‘O transporte público e tratamento de dados pessoais: Cuidados com a entrada em vigor das sanções da LGPD (Lei Geral de Proteção de Dados)’, por Suen Ribeiro Chamat e Caio Figueiroa, ambos do escritório de advocacia Cordeiro, Lima e Advogados, Brasil

Suen Ribeiro Chamat e Caio Figueiroa

Desde a vigência da Lei 13.709/2018 – Lei Geral de Proteção de Dados (LGPD) – vem aumentando as dúvidas e preocupações no âmbito empresarial de todo o território nacional. Esse cenário não é menos relevante às empresas nos setores de logística e mobilidade urbana, considerando a magnitude da demanda de tratamento de dados pessoais na rotina dessas atividades. Em especial, no campo da mobilidade, tem sido cada vez mais intenso a relação de modernização dos serviços de mobilidade segundo as preferências dos usuários, tendência essa que encontra respaldo no conceito de Mobility as a Service (MaaS).

No presente texto, pretendemos apontar algumas dessas preocupações, sendo elas a sobreposição de instâncias fiscalizadoras e a inadequação de algumas das sanções com as atividades desempenhadas no setor. Pretendemos também expor, ao fim, alguns casos práticos acerca da aplicação de preceitos da LGPD na mobilidade urbana, que já evidenciam as dificuldades que serão pauta de discussões no setor.

Publicada em 2018 e entrado em vigor apenas em setembro de 2020, fato é que a LGPD não recebeu a devida atenção à época. É o que se percebe de dados fornecidos porconsultorias especializadas, as quais apontam queapenas 38% das empresas se consideram preparadas para atender a todos os requisitos da lei[1], tendo o cenário se tornado mais turbulento com a entrada em vigor das sanções administrativas, desde 01/08/2021, que será fiscalizado pela ANPD – Autoridade Nacional de Proteção de Dados – entidade competente para zelar pela proteção dos dados pessoais nos termos da legislação.

As penalidades previstas pela LGPD são rigorosas e variam de advertência, com indicação, pela Autoridade Nacional de Proteção de Dados (“ANPD”), do prazo para adoção de medidas corretivas, a multa de até 2% da receita da pessoa jurídica ou de seu grupo econômico no Brasil no ano anterior, limitada a R$ 50.000.000,00 por infração, e mesmo a suspenção de atividades de processamento de dados pessoais e a publicização da infração, que tem potencial de causar danos reputacionais superiores ao valor da multa estabelecida por lei.

Embora o sistema sancionatório decorrente da LGPD tenha entrado em vigor apenas agora, e guarde dependência da aprovação do Regulamento de Fiscalização e Aplicação de Sanções Administrativas da ANPD para sua eficácia – que provavelmente deve ocorrer já nas próximas semanas –já são inúmeras as demandas judiciais apresentadas com base nas determinações da legislação, com potencial de responsabilização por infrações à lei. Destaca-se que nesses casos os pedidos abarcam desde danos morais por supostos incidentes de vazamento de dados a requerimento de informações previstas no artigo 18 da Lei, como exercício do direito dos titulares.

Por outro lado, além das demandas de caráter judicial, persiste uma questão de sobreposição de competências no que tange à fiscalização e aplicação de sanções pelo descumprimento da Lei. É o que se verifica dos artigos 18 e 45, os quais evidenciam que não há exclusividade da ANPD para punição, uma vez que as violações de direitos dos titulares nas relações de consumo continuam sujeitas à legislação pertinente e que o titular dos dados pode exercer seus direitos nos órgãos de proteção do consumidor.

Dessa forma, além da ANPD como agente fiscalizador, Departamento Estadual de Proteção e Defesa do Consumidor (Procon), Secretaria Nacional do Consumidor (Senacon) e Ministério Público também são competentes para fiscalizar as relações entre o titular dos dados e os agentes de tratamento. Em setores regulados, tipicamente o caso dos serviços de transportes, ainda pode haver eventual fiscalização realizada pelo próprio Poder Concedente e/ou pela agência reguladora setorial (como ANTT ou ARTESP).

Em resumo, há muitos caciques para uma vasta tribo, que ainda luta para adequação aos termos da legislação. O que não se nega é que essa pluralidade de instâncias fiscalizadoras propicia em alguma medida uma insegurança, fomentada pela necessidade das empresas a se adequarem às padronizações normativas e adoção de compliance ainda mais rígido e que passe a abarcar todas as atividades atreladas a tratamento de dados pessoais. E no transporte público não é diferente, considerando, como já relatado ao início, a dimensão de dados pessoais atrelada a prestação de serviços.

Uma segunda preocupação que vem ganhando eco no setor diz respeito à incompatibilidade de algumas das sanções administrativas com a própria natureza dos serviços. É o caso, por exemplo, da implantação e gestão dos sistemas de arrecadação e bilhetagem, atividade esta que demanda dados específicos dos usuários, desde os mais simples (como nome, registro geral, endereço) até dados mais complexos (por envolver algum benefício tarifário, como porte de alguma CID). E as atividades de tratamento de dados pessoais e sensíveis conduzidas pelo empresariado decorrem como obrigação legal ou contratual e são essenciais à prestação do serviço público.

Daí se impõe questões triviais de compatibilidade de sanções previstas na LGPD, como a que determina a suspensão das atividades de tratamento ou do funcionamento do banco de dados, a eliminação dos dados, ou ainda, nos casos mais graves, a proibição parcial ou total do exercício das atividades de tratamento. Por certo que penalidades dessa natureza devem se conciliar com o regime jurídico no qual as atividades de transporte público estão inseridas, sob pena de solução de continuidade da própria operação do transporte em si. Emerge desse aspecto a relevância de que entidades representativas tomem a frente para propor medidas regulatórias adequadas ao setor representado, como autoriza a própria LGPD (art. 50, §3º), solução essa que também vem ganhando corpo na mobilidade urbana.

Destaca-se aqui o GEAPRODAM – Grupo de Estudos e Apoio para a Proteção de Dados na Mobilidade, o qual é coordenado pelo escritório Cordeiro, Lima e Advogados, cujo objetivo é estudar os impactos da legislação, nacional e internacional, referente à proteção de dados pessoais e sua aplicação no setor de mobilidade urbana. Propõe-se encontros mensais para discussão a respeito de questões jurídicas e regulatórias, que priorizem entender os arranjos de governança existentes para fins de proteção de dados gerados no setor, especificado para a elaboração de Manual de Boas Práticas e Governança para Proteção de Dados em Mobilidade.

Postas as duas preocupações iniciais, acerca da sobreposição de competências e inadequação de sanções em relação a algumas atividades desempenhadas no setor, cumpre ainda destacar alguns casos práticos atrelados ao setor, que hoje já materializam aspectos que devem ser considerados quando da implantação de um programa de conformidade à LGPD adequado aos operadores de transporte.

No Brasil, com pouco menos de 1 ano da vigência da LGPD, já foram identificadas ao menos 600 decisões envolvendo o tema[2], tanto na área cível quanto trabalhista, bem como expandindo a discussão à seara tributária para apuração de créditos de PIS e Cofins sobre gastos com a implementação e manutenção de programas[3].

Por este motivo, as empresas de transportes necessitam avaliar o alinhamento de suas rotinas às exigências da lei, tais quais a inclusão de dados do usuário, tratamento, estudo e conferência de dado biométrico e compartilhamento com o poder público, além de um meio para reforçar as suas habilidades, reformar a cultura empresarial para adequação no novo modelo de proteção de dados. Imprescindível analisar por completo as exigências e necessidade para o uso de todos os dados que se tem acesso a partir do serviço prestado, a forma como esses dados são armazenados e especialmente o compartilhamento dessas informações.

Para que a empresa se adeque a LGPD, é muito importe que se avalie e revise as normas de segurança de informação e proteção de dados da empresa, além de se buscar requisitos de segurança necessários para garantir confidencialidade dos dados da empresa, ajudando no armazenamento seguro das informações.Em que pesem as sanções estarem em vigor há pouco, como destacado, não se pode deixar de considerar os precedentes atrelados a fiscalização dos novos direitos e garantias outorgados aos titulares de dados, e aos deveres impostos aos operadores. Nesse sentido, o Poder Judiciário tem aplicado a norma exigindo o cumprimento de suas obrigações, muitas vezes aplicando multas às empresas infratoras.

Cita-se como exemplo a multa imposta para a ViaQuatro, concessionária da linha 4 – Amarela do Metrô de São Paulo em recente condenação (maio/2021). A decisão acolhe a insurgência contra o sistema de reconhecimento facial implantado em 2018 para coletar registros biométricos de passageiros, sem o prévio consentimento.

A multa, no valor de R$ 100.000,00 (cem mil reais) foi aplicada pela juíza Patrícia Martins Conceição, da 37ª Vara Cível do Foro Centra da Comarca de São Paulo– Tribunal de Justiça do Estado de São Paulo. Na decisão, a magistrada apontou que a ViaQuatro deveria ter solicitado o consentimento prévio dos passageiros para obtenção de seus dados biométricos. Em manifestação do Ministério Público, este ponderou que pela concessão da tutela de urgência para o fim de se determinar à ré que viesse a cessar a captura de dados por câmeras instaladas junto ao sistema portas digitais, sob pena de multa diária, até que comprovasse o emprego de informação prévia e adequada ao consumidor, bem como a obtenção de consentimento expresso de cada usuário que pudesse ser alvo de captação de imagem.[4]

No caso, a Concessionaria da Linha 4, o IDEC (Instituto Brasileiro de Defesa do Consumidor) e a Defensoria Pública do Estado de São Paulo recorreram ao Tribunal de Justiça.

Necessário apontar também que há mais de um ano, quando as sanções ainda não estavam em vigor, um estudante ajuizou ação[5] de obrigação de fazer em face do Sindicato das Empresas de Transportes de Passageiros no Estado de Pernambuco e Consórcio de Transportes da Região Metropolitana do Recife para questionar acerca da utilização e implementação de biometria facial nos ônibus da Região Metropolitana de Recife.

Os casos apenas ilustramduas dentre inúmeras frentes que o operador de transporte certamente irá enfrentar nos próximos dias, sobretudo com o início de vigência do sistema sancionatório da LGPD. Por essa razão é urgente e essencial que o empresariado busque conhecimento sobre o tema, na medida em que uma consultoria jurídica é investimento necessário para esclarecer eventuais questionamentos que possam aparecer e ajudar a adequar a empresa a cumprir a Lei Geral de Proteção de Dados.

Muito embora a diretora da ANPD, Miriam Wimmer, tenha esclarecido que o caráter da autoridade não deva ser prioritariamente sancionador[6], é necessário o comprometimento de todos os agentes de tratamento para continuar desenvolvendo a cultura protetiva para com suas atividades. Proteção de Dados já é um diferencial classificatório e a competição será cada vez mais acirrada. E no transporte, setor que já vivencia uma das maiores crises em razão da pandemia, quem dorme no ponto acaba pagando um preço alto.


[1] Disponível em <https://www2.deloitte.com/br/pt/footerlinks/pressreleasespage/agenda-2021.html>. Acesso em 15 de julho de 2021.

[2] Justiça já tem 600 decisões envolvendo lei de proteção de dados. Disponível em https://www1.folha.uol.com.br/mercado/2021/07/justica-ja-tem-600-decisoes-envolvendo-lei-de-protecao-de-dados.shtml. Acesso em 14 de julho de 2021.

[3] TNG pode apurar créditos de PIS/Cofins sobre gastos com proteção de dados. Disponível em https://www.conjur.com.br/2021-jul-14/tng-apurar-creditos-piscofins-gastos-protecao-dados. Acesso em 14 de julho de 2021.

[4]No caso, a Concessionaria da Linha 4, o IDEC (Instituto Brasileiro de Defesa do Consumidor) e a Defensoria Pública do Estado de São Paulo recorreram ao Tribunal de Justiça. O feito tramita sob o nº 1090663-42.2018.8.26.0100.

[5] Processo nº 0060336-35.2020.8.17.2001, em trâmite na Seção B da 18ª Vara Cível da Capital de Recife.

[6]Disponível em <https://www.jota.info/casa-jota/multas-lgpd-adaptacao-empresas-02082021>. Acesso em 12 de agosto de 2021.

Suen Ribeiro Chamat, Coordenadora da área de Direito Cível do Cordeiro,Lima e Advogados, pós graduada em Direito Cível e Direito do Consumidor pela Escola Paulista de Direito – EPD. Graduada em Direito pela Universidade de Guarulhos. Especialista em Responsabilidade civil com ênfase em litígios que envolvam o transporte de passageiro pela modalidade terrestre.

Caio Figueiroa, coordenador da área de Infraestrutura e Novos Negócios do Cordeiro, Lima e Advogados, mestrando em Direito Público e Especialista em Direito Administrativopela Escola de Direito de São Paulo daFundação Getúlio Vargas (EDSP-FGV).

Veja também

Por