O Brasil possui uma tradição altamente litigiosa que acaba se refletindo na apreciação da Lei Geral de Proteção de Dados (LGPD). Por isso, o Judiciário vem sendo reiteradamente acionado para resolver litígios envolvendo proteção de dados pessoais, de tal modo que se tornou um corregulador, de fato, de temas a respeito dos quais a Autoridade Nacional de Proteção de Dados (ANPD) não teve oportunidade ainda de se manifestar e em situações individualizadas que, por vezes, fogem totalmente da lógica legal insculpida na norma aplicável – porque é inerente que os magistrados tenham interpretações legais que não necessariamente se alinharão com o mindset do regulador.
Accountability
É importante ter em mente que a LGPD criou um regime de accountability no qual se leva em consideração a configuração simultânea de três requisitos: violação legal, tratamento de dados (irregular) e prova do dano (artigo 42). O tratamento será irregular quando não observar a legislação ou quando não fornecer a segurança que o titular poderia esperar consideradas circunstâncias relevantes como (i) modo de realização; (ii) resultados e riscos razoavelmente esperados e (iii) o estado da arte à época.
É preciso ainda sopesar sobre a adequação das medidas de segurança (questão constante da agenda regulatória da ANPD, mas em aberto), sendo largamente aceito hoje em dia que seriam adequadas, por exemplo, as medidas constantes de frameworks internacionais como o ISO, para ilustrar. Além destes critérios todos, é necessário observar se incidem excludentes de responsabilidade como, por exemplo, culpa exclusiva da vítima.
Já se percebe que a responsabilidade civil em sede de LGPD é (ou deveria ser) resultado de uma alquimia complexa com muitos elementos distintos e que não foi concebida para “penalizar primeiro e perguntar depois”, mas, muito pelo contrário, para prestigiar boas intenções, prevenção e precauções.
Isso porque o macrossistema de proteção de dados se pauta na conscientização dos agentes de tratamento de dados pessoais e na sua colaboração com a ANPD, mesmo porque a Autoridade precisa do feedback de todos os stakeholders na elaboração e ajuste fino de suas políticas e regulamentos.
O papel da ANPD
Deste modo, e em sintonia com essa conclusão, na seara do accountability, a ANPD editou regulamentos nos quais estabelece diversos atenuantes para a responsabilização de agentes de tratamento, a exemplo da comprovação da implementação de autorregulação, boas-práticas e da prova da boa-fé. Isso porque é da filosofia da regulação responsiva da proteção de dados no Brasil utilizar a sanção como última ratio, investindo, antes, da mudança de comportamentos e adoção de melhores paradigmas, acreditando no poder transformador das advertências e do zelo reputacional.
Essa é a métrica por trás dos regulamentos sobre incidentes de segurança: quanto mais a Autoridade souber e entender sobre os incidentes de segurança, melhor poderá educar e regular a respeito deles. Sendo assim, é muito mais importante para ela ter a informação do que aplicar a sanção – sendo que a aplicação de sanções tenderia a deixar os agentes de tratamento receosos e menos transparentes.
Judicialização da proteção de dados
Neste escopo, foi muito positiva a decisão do Superior Tribunal de Justiça no julgamento do AREsp nº 2.130.619-SP, de Relatoria do Ministro Francisco Falcão (DJe/STJ nº 3592 de 10/03/2023), quando se estabeleceu que não há dano presumido em matéria de proteção de dados pessoais: é sempre necessária a prova concreta do prejuízo.
Esta sinalização foi fundamental para que tanto o Judiciário quanto o mercado sentissem segurança em relação à adoção de posicionamentos transparentes e pró-adequação, evitando que se estabeleça o entendimento geral de que qualquer “erro” por parte do agente de tratamento pode resultar em um passivo judicial (o que resultaria no aumento do volume de demandas indenizatórias com este tipo de argumentação).
A judicialização precoce ou desnecessária de disputas sobre proteção de dados poderá comprometer o desenvolvimento normativo da área considerando que o direito à proteção de dados está em constante evolução, e a interpretação judicial de normas que ainda estão em processo de amadurecimento pode solidificar entendimentos temporários que não refletem as melhores práticas ou os avanços tecnológicos futuros.
No mais, a judicialização prematura de temas relacionados à proteção de dados poderá levar a uma falta de consistência nas decisões judiciais; dado que a LGPD ainda está em fase de implementação e interpretação. Diferentes juízes poderiam – e provavelmente iriam – adotar soluções e interpretações distintas para questões semelhantes, resultando em um conjunto diversificado de decisões que dificultam uma compreensão clara e uniforme da lei e conduzem a um cenário de grande insegurança jurídica.
Quanto melhor estruturado estiver o agente de tratamento para acolher as demandas do titular de dados pessoais, melhor estará equipado para lidar com conflitos dentro e fora da seara judicial; porquanto maior será sua credibilidade no mercado e perante seu regulador, a ANPD – que poderá lhe facultar espaço de fala e oportunidades para contribuir, inclusive a partir de seu próprio exemplo, com a construção de um ecossistema saudável e adequado para a proteção aos dados pessoais no Brasil.
Quer saber mais sobre a ANPD? Saiba o que aconteceu no 1º Encontro ANPD de Encarregados.
