Baixe o app para aproveitar ainda mais
Prévia do material em texto
LEI GERAL PROTECAO DADOS PEQUENO GUIA SOBRE A DE DE Uma breve análise sobre a nova lei brasileira de proteção de dados pessoais UMA NOVA LEI #LGPD I n t r o i t o E m 1 5 d e a g o s t o d e 2 0 1 8 , f o i d a d o u m i m p o r t a n t e p a s s o p a r a a p r o t e ç ã o d a p r i v a c i d a d e n o B r a s i l . A p ó s s a n ç ã o p r e s i d e n c i a l ( c o m v e t o s p a r c i a i s ) f o i p u b l i c a d a a L e i n ° 1 3 . 7 0 9 / 2 0 0 8 , q u e d i s p õ e s o b r e a p r o t e ç ã o d e d a d o s p e s s o a i s e a l t e r a d i s p o s i ç õ e s d o M a r c o C i v i l d a I n t e r n e t . A L G P D e s t a b e l e c e r e g r a s r e l a t i v a s a o t r a t a m e n t o ( i n c l u i n d o o u s o e a c o l e t a , t a n t o o n l i n e q u a n t o o f f l i n e ) d e d a d o s p e s s o a i s p o r e m p r e s a s e e n t i d a d e s p ú b l i c a s e p r i v a d a s . O o b j e t i v o d e s t e d o c u m e n t o é a p r e s e n t a r , d e f o r m a s i m p l e s e s u c i n t a , o s p r e c e i t o s d a L G D P , c o m o o b j e t i v o d e a u x i l i a r a s e m p r e s a s a b u s c a r a c o n f o r m i d a d e c o m a n o v a l e i . É v o l t a d o à s p e s s o a s q u e l i d a m c o t i d i a n a m e n t e c o m a t a r e f a ( e r e s p o n s a b i l i d a d e ) d e p r o c e s s a r e p r o t e g e r d a d o s p e s s o a i s d e t e r c e i r o s . A n o r m a p r e v ê o p r a z o d e 1 8 m e s e s p a r a a d a p t a ç ã o e , p o r t a n t o , a l e i b r a s i l e i r a d e p r o t e ç ã o d e d a d o s e n t r a r á e m v i g o r e m m e a d o s d e f e v e r e i r o d e 2 0 2 0 . P a r a u m e n t e n d i m e n t o m a i s d e t a l h a d o d o a s s u n t o , r e c o m e n d a - s e a l e i t u r a d o t e x t o l e g a l , n a í n t e g r a ( c l i q u e a q u i ) . E m c a s o d e d ú v i d a s , e n t r e e m c o n t a t o c o n o s c o . M a r i a F e r n a n d a H o s k e n P e r o n g i n i P a r t n e r F r a n c o | A d v o g a d o s m a r i a . h o s k e n @ f r a n c o a d v . c o m AVISO LEGAL: Este documento tem como objetivo único fornecer informações sobre o assunto em referência. Nenhuma parte de seu conteúdo deverá ser interpretada como aconselhamento ou parecer jurídico. Orientações legais devem ser obtidas por meio de nossos advogados no contexto de uma relação advogado-cliente. http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm L G P D | 1 LEI GERAL DE PROTEÇÃO DE DADOS - UMA BREVE ANÁLISE No dia 14 de agosto de 2018, foi sancionada a Lei Geral de Proteção de Dados ("LGPD", Lei n° 13.709/2018, publicada em 15/08/2018), que entrará em vigor em fevereiro de 2020, após um período de 18 meses para adaptação. A nova lei introduz mudanças muito significativas, que deverão transformar radicalmente a abordagem da privacidade por parte de indivíduos, empresas e entes públicos. Não se trata apenas de uma questão tecnológica, mas de um desafio que envolverá toda a sociedade. A LGPD é, assim como o Regulamento Geral sobre a Proteção de Dados (norma europeia que entrou em vigor em maio desde ano, também conhecida pelo acrônimo “GDPR”1), uma norma baseada em princípios e, ao regular a proteção dos dados pessoais, garante direitos aos cidadãos e estabelece regras claras sobre as operações de tratamento realizadas por órgãos públicos ou privados. Um princípio básico refere-se à responsabilização do controlador de dados (a quem competem as decisões referentes ao tratamento de dados pessoais), que deverá ser capaz de demonstrar que o processamento é realizado de acordo com a LGPD, de forma eficaz (prestação de contas). Adota-se uma perspectiva pela qual a privacidade deve ser respeitada desde a concepção dos serviços/produtos, uma a premissa "cultural" para trilhar o caminho da conformidade. Entretanto, a LGPD ainda não está finalizada. Certos aspectos da nova lei ainda estão sendo debatidos, mormente no que se refere à sua regulação e fiscalização. A necessidade de uma Autoridade Nacional de Proteção de Dados (e um possível Conselho auxiliar para propor estratégias e diretrizes), itens vetados pelo Governo por razões formais, está atualmente na agenda e espera-se, antes mesmo da entrada em vigor da lei, pela criação de tais órgãos (provavelmente por iniciativa do Poder Executivo)2. 1 General Data Protection Regulation. A versão em português (de Portugal) está disponível em https://eur- lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=PT. 2 MAZUI, Guilherme; CASTILHOS, Roniara. Temer sanciona com vetos lei de proteção de dados pessoais. Disponível em https://g1.globo.com/politica/noticia/2018/08/14/temer-sanciona-lei-de-protecao-de-dados- pessoais.ghtml. Acesso em 18/08/2018. L G P D | 2 Isto significa que as empresas podem não ter, neste momento, todas as respostas ou as condições de colocar tudo em ordem para a LGPD, mas o fato é que 18 meses passam em um “piscar de olhos”: há muito trabalho a ser feito e os preparativos devem começar o quanto antes. o Mas por que uma LGPD agora? Bem, alguns dizem que já vem tarde (e antes tarde do que nunca). A LGPD apresenta-se como um instrumento legal fundamental para o desenvolvimento da economia digital no Brasil, buscando proteger os direitos do cidadão em um ambiente regulamentado que ajude as empresas a inovarem, vindo substituir e/ou complementar uma estrutura regulatória setorial já existente3. Quase todos os aspectos da nossa vida giram em torno de dados. De empresas marketing digital a bancos, comércio e governos - quase todos os serviços ou produtos que adquirimos envolvem a coleta e análise de dados pessoais. Toda vez que alguém clica em "comprar", "reservar agora" ou "enviar", por exemplo, mais dados pessoais são processados e armazenados, acrescentando informações a esse enorme e dinâmico conjunto de dados. E é disso que trata a LGPD: “dados pessoais” e como os coletamos, armazenamos, processamos e utilizamos. O uso indevido de dados pessoais para influenciar eleições4, a crescente aplicação de análise de dados e tomada de decisões por algoritmos no setor público, a possibilidade no aumento de casos de discriminação e avaliações errôneas por meio de dados5, são apenas alguns exemplos que demonstram que o uso e controle de dados se tornou uma questão-chave do nosso tempo. Como cidadãos digitais, somos cada vez mais perfilados e categorizados de acordo com os dados que produzimos. 3 MONTEIRO, Renato L. Lei Geral de Proteção de Dados do Brasil – Análise. Disponível em https://baptistaluz.com.br/institucional/lei-geral-de-protecao-de-dados-do-brasil-analise/. Acesso em 20/08/2018. 4 MARTÌ, Silas. Entenda o escândalo do uso de dados do Facebook. Folha de São Paulo, 22.03.2018. Disponível em https://www1.folha.uol.com.br/mercado/2018/03/entenda-o-escandalo-do-uso-de-dados-do- facebook.shtml. Acesso em 20/08/2018. 5 WORKFRONT. Data Discrimination: the dark side of big data. Disponível em https://www.workfront.com/blog/data-discrimination-the-dark-side-of-big-data. Acesso em 20/08/2018. L G P D | 3 A internet alcançou níveis de sofisticação e disseminação que tornaram a regulação sobre o uso de dados pessoais extremamente necessária. A infraestrutura digital disponível hoje trouxe consigo tecnologias disruptivas baseadas no processamento de informações (e nossa crescente dependência tecnológica alimenta ainda mais a demanda massiva por dados), razão pela qual faz-se necessária uma melhor compreensão das implicações para a sociedade. É nesse contexto quese inserem as discussões que levaram à criação da LGPD. o O QUE DIZ A LEI Na sua essência, a LGPD é um novo conjunto de regras destinadas a dar aos cidadãos mais controle sobre seus dados pessoais e pretende simplificar o ambiente regulatório para as empresas, de forma que tanto os cidadãos como as empresas possam se beneficiar plenamente da economia digital. Apresentamos a seguir um breve apanhado sobre os principais pontos da nova lei: Âmbito de aplicação e extraterritorialidade Um dos pontos mais importantes da nova lei é seu impacto transversal, visto que influenciará muitos setores da economia e a maior parte das entidades, públicas ou privadas, online ou offline (de P&D ao marketing, de clientes a empregados, de serviços à indústria). Encontra-se sob o escopo da norma qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados6, desde que: (i) a operação de tratamento seja realizada no território nacional; (ii) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; e (iii) os dados pessoais objeto do tratamento tenham sido coletados no território nacional, isto é, quando o titular dos dados aqui se encontre no momento da coleta. 6 Lei 13.709/2018. Art. 3°. L G P D | 4 Seguindo a significativa extensão territorial positivada pela legislação europeia, a lei brasileira de proteção de dados estende sua aplicação a outros territórios. Isso porque, ao determinar os limites geográficos das atividades de tratamento, a LGPD não considera apenas o país onde estão localizados os titulares ou os dados. Simplificando, se os dados forem coletados ou processados no Brasil, ou se o tratamento tem por objetivo ofertar bens/serviços a pessoas localizadas no território nacional, aplica-se a LGPD. Exceções A lei não se aplicará ao tratamento de dados pessoais quando7: (i) realizado por pessoa natural para fins particulares; (ii) realizado para fins jornalísticos ou artísticos ou acadêmicos; (iii) realizado para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (que será objeto de lei específica); ou (iv) provenientes de fora do território nacional e que não seja objeto de comunicação, uso compartilhado com agentes de tratamento brasileiros ou objeto de transferência de dados com outro país que não o de proveniência, desde que este país de proveniência proporcione grau de proteção adequado aos da lei brasileira. Dados pessoais A LGPD dispõe, de forma ampla, que dados pessoais são “qualquer informação relacionada a pessoa natural identificada ou identificável”. Uma informação que identifica uma pessoa pode ser um dado simples, como um nome, números ou outros identificadores. Em sendo possível identificar um indivíduo diretamente das informações processadas, essas informações podem ser dados pessoais8. Se não for possível identificar diretamente um indivíduo a partir dessas informações, deverá ser ponderado se ele ainda é identificável, levando-se em consideração outras informações que poderão ser processadas em conjunto, através de meios razoáveis, para identificar esse indivíduo9. Um nome ao lado de 7 Lei 13.709/2018. Art. 4°. 8 ICO - Information Commissioner’s Office. What is personal data? Disponível em https://ico.org.uk/for- organisations/guide-to-the-general-data-protection-regulation-gdpr/key-definitions/what-is-personal-data/. Acesso em 17/08/2018. 9 Idem. L G P D | 5 um endereço residencial, um perfil online que fornece um nome e a empresa para a qual a pessoa trabalha, um endereço de e-mail corporativo, registros de RH, listas de clientes, detalhes de um contato ou até endereços IP (endereço de protocolo da Internet) são exemplos de informações que, se combinadas, podem vir a identificar um indivíduo e, portanto, consideradas pessoais. Em assim sendo, seu tratamento demandará a fixação de bases legais específicas, dispostas na LGPD. Dados pessoais sensíveis A lei define quais são os dados pessoais considerados sensíveis (que podem ser rastreados até um indivíduo e que, se divulgados, podem resultar em danos)10: dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso; dados filosóficos ou políticos; referentes à saúde ou à vida sexual, além de dados genéticos ou biométricos. A lei prevê tratamento diferenciado nesses casos (como, por exemplo, o consentimento a ser fornecido, de forma específica e destacada, para finalidades específicas11) e lista as hipóteses em que o tratamento poderá ocorrer sem o consentimento do titular12. Crianças e adolescentes O tratamento de dados pessoais de crianças e adolescentes também merece tratamento especial deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal, salvo quando necessário para contata-los13. Deverão ser realizados esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis14. Quanto às informações sobre o tratamento dos dados, deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características do usuário, de forma a proporcionar a informação necessária e adequada aos pais e à criança, sendo previsto, inclusive, o uso de recursos audiovisuais15. 10 Sensitive information. Disponível em https://whatis.techtarget.com/definition/sensitive-information. Acesso em 20/08/2018. 11 Lei 13.709/2018. Art. 11, I. 12 Idem. Art. 11, II. 13 Ibid. Art. 14, §1°. 14 Ibid. Art. 14, §5°. 15 Ibid. Art. 14, §6°. L G P D | 6 Dados anonimizados A LGPD define não apenas o que são dados anonimizados (aqueles cujo titular não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento)16, mas também o processo de anonimização (realizado através de meios técnicos razoáveis e disponíveis no momento do tratamento, resultando na impossibilidade de associação, direta ou indireta, a um indivíduo17). O objetivo da anonimização é proteger dados privados ou confidenciais, excluindo ou criptografando informações de identificação pessoal de um banco de dados sem perder a integridade dos dados coletados e compartilhados, fornecendo oportunidades para que os controladores utilizem os dados de maneiras mais inovadoras. Esse tipo de dado não será considerado pessoal, salvo quando o processo de anonimização puder ser revertido, utilizando exclusivamente meios próprios ou mediante esforços razoáveis18 (a determinação do “razoável” deverá levar em consideração fatores objetivos, como custo e tempo para reverter o processo de anonimização)19. Tratamento de dados Considera-se “tratamento” toda a operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração20. Agentes do tratamento São considerados agentes de tratamento: o “controlador” (pessoa física ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais) e o “operador” (pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador)21. Fundamentos legais para o tratamento de dados Alei estabelece 10 bases legais para o processamento válido de dados pessoais22e a escolha das hipóteses mais apropriadas dependerão do propósito e relacionamento entre o titular e o 16 Lei 13.709/2018. Art. 5°, III. 17 Idem. Art. 5°, XI. 18 Ibid. Art. 12. 19 Ibid. Art. 12, §1°. 20 Ibid. Art. 5°, X. 21 Ibid. Art. 5°, VI, VII e IX. 22 Ibid. Art. 7°. L G P D | 7 controlador dos dados23. Assim, de acordo com a lei, o tratamento somente poderá ser realizado: (i) mediante consentimento; (ii) para cumprimento de obrigação legal ou regulatória pelo controlador; (iii) pela administração pública, para tratamento de dados necessários a políticas públicas; (iv) para realização de estudos por órgão de pesquisa, sendo garantida a anonimização dos dados; (v) quando necessário para a execução de contrato; (vi) exercício regular de direitos em processo judicial, administrativo ou arbitral; (vii) para a proteção da vida ou incolumidade física do titular ou terceiros; (viii) para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; (ix) interesses legítimos do controlador ou de terceiro; (x) proteção do crédito. Vale ressaltar que o "legítimo interesse" constante no inciso IX é uma novidade no arcabouço jurídico brasileiro e ainda sem regulamentação específica. Embora pareça ser o mais “flexível” das bases legais, é necessário sopesar os interesses do controlador e os direitos dos titulares dos dados24. A propósito da GDPR, foi proposto um teste para avaliar a verificação de legítimo interesse, consistente em três etapas: (i) identificar um interesse legítimo (de natureza comercial ou social, por exemplo), (ii) demonstrar que o processamento é necessário para alcançá-lo e (iii) equilibrá-los diante dos interesses e direitos dos indivíduos. Se o mesmo resultado puder ser obtido sem o processamento, então não haverá legítimo interesse25. 23 ICO. Lawful basis for processing. Disponível em https://ico.org.uk/for-organisations/guide-to-the-general- data-protection-regulation-gdpr/lawful-basis-for-processing/. Acesso em 20/08/2018. 24 ICO. Legitimate interests. Disponível em https://ico.org.uk/for-organisations/guide-to-the-general-data- protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/. Acesso em 17/08/2018. 25 Idem. L G P D | 8 Princípios gerais A LGPD é uma lei de cunho principiológico e, assim, traz em seu texto 10 princípios que devem ser considerados e observados nas atividades de tratamento de dados pessoais26. São eles: (i) finalidade: o tratamento deve ser realizado para propósitos legítimos, específicos, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; (ii) adequação: o tratamento deve ser compatível com as finalidades informadas ao titular; (iii) necessidade: o tratamento deve ser limitado ao mínimo necessário para a realização das finalidades; (iv) livre acesso: deve ser garantida aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como o acesso à integralidade dos seus dados; (v) qualidade dos dados: deve ser garantida a exatidão, clareza, relevância e atualização dos dados; (vi) transparência: deve ser garantida a prestação de informações claras e facilmente acessíveis pelos titulares; (vii) segurança: deverão ser adotadas medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados; (viii) prevenção: deverão ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; (ix) não discriminação: impossibilidade de tratamento para fins discriminatórios; (x) responsabilização e prestação de contas: demonstração de medidas eficazes para observar e comprovar o cumprimento das normas de proteção de dados pessoais. Portabilidade de dados Uma inovação da lei é o direito dado ao titular de obter seus dados pessoais através de um arquivo interoperável27 (por exemplo, um 26 Lei 13.709/2018. Art. 6°. 27 Idem. Art. 25. L G P D | 9 arquivo .csv28), além de poder solicitar a transferência dos dados para outra organização29. Constitui, assim, uma valiosa ferramenta de desenvolvimento e difusão de tecnologias com foco na privacidade do usuário, além de uma ferramenta para permitir que os indivíduos aproveitem a riqueza imaterial de seus dados pessoais: a possibilidade de poder transferir livremente os dados de um controlador para outro pode ser um instrumento de fomento à concorrência (observados os segredos comercial e industrial) e interoperabilidade entre plataformas, ao mesmo tempo em que reforça a capacidade de controle dos indivíduos sobre seus próprios dados30. Direitos do titular O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva, principalmente no que se refere à finalidade, forma e duração do tratamento, a identificação do controlador e seu contato, a informação sobre o uso compartilhado de dados e sua finalidade e as responsabilidades dos agentes de tratamento, além da menção explícita aos direitos do titular31. São também garantidos ao titular, mediante requisição ao controlador, o direito de correção de seus dados, a eliminação de dados tratados com o consentimento do titular e a revogação do consentimento, sendo assegurado o direito de petição à autoridade nacional32. Consentimento A concordância do titular quanto ao tratamento de seus dados pessoais deverá ocorrer de forma livre, informada, inequívoca e para uma finalidade determinada33. O consentimento deverá ser fornecido por escrito (neste caso, de maneira destacada das demais cláusulas) ou por outro meio que demonstre a manifestação de vontade do titular34, cabendo ao controlador o ônus da prova de que foi obtido na forma da lei35. Serão consideradas nulas as autorizações genéricas 28 ICO. Your right to data portability. Disponível em https://ico.org.uk/your-data-matters/your-right-to-data- portability/. Acesso em 20/08/2018. 29 Lei 13.709/2018. Art. 18, V. 30 Paul De Hert et al. The right to data portability in the GDPR: Towards user-centric interoperability of digital services. Computer Law & Security Review. Volume 34, Issue 2, Abril 2018. Disponível em https://www.sciencedirect.com/science/article/pii/S0267364917303333. Acesso em 17/08/2018. 31 Lei 13.709/2018. Art. 9° c/c art. 18. 32 Idem. Art. 18, §1°. 33 Ibid. Art. 5°, XII. 34 Ibid. Art. 8°, caput e §1°. 35 Ibid. Art. 8°, §2°. L G P D | 10 para o tratamento de dados pessoais36 e vedado o tratamento nos casos de vício de consentimento37. O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular, ratificados os tratamentos realizados sob o amparo do consentimento anteriormente manifestado enquanto não houver requerimento da sua revogação38. Responsabilidade Uma nova abordagem também envolve a responsabilidade por danos causados (patrimoniais, morais, individuais ou coletivos) pelos agentes de tratamento39. A isto se acrescenta a responsabilidade solidária entre os sujeitos responsáveis40 em determinados casos, a fim de garantir a efetiva indenização dos interessados. A lei também estabelece a possibilidade de inversão do ônus da prova em favor do titular dos dados, quando (i) for verossímil a alegação, (ii) houver hipossuficiência para fins de produção de prova ou (iii) quando a produção de prova pelo titular resultar-lhe excessivamente onerosa41. Término do tratamento O tratamento deverá cessar quando alcançada a finalidadeou quando os dados deixarem de ser necessários ou pertinentes; ao fim do período de tratamento; mediante comunicação do titular; ou por determinação da autoridade nacional42. Os dados devem ser eliminados após o término do tratamento, salvo exceções específicas43. Comunicação obrigatória O controlador deverá comunicar, em prazo razoável, à autoridade nacional e ao titular sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante44. A Autoridade Nacional verificará a gravidade do incidente e poderá determinar medidas como a ampla divulgação do fato em meios de comunicação, bem como outras medidas que entender necessárias para reverter ou mitigar os efeitos do incidente45. Em situações como esta, pode haver um grande impacto negativo na reputação e na imagem da 36 Lei 13.709/2018. Art. 8, §4°. 37 Idem. Art. 8, §3°. 38 Ibid. Art. 8, §5°. 39 Ibid. Art. 42. 40 Ibid. Art. 42, §1°, I e II. 41 Ibid. Art. 42, §2°. 42 Ibid. Art. 15. 43 Ibid. Art. 16. 44 Ibid. Art. 48, caput e §1°. 45 Ibid. Art. 48, §2°. L G P D | 11 instituição envolvida (e, consequentemente, resultar em eventual desvalorização do valor de mercado e/ou perda da confiança por parte dos consumidores)46. Transferências internacionais de dados As hipóteses para transferência de dados pessoais (para país estrangeiro ou organismo internacional do qual o país seja membro)47 são previstas de forma taxativa pela lei, devendo ocorrer apenas para aqueles que proporcionarem grau de proteção de dados pessoais adequado ao previsto na LGPD ou quando o controlador oferecer e comprovar a conformidade (através de disposições contratuais, normas corporativas, selos, certificados e códigos de conduta regularmente emitidos, com conteúdo definido ou verificado pela Autoridade Nacional)48. Dentre as hipóteses legais, destaca-se também a necessidade de consentimento específico, em destaque e distinta de outras finalidades49. Encarregado pela Proteção de Dados O EPD (semelhante à figura do DPO – Data Protection Officer, previsto na regulação europeia) é a pessoa natural, nomeada pelo controlador (empregado ou contratado externamento), que atuará como um canal de comunicação entre este, os titulares dos dados e a autoridade de proteção de dados50. Será responsável por receber reclamações e comunicações de titulares e órgãos competentes, prestar esclarecimentos, adotar providências e orientar funcionários sobre as boas práticas, dentre outras atribuições51. Sua identidade e informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site do controlador52. Por não fazer nenhum ressalva específica, a análise da LGPD leva ao entendimento de que qualquer entidade que processe dados pessoais deverá, sob quaisquer circunstâncias, indicar um EPD, cabendo, porém, à autoridade nacional estabelecer normas complementares sobre a definição e a atribuição da pessoa responsável (incluindo hipóteses de dispensa 46 MONTEIRO, Renato L. Op. cit. 47 Lei 13.709/2018. Art. 5°, XV. 48 Idem. Art. 33 c/c art. 35. 49 Ibid. Art. 33, VIII. 50 Ibid. Art. 5°, VIII. 51 Ibid. Art. 41, §2°, I a IV. 52 Ibid. Art. 41, §1°. L G P D | 12 de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados)53. Relatório de Impacto à Proteção de Dados Pessoais (RIPDP) Semelhante ao DPIA (Data Privacy Impact Assessment, previsto na GDPR), refere-se à documentação do controlador que contém a descrição das atividades de processamento de dados que podem gerar riscos aos titulares de dados, bem como informações sobre a implementação de medidas, salvaguardas e instrumentos de mitigação de danos54. Nada mais é que uma ferramenta para ajudar a identificar e minimizar os riscos na proteção de dados, que poderá ser requerida pela ANPD, quando o tratamento tiver como fundamento o legítimo interesse do controlador55. Registro de operações de tratamento O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado em seu legítimo interesse56. Assim, “toda e qualquer atividade de tratamento de dados pessoais deve ser registrada, desde a sua coleta até a sua exclusão, indicando quais tipos de dados pessoais serão coletados, a base legal que autoriza os seus usos, as suas finalidades, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento, e com quem os dados podem ser eventualmente compartilhados, metodologia também conhecida como ‘data mapping’”57. Requisitos de segurança Os agentes de tratamento devem adotar (e registrar) as medidas de segurança, técnicas e administrativas adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas (destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito)58. Caberá à Autoridade Nacional de proteção de dados, por sua vez, dispor sobre padrões técnicos mínimos, levando em conta os princípios da LGPD e considerando a natureza dos dados manipulados, as características 53 Lei 13.709/2018. Art. 41, §3°. 54 Idem. Art. 5, XVII. 55 Ibid. Art. 10, §3°. Para maiores informações sobre a metodologia do DPIA, vide https://ico.org.uk/for- organisations/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments- dpias/how-do-we-carry-out-a-dpia/. Acesso em 18/08/2018. 56 Ibid. Art. 37. 57 MONTEIRO, Renato L. Op. cit. 58 Lei 13.709/2018. Art. 46. L G P D | 13 específicas do tratamento, o estado atual da tecnologia (especialmente em se tratando de dados sensíveis)59. Privacy by design Os princípios gerais da LGPD e as medidas de segurança acima referenciadas deverão ocorrer desde a fase de concepção dos serviços e produtos até sua execução, garantindo desde o início dos direitos de privacidade e proteção de dados (privacy by design)60. Penalidades A lei prevê a aplicação de sanções administrativas a serem aplicadas de acordo com cada caso concreto pela autoridade nacional, após conclusão de procedimento administrativo, garantida a ampla defesa61. Dentre as sanções, estão previstas (i) advertência; (i) multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 por infração; (iii) multa diária (limitada a este valor); (iv) publicização da infração e (v) bloqueio dos dados pessoais a que se refere a infração até a sua regularização62. Outras sanções previstas no projeto levado à sanção foram vetadas, conforme será analisado abaixo. Período de transição e adaptação (vacatio legis) A LGPD entrará em vigor após decorridos 18 meses de sua publicação oficial63, ou seja, as entidades terão até o dia 15 de fevereiro de 2020 para se preparar. Além disso, a autoridade nacional (quando criada) deverá estabelecer regras sobre a adaptação progressiva de banco de dados constituídos até a data de entrada em vigor desta Lei, consideradas a complexidade das operações de tratamento e a natureza dos dados64. o VETOS PRESIDENCIAIS A criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão que seria responsável pela fiscalização da lei, foi vetada devido a aspectos formais, relacionados à inconstitucionalidade do processo legislativo, por afronta ao artigo 59 Lei 13.709/2018. Art. 46, §1°. 60 Idem. Art. 46, §2°. Vide também ICO. Data protection by design and default. https://ico.org.uk/for- organisations/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data- protection-by-design-and-default/.Acesso em 18/08/2018. 61 Ibid. Art. 52, §1°. 62 Ibid. Art. 52. 63 Ibid. Art. 65. 64 Ibid. Art. 63. L G P D | 14 61, §1º, II, “e”, cumulado com o artigo 37, XIX da Constituição Federal65. No entanto, já foi sinalizado pelo Governo que a ANPD será criada por meio de uma lei separada, provavelmente através de iniciativa do Poder Executivo66. Foram vetados também artigos que previam a transferência de dados pessoais entre as autoridades públicas e as entidades privadas (não estão proibidas tais transferências, mas se darão sob bases jurídicas diversas) e transparência na utilização de dados compartilhados entre entes públicos. Outros artigos vedados previam penas de suspensão e proibição - total ou parcial - das atividades de processamento e armazenamento de dados pessoais, sob a justificativa de que tais previsões poderiam gerar insegurança aos responsáveis por essas informações, bem como impossibilitar a utilização e tratamento de bancos de dados essenciais a diversas atividades (a exemplo das aproveitadas pelas instituições financeiras, dentre outras) acarretando prejuízo à estabilidade do sistema financeiro nacional67. o PRÓXIMOS PASSOS A Autoridade Nacional de Proteção de Dados, quando criada, será uma autoridade pública independente para supervisionar e fiscalizar a execução da lei. Embora seu formato ainda não esteja definido, deverá funcionar da mesma forma que outras agências reguladoras, podendo estabelecer diretrizes para a proteção de dados pessoais no Brasil. Em síntese, ela deverá garantir a proteção de dados pessoais, elaborar a "Política Nacional de Proteção e Privacidade de Dados", conforme definido em lei, monitorar, fiscalizar e aplicar sanções em caso de infração, dentre outras atividades. A lei que criar a ANPD provavelmente criará também o Conselho Nacional de Proteção de Dados (CNPD), órgão consultivo de composição 65 BRASIL. Legislação Informatizada. Lei nº 13.709, de 14 de agosto de 2018 – Veto. Disponível em http://www2.camara.leg.br/legin/fed/lei/2018/lei-13709-14-agosto-2018-787077-veto-156214-pl.html. Acesso em 17/08/2018. 66 Idem. 67 Ibid. L G P D | 15 multissetorial68, que poderá prestar esclarecimentos e propor estratégias, realizar estudos e disseminar conhecimentos sobre proteção de dados no Brasil69. Como visto, as empresas deverão buscar a conformidade à lei e aceitar um novo paradigma cultural no que se refere ao uso apropriado de dados pessoais. Em sua essência, a LGPD modificará drasticamente a maneira como as empresas gerenciam, usam, armazenam, protegem e processam dados pessoais. Nesse sentido, a implementação da LGPD pode representar para as empresas não apenas uma barreira regulatória, mas uma verdadeira uma vantagem competitiva com potencial para criar um nível respeitável de confiança e reputação junto à sociedade. o COMO COMEÇAR A SE PREPARAR Antes de embarcar em um projeto para atingir a conformidade com a LGDP é muito importante garantir o compromisso da alta administração. Este é, provavelmente, o fator mais significativo que poderá conduzir as entidades a um projeto de operação (e posterior implementação) bem-sucedido. As primeiras questões que a alta gerência fará sobre o projeto provavelmente serão: (i) quais requisitos deverão ser cumpridos, (ii) quanto irá custar; e (iii) quando deverá estar pronto? O ponto mais importante é que a conformidade à LGPD não é opcional e as multas previstas em caso de descumprimento são altas. Os requisitos a serem observados e os custos de adequação irão depender da avaliação de cada negócio, mas todos deverão estar em conformidade com a norma até meados de fevereiro de 2020. Sumarizamos abaixo, em 8 tópicos, alguns insights destinados a fornecer um ponto de partida razoável para iniciar um projeto de conformidade à LGPD: 68 Contribuições da ABRANET à Comissão Especial de Tratamento e Proteção de Dados Pessoais (PL 4060/2012 | PL 5276/2016) da Câmara dos Deputados. Disponível em http://www2.camara.leg.br/atividade- legislativa/comissoes/comissoes-temporarias/especiais/55a-legislatura/pl-4060-12-tratamento-e-protecao-de- dados-pessoais/documentos/outros-documentos/ABRANET.pdf. Acesso em 18/08/2018. 69 Cf. artigos 58 e 59 do PL 53 (vetados). Disponível em https://www.conjur.com.br/dl/redacao-final-pl-protecao- dados.pdf. Acesso em 18/08/2018. L G P D | 16 1. Estabelecer as necessidades e o contexto Reunir as equipes e mapear a situação interna no que se refere às operações de processamento de dados, a fim de compreender em que medida a LGPD se aplica a seu negócio. 2. Identificar os riscos Realizar um gap assessment (parte legal e técnica) para identificar as providências a serem adotadas. 3. Analisar e avaliar os riscos Analisar e definir as bases legais para tratamento; avaliar os mecanismos de segurança das bases de dados. 4. Definir o projeto de acordo com os riscos Definir responsabilidades; nomear um EPD; readequar e documentar os processos internos de tratamento de dados. 5. Educar Incentivar a adoção de boas práticas e a mudança na cultura interna (através de treinamentos periódicos, por exemplo) e externa. 6. Implementar o projeto desenvolvido Elaborar ou revisar (i) políticas de privacidade (internas e externas) e (ii) contratos com colaboradores e terceiros que impliquem no processamento de dados (operadores), assegurando-se dos meios para garantir sua execução. 7. Registrar o processo Documentar as análises e procedimentos e implementar o Registro de Processamento de Dados. 8. Monitorar e notificar Organizar uma política de tratamento dos incidentes para garantir o cumprimento de requisitos de comunicação às autoridades em caso de vazamentos ou uso indevido de dados pessoais. Iremos monitorar as atualizações sobre o assunto e informaremos no caso de qualquer desenvolvimento relevante. Em caso de dúvidas, entre em contato conosco. Franco | Advogados. Especialistas em Direito Empresarial. www.francoadv.com
Compartilhar