LGPD, responsabilidades e os aspectos penais

A lei 13.709/18, conhecida como Lei Geral de Proteção de Dados (LGPD),  foi promulgada em 14 de agosto de 2018, todavia, sua vigência não foi imediata para a integralidade da norma, notabilizada por um período de vacância misto, isto é, primeiro entraram em vigor as disposições sobre a criação da Autoridade Nacional de Proteção de Dados (dezembro de 2018) e, ao final de vinte quatro meses (agosto de 2020), acrescida de uma nova prorrogação de um ano por conta da pandemia para, por fim em 1° de agosto de 2021, ocorrer a vigência total da Lei.

A lei tem por objetivo precípuo disciplinar toda e qualquer atividade que envolva o uso e compartilhamento de dados pessoais, sendo "o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural", conforme artigo 1º da norma.

A LGPD em si não é exatamente uma novidade no ordenamento jurídico, afinal, desde 2016 as empresas brasileiras que possuíam filial na Europa ou subsidiárias com matrizes europeias já tratavam seus dados em consonância com a General Data Protection Regulation - GDPR, a LGPD da União Europeia. No Brasil foi o marco para a proteção de dados e a regulação dos mesmos.

Com a vacância, muito se questionou acerca da validade da LGPD, uma vez que o aspecto punitivo e intimidador não estava em vigor e se indagava se a legislação tinha mais um caráter educativo do que repressivo. Ainda mais com a presença do artigo 4° da Lei que prevê a criação de um anteprojeto próprio para definir responsabilidades penais específicas, o que trouxe a possibilidade de esvaziamento de punições, o que não se comprova na prática, como veremos.

O elemento intimidador, isto é, a parte sancionatória penal da LGPD foi a última a entrar em vigor, em agosto de 2021. E a novidade é aplicação de medidas que transitam entre o aspecto socioeducativo até uma punição pecuniária deveras elevada, pois, tanto se pode aplicar simples advertência até multas no importe de R$ 50 milhões de reais, a depender da infração e o caso. A Lei possui previsão expressa sobre responsabilidade civil e administrativa do controlador ou operador e responsabilidade penal, em especial, na observância do sigilo de dados.

Ainda não foi promulgado o Anteprojeto com regras penais especiais para a LGPD, portanto, até a complementação da norma, o que se vê é a aplicação conjunta de outros arquétipos normativos, além da necessidade de observância dos critérios para aplicação das sanções previstas na própria LGPD.

O que se observa é que, além da possibilidade das medidas contidas no artigo 52 da LGPD, respeitados os critérios do §1° e do art. 54, no que tange a proteção de dados existem outras medidas no ordenamento penal brasileiro que foram criadas, modificadas e endurecidas com o escopo de reprimir crimes digitais e proteger os dados dos usuários. Assim, o arcabouço penal que integra a LGPD não pode ficar restrito a ela, visto que outros dispositivos complementam a norma, como o Código Penal e a lei 14.155/21.  Comecemos pelo Código Penal, pois, este já dispunha de elementos protetivos para aqueles que não respeitarem o sigilo, como disciplina o art. 153:

Artigo 153 - Divulgar alguém, sem justa causa, conteúdo de documento particular ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir dano a outrem:

Pena - detenção, de um a seis meses, ou multa.

§1º Somente se procede mediante representação.

§1º - A. Divulgar, sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública:

Pena - detenção, de 1 (um) a 4 (quatro) anos, e multa.

§2º Quando resultar prejuízo para a Administração Pública, a ação penal será incondicionada. 

O tipo objetivo protegido é a divulgação sem justa causa de conteúdo que possa trazer prejuízo a terceiro, assim, informações pessoais, dados sigilosos, prontuários médicos e a violação da proteção de dados digitais são alguns dos elementos que podem ser atingidos pela norma penal.

Já a lei 14.155, de 27 de maio de 2021, alterou o Código Penal e tornou mais rigorosa a responsabilização para os crimes de violação de dispositivo informático, furto e estelionato cometidos pela internet ou por meio de dispositivos eletrônicos.

De tal sorte que a aplicação das sanções na LGPD e nos demais dispositivos penais atrelados ao tema deve obedecer aos critérios dos artigos 2°, 3° e 6° da própria norma. Para as entidades privadas que se utilizam de dados sensíveis é fundamental que haja a proteção dos dados e a consonância das informações com a explanação pormenorizada dos elementos e critérios utilizados. Não há autorização normativa para o uso indistinto que desrespeite os critérios do artigo 6°, como por exemplo, a elaboração de questionários, pesquisas ou Censos. Há a necessidade de se justificar as perguntas, de se demonstrar de maneira clara e objetiva como será feita a anonimização e privacidade dos dados, quem serão os responsáveis pelos mesmos, até para fins de responsabilização, e quais os critérios para a realização da pesquisa, questionário ou Censo.

A LGPD é clara sobre a necessidade de anonimização dos dados, respeito à transparência das informações, portanto, em caso de descumprimento, mal uso, ou quebra do sigilo dos dados, não apenas o Código Penal pode e deve ser aplicado como também o artigo 52 da própria LGPD desde que obedecidos os critérios do §1° e do art. 54. O que não mais se coaduna é com a impunidade e o livre uso de dados de terceiros.