Nos últimos meses, o vazamento de dados pessoais ganhou grande relevância midiática, tanto pelo volume, quanto pelas consequências negativas que esses eventos podem ter. O vazamento de dados de mais de 220 milhões de brasileiros, no início do ano, motivou muitas pessoas a buscarem informações sobre diferentes formas de como se prevenir contra eventuais investidas ilícitas.
Este artigo, porém, almeja analisar um tipo de vazamento distinto do mencionado. Com efeito, a única ocorrência da palavra “vazamentos” na LGPD é aquela do artigo 52, §7º, no seguinte teor: “os vazamentos individuais ou os acessos não autorizados de que tratam o caput do art. 46 desta lei. Poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo”. Evidentemente, a legislação de proteção de dados também coíbe vazamentos de grande magnitude, embora não tenha utilizado a terminologia “vazamento” para os denominar, mas sim “incidente”.
Há diversos tipos de vazamentos de dados pessoais, contudo, de forma geral, é possível afirmar que os vazamentos ocorrem quando dados que não deveriam ser públicos são disponibilizados ilegalmente. Há, ainda, os casos em que há o roubo de informações e utilização para a prática de ilícitos, inclusive a sua venda na deep web. Nesse contexto, podemos definir os vazamentos individuais como a divulgação indevida de dados de um titular específico ou de um pequeno conjunto de titulares, por exemplo, membros de uma família.
Existem diferentes causas para os vazamentos de dados como a utilização de senhas fáceis pelos próprios titulares para fazer o acesso, falhas de segurança nos sistemas utilizados pelos agentes de tratamento, falhas humanas por parte dos funcionários e gestores dos agentes de tratamento etc. Assim, são essenciais os aprimoramentos no que se refere à tecnologia e segurança da informação, além de outros procedimentos considerados como “boas práticas” pela própria LGPD, em seu capítulo VII.
Porém, uma vez ocorrido o vazamento individual de dados tendo em vista a citada previsão do art. 52, §7º, poderá ele ser objeto de conciliação direta entre controlador e titular. No que se refere à redação de tal dispositivo, chama a atenção que não seja mencionado o operador de dados pessoais, fundamentalmente, porque o art. 42, caput, da LGPD, ao dispor quanto à responsabilidade e ao ressarcimento de danos, faz expressa referência ao operador. Nos termos do referido dispositivo legal, o operador responderia solidariamente pelos danos causados pelo tratamento, caso violasse a LGPD ou não agisse de acordo com instruções lícitas do controlador. Nesse sentido, talvez o legislador tivesse sido mais preciso na redação do §7º do art. 52 se, ao invés de “o controlador”, houvesse empregado o termo “os agentes de tratamento” ou ainda, se optasse pela prolixidade, “o controlador e o operador”.
Quanto à solução adotada, ou seja, a conciliação direta entre titular e o agente de tratamento, podemos afirmar que se trata de alternativa que proporcionará significativa redução de custos e de tempo de desenlace dos conflitos decorrentes de vazamentos individuais, não sobrecarregando a ANPD com casos que poderiam ser resolvidos na autocomposição dos conflitos entre particulares.
Cumpre, no entanto, que a ANPD regulamente o tema e sane eventuais questões quanto à conciliação direta entre o agente de tratamento e o titular. Levando em conta que o dispositivo faz parte da seção da LGPD referente às sanções administrativas, não é possível considerá-lo, ainda, em vigor.
Nesse sentido, seria demasiadamente oportuno que, até 1º de agosto de 2021, a ANPD editasse regulamentação versando sobre: a obrigatoriedade de tentativa de conciliação direta; necessidade ou não de assistência jurídica; a questão relativa à vulnerabilidade do titular (como, por exemplo, a do trabalhador, no direito do trabalho) e em que circunstâncias ela poderia constituir óbice para a idoneidade da conciliação direta; os casos em que a conciliação direta não possibilita o afastamento de determinadas sanções administrativas; até que número de titulares de dados afetados em um vazamento pode ser considerado um conjunto de vazamentos individuais; a necessidade ou possibilidade de ratificação do termo de acordo pela própria ANPD.
Tal possibilidade, porém, é remota, tendo em vista que, em 27 de janeiro de 2021, a ANPD tornou pública sua agenda regulatória para o biênio 2021-2022 por meio da Portaria nº 11/2021 , na qual não constam quaisquer das questões mencionadas referentes à autocomposição no caso de vazamentos individuais.
Há, com efeito, previsão de início do processo de regulamentação, no primeiro semestre de 2021, do tema referente ao “Estabelecimento de normativos para aplicação do art. 52 e seguintes da LGPD”. No entanto, sua descrição demonstra que a regulamentação será concernente ao art. 53 da LGPD, que prevê que a ANPD deve definir, via regulamento próprio, sobre sanções administrativas a infrações da referida lei e as metodologias que orientarão o cálculo do valor-base das sanções de multa. Portanto, há fundadas razões para não se esperar, pelo menos até o final do segundo semestre de 2022, por regulamentações quanto à conciliação direta prevista no art. 52, §7º.
Ignorada, porém, a necessidade de regulamentação, emergirá elevado grau de insegurança jurídica, o que poderá comprometer justamente o objetivo do §7º do art. 52: facilitar e diminuir os custos da resolução de conflitos referentes a vazamentos individuais de dados pessoais. Nessa linha, na ausência de uma previsão de regulamentação infralegal, esperamos que a própria interpretação da LGPD em conjunto com o ordenamento jurídico brasileiro atraia o regime da solução consensual de conflitos do CPC (art. 3º, §§ 2º e 3º) e evite contenciosos administrativos e judiciais desnecessários.
André Castro – Professor na graduação e pós-graduação do Ibmec SP. Bacharel, mestre e doutor em Direito pela Universidade de São Paulo, teve sua tese de doutorado recebido o Prêmio CAPES de Tese 2014 como a melhor tese de doutorado de Direito no Brasil em 2013. Realizou estudos de pós-doutorado no Massachusetts Institute of Technology – MIT (em 2016) e na Faculdade de Direito da USP (2017-2018). É coordenador e membro de órgãos de governança corporativa em São Paulo. Cocoordenador do Manual de Compliance (3. ed.). Atualmente, é vice-presidente do Instituto Brasileiro de Direito e Ética Empresarial – IBDEE, pela ACAMS dos Estado Unidos.
Matheus Della Monica – Graduando em Direito pela Universidade de São Paulo, com dupla-graduação pela Université Lumière Lyon III (Licence en Droit). Foi estagiário na 1ª Vara da Fazenda Pública do Tribunal Judiciário do Estado de São Paulo, em 2020. Atualmente, é estagiário da CCC Consultoria. Foi bolsista na Universidade de São Paulo pelo Programa de Estímulo ao Ensino de Graduação (PEEG), em 2020.
Artigo publicado no Portal JOTA: clique aqui