Sanções da Lei de Proteção de Dados entram em vigor em agosto. Por Thaissa Garcia


Thaissa Garcia é advogada, Mestre em Direito Civil pela PUC-SP, atuou por 16 anos como Legal Counsel e Legal Manager no Grupo Vale e atualmente presta assessoria na área de contratos e cuida da área de Proteção de Dados no escritório Albuquerque Melo.

Aprovada em agosto de 2018 e vigente no país desde setembro do ano passado, as sanções previstas na Lei Geral de Proteção de Dados (LGPD) pela Agência Nacional de Proteção de Dados (ANPD) começam a valer a partir de 1º de agosto do corrente ano. As penalidades vão desde advertência à suspensão e até mesmo proibição do tratamento de dados e multas que podem chegar a 2% do faturamento líquido, limitada a R$ 50 milhões.

Um exemplo recente e que merece atenção é o caso da Air Índia, em que cerca de 4,5 milhões de clientes do mundo todo tiveram seus dados roubados, entre nomes, números de cartão de crédito e dados de passaporte. O anúncio, feito pela própria companhia, foi em meados de maio, sobre um episódio de fevereiro de 2021. Em nota, a companhia informou que entrou em contato com as agências reguladoras e já está investigando o caso e melhorando a infraestrutura de segurança de seus sistemas, além de ter notificado emissoras de cartões de crédito e redefinindo senhas de seus programas.

O vazamento também afetou os clientes de outras empresas de aviação, membros do grupo Star Alliance, como a Lufthansa, Air New Zealand, Singapore Airlines, Scandinavian Airlines, Cathay Pacific, Jeju Air, Malaysia Airlines e Finnair. Assim como a maioria das nações civilizadas do mundo, a Índia e seus 1,3 bilhões de habitantes correm em busca de uma lei nacional que consolide os direitos e deveres dos usuários e das empresas que habitam a Internet. Por lá, tramita desde 2019 a PDP Law (Personal Data Protection), ainda em fase de implementação e regulamentação.

Casos como esse, num ambiente em que as passagens são compradas majoritariamente por meio virtual, mostram que os cuidados com os dados dos usuários precisam ser cada vez mais rigorosos. As companhias aéreas são responsáveis pela proteção dos dados pessoais dos passageiros, podendo os mesmos pedirem indenização por eventuais danos causados. As leis que tratam da proteção de dados, inclusive a nossa LGPD, por exemplo, estabelece a importância da transparência acerca do compartilhamento dos dados, bem como a necessidade de um eficiente e moderno mecanismo de segurança de informação.

Embora na Índia uma lei específica sobre a proteção de dados ainda não tenha sido aprovada, mesmo após este direito ter sido elevado à categoria de “direito fundamental”, cabe destacar que o regime de proteção de dados possui extraterritorialidade. Ou seja, as leis de proteção de dados não necessariamente limitam-se ao país onde foram publicadas. Uma vez que o tratamento de dados de passageiros estrangeiros e/ou ocorre a venda de serviços em outros países, as empresas devem respeitar também as leis de proteção de dados destes outros países ou pessoas envolvidas no seu negócio. Desta forma, quando se trata de companhia aérea, tal situação fica ainda mais evidente.

Na União Europeia, o Regulamento Geral sobre a Proteção de Dados (RGPD ou GDPR, em inglês) está em vigor desde maio de 2018. A legislação é utilizada como base no mundo todo, mas nem todos os países aderem aos seus requisitos. Segundo informações da United Nations Conference on Trade and Development (UNCTD), organização intergovernamental ligada à ONU, 66% dos países no mundo possuem legislação relacionada a proteção de dados e privacidade nas redes; 10% possuem legislação em elaboração ou em tramitação; 19% não possuem nenhuma legislação e 10% não disponibilizam dados relacionados ao tema.