O que a condenação de R$56 bi. da União, CEF, DataPrev e ANPD pode impactar no seu negócio

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2018, porém continua sendo recebida com descrença pelos empresários quanto a necessidade de adequação e a sua aplicação em seus negócios. Um dos motivos de tal relutância se deve ao início lento da aplicação da nova lei nos tribunais e da concretização de suas disposições.

No entanto, cada vez mais condenações são noticiadas incluindo, recentemente, a condenação pela JF/SP à União, CEF, DataPrev e ANPD ao pagamento de indenização por danos morais individuais e coletivos, além da obrigação de fornecimento de comprovantes de governança, adequação à LGPD e segurança digital e da informação.

Apesar de se tratar de condenação alta a empresas públicas de grande porte, é importante ressaltar que os motivos da condenação não foram pautados no tamanho ou natureza jurídica dos réus, mas sim em princípios e fundamentos da LGPD que são aplicáveis a todas as pessoas jurídicas brasileiras que tratem dados pessoais.

A condenação aqui comentada cria um precedente para a vinculação de responsabilidade entre controladores e operadores, ou seja, todas as pessoas jurídicas que realizem a "coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração" de dados pessoais.

Sendo assim, a decisão fixa que o controlador (quem toma as decisões a respeito do tratamento dos dados) e o operador (quem realiza o tratamento dos dados em nome do controlador) respondem solidariamente pela indenização em caso de danos causados em decorrência de infração à LGPD.

Portanto, no caso de a pessoa jurídica A armazenar os dados da pessoa jurídica B, na ocorrência de incidente de segurança por qualquer um dos lados, ambos respondem solidariamente pelos danos causados, mesmo que se trate de acesso aos dados por terceiros.

Além da condenação financeira, as rés também foram condenadas a comprovar medidas de governança, mapeamento dos dados e pontos de risco, como a entrega ao juízo dos registros de acesso via internet entre janeiro de 2022 e julho de 2023 e elaboração de relatórios de impacto independentes; a realizar medidas de transparência ao titular dos dados como a disponibilização para todos os correntistas de relatório com os dados tratados, os critérios e finalidade do tratamento, bem como a comunicação individual sobre o incidente a cada um dos titulares impactados; e a implementar medidas de segurança digital e da informação.

Tais medidas podem, inicialmente, parecerem menos impactantes se comparadas com a indenização financeira, porém, a assunção pública de responsabilidade pela falha na proteção dos dados dos clientes e a necessidade de aplicação de urgência de medidas de segurança e de programa de adequação gera uma reverberação reputacional negativa ao empreendedor que pode ser tão ou mais custosa que a indenização individual.

No entanto, os controladores e operadores não respondem sempre que houver um incidente de segurança, podendo se abster caso comprovem as condições de exclusão da LGPD, ou seja, caso consigam atestar documentalmente que não realizaram o tratamento daquele dado; que caso tenham realizado, não incorreram em violação à LGPD ou que o incidente se deu por culpa exclusiva do titular dos dados ou de terceiros.

Para tanto, é necessário ter mapeado o fluxo de dados dentro da empresa e documentadas as medidas de adequação e segurança tomadas, o que será feito no processo de implementação de programa de adequação à LGPD, realizado por consultores e advogados especializados. Dessa forma, o tratador dos dados pode reduzir ou eximir sua responsabilidade na participação de determinado incidente.