Por Natália Brotto (*)
Há pouco menos de um ano para a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), já é possível sentir os efeitos e, de maneira ainda mais concreta, prever as consequências para as empresas (grandes ou pequenas) que não estão se adaptando.
Em artigo publicado no Blog do Fausto/Estadão, já tive a oportunidade de manifestar minha opinião – e preocupação – de que, a partir da vigência da Lei Geral de Proteção de Dados, e da conscientização ainda maior do consumidor, as empresas podem – e devem – esperar uma cobrança mais incisiva do mercado e de seus clientes em relação à proteção de seus dados.
Nessa oportunidade, defendi o risco que deve ser suportado pelas empresas especificamente diante das características da jurisdição brasileira que, como nenhuma outra, propicia um ambiente absolutamente profícuo para o ajuizamento de ações massificadas em número volumoso.
Nesse sentido, sabe-se ser comum o ajuizamento de ações padronizadas, ajuizadas, via de regra, por consumidores, pleiteando o ressarcimento de danos morais de maneira inclusive presumida, ou independente de comprovação. O que não imaginávamos é que, já antes da vigência da LGPD, sentiríamos os efeitos de referidos riscos.
Digo isso a partir da recente decisão da juíza Tonia Yuka Koroku, da 13.ª Vara Cível de São Paulo, que determinou à construtora e incorporadora Cyrela que pare de repassar dados pessoais de clientes a terceiros sem autorização. Em caso de descumprimento, a liminar prevê multa diária de R$ 300.
A ação, em muito baseada nos princípios e dispositivos da Lei Geral de Proteção de Dados – que friso sequer entrou em vigor – requer, entre outros; i) o bloqueio imediato dos dados pessoais para que não sejam utilizados por terceiros; II) a eliminação de todo dado pessoal utilizado para fim não previsto em contrato; III) o pagamento de indenização pelos danos morais suportados pelo Autor no montante educativo de R$ 60.000.
Em que pese exista alegação de que os dados do Requerido foram comercializados pela Requerida Cyrela – grande incorporadora do setor de construção civil – é pouco provável que esse tenha sido efetivamente o desenrolar dos fatos.
Veja que, como incorporadora – assim como qualquer outra empresa – existe um entrelace de relações que demandam o compartilhamento de dados pessoais dos seus clientes para finalidade de prestação dos seus serviços contratados.
Especificamente no caso dos autos, é fato que os dados do Requerente devem ter sido compartilhados com funcionários e parceiros da empresa, e dificilmente referido compartilhamento se deu com o objetivo de comercialização de dados, pelo contrário.
Ora, se interno, o departamento comercial terá acesso aos dados do cliente para efetivação da venda; se externo, os corretores e imobiliárias parceiras também terão acesso a esses dados. Da mesma maneira, o departamento jurídico terá acesso para elaboração de contratos e verificação de documentos, o pós-venda terá acesso aos dados para, por exemplo, convidar para a inauguração do empreendimento, a empresa responsável pela realização do evento também, o mesmo se diga em relação a empresa que administrará o condomínio, aos funcionários da portaria, etc.
Enfim, apenas para usar o exemplo do processo, a compra de um apartamento, determina uma série de compartilhamento de dados pessoais dos clientes, com inúmeras pessoas, departamentos, parceiros, terceiros, e poucas vezes referido compartilhamento se dará com esse intuito de “comercialização” de dados.
Esse dado pode ter vazado da empresa Requerida? Certamente. Mas também pode ter sido vazado do corretor terceirizado, da empresa que foi contratada para organizar e confirmar a presença dos proprietários na festa de inauguração do empreendimento, do funcionário do banco que viabilizou eventual financiamento, do despachante que prestou serviços para registro da compra e venda. Enfim, esse dado pode ter vazado em qualquer lugar.
Independentemente disso foi, a empresa, que comercializou o empreendimento, que foi processada. E, infelizmente, assim será.
Não é demais salientar que referidas ações terão como pedido a inversão do ônus da prova, nos termos do que autoriza o § 2º da LGPD, e às empresas processadas caberá o ônus de comprovar: I) que não realizaram o tratamento de dados pessoais que lhes é atribuído; II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou, III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
A pergunta que faço é, novamente remetendo ao caso ora analisado, como comprovar que foi o porteiro do condomínio, o corretor autônomo, ou o despachante que vazou o dado e não a empresa Requerida?
Toda essa problemática remonta, novamente, à necessidade de que o programa de conformidade seja conduzido de maneira realmente comprometida. Será necessário avaliar todas essas relações, sejam internas, com funcionários, sejam externas, com parceiros e terceirizados. Mais do que nunca, a conclusão é de que será preciso que toda essa cadeia esteja informada e preparada para a entrada em vigor da Lei Geral de Proteção de Dados.
A simples publicização de uma política de privacidade e a inserção de cláusulas contratuais na relação com esses terceiros não basta para a proteção do controlador. Será necessário analisar cada dado compartilhado, a finalidade e a efetiva necessidade de compartilhamento. Será necessário contratualizar referidas relações na minúcia e exigir que referidos parceiros também cumpram e implementem programas de conformidade.
Se antes da entrada em vigor da LGPD já é possível sentir seus efeitos e riscos, imagina depois!
(*) Natália Brotto é advogada, especialista em Direito Constitucional e Contratual pela Escola de Direito de São Paulo da Fundação Getúlio Vargas – FGV, mestranda em Direito dos Negócios pela Escola de Direito de São Paulo da Fundação Getúlio Vargas – FGV.
Fonte: O Estado de S. Paulo – Blog do Fausto Macedo, em 29.08.2019