Há algumas semanas, um acórdão proferido pelo Tribunal de Justiça de São Paulo (apelação cível nº 1008308-35.2020.8.26.0704) proporcionou uma reflexão acerca da responsabilidade de agentes de tratamento de dados pessoais, nos termos da Lei Geral de Proteção de Dados Pessoais, a LGPD.
No âmbito da ação judicial, um consumidor alegou que seus dados pessoais foram transmitidos a terceiros, sem o seu consentimento, ocasionando diversos constrangimentos tais como, o contínuo recebimento de mensagens indesejadas, tanto por e-mail quanto por mensagens de texto em seu celular, além da recepção de ligações telefônicas também indesejadas.
O tribunal reconheceu que, de fato, houve o vazamento dos dados pessoais do autor da ação e condenou a empresa ré a apresentar informações de entidades públicas e privadas com as quais realizou o uso compartilhado de tais dados, inclusive, devendo fornecer uma declaração na qual indicasse a origem dos dados, bem como a finalidade de seu tratamento – dentre outras informações -, sob pena de multa diária de R$ 500, inicialmente limitada em R$ 5.000.
O desembargador Alfredo Attié, relator do caso, arguiu “que a doutrina vem definindo como responsabilidade ativa ou proativa, hipótese em que, às empresas não é suficiente o cumprimento dos artigos da lei, mas será necessária a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas”.
Vale enfatizar que o desembargador Alfredo Attié enalteceu a obrigação elencada no inciso X do artigo 6º da LGPD, remetendo à responsabilização e prestação de contas com relação ao tratamento de dados pessoais, observando – dentre outros princípios – a demonstração, pelo agente, de tal tratamento.
Analisando o inteiro teor do acórdão, é possível afirmar que há – de fato – uma inovação, quando o desembargador arguiu sobre o princípio da responsabilização e prestação de contas. Cumprir com tal princípio é tornar-se apto a demonstrar o compliance da empresa, nos termos da LGPD. O tratamento de dados pessoais gera a obrigação, para os agentes que os tratam, de demonstrar a responsabilidade, agindo de forma proativa e organizada, elaborando – por exemplo — relatórios de auditorias capazes de corroborar a maturidade do programa de privacidade de dados pessoais estabelecido.
Mas se a responsabilização das empresas e a necessidade de demonstrar as políticas adotadas já é uma realidade, começa a mudar a visão bastante comum de que os projetos de conformidade e adequação aos preceitos da LGPD – com a implementação de programas de privacidade e proteção de dados pessoais – representam apenas um custo financeiro para as empresas.
Um recente estudo, promovido pela Cisco, reuniu 2.800 profissionais em 13 países para avaliar os retornos positivos sobre os investimentos em privacidade e proteção de dados pessoais. Conforme o levantamento, 70% das empresas afirmaram receber benefícios comerciais relevantes atrelados aos investimentos promovidos em privacidade e proteção de dados pessoais. Dentre os benefícios descritos pelas empresas que participaram do estudo estão: (i) a redução de atrasos nas vendas, em 67%; (ii) a mitigação de perdas decorrentes de violação a dados pessoais, em 71%; (iii) o incremento na agilidade e inovação, em 71%; (iv) o incremento na fidelização e confiança por parte dos clientes, em 74%; (v) o incremento na atração de investimentos, em 73%; e (v) o incremento na eficiência operacional de controles de dados pessoais, em 72%.
Em relação ao ROI (Return on Investment) – uma métrica utilizada para mensurar o rendimento obtido em relação ao custo incorrido -, o estudo demonstra que, na média global, para cada US$ 1 investido por empresas em privacidade e proteção de dados pessoais, o retorno do investimento é de US$ 2,70. Há variações com relação a esse valor, a depender do país, sendo que, no Brasil – um dos países com ROI em privacidade mais relevante -, o coeficiente é de 3,3 vezes o valor investido.
De acordo com as respostas das empresas entrevistadas, a maioria avalia que o ROI equivale ou ultrapassa o valor dos investimentos, sendo que mais de 40% dessas empresas reconhecem que os benefícios comerciais decorrentes dos investimentos em privacidade e proteção de dados pessoais equivalem a pelo menos o dobro de seus custos.
O estudo demonstra ainda que empresas cujos programas de privacidade e proteção de dados pessoais sejam mais maduros possuem um ROI ainda maior, de US$ 3,10, em comparação aos programas menos sofisticados, de US$ 2,30.
Recentemente, o Relatório de Governança de Privacidade da IAPP-EY de 2021 apontou que os orçamentos de privacidade e proteção de dados pessoais nas empresas, aumentaram de forma significativa a partir de 2020, com orçamento médio no valor de US$ 350.000.
Privacidade e proteção de dados pessoais exige a criação de medidas direcionadas ao atendimento de preceitos legais, prevenção de irregularidades e mitigação de riscos. O processo de conformidade aos preceitos da LGPD traz inúmeros desafios e demonstra a relevância de se ponderar sobre a forma como são tratados os dados pessoais. A atual realidade atrelada à cultura mundial de privacidade e proteção de dados pessoais, além de requerer adaptações estruturais, fomenta a inovação.
Ricardo Mastropasqua é sócio do escritório com foco em Direito Digital Mastropasqua
Este artigo reflete as opiniões do autor, e não do jornal Valor Econômico. O jornal não se responsabiliza e nem pode ser responsabilizado pelas informações acima ou por prejuízos de qualquer natureza em decorrência do uso dessas informações
Fonte: Valor Econômico.
