Geralmente, ao se ouvir sobre Lei Geral de Proteção de Dados[1], um dos primeiros tópicos que surgem à mente são as penalidades, principalmente as multas, que podem atingir valores vultuosos. Bem verdade, sua norma inspiradora (GDPR[2]) já começou a ser aplicada com todo rigor imposto pela lei (Google quem o diga![3]).

De fato, a legislação brasileira prevê uma série de sanções administrativas pela sua não observância, que serão aplicadas em cada caso a partir da análise de critérios objetivos e subjetivos. Nesse sentir, a lei prevê diversas medidas a serem adotadas pelos agentes de tratamento, sem prejuízo de outras, as quais poderão atenuar a penalidade.

Não obstante, entre as recentes alterações na LGPD[4], destaca-se uma novidade um tanto quanto polêmica: a possibilidade de conciliação direta entre o controlador e o titular dos dados pessoais em casos de vazamentos individuais ou acessos não autorizados[5].

Independentemente das motivações para adição dessa previsão (lobbying), ou das falhas técnicas em sua redação (utilização do termo “vazamentos”, ausência do “operador” quando o incidente estiver a ele relacionado, e a aparente constituição de um pré-requisito de tentativa de conciliação para que o titular possa acionar a ANPD[6]), é notório que a lei estabelece uma ferramenta que poderá reduzir sobremaneira os prejuízos, aos agentes de tratamento, em casos de incidentes de segurança.

De certo, ao realizar um acordo direto com o titular – mas sem deixar de contar com assessoria especializada -, a empresa estará livre de todas as temidas sanções administrativas, podendo resolver o caso de maneira mais rápida e eficaz, evitando a exposição pública do incidente ou minimizando seus impactos.

O titular também auferirá vantagens, vez que terá seu caso resolvido com muito mais brevidade e disposição da empresa – a parte mais interessada na via conciliatória -, e também gozará do sigilo dos fatos e dos seus dados. Não suficiente, a Autoridade Nacional também será beneficiada, pois evitará uma possível enxurrada de demandas individuais, sobrecarregando o órgão.

Isso tudo, é claro, em tese. Como toda novidade, muitas dúvidas ainda permanecem e os resultados serão colhidos pela prática ao longo do tempo; até que sobrevenha a regulação específica pela ANPD, permanecerão em discussão várias questões, como a vulnerabilidade do titular (possível conflito com o CDC[7]), a obrigatoriedade (ou não) da prévia tentativa de conciliação, e a fiscalização a fim de se evitar que incidentes de segurança coletivos e de maiores proporções sejam perspicazmente “abafados” em incidentes individuais.

Fica a sugestão de que, em caso de dúvidas no deslinde da conciliação, de ofício ou a requerimento do titular, o termo de acordo se sujeite à revisão ou sua validade necessite de aval por algum órgão ou entidade com competência sancionatória e normativa referente à proteção de dados (ANPD, Agências Regulatórias, Ministério Público, etc).

Finalmente, ao tratar sobre o assunto, não se pode olvidar o espírito de criação da LGPD: empoderar o titular, concedendo-lhe maior controle sobre seus dados pessoais, garantindo, portanto, maior confiança na relação entre titular e agentes de tratamento. Sem carregar esses valores, a conciliação será inócua e distante do objetivo maior da lei.

[1] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

[2] General Data Protection Regulation

[3] https://tecnoblog.net/275817/google-multa-gdpr-franca/

[4] www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/lei/L13853.htm

[5] Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: [...]

§ 7º Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.

[6] Autoridade Nacional de Proteção de Dados

[7] Código de Defesa do Consumidor