Lei Geral de Proteção de Dados – Principais Aspectos do Ponto de Vista Corporativo

RESUMO

O presente artigo tem como objetivo esclarecer as disposições da Lei Geral de Proteção de Dados, com enfoque empresarial, trazendo a visão geral acerca do assunto, os aspectos, conceitos e pontos de alerta essenciais para as corporações, além do entendimento acerca da importância deste amparo protetivo legal, vinculado aos dados pessoais de pessoas físicas, coletados e tratados.

1. INTRODUÇÃO

A Lei nº 13.709/18, mais conhecida como Lei Geral de Proteção de Dados – LGPD), se inspirou na General Data Protection Regulation – GDPR, que dispõe sobre a proteção de dados pessoais dos cidadãos europeus.

As discussões e aprovação da Lei Geral de Proteção de Dados foram aceleradas no Brasil após o grande escândalo ocorrido nos Estados Unidos da América, em virtude da descoberta da coleta de diversos dados de usuários do Facebook, sem permissão e consentimento destes, para fins de definição de estratégias e favorecimento da campanha política do então presidente do País, Donald Trump.

O acaloramento de críticas quanto à ausência de Lei que protegesse os dados dos cidadãos brasileiros que, há tempos tem sido utilizados de forma indevida e abusiva, concomitante com a investigação de diversas Empresas Nacionais e Internacionais, com sede ou filiais no Brasil, decorrentes de denúncias ao PROCON e outros Órgãos, incluindo o Ministério Público Federal, além do ajuizamento de inúmeras ações judiciais vinculadas à utilização indevida de dados de pessoas físicas, também foram pontos cruciais para a aprovação e publicação da Lei Geral de Proteção de Dados (LGPD).

Quanto ao objetivo da LGPD, ao contrário do que inicialmente faz-se parecer, tem-se que a LGPD não visa impedir que os dados dos cidadãos sejam analisados e utilizados, mas sim que, dada a inquestionável relevância da utilização de dados, de forma global, para fins de potencialização de mercados existentes, análise de sucesso de novo mercado, produto ou objeto, dentre outros, os referidos dados pessoais sejam protegidos de forma a serem empregados apenas para o propósito expressamente informado consentido pelo titular dos dados.

Neste sentido, passa-se a demonstrar e esclarecer nos próximos capítulos, acerca dos aspectos gerais e principais da Lei Geral de Proteção de Dados, no âmbito corporativo.

2. ASPECTOS GERAIS

A Lei Geral de Proteção de Dados estabelece as condições de tratamento dos dados pessoais de pessoas físicas em todas as suas fases: Coleta, recepção, classificação, análise, utilização, acesso, reprodução, transmissão, distribuição, processamento, armazenamento, eliminação, transferência, dentre outros, consolidando-se como uma norma baseada em princípios para proteção dos direitos fundamentais de liberdade e de privacidade.

Entende-se como dados pessoais, todos aqueles relacionados e/ou que possam identificar determinada Pessoa Física, que legalmente definiu-se como a Titular dos Dados a serem tratados, cujo controlador é identificado como as pessoas físicas ou jurídicas a quem competem as decisões referentes ao tratamento dos dados pessoais e, por fim, o operador, que trata-se das pessoas naturais ou jurídicas que realizarão o tratamento dos dados coletados, destacando-se que todos estes dados coletados e tratados, obtidos anteriormente à entrada em vigor da Lei, a ela se sujeitam.

Quanto à aplicabilidade da Lei, destaca-se que não haverá proteção, nos termos da LGPD, dos dados pessoais utilizados apenas para fins pessoais e não econômicos, especificamente jornalísticos, artísticos, acadêmicos ou para atividades de segurança pública, segurança do Estado, em situações de defesa nacional, investigações e repressão penal, além daqueles dados advindos do exterior e que não sejam objeto de comunicação, uso compartilhado de tratamento brasileiro ou objeto de transferência internacional de dados com outro país, isto desde que o referido país tenha legislação vinculada à proteção de dados.

Os dados anonimizados, interpretados pela Lei como aqueles que não tem a possibilidade de associação, direta ou indireta, a um indivíduo, não são considerados dados pessoais, de forma que, consequentemente, também não são protegidos pela LGPD.

3. UTILIZAÇÃO DE DADOS PESSOAIS

Os dados pessoais coletados pelos controladores, na forma da lei, poderão ser utilizados, do ponto de vista empresarial privado, mediante o expresso consentimento do titular, para os seguintes fins:

– Para cumprimento de obrigação legal ou regulatória, realização de estudos – sempre que possível, deverá o controlador utilizar a anonimização de dados;

– Quando for necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular e, desde que a seu pedido;

– Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, para a proteção da vida ou da incolumidade física do titular ou de terceiro;

– Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, com exceção da hipótese de prevalecimento dos direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais e para a proteção do crédito.

Se os dados forem sensíveis, classificados pela Lei como aqueles que revelam origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, deverá haver consentimento específico e destacado do titular, para fins de tratamento dos referidos dados, além da indicação da exata finalidade da coleta e tratamento, pelo controlador.

Em caso de dados pessoais de crianças, o tratamento somente poderá ser realizado se houver o consentimento específico e destacado de, pelo menos, um dos pais ou pelo responsável legal.

Os dados pessoais poderão ser transferidos internacionalmente se preenchidas as condições e requisitos previstas na LGPD, mais precisamente nos artigos 33 a 36.

Por fim, esclarece a Lei que é direito do titular dos dados pessoais, pleno acesso à forma de tratamento destes, o que torna importante a implementação de fluxos e procedimentos destinados à facilitação de consulta das informações relatadas e explicações acerca de toda e qualquer dúvida do titular quanto ao tratamento dos dados, pelos controladores.

4. SEGURANÇA E SIGILO DOS DADOS

A LGPD prevê que os controladores e operadores, na condição de agentes de tratamento, devem adotar medidas de segurança, cujos padrões técnicos mínimos poderão ser definidos pela autoridade competente – Autoridade Nacional de Proteção de Dados, para proteção dos dados pessoais coletados, desde a fase inicial, para que não ocorram situações acidentais ou ilícitas capazes de ocasionarem a destruição, perda, alteração, acessos não autorizados ou qualquer outra intercorrência diversa da exata finalidade da coleta dos dados.

Os sistemas de tratamento a serem adotados pelos agentes de tratamento, deverão se pautar nos requisitos de segurança, padrões de boas práticas, governança, aos princípios gerais da LGPD e demais normas da Autoridade Nacional de Proteção de Dados.

É importante que o controlador tenha ciência de que poderá haver determinação da Autoridade Competente para elaboração de relatório de impacto à proteção de dados pessoais vinculadas às operações praticadas pelo controlador que deverá, ainda, seguir os requisitos determinados em lei.

Ademais, há importante previsão na Lei no sentido de que, caso o controlador tenha algum incidente de segurança com relação aos dados pessoais coletados, passível de acarretar riscos ou danos relevantes aos titulares, deve comunicar à autoridade competente e ao titular em prazo a ser definido pela Autoridade Nacional de Proteção de Dados, sob pena de responsabilização penal e civil, além de sanções administrativas, conforme explanado no próximo tópico.

5. RESPONSABILIDADE E SANÇÕES ADMINISTRATIVAS

Caso o titular dos dados pessoais sofra algum dano, poderá haver responsabilização civil e criminal solidária do controlador e operador, além do dever de reparação dos danos sofridos e incidência de sanções administrativas.

As sanções administrativas previstas na Lei variam entre as que seguem abaixo e não são substituídas pelas penalidades, sejam elas civis ou penais, podendo ser aplicadas as duas, de forma concomitante:

• Advertência;

• Obrigação de divulgação do incidente;

• Eliminação de dados pessoais;

• Multa de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos e limitada, no total, a R$50 milhões por infração.

Destaca-se também que a aplicação das sanções administrativas acima pontuadas poderá ocorrer de forma gradativa, isolada ou cumulativa, a depender da conclusão do procedimento administrativo, ou seja, poderá ser generosamente penosa para o controlador e/ou operador.

6. ENCERRAMENTO E ELIMINAÇÃO DO TRATAMENTO DE DADOS

Cumpridas as finalidades para as quais foram coletados os dados e, constatado que: Deixaram de ser necessários, finalizou-se o período de tratamento, houve revogação do consentimento ou por determinação das autoridades competentes; os referidos dados devem ser excluídos de todos os bancos de dados do controlador e do operador.

A conservação dos dados pessoais coletados somente poderá ocorrer, após o término do período de tratamento, se for necessário para o devido cumprimento de obrigação legal ou regulatória; se forem utilizados para estudo por órgão de pesquisa, garantida a anonimização, sempre que possível; para uso exclusivo do controlador, vedado o acesso por terceiros e desde que anonimizados ou para transferência a terceiro, respeitados os requisitos legais. Entende-se, porém, quanto à possibilidade de transferência a terceiro, que somente poderá ocorrer se houver o expresso consentimento do titular dos dados ou a seu pedido.

7. CONCLUSÃO

A coleta e tratamento de dados pessoais é, sem dúvidas, um importante e necessário instrumento para a economia, na medida em que permitem a apuração do sucesso/fracasso de determinados serviços e produtos antes mesmo da entrada no mercado, a viabilidade de permanência de serviços e produtos que já estão sendo fornecidos, concedem dados capazes de determinar o que o mercado deseja, além de diversos outros benefícios.

A constante globalização e atualização do mercado que, consequentemente, tem levado ao aumento de dados coletados e tratados, sem dúvidas, impôs a necessidade de criação da Lei Geral de Proteção de Dados, a fim de inibir que os dados dos cidadãos brasileiros sejam tratados, como há tempos vinham sendo por algumas corporações, de forma irresponsável, sem o consentimento do titular e a devida implantação de meios protetivos, incorrendo em violação ao poder de escolha de cada cidadão, de tratamento de seus dados, além de prejuízos pelo vazamento ou publicação de dados não consentidos.

Certo é que, caso as corporações não se adequem à Lei Geral de Proteção de Dados e pratiquem atos contrários aos permitidos ou em desacordo com as determinações nela previstas, poderão incorrer em penalidades nas esferas civil e penal, além de sanções administrativas.

Deste modo, é essencial, para fins de mitigação de riscos empresariais, que as empresas que ainda não tenham se adequado à norma, realizem mapeamento organizacional, apurando se se enquadram como controladores ou operadores e, a partir daí, ajustem os procedimentos internos, documentos, a forma de coleta e tratamento de dados e adotem medidas protetivas destes, através do auxílio de jurídico especializado e Técnicos de Informática.