O Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP), em parceria com o Jusbrasil, lançou o Painel LGPD nos Tribunais[1], que tem como objetivo realizar a análise da jurisprudência sobre LGPD no primeiro ano de vigência da Lei.
Este Painel representa uma importante contribuição à sociedade, pois nos permite compreender e mapear as principais tendências dos Tribunais na aplicação da LGPD na fundamentação de sentenças.
De acordo com o Painel, das 274 decisões que efetivamente aplicam a LGPD, nos seus mais diversos aspectos, 47,1% foram proferidas no âmbito da Justiça Estadual e 41,2% no âmbito da Justiça do Trabalho, sendo os demais 11,7% distribuídos entre Tribunais Superiores, Justiça Federal e Justiça Eleitoral.
Sendo assim, podemos verificar que os projetos de adequação à LGPD devem ser direcionados tanto ao público externo como interno das empresas, visto que as demandas em âmbito cível e trabalhista atingiram percentuais bastante próximos.
O Tribunal de Justiça do Estado de São Paulo (TJ-SP), lidera o número de decisões envolvendo o assunto, totalizando 68, seguido do Tribunal Regional do Trabalho da 2ª Região (TRT-2), que abrange a Grande São Paulo, que conta com 37 decisões, o que nos permite identificar uma prevalência de discussões em relação ao assunto no Estado.
Segundo o levantamento, grande parte das decisões não utiliza exclusivamente a LGPD na fundamentação, fazendo referência a normas anteriores e mais profundamente discutidas no âmbito da jurisprudência, como o Código de Defesa do Consumidor e o Marco Civil da Internet, o que demonstra a necessidade de mais amplo exame por parte dos tribunais em relação à LGPD, que deve acontecer com o tempo e com a chegada de novos casos envolvendo o assunto nas cortes superiores.
Ainda, é importante que se perceba que os cuidados em relação ao tratamento dos dados pessoais, apesar de estarem em destaque no momento, em razão da sistematização através da LGPD, já constituíam ou, pelo menos, deveriam constituir, objeto de preocupação pelas empresas, visto que o Código de Defesa do Consumidor e o Marco Civil da Internet também abordam o assunto e estão vigentes há anos.
Os Capítulos I e II da LGPD foram os mais aplicados e se referem, respectivamente, às Disposições Gerais (49,1%), que contemplam os fundamentos, princípios, âmbito de aplicação e definições, e aos Requisitos para o Tratamento dos Dados Pessoais (24,6%), que tratam das bases legais, o livre acesso do titular às informações sobre o tratamento de seus dados pessoais e a caracterização do legítimo interesse.
O aspecto principiológico da Lei se sobrepôs à análise de questões operacionais e de segurança da informação, o que pode ter ocorrido pela ausência de regulamentação, pela Autoridade Nacional de Proteção de Dados (ANPD) a respeito de padrões técnicos mínimos a serem observados quando do tratamento dos dados pessoais, ou, ainda, em razão de possível ausência de familiaridade dos magistrados em relação ao assunto.
Neste sentido, é importante destacar que a LGPD exige das empresas e do Poder Público a consolidação de uma cultura de proteção dos dados pessoais baseada na transparência, adequação, segurança e livre acesso ao titular, sendo fundamental que os agentes de tratamento tenham uma finalidade previamente estabelecida antes da coleta e utilização dos dados pessoais, e expressamente informada ao titular.
Da mesma forma, importante que sejam capazes de demonstrar a adoção de medidas administrativas e de segurança da informação que sejam eficazes para o cumprimento das disposições trazidas pela Lei.
Além disso, é importante que se identifique uma base legal que legitime o tratamento pretendido, ou seja, é preciso que, para cada operação de tratamento, seja verificada qual o melhor enquadramento diante das hipóteses trazidas pelos Artigos 7º ou 11º da LGPD, o que pode não ser uma tarefa simples.
De modo geral, os Tribunais ainda não se posicionaram ou pouco disseram a respeito de importantes temas trazidos pela LGPD, como o tratamento de dados pessoais de crianças e adolescentes, a transferência internacional de dados, o término do tratamento de dados pessoais e as responsabilidades e ressarcimento de dados entre os agentes de tratamento, o que pode ser atribuído à ausência, até o momento, de judicialização dos assuntos.
Da mesma forma, em relação ao que já foi analisado, o Painel destaca que não é possível identificar uma orientação jurisprudencial consolidada, conforme se verá abaixo, havendo apenas alguns indícios de tendências que estão sendo construídas.
Por se tratar de Lei com pouco mais de um ano de vigência, diversas sentenças proferidas em primeira instância ainda aguardam decisão nas instâncias superiores.
A pesquisa sistematizou as decisões em seis temas principais, sendo que na esfera cível, os temas mais discutidos referentes à LGPD foram a busca por danos morais decorrentes de vazamentos ou uso indevido de dados pessoais, fraudes nas relações de consumo decorrentes de uso indevido de dados e o compartilhamento e acesso a bases de dados do Poder Público.
Na esfera trabalhista, por sua vez, o tema que mais se discutiu foi a respeito da publicidade de dados pessoais em reclamações trabalhistas. E em ambas as esferas se discutiu a coleta de dados para uso como prova em ações judiciais.
Dentre os seis principais temas, destacamos a questão das fraudes nas relações de consumo devido ao uso indevido de dados pessoais.
Segundo o Painel, a LGPD foi aplicada de forma complementar ao Código de Defesa do Consumidor. Em decisão apontada no estudo, é manifestado o entendimento por parte do Tribunal de Justiça da Bahia (TJ-BA) de que a LGPD prevê a responsabilidade objetiva do controlador por falhas de segurança em seus sistemas, de modo que um banco foi condenado a ressarcir o consumidor pelos prejuízos decorrentes de fraude realizada através da utilização de dados pessoais objeto de vazamento e da ausência de zelo quanto aos critérios de segurança da informação pelo banco para a proteção destes dados.
Desta forma, e como anteriormente destacado, é importante que empresas e Poder Público invistam e estejam preparados para apresentar documentação referente às medidas de administrativas e de segurança da informação utilizadas para a proteção dos dados pessoais.
Vale também ressaltar que não foi possível identificar um posicionamento uniforme nas discussões a respeito da necessidade de comprovação do dano ao titular para que haja a obrigação de pagamento de indenização.
Parte das decisões seguiram o entendimento de que o incidente de segurança gera presunção de danos morais, enquanto outras compreenderam ser necessária a efetiva demonstração de prejuízo para a configuração de danos morais decorrente de vazamento ou uso indevido de dados pessoais.
Diante desse cenário, é possível verificar que muito ainda será discutido a respeito da LGPD, mas de todo modo, fato é que o assunto já está presente no dia a dia dos Tribunais, já sendo possível estudar seus impactos e desdobramentos.
[1] Disponível em: https://www.jusbrasil.com.br/static/pages/lgpd-nos-tribunais.html