Esse novo contencioso de dados impõe novos desafios e exige certas cautelas, visando a assegurar a correta aplicação da LGPD e evitar uma desenfreada judicialização das controvérsias a ela relacionadas.
Não há como negar: a proteção de dados é um dos assuntos mais falados do momento. Porém, embora a lei 13.709/18 (Lei Geral de Proteção de Dados Pessoais – LGPD) tenha sido promulgada em 2018, muitas organizações ainda engatinham na adequação ao novo diploma legal. Um exemplo é o próprio Conselho Nacional de Justiça, que apenas em agosto de 2020 recomendou ao Poder Judiciário a adoção de ações iniciais para adequação à lei,1 estando ainda pendente o relatório do grupo de trabalho criado para elaboração das respectivas diretrizes de adequação. Ademais, diversos pontos da LGPD ainda carecem de definição,2 a qual, por sua vez, aguarda o efetivo início da atuação da Autoridade Nacional de Proteção de Dados – ANPD, a quem foi atribuída a competência para deliberar, em caráter terminativo, sobre a interpretação da nova lei.
Não obstante, os titulares dos dados já podem exercer seus direitos e buscar reparação por eventuais danos causados pelo irregular tratamento de seus dados pessoais, com fundamento tanto na própria LGPD quanto em outras leis aplicáveis ao caso concreto, como o Código de Defesa do Consumidor (CDC). É bem verdade que, antes mesmo da vigência da LGPD, já havia processos administrativos e judiciais envolvendo operações de tratamento de dados pessoais consideradas irregulares à luz da legislação consumerista ou mesmo do Código Civil e da Constituição.3 Todavia, o cenário atual abre espaço para o surgimento de um contencioso de dados ainda maior, e mais complexo, do que o já existente. Esse novo contencioso de dados impõe novos desafios e exige certas cautelas, visando a assegurar a correta aplicação da LGPD e evitar uma desenfreada judicialização das controvérsias a ela relacionadas. Falamos, aqui, sobre alguns deles.
Primeiro, há que se lembrar que a LGPD não inaugura um mundo que se encerra em si mesmo. Ela deve ser interpretada e harmonizada com as demais leis aplicáveis em cada caso, como o já mencionado CDC e a legislação setorial de cada agente de tratamento. Pense-se, nessa esteira, no setor financeiro. A compreensão das operações de tratamento de dados pessoais realizadas pelas instituições financeiras exige, por exemplo, o conhecimento das muitas normas regulamentares do Banco Central – inclusive, por sua relevância para a proteção de dados, da recente regulamentação do Open Banking. Há que se entender, ainda, como a legislação consumerista se aplica às atividades das instituições financeiras, e como tudo isso dialoga com o regime jurídico introduzido pela LGPD.
É também fundamental conhecer as normas que regem o processo administrativo federal e estadual (lembra-se, aqui, das competências dos PROCONs, autarquias estaduais, no âmbito do Direito do Consumidor). Algumas das alterações feitas à Lei de Introdução às Normas do Direito Brasileiro também podem ser fortes aliadas na defesa dos interesses de agentes de tratamento e titulares de dados, notadamente no âmbito administrativo. É o caso da vedação a decisões com base em valores jurídicos abstratos que não considerem as respectivas consequências práticas (art. 20) e da obrigação de prever regime de transição em caso de nova interpretação que imponha novo dever ou condicionamento de direito (art. 23).
A reflexão sobre as interações regulatórias também requer atenção. A realização de operações de tratamento de dados no desempenho de atividades sujeitas a outras leis e ao controle de outros órgãos e entidades que não a ANPD gera o risco de que os agentes de tratamento se submetam, em razão do mesmo fato, a múltiplas interpretações e sanções administrativas simultâneas. Assumem importância, aqui, os deveres de articulação e coordenação impostos à ANPD pela LGPD (arts. 55-J, § 3º e 55-K, parágrafo único) para, à luz do Direito Administrativo, inclusive e especialmente do Direito Administrativo Sancionador, avaliar a validade e a proporcionalidade de sanções administrativas.
Na esfera judicial, a competência do juízo tem feição relevante. O tratamento de dados pode ocorrer, por exemplo, no âmbito da relação de trabalho, a atrair a competência especializada da Justiça do Trabalho, na forma do art. 114 da Constituição. Ademais, os Juizados Especiais provavelmente concentrarão boa parte das ações judiciais desse novo contencioso de dados de natureza individual. Isso torna fundamental uma análise do nível de complexidade das questões abordadas em cada caso para uma avaliação quanto à adequação do rito sumaríssimo.4
Reveste-se de significativa importância, também, o debate sobre a inexistência de interesse de agir quando não formulada prévia reclamação ao agente de tratamento e à ANPD. Trata-se de interpretação do art. 55-J, V, da LGPD, segundo a qual à ANPD compete “apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação”. Entende-se, nesse sentido, que a LGPD impôs ao titular que primeiro recorra ao controlador, para somente então buscar a ANPD, e apenas em seguida, o Poder Judiciário.5 A questão passa pelo debate envolvendo a inafastabilidade de jurisdição (art. 5º, XXXV da Constituição), mas não se está diante de algo inédito: nas ações de exibição de documentos contra instituições financeiras, por exemplo, já se entende pela necessidade de prévio requerimento extrajudicial para que se configure o interesse de agir.6
Há, ainda, a questão atinente aos prazos para cumprimento de obrigações de fazer e não fazer. Tanto a ANPD7 quanto os juízes8 podem impor multa diária pelo descumprimento de obrigação de fazer ou não fazer. Todavia, ao contrário do que se espera da ANPD, o Poder Judiciário não tem especialização técnica. A diferença entre as capacidades institucionais de ambos é relevante sob essa perspectiva. Afinal, a fixação de multas diárias pelo descumprimento de obrigações em prazos que não se alinhem a eventuais circunstâncias e limitações técnicas do caso concreto, tornando verdadeiramente inviável o cumprimento da obrigação no prazo fixado, pode resultar em astreintes desproporcionais, servindo exclusivamente ao enriquecimento sem causa dos titulares dos dados e, em última instância, incentivando a judicialização de controvérsias.
Ainda na esfera judicial, cabe o debate acerca da configuração do dano moral em situações de violação à LGPD. A LGPD prevê expressamente o direito dos titulares de dados pessoais ao ressarcimento dos danos, inclusive morais, que lhes sejam causados no exercício da atividade de tratamento desses dados. Seria possível presumir o dano moral em qualquer operação de tratamento de dados pessoais que tenha violado a LGPD? Embora haja precedentes judiciais anteriores à vigência da LGPD no sentido de que o tratamento irregular de dados pessoais no âmbito da relação consumerista é hipótese de dano moral in re ipsa,9 o debate está longe de pacificação.
Uma observação final, nos parece, deve guiar a defesa dos interesses de agentes de tratamento e de titulares de dados na esfera contenciosa. Estamos diante de uma legislação muito recente, cujas controvérsias relacionadas podem envolver assuntos altamente técnicos, em um País onde a cultura da proteção de dados está em estágio inicial. Some-se a isso o fato de que ainda se espera o efetivo início da atuação da ANPD, que tem as importantes missões de esclarecer zonas cinzentas e se articular com outros órgãos e entidades. Nesse cenário de incerteza, não é demais reforçar a necessidade de se lidar com o contencioso de dados de maneira estratégica, independentemente de seu volume. No atual contexto da proteção de dados no País, ainda maior é o impacto positivo que a boa advocacia pode provocar – contribuindo para que o Judiciário bem compreenda a regulação da proteção de dados, as limitações práticas enfrentadas pelos agentes de tratamento, e os efeitos que as decisões judiciais poderão produzir e, assim, para que a decisão de mérito nos processos do contencioso de dados seja, de fato, justa e efetiva.10
1 Recomendação 73 de 20/8/20.
2 Um deles, em relação ao qual já há interpretações divergentes, diz respeito à figura do operador. No âmbito da GDPR, os empregados que participam de operações de tratamento de dados conforme instruções de seus empregadores-controladores não são considerados operadores. É o que esclarece a Comissão Europeia clicando aqui (acesso em 11 nov 2020). Essa interpretação, contudo, não foi seguida pela Política de Privacidade dos Dados das Pessoas Físicas adotada pelo Tribunal de Justiça do Distrito Federal e Territórios, Segundo a qual controlador é o “Presidente do Tribunal, assessorado pelo Comitê Gestor de Segurança da Informação e Proteção de Dados”, e operadores são “os servidores e colaboradores que exerçam atividade de tratamento de dados pessoais na instituição ou terceiros”.
3 Em novembro de 2019, por exemplo, o Superior Tribunal de Justiça julgou o REsp1.758.799, no qual reconheceu o direito do consumidor de ser previamente informado sobre o tratamento de seus dados, quem o realiza e com que objetivo.
4 O art. 3º da lei 9.099/95 expressamente limita a competência dos Juizados Especiais Cíveis a “causas cíveis de menor complexidade”, assim consideradas aquelas arroladas. Embora o art. 35 da mesma lei permita ao juiz a inquirição de técnicos de sua confiança, e às partes a apresentação de pareceres técnicos, o procedimento sumaríssimo não suporta perícia técnica exigida para a solução de questões fáticas de maior complexidade, típica do procedimento comum.
5 É o que bem ressalta artigo de Humberto Chiesi Filho, Daniel Becker e Natasha Rojtenberg em Caminhos não violentos para a LGPD.
6 Conforme tese firmada pelo Superior Tribunal de Justiça no tema 648.
7 LGPD, art. 52, inciso III. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (…) III – multa diária, observado o limite total a que se refere o inciso II.
8 Código de Processo Civil, art. 536. No cumprimento de sentença que reconheça a exigibilidade de obrigação de fazer ou de não fazer, o juiz poderá, de ofício ou a requerimento, para a efetivação da tutela específica ou a obtenção de tutela pelo resultado prático equivalente, determinar as medidas necessárias à satisfação do exequente.
§ 1º Para atender ao disposto no caput, o juiz poderá determinar, entre outras medidas, a imposição de multa, a busca e apreensão, a remoção de pessoas e coisas, o desfazimento de obras e o impedimento de atividade nociva, podendo, caso necessário, requisitar o auxílio de força policial.
9 Nesse sentido é o já mencionado REsp 1.758.799.
10 Código de Processo Civil, art. 6º Todos os sujeitos do processo devem cooperar entre si para que se obtenha, em tempo razoável, decisão de mérito justa e efetiva.
Link: https://migalhas.uol.com.br/depeso/336553/desafios-e-cautelas-do-contencioso-de-dados