Analice Castor de Mattos
Mestre em Direito Socioeconômico pela PUCPR.
Advogada. Sócia-fundadora do escritório Delivar de Mattos & Castor.
Após anos de debates, estudos e pesquisas em diversos setores da sociedade, a LGPD – Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) entrou em vigor na data de 18 de setembro de 2020, exceto quanto à aplicação das sanções administrativas, pois, devido a pandemia do coronavírus (COVID-19), a data foi prorrogada para o dia 01 de agosto de 2021, nos termos da Lei nº 14.010/2020. (1)
A nova lei tutela o direito fundamental à intimidade, à vida privada, à informação e à liberdade de escolha de forma ampla, tendo como derivação outras legislações brasileiras, tais como, Lei do Cadastro Positivo (Lei nº 12.414/2011), Lei do Marco Civil da Internet (Lei nº 12.965/2014), além do Código de Defesa do Consumidor.
Além disso, traz regras para empresas, órgãos públicos e pessoas físicas que utilizem dados para fins econômicos, quanto ao tratamento, armazenamento, transferência e fluxo de informações de dados pessoais de pessoas físicas, consumidores e usuários, que passam a ter acesso aos seus dados, podendo e permitindo que informações sejam corrigidas ou até mesmo excluídas.
O descumprimento pode ensejar a imposição penalidades de: (i) advertência, com indicação de prazo para adoção de medidas corretivas, (ii) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; (iii) multa diária, observado o limite total de R$ 50.000.000,00, (iv) publicização da infração após devidamente apurada e confirmada a sua ocorrência, (v) bloqueio dos dados pessoais a que se refere a infração até a sua regularização, (vi) eliminação dos dados pessoais a que se refere a infração. (2)
Para se adequar à LGPD, é preciso entender primeiramente sua multidisciplinariedade, envolvendo questões jurídicas, bem como de tecnologia da informação.
Posteriormente, é necessário dar início a elaboração do projeto para adequação básica, que compreende diversas etapas, das quais destacam-se: a) o processo de inventário/mapeamento dos dados nos sistemas da empresa para entender o fluxo de informação, definindo uma metodologia adequada para coleta de informação padronizada, que inclui entrevista com pessoas chave para auxiliar na identificação e finalidade dos dados, para adequação e tratamento jurídico (base legal), classificando segundo sua natureza, base legal, período de retenção, modelo de processamento, capacidade de remoção e/ou anonimização, etc; b) a definição da Política de Privacidade dos Dados para definir a metodologia de controle e monitoramento dos dados, para coleta e armazenamento destes, a gestão de consentimento, processo de atendimento dos pedidos órgãos e titulares de acesso, remoção e retificação, descarte de dados, período de retenção e notificação de vazamentos; c) definição de uma Política de Privacidade para terceiros; d) revisão de contratos para inclusão da política de privacidade; e) treinamento na implantação da LGPD para capacitação e conscientização dos colaboradores para compreensão da importância dos tratamentos de dados; e por fim, f) a escolha de um responsável interno e externo pelos dados, denominado pela lei DPO (Data Protection Officer) (3).
A Europa foi a pioneira na discussão de proteção de dados pessoais, em 1981, com a Convenção 108 (4). Na sequência, adveio a Diretiva 95/46/CE (5), em 1995, abordando a proteção de dados com maior ênfase. Em 25 de maio de 2018 entrou em vigor o Regulamento Geral sobre a Proteção de Dados (GDPR), o qual abrange toda a União Europeia. Trata-se de uma lei progressista e muito rigorosa, em relação às regras de obtenção de consentimento para o uso de dados e o processamento de identificação dos riscos que o empresário poderá sofrer com o uso dessas informações.
Nos EUA, o Estado da Califórnia seguiu o exemplo europeu, após o emblemático caso do Facebook e da Cambridge Analytica (6), elaborando um projeto de Lei Estadual, que visa à proteção de dados nos parâmetros da legislação vigente na União Europeia, o qual foi aprovado – impondo às empresas que coletam e processam dados pessoais para fins comerciais, a obtenção do consentimento das pessoas.
Previu ainda, nos casos em que há incapacidade de obtenção desse consentimento, por justificativa, a exemplo de legítimo interesse (ou seja, já obteve o consentimento e está criando uma nova funcionalidade a partir do uso dos dados), a necessidade de um procedimento de análise dos impactos acerca da utilização desses dados, distinguindo os dados sensíveis dos não sensíveis, devendo apresentar essa documentação a uma Autoridade de dados.
A União Europeia está à frente dessa corrida, tendo em vista que há mais de 30 anos já possui uma Autoridade de dados pessoais, a qual centralizou a coordenação de todas as Autoridades dos Países membros, cada qual, voltada ao monitoramento do uso de dados de empresas privadas e públicas. Em caso de denúncia, por exemplo, esta Autoridade tem poder de polícia para cessar imediatamente ilícitos, como também de atuar preventivamente para evitá-los, fazendo diligências para averiguação.
No Brasil, Autoridade Nacional de Proteção de Dados (ANPD) inspirada na legislação europeia, foi criada pela Lei nº 13.853 de 2019 e regulamentada pelo Decreto 10.474, de 26 de agosto de 2020, com a finalidade de elaborar diretrizes para uma Política Nacional de Proteção de Dados Pessoais e Privacidade, visando à fiscalização, a aplicação de sanções, a promoção do conhecimento das normas, as medidas de segurança à população, bem como a promoção de ações de cooperação, juntamente com autoridades de proteção de dados pessoais de outros países, para uma atuação efetiva e eficaz.
Além do mais, há previsão de que a Autoridade especializada uniformize interpretações sobre os aspectos legais proteção de dados pessoais, objetivando maior segurança para as empresas – diante da amplitude de entendimentos no judiciário e no próprio órgão ministerial, aliado ao fato da constante evolução tecnológica que possibilita diversas formas de obtenção de dados pessoais.
Nesse interim, a empresa, seja ela pública ou privada, grande, pequena ou micro, precisa implementar com urgência a política de proteção de dados para estar em conformidade com a lei, mesmo que alheia a um arcabouço regulatório e sem saber quais serão às exigências específicas em relação a como fazer tal estruturação, além do ditame normativo geral trazido pela LGPD.
_______________________________________________________________
(1) Originada do Projeto de Lei nº 1.179/2020, do Senador Antonio Anastasia, o qual foi aprovado. A Lei nº 14.010, publicada no dia 12 de junho de 2020, dispõe sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET) no período da pandemia do coronavírus (COVID-19).
(2) Cf. Art. 52 da Lei nº 13.709/2018.
(3) O DPO é um profissional responsável pela verificação e detenção de dados de terceiros, normalmente nomeado pela empresa, que faz a conexão entre o titular dos dados e a pessoa jurídica.
(4) Trata-se do primeiro instrumento jurídico vinculado à proteção de dados, formulado pelo Conselho da Europa para a Proteção das Pessoas Singulares no que diz respeito ao Tratamento Automatizado de Dados Pessoais, em 28 de janeiro de 1981.
(5) Em 24 de outubro de 1995 entrou em vigor a Diretiva 95/46/CE do Parlamento Europeu e do Conselho, acerca da proteção de pessoas singulares no que tange o tratamento de dados pessoais e à livre circulação dos dados.
(6) O escândalo decorreu de investigações de cunho jornalístico, que revelaram a obtenção irregular de dados pessoais de até 50 milhões de norte-americanos por meio do Facebook, os quais foram utilizados de modo indevido pela empresa Cambridge Analytica para fins eleitorais.