A LGPD na perspectiva do Administrador Judicial
Há de se destacar que todo procedimento recuperacional e falimentar tem seu trâmite dentro do Poder Judiciário.
quarta-feira, 20 de janeiro de 2021
Atualizado às 08:18
1. Introdução
A entrada em vigor da LGPD (Lei Geral de Proteção de Dados Pessoais - lei 13.709/19) pode ser considerada como relevante marco na uniformização da regulamentação da proteção de dados pessoais no âmbito do ordenamento jurídico brasileiro. Não obstante, nenhuma orientação fora emanada pelo legislador no que concerne ao delineamento da proteção de dados pessoais em procedimentos de recuperação judicial ou falência, principalmente quando se trata da responsabilidade conferida ao administrador judicial.
Neste contexto, há de se destacar que todo procedimento recuperacional e falimentar tem seu trâmite dentro do Poder Judiciário, razão pela qual não estão excetuadas as discussões doutrinárias acerca do conflito entre a publicidade dos atos processuais e a proteção dos dados pessoais de jurisdicionados. Ainda, essa necessidade de publicidade dos atos processuais aufere maior relevância no âmbito da recuperação judicial e da falência, visto que envolvem múltiplas partes, facultando aos partícipes ter amplo acesso aos documentos que envolvam a reestruturação (na recuperação judicial) ou a liquidação (na falência).
Ora, um dos custos desembolsados pelo devedor que requer recuperação judicial está na ampla divulgação de suas informações aos seus credores, seja porque isso permitirá a esses e ao administrador judicial assinalar eventual pagamento indevido realizado pelo devedor, seja porque possibilita aos credores moldar seu comportamento enquanto aguardam um plano de recuperação judicial1. Não por outra razão, Mary J. Obee & William C. Plouffe Jr. concluem que existe um excesso na divulgação de informações pessoais em procedimentos falimentares, sustentando, inclusive, haver necessidade de promover uma alteração no Bankruptcy Code, a fim de criar mecanismos que delimitem quais sujeitos poderão ter acesso às informações regularmente disponibilizadas ao juízo2.
Entretanto, esta preocupação não deve ser restrita apenas aos dados pessoais que são carreados aos autos da recuperação judicial ou da falência, uma vez que todas as informações pessoais devem ser tratadas com observância às diretrizes legais, inclusive aqueles casos em que as informações foram tornadas manifestamente públicas pelo titular3. Destarte, uma informação que antes não comportava empecilho legal para circular livremente entre todos os integrantes de uma empresa, atualmente necessita atentar ao trinômio "finalidade", "necessidade" e "adequação" da transferência de dados pessoais entre os seus próprios membros.
2. Da proteção de dados pessoais realizada pelo Administrador Judicial
Um dos deveres atribuídos pela lei 11.101/05 (LREF) ao administrador judicial está, por exemplo, em arrecadar os bens e documentos do devedor falido4, sendo constante, nesta hipótese, certo fluxo de informações passíveis de identificação pessoal em arquivos de clientes e funcionários armazenados ou em meio físico ou em meio digital. Ademais, outro dever atribuído ao administrador judicial constitui na elaboração da lista de credores prevista no § 2º do art. 7º da LREF, ensejando a recepção de diversos documentos que são instrutórios aos requerimentos de habilitações ou divergências. Por isso, qualquer documento envolvendo algum dado de caráter pessoal que seja recepcionado pelo administrador judicial deve receber tratamento adequado, restringindo-se seu acesso quando necessário, assim como mapeando quem poderá conhecê-lo.
Isso significa dizer que, da mesma forma que ocorreria com qualquer outra pessoa natural ou pessoa jurídica de direito público ou privado, o administrador judicial não está desincumbido de conceder tratamento adequado aos dados pessoais sob sua responsabilidade. Uma boa prática que pode ser adotada é a implementação de ferramentas técnicas e administrativas que evitem eventual acesso não autorizado. Sendo assim, criar um programa de compliance específico para proteção de dados pessoais pode ser uma maneira efetiva de evitar perdas e/ou vazamento de informações confidenciais, tal como na hipótese de determinado credor requerer ao administrador judicial e, consequentemente, ter acesso ilimitado e irrestrito aos documentos que instruíram a habilitação e/ou divergência de outro credor (já que não houve prévia análise por parte do administrador judicial do teor da documentação: se havia informação de know-how, de caráter pessoal, de planejamento estratégico, entre outras).
Ademais, existem alguns meios de recuperação judicial que tornam imprescindível certo fluxo de dados, tal como ocorre na cisão, incorporação, fusão, trespasse ou arrendamento mercantil. Nessas hipóteses, não há uma figuração direta ou indireta do administrador judicial, uma vez que cabe às partes envolvidas proceder com toda operação. Ato subsequente, pode-se arguir que caberá às partes envolvidas avaliar a finalidade, necessidade e adequação da transferência dos dados pessoais, sendo que, na hipótese de descumprimento de preceito legal, deve-se casuisticamente escrutinar a responsabilidade de cada agente envolvido. Contudo, é sobre essa eventual responsabilidade (ainda que solidária) do administrador judicial que reside a controvérsia, apta a ser melhor aprofundada pelos doutrinadores e tribunais pátrios, visto que o administrador judicial não figura necessariamente como "controlador" ou "operador" de dados pessoais (art. 5º, XII e XIII, LGPD).
Ora, não competindo direta ou indiretamente ao administrador judicial proferir as decisões referentes ao tratamento de dados pessoais, nem realizar qualquer tratamento de dados pessoais em nome do controlador, concluir-se-ia pela impossibilidade de sua responsabilização. Em que pese esse argumento de que constitua seu dever desempenhar função fiscalizatória do procedimento recuperacional, sublinha-se que essa função não pode ser transformada em atribuição de ingerência ou intervenção na gestão do devedor5, visto que deve consistir apenas na fiscalização de suas atividades e do cumprimento do plano de recuperação judicial. Evidentemente que caso no exercício de sua atuação verifique patente violação às regras de proteção de dados pessoais, caberá ao administrador judicial advertir a parte infratora, comunicando tal episódio ao juízo da recuperação judicial.
Isto posto, a tendência é concluir que não haveria razão para o administrador judicial interferir nos atos praticados pelo devedor para operacionalização, por exemplo, de uma cisão parcial, já que eventual transferência de dados deve ser praticada apenas pelos agentes envolvidos, fugindo ao escopo imediato de sua atuação. Argumentar em sentido contrário acarretaria a conclusão de que se houver comitê de credores, esse também deveria ser responsabilizado, uma vez que cabe ao comitê de credores "fiscalizar a execução do plano de recuperação judicial" (art. 27, II, "b", LREF). Adverte-se, entretanto, que não existe impedimento para responsabilização do administrador judicial na hipótese de conferir tratamento inadequado aos dados pessoais, desde que ele dê causa imediata ao vazamento das informações pessoais que eventualmente tiver acesso ao longo da operacionalização do processo de cisão, incorporação, fusão, trespasse ou arrendamento mercantil.
3. Conclusão
Embora a escassez de experiência e literatura sobre a aplicação da nova legislação em procedimento de insolvência cause limitação ao recorte da responsabilidade conferida ao administrador judicial, cumpre referir que deve haver uma preocupação em promover tratamento adequado aos dados pessoais que tiver contato ao longo da recuperação judicial e da falência. Assim, criar um programa de compliance que possibilite atender ao trinômio "finalidade", "necessidade" e "adequação" na transferência de dados pessoais pode ser uma boa prática a ser adotada pelo administrador judicial para evitar perdas e/ou vazamento de informações confidenciais.
Não obstante, ainda existe uma certa penumbra no que diz respeito ao limite da responsabilidade do administrador judicial no caso de descumprimento da LGPD em algumas situações específicas, já que não necessariamente ele será agente "controlador" ou "operador" de dados pessoais. Vale dizer, portanto, que, na ausência de regramento específico delimitando as hipóteses de responsabilidade do administrador judicial, cumpre se manter atento ao tratamento que será dispensado pelos tribunais pátrios. Ressalta-se, por fim, que as inferências realizadas neste ensaio não devem ser tomadas como absolutas, visto que objetivam apenas incentivar o debate e enriquecer as respostas aos desafios envolvendo a proteção de dados pessoais no âmbito da recuperação judicial e da falência.
1 Sobre este tema, ver: EPSTEIN, David G.; NICKLES, Steve H.; WHITE, James J. Bankruptcy. St. Paul, Minn.: West, 1993, p. 819.
2 "In summary, changes in technology are harming individuals who are drawn into the bankruptcy system through violation of their constitutional rights to privacy in sensitive, personally identifying information. The public access levels provided to information in bankruptcy exceed and are inconsistent with public access levels to similar information in other contexts. These violations of privacy rights and the inconsistencies can be ended by changing the bankruptcy code, rules and forms to better distinguish that level of access required for the purposes of the general public seeking evaluation of the system, from that of creditors seeking to participate in a case. The methods presented seek to leave intact the "practical obscurity" of the current level of access with paper records, under which the open records requirement of 11 U.S.C. 107 was enacted, in our growing electronic environment" Mary J. Obee & William C. Plouffe Jr., Privacy in the Federal Bankruptcy Courts, 14 Notre Dame J.L, Ethics & Pub, Pol'y 1011 (2000), p. 1.083. Disponível clicando aqui. Acessado em: 18/1/21.
3 Art. 7º, §§ 4º e 7º, LGPD: "§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei" e "§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei".
4 Art. 22º, III, "f", LREF: "Art. 22. Ao administrador judicial compete, sob a fiscalização do juiz e do Comitê, além de outros deveres que esta Lei lhe impõe: [...] III - na falência: [...] f) arrecadar os bens e documentos do devedor e elaborar o auto de arrecadação, nos termos dos arts. 108 e 110 desta Lei".
5 Sobre este tema, ver: BERNIER, Joice Ruiz. O administrador judicial na recuperação judicial e na falência. 2014. Dissertação (Mestrado em Direito Comercial) - Faculdade de Direito, Universidade de São Paulo, São Paulo, 2014, p. 87.