Tudo está sendo e por algum tempo continuará sendo novidade no Brasil em relação à Lei Geral de Proteção de Dados - LGPD, inclusive a sua real data de entrada em vigor[1]. Porém, independente de quando o novo regramento começará produzir efeitos, se em agosto de 2020 ou maio de 2021, fato é, muitas organizações, em especial, micros e pequenas empresas, acreditam estar distantes da necessidade da adequação à LGPD.
Importante para a proposta desse artigo de opinião é lembrar que a LGPD se aplica a qualquer tratamento de dados e não somente a tratamento por meios digitais[2], bem como, muitas adequações, e fala-se aqui sobre isso, não despendem necessariamente de recursos financeiros, mas sim, de mudança de perspectiva sobre segurança de dados.
Muitos estudiosos do tema já alertam sobre a expectativa dos impactos da LGPD nos negócios alcançarem um patamar muito maior que os ocasionados pela entrada em vigor do Código de Defesa do Consumidor nos anos 90. Naquele momento houve uma ruptura na forma que os produtos e serviços passaram a ser oferecidos ao mercado de consumo, bem como a proteção jurídica disposta ao consumidor.
Especificamente para tratar sobre o tema proposto, cita-se o art. 42 do CDC ao legislar sobre a proibição do consumidor inadimplente, ser exposto ao ridículo, ou submetido a qualquer tipo de constrangimento ou ameaça, no momento da cobrança de débitos. Em comentário sobre esse artigo, Leonardo de Medeiros Garcia[3] adverte, acerca de a cobrança de débitos, embora seja um exercício regular de direito, deve ser feita sempre buscando respeitar o princípio da dignidade da pessoa humana.
Neste sentido, a partir do CDC, as organizações tiveram como premissa básica treinar os seus colaboradores, inclusive aqueles envolvidos diretamente nos serviços de cobrança. Afinal, nenhuma empresa gostaria de ser processada por essa questão, tampouco, ter a sua marca envolvida em alardes sobre constranger um consumidor inadimplente.
Mas, o que isso tem a ver com a Lei Geral de Proteção de Dados? Muito, tem muito a ver.
Ao realizar operações de venda a prazo as organizações inauguram o processo de tratamento de dados pessoais. No momento da venda são solicitadas diversas informações que se relacionam a uma pessoa natural, e desta forma, passa-se a aplicar a LGPD. Nesta lógica, o respeito à privacidade, um dos fundamentos da lei em comento, passa a vigorar nessa relação.
A privacidade aqui relatada, conforme lição de Tarcísio Teixeira e Ruth Maria Armelin[4], não se relaciona com a simples possibilidade de isolamento domiciliar, mas sim, com a capacidade de o indivíduo controlar suas informações pessoais. Lecionam ainda os citados autores sobre garantir a privacidade de dados pessoais, ser importante para o desenvolvimento da personalidade dos indivíduos. Desta forma, acrescenta-se, garantir o desenvolvimento da personalidade é intrínseco ao princípio da dignidade da pessoa humana.
Em uma situação hipotética, uma determinada organização armazena dados de cobrança em uma caderneta, em um fichário, sem se preocupar com o controle dos colaboradores que acessam essas informações. Uma funcionária, ao ter acesso às fichas de cobrança, comenta sobre a situação de inadimplência do consumidor em um ambiente com várias outras pessoas e a conversa chega ao conhecimento do consumidor.
Continuando com a situação hipotética, essa mesma organização contratou um serviço terceirizado de cobrança e enviou as listas com os respectivos dados pessoais dos consumidores inadimplentes. Um funcionário da empresa contratada, ao ter acesso aos dados e por conhecer a pessoa natural ali identificada, comentou com um amigo em comum que recebera a missão de cobrar essa pessoa. Esse amigo em comum, acreditando fazer o bem, comentou com o consumidor inadimplente a situação.
Na ótica do CDC, seria possível falar em dado a partir de dados incorretos gerando uma cobrança indevida, ou, se fosse possível a configuração de exposição ao ridículo, constrangimento ou ameaça. Contudo, passa-se a vislumbrar outra possibilidade, a partir da entrada em vigor da LGPD.
Caracteriza-se na situação, um vazamento de dados pessoais, ensejando uma perspectiva de responsabilização. Isso porque, houve um acesso não autorizado aos dados pessoais, e, observa-se, a hipótese não fala de tratamento digital e sim manual. A situação hipotética enquadra-se em uma forma inadequada ou ilícita de tratamento de dados.
Contudo, essa inadequação ou ilicitude, ocorre exclusivamente por um comentário indevido de colaboradores, quer direto ou terceirizado, que pode ser evitado com treinamento acerca das novas responsabilidades envolvendo a LGPD.
Importante destacar, mesmo com a possibilidade de se defender a partir da alegação de culpa exclusiva de terceiros[5], a empresa que realizou a operação inicial da venda, é identificada como agente de tratamento de dados, na condição de controlador e assim sendo, pode ser obrigado a reparar os danos em razão da inadequação no tratamento dos dados pessoais.
Embora já se tenha comentado no início desse artigo, sobre tudo ainda ser uma novidade, é oportuno mencionar sobre o aspecto de a situação hipotética tratar de ações indevidas de terceiros, acredita-se que a exclusão de responsabilidade por esse motivo, no escopo da LGPD, pode depender de efetiva comprovação, por parte do controlador, da adoção de medidas aptas à proteção de dados, inclusive orientando as empresas terceirizadas sobre esses mesmos procedimentos.
Diante desse breve exposição, defende-se a necessidade de uma mudança de mentalidade em relação à proteção de dados, pois, um simples boato sobre um consumidor inadimplente, pode configurar um vazamento de dados pessoais, podendo sair caro, e muitas vezes esse tipo de incidente, se resolve com o devido treinamento e conscientização dos colaboradores.
[1] Com a edição da Medida Provisória 959/2020 publicada no Diário Oficial de 29/04/2020 e já prorrogada por mais sessenta dias pela Mesa Diretora da Câmara dos Deputados, a entrada em vigor da LGPD foi adiada para o dia 03 de maio de 2021. Entretanto, caso a MP não seja convertida em Lei, a data da entrada em vigor da LGPD será o dia 18 de agosto de 2020.
[2] Art. 1º da LGPD. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
[3] GARCIA, Leonardo de Medeiros. Código de defesa do consumidor comentado artigo por artigo. 13. Ed. rev. ampl. e atual. Salvador: JusPODIVM, 2016.
[4] TEIXEIRA, T. ARMELIN. R. M. G. da F. lei geral de proteção de dados: comentada artigo por artigo. Salvador: Editora JusPodivm, 2019.
[5] Art. 43, inciso III da LGPD. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
