A LGPD e os vazamentos individuais JOTA Info.

pdf
Saved to Dropbox • Apr 28, 2021 at 12:46 PM

PRO

OPINIÃO & ANÁLISE

PRIVACIDADE

A LGPD e os vazamentos
individuais
Vazamento individual é a divulgação indevida de dados de
um titular especí8co ou de um pequeno conjunto de titulares

ANDRÉ CASTRO CARVALHO

MATHEUS DELLA MONICA

28/04/2021 12:28
Crédito: Unsplash

Nos últimos meses, o vazamento de dados

pessoais ganhou grande relevância midiática,
tanto pelo volume, quanto pelas consequências
negativas que esses eventos podem ter. O
vazamento de dados de mais de 220 milhões
de brasileiros, no início do ano, motivou muitas
pessoas a buscarem informações sobre
diferentes formas de como se prevenir contra
eventuais investidas ilícitas.

Este artigo, porém, almeja analisar um tipo de

vazamento distinto do mencionado. Com efeito,
a única ocorrência da palavra “vazamentos” na
Lei Geral de Proteção de Dados (LGPD) é
aquela do artigo 52, §7º, no seguinte teor: “os
vazamentos individuais ou os acessos não
autorizados de que tratam o caput do art. 46
desta lei. Poderão ser objeto de conciliação
direta entre controlador e titular e, caso não
haja acordo, o controlador estará sujeito à
aplicação das penalidades de que trata este
artigo”. Evidentemente, a legislação de proteção
de dados também coíbe vazamentos de grande
magnitude, embora não tenha utilizado a
terminologia “vazamento” para os denominar,
mas sim “incidente”.
Há diversos tipos de vazamentos de dados
pessoais, contudo, de forma geral, é possível
a8rmar que os vazamentos ocorrem quando
dados que não deveriam ser públicos são
disponibilizados ilegalmente. Há, ainda, os
casos em que há o roubo de informações e
utilização para a prática de ilícitos, inclusive a
sua venda na deep web. Nesse contexto,
podemos de8nir os vazamentos individuais
como a divulgação indevida de dados de um
titular especí8co ou de um pequeno conjunto
de titulares, por exemplo, membros de uma
família.
Existem diferentes causas para os vazamentos
de dados como a utilização de senhas fáceis
pelos próprios titulares para fazer o acesso,
falhas de segurança nos sistemas utilizados
pelos agentes de tratamento, falhas humanas
por parte dos funcionários e gestores dos
agentes de tratamento etc. Assim, são
essenciais os aprimoramentos no que se refere
à tecnologia e segurança da informação, além
de outros procedimentos considerados como
“boas práticas” pela própria LGPD, em seu
capítulo VII.

Porém, uma vez ocorrido o vazamento

individual de dados tendo em vista a citada
previsão do art. 52, §7º, poderá ele ser objeto
de conciliação direta entre controlador e titular.
No que se refere à redação de tal dispositivo,
chama a atenção que não seja mencionado o
operador de dados pessoais,
fundamentalmente, porque o art. 42, caput, da
LGPD, ao dispor quanto à responsabilidade e ao
ressarcimento de danos, faz expressa
referência ao operador. Nos termos do referido
dispositivo legal, o operador responderia
solidariamente pelos danos causados pelo
tratamento, caso violasse a LGPD ou não
agisse de acordo com instruções lícitas do
controlador. Nesse sentido, talvez o legislador
tivesse sido mais preciso na redação do §7º do
art. 52 se, ao invés de “o controlador”, houvesse
empregado o termo “os agentes de tratamento”
ou ainda, se optasse pela prolixidade, “o
controlador e o operador”.

Quanto à solução adotada, ou

seja, a conciliação direta
entre titular e o agente de
tratamento, podemos aMrmar
que se trata de alternativa
que proporcionará
signiMcativa redução de
custos e de tempo de
desenlace dos conPitos
decorrentes de vazamentos
individuais, não
sobrecarregando a
Autoridade Nacional de
Proteção de Dados (ANPD)
com casos que poderiam ser
resolvidos na
autocomposição dos
 conPitos entre particulares.

Cumpre, no entanto, que a ANPD regulamente o

tema e sane eventuais questões quanto à
conciliação direta entre o agente de tratamento
e o titular. Levando em conta que o dispositivo
faz parte da seção da LGPD referente às
sanções administrativas, não é possível
considerá-lo, ainda, em vigor.

Nesse sentido, seria demasiadamente

oportuno que, até 1º de agosto de 2021, a
ANPD editasse regulamentação versando
sobre: a obrigatoriedade de tentativa de
conciliação direta; necessidade ou não de
assistência jurídica; a questão relativa à
vulnerabilidade do titular (como, por exemplo, a
do trabalhador, no direito do trabalho) e em que
circunstâncias ela poderia constituir óbice para
a idoneidade da conciliação direta; os casos em
que a conciliação direta não possibilita o
afastamento de determinadas sanções
administrativas; até que número de titulares de
dados afetados em um vazamento pode ser
considerado um conjunto de vazamentos
individuais; a necessidade ou possibilidade de
rati8cação do termo de acordo pela própria
ANPD.
Tal possibilidade, porém, é remota, tendo em
vista que, em 27 de janeiro de 2021, a ANPD
tornou pública sua agenda regulatória para o
biênio 2021-2022 por meio da Portaria nº
11/2021 , na qual não constam quaisquer das
questões mencionadas referentes à
autocomposição no caso de vazamentos
individuais.

Há, com efeito, previsão de início do processo

de regulamentação, no primeiro semestre de
2021, do tema referente ao “Estabelecimento
de normativos para aplicação do art. 52 e
seguintes da LGPD”. No entanto, sua descrição
demonstra que a regulamentação será
concernente ao art. 53 da LGPD, que prevê que
a ANPD deve de8nir, via regulamento próprio,
sobre sanções administrativas a infrações da
referida lei e as metodologias que orientarão o
cálculo do valor-base das sanções de multa.
Portanto, há fundadas razões para não se
esperar, pelo menos até o 8nal do segundo
semestre de 2022, por regulamentações
quanto à conciliação direta prevista no art. 52,
§7º.

Ignorada, porém, a necessidade de

regulamentação, emergirá elevado grau de
insegurança jurídica, o que poderá
comprometer justamente o objetivo do §7º do
art. 52: facilitar e diminuir os custos da
resolução de conhitos referentes a vazamentos
individuais de dados pessoais. Nessa linha, na
ausência de uma previsão de regulamentação
infralegal, esperamos que a própria
interpretação da LGPD em conjunto com o
ordenamento jurídico brasileiro atraia o regime
da solução consensual de conhitos do CPC (art.
3º, §§ 2º e 3º) e evite contenciosos
administrativos e judiciais desnecessários.

ANDRÉ CASTRO CARVALHO – Professor na graduação e

pós-graduação do Ibmec SP. Bacharel, mestre e doutor em
Direito pela Universidade de São Paulo, teve sua tese de
doutorado recebido o Prêmio CAPES de Tese 2014 como a
melhor tese de doutorado de Direito no Brasil em 2013.
Realizou estudos de pós-doutorado no Massachusetts
Institute of Technology - MIT (em 2016) e na Faculdade de
Direito da USP (2017-2018). É coordenador e membro de
órgãos de governança corporativa em São Paulo.
Cocoordenador do Manual de Compliance (3. ed.).
Atualmente, é vice-presidente do Instituto Brasileiro de
Direito e Ética Empresarial - IBDEE. pela ACAMS dos Estado
Unidos.
MATHEUS DELLA MONICA – Graduando em Direito pela
Universidade de São Paulo, com dupla-graduação pela
Université Lumière Lyon III (Licence en Droit). Foi estagiário
na 1ª Vara da Fazenda Pública do Tribunal Judiciário do
Estado de São Paulo, em 2020. Atualmente, é estagiário da
CCC Consultoria. Foi bolsista na Universidade de São Paulo
pelo Programa de Estímulo ao Ensino de Graduação (PEEG),
em 2020.

C O M PA RTILHE

Os artigos publicados pelo JOTA não rebetem

necessariamente a opinião do site. Os textos
buscam estimular o debate sobre temas
importantes para o País, sempre prestigiando a
pluralidade de ideias.

PRÓXIMA
ABUSO DE AUTORIDADE
Abuso de autoridade e fiscalização não
se combinam

MOSTRAR COMENTÁRIOS

TAGS
#LGPD #privacidade
#proteção de dados
#vazamento de dados
 RECOMENDADAS

RE 574.706

Guedes se reunirá com Fux

para discutir ICMS na base de
cálculo do PIS e da Cofins
Flávia Maia | Tributário

ABUSO DE AUTORIDADE

Abuso de autoridade e
fiscalização não se combinam
Cresio Pereira de Freitas | Artigos

DIREITO IMOBILIÁRIO

Litigância responsável e tutela

coletiva no âmbito do direito
imobiliário
Alexandre Laizo Clápis, Luis Guilherme Aidar Bondioli |
Artigos

DIREITO PENAL

O regime de cumprimento de
pena e a isonomia entre os
colaboradores
Galtiênio da Cruz Paulino | Artigos

VOZES NEGRAS NO DIREITO

O futuro do mercado de
trabalho e o direito do trabalho
do futuro
Andreu Wilson | Vozes Negras no Direito

ENSINO JURÍDICO

MEC reconhece o direito

financeiro como disciplina
obrigatória
Marcus Abraham | Coluna Fiscal

EDITORIAS

STF

Tributário

Saúde

Trabalho

Regulação

Legislativo

Carreira

Colunas

Artigos

TEMAS

Congresso
 LGPD

Anvisa

Reforma tributária

Carf

Liberdade de Expressão

TCU

Covid-19

PIS/Co8ns

SIGA O JOTA

YouTube

Spotify

Twitter

LinkedIn

Instagram

Facebook

SOBRE

Quem Somos

About Us

Blog
 Ética JOTA

Política de diversidade

Termos de uso

Política de privacidade

Seus dados

FAQ

ASSINE

CADASTRE-SE

PRO

PRO Tributos

PRO Poder

PRO Saúde

Aprovômetro

ATENDIMENTO

Contato

Trabalhe Conosco

Sair da versão mobile