LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS:
No dia 14 de agosto de 2018, foi sancionada a Lei Geral de Proteção de Dados Pessoais (LGPD ou Lei 13.709/18), primeira legislação específica sobre o tema no Brasil. O texto segue a tendência mundial de fortalecer a proteção dos dados pessoais, garantindo uma série de direitos aos titulares dos dados, bem como impondo importantes obrigações aos agentes de tratamento.
É uma regulamentação que visa a impulsionar o desenvolvimento econômico e tecnológico no país, trazendo maior segurança jurídica às operações que envolvem o tratamento de dados pessoais.
A LGPD reproduz pontos centrais da General Data Protection Regulation (GDPR), rigorosa regulamentação européia, que entrou em vigor no dia 25 de maio de 2018 e obrigou empresas a realizarem substanciais alterações em sua forma de lidar com dados pessoais.
Por ser uma legislação bastante protetiva ao titular de dados e por classificar a atividade de tratamento de dados como uma ‘operação de risco’ – inclusive com responsabilização objetiva dos agentes –, a LGPD vai exigir atenção e um cuidadoso planejamento por parte dos agentes de tratamento que se utilizam de dados pessoais.
A LGPD se aplica a qualquer agente (pessoa física, jurídica ou órgão público) que pratique tratamento de dados, termo definido no texto como “toda operação realizada com dados pessoais”, compreendendo desde o simples acesso aos dados de funcionários, fornecedores e consumidores até o armazenamento, transferência, classificação, eliminação, ou qualquer outra manipulação desses dados pessoais. Neste sentido, é certo que a legislação impactará diferentes áreas internas das empresas, como os setores de Marketing, RH, TI, Jurídico e de Compliance.
Assim como estabelecido na GDPR, a Lei brasileira prevê o princípio da extraterritorialidade em sua aplicação. Com isso, ficam sujeitas às novas regras não somente empresas estabelecidas no Brasil, como também entidades que realizam tratamento ou tenham coletado dados em território nacional e empresas que tenham como objetivo a oferta ou fornecimento de bens ou serviços a indivíduos localizados no país.
A Lei cria, ainda, figuras importantes, como o Controlador, o Operador e o Encarregado.
O primeiro é convencionado como a pessoa física ou jurídica a quem compete a tomada de decisões referentes ao tratamento de dados, bem como a obrigação de comunicar à autoridade competente qualquer incidente de segurança que possa trazer riscos ou danos relevantes aos titulares dos dados pessoais. O segundo, por sua vez, é quem de fato realiza o tratamento dos dados em nome do Controlador. O Encarregado é definido como a pessoa física, indicada pelo Controlador, que irá atuar como um canal de comunicação entre o Controlador, os titulares e a autoridade competente. Vale lembrar que ao Controlador e ao Operador recai responsabilidade objetiva pela atividade de tratamento de dados.
O TRATAMENTO DE DADOS É PERMITIDO EM 10 HIPÓTESES:
- Mediante o consentimento do titular
- Para cumprimento de obrigação legal ou regulatória
- Pela administração pública, para execução de políticas previstas em leis
- Para a realização de estudos por órgão de pesquisa, desde que mantido o anonimato
- Para execução de contrato do qual é parte o titular dos dados
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral
- Para proteção da vida ou da incolumidade física do titular ou de terceiro
- Para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias
- Para proteção do crédito, nos termos do Código de Defesa do Consumidor
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiros (exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais).
AS OBRIGAÇÕES DOS AGENTES
Os agentes de tratamento de dados pessoais devem garantir que o tratamento seja realizado de modo adequado, proporcional e limitado ao mínimo necessário para cumprimento de finalidade específica. Além dessa exigência, a LGPD prevê uma série de outras obrigações e responsabilidades atreladas ao tratamento de dados pessoais.
AS MEDIDAS DE SEGURANÇA
Os agentes deverão utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais e prevenir a ocorrência de danos. Em essência, as empresas, com a entrada em vigor da Lei, serão obrigadas a implementar medidas de segurança baseadas no risco, levando em consideração a natureza, os propósitos, o contexto e o escopo do processamento de dados, assim como as suas implicações.
Uma das principais mudanças a ser adotada pelas empresas é o conceito designado na GDPR como “Privacy by Design”, juntamente com “Privacy by Default”, princípios até então de caráter meramente consultivo.
O “Privacy by Design” consiste em aplicar os conceitos e princípios da proteção de dados desde a criação de uma tecnologia, de modo que esses estejam intrinsecamente integrados à sua funcionalidade.
Já o “Privacy by Default” exige que os controladores implementem medidas apropriadas, tanto em nível técnico quanto organizacional, para garantir que as tecnologias funcionem, natural e automaticamente, de forma a processar apenas o mínimo de dados pessoais necessário para cumprir seu propósito específico. Esse modelo de desenvolvimento visa a evitar o processamento excessivo, e auxiliar o controle sobre o armazenamento e a acessibilidade dos dados.
A Obtenção de Consentimento
Ressalvadas as 9 hipóteses em que é permitido o tratamento de dados, o agente deve obter o consentimento livre, informado e inequívoco – por escrito ou outro meio que demonstre a manifestação da vontade – do titular dos dados, tanto para realizar o tratamento quanto para compartilhá-los com outras empresas. Tal consentimento pode ser revogado pelo titular dos dados a qualquer tempo.
A Prestação de Contas
Ainda de acordo com o texto aprovado, além de efetivamente cumprir a Lei, os agentes de tratamento são responsáveis por adotar medidas eficazes e que sejam capazes de efetivamente comprovar a observância e o cumprimento das normas – de modo que seja possível comprovar, inclusive, a eficácia de tais medidas. Essa obrigação faz parte do princípio da prestação de contas (accountability) por parte do agente.
As Alterações na Forma de Tratamento
O agente deverá comunicar ao titular, de forma clara e específica, quaisquer alterações na finalidade, forma, ou duração do tratamento dos dados, bem como alterações sobre o compartilhamento ou na identificação do responsável pelo tratamento.
Em situações específicas, o agente deverá eliminar os dados pessoais após o término do tratamento – o que pode se dar pelo alcance da finalidade, fim do período acordado para tratamento, pedido do titular ou determinação de órgão competente.
OS DIREITOS DO TITULAR
A Lei prevê uma série de direitos aos titulares dos dados pessoais, que devem ser garantidos pelos agentes de tratamentos.
Além disso, os agentes de tratamento são responsáveis por manter os titulares informados de seus direitos, de forma clara, objetiva e acessível. Dentre os direitos garantidos aos titulares estão:
→ Confirmação e informações sobre o tratamento de seus dados
→ O acesso fácil aos dados que foram coletados
→ A anonimização, bloqueio ou eliminação de seus dados
→ A revogação do consentimento previamente concedido
→ A correção de dados incompletos inexatos ou desatualizados
→ A portabilidade dos dados pessoais a outro fornecedor de serviço ou produto
A TRANSFERÊNCIA INTERNACIONAL DE DADOS
A LGPD autoriza a transferência internacional de dados apenas nos casos previstos no texto legal, que incluem, dentre outras hipóteses, (i) a transferência para países com grau de proteção considerado adequado pela autoridade competente, e (ii) mediante cláusulas contratuais padrão, em que o Controlador garante o cumprimento da Lei. Vale ressaltar que dados provenientes e destinados a outros países que estejam apenas em trânsito pelo Brasil, sem que seja realizada qualquer operação de tratamento, podem eventualmente não estar sujeitos à aplicação da Lei.
AS SANÇÕES
O descumprimento da LGPD pelos agentes de tratamento de dados pode resultar em diversas penalidades, dentre elas:
→ Recebimento de advertência;
→ Publicização da infração;
→ Bloqueio ou eliminação dos dados pessoais a que se refere a infração;
→ Multas diárias, ou multas simples de até 2% (dois por cento) do faturamento do grupo empresarial no Brasil – limitadas a R$ 50.000.000,00 (cinqüenta milhões de reais) por infração;
Vale destacar que a Medida Provisória (MP) 869/2018, aprovada em julho de 2019, trazia outras três possibilidades de sanções, incluídas pelo Congresso Nacional, que foram vetadas pela Presidência da República. As sanções vetadas pelo governo são: a suspensão parcial do funcionamento do banco de dados por seis meses, suspensão do exercício da atividade de tratamento dos dados pessoais também por até seis meses, e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A AUTORIDADE REGULADORA
O projeto de lei original, com o intuito de garantir o cumprimento das normas ali previstas, previa a criação de uma agência reguladora (Autoridade Nacional de Proteção de Dados – ANPD), autarquia especial vinculada ao Ministério da Justiça, a qual caberia, dentre outras atribuições: elaborar diretrizes para a Política Nacional de Dados Pessoais e da Privacidade; emitir normas específicas; fiscalizar; e aplicar sanções em caso de descumprimento à Lei.
No entanto, conforme se antevia nas discussões que antecederam a sanção, o Presidente Michel Temer entendeu por bem vetar a criação da Autarquia, sob o argumento de que tais dispositivos feriam a Constituição Federal.
Em julho de 2019, com a sanção da Medida Provisória (MP) 869/2018 e sua conseqüente conversão em lei (Lei nº 13.853/2019), a criação da ANPD foi enfim efetivada.
A nova redação da MP, em debate desde fevereiro de 2019 na Comissão Mista formada no Congresso Nacional, já havia sido aprovada em 28 de maio do mesmo ano na forma de Projeto de Lei de Conversão (PLV Nº7/2019) pela Câmara dos Deputados e, no dia seguinte, pelo Senado Federal.
Dentre outras alterações importantes deve-se destacar que a lei estabeleceu uma natureza jurídica transitória à ANPD. A princípio criada como um órgão da Administração Pública Federal Direta, o texto concebeu a possibilidade de sua transformação, em até dois anos, pelo Executivo, em órgão da Administração Indireta, submetido a regime autárquico especial e vinculado à Presidência da República.
Tal possibilidade de mudança da natureza da ANPD é benéfica às empresas que transferem dados para a União Européia, visto que a Regulação Européia de Dados (GDPR) prevê como uma das exigências para considerar um país com grau de proteção adequado, a independência de suas autoridades supervisoras em relação a seu governo. Figurar como país com proteção adequada na lista da Comissão Européia permite maior facilidade no cenário de transferência internacional de dados com a UE, dispensando eventuais procedimentos burocráticos envolvidos nas demais bases legais que são permitidas pela GDPR.
A OBRIGATORIEDADE E VIGÊNCIA
Com a publicação da Lei nº 13.853/2019, a LGPD passa a vigorar 24 (vinte e quatro) meses após a data de sua publicação oficial, o que dá aos agentes de tratamento de dados até agosto de 2020 para se adaptarem à nova lei.
Tathiane Dalla Vecchia
Advogada especializada em Direito Proc. Civil.