Após idas e vindas, a Lei Geral de Proteção de Dados (LGPD), criada em 2018, entrou finalmente em vigor no Brasil em 2020 e a Agência Nacional de Proteção de Dados (ANPD) foi estruturada, de forma a começar a gerir e controlar a efetiva proteção de dados pessoais. Não obstante, até o presente momento, a ANPD ainda não começou a normatizar aspectos obscuros na lei, assim como lacunas que carecem de regulamentação.
Enquanto isso, na Europa, os órgãos de gestão e controle da Resolução Geral de Proteção Dados (GDPR) europeia demonstram que estão atentos a abusos cometidos não somente por empresas e associações, mas até mesmo por órgãos públicos, no que concerne ao tratamento de dados pessoais. Alguns países são bem mais rigorosos do que outros, seja na quantidade de punições ou no valor das penalidades.
Algumas decisões, no entanto, demonstram um rigor excessivo. Vejamos alguns exemplos.
Em um caso muito recente, acontecido no dia 8 de janeiro deste ano, o órgão alemão Data Protection Authority of Niedersachsen impôs uma multa de 10,4 milhões de euros à varejista de eletrônicos Notebooksbilliger.de. A autuação foi causada pelo fato de a empresa monitorar seus funcionários utilizando-se de câmeras de vigilância, por pelo menos 2 (dois) anos, sem supostamente ter uma base legal para fazê-lo.
A empresa argumentou que utilizava as câmeras para prevenir e apurar fatos criminosos e acompanhar a movimentação de mercadorias, mas a autoridade de dados alemã alegou que deveriam ser empregados meios de controles “mais brandos”. Disse ainda que a vigilância por vídeo para detectar atos criminosos somente seria possível se houvesse razoável suspeita contra pessoas específicas – e, mesmo neste caso, tais pessoas poderiam ser monitoradas por um período limitado de tempo. As gravações de vídeo da empresa, no entanto, não se limitavam a pessoas específicas e a tempo determinado.
Definitivamente, o posicionamento da autoridade de dados alemã não parece razoável pois, independentemente do país, a ausência de controles estimula a incidência de furtos, ainda mais quando se lida com mercadorias de tamanho reduzido e de alto valor agregado. Logo, parece bastante razoável haver o interesse legítimo da empresa em estabelecer tais medidas de segurança, sem que tal fato se constitua em um abuso no tratamento de dados pessoais de seus funcionários.
Outro exemplo que merece reflexão aconteceu em 30 de outubro do ano passado, quando o Information Commissioner’s Office (ICO), órgão do Reino Unido, autuou a rede de hotéis Marriott International Inc. devido a um incidente cibernético que foi prontamente notificado pela Marriott ao ICO em novembro de 2018. Aproximadamente 339 milhões de registros de hóspedes em todo o mundo teriam sido expostos pelo incidente, sendo que cerca de 30 milhões seriam de residentes em 31 países do Espaço Econômico Europeu (EEE).
Acredita-se que a vulnerabilidade começou quando os sistemas do grupo de hotéis Starwood foram comprometidos, em 2014. A Marriott adquiriu a Starwood em 2016, mas a exposição de informações dos clientes não foi descoberta até 2018. O ICO concluiu que as due diligences da Marriott na aquisição da Starwood não foram suficientes para ilidir o problema e aplicou uma multa de £ 18,4 milhões (aproximadamente 20,4 milhões de euros).
A questão nesse caso é o valor da penalidade, frente à forma como a Marriott cuidou do problema, notificando prontamente o ICO e cooperando integralmente com toda a investigação, conforme admitiu a autoridade de dados inglesa. Além disso, três fatos devem ser considerados. O primeiro deles é que a Marriott aparentemente não deixou de executar due diligence quando da aquisição da Starwood, embora ela não tenha detectado falha na segurança dos dados; o segundo é que não havia dados pessoais sensíveis envolvidos; por fim, não havia sido identificado até então nenhum prejuízo a quaisquer dos titulares dos respectivos dados pessoais. A dosimetria da pena certamente deve levar em consideração a autodenunciação e a colaboração integral do suposto violador, a fim de estimular a transparência em situações congêneres. Do contrário, incentivará o silêncio e a omissão.
O terceiro caso é datado de 5 de agosto de 2020, quando o órgão francês Commission Nationale de l’Informatique et des Libertés (CNIL) autuou a rede varejista online Spartoo, aplicando uma multa de 250 mil euros em razão da mesma manter a gravação integral de todas as conversas telefônicas (incluindo informações pessoais como endereço e dados bancários de pedidos), além de supostamente manter dados bancários armazenados sem criptografia, acrescentando que isso seria uma violação ao princípio da minimização de dados e uma falha em medida de segurança, respectivamente.
Ainda que a questão da segurança dos dados seja algo que realmente mereça uma atenção redobrada pela Spartoo e um controle efetivo pela CNIL, não houve aparentemente nenhum prejuízo a qualquer titular de dados. Além disso, o posicionamento quanto ao armazenamento das ligações telefônicas parece ser excessivo, visto que, para uma empresa que trabalha de forma on-line, as gravações são efetivamente o seu meio de prova para contradizer qualquer alegação em contrário aduzida por um consumidor.
Seja como for, no Brasil, considerando a existência de outras leis que impactariam diretamente as questões acima, como o Código Civil e o Código de Defesa do Consumidor, espera-se da ANPD prudência, razoabilidade e justiça ao coibir violações e aplicar penalidades.