A lei geral de proteção de dados e os seus possíveis reflexos penais

Uma bola da vez no campo do Direito é a "LGPD", abreviação comumente utilizada para se referir à Lei Geral de Proteção de Dados (lei federal 13.709/18), sancionada em agosto de 2018.

Tal como foi recentemente com o compliance e subtemas ligados à autorregulação regulada, a LGPD promete fazer - e já tem feito - parte de diversos conteúdos, discussões, simpósios e seminários, tendo em vista sua inequívoca influência no futuro funcionamento das empresas, já que regulamenta qualquer atividade que envolva a utilização de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica, seja no território nacional, ou em países onde estejam localizados os dados.

Além de ser aplicada extraterritorialmente, em poucas palavras, a lei surge para trazer à baila a proteção de dados, buscando privacidade aos usuários, transparência, desenvolvimento econômico e tecnológico, padronização de normas, segurança jurídica e até mesmo o favorecimento à concorrência.

E como não poderia deixar de ser, ainda que não seja o objetivo crucial da lei, a LGPD certamente despertará dúvidas de natureza criminal, principalmente no tocante às eventuais responsabilizações dos atores envolvidos na Lei Geral de Proteção de Dados.

Até porque, atualmente, o Direito Penal cada vez mais tem se consolidado como um verdadeiro risco da atividade empresarial, diante do seu (indevido) uso como panaceia para solução dos problemas do dia a dia e também diante do avanço estrutural das autoridades públicas responsáveis pelas investigações e processos criminais.

Pois bem. As figuras centrais da proteção de dados estão previstas nos incisos do art. 5º, da lei 13.709/18, merecendo destaque (I) o proprietário dos dados, isto é, o titular (inciso V - pessoa natural a quem se referem os dados pessoais que são objeto de tratamento); (II) o controlador dos dados, no caso as empresas que recebem os dados fornecidos voluntariamente pelos titulares (inciso VI - pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais); (III) o operador, responsável pelo recebimento e segurança dos dados fornecidos pelos titulares (inciso VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlado); (IV) o encarregado, responsável direito pela proteção dos dados dos titulares, sendo o elo de comunicação entre a empresa  e a recém criada Autoridade Nacional de Proteção de Dados (ANPD) (inciso VIII - pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados - ANPD).

Como se vê, a LGPD criou diversas figuras, cada uma com atribuição específica. É aqui onde surgirão boa parte das discussões a respeito da responsabilização criminal em caso de prática de ilícito penal envolvendo os dados dos titulares.

Aqui não custa reforçar que o Direito Penal se opera na responsabilidade pessoal do agente (com exceção do Direito Ambiental). Sendo assim, e trazendo essa premissa para a LGPD, parece razoável prever que o operador e o encarregado, diante das atribuições que lhes são conferidas na lei 13.709/18, estarão mais expostos às eventuais responsabilidades criminais.

Sim, porque o controlador é a pessoa responsável por tratar esses dados, isto é, gerir valiosas informações a respeito de uma série de titulares. Imagine-se, por exemplo, o número de dados que estarão sob tratamento de um aplicativo de entrega de refeições que possua centenas de milhares de usuários? É algo espantoso. Logo, o responsável por gerir essas informações naturalmente estará exposto na hipótese de vazamento, divulgação indevida ou subtração dessas informações. 

Igualmente, o encarregado é o responsável direto pela proteção desses dados, sendo a figura que fará os reports à ANPD quando a empresa for provocada pela referida autoridade. Portanto, a veracidade e idoneidade das informações prestadas estarão sempre sob a análise do poder público, a evidenciar uma natural exposição da figura em comento em razão dessas comunicações.

É claro que o controlador dos dados, isto é, as empresas recebedoras dos dados, também poderão ser responsabilizadas na hipótese de terem concorrido, de qualquer modo, para a má utilização dos dados dos titulares ou de repasse/venda dessas informações de maneira indevida ou até mesmo para acobertar práticas ilícitas a partir do tratamento desses dados. Em relação ao controlador, diversas são as hipóteses de incriminação, em razão da amplitude de possíveis cenários e também considerando os diversos tipos penais em vigência no ordenamento brasileiro.

Além disso, é plenamente possível que uma figura seja responsável por um ilícito criminal e tenha influenciado outra figura a praticar outro crime (em nítido engodo, a revelar a ausência de dolo na conduta), assim como práticas ilícitas por parte de um operador, por exemplo, podem não ser passíveis de identificação pelo controlador, o que demonstra a importância de se verificar  minuciosamente, caso a caso, a real responsabilidade (seja por ação ou omissão) de cada agente envolvido na cadeia de tratamento dos dados.

Enfim, o presente artigo não tem a intenção de promover uma mensagem do caos e aterrorizar as figuras que integram a LGPD. Ao contrário. O que se pretende é reforçar a importância da LGPD para a transparência do uso dos dados dos titulares por parte dos controladores, mas também acenar para os possíveis reflexos penais advindos dessa inovação legislativa, principalmente, como já dito alhures, diante do atual momento de uso desenfreado do Direito Penal e de cada vez mais estruturação dos órgãos públicos responsáveis por atuar nas persecuções penais.

Lembrando, também, que a maior parte da LGPD ainda não está em vigência no ordenamento jurídico e passarão a produzir efeitos jurídicos somente após 24 (vinte e quatro) meses da publicação da lei (artigo 65, inciso II), isto é, em 14 de agosto de 2020. Desta forma, por ora não há que se falar em incriminação por práticas ilícitas em razão das atribuições conferidas pela LGPD e que aqui foram objeto de destaque.  

_____________

*Rafael Valentini é advogado criminalista, sócio do Fachini, Valentini e Ferraris Advogados.

*Laura Haddad é advogada criminalista e especialista em direito digital, sócia do Haddad e Makhoul Advogados.