Proteção de dados pessoais torna-se lei no Brasil

Por Flávia Lubieska N. Kischelewski

Foi sancionada pela Presidência da República, no dia 14 de agosto passado, a Lei nº 13.709/2018. Conhecido como “Lei Geral de Proteção de Dados” (LGPD), o texto dispõe sobre a proteção de dados pessoais e regulamenta as operações de tratamento desses dados, inclusive nos meios digitais, quer sejam realizadas por pessoas físicas, quer por pessoas jurídicas do setor público ou privado. Além disso, também altera o Marco Civil da Internet (Lei nº 12.965/2012).

O estudo e debate sobre o tema não eram recentes. Há cerca de oito anos surgiu a primeira iniciativa legislativa, gerando projetos de lei que tramitaram tanto na Câmara dos Deputados, como no Senado Federal. Foi nesse contexto que o Projeto de Lei 4.060/2012, do deputado Milton Monti (PR/SP), deu lugar ao Projeto de Lei da Câmara 53/2018, cujo texto, após a aprovação do Plenário do Senado, foi sancionado, com vetos, pelo Presidente da República.

A nova legislação entrará em vigor em fevereiro de 2020. Sua importância reside no fato de estabelecer a autodeterminação informacional. As pessoas físicas passam a ser dotadas de direitos de informação e decisão sobre o uso e divulgação dos dados que lhe são atinentes. Em benefício da segurança jurídica, no lugar de se socorrer de leis esparsas (como o Marco Civil da Internet, a Lei de Acesso à Informação, a Lei de Cadastro Positivo e o Código de Defesa do Consumidor, por exemplo), tem-se agora uma única e específica tutela.

Além de outros aspectos, a promulgação da LGPD estabelece níveis mínimos de proteção adequados e que devem ser considerados suficientes para que o Brasil continue a trocar informações pessoais com países da União Europeia (o que é relevante especialmente para órgãos do Poder Judiciário e Ministérios Público). Atende-se, assim, ao disposto no artigo 45 da General Data Protection Regulation – GDPR (UE) 2016/679 ou Regulamento Geral sobre a Proteção de Dados da União Europeia.

A legislação nacional, aliás, tem inspiração no modelo europeu (alguns dirão até motivação), porém é muito mais sintética. Enquanto a GDPR tem mais de 80 páginas, a Lei 13.709 conta com apenas 13. Ainda assim, a LGPD acarretará profundas mudanças no ordenamento jurídico brasileiro, pois atingirá as relações de consumo, de saúde, entretenimento, entre muitas outras. Embora o principal impacto seja sobre as relações virtuais, cabe lembrar que os dados coletados fisicamente também estão abrangidos pela Lei.

Isso porque, mais do que estabelecer conceitos e definir regras, limites e direitos no tocante ao tratamento de dados pessoais, a LGPD também objetiva consolidar e uniformizar a abordagem do tema em consonância com valores constitucionais como a dignidade da pessoa natural. São, então, princípios basilares da LGPD a privacidade, a autodeterminação informativa, a inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento econômico e tecnológico, bem como a livre iniciativa e a livre concorrência.

Vale destacar que dado pessoal é toda informação relacionada a pessoa física identificada ou identificável, indo desde o nome, endereço físico e/ou eletrônico, fotos, dados de documentos, do banco, a até mesmo o IP de um computador. Um dado isolado pode não permitir a identificação do titular, mas a pessoa pode se tornar identificável mediante a análise integrada e conjunta de mais informações. Nesse cenário, apenas o que for efetivamente anônimo não atrairá o alcance da proteção legal, mas o processo de tornar anônima a propriedade dos dados (anonimização) deve ocorrer pelo uso, em caráter irreversível, de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Cumpre salientar, igualmente, que muitos serão atingidos pela LGPD em razão do âmbito de sua aplicação (art. 3º), qual seja: qualquer operação de tratamento realizada, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a) a operação de tratamento seja realizada no território nacional; b) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; c) os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

O conceito de “tratamento de dados” merece atenção em razão de sua amplitude: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Isto posto, o tratamento de dados por terceiro dependerá de consentimento do titular, em meio escrito ou outro que demonstre a efetiva manifestação de vontade, ressalvados os casos em que os dados foram manifestamente tornados públicos pelo titular. Acrescido ao consentimento, o tratamento de dados deverá atender a princípios tais como os da finalidade, adequação e necessidade. Deve-se usar o mínimo necessário, pelo tempo imprescindível ao atingimento da finalidade informada adequadamente ao titular que assim consentiu. Se mudar a finalidade, deve-se obter nova autorização de uso.

O titular dos dados poderá rever o consentimento dado, pedir informações sobre o tratamento de dados, requerer a correção de dados incompletos, inexatos ou desatualizados, pedir portabilidade e a eliminação dos dados, bem como revogar o consentimento fornecido anteriormente. Competirá ao denominado controlador de dados o ônus da prova quanto à obtenção do consentimento, devendo, além disso, adotar medidas de segurança para proteger os dados, prevenir vazamentos e evitar discriminações.

Na hipótese de descumprimento da LGPD pelos agentes de tratamento, a penalidade imposta poder variar de uma advertência, com indicação de prazo para adoção de medidas corretivas, a multas e outras sanções, a saber: a) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; b) multa diária, observado o limite total acima referido; c) publicização da infração após devidamente apurada e confirmada a sua ocorrência; d) bloqueio ou eliminação dos dados pessoais a que se refere a infração até a sua regularização.

O órgão que será responsável por zelar, implementar e fiscalizar o cumprimento da LGPD, a Autoridade Nacional de Proteção de Dados (ANPD), será criado posteriormente. Em função de vícios no processo legislativo, foram vetados da LGPD os artigos que previam a ANPD, justificando-se, nas razões de veto, “inconstitucionalidade do processo legislativo, por afronta ao artigo 61, § 1º, II, ‘e’, cumulado com o artigo 37, XIX da Constituição”, uma vez que a criação da ANDP é competência do Poder Executivo e demandaria previsão na lei orçamentária brasileira.

Diante da necessidade de profissionais especializados na aplicação da nova legislação e nos controles internos das atividades de tratamento de dados, muitas consultorias e novos postos de trabalho devem surgir em breve, seja como consultores, controladores ou operadores de dados, notadamente para a produção de relatórios de impacto à proteção de dados pessoais e para o estabelecimento de padrões e de boas práticas para os tratamentos destes. São novos e específicos compliances, ao mesmo tempo que medidas de governança.

A adaptação à LGPD deve começar desde logo, haja visto os inúmeros casos que têm se tornado públicos relativos a vazamentos de dados de redes sociais, bancos e empresas que praticam e-commerce, ocasionando a instauração de inquéritos e o ajuizamento de civis públicas, sem contar o prejuízo à imagem e à reputação dessas empresas e os danos àqueles que têm seus dados vazados indevidamente.

Da lei, destacam-se ainda os seguintes pontos:

  1. Distinção de conceitos presentes na LGPD:a) Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
    b) Dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dado referente à saúde ou à vida sexual; dado genético ou biométrico, quando vinculado a uma pessoa natural;
    c) Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.ii. Destinatário de deveres: qualquer pessoa natural ou pessoa jurídica de direito público ou privado.

    iii. Destinatário de proteção: pessoas naturais identificadas ou identificáveis.

    iv. Exceção à aplicação da lei: tratamento de dados pessoais realizado a) por pessoa natural para fins exclusivamente particulares e não econômicos; b) para fins exclusivamente jornalístico e artísticos ou acadêmicos; c) para fins exclusivos de segurança pública; defesa nacional; segurança do Estado ou atividades de investigação e repressão de infrações penais; ou d) dados provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado.

    v. Hipóteses de utilização do tratamento de dados pessoais: a) mediante consentimento do titular; b) cumprimento de obrigação legal ou regulatória, pelo controlador dos dados; c) pela administração pública, na execução de políticas públicas; d) realização de estudos por órgão de pesquisa; e) execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; f) exercício regular de direitos em processo judicial, administrativo ou arbitral; g) proteção da vida ou da incolumidade física do titular ou de terceiro; h) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; i) atendimento dos interesses legítimos do controlador dos dados ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou j) proteção do crédito.

    vi. Direitos do titular dos dados pessoais: a) acesso facilitado às informações sobre o tratamento de seus dados, bem como aos seus dados; b) informação clara, adequada e ostensiva acerca de como se dará o tratamento de dados, nomeadamente quanto à sua finalidade, forma, duração, identificação do controlador dos dados, informações sobre possível uso compartilhado e responsabilização dos agentes de tratamento; c) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei; d) eliminação dos dados pessoais tratados com o seu consentimento, exceto nas hipóteses previstas na lei; e) informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; f) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; g) revogação do consentimento dado.

    vii. Deveres dos agentes de tratamento: a) informar ao titular dos dados pessoais de forma clara, adequada e ostensiva acerca das características do tratamento dos dados; b) realizar o tratamento de dados mediante o consentimento do titular dos dados, salvo nas exceções previstas em lei; c) realizar o tratamento de dados tão somente nas hipóteses permitidas na lei e estritamente dentro das finalidades para as quais o consentimento foi obtido.

    viii. Dados pessoais de crianças e adolescentes: o tratamento deverá obedecer ao princípio do melhor interesse e ser realizado mediante o consentimento      específico dado por pelo menos um dos pais ou responsável legal. Vedado          condicionar o fornecimento de informações, além das estritamente necessárias,  à participação em jogos, aplicações de internet ou outras atividades.

Proteção de dados da União Europeia atingirá empresas brasileiras a partir do dia 25

A advogada Flávia Lubieska Kischelewski atua no setor societário do Prolik.

A General Data Protection Regulation – GDPR (UE) 2016/679 ou Regulamento Geral sobre a Proteção de Dados da União Europeia é a maior reforma normativa sobre o tema nos últimos 20 anos e terá aplicação a partir de 25 de maio de 2018. A regulamentação, existente desde 2016, é vinculante e válida para todos os países que participam da Área Econômica Europeia, que inclui os países membros da União Europeia, além de Islândia, Liechtenstein e Noruega.

Em síntese, o Regulamento reconhece que o tratamento de dados pessoais é um direito fundamental, estabelecendo, assim, regras relativas à proteção das pessoas físicas, identificadas ou identificáveis, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

A abrangência do Regulamento merece destaque em todo seu extenso texto. Nesse sentido, o tratamento de dados, por exemplo, é definido como “uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição”.

Cabe destacar que não estão sujeitos ao Regulamento apenas os cidadãos e empresas europeias.  As empresas brasileiras poderão ser diretamente impactadas, pois, segundo o art. 3º, item 2, o Regulamento é aplicável “ao tratamento de dados pessoais de titulares que se encontrem no território da União, efetuado por um responsável pelo tratamento ou subcontratante não estabelecido na União, quando as atividades de tratamento estejam relacionadas com:

a)         A oferta de bens ou serviços a esses titulares de dados na União, independentemente da exigência de os titulares dos dados procederem a um pagamento;

b)         O controle do seu comportamento, desde que esse comportamento tenha lugar na União.”

Observa-se, assim, a necessidade de atenção por parte de empresas nacionais que coletem e utilizem, direta ou indiretamente, dados de pessoas situadas na Europa. Não apenas as “technology companies” precisam conhecer a GDPR e estudar seus impactos em suas atividades. Multinacionais, bancos, empresas de comunicação social e do setor hoteleiro, por exemplo, também devem avaliar se e como serão atingidas pela nova regulamentação, a fim de adotar políticas internas para tratamento de dados pessoais. A terceirização de determinadas atividades que envolvam o uso de dados pessoais também deverá ser vista com mais cautela.

Em caso de descumprimento da GDPR, as penalidades aos infratores podem chegar ao pagamento de multa no importe de até 20 milhões de euros ou a até 4% do seu faturamento anual a nível mundial, com base no último exercício, prevalecendo o que for maior. Apesar disso, num primeiro momento, as autoridades de proteção de dados deverão atuar em caráter orientativo e não apenas punitivo.

Além do GDPR, a advogada Flávia Lubieska N. Kischelewski observa que no Brasil ainda não existe uma legislação específica correspondente ao Regulamento europeu, embora estejam em discussão três projetos de lei. Ainda assim, existem outras leis esparsas que tratam de dados pessoais e também preveem severas punições aos infratores, a exemplo do Marco Civil da Internet, da Lei de Acesso à Informação e da Lei de Cadastro Positivo.

A perspectiva é que, a partir da aplicação da GDPR, novas soluções jurídicas sejam exigidas e que sejam revisadas condições contratuais, especialmente junto a fornecedores e subcontratados, a exemplo do que houve para as medidas de compliance. Também se estima que venham a ser implantadas rotinas de auditoria interna nas empresas e até de certificação por entidades especializadas. Essas novas práticas tendem a tornar os relacionamentos entre empresas e usuários mais transparentes e seguros.