Com exceção das penalidades, a LGPD entrou em vigor no dia 18.09.2020 e, antes mesmo de completar um ano de vigência, já é responsável por importantes discussões no Judiciário.
O objetivo deste artigo é analisar algumas dessas discussões com o propósito de auxiliar as empresas na compreensão dos riscos envolvidos no tratamento de dados pessoais e indicar possíveis medidas para mitigá-los.
Cumpre evidenciar que nenhuma das decisões abaixo pode ser considerada como definitiva ou precedente do respectivo Tribunal, haja vista que a jurisprudência sobre o tema, assim como a cultura de proteção de dados no nosso país, ainda está nos estágios iniciais de desenvolvimento.
1- Mandado de Segurança nº 5003440-04.2021.4.03.6000, 4ª Vara Federal de Campo Grande-MS: Gastos com o projeto de adequação à LGPD geram créditos de PIS e Cofins.
A rede de lojas TNG obteve por decisão judicial o direito a créditos de PIS e Cofins sobre os gastos com implementação e manutenção do programa de proteção de dados pessoais.
Para fundamentar a decisão, o Juízo levou em consideração que o conceito de insumo deve ser aferido à luz dos critérios da essencialidade ou relevância, ou seja, considerando a imprescindibilidade ou a importância de determinado item - bem ou serviço - para o desenvolvimento da atividade econômica desempenhada pelo contribuinte, conforme definido no Recurso Especial 1.221.170/PR.
Assim, tendo em vista que os investimentos para adequação à LGPD são obrigatórios, sob pena de a empresa incorrer nas penalidades previstas na Lei (art.52), os custos para tanto enquadram-se no conceito de insumo, gerando créditos de PIS e Cofins.
2- Reclamação Trabalhistas nº 0020014-30.2021.5.04.0261, ajuizada pelo Sindicato dos Trabalhadores na Indústria de Alimentação de Montenegro em face da JBS Aves Ltda.
O mencionado Sindicato ingressou com ação alegando descumprimento das regras previstas na LGPD pela empresa JBS e pleiteou: (i) – a indicação do encarregado de dados; (ii) – a informação de quais dados são tratados pela empresa, as respectivas bases legais e ciclo de vida dos dados; (iii) – a informação das transferências internacionais; (iv) – a informação dos compartilhamentos com terceiros e respectivas finalidades; (v) – indicação de quem tem acesso aos dados; (vi) – prestação de contas do uso específico dos dados; (vii) – informação sobre o tempo que os dados ficam armazenados; (viii) – a indicação das decisões automatizadas eventualmente existentes na empresa; (ix) – a informações sobre eventuais incidentes envolvendo o vazamentos de dados pessoais, (x) a descrição das medidas de segurança e proteção dos dados pessoais, (xi) – a comprovação dos treinamentos dos funcionários;(xii) – declaração de ausência de conformidade da empresa; (xiii) – a vedação de repasse, vazamento, venda, entrega, doação ou aluguel de dados, sem autorização; (xiv) - indenização por danos morais e (xv) – comunicação da ANPD.
A ação foi julgada improcedente porque a JBS conseguiu comprovar a sua adequação através de documentos juntados aos autos, tais como: manual de privacidade, política de proteção de dados, o uso dos recursos tecnológicos que utiliza para tratamentos dos dados etc.
Dessa decisão é possível verificar a importância de a empresa ter a cautela de documentar todas as fases do seu projeto de adequação para que possa comprová-la, seja em sede de ação judicial, como também nos processos administrativos.
3- Ação Civil Pública nº 0020043-80.2021.5.04.0261, ajuizada pelo Sindicato dos Trabalhadores nas indústrias de Alimento de Montenegro em face da Cooperativa dos Citricultores Ecológicos do Vale do Cai Ltda.
O autor da ação em questão é o mesmo do processo anteriormente analisado. Todavia, no presente caso a ação foi julgada parcialmente procedente, justamente porque a Cooperativa não trouxe elementos de prova suficientes para comprovar a sua adequação.
O Juízo determinou que a cooperativa reclamada comprove nos autos as seguintes obrigações, no prazo de 90 dias, sob pena de multa diária de R$ 1.000,00: (i) – indicação do encarregado de dados; (ii) - comprovação da implementação e das práticas relacionadas à segurança e sigilo dos dados
4- Processo nº 07282789720208070001, 6ª Turma Cível do Tribunal de Justiça do Distrito Federal.
Trata-se de indenização por danos morais ajuizada contra empresa jornalística que publicou os dados bancários e cópias de contracheques do autor.
A ação foi julgada parcialmente procedente, sendo declarado pelo Poder Judiciário que a divulgação dos dados bancários e dos contracheques do autor ultrapassou a finalidade de informação.
Dados bancários e contracheques são considerados dados pessoais por serem informações capazes de identificar uma pessoa. Os princípios da finalidade, necessidade e adequação previstos na LGPD (art. 6º, incisos I, II e III) exigem que sejam tratados o mínimo de dados pessoais necessários para determinada finalidade específica.
Com base em tais princípios, apurou-se que a empresa jornalística extrapolou a finalidade específica de sua atividade (informação), pois, para tanto, não era necessário expor os dados bancários e contracheques do autor, sem qualquer rasura das informações pessoais, na matéria jornalística.
Esta discussão judicial demonstra a importância do Registro de Operações de Tratamento de Dados Pessoais (art. 37, LGPD), que além de ser uma obrigação legal, tal documentação possibilita que a empresa verifique se os dados coletados são realmente os necessários para cada finalidade.
Muitas empresas coletam dados que não necessários para o fim a que se destinam. Um exemplo muito comum são as fichas para entrevistas de vagas de empregos que exigem uma série de informações do funcionário que não são absolutamente necessárias naquele momento. Para a contratação, a empresa precisa aferir se o candidato possui as qualidades e características que a vaga exige e não o número do CPF, título de eleitor, filiação, RG etc.
Fazer esta aferição entre os dados coletados e a finalidade a que se destinam, justificando-os na base legal adequada, é medida essencial para atender as regras da LGPD e mitigar os riscos da potencialidade lesivas de eventuais incidentes.
Como exposto acima, a regulamentação do tratamento de dados pessoais é recente em nosso país. Apesar disso, as decisões acima já comprovam que a temática merece atenção redobrada e cautela por parte das empresas.
A adequação à LGPD demanda a organização bem estruturada de um projeto firmado no propósito de incorporar a cultura da privacidade e da proteção de dados nas rotinas empresariais, sendo muito mais do que o cumprimento de obrigação legal, mas um diferencial cada vez mais exigido pelo mercado justamente em razão dos riscos inerentes ao tratamento de dados pessoais.
*Juliana Callado Gonçales é sócia do Silveira Advogados e especialista em Direito Tributário e em Proteção de Dados (www.silveiralaw.com.br)
Nenhum comentário:
Postar um comentário