CONTEXTUALIZAÇÃO

Os serviços oferecidos atualmente, especialmente através de empresas que utilizam novas tecnologias, tem como uma de suas características a constante coleta de dados pessoais dos seus clientes / usuários.

Dessa forma, no momento em que o usuário cria uma conta e/ou acessa, por exemplo, uma rede social, a empresa passa a coletar seus dados pessoais. Estas informações vão sendo inseridas num banco de dados que vai se tornando dia após dia, mais completo sobre essa pessoa.

Em toda interação que é feita via internet, existe uma coleta de dados. Estes dados são economicamente valiosos, pois com o devido tratamento, podem definir tendências comportamentais, de consumo, políticas…

A suspeita de que esses dados poderiam vir a ser utilizados de forma indevida, sempre existiu e atingiu contornos reais quando surgiu o caso do vazamento de dados pessoais de usuários de uma rede social para uma empresa de marketing político.

Nesse cenário, surgiu a necessária a regulamentação dessa atividade, visando evitar excessos que possam gerar a violação dos direitos fundamentais das pessoas, como a privacidade e a intimidade.

Neste contexto, em 14 de agosto de 2018, foi editada a Lei 13.709 (Lei Geral de Proteção de Dados – LGPD), que tem como grande objetivo estabelecer regras para as empresas e o poder público tratarem os dados pessoais. A Lei foi alterada pela Lei 13.853/19 (conversão da Medida Provisória 869/18), que veio prorrogar o início da sua vigência para 14 de agosto de 2020.

A LGPD estabelece uma normatização para o uso, proteção e transferência de dados pessoais no Brasil, aplicada aos setores publico e privado, determinando claramente quem são as figuras envolvidas, bem como as suas atribuições, responsabilidades e penalidades.

QUEM SÃO OS AGENTES DE TRATAMENTO DE DADOS?

No contexto da Lei Geral de Proteção de Dados surge a figura dos agentes de tratamento de dados. No artigo 5º da referida Lei, encontramos as definições e atribuições dos agentes de tratamento de dados, que foram classificados como Controlador e Operador.

O Controlador está definido como “pessoa natural ou jurídica, de direito público ou privado, e que tem com atribuição a competência nas decisões referentes ao tratamento de dados pessoais”.

O Operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador”.

Cabe aqui, ressaltar uma outra figura estabelecida pela Lei que não é um agente de tratamento, o Encarregado (Data Protection Officer – DPO) que é a pessoa natural, indicada pelo Controlador e pelo Operador (artigo 5º.). Contudo, que atua como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. Ele deve ser o responsável dentro da instituição pela supervisão do cumprimento das regras previstas na Lei e orientar os funcionários e os contratados da entidade, a respeito das práticas a serem adotadas em relação à proteção de dados pessoais. Uma leitura inicial da Lei, permite concluir que toda e qualquer entidade que trate dos dados pessoais, deve indicar um Encarregado (DPO). Contudo, a Autoridade Nacional poderá estabelecer normas complementares sobre a definição e as atribuições do Encarregado, inclusive as hipóteses para sua dispensa.

As empresas privadas e órgãos públicos deverão eleger um responsável pelo tratamento de dados pessoais. Este encargo estará vinculado à responsabilização por eventuais incidentes de segurança da informação ou não conformidades legais. Tal responsável denominado Controlador, deverá se reportar à Autoridade Nacional de Proteção de Dados sobre os incidentes ocorridos. A notificação de incidente é obrigatória.

Não obstante as atribuições dadas pela Lei, é importante também, trazer a definição de tratamento de dados para que possamos compreender melhor as atribuições acima descritas: Tratamento de dados é toda operação realizada com dados pessoais, como as que referem-se a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Em suma, tratamento de dados pessoais representa exercer alguma atividade que envolva dados pessoais.

As operações de tratamento de dados pessoais devem ser registradas e armazenadas em arquivos, principalmente quando forem realizadas observando o legitimo interesse.

PRINCÍPIOS A SEREM APLICADOS NO TRATAMENTO DE DADOS PESSOAIS

Nas atividades de tratamento de dados pessoais deverão ser observados a boa fé e os seguintes princípios:

Finalidade: o tratamento de dados pessoais deverá ser realizado com propósitos legítimos, específicos, explícito, sem que haja tratamento posterior de forma incompatível com essas finalidades.

Necessidade: o tratamento deve ser limitado ao mínimo necessário para realização de seus objetivos, abrangendo os dados pertinentes, proporcionais e não excessivos em relação as finalidades do tratamento de dados;

Adequação: o tratamento de dados deve ser compatível com as finalidades informadas ao titular dos dados e de acordo com o contexto do tratamento;

Livre acesso: garantir aos titulares dos dados a consulta facilitada e gratuita sobre a forma, duração do tratamento e a integralidade de seus dados pessoais;

Qualidade dos dados: assegurar aos titulares, exatidão, clareza, relevância, atualização e que estejam de acordo com a necessidade e cumprimento da finalidade de seu tratamento;

Segurança: proteção dos dados pessoais de acessos não autorizados, acidentes ou de situações ilícitas de perda, alteração, difusão ou comunicação, mediante aplicação de medidas técnicas e administrativas;

Transparência: garantir aos titulares dos dados, informações claras, precisas e de facilidade de acesso sobre a realização de tratamento, bem como os respectivos agentes de tratamento, sendo observado o segredo industrial e comercial.

Prevenção: adoção de procedimentos e controles para prevenir a ocorrência danos em face do tratamento de dados pessoais;

Não discriminação: o tratamento realizado jamais poderá ser executado para fins discriminatórios, seja ele ilícito e/ou abusivo;

Responsabilização e prestação de contas: o Agente deverá comprovar a adoção de medidas, que sejam eficazes e que comprovem a observância e atendimento as normas de proteção de dados pessoais.

QUANDO?

A Lei 13.709/2018 (LGPD), quando da sua edição em 14 de agosto de 2018, veio afetar profundamente o modo de funcionamento de todas as empresas brasileiras, na gestão das informações. Previsto para entrar em 24 meses da sua promulgação, portanto em 14 de agosto de 2020.

Com a edição da Medida Provisória 869 em 27 de dezembro de 2018, além de trazer alterações a LGPD, prorrogou a vigência da Lei para 14 de agosto de 2020, exceto para alguns artigos trazidos pela citada Medida Provisória, quais sejam: 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, criando a Autoridade Nacional de Proteção de Dados e suas competências, e os artigos 58-A e 58-B que cria o Conselho Nacional de Proteção de Dados e da Privacidade e suas competências. O início da vigência destes artigos é 28 de dezembro de 2018.

A Autoridade Nacional de Proteção de Dados – ANPD, autoridade pública, autônoma e independente para supervisão de aplicação da Lei. A ANPD poderá estabelecer diretrizes para promoção de proteção de dados pessoais, elaborar a “Política Nacional de Dados e da Privacidade”, na definição da LGPD, fiscalizar e aplicar sansões.

O Conselho Nacional de Proteção de Dados, órgão consultivo, tem a sua composição multisetorial e pode propor diretrizes estratégicas, fornecer subsídios para elaboração da Política Nacional de Proteção de Dados Pessoais e Privacidade, além de promover estudos, propor ações a serem realizadas pela ANPD e disseminar conhecimento sobre a proteção de dados e privacidade no Brasil.

Embora o início de vigência da Lei, com as exceções do parágrafos anterior, seja 14 de agosto de 2020, para os agentes de tratamento de dados pessoais e o encarregado (Data Protection Officer) a sua aplicação se dá desde a promulgação da LGPD, portanto, tanto o controlador, o operador e o encarregado, devem iniciar o quanto antes o planejamento e a preparação para implantação de medidas que irão garantir o atendimento a LGPD.

A Lei Geral de Proteção de Dados tem aplicação transversal e multisetorial, tanto no âmbito público como no privado, online e offline. Dentro das bases legais que autorizam o seu uso, o consentimento é apenas uma delas, onde destacamos a permissão do tratamento de dados com base no legitimo interesse do Controlador, além de tratar de princípios gerais, direitos básicos do titular dos dados, exclusão de dados e explicação sobre seu uso, obrigações e limites que devem ser aplicados a toda entidade que se vale do uso de dados pessoais.

Outro ponto importante é que a LGPD incentiva a adoção de códigos de conduta setoriais e de certificações que visem garantir a observância das suas regras. Determinados setores da sociedade poderão elaborar suas próprias diretrizes de conduta no uso de dados pessoais. Estas diretrizes (padrões) de conduta, devem ser previamente autorizados pela Autoridade Nacional e conferir procedimentos que demonstrem o aferimento das condutas.

Entidades podem se qualificar perante a ANPD para certificar que outras instituições estão em conformidade com os requisitos da LGPD.

A LGPD incentiva a adoção de códigos de conduta setoriais e de certificações que visem garantir a observância das suas regras. Determinados setores da sociedade poderão elaborar suas próprias diretrizes de conduta no uso de dados pessoais.

RESPONSABILIDADES

Registros das operações e sua manutenção

A principal obrigação estabelecida pela Lei referente aos agentes de tratamento de dados foi de que toda a atividade de tratamento de dados pessoais deve ser registrada, desde a sua coleta até a sua exclusão, indicando quais os tipos de dados serão coletados, a base legal que autoriza seus usos, as suas finalidades, o tempo de retenção, as práticas de segurança de informação implementadas no respectivo armazenamento e com quem os dados podem ser compartilhados. Cabe ao Controlador assegurar a manutenção destes registros, em decorrência do princípio de prestação de contas, trazido pela LGPD.

Adoção de medidas de segurança

Os agentes de tratamento de dados devem adotar medidas de segurança, capazes de proteger os dados pessoais de acessos não autorizados, vazamentos e de situações acidentais ou ilícitas de destruição, perda alteração, comunicação ou qualquer forma de tratamento inadequado.

Notificação obrigatória a Autoridade Nacional de Proteção de Dados

Qualquer incidente envolvendo o tratamento de dados pessoais que possam vir a acarretar risco ou danos aos seus titulares, deverão ser reportados a Autoridade Nacional de Proteção de Dados – ANPD), assim como as próprias vítimas poderão fazê-lo.

A comunicação deverá conter a descrição da natureza dos dados pessoais que foram afetados, as informações sobre os titulares que foram envolvidos, a indicação dos procedimentos e das medidas técnicas e de segurança aplicados, os riscos relacionados ao incidente, as medidas que foram ou serão adotadas para mitigar os efeitos do prejuízo causado ou mesmo reverte-lo e os motivos da demora da comunicação, caso não ter sido imediata.

CASOS RECENTES DE INCIDENTES OCORRIDOS

Relatório de impacto à privacidade (Data Protection Impact Assessment)

Definido como relatório de impacto a proteção de dados pessoais, é a documentação do Controlador que contém a descrição dos processos de tratamento de dados que podem vir a gerar riscos aos direitos dos titulares, bem como as medidas adotadas, salvaguardas e mecanismos de mitigação desses riscos. Poderá ser obrigatório em situações já caracterizadas como de risco ou, por solicitação da Autoridade (ANPD), quando o tratamento de dados for baseado no legitimo interesse. Cabe ao Controlador, a responsabilidade pela emissão deste relatório.

Responsabilidade solidária

Os agentes envolvidos no tratamento de dados – o controlador e o operador – podem ser solidariamente responsabilizados por incidentes de segurança da informação, uso indevido e não autorizado dos dados, ou pela não conformidade com a Lei. Entretanto, a reponsabilidade do operador, que pratica o tratamento de dados em nome e a mando do controlador, pode ser limitada às suas obrigações contratuais e de segurança da informação, caso não viole as regras imposta pela LGPD.

Ônus da prova

Muitos são os desafios trazidos pela LGPD. Certamente muitas discussões surgirão sobre as obrigações a serem cumpridas por todos. Neste sentido, a Lei teve o cuidado de atribuir ao Controlador o ônus da prova do consentimento do titular dos dados tratados (artigo 8º – parágrafo 2º), ressaltando que o consentimento não será valido se houver qualquer vicio de vontade.

Muitos são os desafios trazidos pela LGPD. Certamente muitas discussões surgirão sobre as obrigações a serem cumpridas por todos.

Dispensa da exigência de consentimento

Nos casos de eventuais dispensas da exigência de consentimento, não desobriga os agentes de tratamento de dados da demais obrigações previstas na LGPD, principalmente na observância dos princípios gerais e da garantia dos direitos do titular dos dados.

Temporalidade do consentimento

Outra consequência importante da parte legal é que o consentimento é sempre temporário, podendo ser revogado a qualquer tempo por procedimento gratuito e facilitado (parágrafo 5º do artigo 8º). Qualquer alteração, portanto, nas circunstâncias que justificaram o consentimento do titular dos dados, ensejará a necessidade de novo consentimento.

Término do tratamento de dados

Os agentes de tratamento de dados pessoais deve observar quanto ao termino do tratamento, que ocorrerá quando verificar que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade; quando ocorrer o fim do período de tratamento; comunicação do titular, inclusive na revogação do consentimento, resguardado o interesse público; e por determinação da ANPD quando ocorrer violação ao disposto na LGPD.

Eliminação dos dados pessoais após o termino do tratamento

O Controlador tem a responsabilidade de cuidar para que os dados pessoais sejam eliminados após o termino de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: cumprimento de obrigação legal ou regulatória pelo Controlador; estudo por órgão de pesquisa; transferência a terceiros, uso exclusivo do Controlador (dados anonimizados).

Alterações no tratamento de dados

O Controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.

Comunicação ou compartilhamento de dados

Quando o Controlador necessitar comunicar ou compartilhar dados pessoais com outros controladores, deverá obter consentimento específico do titular para esse fim. Esse consentimento deverá ser obtido antes de ocorrer a comunicação ou compartilhamento.

Nos casos de eventuais dispensas da exigência de consentimento, não desobriga os agentes de tratamento de dados da demais obrigações previstas na LGPD.

Observação aos direitos do titular dos dados

O titular dos dados pessoais que são tratados, tem o direito de obter do Controlador, a qualquer momento e mediante requisição expressa, informações como a confirmação da existência de tratamento, acesso aos dados; correção de dados incompletos, ou inexatos, ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em inconformidade a Lei; portabilidade dos dados; eliminação dos dados tratados, exceto nos casos previstos no artigo 16º da LGPD – (cumprimento de obrigação legal ou regulatória, estudo por órgãos de pesquisa, transferência a terceiros e uso exclusivo do controlador); informação das entidades com as quais os dados pessoais foram compartilhados; informação sobre o não consentimento e suas consequências; revogação do consentimento.

O titular dos dados tem o direito ainda de peticionar junto a Autoridade Nacional de Proteção de Dados em relação aos seus dados contra o Controlador.

Transferência internacional de dados

Os agentes de tratamento de dados pessoais, principalmente o controlador, devem estar atentos no que tange o fluxo de dados para outros países, pois somente será permitida a transferência para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais compatível com a Lei brasileira ou então, mediante a oferecimento de garantias do regime de proteção de dados local.

Enfim, é preciso observar as oportunidades que a adoção as normas estabelecidas pela Lei Geral de Proteção de Dados trarão as organizações (públicas ou privadas), bem como aos titulares dos dados a serem tratados:

— Incentivo ao desenvolvimento econômico e tecnológico, tendo em vista que o capital atual consiste em dados;

— Consolidação das relações comerciais, através de práticas seguras e transparente de tratamento de dados pessoais;

— Aumento do nível de Compliance das instituições, já que todos os setores da economia (publico e privado) terão que se adequar aos ditames da LGPD.

— Fortalecimento do consumidor, em vista do aprimoramento da livre iniciativa e da concorrência e maior transparência nas relações comerciais.

— Nivelamento do Brasil aos demais países que já possuem legislação sobre proteção de dados pessoais. A LGPD habilita o nosso pais competitivo economicamente. Esse diferencial pode alavancar os setores vinculados a tecnologia.

Dessa forma, fica evidente o grande trabalho a ser executado pelas organizações, sejam elas privadas ou públicas. A caminhada para chegar no dia 14 de julho de 2020, totalmente preparadas e aptas a executar o tratamento de dados de acordo com os ditames da Lei Geral de Proteção de Dados.

É preciso observar as oportunidades que a adoção as normas estabelecidas pela Lei Geral de Proteção de Dados trarão as organizações (públicas ou privadas).

---

* Artigo publicado na Revista Compliance Rio | Número 2 Ano 2 | Publicação oficial do Instituto Compliance Rio.

---

A Lopes, Machado Auditores não se responsabiliza, nem de forma individual, nem de forma solidária, pelas opiniões, idéias e conceitos emitidos nos textos, por serem de inteira responsabilidade de seu(s) autor(es).

---

BIBLIOGRAFIA

• General Data Protection Regulation (https://eurlex.europa.eu/legal-content/PT/TXT/HTML.
• Monteiro, Renato L. – Lei Geral de Proteção de Dados do Brasil – Analise. Disponivel em http://baptistaluz.com.br/institucional/lei-geral-de-protecao-de-dados-do-brasil-analise/.
• Lei Geral de Proteção de Dados: Um Resumo da LGPD. (http://legalcloud.com.br/lei-geral-de-protecao-de-dados-resumo-lgpd/)
• Que direitos o Governo tem sobre nossos dados? Impactos da futura Lei Geral de Proteção de Dados (LGPD) no cenário brasileiro. (www.truzzi.com.br) Truzzi Advogados.
• O que fala a Lei Geral de Proteção de Dados Pessoais. Disponível em http://sergiopontes.jusbrasil.com.br/artigos/614642198/o-que-fala-a-lei-geral-de-protecao-de-dados-pessoais
• CASTRO, Catarina Sarmento e. Direto da informática, privacidade e dados pessoais. Coimbra: Almedina,2005.
• CORRÊA, Adriana E. e LOUREIRO, Maria Fernanda B. Novo regulamento europeu reforça a proteção de dados pessoais. (www.conjur.com.br)
• A Lei Geral de Proteção de Dados e o veto presidencial – Sperotto Advogados Associados (http://www.sperottoadvogados.com.br/site/archives.php)
• Lei de Proteção de dados, uma opinião detalhada. Disponível em http://gustavorochacom.jusbrasil.com.br/artigos/602419445/lei-de-protecao-de-dados-uma-opiniao-detalhada
•Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada. Disponível em https://www.jota.info/opiniao-e-analise/colunas/agenda-da-privacidade-e-da-protecao-de-dados/lgpd-analise-detalhada-14072018