TJ-SP aplica normas da Lei Geral de Proteção de Dados

TJ-SP aplica normas da LGPD para decidir caso do “projeto de câmeras de reconhecimento facial no Metrô de São Paulo”: entidades de previdência se manter atentas aos precedentes judiciais sobre a matéria

 

A 1ª Vara de Fazenda Pública do Tribunal de Justiça de São Paulo (“TJ-SP”), em decisão publicada em 20.02.2020, julgou parcialmente procedente a ação autônoma de produção antecipada de provas nº 1006616-14.2020.8.26.0053, ajuizada pelas Defensorias Públicas do Estado de São Paulo e da União, Instituto brasileiro de Defesa do Consumidor – IDEC, Coletivo Brasil de Comunicação Social – INTERVOZES e ONG Artigo 19 Brasil, em face do Metrô de São Paulo (“Metrô”), para determinar a apresentação de diversos documentos relacionados aos impactos da Lei Geral de Proteção de Dados (“LGPD”), no prazo de trinta dias.

Trata-se de caso que envolve a licitação LPI nº 10014557 realizada pelo Metrô, em julho de 2019, com a finalidade de instalar um novo sistema de câmeras com reconhecimento facial, nas linhas 1 – azul, 2 – verde e 3 – vermelha, para o monitoramento eletrônico de 3,7 milhões de pessoas diariamente.

O ato decisório acolheu integralmente a pretensão dos autores, determinando ao Metrô:

 (i) que demonstre documentalmente a confiabilidade e eficiência do sistema a ser implantado;

 (ii) a exibição da análise de impacto de proteção de dados, com a discriminação de quais dados serão coletados e tratados;

(iii) a indicação da finalidade do tratamento de dados a ser realizado;

(iv) a indicação da existência de coleta de dados sensíveis;

(v) a indicação do período de retenção dos dados pessoais;

(vi) a classificação do grau de risco do processo de tratamento;

(vii) as ações estabelecidas para mitigação de eventual dano;

(viii) o detalhamento do procedimento de anonimização e guarda dos dados pessoais, bem como o impacto financeiro de eventuais falhas e vazamentos;

(ix) a exibição do banco de dados já existente; e

(x) indicação da governança do futuro banco de dados, que inclui a especificação do controlador, os critérios de segurança de armazenamento, os meios de acesso e os mecanismos de controle social.

Dentre os desafios que se imporá ao Metrô para o cumprimento de referida decisão, se destaca a dificuldade de demonstrar a forma de obtenção de consentimento de pais ou responsáveis para a coleta de dados pessoais de crianças e adolescentes, tendo em vista o que dispõe o Estatuto da Criança e do Adolescente e o art. 14 da LGPD[1].

Adicionalmente, o juízo da 1ª Vara de Fazenda Pública do TJ-SP, indicou que a finalidade para o tratamento de dados alegada pelo Metrô, qual seja a garantia de segurança pública, não condiz com a finalidade da empresa. Neste sentido, requereu a prova do ato administrativo que elucide a motivação pública da licitação em questão.

Como se vê, não obstante a vigência da LGPD esteja prevista somente para agosto próximo, o Poder Judiciário e outros órgão de Estado (no caso concreto as Defensorias Públicas do Estado de São Paulo e da União) já demonstram uma postura ativa para a proteção de dados pessoais com base nos preceitos introduzidos pela norma.

Essa ação se contrapõe à morosidade da própria Administração Pública Federal em dar vida efetiva à Agência Nacional da Proteção de Dados-ANPD, criada por lei para a regulação e fiscalização da LGPD, devendo ser objeto de atento acompanhamento por parte das organizações de mercado que realizam o tratamento de dados pessoais.

A LGPD possui diversas normas abertas, sendo constante em seus dispositivos a menção à necessidade de adoção pelos Agentes de Tratamento de medidas razoáveis (como se pode perceber na dicção dos art. 5º incisos III e XI, art. 2º, § 1º, art. 14, § 5º, art. 44, inciso II, art. 48, § 1º e art. 54).

O Princípio da Razoabilidade é uma diretriz que se irradia a partir de normas constitucionais esparsas para todo o ordenamento jurídico, determinando que o aplicador do direito considere “os fluxos lógicos para tomadas de decisões”[2] ao avaliar a conduta exigível frente a determinada obrigação legal.

Nesse mister, os parâmetros jurisprudenciais devem ser objeto de constante acompanhamento, pois contemplam a ressonância da norma na realidade prática das relações, sendo decisivos para a compreensão das condutadas de adequação à LGPD que podem ser consideradas razoáveis, evitando, por fim, que os esforços das entidades de previdência redundem em uma tarefa de Sísifo.

Essas e outras questões práticas para as entidades fechadas de previdência complementar, serão objeto de aprofundamento no Workshop “A LGPD (Lei Geral de Proteção de Dados) NAS ATIVIDADES DAS ENTIDADES DE PREVIDÊNCIA COMPLEMENTAR”, que será realizado em breve no ICDS.

 

Gabriel Augusto Cintra Leite, advogado associado (gleite@bocater.com.br)

Jessica Perez Lopes, advogada associada (jperez@bocater.com.br)

 

 

 

[1]     Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.

1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

[2]     Santos, Alexandre Pinheiro dos; Osório, Fábio Medina; Wellisch, Julya Sotto Mayor. Mercado de Capitais: Regime sancionador. Série EDB. São Paulo: Saraiva, 2012