Após a análise das sanções administrativas que podem ser impostas pela ANPD em decorrência do descumprimento das normas legais (clique aqui), passa-se ao estudo das medidas que podem ser aplicadas em processos judicias.
Em primeiro lugar, a atuação da ANPD se restringe a, observado o processo administrativo prévio (e os princípios do contraditório e da ampla defesa, entre outros), impor sanções administrativas, ou seja, uma penalidade aplicada por um órgão público, no exercício de sua função administrativa, com fundamento no descumprimento de uma norma legal.
Observado o princípio da legalidade administrativa, a ANPD só pode aplicar as sanções previstas no art. 52 da LGPD, o que significa que nenhuma outra pode ser utilizada, anda que a Autoridade Nacional entenda ser mais adequada ao caso.
Por outro lado, no processo judicial não existe essa limitação, ou seja, o julgador não se limita às sanções do art. 52 da Lei Geral de Proteção de Dados Pessoais, mas sim aos pedidos formulados pelas partes (na petição inicial, na contestação e reconvenção e em outros pedidos eventuais, como os formulados por terceiros intervenientes no processo) e observa as regras sobre responsabilidade civil previstas nos arts. 42/45 e em outras leis (Código Civil Código de Defesa do Consumidor etc.), de acordo com a natureza da relação jurídica.
Por exemplo, em um incidente com vazamento de dados pessoais, o controlador pode ser sancionado pela ANPD em um processo administrativo à publicização da infração e ao pagamento de uma multa simples (variável de 2% do faturamento, no valor máximo de cinquenta milhões de reais por infração) e condenado em um processo judicial ao pagamento de indenização por danos materiais e de compensação por danos morais ao titular dos dados pessoais, além de outras eventuais obrigações (como o cumprimento de obrigação de fazer para adotar as medidas necessárias a minimizar o vazamento e coibir a divulgação dos dados).
Recorda-se que a primeira sentença judicial no Brasil que mencionou a Lei Geral de Proteção de Dados Pessoais em um caso individual envolveu a comercialização de imóveis por uma construtora. Após assinar os contratos de compra e venda com os clientes que adquiriram apartamentos em um empreendimento no bairro de Moema, na cidade de São Paulo, a construtora compartilhou os dados pessoais informados no contrato (nome, telefone, e-mail, endereço etc.) com outras empresas (instituições financeiras, escritórios de arquitetura, lojas de móveis planejados e vendedoras de consórcio), sem qualquer conhecimento ou consentimento dos consumidores. Por isso, a construtora foi condenada ao pagamento de compensação por danos morais no valor de dez mil reais, em apenas uma ação proposta por um dos compradores, que foi importunado com diversas ligações de empresas com as quais ele próprio não tinha qualquer relação e não tinha fornecido os seus dados pessoais.
Ainda no processo judicial, o juiz tem o poder-dever de criar o meio executivo adequado às peculiaridades do caso (art. 139, IV, do CPC), motivo pelo qual deve determinar todas as medidas indutivas, coercitivas, mandamentais ou sub-rogatórias necessárias para assegurar o cumprimento de ordem judicial, inclusive nas ações que tenham por objeto prestação pecuniária. Esse poder-dever decorre do princípio da efetividade do processo (art. 4º do CPC) e é uma aplicação direta do princípio da atipicidade das medidas executivas, ao permitir a atipicidade dos meios para o cumprimento das decisões judiciais. O magistrado não deve apenas se preocupar em prestar a tutela cognitiva em tempo razoável, mas também em fazer cumprir a sua decisão em um prazo razoável.
Como forma de prevenir incidentes com dados pessoais ou de reprimi-los com celeridade, devem ser requeridas ou determinadas de ofício as medidas cabíveis, o que deve levar a novas discussões acerca de quais são os meios típicos e atípicos adequados nas demandas sobre a proteção de dados pessoais (por exemplo, é necessária a busca e apreensão de todo os computadores, smartphones e outros dispositivos de uma organização, ou devem ser identificados daqueles que possam ser úteis para eventual perícia ou para ser usados como prova, ou é suficiente a realização de uma cópia integral de seu conteúdo, sem a retirada dos equipamentos? Em outro exemplo, quais as medidas mais adequadas para efetivar de forma rápida o bloqueio de dados armazenados em nuvem, em servidor de empresa estrangeira?).
Além disso, enquanto nos processos administrativos a ANPD pode aplicar sanções apenas aos agentes de tratamento de dados pelo descumprimento das normas legais (ou seja, os titulares dos dados e outras pessoas que não se enquadrarem nas definições de controladores e operadores não se submetem às sanções administrativas), nos processos judiciais é possível examinar de forma ampla as relações jurídicas sobre os dados pessoais, inclusive com a condenação de titulares, agentes de tratamentos, outras pessoas e até mesmo a ANPD (por exemplo, na declaração de ilegalidade de uma sanção administrativa ou de um ato regulamentador da LGPD).
