Em 14/8/18, foi sancionada a lei 13.709/18, que tem por objeto a ampliação da tutela de direitos de privacidade e sigilo de dados pessoais ("lei geral de proteção de dados – LGPD"). A LGPD é resultado da necessária preocupação da tutela específica desta espécie de direitos, haja vista o avanço exponencial da utilização e do volume de informações e dados desta natureza, utilizados para os mais diversos fins.
De fato, o crescimento e domínio, das relações pela via eletrônica é evidente, surgindo a cada dia novos produtos e ideias a respeito. Citando questão recentíssima a respeito das inovações referentes a produtos e serviços em que se verifica a necessidade de acesso a dados pessoais, destacamos a iminente regulação pelo Banco Central de modelos de negócio baseados no conceito de open banking.
Assumindo que a regulação do open banking brasileira seguirá o modelo adotado na Europa (PSD2), as instituições financeiras brasileiras serão obrigadas a abrirem suas APIs (Application Programming Interfaces), de modo a permitir que aplicações desenvolvidas por terceiros (como por exemplo, FinTechs de crédito ou mesmo bancos concorrentes) possam acessar os dados dos seus clientes de modo fácil e direto, sem a necessidade de consultar a instituição detentora dos dados – desde que tal acesso tenha sido autorizado pelo cliente. Nesse sentido, a LGPD vem em boa hora, pois certamente conferirá maior segurança jurídica a iniciativas como o open banking, entre outras.
Com efeito, até então, os Tribunais e autoridades, como as de proteção do consumidor, aplicavam normas gerais de tutela em casos referentes à proteção e sigilo de dados pessoais, tendo sido vedadas práticas como comércio de base de dados e envio de publicidades e demais comunicações não autorizadas expressamente pelo titular dos dados.
Posteriormente, deu-se o advento da lei 12.965/14 ("Marco Civil da Internet"), em que são expressamente preconizados os princípios da proteção da privacidade e dos dados pessoais (artigo 3º, incisos II e III) e inviolabilidade e sigilo do fluxo de comunicações instantâneas e armazenadas (artigo 7º, incisos II e III).
Com inspiração no Regulamento Geral de Proteção de Dados da União Europeia, a LGPD tem como principais pontos:
(i) a necessidade de prévio consentimento, expresso e estritamente específico, do titular dos dados para qualquer operação de tratamento e utilização das informações (artigo 7º, inciso I);
(ii) a obrigação de imediata exclusão de toda e qualquer informação armazenada após o término da relação entre a pessoa e a entidade (artigo 60, inciso X, do Marco Civil da Internet, introduzido pelo novo diploma);
(iii) a coleta dos dados estritamente necessários ao fim desejado pelo usuário (artigo 6º, inciso III); e
(iv) a permissão da transferência de dados pessoais apenas a países que apresentem um nível adequado de proteção de dados, a fim de conferir uma segurança de caráter universal, ante a globalidade do meio digital (artigo 33, inciso I).
Além disso, é imprescindível destacar que as entidades que armazenarem dados pessoais, além de possibilitar suas correções por seus titulares (artigo 18, inciso III), devem possuir uma sistemática de segurança especialmente destinada à proteção dos dados pessoais de acessos externos e ilícitos (artigo 6º, inciso VII) e, em caso de violação, comunicar imediatamente o ocorrido, sob pena de responsabilização de todos os envolvidos com o tratamento dos dados (artigo 42 e seguintes).
As penalidades previstas para infrações à LGPD (artigo 52) vão desde advertências, que indicarão prazo para adoção de medidas corretivas, até multas de até R$ 50.000.000,00 (cinquenta milhões de reais).
Apesar da recente sanção da LGPD, verifica-se a necessidade das empresas que lidam com coleta de dados de seus clientes iniciarem, desde já, a análise de seus processos internos a fim de se adequarem à lei, analisando a real necessidade de coleta desses dados, como se dará o tratamento e a manutenção destes, os sistemas de segurança a respeito da guarda dos dados, as comunicações entre as diversas áreas da empresa a respeito de dados armazenados e principalmente sobre as informações e acessos a tais dados.
É fato que a tomada de medidas neste momento é um tanto ingrata, uma vez que a LGPD depende em alguns pontos de normas regulamentadoras. Além disso, em razão do veto presidencial, não se tem ainda a instituição da Autoridade Nacional de Proteção de Dados ("ANPD"), sendo difícil prever qual intepretação da LGPD será dada, bem como qual será a relação da ANPD com o judiciário e outros entes da administração pública, a exemplo dos PROCONS.
Dessa forma, entendemos que a sanção da LGPD é oportuna, sendo um marco importante da evolução legislativa do Brasil a respeito do tema. Entretanto, muitos pontos sobre sua aplicação deverão ser amplamente discutidos no período de vacatio legis estabelecido, a fim de se tentar evitar qualquer insegurança jurídica a respeito de sua aplicação.
__________
*André Muszkat é sócio do escritório CSMV Advogados.
*Caio Barros é advogado do escritório CSMV Advogados.