quarta-feira, 29 de setembro de 2021

LGPD resumida e comentada (Lei nº 13.709/2018)



A nova norma orientadora do Direito Digital, que deverá ser bastante utilizada no exercício da advocacia empresarialista, a Lei Geral de Proteção de Dados Pessoais (LGPD). Lei esta que também é cobrada em provas como matéria de Direito Administrativo, devido à responsabilidade do Estado para garantir o bom uso dos dados, através da Autoridade Nacional de Proteção de Dados (ANPD).

CONCEITO LEGAL:

A Lei Brasileira que rege o Sistema de Proteção de Dados, a Lei Geral de Proteção de Dados Pessoais, conhecida pela sigla LGPD, foi inserida no ordenamento jurídico brasileiro em 14 de agosto de 2018, iniciando sua vigência sobre quase todo o seu conteúdo em agosto de 2020, com exceção dos arts. 52, 53 e 54, que versam sobre as sanções administrativas e a ANPD, estes, por sua vez, passaram a vigorar em 1º de agosto de 2021.

LGPD NO DIREITO CONSTITUCIONAL:

A EC nº 115/2022 atualizou o texto da Constituição Federal de 1988, ao positivar na Carta Magna a proteção e tratamento de dados pessoais como direito fundamental, sendo sua matéria competência privativa assim como exclusiva da União, como determina os novos dispositivos inseridos: art. 5º, LXXIX / art. 21, XXVI / art. 22, XXX, CRFB. 

OBJETIVO (art. 1º, Lei nº 13.709/2018):

A LGPD visa proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

FUNDAMENTOS (art. 2º, Lei nº 13.709/2018):

  • respeito à privacidade;
  • autodeterminação informativa;
  • liberdade de expressão, de informação, de comunicação e de opinião;
  • inviolabilidade da intimidade, da honra e da imagem;
  • desenvolvimento econômico e tecnológico e a inovação;
  • livre iniciativa, a livre concorrência e a defesa do consumidor;
  • direitos humanos e livre desenvolvimento da personalidade;
  • dignidade do exercício da cidadania pelas pessoas naturais.

OBJETO DA LGPD (art. 3º, Lei nº 13.709/2018):

Qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio (físico ou digital), do país de sua sede ou do país onde estejam localizados os dados, desde que haja relação com o território nacional (extraterritorialidade da LGPD).

EXCEÇÕES À LGPD (art. 4º, Lei nº 13.709/2018):

Não se aplicará a LGPD para os dados pessoais realizados por pessoa natural que tiver finalidade exclusivamente particular e não para fins econômicos. Também valerá a exceção para os dados exclusivamente jornalísticos e artísticos, fazendo-se valer do princípio básico da liberdade de expressão, comunicação, informação e opinião dos profissionais e artistas. Os dados pessoais referentes ao meio acadêmico também não seguirão a regra geral desta lei específica.

No que se refere à ordem pública e interesse estatal, não se aplicará a LGPD os dados pessoais colocados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, ou nos casos de atividades de investigação e repressão de infrações penais, como por exemplo, as operações policiais.

E por fim, dados pessoais provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.


DEFINIÇÕES NA LGPD (art. 5º, Lei nº 13.709/2018):

I - dado pessoal: informação relacionada a pessoa natural identificada (documentos pessoais, como RG e CPF) ou identificável (ex.: hábitos de consumo ou profissão habitual);

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

OBS: É dada pela LGPD a sensibilidade a estes dados devido a seu caráter mais íntimo, onde geralmente o titular corre riscos de sofrer algum prejuízo, preconceito ou discriminação.

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

OBS: Questões de concurso utilizam esse conceito e denominam na prova como dado oculto ou anônimo, quando na verdade é posto nesta condição, portanto, é anonimizado.

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

OBS: Somente pessoas físicas podem ser titulares destes dados, como por exemplo, os funcionários da empresa. Pessoas contratadas como CNPJ (ou MEI) não podem ser tratadas como titulares. Caso contrário, a empresa estaria colocando possível prova de vínculo empregatício em relação à pessoa jurídica, que seria desconsiderada no processo trabalhista.

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

OBS: Será o principal responsável pelo tratamento dos dados, em que a depender do seu porte empresarial, faturamento e risco da atividade, a nomear encarregado (DPO), assim como ter de enviar à Autoridade Nacional um relatório de impacto à proteção de dados pessoais.

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); 

OBS: Também será conhecido pela doutrina como DPO (Data Protection Officer).

IX - agentes de tratamento: outra nomenclatura para o controlador e o operador. 

X - tratamento: toda operação realizada com dados pessoais, passando pela coleta, indo pelo acesso, utilização, arquivamento, compartilhamento, modificação, reprodução, até a eliminação destes dados. O processo de tratamento se baseará na obrigação legal, no consentimento informado pelo titular, ou pelo legítimo interesse.

XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meios dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. 

XII - consentimentomanifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

XIII - bloqueiosuspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.

XIV - eliminaçãoexclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

OBS: Há mais incisos, mas vale dar um destaque especial para a Autoridade Nacional, que é o órgão da administração pública (de natureza autárquica transitória) responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. A ANPD será a aplicadora das sanções previstas para quem descumprir o regramento previsto na LGPD (art. 5º, XIX).


PRINCÍPIOS NAS ATIVIDADES DE TRATAMENTO DE DADOS (art. 6º):

Deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Os princípios nas atividades estão sendo considerados pelos magistrados ao proferiram suas decisões como nos casos de reversão de demissão por justa causa de funcionário que reprovou no teste do bafômetro pela empresa de forma aleatória (violação ao princípio da necessidade), e nas situações de devolução de acesso a contas de redes sociais invadidas (violação ao princípio da segurança).

CONSENTIMENTO DO TITULAR SOBRE SEUS DADOS (arts. 7º e 8º):

A necessidade do consentimento do titular sobre o tratamento dos dados está previsto no art. 7º, I, da LGPD. A exceção está nos demais incisos do art. 7º, como nos casos de cumprimento de obrigação legal por parte do controlador dos dados; ou por compartilhamentos de dados necessários pela administração pública para execução de políticas políticas, ou para proteção do crédito (SPC / Serasa), inclusive quanto ao disposto na legislação vigente.

De acordo com o art. 8º, o consentimento deverá ser fornecido por escrito (modelo AQUI) ou por outro meio que possibilite a manifestação de vontade do titular. O ônus da prova será do controlador de que o consentimento foi obtido nos termos da LGPD. É vedado o tratamento de dados pessoais havendo vício de consentimento. Tal vontade do titular deve atender finalidades determinadas, e autorizações genéricas serão consideradas nulas. Por fim, o consentimento pode ser revogado a qualquer tempo, por manifestação expressa do titular, por procedimento gratuito e facilitado.

LINHA DO TEMPO NO TRATAMENTO DE DADOS PESSOAIS (art. 5º, X)

FONTE: Prof. Daniel Longo Braga

TRATAMENTO DE DADOS DE CRIANÇAS E ADOLESCENTES (art. 14):

O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse conforme o princípio do art. 4º do ECA, nos termos deste artigo e da legislação pertinente. Tal tratamento deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

Não será necessário o consentimento quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento. Uma observação importante é que o controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.

TÉRMINO DO TRATAMENTO DE DADOS (art. 15):

O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

II - fim do período de tratamento;

III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou

IV - determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.

DIREITOS DO TITULAR DOS DADOS:

Estão definidos nos arts. 17 a 22 da Lei nº 13.709/2018, tais como: a confirmação da existência do tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; portabilidade dos dados a outro fornecedor; assim como a anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos; revogação do termo de consentimento; dados sendo armazenados em formato que favoreça o acesso.

Os dados pessoais referentes a exercício regular de direito não podem ser utilizados em prejuízo do seu titular. Por fim, o titular poderá defender seus direitos e interesses sobre os dados pessoais em juízo, de forma individual ou coletiva. 

RESPONSABILIDADE DOS AGENTES DE TRATAMENTO DE DADOS:

A responsabilidade sobre o ressarcimento de eventuais danos também está positivada na Lei Geral de Proteção de Dados, que em seu art. 42, define que o controlador ou o operador, durante sua atividade de tratamentos dos dados pessoais, será obrigado a reparar a outrem, quando a este cause dano patrimonial, moral, individual ou coletivo, em situação que viole a LGPD.

No parágrafo único do art. 44 da mesma lei, define que o responsável pelos dados em controle e operação responderá pelo dano, se deixar de adotar as medidas de segurança, e estas derem causa ao dano ao cliente ou consumidor da empresa coletora dos dados.

As medidas em questão estão descritas no art. 46 da LGPD, onde o “agente de tratamento”, que em geral, são as empresas, possuem o dever de adotar métodos de segurança, técnicos, administrativos, que estejam aptos a proteger os dados pessoais de acessos não autorizados assim como de situações ilícitas ou acidentais de destruição. Também serão responsáveis em caso de perda, alteração, comunicação ou qualquer tratamento inadequado ou ilícitos sobre as informações.

JULGADO JÁ COM A APLICAÇÃO DA LGPD:

Como fora descrito anteriormente, é passível o pagamento de danos ao titular dos dados por parte do agente de tratamento dos dados. No processo nº 1080233-94.2019.8.26.0100, a juíza Tonia Yuka Koroku, da 13ª Vara Cível de São Paulo, condenou uma empresa que atua no ramo imobiliário a indenizar em R$ 10 mil um cliente que teve informações pessoais enviadas a outras empresas. Segue trecho da decisão:

Um dos direitos fundamentais do consumidor é de acesso à informação adequada acerca dos serviços que lhes são postos à disposição. Especificamente sobre o assunto referente ao tratamento de dados, a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados LGPD) prescreve que são fundamentos da disciplina da proteção de dados, dentre outros, o respeito à privacidade, a autodeterminação informativa, a inviolabilidade da intimidade, da honra e da imagem, a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade e a dignidade (art. 2º).
[…]
Patente que os dados independentemente de sensíveis ou pessoais (art. 5º, I e II, LGPD) foram tratados em violação aos fundamentos de sua proteção (art. 2º, LGPD) e à finalidade específica, explícita e informada ao seu titular (art. 6º, I, LGPD).

Após a empresa ré repassar os dados do cliente para empresas parceiras para oferecer serviços alheios aos contratados, fica clara uma violação do sigilo e da segurança dos dados por parte da coletora. A medida adotada pela magistrada data de 29 de setembro de 2020 e trata-se da primeira decisão sobre o tema no Estado de São Paulo que se tem notícia, e que pode servir de alicerce para uma jurisprudência gerando uma segurança jurídica nesta seara.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD):


Inserida nas alterações feitas pela Lei nº 13.853/2019, conceituada no art. 55-A da LGPD, trata-se de órgão da administração pública federal, integrante da Presidência da República. A ANPD possuía natureza jurídica transitória de regime autárquico e criada sem aumento de despesa. Todavia, com o advento da Lei nº 14.460/2022, a ANPD passa a ser uma autarquia de natureza especial, mantidas a estrutura organizacional e competências.

O provimento dos cargos e das funções necessários à criação e à atuação da ANPD está condicionado à expressa autorização física e financeira na LOA e permissão da LDO, sendo assegurada autonomia técnica e decisória (art. 55-B).

A composição da ANPD está no art. 55-C, que será composta por: 

  • Conselho Diretor (órgão máximo de direção);
  • Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
  • Corregedoria;
  • Ouvidoria;
  • Procuradoria;
  • e unidades administrativas e unidades especializadas necessárias à aplicação do disposto na LGPD.

O Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o Diretor-Presidente (art. 55-D), e seus membros do somente perderão os cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar (art. 55-E)Ato do Presidente da República disporá sobre a estrutura regimental da ANPD e o Conselho Diretor disporá sobre o regimento interno, segundo o art. 55-G. Os cargos em comissão e as funções de confiança da ANPD serão remanejados de outros órgãos e entidades do Poder Executivo federal (art. 55-H), e serão indicados pelo Conselho Diretor e nomeados ou designados pelo Diretor-Presidente (art. 55-I).

A competência da ANPD está prevista no art. 55-J, que compreenderá, principalmente em:

  • zelar pela proteção dos dados pessoais;
  • zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações;
  • elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  • fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
  • apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação; 
  • promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
  • editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei; 
  • comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;

No tocante às sanções, elas podem ser:

  • advertência simples;
  • multa de 2% do faturamento da empresa, podendo chegar em até R$ 50 milhões;
  • proibição de tratamento de dados, o que a depender do caso, significaria o fim das atividades da empresa controladora ou operadora.

OBS: A ANPD deve observar a exigência de mínima intervenção na iniciativa privada, respeitando o princípio previsto no art. 170 da Constituição Federal (art. 55-J, § 1º).

As receitas da ANPD estão disciplinadas no art. 55-L, em que destacam-se: dotações, consignadas no orçamento geral da União, os créditos especiais, os créditos adicionais, as transferências e os repasses que lhe forem conferidos; doações, os legados, as subvenções e outros recursos que lhe forem destinados; valores apurados na venda ou aluguel de bens móveis e imóveis de sua propriedade, mas também em aplicações no mercado financeiro das receitas previstas neste artigo.

DATA PROTECTION OFFICER (DPO):

A terminologia vem do inglês, que em tradução livre, significa “Chefe de Proteção de Dados”, e ficou conhecida na recente doutrina pela sigla DPO. O cargo é previsto na LGPD com a denominação de “encarregado”, que consoante o art. 5º, VII, trata-se da pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

A atuação do DPO está definida no art. 41 da Lei nº 13.709/2018, em que sua identidade e as informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador, conforme o § 1º do mesmo artigo. As atividades do encarregado estão dispostas no § 2º:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O DPO (ou encarregado), funcionará como o elo entre o cliente ou usuário e a empresa coletora dos dados, onde sua principal função será garantir que as determinações estipuladas pela LGPD sejam cumpridas, evitando, desta forma, imbróglios envolvendo questões de compliance, ciberataques, vazamentos ou até mesmo o uso inadequado de dados.

Trata-se de um cargo com elevada função estratégica dentro da empresa controladora do tratamento dos dados, haja vista as sanções previstas para serem aplicadas pela ANPD, que entraram em vigor a partir de agosto de 2021. 

Para tal função, é fundamental conhecimento técnico sobre a nova legislação e um conhecimento amplo sobre o organograma da empresa controladora dos dados, assim como da sua carteira de clientes. Para ocupar o cargo, não se vincula ser uma pessoa física ou jurídica, nem categoria específica, podendo ser um contador, um advogado, um administrador, consultor de T.I, ou outro funcionário da empresa que possua domínio sobre o assunto.

SITUAÇÃO DAS EMPRESAS COM A LGPD:

A PK HUB, da cidade de São Paulo, realizou uma pesquisa em outubro de 2020 com empresas de diversos setores sobre os procedimentos relacionados à LGPD.

Alguns dados mostram-se relevantes na pesquisa, tais como: 53,3% das empresas pesquisadas ainda não nomearam um encarregado para a proteção de dados (DPO); 66,7%, ou seja, dois terços, ainda não treinou seus colaboradores sobre as práticas a serem adotadas em relação à Lei de Dados; e por fim, um bem alarmante, 73,3% das empresas pesquisadas ainda não estabeleceram políticas adequadas sobre os riscos à privacidade dos dados.

Segundo Martins Júnior (2020), pode-se concluir que o exercício da profissão de DPO é muito complexo e que exige múltiplos conhecimentos e habilidades, atribuindo-lhe muitas responsabilidades. A pesquisa também demonstrou que mesmo com a LGPD tendo entrado em vigor, a maioria das empresas ainda não fizeram sequer os primeiros passos no sentido de implementar um programa de governança em privacidade, que, caso existisse, facilitaria o trabalho do DPO.

0 comentários:

PAULO MONTEIRO ADVOCACIA & CONSULTORIA

OAB/CE Nº 46.849
Rua Dom Pedro II, 736 - Cruzeiro - Camocim, CE, Brasil. CEP: 62400-000
E-MAIL: pmonteiroadvocacia@gmail.com
REDES SOCIAIS: @pmonteiroadvocacia