A nova lei de geral de proteção de dados

Luis Henrique Favret (*)

A nova coqueluche jurídica do direito empresarial parece ser a nova lei geral de proteção de dados. Com efeito, a publicação da Lei 13.709 já não é nova, porque data de agosto de 2018 e poderia ter passado desapercebida como mais uma entre centenas de leis aprovadas a todo ano, sem grande repercussão. Mas, como se trata de legislação regulatória importantíssima e que repercutirá na rotina de quase todas as empresas do país, não era de se estranhar sua equiparação com grandes cataclismos e tragédias daquelas cujos efeitos são desconhecidos.

Não há razão para o temor; mas é vital conhecer e entender a importância da estruturação de formas de trabalho que possam manter a privacidade de dados e a necessidade do adoção de políticas de governança das empresas. Isso porque dados das pessoas e empresas são ativos importantíssimos no mundo moderno e já não era sem tempo a necessidade de regulamentação que possa trazer regras contra os riscos de utilização indevida e desvio de condutas que possam trazer riscos à privacidade, ao mesmo tempo, que se possa ajudar o tráfego de informações corretamente veiculadas, em vista da necessária transparência exigida nas modernas relações comerciais.

A Lei Geral de Proteção de Dados (LGPD) – Lei 13.709/2018  surgiu a partir da necessidade de alterações do Marco Civil da Internet (Lei 12.965/14) e, em síntese, regulamenta a forma como se deve dar o tratamento de dados pessoais disponibilizados por clientes e usuários nos meios digitais, impondo um padrão mais rígido de proteção e estabelecendo penalidades diante do seu não cumprimento. Com isso, o Brasil passou a fazer parte dos países que contam com uma legislação específica para proteção de dados e da privacidade das pessoas, como é o caso da União Europeia, que utiliza o General Data ProtectionRegulation (GDPR) e, os Estados Unidos da América, que aplica o California Consumer Privacy Act of 2018.

Tratando-se de legislação que visa a proteção de dados, os direitos fundamentais de liberdade e privacidade são regras motrizes. A visão fundamental é a transparência para o uso dos dados pessoais e a respectiva responsabilização, vale dizer, o que se visa é a compatibilização do uso correto e adequado de danos pessoais com a finalidade informada quando da coleta, trazendo, assim, proteção do usuário na arquitetura do negócio digital (privacy by design), de forma que os dados pessoais: a) só podem ser utilizados para as finalidades específicas pra quais foram coletados, desde que o uso tenha sido previamente informado aos titulares e, b) o uso dos dados coletados deve se limitar ao mínimo necessário para que se possa atingir a finalidade pretendida e, os dados devem ser excluídos após atingida a finalidade a que se deu a colheita de dados.

A LGPD considera como dado pessoal qualquer informações que identifique diretamente ou torne identificável uma pessoa natural e tratamento, como toda operação realizada com dados pessoais, como a coleta, utilização, acesso, transmissão, processamento, arquivamento, armazenamento e transferência realizada no território nacional, por pessoa natural ou pessoa jurídica de direito público ou privado, cujos titulares estejam localizados no Brasil, ou que tenha por finalidade a oferta de produtos ou serviços no Brasil.

Os direitos dos usuários receberam especial tratamento na LGPD, com destaque ao direito de acesso, que garante a possibilidade de obtenção, mediante requisição, junto aos controladores, de todos os dados pessoais que estão sendo veiculados, e como consequência disso, os direitos de retificação e atualização, haja vista a obrigação dos agentes de mantê-los sempre corretos e atualizados (os dados devem ser de fácil acesso ao usuário e, de igual modo, o procedimento de retirada ou revogação do consentimento e a mudança de finalidade devem ser gratuitos e facilitados), e ao direito de portabilidade dos dados, que permite ao titular solicitar que seus dados (resguardados segredos industriais e de negócio) possam ser encaminhadospara outros controladores.

A colheita e utilização dos dados, aliás, dependerá de consentimento expresso, o que não na verdade não traz novidade já que há muito as decisões dos tribunais brasileiros caminham no sentido da proteção de dados privados. Esse consentimento – agora de forma regulamentada – tem que se dar por manifestação livre, informada e inequívoca do titular, expressando sua concordância com o tratamento de seus dados pessoais para uma finalidade determinada, de maneira que não mais se admitirá autorizações genéricas, embora a lei preveja a utilização do processo de anonimização (uma técnica de processamento de dados que remove ou modifica informações que possam identificar uma pessoa) como forma de dispensado consentimento do titular dos dados pessoais objeto de tratamento.

Exceção para a aplicação da lei especificamente quanto ao consentimento para a coleta de dados são as hipóteses de tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, além daqueles realizados exclusivamente para fins jornalístico, artístico ou acadêmico, de segurança pública, defesa nacional, e segurança do Estado ou atividades de investigação e repressão de infrações penais ou, nos casos de dados em trânsito, ou seja, aqueles que não têm como destino os Agentes de Tratamento no Brasil.

Estes Agentes de Tratamento de dados pessoais figuram como novidade criativa da LGPD, e podem significar a figura do Controlador e do Operador, pessoa natural ou jurídica, a que compete as decisões referentes ao tratamento de dados pessoais (controlador), e a realização do tratamento em nome do primeiro (operador). Há na LGPD, também, a figura do Encarregado – pessoa natural ou jurídica, de direito público ou privado – que atua como canal de comunicação entre o Controlador e os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública indireta que ficará responsável por zelar, implementar e fiscalizar o cumprimento da LGPD (houve veto na criação da ANPD por parte do poder executivo, face de vício de iniciativa, mas nada impede a criação de projeto de lei para essa finalidade).

A principal obrigação aos Agentes de Tratamento, como prevê a LGPD, é a manutenção de todas as operações de tratamento, em decorrência do princípio de prestação de contas incorporado pela LGPD. No cumprimento desta regra, as empresas deverão, através de seus agentes de tratamento, elaborar Relatório de Impacto à Proteção de Dados Pessoais, contendo, no mínimo, a descrição dos tipos de dados coletados, o fundamento da coleta e a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados.

A lei prevê a obrigatoriedade de que os Agentes de Tratamento nomeiem um Encarregado de Proteção de Dados (DPO – Data Protection Officer), que terá como principal atividade o monitoramento e disseminação das boas práticas em relação à proteção de dados pessoais perante funcionários e contratados no âmbito da empresa, bem como a interface com a Autoridade Nacional de Proteção de Dados (ANPD), se ela vier a ser criada posteriormente.

Também, caberá aos agentes de tratamento adotar medidas de segurança, visando a proteção de dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Qualquer incidente envolvendo dados pessoais que possam acarretar em risco aos seus titulares deverá ser reportada à ANPD, e às próprias vítimas. A lei prevê que essa comunicação deverá ser feita em tempo razoável, contendo a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas, os riscos relacionados ao incidente, eventuais motivos da demora, no caso de a comunicação não ter sido imediata, bem como as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Aspecto interessante da nova lei é o fluxo de dados para outros países – a transferência internacional de dados – que somente será permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais compatível com a lei brasileira ou mediante oferecimento de garantias do regime de proteção de dados local.

Como se vê, para as empresas que lidam com dados tecnológicos, ao mínimo a lei prevê as seguintes obrigações:  a) nomeação de um encarregado de proteção de dados; b) realização de auditoria de dados; c) elaboração de mapa de dados; d) revisão das políticas de segurança; e) revisão de contratos; f) elaboração de Relatório de Impacto de Privacidade.

Com a nova Lei Geral de Proteção de Dados brasileira, todas as empresas de pequeno, médio e grande porte devem adotar procedimentos de cibersegurança e normas de compliance para prevenir, detectar e remediar violações de dados pessoais, notadamente porque a lei prevê que a adoção de política de boas práticas será considerada como critério atenuante das penas.

Decorrência disso, com a vigência da nova lei, passará a ser obrigatória a formação de uma equipe responsável pelo tratamento de dados nas empresas (e, claro, essa equipe poderá ser formada por funcionários da própria empresa, ou por terceirizados, sendo certo que surgirão diversas empresas especializadas nesse ramo), devendo se adaptar até o segundo semestre de 2020, porque o eventual descumprimento das exigências legais poderá ensejar a aplicação de penalidades e multas ao agente infrator, em valores que podem atingir até 2% do faturamento da empresa, a depender do grau e da modalidade da violação, sendo a quantia máxima da sanção R$ 50 milhões.

(*) O autor é advogado e sócio da Oliveira-Favret Sociedade de Advogados.