Dia: 4 de setembro de 2025

Publicado em por

LGPD E DIREITO PENAL: ATÉ ONDE VAI A RESPONSABILIZAÇÃO POR INCIDENTES DE SEGURANÇA

A Lei Geral de Proteção de Dados Pessoais foi concebida para assegurar a privacidade e estabelecer regras rígidas quanto ao tratamento de informações pessoais. Sua estrutura normativa concentra-se em sanções administrativas e civis, aplicáveis sobretudo pela Autoridade Nacional de Proteção de Dados (ANPD) e pelo Judiciário em ações indenizatórias. Contudo, ainda que a lei não tenha criado crimes específicos, determinadas condutas relacionadas a vazamentos podem ser enquadradas em tipos penais já previstos no ordenamento jurídico brasileiro.

Quando o incidente resulta de falha técnica, descuido ou acidente, a consequência tende a ficar restrita à esfera administrativa e cível: multas, obrigação de comunicar os titulares e a ANPD, medidas de reparação e, eventualmente, indenização pelos prejuízos sofridos. Nessas hipóteses, inexiste crime, mas subsistem impactos relevantes para a empresa em termos de credibilidade e custos financeiros.

A responsabilidade criminal surge quando há dolo na manipulação, acesso ou divulgação dos dados. Casos de invasão de dispositivos, estelionato praticado em ambiente digital, concorrência desleal e outras práticas previstas no Código Penal e em leis especiais podem alcançar não apenas terceiros mal-intencionados, mas também controladores e operadores de dados que tenham participado, de forma direta ou indireta, do ilícito.

Para mitigar riscos, o caminho mais eficaz é a adoção de um programa estruturado de Compliance Digital. Esse modelo de governança envolve políticas internas claras, protocolos de segurança da informação, auditorias periódicas e, sobretudo, treinamento contínuo de colaboradores para que compreendam a relevância do correto manuseio de informações pessoais e sensíveis.

Entre as principais finalidades desse tipo de programa, destacam-se:

  • assegurar conformidade normativa no uso de tecnologias e dados;
  • garantir integridade e confidencialidade das informações tratadas;
  • reduzir riscos de incidentes como fraudes, vazamentos e ataques cibernéticos;
  • consolidar a reputação institucional e a confiança de clientes e parceiros.

A proteção de dados, portanto, não deve ser vista apenas como cumprimento de uma obrigação legal, mas como parte integrante da governança corporativa. Ao unir tecnologia, gestão e cultura organizacional, a empresa reduz substancialmente a probabilidade de vazamentos e se coloca em posição de defesa mais sólida diante de possíveis sanções administrativas, demandas indenizatórias e até repercussões criminais.

Esse alinhamento entre prevenção, conformidade e segurança não só resguarda juridicamente a organização, como preserva um dos ativos mais valiosos no ambiente empresarial contemporâneo: a confiança.

Publicado em por

O TRATAMENTO DE DADOS PESSOAIS NO MERCADO DE ARTE E SEUS DESAFIOS JURÍDICOS

O mercado de arte costuma ser retratado de maneira quase mítica: grandes leilões, cifras milionárias, compradores discretos e destinos incertos para as obras. No entanto, a prática revela outra realidade. A maior parte das galerias brasileiras é de pequeno ou médio porte, com equipes enxutas e volumes de negociação bem mais modestos do que a percepção pública sugere. Pesquisas recentes apontam que a maioria dessas empresas movimenta até R$ 5 milhões ao ano, com colecionadores que compram obras de valores relativamente acessíveis, em geral abaixo de R$ 50 mil.

Um elemento central nas transações é a chamada trajetória da obra, que reúne registros sobre propriedade, circulação, exposições, restaurações e valores praticados ao longo do tempo. Esse histórico influencia diretamente a precificação, funcionando, em certo sentido, como a matrícula de um imóvel. Do ponto de vista jurídico, esse conjunto de informações envolve o tratamento de dados pessoais de diversos titulares, com armazenamento de longo prazo e muitas vezes indeterminado. Surge, então, o desafio: como compatibilizar a necessária divulgação desses dados com a proteção legal da privacidade e com o sigilo que muitos compradores exigem?

Além disso, o setor lida com pressões por maior transparência, seja em razão da assimetria de informações comerciais, seja pela necessidade de atender a normas de prevenção à lavagem de dinheiro. No Brasil, os negociantes devem estar inscritos no CNART e comunicar operações em espécie acima de R$ 10 mil. Já na Europa, regulações mais severas exigem a adoção de políticas de identificação de clientes e monitoramento contínuo de transações. Nessas situações, a hipótese legal que legitima o tratamento de dados é a obrigação regulatória, prevista na LGPD.

Ainda que o regulamento da ANPD para agentes de pequeno porte conceda certa flexibilidade – como o uso de registros simplificados e a dispensa formal de um encarregado de dados – as galerias permanecem responsáveis por assegurar medidas mínimas de segurança da informação. Isso inclui não apenas a gestão de cadastros de clientes e fornecedores, mas também cuidados com possíveis transferências internacionais de dados, comuns em operações de exportação de obras ou uso de sistemas estrangeiros.

Nesse contexto, tecnologias como o blockchain têm sido apontadas como alternativa promissora. A possibilidade de registrar a trajetória de obras em uma rede digital descentralizada oferece segurança contra fraudes e falsificações, ao mesmo tempo em que mantém a rastreabilidade das informações. Porém, surgem novas questões jurídicas, especialmente quando se considera o direito de exclusão ou retificação de dados em um ambiente de registros imutáveis.

O fato é que o mercado de arte se encontra diante de um ponto de inflexão: busca tornar-se mais transparente e moderno, ao mesmo tempo em que precisa respeitar os limites da proteção de dados pessoais. A adequação às normas não deve ser vista apenas como obrigação, mas como oportunidade de profissionalizar ainda mais um setor que, embora marcado pela tradição, depende cada vez mais da confiança, da ética e da inovação tecnológica para sustentar sua relevância global.

Publicado em por

A EXCLUSÃO DE DADOS PESSOAIS NO BRASIL: O QUE A LGPD GARANTE AO TITULAR

O avanço da tecnologia da informação trouxe para o centro das relações sociais e econômicas um bem intangível, mas extremamente valioso: os dados pessoais. Nesse novo paradigma, ganha relevância a discussão sobre até que ponto o titular pode controlar as informações que circulam a seu respeito, sobretudo no ambiente digital.

Origem do conceito e influências internacionais

O chamado “direito ao esquecimento digital” ganhou contornos jurídicos na Europa, quando tribunais reconheceram a possibilidade de cidadãos exigirem a retirada de links com informações antigas ou desatualizadas, ainda que lícitas. Posteriormente, esse entendimento foi incorporado ao regulamento europeu de proteção de dados, que prevê expressamente o “direito ao apagamento”.

O tratamento da questão na legislação brasileira

No Brasil, embora a expressão “direito ao esquecimento” não conste da legislação, a Lei Geral de Proteção de Dados trouxe dispositivos que permitem ao titular solicitar a eliminação de seus dados, especialmente quando o tratamento se dá com base no consentimento.

O artigo 18 assegura esse direito de forma clara, e o artigo 16 complementa ao estabelecer limites temporais e hipóteses de conservação de informações. Assim, mesmo sem a nomenclatura europeia, o ordenamento brasileiro contempla a ideia de exclusão de dados, aproximando-se da lógica do direito ao esquecimento.

O contraponto com outros direitos fundamentais

Nem toda pretensão de exclusão pode ser atendida de maneira automática. A legislação impõe limites quando o interesse público, a liberdade de expressão ou a necessidade de cumprimento de obrigação legal se sobrepõem ao direito individual à eliminação de dados.

O equilíbrio exige análise caso a caso, observando critérios como a atualidade da informação, sua relevância social e o papel desempenhado pela pessoa envolvida. É a aplicação concreta do princípio da proporcionalidade na ponderação entre privacidade e liberdade de expressão.

A jurisprudência brasileira e seus contornos

O Supremo Tribunal Federal, ao julgar o tema do direito ao esquecimento, concluiu que ele não encontra amparo direto na Constituição quando se trata da divulgação de fatos verídicos e lícitos. Contudo, esse posicionamento não elimina a possibilidade de responsabilização por abusos, nem afasta a aplicação das garantias trazidas pela LGPD, que regula de maneira específica o tratamento de dados pessoais.

Na prática, permanece o espaço para que o direito de eliminação previsto na LGPD seja aplicado de forma autônoma, especialmente em situações de consentimento revogado, anonimização ou bloqueio de informações.

Os desafios tecnológicos

Implementar o apagamento de dados não é tarefa simples. A natureza descentralizada da internet, a facilidade de replicação de informações, a possibilidade de reidentificação por meio da inteligência artificial e a imutabilidade de tecnologias como o blockchain são obstáculos relevantes.

Essas barreiras demandam soluções técnicas, como mecanismos de controle de acesso mais sofisticados, práticas de descarte seguro e métodos de “desaprendizado” em sistemas de inteligência artificial. O avanço normativo, portanto, precisa caminhar ao lado do desenvolvimento tecnológico.

O direito à eliminação de dados, ainda que não receba no Brasil a nomenclatura de “direito ao esquecimento digital”, existe e se encontra positivado na LGPD. Sua efetividade depende não apenas da interpretação constitucional e legal, mas também do compromisso dos agentes que tratam dados pessoais em implementar práticas que respeitem a dignidade da pessoa humana.

Em última análise, a comparação entre a legislação europeia e a brasileira revela mais convergências do que divergências: ambas buscam colocar o indivíduo no centro das decisões sobre seus próprios dados. O desafio brasileiro é consolidar uma cultura de proteção de dados capaz de transformar a letra da lei em garantia concreta.