LGPD: incidentes inevitáveis, responsabilidade e dever de casa

Texto publicado originalmente na plataforma Linkedin

Como se sabe, a vigência do sistema sancionador administrativo previsto pela Lei Geral de Proteção de Dados está prevista para 1º de agosto de 2021, mas as normas sobre a responsabilização civil pelos danos causados já se encontram em vigor. Nesse momento ainda inicial da vida da LGPD, parece proveitoso examinar a vivência observada em outros países e tentar aprender com elas: a experiência europeia nos primeiros anos da GDPR apresenta duas lições que podem nos ser úteis.

Em primeiro lugar, a ocorrência de violações à legislação de proteção de dados parece ser uma inevitabilidade. Embora essa assertiva possa ser feita acerca de praticamente qualquer norma jurídica, parece ainda mais real no caso da LGPD e da legislação similar pelo mundo afora. Assim, é preciso se preparar não apenas para impedir, tanto quanto possível, que infrações aconteçam, mas também para lidar da melhor forma e rapidamente com a realidade da infração uma vez que ela se apresente.

A segunda lição que a realidade europeia sugere é a de que, diante das infrações, as ações coletivas ajuizadas para reparação de danos podem ter consequências tão ou mais dramáticas para as empresas quanto as sanções administrativas aplicadas. Naturalmente que esse quadro pode vir a se alterar, mas é uma sinalização que não deve ser ignorada. É possível que essa mesma tendência venha a ser observada no Brasil, e de fato as primeiras decisões judiciais já começaram a ser produzidas na matéria. Um dos desafios que esse fenômeno apresenta em muitos casos – e que também se observa em relação a outros direitos difusos e coletivos – é a dificuldade de mensuração efetiva do dano coletivo, tanto material quanto sobretudo do dano moral.

Sobre esse ponto, o parágrafo 1º do art. 52 da LGPD, ao tratar das sanções administrativas, estabelece parâmetros que deverão ser considerados pela autoridade, dentre os quais a existência, ou não, de políticas e práticas institucionais prévias a qualquer infração (incisos VIII e IX) e também de uma reação imediata e adequada diante de infrações visando a minimizar os danos (incisos VII e X). Será coerente do ponto de vista jurídico que esses parâmetros sejam igualmente considerados pelo Poder Judiciário no âmbito da responsabilização civil, em especial em demandas coletivas nas quais não haja elementos consistentes para a mensuração do dano que se busca seja indenizado.

Em resumo: as lições que já se pode colher da experiência europeia sugerem duas linhas de ação para os agentes aos quais a legislação brasileira se aplica. Em primeiro lugar, por natural, eles devem se preocupar com a criação documentada – esse um aspecto importante – de procedimentos internos visando a impedir as infrações; adicionalmente, eles também devem ser ocupar com a organização, igualmente documentada, de políticas de reação, a serem adotadas de imediato diante de uma eventual infração, de modo a tanto minimizar os danos a ela associados, quanto a atrair a incidência dos incisos do art. 52 que poderão servir como atenuantes da eventual responsabilidade administrativa e também civil.

LGPD: incidentes inevitáveis, responsabilidade e dever de casa