Em 18 de setembro do corrente ano, completaremos 2 anos da vigência da LGPD. Nesse período foram feitas mais de 5,5 mil denúncias de possíveis violações à Autoridade Nacional de Proteção de Dados (ANPD). Segundo avaliação de quase 70% dos CIOs de grande empresa nacionais, a adequação à lei é um grande desafio a ser resolvido.
A transformação digital exigida em razão da pandemia atrasou e dificultou o processo de adequação à Lei. Ou seja, o empresário teve que escolher se adaptar a uma necessidade imediata que foi a digitalização de sua atividade econômica, em detrimento de adequação a LGPD.
Satisfeita essa exigência de digitalização de sua atividade econômica e com o retorno das atividades presenciais, entramos em uma fase de recuperação da economia e de enfrentamento da adequação à LGPD, que não pode mais ser prorrogada, haja vista que estamos em ano fiscalizatório.
Acompanhem conosco as decisões judiciais de uma média de 1.200 (um mil e duzentos) processos, compreendidos entre janeiro de 2021 a dezembro de 2021, em diversos tribunais de nosso país. Todas as decisões analisadas mencionam em algum momento a LGPD.
A simples menção à LGPD, nesse recorte de julgados, é de 63%, nos processos que não tratam diretamente da LGPD. Em processos que tratam diretamente da LGPD, as menções à lei são de 37% do recorte mencionado. Foram analisadas nesta parte 465 decisões.
Os principais achados podem ser resumidos da seguinte forma:
- A maioria dos processos judiciais envolvendo a LGPD não resulta em condenação;
70% das decisões foram de improcedência e extinção.
- Condenações em LGPD tendem a gerar obrigações de fazer ou não fazer;
46% das condenações, houve indenização pecuniária
80% geram obrigações de fazer ou não fazer
20% dos casos geram apenas pecuniárias
53% foram somente de obrigações de fazer ou não fazer
- Violações envolvendo dados sensíveis e consentimento custam mais caro;
R$ 4.000,00 (quatro mil reais) a R$ 100.000,00 (cem mil reais)
- Incidentes de segurança são os maiores motivadores de processos judiciais envolvendo a LGPD;
40% aproximadamente dos processos judiciais sobre LGPD são motivados por incidentes de segurança
- Danos morais devem ser comprovados;
90% das decisões exigiam comprovação
- O direito à exclusão é o mais pleiteado
80% de condenação
Quando há condenações pecuniárias, 98% condenam a pagar valores que giram em torno de R$ 1.000,00 (mil reais) a R$ 16.000,00 (dezesseis mil reais).
Vejamos exemplos:
Número CNJ: 1006311-89.2020.8.26.0001
Tema: Incidente de Segurança
Contexto: Vazamento de dados de funcionários de empresa controladora. Divulgação para terceiro, por funcionário, de dados de contato de colega para fins de assédio.
Observações: Controladora possuía dados da autora em razão de contrato de prestação de serviços. O preposto da controladora divulgou o número de telefone para terceiro que passou a importunar a autora enviando mais de 200 mensagens com galanteios inoportunos. Caracterizado o vazamento de dados e negligência da controladora no tratamento de dados pessoais, agravada ante a defesa da empresa nos autos visando o afastamento da indenização, o que representaria acobertamento da conduta do preposto. Danos morais majorados para R$ 10.000,00.
Número CNJ: 0020043-80.2021.5.04.0261
Tema: Nomeação de DPO, Boas Práticas
Contexto: Reclamação trabalhista ajuizada por sindicato, que alega o descumprimento sistemático relativo à proteção de dados por parte da reclamada. Afirma que há tratamento e compartilhamento de dados pessoais sem as devidas cautelas, incluindo medidas organizacionais, como nomeação de encarregado, transparência, registro de operações de tratamento e treinamentos.
Observações: Pedido abrangente sobre medidas obrigatórias dispostas pela LGPD. Requisição de confirmação, acesso e informações sobre o tratamento e uso compartilhado. Determinação de nomeação de encarregado (DPO). Reconhecimento do tratamento de dados pessoais e dados sensíveis para fins de cumprimento de obrigação legal. Informações sobre tratamento e compartilhamento a órgãos públicos devem ser buscadas junto à empresa. Indeferimento de comunicação à ANPD. Ausência de incidente. Determinação de exibição de documentos que comprovem medidas de segurança e sigilo de dados/astreintes. Ausência de obrigação legal para condução de treinamentos. Ausência de implementação não gera dano moral in re ipsa. Necessidade de comprovação de dano moral.
Valor Mais Baixo: R$ 1.100,00
Número CNJ: 1039362-51.2021.8.26.0100
Contexto: Cadastro em serviço com o envio de mensagens de marketing (newsletter). Direito ao acesso, eliminação e revogação do consentimento não foi atendido.
Observações: No caso em julgamento, feita a solicitação formal do autor por um dos canais de atendimento disponibilizados, a ré confirmou que retirou de seus cadastros o número de telefone e o endereço de correio eletrônico dele (p. 09). (...) No entanto, por aquele mesmo canal de comunicação disponibilizado pela ré (p. 09) e também por intermédio do Procon (p. 18), o autor solicitou que ela informasse quais os dados dele que ainda mantinha em cadastro e que comprovasse a exclusão desses dados ou justificasse a impossibilidade de fazê-lo, mas não foi atendido. (...) Compreende-se que, de acordo com o art. 16, I, da mesma lei, combinado com o art. 205 do Código Civil, em razão do negócio jurídico havido entre eles, a ré poderá manter a guarda dos dados durante o prazo de prescrição de eventuais direitos dela ou do consumidor titular desses dados. Mas isso não dispensava a ré de, objetivamente, esclarecer quais os dados do autor mantidos em cadastro e, se superado o prazo prescricional, comprovar a exclusão desses dados.
Fonte: Legal innovation – Revista dos Tribunais.
Comments