Baixe o app para aproveitar ainda mais
Prévia do material em texto
Neste ebook 1. O porquê da LGPD 2. Tratamento de Dados 3. O que são dados pessoais 4. Os sujeitos da LGPD 5. Autoridade Nacional de Proteção de Dados (ANPD) 6. Princípios da LGPD 7. Requisitos para o tratamento de dados 8. Direitos referentes ao tratamento 9. Das penalidades 10. Da responsabilidade e reparação de danos Até o ano de 1990, as relações de consumo eram desequilibradas e sem nenhuma legislação específica com diversos abusos sendo cometidos por empresas. Diante deste cenário o Código de Defesa do Con- sumidor (CDC) foi promulgado e alterou profunda- mente as relações civis. Quase trinta anos depois, na Era da Informação os dados são compartilhados em uma quantidade imen- surável a todo momento e informações sobre cada indivíduo até então podiam ser capturadas, acessadas e utilizadas, sem qualquer tipo de filtro. Assim, no dia 14 de agosto de 2018 foi publicada a Lei Geral de Proteção de Dados (LGPD) que, da mesma forma que o CDC, é provável que altere profundamente o ce- nário nacional. Muito embora tenha sido promulgada nessa data, a tarefa de se adequar demandaria muito esforço e tempo, sendo que a sua vacatio legis foi de 24 meses, ou seja, ao que tudo indica, entrará em vigor na data de 14 de agosto de 2020. Em outubro de 2019 foi proposto o Projeto de Lei nº 5.762/2019 no intuito Introdução https://www.camara.leg.br/propostas-legislativas/2227704 de adiar a entrada em vigor para o ano de 2022, po- rém, ao que tudo indica não será aprovado, mas de- vido ao surto do COVID-19, talvez a legislação seja prorrogada por algum período. Independentemente da época em que entrar em vigor, as empresas já devem se preparar para se ade- quar à LGPD, e para você poder entender o que essa lei busca proteger e como se adequar, preparamos este e-book. A Lei Geral de Proteção de Dados ou LGPD foi sancio- nada para regulamentar o tratamento de dados pessoais, no meio digital ou físico, com o objetivo de proteger os direi- tos fundamentais de liberdade, privacidade e livre desen- volvimento da personalidade. Em primeiro lugar, a LGPD está diretamente relacio- nada com a lei vigente na União Europeia, a General Data Protection Regulation (GPDR), que pode ser traduzida como Regulamentação Geral sobre Proteção de Dados (RGPD). A legislação europeia foi aprovada em 15 de abril de 2016 e sua vacatio legis foi até 25 de maio de 2018, momento no qual todos tiveram que se adequar sob pena de multas e ou- tras penalidades. E qual a relação entre a GDPR e a LGPD? Como vi- vemos em um mundo globalizado e o velho continente já se preocupa com a proteção de dados de seus cidadãos, por questões mercadológicas, está sendo exigido que os países que possuem empresas que negociem com as nacionais, tam- bém criem suas legislações de proteção de dados sob pena de quebra de contratos. Para se ter ideia da importância da GDPR na legislação brasileira, a mesma entrou em vigor em 25/05/2018 e no dia 01/06/2018 foi proposto o Projeto de Lei nº 53/2018 que, em pouco mais de dois meses, na data de 15/08/2018 foi aprovado como a LGPD. Logo, considerando que alguns projetos de lei passam anos em tramitação, uma legislação ser aprovada em pouco mais de dois meses é realmente algo fora da curva. Agora que você já entendeu um dos motivos da legisla- ção ser criada, qual a real preocupação com os dados? Em 2006, o matemático Clive Humby declarou que “os dados são o novo petróleo” (Data is the new oil), ou seja, na Era da Informação, na qual todos estão conectados e informa- ções são compartilhadas a todo momento, os dados captados pelas empresas são os ativos mais valiosos do planeta. Uma análise bem trabalhada dessas informações permite prever qual a tendência de compra dos consumidores, informa- ções pessoais e até manipular populações. Por exemplo, uma prática muito comum em farmácias é a solicitação do CPF do cliente, supostamente em tro- ca por descontos. Imagine a seguinte situação: os dados fornecidos após uma compra são compartilhados com uma operadora de plano de saúde e, futuramente, aquele mesmo consumidor (que toda vez que foi na farmácia forneceu o CPF) descobrir que possui uma doença no estômago e, se- gundo orientações médicas, deverá realizar uma cirurgia, o plano de saúde poderá negar a cobertura, pois após analisar o seu histórico de compras, percebeu que durante um ano inteiro comprou medicamentos para o estômago e, ao invés de procurar assistência médica, mascarou a doença, que em seu estágio inicial poderia ter sido solucionada sem a neces- sidade de intervenção cirúrgica. Uma outra situação que pode ocorrer: as seguradoras de veículos concedem desconto para o motorista que instalar o aplicativo (app) em seu celular, mais uma vez não infor- mam para que esses dados serão utilizados. Uma vez insta- lado, esse app consegue registrar - sem que o usuário saiba - a velocidade que o veículo está deslocando e outros tipos de informação. No caso de um acidente em que o moto- rista estiver acima da velocidade permitida, a empresa pode negar o pagamento do prêmio, pois com ajuda do app con- segue provar que quem dirigia naquele momento estava desrespeitando as leis de trânsito. Nesse caso, o consumidor estava errado, mas a empresa, em momento algum, infor- mou quais dados aquele aplicativo estaria tratando e o por- quê disso. Você já deve ter percebido a importância que os dados possuem e o quão perigoso pode ser o seu tratamento sem qualquer tipo de controle e deve estar pensando: até que a promulgação da LGPD faz sentido. Antes de explicar o que são dados pessoais, é importante explicar o que significa tratamento. O nome pode parecer complexo, mas a sua definição é simples, sendo considerado como tratamento qualquer operação realizada com os da- dos pessoais, conforme elencado no inciso X do artigo 5º da lei: Portanto, desde a coleta de um dado (no momento em que alguém realiza o cadastro em um site ou uma loja físi- ca), até a sua exclusão, qualquer ação, mesmo que a simples manutenção no sistema é considerada como tratamento. • Coleta; • Produção; • Recepção; • Classificação; • Utilização; • Acesso; • Reprodução; • Transmissão; • Distribuição; • Processamento; • Arquivamento; • Armazenamento; • Eliminação; • Avaliação; • Controle; • Modificação; • Comunicação; • Transferência; • Difusão; • Extração. http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art5 http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art5 O primeiro ponto para se entender a LGPD é compre- ender o que significa dados pessoais. A sua definição está prevista nos incisos I, II e III do artigo 5º e no parágrafo 4º do artigo 13 e são divididos em cinco categorias: iden- tificados, identificáveis, sensíveis, anonimizados e pseudo- nimizados. Os dados identificados são os mais fáceis de serem com- preendidos, pois são aquelas informações que permitem sa- ber diretamente quem é o seu titular, como o nome, RG, CPF, CNH, carteira de trabalho, nº da OAB. Por sua vez, dados identificáveis não permitem a iden- tificação imediata da pessoa, mas quando em conjunto com outros dados é possível, indiretamente, descobrir o titular como sexo, idade, gostos, hábitos de consumo, profissão, os cookies ou informações de navegação na internet ou dados de localização. Inclusive, você sabia que objetos podem ser considera- dos como dados suficientes para identificar alguém? Em re- gra, só de olhar um tênis não é possível identificar alguém, mas agora imagine um que seja customizado com desenhos, um item único. Caso você conheça o dono daquele sapato e veja uma foto em que não aparece o rosto da pessoa, mas somente o tênis, nesse caso você consegue identificar não é? http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art5 http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art13 http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art13Por sua vez, os dados sensíveis, são aqueles que podem gerar algum tipo de preconceito e por isso necessitam de proteção especial. Assim, foram definidos como aqueles que trazem informações sobre: Os dados anonimizados, por sua vez, não permitem identificar a pessoa natural direta ou indiretamente devido à utilização de algum meio técnico. Um bom exemplo de como anonimizar um dado é após realizar uma pesquisa com diversas pessoas, além de não deixar salvo nome, e-mail ou telefone, utilizar um software para misturar as informações, de modo que não possam ser associados a um sujeito em es- pecífico. Quanto aos dados anonimizados, é importante entender que, muito embora não estejam sobre a proteção da LGPD, • Raça; • Etnia; • Religião; • Opinião política ou filosófica; • À saúde; • À vida sexual; • Dado genético ou biométrico. caso ocorra a sua reversão, ou seja, o dado que foi anonimi- zado se torne identificado ou identificável, estarão sujeitos à proteção legal. Por fim, um dado pseudonimizado é uma informação que não pode ser associada direta ou indiretamente a um ti- tular, salvo se utilizando alguma informação adicional. Po- rém, segundo a LGPD, somente podem ser utilizados por órgãos de pesquisa em estudos de saúde pública. Para ficar mais claro, imagine que um pesquisador cap- turou o nome de todos os seus entrevistados, porém, para ter uma maior segurança, o sistema utiliza a tabela de Pitá- goras que substituiu letras por números (A=1, B=2, C=3 … I=9, J=1, K=2 e assim por diante). A palavra Juris então seria escrita 13991, logo, está pseudonimizada, pois somente al- guém com acesso ao código utilizado poderá retornar esse números para letras. Ainda sobre os dados pessoais, existem alguns pontos im- portantes que você precisa ficar atento: a. Só preciso me preocupar com dados digitais? Uma tendência é pensar que somente os dados armazenados no meio digital estão sujeitos à proteção da LGPD. Porém, o legislador, logo no artigo 1º, deixou expresso a sua aplica- ção sobres dados pessoais, inclusive nos meios digitais, ou seja, qualquer tipo de dado está sobre a proteção da lei. Então, você precisa ter os mesmos cuidados com todos os arquivos que possui no computador, bem como o caderno em que têm os dados de todos seus clientes anotados à mão. b. Quais dados estão protegidos pela Lei? A LGPD se aplica a qualquer operação de tratamento reali- zada por pessoa natural ou jurídica (de direito público ou pri- vado), independentemente do meio (digital ou físico, automá- tico ou manual), do país em que se encontra a sede da empresa ou o país onde estejam localizados os dados, desde que: • O tratamento seja realizado no Brasil; > Qualquer tratamento que ocorra em território nacional. > Inclusive, se uma empresa brasileira desenvolve um sof- tware, que é utilizado na Europa, mas realiza o tratamento desses dados no Brasil, portanto, estará sujeita à LGPD. • A atividade de tratamento tenha por objetivo oferta ou forne- cimento de bens ou serviços ou tratamento de dados de indiví- duos (nacionais ou estrangeiros) localizados no Brasil; > Essa situação é basicamente o mesmo caso do exemplo anterior, só que a empresa é estrangeira e os dados são tratados no exterior. http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm • Dados pessoais, os quais o titular se encontre no Brasil no momento da coleta. c. Exceções à regra Como no Direito praticamente para toda regra existe uma exceção, no caso da LGPD não seria diferente e o artigo 4º enumera as hipóteses em que o tratamento de dados pessoais não estão sob sua proteção: • Realizados por pessoa natural com fins particulares e sem ne- nhum proveito econômico; > Este é o caso de fotografias de uma reunião de amigos fei- ta por um dos participantes, uma lista de endereços pessoais de parentes ou até a lista de nomes autorizados a entrar no condo- mínio residencial. • Desde que sejam para fins exclusivamente: > Artísticos; > Jornalístico; > Acadêmicos; > Segurança pública; > Defesa nacional; > Segurança do Estado; ou > Investigação e repressão penal. http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art5 • Dados coletados no exterior, sem que ocorra comunicação ou compartilhamento com agentes brasileiros ou outros paí- ses, que não o da coleta, e que o país de coleta tenha grau de proteção de dados pessoais adequados > Provavelmente esse é o item mais complicado, mas de ma- neira simples, seu objetivo é garantir que, por exemplo, empre- sas de armazenamento em nuvem possam vender seus serviços e armazenar arquivos coletados no exterior, desde que não tenha nenhuma comunicação além do próprio país de origem. Vale lembrar que, mesmo a LGPD não sendo aplicável a esses casos, ainda podem existir penalidades cíveis e cri- minais por infrações decorrente dessas situações com base em outras legislações. Os sujeitos da LGPD estão elencados nos incisos V, VI, VII e VIII do art. 5º. É exatamente a pessoa natural (a lei não protege pessoas jurídicas) detentora dos dados pessoais que são objeto de tratamento e protegidos pela LGPD. O controlador é uma pessoa natural ou jurídi- ca (de direito público ou privado), responsável por decidir quais serão os tratamentos realizados com os dados pessoais sob seus cuidados. Assim, deve estar sempre atento para: • Avaliar se os dados que estão sendo tratados pos- suem autorização legal para tanto (as hipóteses estão descritas no item 7); • Acompanhar todo o fluxo de dados, especialmente sobre a real necessidade de possuir aquelas informa- ções; • Indicar quem será o encarregado ou DPO (será Titular Controlador http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art5 http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art5 visto mais à frente); • Elaborar o relatório de impacto à proteção de da- dos pessoais (RIPD) e as medidas para mitigação de risco de violações; • Obter o consentimento do titular para o tratamen- to de dados quando necessário; > Lembrando que, em caso de dúvida, se o con- sentimento foi dado, o ônus da prova é do contro- lador; • Se responsabilizar por violações e infrações à LGPD; • Informar o titular de dados sobre os dados que estão sendo tratados, como estão sendo tratados, o porquê de estarem sendo tratados e qualquer altera- ção no tratamento, inclusive o encerramento; • Comunicar à Autoridade Nacional de Proteção de Dados (ANPD) sobre incidentes de segurança; • Prestar informações à ANPD quando solicitado; • Formular e instituir boas práticas e governança quanto à proteção de dados pessoais. Esse são somente alguns exemplos das inúmeras responsabilidades que o controlador possui junto à LGPD, pois logicamente, sendo quem se beneficia e determina como será o tratamento de dados pes- soais, possui maiores obrigações e responsabilidades. O operador é quem realiza, sob orientação do controlador, o tratamento dos dados pessoais e, jun- tamente com o controlador é responsável por: • Manter o registro de todas as operações de trata- mentos que forem realizadas; • Demonstrar que foram adotadas medidas eficazes e capazes para o cumprimento da LGPD; • Ser responsabilizado pela violação de dados; • Responder solidariamente por danos causados quando descumprir obrigações legais; > Será equiparado ao controlador quando o dano for proveniente de tratamento em desconformidade Operador ao que foi determinado. • Formular e instituir boas práticas e governança quanto à proteção de dados pessoais. Assim, juntamente com o controlador, são con- siderados como agentes de tratamento. De maneira resumida, o controlador é quem determina quais, como e porque os dados pessoais serão tratados, enquanto o operador é quem execu- ta esse tratamento. Provavelmente, o papel mais interessante para os advogados, pois é uma oportunidade de carrei-ra nova em que os seus conhecimentos podem ser muito bem empregados. A princípio, sua função aparenta ser apenas o canal de comunicação entre controlador, titular e ANPD, porém, seu papel na prática irá muito além disso, sendo também responsável por: Encarregado ou Data Protection Officer (DPO) • Aceitar reclamação e comunicação dos titulares; • Prestar esclarecimentos aos titulares e tomar pro- vidências; • Receber comunicações da ANPD e adotar provi- dências; > Para os três casos acima, o seu contato deve- rá estar disponível no site da empresa, podendo ser e-mail ou telefone. • Orientar funcionários e contratados sobre as práti- cas que devem ser tomadas para a proteção de dados pessoais; • Executar outras atribuições determinadas pelo con- trolador ou legislação complementar. Especialmente, se considerarmos o quesito orien- tar funcionários e contratados, o papel do DPO é ampliado, pois na prática será o responsável por rea- lizar o compliance da empresa, verificando se todos os setores estão atentos às orientações quanto à pro- teção de dados pessoais. Inclusive, também poderá orientar o próprio controlador sobre boas práticas e governança de proteção de dados pessoais que de- veria adotar. Por isso, o ideal é que possua uma posição in- dependente dentro da empresa, para que não sofra pressões superiores no exercício de suas funções e não tenha receio de exercê-las, mesmo que do pon- to de vista econômico possam parecer desfavoráveis para os negócios. Você pode perguntar, como assim, o DPO pode ser contrário às estratégias de negócio? Exatamente isso, no exercício de suas atribuições, que em primeiro lugar é garantir que os dados pes- soais estejam protegidos, deverá buscar esse objetivo sem medo de represálias ou destituição. Claro que, na prática, o DPO precisa ter tato na hora de exercer sua função e ser capaz de buscar a melhor solução para a empresa, de modo que garanta a efetividade da lei, especialmente ao considerar as penalidades legais existentes, mas que traga meno- res prejuízos à empresa. Sobre as penalidades legais, orientar os agentes de tratamento sobre o risco que podem estar correndo é uma de suas obrigações. Por fim, o DPO pode ser tanto uma pessoa na- tural quanto jurídica e, muitas vezes, pode ser algum funcionário dentro da própria empresa. Na maioria dos casos será alguém do jurídico ou TI, que possua conhecimentos legais ou técnicos para tanto, além de conhecer as práticas da empresa, cultura, organi- zação e estar presente no seu dia a dia. Porém, pode ser que não existam candidatos ca- pazes de exercer a função, especialmente conside- rando a necessidade de independência que o cargo exige, pois acabará ocorrendo um acúmulo de fun- ções, que não é interessante. Portanto, essa é uma grande oportunidade para profissionais do Direito, que podem se especializar e prestar serviços pontu- ais para uma ou diversas empresas como DPO. Quer saber mais sobre outras oportunidades na era digital? Não deixe de conferir nosso e-book so- bre Carreiras Jurídicas - Novas Áreas de Atua- ção. https://www.juriscorrespondente.com.br/documento/conteudo/137/download https://www.juriscorrespondente.com.br/documento/conteudo/137/download Da mesma maneira que a Agência Nacional de Tele- comunicações (ANATEL) é responsável pelas companhias telefônicas, a Agência Nacional de Aviação Civil (ANAC) pelas empresas de aviação civil e a Agência Nacional de Saú- de Suplementar (ANS) pelas operadoras de plano de saúde, a ANPD é o órgão da administração pública responsável por zelar, implementar e fiscalizar a aplicação da LGPD no Brasil. As suas funções estão, na maioria, concentradas no artigo 55-J na LGPD, dentre elas: • Solicitar o Relatório de Impacto à Proteção de Dados (RIPD); • Dispor sobre padrões técnicos mínimos de segurança que os agentes de tratamento devem observar; • Elaborar diretrizes sobre a Política Nacional de Proteção de Dados Pessoais e Privacidade; • Receber comunicação relativa a dados pessoais; • Fiscalizar o cumprimento da LGPD; • Estabelecer e aplicar sanções administrativas. O órgão máximo da ANPD será o Conselho Diretor, composto por 5 membros nomeados pelo Presidente da Re- pública e aprovados pelo Senado Federal com mandato de 4 anos. http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm Além da boa-fé, que deve ser considerada como base para qualquer tipo de relação em nossa sociedade, na qual se es- pera que todos os envolvidos cooperem de maneira mútua e leal, o artigo 6º enumera uma série de outros princípios que devem ser observados quando ocorrer o tratamento de dados pessoais: Finalidade Este princípio diz respeito ao motivo do tratamento ser realizado. O titular deve saber no momento que fornecer seus dados o porquê de serem tratados, de modo que não poderão ser utilizados para fins diver- sos aos informados. Por exemplo, quando um usuário responde uma pesquisa na internet, é informado que os seus dados serão utilizados para compreender o perfil de com- pras, assim, ao menos que tenha autorizado, o site não poderá utilizar os dados coletados para enviar e-mails contendo propagandas. Adequação Para que ela seja cumprida, é necessário que exista uma relação lógica entre o tratamento do dado com a finalidade, de modo que esteja diretamente relaciona- http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art6 da com o objetivo do tratamento. Por exemplo, você contratou um plano de saúde, e na hora de preencher o seu cadastro foi informado que seus dados serão utilizados para verificar a existência de doenças pré-existentes e para criar o seu perfil de saúde, porém, além do peso, altura, histórico familiar, também solicitaram seu histórico escolar. Assim, cabe o questionamento, qual a necessidade de se requerer essa informação para criar o perfil de saúde? Aparente- mente nenhuma, logo, o princípio da adequação não estaria sendo cumprido. Necessidade A necessidade significa buscar sempre o menor nú- mero de informações possíveis para evitar que possí- veis violações possam ocorrer. Pode ser compreendida com a seguinte pergunta: quais dados são realmente necessários para a atividade da empresa? Por exemplo, antes de fazer uma cirurgia, sabendo que existem religiões que não permitem transfusão de sangue, o hospital pergunta para o paciente qual é a sua religião. Pode parecer um questionamento sen- sato, porém, se você lembrar, dados referentes à re- ligião são sensíveis e possuem maior proteção, então, ao invés de fazer essa pergunta, pode simplesmente questionar se a pessoa aceita ou não receber transfu- são de sangue. Desse modo, ao invés de possuir um dado sensível, o hospital agora possui um dado iden- tificável. Livre acesso O livre acesso garante, ao titular, a consulta - de forma simples e gratuita - sobre como e por quanto tempo os seus dados estão sendo tratados, bem como se não sofreram qualquer tipo de alteração não auto- rizada. Qualidade dos dados A qualidade dos dados pessoais é a garantia de que todas as informações em posse dos agentes de trata- mento são precisos, claros, relevantes e estão atualiza- dos. O seu objetivo é garantir que nenhuma informa- ção errônea possa prejudicar o titular dos dados. Transparência A transparência é um princípio em evidência no atu- al cenário nacional, especialmente na esfera pública com diversos portais de transparência, nos quais os cidadãos podem acompanhar, principalmente, como estão sendo gastos os valores públicos. Na LGPD, a transparência também é de suma impor- tância para garantir que o titular, sempre que solicitar, seja informado precisamente como os seus dados estão sendo tratados e quem são os agentes de tratamento. Claro que, caso sejam informações que possam violar segredos do negócio, poderão ser negadas. Segurança Talvez seja o princípio mais importante elencado pela LGPD, pois pormais que se tenha todas as infor- mações sobre o tratamento e agentes de tratamento, o grande objetivo da lei é garantir segurança aos titula- res de dados pessoais, então, devem ser utilizadas me- didas (técnicas e administrativas), para que o risco de violações ocorrerem seja mitigado.so sejam informa- ções que possam violar segredos do negócio, poderão ser negadas. Dentre as violações elencadas pela lei, temos os aces- sos não autorizados, bem como a destruição, perda, alteração, comunicação ou difusão dos dados pessoais por acidente ou ato ilícito. Para proteger essas informações, os agentes de trata- mento devem sempre estar atentos à CID (confiden- cialidade, integridade e disponibilidade): • Confidencialidade: o cuidado para que as infor- mações não sejam acessadas por quem não possua au- torização para tanto; • Integridade: assim como o princípio da qualida- de é a garantia que os dados estão corretos de acordo com o titular; • Disponibilidade: pode ser compreendida como o princípio do livre acesso, ou seja, que o titular possa acessar todas as suas informações quando necessário. Prevenção De maneira proativa, os agentes de tratamento de- vem adotar medidas para prevenir que ocorram danos aos dados pessoais. Mais uma contribuição da segu- rança da informação, especialmente no meio digital, é criar sistemas utilizando o conceito de Privacy by Design e Privacy by Default. Privacy by Design é pensar de maneira proativa, de modo que qualquer projeto seja desenvolvido a fim de que a proteção de dados seja pensada em todos os momentos, desde a concepção até o produto final. Desse modo, ao invés de ter que solucionar o proble- ma após ele ocorrer, já se pensa em quais riscos po- dem surgir e quais soluções podem ser tomadas para sua mitigação. Privacy by Default é conceber um produto que, após seu lançamento ao público, possua como con- figurações básicas a segurança, assim, independente- mente de exigir uma ação do usuário, sua privacidade já está garantida. Além disso, garante que somente os dados essenciais serão mantidos e apenas durante o tempo necessário. Não discriminação Na Era da Informação, os agentes de tratamento es- tão em posse de uma quantidade imensa de dados, e quando não bem utilizados podem trazer prejuízos consideráveis para os titulares. Desse modo, nenhum tratamento de dado (seja de forma manual ou auto- mática) pode ser efetuado com fins discriminatórios como, por exemplo, a variação de preço dependendo da localização do usuário, classe social ou etnia. Responsabilização e prestação de contas Por fim, os agentes de tratamento devem compro- var que observaram todo o disposto na legislação e tomaram medidas eficazes para que as normas fossem cumpridas. Além disso, não basta comprovar que as mesmas foram realizadas, mas devem demonstrar que essas medidas são realmente eficazes para evitar viola- ções aos dados pessoais, que estão sobre sua posse. Seguindo a ideia básica da LGPD, de garantir a prote- ção de dados pessoais, o legislador elencou, no artigo 7º, as hipóteses em que poderão ser tratados, quais sejam: • Autorização do titular: uma vez que o próprio titular autorizar, os seus dados poderão ser tratados, porém, alguns cuidados devem ser observados: > A autorização deve ser escrita e, caso existam outras cláusulas no documento, deverá ser destacada; > Caso não seja possível ser feita por escrito, poderá ser de outra forma, mas desde que seja capaz de ser comprova- do; > Deve ser clara, sem que existam dúvidas sobre o que está sendo autorizado; > No caso de crianças e adolescentes, deve ser dada por pelo menos um dos pais ou responsável; > Se os agentes de tratamento forem utilizar os dados para outro fim, que não o inicialmente autorizado, deverá ser exigido novo consentimento; > O consentimento poderá ser revogado a qualquer mo- mento; > Caso o titular tenha tornado público seus dados, o consentimento será dispensado; > O ônus da prova do consentimento é do controlador. http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art7 • Para o cumprimento de obrigação legal ou regulatória: se existir alguma determinação que exija que o controlador efetue o tratamento de algum dado pessoal, o mesmo estará autorizado para tanto: > Um bom exemplo de obrigação legal é a exigência que as empresas possuem de guardar por 10 anos documen- tos comprobatórios de recolhimento da previdência social. Nesse caso, mesmo que a empresa não queira arquivar esses documentos e que o funcionário exija a sua exclusão, por lei, ainda deverá ter que mantê-los. • Pela administração pública para execução de políticas públicas previstas em lei, regulamentos, contratos, convê- nios ou outros instrumentos: a ideia é semelhante ao prin- cípio da obrigação legal do controlador; • Para realização de estudo por órgãos oficiais de pes- quisa e, sempre que possível, os dados devem ser anonimi- zados; • Quando forem necessários para execução de contra- to: mesmo não sendo uma obrigação legal, para que pos- sam executar contratos, alguns dados são necessários, como ocorre no próprio Juris. Por exemplo, para que você receba as solicitações de diligência é preciso informar quais servi- ços e cidade onde você atende. Sem essas informações, não será possível executar o contrato; • Para exercício regular de direito judicialmente, admi- nistrativamente ou em arbitragem: nesse caso, o controla- dor poderá manter alguns dados arquivados, se considerar como fundamentais para exercer o seu direito em proces- sos. Como por exemplo, dados de qualificação processual (nome, endereço, CPF etc.); • Para a proteção da vida ou segurança física do titular ou terceiro: Essa hipótese prevê que, em situações nas quais ocorra risco à vida ou saúde, poderá ocorrer o tratamento de dados, como por exemplo em um desabamento de pré- dio em que é disponibilizada a localização de aparelhos ce- lulares para que as vítimas possam ser encontradas; • Para garantir a saúde, exclusivamente em procedi- mento realizado por profissional da saúde ou autoridade sa- nitária: um bom exemplo é em caso de uma cirurgia de emergência em que a vítima está desacordada. Dessa forma, o seu histórico hospitalar poderá ser acessado em busca de alguma informação importante; • Quando necessário para atender o interesse do con- trolador ou terceiro: Nesse caso é importante: > Determinar qual é esse interesse; > Demonstrar que não é possível obtê-lo de outra ma- neira, que não pelo tratamento; > Verificar se existe equilíbrio entre esses interesses e o do titular. Por fim, para a proteção do crédito: instituições bancárias poderão, por exemplo, realizar a busca no banco de dados de devedores, a fim de obter informações sobre adimplên- cia e inadimplência. Tratamento de dados sensíveis Os dados sensíveis, por serem relacionados às in- formações que possam causar discriminação, somente poderão ser tratados: • Quando existir autorização do titular ou responsá- vel; • Para cumprimento de obrigação legal ou regulató- ria; • Para o tratamento compartilhado de dados necessá- rios para a execução de políticas públicas previstas em lei ou regulamentos; • Para realização de estudo por órgãos oficiais de pes- quisa e, sempre que possível, os dados devem ser ano- nimizados; • Para exercício regular de direito judicialmente, ad- ministrativamente ou em arbitragem; • Para a proteção da vida ou segurança física do titular ou terceiro; • Para garantir a saúde, exclusivamente em procedi- mento realizado por profissional da saúde ou autori- dade sanitária; • Como garantia da prevenção à fraude e segurança do titular nos processos de identificação e autentica- ção de cadastro em sistemas eletrônicos: por exemplo, os dados biométricos exigidos por caixa eletrônicos para transações bancárias. Tratamento de dados sensíveis Para que o tratamento dos dados não seja por pe- ríodo indefinido,a LGPD prevê que o seu fim se dará quando a finalidade for alcançada ou os dados deixa- rem de ser necessários ou pertinentes; quando o prazo estipulado pelo controlador se encerrar; quando o ti- tular requerer; ou por determinação da ANPD, quan- do houver violação legal. Após o seu término, os dados deverão ser elimina- dos, contudo, poderão ser armazenados para o cum- primento de obrigação legal ou regulatória, por ór- gão de pesquisa quando feitos para estudo, para serem transferidos para terceiros quando necessário ou para uso exclusivo do controlador, neste último caso, des- de que anonimizados. Além dos princípios elencados pela LGPD, que devem ser observados pelos agentes de tratamento, o titular dos dados pessoais também possui uma série de direitos trazidos prin- cipalmente no artigo 9º e 18, são eles: • Saber o porquê, como e por quanto tempo os seus da- dos serão tratados; • Saber sobre a ocorrência de tratamento; • Identificação e informações de contato do controla- dor, bem como de terceiros com que os seus dados foram compartilhados; • A responsabilização dos agentes de tratamento por suas ações; • Acessar os seus dados e obter a correção quando forem incompletos, inexatos ou estiverem desatualizados; • Que os dados desnecessários, excessivos ou em des- conformidade com a lei sejam anonimizados, bloqueados ou eliminados; • Após solicitação, a portabilidade dos seus dados para outra empresa que forneça o mesmo serviço ou produto, http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm desde que isso não implique em violação de segredos co- merciais ou industriais; • Eliminação dos dados pessoais em que o tratamento foi autorizado por consentimento e a revogação do mesmo; Ser informado sobre a possibilidade de não fornecer o con- sentimento e quais serão as consequências desse ato. Todos esses direitos serão exercidos mediante requisi- ção expressa do titular ou representante legal, diretamente ao agente de tratamento e, caso não seja possível cumprir imediatamente o solicitado, o controlador deverá indicar as razões de fato ou de direito que impeçam. No caso específico da confirmação da existência de tra- tamento ou acesso aos dados pessoais, o agente de tratamen- to terá o prazo de 15 dias para fornecer essas informações. Para que a LGPD possa ter maior efetividade, além de estabelecer todos os princípios, garantias, direitos e obriga- ções dos titulares e agentes de tratamento, ficou estabeleci- do no artigo 52 as penalidades por violação ao determinado na lei que, após ser garantida a ampla defesa, podem ser: • Advertência concedendo um prazo para sua regulariza- ção; • Multa diária até que a situação seja regularizada, obser- vado o limite abaixo; • Multa de até 2% do faturamento (excluindo tributos) da pessoa jurídica no último exercício, não podendo ultrapas- sar 50 milhões de reais por infração: > Logo, caso existam duas infrações, a multa poderá ser de 100 milhões de reais. • O controlador ter que tornar pública a infração; • O bloqueio dos dados pessoais que sofreram infração até que seja regularizada; • A eliminação dos dados pessoais referentes à infração; http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art52 • Suspensão do banco de dados pelo período de 6 meses, prorrogáveis por igual período, até que a infração seja re- gularizada; • Suspensão da atividade de tratamento de dados pessoais pelo mesmo período; • Proibição parcial ou total das atividades relacionadas ao tratamento de dados > As sanções de suspensão e proibição de atividades so- mente poderão ser aplicadas após o controlador ter a sido condenado em alguma das outras sanções para aquele mes- mo ato. Assim, caso o controlador seja condenado a pagar uma multa por não informar todo o tratamento que é rea- lizado com os dados pessoais e, posteriormente, ocorra um vazamento de dados, em regra, ele não poderá ter suas ati- vidades suspensas, pois a penalidade inicial foi aplicada em um caso diferente. Como você pode observar, as penalidades vão desde uma simples advertência até a proibição das atividades. Nesse sentido, muitos podem pensar que a multa em quantia ele- vada pode ser a pior sanção, porém, para uma empresa tec- nológica, que depende do seu banco de dados e tratamento dessas informações, ter suas atividades suspensas por até 6 meses pode significar a sua falência. Por isso, é tão impor- tante estar atento à regulamentação legal para que os riscos sejam mitigados e os dados pessoais protegidos e utilizados somente para o seu devido fim. Por fim, vale lembrar que, de acordo com a peculiari- dade do caso concreto, poderão existir atenuantes ou agra- vantes como: • Analisar qual a gravidade que a violação acarretou nos di- reitos pessoais; • A boa-fé do infrator; • Se o infrator obteve ou tinha como objetivo obter alguma vantagem; • A condição econômica do infrator; • A reincidência; • Qual foi o grau de dano gerado; • Se houve cooperação do infrator; • Se foram adotados mecanismos e procedimentos para mi- nimizar o dano; • Se existiam políticas de boas práticas e governança; • Se medidas corretivas foram adotadas imediatamente; • Se existe uma proporcionalidade entre a gravidade da le- são e a intensidade da sanção. O objetivo destes tópicos é trazer maior equilíbrio na aplicação das penas, pois não seria justo aplicar a mesma penalidade para uma empresa que tomou todas as medidas para mitigar o risco e para outra que não se preocupou em momento algum em se adequar à LGPD. Como vimos, caso exista qualquer violação quanto aos dispostos na LGPD, a ANPD será o órgão competente para enviar notificação para que as medidas necessárias para so- lucionar o problema sejam tomadas. Mas quem será respon- sável por essa reparação? Segundo a LGPD, se existir qualquer espécie de dano moral, individual ou coletivo decorrente de violação do pre- visto na lei, e caso o fato tenha ocorrido em razão do trata- mento de dados pessoais, o controlador ou operador serão obrigados a repará-lo. Assim, o operador responde solidariamente, ou seja, o titular ou a ANPD poderá exigir que qualquer um dos dois cumpra com a obrigação, por danos causados por descum- primento da LGPD ou se agir contrariando as instruções do controlador. Se existir mais de um controlador, todos responderão de forma solidária pelos danos causados e pelos tratamentos de dados pessoais que vierem a ocorrer. Lembrando que, em ambos os casos, se somente um dos agentes de tratamento reparar integralmente o titular, ele poderá exigir dos demais a restituição do valor correspondente a cada um. Como sempre, existem algumas exceções à regra e os agentes de tratamento não serão responsabilizados se ficar comprovado que: • Não foram responsáveis pelo tratamento de dados pes- soais que acarretou no dano; • Muito embora tenha ocorrido o dano e eles tenham rea- lizado o tratamento, a LGPD foi integralmente cumprida; ou • O dano se deu por culpa exclusiva do titular dos dados ou de terceiro. Vale lembrar que, por se tratar de uma relação de con- sumo, o Código de Defesa do Consumidor, bem como outras legislações poderão ser aplicadas de acordo com cada situação. Comunicação de incidentes Um ponto importante que vale ser destacado é que, no caso de qualquer incidente de segurança que tenha potencial para gerar risco ou dano aos dados pessoais, o controlador deverá enviar um comunicado para a ANPD e aos titulares referente à situação. A LGPD trouxe alguns exemplos de incidentes, quais sejam: acesso de pessoas não autorizadas, destruição, perda, alteração, comunicação acidental ou ilícita, bem como qualquer tratamento que seja inadequado ou ilícito. http://www.planalto.gov.br/ccivil_03/leis/l8078.htm Entretanto, a LGPD não estipulou um prazo má- ximo para essa comunicação, mas aponta que deverá ser em prazo razoável,o qual será definido pela auto- ridade nacional. Assim, o controlador deverá mencionar em sua comunicação: • Quais foram os dados pessoais afetados; • As informações sobre os titulares envolvidos; • Indicar quais medidas foram utilizadas para a pro- teção dos dados pessoais; • Quais são os riscos do incidente; • Caso a comunicação não seja imediata, o porquê de sua demora; • Apontar quais medidas foram tomadas para rever- ter ou mitigar os danos. Dependendo da gravidade do incidente, a ANPD, ainda, poderá determinar que o controlador divulgue o fato nos meios de comunicação. A LGPD possui potencial para alterar drasticamen- te a relação em nossa sociedade. O papel dos profissio- nais do Direito será de extrema importância para que a legislação seja cumprida, garantindo aos titulares o devido tratamento de seus dados e que as empresas se adequem, de forma a evitar penalidades legais. Além disso, os próprios escritórios de advocacia precisarão estar em conformidade com a lei. Como diversas empresas ainda não se adequaram à legislação e, mesmo as que já tomaram essa iniciativa precisarão de um Compliance constante. Dessa for- ma, os advogados e advogadas podem se especializar nessa área como uma nova oportunidade de carreira. Inclusive, a função do DPO se encaixa perfeitamente para esses profissionais que querem trabalhar na Era do Direito 4.0 Mesmo que sua atuação não seja diretamente na empresa, processos judiciais irão surgir e é preciso preparar-se para defender seus clientes da melhor maneira possível. Conclusão Conecte-se conosco! Dúvidas? Acesse a nossa Central de Ajuda J U R I S C O R R E S P O N D E N T E . C O M . B R https://juriscorrespondente.zendesk.com/hc/pt-br https://juriscorrespondente.zendesk.com/hc/pt-br https://www.facebook.com/www.juriscorrespondente.com.br/ https://www.instagram.com/juris_correspondente/ https://www.linkedin.com/company/juriscorrespondente/ http://juriscorrespondente.com.br https://twitter.com/JurisCorrespond
Compartilhar