Impactos da lei geral de proteção de dados pessoais para as distribuidoras de energia elétrica
O tempo é relativamente curto para a adaptação à novel legislação, mas o trabalho deve ser feito o quanto antes.
sexta-feira, 15 de fevereiro de 2019
Atualizado em 13 de fevereiro de 2019 15:57
A partir da publicação da lei geral de proteção de dados pessoais (lei 13.709/18 - LGPD), o Brasil passou a contar com uma moderna legislação sobre o tema, adotando sistema baseado no da União Europeia (regulamento 2016/679 - GDPR).
De início, é imprescindível enfatizar que a proteção aos dados pessoais não se limita ao mundo digital, aplicando-se a qualquer pessoa física ou jurídica que realize o tratamento, sob qualquer meio, desde que a operação de tratamento seja realizada no território nacional; tenha por objeto a oferta ou fornecimento de bens ou serviços, ou o tratamento de dados de indivíduos localizados no Brasil; ou os dados tenham sido coletados no território nacional1.
Também é prudente citar que a LGPD define dado pessoal de uma maneira muito ampla (assim como o faz na definição do que vem a ser tratamento2), ao apontar que seria qualquer informação relacionada a uma pessoa natural identificada ou identificável (artigo 5º, I).
Tanto a legislação europeia, quanto a brasileira, exigem dos envolvidos a comprovação do cumprimento das regras legais (accountability) e, mais que isso, que a privacidade e proteção de dados pessoais seja considerada desde a concepção de novos negócios/produtos (privacy by design), o que demanda uma atuação contínua.
A lei impacta profundamente a gestão dos dados pessoais pelas empresas de todos os setores e não seria diferente com as distribuidoras de energia elétrica, até mesmo por atuarem num campo em que - naturalmente - há um fluxo grande e contínuo de dados, inclusive pessoais3. Portanto, há muitos aspectos a serem atentamente observados pelas distribuidoras.
Partindo de uma análise da resolução normativa 414/10, que estabelece as condições gerais de fornecimento de energia elétrica e rege a relação entre concessionárias e consumidores, em vários dispositivos, encontramos atividades de tratamento de dados pessoais, inclusive dados sensíveis, tais como: artigo 27,I,d e h; artigo 53-D, II, III e §7º.
Nesse contexto, passa-se a destacar alguns pontos da lei.
Primeiramente, há de ficar bem claro que o cliente é o "proprietário" dos dados (art. 17), e a segurança deve sempre ser colocada como prioridade, quando do tratamento de seus dados pessoais (arts. 6º, VII e 46).
Aliás, o tratamento de dados pessoais só pode ser realizado com fundamento em uma das hipóteses expressamente previstas em lei (art.7º) e, sempre, atendendo aos fundamentos e princípios dispostos nos artigos 2º e 6º.
Dentre as possibilidade de tratamento pelas distribuidoras, parece que o consentimento (art. 7º, I), o cumprimento de obrigação legal/regulatória (art. 7º, II), a execução de contrato ou procedimentos preliminares (art. 7º, V) e os interesses legítimos do controlador ou de terceiro (art. 7º, IX), devem ser os mais comumente utilizados.
Especificamente quanto ao legítimo interesse (art. 7º, IX), este somente poderá justificar o tratamento de dados pessoais para "finalidades legítimas, consideradas a partir de situações concretas" (art. 10). Na falta de maior detalhamento na LGPD, vale a leitura do considerando 47 do GDPR:
Os interesses legítimos dos responsáveis pelo tratamento, incluindo os dos responsáveis a quem os dados pessoais possam ser comunicados, ou de terceiros, podem constituir um fundamento jurídico para o tratamento, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular, tomando em conta as expectativas razoáveis dos titulares dos dados baseadas na relação com o responsável. Poderá haver um interesse legítimo, por exemplo, quando existir uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, em situações como aquela em que o titular dos dados é cliente ou está ao serviço do responsável pelo tratamento. De qualquer modo, a existência de um interesse legítimo requer uma avaliação cuidada, nomeadamente da questão de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade. Os interesses e os direitos fundamentais do titular dos dados podem, em particular, sobrepor-se ao interesse do responsável pelo tratamento, quando os dados pessoais sejam tratados em circunstâncias em que os seus titulares já não esperam um tratamento adicional. Dado que incumbe ao legislador prever por lei o fundamento jurídico para autorizar as autoridades a procederem ao tratamento de dados pessoais, esse fundamento jurídico não deverá ser aplicável aos tratamentos efetuados pelas autoridades públicas na prossecução das suas atribuições. O tratamento de dados pessoais estritamente necessário aos objetivos de prevenção e controlo da fraude constitui igualmente um interesse legítimo do responsável pelo seu tratamento. Poderá considerar-se de interesse legítimo o tratamento de dados pessoais efetuado para efeitos de comercialização direta.
Conforme o artigo 8º, o consentimento deve ser fornecido por um meio que demonstre efetivamente a manifestação de vontade e, quando o for por escrito, deverá constar em cláusula destacada das demais, estando sempre vinculado a uma finalidade específica (termos genéricos são nulos). Já para os dados sensíveis, dentre os quais se incluem aqueles relacionados à origem racial ou étnica, a filiação a sindicato e referente à saúde, haverá necessidade de uma atenção maior (arts. 5º, II e 11), exigindo consentimento específico e destacado.
O uso de alta tecnologia e algoritmos, para a tomada de decisões e/ou criação de perfil de um titular de dados, traz consigo o dever de, se assim solicitado pelo titular, proceder com a revisão de decisões tomadas unicamente com base em tratamento automatizado, devendo nesses casos o controlador fornecer, sempre que solicitado, "informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial" (art. 20).
Na configuração atual do Setor Elétrico Brasileiro (SEB), com variados grupos internacionais atuando no mercado, é factível prever que haverá fluxo internacional de dados e, nesses casos, a transferência internacional de dados só pode ser realizada em hipóteses específicas, como para países ou organismos internacionais que "proporcionem grau de proteção de dados pessoais adequado ao previsto" na LGPD ou quando o controlador oferecer e comprovar garantias de cumprimento dos direitos do titular e dos princípios da LGPD, mediante instrumentos como cláusulas contratuais e normas corporativas globais, dentre outros (art. 33).
Da dicção do artigo 41 da LGPD, extrai-se que, a priori, todas as concessionárias distribuidoras de energia elétrica deverão nomear um encarregado pelo tratamento de dados pessoais (o DPO - Data Protection Officer), que é definido pelo artigo 5º, VIII como a "pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados", com atribuições listadas no §2º do artigo 41.
Ainda segundo o artigo 41, a autoridade nacional poderá editar ato estabelecendo hipóteses de dispensa da necessidade de indicação do DPO, conforme a natureza e o porte da empresa ou o volume de operações de tratamento (§3º).
Além da Autoridade Nacional de Proteção de Dados (ANPD), é fato que a Agência Nacional de Energia Elétrica - ANEEL assumirá papel estratégico na proteção de dados pessoais pelas distribuidoras de energia, até mesmo ante a previsão do artigo 55-J, II, X, XIV e XV da Lei Federal 13.709/18.
De mais a mais, a LGPD impõe à ANPD e às entidades responsáveis pela regulação de setores econômicos que coordenem suas atividades, "nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais" (art. 55-J, §2º).
Por fim, não menos importante será o papel de instituições como a já bem atuante ABRADEE - Associação Brasileira de Distribuidores de Energia Elétrica4 para formular regras de boas práticas e de governança, estabelecendo - dentre outros temas relacionados ao tratamento de dados pessoais - condições de organização, funcionamento, procedimentos, normas de segurança, padrões técnicos e ações educativas, conforme permissivo trazido pelo caput do artigo 50 da LGPD5.
O tempo é relativamente curto para a adaptação à novel legislação, mas o trabalho deve ser feito o quanto antes, pois a LGPD considera irregular o tratamento de dados que deixa de observar a legislação ou quando não houver segurança razoável ao tratamento (art. 44), e as sanções administrativas aplicáveis vão desde simples advertência, até a obrigatoriedade de eliminação dos dados pessoais e multa de 2% (dois por cento) do faturamento no último exercício, limitada a cinquenta milhões de reais (art. 52).
__________
1 As exceções à aplicabilidade da lei se encontram principalmente nos artigos 4º e 12.
2 "Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração" (artigo 5º, X).
3 Não nos esqueçamos que a proteção legal é conferida aos dados de consumidores, colaboradores, fornecedores, etc.
4 Clique aqui.
5 Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
__________
*Umberto Lucas de Oliveira Filho é advogado do Queiroz Cavalcanti Advocacia. Certificado em Privacy& Data Protection Foundation e em Privacy& Data Protection Essentials pela EXIN.