O contexto de proteção de dados pessoais no BrasilThe Context of Personal Data Protection in Brazil

Escrito por: Giuseppe Mateus Boselli Lazzarini e Maria Cecília Oliveira Gomes

Vivemos numa sociedade cada vez mais movida a dados, na qual a troca de dados pessoais faz parte do dia a dia profissional e privado das pessoas para que elas possam ter acesso aos mais diferentes tipos de produtos e serviços. Para proteção dos direitos dos titulares de dados, em especial da sua privacidade, é extremamente importante que o tratamento desses dados seja devidamente regulado, sendo esse um assunto com importância crescente no ambiente jurídico. Nesse sentido, um grande marco da discussão foi a elaboração da Diretiva 95/46/EC[1], a qual em maio de 2018, foi substituída pelo Regulamento n° 2016/679, de 27 abril de 2016, popularmente conhecido como General Data Protection Regulation (“GDPR”)[2], a lei geral de proteção de dados da União Europeia.

Como efeito da discussão na União Europeia, este ano no Brasil foi sancionada a Lei n° 13.709, de 14 de agosto de 2018, também conhecida como Lei Geral de Proteção de Dados (“LGPD”)[3]. A LGPD regula as operações de tratamento de dados pessoais[4] online e offline, tanto no setor público quanto no privado, com o objetivo de oferecer maior privacidade e segurança aos titulares dos dados. O Brasil foi uma das últimas grandes economias mundiais a regular o tema de proteção de dados pessoais, com a aprovação da LGPD e a sua entrada em vigor em fevereiro de 2020, espera-se que o Brasil entre de vez para o rol dos países com níveis adequados de proteção no mundo.

A seguir, apresentaremos os pontos mais importantes da nova legislação de proteção de dados brasileira:

Escopo de aplicação: A lei deve ser aplicada sempre que se observa ao menos uma das seguintes hipóteses:

  1. a operação de tratamento seja realizada no território brasileiro;
  2. a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território brasileiro;
  3. os dados pessoais objeto do tratamento tenham sido coletados no território brasileiro.

Assim, a aplicação da LGPD independe do país sede da entidade que realiza o tratamento e de onde estão localizados os dados.

Conceito de dados pessoais: Toda informação relacionada a uma pessoa identificada ou identificável é considerada um dado pessoal. Em outras palavras, qualquer dado que, isoladamente ou em conjunto com outros dados, permita a identificação de uma pessoa. Dados que possam sujeitar o titular a tratamento discriminatório – como dados relacionados a etnia, saúde, ou religião, por exemplo – e dados que permitem a identificação inequívoca do titular – como dados biométricos – são considerados dados pessoais sensíveis, e exigem para seu tratamento padrões de segurança mais elevados.

Dados públicos: dados pessoais publicamente acessíveis, como aqueles que constam nas bases geridas pela administração pública (encontrados no Diário Oficial, Diário de Justiça, cartórios, por exemplo) e aqueles encontrados em páginas da internet, como perfis de redes sociais, também são considerados dados pessoais e têm o seu tratamento regulado e limitado.

Os agentes de tratamento e sua responsabilidade: os responsáveis pelo tratamento de dados pessoais são categorizados na LGPD conforme as suas competências, que resultam em níveis distintos de responsabilidade. Controlador é a pessoa jurídica ou natural que realiza as decisões relativas ao tratamento de dados pessoais. Já o operador é a pessoa que realiza o tratamento dos dados em nome do controlador. Ambos controlador e operador podem ser solidariamente responsabilizados por danos causados em decorrência do tratamento de dados pessoais em que estão envolvidos. Entretanto, o operador só é responsável quando descumprir as ordens lícitas do controlador ou as obrigações impostas pela legislação de proteção de dados. Por conta das diferenças na atribuição da responsabilidade, é importante definir quem são os controladores e operadores, que podem inclusive ser uma única pessoa ou empresa.

Bases legais: o tratamento de dados pessoais só é permitido mediante a existência de uma base legal e uma finalidade. A nova lei enumera dez bases legais que podem fundamentar o tratamento dos dados, das quais convém mencionar:

  1. o fornecimento de consentimento inequívoco pelo titular;
  2. o cumprimento de obrigações legais ou regulatórias pelos agentes de tratamento; e
  3. atender aos interesses legítimos dos agentes de tratamento[5].

Segurança da informação: é exigido um padrão de segurança que envolve medidas técnicas e administrativas para proteção dos dados pessoais. Esses padrões devem ser incorporados no modelo de negócio desde a sua concepção, conforme o conceito de privacy by design.

Direitos dos titulares: os titulares dos dados pessoais têm direito a requisitar do controlador:

  1. confirmação da existência de tratamento;
  2. acesso aos dados;
  3. correção de dados incompletos, incorretos ou desatualizados;
  4. anonimizaçã[6], bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
  5. portabilidade dos dados para outros serviços ou produtos;
  6. eliminação dos dados tratados mediante seu consentimento;
  7. informação das entidades com as quais seus dados foram compartilhados;
  8. informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa; e
  9. revogação do consentimento dado anteriormente.

Registro das atividades: toda atividade de tratamento deve ser registrada, com informações sobre os tipos de dados tratados, as bases legais e finalidades autorizadoras do tratamento, práticas de segurança da informação aplicadas, compartilhamento, metodologias utilizadas, etc.

Transferência internacional de dados: a transferência internacional de dados é permitida em uma série de situações, dentre as quais destacam-se: (a) quando houver consentimento específico e informado do titular para a transferência; (b) para a proteção da vida do titular ou de terceiros; (c) quando a transferência for necessária para fins de cooperação internacional; (d) quando a transferência for feita para países ou entidades cujo grau de proteção de dados pessoais for reconhecido como adequado.

Autoridade reguladora: o Projeto de Lei que deu origem à LGPD[7] previa a criação da Autoridade Nacional de Proteção de Dados (“ANPD”), uma autoridade pública autônoma responsável pela supervisão da aplicação da legislação de proteção de dados pessoais no Brasil. A autoridade teria atribuições como a elaboração de diretrizes para a “Política Nacional de Proteção de Dados Pessoais e da Privacidade”, fiscalização e aplicação sanções em caso de descumprimento à legislação, promoção de estudos sobre a práticas nacionais e internacionais de proteção de dados pessoais, entre outras. A criação da ANPD foi vetada por conta de um problema de competência de legislativa, contudo, há a promessa de sua criação por meio de uma Medida Provisória no futuro. Isso é importante porque embora não crie a autoridade nacional, a LGPD ainda prevê uma série de funções que devem ser exercidas por ela, como a tomada de providências em casos de incidentes de segurança da informação.

Relatório de impacto à proteção de dados pessoais: nos moldes do Data Protection Impact Assessment (“DPIA”), metodologia adotada pela GDPR, o relatório de impacto à proteção de dados pessoais contém informações referentes às operações de tratamento de dados, descrevendo os procedimentos, seus riscos e medidas de segurança. A produção desse relatório pode ser obrigatória em situações previamente caracterizadas como de risco ou então determinada pela autoridade nacional, quando o tratamento for fundamentado no legítimo interesse dos agentes de tratamento.

Sanções: são previstas sanções administrativas para casos de infração à legislação de proteção de dados. São possíveis penalidades na forma de advertências, multas simples ou diárias[8], publicização da infração, bloqueio dos dados pessoais relacionado à infração e a eliminação desses dados.

Período de transição: a LGPD entrará em vigor apenas em fevereiro de 2020, para que todas as entidades possam se adaptar para estar de acordo com a nova regulação.

Qualquer empresa que pretenda entrar no mercado brasileiro naturalmente deverá estar de acordo com a LGPD. Entretanto, por conta de seu caráter extraterritorial, a lei pode ser aplicada até mesmo a empresas que não atuam diretamente nesse mercado, desde que alguma parte do tratamento dos dados ocorra em território brasileiro.

Embora os pontos aqui explorados sejam os mais relevantes sobre a nova legislação de proteção de dados do Brasil, há ainda uma série de outros aspectos e especificidades abrangidos pela LGPD. Por isso, quando se trata da adequação à legislação, é recomendado o aconselhamento de advogados especializados.

[1] Disponível em: https://eur-lex.europa.eu/legal-content/pt/TXT/?uri=CELEX%3A31995L0046. Acesso em 09.10.2018.
[2] Disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG. Acesso em 02.10.2018.
[3] Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm. Acesso em 02.10.2018.
[4] Nos termos da LGPD, tratamento de dados pessoais é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
[5] Interesses legítimos são situações que podem por si caracterizar finalidades que legitimam o tratamento de dados pessoais, como a prevenção de fraudes ou a garantia da segurança da rede e da informação nos sistemas do agente de tratamento, por exemplo.
[6] O procedimento de anonimização transforma um dado pessoal em um dado anônimo, ou seja, um dado a partir do qual não se pode identificar o titular.
[7] O texto aprovado Projeto de Lei da Câmara nº 53, de 2018, que deu origem à LGPD, pode ser encontrado em: https://legis.senado.leg.br/sdleg-getter/documento?dm=7738705&ts=1534796215194&disposition=inline&ts=1534796215194. Acesso em 02.10.2018.
[8] O valor das multas pode chegar a 2% do faturamento da pessoa jurídica no Brasil, limitado a um total de R$ 50 milhões por infração.

 

Giuseppe Mateus Boselli Lazzarini e Maria Cecília Oliveira Gomes – são pesquisadores no Baptista Luz Advogadosassociados da Câmara.

 

Written by: Giuseppe Mateus Boselli Lazzarini and Maria Cecília Oliveira Gomes

 

Our society is increasingly becoming more data-driven, then the exchange of personal data, which is part of our daily professional and private life, is a requirement to access the most diverse types of products and services. In order to protect the rights of data subjects, in particular their privacy, it is extremely important that the processing of such data be properly regulated and become a relevant subject in the legal environment. In such sense, a major milestone in the discussion was the elaboration of Directive 95/46/EC, which in May 2018 was replaced by Regulation 2016/679, of April 27, 2016, widely known as the General Data Protection Regulation (“GDPR”)[1], the general data protection law of the European Union.

In the wake of the debate in the European Union, Law No. 13709 of August 14, 2018, also known as the General Data Protection Regulation (“LGPD” in Portuguese), was enacted this year in Brazil. The LGPD regulates online and offline personal data processing operations, both in the public and private sectors looking to provide data subjects with a lot more privacy and security. Brazil was one of the last major world economies to regulate the matter of personal data protection, with the approval of the LGPD and its enforcement in February 2020, it is expected that Brazil once again is part of the countries with high levels of protection in the world.

Below are the most relevant points in the new data protection legislation in Brazil:

Scope of Application: The law must be applied when at least one of the following cases is observed:

  1. the processing operation is conducted in the Brazilian territory;
  2. the processing activity looks to the offer or provision of good or services or the processing of data belonging to subjects located within the Brazilian territory;
  3. the personal data, object of the processing, has been gathered in the Brazilian territory.

As it can be seen, the application of the LGPD is not subject to the country an entity processes the data in nor to the country such data is located at.

The Concept of Personal Data: All information related to an identified or identifiable subject is considered as personal data. In other words, any data which, separately or in conjunction with some other data, allows for the identification of a person. Data which could subject the person to discriminatory treatment, e.g. ethnicity, health, religion – and data enabling unambiguous identification of the subject – such as biometrics – considered as sensitive personal data which requires higher safety standards in their processing.

Public data: publicly accessible personal data, such as that in the databases managed by the public administration (e.g. in the Diário Oficial, Diário de Justiça, public notaries) and that found in websites, such as social network profiles, which is also considered personal data with regulated and limited processing.

Processing agents and their responsibility: those responsible for the processing of personal data are categorized in the LGPD according to competency, with distinct levels of responsibility. A Controller is the legal or natural person who makes decisions regarding the processing of personal data. An operator is the person processing the data on behalf of the controller. Both the controller and the operator can be jointly and severally liable for damages caused as a result of the processing of personal data which they are involved in. However, an operator is only liable when failing to comply with the legal orders of a controller or the obligations imposed by the data protection legislation. Because of the difference in the attribution of their responsibility, it is important to make a clear distinction between a controller and an operator, who may even be a single person or company.

Legal Grounds: the processing of personal data is only allowed through a legal ground and a specific purpose. The new law lists ten legal grounds for the processing of data, of which we shall mention:

  1. the unequivocal consent provided by the data subject;
  2. compliance with the legal or regulatory obligations by the processing agents; and
  3. meet the legitimate interests of the processing agents[2].

Information Security: a security norm is required, which should involve technical and administrative measures for the protection of personal data. Such norm must be incorporated in the business model from its inception in accordance with the concept of privacy by design.

Data Subjects’ Rights: personal data subjects have the right to request from controller:

  1. a confirmation of the existence of the processing;
  2. access to their data;
  3. correction of data, which is incomplete, incorrect or outdated;
  4. anonymity[3], blocking or exclusion of data, which is unnecessary, excessive or processed in a divergent manner from the law;
  5. portability of data to other services and products;
  6. exclusion of data that has been processed through the legal ground of consent;
  7. information of the entities which data has been shared with;
  8. information on the alternative not to provide consent and the consequence of such refusal; and
  9. revoking previously granted consent.

Registration of activities: all processing activities must be registered, with information on the types of data processed, the legal grounds and processing purposes, information security practices, sharing of personal data, methods used, etc.

International Data Transfer: international data transfer is allowed in several situations, among which, outstandingly: (a) upon specific and informed consent for the transfer by the data subject; (b) for the protection to the life of the data subject and third parties; (c) when the transfer is necessary for international cooperation purposes; (d) when the data is transferred to countries or entities upon level of personal data protection is acknowledged as adequate.

Regulatory Authority: the bill that gave rise to the LGPD[4] provided for the creation of the Autoridade Nacional de Proteção de Dados (“ANPD”), National Data Protection Authority, an autonomous public authority responsible for overseeing the application of the personal data protection legislation in Brazil. Among the attributions of the authority would be the elaboration of guidelines for the “Domestic Policy for Protection of Personal Data and Privacy”, supervision and enforcement of sanctions in case of non-compliance with the legislation, promotion of studies on domestic and international practices for the protection of personal data, among others. The creation of the ANPD was vetoed because of a problem of legislative competence, however, there is a promise of its creation through a Provisional Measure in the future. This is important because, although it does not create the national authority, the LGPD still provides for a number of functions to be exercised by it, such as taking action in cases of information security incidents.

Report on the impact on personal data protection: similar to the Data Protection Impact Assessment (DPIA), this is a methodology adopted by the GDPR, containing information regarding data processing operations, describing the procedures, their risks and safety measures. The existence of such a report may be mandatory in situations previously characterized as hazardous or otherwise as determined by the national authority where the processing is based on the legitimate interest of the processing agents.
Penalties: Administrative penalties are provided for in cases of violation to the data protection legislation. Penalties, such as warnings, either simple or daily fines[5], publication of the infraction, blocking personal data related to the infraction and the exclusion of such data are possible.

Transition period: the LGPD will come into force in February 2020, to allow for the adaptation of entities in order for them to be compliant with the new regulation.

Any company willing to enter the Brazilian market must naturally agree with the LGPD. However, because of its cross-border nature, the law can be applied even to companies that do not act directly in that market, as long as some part of the data processing takes place in the Brazilian territory.

Although the points examined here are the most relevant of the Brazil’s new data protection legislation, there are a number of other aspects and specificities which the LGPD covers. When it comes to compliance with the legislation then, the advice of specialized lawyers is recommended.

[1] Available at: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG. Accessed on 10.02.2018.
[2] Legitimate interests are situations that can automatically characterize purposes which legitimize the processing of personal data, such as fraud prevention and guarantee of network security and information in the systems of processing agente.
[3] The anonymity process creates the anonymous side of data out of its personal side, i.e.  data out of which it is not possible to identify its subject.
[4] The text approve Bill of Chamber no. 53, of 2018, which gave rise to LGPD, can be seen at:
 https://legis.senado.leg.br/sdleg-getter/documento?dm=7738705&ts=1534796215194&disposition=inline&ts=1534796215194. Accessed on 10.02.2018.
[5] The fines can reach 2% of the revenues of a legal person in Brazil, limited to the total amount of R$ 50 million per infraction.

 

Giuseppe Mateus Boselli Lazzarini and Maria Cecília Oliveira Gomes – are researchers at Baptista Luz Advogadosmember of the Câmara.