01 | 02 | 2019
Artigo de autoria da advogada associada Gabriela Marques de Almeida trata das principais mudanças provocadas pela LGPD e que entrará em vigor a partir de fevereiro de 2020.
O presente artigo foi elaborado com o intuito de esclarecer suscintamente as principais mudanças provocadas pela Lei n. 13.709/2018, também chamada de Lei Geral de Proteção de Dados (“LGPD”) – sancionada recentemente no Brasil – e sobre as consequências que essa normativa traz aos negócios e às empresas em âmbito nacional.
Primeiramente, cumpre pontuar que a LGPD surge em um cenário global de elevada preocupação com a proteção de dados, frente à nova facilidade e popularização do compartilhamento constante de informações na era digital. Diversos países começaram a refletir sobre o papel do estado diante dessas mudanças e sobre a regulamentação desse fluxo de dados.
No começo de 2018, no ápice de escândalos como o do Facebook-Cambrigde Analytica[1], entrou em vigor na União Europeia o General Data Protection Regulation (“GDPR”), regulamento que trouxe rigorosas regras no tocante à proteção de dados de indivíduos que se encontram na União Europeia, estabelecendo balizas para a coleta, processamento e armazenamento dessas informações.
Com clara inspiração na normativa europeia, o Brasil sancionou em agosto de 2018 a LGPD, que prevê regras para a proteção de dados pessoais[2], inclusive nos meios digitais. Essa nova lei entrará em vigor em fevereiro de 2020 e a sua adoção será obrigatória em todo o território nacional, sob pena de aplicação de multas simples, de até 2% (dois por cento) do faturamento da empresa no seu último exercício, ou multa diária, ambas limitadas ao total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração legal.
A QUEM A LGPD SE APLICA?
As disposições da LGPD se aplicam às operações de tratamento[3] de dados pessoais realizadas por qualquer pessoa física ou jurídica de direito público ou privado, (i) realizadas no território nacional; (ii) que objetivem a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; e/ou (iii) que envolvam dados pessoais que tiverem sido coletados no território brasileiro, conforme disposto no artigo 3º da LGPD.
Excetuam-se dessa regra, as seguintes hipóteses de tratamento de dados pessoais realizado por pessoa natural (i) para fins particulares; (ii) para fins jornalísticos, artísticos ou acadêmicos; (iii) para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (nesse último caso, deverá haver legislação específica); ou (iv) provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado com agentes de tratamento brasileiros ou objeto de transferência de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.
Portanto, qualquer negócio que envolva o processamento de dados pessoais de pessoas em território brasileiro tem, a princípio, o período de aproximadamente um ano para se adaptar e se adequar às disposições da LGPD.
PRINCIPAIS MUDANÇAS TRAZIDAS PELA LGPD
A LGPD traz uma nova extensa gama de responsabilidades a serem observadas para o tratamento de dados pessoais. Elencam-se abaixo alguns dos mais importantes tópicos abrangidos por essa legislação.
1) Base legal para o tratamento de dados pessoais A
LGPD permite que empresas ou indivíduos realizem o tratamento de dados pessoais apenas se estes se enquadrarem em uma hipótese legal permissiva para tanto. Isso significa dizer que, para tratar informações pessoais de sujeitos no território brasileiro, é preciso possuir uma base legal para tal atividade.
A lei brasileira de proteção de dados traz dez hipóteses permissivas em seu artigo 7º. A primeira, e mais ampla, é aquela em que o titular dos dados pessoais oferece consentimento expresso para o tratamento. Essa hipótese, importantíssima para a maior parte dos negócios atuais, será tratada com mais detalhes no próximo tópico.
Ainda é possível o processamento de dados quando essa atividade for necessária para a execução de um contrato ou para diligências pré-contratuais, desde que esse tratamento esteja intrinsecamente ligado aos propósitos do contrato. Como exemplo, pode-se citar a necessidade de coletar dados pessoais como nome, número de identidade, endereço, números de conta bancária, entre outros, para a execução de um contrato de fornecimento.
Outra importante possibilidade é aquela de processamento para cumprimento de obrigação legal ou regulatória a que a empresa esteja sujeita. Esse caso aplica-se a qualquer coleta, utilização e transmissão de dados pessoais como meio de cumprir uma obrigação legal do controlador[4], como por exemplo, o armazenamento dos dados dos seus empregados para cumprir obrigações trabalhistas ou a entrega desses dados para uma autoridade para fins de cumprimento de ordem judicial.
Além disso, a LGPD também possibilita o tratamento dos dados, sem a necessidade do consentimento, para medidas que tenham como objetivo a proteção do crédito, como a exigência de informações pessoais para prevenir fraudes.
Finalmente, também existem permissões mais específicas como aquelas de tratamento de dados (i) para a realização de estudos por órgão de pesquisa; (ii) para o exercício regular de direitos em processo judicial, administrativo ou arbitral; (iii) para a proteção da vida ou da incolumidade física do titular ou de terceiro; (iv) pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas; (v) para a tutela de saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; e (vi) quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Essencial destacar, ainda, que a LGPD separa, em uma categoria especial, os dados pessoais sensíveis, quais sejam aqueles dados de uma pessoa natural sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”. Para esse tipo de dado pessoal, conforme previsto no artigo 11 da LGPD, as hipóteses de tratamento são mais restritas, devido à sensibilidade das informações.
Em resumo, para cumprir o princípio de responsabilidade contido no inciso X do artigo 6º da LGPD, o controlador deve ser capaz de demonstrar em todas suas atividades de processamento que está amparado por uma base legal do artigo 7º. Se nenhuma base legal se aplicar ao seu processamento, este será ilegal e violará esse princípio basilar da LGPD, podendo ensejar na responsabilidade do controlador e na aplicação das penalidades legais.
2) Obtenção de consentimento expresso
Uma das mais importantes previsões do GDPR é a necessidade de consentimento expresso dos titulares dos dados pessoais coletados para sua utilização. Logo, sempre que uma empresa for processar alguma informação que não se enquadre nas demais bases legais do artigo 7º da LGPD, expostas acima, a empresa deverá indicar claramente quais os motivos para o uso dos dados pessoais captados, assim como obter a expressa declaração de consentimento do titular daqueles.
A obtenção desse consentimento pode ser feita por escrito ou eletronicamente, ou ainda em sites ou softwares, por meio de uma declaração objetiva, clara e explícita com que o usuário tenha de concordar antes de informar seus dados. Ou seja, é possível que o titular de dados declare consentimento clicando em “eu aceito” em pop-ups ou avisos eletrônicos, por exemplo.
Na formulação desses avisos de coleta e declarações de aceite, é preciso ter em mente as seguintes informações que devem ser respondidas pelo controlador ao titular de dados: Que tipo de informação está sendo coletada? Quem coleta essas informações? Como essas informações são coletadas? Porque elas estão sendo coletadas? Como elas serão usadas? Com quem elas serão compartilhadas? Quais os efeitos desse compartilhamento para os usuários? O uso dos dados pessoais poderia ser alvo de reclamação pelos usuários?
É importante destacar que, de acordo com o artigo 7º, parágrafo 4º da LGPD, não é necessário consentimento do titular para tratamento de dados tornados manifestamente públicos por aqueles, desde que sejam protegidos todos os direitos do titular indicados no tópico abaixo.
Também se pontua que a situação é diferenciada quando se trata do consentimento de crianças e adolescentes, para os quais a LGPD estabelece regras específicas mais rigorosas, como a de consentimento específico e em destaque dados por pelo menos um dos pais ou responsável legal[5].
3) Direitos dos usuários
Outra mudança emblemática da nova lei é o estabelecimento expresso de direitos dos titulares de dados pessoais, que ganham posição de destaque na redação da lei e que balizam sua interpretação. Esses direitos, previstos nos artigos 17 e seguintes da LGPD, devem sempre ser observados pelos controladores durante sua atividade de tratamento. São, resumidamente, os seguintes:
A) O direito de ser informado: os indivíduos têm o direito de serem informados sobre a coleta e uso de seus dados pessoais, incluindo as seguintes informações: as finalidades para processar seus dados pessoais, os períodos de armazenamento para esses dados pessoais, com quem serão compartilhados e a possibilidade de não fornecer consentimento, bem como as consequências dessa negativa. As informações fornecidas devem ser concisas, transparentes, inteligíveis, de fácil acesso e devem usar linguagem clara.
B) O direito de acesso: direito de obter uma cópia de seus dados pessoais, bem como outras informações suplementares, em formato que favoreça o exercício deste direito de acesso, por meio eletrônico ou sob forma de impressão à escolha do titular.
C) O direito de retificação: garante aos titulares de dados o direito de ter os seus dados pessoais imprecisos corrigidos, completados ou atualizados.
D) O direito de apagamento: os indivíduos têm o direito de requerer a exclusão de seus dados pessoais ou anonimização deles.
E) O direito à portabilidade de dados: possibilita aos indivíduos o direito de receber todos os dados pessoais que eles forneceram a um determinado controlador, em um formato estruturado, comumente utilizado e legível por máquina. Também lhes dá o direito de solicitar que uma empresa controladora transmita esses dados diretamente para outra empresa, observados os segredos comerciais e industriais. Isso significa mais facilidade ao titular, que pode, por exemplo, pedir para que uma empresa de televisão por assinatura (NET) passe todos os seus dados a uma empresa concorrente (SKY).
Nesse contexto, é importante que se observem todos os direitos dos titulares de dados pessoais para que o tratamento seja balizado nessas prerrogativas e que qualquer solicitação de um titular relacionada a esses direitos seja prontamente atendida.
4) Transferência internacional de dados
A LGPD também impõe restrições à transferência de dados para outros países ou organizações internacionais não abrangidos pelas suas competências, visando garantir que o nível de proteção dos titulares não seja prejudicado[6]. Logo, grosso modo, de acordo com os artigos 33 a 36 da LGPD, é preciso sempre garantir que o país que receberá os dados tenha níveis de proteção equivalentes aos da lei brasileira.
5) Encarregado pela Proteção de Dados
Nesse contexto, visando criar um ponto focal em cada controlador para garantir a conformidade com as novas regras, a LGPD obriga as empresas a indicarem um encarregado pelo tratamento de dados pessoais, nos termos de seu artigo 41, que deverá (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da autoridade nacional e adotar providências; (iii) orientar os funcionários e os contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; (iv) e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Essa figura poderá ser um diretor, gerente, um empregado ou qualquer pessoa que tenha autonomia e que possa garantir a conformidade da empresa com a LGPD. Assim, este será mais um cuidado que os negócios terão de observar com a entrada em vigor da nova legislação.
A NOVA AUTORIDADE DE FISCALIZAÇÃO
Quando inicialmente sancionada, a LGPD não incluía previsões específicas sobre a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal responsável pela fiscalização da aplicação dessa lei. Isso porque essas previsões haviam sido vetadas pela Presidência da República, por vício de iniciativa.
Recentemente, no entanto, este órgão foi criado por Medida Provisória n. 869/2018, promulgada no dia 27 de dezembro de 2018. A ANPD é, então, responsável por zelar pela proteção de dados pessoais, editar normas, aplicar sanções, requisitar informação às empresas – a qualquer momento – sobre o tratamento, comunicar às autoridades competentes as infrações penais e outras funções.
Contudo, tendo em vista a criação deste por medida provisória, a existência desse órgão de fiscalização ainda não é definitiva. De fato, para que essa norma produza efeitos definitivos, é preciso garantir sua conversão em lei ordinária, que ocorre somente após sua convalidação pelas casas do Congresso Nacional.
Com eventual transformação dessa medida em lei, surgirá mais um órgão regulatório que impactará no dia a dia de empresas que tenham atividades de tratamento de dados. Será necessário observar todas as normativas e regras estabelecidas por esse órgão; informá-lo de todas as operações de tratamento de dados, se solicitado; comunicar os incidentes de segurança da informação que possam acarretar danos ou risco a titulares de dados pessoais[7], entre outras medidas. O Encarregado pela Proteção de dados, citado acima, atuará, nesse caso, como canal de comunicação entre a empresa, os titulares dos dados e a ANDP.
O QUE FAZER PARA SE ADEQUAR?
Destacadas as principais mudanças no cenário de proteção de dados pessoais que a nova lei trará, verifica-se que é preciso iniciar o processo de adequação dos negócios e empresas brasileiras a essa nova realidade até a data de sua vigência.
O primeiro passo para a adequação é possuir uma boa compreensão da LGPD e analisar todas as disposições atinentes a determinado tipo de negócio. Após essa fase, é preciso revisar as políticas de privacidades e/ou termos de uso de possíveis ferramentas utilizadas no tratamento de dados, bem como rever procedimentos internos, treinar funcionários e colaboradores e estabelecer um encarregado pela proteção de dados. Com efeito, é importante que os documentos jurídicos ligados a atividades de processamento reflitam uma conduta em conformidade com a LGPD. Também é vital que a equipe de colaboradores do controlador entenda a importância de proteger os dados pessoais, esteja familiarizada com sua política de privacidade e coloque seus procedimentos em prática.
Ainda, quanto se refere a atividades eletrônicas e programas on-line, é preciso adequar a interface dessas ferramentas para se adequar à nova realidade. Desse modo, fala-se em privacy by design, que nada mais é que a observação, desde a fase de concepção de um produto ou serviço, de medidas de segurança que visem à proteção de informações pessoais. Ou seja, é preciso pensar os modelos de negócios, bem como os sites e plataformas, sempre levando em conta as regras de proteção de dados pessoais.
Logo, tendo em vista todas as complexas alterações necessárias para garantir a conformidade com a nova legislação, percebe-se que este ano de 2019 será crítico para estabelecer procedimentos e padrões para assegurar a legalidade das atividades de coleta e processamento de informações. Será, efetivamente, um desafio às empresas brasileiras e grande mudança nos modelos de negócios atuais.
* Gabriela Marques de Almeida é pós-graduanda em Direito Societário e Empresarial no Complexo de Ensino Superior de Santa Catarina (CESUSC). Graduada em Direito pela Universidade Federal de Santa Catarina (UFSC). Advogada associada na Menezes Niebuhr Advogados Associados.
—-
[1] O Escândalo Facebook-Cambrigde Analytica consistiu na polêmica de coleta de informações pessoais de usuários do Facebook pela empresa Cambridge Analytica e sua utilização para fins de influenciar opinião de eleitores durante eleições, em especial, durante eleições estadunidenses.
[2] Para a LGDP, conforme o seu artigo 5º, “I”, dados pessoais são qualquer “informação relacionada a pessoa natural identificada ou identificável”.
[3] Segundo o artigo 5º da LGPD, entende-se, por tratamento de dados, qualquer “operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle de informação, modificação, comunicação, transferência, difusão ou extração”. Neste artigo, utilizar-se-á a expressão “processamento” com o mesmo sentido.
[4] Para a LGPD, controlador é toda “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.”
[5] Conforme artigo 14 da LGPD.
[6] Segundo o artigo 33 da LGPD, somente se permite que seja realizada a transferência internacional de dados: (i) para outras localidades que proporcionem grau de proteção de dados adequado ao previsto na Lei; (ii) quando o processador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados; (iii) quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução; (iv) quando for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;(v) quando a autoridade nacional autorizar a transferência; (vi) quando a transferência resultar em compromisso assumido de cooperação internacional; (vii) quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público; (viii) e quando o titular tiver fornecido o seu consentimento específico e em destaque.
[7] Conforme artigo 48 da LGPD.
Por
Menezes Niebuhr Sociedade de Advogados
Comunicação Menezes NIebuhr
Deixe seu comentário
Ao publicar um comentário, você concorda automaticamente com nossa política de privacidade.