANPD , as sanções previstas na LGPD são aplicáveis a fatos ocorridos após o dia 1º de agosto de 2021, ou, ainda, para delitos de natureza continuada iniciados antes de tal data. Seria essa previsão relacionada apenas a questões sancionatórias de cunho regulatório/administrativo? Ou poder-se-ia estender, também, aos aspectos civis?
Como seriam (ou serão) tratados os atos jurídicos perfeitos , quando consumados segundo a lei vigente ao tempo em que efetuados? Se vigentes estavam os dispositivos gerais da LGPD, descumpridos pelos agentes de tratamento, estaríamos falando de um ato perfeito praticado em desacordo com a lei, mas não punível pela Autoridade Reguladora? Ao que nos parece, sim.
Frise-se que a aplicação das sanções previstas na LGPD é de competência exclusiva da ANPD, conforme se depreende do artigo 55-K, sendo que suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
Mas uma grande lacuna se forma nesse contexto: como serão tratados, do ponto de vista da reparação civil, os atos ilícitos ocasionados por ações ou omissões voluntárias, negligência ou imprudência de agentes de tratamento e que tenham causado danos a titulares de dados, especialmente no período entre 18 de setembro de 2020 e 31 de julho de 2021 (último dia antes da entrada em vigor dos artigos relacionados às sanções administrativas)? De nossa percepção, a reparação por dano material ou moral correria de forma paralela e independente, ainda que inexistente a sanção por eventual incidente ou tratamento indevido pelo órgão regulador. Isso porque o parágrafo segundo do artigo 52 da LGPD prevê que as sanções administrativas da LGPD não substituem as sanções penais, civis e administrativas do Código de Defesa do Consumidor, e de legislação específica. O artigo 45, por sua vez, prevê que as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.
Confira-se, por exemplo, decisão emanada em sede de Recurso Inominado tramitado perante a Corte Paulista, que condenou concessionária de energia elétrica ao pagamento de indenização por danos morais diante de incidente/vazamento de dados ocorrido após a vigência dos artigos da LGPD, mas antes da vigência das sanções. O julgado considerou que, diante de relação regida pela lei consumerista, dessa lei especial deve-se extrair o regime de responsabilização, deixando à LGPD a disciplina relativa à regularidade do tratamento de dados em si. Concluiu-se, ali, pela existência de defeito do serviço, prestado sem a segurança adequada, especialmente quanto ao modo de fornecimento, resultados almejados e a ausência de informação, à parte consumidora, quanto aos riscos a que submetidos os dados pessoais submetidos a tratamento.
Recurso inominado – Vazamento de dados pessoais de cliente por empresa fornecedora de energia elétrica – Relação de consumo – Tratamento de dados pessoais de pessoa localizada no território nacional e após 17/09/2020 – LGPD aplicável ao caso – Vazamento denota que não foram adotadas medidas de segurança eficazes pela controladora/fornecedora (art. 46 da LGPD), o que caracteriza defeito na prestação do serviço – Responsabilidade objetiva da controladora/fornecedora (art. 14 do CDC) – Ação de eventual hacker que constitui fortuito interno – Danos morais in re ipsa, conforme precedente do STJ – Indenização arbitrada em R$ 5.000,00 – Sentença reformada – Recurso provido. (TJSP. Acórdão. Processo nº 1003086-21.2021.8.26.0003;. Órgão Julgador: 4ª Turma - Recursal Cível. Relator (a): Carlos Eduardo Santos Pontes de Miranda; . Data do julgamento: 25/10/2021. Data de publicação: 25/10/2021).
Outro julgado interessante foi proferido pelo Tribunal Regional do Trabalho da 3ª Região. A decisão foi publicada em 10 de junho de 2021 e versou sobre fatos ocorridos no decorrer de 2020; em meio a debates típicos da relação de emprego, o caso tratou também de pleito relativo a danos morais, fundamentos em exposição, tida como indevida, de dado pessoal da reclamante. Mesmo diante da não vigência das sanções previstas na LGPD à época dos fatos e julgamento, e mesmo diante da ausência de previsão específica, na LGPD, quanto ao tratamento de dados na relação trabalhista, concluiu-se que as relações laborais devem observar regras e princípios previstos na LGPD. Assim, com base na LGPD, e também da Constituição Federal (art. 5º, X ), concluiu o Tribunal pela manutenção da condenação, com ajuste, apenas, no que tange ao valor imposto:
NÚMERO DE TELEFONE PARTICULAR DA EMPREGADA. DIVULGAÇÃO NO SITE DE VENDAS DO EMPREGADOR. INDENIZAÇÃO. DANO MORAL. CABIMENTO. A caracterização do dano moral pressupõe violação à dignidade pessoal - art. 1º, III da Constituição Federal -, mediante vulneração da integridade psíquica ou física da pessoa, bem como aos direitos fundamentais previstos na Constituição da República. E o art. 5º, X, da CR/88 prevê que "são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação". A inserção do número de telefone do empregado, no site da empresa, sem prova inequívoca de autorização, implica divulgação de dado pessoal, que afronta sua vida privada. Configurados os elementos essenciais ao dever de indenizar (ato ilícito, dano e nexo de causalidade) em relação ao direito à privacidade, correta a condenação da empregadora.
(TRT-3 - RO: 00103371620205030074 MG 0010337-16.2020.5.03.0074, Relator: Ricardo Marcelo Silva, Data de Julgamento: 09/06/2021, Nona Turma, Data de Publicação: 10/06/2021.
No âmbito de ação cominatória, a Corte Paulista, em ação tramitada no Foro de Ribeirão Preto, emanou recente decisão ressaltando, inclusive, a aplicação da LGPD a bancos de dados formados em datas anteriores à LGPD:
(...) Trata-se de ação de reparação civil fundada na violação de dados pessoais, ajuizada com fulcro na Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/2018, com vigência a partir de 18 de setembro de 2020, cuja tutela principiológica fundada na boa-fé aplica-se retroativamente aos bancos de dados preexistentes à sua vigência (art. 6º, LGPD), posto constante de regramentos coligados (CC e CDC), ainda que o regulamento administrativo específico da matéria não tenha sido elaborado (art. 63, LGPD).
TJSP. Sentença. Processo nº 1007913-21.2021.8.26.0506; Juiz de Direito Thomaz Carvalhaes Ferreira; Data do julgamento: 24/01/2022. Data de publicação: 27/01/2022)
Desse modo, quer nos parecer que a tutela de direitos relativos a ofensas constatadas a obrigações impostas pela LGPD não se frustra, mesmo diante do período de vacatio legis das sanções aplicáveis pela autoridade reguladora. Para além do fato de que o Estado não poder se quedar inerte diante da tutela jurisdicional requerida, vê-se que o ordenamento jurídico, a exemplo das leis civis e consumeristas (sem prejuízo, evidentemente, da própria Constituição Federal), amparam pretensões indenizatórias e/ou cominatórias dos titulares de dados pessoais. No que tange à aplicação das sanções sob o prisma administrativo, posição mais conservadora defenderá que são atos não puníveis, principalmente diante do próprio posicionamento emanado pela ANPD.
Vale ressaltar, por fim, que a ANPD deverá, ainda, articular sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais, e que os Tribunais do país refletirão, nos próximos anos, o posicionamento acerca do assunto. Vale acompanhar!