fbpx

Exin Iso 27001Ter dividido a Lei Geral de Proteção de Dados em duas etapas, cada uma com prazos diferentes de entrada em vigor, foi uma boa alternativa?

Exin Iso 27001

O ponto focal não é criticar as ações dos magistrados em futuras demandas, mas sim trazer à tona o fato de que: se a lei foi fragmentada para que o Titular de Dados tivesse, nesse primeiro momento, seu direito reconhecido, e os agentes de tratamento não sofressem sanções, como deverá o juiz decidir nos litígios em que as garantias do Titular dos Dados foram violadas?

A entrada em vigor da Lei Geral de Proteção de Dados (LGPD), Lei 13.709/18, tem trazido diversas divagações sobre sua estrutura, implementação, cumprimento, prazos e se de fato há preparação nos diversos setores que ela atinge, e que são discutidas há tempos, e agora assume o “hype” de debates e entendimentos, esses sendo materiais para futuras jurisprudências nas cortes, textos nas doutrinas, ou argumento em petições e audiências.

Um desses pontos de alta relevância se trata sobre a fragmentação do texto da lei. Parte da estrutura na qual tange o direito essencial do Titular de Dados entrou em vigor em 18 de setembro de 2020, e outra parte, de sanções, ficará para o primeiro dia do mês de agosto de 2021.

É sabido, no universo jurídico, que dada razão à um cidadão sobre seus direitos, esse pode exercê-lo a qualquer momento, e quando assim não ocorre, e esse tenha sido lesado, poderá, via responsabilização civil, ajuizar ação demandando indenização a seu favor.

Deve-se ter atenção que esse texto não traz no seu âmago sanção em formas específicas, pois dentro do ordenamento jurídico brasileiro, sabe-se que elas são dos tipos mais diversos: penais, administrativas, tributárias, civis.

O propósito, ao trazer o termo sanção, é analisa-la através do que se entende como sanção em uma interpretação latu sensu no ordenamento jurídico, tendo em vista que as sanções previstas para o ano de 2021 são de cunho administrativo e serão realizadas pela Autoridade Nacional de Proteção de Dados, portanto estão enquadradas em uma visão strictu sensu, nessa perspectiva.

Entender sanção do ponto de vista jurídico é voltar-se ao ordenamento jurídico, e entender que a norma foi criada como um dever ser, sendo assim, retomamos às lições de Hans Kelsen(1) quando em sua Teoria Pura do Direito, mediante a máxima que se a norma não é cumprida, deve haver sanção. Essa tese de Kelsen percorre sua obra e de outros juristas, inclusive, do saudoso professor Miguel Reale (2), no qual em suas Lições Preliminares perpassa por traduções do que seria sanção na moral, na ética e no direito.

Portanto, compreender o que é uma sanção vem de lições básicas, não só no aspecto jurídico, mas no social, pois é conhecido que quando não se cumpre regras, há consequências – “Não cumpriu, vai pagar”.

É um raciocínio lógico e básico de convivência do sujeito nos sistemas sociais de que há uma consequência para deveres não realizados ou seguidos.

Essas consequências são das mais variadas. Se existem diversos tipos de sanções, as suas consequências seguirão o mesmo padrão. Contudo, o cerne da discussão, e agora, de forma estrita, traz a indenização como uma dessas consequências punitivas, tendo origem na responsabilidade civil.

A indenização funciona no ordenamento jurídico brasileiro como uma reparação àquele no qual deveria ter tido atendido o seu direito, advindo de uma relação constituída, e que venha essa prestação, ausência de prestação ou prestação danosa, causar-lhe danos a sua integridade material e/ou moral.

Por perceber esse caráter de consequência a algo previamente estabelecido – Não existiu C, deve haver S – (3), vê-se a possibilidade de cogitar a indenização como uma sanção. Concluindo-se que, o que não é a indenização, em sua essência, senão uma sanção?

Discutidos esses elementos, as suas conexões se voltam agora para a LGPD, uma lei, cuja entrada em vigor foi fragmentada, e não se observaram os riscos ao assim fazê-la. Exin Iso 27001

Esse risco de fragmentação foi observado por dois exímios profissionais em Privacidade e Proteção de Dados, Marcilio Braz Jr (4) e Breno Jessen (5). Breno, em seu artigo, enxergou alto risco em implementações de forma fragmentada, devido à LGPD ser uma “risk-based law”, e como “gancho”, se essa é uma lei baseada em riscos, deve-se estender a existência inerente de risco da forma fragmentada em que a lei entrou em vigor para empresas e os espaços jurídicos, tendo em vista que já ocorrem decisões judiciais trazendo sanções as organizações, como no caso da construtora Cyrela (6).

Quanto à empresa, um dos riscos, esse concreto, na fragmentação da lei está, como aponta Marcilio, nas ações judiciais que estão a caminho, tendo em vista a inexistência de instância administrativa da qual há garantia de peticionamento do Titular de Dados junto à ANPD quanto aos seus dados e em desfavor do agente de tratamento; e como também pontua, os valores dessas ações não deverão ser desprezíveis.

Quanto às futuras decisões judiciais, deve-se refletir como anda as preparações das diversas cortes brasileiras, tendo em vista que o país possui 27 unidades federativas, estando os “TJs” distribuídos em diversas comarcas.

O ponto focal não é criticar as ações dos magistrados em futuras demandas, mas sim trazer à tona o fato de que: se a lei foi fragmentada para que o Titular de Dados tivesse, nesse primeiro momento, seu direito reconhecido, e os agentes de tratamento não sofressem sanções, como deverá o juiz decidir nos litígios em que as garantias do Titular dos Dados foram violadas? Exin Iso 27001

Deste modo, ao refletir sobre essas ideias, tendo em vista a possibilidade de cogitar a indenização ser, essencialmente, uma sanção à empresa, a proposta da fragmentação da Lei Geral de Proteção de Dados, que sendo essa postergar sanções para que não houvesse retaliações ao empresariado, não aparenta vingar.

Referências:
1 – KELSEN, Hans. Teoria pura do direito. Ed. Martins Fontes. São Paulo. 1999
2 – REALE, Miguel. Lições preliminares de direito. 25ª Ed.
3 – Leia-se “C” como “Cumprimento de certo comportamento” e “S” como “Sanção”. À título de exemplo e associando à LGPD, um titular de dados querer a confirmação de existência de tratamento dos seus dados (Comportamento “C” que deve ser cumprido), e a organização que trata dados não atender o seu pedido será penalizada (Sanção “S”).
4 – BRAZ Jr., Marcilio. Um cavalo de tróia na LGPD. Disponível aqui.
5 – JESSEN, Breno. O risco da fragmentação da análise de risco em projetos de adequação e conformidade à LGPD. Disponível aqui.
6 – Processo nº 1080233-94.2019.8.26.0100, Fabrício Vilela Coelho x Cyrela Brazil Reality S/A Empreendimentos e Participações. Cyrela é multada em R$ 10 mil por infração à Lei Geral de Proteção de Dados. Disponível em https://g1.globo.com/economia/noticia/2020/09/30/cyrela-e-multada-em-r-10-mil-por-infracao-a-lei-geral-de-protecao-de-dados.ghtml 

José Lucas Silva Galdino é advogado especializado em Privacidade e Proteção de Dados e coordenador de monitoria da Privacy Academy – Exin Iso 27001

Aluno da Turma EAD7 (EAD) da Privacy Academy