22.01.2021 – Após indas e vindas, a Lei Geral de Proteção de Dados – LGPD, criada em 2018, entrou finalmente em vigor no Brasil em 2020 e a Agência Nacional de Proteção de Dados – ANPD foi estruturada, de forma a começar a gerir e controlar a efetiva proteção de dados pessoais. Não obstante, até o presente momento, a ANPD ainda não começou a normatizar aspectos obscuros na lei, assim como lacunas que carecem de regulamentação.

Enquanto isso, na Europa, os órgãos de gestão e controle da Resolução Geral de Proteção Dados – GDPR europeia, demonstram que estão atentos a abusos cometidos não somente por empresas e associações, mas até mesmo por órgãos públicos, no que concerne ao tratamento de dados pessoais. Alguns países são bem mais rigorosos que outros, seja na quantidade de punições, ou ainda no valor das penalidades.

Todavia, algumas decisões demonstram um rigor excessivo, conforme alguns exemplos que serão citados abaixo.

Comecemos com um caso muito recente, datado de 08.01.2021, em que o órgão Data Protection Authority of Niedersachsen, na Alemanha, impôs uma multa de EUR 10,4 milhões à varejista de eletrônicos Notebooksbilliger.de. A autuação foi causada pelo fato da empresa monitorar seus funcionários utilizando-se de câmeras de vigilância, por pelo menos 2 (dois) anos, sem supostamente ter uma base legal para fazê-lo. E ainda que a empresa tivesse argumentado que utilizava as câmeras para prevenir e apurar fatos criminosos e acompanhar a movimentação de mercadorias, a autoridade de dados alemã alegou que a empresa deveria empregar meios de controles “mais brandos” e que a vigilância por vídeo para detectar atos criminosos somente seria possível se houvesse razoável suspeita contra pessoas específicas, quando então tais pessoas poderiam ser monitoradas por um período limitado de tempo. Assim, as gravações de vídeo não se limitavam a pessoas específicas e a tempo determinado.

Definitivamente, o posicionamento da autoridade de dados alemã é que não parece razoável, pois independente do país, a ausência de controles estimula a incidência de furtos, ainda mais quando se lida com mercadorias de tamanho reduzido e de alto valor agregado. Logo, parece bastante razoável haver o interesse legítimo da empresa em estabelecer tais medidas de segurança, sem que tal fato se constitua em um abuso no tratamento de dados pessoais de seus funcionários.

Outro exemplo que merece reflexão é datado de 30.10.2020, quando o órgão Information Commissioner’s Office – ICO, no Reino Unido, autuou a rede de hotéis Marriott International Inc, devido a um incidente cibernético que foi prontamente notificado pela Marriott à ICO em novembro de 2018. Aproximadamente 339 milhões de registros de hóspedes em todo o mundo teriam sido expostos pelo incidente, sendo que desses, cerca de 30 milhões seriam de residentes em 31 países do Espaço Econômico Europeu (EEE). Acredita-se que a vulnerabilidade começou quando os sistemas do grupo de hotéis Starwood foram comprometidos em 2014. A Marriott posteriormente adquiriu a Starwood em 2016, mas a exposição de informações do cliente não foi descoberta até 2018. A ICO concluiu que as due diligences da Marriott na aquisição da Starwood não foram suficientes para ilidir o problema e dessa forma, aplicou uma multa de £ 18,4 milhões (aproximadamente EUR 20,4 milhões).

A questão nesse caso é o valor da penalidade, frente à forma como a Marriott cuidou do problema, notificando prontamente a ICO e cooperando integralmente com toda a investigação, conforme admitiu a autoridade de dados inglesa. Além disso, três fatos devem ser considerados. O primeiro deles é que a Marriott aparentemente não deixou de executar due diligence quando da aquisição da Starwood, embora a due diligence não tenha detectado falha na segurança dos dados e o segundo, é que não havia dados pessoais sensíveis envolvidos e o terceiro é que, até então, não houve identificação de qualquer prejuízo a quaisquer dos titulares dos respectivos dados pessoais. A dosimetria da pena certamente deve levar em consideração a autodenunciação e a colaboração integral do suposto violador, a fim de estimular a transparência de situações congêneres, ou, do contrário, incentivará o silêncio e a omissão.

O terceiro caso é datado de 05.08.2020, quando o órgão Commission Nationale de l’Informatique et des Libertés – CNIL, na França, autuou a rede varejista online Spartoo, aplicando uma multa de EUR 250 mil, em razão da mesma manter a gravação integral de todas as conversas telefônicas (incluindo dados pessoais como endereço e dados bancários de pedidos), além de supostamente manter dados bancários armazenados sem criptografia, acrescentando que isso seria uma violação ao princípio da minimização de dados e uma falha em medida de segurança, respectivamente.

Ainda que a questão da segurança dos dados seja algo que realmente mereça uma atenção redobrada pela Spartoo e um controle efetivo pela CNIL, não houve aparentemente nenhum prejuízo a qualquer titular de dados. Além disso, o posicionamento quanto ao armazenamento das ligações telefônicas parece ser excessivo, visto que para uma empresa que trabalha de forma online, as gravações são efetivamente o seu meio de prova para contradizer qualquer alegação em contrário aduzida por um consumidor.

Seja como for, no Brasil, considerando a existência de outras leis que impactariam diretamente as questões acima, como o código civil e o código de defesa do consumidor, por exemplo, espera-se da ANPD prudência, razoabilidade e justiça ao coibir violações e aplicar penalidades.

Post Disclaimer

A informação contida nesse site pode ser copiada ou reproduzida, sem necessidade de consentimento prévio do autor. Quando possível, o autor solicita a colaboração em citar a fonte dos dados.