Desafios da Aplicação da LGPD nos Processos de Recuperação Judicial

DESAFIOS DA APLICAÇÃO DA LGPD NOS PROCESSOS DE RECUPERAÇÃO JUDICIAL – Gestão da Entrada de Informações

Por Giovanna Macedo e Marcos Romano

A Lei Geral de Proteção de Dados (Lei 13.709/2018) regula o tratamento de dados pessoais no território brasileiro. O escopo de atuação, na verdade, não busca abranger apenas empresas com sede em território nacional, mas sim proteger os dados pessoais coletados em território nacional ou utilizado para oferta de bens e serviços aos cidadãos brasileiros, conforme definido no Art. 3º da Lei:

Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

I – a operação de tratamento seja realizada no território nacional;

II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou

III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

O desenvolvimento de uma legislação de proteção de dados no Brasil ganhou força com a edição do Regulamento Europeu sobre proteção de dados (GDPR), que entrou em vigor em março de 2018. O regulamento exige que, para qualquer troca ou transferência de informações de empresas sediadas na União Europeia, é necessário que o país receptor/transmissor tenha uma legislação com níveis compatíveis de proteção da GDPR.

Em 2018, o Congresso acelerou o trâmite e a aprovação da Lei Geral de Proteção de Dados, considerando não só a vigência da GDPR, mas também o desejo brasileiro de ingressar no rol de países da OCDE (Organização do Comércio e Desenvolvimento Econômico), que exige, entre outros fatores, que o país aspirante tenha uma legislação de proteção de dados em grau adequado e uma Autoridade Nacional com liberdade e autonomia para fiscalizar o cumprimento da lei.

Para garantir a possibilidade de adequação das empresas, o legislador previu vacatio legis (período de tempo em que a lei não entra em vigor, possibilitando a adequação dos processos e procedimentos ao disposto na nova lei) de 18 meses, ao menos antes das discussões acerca da Medida Provisória 959/2020.

A entrada em vigor da LGPD sempre foi tema de forte debate entre o Poder Público, Associações de Privacidade de Dados e membros dos setores empresariais. A pandemia iniciada em março de 2020 acentuou os pedidos de prorrogação da entrada em vigor da Lei.

O Congresso Nacional, nesse cenário, aprovou o Projeto de Lei (PL) 1.179/2020 – já convertido na Lei 14.010/2020 – inaugurando o Regime Jurídico Emergencial e Transitório das Relações Jurídicas de Direito Privado durante o período de pandemia. Um dos pontos abarcados foi a prorrogação da aplicação das penalidades da Lei Geral de Proteção de Dados para Agosto de 2021.

Após intensa discussão, o Congresso aprovou também o Projeto de Lei de Conversão (PLV) 34/2020, decorrente da análise da Medida Provisória 959/2020. Esse PLV, pendente de sanção/veto pelo Presidente da República, confirma a entrada em vigor da Lei Geral de Proteção de Dados imediatamente após a sanção/veto.

Isso ocorrerá já que a parte relativa a uma possível prorrogação da entrada em vigor da LGPD foi considerada “não escrita” no PLV, ou seja, mesmo com o veto, a LGPD entrará em vigor imediatamente no dia da sanção/veto, com efeitos retroativos ao dia 16 de agosto de 2020.

Na teoria, a LGPD entrará em vigor no dia em que o PLV 34/2020 for sancionado ou vetado, com efeitos práticos retroativos até 16 de agosto de 2020. Logo, na prática, a LGPD já está em vigor.

De acordo com as reflexões acima e tendo em vista que a LGPD pode ser considerada em vigor, além da importância da análise dos seus impactos e necessidade de adequação das organizações, é também importante pensar como referida questão será tratada nos processos de insolvência, especificamente nos processos de recuperação judicial, em que pode haver um grande volume de dados a serem tratados.

Como é sabido, os processos de recuperação judicial têm como principais players o(a) Magistrado(a), a recuperanda (empresa em recuperação judicial), os credores, o Ministério Público e, por fim, o(a) Administrador(a) Judicial.

O Administrador Judicial, enquanto auxiliar do juízo na fiscalização das atividades da empresa em recuperação judicial e os advogados das Recuperandas, são os agentes que mais lidam com informações e dados provenientes da empresa em recuperação judicial, e, por vezes, a depender da complexidade do processo, o volume de informações pode ser muito grande.

Diante disso, os profissionais que atuam nesta área devem estar atentos às modificações a fim de resguardarem os dados a que tiveram acesso no desempenho de suas funções.

Em que pese a situação ser recente, é interessante já aproximar as discussões da prática, e isso só é possível quando existe uma compreensão do conceito de dados pessoais e quais são os dados comuns e os dados sensíveis.

Para regular o tratamento de dados pessoais, a Lei Geral de Proteção de Dados precisou trazer o conceito de dado pessoal, separando em duas grandes categorias os tipos de dados pessoais:

 

Dentre as alterações trazidas pela Lei Geral de Proteção de Dados estão as hipóteses legais autorizadoras de tratamento dos dados pessoais. Em termos práticos, essas “autorizações de tratamento” variam a depender do tipo de categoria do dado, já que são 10 hipóteses de tratamento aos dados pessoais e outras 7 hipóteses de tratamentos para dados pessoais sensíveis.

No âmbito dos processos de recuperação judicial, a hipótese mais utilizada em ambos os casos (dados pessoais comuns e dados pessoais sensíveis) deverá ser o da utilização em Processo Judicial, mas cada operação de tratamento realizada, seja no âmbito dos credores, Recuperandas ou Administradores Judiciais, deverá ser analisada concretamente. Não existe uma única resposta geral quando o assunto é tratamento de dados.

Esse cenário é recorrente no âmbito da União Europeia, onde, com a entrada em vigor da GDPR, os administradores judiciais (trustees), por exemplo, incorporaram obrigações e responsabilidades no processamento dos dados pessoais com que tem contato. Cada operação de tratamento realizada deverá ser balizada por uma base legal autorizadora e estar em consonância com os princípios expostos na legislação.

Como mencionado, as equipes de Administração Judicial e de apoio advocatício à recuperanda são os agentes que mais recebem informações, e pelos mais variados meios (via processo, via whatsapp, telegram, e-mail, portal específico, etc), sendo necessária e primordial uma gestão clara das informações recebidas e do tratamento destas informações.

Não obstante a necessidade de gestão da entrada de informações, é primordial que uma equipe de Administração Judicial que possua um canal de comunicação virtual entre os agentes do processo e eventualmente terceiros interessados, em que há o compartilhamento de dados pessoais provenientes dos processos de recuperação judicial esteja resguardada no que diz respeito a proteção de dados.

Não é novidade que as equipes de administração judicial estejam trazendo soluções inovadoras que possibilitem o acesso simplificado dos processos de recuperação judicial em seus sites ou portais, considerando a dificuldade de acesso à informação dentro do processo de recuperação judicial, que normalmente possui milhares de folhas/movimentações.

Diante disso, toda cautela é necessária, com a elaboração de políticas de privacidade e de termos de uso, e devido ao volume de dados recebidos os agentes do processo deverão sempre ter em mente as bases legais para tratamento dos dados e segurança da informação em cada operação.

#insolvencia #LGPD #falencia #administracaojudicial #recuperacaojudicial #protecaodedados