Em 18 de setembro 2020, a Lei Geral de Proteção de Dados – LGPD entrava em vigor com várias obrigações e sanções administrativas que vão desde uma simples advertência a multa de até R$ 50 milhões. A partir de então, foi criada a Autoridade Nacional de Proteção de Dados – ANPD, órgão público vinculado ao Governo Federal, que será responsável por todo o controle quanto à aplicação da LGPD, desde a regulamentação de pontos específicos da legislação até a efetiva fiscalização e aplicação das sanções administrativas necessárias para um caso em concreto.
Ocorre que o poder punitivo da agência ainda depende de regulamentação, ou seja, de estabelecerem regras para: em que casos serão aplicadas multas ou outras sanções, como serão calculadas essas multas; em casos de reincidência por parte da empresa, em quanto essa segunda punição sofrerá acréscimo com relação a primeira e entre outros pontos.
Com essa falta de regulamentação, os Ministérios Públicos – MPs e Procons de todo o país começaram a agir, utilizando do interesse coletivo (MPs) e das relações de consumo (Procons), juntamente com a LGPD, para processarem e punirem empresas que tiveram dados pessoais vazados, que se utilizaram de dados pessoais indevidamente ou que compartilharam esses dados pessoais de forma irregular.
Em junho deste ano, a Secretaria Nacional do Consumidor – SENACON, do Ministério da Justiça, aplicou multa de R$ 9,6 milhões ao Banco Itaú, por ter compartilhado dados pessoais de seus clientes com outra empresa com o intuito de oferecer a contratação de empréstimos consignados. Detalhe: os dados foram compartilhados sem que os clientes soubessem e sem que tivessem autorizado. Na época, o Itaú informou que recorreria da decisão que terminou na aplicação de referida multa.
Em julho, foi a vez do Banco Safra ser multado em R$ 2,4 milhões pela SENACON. A instituição financeira disponibilizou a outra empresa os contatos de clientes idosos também com o intuito de ofertas de crédito. Atuando sempre da mesma forma, ao utilizar indevidamente os dados pessoais de clientes, no mínimo outras três instituições financeiras foram multadas pela SENACON: Banco Pan, em R$ 8,8 milhões; Banco Cetelem, em R$ 4 milhões e Banco BMG, em R$ 5,1 milhões.
Durante o mesmo período também ocorreram várias decisões judiciais envolvendo a LGPD, condenando empresas por infrações à legislação. Em novembro de 2020, através de Ação Civil Pública promovida pelo Ministério Público do Distrito Federal e Territórios, a Serasa Experian foi condenada a suspender a comercialização de dados pessoais de titulares através de seus produtos “Lista Online” e “Prospecção de Clientes”, sob pena de multa de R$ 5 mil para cada evento que descumprisse a liminar concedida. A venda de informações acontecia sem que os titulares sequer ficassem sabendo ou autorizado. Em meados de maio de 2021, a empresa foi novamente condenada, mas desta vez a indenizar um consumidor em R$ 4 mil por ter publicado seu telefone pessoal no cadastro de inadimplentes sem a devida autorização ou base legal válida.
Durante o mês de setembro de 2021, uma faculdade localizada em Canoas, no Rio Grande do Sul, foi condenada a indenizar um consumidor que foi direcionado ao site da instituição por meio de link divulgado no Facebook. Posteriormente, o consumidor passou a receber diversos contatos indevidos, como ligações, recados via Whatsapp, mensagens de texto e e-mails, chegando ao ponto de receber mais de 20 em um único dia. Durante o processo, foi comprovado que o autor não havia autorizado, através de Termo de Consentimento, para que tanto a faculdade como seus parceiros de negócios passassem a abordá-lo, oferecendo produtos e serviços. Dada a conduta ilegal da faculdade, infringindo vários princípios e obrigações constantes na LGPD, a juíza condenou a empresa a indenizar o autor no valor de R$ 6 mil por danos morais.
Constata-se que em pouco mais de um ano de vigência da LGPD, o Poder Judiciário já conta com mais de 650 processos que envolvem a proteção de dados pessoais, sendo que pelos menos 450 dessas demandas foram originadas no estado de São Paulo. Portanto, o que parecia uma realidade muito distante para a maior parte dos empresários, atualmente esta cada vez mais perto, ao passo que amanhã, pode ser você ou seu vizinho que venha sofrer uma sanção administrativa ou ser envolvido em uma disputa judicial pautada na proteção de dados pessoais.
Enrico Gutierres Lourenço – Greve Pejon Sociedade de Advogados