A Lei Geral de Proteção de Dados Pessoais (LGPD), sancionada em 14 de agosto de 2018, é extremamente técnica e reúne uma série de itens de controle para garantir seu integral cumprimento – cujo fundamento se dá na proteção dos direitos humanos, nos termos da Lei nº 13.709/2018.
Em tese, constitui um regramento específico que traz princı́pios, direitos e obrigações ligados às bases de dados relacionados às pessoas naturais e jurı́dicas de direito público e privado.
A essência da lei é zelar pelos direitos fundamentais de liberdade, privacidade e o livre exercício dos direitos de personalidade, trazendo como premissa a boa- fé para todo tipo de tratamento de dados pessoais.
A lei prevê uma série de premissas para controles técnicos e de governança da segurança da informação. Abordaremos nas próximas linhas os principais aspectos deste novo regramento jurídico sobre o tema.
A LDPD tem como objetivo:
- a) Contribuir para um espaço de liberdade, segurança e justiça e de uma união econômica, para o progresso econômico e social, a consolidação e a convergência das economias no nıv́el do mercado interno e para o bem estar das pessoas fı́sicas;
- b) assegurar um nıv́el coerente de proteção das pessoas fı́sicas no âmbito da União e evitar que as divergências sejam um obstáculo à livre circulação de dados pessoais no mercado interno;
- c) garantir a segurança jurídica e a transparência aos envolvidos no tratamento de dados pessoais, aos órgãos públicos e à sociedade como um todo;
- d) impor obrigações e responsabilidades iguais aos controladores e processadores, que assegurem um controle coerente do tratamento dos dados pessoais;
- e) possibilitar uma cooperação efetiva entre as autoridades de controle dos diferentes Estados-Membros.
No ano de 2018, entrou em vigor a General Data Protection Regulation (GDPR), que é a lei de proteção de dados da União Europeia, sancionada após casos midiáticos, como as revelações feitas por Edward Snowden sobre a espionagem feita pelos Estados Unidos e o caso Cambridge Analytica, onde foram roubados em torno de 50 milhões de dados de usuários do Facebook.
A partir desse ponto, todas as empresas que desejarem prestar serviços no âmbito da União Europeia estão sujeitas a GDPR.
A primeira legislação brasileira focada totalmente para o Direito Digital foi a Lei 12.965/2014, mais conhecida como o Marco Civil da Internet, que teve como foco regulamentar as atividades em ambientes virtuais, que inclusive serviu de norte para os princípios de proteção de dados dos usuários.
Após a Europa adotar medidas mais incisivas para a proteção de dados da sua população e vendo o risco de problemas com a relação estratégica, o Brasil promulgou a lei 13.709/2018 (Lei Geral de Proteção de Dados) onde foi alterado o Marco Civil da Internet, no que toca a proteção e tratamentos de dados dos brasileiros.
Tanto a legislação nacional e internacional possuem o mesmo conceito: a proteção de dados, consentimento do titular do uso dos dados, o que as empresas podem ou não fazer com esse dados, e as sanções para quem descuprir as normas. Porém, a legislação europeia é muito mais específica em relação às penalidades e o meio de tratamento desses dados.
Tanto a GDPR quanto a LGPD possuem caráter nacional e internacional, uma vez que há empresas no exterior que possuem acesso aos dados de usuários brasileiros, e com isso são obrigadas a seguir a LGPD mesmo sem estar situada no Brasil. Como o Brasil também têm ligações comerciais com a Europa, será necessário seguir as duas legislações, para que não estejam sujeitos a nenhuma sanção ou penalidade.
O que poderíamos considerar como dados pessoais? A LGPD traz em seus enunciados as definições do que seriam os dados pessoais, sendo consideradas aquelas informações que possam identificar ou tornar identificável a pessoa física natural, sendo eles, dados de documentos de identificação, endereço residencial e eletrônico, placa de automóvel, código do IP, dados de localização, perfis de compra, dados acadêmicos, salientando que esses dados serão sempre relacionados a pessoa natural viva.
Além disso, a nova lei, também determina como e quais dados necessitam de tratamento, aqueles que possam causar algum tipo de preconceito em relação ao titular (relacionados às suas características e escolhas pessoais, tais como, origem racial ou étnica, opção sexual, religião, filiação a sindicatos, partidos ou associações religiosas, informações sobre saúde ou sobre a vida sexual, dado genético ou biológico)sempre vinculado a uma pessoa natural viva.
Mesmo tendo a lei como principal foco a área digital, devemos salientar que o tratamento desses dados deverá ser feito tanto em arquivos digitais, quanto em arquivos físicos, visto que esses também são de suma importância para a proteção do titular.
A partir desse ponto podemos perceber que haverá significativo impacto nos procedimentos de todas as empresas, sendo elas de pequeno, médio ou grande porte.
O tratamento dos dados inicia a partir da autorização do titular dos dados, sem isso, a empresa não poderá iniciar nenhum tipo de tratamento ou reorganização dessas informações.
Este consentimento deverá ser extremamente rigoroso e detalhado, de forma que seja especificado quais dados serão utilizados para o tratamento e qual a finalidade.
Um ponto que merece atenção é o tratamento de dados de crianças e adolescentes, que nunca poderá ser recolhido sem o consentimento expresso dos pais ou responsável legal
Os tratamentos de dados deverão ser iniciados com uma finalidade objetiva, ou seja, deverá estar expresso qual o propósito para a coleta desses dados, deixando sempre explícito nos termos de consentimentos do titular por escrito ou outro meio inequívoco.
Ao realizar a coleta dos dados, devem ser colhidos apenas aqueles essenciais ao fim pretendido, uma vez que a captação de dados desnecessários poderá ocasionar sanções para a empresa.
Durante o tratamento desses dados, o titular poderá a qualquer tempo solicitar as informações sobre o procedimento, além de poder solicitar a exclusão dessas informações da base de dados da empresa.
O tratamento deverá oferecer uma anonimização dos dados pessoais, ou seja, esses dados serão organizados de uma maneira que não possibilite identificar ou realizar uma associação com o seu titular.
Em toda a empresa deverá haver um responsável pelo recebimento (Encarregado de Proteção de Dados ou Data Protection Officer – DPO) das informações e formalizar a comunicação entre o titular e a empresa que estará coletando esses dados, chamado de controlador, e também um operador, que é aquele que fará o tratamento dos dados pessoais.
A proteção de dados pessoais das pessoas físicas é classificada como um direito fundamental por diversas legislações em muitos países, como por exemplo, na Europa que está previsto na Carta de Direitos Fundamentais da União Européia e no Brasil, com a previsão no Marco Civil da Internet e na Lei do Cadastro Positivo, ainda que não tendo objetividade e eficiência na aplicação (sem falar na proteção prevista constitucionalmente, quando dos direitos e garantias do indivíduo em relação à privacidade).
A LGPD possui alcance extraterritorial com efeitos internacionais, na medida que se aplica aos dados de titulares brasileiros tratados no exterior.
Esses princípios aplicados ao tratamento de dados pessoais visa fortalecer a proteção da privacidade do titular de dados, a liberdade de expressão, informações, opinião, comunicação, inviolabilidade da intimidade, honra, imagem e o desenvolvimento econômico tecnológico.
Igualmente a lei trata da necessidade de confirmação da existência de um tratamento, acesso aos dados, tanto para a correção, anonimização, bloqueio ou eliminação dos dados desnecessários, excessivos ou em desconformidade com a lei, eliminação dos dados tratados com consentimento do titular, informação sobre a possibilidade de não fornecer consentimento e consequências da negativa e revogação do consentimento.
A aplicação da LGPD independe do país da sede ou do país da localização dos dados tratados, ampliando assim, de maneira considerável, a sua aplicabilidade.
Dessa maneira, a lei é aplicada a todos aqueles que realizam o tratamento de dados pessoais, sejam eles pessoas físicas ou jurídicas, independentemente do meio, desde que envolva pelo menos um dos elementos descritos abaixo:
(i) ocorrer em território nacional;
(ii) que tenha por objeto a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados em território nacional;
(iii) em que os dados tenham sido coletados em território nacional.
Essas hipóteses são independentes entre si, bastando a presença de apenas uma delas para que a LGPD tenha efeito sobre o responsável pelo tratamento.
De outro lado, a lei não se aplica nas hipóteses em que o tratamento de dados é realizado por pessoa física, para fins exclusivamente particulares, jornalísticos e artísticos, ou ainda, acadêmicos, bem como os realizados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.
Imperioso se faz ressaltar que a delimitação da aplicabilidade da lei em relação aos tipos de dados que são considerados regulados, evidencia que o tratamento de dados pessoais deve seguir um propósito certo e funcional, mas que não afete a liberdade de expressão e de informação, uma vez que um o foco do dispositivo em comento consiste em regular as atividades cujo objetivo seja a oferta ou o fornecimento de bens ou serviços (ambiente negocial, com fim econômico).
Assim, com a necessidade de garantir os direitos dos titulares de acordo com o que prevê a LGPD, as instituições devem estar preparadas para atender, dentro de um prazo razoável, as seguintes exigências:
(i) confirmação da existência de um tratamento dentro dos moldes estabelecidos;
(ii) permitir aos titulares acesso aos seus dados, disponibilizando meios para tanto;
(iii) realizar a correção de dados incompletos, inexatos, ou ainda, desatualizados;
(iv) garantir a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei;
(v) permitir a portabilidade dos dados a outro fornecedor de serviço ou produto;
(vi) viabilizar a eliminação dos dados pessoais tratados com o consentimento do titular;
(vii) disponibilizar informação sobre a possibilidade de não fornecer consentimento e consequências da negativa;
(viii) possibilitar a revogação do consentimento;
Ainda, nesse sentido, a legislação em análise trata sobre a responsabilidade e o dever de ressarcimento dos danos que o controlador ou operador] vier a causar a terceiro.
Dessa maneira, foram estabelecidas penalidades assim como as previstas na GDPR, contudo, considerando a necessidade de adaptação para a realidade social e econômica do Brasil, algumas sanções foram alteradas ou simplesmente vetadas quando da sanção.
A aplicação de sanções administrativas tem como objetivo estimular o cumprimento das normas estabelecidas em caráter preventivo vão desde advertência até aplicação efetiva de multas simples e diária, que fica limitada a um total de 50 milhões, conforme abaixo:
“Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
VII – (VETADO);
VIII – (VETADO);
IX – (VETADO).
X – (VETADO); (Incluído pela Lei nº 13.853, de 2019)
XI – (VETADO); (Incluído pela Lei nº 13.853, de 2019)
XII – (VETADO). (Incluído pela Lei nº 13.853, de 2019)”
Assim, cabe à autoridade nacional responsável a análise do caso e proporcional aplicação das medidas de sanção.
Portanto, tanto a fiscalização quanto o estímulo da adoção de mecanismo de controle interno, bem como a instituição de padrões técnicos de garantia e segurança à informação também serão realizados pela autoridade competente que foi criada recentemente, no último dia 09 de julho de 2019.
As empresas devem, nos prazos previstos, implementar medidas e revisar todos os procedimentos internos, a fim de garantir a integral observância da LGPD e evitar sanções.
Essa adequação passa por um plano de ações e que passa pela revisão de contratos, formulários, termos de uso de softwares dentre outros que deve ser implementado até 13 de agosto de 2020. Portanto, é de extrema importância a obtenção de apoio jurídico nessa questão.
Elaborado pelo Grupo de Estudos do escritório Ribeiro & Albuquerque Advogados Associados, formado por:
Danielle Telles, Mariana Luz; Pedro Pacheco; Rafaela Bacarini; Samira Soriano; Thais Romualdo.
Coordenação: Dr. Wesley Albuquerque
Colaboração: Dra. Carolina da Fonte Batistela e Dra. Caroline Ribeiro Viana.
Referência:
“Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”
Bibliografia de referência:
1- Pinheiro, Patricia Peck. Proteção de Dados Pessoais – Comentários à Lei n. 13.709/2018 (LGPD). 1ª Edição. São Paulo: Saraiva Educação, 2018.
2- Maldonado, Viviane Nóbrega, Blum, Renato Opice, coordenadores – LGPD: Lei Geral de Proteção de Dados comentada – 1ª Edição – São Paulo: Thomson Reuters Brasil, 2019.
