Prévia do material em texto
Curso para Coordenador de Proteção de Dados Pessoais - DPO São Paulo 2020 Fenabrave – Federação Nacional da Distribuição de Veículos Automotores Professor Alexandre Rodrigues Atheniense Curso 1 – Introdução à Lei Geral de Proteção de Dados Pessoais Alexandre Rodrigues Atheniense é advogado formado pela Universidade Federal de Minas Gerais (UFMG), especialista em Internet Law pelo Berkman Center – Harvard Law School – e sócio fundador do escritório de advocacia Alexandre Atheniense Advogados. Com experiência profissional de 32 anos, é um dos precursores do Direito Digital no Brasil. Possui vasta experiência acadêmica e institucional, tendo exercido por oito anos (2002-2010) a presidência da Comissão de Tecnologia da Informação da OAB Federal, representando a entidade na discussão de projetos de lei no Congresso Nacional sobre temas relacionados à tecnologia da informação. É coordenador da Comissão de Direito Digital do Centro de Estudos das Sociedade de Advogados (CESA); árbitro em questões relacionadas à propriedade intelectual e tecnologia da informação na Competição Brasileira de Arbitragem (CAMARB), Câmara Mineira de Arbitragem (CAMINAS) e Associação Brasileira da Propriedade Intelectual (ABPI). É autor de diversas obras sobre Direito Digital no Brasil e no exterior. Colaboradores: Lorenzzo Antonini Itabaiana e Adriana Bessone Sadi Sumário 1. Introdução 1.1. Dinâmica do curso 1.2. Importância do tema 2. Panorama da proteção de dados pessoais 2.1. Panorama histórico 2.2. Panorama legal no Brasil 2.2.1. General Data Protection Regulation 2.2.2. Regulamentação e marco legal Brasileiro 3. Fundamentos e impactos da LGPD 3.1. Fundamentos 3.2. Impactos 4. Principais conceitos e institutos da LGPD 4.1. Dado pessoal e dado pessoal sensível 4.2. Anonimização e pseudonimização 4.3. Agentes de tratamento: controlador e operador 4.4. Encarregado pelo tratamento de dados pessoais 4.5. Transferência internacional de dados 4.6. Uso compartilhado de dados 4.7. Relatório de Impacto à Proteção de Dados Pessoais 4.8. Autoridade Nacional de Proteção de Dados 5. Tratamento, bloqueio e eliminação de dados pessoais. Princípios das atividades de tratamento 5.1. Tratamento, bloqueio e eliminação 5.1.1. Tratamento 5.1.2. Bloqueio e eliminação 5.1.3. Término do tratamento 5.1.4. Tratamento de dados pessoais de crianças e adolescentes 5.2. Princípios das atividades de tratamento 5.2.1. Finalidade 5.2.2. Adequação 5.2.3. Necessidade 5.2.4. Livre acesso 5.2.5. Qualidade 5.2.6. Transparência 5.2.7. Segurança 5.2.8. Prevenção 5.2.9. Não discriminação 5.2.10. Responsabilização e prestação de contas 6. Bases legais do tratamento de dados pessoais 6.1. Bases legais do tratamento de dados pessoais comuns 6.1.1. Consentimento 6.1.2. Obrigação legal ou regulatória 6.1.3. Cumprimento de políticas públicas 6.1.4. Estudos por órgãos de pesquisa 6.1.5. Execução de contrato 6.1.6. Exercício regular de direitos 6.1.7. Proteção da vida 6.1.8. Tutela da Saúde 6.1.9. Legítimo interesse 6.1.10. Proteção do crédito 6.2. Bases legais do tratamento de dados pessoais sensíveis 7. Direitos dos titulares de dados pessoais 7.1. Confirmação da existência de tratamento 7.2. Acesso aos dados 7.3. Correção de dados incompletos, inexatos ou desatualizados 7.4. Anonimização, bloqueio ou eliminação de dados 7.5. Portabilidade 7.6. Eliminação de dados tratados com consentimento 7.7. Informações de entidades públicas e privadas 7.8. Informação sobre não consentimento e consequências da negativa 7.9. Revogação do consentimento (opt-out) Bibliografia Introdução 1. Introdução 1.1. Dinâmica do curso O curso Introdução à Lei Geral de Proteção de Dados Pessoais compõe o módulo 1 do curso Formação de Encarregados de Proteção de Dados Pessoais (DPO), oferecido pela Fenabrave em cinco partes distintas e independentes. O objetivo geral é capacitar os envolvidos no processo de tratamento desses dados, por meio de conteúdo teórico e prático, preparando-os para o desafio da jornada de governança corporativa. Neste curso, promove-se um nivelamento de conhecimento quanto aos principais institutos, conceitos, princípios, bases legais, entre outros aspectos relacionados à proteção de dados pessoais. Os participantes devem assistir às aulas gravadas em vídeo, ler o conteúdo explicitado na apostila e ouvir o podcast disponível. Sugerimos, ainda, que consultem fontes indicadas na bibliografia constante no final deste material. Na sequência, devem responder ao questionário de avaliação, que permite a revisão dos principais pontos abordados. 1.2. Importância do tema Com a sanção da Lei Geral de Proteção de Dados (LGPD) nº 13.709, de 14 de agosto de 2018, em 18 de setembro de 2020, a informalidade no tratamento de dados pessoais tornou-se, definitivamente, conduta inaceitável. A Lei requer a adequação de instituições públicas e privadas, assegurando aos titulares a proteção sobre seus direitos fundamentais de liberdade e privacidade com a imposição de sanções diversas, tais como multas administrativas, medida judiciais, penalidades contratuais, danos reputacionais e, em casos mais graves, completa paralisação operacional das bases que contêm os dados. Uma de suas principais exigências é a indicação de um encarregado pelo tratamento de dados pessoais (DPO – Data Protection Officer) com capacitação jurídica e regulatória, dotado de autonomia e independência. A International Association of Privacy Professionals (IAPP) – associação especializada em profissionais de privacidade – estima que em 2021 sejam nomeados, no mínimo, 50 mil DPOs no País, considerando-se o tamanho da economia brasileira. A LGPD não traz orientação legal específica sobre as atribuições e atividades do DPO. As orientações existentes passam, assim como a maior parte do texto da Lei, pela General Data Protection Regulation/Regulamento Geral de Dados (GDPR) da União Europeia, buscando, para o controlador de dados pessoais, a garantia de que as informações sejam centralizadas e o cumprimento das normas seja efetivado. No Brasil, as sanções administrativas previstas na LGPD só poderão ser aplicadas a partir de 1 de agosto de 2021. Contudo, esse adiamento não desobriga as instituições às adequações necessárias, razão pela qual devem iniciar imediatamente o processo de conformidade com a indicação e capacitação do DPO que, em princípio, não é uma tarefa simples. Panorama da proteção de dados pessoais 2. Panorama da proteção de dados pessoais 2.1. Panorama histórico Apesar de a proteção de dados pessoais ter se difundido há pouco tempo na legislação pátria, tal disciplina vem sendo construída há algumas décadas. O primeiro diploma normativo a tratar especificamente do tema foi a Lei de Proteção de Dados do estado alemão de Hesse, promulgada em 30 de dezembro de 1970 (The Hesse Data Protection Act). No que diz respeito ao direito à privacidade, a fronteira inicial é bem anterior e refere-se ao importante artigo The right to privacy, de Samuel Warren e Louis Brandei, datado de 1890, o qual pretendia consolidar a jurisprudência norte-americana relativa à matéria na época. Na ocasião, constatou-se a relação da tutela da privacidade e do direito de ser deixado em paz/sozinho (right to be let alone) com o progresso tecnológico. No final do século XX, o mundoviveu uma revolução tecnológica sem precedentes. O surgimento de tecnologias como computador, celular, tablet, conexões de banda larga, entre outros, e a ascensão da inteligência artificial aumentaram a conectividade entre as pessoas e a automação de processos, mas também possibilitaram o compartilhamento de dados pessoais e informações, antes restritos à esfera privada do cidadão. Esse desenvolvimento criou relações a serem reguladas pelo Direito, que até então não era capaz de dar respostas adequadas às novas tecnologias e às respectivas terminologias (DONEDA, 2020, p. 53), criando brechas para violação de direitos fundamentais como a privacidade, a honra e a imagem. 2.2. Panorama legal no Brasil 2.2.1. General Data Protection Regulation Em 1995, a União Europeia definiu regras para o uso de dados pessoais por meio da Diretiva nº 46, prevendo que o fenômeno da internet abriria espaço para violações de direitos e garantias dos cidadãos, como a proteção da vida íntima e da privacidade. Em 2016, a Diretiva foi substituída pela General Data Protection Regulation/Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, aplicável imediatamente a todos os seus países membros. O documento, que possui 173 considerandos e 99 artigos, tornou-se texto basilar de estudo e modelo para muitos dos 140 países ao redor do mundo. Em 25 de maio de 2018, a GDPR entrou em vigor na Europa e favoreceu no Brasil a tramitação da Lei nº 13.709/18 que, assumidamente, foi baseada no Regulamento Europeu, sendo ambas legislações funcionais voltadas para segurança e proteção dos dados pessoais. Ressaltamos a preocupação do Regulamento Europeu (Considerando 2) de evitar disposições que pudessem impactar de forma negativa “o progresso econômico e social, a consolidação e a convergência das economias ao nível do mercado interno”, em consonância com a nossa legislação. A LGPD é dividida em 10 capítulos e possui 65 artigos. Conforme mencionado, apesar de ter sido publicada em 14 de agosto de 2018, só foi sancionada em 18 de setembro de 2020, após tumultuados retrocessos para sua vigência. A aplicação das sanções pela Autoridade Nacional de Proteção de Dados (ANPD) continua suspensa e estará em vigor a partir de agosto de 2021. 2.2.2. Regulamentação e marco legal brasileiro A LGPD está parcialmente em vigor, mas há muito a ser regulamentado. Embora tenha replicado quase integralmente as disposições da legislação europeia, muitos pormenores, em vez de constarem explicitamente no texto legal, dependem ainda de regulamentação da Autoridade Nacional de Proteção de Dados (ANPD), por opção do legislador brasileiro. Como exemplo, temos o Artigo 41, que dispõe que o controlador deve indicar um encarregado pelo tratamento de dados pessoais. Entretanto, seu parágrafo 3 enfatiza que a ANPD pode estabelecer normas complementares sobre a definição e as atribuições desse profissional. Outro exemplo trata da estruturação da metodologia que orienta o cálculo do valor-base de sanções e multas, a qual não possui orientação específica. Isso ocorre porque a ANPD, como todo órgão público, é pautada no princípio da legalidade e só pode agir dentro dos limites estipulados na Lei, sendo vedadas a penalização abstrata das instituições e a penalização sem parâmetros mínimos definidos. Não obstante, a própria estrutura do órgão ainda é incipiente e está sem organização definida, o que dificulta sobremaneira a solução das diversas lacunas existentes. Tal cenário requer atenção constante do DPO, pois o cargo exige atualização legislativa pontual para antecipar incidentes e também para lidar com as novas exigências legais. Quanto ao framework legal brasileiro, observamos os seguintes marcos cronológicos, a partir da Constituição Federal de 1988: ● 1990: Lei nº 8.078 – Código de Defesa do Consumidor; ● 2013: Decretos Federais nº 7.962 e 7.963 – Lei do E- Commerce e Plano Nacional de Consumo e Cidadania; ● 2014: Lei nº 12.965 – Marco Civil da Internet; ● 2018: Lei nº 13.709 (LGPD) e Medida Provisória nº 869 – Lei Geral de Proteção de Dados e Autoridade Nacional de Proteção de Dados; ● 2019: Lei Complementar nº 166/ Lei nº 13.853/VET 24/2019 – Cadastro Positivo/Regulamenta a LGPD/Atualizações na LGPD; ● 2020: Entrada em vigor da Lei nº 13.709, em setembro de 2020, e sanções prorrogadas para agosto de 2021 (Lei nº 14.010/2020). Fundamentos e impactos da LGPD 3. Fundamentos e impactos da LGPD 3.1. Fundamentos Ao entrar em vigor, a LGPD inovou, estabelecendo novos conceitos, criando novas figuras como os agentes de tratamento, introduzindo órgãos regulamentadores, criando penalidades e até mesmo apresentando uma nova função: o encarregado de proteção de dados, objeto principal do nosso estudo. O Artigo 2 da Lei estabelece os fundamentos que devem reger a disciplina da proteção de dados, com os quais o DPO deve estar familiarizado: I. Respeito à privacidade. II. Autodeterminação informativa. III. Liberdade de expressão, de informação, de comunicação e de opinião. IV. Inviolabilidade da intimidade, da honra e da imagem. V. Desenvolvimento econômico e tecnológico e inovação. VI. Livre iniciativa, livre concorrência e defesa do consumidor. VII. Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania. Tais fundamentos asseguram ao titular o direito de escolher como se revelará ao mundo, determinando as informações a serem compartilhadas e o modo como deve ser feito esse compartilhamento. Nesses termos, os conceitos de privacidade e liberdade relacionam-se de forma intrínseca e, ao mesmo tempo, são faces opostas de uma mesma moeda. O fundamento da autodeterminação informativa assume especial relevância no contexto em que se apresenta na Lei, já que se estabelece como cláusula geral de proteção dos direitos do titular. O conceito não é novo e origina-se do Direito alemão, sendo que os direitos derivados do fundamento foram estudados em leis esparsas anteriores à LGPD. Trata-se do “direito que cabe a cada indivíduo de controlar e de proteger os próprios dados pessoais, tendo em vista a moderna tecnologia e o processamento de informação” (MARTINS, 2005, p. 233-235). 3.2. Impactos As disposições preliminares enunciam que a disciplina da proteção de dados pessoais tem como objetivo proteger os direitos fundamentais, conciliando-os com princípios da ordem econômica e da livre iniciativa, igualmente protegidos pela Constituição Federal (BIONI, 2020). Fonte: IDEC – https://idec.org.br/dadospessoais Principais conceitos e institutos da LGPD 4. Principais conceitos e institutos da LGPD 4.1. Dado pessoal e dado pessoal sensível Dado pessoal é “toda informação relacionada a pessoa natural identificada ou identificável” (Artigo 5, I, LGPD), não havendo um limite para o tipo de informação, ou seja, qualquer referência que identifique um indivíduo pode ser considerada dado pessoal: o modelo do carro, a placa do veículo, a cor do cabelo, a foto da casa etc. Dado pessoal sensível, por sua vez, consiste em “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dado referente à saúde ou à vida sexual; dado genético ou biométrico, quando vinculado a uma pessoa natural” (Artigo 5, II, LGPD). Se revelado, pode ser objeto de utilização discriminatória e, desse modo, requer um tratamento diferenciado, com critérios mais rigorosos. 4.2. Anonimização e pseudonimização O dado anonimizado é o “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveise disponíveis na ocasião de seu tratamento” (Artigo 5, III, LGPD). A anonimização, portanto, é a técnica que remove ou modifica informações, impossibilitando a identificação de alguém. O processo não é reversível: uma vez dissociadas as informações, não há possibilidade de agrupá-las novamente e identificar a quem pertencem. Anônimo é aquele que não tem nome nem rosto, sendo a antítese do termo dado pessoal (BIONI, 2019, p. 22). Já o dado pseudonimizado é aquele que não pode ser associado a outro. A pseudonimização é o “tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso e informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro” (Artigo 13, parágrafo 4, LGPD). Trata-se de dado pessoal, pois, mediante determinado tratamento de reversão, há possibilidade de identificação de uma pessoa. 4.3. Agentes de tratamento: controlador e operador A Lei Geral de Proteção de Dados traz as figuras de dois agentes de tratamento de dados com suas responsabilidades: o controlador e o operador. O controlador é a pessoa natural ou jurídica, de direito público ou privado, que é o titular da base de dados pessoais, a quem competem as decisões referentes ao tratamento dessas informações (Artigo 5, VI, LGPD). O operador é pessoa natural ou jurídica, de direito público ou privado, que trata os dados em nome do controlador (Artigo 5, VII, LGPD). Em outras palavras, o controlador é quem decide como deve ser feito o tratamento, enquanto o operador é quem executa as operações determinadas pelo controlador. Assim, se uma concessionária de veículos enviar dados pessoais dos clientes para o fabricante, ela será a controladora e o fabricante será o operador, ainda que toda operação de envio ou recebimento seja efetuada pelo fabricante. Podem ocorrer, porém, situações híbridas, nas quais um contratante pode atuar em determinado momento como controlador e em outro como operador, em um único contrato, quando houver mais de uma atividade de tratamento. 4.4. Encarregado pelo tratamento de dados pessoais O encarregado é “a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)” (Artigo 5, VIII, LGPD). 4.5. Transferência internacional de dados A transferência internacional de dados refere-se à transferência de informações pessoais para país estrangeiro ou para organismo internacional do qual o país originário é membro. A LGPD elenca, no Artigo 33, nove hipóteses que autorizam essa operação, sendo a mais comum relativa ao envio de dados para países ou organismos que proporcionem grau de proteção adequado à referida Lei. Outra hipótese ocorre quando o controlador oferece e comprova garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD. Dessa forma, se o país ou organismo internacional de destino não proporciona uma legislação adequada, o controlador deve oferecer garantias de que os direitos dos titulares estão assegurados. Tais garantias podem vir na forma de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais ou normas corporativas globais. 4.6. Uso compartilhado de dados O uso compartilhado de dados pessoais consiste na “comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre estes e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados” (Artigo 5, XVI, LGPD). 4.7. Relatório de Impacto à Proteção de Dados Pessoais A Autoridade Nacional de Proteção de Dados (ANPD) requer do controlador a elaboração de um documento para assegurar o princípio da transparência no tratamento de dados pessoais. Trata-se do Relatório de Impacto à Proteção dos Dados Pessoais (RIPD), que “deve conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de riscos adotados” (Artigo 33, parágrafo único, LGPD). 4.8. Autoridade Nacional de Proteção de Dados Como bem anota Leonardo Parentoni (2019, p. 209), em todo sistema de proteção de dados pessoais deve haver uma instituição reguladora, que desempenhe papel de relevo. No Brasil, a ANPD é um órgão da administração pública federal, integrante da Presidência da República, apto a fiscalizar o cumprimento da LGPD e aplicar as sanções respectivas. Sua composição configura-se desta maneira: I. Conselho Diretor, que é o órgão máximo de direção; II. Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; III. Corregedoria; IV. Ouvidoria; V. Órgão de assessoramento jurídico próprio; VI. Unidades administrativas e unidades especializadas necessárias à aplicação do disposto na Lei. O mandato dos membros da diretoria tem duração de quatro anos, mas na primeira composição os diretores têm mandatos variáveis, de dois a seis anos. Até o momento, já foram confirmadas as indicações dos primeiros membros do Conselho Diretor, mas o órgão ainda não entrou em operação. O DPO é responsável pela instituição perante a ANPD, por essa razão deve ter interlocução com a área do Direito, para exercer não somente o gerenciamento dos dados pessoais dentro da instituição, do ponto de vista técnico, mas também reportar-se à Autoridade caso haja fiscalização, por meio dos canais e dos procedimentos respectivos, os quais ainda não estão regulamentados. A estrutura regimental do órgão está descrita no Decreto nº 10.474/2020, importante fonte de consulta para o DPO quanto às competências da entidade, entre as quais se destacam: I. zelar pela proteção dos dados pessoais, nos termos da legislação; II. zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações, quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º da Lei nº 13.709, de 2018; III. elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; IV. fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; V. apreciar petições de titular contra controlador após a comprovação pelo titular da apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação; VI. promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança. Sempre que novas orientações forem editadas, é dever do encarregado manter-se atualizado, inclusive quanto aos procedimentos de comunicação e às atribuições da ANPD. Tratamento, bloqueio e eliminação de dados pessoais. Princípios das atividades de tratamento 5. Tratamento, bloqueio e eliminação de dados pessoais. Princípios das atividades de tratamento 5.1. Tratamento, bloqueio e eliminação 5.1.1. Tratamento O legislador apresenta o importante conceito de tratamento de dados pessoais da maneira mais ampla possível, ao utilizar 20 diferentes verbos para compreensão do sentido da expressão no âmbito da Lei. De acordo com o Artigo5, inciso X, da LGPD, tratamento de dados é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. Há certa divergência no emprego dessa terminologia, inclusive por algumas leis. O Marco Civil da Internet, por exemplo, que estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil, dispõe que é direito do titular obter informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais. Nesse caso, o termo é utilizado como espécie, quando na LGPD é utilizado como gênero. Andou bem, portanto, a LGPD ao adotar termo mais coerente com técnica mais acertada, contrariamente ao equívoco cometido pelo Marco Civil da Internet. 5.1.2. Bloqueio e eliminação Conforme explicitado na LGPD, o bloqueio significa “suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados”. Nesse caso, o dado continua a existir na base, sendo somente armazenado para ser tratado posteriormente. A eliminação é a “exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado”. Difere-se, assim, do bloqueio, já que o dado é completamente removido da base em que estava anteriormente. 5.1.3. Término do tratamento O término do tratamento de dados pessoais é tema do Artigo 15 da LGPD e pode ocorrer em quatro hipóteses: quando é alcançada a finalidade almejada; quando os dados tratados deixam de ser necessários ou pertinentes a essa finalidade; quando se finda o período eventualmente estipulado ou o titular revoga o consentimento; quando há violação ao disposto na LGPD. Mas nem todos os dados pessoais são excluídos após o tratamento. Em algumas situações, o controlador deve conservá-los para cumprimento de obrigação legal ou regulatória; para estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização; para transferência a terceiro, desde que respeitados os requisitos de tratamento; para uso exclusivo do controlador, vedado seu acesso por terceiro, desde que anonimizadas as informações. Ao se estabelecerem as hipóteses do término do tratamento de dados, fica evidente o prestígio dos princípios mais importantes da LGPD: a finalidade, a adequação, a necessidade e a segurança. Busca-se, então, a eliminação dos dados pessoais após o tratamento. Se o controlador ainda desejar tratá-los, deve utilizar métodos eficazes de anonimização, uma vez que, conforme mencionado, dados anonimizados não são considerados pessoais, por isso não se sujeitam às obrigações da Lei. 5.1.4. Tratamento de dados pessoais de crianças e adolescentes A LGPD assegura os direitos de dados pessoais de crianças e adolescentes. O tratamento de informações de indivíduos de até 12 anos deve ser realizado com consentimento específico de um dos pais ou de um responsável legal (Artigo 14, parágrafo 1). O conceito de criança e adolescente é definido pelo Estatuto da Criança e Adolescente (ECA - Lei 8.069/90), Artigo 2, que considera criança a pessoa de até doze anos de idade incompletos e adolescente aquela entre doze e dezoito anos. 5.2. Princípios das atividades de tratamento A LGPD preceitua que as atividades de tratamento de dados pessoais devem observar a boa-fé, norteando-se por 10 princípios, explicitados a seguir. 5.2.1. Finalidade O tratamento de dados pessoais deve ter propósitos legítimos, específicos e explícitos, informados ao titular, sem a possibilidade de tratamento posterior incompatível com essas finalidades. Desse modo, uma concessionária não pode exigir um dado pessoal de um cliente sem indicar o motivo de tal coleta. 5.2.2. Adequação O tratamento deve ser compatível com as finalidades informadas ao titular, de acordo com o contexto. Não é adequado, por exemplo, exigir do consumidor que irá comprar um caminhão a árvore genealógica da família. 5.2.3. Necessidade O tratamento deve ser limitado ao mínimo necessário para a realização das finalidades, com a coleta de dados pertinentes aos objetivos definidos. Assim, não é adequado coletar o nome dos filhos menores daquele que deseja adquirir um veículo. 5.2.4. Livre acesso O livre acesso garante aos titulares consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus dados pessoais, bem como sobre a integralidade dessas informações. Nessa ótica, o comprador de um automóvel tem o direito de perguntar ao vendedor por quanto tempo pretende manter seus dados na base após a aquisição do veículo. 5.2.5. Qualidade A qualidade das informações é essencial para o tratamento dos dados. Por isso, eles devem ser exatos, claros, relevantes e atualizados, sempre de acordo com a necessidade e o cumprimento da respectiva finalidade. Se um cliente já teve seu nome negativado e posteriormente quitou a dívida resolvendo o problema, o estabelecimento que tratar esses dados também é responsável pela sua atualização, podendo até ser autuado se recusar a venda com base em informações cadastrais equivocadas. 5.2.6. Transparência A transparência garante aos titulares informações claras, precisas e acessíveis sobre a realização do tratamento dos dados pessoais. Esse princípio relaciona-se com o princípio da qualidade dos dados e não apenas com seu conteúdo. Por exemplo: um cliente pode pedir ao vendedor a identificação do controlador ou do operador. Os limites da transparência são os segredos comerciais e industriais dos detentores dos dados. 5.2.7. Segurança A segurança refere-se à utilização de medidas técnicas e administrativas aptas a proteger dados pessoais. A ideia principal é mantê-los em ambiente seguro, com métodos e técnicas modernas, que previnam incidentes. Nessa ótica, o escritório da concessionária deve possuir modernos sistemas de gestão que se comprometam com integração e segurança. 5.2.8. Prevenção A prevenção consiste na adoção de medidas de segurança para evitar a ocorrência de danos em virtude do tratamento de dados pessoais, tais como: utilização de firewall, softwares de monitoramento, sistemas de controle de acesso, protocolos de segurança, criptografia etc. 5.2.9. Não discriminação O princípio de não discriminação impossibilita o tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos. Não é adequado, então, que o vendedor da concessionária solicite o sexo do comprador para preenchimento de ficha de cadastro e, com base nessa informação, impeça a compra de um produto. 5.2.10. Responsabilização e prestação de contas Esse princípio consiste na demonstração, pelo agente, da adoção de medidas capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, bem como a eficiência dessas medidas. Em síntese, os princípios representam orientação para interpretação da LGPD. Ao contrário de regras, que devem ser estritamente aplicadas, eles são mais amplos e permitem uma aplicação mais coerente da Lei. Ao DPO é fortemente recomendável que os conheça e saiba identificá-los, uma vez que embasarão a maioria de suas atividades profissionais. Nas palavras de Pestana (2014), “conhecer princípios equivale a conhecer a essência da matéria sob atenção, facilitando, sobremaneira, a dissecação do objeto sob estudo”. Bases legais do tratamento de dados pessoais 6. Bases legais do tratamento de dados pessoais 6.1. Bases legais do tratamento de dados pessoais comunsO Artigo 7 da LGPD estabelece 10 bases distintas para o tratamento de dados pessoais e destaca que não há hierarquia entre elas. O controlador deve definir qual é a mais apropriada para cada caso, com base na finalidade definida. Antes da aprovação da Lei, a única forma legal admitida para tratar esses dados era o fornecimento de consentimento do titular, como observado no Artigo 7, VII, do Marco Civil da Internet. De toda forma, existem outras situações em que o consentimento é dispensável, como, por exemplo, na execução de um contrato de transporte aéreo celebrado entre uma companhia e o titular das informações. Como não é possível emitir um bilhete de passagem sem obter nome, CPF, RG e demais dados pessoais do passageiro, é dispensável a obtenção de consentimento nesse caso. Em razão disso, a LGPD ampliou as bases legais de tratamento, admitindo nove outras hipóteses, além do consentimento. Apresentamos, a seguir, as hipóteses previstas na Lei. 6.1.1. Consentimento O consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (Artigo 5, XII; Artigo 7, I, LGPD). 6.1.2. Obrigação legal ou regulatória Como aponta o Artigo 7, II, da LGPD, o tratamento de dados pessoais deverá ser realizado pelo controlador para o cumprimento de obrigação legal ou regulatória. 6.1.3. Cumprimento de políticas públicas A administração pública pode realizar “o tratamento e o uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas e contratos, convênios ou instrumentos congêneres”. (Artigo 7, III, LGPD). 6.1.4. Estudos por órgão de pesquisa Os dados pessoais podem ser tratados para realização de estudos por órgão de pesquisa, desde que seja garantida, sempre que possível, a anonimização das informações (Artigo 7, IV, LGPD). 6.1.5. Execução de contrato O tratamento de dados pessoais também pode ser realizado na execução de contratos ou “de procedimentos preliminares relacionados a contrato do qual seja parte o titular”, a pedido dele, o que significa que as informações podem ser tratadas no contexto da cadeia de fornecimento de produtos e serviços (Artigo 7, V, LGPD). 6.1.6. Exercício regular de direitos Os dados podem ser tratados “para o exercício regular de direitos em processo judicial, administrativo ou arbitral” (Artigo 7º, VI, LGPD). 6.1.7. Proteção da vida O tratamento de dados pessoais pode ser realizado “para proteção da vida ou da incolumidade física do titular ou de terceiro” (Artigo 7, VII, LGPD). 6.1.8. Tutela da Saúde Os dados podem ser tratados “em procedimento realizado por profissionais de saúde, serviços da saúde ou autoridade sanitária” (Artigo 7º, VIII, LGPD). 6.1.9. Legítimo interesse O tratamento de dados pode ser realizado “quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção de dados pessoais” (Artigo 7, IX, LGPD). Essa é a base legal mais flexível entre as 10 existentes, uma vez que não está atrelada a finalidade específica. No entanto, nem sempre é a mais apropriada para todas as situações, principalmente porque, sempre que o interesse legítimo for utilizado como base legal, o controlador deve documentar o ocorrido no Relatório de Impacto de Proteção de Dados Pessoais. 6.1.10. Proteção do crédito Por fim, os dados podem ser tratados para a proteção do crédito (Artigo 7, X, LGPD). Surge aqui uma inovação, que autoriza o tratamento de informações pessoais para atividades inerentes a concessão de crédito e atividades de apoio. 6.2. Bases legais do tratamento de dados pessoais sensíveis Os dados pessoais sensíveis requerem critérios mais rigorosos. Ao contrário dos dados pessoais comuns, exigem como regra o consentimento do titular para seu tratamento (Artigo 11, I, LGPD). Para serem tratados sem esse consentimento, o controlador deve considerar uma das hipóteses excepcionais, explicitadas a seguir (Artigo 11, II, LGPD): a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Direitos dos titulares de dados pessoais 7. Direitos dos titulares de dados pessoais Os direitos dos titulares são tratados no Capítulo III da LGPD, desde o Artigo 17 até o Artigo 22. O Artigo 18, especificamente, enumera tais direitos, que podem ser obtidos do controlador a qualquer momento, mediante requisição. Vejamos, a seguir, quais são eles. 7.1. Confirmação da existência de tratamento Direito de confirmar a existência ou inexistência do tratamento de dados. 7.2. Acesso aos dados Direito de acessar os dados pessoais por meio de informações claras sobre sua origem, inexistência de registro, critérios utilizados e finalidade do tratamento. 7.3. Correção de dados incompletos, inexatos ou desatualizados Direito de requerer a correção de dados eventualmente incompletos, inexatos ou desatualizados. 7.4. Anonimização, bloqueio ou eliminação de dados Direito de garantir a desvinculação dos dados, de requerer a suspensão temporária de qualquer operação realizada com eles ou de solicitar sua exclusão quando tratados em desconformidade com a LGPD. 7.5. Portabilidade Direito de solicitar a transferência dos dados a outro fornecedor de serviço ou produto. 7.6. Eliminação de dados tratados com consentimento Direito de pedir a eliminação dos dados tratados com consentimento anterior. 7.7. Informações de entidades públicas e privadas Direito de receber informações das entidades públicas ou privadas que trataram os dados. 7.8. Informações sobre não consentimento e consequências da negativa Direito de obter informação sobre o não consentimento e sobre as consequências de tal atitude. 7.9. Revogação do consentimento (opt-out) Direito de manifestar, por procedimento gratuito e facilitado, a revogação do consentimento. Enfatizamos que os direitos não excluem outros que possam existir em lei específica. Por exemplo, o Código de Defesa do Consumidor observa que o titular tem direito à comunicação da abertura de cadastro, ficha, registro de dados pessoais e de consumo, quando não solicitados por ele. Além disso, nos termos da Lei Geral de Telecomunicações, ele tem direito ao respeito à privacidade nos documentos de cobrança e na utilização de informações pessoais pela prestadora do serviço de telecomunicações. Bibliografia ÁVILA, Ana Paula. LGPD: direitos do titular de dados pessoais. Jota, 2019. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/lgpd- direitos-do-titular-de-dados-pessoais-26022020. Acesso em: 30.07.20. BIONI, Bruno Ricardo. Compreendendo o conceito de anonimização e dado anonimizado. Revista do Advogado. Lei Geral de Proteção de Dados Pessoais, n. 144, nov/2019. BIONI, Bruno Ricardo. Proteção de dados pessoais. As funções e os limites do consentimento. 2ª edição. Rio de Janeiro: Forense, 2020. DONEDA, Danilo. Da privacidadeà proteção de dados pessoais. Fundamentos da Lei Geral de Proteção de Dados. São Paulo: Thomson Reuters Brasil, 2020. LINS, Leonardo Melo; MATÍNEZ, Ana Laura. Agenda digital do Mercosul 2018-2020. 2020. Disponível em: https://www.cgi.br/publicacao/agenda-digital-do- mercosul-2018-2020-panorama-dos-indicadores-disponiveis Acesso em: 20.12.20. MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato. LGPD: Lei Geral de Proteção de Dados comentada. 2ª edição. São Paulo: Thomson Reuters Brasil, 2019. MARTINS, Leonardo (org.). Cinquenta anos de jurisprudência do Tribunal Constitucional Federal Alemão. Montevideu/Urugay: Fundação Kontad Adenauer, 2005. MENDES, Laura Schertel; DONEDA, Danilo; SARLET, Ingl Wolfgang; RODRIGUES JR, Otavio Luiz. (coords.). Tratado de proteção de dados pessoais. Rio de Janeiro: Forense, 2020. PARENTONI, Leonardo. Autoridade Nacional de Proteção de Dados brasileira: uma visão otimista. Revista do Advogado. Lei Geral de Proteção de Dados Pessoais, n. 144, nov/2019. PESTANA, Márcio. Direito administrativo brasileiro. 4ª edição. São Paulo: Atlas, 2014. RIPPY, Sarah. Study: LGPD likely to require at least 50K DPO’s in Brazil alone International Association of Privacy Professionals (IAPP). Disponível em https://iapp.org/news/a/study-lgpd-likely-to-require- at-least-50000-dpos-in-brazil-alone/ Acesso em: 27.11.20. SIERRA, Marcos. Protección de Datos multa con 75.000 euros a dos pymes por no tener jefe de datos. Voz Populi, 2020. Disponível em https://www.vozpopuli.com/economia-y- finanzas/proteccion-datos-delegado-multas_0_1409559396.html Aceso em: 27.11.20. TEFFÉ, Chiara Spadaccini. Proteção de dados de crianças e adolescentes. Revista do Advogado. Lei Geral de Proteção de Dados Pessoais, n. 144, nov/2019. Conteúdo complementar ATHENIENSE, Alexandre. Entrevista a Rádio Justiça – Lei Geral de Proteção de Dados Pessoais. Áudio de 34m19s. Disponível em: https://www.youtube.com/watch?v=N2an-Zl33gg Acesso em 20.12.20. BIONI, B. Ricardo. Data privacy: o que é dado pessoal? Vídeo de 1m52s. Disponível em: https://www.youtube.com/watch?v=dcMe3HJuU68 Acesso em: 20.12.20. PRIVACIDADE hackeada. Documentário dirigido por Jehane Noujaim e Karim Amer – 114m. EUA: Netflix, 2019. SNOWDEN. Filme dirigido por Oliver Stone – 134m. EUA/Alemanha: Endgame Entertainment, Vendian Entertainment, KrautPack Entertainment, 2016.