Com exceção das penalidades, a LGPD entrou em vigor
no dia 18.09.2020 e, antes mesmo de completar um ano de vigência, já é
responsável por importantes discussões no Judiciário.
O objetivo deste artigo é analisar algumas dessas
discussões com o propósito de auxiliar as empresas na compreensão dos riscos
envolvidos no tratamento de dados pessoais e indicar possíveis medidas para
mitigá-los.
Cumpre evidenciar que nenhuma das decisões abaixo
pode ser considerada como definitiva ou precedente do respectivo Tribunal, haja
vista que a jurisprudência sobre o tema, assim como a cultura de proteção de
dados no nosso país, ainda está nos estágios iniciais de desenvolvimento.
1- Mandado de Segurança nº
5003440-04.2021.4.03.6000, 4ª Vara Federal de Campo Grande-MS: Gastos com o
projeto de adequação à LGPD geram créditos de PIS e Cofins.
A rede de lojas TNG obteve por decisão judicial o
direito a créditos de PIS e Cofins sobre os gastos com implementação e
manutenção do programa de proteção de dados pessoais.
Para fundamentar a decisão, o Juízo levou em
consideração que o conceito de insumo deve ser aferido à luz dos critérios da
essencialidade ou relevância, ou seja, considerando a imprescindibilidade ou a
importância de determinado item - bem ou serviço - para o desenvolvimento da
atividade econômica desempenhada pelo contribuinte, conforme definido no
Recurso Especial 1.221.170/PR.
Assim, tendo em vista que os investimentos para
adequação à LGPD são obrigatórios, sob pena de a empresa incorrer nas
penalidades previstas na Lei (art.52), os custos para tanto enquadram-se no
conceito de insumo, gerando créditos de PIS e Cofins.
2- Reclamação Trabalhistas nº
0020014-30.2021.5.04.0261, ajuizada pelo Sindicato dos Trabalhadores na
Indústria de Alimentação de Montenegro em face da JBS Aves Ltda.
O mencionado Sindicato ingressou com ação alegando
descumprimento das regras previstas na LGPD pela empresa JBS e pleiteou: (i) –
a indicação do encarregado de dados; (ii) – a informação de quais dados são
tratados pela empresa, as respectivas bases legais e ciclo de vida dos dados;
(iii) – a informação das transferências internacionais; (iv) – a informação dos
compartilhamentos com terceiros e respectivas finalidades; (v) – indicação de
quem tem acesso aos dados; (vi) – prestação de contas do uso específico dos
dados; (vii) – informação sobre o tempo que os dados ficam armazenados; (viii)
– a indicação das decisões automatizadas eventualmente existentes na empresa;
(ix) – a informações sobre eventuais incidentes envolvendo o vazamentos de
dados pessoais, (x) a descrição das medidas de segurança e proteção dos dados
pessoais, (xi) – a comprovação dos treinamentos dos funcionários;(xii) –
declaração de ausência de conformidade da empresa; (xiii) – a vedação de
repasse, vazamento, venda, entrega, doação ou aluguel de dados, sem
autorização; (xiv) - indenização por danos morais e (xv) – comunicação da ANPD.
A ação foi julgada improcedente porque a JBS
conseguiu comprovar a sua adequação através de documentos juntados aos autos,
tais como: manual de privacidade, política de proteção de dados, o uso dos
recursos tecnológicos que utiliza para tratamentos dos dados etc.
Dessa decisão é possível verificar a importância de
a empresa ter a cautela de documentar todas as fases do seu projeto de
adequação para que possa comprová-la, seja em sede de ação judicial, como
também nos processos administrativos.
3- Ação Civil Pública nº 0020043-80.2021.5.04.0261,
ajuizada pelo Sindicato dos Trabalhadores nas indústrias de Alimento de
Montenegro em face da Cooperativa dos Citricultores Ecológicos do Vale do Cai
Ltda.
O autor da ação em questão é o mesmo do processo
anteriormente analisado. Todavia, no presente caso a ação foi julgada
parcialmente procedente, justamente porque a Cooperativa não trouxe elementos
de prova suficientes para comprovar a sua adequação.
O Juízo determinou que a cooperativa reclamada
comprove nos autos as seguintes obrigações, no prazo de 90 dias, sob pena de
multa diária de R$ 1.000,00: (i) – indicação do encarregado de dados; (ii) -
comprovação da implementação e das práticas relacionadas à segurança e sigilo
dos dados.
4- Processo nº 07282789720208070001, 6ª Turma Cível
do Tribunal de Justiça do Distrito Federal.
Trata-se de indenização por danos morais ajuizada
contra empresa jornalística que publicou os dados bancários e cópias de
contracheques do autor.
A ação foi julgada parcialmente procedente, sendo
declarado pelo Poder Judiciário que a divulgação dos dados bancários e dos
contracheques do autor ultrapassou a finalidade de informação.
Dados bancários e contracheques são considerados
dados pessoais por serem informações capazes de identificar uma pessoa. Os
princípios da finalidade, necessidade e adequação previstos na LGPD (art. 6º,
incisos I, II e III) exigem que sejam tratados o mínimo de dados pessoais
necessários para determinada finalidade específica.
Com base em tais princípios, apurou-se que a
empresa jornalística extrapolou a finalidade específica de sua atividade
(informação), pois, para tanto, não era necessário expor os dados bancários e
contracheques do autor, sem qualquer rasura das informações pessoais, na
matéria jornalística.
Esta discussão judicial demonstra a importância do
Registro de Operações de Tratamento de Dados Pessoais (art. 37, LGPD), que além
de ser uma obrigação legal, tal documentação possibilita que a empresa
verifique se os dados coletados são realmente os necessários para cada
finalidade.
Muitas empresas coletam dados que não necessários
para o fim a que se destinam. Um exemplo muito comum são as fichas para
entrevistas de vagas de empregos que exigem uma série de informações do
funcionário que não são absolutamente necessárias naquele momento. Para a
contratação, a empresa precisa aferir se o candidato possui as qualidades e
características que a vaga exige e não o número do CPF, título de eleitor,
filiação, RG etc.
Fazer esta aferição entre os dados coletados e a
finalidade a que se destinam, justificando-os na base legal adequada, é medida
essencial para atender as regras da LGPD e mitigar os riscos da potencialidade
lesivas de eventuais incidentes.
Como exposto acima, a regulamentação do tratamento
de dados pessoais é recente em nosso país. Apesar disso, as decisões acima já
comprovam que a temática merece atenção redobrada e cautela por parte das empresas.
A adequação à LGPD demanda a organização bem
estruturada de um projeto firmado no propósito de incorporar a cultura da
privacidade e da proteção de dados nas rotinas empresariais, sendo muito mais
do que o cumprimento de obrigação legal, mas um diferencial cada vez mais
exigido pelo mercado justamente em razão dos riscos inerentes ao tratamento de
dados pessoais.
Juliana Callado Gonçales - sócia do Silveira
Advogados e especialista em Direito Tributário e em Proteção de Dados (www.silveiralaw.com.br)