Menu

A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD ou LGPDP), LEI nº 13.709/2018

A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD ou LGPDP), LEI nº 13.709/2018

 

I- BREVES CONSIDERAÇÕES INICIAIS

 

A escalada e evolução tecnológica, o avanço digital, a internet e redes sociais, a facilidade de se coletar dados e informações acerca de coisas e pessoas, a velocidade na troca de informações entre pessoas ao redor do mundo que vem ocorrendo nos últimos 20 a 30 anos é uma das grandes e significativas revoluções que mudou profundamente costumes e modo de vida.

 

O impacto foi meteórico, alterou a prática e conduta mundial em relação a inúmeras atividades do cotidiano, eliminou e fulminará, ainda mais, muitas atividades profissionais, por outro lado, criou e criará muitas outras que sequer imaginávamos outrora e ainda inimaginamos.

 

A revolução tecnológica, sobretudo a digital aplicada à internet e inúmeros aplicativos criados nos últimos anos causam impacto e consequências ao homem já no  seu nascimento e vida infantil, deveras, hoje as crianças não brincam na rua, não se joga futebol em ruas e campinhos, brincadeiras típicas deixaram de existir, não brincam mais de bicicletas. Isto tudo, evidentemente, não se deve apenas aos vídeos games e outros encantamentos eletrônicos, mas, também à onda de insegurança que nos assolam e falta de espaços como antigamente existiam.

 

As mudanças e nova forma de comportamento social está por todos os lados, pequenos exemplos são os instrumentos e forma de trabalho; a interação das pessoas com instituições econômicas; com o comércio, com a saúde e tratamentos; forma adquirir e alienar bens; modo de deslocamentos das pessoas; os meios de comunicação e de aprendizado e inúmeras outras atividades e ações humanas. Tudo é profundamente diferente do recente passado. É de se imaginar o que está por vir.

 

As redes sociais e os aplicativos de comunicação permitem que uma pessoa se comunique com a outra num piscar de olhos, outrossim, que a comunicação seja em massa e num vai e vem incessante atingido quase todos os lugares do planeta.

 

Tudo isto melhora as condições e qualidade de vida das pessoas em todo o planeta, todavia, existe o lado negativo de toda esta evolução científica e tecnológica, um deles está na exposição das pessoas e seus dados pessoais.

 

A fragilidade das pessoas em virtude da exposição de dados e imagens e a grande dificuldade de se controlar o seu fluxo por grandes corporações e empresas de toda a ordem, pois, se mal manipulados podem causar prejuízos irreparáveis aos seus titulares, fez que que Organizações e Estados se mobilizassem no sentido de impor regras no tratamento dos dados das pessoas, consumidores, profissionais, conferindo mais segurança visando minimizar os danos à quem confia seus dados à terceiros.

 

Preocupados com as consequências nefastas para as pessoas que têm seus dados pessoais fluindo pelo mundo digital e por alguns eventos ocorridos nos último anos a comunidade Europeia sobretudo criou a GDPR (Regulamento Geral de Proteção de Dados), conjunto de normas de segurança de dados pessoas que inspirou a nossa LGPD (Lei Geral de Proteção de Dados Pessoais), objeto destas singelas linhas.

 

O sistema normativo Europeu iniciou-se em 27.04.2016, mas, efetivou-se somente em 25.05.2018, o período de dois anos foi para que setores públicos e empresas privadas amoldassem às novas disposições.

 

Convém esclarecer que a assinatura do Marco Civil da Internet em 2014 propiciou o aumento dos debates sobre privacidade de dados pessoais no Brasil.

 

Hoje avançamos para a Lei Geral Proteção de Dados Pessoais, (LGPDP), sancionada em 14 de agosto de 2018, com eficácia a partir de fevereiro de 2020, para alguns, para outros, a partir de 08/2020. Com esse conjunto de leis, empresas e órgãos governamentais que coletam, processam ou armazenam dados pessoais deverão estar adaptados conforme as novas regras, ficando sujeitos a multas que podem ser astronômicas.

 

Por derradeiro quanto a este tópico, pode-se dizer, a nosso sentir, que a LGPDP visa proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Este Diploma Legal cuida do tratamento (armazenamento e fluxo) de dados feito por pessoas físicas ou jurídicas de direito público ou privado.

 

II- A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD ou LGPDP), LEI nº 13.709/2018

 

OBJETIVO DA LEI 13.709 E PRINCÍPIOS

 

O objetivo do presente comentário e linhas não visa, evidentemente, o esgotamento da matéria sob comento, tampouco contempla aspectos práticos para a implantação e adequação da lei, mas, tão somente, tentar alinhar informações panorâmicas sobre o novel e importante tema que certamente causará impactos em relação as empresas e sociedade.

 

LGPDP é o nome da legislação brasileira que regulará as atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16 do Marco Civil da Internet.

 

O artigo 1º da referida Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

 

A despeito de o ordenamento jurídico Brasileiro ter na Constituição Federal, no Marco Civil da Internet, no Código Civil Brasileiro, no Código de Defesa do Consumidor, na Lei do cadastro positivo e demais leis esparsas a proteção, ainda que incompleta e débil, dos direitos atinentes aos dados e à privacidade, frente a escalada tecnológica e científica e como forma de dar  maior segurança jurídica no tratamento de dados e para que o nosso País tivesse uma legislação e proteção a altura de outros países, principalmente o continente Europeu, possibilitando investimos e o fluxo de dados, em 15 de agosto de 2018, foi sancionada e publicada a Lei 13.709/18 que dispõe sobre a proteção de dados pessoais e altera o Marco Civil da Internet.

 

A disciplina da proteção de dados pessoais tem como fundamentos: I- o respeito à privacidade; II- a autodeterminação informativa; III- a liberdade de expressão, de informação, de comunicação e de opinião;  IV- a inviolabilidade da intimidade, da honra e da imagem; V- o desenvolvimento econômico e tecnológico e a inovação; VI- a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII- os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

 

Aquele que tratar dados, deve respeitar os princípios que dominam a questão, segundo o artigo 6º da Lei 13709/18, que ressalta a boa-fé, bem como os princípios da (i) finalidade; (ii) adequação; (iii) limitação do tratamento de dados ao mínimo necessário para a realização de suas finalidades; (iv) garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; (v) qualidade dos dados (garantia de exatidão, clareza, relevância e atualização dos dados); (vi) transparência; (vii) segurança; (viii) adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; (ix) impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e (x) responsabilização e prestação de contas, ou seja, o agente precisa demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

 

Fácil de perceber os objetivos e finalidade da indigitada lei, que é a proteção de dados, sob tratamento, seja por intermédio de pessoas físicas ou jurídicas, daqueles que se servem dos seus serviços ou que com elas se relacionam ou prestam serviços, para que seus dados não sofram manipulações que lhes causem prejuízos ao nome, à honra e imagem e para a manutenção da privacidade.

 

A LGPDP, inspirada no Regulamento Geral sobre a Proteção de Dados (norma europeia que trata do assunto), trata-se de norma baseada em princípios e, ao regular a proteção dos dados pessoais, garante direitos aos cidadãos e estabelece regras claras sobre as operações de tratamento realizadas por órgãos públicos ou privados em relação aos seus dados e informações pessoais.

 

III- APLICAÇÃO E ABRANGÊNCIA DA LEI 13709/18 E AS EXCEÇÕES DE APLICABILIDADE

 

Consoante expressa o art. 3º da referida lei, este sistema normativo deve ser obedecido por qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: I- a operação de tratamento seja realizada no território nacional; II- a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou III- os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

 

Não estão obrigados ao comando deste Lei segundo o artigo 4º as execuções I- realizado por pessoa natural para fins exclusivamente particulares e não econômicos;  II- realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei; III- realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou ) atividades de investigação e repressão de infrações penais; ou d) atividades de investigação e repressão de infrações penais.

 

Claro fica que as exigências contidas na Lei 13.709/18  repercutirá e se estenderá para todas as empresas, pessoas físicas ou jurídicas que manuseiem dados pessoais para fins econômicos, seja o fato de armazenarem informações como simples RG; CPF e e-mail já é o suficiente para o enquadramento.

 

Algumas empresas de vários tamanhos e diversos setores, ao longo do tempo implementaram os departamentos de compliance (do termo inglês “comply” significa “cumprir”, estar em “compliance” portanto, é estar afinado e alinhado com as regras que rege um sistema ético e normativo de uma localidade a que esta submetida).

 

No âmbito interno das empresas, o compliance serve para verificar se os procedimentos e condutas internas estão alinhadas com o sistema positivo vigente.

 

É dentro deste prisma de compliance e nesse setor que deve ser inserido e operacionalizado todo o arcabouço da Lei 13709/18 (LGPDP).

 

É extremamente fundamental que as empresas se adequem no sentido de cumprir as novas disposições legais, caso contrários poderão sofrer pesadas sanções por descumprimento, fato que trataremos adiante.

 

IV- FISCALIZAÇÃO E SANÇÕES PREVISTAS NA LEI 7309/18

 

A ANPD (Autoridade Nacional de Proteção de Dados), foi prevista pela lei retro mencionada para zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, fiscalizar e aplicar sanções nos casos de descumprimento da legislação, promover o conhecimento das normas e políticas públicas sobre proteção de dados pessoais e das medidas de segurança; editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade; realizar auditorias e celebrar compromissos para eliminação de irregularidades.

 

Referido órgão possuirá natureza transitória e integrará a Presidência da República. Ela será composta por um Conselho Diretor (5 membros, indicados pela Presidência da República), Conselho Nacional de Proteção de Dados Pessoais e Privacidade (23 membros, representando órgãos públicos e da sociedade civil), Corregedoria, Ouvidoria, órgão de assessoramento jurídico e unidades administrativas e especializadas. A ideia é transformar este órgão, mais adiante em agência reguladora para o tratamento da questão.

 

As sanções administrativas para o descumprimento da LGPD estão previstas no art. 52. São elas: (i) Advertência, com indicação de prazo para adoção de medidas corretivas; (ii) Multa simples, de até 2% do faturamento líquido da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 por infração; (iii) Multa diária; (iv) Publicização da infração após devidamente apurada e confirmada a sua ocorrência; (v) Bloqueio dos dados pessoais envolvidos na infração até a sua regularização e (vi) eliminação dos dados pessoais envolvidos na infração.

 

As multas são severas e por isso, é muito importante que as empresas que tratam dados pessoais se adequem para que não venham a sofrer prejuízos financeiros de monta.

 

A ideia é criar uma plataforma de cumprimentos de regras (compliance), aos poucos e em escalas, pois, a cada tempo aprimora-se na adequação ao sistema que está prestes a vigorar.

 

Em caso de fiscalização, o prejuízo será menor tendo uma plataforma iniciada do que nada ter. É preciso muita atenção, de bom alvitre alertar que aqueles que não estiverem adequados ou envolvidos à LGPD correrão o risco de sofrer, com a observância do devido processo legal, autuações e sanções da ANPD, que mesmo que não resultem em desembolso financeiro (multas) poderão, em muitos casos, inviabilizar modelos de negócio, como é o caso da publicização da infração e a exclusão dos dados pessoais.

 

Ainda dispões o artigo 42 da aludida Lei que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

 

Tudo isto sem prejuízo da aplicação do artigo 186 e 927 do Código Civil brasileiro e demais cominações aplicáveis à espécie.

 

VI- OS CONTRATOS EM GERAL E OS CONTRATOS DE TRABALHO

 

Já dito que a LGPDP é regra de caráter geral e abrangente, endereçada a todas as relações jurídicas que envolvam a presença dos requisitos por ela indicados, como todas as relações jurídicas que permeiem a manipulação de informações de pessoas físicas (artigo 1º).

 

Pois então, em maior ou menor grau, todos aqueles que manipularem dados, por mais simples que sejam, devem obediência á Lei.

 

Muito embora a LGPD não ter sido planejada para as questões relacionadas ao trâmite de informações entre empregadores e empregados. Ela visa o mundo virtual em geral, para o tramite de informações dos cidadãos nas redes sociais, aplicativos, cadastros de clientes e etc…

 

Ao que parece a LGPD não deixou de fora as relações de trabalho do seu âmbito de aplicação (artigo 3º). Ademais, as relações de trabalho, e outras relações correspondentes, como a prestação de serviços em geral, implicam, outrossim, o trânsito de informações entre uma pessoa natural, o empregado ou prestador de serviços, e uma outra pessoa, natural ou física, que vem a ser o patrão ou empregador.

 

Por conseguinte, impende concluir que, em nosso ponto de vista, é extremamente importante uma readequação e alteração nos contratos de trabalhos, providência inicial que deve ser seguida de outras, visando o mínimo cumprimento da Lei de Proteção de Dados Pessoais, com o escopo de aprimoramento para atingir o ápice de suas exigências e finalidades.

 

Não só os contratos de trabalho, mas, todos e quaisquer contratos devem estar adequados á novel legislação que passa a vigorar em 2020.

 

VII- QUESTÕES PRÁTICAS PARA A IMPLANTAÇÃO E ADEQUAÇÃO Á LEI 13709/2019

 

Estão obrigado a respeitar a Lei e promover as adequações aquelas empresas que a- Reúnem dados das pessoas para envio de ações promocionais ou de negócios; b- examinam comportamentos dos clientes para sugerirem propostas decorrentes; c- coletam dados através de site e aplicativos para vender produtos ou serviços; d- mantém dados de colaboradores e utilizam para pagamentos de remunerações; e- armazenam dados e informações para a prestação de serviços

 

Como dito acima a empresa, seja ela de que tamanho for, deverá possuir programa de compliance que deve contemplar:

 

a- Preliminarmente é necessário um mapeamento geral da empresa e de como ela manuseia e armazena os dados e informações de seus clientes e de todos os que com ela se relacionam, tendo à frente:

 

a1- Um suporte jurídico especializado que constatará todo o processo de dados na empresa e, baseado nas leis de privacidade (LGPD e GDPR), avaliará possíveis riscos e inconformidades, além de impor as diretrizes de conduta e forma de registro das atividades para a adequação e cumprimento da LGPDP e

 

a2- Um setor ou empresa de tecnologia especializada que avaliará todo o tratamento de dados pessoais de sua empresa, como são coletados, armazenados e compartilhados (com um entendimento profundo de todo o fluxo de informação do setor interno e externo da empresa).

 

b- controle a aprimoramento de procedimentos internos e externo de informações (gestão de dados, atualização de ferramentas de segurança, mecanismos de controle e auditoria), tudo isto com uma interferência do setor de TI da empresa ou terceiros contratados;

 

c- Treinamentos a colaboradores e palestras periódicas, mudança de condutas (participação dos colaboradores da empresa em treinamentos periódicos e ainda a conscientização de clientes, fornecedores e parceiros).

 

d- A Lei enumera 3 (Três) atores que estarão envolvidas e que terão contato diretamente com a LGPDP. São elas:

 

d1- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

 

d2- Processador ou operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

 

d3- Encarregado ou DPO (Data Protection Officer), esta pessoa será a responsável e indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

 

O Artigo 41§3º da Lei 3709/18 diz que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Aqui temos que esperar para ver o que nos espera.

 

O ar. 5º da Lei 13.709/2018, a LGPD define o controlador como uma pessoa física ou jurídica, de direito público (governo) ou privado (empresa), a quem compete às decisões referentes ao tratamento de dados pessoais. Já o operador também pode ser uma pessoa natural ou jurídica, de direito público ou privado, mas com uma diferença: ele realiza o tratamento de dados pessoais em nome do controlador.

 

A diferença entre os controlador e operador está no poder de decisão. O operador pode realizar o tratamento dos dados, mas isso ocorre a  partir das ordens de um controlador, que, por sua vez, apresenta-se como o “dono” ou responsável por essas informações. É o controlador que está no topo da cadeia de tratamento de dados.

 

  1. e) Após toda essa análise preliminar de dados, tecnologia e jurídico, pode-se entender quais os pontos de fragilidade a empresa, pode ter com relação a tratamento de dados pessoais e, assim, ter um plano de trabalho e recomendações do que deve ser feito envolvendo processos, ferramentas, sistemas e pessoas. A partir daí o projeto inicia-se e demora uma média de um ano para ser entregue. Depois ainda continua com um plano de manutenção, monitoramento e acompanhamento através de sistemas, processos e treinamento de pessoas.

 

Impende salientar que, para que a coleta e tratamento de dados seja considerada lícita e em consonância com a Lei, é importante observar as hipóteses em que o consentimento é necessário. Independentemente do consentimento, os dados poderão ser tratados (i) para cumprimento de obrigação legal; (ii) para necessidades pré-contratuais, contratuais e pós-contratuais; (iii) para o exercício regular de um direito; (iv) quando demonstrado o legítimo interesse; (v) para fins de proteção ao crédito, entre outros. Desse modo, não há necessidade de consentimento para todas as situações.

 

A LGPD cria e incentiva a prática de uma nova mentalidade concernente á forma como, até então são tratados os dados e informações pessoais de consumidores, funcionários e de todos titulares em geral. O novo Diploma Legal confere efetividade à garantia constitucional, intimidade, privacidade e sigilo de dados e correspondência e impõe limites ao sistema, que é o respeito à dignidade da pessoa humana.

 

Bom lembrar que a existência de boas práticas e normas internas de compliance podem reduzir o valor de uma eventual autuação (art 52, §1º, VIII, IX), o que é um ótimo estímulo para que os Controladores busquem reduzir, minimizar, ou eliminar todos os riscos.

 

Os demais conceitos são, sempre conforme o art 5º: dado pessoal sensível, dado anonimizado, bando de dados, encarregado, agentes de tratamento (Controlador e Operador), anonimização, consentimento, bloqueio, eliminação, transferência internacional de dados, portabilidade uso compartilhado de dados, órgão de pesquisa, e autoridade nacional.

 

Tudo isso será levando em conta no início, durante, término do processo de implantação do conteúdo legal e, também durante todo o processo de monitoramento e manutenção do sistema.

 

VIII- RESPONSABILIDADE POR DANOS AO TITULARES DOS DADOS OU TERCEIROS

 

O artigo 9° da Lei diz que o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso: I- finalidade específica do tratamento;  II- forma e duração do tratamento, observados os segredos comercial e industrial;  III- identificação do controlador; IV- informações de contato do controlador; V- informações acerca do uso compartilhado de dados pelo controlador e a finalidade; VI- responsabilidades dos agentes que realizarão o tratamento; e VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

 

O artigo 31 da Lei expressa que quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação.

 

E o 32 preceitua que a autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.

 

Fato é que o controlador e o operador podem ser solidariamente responsabilizados por problemas de segurança da informação ou o uso indevido e não autorizado dos dados pela Lei, ou pela não conformidade com a mesma. Entretanto a responsabilidade do operador é adstrita às suas obrigações operacionais.

 

O encarregado, por sua vez é o responsável dentro da empresa pela supervisão do cumprimento das regras previstas na lei e orientação dos funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

 

Toda empresa que trate dados pessoais deve indicar um encarregado, mas a Autoridade Nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa, como acima dito.

 

O controlador também deve produzir documentos que contenha a descrição dos processos de tratamento de dados pessoais que podem gerar riscos ou danos aos direitos dos titulares, outrossim, medidas, salvaguardas e dispositivos de mitigação desses riscos. Este documento é conceituado como um relatório de impacto à proteção de dados pessoais.

 

Esta providência poderá ser obrigatória em situações já caracterizadas como de risco ou, a pedido da Autoridade, quando o tratamento de dados for baseado no legítimo interesse. Ela permite, além do mapeamento dos riscos, uma efetiva fotografia do status da conformidade regulatória da entidade.

 

Assim, devem as empresas adequar seus Termos de Uso e Políticas de Privacidade para que fiquem em harmonia  com os preceitos contidos na Lei, mormente por que a LGPD prevê a criação de uma agência governamental, cujo objetivo será fiscalizar o efetivo cumprimento das determinações, sob pena de multas e indenizações às vítimas, por exemplo.

 

Por derradeiro é de fundamental importância um acompanhamento profissional contínuo para a correta adequação dos requisitos fáticos e jurídicos a fim de assegurar a segurança jurídica necessária para um bom desenvolvimento dos negócios. É imperioso o auxílio de assistência jurídica especializada, pois nesses casos o conhecimento da legislação é essencial para proteger seu negócio e evitar grandes prejuízos para as empresas.

 

____________________________________________________________

RUBENS DE ALMEIDA ARBELLI – Titular da Arbelli Advogados Associados