11 98918-8844

Do que trata Lei de Proteção de Dados Pessoais?

06/08/2018 - Publicado por: - Na categoria: Direito Digital, LGPD, Privicidade, Segurança na Internet - No responses

A Lei de Proteção de Dados Pessoais aprovada no Congresso Nacional através do PLC 53/2018, e aguardando sanção presidencial até 14/08/2018, é um marco legal muito importante para o País e para os cidadãos da qual pudemos explorar mais em “Por que de uma Lei de Proteção de Dados Pessoais”.

Trata-se de uma legislação que vem sendo debatida pelo Congresso Nacional junto com a sociedade civil, empresariado e academia, há cerca de uma década através de diversos projetos de lei tanto de iniciativa do Executivo como da Câmara dos Deputados e do Senado Federal. O debate foi extremamente democrático através de diversas consultas e audiências públicas que culminaram no PLC 53/2018.

https://www12.senado.leg.br/noticias/materias/2018/resolveuid/41794434-5813-4a30-8048-4d45c5abc45e

Quadro explicativo – Senado Federal

Olhando para a essência da lei pode-se dizer que ela apresenta todos os elementos para assegurar a autodeterminação informativa do cidadão equilibrada com a livre iniciativa de uma economia dinâmica propiciando a necessária segurança jurídica para o cidadão e o para agente econômico através da garantia de direitos individuais com a possibilidade de criação de modelos de negócio para o uso intensivo de dados. Havendo sido fundamentada por um lado no respeito à privacidade, a defesa do consumidor, a inviolabilidade da intimidade, da honra e da imagem, os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas e por outro lado a liberdade de expressão, de informação, de comunicação e de opinião, a livre iniciativa, a livre concorrência e o desenvolvimento econômico, tecnológico e a inovação.

Um aspecto inicial importante do texto legal é a definição de vários conceitos “não legais” utilizados por ela de forma a evitar que posteriormente se inicie uma discussão doutrinária e jurisprudencial que poderia levar anos para sedimentar o entendimento e causaria insegurança jurídica. Assim termos como: dado pessoal, dado pessoal sensível, dado anonimizado, banco de dados, operador, encarregado, titular, tratamento, consentimento, bloqueio, eliminação, etc. são definidos facilitando que os operadores do direito tenham uma fundamentação mais firme para aplicação da legislação.

Pensando no escopo da lei em relação aos dados, o mesmo foi definido de forma mais ampla possível, assim; podemos pensar em tratamento de dados pessoais em contexto digital com o uso da infraestrutura da internet seja por sítios da internet ou apps, ou ainda em sistemas internos de empresas ou governos que capturam informações do cidadão, incluindo também aqueles obtidos em suportes físicos de papel e outras mídias.  Nesse aspecto a lei atinge toda e qualquer empresa ou ente da administração direta ou indireta do governo que tem obrigações para com os dados dos cidadãos, ou como define a lei, dos Titulares (dos dados). A amplitude do escopo verifica-se também na extraterritorialidade, uma vez que se aplica a qualquer responsável independente do país de sua sede ou do país onde estejam localizados os dados desde que qualquer parte do tratamento dos dados (como a coleta, por exemplo) tenha ocorrido no Brasil.

A Lei elenca hipóteses em que pode ser realizado o tratamento dos dados pessoais, os quais sejam:

  1. Para cumprimento de obrigação legal ou regulatório do responsável pelo tratamento;
  2. Quando necessário para atender aos interesses legítimos do controlador ou de terceiro;
  3. Pela administração pública, para o compartilhamento e uso de dados necessários à execução de políticas públicas;
  4. Para a realização de estudos por órgãos de pesquisa, sem a individualização da pessoa;
  5. Para proteção da vida ou da integridade física do titular ou de terceiros;
  6. Para a tutela da saúde, com procedimento realizado por profissionais da área ou por entidades sanitárias;
  7. Para execução de um contrato ou procedimentos preliminares de um contrato;
  8. Para pleitos em processo judicial, administrativo ou arbitral;
  9. Para a proteção do crédito, nos termos do Código de Defesa do Consumidor;
  10. Podendo ainda ser realizado para finalidades unicamente particulares e não econômicas, jornalísticas, artísticas e acadêmicas ou ainda, para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;
  11. E, por fim, com consentimento do Titular.

 

Portanto são hipóteses que, de maneira geral, contemplam o interesse público, a liberdade artística e jornalística de um lado e, do outro, o interesse particular sendo, pois, nesse caso necessário o consentimento do titular.

De importância basilar é a caracterização sobre o que seja o consentimento e nesse ponto a lei, como dito, traz a definição de ser a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Na mesma esteira a finalidade deve ser entendida como a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Sendo então a finalidade ponto altamente relevante pois, havendo a alteração na finalidade, de forma automática não existe mais o consentimento e, portanto, deve ser feito novo pedido de consentimento ao titular para utilização dos dados para finalidade diversa.

Contudo o consentimento é a “porta de entrada” para o chamado tratamento de dados que consiste em toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Assim a LGPD, garante direitos ao Titular em relação ao tratamento de dados pessoais sendo assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, tem direito a obter do controlador, a qualquer momento mediante simples requisição:

  1. confirmação da existência de tratamento;
  2. acesso aos dados;
  3. correção de dados incompletos, inexatos ou desatualizados;
  4. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade a Lei;
  5. portabilidade dos dados a outro fornecedor de serviço ou produto,
  6. eliminação dos dados pessoais (excetuando necessidades legais);
  7. informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  8. informação sobre a possibilidade de não fornecer consentimento;
  9. Revogação do consentimento;

E ainda, muito importante em tempos de algoritmos e inteligência artificial está o direito do Titular de solicitar revisão, por pessoa, de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; pois, por falha ou erro em algoritmos pessoais, o Titular pode ser discriminado e a possibilidade de revisão do tratamento de dados por pessoa passa a ser vital importância.

Certamente nossas informações dizem mais ou menos sobre nós e sobre o que pensamos. Por exemplo, dados como nome, RG, CPF apenas nos identificam, mas não nos qualificam. Por outro lado, nossas convicções religiosas, opinião política e dado referente à saúde ou nossa genética nos distinguem e podem ser origem de discriminação e mesmo interferir em nossa liberdade. Por esse motivo a LGPD criou uma categoria de dados pessoais especial chamada de dados pessoais sensíveis para os quais é demanda pedido de consentimento em apartado e vedado o uso compartilhado com finalidade econômica entre controladores. Caso típico, seria a operadora de seguro saúde que compartilha a relação de medicamentos das farmácias adquiridos pelo Titular e, como base nesses dados, aumenta o prêmio do segurado em função da medicação que ele utiliza.

Pensando em ferramentas para assegurar que os tratamentos de dados dos titulares sejam realizados de acordo com todos os parâmetros definidos pela lei, um primeiro requisito é um relatório de impacto à privacidade, ou seja, qualquer novo processo/procedimento de tratamento deve anteriormente descrever os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco, assim; novos projetos que tratam os dados pessoais já devem ser concebidos “Compliance by Design” ( em conformidade por desenho).

Na mesma linha é definida a figura do encarregado de dados como pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional. Sendo ainda figura central para supervisão e recomendação de práticas que garantam o sucesso da implementação e operação de processos e procedimentos de proteção de dados. Tal figura existe na lei europeia de proteção de dados pessoais (GDPR) como o nome de Data Protection Officer (DPO) e cumpre um papel fundamental para que haja uma autonomia em relação a transparência e segurança de todo o tratamento de dados pessoais.

A LGPD cria ainda a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) como sendo ente da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da Lei, visto que o diploma legal dá origem a um vasto rol de deveres e direitos específicos em relação ao tratamento de dados, certamente necessitará de recursos próprios e corpo técnico capacitado para desempenho da fiscalização não sendo cabível que a fiscalização seja realizada por agência reguladora de serviços de telecomunicações ou de defesa do consumidor, uma vez que a Lei tangência mas vai muito além desses limites.

Ponto relevante na Lei é o capítulo dedicado boas práticas tanto em relação a segurança e sigilo dos dados quanto a governança, por um lado estabelecendo parâmetros mínimos a serem observados, e por outro incentivando os agentes de dados (controladores e operadores) a, individualmente ou por meio de associações,  estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Com isso é flexibilizado para, por moto próprio e sob supervisão da ANPD, os agentes instituírem os melhores meios de implementar adequadamente a Lei possibilitando maior sucesso por atuarem em modelo de auto-regulamentação.

Em termos de penalidades a LGPD provê um amplo leque de sanções administrativa visando o cumprimento de seus mandamentos pelos agentes de tratamento de dados que vão desde a advertência, passando a multa que pode ser de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, publicização da infração, bloqueio ou eliminação dos dados pessoais, suspensão parcial ou total do banco de dados, suspenção do exercício da atividade de tratamento dos dados pessoais a que se refere a infração até a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Importante salientar que frente a multiplicidade e amplitude das penas, a LGPD fixa critérios para orientar na dosimetria dessa sanção que iniciam-se com pontos mais tradicionais da teoria do dano como a gravidade e a natureza das infrações e dos direitos pessoais afetados, o grau do dano, a boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator, a condição econômica do infrator,  a reincidência, a proporcionalidade entre a gravidade da falta e a intensidade da sanção até outras menos tradicionais no corpo das legislações mas que efetivamente apontam o grau de responsabilização do infrator como:  a cooperação do infrator, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, a adoção de política de boas práticas e governança. Contudo o mecanismo de aplicação das sanções será ainda tema de consulta pública sobre as metodologias que orientarão o cálculo do valor-base das sanções de multa.

Portanto, o incidente em relação a proteção de dados pessoais onde o infrator demonstre que ativamente trabalhou para evita-lo ou mitiga-lo, apresentando evidência de que cumpriu as boas práticas de segurança e governança será penalizado, mas em grau muito menor do que aquele infrator que agiu com desídia em relação a tudo que reza a legislação, ou seja, agir reativamente e mesmo pensar que “a lei não vai pegar” pode literalmente sair muito caro ao infrator.

Como visto a LGPD é fruto de um trabalho de mais de uma década tanto do Executivo Federal como do Congresso Nacional aliado com sociedade cível, empresariado e academia e prepara o Brasil para o futuro, ou seja, estar alinhado com as demandas de uma nova economia baseada em dados. Elemento fulcral da legislação é a Agência Nacional de Proteção de Dados que será muito além de fiscalizadora, o fio condutor e a indutora de implantação de técnicas e práticas que viabilizem a boa execução da lei. Estamos a poucos dias do prazo final para a sanção presidencial e nuvem que paira a respeito de veto na criação da ANPD deve ser dissipada para que a lei não nasça decapitada e voltemos a pontos já superados rediscutindo o tema em vez de concentrar os esforços nas adequações necessária para os agentes de dados estarem em conformidade no início da vigência da Lei daqui a 18 meses.

× Converse agora sobre o seu caso!