O Descaso do Brasil com a LGPD: Caso Serasa e MP, Um Alerta Urgente

Análise Crítica

A avanço da tecnologia trouxe consigo grandes conquistas como por exemplo o desenvolvimento da IA e outros quesitos, também deu origem a sérias preocupações sobre privacidade e segurança de dados pessoais. Em resposta a essas inquietações, o Brasil promulgou, em 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD). No entanto, desde entrada em vigor em setembro de 2020, muitos empresários parecem negligenciar suas obrigações, desconsiderando as implicações sérias do descumprimento da legislação, não so a questão de multa mas varias outras questões como o grande prejuízo aos Brasileiros pela falta de zelo das empresas.

Consequências do Descumprimento da LGPD: Um Alto Preço a Pagar

O não cumprimento da Lei Geral de Proteção de Dados (LGPD) acarreta consequências significativas para as empresas, indo além das penalidades financeiras. A reputação da empresa é impactada negativamente, afetando diretamente sua competitividade e oportunidades de negócios. Além disso, decisões judiciais e administrativas fundamentadas na LGPD estão se tornando mais comuns, demonstrando a seriedade da legislação e o compromisso em garantir a proteção dos dados pessoais.

A reputação da empresa é impactada negativamente, afetando diretamente sua competitividade e oportunidades de negócios.

As recentes decisões judiciais sobre proteção de dados ilustram a complexidade e a importância desse tema. O caso da construtora, julgado entre 2020 e 2021, exemplifica a sensibilidade das questões relacionadas à LGPD. A empresa foi inicialmente condenada por suposto compartilhamento indevido de dados de um cliente, mas essa decisão foi revertida em 2021, evidenciando a necessidade de rigor na aplicação da legislação.

Outro episódio crucial envolveu o uso de dados sensíveis para oferta de serviços e produtos. O Tribunal de Justiça de São Paulo concedeu indenização por danos morais a uma gestante que recebeu mensagens sobre coleta de cordão umbilical após um aborto, reconhecendo a gravidez como dado sensível.

O judiciário também se pronunciou sobre casos de dano moral relacionados à proteção de dados. Em 2022, uma ex-empregada obteve uma indenização de R$ 10.000 após a empresa retardar a entrega de seus exames médicos laborais. Essa decisão destaca a responsabilidade das organizações em garantir o acesso rápido e eficiente aos dados dos colaboradores.

As decisões nos tribunais trabalhistas enfatizam a importância de os colaboradores estarem cientes e seguirem as normas internas das organizações em que trabalham. Violações dessas normas, especialmente relacionadas ao compartilhamento indevido de informações confidenciais, foram reconhecidas por muitos julgadores como faltas graves. Tais atitudes, dependendo do contexto, podem justificar o desligamento do colaborador por justa causa.

Um caso particularmente notável envolveu o Tribunal Regional do Trabalho (TRT) de Campinas. Uma correspondente bancária enviou dados pessoais de clientes para seu e-mail particular, alegando que queria verificar se estava recebendo a comissão pelas vendas corretamente. O empregador interpretou a ação como uma grave violação das normas de confidencialidade, desligando a colaboradora por indisciplina e perda de confidencialidade. O TRT de Campinas confirmou o desligamento por justa causa, sustentando a visão do empregador de que a conduta da correspondente bancária foi uma grave violação.

O STJ definiu que o simples vazamento não presume dano moral; é necessário comprovar o dano

Essas decisões refletem o crescente reconhecimento da importância da proteção de dados e da responsabilidade dos colaboradores em respeitar as normas e diretrizes relacionadas à proteção e confidencialidade dos dados.

Além disso, sobre as decisões judiciais, vale destacar a pesquisa do Painel LGPD nos Tribunais (2021-2022):

Em 2021, foram identificadas 274 decisões sobre proteção de dados.

Em 2022, esse número saltou para 662 decisões.

Incidentes de segurança e problemas com bases legais estão entre os principais motivadores dessas ações judiciais.

O entendimento do Superior Tribunal de Justiça (STJ) em 2023 também foi importante, envolvendo um idoso que buscou indenização após o vazamento de seus dados pessoais por uma concessionária de energia. O STJ definiu que o simples vazamento não presume dano moral; é necessário comprovar o dano.

Em julho de 2023, um vazamento em plataformas de redes sociais resultou em uma sentença que estipulou indenização coletiva, ainda sujeita a recurso. Os usuários podem requerer indenizações individuais, desde que demonstrem nexo causal, o impacto do vazamento em sua privacidade e prova do dano.

Descaso do Próprio Governo em Relação à LGPD

Apesar dos avanços e das decisões proativas, a Autoridade Nacional de Proteção de Dados (ANPD) ainda enfrenta desafios e lacunas a serem superados. A regulamentação específica de temas como o tratamento de dados pessoais de crianças e adolescentes é uma necessidade urgente, conforme apontado pela Agenda Regulatória da ANPD para o biênio 2023-2024. Outras questões, como a comunicação de incidentes, transferência internacional de dados e o papel do Encarregado de Proteção de Dados (DPO), também aguardam diretrizes mais claras.

A proteção de dados, como é fundamental ressaltar, deve ser uma motivação compartilhada entre governos, administração pública, empresas, sociedade e entidades da sociedade civil. No entanto, lamentavelmente, o governo demonstra não levar a sério as obrigações estabelecidas pela Lei Geral de Proteção de Dados (LGPD).

Um exemplo revelador desse descaso pode ser encontrado na Solução de Consulta Cosit/RFB 307/2023. Nessa consulta, que versa sobre a Contribuição para o PIS/Pasep e a Cofins, a administração pública nega a relação direta entre os investimentos em adequação à LGPD e a prestação de serviços, tratando tais despesas como não relacionadas ao processo de prestação de serviços da empresa de tecnologia financeira consultante.

Conforme destacado na solução de consulta, a LGPD não é vista como uma norma direcionada especificamente ao sistema financeiro. A administração pública argumenta que a LGPD não impõe, expressamente, a realização de gastos, considerando tais despesas, e não custos. Essa interpretação, contudo, deixa de reconhecer a natureza essencial dos investimentos em adequação à LGPD como parte integrante da operação de empresas que lidam com dados pessoais.

Essa postura reflete uma visão limitada sobre a abrangência e a importância da LGPD. Os investimentos em conformidade com a LGPD não devem ser tratados meramente como despesas, mas sim como parte integrante dos custos operacionais, uma vez que visam assegurar a conformidade legal, a proteção dos dados pessoais e, por conseguinte, a preservação da privacidade dos cidadãos.

Diante desse contexto, torna-se evidente a necessidade de um olhar mais atento por parte do governo em relação à LGPD. A legislação deve ser encarada como uma ferramenta essencial para garantir a segurança e privacidade dos dados, não apenas como um conjunto de normas a serem cumpridas de maneira superficial. O descaso demonstrado na solução de consulta ressalta a urgência de conscientizar e educar as entidades governamentais sobre a importância da proteção de dados na sociedade moderna. Afinal, é responsabilidade de todos zelar pela segurança e integridade das informações pessoais, promovendo uma cultura efetiva de proteção de dados no Brasil.

O Caminho a Seguir: Cumprimento, Inovação e Respeito à Privacidade

O descaso de alguns empresários com a LGPD e a proteção de dados pessoais é um sinal alarmante. A legislação não é apenas uma formalidade, mas um mecanismo crucial para preservar a privacidade dos cidadãos em um mundo digitalizado. Os empresários devem assumir a responsabilidade de garantir a conformidade com a LGPD, investindo em programas de governança em privacidade, nomeando DPOs e adotando medidas proativas para proteger os dados pessoais

Ao atingir o marco de seis anos desde sua promulgação, a LGPD representa um passo significativo para o Brasil no cenário global de proteção de dados. A atuação proativa da ANPD, as decisões judiciais e a agenda regulatória indicam que a aplicação da LGPD é uma realidade crescente. Empresários que enxergam a conformidade como um investimento em reputação e ética contribuem não apenas para a segurança jurídica, mas também para uma cultura empresarial inovadora e responsável.

A Ação do MPF e SERASA: Gritando Urgência na Proteção dos Cidadãos

A recente ação civil pública, proposta pelo Ministério Público Federal (MPF) em conjunto com o Instituto Sigilo, contra a Serasa, destaca a extrema negligência no tratamento de dados pessoais. Essa iniciativa, que busca indenizações e penalidades significativas, ressalta a urgência da responsabilização e reforça a mportância de agências reguladoras, como a ANPD, atuarem de maneira eficaz.

As investigações revelaram a divulgação indevida de informações pessoais na internet, envolvendo históricos de compras, endereços de e-mail, dados da Previdência Social, renda e até mesmo informações de cartões de crédito e débito.

Os cidadãos brasileiros têm o direito garantido à proteção e inviolabilidade de dados, à preservação da vida privada, intimidade, imagem e honra. Para assegurar a observância desse princípio, o MPF, atuando como coautor, ingressou em uma ação civil pública movida pelo Instituto Sigilo. O objetivo é responsabilizar a Serasa pelo vazamento de dados de 223 milhões de brasileiros, buscando indenizações individuais de R$ 30 mil e uma multa expressiva, equivalente a até 10% do faturamento anual da Serasa, não inferior a R$ 200 milhões.

Além disso, o MPF requer que a ANPD também seja responsabilizada pela exposição indevida, considerando a ausência de controle prévio e posterior para evitar e remediar vazamentos.

O caso em questão originou-se da ação movida pelo Instituto Sigilo, que acusa a Serasa de violar o sigilo de dados de mais de 223 milhões de CPFs, incluindo cidadãos e pessoas falecidas. As investigações revelaram a divulgação indevida de informações pessoais na internet, envolvendo históricos de compras, endereços de e-mail, dados da Previdência Social, renda e até mesmo informações de cartões de crédito e débito.

A Serasa já havia sido condenada anteriormente em outra ação civil pública movida pelo MP/DF, relacionada à comercialização massiva de dados pessoais por meio dos serviços “Lista Online” e “Prospecção de Clientes”. Mesmo com a ordem liminar e condenação judicial, a empresa não cumpriu as determinações, conforme alega o MPF.

Diante da gravidade do caso, o MPF busca medidas urgentes da Justiça Federal de São Paulo. Isso inclui a comunicação imediata aos cidadãos afetados pelo vazamento, com multa diária de R$ 20 mil em caso de descumprimento. O MPF exige ainda que a Serasa divulgue, em até 48 horas, as falhas de segurança, compartilhamento de bases com terceiros e as medidas adotadas para resolver os riscos, sob pena de multa diária.

Outras solicitações incluem a suspensão definitiva do compartilhamento e venda de dados, o fim das páginas “Prospecção de Clientes” e “Lista PEP”, e a desativação permanente do sistema Mosaic. Além disso, o MPF requer que a Serasa adote medidas técnicas para minimizar ou suprimir os danos causados aos titulares dos dados vazados, estabelecendo prazos claros para essas ações.

Quanto à ANPD, o MPF destaca a omissão da agência nos deveres legais, inclusive no processamento administrativo das condutas da Serasa. Exige, portanto, que a ANPD instaure um processo administrativo contra a Serasa, apurando o vazamento de dados e irregularidades na comercialização. O MPF solicita ainda que a ANPD garanta o cumprimento do dever legal de proteção de dados pela Serasa, com medidas eficazes para evitar novas violações.

Esse desdobramento evidencia a urgência de medidas rigorosas para assegurar a proteção dos dados dos cidadãos brasileiros e fortalecer a atuação das entidades reguladoras nesse contexto. A gravidade do caso ressalta a importância de uma abordagem séria e responsável em relação à gestão de dados pessoais no Brasil.

Conclusão

Em suma, o descaso dos empresários com a LGPD e a proteção de dados pessoais é um alerta urgente. O Brasil, ao avançar no cenário global de privacidade, necessita não apenas de leis robustas, mas de empresários comprometidos em garantir a segurança e privacidade dos dados pessoais. A conformidade não é apenas uma obrigação legal, mas uma expressão do respeito aos direitos fundamentais dos cidadãos em um mundo cada vez mais digital. O tempo de agir é agora.

Endereço

Telefone e WhatsApp

E-mail

A ascensão do DPO na Classificação Brasileira de Profissões (CBO): Desafios e Reconhecimentos na Era LGPD.

A Vulnerabilidade do LinkedIn a Ataques Cibernéticos: Desafios e Estratégias de Proteção

Menu

Outros Links

Newsletter