Por Alaine Oliveira, Advogada
A Lei Geral de Proteção de Dados, Lei n. 13.709/2018, com redação alterada pela Lei 13.853/2019, estabelece regramentos que devem ser observados por pessoas físicas e jurídicas, estas de direito público ou privado, cujas atividades envolvam a utilização de dados pessoais da pessoa física, ainda que sejam dados digitais.
A lei entra em vigor em 18/09/2020, com o escopo de oferecer maior segurança aos titulares de dados pessoais, garantindo maior transparência nas atividades de tratamento de dados, que deve ser pautada na boa fé e governança.
Para alcançar esse objetivo, a LGPD define uma série de parâmetros e estabelece princípios a serem observados durante todo o ciclo de tratamentos de dados, que vai desde a sua coleta até a sua eliminação. Limita a quantidade de dados colhidos, estabelecendo a obrigação de se observar a necessidade, a finalidade e a adequação no tratamento de dados, de modo que exista sempre uma conexão entre aquilo que é obtido e a forma de tratamento necessário para que se alcance o fim a que se destina.
Toda pessoa física e jurídica que trabalha com a atividade de tratamento de dados precisa se adequar aos ditames da lei, sob pena de serem aplicadas sanções administrativas que podem ir desde a aplicação de multa até a proibição do tratamento de dados.
Nesse sentido, importante frisar que as atividades de tratamento de dados compreendem: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação e transferência de dados.
Não é somente o particular que, no exercício de sua atividade econômica, está compelido a adaptar seu tratamento de dados aos moldes da lei, seja em suas relações comerciais ou trabalhistas, mas também o Poder Público, que armazena e utiliza volumosos fluxos de dados pessoais necessários para atingir a finalidade pública a que se propõe.
Ademais, quanto aos dados pessoais, são todas as informações que identifiquem ou tornem identificável o seu titular, quem seja, a pessoa natural. A lei ainda estabelece especial proteção aos dados pessoais sensíveis que envolvem a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, de modo a evitar que sejam utilizados para fins discriminatórios ilícitos ou abusivos.
Aqueles, inclusive, só podem ser tratados mediante autorização do titular e para finalidades específicas, ou, quando dispensado o consentimento, nas hipóteses de cumprimento de obrigação legal ou regulatória, tratamento necessário para a execução de políticas públicas, garantindo o anonimização de dados, exercício regular do direito ou proteção a vida e a incolumidade física.
A titularidade dos dados pessoais é um direito garantido à toda pessoa natural, que deve ter preservada a sua intimidade, privacidade e liberdade no exercício das atividades de tratamento. Com o intuito de garantir tais direitos fundamentais, a LGPD determina que o titular do dado poderá, a qualquer tempo e mediante requisição, solicitar informações sobre a existência de seus dados em determinado banco, revogar seu consentimento, requerer a sua correção ou alteração, a anonimização, bloqueio, eliminação e mesmo a portabilidade de seus dados pessoais.
Subordinam-se à LGPD toda e qualquer operação de tratamento de dados realizada em território nacional, cujos dados pessoais objeto do tratamento tenham sido coletados no território nacional ou, ainda, aqueles em que a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços, quando o tratamento de dados de indivíduos localizados no território nacional se submetem à Lei, conforme dispõe o art. 3º.
Estão excluídos de sua proteção o tratamento de dados pessoais provenientes de outros países que não sejam objeto de comunicação, compartilhamento ou transferência dentro do território nacional, desde que os países de origem adotem um sistema de proteção de dados adequado ao da Lei 13.709/2018.
Seus fundamentos estão esculpidos no Art. 5º da LGPD, dentre eles destacam-se o respeito a privacidade, a autodeterminação informativa e a inviolabilidade da intimidade, da honra e da imagem. Uma vez que os dados colhidos integram a personalidade do seu titular, que deve ter o pleno conhecimento do por que estão sendo solicitados e com qual finalidade, de modo a decidir se dará ou não permissão para sua coleta e tratamento.
O Art. 7º da LGPD estabelece os requisitos necessários para o tratamento dos dados, sendo o primeiro deles o consentimento.
Para realizar a coleta, tratamento e comercialização dos dados pessoais, é necessário obter o consentimento do titular e este deve ser obtido por escrito ou por qualquer outro meio de demonstre de forma inequívoca a manifestação de vontade do titular. Além do consentimento inicial, este também deve ser obtido nas hipóteses de alteração dos dados ou compartilhamento dos mesmos e pode ser revogado a qualquer momento pelo titular, também de forma expressa, de maneira gratuita e facilitada.
Todavia, o tratamento de dados pode seguir sem a necessidade de consentimento do titular, de sorte que o mesmo art. 7º estabelece essas exceções, dentre as quais podemos citar os dados necessários para a proteção do crédito; os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e, ainda, quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto nos casos de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Os dados utilizados sob o fundamento do legítimo interesse serão limitados aos estritamente necessários ao alcance da finalidade pretendida.
O controlador e o operador são os agentes de tratamento de dados estabelecidos pela LGPD. O controlador é a pessoa física ou jurídica que estabelece as diretrizes para o tratamento dos dados pessoais, como a sua coleta, a forma de utilização das informações e armazenamento. O Operador é pessoa física ou jurídica, de direito público ou privado, responsável por executar as diretrizes traçadas pelo controlador. Ele é subordinado ao controlador e realiza o tratamento de dados em seu nome.
O Encarregado, também chamado de DPO (Data Protection Officer), também é um novo personagem da LGPD com atuação prevista em lei, mas não é considerado um agente de tratamento. O DPO é o canal de comunicação entre os titulares de dados, o controlador e a Autoridade Nacional de Dados.
O DPO irá recepcionar as reclamações e prestar esclarecimentos aos titulares de dados, motivo pelo qual seu contato deve ser amplamente divulgado. Receberá comunicações e prestará informações a autoridade nacional e será responsável pela orientação dos funcionários e contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais. Importante salientar que não há qualquer determinação estabelecendo que o encarregado deva ser profissional da área jurídica, todavia, é essencial o conhecimento profundo da lei.
Controladores e Operadores responderão por eventual dano advindo de vazamento das informações por eventual falha de segurança ou violação aos termos da lei, ressalvadas as exceções legais, sendo que o Operador irá responder de maneira solidária se constatado que agiu ao arrepio da lei ou quando não tiver cumprido as instruções lícitas do controlador. Havendo mais de um controlador, estes também responderão de forma solidária se estiverem diretamente ligados tratamento que causar dano ao titular do dado.
A Autoridade Nacional de Proteção de Dados, órgão da administração pública federal, integrante da Presidência da República, será responsável por zelar e fiscalizar o cumprimento da lei, sendo garantida a sua autonomia técnica e decisória. A autoridade nacional receberá relatórios, irá orientar os agentes de tratamento, e também é o responsável pela aplicação de penalidades administrativas que podem variar entre:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- Publicização da infração;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento, pelo período de 06 meses prorrogáveis por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As sanções serão impostas após regular processo administrativo e devem ser aplicadas de forma gradativa e proporcional, observando as peculiaridades do caso concreto e os demais parâmetros indicados na lei, tais como: o grau de dano, a boa-fé do infrator, sua condição econômica, a adoção de política de boas práticas e governança e a adoção de medidas corretivas.
As suspensões e proibições de funcionamento e exercício só serão aplicadas após constatação da reincidência do infrator, pois configuram sanções mais severas que podem levar à própria extinção da pessoa física ou jurídica, cujas atividades estão umbilicalmente ligadas ao tratamento de dados.
Daí a importância de se adotar regras de boas práticas e governança, além de buscar tecnologias que permitam ao empresário e ao Poder Público manter a regularidade suas atividades, oferecendo aos seus associados, clientes e cooperadores maior confiança ao dispor de seus dados pessoais, diante da certeza da proteção oferecida pela Lei.
A LGPD traz uma mudança de paradigma e, como tal, vários aspectos de sua constituição e regulação podem ser nebulosos para aqueles que não tem maior conhecimento de suas disposições gerais.
Como realizar a proteção de dados? Qual base jurídica adotar? Como se implementar mecanismos de mitigação dos riscos? Tais aspectos podem ser melhor elucidados por profissionais que auxiliem na adequação da LGPD ao contexto específico das relações de trabalho e comerciais.