No último dia 18 de setembro, entrou em vigor a Lei nº 13.709, de 2018, a Lei Geral de Proteção de Dados (LGPD), que dispõe regras para o tratamento de dados pessoais de pessoa física.
A LGPD instituiu inúmeros direitos aos titulares de dados, conforme os incisos do artigo 18 da lei, tais como a confirmação da existência de tratamento, o acesso aos dados, a correção de dados incompletos, inexatos ou desatualizados, a anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a lei, a eliminação dos dados pessoais tratados com o consentimento do titular, entre outros.
De acordo com o artigo 5º, inciso X, da LGPD, o tratamento de dados de pessoais, em uma análise preliminar, é toda a operação realizada com os referidos dados, como as que se referem a coleta, produção, recepção, utilização, acesso, reprodução, distribuição, armazenamento, transferência, difusão, ou seja, é tudo o que envolve os dados pessoais da pessoa física.
Evidentemente que, diante da entrada em vigor da LGPD, as empresas deverão implementá-la no tratamento de dados pessoais, sobretudo no que tange aos seus funcionários e consumidores finais, e adotar medidas de segurança para evitar o vazamento ou o acesso indevido aos dados pessoais de pessoa física.
Caso as empresas não implementem a LGPD no tratamento de dados pessoais, poderão ser responsabilizadas na seara civil e administrativa.
Muito embora as sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) entrem em vigor apenas em 1º de agosto de 2021, as sanções de natureza civil já estão vigentes, e as empresas que descumprirem as previsões da LGPD poderão ser condenadas ao pagamento de indenização pelos danos morais e materiais decorrentes da violação da lei, em demanda judicial postulada pelos titulares de dados, conforme o artigo 42 da LGPD, e em caso de danos coletivos, poderão ser demandadas pelo Ministério Público em ação civil pública, de acordo com o artigo 42, § 3º, da LGPD.
No âmbito das relações de consumo, a não implementação da LGPD torna ainda mais dramática a situação das empresas, uma vez que nestes casos se aplica o Código de Defesa Consumidor (CDC), conforme o artigo 45 da LGPD. Sendo assim, em caso de descumprimento das normas de proteção de dados pessoais, a empresa poderá ser responsabilizada, independentemente da existência de culpa, por fato do produto ou serviço, à luz dos artigos 12 e 14 do CDC. Além de ingressar judicialmente, o titular de dados poderá peticionar contra a empresa perante os órgãos de defesa do consumidor, nos termos do artigo 18, § 8º, da LGPD.
Ainda, de acordo com o artigo 42, § 2º, da LGPD, o juiz, no processo judicial, poderá inverter o ônus da prova em favor do titular de dados quando for verossímil suas alegações, houver hipossuficiência para a produção de provas ou quando a produção de provas resultar excessivamente onerosa ao titular.
Diante disso, não restam dúvidas de que desde já as empresas correm um enorme risco ao não adequarem o tratamento de dados pessoais à LGPD, tendo em vista que poderão sofrer pesadas penalidades em caso de violação dos direitos dos titulares de dados.
Em suma, as empresas deverão, urgentemente, implementar as normas da LGPD, uma vez que os grandes fiscais da proteção de dados pessoais, que são seus titulares, poderão demandar judicialmente caso entendam que seus direitos foram violados.
Gabriel Sant’Ana Bitencourt Dias
Advogado adjunto da Veppo Advogados Associados S/S, formado em Direito pelo Centro Universitário Ritter dos Reis – Campus Canoas, e pós-graduado em Direito Tributário pela mesma instituição.
