blog

Apontamentos sobre a LGPD – Lei Geral de Proteção de Dados Pessoais

28 de setembro de 2021 | Publicações

I – Economia Digital

Atualmente, vivemos na era da economia digital e compartilhada, baseada na troca de dados e informações em tempo real. Em função do desenvolvimento tecnológico, novas formas de realizar os mesmos serviços surgiram, com redução de custos, tais como por exemplo, o transporte urbano compartilhado, os serviços de delivery de restaurantes e lojas de varejo, os escritórios compartilhados, a locação de casas e apartamentos para férias, ou períodos de isolamento. A pandemia da Covid-19 intensificou a migração para modelos de trabalho e lazer calcados em plataformas digitais.

Assim, há um enorme fluxo informacional, sendo que dados pessoais estão no centro deste fluxo. Os titulares dos dados pessoais não pretendem se ver alijados da economia digital, por receio de fornecer seus dados pessoais. Mas tem uma expectativa legítima de controle do fluxo informacional.

Tal controle pode ser atingido através do fácil acesso àqueles que tratam seus dados, de forma que o titular de dados possa, por exemplo, granular a coleta de dados pessoais por cookies em sites que visita, assim como possa exigir retificações de dados; interrupções de tratamento; portabilidade; devoluções de dados, bem como revogar seu consentimento para o tratamento. Por tal motivo, era urgente um marco regulatório forte relativo à guarda e tratamento daqueles dados por todos os envolvidos.

II – Autonomia do Direito à Proteção Informativa

Em setembro de 2020 entrou em vigor a Lei Geral de Proteção de Dados Pessoais (Lei número 13.709/2018), a qual representou adequação normativa do Brasil ao cenário internacional de proteção de dados.

Antes da promulgação da LGPD, os titulares dos dados pessoais (tais como endereço, número de telefone, RG, número de CPF, número de cartão de crédito) não tinham controle sobre suas informações e muitas vezes sequer sabiam que seus dados pessoais seriam tratados por determinada instituição, ou qual era a finalidade do tratamento.

A proteção jurídica ao titular dos dados pessoais se dava de forma indireta e se encontrava dispersa em alguns diplomas legais. Pode-se dizer que o Código do Consumidor e o Habeas Data eram instrumentos que concediam ao titular certo “controle” sobre o tratamento de seus dados pessoais, na medida que lhe possibilitavam obter o conhecimento das informações constantes em bancos de dados e requerer a retificação destes. Porém, no caso do habeas data, seu uso é restrito aos bancos de dados de entidades governamentais, ou de caráter público.

Frise-se que o direito a proteção de dados pessoais já é reconhecido em outros países como um direito fundamental¹ e no Brasil estamos caminhando para que isso também ocorra. Tramita no Congresso Nacional a Proposta de Emenda Constitucional n°17/2019, que tem por objetivo incluir na Constituição Federal o direito fundamental a proteção de dados pessoais como direito autônomo ao direito à privacidade.

Importante ressaltar que durante o julgamento da ADI 6387 foi reconhecido pelo Superior Tribunal Federal o direito a proteção de dados como um direito fundamental autônomo². Em tal decisão ficou assentado que não existem dados pessoais insignificantes e que o direito fundamental a proteção de dados pessoais é extraído da garantia da inviolabilidade da intimidade e da vida privada, bem como do princípio da dignidade da pessoa humana³.

III – A quem se aplica a LGPD

A LGPD qualifica titular dos dados pessoais a pessoa física identificada, ou que possa vir a ser identificada por seus dados pessoais. Já agentes de tratamento são todas as pessoas jurídicas e entidades (privadas ou públicas) que realizem operações de tratamento de dados pessoais, tais como a coleta, o armazenamento, a classificação, a deleção, a compilação, a cópia, o compartilhamento, a transmissão e outros.

Assim, todas as empresas e instituições, públicas ou privadas, não importando o porte, natureza da atividade ou faturamento, se tem natureza lucrativa, ou não, deverão se adequar à LGPD, bastando que realizem tratamento de dados para já estarem obrigadas à adequação/obediência à LGPD.

Portanto, a adequação aos parâmetros da LGPD não se restringe àqueles que fornecem serviços e produtos diretamente aos consumidores com base no modelo de negócio B2C (business to consumer). As empresas com esse modelo de negócio terão acesso a uma maior base de dados pessoais, e por consequência o volume de tratamento será maior. No entanto, ainda que uma empresa tenha um modelo de negócio B2B (business-to-business) também será necessária sua adequação, na medida que terá acesso aos dados pessoais de seus colaboradores, de colaboradores de parceiros comerciais, no tratamento de imagens de câmera de segurança, entre outras atividades que podem acarretar a coleta e tratamento de dados pessoais.

Em suma, as sociedades, fundações, associações civis, entidades religiosas, Organizações Não Governamentais e entes públicos, da Administração direta e indireta devem se adequar.

O tema do tratamento de dados pessoais por entes do Governo tem gerado polêmica. Cita-se, como exemplo, o Decreto n°10.046 de 2019 que criou o Cadastro Base do Cidadão em que se estabelece um banco de dados único, que contém desde informações cadastrais dos cidadãos, a dados sensíveis, como biométricos. Tal Decreto foi inclusive objeto de uma Ação Direta de Inconstitucionalidade, a ADI6649.

IV – Controlador e Operador

Os agentes de tratamento estão previstos no Capítulo VI da LGPD e consistem na figura do controlador e do operador.

O controlador é o agente responsável por tomar as decisões essenciais referentes ao tratamento de dados pessoais, tais como a finalidade, meios e prazo do tratamento. Por sua vez, o operador é quem realiza efetivamente o tratamento de dados pessoais por conta e ordem do controlador, obedecendo às diretrizes apontadas por este. Ou seja, é aquele que irá segregar os dados, modificá-los, armazená-los, compilá-los, etc. Uma mesma pessoa jurídica pode assumir funções de operador e de controlador. Não se trata de uma posição estanque. Podem também haver diversos controladores e diversos operadores, ou sub-operadores envolvidos em uma determinada operação de tratamento de dados.

No que tange à responsabilidade dos agentes de tratamento o controlador e o operador são responsáveis na medida de sua culpabilidade pelos danos que causarem, sendo obrigados a repará-los. Citamos o artigo 42 da LGPD:

“Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.” (g.n)

A Lei estabelece ainda, que o operador responderá solidariamente com o controlador quando descumprir a legislação, ou não cumprir as instruções licitas do controlador, conforme artigo 42, § 1°, inciso I.

Estabelece também a LGPD que, se houver mais que um controlador, aqueles  controladores que estiverem diretamente envolvidos no tratamento do qual decorreu o dano ao titular, respondem solidariamente, conforme dispõe o artigo 42, § 1°, inciso II.

Da mesma forma que ocorre com o Código de Defesa do Consumidor, a presunção legal é de que os agentes de tratamento são responsáveis. Só não o serão quando restar caracterizado (prova em Juízo) que: (i) os agentes não realizaram o tratamento dos dados; (ii) não violaram a LGPD quando do tratamento do dado; (iii) o dano é decorrente de culpa exclusiva do titular dos dados, ou de terceiros.

No artigo 46 da LGPD estabelece-se que os agentes de tratamento devem adotar medidas técnicas e administrativas para proteger os dados pessoais de situações acidentais, ou ilícitas que possam acarretar no acesso indevido, alteração, perda, deleção (dentre outros),  dos dados pessoais.

Referidas medidas de segurança passam pelo treinamento dos empregados e colaboradores e pela política da tela limpa. Também são fundamentais a adoção de métodos como criptografia e anonimização de dados pessoais, estabelecimento de rígidos controles de acesso à rede, aos aplicativos de rede e aos servidores da empresa, bem como por contratos de hospedagem e cloud computing sólidos, que aloquem o risco da atividade de forma consciente e que obriguem os provedores de software e da plataforma de cloud a garantirem níveis adequados de segurança aos dados em trânsito e em repouso.  Ressalta-se que a LGPD é firme ao estabelecer que o agente de tratamento que causar danos em razão da falta de adoção dessas medidas será responsabilizado civilmente, além da possibilidade de sofrer as sanções administrativas a serem impostas pela ANPD – Agência Nacional de Proteção de Dados.

Recentemente, em agosto de 2021, passou a ter eficácia o artigo 52 que permite a aplicação de sanções pela ANPD – Agência Nacional de proteção de Dados. Assim, a ANPD pode impor multas pesadas de até 2% do faturamento do ano precedente ao da verificação da infração, dentre outras penalidades.

V – Do Encarregado

A LGPD determina que o controlador indique uma pessoa que será responsável pela orientação dos funcionários acerca das disposições da LGPD, bem como para fazer interface com os agentes de tratamento, com os titulares dos dados, e com a Autoridade Nacional de Dados (ANPD). Esta pessoa será denominada na empresa de Encarregado (na sigla em inglês – DPO – Data Protection Officer).

Destaca-se que a identificação (nome, sobrenome) e as informações de contato do Encarregado deverão ser divulgadas publicamente, preferencialmente no sítio eletrônico do controlador. Ressalta-se que ANPD recomendou que o Encarregado seja indicado através de ato formal (exemplo: Ata de Reunião de Sócios, Reunião de Conselho de Administração).

VI – Adequação à LGPD

É importante que as instituições realizem uma “auditoria” interna para verificar em quais processos na atividade diária há coleta de dado pessoais, pois só conhecendo o fluxo dos dados pessoais, será possível implementar controles e até mesmo delimitar se é necessário um programa em privacidade.

O maior desafio nos projetos de adequação à LGPD é conseguir implementar a privacidade e proteção de dados pessoais como um pilar da instituição e não somente realizar a adequação com base na análise de alguns documentos. A proteção de dados pessoais deve ser considerada nas áreas de RH, marketing, jurídico, vendas e também na área de desenvolvimento de produtos ou serviços.

Em resumo, a LGPD visa fomentar o desenvolvimento econômico, tecnológico e concorrencial ao mesmo tempo em que garante o exercício dos direitos dos titulares de dados pessoais e deve ser observada em todas as operações que envolvam tratamento de dados pessoais.

BRENTANI RONCOLATTO ADVOGADOS

¹- Artigo 8° da Carta de Direitos Fundamentais da União Europeia: “1. Todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.”

²- […] em primeiro lugar, que a proteção de dados pessoais e autodeterminação informativa são direitos fundamentais autônomos extraídos da garantia da inviolabilidade da intimidade e da vida privada e, consectariamente, do princípio da dignidade da pessoa humana […]. ADI6387. Superior Tribunal Federal. Ministra Relatora Rosa Weber. d.j.e.

³- A proteção de dados pessoais e a autodeterminação informativa são direitos fundamentais autônomos, que envolvem uma tutela jurídica e âmbito de incidência específicos. Esses direitos são extraídos da interpretação integrada da garantia da inviolabilidade da intimidade e da vida privada (art. 5º, X), do princípio da dignidade da pessoa humana (art. 1º, III) e da garantia processual do habeas data (art. 5º, LXXII), todos previstos na Constituição Federal de 1988; ADI6387. Superior Tribunal Federal. Ministra Relatora Rosa Weber. fls. 65