O contexto de proteção de dados pessoais no Brasil

Tecnologia 23 Out 2018
O contexto de proteção de dados pessoais no Brasil

Escrito por: Giuseppe Mateus Boselli Lazzarini e Maria Cecília Oliveira Gomes

Vivemos numa sociedade cada vez mais movida a dados, na qual a troca de dados pessoais faz parte do dia a dia profissional e privado das pessoas para que elas possam ter acesso aos mais diferentes tipos de produtos e serviços. Para proteção dos direitos dos titulares de dados, em especial da sua privacidade, é extremamente importante que o tratamento desses dados seja devidamente regulado, sendo esse um assunto com importância crescente no ambiente jurídico. Nesse sentido, um grande marco da discussão foi a elaboração da Diretiva 95/46/EC[1], a qual em maio de 2018, foi substituída pelo Regulamento n° 2016/679, de 27 abril de 2016, popularmente conhecido como General Data Protection Regulation (“GDPR”)[2], a lei geral de proteção de dados da União Europeia.

Como efeito da discussão na União Europeia, este ano no Brasil foi sancionada a Lei n° 13.709, de 14 de agosto de 2018, também conhecida como Lei Geral de Proteção de Dados (“LGPD”)[3]. A LGPD regula as operações de tratamento de dados pessoais[4] online e offline, tanto no setor público quanto no privado, com o objetivo de oferecer maior privacidade e segurança aos titulares dos dados. O Brasil foi uma das últimas grandes economias mundiais a regular o tema de proteção de dados pessoais, com a aprovação da LGPD e a sua entrada em vigor em fevereiro de 2020, espera-se que o Brasil entre de vez para o rol dos países com níveis adequados de proteção no mundo.

A seguir, apresentaremos os pontos mais importantes da nova legislação de proteção de dados brasileira:

Escopo de aplicação: A lei deve ser aplicada sempre que se observa ao menos uma das seguintes hipóteses:

  1. a operação de tratamento seja realizada no território brasileiro;
  2. a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território brasileiro;
  3. os dados pessoais objeto do tratamento tenham sido coletados no território brasileiro.

Assim, a aplicação da LGPD independe do país sede da entidade que realiza o tratamento e de onde estão localizados os dados.

Conceito de dados pessoais: Toda informação relacionada a uma pessoa identificada ou identificável é considerada um dado pessoal. Em outras palavras, qualquer dado que, isoladamente ou em conjunto com outros dados, permita a identificação de uma pessoa. Dados que possam sujeitar o titular a tratamento discriminatório – como dados relacionados a etnia, saúde, ou religião, por exemplo – e dados que permitem a identificação inequívoca do titular – como dados biométricos – são considerados dados pessoais sensíveis, e exigem para seu tratamento padrões de segurança mais elevados.

Dados públicos: dados pessoais publicamente acessíveis, como aqueles que constam nas bases geridas pela administração pública (encontrados no Diário Oficial, Diário de Justiça, cartórios, por exemplo) e aqueles encontrados em páginas da internet, como perfis de redes sociais, também são considerados dados pessoais e têm o seu tratamento regulado e limitado.

Os agentes de tratamento e sua responsabilidade: os responsáveis pelo tratamento de dados pessoais são categorizados na LGPD conforme as suas competências, que resultam em níveis distintos de responsabilidade. Controlador é a pessoa jurídica ou natural que realiza as decisões relativas ao tratamento de dados pessoais. Já o operador é a pessoa que realiza o tratamento dos dados em nome do controlador. Ambos controlador e operador podem ser solidariamente responsabilizados por danos causados em decorrência do tratamento de dados pessoais em que estão envolvidos. Entretanto, o operador só é responsável quando descumprir as ordens lícitas do controlador ou as obrigações impostas pela legislação de proteção de dados. Por conta das diferenças na atribuição da responsabilidade, é importante definir quem são os controladores e operadores, que podem inclusive ser uma única pessoa ou empresa.

Bases legais: o tratamento de dados pessoais só é permitido mediante a existência de uma base legal e uma finalidade. A nova lei enumera dez bases legais que podem fundamentar o tratamento dos dados, das quais convém mencionar:

  1. o fornecimento de consentimento inequívoco pelo titular;
  2. o cumprimento de obrigações legais ou regulatórias pelos agentes de tratamento; e
  3. atender aos interesses legítimos dos agentes de tratamento[5].

Segurança da informação: é exigido um padrão de segurança que envolve medidas técnicas e administrativas para proteção dos dados pessoais. Esses padrões devem ser incorporados no modelo de negócio desde a sua concepção, conforme o conceito de privacy by design.

Direitos dos titulares: os titulares dos dados pessoais têm direito a requisitar do controlador:

  1. confirmação da existência de tratamento;
  2. acesso aos dados;
  3. correção de dados incompletos, incorretos ou desatualizados;
  4. anonimizaçã[6], bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
  5. portabilidade dos dados para outros serviços ou produtos;
  6. eliminação dos dados tratados mediante seu consentimento;
  7. informação das entidades com as quais seus dados foram compartilhados;
  8. informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa; e
  9. revogação do consentimento dado anteriormente.

Registro das atividades: toda atividade de tratamento deve ser registrada, com informações sobre os tipos de dados tratados, as bases legais e finalidades autorizadoras do tratamento, práticas de segurança da informação aplicadas, compartilhamento, metodologias utilizadas, etc.

Transferência internacional de dados: a transferência internacional de dados é permitida em uma série de situações, dentre as quais destacam-se: (a) quando houver consentimento específico e informado do titular para a transferência; (b) para a proteção da vida do titular ou de terceiros; (c) quando a transferência for necessária para fins de cooperação internacional; (d) quando a transferência for feita para países ou entidades cujo grau de proteção de dados pessoais for reconhecido como adequado.

Autoridade reguladora: o Projeto de Lei que deu origem à LGPD[7] previa a criação da Autoridade Nacional de Proteção de Dados (“ANPD”), uma autoridade pública autônoma responsável pela supervisão da aplicação da legislação de proteção de dados pessoais no Brasil. A autoridade teria atribuições como a elaboração de diretrizes para a “Política Nacional de Proteção de Dados Pessoais e da Privacidade”, fiscalização e aplicação sanções em caso de descumprimento à legislação, promoção de estudos sobre a práticas nacionais e internacionais de proteção de dados pessoais, entre outras. A criação da ANPD foi vetada por conta de um problema de competência de legislativa, contudo, há a promessa de sua criação por meio de uma Medida Provisória no futuro. Isso é importante porque embora não crie a autoridade nacional, a LGPD ainda prevê uma série de funções que devem ser exercidas por ela, como a tomada de providências em casos de incidentes de segurança da informação.

Relatório de impacto à proteção de dados pessoais: nos moldes do Data Protection Impact Assessment (“DPIA”), metodologia adotada pela GDPR, o relatório de impacto à proteção de dados pessoais contém informações referentes às operações de tratamento de dados, descrevendo os procedimentos, seus riscos e medidas de segurança. A produção desse relatório pode ser obrigatória em situações previamente caracterizadas como de risco ou então determinada pela autoridade nacional, quando o tratamento for fundamentado no legítimo interesse dos agentes de tratamento.

Sanções: são previstas sanções administrativas para casos de infração à legislação de proteção de dados. São possíveis penalidades na forma de advertências, multas simples ou diárias[8], publicização da infração, bloqueio dos dados pessoais relacionado à infração e a eliminação desses dados.

Período de transição: a LGPD entrará em vigor apenas em fevereiro de 2020, para que todas as entidades possam se adaptar para estar de acordo com a nova regulação.

Qualquer empresa que pretenda entrar no mercado brasileiro naturalmente deverá estar de acordo com a LGPD. Entretanto, por conta de seu caráter extraterritorial, a lei pode ser aplicada até mesmo a empresas que não atuam diretamente nesse mercado, desde que alguma parte do tratamento dos dados ocorra em território brasileiro.

Embora os pontos aqui explorados sejam os mais relevantes sobre a nova legislação de proteção de dados do Brasil, há ainda uma série de outros aspectos e especificidades abrangidos pela LGPD. Por isso, quando se trata da adequação à legislação, é recomendado o aconselhamento de advogados especializados.

[1] Disponível em: https://eur-lex.europa.eu/legal-content/pt/TXT/?uri=CELEX%3A31995L0046. Acesso em 09.10.2018.
[2] Disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG. Acesso em 02.10.2018.
[3] Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm. Acesso em 02.10.2018.
[4] Nos termos da LGPD, tratamento de dados pessoais é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
[5] Interesses legítimos são situações que podem por si caracterizar finalidades que legitimam o tratamento de dados pessoais, como a prevenção de fraudes ou a garantia da segurança da rede e da informação nos sistemas do agente de tratamento, por exemplo.
[6] O procedimento de anonimização transforma um dado pessoal em um dado anônimo, ou seja, um dado a partir do qual não se pode identificar o titular.
[7] O texto aprovado Projeto de Lei da Câmara nº 53, de 2018, que deu origem à LGPD, pode ser encontrado em: https://legis.senado.leg.br/sdleg-getter/documento?dm=7738705&ts=1534796215194&disposition=inline&ts=1534796215194. Acesso em 02.10.2018.
[8] O valor das multas pode chegar a 2% do faturamento da pessoa jurídica no Brasil, limitado a um total de R$ 50 milhões por infração.

 

Giuseppe Mateus Boselli Lazzarini e Maria Cecília Oliveira Gomes – são pesquisadores no Baptista Luz Advogadosassociados da Câmara.

 

Santa Catarina lidera em tecnologia →

Leave A Reply

Comments are closed