Este mês, o Procon do Mato Grosso divulgou a aplicação de multa de R$ 572.680,71 à Rede de Farmácias Raia/Drogasil. O motivo foi por obter de forma irregular a autorização dos clientes para o tratamento e uso de seus dados pessoais.
Isso porque, sob o pretexto de realizar a atualização de cadastro para obtenção e manutenção de descontos, a Rede de Farmácias realizava a coleta de dados pessoais e da digital dos consumidores. Depois disso, registrava este ato como autorização do titular para o tratamento dos dados.
Contudo, a ação do Procon-MT, motivada pelo Ministério Público do Mato Grosso (MPE-MT), apontou que, com essa prática, não era cumprida a obrigação de prestar informação ao titular sobre o tratamento de seus dados de forma clara, adequada e ostensiva, conforme previsão contida no artigo 9º da LGPD.
Não basta registrar o consentimento
A primeira reflexão é que: não basta registrar o consentimento do titular por qualquer meio, o Controlador deve prestar informações de forma específica e destacada acerca do tratamento de dados que se busca o livre consentimento do titular.
Ora, se não foi oportunizado ao titular avaliar as circunstâncias do tratamento que se pretende empregar aos dados pessoais dele, como é possível ter sido obtido o consentimento livre e esclarecido?!
O Direito de Informação não é novidade trazida pela LGPD, posto que já previsto em outros diplomas legais, como a própria Constituição Federal de 1988 e o Código de Defesa do Consumidor de 1990. Ou seja, há muito já se sabe que as relações, sejam elas consumeristas ou civis, devem ser pautadas na transparência e na boa-fé.
Além disso, nem sempre o tratamento de dados estará respaldado no consentimento do titular. Pelo contrário. Esta tende a ser a base legal menos utilizada para fundamentar o uso de dados pessoais.
Mesmo assim, deve permanecer o direito do titular de ser informado sobre o tratamento de seus dados pessoais, atendendo ao princípio do livre acesso à finalidade específica, forma e duração do tratamento, existência e forma de compartilhamento com terceiros, identificação de quem controla o tratamento de seus dados e os demais direitos que lhe são inerentes à qualidade de titular dos dados pessoais.
Desta feita, ainda que o agente de tratamento não esteja obrigado a obter o consentimento livre e específico do titular, remanescerá a obrigação de prestar todas as informações inerentes ao uso dos dados pessoais coletados.
Vazamentos não são o único problema
A segunda reflexão é que: nem só de vazamento de dados viverão as infrações à LGPD.
No caso em análise e em tantos outros já divulgados, a violação ao Direito de Informação e as inadequações nos procedimentos internos ainda utilizados pelos agentes de tratamento, como a coleta de dados desnecessários e a não limitação de acesso às pessoas que realmente precisam tratá-los, faz surgir uma infinidade de infrações que podem, desde logo, serem fiscalizadas e punidas.
Note que, na autuação à Rede de Farmácias Raia/Drogasil não há nenhum vazamento de dados, hacker ou incidente de segurança envolvido, mas, apenas, despreparo dos profissionais que atendem ao público e ausência de informação clara e ostensiva.
Dia 1 de agosto chegou
Já a terceira reflexão vem nos lembrar que: o monstro do dia 1 de agosto de 2021 já chegou e os agentes de tratamento não precisam mais esperar para serem autuados e multados por descumprimento às normas da LGPD.
Criou-se um paradigma de que somente a partir do dia 01/08/2021 é que as empresas poderão ser responsabilizadas por não cumprirem as diretrizes da LGPD, que é quando as sanções administrativas aplicáveis pela ANPD entram em vigor.
Mas, na realidade, como é o caso trazido à baila, outras tantas legislações já tinham por escopo resguardar os direitos dos titulares, principalmente quando estes se enquadram como consumidores.
Além disso, o Procon, o Ministério Público, os Sindicatos e as Entidades de Classe estão aprimorando suas atuações para promoverem administrativamente a fiscalização de mais essa norma de privacidade e proteção de dados, isso sem se falar nas inúmeras ações que já se arrastam no Poder Judiciário.
Centenas de decisões
Conforme levantamento realizado em julho de 2021, a Justiça Brasileira já conta com 600 decisões judiciais envolvendo a LGPD.
Assim, àqueles que aguardam a atuação concreta e efetiva da ANPD para levantar do sofá e agir, aí vai nosso conselho: estejam atentos às outras formas de fiscalização de boas práticas e adequação às normas de privacidade e proteção de dados – não só à LGPD.
Referências: Procon MT; Folha de São Paulo; STJ.