Migalhas de Peso

Proteção de dados no Brasil: novo marco regulatório

Importante ter em mente que o intuito da legislação não é criar burocracia, a ideia por trás não só da legislação brasileira, como das legislações de proteção de dados ao redor do mundo é coibir abusos e permitir um ambiente mais saudável e seguro para os usuários.

13/11/2018

Temas relacionados à proteção de dados ganham cada vez mais destaque na sociedade atual, onde o acesso e trocas de informações ocorrem de forma extremamente veloz. Episódios envolvendo o vazamento de dados de usuários de redes sociais ou consumidores de diversos setores evidenciaram ainda mais a necessidade de atenção ao assunto.

É neste cenário que a Lei Geral de Proteção de Dados, ou simplesmente LGPD (lei 13.709/18) é promulgada. A LGPD regulamenta o tratamento de dados pessoais, processo que compreende desde a coleta, a utilização, acesso, reprodução, transmissão, distribuição, modificação processamento, armazenamento e eliminação dos dados de pessoa natural, tanto no âmbito privado como público, estipulando quem são os responsáveis pelo tratamento adequado dos dados, os direitos dos titulares e as penalidades as quais as pessoas físicas e jurídicas que descumprirem seus preceitos estarão sujeitas.

A promulgação da lei é um marco para o Brasil já que anteriormente não existia legislação específica sobre proteção de dados. O que existiam eram algumas normativas esparsas, como o Código de Defesa do Consumidor, a lei do Cadastro Positivo e a lei 12.965/14 que ficou conhecida popularmente como o Marco Civil da Internet e que foi parcialmente alterada pela LGPD.

A nova legislação tem como parte de seus fundamentos o respeito à privacidade, a liberdade e a inviolabilidade da intimidade, da honra e da imagem, tendo se inspirado em muitos aspectos no regulamento europeu General Data Protection Regulation, ou GDPR, que entrou em vigor em maio de 2018. Esta influência decorre, entre outros motivos, da intenção de incluir o Brasil no rol de países que proporcionam um grau de proteção de dados pessoais adequado conforme parâmetros internacionais.

O processo legislativo da LGPD não foi fácil, tanto que os trechos da lei que se referem à criação da Autoridade Nacional de Proteção de Dados (ANDP) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, foram vetados.

Não há dúvidas de que no atual cenário o veto à criação da Autoridade Nacional de Proteção de Dados e do Conselho Nacional de Proteção de Dados Pessoais gera uma espécie de lacuna com relação à estrutura e aplicabilidade da norma. No entanto, a ausência destas autoridades não impede que a apuração e responsabilização por vazamento de dados por órgãos já existentes, como o Ministério Público que tem em andamento diversas ações que tratam de vazamento de dados especialmente relacionadas aos dados de consumidores.

É certo que a LGPD impactará todos os setores da economia e não somente aquelas empresas cuja atividade é diretamente relacionada à coleta de dados pessoais, como também aquelas que de alguma forma tenham contato com esses dados, sejam dados de clientes, fornecedores, prestadores de serviços, empregados e empregadores, dentre outros.

Adiante abordaremos os principais aspectos tratados pela lei, de modo a propiciar um panorama geral de seus principais aspectos.

 

Vigência:

 

A lei 13.709/18 foi sancionada em 14 de agosto de 2018 tendo o prazo de 18 (dezoito) meses para entrar em vigor. Assim, teremos até fevereiro de 2020 para fazer as adequações às disposições e exigências da lei.

 

Aplicabilidade:

 

A LGPD é aplicável ao tratamento de dados relacionados a pessoa física identificada ou passível de identificação, realizado por pessoa física ou jurídica de direito público ou privado, independentemente do meio (se físico ou eletrônico) desde que: a) a operação de tratamento seja realizada no Brasil; b) a operação tiver por objetivo a oferta ou o fornecimento de bens ou serviços de indivíduos localizados no Brasil; ou c) os dados pessoais tenham sido coletados no Brasil (indivíduo, brasileiro ou não, que encontrava-se em território nacional).

Há algumas exceções previstas na LGPD quanto a sua aplicabilidade, dentre elas quando a operação for realizada por pessoas físicas para fins exclusivamente particulares e não econômicos, ou também por pessoas jurídicas, quando para fins unicamente jornalístico ou artístico ou por motivos exclusivos de segurança pública, defesa nacional, segurança do Estado, atividades de investigação e repressão de infrações penais.

 

Princípios e direitos:

 

A LGPD dispõe dos princípios que irão nortear o tratamento de dados pessoais. Dentre eles tem especial relevância a obrigação do tratamento de dados ser realizado para propósitos legítimos, específicos, explícitos, de acordo com que foi informado ao titular dos dados, limitado ao mínimo necessário para a realização de seus desígnios e sempre observando suas finalidades originárias.

Havendo mudanças da finalidade para o tratamento de dados pessoais com relação ao consentimento original, o titular deverá ser informado e poderá revogar o consentimento caso discorde das alterações.

Aos titulares deve ser garantida a possibilidade de consulta facilitada e gratuita sobre a forma e a duração do tratamento de suas informações, bem como à identidade daqueles que estão tratando tais dados.

Os titulares poderão também solicitar a transferência de seus dados para outros fornecedores ou prestadores de serviços caso assim desejarem, além de corrigirem dados incompletos, inexatos ou desatualizados e a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei.

 

Tratamento de dados pessoais:

 

O tratamento de danos pessoais pode ser realizado somente nas hipóteses previstas na LGPD. Dentre estas, destacamos:

 

a) Mediante o fornecimento de consentimento pelo titular, ou seja, o titular se manifestar livremente, de maneira informada e precisa pelo tratamento de seus dados pessoais para uma finalidade determinada. A LGPD estabelece que as autorizações genéricas para o tratamento de dados pessoais serão nulas;

 

b) Cumprimento de obrigação legal ou regulatória pelo controlador (aquele a quem competem as decisões referentes ao tratamento de dados pessoais);

 

c) Quando necessário para a execução de contrato ou de procedimentos preliminares e para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

 

d) Para atender aos interesses legítimos do controlador dos dados ou de terceiros;

 

e) Para a proteção da vida ou da incolumidade física do titular ou de terceiros;

 

f) Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; e

 

g) Para a proteção do crédito.

 

O tratamento de dados pessoais de crianças e de adolescentes ganhou um tratamento diferenciado, devendo ser realizado em seu melhor interesse e com o consentimento específico dado por pelo menos um dos pais ou pelo responsável legal. As únicas exceções a esta regra são no caso de proteção da criança ou do adolescente e no caso da coleta de dados para contato dos pais ou responsáveis legais utilizados uma única vez e sem que ocorra o seu armazenamento, e em nenhum caso os dados poderão ser repassados a terceiros.

A LGPD dispõe também sobre o dado pessoal sensível que são os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. O seu tratamento também ganhou atenção especial, podendo ser realizado somente mediante consentimento de forma específica e destacada e neste caso, é proibida a utilização para atender a interesses do controlados, de terceiros ou para a proteção de crédito.

 

Da segurança e sigilo dos dados pessoais:

 

A LGPD prevê que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a prevenir e proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas relacionadas aos dados, medidas estas que devem ser observadas desde a fase de concepção do produto ou do serviço até a sua execução. O agente deverá demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas e, inclusive, da eficácia dessas medidas.

Ainda, no caso de vazamento de dados que possa acarretar risco ou dano relevante aos titulares, a LGPD dispõe sobre a obrigatoriedade do controlador de comunicar aos titulares dos dados e a autoridade nacional que irá apurar a gravidade do incidente e poderá, caso necessário para resguardar os direitos dos titulares, determinar ao controlador a ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente.

 

Sanções:

 

As sanções administrativas aplicáveis pela autoridade nacional aos agentes de tratamento de dados caso cometam infrações ao disposto na lei vão desde advertência, com indicação de prazo para adoção de medidas corretivas, publicização da infração após devidamente apurada e confirmada a sua ocorrência, à aplicação de multa de até 2% (dois por cento) do faturamento do faturamento da pessoa jurídica de direito privado, ou grupo no Brasil, limitada a R$ 50.000.000,00 (cinquenta milhões) por infração.

As sanções poderão ser aplicadas de forma cumulativa, não substituindo a aplicação de sanções administrativas, civis ou penais definidas em legislação específica.

 

Adequação à LGPD:

 

Para a adequação à LGPD recomenda-se, inicialmente, a realização do mapeamento de todas as fontes de coleta de dados da sociedade. A finalidade deste mapeamento é permitir a avaliação do que deve ou não ser submetido à LGPD.

Com estes dados em mãos, será possível realizar um estudo a respeito dos ajustes e implementações necessárias, que a depender do caso, poderão demandar as seguintes ações:

 

a) Revisão do conteúdo e forma que se solicitam, extraem e armazenam dados à luz dos princípios da legalidade e transparência, propósito e forma de coleta de dados, limitação da coleta, exatidão e clareza;

b) Elaboração ou revisão da política de privacidade, proteção de dados, segurança digital, compliance e as demais necessárias à proteção de dados;

c) Definição de princípios, políticas, processos e procedimentos relacionados à colheita, armazenamento, registro, transferência e exclusão dos dados;

d) Verificação e implementação de procedimentos para possibilitar a transferência de dados internacionais;

e) Revisão dos contratos em geral, especialmente os celebrados com clientes, fornecedores, representantes e possíveis coletores e controladores de dados;

f) Revisão do contrato de seguro de responsabilidade civil;

g) Criação ou adequação de procedimentos para impedir, detectar, notificar, informar e investigar violações de privacidade;

h) A depender da atividade e de determinadas circunstâncias, nomeação de controlador, operador e encarregado pela segurança e procedimentos relacionados à proteção de dados na sociedade;

i) Criação ou adequação de processos internos relacionados a incidentes de segurança envolvendo dados pessoais de modo a garantir o cumprimento da obrigação de notificação às autoridades competentes;

j) Investimento na segurança de dados e certificações;

k) Realização de treinamentos internos e elaboração de matérias internas; e

l) Auditorias externas visando verificar a real adequação da empresa à LGPD.

 

Como se observa, a adequação às regras da LGPD contempla uma série de etapas e engloba diversos setores da empresa, desse modo, a transição para esse novo modelo legislativo deve ser iniciada o quanto antes para que sobressaltos futuros sejam evitados.

Importante ter em mente que o intuito da legislação não é criar burocracia, a ideia por trás não só da legislação brasileira, como das legislações de proteção de dados ao redor do mundo é coibir abusos e permitir um ambiente mais saudável e seguro para os usuários.

__________

*Vanessa Cristina Santiago e Debora Harumi Tamba são advogadas do Gaia Silva Gaede Advogados.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

Decisão importante do TST sobre a responsabilidade de sócios em S.A. de capital fechado

20/12/2024

Planejamento sucessório e holding patrimonial: Cláusulas restritivas societárias

20/12/2024

As perspectivas para o agronegócio brasileiro em 2025

20/12/2024

A sua empresa monitora todos os gatilhos e lança as informações dos processos trabalhistas no eSocial?

20/12/2024

O futuro dos contratos: A tecnologia blockchain e o potencial dos smart contracts no Brasil

20/12/2024