A Lei Geral de Proteção de Dados (LGPD) completou quatro anos de vigência no Brasil e com certeza se tornou um marco importante na proteção da privacidade e no tratamento de dados pessoais no país.
Desde então, tanto o Superior Tribunal de Justiça (STJ) quanto a Autoridade Nacional de Proteção de Dados (ANPD) têm atuado significativamente para a consolidação de jurisprudências e a aplicação da legislação.
O STJ publicou um artigo especial destacando os principais entendimentos que foram estabelecidos pela corte ao longo desses anos.
Esse material é um norte porque aborda decisões fundamentais envolvendo a proteção de dados no setor privado, ressaltando como a LGPD está sendo interpretada pelos tribunais superiores.
Principais precedentes do STJ na Área Privada
Entre os pontos destacados pelo STJ, podemos citar:
Análise de perfis por aplicativos de transporte: Análise automática de perfis de prestadores de serviço de aplicativo de transporte está sujeita à LGPD
* Informações utilizadas no descredenciamento do motorista do aplicativo são dados pessoais, conforme a LGPD.
* As análises de perfil são realizadas por inteligência artificial, exigindo transparência e o direito à revisão.
* O motorista tem o direito de entender as razões para a suspensão e solicitar a revisão da decisão.
Indenização por vazamento de dados: O titular de dados vazados precisa comprovar dano efetivo ao pedir indenização;
O vazamento de dados pessoais por si só, não gera automaticamente direito à indenização por danos morais, é necessário que o titular comprove ter sofrido danos decorrentes do incidente de segurança em específico.
Fornecimento de dados por provedores: Provedores devem fornecer dados de quem postou vídeo ofensivo a pessoa falecida;
Min. Salomão:
A LGPD não exclui a possibilidade da quebra de sigilo. Ao contrário, apresenta regras sobre tal ocorrência, que, no caso, revela-se possível, considerando as espécies de dados, a finalidade da quebra e o contexto em que apresentados”.
Exclusão de dados em perfis de investidores: Bolsa deve excluir dados inseridos sem autorização no perfil de investidor;
A B3, como agente de tratamento de dados, deve excluir informações cadastrais inseridas indevidamente por terceiros com acesso não autorizado ao perfil do investidor.
A Justiça determinou a exclusão dos dados alterados, após pedido da vítima.
Terceiros acessaram a plataforma da B3 através de uma conta falsa em uma corretora, visualizando e alterando dados como telefone e e-mail.
A B3 recorreu ao STJ, alegando que a fraude ocorreu em ambiente externo, vinculado à corretora. Entendimento:
* A B3 realiza tratamento de dados pessoais e, portanto, está sujeita à LGPD.
* A bolsa deve seguir os princípios da LGPD, incluindo adequação e segurança.
* A B3 é responsável por proteger os dados dos investidores contra acessos não autorizados e alterações ilícitas.
A LGPD garante ao titular o direito de solicitar correção ou exclusão de informações incorretas, bem como o bloqueio de dados excessivos.
A B3 tem a obrigação de excluir os dados inseridos indevidamente a pedido do titular, reafirmando sua responsabilidade na proteção dos dados pessoais.
Responsabilidade de instituições financeiras: elas respondem por tratamento indevido de dados usados em golpes;
Min. Nancy Andrighi:
“O tratamento indevido de dados pessoais bancários configura defeito na prestação de serviço, notadamente quando tais informações são utilizadas por estelionatário para facilitar a aplicação de golpe em desfavor do consumidor.
Não há como afastar a responsabilidade da instituição financeira pela reparação dos danos decorrentes do famigerado golpe do boleto, uma vez que os criminosos têm conhecimento de informações e dados sigilosos a respeito das atividades bancárias do consumidor. Isto é, os estelionatários sabem que o consumidor é cliente da instituição e que encaminhou e-mail à entidade com a finalidade de quitar sua dívida, bem como possuem dados relativos ao próprio financiamento obtido (quantidade de parcelas em aberto e saldo devedor.”.
Atuação da ANPD: 07 processos e 06 sanções. Outubro/24 foi recorde
Enquanto o STJ estabelece precedentes, a Autoridade Nacional de Proteção de Dados (ANPD) também tem intensificado sua atuação no cenário administrativo. Até o momento, a ANPD já julgou sete processos, aplicando sanções em seis deles. Lembrando que a Autoridade iniciou ativamente os trabalhos em janeiro de 2021, com um período de educação sobre a LGPD, devendo ser levado em consideração a estrutura enxuta que possui.
Atualmente, há 17 processos sancionadores em andamento, além de 58 processos de fiscalização em trâmite. O número de fiscalizações abertas em outubro/24 supera todo o período de atuação da Autoridade.
A ANPD também tem atuado fortemente na regulação e orientação sobre a LGPD. Desde sua criação, publicou 13 regulamentações, incluindo resoluções, portarias e enunciados, além de diversos guias orientativos e notas técnicas que orientam empresas e cidadãos sobre o cumprimento da legislação.
Entre os números apresentados pela ANPD, destacam-se:
- 1.165 comunicados de incidentes de segurança recebidos.
- 1.112 denúncias relacionadas à LGPD.
- 555 petições de titulares buscando garantir seus direitos.
Empreendedor Individual também precisa cumprir a LGPD
A primeira sanção aplicada pela ANPD foi direcionada a um empreendedor individual, marcando o início de uma fase mais ativa de fiscalização e dando um recado que as empresas de todos os tamanhos e naturezas fiscais estão sujeitas a aplicação da lei.
Somente em outubro deste ano, 21 novos processos de fiscalização foram instaurados, demonstrando a celeridade e a eficácia crescente da autoridade reguladora.
Efeito cascata na construção da cultura de privacidade e proteção de dados
Para além da atuação do STJ e da ANPD, as grandes empresas têm exercido um papel fundamental na aplicação da LGPD no dia a dia. Através do gerenciamento de terceiros, elas trazem a conformidade com a legislação internamente e automaticamente impõem aos parceiros a necessidade de adequação .
Essa movimentação deixa bem claro como as pequenas e médias empresas (PMEs), que muitas vezes acreditam que a LGPD “não as afeta”, vivem implicações diretas na operação.
A realidade é que as empresas que seguirem sem adequação à LGPD correm sérios riscos de perder faturamento e competitividade no mercado. A conformidade com a legislação não é apenas uma questão de evitar sanções, mas de preservar a reputação e garantir a confiança dos clientes e parceiros.
Para aqueles que ainda acreditam que a LGPD “não pegou”, a mensagem é clara: a LGPD está sendo aplicada para todas as empresas, sejam elas grandes, médias ou pequenas.
Ignorar as exigências legais pode significar a perda de oportunidades e até mesmo a saída forçada do mercado.
Como já mencionado, esse resumo só reforça que a LGPD veio para ficar. O fortalecimento das decisões judiciais e o aumento das ações da ANPD indicam um caminho sem volta para a proteção de dados no Brasil.
Gostou desse conteúdo? Quer mais informações sobre esse tema? Então, inscreva-se na nossa Newsletter para ter acesso ao conteúdo em primeira mão.