11 98918-8844

Lei de Proteção de Dados Pessoais (LGPD) e seu impacto nas Empresas

29/01/2019 - Publicado por: - Na categoria: LGPD, Privicidade, Segurança na Internet - No responses

O porquê de uma LGPD?

Para entender da LGPD na prática empresarial cabe antes o exercício de dar um passo atrás e buscar entender do porquê dela de uma forma mais ampla e como se justifica. Nesse sentido podemos enxergar algumas visões.

Uma primeira visão está no direito à autodeterminação informativa que tem por base os direitos da personalidade os quais estão indelevelmente associados aos direitos fundamentais, cuja proteção é indispensável à defesa da dignidade, da liberdade e do livre desenvolvimento da pessoa humana, os quais asseguram a autonomia individual e a privacidade, tendo em um extremo o direito de ficar só e no outro alcançando a autodeterminação informativa, a qual seja, o controle integral do cidadão de com quem e como os seus dados pessoais estão, como são utilizados e compartilhados ou, em termos da LGPD, como são tratados.

Certamente posto dessa forma haveria um grande poder para o cidadão, ou Titular (dos dados) que é definido na LGPD – como pessoa natural a quem se referem os dados pessoais que são objeto de tratamento – em seu interesse privado em detrimento de outros interesses da sociedade, contudo, o que se buscará verificar neste artigo, é justamente que a LGPD busca harmonizar e equilibrar interesses pessoais e comerciais, privados e públicos através de diversos fundamentos da legislação, a saber: respeito à privacidade, defesa do consumidor, os direitos humanos, livre desenvolvimento da personalidade, dignidade e o exercício da cidadania, liberdade de expressão e informação, liberdade de comunicação e de opinião, livre iniciativa, livre concorrência  e desenvolvimento econômico, tecnológico e a inovação.

Em uma segunda visão, mais filosófica, muito bem explorada por Harari[1] em sua digressão sobre a questão da crença e do poder, coloca que a humanidade passou por uma primeira fase do Teocentrismo onde a crença é que o poder emana de uma entidade dívida e o ser humano é periférico.

Nessa sociedade Teocrática o ser humano ocupa um papel secundário e a sociedade se estrutura para refletir essa crença, assim o poder é concentrado na mão de um rei ou imperador que é divino per si, ou que foi ungido pela divindade. Tal crença foi notória no Egito dos Faraós, nos estamentos franceses do ancien régime onde o clero era formalmente parte do poder, e mesmo na idade média onde Carlos Magno foi coroado pelo próprio Papa em dia especial e cheio de significado, 25/12 no longínquo ano de 800.

Em um segundo momento, a partir das ideias do iluminismo, desponta o homocentrismo onde o homem passa a ser o centro de onde emana o poder. Os sentimentos e visão de cada homem são importantes e valorizadas e assim se refletem nas estruturas de poder. Iniciando com a liberdade, igualdade e fraternidade na revolução francesa que desaguaram nos direitos humanos de primeira geração, e se consolidando na base do sistema democrático onde cada homem é um voto, sendo elemento essencial e declarado em preâmbulo de Constituições: “Nós, o(s) (representantes do) povo …”.

Na visão de Harari, os sentimentos, que são a origem do poder humano, são formados por um processo bioquímico de cálculos de probabilidades para tomada de decisões desenvolvidos ao longo de milhões de anos de evolução para resolver o problema de sobrevivência. Coletamos todos os dados com nossos sentidos e nosso cérebro calcula as probabilidades que surgem como um sentimento (coragem, medo, …), culminando que os homens, e mesmo outros organismos, são guiados por esses algoritmos desenvolvidos por milhões de anos de evolução, sendo assim, é possível desenvolver algoritmos implementados em Big Data, Inteligência Artificial, e outras tecnologias como IOT, que entendam os sentimentos humanos melhor que os próprios humanos, e nesse momento o poder estará nos dados e se estabelecerá a era do dataísmo, onde será mais provável que se “pergunte ao Google” do que siga-se os seus sentimentos.

Apesar de soar irreal e mesmo ficção científica, basta pensar como nos deslocamos do ponto A para o ponto B há menos de uma década e como hoje abdicamos de todo processo cognitivo de planejamento dessa atividade e delegamos isso aos algoritmos (como Waze e Google Maps)!

Certamente no dataísmo as informações pessoais serão a base para alimentação de tais algoritmos, e também não por outro motivo, em 2016, Qi Lu, vice-presidente executivo de Programas e Serviços da Microsoft decretou: “dados são o novo petróleo”. Desta forma os dados pessoais passam a ser um ativo incomparável e, assim como outros bens tangíveis e intangíveis, merecem uma proteção adequada por parte do Direito.

Em uma terceira visão mais prática e pragmática para o mundo dos negócios há que se visitar a situação de vazamento de dados (predominante pessoais) em termos de prejuízos causados aos negócios.

Em estudo patrocinado pelo “IBM Security Service” e conduzido pelo “Ponemon Institute” intitulado “2018 Cost of Data Breach Study: Global Overview” foram entrevistadas 477 empresas que experimentaram vazamento de dados ao longo de um período de 12 meses e que resultou nos seguintes números em termos globais: custo médio total por vazamento de dados US$ 3,86 Milhões, custo médio por registro US$ 148,00 com crescimento anual 6,4%. Especificamente sobre o Brasil o estudo revela: custo médio total com vazamentos de dados US$ 1,24 milhão, custo médio por registro US$ 67,00 com redução anual de cerca de 4 %. No estudo, os custos associados com o vazamento de dados estão também relacionados diretamente com o “churn” (perda efetiva de clientes), o que denota a perda de confiança do Cliente e de desvalorização da marca. Outros custos associados são o tempo e esforço para detectar e corrigir o vazamento de dados, assim como, medidas posteriores de auditoria e compliance.

Com esse estudo podemos identificar claramente que não implementar medidas que evitem esse tipo de incidente, e qualquer outro que não tome todas as medidas protetivas de cunho administrativo, legal e técnico para a proteção de dados, tem um impacto relevante nos negócios assim, a questão que se coloca é de entender a LGPD, sob o ponto de vista do negócio, como uma oportunidade de transformar o prejuízo dos incidentes em investimentos e esses investimentos serem revertidos em lucro para Empresa.

Direito de Proteção aos Dados Pessoais

Conforme demonstrado no tópico anterior, os dados pessoais passam a ser elemento essencial na base de uma nova realidade social, filosófica e econômica tornando-se um bem jurídico e, justamente por isso, merecedor de receber a proteção do Direito. Basta imaginar outros bens jurídicos tangíveis e intangíveis que são base de nossa sociedade, como a propriedade e as patentes, sem os quais não seria possível a paz social e a garantia no retorno de investimento de inovações, para verificar a importância da proteção jurídica a esse bem.

De outra mão, as ameaças que se configuram aos dados pessoais são de diversas origens e matizes. Podemos pensar em ameaças estatais a esses direitos como os noticiados no caso NSA/Snowden (2013) e mesmo o “Sistema de Crédito Social Chinês”, concebido em 2014 e com prazo de término de implantação em 2020, passando por problemas de segurança dos ambientes tecnológicos como os verificados com o ataque de ransomware “Wannacry”, ocorrido em 2017, que colocou em risco dados pessoais, inclusive sensíveis como informações de saúde, de milhões de cidadãos mundo afora; até a questão de déficit de educação digital dos cidadãos que utilizam apps e outras soluções tecnológicas sem o mínimo de consciência e preparo sobre as boas práticas e risco a que se expõem desnecessariamente.

Portanto a proteção dos dados pessoais passou a receber diversos diplomas legais visando a sua proteção e que culminaram na LGPD. A exemplo, vejamos que o caso NSA/Snowden resultou na resolução 68/167 da Assembleia Geral das Nações de 18 de dezembro de 2013 intitulada “O Direito a Privacidade na Era Digital”. Baseada no artigo 12º Declaração Universal dos Direitos Humanos e artigo 17 do Pacto Internacional Direitos Civis e Políticos reafirma o direito humano à privacidade – privacidade esta, como corolário da autodeterminação informativa – e segundo o qual ninguém deve ser sujeito a interferências arbitrárias ou ilegais em sua privacidade, família, lar ou correspondência, e o direito à proteção da lei contra tais interferência, e reconhecendo que o exercício do direito à privacidade é importante para a realização do direito à liberdade de expressão e para manter opiniões sem interferência, e é um dos fundamentos de uma sociedade democrática.

Em termos do ordenamento jurídico pátrio, podemos verificar que desde a nossa Constituição Federal de 1988 é assegurado por meio em seu artigo 5º, inciso X a inviolabilidade da intimidade e garantida a vida privada. Tal mandamento encontra eco no Código Civil que em seu artigo 21 prescreve que a vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma. Pensando já em ambientes tecnológicos a Lei de Interceptação Telefônica de 1996 foi um marco aplicável à interceptação do fluxo de comunicações em sistemas de informática e telemática e que serviu como linha guia para a doutrina e jurisprudência para sua aplicação ao ambiente da internet, garantindo o “grampo” nas comunicações apenas sob condições especiais para persecução penal e com ordem judicial assegurando, portando, a privacidade em todas os demais casos e situações. Mesmo o Código de Defesa do Consumidor traz diretrizes para o banco de dados e cadastros de consumidores.

Havendo leis esparsas e mais genéticas, em 2009, o Comitê Gestor da Internet no Brasil aprovou a Resolução CGI.br/RES/2009/003/P – Princípios para a Governança e Uso da Internet no Brasil, chamado de “Decálogo da Internet”, que foi um dos elementos inspiradores para a criação de um Marco Civil da Internet. Nele, em seu primeiro mandamento, assegura a “Liberdade, privacidade e direitos humanos” determinando que o uso da Internet deve guiar-se pelos princípiosde liberdade de expressão, de privacidade do indivíduo e de respeito aos direitos humanos, reconhecendo-os como fundamentais para a preservação de uma sociedade justa e democrática.

Vários aspectos relativos à privacidade e aos dados pessoais foram contemplados em 2014 pelo Marco Civil da Internet (MCI), e em 2016 em seu decreto regulamentar. O MCI traz em seu artigo 7º diversos direitos que devem ser observados em relação a privacidade e aos dados pessoais como a inviolabilidade da intimidade e da vida privada, reafirmando o mandamento Constitucional e do Código Civil, inviolabilidade e sigilo do fluxo e de suas comunicações privadas armazenadas pela internet, necessidade de  Informações claras e completas constantes dos contratos de prestação de serviços com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, proibição de fornecimento a terceiros de dados pessoais, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei; necessidade de informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de dados pessoais, que somente poderão ser utilizados para finalidades que justifiquem sua coleta; necessidade de consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais.

Aspectos da LGPD

Apesar de elencar os direitos em relação a privacidade, o MCI deteve-se em enunciá-los e abordar alguns aspectos de sua execução, contudo várias lacunas em relação a atores, procedimentos e processo acabaram por necessitarem ser especificados em uma legislação própria sobre a proteção de dados pessoais, trazendo então a luz a Lei Geral de Proteção de Dados sancionada em 14 de agosto de 2018, e complementada no mesmo ano por Medida Provisória, determinado sua vigência no segundo semestre de 2020.

Olhando para a essência da Lei, pode-se dizer que ela apresenta todos os elementos para assegurar a autodeterminação informativa equilibrada com a livre iniciativa de uma economia dinâmica propiciando a necessária segurança jurídica para o cidadão e para o agente econômico através da garantia de direitos individuais e com a possibilidade de criação de modelos de negócio para o uso intensivo de dados, ou seja, busca a necessária harmonia em relação a toda a sociedade e propicia uma dinâmica de ganha-ganha.

Um aspecto inicial importante do texto legal é a definição de vários conceitos “não legais” utilizados por ele de forma a evitar que posteriormente se inicie uma discussão doutrinária e jurisprudencial que poderia levar anos para sedimentar o entendimento e causaria insegurança jurídica que tanto mal causa no ambiente de negócios. Assim, termos como: dado pessoal, dado pessoal sensível, dado anonimizado, banco de dados, operador, encarregado, titular, tratamento, consentimento, bloqueio, eliminação, etc. são definidos facilitando que os operadores do direito tenham uma fundamentação mais firme para aplicação da legislação.

A LGPD prevê dez hipóteses em que pode ser realizado o tratamento dos dados pessoais:

  1. Para cumprimento de obrigação legal ou regulatório do responsável pelo tratamento;
  2. Quando necessário para atender aos interesses legítimos do controlador ou de terceiros;
  3. Pela administração pública, para o compartilhamento e uso de dados necessários à execução de políticas públicas;
  4. Para a realização de estudos por órgãos de pesquisa, sem a individualização da pessoa;
  5. Para proteção da vida ou da integridade física do titular ou de terceiros;
  6. Para a tutela da saúde, com procedimento realizado por profissionais da área ou por entidades sanitárias;
  7. Para execução de um contrato ou procedimentos preliminares de um contrato;
  8. Para pleitos em processo judicial, administrativo ou arbitral;
  9. Para a proteção do crédito, nos termos da lei;
  10. E até com o consentimento do Titular.

Vale salientar nesse ponto que grande preocupação houve em relação ao impacto nas transações de negócio caso sempre fosse necessário consentimento do Titular como única hipótese possível para coleta de dados pessoais do Titular, a exemplo do que ocorre no MCI. Por sua vez, na LGPD existem, além do consentimento outras nove hipóteses para coleta de dados pessoais sem necessidade de consentimento.

De outro turno, críticos já se manifestaram que a LGPD acabou por ter hipóteses multo alargadas e que poderiam ser uma “porta dos fundos” para o uso dos dados pessoais. Aqui cabem três considerações importantes. A primeira se refere a que desnecessidade de consentimento não implica em não incidência da LGPD – hipótese comentada a seguir – ou seja, todas as demais regras previstas para tratamento de dados pessoais devem ser seguidas. A segunda é que mesmo sendo possível a coleta sem o consentimento inicial, caso o Titular deseje, e seja legalmente possível, ele pode exercer seu direito de remoção dos dados em um segundo momento. E em terceiro lugar é que a “escolha” de outras hipóteses como, por exemplo, o “necessário para atender aos interesses legítimos do controlador” necessitará ser devidamente justificada e documentada e estar em acordo com os demais princípios e mandamentos elencados na Lei.

Como comentado, a LGPD também apresenta hipóteses de não incidência, ou seja, em que não se aplica, as quais sejam, o tratamento de dados pessoais quando coletado para finalidades unicamente particulares e não econômicas, jornalísticas, artísticas e acadêmicas ou ainda, para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.  

Já no caso específico de consentimento o mesmo é definido como sendo a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Requisito inseparável do consentimento, a finalidade, é entendida como a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Sendo então a finalidade ponto altamente relevante pois, havendo a alteração na finalidade, de forma automática não existe mais o consentimento e, portanto, deve ser feito novo pedido de consentimento ao titular.

Certamente que a proteção de dados está associada a questões tecnológicas que são extremamente dinâmicas, exponenciais e disruptivas, sendo assim, os princípios elencados na LGPD passam a ser ponto fulcral para a interpretação e implementação de medidas que adequem o negócio à norma.

Os três primeiros princípios elencados, batizados pelo acrônimo “FAN”, são a finalidade, adequação e necessidade, funcionam efetivamente como balizadores mestres para interpretação da norma jurídica no caso concreto. Não deixando ao acaso a LGPD define cada um deles:

  1. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  2. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  3. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

Outros princípios de destaque em função de sua relevância na adequação ao negócio são: a qualidade dos dados entendida como a garantia, de exatidão, clareza, relevância e atualização dos dados; segurança com utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; prevenção com a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais e responsabilização e prestação de contas com demonstração, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Ou seja, o que a LGPD impõe como princípios “legais” e detalha alguns procedimentos em seus artigos, de fato está intrinsicamente relacionado como qualidade, segurança e controle em relação a um ativo precioso do negócio, ou seja, a LGPD pode e deve ser vista como um fio condutor para que as Empresas implementem as melhores práticas em termos de controles e governança em relação aos dados pessoais.

Trilhando Um Caminho Possível

Dentre os vários instrumentos disponibilizados pela LGPD, certamente o ponto de partida para todo e qualquer processo que vise obter o compliance (adequação) à norma de proteção de dados pessoais está no que é definido como Relatório de Impacto à Proteção (RIP) de dados pessoais, o qual trata-se de documentação que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Apesar do texto legal, quando se refere ao RIP, passar a ideia de ser algo “opcional”, na prática torna-se um requisito indispensável, vez que, será documento essencial para justificar o porquê se dispensou o consentimento ou mesmo utilizou-se de tal e qual hipótese para o tratamento de dados pessoais.

Ademais vale lembrar a famosa citação de Deming[2]: “Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende e não há sucesso no que não se gerencia. ”, portanto a lei trata da gestão de dados pessoais sendo de máxima importância o RIP para definir, conhecer e medir os dados pessoais tornando a gestão possível.

Assim, como o RIP em termos de identificação e planejamento de ações, a infraestrutura técnica e administrativa que assegurará a proteção dos dados pessoais tem um papel altamente relevante considerando o atual e futuro assentamento dos negócios em bases digitais. Com isso em mente a LGPD determina que os agentes[3] de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Essas medidas deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução. Assim a LGPD determina que a segurança passe a fazer parte dos requisitos de qualquer produto ou serviço da Organização. Tal abordagem é conhecida por Compliance by Design ou Compliance by Default.

De nada nós server um instrumento como o RIP e análise de medidas técnicas e administrativas para a proteção de dados pessoais sem alguém apto e capaz de “trocá-lo” e trazer para a Organização a “música” do compliance da proteção de dados pessoais. Assim, a LGPD define uma função de encarregado (de dados), inspirado no DPO (Data Protection Officer) da legislação europeia (GDPR – General Data Protection Regulation) para proteção de dados , que deve ser entendido não como um conselheiro pós desastre, mas sim um consultor para recomendar e supervisionar a implementação das melhores práticas, atuando também como um Ombudesman[4] da Organização em termos de tratamento dos dados pessoais. Portanto, devido a imparcialidade e independência com a qual tem por missão atuar, deve ser um profissional que responda diretamente a Presidência/CEO da Organização e, preferencialmente, ser contratado para “mandatos” fixos – contratos por prazo determinado “sem possibilidade” de resolução – de forma a assegurar essa independência.

A LGPD determina ser o encarregado uma pessoa que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional sendo necessário ter um responsável em toda Organização para exercer esse papel. Apesar dessa definição acanhada em termos de atribuição da função de encarregado pela relevância de sua articulação entre os titulares, a Organização e a autoridade nacional fato é que necessita estar presente na Organização desde o momento em que se iniciam os trabalhos para adequação à LGPD e mesmo ter, nesse fase inicial, a atribuição de “gerente de projeto” para assegurar que efetivamente tenha as informações e atuações horizontal/transversal necessárias na Organização para garantir que o compliance à LGPD seja implementado e depois mantido de forma adequada .

Naturalmente, a depender do tamanho e complexidade associada ao tratamento de dados pessoais da Organização, o encarregado poderá desde desempenhar uma atividade de tempo integral e necessitar de uma equipe para auxiliá-lo até ser um serviço de tempo parcial em um modelo “as a service”, como já é praticado em outros países.

A LGPD tem em sua concepção o incentivo a implementação de governança e boas práticas em termos de gestão de dados pessoais pelas Organizações, incentivando os agentes de tratamento de dados pessoais, individualmente ou por meio de associações, a formularem regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Tal iniciativa traz de imediato a lembrança do CONAR[5] que desde sua criação em 1977 tem feito trabalho exemplar em termos da autorregulamentação da publicidade. Isso se mostra altamente positivo pois os próprios agentes de mercado definem suas regras e aplicam sansões trazendo um bom serviço para a sociedade e desonerando a máquina estatal dessa função que passa a ter um componente técnico relevante com uma influência política mínima.

A semelhança de outras legislações como a de “lei de compliance”, que trata da responsabilização administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira, a LGPD traz uma série de sanções aplicáveis que vão desde a advertência até multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração; contudo, importante observar que a aplicação das sanções não ficará ao cargo de critérios subjetivos da fiscalização mas sim deverá ser fixado pela autoridade sancionadora objetivamente através da aplicação de mecanismos de dosimetria para o cálculo do valor-base das sanções de multa, que ainda deverá conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na lei e sua regulação.

Muito importante destacar que pelo princípio da responsabilização e prestação de contas  será requerida a demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas; de forma que na dosimetria das sanções serão aplicadas penalidades inversamente proporcional ao esforço do agente em implementar (e demonstrar) as  medidas, as salvaguardas e os mecanismos de mitigação de risco adotados em relação ao tratamento de dados pessoais pela Organização.

Conclusões

Toda a lei sancionada em nosso pais passa pela fase de dúvida da sua real eficácia, ou em termos populares, se a “lei pega ou não pega”. De um modo geral podemos observar que essa ideia, que era muito difundida até uma década atrás, tem se mostrado cada vez mais uma falácia, uma vez que, vemos figuras dos mais altos escalões da república respondendo por seus atos, Organizações transnacionais terem os integrantes de sua alta gestão penalizada de forma dura e as Organizações em si, trabalharem para obter acordo de leniência que permita sua sobrevivência. Felizmente o Brasil de forma lenta mas continua, está adentrando em uma era do império efetivo das leis o que, sem sombra de dúvida, nos conduz para uma sociedade mais justa.

De outra forma, o caso específico dos dados pessoais tem um amplo arcabouço jurídico como demonstrado, vindo a LGPD para clarear a forma e modo de implementar o direito de proteção aos dados pessoais já amplamente assegurado nessa legislação mais ampla.  Não por outro motivo vemos decisões do Superior Tribunal de Justiça (STJ) nesse sentido mesmo antes da LGPD entrar em vigor declarando, por exemplo, como abusiva clausula de contrato de serviço de cartão de credito que autoriza o fornecimento de dados do Cliente à terceiros ou que o fornecimento de dados de email armazenados no exterior – de interesse para a persecução penal – prescindem de cooperação internacional, ou seja, reafirma a competência da “justiça” brasileira.

A questão que se coloca não é se haverá orçamento nas Organizações em termos de tratamento de dados pessoais, mais sim se virá na rubrica de investimentos prévios e direcionados ao negócio ou de despesas com perdas em relação a incidentes com dados pessoais que resultaram em “churn” de clientes, danos à imagem da Organização e gastos com medidas de emergência e recuperação além de penalidades e multas impostas pela LGPD. Assim, todo o investimento “poupado” na correta implementação do compliance com a LGPD será gasto, muito provavelmente em maior valor, em ações de contenção e recuperação de incidentes e multas.

Neste pequeno texto foi possível abordar alguns pontos que demonstram a necessidade de um trabalho sério, profundo e continuo em relação ao tratamento de dados pessoais e mesmo apresentados argumentos concretos de que a inércia e a mentalidade de que “essa lei não vai pegar” pode sair muito caro para as Organizações, por outro lado, um trabalho consistente na busca de adequação a LGPD  permitirá o direcionamento de recursos para planejamento e organização no tratamento dos dados pessoais em acordo com uma estratégia do negócio, resultando mesmo na melhoria da imagem no mercado e na possibilidade de alavancagem dos negócios com um diferencial competitivo.

REFERÊNCIAS BIBLIOGRÁFICAS

Resolution adopted by the General Assembly on 18 December 2013 – 68/167. The right to privacy in the digital age. Disponível em https://www.ccdcoe.org/sites/default/files/documents/UN-131218-RightToPrivacy.pdf. Acesso em 10 de novembro de 2018.

DECLARAÇÃO UNIVERSAL DOS DIREITOS HUMANOS. Adotada e proclamada pela resolução 217 A (III) da Assembleia Geral das Nações Unidas em 10 de dezembro de 1948. Disponível em http://unesdoc.unesco.org/images/0013/001394/139423por.pdf. Acesso em 10 de novembro de 2018.

CONVENÇÃO AMERICANA SOBRE DIREITOS HUMANOS. Assinada na Conferência Especializada Interamericana sobre Direitos Humanos, San José, Costa Rica, em 22 de novembro de 1969. Disponível em: http://www.cidh.oas.org/basicos/portugues/c.convencao_americana.htm. Acessada em 10 de novembro de 2018.

CONSTITUIÇÃO DA REPÚBLICA FEDERATIVA DO BRASIL DE 1988. Disponível em http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm. Acesso em 02 de novembro de 2018.

LEI Nº 10.406, DE 10 DE JANEIRO DE 2002 – Código Civil. Disponível em http://www.planalto.gov.br/ccivil_03/leis/2002/l10406.htm. Acesso em 02 de novembro de 2018.

LEI Nº 8.078, DE 11 DE SETEMBRO DE 1990 – Código de Defesa do Consumidor. Disponível em http://www.planalto.gov.br/ccivil_03/LEIS/L8078.htm. Acesso em 02 de novembro de 2018.

LEI Nº 9.296, DE 24 DE JULHO DE 1996 – Lei de Interceptação Telefônica. Disponível em http://www.planalto.gov.br/cCivil_03/LEIS/L9296.htm. Acesso em 02 de novembro de 2018.

LEI Nº 12.965, DE 23 DE ABRIL DE 2014 – Marco Civil da Internet. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm.  Acesso em 02 de novembro de 2018.

DECRETO Nº 8.771, DE 11 DE MAIO DE 2016 – Decreto Regulamentar do Marco Civil da Internet. Disponível em http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2016/Decreto/D8771.htm Acesso em 02 de novembro de 2018.

LEI Nº 13.709, DE 14 DE AGOSTO DE 2018 – Lei Geral de Proteção de Dados Pessoais. Disponível em http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm. Acesso em 02 de novembro de 2018.

Medida Provisória 869, de 27 de dezembro de 2018 – para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados, e dá outras providências. Disponível em http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Mpv/mpv869.htm. Acesso em 29 de dezembro 2018.

Resolução CGI.br/RES/2009/003/P – Decálogo da Internet. Disponível em https://cgi.br/resolucoes/documento/2009/003. Acesso em 02 de novembro de 2018.

IBM Security Services – The 2018 Cost of a Data Breach Study by the Ponemon Institute. Disponível em https://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=55017055USEN . Acesso em 02 de novembro de 2018.

Microsoft diz que ‘dados são o novo petróleo’. Disponível em https://olhardigital.com.br/pro/noticia/microsoft-diz-que-dados-sao-o-novo-petroleo/56776. Acesso em 12 de novembro de 2018.

O plano chinês para monitorar – e premiar – o comportamento de seus cidadãos. Disponível em https://www.bbc.com/portuguese/internacional-42033007. Acessado em 14 de novembro de 2018.

Como funciona o ‘Big Brother’ da China, com 170 milhões de câmeras que fazem identificação visual. Disponível em https://www.bbc.com/portuguese/internacional-42361047. Acesso em 14 de novembro de 2018.

Privacidade, vida privada e intimidade no ordenamento jurídico brasileiro. Da emergência de uma revisão conceitual e da tutela de dados pessoais. Disponível em http://www.ambito-juridico.com.br/site/index.php?n_link=revista_artigos_leitura&artigo_id=2460. Acessado em 10 de novembro de 2018.

É abusiva cláusula que obriga cliente de cartão de crédito a fornecer dados a terceiros. Disponível em http://www.stj.jus.br/sites/STJ/default/pt_BR/Comunica%C3%A7%C3%A3o/noticias/Not%C3%ADcias/%C3%89-abusiva-cl%C3%A1usula-que-obriga-cliente-de-cart%C3%A3o-de-cr%C3%A9dito-a-fornecer-dados-a-terceiros . Acessado em 16/11/2018

Fornecimento de dados de e-mail armazenados no exterior prescinde de cooperação internacional. Disponível em http://www.stj.jus.br/sites/STJ/default/pt_BR/Comunica%C3%A7%C3%A3o/noticias/Not%C3%ADcias/Fornecimento-de-dados-de-e%E2%80%93mail-armazenados-no-exterior-prescinde-de-coopera%C3%A7%C3%A3o-internacional . Acessado em 16/11/2018

GREENWALD, Gleen. Sem lugar para se esconder [recurso eletrônico]. Tradução de Fernanda Abreu. Rio de Janeiro: 2014 Sextante.

HARARI, Yuval N. Homo Deus. Uma breve história do amanhã. Tradução: Paulo Geiger. São Paulo: Companhia das Letras, 2016.

[1] Yuval Noah Harari é um professor israelense de História e autor do best-seller internacional “Sapiens: Uma breve história da humanidade” e também de “Homo Deus – Uma Breve História do Amanhã”.

[2] William Edwards Deming foi um estatístico, professor universitário, autor, palestrante e consultor dos Estados Unidos da América e é amplamente reconhecido pela melhoria dos processos produtivos nos Estados Unidos durante a Segunda Guerra Mundial

[3] A LGPD define agentes de tratamento como um gênero que possui duas espécies: o controlador e o operador, sendo o controlador como pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais e o operador uma pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, assim o operador, usualmente será um terceiro que oferece produtos ou serviços de tratamento de dados ao controlador.

[4] Ombudsman é um cargo profissional contratado por um órgão, instituição ou empresa com a função de receber críticas, sugestões e reclamações de usuários e consumidores, com o dever agir de forma imparcial para mediar conflitos entre as partes envolvida.

[5] O CONAR – Conselho Nacional de Autorregulamentação Publicitária tem por missão Impedir que a publicidade enganosa ou abusiva cause constrangimento ao consumidor ou a empresas e defender a liberdade de expressão comercial. Constituído por publicitários e profissionais de outras áreas, o CONAR é uma organização não-governamental que visa promover a liberdade de expressão publicitária e defender as prerrogativas constitucionais da propaganda comercial.

× Converse agora sobre o seu caso!