Neste dia 18 de maio de 2021, a Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018) completa oito meses da vigência (da maior parte de seus artigos).
Os últimos 30 dias foram caracterizados por alguns incidentes, como um ataque aos sistemas eletrônicos do Tribunal de Justiça do Estado do Rio Grande do Sul (por meio de um ramsomware, com a criptografia de dados) e um suposto ataque hacker ao portal do STF na internet (ainda sob investigação).
Nessas situações, a quem os tribunais devem comunicar os incidentes? Ao Conselho Nacional de Justiça, à Autoridade Nacional de Proteção de Dados, ou a ambos? De que forma os titulares devem ser comunicados, considerando a existência de quase 80 milhões de processos em tramitação em todo o Judiciário brasileiro e que, em cada tribunal, há uma quantidade de dados pessoais relativos a uma grande quantidade de titulares (em regra, números que abrangem milhões de titulares de dados pessoais nos processos judiciais).
O art. 48 da LGPD impõe aos controladores o dever de comunicar à ANPD e aos titulares a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.
Portanto, há um dever mínimo de comunicação dos incidentes de segurança aos titulares e à ANPD, que se caracteriza quando o fato puder causar risco de dano relevante (perigo de dano, em uma conduta preventiva) ou efetivamente causar dano relevante (com a necessidade das medidas repressivas de contorno) aos dados pessoais e aos direitos dos titulares.
Se o dano que faz surgir o dever de comunicação é apenas o dano relevante, deve-se interpretar que o risco que igualmente impõe o dever de comunicação é apenas o risco de dano relevante.
Contudo, a quem incumbe definir que riscos e quais danos são relevantes, para levar ao dever de comunicação do incidente pelo controlador? À ANPD ou ao próprio controlador?
Apesar da necessidade de definição dessas questões, a proteção preventiva dos dados pessoais deve levar à conclusão de que, até que haja a delimitação desses conceitos, os incidentes precisam ser comunicados à ANPD e aos titulares.
Além disso, prossegue a controvérsia sobre a mudança da política de privacidade do aplicativo de mensagens whatsapp: inicialmente prevista para o dia 8 de fevereiro de 2021, foi alterada para o dia 15 de maio deste ano, já levou à migração (total ou parcial) para outros aplicativos de usuários insatisfeitos com as mudanças.
O Ministério Público Federal, o Conselho Administrativo de Defesa Econômica (CADE), a ANPD e a Secretaria Nacional do Consumidor (SENACON) expediram uma recomendação no dia 7 de maio de 2021, para a adoção das orientações específicas da ANPD (sobre a transparência das informações e a facilitação dos canais de acesso para o exercício dos direitos dos titulares dos dados), o adiamento do início da vigência da nova política de privacidade e da ausência de restrição do acesso às funcionalidades do aplicativo para usuários que não aderirem a ela.
Em consequência, houve uma nova prorrogação por mais 90 dias a partir de 15/05/2021, com uma redução progressiva das funcionalidades para quem não aceitar os novos termos de serviço e a da política de privacidade do aplicativo.
Assim, a controvérsia ainda não terminou e poderá resultar em demandas judiciais, com a análise principal da adequação - ou não - do novo documento à Lei Geral de Proteção de Dados Pessoais.
Dessa forma, prossegue a consolidação da cultura de proteção de dados no país, com a conscientização de titulares e agentes de tratamento sobre a aplicação e o alcance das normas da LGPD, o que deve se ampliar nos próximos anos.