Lei Geral de Proteção de Dados
Foi publicada, em 2018, a Lei Geral de Proteção de Dados Pessoais — Lei 13.709/18 -, a qual estabeleceu regras para as operações de tratamento de dados pessoais.
Nesse sentido, o presente artigo visa resumir e esclarecer, sob a nossa ótica, (i) os principais pontos da mencionada legislação, bem como (ii) as dúvidas quanto às possíveis consequências e riscos que podem ser causados pela Lei na empresa.
Lei Geral de Proteção de Dados Pessoais — LGPD
O Projeto de Lei 4.060/2012, proposto pelo Deputado Federal Milton Monti (PR/SP), foi aprovado pelo Plenário do Senado, por unanimidade, dia 10 de julho de 2018, sendo a Lei 13.709/18 publicada em 14 de agosto. Apesar desta somente ter entrado em vigor, parcialmente, em todo território nacional, em agosto de 2020, é de suma importância que sejam analisadas as consequências desta novidade para as empresas e começar os preparativos para as mudanças que se façam necessárias, aproveitando esse período para garantir a organização de políticas internas e adequação de todas as práticas comerciais às novas regras.
A Lei de Proteção de Dados Pessoais — LGPD — surge em meio ao avanço desenfreado da tecnologia, considerando o crescimento expansivo do Big Data e a coleta massiva de dados pessoais pelas empresas. Assim, estabelece regras rigorosas para a proteção dos dados pessoais, regulamentando o seu uso, proteção e transferência e garantindo aos cidadãos maior controle sobre as suas informações pessoais perante terceiros, definindo os casos em que estes dados poderão ser tratados por empresas ou setor público.
Incluindo o tratamento dos dados nos meios digitais, torna-se essencial que uma empresa tome uma série de medidas para garantir o cumprimento da nova legislação, implementando novas políticas legislativas, treinando seu pessoal para cuidar e garantir os direitos dos titulares de dados pessoais, entendendo melhor quanto aos recursos de tecnologia da informação, para, então, aderir a uma postura mais aberta e transparente para se comunicar com o consumidor e evitar as sanções previstas na Lei em questão.
Quanto às referidas sanções, a LGPD estabelece severas penalidades, em seu artigo 52, podendo ir desde meras advertências, até multas de no máximo 2% do faturamento da empresa, limitada a R$ 50.000.000,00 (cinquenta milhões de reais).
Portanto, para facilitar o melhor entendimento da Lei vale destacar alguns conceitos, como os listados no artigo 5. Por exemplo, segundo o dispositivo (art. 5, I), dado pessoal seria toda “informação relacionada a pessoa natural identificada ou identificável”, ou seja, um conjunto de registros referentes a um indivíduo. Assim, o tratamento desses dados, seria entendido como toda operação realizada com esses dados, tais como coleta, produção, recepção, classificação, processamento, arquivamento, distribuição, modificação, etc (art. 5, X). Logo, entende-se como o cruzamento de dados e informações de uma pessoa específica ou de um grupo para direcionar decisões comerciais, políticas públicas ou atuação de órgão público.
Por fim, cabe ressaltar que a lei se aplica também para empresas com sede fora do Brasil que tratam dados coletados no território nacional ou com atividades e serviços destinados a brasileiros (art. 3). O texto do Projeto considera dados coletados no território nacional aqueles de titular que esteja no Brasil no momento da coleta (art. 3, parágrafo único).
Nesse sentido, conforme se verificará nos próximos capítulos deste artigo, serão analisados os principais artigos da LGPD, sempre sob a ótica de empresas prestadoras de serviços, tanto em relação aos seus clientes, quanto aos seus funcionários.
2. Princípios a serem seguidos (art. 6)
A Lei de Proteção de Dados Pessoais lista, em seu artigo 6, uma série de princípios a serem seguidos ao longo do tratamento dos dados pessoais.
Assim como em toda relação, é essencial a observância da boa-fé (art. 6, caput), para que se estabeleça uma confiança de forma que o cliente volte. Dessa maneira, uma vez previstos princípios na LGPD, estes devem ser cumpridos para não causar problemas posteriores.
Um destes princípios, nomeado de finalidade, determina a proibição de dar tratamento diverso daquele informado ao titular num momento anterior (art. 6, I). Nesse caso, se alteradas as finalidades iniciais, deve-se obter novo consentimento daquele que disponibilizou seus dados, conforme o artigo 8, §6.
Outro princípio, presente no dispositivo, de extrema importância para um bom vínculo entre o cliente e a empresa é o da transparência (art. 6, VI). Deve-se estabelecer regras claras dentro da empresa sobre o tratamento dos dados pessoais, para que, por consequência, se possa transmitir aos titulares informações precisas e de fácil acesso, de modo que de nenhuma forma abra espaço para mal-entendidos posteriores.
Por último, mais um princípio que merece um destaque maior é o da segurança (art. 6, VII), tendo em vista que visa a proteção dos dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. A inobservância deste pode, em caso de dano ao titular, gerar responsabilidade civil e criminal solidária entre controlador — a quem competem as decisões referentes ao tratamento de dados pessoais — e operador — aquele que realiza o tratamento de dados pessoais em nome do controlador — e o dever de reparar os danos (art. 42).
3. Os requisitos (art. 7, 8, 9 e 10)
O primeiro preceito a ser observado, neste capítulo, é o consentimento exigido pelo artigo 7, que, segundo o artigo 5, XII, é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Tal consentimento, por força do artigo 8 da mesma Lei, deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular e não poderá ser genérico (art. 8, §4), bem como poderá ser revogado pelo consumidor a qualquer momento (art. 8, §5), mediante manifestação expressa, por procedimento gratuito e facilitado, de modo a ficar limitado o tratamento dos dados pelo controlador às hipóteses em que o consentimento é dispensado. Nesse último cenário, caso o titular queira, ele tem o direito À exclusão definitiva de todos os dados pessoais que tiver fornecido ao site.
Nesse sentido, o consentimento, por sua vez, deve ser acompanhado de três atributos, devendo ser: (i) livre, correspondendo à vontade legítima do cidadão, não sendo objeto de coação de nenhum tipo; (ii) expresso, devendo provir de ato de vontade do titular, não podendo ser tácito; e (iii) informado, somente sendo considerado válido após a informação suficiente ao titular sobre o contexto de coleta e tratamento dos dados e as consequências de sua escolha.
Atualmente, verifica-se que o mero ato de navegar em determinado site ou portal da internet já é tido como aceitação tácita da guarda e compartilhamento dos registros de aplicação, o que viola a obrigação legal de necessidade de um consentimento livre, expresso e informado pelo usuário.
Por esse ângulo, torna-se importante salientar um ponto extremamente comum hoje em dia: a propaganda comportamental. Essa técnica publicitária consiste nas situações em que um indivíduo se depara com anúncios publicitários, introduzidos no site que está navegando, relacionados diretamente com o conteúdo por ele acessado. Contudo, de acordo com a Lei Geral de Proteção de Dados Pessoais, se o usuário não for expressamente informado, nem consentiu com o compartilhamento de seus registros, não há autorização para estes serem compartilhados. Isto pois, apesar de a propaganda comportamental certas vezes atender aos interesses dos usuários, pode também gerar danos de extrema relevância aos titulares dos dados.
Assim, também determinado no artigo 7, é vedada a exigência de dados pessoais que não decorram de propósitos legítimos do controlador e que não sejam estritamente necessários ao cumprimento das obrigações estabelecidas no contrato do qual seja parte o titular e decorrentes de lei, ainda assim devem ser requisitados mediante informação expressa e com o consentimento do cliente.
Baseado no princípio da transparência (art. 6, VI), exposto anteriormente, e no princípio do livre acesso (art. 6, IV), o artigo 9 reforça o dever da empresa de fornecer ao titular informações sobre o tratamento de seus dados. Caso haja alterações na finalidade do tratamento, de modo que não corresponda com o consentimento original do titular, este deve ser informado e, em seguida, decidir entre revogar o seu consentimento anterior ou assinar um novo (art. 9, §2).
Nesse sentido, segundo o artigo 10 da LGPD, o interesse do controlador nos dados do titular deve ser para finalidades legítimas, como, por exemplo, para a proteção do exercício regular dos direitos dos titulares ou prestação de serviços que os beneficiem (art. 10, II).
4. Dados pessoais sensíveis (art. 11, 12 e 13)
Conforme definido no artigo 5, II, dado pessoal sensível é aquele sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. Conclui-se, portanto, que é aquela informação cujo tratamento pode ensejar a discriminação do seu titular, devendo ser protegidos de forma mais rígida.
Dessa forma, o tratamento destes dados somente poderá ocorrer com o consentimento específico e destacado do titular para finalidades específicas (art. 11, I). Caso não haja esse consentimento, o tratamento somente poderá ocorrer nas hipóteses em que for indispensável, por exemplo, para cumprimento de obrigação legal ou regulatória pelo controlador (art. 11, II, a), exercício regular de direitos (art. 11, II, d) ou garantia de proteção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos (art. 11, II, g).
5. Dados pessoais de crianças e adolescentes (art. 14)
Assim como os dados sensíveis, para que possa ser realizado o tratamento dos dados pessoais de crianças e adolescentes exige-se o consentimento específico e em destaque de pelo menos um dos pais do titular ou do responsável legal (art. 14, §1º). Nesse sentido, mostra-se essencial que o controlador, com base nas tecnologias disponíveis, empreenda todos os esforços razoáveis para confirmar que o consentimento exigido tenha sido de fato dado por um dos pais ou pelo responsável legal (art. 14, §5º).
Outros dois pontos importantes dentro desse capítulo, são, primeiramente, o parágrafo 2º do referido artigo, o qual estabelece a necessidade de o controlador manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para exercício dos direitos. Além disso, o parágrafo 3º também merece destaque, nos casos em que for necessária a coleta, sem consentimento, dos dados pessoais das crianças ou adolescente para contatar os pais ou responsáveis legais ou para sua proteção. No entanto, nesses casos, os dados devem ser utilizados uma única vez, não devem ser armazenados e não poderão ser repassados a terceiros.
6. Direitos do titular (art. 17 ao 22)
A Lei de Proteção de Dados Pessoais garante aos titulares direitos fundamentais, como liberdade, intimidade e privacidade (art. 17). Assim sendo, para assegurar tais direitos, é fundamental que o titular tenha todas as informações quanto ao tratamento de seus dados. Por isso, o artigo 18, determina que, a qualquer momento e mediante requisição, o controlador deve fornecer ao titular acesso aos seus dados (art. 18, II), anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos (art. 18, IV), bem como informações ao titular quanto as entidades públicas e privadas com as quais realizou uso compartilhado de dados (art. 18, IX).
Essas informações requisitadas pelo titular devem ser fornecidas a seu critério por meio eletrônico ou sob forma impressa (art. 19, §2º), sempre de forma clara e adequada, observando os segredos comerciais e industriais (art. 20, §1). Além disso, tais dados jamais podem ser utilizados em prejuízo de seu titular (art. 21).
7. Transferência internacional de dados (art. 33 a 36)
De modo a proteger os dados pessoais dos titulares sempre de acordo com a lei em questão, somente é permitida a transferência destes para países ou organismos internacionais que sigam com o grau de proteção previsto na LGPD, devendo o controlador sempre garantir de forma comprovada que os dados continuarão sendo cuidados de acordo com os princípios exigidos na lei (art. 33, I). Esta comprovação deverá se dar na forma de cláusulas contratuais — tanto específicas, quanto padrões — (art. 33, II, “a” e “b”), normas corporativas globais (art. 33, II, c) ou selos, certificados e códigos de conduta regularmente emitidos (art. 33, II, d).
Caso o titular esteja de acordo com a transferência, este deve fornecer consentimento específico e em destaque, baseado em informações dadas pelo controlador sobre o caráter internacional da operação e suas consequências, dado que não necessariamente o país segue com as mesmas regras de proteção estabelecidas na LGPD (art. 33, VIII).
8. Agentes de tratamento de dados pessoais (art. 37 ao 41)
O controlador e o operador são os agentes de tratamento de dados pessoais. Dessa forma, a empresa que trata os dados deve manter registro das operações de tratamento que realizar, devendo estas informações serem acessíveis ao titular (art. 37). Este registro poderá ser feito através de um relatório que deverá conter “a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados” (art. 38, parágrafo único).
Segundo o texto da Lei, o encarregado pelo tratamento de dados pessoais é o controlador. Nesse cargo, este se responsabilizará por ser a pessoa natural que atuará como canal de comunicação com a autoridade competente e os titulares, devendo receber e lidar com reclamações, prestar esclarecimentos e adotar providências (art. 41, §2).
9. Responsabilidade e ressarcimento de danos (art. 42 e 45)
Relembrando o princípio da segurança (art. 6, VII), caso ocorra de, ao longo do exercício do tratamento de dados pessoais, algum dano ser causado a outrem, podendo ser este patrimonial, moral, individual ou coletivo, será indispensável a sua reparação (art. 42). Desse modo, o operador e controlador irão responder de forma solidária pelos danos causados, caso tenham descumprido alguma obrigação constante na legislação (art. 42, §1º, I), havendo, obviamente, direito de regresso àquele que reparar o dano ao titular (art. 42, §4º).
Nesse caso, a irregularidade do tratamento de dados poderá ser qualificada quando não fornecer a segurança exigida e prometida ao titular ou quando não estiver de acordo com a legislação (art. 44). De outro modo, caso não tenha ocorrido nenhuma das hipóteses anteriores, os agentes de tratamento devem provar que não são responsáveis, podendo o dano ter sido decorrente de culpa exclusiva do titular dos dados ou de terceiros (art. 43, III), por exemplo.
Por fim, neste cenário vale destacar que no âmbito das relações de consumo, as regras aplicáveis serão as previstas na Lei nº 8.078 — Código de Defesa do Consumidor (art. 45).
10. Segurança e sigilo de dados (art. 46 ao 49)
Conforme o artigo 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança (desde a concepção até a execução do serviço) aptas a proteger os dados pessoais de acessos não autorizados e de eventos acidentais ou ilícitos de destruição, perda, alteração, comunicação ou qualquer outra ocorrência decorrente de tratamento inadequado ou ilícito (art. 46).
É imprescindível que verificando-se a ocorrência de um incidente de segurança que possa provocar risco ou dano considerável aos titulares, o responsável pelo tratamento dos dados deverá comunicar a autoridade nacional em prazo razoável e deverá esclarecer detalhadamente pontos como, descrição da natureza dos dados afetados (art. 48, §1º, I), informações sobre os titulares envolvidos (art. 48, §1º, II), riscos relacionados ao incidente (art. 48, §1º, IV).
Uma questão muito importante dentro desse tópico são as providências que a autoridade nacional poderá tomar, conforme a gravidade do incidente, para resguardar os direitos dos titulares. Estas são: (i) ampla divulgação do fato em meios de comunicação e (ii) medidas para reverter ou mitigar os efeitos do incidente (art. 48, §2º, I e II).
11. Sanções administrativas (art. 52 ao 54)
A Lei de Proteção de Dados Pessoais estabelece penalidades bastante rigorosas. Começando com o seu artigo 52, o qual define que os agentes de tratamento, em caso de infrações cometidas, estão sujeitos à sanções, como advertências, multas diárias, multas simples de no máximo 2% do faturamento da empresa, limitada a R$ 50.000.000,00 (cinquenta milhões de reais), publicização da infração e bloqueio ou eliminação dos dados pessoais.
No entanto, evidentemente, as penalidades listadas no artigo 52 não substituem a aplicação de sanções administrativas, civis ou penais previstas em legislação específica (art. 52, §2º).
12. Autoridade e Conselho Nacional de Proteção de Dados (art. 55 ao 59)
O antigo presidente da República, Michel Temer, havia vetado a criação da Autoridade Nacional de Proteção de Dados, em agosto de 2018, alegando que a criação desta implicaria inconstitucionalidade do processo legislativo por trazer vício de iniciativa, visto que a criação teria que partir do Executivo Federal. Assim como havia vetado também o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que auxiliaria a Autoridade Nacional.
No entanto, ao final de seu mandato, no dia 28 de dezembro de 2018, Temer publicou no Diário Oficial da União a Medida Provisória 869, criando, portanto, a Autoridade Nacional de Proteção de Dados, porém com algumas alterações.
No texto original, a ANPD seria vinculada ao Ministério Público e teria função de órgão regulador. No entanto, a Medida Provisória 869 cria um órgão ligado ao Presidente da República e que fará parte do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, deixando de ser uma autoridade independente e passando a ter somente autonomia técnica. Terá cinco diretores que serão indicados pelo presidente e terão mandado de quatro anos (art. 55-D, caput, §1º e §3º).
Dentre as diversas competências, caberá à ANPD: auxiliar no processo de adequação das empresas à Lei de Proteção de Dados Pessoais, editar regulamentos e orientações de interpretação, zelar pela proteção dos dados pessoais, fiscalizar e aplicar sanções necessárias, dentre outras responsabilidades arroladas no artigo 55-J da Lei.
Cabe observar, ainda, que a MP 869/2018 estabelece à ANPD a competência principal para aplicação das sanções previstas na LGPD, cujas demais competências prevalecerão sobre as competências correlatas de outras entidades ou órgãos da administração pública.
Já o Conselho, segundo o artigo 58-B, será responsável por oferecer subsídios e propor diretrizes para a criação de uma Política Nacional de Proteção de Dados Pessoais e da Privacidade, bem como guiará a atuação da ANPD e terá a função de alastrar o assunto à população em geral, realizando debates e audiências públicas. Este será composto por vinte e três representantes, os quais serão designados também pelo Presidente e terão mandato de dois anos (art. 58-A, caput, §1º e §3º, II).
13. Disposições finais
Percebe-se, portanto, conforme os capítulos anteriores do presente artigo, que a Lei Geral de Proteção de Dados Pessoais requer mais do que uma simples mudança das tratativas atuais realizadas pelas prestadoras de serviços. Ela exige um cuidado muito maior no tratamento das informações, que deve ser reformulado a partir das exigências previstas na Lei, podendo gerar a alteração física da sede da empresa, dos bancos de dados e criptografia nos sistemas de arquivamento e armazenamento, de forma a garantir segurança aos dados dos titulares, sendo estes desde os clientes das empresas até os seus funcionários, numa relação de trabalho e emprego.
Por fim, como sugestão, evidenciamos quatro pontos que devem ser observados no momento de elaboração das regras de segurança da informação:
1 — Proteção dos sistemas contra a negação de serviço a usuário autorizado: ou seja, procurar meios que evitem episódios como quando as pessoas que realmente precisam acessar determinado sistema não conseguem, tendo em vista que esse evento é considerado uma falha de segurança;
2 — Proteção dos sistemas contra intrusão: procurar meios que garantam que somente pessoas autorizadas consigam adentrar os sistemas;
3 — Proteção dos sistemas contra modificação desautorizada de dados ou informações (armazenados, em processamento ou em fluxo): procurar meios que garantam que não haja alteração acidental de quaisquer arquivos da empresa, ou, caso haja, que se consiga restaurar o status anterior, de forma rápida e sem consequências negativas;
4 — Segurança dos recursos humanos, da documentação e do material: como dito anteriormente, torna-se necessário enfatizar que a segurança da informação não deve ficar restrita aos sistemas informáticos, devendo abranger, também, os matérias e documentos dos recursos humanos, ou seja, os dados dos próprios funcionários da empresa.
Feitas as explanações acima, o leitor já consegue ter uma breve noção do que é a LGPD, assim como o que ela pretende tutelar.
