A questão do uso dos dados pessoais na nova economia digital que estamos vivendo vem ganhando cada vez mais relevância, nos últimos anos presenciamos o surgimento de conceitos como Big Data, Analytics, Data Mining, Marketing Digital, redes sociais, Apps com serviços personalizados, entre tantos outros que se desenvolvem através dos dados pessoais que já estão sendo chamados de “o petróleo do século XXI”.
As plataformas se multiplicaram, as empresas passaram a coletar os mais variados dados e muitos modelos de negócio foram criados adotando a estratégia de oferecer serviços gratuitamente em troca dos dados pessoais dos usuários, o que levou muitas empresas a coletar dados de maneira indiscriminada.
Diversos casos de vazamento de dados foram relatados nos últimos anos e as pessoas passaram a sentir que sua privacidade estava em jogo e que era necessário definir certas regras para balancear a inovação e a comodidade dos novos serviços, com direitos fundamentais como a privacidade, intimidade, liberdade de expressão, dentre outros.
A preocupação de garantir a privacidade como um direito remonta ao final dos anos 1800, ganhou força após o final da Segunda Guerra Mundial, mas a atenção se voltou para os dados pessoais no início dos anos 1970, época em que surgiram os primeiros computadores pessoais. Na década de 80 surgia na Europa a Convenção 108 do Conselho da Europa para a Proteção de das Pessoas Singulares no que diz respeito ao Tratamento Automatizado de Dados Pessoais e, em 1995, foi adotada a Diretiva 95/46/EC do Parlamento Europeu e do Conselho.
Recentemente, a UE (União Europeia), que já era vista como uma das forças globais líderes na questão das regulamentações da inovações e direitos pessoais, substituiu a diretiva da década de 90 pelo GDPR (General Data Protection Regulation – Regulamento Geral de Proteção de Dados) que entrou em vigor no dia 25 de maio de 2018.
Apesar de ser direcionada à UE, o GDPR afetará empresas de todo o mundo. E a explicação para isso está no fato de que, atualmente, os dados circulam em uma escala global. Ou seja, até mesmo uma pequena empresa brasileira pode coletar, armazenar e utilizar informações pessoais de uma pessoa que está localizada na UE. Dessa forma, como o GDPR se refere exatamente aos dados de pessoas localizadas na UE, qualquer empresa que vier a lidar com essas informações está sujeita a essa regulamentação.
No Brasil, embora existissem várias leis que tratassem sobre o tema da proteção de dados, nenhuma dela tratava a questão como mote principal, faltando uma lei ampla e específica para estabelecer o marco regulatório brasileiro. A falta deste marco regulatório deixava o país em uma situação delicada internacionalmente, pois aspectos como a reciprocidade de proteção aos dados exigida pelo GDPR não eram atendidos pela nossa legislação.
Ciente disso, o Congresso brasileiro discutiu o tema por muitos anos e em 15 de agosto de 2018 foi publicada a lei geral de proteção de dados brasileira (“LGPD”), Lei nº 13.709/2018, que entrará em vigor em fevereiro de 2020.
Embora o projeto de lei que deu origem à LGPD tenha tido inspiração no GDPR e em outras legislações bem-sucedidas em outros países, a legislação brasileira tem suas peculiaridades e que serão destacadas abaixo:
- Qual o objetivo da lei de proteção de dados?
O objetivo desta lei é regulamentar o tratamento de dados pessoais por pessoas ou entidades do setor privado ou público, inclusive nos meios digitais (ou seja, arquivos em papel também estão incluídos), referentes a dados pessoais de consumidores, usuários, prospects, empregados, independente do país da sede ou no qual os dados estejam localizados com o propósito de proteger a liberdade, a privacidade e o livre desenvolvimento da pessoa natural.
O alcance da nova lei é bastante amplo, aplicando-se sempre que o tratamento seja realizado no território nacional, quando tenha por objetivo a oferta ou fornecimento de bens ou serviços a indivíduos localizados no Brasil, ou, ainda, caso os dados pessoais que aqui tenham sido coletados.
- O que são dados pessoais e os dados pessoais sensíveis?
Uma questão bastante relevante refere-se aos tipos de dados abrangidos pela LGPD, tendo em vista a amplitude deste mundo dos dados que são coletados pelas mais diversas plataformas e empresas. Basicamente a LGPD regulamenta o tratamento dos dados pessoais e dos dados pessoais sensíveis.
Os dados pessoais são as informações relacionada ao titular, que pode ser a pessoa natural identificada ou identificável, podendo incluir nome, endereço, e-mail, idade, estado civil e situação patrimonial, obtido em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, etc.). A LGPD optou por um conceito amplo dos dados pessoais englobados, sem uma lista taxativa, o que dá maior longevidade à lei e deixa a definição da sua amplitude para o regulador ou os operadores do direito.
São considerados sensíveis, por sua vez, aqueles dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural. O tratamento destes dados é abordado com maior rigor pela LGPD, sendo vedado o seu tratamento, exceto em hipóteses específicas trazidas pela lei.
- O que configura um tratamento de dados sujeito à LGPD?
A LGPD se aplica a toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, ou seja, uma abrangência ponta-a-ponta, desde a entrada do dado em determinada entidade, todo o período de permanência, até sua eventual saída.
Há casos em que a própria lei excetua certos tipos de tratamento de dados, como por exemplo aquele tratamento realizado por pessoa física para fins exclusivamente particulares e não econômicos, como agendas ou informações que sejam coletadas para propósitos exclusivamente particulares.
No caso das pessoas jurídicas, estão excluídos da abrangência da LGPD os tratamentos realizados para fins exclusivamente jornalístico e artísticos, acadêmicos, segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais.
Também ficaria excluída a aplicação da lei naquelas hipóteses em que os dados estejam apenas de passagem no Brasil, ou seja, dados pessoais provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que este tenha grau de proteção similar ao estabelecido na LGPD.
- Quem são as pessoas visadas pela LGPD?
Primeiramente é importante esclarecer que o cidadão, brasileiro ou não, como o detentor da sua autodeterminação informativa passou a ser o titular dos seus dados pessoais.
Aqueles que tratam os dados foram classificadas pela lei como agentes de tratamento, sendo o principal deles o controlador, que pode ser pessoa física ou jurídica, privada ou governamental, responsável pelas decisões referentes ao tratamento. Além do controlador, que é o agente que normalmente possui o contato direto com o titular, também a atividade terceirizada de tratamento de dados realizada pelo agente chamado de operador, que pode ser pessoa física ou jurídica, privada ou governamental, que realiza o tratamento de dados pessoais em nome do controlador.
Espelhando de certa maneira o GDPR, embora com uma competência e responsabilidade significativamente inferior ao DPO (Data Protection Officer), a lei brasileira criou a figura do encarregado, como a pessoa física, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional. Mais adiante trataremos do papel do encarregado, mas como observado no Brasil a lei não concedeu a esse agente um papel de tanta autonomia e destaque, como na EU.
- Quais empresas serão afetadas pela LGPD?
A nova lei de proteção de dados não afeta apenas as empresas de tecnologia, abrangendo todas as empresas que lidam, de alguma forma, com dados pessoais. Como a lei não restringe aos dados pessoais armazenados de maneira digital, na verdade quase que a totalidade das empresas detém algum tipo de cadastro com informações pessoais, como dados de funcionários, contato de um fornecedor (ex. nome, telefone, e-mail e endereço), entre outros.
Dessa forma, estão abrangidos pela lei tanto aquele que faz o registro de entrada em condomínio ou uma grande rede social, com centenas de informações sobre um titular. Da mesma maneira, qualquer operação de terceirização de tratamento de dados, por mais simples que seja, como uma limpeza ou enriquecimento de base de dados com dados de endereço ou perfil de compra, caracterizará o prestador como operador.
- Quais são os direitos dos titulares dos dados?
A LGPD é fundamentada no direito à autodeterminação informativa às pessoas físicas titulares dos dados pessoais, ou seja, a cada um é garantido o direito de estabelecer os limites de utilização dos seus dados pessoais. Dessa forma, o titular dos dados deverá ser informado sobre a finalidade do tratamento de seus dados, forma e duração, quem será o controlador, compartilhamento dos dados, responsabilidades das entidades detentoras dos dados e os direitos do titular, que deverão ser disponibilizadas de forma clara, adequada e ostensiva.
Além disso, os titulares dos dados pessoais tem direito a obter do controlador (i) confirmação de tratamento; (ii) acesso aos dados no prazo de até 15 dias do requerimento; (iii) correção de dados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou não tratados de maneira legítima; (v) portabilidade dos dados; (vi) eliminação dos dados, ainda que fornecidos com consentimento prévio; (vii) informações dos compartilhamentos de dados; (viii) informações sobre a possibilidade de não fornecer o consentimento e suas consequências; (ix) revogação do consentimento; (x) revisão de decisões tomadas unicamente com base em tratamento automatizado, incluindo definição de perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade.
Caso o titular dos dados pessoais seja criança, o tratamento somente poderá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal. Exceções à essa regra são apenas quando o tratamento for necessário para contatar os pais ou responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiros sem o consentimento. A participação em jogos e aplicações de internet não poderá ser condicionada ao fornecimento de informações pessoais além das estritamente necessárias.
- Quais as situações em que o tratamento de dados pessoais é permitido?
Embora a lei pareça restringir bastante as possibilidades de tratamentos dos dados, existem uma série de possibilidades de tratamento de dados que podem ser feitos legalmente. Nesse contexto, a LGPD estabelece que os agentes de tratamento poderão tratar dados pessoais, sendo a principal delas aquela realizada com o consentimento do titular; No entanto, a LGPD prevê outras possibilidades que permitem o tratamento, mesmo quando não obtido o consentimento do titular, quais sejam: (i) para cumprir obrigação legal do controlador do tratamento; (ii) para o tratamento e uso compartilhado para execução de políticas públicas, nos casos de administração pública; (iii) para a realização de estudos por órgão de pesquisa, desde que anonimizados; (iv) para a proteção da vida ou da incolumidade física do titular ou de terceiro; (v) para a tutela da saúde, desde que realizada por profissionais do setor; (vi) para a execução ou pré-execução de um contrato com o titular; (vii) para pleitos em processos judicial, administrativo ou arbitral; (viii) interesses legítimos do controlador, desde que não afetem direitos e liberdades fundamentais; (ix) para a proteção do crédito.
No caso dados pessoais sensíveis, a regra geral é de que o tratamento é vedado, exceto quando realizado mediante o consentimento específico e em destaque, pelo titular, para finalidades específicas; ou, sem consentimento, quando for indispensável para: (i) o controlador cumprir uma obrigação legal; (ii) a administração pública executar políticas públicas; (iii) órgão de pesquisa realizar estudos, mediante anonimização; (iv) exercício regular de direitos como em contratos, processos judiciais, administrativos ou arbitrais; (v) proteção da vida ou da incolumidade física do titular ou de terceiro; (vi) tutela da saúde, desde que realizado por profissionais da área; ou (vii) garantia da prevenção à fraude e à segurança do titular.
- Como obter o consentimento corretamente?
A obtenção do consentimento deverá ser realizada para finalidades específicas, não podendo ser um consentimento genérico, mas pode ser realizado por qualquer meio que demonstre a manifestação de vontade do titular, desde que conste de forma destacada. Além disso, o consentimento poderá ser revogado a qualquer momento, mediante manifestação expressa do titular, através de procedimento gratuito e facilitado.
Caberá ainda ao controlador do tratamento dos dados o ônus da prova de que o consentimento foi obtido, por isso a manutenção da cadeia de custódia e autorizações deve ser mantida com bastante rigor. Entretanto, estará dispensado o consentimento quando os dados forem tornados manifestamente públicos pelo titular.
Nos contratos de adesão o tratamento de dados pessoais pode ser condição para o fornecimento de produto ou serviço, desde que o titular dos dados seja informado com destaque sobre isso.
Por fim, quando é possibilitada a contratação com ou sem o fornecimento de dados pessoais, o titular deve ser informado sobre as consequências de não autorizar o uso dos seus dados, tais como restrições nos serviços oferecidos ou exibição de publicidade.
- Como deve ser feita a transferência de dados para fora do Brasil?
Os dados pessoais podem ser transferidos para fora do país e, conforme estabelecido na LGPD, as transferências são permitidas nos seguintes casos: (i) os países a serem transferidos possuam grau de proteção de dados pessoais compatível com a lei brasileira; (ii) o controlador comprovar as mesmas garantias previstas na lei de proteção de dados, por meio de: a) cláusulas contratuais específicas para uma determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; (iii) quando for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução; (iv) quando for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; (v) a autoridade nacional autorizar a transferência; (vi) quando for decorrente de acordo de cooperação internacional; (vii) quando for necessária para execução de política pública ou atribuição legal do serviço público; (viii) o titular tiver fornecido o seu consentimento específico e em destaque; ou (xi) necessário para cumprimento de obrigação legal, execução de um contrato ou exercício regular de um direito em processos.
- Quais são as penalidades e responsabilidade em casos de descumprimento da LGPD?
Quem não cumprir a lei ficará sujeito a penalidades administrativas que vão de advertência a multa de até 2% (dois por cento) do faturamento, limitada a R$ 50 milhões por infração, bem como publicização da infração, bloqueio ou eliminação dos dados. Embora a LGPD não tenha estabelecido duas faixas de penalidades como o GDPR, seguiu um balizamento similar em termos de valores e vinculação ao faturamento da empresa infratora.
O controlador que causar dano patrimonial, moral, individual ou coletivo, é obrigado a reparar, estando ainda sujeito a inversão do ônus da prova a favor do titular dos dados e a solidariedade com o operador, quando diretamente envolvido no tratamento. O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador.
Para se eximir de responsabilidade sobre o tratamento as empresas deverão provar que: (i) não realizaram o tratamento de dados pessoais que lhes é atribuído; (ii) não houve violação à legislação de proteção de dados, ainda que tenham realizado o tratamento; ou (iii) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Assim como na legislação de combate à corrupção, poderá ser atenuada a punição da empresa caso ela demonstre que implementou um programa de governança em privacidade, baseado em boas práticas de segurança da informação, bem como um de um sólido projeto de treinamento, políticas e processos de proteção de dados pessoais envolvendo todos os colaboradores da empresa. A seguir, apresentamos a sugestão de um roadmap para tais implementações.