Fale Conosco!
(41)3099-9899

Lei Geral de Proteção de Dados – “LGPD” e o seu contexto

Lei Geral de Proteção de Dados – “LGPD” e o seu contexto

Sancionada com vetos no dia 14 e publicada em 15 de agosto de 2018, a Lei nº 13.709/18 – LEI GERAL DE PROTEÇÃO DE DADOS – “LGPD”, que vigorará a partir de meados de agosto de 2020, chega para dar efetividade à proteção dos dados pessoais e promover autodeterminação aos cidadãos, titulares dos dados que são constantemente revelados no frenético fluxo virtual de circulação de informações.

A “LGPD”, que acarretou nas primeiras alterações formais à Lei nº 12.965/14 – Marco Civil da Internet, é fruto de anos de discussões e da unificação de diversos projetos que tramitaram na Câmara, no Senado e no Ministério da Justiça. Não é uma literal dicção de um direito fundamental, mas sim um entrelaçamento ordenado de complexos normativos com princípios constitucionais como os da garantia à intimidade, à vida privada, à dignidade da pessoa humana e à personalidade.

INICIATIVAS DE PROTEÇÃO DE DADOS NO MUNDO

Tutelar adequadamente a privacidade é, por óbvio, incumbência do Estado, responsável pela promoção da liberdade e igualdade substanciais, traçadas pelas democracias ocidentais que bem colocaram o homem como centro de atividade social, sobretudo a partir do segundo pós-guerra. As leis de proteção de dados foram-se desenvolvendo gradualmente, partindo de normas que eram reflexos da demanda e visão jurídica de cada época. Em 1977, por exemplo, a Alemanha publicou a sua lei sobre proteção de dados pessoais, denominada Bundesdatenschutzgesetz, seguida da lei francesa de proteção de dados, nº 78-17 de 6 de janeiro de 1978, intitulada Informatique et Libertées. Ambas tinham o fito de possibilitar ao cidadão a identificação do uso inadequado das suas informações pessoais e partir em busca dos seus direitos.

O exercício de prerrogativas para buscar garantias de direitos legalmente conferidos ao cidadão como ser individual, apresentava-se extremamente difícil, burocrático e custoso. Era preciso que os países desviassem o foco do individual para o coletivo, com o enfrentamento dos problemas relativos a informação de modo global, com soluções abrangentes e de vasto alcance.

O processo de busca à proteção de dados pessoais, com a criação de mecanismos para o cidadão poder ter seus direitos efetivamente garantidos, com a possibilidade de acompanhamento dos locais onde as suas informações são mantidas, da forma como são acessadas e divulgadas e da sua possível correção ou retificação, passou por várias etapas, partindo de regras de caráter procedimental, pautadas num conjunto de princípios denominado Fair Information Principles,  à abordagem sob enfoque de direito fundamental, na Convenção de Strasbourg, que relacionou a proteção dos dados pessoais diretamente à proteção dos direitos humanos. Em 7 de dezembro de 2000, foi proclamada a Carta de Direitos Fundamentais da União Europeia que, inspirada na Convenção de Strasbourg e outras normativas que faziam referencia à questão protetiva, como a Diretiva 95/46/CE e o tratado instituidor da União Europeia, empenhou-se em cuidar do assunto, dando-lhe a devida e necessária importância, ao tratar, em especial no artigo oitavo, da “Proteção de Dados Pessoais”.

O ALCANCE INTERNACIONAL DAS NORMAS DE PROTEÇÃO DE DADOS 

A constante busca por mecanismos de proteção aos dados circulantes, desafiou a União Europeia a estabelecer uma legislação unificada que promovesse segurança jurídica aos usuários de todos os Estados-Membros. Foi em meio a esse cenário de intenso fluxo transfronteiriço de dados pessoais, resultante da crescente integração entre os países europeus e funcionamento do mercado interno, que passou a ser aplicável, a partir de 25 de maio de 2018, o GENERAL DATA PROTECTION REGULATION – “GDPR”, em português, REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS.

Em que pese o “GDPR” ter como fim proteger coerentemente os dados que circulam na União Europeia, a sua abrangência é ampla e pode atravessar o oceano, já que a regra da extraterritorialidade foi adotada. Assim, empresas públicas ou privadas brasileiras que tenham relação que resulte em troca de dados com algum dos países da UE, submetem-se a tal regulamento e a ele precisam estar atentas, sob pena de sofrerem as pesadas penalidades que ele impõe.

A violação às disposições previstas no regulamento acarreta na imposição de sanções pecuniárias de grande vulto, podendo alcançar milhões de Euros. Já se ouve falar de diversos escândalos envolvendo companhias como Facebook e Google, por exemplo, pela forma como tratam e compartilham os dados aos quais tem acesso, sem o necessário consentimento que o Regulamento exige.

O CENÁRIO BRASILEIRO E A LEI DE PROTEÇÃO DE DADOS 

A nível de Brasil, mesmo que tenha havido uma demora na unificação normativa para a proteção de dados, a preocupação em garantir a inviolabilidade da vida privada e a intimidade sempre se fez presente. Vale lembrar que a Lei nº 8.078/90 – o elogiado Código de Defesa do Consumidor, em seu artigo 43, incorporou o sistema Fair Information Principles, ao estabelecer que o consumidor tem direito ao acesso a todas as suas informações e registros, bem como às suas fontes. Também, o habeas data, introduzido pela Constituição Federal de 1988 com o objetivo de garantir ao impetrante da medida o acesso a informações a si concernentes que estejam em bancos de dados e entidades governamentais de caráter público e requerer, se for o caso, a sua retificação, foi um remédio criado pelo legislador brasileiro para tutelar o sigilo de comunicações.

A “LGDP” resulta de um bem-sucedido esforço para atender às necessidades atuais, estreitando os laços entre a acepção ampla da personalidade e as vicissitudes dessa Sociedade que surfa incessantemente nas ondas da internet. A cada clique nos comandos “enviar”, “like”, “aceito”, “postar”, “comentar”, etc., centenas de dados e informações espalham-se pela rede, colocando o usuário em posição de vulnerabilidade perante as empresas de tecnologia, as quais conseguem traçar padrões comportamentais e estabelecer quais são as preferencias com base em dados extraídos da análise de hábitos como horário e período de navegação na internet, tipo de páginas de acesso, entre outros.

QUEM SÃO OS IMPACTADOS PELA LEI

Temos com a Lei, então, o surgimento das figuras do “titular” dos dados pessoais e dos agentes de tratamento dos dados, quais sejam, o “controlador” – pessoa natural ou jurídica de direito público ou privado, a quem compete as decisões referentes a tratamento de dados pessoais e o “operador” – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Os dados pessoais são as informações relacionadas a pessoa natural, identificada ou que seja identificável com a simples associação a outros dados informados, por exemplo, o fornecimento do endereço residencial por si só, não revela a identidade do titular, porém, se essa informação for combinada com outros dados como escolaridade, profissão, idade, pode-se descobrir a pessoa a quem os dados se relacionam.

E o que seria o “tratamento de dados” a que a LGPD se refere?

De acordo com o inciso X do artigo 5º da Lei, tratamento “é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação transferência, difusão ou extração”.

O detentor das informações tem a obrigação de esclarecer aos seus usuários a forma exata como serão tratados os seus dados, estando aí incluídas as obrigações contratuais, legais e as medidas protetivas de crédito.

Os dados sensíveis, assim tratados como aqueles que versam sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, foram merecedores de especial destaque, sendo-lhes exigidas mais formalidades para o tratamento, devendo o consentimento ser realizado de forma específica e destacada, para uma finalidade também específica, sendo possível o seu tratamento sem o consentimento do titular apenas em hipóteses limitadas como por exemplo, para proteção da vida ou da incolumidade física do titular ou terceiro, para cumprimento de obrigação legal ou regulatória, dentre outras hipóteses expressamente previstas no artigo 11 da “LGPD”.

Merecedor de destaque, é também o regramento dado ao tratamento de dados que envolvam crianças e adolescentes. Neste caso, o tratamento deve ser realizado com consentimento específico e em destaque, fornecido por pelo menos um dos pais ou pelo responsável legal, e sempre em melhor interesse do menor, sendo possível até o uso de recursos audiovisuais para garantir a efetividade do dispositivo legal.

QUAIS INFORMAÇÕES PODEM SER ARMAZENADAS E COMPARTILHADAS

Assim, de acordo com a LGPD, as empresas apenas poderão armazenar dados que digam respeito exclusivamente aos serviços que ofereçam e, ao chegar ao fim a relação cliente/empresa, os dados pessoais devem ser excluídos da base. O titular, por outro lado, tem direito a acesso aos dados, a pedir que eles sejam eliminados, retificados, processados com limitações, excluídos. Também, tem direito a revogar o consentimento anteriormente dado, a saber com quais entidades seus dados foram compartilhados e a peticionar em desfavor do responsável ou da autoridade, com a garantia da inversão do ônus da prova.

Em relação a transferência internacional de dados pessoais, a “LGDP” permite que seja feita em hipóteses limitadas, como por exemplo, para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequados ao que a lei prevê; quando o controlador oferecer e comprovar garantias de cumprimento dos princípios e direitos do titular e do regime de proteção de dados previstos na Lei, na forma de clausulas contratuais específicas para determinada transferência, normas corporativas globais, clausulas padrão contratuais, entre outras, taxativamente elencadas no artigo 33 da Lei.

CONSEQUÊNCIAS AO DESCUMPRIMENTO DA LGPD

Como consequências ao descumprimento das regras estabelecidas na    “LGPD” as empresas poderão sofrer sanções que se iniciam em advertência com prazo para adoção de medidas corretivas, publicização da infração, podendo avançar para multas de até 2% do faturamento da empresa, limitado a 50 milhões de reais por infração e até mesmo o bloqueio dos dados pessoais até a regularização.

A Lei, que inicialmente tinha vetado a criação da ANPD – Autoridade Nacional de Proteção de Dados, deixando “no ar” a informação a respeito de qual órgão atuaria como seu fiscalizador e aplicaria as sanções que ela prevê, teve esta importante lacuna preenchida pela MP 869/18, que estabeleceu as regas de criação desse órgão da administração pública Federal, integrante da Presidência da República. A “ANPD” terá autonomia técnica e irá editar normas e procedimentos sobre a proteção de dados pessoais, articulando a sua atuação com o Sistema Nacional de Defesa do Consumidor do Ministério da Justiça e outros órgãos que se relacionem à proteção de dados.

Criado também, o Conselho Nacional de Proteção de Dados Pessoais e Privacidade, que terá entre as suas funções, a incumbência de propor diretrizes e fornecer subsídios para a elaboração da política de proteção de dados pessoais.

A europeia “GDPR” estabeleceu que, sempre que as atividades do responsável pelo tratamento de dados exijam controle regular e sistemático dos titulares dos dados em grande escala, é essencial a contratação de um Data Protection Officer – “DPO”, para o exercício da fiscalização sobre a aplicação por parte da empresa, das normas constantes no Regulamento. O “DPO” é alguém detentor de conhecimento amplo sobre a legislação e práticas protetivas de dados. O Regulamento abriu espaço, também, para uma crescente atuação de Compliance Officers, no sentido de adaptar as empresas, harmonizando-as à legislação. A Lei brasileira denominou o “DPO” de “Encarregado de Proteção de Dados” e não impôs a obrigatoriedade de que seja necessariamente pessoa física, podendo ser uma empresa contratada para esse fim.

A CORRIDA PELA ADEQUAÇÃO À LEI 

Como a Lei ainda está no período de vacatio (prazo decorrente desde a publicação até o início da vigência de uma lei), as empresas terão algum tempo para adaptação. Tempo que pode ser curto, contudo, para empresas que tem dúvidas quanto à sua capacidade de adequação aos rigores da nova Lei, principalmente pelo alto custo que tais adequações podem representar.

Como medida preliminar, sugere-se a busca de consulta jurídica especializada, com o fim de obter os devidos esclarecimentos sobre os termos da Lei, sobre as adequações necessárias a serem realizadas, com correspondente planejamento e forma de organização dos dados, pois, uma coisa é certa: a nova Lei demanda novo Compliance.

As empresas precisarão, necessariamente, harmonizar-se aos termos da nova legislação para andar de mãos dadas com essa economia digital, que cresce em progressão geométrica.

É hora de clicar em “acelerar o passo”, pois 2020 está logo aí.

Andréia C. Hortet
Advogada, atuante na área corporativa, especialista em direito civil, empresarial e direito processual civil.