Arquivo da tag: LGPD

A evolução dos precedentes relativos à LGPD no STJ.

Publicado em por

Flávia Lubieska Kischelewski

Apesar do curto histórico de vigência da Lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou LGPD), que entrou em vigor em agosto de 2020, o Superior Tribunal de Justiça (STJ) vem se pronunciando sobre sua aplicação. Curiosamente dois casos de maior relevância envolveram a mesma concessionária de energia: Enel.

Em março de 2023, a Segunda Turma da Corte decidiu que o titular de dados pessoais vazados deveria comprovar o dano efetivo ao buscar indenização. Para o Ministro Francisco Falcão, “o vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações. Diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural”.

Passados mais de 1,5 ano, em dezembro de 2024, um novo entendimento surge em termos de responsabilidade empresarial. A Terceira Turma do STJ, julgou que a Enel tem responsabilidade pelo vazamento de dados pessoais de uma consumidora por um ataque hacker. Nos termos do acórdão, “a empresa recorrente se enquadra na categoria dos agentes de tratamento, caberia a ela tomar todas as medidas de segurança esperadas pelo titular para que suas informações fossem protegidas, entre as quais a utilização das técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. Em acréscimo, os sistemas utilizados para o tratamento de dados pessoais da recorrente deveriam estar estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e às demais normas regulamentares (art. 49)”.

Na origem, o Tribunal de Justiça de São Paulo havia afastado a indenização por danos morais e reconhecido a ocorrência de vazamento dos dados pessoais não sensíveis da autora. Esse aspecto não foi objeto de reanálise pelo STJ, que destacou que o tratamento de dados pessoais se configurou como irregular quando deixou de fornecer a segurança que o titular dele poderia esperar (“expectativa de legítima proteção”), consideradas as circunstâncias relevantes, entre as quais as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado (art. 44, III, da LGPD). Assim, “o agente de tratamento responderá pelas violações da segurança dos dados”.

Esses não são os únicos casos relacionados à LGPD apreciados pelo STJ nos últimos anos, mas merecem destaque no que concerne a prestação de serviços ao consumidor. Mesmo que ainda não se tenha um firme posicionamento, no STJ, favorável à concessão de indenização por danos extrapatrimonais, esta recente decisão abre caminho para tanto.

O reconhecimento da responsabilidade objetiva e da ausência da prática das medidas técnicas esperadas pelo cliente da empresa em relação à proteção de seus dados pessoais deverá, em algum momento, acarretar o dever de reparação empresarial, assevera a advogada Flávia Lubieska N. Kischelewski. Devem, nesse sentido, agir preventivamente os agentes de tratamento de dados, principalmente os controladores.

ANPD realiza consulta pública para regulamentar a aplicação da LGPD pelas ME, EPPs e Startups

Publicado em por
Responder

Flávia Lubieska Kischelewski

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão federal da administração pública competente para zelar, implementar e fiscalizar o cumprimento da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou LGPD). Entre suas atribuições está a edição de normas, orientações e procedimentos simplificados e diferenciados às microempresas (MEs), empresas de pequeno porte (EPPs) e startups, na forma do art. 55-J, XVIII, da LGPD. 

A edição de uma Resolução sobre esse tema é uma prioridade da ANDP, de acordo com a agenda regulatória para o biênio 2021-2022, publicada no final de janeiro de 2021 (disponível nesse link) . Após a realização a Tomada de Subsídios 1/2021, que recebeu contribuições até 01/03/2021, a ANPD parte para uma segunda fase previamente à edição da Resolução, qual seja, a abertura da consulta pública, com a minuta do ato normativo que regulamentará a aplicação da LGPD (https://www.in.gov.br/en/web/dou/-/despacho-de-27-de-agosto-de-2021-341340415).

Essa Resolução será extremamente importante para as empresas de menor porte, as quais, ainda que pequenas em termos de equipe ou faturamento, podem movimentar grande volume de dados pessoais. É preciso, por conseguinte, cautela ao avaliar a possibilidade e riscos da flexibilização da aplicação da LGPD, assim como, da diferenciação de prazos e procedimentos, como se propõe na minuta publicada. 

As contribuições para a consulta pública poderão ser enviadas eletronicamente até o dia 29/09/2021, pela plataforma Participa Mais Brasil, disponível neste link. Haverá, ainda, audiências públicas nos dias 14 e 15 de setembro de 2021, transmitidas pelo canal da ANPD, no Youtube.

Despesas com LGPD podem gerar créditos de PIS/COFINS

Publicado em por
Responder

Matheus Monteiro Morosini

A Justiça Federal reconheceu o direito de uma empresa comercial de apurar créditos de PIS e Cofins sobre gastos com implementação e manutenção de programas de proteção de dados, para a adequação à Lei Geral de Proteção de Dados – LGPD, em vigor desde 1º de agosto.

A sentença em comento, a partir dos critérios de essencialidade e relevância, concluiu que as despesas com LGPD são insumos para fins de créditos de PIS e Cofins, merecendo destaque os seguintes trechos da decisão:

“Desse modo, é o ‘teste de subtração’ que revelará a imprescindibilidade e a importância do bem no processo produtivo, somente havendo falar em caracterização como insumo quando a subtração do bem ou serviço em questão resultar na impossibilidade de realização da atividade empresarial ou, no mínimo, lhe acarretar substancial perda de qualidade.

No caso dos autos, pretende a autora considerar como insumos os gastos necessários ao cumprimento das obrigações relacionadas com a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.909, de 14 de agosto de 2018).

Tratando-se de investimentos obrigatórios, inclusive sob pena de aplicação de sanções ao infrator das normas da referida Lei 13.909/218, estimo que os custos correspondentes devem ser enquadrados como insumos, nos termos do procedente acima citado. Com efeito, o tratamento dos dados pessoais não fica a critério do comerciante, devendo então os custos respectivos serem reputados como necessários, imprescindíveis ao alcance dos objetivos comerciais”.

Ainda não há um entendimento judicial consolidado sobre o tema, mas a decisão ora noticiada representa relevante interpretação da legislação, no sentido de que os bens e serviços adquiridos pelas empresas para a cumprimento de obrigações legais, como as despesas com adequação e manutenção impostos pela LGPD, também se caracterizam como insumos.

Nossa equipe de direito tributário está à disposição para examinar a situação de cada cliente e avaliar as medidas cabíveis.

A LGPD e o SERASA

Publicado em por
Responder

Izabel Coelho Matias

A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei 13.709/2018) trouxe diversas responsabilidades àqueles que realizam o tratamento de dados pessoais. Caso não seja cumprida pelos agentes de tratamento, pode ensejar o dever de reparação à pessoa natural, isto é, ao titular dos dados. Apesar das sanções administrativas somente vigorarem a partir de 1º de agosto de 2021, não há qualquer impedimento para o exercício de direitos na esfera judicial.

Nesse sentido, é importante destacar a recente condenação do SERASA ao pagamento de R$ 4.000,00 (quatro mil reais) a título de indenização por danos morais, pois, segundo constou no processo, teria mantido indevidamente número de telefone de consumidor em seu cadastro, possibilitando o acesso a terceiros. 

Ao SERASA, em linhas gerais, é permitido o tratamento de dados pessoais para proteção ao crédito, com base no art. 7°, X, da LGPD. Ainda assim, de acordo com o caso julgado, a empresa deve respeitar a finalidade e o contexto em que o tratamento é realizado, tendo havido o entendimento de que a divulgação de número pessoal do consumidor não é medida necessária, nem adequada, para promover a proteção ou análise de crédito.

O magistrado destacou, ainda, que o acesso indiscriminado do número telefônico é uma violação de direitos personalíssimos, que pode causar aborrecimentos desproporcionais ao devedor.

Dessa forma, ressaltamos a importância em se garantir o tratamento adequado aos dados pessoais, respeitando sempre, além dos demais princípios, a adequação, a necessidade e a finalidade da coleta, ou seja, este deve ser feito para propósitos legítimos, específicos, explícitos e informados ao titular, em respeito aos princípios contidos no art. 6° da referida Lei.

LGPD e a exposição indevida de dados pessoais na internet

Publicado em por
Responder

Eduardo Mendes Zwierzikowski

É comum que ao procurarmos sobre nós mesmos em sites de busca, como o Google, sejam listadas diversas informações a nosso respeito, como nome, endereço, participação em sociedades empresariais ou em processos judiciais, por exemplo. Contudo, a exposição indevida de dados pessoais na internet pode representar um risco a nossa segurança e privacidade, facilitando o uso dessas informações para a prática de fraudes ou outros atos ilícitos por criminosos.

Com a edição da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei Federal nº 13.708/2018), foram positivadas regras para a realização do tratamento de dados pessoais por pessoas físicas ou jurídicas de direito público ou privado, em meios digitais ou físicos.

Nesse contexto, toda e qualquer operação de tratamento dados pessoais, incluindo a coleta, o compilamento dessas informações e a sua divulgação na internet está sujeita à LGPD, devendo respeitar propósitos legítimos, específicos, explícitos e informados ao titular de dados e obedecer a outros princípios, como o da segurança, prevenção e necessidade.

Aquele que se sentir ofendido com a divulgação excessiva e despropositada de dados pessoais tem o direito de requerer a exclusão destes, podendo fazê-lo diretamente às empresas proprietárias dos sites (quando disponível), ou então por meio do envio de notificações extrajudiciais, formalização de denúncia à Autoridade Nacional de Proteção de Dados Pessoais (ANPD) ou ingresso de ação judicial destinada a garantir o seu direito fundamental à proteção de dados pessoais.

O Núcleo de Direito Digital de Prolik Advogados está à disposição para esclarecer qualquer dúvida a respeito do tema.

Currículos recebidos trarão impactos na LGPD

Publicado em por
Responder

Por Ana Paula Araújo Leal Cia

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) já em vigor trouxe impactos no departamento de recursos humanos.

A referida legislação busca proteger as informações que identificam ou tornam identificáveis as pessoas físicas e é fato que o empregador sempre foi obrigado a utilizar os dados fornecidos pelo seu colaborador apenas e tão somente com finalidades necessárias para os fins empregatícios, sob pena de responder por eventual indenização por danos materiais e morais.

No entanto, a utilização de dados pessoais deverá ser resguardada antes mesmo da celebração do contrato de trabalho, quando do recebimento de currículos dos candidatos.

Um fato inusitado ocorreu com uma garota no município de Jaboticabal, SP. Ao entregar o currículo em uma loja de presentes o mesmo foi utilizado, como etiqueta, para marcação de preço numa mercadoria do estabelecimento. A mãe da jovem reconheceu a foto da filha, o que deixou a menina indignada com a atuação da loja (https://g1.globo.com/sp/ribeirao-preto-franca/noticia/2020/10/05/jovem-tem-curriculo-usado-como-etiqueta-de-bolsa-em-loja-de-jaboticabal-sp-e-ridiculo.ghtml).

Ainda que tenha havido um equívoco na utilização do currículo da garota, este fato serve para demonstrar a necessidade de as empresas se concentrarem na utilização correta de documentos com dados pessoais e/ou sensíveis recebidos antes do início da contratação. Ou seja, prover segurança para resguardar a proteção das informações do candidato ao emprego.

Destaca-se, aqui, a necessidade de criação de programas internos de proteção de dados, sobretudo com relação ao armazenamento e descarte das informações recebidas pelos candidatos a emprego, minimizando os riscos relacionados com a segurança da informação.

No caso concreto a utilização do currículo da garota trata-se de um ilícito civil passível de indenização por danos morais, além da sanção administrativa prevista no artigo 52 da LGPD. Então, a orientação é que as empresas comecem a cuidar das suas bases de dados, sobretudo no que se referir à continuidade da utilização de dados e sobre quais dados pessoais serão mantidos pela empresa.

A LGPD e a corrida ao poder judiciário

Publicado em por
Responder

Por Flávia Lubieska Kischelewski

Depois de sucessivos adiamentos e dúvidas sobre o início da vigência, a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) finalmente entrou em vigência, parcialmente, em 18 de setembro de 2020 – uma sexta-feira. Dizemos, parcialmente, pois é preciso lembrar que os dispositivos relativos às sanções administrativas somente vigorarão a partir de 1º de agosto de 2021.

Essas circunstâncias tornam o Poder Judiciário a instituição, por excelência, para dirimir conflitos que tenham por núcleo conflitos relacionados ao tratamento, em tese, irregular de dados pessoais.

Assim sendo, não demorou para que, rapidamente, fosse ajuizada a primeira ação tendo por fundamento a LGPD. Na segunda-feira, 21 de setembro, o Ministério Público do Distrito Federal e dos Territórios (MPDFT) que, antes mesmo do início da vigência da LGPD, vinha atuando intensamente como uma espécie de guardião da proteção dos dados pessoais e da privacidade dos brasileiros, por meio da Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec), ajuizou uma Ação Civil Pública contra a Infortexto Ltda., que se apresentava como empresa de produtos e serviços digitais.

Entre os produtos que violariam a LGPD, segundo constou da ação, no site da empresa havia oferta de contatos para marketing com dados de pessoas naturais da cidade de São Paulo, consistentes em nomes; e-mails, endereços postais ou contatos para SMS, bairro, Cidade, Estado e CEPs. Para o MPDFT, a ré deveria ser condenada a eliminar todos os dados pessoais tratados de forma irregular, conforme diretrizes da LGPD.

Tão rápido quanto o ajuizamento da ação civil público, foi a sentença. Proferida em 22 de setembro, o pedido do MPDFT foi, de plano, indeferido. Não houve julgamento de mérito, em razão “ausência de interesse processual do autor”, isso porque o D. Juiz consultou o site da empresa e verificou que este estava em manutenção (mais recentemente, o site se tornou totalmente inacessível). Nesse contexto, decidiu-se que não restou evidenciada nenhuma lesão ou ameaça de lesão apta a justificar o processamento da ação.

Ainda cabe recurso por parte do MPDFT. Por enquanto, somente é possível afirmar que a primeira ação relacionada à LGPD não gerou precedente que pudesse orientar, de alguma forma, empresários, instituições e advogados.

Dias depois, esse cenário se modificou. Como amplamente noticiado, a construtora Cyrela Brazil Realty S/A Empreendimentos e Participações foi a primeira empresa condenada a indenizar em R$ 10 mil um cliente que teve informações pessoais compartilhadas com empresas estranhas à relação contratual. É importante destacar que cliente comprou o apartamento em 2018 e, a partir disso, teria sido assediado por instituições financeiras e firmas de decoração, que citavam sua recente aquisição com a parte ré. 

É relevante ressaltar que, como visto, a ação do cliente é anterior ao início da vigência da LGPD, fato esse que deve ser observado pelos empresários. É certo, contudo, que além da LGPD, a sentença estava apoiada no Código de Defesa do Consumidor e dispositivos da Constituição Federal.

Essas ações revelam o potencial de corrida ao Poder Judiciário por parte, em sua maioria, de consumidores que se sintam violados em relação a seus dados pessoais. Essa circunstância é potencializada pelo fato de que a Autoridade Nacional de Proteção de Dados ainda não foi implementada e, por conseguinte, não há, ainda, as necessárias regulamentações da LGPD. 

Enquanto isso, só resta, especialmente, aos empresários acelerarem seus processos para conformidade à legislação, como forma de mitigação preventiva de potenciais passivos. A equipe do Prolik Advogados permanece à disposição para auxiliar seus clientes e interessados para a adequação jurídica à LGPD.

LGPD: em quais hipóteses o tratamento de dados pode ser realizado?

Publicado em por
Responder

Izabel Coelho Matias e Letícia Marinhuk

A Lei nº 13.709/2018, popularmente conhecida como Lei Geral de Proteção de Dados (“LGPD”), entrou recentemente em vigor e impôs, no ordenamento jurídico brasileiro, dentre outros aspectos, um novo olhar sobre o direito à liberdade e à privacidade de cada indivíduo.

A partir dela, foram estabelecidos limites e critérios que se aplicam para qualquer atividade que envolva o tratamento de dados  relacionado a uma pessoa natural identificada ou identificável, desde que a operação seja realizada no Brasil; verse sobre dados aqui coletados, ou tenha por objetivo a oferta, o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, além dos casos excetuados em lei.

Para tanto, a LGPD estabelece, em seu art. 7º, as chamadas “bases legais”, rol taxativo das situações em que o tratamento de dados pessoais está autorizado, sendo elas:

  • Mediante o fornecimento de consentimento pelo titular dos dados pessoais;
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
  • Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • Quando necessário para a execução de contrato ou de procedimentos preliminares a ele relacionados, do qual seja parte o titular e a pedido deste;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307/1996 (“Lei de Arbitragem”);
  • Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Nesse sentido, há que se ressaltar que, embora cada base legal possua o mesmo valor, sem que uma prevaleça sobre a outra, é necessário definir qual ou quais hipóteses autorizam o tratamento de dados, levando-se em consideração o contexto da atividade e os fundamentos que disciplinam a proteção dos dados, pois nem sempre será necessária a obtenção do consentimento do titular dos dados, de sorte que o “legítimo interesse” não se constitui como uma autorização geral e irrestrita para o tratamento.

Do contrário, não se enquadrando a finalidade do tratamento em nenhuma das autorizações legais acima indicadas, ou, sendo, tal tratamento, excessivo ou desnecessário à amplitude de sua finalidade, sujeitar-se-á, o agente, às sanções administrativas, que poderão variar desde uma simples notificação para a adoção de medidas corretivas até multa de 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, limitada ao valor máximo de R$ 50 milhões de reais por infração, sem exclusão da possibilidade de responsabilização judicial.

LGPD em vigor, e agora?

Publicado em por
Responder

Por Dr. Eduardo Mendes Zwierzikowski

Confira o passo a passo de adequação

Após amplas discussões sobre quando iniciaria a vigência da Lei Geral de Proteção de Dados Pessoais (LGPD), não há mais dúvidas, ela está em vigor desde o dia 18 de setembro (embora as penalidades administrativas sejam aplicáveis somente a partir agosto de 2021). A partir de agora, todos aqueles que realizam operações de tratamento de dados pessoais, incluindo pessoas naturais ou pessoas jurídicas de direito público ou privado, devem a ela se adequar, mas por onde começar?

O primeiro passo de qualquer programa de conformidade com a LGPD envolve a realização de uma atividade de mapeamento ou inventário de dados. Por meio dessa atividade, busca-se entender quais são os dados pessoais, a sua origem, finalidade na utilização, se há política de descarte, compartilhamento; enfim, é uma etapa destinada a compreender o ciclo de vida dos dados.

Nesse diagnóstico inicial, são analisados contratos, propostas, políticas internas, como as de privacidade e cookies (quando existentes), além de outros documentos relativos às operações da empresa para avaliar as ações relacionadas ao tratamento de dados pessoais.

Diante da extensão do trabalho desenvolvido, ao final do mapeamento é possível elaborar um relatório de diagnóstico segundo o nível de maturidade da empresa, com a indicação de quais são as ações necessárias para garantir a plena aderência da organização à LGPD e os riscos relacionados ao tratamento de dados pessoais.

Já o segundo passo envolve a execução das ações propostas nesse relatório preliminar, com a revisão de minutas de contratos, elaboração de aditivos, estabelecimento de cláusulas padrão no caso de compartilhamento de dados pessoais, redação de novas políticas, criação de outros procedimentos internos destinados a estabelecer boas práticas no tratamento de dados pessoais e o treinamento de funcionários.

Se necessário, devem ser confeccionados relatórios de impacto à proteção de dados pessoais (DPIA), com a descrição dos processos de tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Nessa segunda etapa, embora não seja uma regra, normalmente é constituído formalmente o comitê de privacidade e indicado o Encarregado pelo Tratamento de Dados Pessoais, pessoa física ou jurídica que possui a incumbência de aceitar reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar providências; receber e implantar as comunicações da autoridade nacional e orientar funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

Como visto, são inúmeras as tarefas necessárias para que a conformidade com a LGPD seja alcançada inicialmente, mas é imprescindível destacar que o programa de adequação deve ser constantemente revisto, especialmente após a constituição da Autoridade Nacional de Proteção de Dados Pessoais, órgão que disciplinará matérias pendentes de regulamentação na lei, o que demandará um esforço contínuo de adequação.

LGPD entra em vigor

Publicado em por
Responder

Por Flávia Lubieska N. Kischelewski

Foi publicada nesta data a Lei nº 14.058/2020, fruto da conversão em lei da Medida Provisória nº 959/2020, sancionada pelo Presidente da República.

Como havíamos destacado em Boletim anterior, o Projeto de Lei de Conversão, no apagar das luzes, deixou de incluir a postergação do início da vigência da Lei 13.709/2018, a chamada Lei Geral de Proteção de Dados Pessoais (LGPD).

Assim sendo, uma vez que o texto legal publicado nesta sexta-feira silencia sobre a LGPD, conclui-se que a legislação sobre dados pessoais passa a ser aplicável a entes públicos e privados a partir desta data (18/09/2020), embora suas penalidades incidam somente de 1º/08/2021 em diante.

É imprescindível, portanto, que os responsáveis por órgãos da administração pública, assim como os empresários, reforcem os esforços necessários para garantir a conformidade com a nova dinâmica de tratamento de dados pessoais. Mesmo que as advertências e multas administrativas ainda não possam ocorrer, o Poder Judiciário poderá ser acionado para solucionar litígios e, inclusive, decidir pelo pagamento de indenizações em virtude do descumprimento de direitos de titulares de dados pessoais.

A equipe do Prolik Advogados permanece à disposição para auxílio e esclarecimento de dúvidas sobre a nova legislação, bem como para projetos de adequação jurídica à LGPD.