' ..

""
lJ -
f9\

LGPD __
NR PRdtICR

� INSTITUTO DE D!REITO � OPICE BLUM

..-=:::--'\ryl� e o NTEMpo RANEo � AeAoEMy
SUMÁRIO

1. Proteção de dados pessoais nas relações de consumo

2. Defesa do consumidor como fundamento da LGPD e Integração
com o sistema de defesa do consumidor
3. Responsabilidade civil dos agentes de tratamento de dados
4. Entendendo o cenário: por que proteção de dados também é um
tema de comunicação?
5. Contexto global – o que já acontece lá fora em termos de
comunicação
6. Contexto nacional – LGPD e o que se espera no Brasil em termos
de comunicação
7. Construindo uma “narrativa de dados”: boas práticas de
comunicação interna e externa
8. Preparação
9. Thought Leadership
10. Resposta a incidente
11. Cases internacionais e nacionais
12. LGPD e a conciliação como forma de evitar sanções
administrativas pela Autoridade Nacional de Proteção de Dados

2
 1. Proteção de dados pessoais nas relações de consumo

Com o advento da internet, tivemos o impulsionamento da tecnologia e

consequentemente uma forte mudança nos principais ativos de nossa sociedade
(agora conhecida como sociedade da informação). A base dessa nova sociedade
é mantida por informações, as quais, muitas vezes, dizem respeito sobre nós,
titulares de dados pessoais.

Atualmente é muito comum acessar produtos que, em um primeiro olhar,

parecem “gratuitos”, bastando para o respectivo consumo, o fornecimento de
algumas informações pessoais, como nome, o CPF, dentre outros dados. Pois
bem, o que parecia ser inovador, não passa de uma nova realidade para as
relações de consumo. Atualmente, tais relações, quase que majoritariamente,
são estabelecidas no meio digital e grande parte destas, em novo formato, como
é o caso da oferta de produtos ou serviços, sem que haja a contraprestação
pecuniária, bastando somente o fornecimento de dados pessoais.

Percebemos portanto, que dados pessoais ganharam um valor quase

equiparado a uma nova moeda e assim sendo, é necessária uma regulação
capaz de impor limites e restrições ao uso destas informações, evitando que
nós, titulares de dados, ao ceder de forma abundante, percamos o controle de
nossas próprias informações. Neste contexto, temos a Lei Geral de Proteção de
Dados, com o intuito de ordenar, em conjunto com o Código de Defesa do
Consumidor, essa nova realidade para as relações de consumo.

3
 2. Defesa do consumidor como fundamento da LGPD e Integração
com o sistema de defesa do consumidor

A Lei Geral de Proteção de Dados possui como um de seus fundamentos básicos,

a chamada “autodeterminação informativa”, ou seja, a garantia de que nós,
titulares de dados, tenhamos autonomia para determinar o que acontece com
as nossas informações. Neste contexto, a LGPD trouxe consigo alguns direitos
que devem ser assegurados a todos os titulares de dados.

Dentre os direitos trazidos, destacamos a confirmação de existência de um

tratamento, o acesso aos dados, a correção de dados incompletos, inexatos ou
desatualizados, a eliminação de dados tratados com a base legal do
consentimento, ou tratados de forma desnecessária, excessiva ou em
desconformidade com a LGPD, dentre outros.

Tais direitos exigirão uma certa mudança no comportamento de pessoas (físicas

ou jurídicas) que realizam o tratamento de dados pessoais, com fins econômicos
(excluída a utilização para fins pessoais, por ser uma hipótese de dispensa de
aplicação da LGPD), dentre os quais destacamos, a limitação da coleta de dados
pessoais (evitando o acúmulo desordenado de dados), a melhoria nos controles
de governança (permitindo uma maior organização dos dados pessoais
tratados), uma melhora nos canais de comunicação com os titulares (seja de
forma proativa – “políticas de privacidade, termos de uso”, seja de forma reativa
– “canais de contato” e “Q&A com as principais dúvidas sobre o tema”).

Destaca-se que, em que pesem as mudanças necessárias para possibilitar o

atendimento dos direitos mencionados, não devemos entender estes direitos
como sendo absolutos, ou seja, antes do atendimento de uma solicitação, o
controlador responsável (assim chamado o agente de tratamento responsável
por determinar o funcionamento da atividade) deverá avaliar o caso concreto e
entender todas as possíveis consequências em dar cumprimento a este pedido
(como por exemplo o eventual descumprimento de uma outra lei), permitindo
a avaliação de possibilidade de atendimento.

4
Caso o atendimento não seja possível, cabe ao mesmo controlador, a
apresentação de justificativas plausíveis ao titular dos dados, que, por sua vez,
poderá apresentar petição à Autoridade Nacional de Proteção de Dados (órgão
responsável por monitorar a aplicação da LGPD), ou à organismos de defesa do
consumidor, permitindo que estes órgãos atuem em competência concorrente
com a referida autoridade, para tutela dos interesses dos consumidores
afetados.

5
 3. Responsabilidade civil dos agentes de tratamento de dados

A Lei Geral de Proteção de Dados apresentou, de forma bastante similar ao

Código de Defesa do Consumidor, a figura da responsabilidade solidária aos
agentes de tratamento, que, em decorrência do processamento de dados
pessoais, causarem danos (patrimonial, moral).

A LGPD dividiu os agentes de tratamento de dados pessoais entre controladores

e operadores. Tal diferenciação é imprescindível para a determinação da
responsabilidade do agente dentro de uma atividade de tratamento.

O Controlador leva este nome em razão de seu papel. Este agente é o

responsável por tomar as decisões sobre a atividade de tratamento de dados
pessoais. É quem decidirá porque um dado deve ser coletado e qual seria esta
informação. Já o Operador não possui este papel decisório como uma
necessidade. É fato que os operadores também poderão tomar decisões sobre
a atividade de tratamento, contudo, estas serão pautadas em ações mais
operacionais, como por exemplo a escolha de um sistema para armazenamento
dos dados ou um sistema capaz de fortalecer os controles de segurança
aplicados aos dados pessoais.

Um dos elementos que tornam importantes a diferenciação entre estas figuras

é a responsabilidade do agente. A regra geral da LGPD é a responsabilidade
solidária, pautada no dano ocasionado aos titulares de dados, conforme artigo
42 da LGPD:

“Art. 42. O controlador ou o operador que, em razão do exercício de atividade

de tratamento de dados pessoais, causar a outrem dano patrimonial, moral,
individual ou coletivo, em violação à legislação de proteção de dados pessoais,
é obrigado a repará-lo.”

6
Contudo, existem exceções à regra geral. Neste caso, vale ressaltar que a figura
do Controlador, por tomar decisões, é responsável não só por seus atos, como
pelos atos de Operadores diretamente contratados. Já o Operador, por seguir
instruções do Controlador sem possuir poder decisório, terá sua
responsabilidade limitada aos seus próprios atos, conforme §1º, I do artigo 42
da LGPD:

“I - o operador responde solidariamente pelos danos causados pelo tratamento

quando descumprir as obrigações da legislação de proteção de dados ou quando
não tiver seguido as instruções lícitas do controlador, hipótese em que o
operador se equipara ao controlador, salvo nos casos de exclusão previstos no
art. 43 desta Lei;”

Por fim, ressalta-se que a LGPD apesar de contar com uma Autoridade Nacional
de Proteção de Dados para fiscalizar ativamente o cumprimento desta Lei,
também
possibilitou que os titulares (donos dos dados pessoais) tivessem autonomia
para propor ações individuais ou coletivas, caso sofram qualquer tipo de dano
decorrente do tratamento de seus dados pessoais.

Ainda, considerando a assimetria de poder entre as partes (controlador dos

dados x titular das informações), a LGPD, assim como o CDC, previu a
possibilidade de inversão do ônus da prova, deixando com os agentes que
tratam dados pessoais a responsabilidade por demonstrar que o tratamento
ocorreu de acordo com as diretrizes da LGPD, sempre prezando pela privacidade
dos titulares afetados.

7
Data Breach

4. Entendendo o cenário: por que proteção de dados também é um

tema de comunicação?

Com a proteção jurídica dos dados pessoais, propõe-se uma mudança jurídica
de parametrização e das regras de governança de todo modelo de negócio que
aproveita desse ativo valioso contemporâneo.

Se antes, o uso de tais informações era indiscriminado, com a vigência da LGPD,

o respeito aos seus preceitos legais se impõe, concatenando de forma reunida
as determinações de como o norte de privacidade será respeitado.

O que fez a Lei é dar roupagem jurídica a relações fáticas já existentes e que
tinham como plano de fundo os dados pessoais: as relações entre os titulares
dos dados e os agentes de tratamento de um lado e, de outro, as relações entre
os próprios agentes de tratamento.

Nessa perspectiva, a LGPD traz uma série de princípios e deveres legais que
devem ser respeitados pelos agentes de tratamento, ou seja, pessoas jurídicas
ou naturais que tratam dados pessoais (controladores e operadores).

Dentre os princípios, destacam-se os princípios da transparência e prestação e

contas: “Art. 6º As atividades de tratamento de dados pessoais deverão
observar a boa-fé e os seguintes princípios: [...] VI - transparência: garantia,
aos titulares, de informações claras, precisas e facilmente acessíveis sobre a
realização do tratamento e os respectivos agentes de tratamento, observados
os segredos comercial e industrial; [...] X - responsabilização e prestação de
contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes
de comprovar a observância e o cumprimento das normas de proteção de dados
pessoais e, inclusive, da eficácia dessas medidas.”.

8
Soma-se a esses princípios a própria noção de titularidade de dados pessoais,
pertencendo o controle desses, por essência, aos próprios titulares, ou seja, a
“pessoa natural a quem se referem os dados pessoais que são objeto de
tratamento;” (art. 5º, V).

Assim, não basta que o agente de tratamento se preocupe com a conformidade

contida com a legislação de proteção de dados, mas estar em conformidade é
também ser transparente e prestar contas sobre como o tratamento de dados
pessoais é feito e suas circunstâncias, permitindo a fiscalização do próprio titular
como pelo próprio Estado.

9
 5. Contexto global – o que já acontece lá fora em termos de
comunicação

A Lei Geral de Proteção de Dados Pessoais, de forma consistente, é muito

completa e reflete toda uma evolução histórica na matéria de proteção de dados
pessoais.

O pilar de comunicação, pautado como visto nas lógicas de transparência e

prestação de contas, bem como na ideia de autodeterminação informativa, é
um desses reflexos. Portanto, pensando em um contexto global, a comunicação
é uma ideia basilar da legislação de proteção de dados. Dessa forma, também
em contexto global, o agente de tratamento também deve estar em
conformidade com essas ideias expondo com clareza, preservado o segredo
comercial, o tratamento de dados pessoais é feito e suas circunstâncias,
permitindo a fiscalização do próprio titular como pelo próprio Estado.

De forma interessante e emblemática, por exemplo, o General Data Protection

Regulation da União Europeia, conhecido pela sigla GDPR e que é o grande
documento no mundo que versa sobre proteção de dados e privacidade no
âmbito daquele bloco econômico, prevê em sua consideranda número 39 que:
“O tratamento de dados pessoais deverá ser efetuado de forma lícita e
equitativa. Deverá ser transparente para as pessoas singulares que os dados
pessoais que lhes dizem respeito são recolhidos, utilizados, consultados ou
sujeitos a qualquer outro tipo de tratamento e a medida em
que os dados pessoais são ou virão a ser tratados. O princípio da transparência
exige que as informações ou comunicações relacionadas com o tratamento
desses dados pessoais sejam de fácil acesso e compreensão, e formuladas numa
linguagem clara e simples. Esse princípio diz respeito, em particular, às
informações fornecidas aos titulares dos dados sobre a identidade do
responsável pelo tratamento dos mesmos e os fins a que o tratamento se
destina, bem como às informações que se destinam a assegurar que seja
efetuado com equidade e transparência para com as pessoas singulares em

10
causa, bem como a salvaguardar o seu direito a obter a confirmação e a
comunicação dos dados pessoais que lhes dizem respeito que estão a ser
tratados. As pessoas singulares a quem os dados dizem respeito deverão ser
alertadas para os riscos, regras, garantias e direitos associados ao tratamento
dos dados pessoais e para os meios de que dispõem para exercer os seus
direitos relativamente a esse tratamento. [...]”.

Essa ideia, então, tem sido refletida de forma prática, de modo que em contexto
global, em termos de comunicação e em linhas gerais, tem se exigido que o
agente de tratamento (i) seja muito claro sobre como o tratamento do dado
pessoal é feito; (ii) exponha com exatidão a finalidade específica que justifica o
próprio tratamento de dados; (iii) tenha canais de comunicação claros e que
permitam o acesso aos dados pessoais por seus titulares; (iv) comunique o
titular do dado sobre qualquer risco ou dano associado ao tratamento de dados
pessoais.

11
 6. Contexto nacional – LGPD e o que se espera no Brasil em termos
de comunicação

Como visto, a LGPD reflete em âmbito nacional a expectativa de comunicação

pelo agente de tratamento sobre como o tratamento de dados é feito,
sobretudo, considerando os ideais de transparência e prestação de contas.

Seguindo essa lógica, a LGPD traz a ideia de comunicação em vários momentos.

Deve o agente de tratamento ser transparente sobre as condições do
tratamento (princípio da transparência) ou, quando demandado, prestar as
devidas contas (prestação de contas).

Também deve comunicar a finalidade legítima e específica ao titular dos dados

pessoais
tratados (princípio da finalidade). Adicionalmente, assegurar os direitos dos
titulares, concentrados mais claramente nos seus arts. 17 a 22, mas que
permeiam todo seu texto, também passa por uma estratégia de comunicação,
com a criação de canais fáceis e acessíveis aos titulares dos dados. O exercício
dos direitos pelos titulares também passa, portanto, por uma estratégia de
comunicação proativa e reativa consistente e consolidada.

Ainda, há documentos específicos previstos na Lei que também, em termos

práticos, concretizam a comunicação de como se dá o tratamento de dados
pessoais. O grande exemplo é o próprio relatório de impacto à proteção de
dados pessoais, “documentação do controlador que contém a descrição dos
processos de tratamento de dados pessoais que podem gerar riscos às
liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas
e mecanismos de mitigação de risco.”. O documento, portanto, é o documento
formal de comunicação, que inclusive deve ser apresentado pelo controlador de
dados quando solicitado por parte da Autoridade Nacional de Proteção de Dados
– ANPD, para explicar como o tratamento de dados pessoais é feito e sobre
quais bases legais.

12
Por fim, é importante lembrar que, em caso da “ocorrência de incidente de
segurança que possa acarretar risco ou dano relevante aos titulares” (art. 48),
o controlador deverá comunicar em prazo razoável, tanto a ANPD como os
titulares, devendo essa comunicação conter, no mínimo: “I - a descrição da
natureza dos dados pessoais afetados; II - as informações sobre os titulares
envolvidos; III - a indicação das medidas técnicas e de segurança utilizadas
para a proteção dos dados, observados os segredos comercial e industrial; IV -
os riscos relacionados ao incidente; V - os motivos da demora, no caso de a
comunicação não ter sido imediata; e VI - as medidas que foram ou que serão
adotadas para reverter ou mitigar os efeitos do prejuízo.”.

13
 7. Construindo uma “narrativa de dados”: boas práticas de
comunicação interna e externa

O primeiro ponto para entender a ideia de “boas práticas de comunicação

interna e externa” é entender o conceito próprio de “boas práticas”.

Pois bem, “boas práticas de comunicação” serão medidas práticas e concretas

que
traduzem, no dia-a-dia do agente de tratamento, os pilares de transparência e
prestação de contas do tratamento de dados pessoais. Ou seja, o que,
especialmente a pessoa jurídica que trata os dados pessoais, pode ou deve fazer
internamente e externamente para priorizar o melhor tratamento de dados
pessoais.

Em relação a medidas internas, ou seja, dentro da própria organização, é

importante considerar a privacidade e a proteção de dados pessoais como
pilares de um programa de governança interno que se proponha efetivo.

Para tanto, algumas medidas internas podem ser adotadas que, de forma
integrada, representarão a comunicação institucional interna e importante da
empresa para seus colaboradores no intuito de demonstrar que ela prioriza a
conformidade com a legislação de proteção de dados.

Dentre elas, podem ser citadas: (i) a elaboração de uma política consistente de
segurança da informação, orientando o uso dos dispositivos eletrônicos e
telemáticos da organização; (ii) a elaboração de uma política de privacidade;
(iii) elaboração de uma política de BYOD, se for o caso; (iv) a estruturação de
áreas de forma separada e com autonomia de privacidade, de segurança da
informação e da tecnologia da informação; (v) contar com formulários e canais
de denúncia para possíveis incidentes de segurança de dados pessoais; (vi)
designação do encarregado em dados pessoais; e (vii) contar com um manual
de coleta de provas digitais.

14
Estando organizada internamente, o que possibilitará uma atuação consistente
perante o público, pode se pensar em medidas externas de comunicação, tais
como: (i) políticas de privacidade claras para a utilização dos serviços; (ii) avisos
de privacidade claros, objetivos e didáticos, acessíveis inclusive antes da própria
utilização dos serviços; (iii) criação de seções de claras nos sites em que se
explica de forma didática de como o tratamento de dados pessoais se
desenvolve; e (iv) elaboração de comunicações específicas e periódicas sobre
eventuais situações que tenham gerado prejuízos ou riscos aos titulares de
dados pessoais a partir do tratamento de tais informações.

15
 8. Preparação

Como visto, a LGPD traz uma série de princípios e deveres legais que devem
ser
respeitados pelos agentes de tratamento, ou seja, pessoas jurídicas ou naturais
que tratam dados pessoais (controladores e operadores). Dentre os princípios,
destacam-se os princípios da transparência e prestação e contas, e soma-se a
eles a própria noção de titularidade de dados pessoais, pertencendo o controle
desses, por essência, aos próprios titulares.

Adicionalmente às ideias mais amplas, a LGPD tem a comunicação consistente

como pilar, sobretudo ao titular do dado pessoal para fins de assegurar o
respeito aos seus direitos, nos termos dos art. 17 a 22.

Isso demanda, então, que se busque a conformidade com o pilar de

comunicação, como podemos chamar aqui. Essa ideia significa que o agente de
tratamento, em especial o controlador de dados pessoais, adote medidas
internas e externas de preparação para tal conformidade, conforme sinalizado
acima.

Estar preparado para a comunicação, portanto, é estar em conformidade com a

própria LGPD, o que passa, inclusive, pela adoção de providências de forma
integrada e multidisciplinar, envolvendo as mais diversas áreas da empresa.
Aliás, é de suma importância, a preparação consistente da própria área de
comunicação da empresa, seja na seleção de profissionais, seja na configuração
de notas e comunicações claras, evitando interpretações dúbias em caso de
incidente, por exemplo.

16
 9. Thought Leadership

Por tudo colocado nos temas anteriores, certamente a Lei Geral de Proteção de
Dados Pessoais – LGPD exige a estruturação de mecanismos de comunicação e,
mais do que isso, de um verdadeiro programa de compliance digital para que a
comunicação possa ocorrer em patamar adequado e que tenha um conteúdo
consistente que mitigue os riscos inerentes ao tratamento de dados pessoais.

O programa de compliance instrumentaliza de forma concreta e prática a ideia

de autorregulação regulada, ou seja, a ideia de que as organizações regulam a
si mesmas, mas com a regulação do Estado. É por meio do programa de
integridade que a organização implementa padrões que são significantes para
sua própria existência e sucesso. Da mesma forma, o programa tem relação
direta com a governança
corporativa e seus pilares, em especial os de prestação de contas, transparência
e enforcement. É por meio desse programa que todos os princípios da LGPD e
suas determinações serão concretizadas.

Seu sucesso e sua efetividade, porém, depende diretamente da participação das

lideranças do agente de tratamento. Tudo dito acima depende disso.

Ë fundamental que o programa de compliance conte com o comprometimento e

apoio da alta administração da organização (“tone at the top”)
(externo/extrínseco). Os líderes, nos topos da pirâmide organizacional, devem
efetivamente exercer sua liderança com integridade, apresentando-se como
verdadeiros exemplos de comprometimento com os princípios do programa e
sua plena efetividade. Líderes não comprometidos ou, pior, de limites de
integridade, moral e ética frágeis não só prejudicam a tarefa de conformidade
e o desenvolvimento da atividade da organização, como também desmotivam o
corpo de colaboradores a cumprir com o programa.

17
 10. Resposta a incidente

Diante de tudo que foi colocado, parece fazer sentido, assim, o desenvolvimento
de um verdadeiro plano de ação, que fique pronto para start assim que o
incidente ocorra, com uma lista consolidada de várias tarefas coordenadas e
quem, na organização, serão os responsáveis por executá-las.

Rapidez e eficiência são os grandes nortes de um plano de resposta que se

proponha adequado, assim, medidas preventivas e reativas devem ser
conhecidas e estruturadas, como se propõe a seguir.

O primeiro ponto preventivo está associado ao correto mapeamento e à

manutenção dos registros das operações de tratamento de dados pessoais. A
ideia adequada do cenário é fundamental para a identificação do volume e a
criticidade dos dados tratados, possibilitando o melhor entendimento da
organização em relação aos riscos que está sujeita e os regimes jurídicos
aplicáveis (ex. aplicabilidade do CDC ou não, aplicabilidade de regimes de
regulação setorial ou não, etc.).

O segundo ponto preventivo que deve constar em um plano de resposta é a

identificação
prévia dos gestores que atuarão diante de um incidente e as respectivas
funções. Significa que a organização precisa preparar um comitê de crise que
será acionado assim que identificado o incidente. Quem irá integrá-lo é uma
questão própria de cada modelo de estruturação interna, mas a recomendação
é que, no mínimo, o Encarregado ou o DPO e os gestores das áreas de controles
internos atinentes ao tema, tais como jurídica, compliance, segurança da
informação e comunicação estejam envolvidos.

O terceiro ponto, na mesma linha de identificação e preparo prévio de quem

atuará nas providências em resposta ao incidente, também é preciso definir se

18
a organização contará com fornecedores externos no apoio desse comitê de
crise e quais serão.

Como quarta medida preventiva, é preciso ter uma cadeia interna de validação
de resposta aos titulares de dados pessoais já previamente definida. Como
sabido, a LGPD define que os titulares dos dados têm direito à confirmação da
existência de tratamento, de acesso aos dados, de informação sobre os
compartilhamentos, etc. (art. 18). Além disso, diante do incidente, deve a
organização (controlador, especificamente) comunicar ao titular sua ocorrência,
se o incidente puder acarretar risco ou dano relevante aos titulares (art. 48,
§1º).

Considerando que a contenção de prejuízos também é uma providência

preventiva necessária, a contratação prévia de um produto de cyber insurance
ou ciberseguro voltado a resguardar à organização dos prejuízos decorrentes de
um incidente em segurança em dados pessoais também é algo a ser
considerado.

Como primeira medida pós-incidente para resposta ao incidente já ocorrido, é

fundamental, como primeira providência, que a organização analise com
cuidado e detalhadamente as informações envolvidas no episódio.

Identificado que os dados do incidente têm relação ao tratamento feito pela

organização e são pessoais, trazendo para o caso, portanto, a incidência da
norma, é recomendável a elaboração do data breach score, documento
específico e vocacionado à sinalização de criticidade e gravidade do evento,
permitindo que a organização entenda melhor os riscos aos quais está sujeita.
O incidente envolve dados pessoais? Dados pessoais sensíveis? Qual é o nível
de criticidade do incidente? São essas as respostas que um data beach score,
se propõe a responder.

19
Também com a percepção do incidente é recomendável a elaboração de estudo
técnico e de investigação detalhado, desenvolvido não só para identificação e
coleta das evidências técnicas necessárias à formatação de prova sobre o
incidente, conforme se verá adiante, mas principalmente para a extração de
relatório circunstanciado que aponte eventuais falhas de segurança que
permitiram ou contribuíram com a ocorrência do incidente.

Por fim, como visto anteriormente, diante de incidentes que possam acarretar
risco ou danos relevantes aos titulares, cumpre ao controlador comunicar à
ANPD e ao titular do dado pessoal, de modo que tal situação deve também estar
prevista em um plano de resposta a incidentes.

20
 11. Cases internacionais e nacionais

Como analisado, as ideias de comunicação, transparência e prestação de contas

são muito importantes e têm sido consideradas tanto em cenário internacional
como em cenário nacional, valendo a citação de alguns exemplos.

Nos Estados Unidos, é possível citarmos a comunicação feita pela empresa EDP
– Energias de Portugal após três meses da invasão e inutilização de parte de
sua rede. A comunicação foi feita nos EUA, por meio de carta aos clientes, com
cópia para os governos dos estados de Vermont e Massachusetts, pela
subsidiária EDP Renewables North America.1

A Amazon, por sua vez, após ter dados de clientes vazados por alguns
colaboradores, não só os demitiu, como de forma proativa procedeu com a
comunicação dos seus clientes por e-mail.2

Ainda em 2020, a própria gigante do mercado de tecnologia Microsoft teve

dados de atendimento do suporte exposto por mais de duas semanas. Entre as
informações era possível identificar dados de e-mail de clientes, endereços de
IP, dados de localização, entre outros. A empresa notificou os clientes
envolvidos. 3

No Brasil, o grande caso nacional é da empresa Netshoes que, após

recomendação emitida pelo Ministério Público do Distrito Federal e Territórios –
MPDFT, teve de comunicar por telefone e correspondência seus quase 2 milhões
de clientes afetados. Na oportunidade, inclusive, reconheceu a promotoria se
tratar de um dos maiores incidentes de segurança registrados no país. 4

1
https://securityinformationnews.com/2020/07/08/edp-comunica-oficialmente-invasao-
e-vazamento-de-dados-de-sua-rede/
2
https://www.tecmundo.com.br/seguranca/149201-amazon-demite-funcionarios-vazar-
dados-clientes-terceiros.htm
3
https://olhardigital.com.br/noticia/vazamento-de-dados-da-microsoft-expoe-250-
milhoes-de-clientes/95710
4
https://www.istoedinheiro.com.br/netshoes-devera-avisar-2-milhoes-de-clientes-sobre-
vazamento-de-dados/

21
Resolução de conflitos

12. LGPD e a conciliação como forma de evitar sanções

administrativas pela Autoridade Nacional de Proteção de Dados

A Lei Geral de Proteção de Dados (Lei 13.709/2018), com o objetivo de garantir

pilares fundamentais, dentre os quais se destacam a privacidade e a
autodeterminação informativa dos titulares de dados, estabelece regulamento
que fixa princípios, obrigações e sanções administrativas, as quais têm gerado
apreensão entre os agentes de tratamento. Entretanto, existe determinação de
não aplicação de penalidades - aqui interpretada como forma de exclusão de
responsabilidade administrativa – às instituições que fazem uso de informações
pessoais, em determinas e específicas situações, sendo abaixo analisada uma
delas.

Com a sanção da Lei 14.010/2020, fixou-se a possibilidade da aplicação de

sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD),
a partir de 01 de agosto de 2021. A respeito da organização de procedimentos
administrativos, cujos parâmetros foram delimitados pela Lei n. 13.853 (em 09
de julho de 2019), observam-se algumas definições quanto à constituição da
ANPD brasileira, suas atribuições, bem como direcionamentos relacionados à
aplicação de sanções administrativas. Dentre elas está a previsão de
impossibilidade de penalização em caso de conciliação entre controlador e
titulares em situações de “vazamentos individuais e acessos não autorizados”,
disposta no parágrafo sétimo do artigo 52 da LGPD.
Em sua literalidade, referido parágrafo dispõe que “os vazamentos individuais
ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão
ser objeto de conciliação direta entre controlador e titular e, caso não haja
acordo, o controlador estará sujeito à aplicação das penalidades de que trata

22
este artigo”. Ressaltam-se as principais considerações com relação a este
dispositivo:

- O contexto em que seria aplicável é especificamente o de “vazamentos

individuais e acessos não autorizados”;
- É possível a realização de procedimento de conciliação direta para
finalidade de se resolver o conflito ocasionado pelos cenários acima indicados;
- Na situação em que não exista o acordo entre controlador e titulares, a
ANPD estaria apta a aplicar as sanções dispostas no artigo 52 da LGPD.

É importante considerarmos que, embora não seja o objetivo deste tópico o

aprofundamento quanto a todos os aspectos do instrumento avaliado, alguns
pontos carecem de interpretação e, oportunamente, deverão ser enfrentados
pela ANPD para melhor direcionarem a utilização da ferramenta de resolução de
conflitos nas situações acima indicadas.

Por exemplo, as circunstâncias nas quais a conciliação direta pode acarretar

exclusão de responsabilidade administrativa se resumem a incidentes de
segurança com ênfase no pilar de confidencialidade, próprio da área de
conhecimento de segurança da informação. Entretanto, é necessário melhor
detalhamento sobre as nuances que conceituam o termo “vazamentos
individuais”. Sem prejuízo, é possível estabelecermos algumas conclusões
relacionadas à figura da conciliação direta na LGPD:

A primeira, no sentido de que se observa a valorização de meios auto

compositivos no cenário de privacidade e proteção de dados pessoais, em
harmonia com as mais atuais regras do ordenamento jurídico, que deverão
envolver não apenas situações de incidentes de segurança, mas de qualquer
conflito que possa ser gerado em razão do tratamento.

Considerando as ferramentas disponíveis – especialmente no contexto da

pandemia pelo COVID 19 e a maximização dos meios digitais de comunicação –

23
os métodos de resolução de conflitos online (ODR - Online Dispute Resolution)
ganham destaque como

instrumento perspicaz para o alcance da conciliação e a viabilidade da

estratégia.
A segunda é que a adoção desta ferramenta pode ser solução interessante aos
agentes de tratamento de dados, uma vez que seriam solucionados ao mesmo
tempo, por meio de acordo com os titulares, a penalização no contexto
administrativo, bem como o dano que se pretenda reparar na esfera civil.

Nesta circunstância, é importante, nas situações de incidentes de segurança que

venham a gerar risco ou dano relevante aos titulares, a definição de estratégia
para resolução de conflitos, no qual se buscará compreender a viabilidade para
que indenizações sejam prestadas e penalidades administrativas evitadas.

Com isso e por fim, fica um especial convite para estudo aprofundado
desses fascinantes capítulos sobre privacidade e proteção de dados
pessoais, bem como a importância de sua implementação, por meio das
aulas gravadas e disponibilizadas a seguir.

24