ANPD realiza consulta pública para regulamentar a aplicação da LGPD pelas ME, EPPs e Startups

Flávia Lubieska Kischelewski

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão federal da administração pública competente para zelar, implementar e fiscalizar o cumprimento da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou LGPD). Entre suas atribuições está a edição de normas, orientações e procedimentos simplificados e diferenciados às microempresas (MEs), empresas de pequeno porte (EPPs) e startups, na forma do art. 55-J, XVIII, da LGPD. 

A edição de uma Resolução sobre esse tema é uma prioridade da ANDP, de acordo com a agenda regulatória para o biênio 2021-2022, publicada no final de janeiro de 2021 (disponível nesse link) . Após a realização a Tomada de Subsídios 1/2021, que recebeu contribuições até 01/03/2021, a ANPD parte para uma segunda fase previamente à edição da Resolução, qual seja, a abertura da consulta pública, com a minuta do ato normativo que regulamentará a aplicação da LGPD (https://www.in.gov.br/en/web/dou/-/despacho-de-27-de-agosto-de-2021-341340415).

Essa Resolução será extremamente importante para as empresas de menor porte, as quais, ainda que pequenas em termos de equipe ou faturamento, podem movimentar grande volume de dados pessoais. É preciso, por conseguinte, cautela ao avaliar a possibilidade e riscos da flexibilização da aplicação da LGPD, assim como, da diferenciação de prazos e procedimentos, como se propõe na minuta publicada. 

As contribuições para a consulta pública poderão ser enviadas eletronicamente até o dia 29/09/2021, pela plataforma Participa Mais Brasil, disponível neste link. Haverá, ainda, audiências públicas nos dias 14 e 15 de setembro de 2021, transmitidas pelo canal da ANPD, no Youtube.

Despesas com LGPD podem gerar créditos de PIS/COFINS

Matheus Monteiro Morosini

A Justiça Federal reconheceu o direito de uma empresa comercial de apurar créditos de PIS e Cofins sobre gastos com implementação e manutenção de programas de proteção de dados, para a adequação à Lei Geral de Proteção de Dados – LGPD, em vigor desde 1º de agosto.

A sentença em comento, a partir dos critérios de essencialidade e relevância, concluiu que as despesas com LGPD são insumos para fins de créditos de PIS e Cofins, merecendo destaque os seguintes trechos da decisão:

“Desse modo, é o ‘teste de subtração’ que revelará a imprescindibilidade e a importância do bem no processo produtivo, somente havendo falar em caracterização como insumo quando a subtração do bem ou serviço em questão resultar na impossibilidade de realização da atividade empresarial ou, no mínimo, lhe acarretar substancial perda de qualidade.

No caso dos autos, pretende a autora considerar como insumos os gastos necessários ao cumprimento das obrigações relacionadas com a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.909, de 14 de agosto de 2018).

Tratando-se de investimentos obrigatórios, inclusive sob pena de aplicação de sanções ao infrator das normas da referida Lei 13.909/218, estimo que os custos correspondentes devem ser enquadrados como insumos, nos termos do procedente acima citado. Com efeito, o tratamento dos dados pessoais não fica a critério do comerciante, devendo então os custos respectivos serem reputados como necessários, imprescindíveis ao alcance dos objetivos comerciais”.

Ainda não há um entendimento judicial consolidado sobre o tema, mas a decisão ora noticiada representa relevante interpretação da legislação, no sentido de que os bens e serviços adquiridos pelas empresas para a cumprimento de obrigações legais, como as despesas com adequação e manutenção impostos pela LGPD, também se caracterizam como insumos.

Nossa equipe de direito tributário está à disposição para examinar a situação de cada cliente e avaliar as medidas cabíveis.

A LGPD e o SERASA

Izabel Coelho Matias

A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei 13.709/2018) trouxe diversas responsabilidades àqueles que realizam o tratamento de dados pessoais. Caso não seja cumprida pelos agentes de tratamento, pode ensejar o dever de reparação à pessoa natural, isto é, ao titular dos dados. Apesar das sanções administrativas somente vigorarem a partir de 1º de agosto de 2021, não há qualquer impedimento para o exercício de direitos na esfera judicial.

Nesse sentido, é importante destacar a recente condenação do SERASA ao pagamento de R$ 4.000,00 (quatro mil reais) a título de indenização por danos morais, pois, segundo constou no processo, teria mantido indevidamente número de telefone de consumidor em seu cadastro, possibilitando o acesso a terceiros. 

Ao SERASA, em linhas gerais, é permitido o tratamento de dados pessoais para proteção ao crédito, com base no art. 7°, X, da LGPD. Ainda assim, de acordo com o caso julgado, a empresa deve respeitar a finalidade e o contexto em que o tratamento é realizado, tendo havido o entendimento de que a divulgação de número pessoal do consumidor não é medida necessária, nem adequada, para promover a proteção ou análise de crédito.

O magistrado destacou, ainda, que o acesso indiscriminado do número telefônico é uma violação de direitos personalíssimos, que pode causar aborrecimentos desproporcionais ao devedor.

Dessa forma, ressaltamos a importância em se garantir o tratamento adequado aos dados pessoais, respeitando sempre, além dos demais princípios, a adequação, a necessidade e a finalidade da coleta, ou seja, este deve ser feito para propósitos legítimos, específicos, explícitos e informados ao titular, em respeito aos princípios contidos no art. 6° da referida Lei.

LGPD e a exposição indevida de dados pessoais na internet

Eduardo Mendes Zwierzikowski

É comum que ao procurarmos sobre nós mesmos em sites de busca, como o Google, sejam listadas diversas informações a nosso respeito, como nome, endereço, participação em sociedades empresariais ou em processos judiciais, por exemplo. Contudo, a exposição indevida de dados pessoais na internet pode representar um risco a nossa segurança e privacidade, facilitando o uso dessas informações para a prática de fraudes ou outros atos ilícitos por criminosos.

Com a edição da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei Federal nº 13.708/2018), foram positivadas regras para a realização do tratamento de dados pessoais por pessoas físicas ou jurídicas de direito público ou privado, em meios digitais ou físicos.

Nesse contexto, toda e qualquer operação de tratamento dados pessoais, incluindo a coleta, o compilamento dessas informações e a sua divulgação na internet está sujeita à LGPD, devendo respeitar propósitos legítimos, específicos, explícitos e informados ao titular de dados e obedecer a outros princípios, como o da segurança, prevenção e necessidade.

Aquele que se sentir ofendido com a divulgação excessiva e despropositada de dados pessoais tem o direito de requerer a exclusão destes, podendo fazê-lo diretamente às empresas proprietárias dos sites (quando disponível), ou então por meio do envio de notificações extrajudiciais, formalização de denúncia à Autoridade Nacional de Proteção de Dados Pessoais (ANPD) ou ingresso de ação judicial destinada a garantir o seu direito fundamental à proteção de dados pessoais.

O Núcleo de Direito Digital de Prolik Advogados está à disposição para esclarecer qualquer dúvida a respeito do tema.

Currículos recebidos trarão impactos na LGPD

Por Ana Paula Araújo Leal Cia

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) já em vigor trouxe impactos no departamento de recursos humanos.

A referida legislação busca proteger as informações que identificam ou tornam identificáveis as pessoas físicas e é fato que o empregador sempre foi obrigado a utilizar os dados fornecidos pelo seu colaborador apenas e tão somente com finalidades necessárias para os fins empregatícios, sob pena de responder por eventual indenização por danos materiais e morais.

No entanto, a utilização de dados pessoais deverá ser resguardada antes mesmo da celebração do contrato de trabalho, quando do recebimento de currículos dos candidatos.

Um fato inusitado ocorreu com uma garota no município de Jaboticabal, SP. Ao entregar o currículo em uma loja de presentes o mesmo foi utilizado, como etiqueta, para marcação de preço numa mercadoria do estabelecimento. A mãe da jovem reconheceu a foto da filha, o que deixou a menina indignada com a atuação da loja (https://g1.globo.com/sp/ribeirao-preto-franca/noticia/2020/10/05/jovem-tem-curriculo-usado-como-etiqueta-de-bolsa-em-loja-de-jaboticabal-sp-e-ridiculo.ghtml).

Ainda que tenha havido um equívoco na utilização do currículo da garota, este fato serve para demonstrar a necessidade de as empresas se concentrarem na utilização correta de documentos com dados pessoais e/ou sensíveis recebidos antes do início da contratação. Ou seja, prover segurança para resguardar a proteção das informações do candidato ao emprego.

Destaca-se, aqui, a necessidade de criação de programas internos de proteção de dados, sobretudo com relação ao armazenamento e descarte das informações recebidas pelos candidatos a emprego, minimizando os riscos relacionados com a segurança da informação.

No caso concreto a utilização do currículo da garota trata-se de um ilícito civil passível de indenização por danos morais, além da sanção administrativa prevista no artigo 52 da LGPD. Então, a orientação é que as empresas comecem a cuidar das suas bases de dados, sobretudo no que se referir à continuidade da utilização de dados e sobre quais dados pessoais serão mantidos pela empresa.

A LGPD e a corrida ao poder judiciário

Por Flávia Lubieska Kischelewski

Depois de sucessivos adiamentos e dúvidas sobre o início da vigência, a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) finalmente entrou em vigência, parcialmente, em 18 de setembro de 2020 – uma sexta-feira. Dizemos, parcialmente, pois é preciso lembrar que os dispositivos relativos às sanções administrativas somente vigorarão a partir de 1º de agosto de 2021.

Essas circunstâncias tornam o Poder Judiciário a instituição, por excelência, para dirimir conflitos que tenham por núcleo conflitos relacionados ao tratamento, em tese, irregular de dados pessoais.

Assim sendo, não demorou para que, rapidamente, fosse ajuizada a primeira ação tendo por fundamento a LGPD. Na segunda-feira, 21 de setembro, o Ministério Público do Distrito Federal e dos Territórios (MPDFT) que, antes mesmo do início da vigência da LGPD, vinha atuando intensamente como uma espécie de guardião da proteção dos dados pessoais e da privacidade dos brasileiros, por meio da Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec), ajuizou uma Ação Civil Pública contra a Infortexto Ltda., que se apresentava como empresa de produtos e serviços digitais.

Entre os produtos que violariam a LGPD, segundo constou da ação, no site da empresa havia oferta de contatos para marketing com dados de pessoas naturais da cidade de São Paulo, consistentes em nomes; e-mails, endereços postais ou contatos para SMS, bairro, Cidade, Estado e CEPs. Para o MPDFT, a ré deveria ser condenada a eliminar todos os dados pessoais tratados de forma irregular, conforme diretrizes da LGPD.

Tão rápido quanto o ajuizamento da ação civil público, foi a sentença. Proferida em 22 de setembro, o pedido do MPDFT foi, de plano, indeferido. Não houve julgamento de mérito, em razão “ausência de interesse processual do autor”, isso porque o D. Juiz consultou o site da empresa e verificou que este estava em manutenção (mais recentemente, o site se tornou totalmente inacessível). Nesse contexto, decidiu-se que não restou evidenciada nenhuma lesão ou ameaça de lesão apta a justificar o processamento da ação.

Ainda cabe recurso por parte do MPDFT. Por enquanto, somente é possível afirmar que a primeira ação relacionada à LGPD não gerou precedente que pudesse orientar, de alguma forma, empresários, instituições e advogados.

Dias depois, esse cenário se modificou. Como amplamente noticiado, a construtora Cyrela Brazil Realty S/A Empreendimentos e Participações foi a primeira empresa condenada a indenizar em R$ 10 mil um cliente que teve informações pessoais compartilhadas com empresas estranhas à relação contratual. É importante destacar que cliente comprou o apartamento em 2018 e, a partir disso, teria sido assediado por instituições financeiras e firmas de decoração, que citavam sua recente aquisição com a parte ré. 

É relevante ressaltar que, como visto, a ação do cliente é anterior ao início da vigência da LGPD, fato esse que deve ser observado pelos empresários. É certo, contudo, que além da LGPD, a sentença estava apoiada no Código de Defesa do Consumidor e dispositivos da Constituição Federal.

Essas ações revelam o potencial de corrida ao Poder Judiciário por parte, em sua maioria, de consumidores que se sintam violados em relação a seus dados pessoais. Essa circunstância é potencializada pelo fato de que a Autoridade Nacional de Proteção de Dados ainda não foi implementada e, por conseguinte, não há, ainda, as necessárias regulamentações da LGPD. 

Enquanto isso, só resta, especialmente, aos empresários acelerarem seus processos para conformidade à legislação, como forma de mitigação preventiva de potenciais passivos. A equipe do Prolik Advogados permanece à disposição para auxiliar seus clientes e interessados para a adequação jurídica à LGPD.

LGPD: em quais hipóteses o tratamento de dados pode ser realizado?

Izabel Coelho Matias e Letícia Marinhuk

A Lei nº 13.709/2018, popularmente conhecida como Lei Geral de Proteção de Dados (“LGPD”), entrou recentemente em vigor e impôs, no ordenamento jurídico brasileiro, dentre outros aspectos, um novo olhar sobre o direito à liberdade e à privacidade de cada indivíduo.

A partir dela, foram estabelecidos limites e critérios que se aplicam para qualquer atividade que envolva o tratamento de dados  relacionado a uma pessoa natural identificada ou identificável, desde que a operação seja realizada no Brasil; verse sobre dados aqui coletados, ou tenha por objetivo a oferta, o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, além dos casos excetuados em lei.

Para tanto, a LGPD estabelece, em seu art. 7º, as chamadas “bases legais”, rol taxativo das situações em que o tratamento de dados pessoais está autorizado, sendo elas:

  • Mediante o fornecimento de consentimento pelo titular dos dados pessoais;
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
  • Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • Quando necessário para a execução de contrato ou de procedimentos preliminares a ele relacionados, do qual seja parte o titular e a pedido deste;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307/1996 (“Lei de Arbitragem”);
  • Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Nesse sentido, há que se ressaltar que, embora cada base legal possua o mesmo valor, sem que uma prevaleça sobre a outra, é necessário definir qual ou quais hipóteses autorizam o tratamento de dados, levando-se em consideração o contexto da atividade e os fundamentos que disciplinam a proteção dos dados, pois nem sempre será necessária a obtenção do consentimento do titular dos dados, de sorte que o “legítimo interesse” não se constitui como uma autorização geral e irrestrita para o tratamento.

Do contrário, não se enquadrando a finalidade do tratamento em nenhuma das autorizações legais acima indicadas, ou, sendo, tal tratamento, excessivo ou desnecessário à amplitude de sua finalidade, sujeitar-se-á, o agente, às sanções administrativas, que poderão variar desde uma simples notificação para a adoção de medidas corretivas até multa de 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, limitada ao valor máximo de R$ 50 milhões de reais por infração, sem exclusão da possibilidade de responsabilização judicial.

LGPD em vigor, e agora?

Por Dr. Eduardo Mendes Zwierzikowski

Confira o passo a passo de adequação

Após amplas discussões sobre quando iniciaria a vigência da Lei Geral de Proteção de Dados Pessoais (LGPD), não há mais dúvidas, ela está em vigor desde o dia 18 de setembro (embora as penalidades administrativas sejam aplicáveis somente a partir agosto de 2021). A partir de agora, todos aqueles que realizam operações de tratamento de dados pessoais, incluindo pessoas naturais ou pessoas jurídicas de direito público ou privado, devem a ela se adequar, mas por onde começar?

O primeiro passo de qualquer programa de conformidade com a LGPD envolve a realização de uma atividade de mapeamento ou inventário de dados. Por meio dessa atividade, busca-se entender quais são os dados pessoais, a sua origem, finalidade na utilização, se há política de descarte, compartilhamento; enfim, é uma etapa destinada a compreender o ciclo de vida dos dados.

Nesse diagnóstico inicial, são analisados contratos, propostas, políticas internas, como as de privacidade e cookies (quando existentes), além de outros documentos relativos às operações da empresa para avaliar as ações relacionadas ao tratamento de dados pessoais.

Diante da extensão do trabalho desenvolvido, ao final do mapeamento é possível elaborar um relatório de diagnóstico segundo o nível de maturidade da empresa, com a indicação de quais são as ações necessárias para garantir a plena aderência da organização à LGPD e os riscos relacionados ao tratamento de dados pessoais.

Já o segundo passo envolve a execução das ações propostas nesse relatório preliminar, com a revisão de minutas de contratos, elaboração de aditivos, estabelecimento de cláusulas padrão no caso de compartilhamento de dados pessoais, redação de novas políticas, criação de outros procedimentos internos destinados a estabelecer boas práticas no tratamento de dados pessoais e o treinamento de funcionários.

Se necessário, devem ser confeccionados relatórios de impacto à proteção de dados pessoais (DPIA), com a descrição dos processos de tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Nessa segunda etapa, embora não seja uma regra, normalmente é constituído formalmente o comitê de privacidade e indicado o Encarregado pelo Tratamento de Dados Pessoais, pessoa física ou jurídica que possui a incumbência de aceitar reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar providências; receber e implantar as comunicações da autoridade nacional e orientar funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

Como visto, são inúmeras as tarefas necessárias para que a conformidade com a LGPD seja alcançada inicialmente, mas é imprescindível destacar que o programa de adequação deve ser constantemente revisto, especialmente após a constituição da Autoridade Nacional de Proteção de Dados Pessoais, órgão que disciplinará matérias pendentes de regulamentação na lei, o que demandará um esforço contínuo de adequação.

LGPD entra em vigor

Por Flávia Lubieska N. Kischelewski

Foi publicada nesta data a Lei nº 14.058/2020, fruto da conversão em lei da Medida Provisória nº 959/2020, sancionada pelo Presidente da República.

Como havíamos destacado em Boletim anterior, o Projeto de Lei de Conversão, no apagar das luzes, deixou de incluir a postergação do início da vigência da Lei 13.709/2018, a chamada Lei Geral de Proteção de Dados Pessoais (LGPD).

Assim sendo, uma vez que o texto legal publicado nesta sexta-feira silencia sobre a LGPD, conclui-se que a legislação sobre dados pessoais passa a ser aplicável a entes públicos e privados a partir desta data (18/09/2020), embora suas penalidades incidam somente de 1º/08/2021 em diante.

É imprescindível, portanto, que os responsáveis por órgãos da administração pública, assim como os empresários, reforcem os esforços necessários para garantir a conformidade com a nova dinâmica de tratamento de dados pessoais. Mesmo que as advertências e multas administrativas ainda não possam ocorrer, o Poder Judiciário poderá ser acionado para solucionar litígios e, inclusive, decidir pelo pagamento de indenizações em virtude do descumprimento de direitos de titulares de dados pessoais.

A equipe do Prolik Advogados permanece à disposição para auxílio e esclarecimento de dúvidas sobre a nova legislação, bem como para projetos de adequação jurídica à LGPD.

Nova lei adia a aplicação de sanções da LGPD

Por Eduardo Mendes Zwierzikowski

A recente Lei que instituiu o Regime Jurídico Emergencial de Direito Privado (Lei Federal nº 14.010/2020) também alterou a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018), a fim de adiar a imposição das suas sanções para 1º de agosto de 2021.

A entrada em vigor da própria LGPD já havia sido objeto da Medida Provisória nº 959, que postergou a sua eficácia plena para 03 de maio de 2021.

No quadro legislativo atualmente vigente, a LGPD deverá entrar em vigor em 03 de maio de 2021, mas as penalidades pelo seu descumprimento somente poderão ser cominadas três meses após, a partir de 1º de agosto daquele ano.

Destaque-se, contudo, que esses prazos não são definitivos, pois a MP nº 959 ainda não foi apreciada pelo Congresso Nacional. Na hipótese de ela ser rejeitada ou então perder a eficácia por ausência de apreciação do texto pelo parlamento, a vigência prevista originalmente para agosto de 2020 pode se concretizar, mas, nesse caso, com sanções apenas para agosto de 2021.

Caso a MP seja aprovada da forma como foi apresentada pela Presidência da República, tanto a vigência plena da LGPD, quanto a possibilidade de punição são diferidas para 03 de maio de 2021.

As sanções administrativas aplicáveis pela Autoridade Nacional de Proteção de Dados (pendente de criação) são as seguintes: (i) advertência; (ii) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no seu último exercício, excluídos tributos, limitada, no total a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; (iii) multa diária; (iv) publicização da infração; (v) bloqueio ou eliminação dos dados pessoais ligados ao ilícito; (vi) suspensão parcial do funcionamento do banco de dados e do tratamento de dados ligados à infração pelo prazo máximo de 6 (seis) meses, prorrogável por igual período; e (viii) proibição total ou parcial do exercício de atividades relacionadas a tratamento de dados.

A discussão quanto aos prazos de eficácia total ou parcial da LGPD (sanções), como visto, permanece aberta, mas fato é que a necessidade de adequação das empresas continua sendo necessária, pois a proteção de dados pessoais é uma realidade observada em muitos contratos empresariais e na atuação de autoridades públicas, como o Ministério Público do Distrito Federal e Territórios.