ARTIGO
LGPD: Lei Geral de Proteção de Dados
Tudo que você precisa saber para ficar em conformidade com a nova legislação. São treze questões sobre a lei.
ARTIGO
Tudo que você precisa saber para ficar em conformidade com a nova legislação. São treze questões sobre a lei.
Por Dra. Andréa Peixoto
A partir de 2021*, muita coisa vai mudar no Brasil para as organizações públicas e privadas que coletam, tratam, guardam, processam, comercializam, dentre outras operações, os dados pessoais de milhões de brasileiros.
É que entrará em pleno vigor a Lei nº 13.709/18 (Lei de Proteção de Dados – LGPD) que regulamenta a política de proteção de dados pessoais e privacidade, modifica alguns dos artigos do Marco Civil da Internet[1]e impacta outras normas, transformando drasticamente a maneira como empresas e órgãos públicos tratam a privacidade e a segurança das informações de usuários e clientes.
Na Europa, a General Data Protection Regulation (GDPR)[2] – inspiração para a lei brasileira – vigora desde 25 de maio de 2018, fazendo com que entidades e empresas na União Europeia tivessem de se adaptar antes de sua vigência.
Mas pode relaxar: muitas das mudanças serão positivas tanto para as pessoas quanto para os negócios!
Esse artigo responderá algumas questões fundamentais, como: o que é a lei; como, porque e em quais aspectos impactará a sua vida; quais medidas devem ser tomadas; a quem recorrer em caso de violação; dentre outros tópicos.
*Nota: Em razão da pandemia por COVID-19 foi prorrogada a vigência da Medida Provisória nº 959/2020 (por mais 60 dias) adiando a entrada em vigor de toda a Lei Geral de Proteção de Dados Pessoais – LGPD para o dia 03/05/2021. Já a Lei nº 14.010/20 fixou novo prazo para entrada em vigor das sanções, contidas nos arts. 52, 53 e 54, da LGPD a partir de 1º de agosto de 2021. Entretanto, por se tratar de uma MP e, logo, suscetível de modificações legislativas e até mesmo de retirada do mundo jurídico é fundamental que as empresas, organizações do Estado e pessoas físicas continuem o planejamento de conformidade legal e adequação técnica para não correr o risco de medidas administrativas ou judiciais que inviabilizem o negócio. Por isso, recomenda-se sempre buscar por ajuda profissional.
1. O que são a LGPD e a GDPR?
Ambas são conjuntos de regras jurídicas para coleta, armazenagem e processamento de dados pessoais determinados ou determináveis, efetuados por pessoas físicas, empresas e organizações do Estado.
A brasileira (LGPD), ainda não está vigente (tem previsão de entrada em vigor, com todos os efeitos, em 15/08/20). Contudo, alguns de seus aspectos jurídicos começam a ser debatidos à luz do Marco Civil da Internet e, sobretudo, com o Código de Defesa do Consumidor (CDC), a exemplo do recente vazamento de dados da empresa Netshoes em que o MPDFT acordou um Termo de Ajustamento de Conduta (TAC) com a empresa.
A Lei europeia (GDPR) está vigente, estabelecendo as regras atinentes ao tratamento de dados pessoais relativos a pessoas situadas na União Europeia. É bom lembrar que as empresas e órgãos estatais brasileiros que mantenham negócios com os países europeus terão a obrigatoriedade de garantir que suas políticas de tratamento de dados estão em conformidade com a GDPR, sob o risco de penalidades, bem como perda de clientela, valor de marca e credibilidade no mercado internacional.
2. Como a Lei Geral de Proteção de Dados vai impactar a sua vida?
A LGPD terá um impacto dos mais significativos que uma legislação nacional já alçou.
Milhões de empresas brasileiras trabalham de forma direta ou indireta com dados pessoais de clientes. Em algumas dezenas de milhares, esses dados são vitais para o funcionamento do próprio negócio, como bancos, seguradoras, e-commerces. Não é exagero dizer que a segurança das informações dos consumidores é de essencial para todas as transações realizadas por essas companhias.
A legislação é categórica: todos os dados tratados por pessoas jurídicas de direito público e privado, cujos titulares estejam no território nacional; ou a sua coleta se deu no País; ou ainda que tenha por finalidade a oferta de produtos ou serviços no Brasil, devem estar preparadas.
Assim, não se trata de uma opção, mas de uma obrigação das empresas em se adequarem às normas brasileiras de proteção de dados pessoais.
Do mesmo modo, caso se trate de uma pessoa natural terá sua privacidade e liberdade protegidas contra eventual violação de segurança que importe em risco de exposição ou vazamento de dados, por exemplo; ou o direito de ter seus dados apagados de determinado banco de informações, dentre outras possibilidades.
Os comportamentos de empresas e clientes irão mudar drasticamente: as primeiras terão de ter políticas e planos de proteção de dados comprometidos e vocacionados à proteção da privacidade e da segurança de clientes e usuários; já as pessoas observarão muito mais as condutas das empresas e estarão mais exigentes com a segurança que as instituições possam oferecer aos seus dados.
3. O que os governos, entidades estatais e empresas devem fazer para garantir a privacidade.
Essa questão vai dominar o ranking de debates jurídicos, econômicos e sociais dos próximos anos, pois o tráfego crescente e os riscos de ataques e vazamentos de dados afetam praticamente toda a iniciativa pública e privada num país.
Milhões de informações pessoais circulam por redes virtuais diariamente. É cada vez mais frequente a exposição de dados em larga escala, mostrando as fragilidades de sistemas e protocolos, inclusive por parte de quem deveria fiscalizar a segurança das operações: o Estado.
Os negócios serão impactados profundamente, cabendo as empresas e instituições se protegerem de eventuais penalidades e, tão importante quanto, resguardarem-se da opinião pública negativa às que não se adaptarem, demonstrando ausência de confiabilidade ao mercado já que não conseguem garantir a proteção de seus bancos de dados.
4. Por que a necessidade de uma lei para proteger os dados pessoais?
O direito a ter os dados protegidos tem fundamento genérico na Constituição Federal de 1988[3]. Recentemente, o Senado Federal aprovou uma Proposta de Emenda à Constituição (PEC nº 17/2019) para incluir a proteção de dados disponibilizados em meios digitais no rol das garantias individuais da Carta Magna. O Marco Civil da Internet[4] reconhece tal direito, entretanto, ainda de maneira vaga. Coube, então, a LGPD regulamentar a proteção e a privacidade dos dados pessoais de modo a tornar possível seu exercício.
Como já se disse, milhares de empresas brasileiras coletam, armazenam e processam dados pessoais de milhões de usuários e clientes. Você já se perguntou o que essas empresas fazem com seus dados? Estarão armazenados em locais seguros? Como a privacidade de seus dados pessoais é protegida? Há planos e protocolos para a minimização de danos em caso de exposição indevida, ataques ou violações de segurança?
Essas e outras questões estão no escopo de atuação normativa da Lei de proteção de dados. A partir dela, toda e qualquer operação que envolva tratamento de dados pessoais no Brasil – seja no mundo virtual, seja na realidade, com grandes conglomerados ou pequenas empresas – terão de se adaptar à LGDP.
5. O que são as violações de dados?
Existem diversos tipos de ataques cibernéticos[5] e os bancos de dados conectados à internet estão em certo grau de vulnerabilidade. Um dos casos mais emblemáticos de negligência com informações foi o vazamento de dados de milhões de usuários do Facebook para a empresa britânica de marketing político, a Cambridge Analytica.
No Brasil, tem-se a confirmação de dois casos recentes: o da Netshoes (já visto acima) e do Banco Inter; e outro em apuração, o da empresa de proteção de crédito Boa Vista.
As violações de dados pessoais, de acordo com a legislação europeia, se caracterizam por “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento[6]”.
Mesmo que o incidente tenha resultando apenas na visibilidade dos dados a terceiros, já ocorreu a violação na segurança a que se refere a lei.
Assim, a empresa ou organização deve garantir a minimização dos danos causados e responder satisfatoriamente as expectativas dos interessados e da sociedade.
6. Quais são seus direitos protegidos pela lei?
A LGPD prevê a proteção integral de sua liberdade, privacidade, segurança, consentimento expresso, acesso as suas informações para correções e pronto atendimento caso você queira excluir seus dados, dentre outros.
As informações pessoais protegidas pela lei são aquelas determinadas ou determináveis. Ou seja, quaisquer dados que permitam a identificação de uma pessoa natural ou os tornem possíveis, tais como: nome, sobrenome, e-mail, numeração de documentos e de cartões de crédito, dados bancários, informações médicas, localização, endereços de IP e os chamados “testemunhos de conexão”, mais conhecidos como cookies.
Incluem-se, também, os “dados pessoais sensíveis” (aqueles potencialmente passíveis de discriminação se expostos ou vazados), tais como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, referentes à saúde ou a vida sexual, genético ou biomédico.
São seus direitos: acesso a todos os dados pessoais, possibilitando (via simples requerimento) a retificação, a atualização, a eliminação, o bloqueio, a portabilidade (o encaminhamento de suas informações pessoais a outras empresas), a listagem das entidades públicas e privadas com as quais compartilhou seus dados, dentre outros. Sem prejuízo de eventual reparação de danos na Justiça.
A lei não protegerá somente os dados pessoais digitais, mas igualmente aqueles oriundos de coletas feitas em papel, como fichas de cadastro e cupons promocionais. Dados coletados por intermédio de imagens e sons também estarão englobados na proteção.
7. O que significa “consentimento” para a lei e o que tem a ver com seus direitos?
O “consentimento” para a LGPD é condição fundamental para a viabilidade das operações de tratamento dos dados de um indivíduo. Representa uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada[7]”.
Por isso, os usuários devem ter a sua disposição de forma expressa, clara, com linguagem acessível, todas as informações acerca do tratamento que seus dados terão, tais como: a finalidade para a qual estão sendo coletados; o meio de captura; o período de tempo em que ficarão armazenados; a identificação do controlador com o respectivo contato; se serão compartilhados com terceiros; quais as responsabilidades dos agentes que realizarão o tratamento; dentre outras.
É direito do titular dos dados a retirada ou revogação do consentimento, bem como se houver mudança na finalidade dos dados coletados originalmente, efetuar novo consentimento.
Igualmente, o titular tem o direito de corrigir ou alterar seus dados. Tais opções à disposição do usuário ou cliente devem ser facilitadas e disponibilizadas gratuitamente.
O famoso “clique aqui para finalizar o seu cadastro” e, em seguida, “clicando aqui você concorda com os termos de uso e política de privacidade” – já não serão mais aceitáveis. O usuário ou cliente precisa dar seu consentimento, por exemplo, marcando uma caixa de diálogo (check box).
8. Como saber se seus dados pessoais estão seguros?
É dever das empresas e organizações proporcionar tecnologias seguras de proteção de dados pessoais, utilizar processo de anonimização[8] sem reversão[9] e outras técnicas, como: a criptografia e a pseudonimização[10]. Em caso de vazamentos, comunicar aos titulares dos dados, bem como manter um encarregado de proteção de dados, elaborar planos de riscos e tentar antecipar o impacto do incide, dentre outras providências.
Uma das ações mais imediatas em caso de exposição e vazamento é comunicar a Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável (que será definido pela própria autoridade).
Diversas empresas já estão se adaptando a legislação. Um exemplo são as mensagens de utilização de cookies de navegação e marketing, bem como as disposições acerca da política de privacidade na página inicial, alertando aos usuários e clientes que há transparência nas informações coletadas e na proteção dos dados pessoais tratados.
Importante mencionar que já existem empresas que trabalham com certificação digital para sites empresariais e institucionais, como forma de melhorar a confiabilidade durante a navegação, ao atestar que o site está em conformidade com LGPD.
9. O que faço para denunciar práticas irregulares ou ilegais?
Qualquer pessoa natural que seja titular de dados pessoais poderá peticionar contra a empresa ou a instituição governamental que controle seus dados à ANPD acerca de violação as normas de proteção de dados.
É recomendável, primeiramente, tentar contato com a empresa ou organização mediante requerimento expresso para a obtenção de informações ou outra providência em relação a seus dados. Tal requerimento não terá nenhum ônus ao titular. Igualmente, é possível peticionar aos órgãos de defesa do consumidor em caso de silêncio ou omissão.
As empresas podem ser responsabilizadas administrativamente com penalidades que vão desde advertência à multa simples de 2% do faturamento anual até o limite de 50 milhões de Reais por infração. Além, é evidente, da exposição negativa na mídia, efeito colateral da publicização da má-gestão de dados.
Por fim, em casos de irregularidades, inconformidades legais ou atos ilícitos, o titular dos dados também poderá exercer seus direitos em juízo, caso haja a necessidade da reparação pelos danos materiais ou morais sofridos.
10. O que é a Autoridade Nacional de Proteção de Dados? Para que serve?
A Lei nª 13.853/19 criou a Autoridade Nacional de Proteção de Dados (ANPD), disposta anteriormente na MP nº 869/18, como parte da Política Nacional de Proteção de Dados Pessoais e Privacidade. Trata-se de um órgão da administração pública federal indireta, em regime de autarquia especial, vinculado à Presidência da República com os objetivos de: zelar pela proteção de dados pessoais; fiscalizar e aplicar sanções administrativas; promover e divulgar informações sobre normas e políticas públicas acerca da proteção de dados pessoais e medidas de segurança; e promoção de ações de cooperação com autoridades de proteção de dados pessoais de outros países; dentre outras competências.
A mesma norma instituiu também o Conselho Nacional de Proteção de Dados Pessoais e Privacidade, com representantes do Executivo, do Legislativo e do Judiciário; do Ministério Público; da sociedade civil; de instituições científicas; e do setor empresarial. Tem entre suas competências: a proposição de diretrizes estratégicas; a elaboração de relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados; a realização de estudos e debates, etc[11].
A ANPD está em fase de conformação política para a escolha de membros, encaminhamentos estruturais, regulamentação e detalhamentos técnicos para seu funcionamento. Aguarda, também, a plena vigência da LGPD com plena vigência a partir do início de 2021.
11. Quem são os agentes responsáveis pelo tratamento de dados pessoais e quais as suas funções e responsabilidades?
A legislação brasileira elenca o rol de sujeitos, encargos e responsabilidades dos chamados “agentes de tratamento”. São eles:
O controlador – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais[12]. Uma empresa ou um órgão do Estado que detenha um acervo de dados pessoais é exemplo de controlador.
O operador – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador[13]. Um exemplo de operador seria um subcontratante do controlador, contratado para fazer o tratamento dos dados daquele.
Tais agentes são os responsáveis pelas decisões referentes ao tratamento dos dados pessoais (o controlador) e a própria realização das operações de tratamento em nome de outrem (o operador).
Para ambos a lei atribui importantes encargos, tais como: a guarda e a manutenção de registros das operações de tratamento que realizarem; a elaboração de relatórios de impacto; a comunicação à ANPD e ao titular dos dados em caso de incidente de segurança que possa acarretar risco ou dano; a implementação de boas práticas e governança; dentre outras.
Quanto às responsabilizações, os agentes de tratamento respondem solidariamente quando causarem dano patrimonial, moral, individual ou coletivo, diante da violação à legislação de proteção de dados pessoais, inclusive, obrigados à reparação. São responsabilizados também quando deixarem de adotar as medidas de segurança previstas na legislação, em casos de violação da segurança por terceiros, dando causa aos danos.
Os agentes só não respondem quando provarem que não realizaram o tratamento a eles atribuído; que embora tenham realizado, não houve violação à legislação; ou que o dano decorre de culpa exclusiva do titular dos dados ou de terceiros[14].
Há ainda a figura do Encarregado de Proteção de Dados[15] (Data Privacy Officer para a GDPR). É o intermediário entre os usuários (os titulares dos dados pessoais), as empresas e instituições governamentais (os controladores) e a Autoridade Nacional de Proteção de Dados, atuando como um canal de comunicação entre esses. Esse cargo é fundamental para que a empresa tome decisões acertadas, implementando boas práticas e adequado compliance institucional.
Diante de tantas obrigações[16], é fundamental que as empresas e órgãos mantenham mecanismos e ferramentas técnicas, informacionais e jurídicas que salvaguarde a organização em caso de incidentes, irregularidades ou ilicitudes.
12. O que os especialistas recomendam para a conformidade com a LGPD?
Falta cerca de 1 ano para que empresas e organizações do Estado estejam em conformidade com a Lei de proteção de dados, implementem boas e longevas práticas de governança e privacidade, protocolos de comunicação dentro e fora da instituição, dentre outras adaptações.
Os especialistas recomendam aproveitar o tempo escasso redesenhando a gestão organizacional, com ênfase em alguns pontos: a nomeação de um encarregado de proteção de dados; realização de auditoria completa dos dados; a elaboração de mapas de temporalidade ou ciclo de vida dos dados; a revisão das políticas de segurança; a reelaboração de contratos com fornecedores e parceiros; a elaboração de relatório de impacto de privacidade.
A parte boa é que há escritórios jurídicos especializados nesta conformidade. Na contratação dos especialistas, pode-se negociar a implementação em todos os aspectos exigidos pela legislação e mais o acompanhamento por certo período de tempo ou então a contratação por atos os fases, o que pode ser uma ideia factível quando não se dispõe de caixa suficiente no momento.
13. Relações entre a Lei de Proteção de Dados, o Marco civil da Internet e o Cadastro Positivo.
A LGPD complementa o escopo legal do Marco Civil da Internet no que tange aos direitos e as garantias, como os da liberdade de expressão, da proteção à privacidade online e a da segurança das informações pessoais.
A incidência de aplicação da Lei de Proteção de Dados nas relações entre clientes e empresas tende a melhorar os serviços, tornando-os eticamente sustentáveis e facilitando os canais de comunicação entre todos os sujeitos envolvidos.
Sobre o Cadastro Positivo (Lei nº 12.414/11), após as alterações introduzidas pela Lei Complementar nº 166/2019 será necessária a compatibilização com a LGPD, pois nas operações de consultas aos bancos de dados de pessoas naturais e jurídicas existe corriqueiramente o compartilhamento de diversas informações pessoais reunidas de fontes distintas (dados bancários e creditícios, da Receita Federal, de concessionárias, etc) de forma compulsória (todos os consumidores estão automaticamente no cadastro), a menos que o consumidor expresse o contrário.
Ainda que se imaginem os aspectos positivos do cadastro, como a disponibilização de crédito mais barato e acessível, as empresas terão milhões de dados pessoais de cidadãos, com todos os riscos de exposições, vazamentos e potenciais cometimentos de ilícitos.
É plausível antever a possibilidade de demandas individuais ou coletivas junto à ANPD e/ou ao Poder Judiciário, com base no Código de Defesa do Consumidor, por dificuldades na exclusão, ou ainda, irregularidades ou violações as normas da LGPD.
Conclusão.
Adequar-se à conformidade da LGPD e ao regramento pátrio, mais do que uma necessidade, será uma obrigação para todas as empresas de pequeno, médio e grande porte. Um salto positivo será redimensionar suas operações de dados, agregando ao negócio e à marca valores de sustentabilidade informacional, ética institucional e transparência para com o público. Para usuários e clientes significará o exercício pleno da autodeterminação informativa acerca de como são tratados os seus dados pessoais. Finalmente, o Brasil ganhará confiabilidade internacional, mostrando as demais nações que trata os dados pessoais de seus nacionais com seriedade e respeito.
REFERÊNCIAS:
[1] Lei 12.965/2014
[2] Para maiores informações ver a íntegra do regulamento e da diretiva em:
https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=OJ:L:2016:119:FULL
Acesso em: 05/03/19.
[3] Ver art. 5º, Inciso XII, CF/88.
[4] Ver art. 11, Lei 12.965/14.
[5] Para mais informações sobre ataques cibernéticos, ver matéria disponível em:
Acesso em: 05/03/19.
[6] Para mais informações sobre a lei ver em:
https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=EN
Acesso em: 05/03/19.
[7] Lei 13.709/18, art. 5º: XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
[8] Art. 5º Para os fins desta Lei, considera-se:
[…]
XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
[9] Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
[10] Art. 13
[…]
§ 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
[11] Para maiores informações ver Agência Câmara Notícias em:
Acesso em 08/08/19.
[12] Art. 5º, inciso VI, Lei 13.709/18.
[13] Art. 5º, inciso VII, Lei 13.709/18.
[14] Art. 43, Lei 13.709/18.
[15] Art. 5º, inciso VIII, Lei 13.709/18.
[16] Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
[…]
Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.