Por Flávia Lubieska N. Kischelewski
Foi sancionada pela Presidência da República, no dia 14 de agosto passado, a Lei nº 13.709/2018. Conhecido como “Lei Geral de Proteção de Dados” (LGPD), o texto dispõe sobre a proteção de dados pessoais e regulamenta as operações de tratamento desses dados, inclusive nos meios digitais, quer sejam realizadas por pessoas físicas, quer por pessoas jurídicas do setor público ou privado. Além disso, também altera o Marco Civil da Internet (Lei nº 12.965/2012).
O estudo e debate sobre o tema não eram recentes. Há cerca de oito anos surgiu a primeira iniciativa legislativa, gerando projetos de lei que tramitaram tanto na Câmara dos Deputados, como no Senado Federal. Foi nesse contexto que o Projeto de Lei 4.060/2012, do deputado Milton Monti (PR/SP), deu lugar ao Projeto de Lei da Câmara 53/2018, cujo texto, após a aprovação do Plenário do Senado, foi sancionado, com vetos, pelo Presidente da República.
A nova legislação entrará em vigor em fevereiro de 2020. Sua importância reside no fato de estabelecer a autodeterminação informacional. As pessoas físicas passam a ser dotadas de direitos de informação e decisão sobre o uso e divulgação dos dados que lhe são atinentes. Em benefício da segurança jurídica, no lugar de se socorrer de leis esparsas (como o Marco Civil da Internet, a Lei de Acesso à Informação, a Lei de Cadastro Positivo e o Código de Defesa do Consumidor, por exemplo), tem-se agora uma única e específica tutela.
Além de outros aspectos, a promulgação da LGPD estabelece níveis mínimos de proteção adequados e que devem ser considerados suficientes para que o Brasil continue a trocar informações pessoais com países da União Europeia (o que é relevante especialmente para órgãos do Poder Judiciário e Ministérios Público). Atende-se, assim, ao disposto no artigo 45 da General Data Protection Regulation – GDPR (UE) 2016/679 ou Regulamento Geral sobre a Proteção de Dados da União Europeia.
A legislação nacional, aliás, tem inspiração no modelo europeu (alguns dirão até motivação), porém é muito mais sintética. Enquanto a GDPR tem mais de 80 páginas, a Lei 13.709 conta com apenas 13. Ainda assim, a LGPD acarretará profundas mudanças no ordenamento jurídico brasileiro, pois atingirá as relações de consumo, de saúde, entretenimento, entre muitas outras. Embora o principal impacto seja sobre as relações virtuais, cabe lembrar que os dados coletados fisicamente também estão abrangidos pela Lei.
Isso porque, mais do que estabelecer conceitos e definir regras, limites e direitos no tocante ao tratamento de dados pessoais, a LGPD também objetiva consolidar e uniformizar a abordagem do tema em consonância com valores constitucionais como a dignidade da pessoa natural. São, então, princípios basilares da LGPD a privacidade, a autodeterminação informativa, a inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento econômico e tecnológico, bem como a livre iniciativa e a livre concorrência.
Vale destacar que dado pessoal é toda informação relacionada a pessoa física identificada ou identificável, indo desde o nome, endereço físico e/ou eletrônico, fotos, dados de documentos, do banco, a até mesmo o IP de um computador. Um dado isolado pode não permitir a identificação do titular, mas a pessoa pode se tornar identificável mediante a análise integrada e conjunta de mais informações. Nesse cenário, apenas o que for efetivamente anônimo não atrairá o alcance da proteção legal, mas o processo de tornar anônima a propriedade dos dados (anonimização) deve ocorrer pelo uso, em caráter irreversível, de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Cumpre salientar, igualmente, que muitos serão atingidos pela LGPD em razão do âmbito de sua aplicação (art. 3º), qual seja: qualquer operação de tratamento realizada, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a) a operação de tratamento seja realizada no território nacional; b) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; c) os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
O conceito de “tratamento de dados” merece atenção em razão de sua amplitude: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Isto posto, o tratamento de dados por terceiro dependerá de consentimento do titular, em meio escrito ou outro que demonstre a efetiva manifestação de vontade, ressalvados os casos em que os dados foram manifestamente tornados públicos pelo titular. Acrescido ao consentimento, o tratamento de dados deverá atender a princípios tais como os da finalidade, adequação e necessidade. Deve-se usar o mínimo necessário, pelo tempo imprescindível ao atingimento da finalidade informada adequadamente ao titular que assim consentiu. Se mudar a finalidade, deve-se obter nova autorização de uso.
O titular dos dados poderá rever o consentimento dado, pedir informações sobre o tratamento de dados, requerer a correção de dados incompletos, inexatos ou desatualizados, pedir portabilidade e a eliminação dos dados, bem como revogar o consentimento fornecido anteriormente. Competirá ao denominado controlador de dados o ônus da prova quanto à obtenção do consentimento, devendo, além disso, adotar medidas de segurança para proteger os dados, prevenir vazamentos e evitar discriminações.
Na hipótese de descumprimento da LGPD pelos agentes de tratamento, a penalidade imposta poder variar de uma advertência, com indicação de prazo para adoção de medidas corretivas, a multas e outras sanções, a saber: a) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; b) multa diária, observado o limite total acima referido; c) publicização da infração após devidamente apurada e confirmada a sua ocorrência; d) bloqueio ou eliminação dos dados pessoais a que se refere a infração até a sua regularização.
O órgão que será responsável por zelar, implementar e fiscalizar o cumprimento da LGPD, a Autoridade Nacional de Proteção de Dados (ANPD), será criado posteriormente. Em função de vícios no processo legislativo, foram vetados da LGPD os artigos que previam a ANPD, justificando-se, nas razões de veto, “inconstitucionalidade do processo legislativo, por afronta ao artigo 61, § 1º, II, ‘e’, cumulado com o artigo 37, XIX da Constituição”, uma vez que a criação da ANDP é competência do Poder Executivo e demandaria previsão na lei orçamentária brasileira.
Diante da necessidade de profissionais especializados na aplicação da nova legislação e nos controles internos das atividades de tratamento de dados, muitas consultorias e novos postos de trabalho devem surgir em breve, seja como consultores, controladores ou operadores de dados, notadamente para a produção de relatórios de impacto à proteção de dados pessoais e para o estabelecimento de padrões e de boas práticas para os tratamentos destes. São novos e específicos compliances, ao mesmo tempo que medidas de governança.
A adaptação à LGPD deve começar desde logo, haja visto os inúmeros casos que têm se tornado públicos relativos a vazamentos de dados de redes sociais, bancos e empresas que praticam e-commerce, ocasionando a instauração de inquéritos e o ajuizamento de civis públicas, sem contar o prejuízo à imagem e à reputação dessas empresas e os danos àqueles que têm seus dados vazados indevidamente.
Da lei, destacam-se ainda os seguintes pontos:
- Distinção de conceitos presentes na LGPD:a) Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
b) Dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dado referente à saúde ou à vida sexual; dado genético ou biométrico, quando vinculado a uma pessoa natural;
c) Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.ii. Destinatário de deveres: qualquer pessoa natural ou pessoa jurídica de direito público ou privado.iii. Destinatário de proteção: pessoas naturais identificadas ou identificáveis.
iv. Exceção à aplicação da lei: tratamento de dados pessoais realizado a) por pessoa natural para fins exclusivamente particulares e não econômicos; b) para fins exclusivamente jornalístico e artísticos ou acadêmicos; c) para fins exclusivos de segurança pública; defesa nacional; segurança do Estado ou atividades de investigação e repressão de infrações penais; ou d) dados provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado.
v. Hipóteses de utilização do tratamento de dados pessoais: a) mediante consentimento do titular; b) cumprimento de obrigação legal ou regulatória, pelo controlador dos dados; c) pela administração pública, na execução de políticas públicas; d) realização de estudos por órgão de pesquisa; e) execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; f) exercício regular de direitos em processo judicial, administrativo ou arbitral; g) proteção da vida ou da incolumidade física do titular ou de terceiro; h) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; i) atendimento dos interesses legítimos do controlador dos dados ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou j) proteção do crédito.
vi. Direitos do titular dos dados pessoais: a) acesso facilitado às informações sobre o tratamento de seus dados, bem como aos seus dados; b) informação clara, adequada e ostensiva acerca de como se dará o tratamento de dados, nomeadamente quanto à sua finalidade, forma, duração, identificação do controlador dos dados, informações sobre possível uso compartilhado e responsabilização dos agentes de tratamento; c) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei; d) eliminação dos dados pessoais tratados com o seu consentimento, exceto nas hipóteses previstas na lei; e) informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; f) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; g) revogação do consentimento dado.
vii. Deveres dos agentes de tratamento: a) informar ao titular dos dados pessoais de forma clara, adequada e ostensiva acerca das características do tratamento dos dados; b) realizar o tratamento de dados mediante o consentimento do titular dos dados, salvo nas exceções previstas em lei; c) realizar o tratamento de dados tão somente nas hipóteses permitidas na lei e estritamente dentro das finalidades para as quais o consentimento foi obtido.
viii. Dados pessoais de crianças e adolescentes: o tratamento deverá obedecer ao princípio do melhor interesse e ser realizado mediante o consentimento específico dado por pelo menos um dos pais ou responsável legal. Vedado condicionar o fornecimento de informações, além das estritamente necessárias, à participação em jogos, aplicações de internet ou outras atividades.